windows+Server+2003+系统安全实训

湖南科技职业学院Windows Server 2003系统安全
项目文档
班级：网络3061
指导老师：邓卫军
组长：丁传华
组员：刘宏谱曹伟
李子霖严萌
2008年12月
目录
一、配置域的基础结构 (2)
1.1 创建一个用于管理的OU (2)
1.2 组策略管理和安全模板的导入 (3)
1.3 设置密码策略 (5)
1.4 设置安全选项 (5)
二、成员服务器基线 (7)
2.1考察审核策略 (7)
2.2考察用户权限 (9)
2.3考察其他安全选项 (10)
2.4统服务设置 (11)
三、强化域控制器 (13)
3.1重新部署数据― Active Directory 数据库和日志文件 (13)
3.2配置使用Syskey保护帐户数据 (14)
3.3禁用错误报告 (15)
3.4用IPSec过滤器阻断端口 (15)
四、强化IIS服务器 (19)
4.1 Internet信息服务（IIS）6.0 (19)
4.2 创建站点及访问设置 (19)
4.3 配置DNS服务实现域名解析访问 (21)
4.4 创建FTP站点及访问设置 (22)
附一第九组项目任务分配 (25)
一、配置域的基础结构
1.1 创建一个用于管理的OU
1)分别启动三台虚拟机Server、DC、RRAS。

依次在这三台虚拟机上安装DHCP服务、AD（）、WINS服务。

2)将三台服务器的ip改成同一网段（192.168.100.0/24）；将DHCP、WINS服务器的主机名改为DHCP、WINS，DNS指定为DC服务器的ip地址；将DHCP和WINS加入到域。

3)在DC上在打开Active Directory用户和计算机，创建两个组织单元和一个全局安全组分别定义为：基础结构、成员服务器、基础结构管理员。

4)点击域中的Computers，将DHCP、WINS移动到刚创建的组织单元“基础结构”。

如图1-1所示：
图1-1
5)新建三个用户，名称分别为adminA、adminB、adminC；密码为list123/.,然后就这三用户添加到已建立的全局安全组—基础结构管理员。

如图1-2所示：
图1-2
1.2 组策略管理和安全模板的导入
1)在Active Directory用户和计算机中，右键点击域，然后选择“属性”。

2)在组策略标签中，点击“新建”，添加一个新的GPO。

3)键入“Enterprise Client - Domain Policy”，然后按回车键。

4)右键单击 Enterprise Client - Domain Policy,，选择No Override。

（注：可选。

该策略可以强制实施于整个域）。

如图1-3所示：
5)在组策略窗口中，点击计算机配置\Windows设置。

右键单击安全设置，选择导入策略。

在选择导入策略的文件对话框，双击文件SecureDC.inf 。

如图1-4所示：
图1-4
6)通过下列办法，强制在域控制器之间复制策略，使策略能够应用于所有的域控制器：打开命令提示符，使用命令行工具 gpupdate.exe ，强制所有的域控制器:更新域策略，具体的命令如下：gpupdate /Force。

7)在“事件查看器”中确认组策略已经成功地下载，并且服务器可以和域中的其它域控制器通信，检查GPO成功应用事件。

在时间查看器中，实验结果成功的显示出来，如图1-5所示：
1.3 设置密码策略
1)在组策略窗口中，点击计算机配置\Windows 设置\安全设置\帐户策略。

2)选择密码策略，在右窗格检查单个策略设置，包括以下设置：强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值、密码必须符合复杂性要求、用可还原的加密来存储密码。

如图1-6所示：
图1-6
3)选择帐户锁定策略，在右窗格检查单个策略设置，包括以下设置：复位帐户锁定计数器、帐户锁定时间、帐户锁定阀值。

如图1-7所示：
图1-7
1.4 设置安全选项
1)在组策略窗口中，点击计算机配置\Windows 设置\安全设置\本地策略。

2)选择安全选项，在右窗格双击Microsoft网络服务：登录时间到期后断开客户机、网络安全；登录时间到期后强制注销、网络访问；允许匿名SID/NAME转换。

分别如图1-8、图1-9、图1-10所示：
图1-8
图1-9
图1-10
二、成员服务器基线
2.1考察审核策略
1)在DC上的“管理工具”打开“域控制器安全策略”。

2)在组策略窗口中，点击Windows 设置\安全设置\本地策略\审核策略。

3)在右窗格选择审核登录事件，双击打开，选中“成功”和“失败”，然后单击“确定”。

如图2-1所示：
图2-1
4)运行compmgmt.msc ，依次选择系统工具，事件查看器，安全性，确认当前的安
全日志信息，然后注销当前用户。

如图2-2所示：
图2-2
5)尝试用不合法帐户登录一次，如使用HackUser登录，在弹出的错误对话框中单击确定。

6)尝试用不正确密码登录一次，如使用Administrator登录，输入错误密码在弹出的错误对话框中单击确定。

7)使用管理员正确密码登录，运行compmgmt.msc ，依次选择系统工具，事件查看器，安全性，查看失败的记录。

如图2-3、图2-4所示：
图2-3
图2-4
2.2考察用户权限
1)在组策略窗口中，点击Windows 设置\安全设置\本地策略\用户权限分配。

2)如图2-5所示，在右窗格双击“允许在本地登录”子项目，将用户adminA添加进“策略设置”选项中。

在右窗口中还可以设置如“网络访问此计算机”、“通过终端服务允许登录”、“更改系统时间”“拒绝从网络访问这台计算机”、“通过终端服务拒绝登录”、“关闭系统”等设置。

图2-5
3)注销administrator用户，用adminA用户登陆系统中。

双击桌面右下角的系统时
间，由于adminA没有修改系统时间的权限，系统弹出如图2-6所示的对话框。

图2-6
2.3考察其他安全选项
1)在组策略窗口中，点击Windows 设置\安全设置\本地策略\安全选项。

2)在右窗格依次双击子项目检查具体安全设置。

帐号: Guest 帐号状态、限制本地帐号只能在控制台登录过程中使用空白密码；审核：如果无法记录安全审核信息则立即关闭系统；设备：允许格式化与弹出可移动媒体、设备：防止用户安装打印机驱动程序、仅限本地登录用户访问CD-ROM、仅限本地登录用户访问软盘驱动器；交互式登录：不显示最后一个用户名、无需使用CTRL+ALT+DEL、针对尝试登录用户的消息文本、针对尝试登录用户的消息标题、原先登录到高速缓存的次数（在域控制器不可用的情况下）；网络访问：不允许进行匿名SAM帐号枚举操作、允许针对匿名用户应用Everyone权限、可以通过匿名方式访问的名称管道、本地帐号的共享与安全模式；关机：允许系统在尚未登录前关机。

如图2-7所示，可对各选项进行相应的安全设置。

图2-7
2.4统服务设置
1)在Active Directory用户和计算机中，右键点击域，然后选择“属性”。

2)在组策略标签中，点击“新建”，添加一个新的GPO。

3)键入Service Test - Domain Policy，然后按回车键。

如图2-8所示：
图2-8
4)选择Service Test - Domain Policy，点击“编辑”。

5)在组策略窗口中，点击计算机配置\Windows 设置\安全设置\系统服务。

选择自动更新服务选项，设置启动模式，如图2-9所示：
图2-9
6)点击“编辑安全设置”选择，可对该服务做相应的用户权限分配。

如图2-10所示：
图2-10
7)按照相同的方法，可对其他服务做相应的安全设置操作。

三、强化域控制器
3.1重新部署数据― Active Directory 数据库和日志文件
1)重新启动DC，启动时按“F8”键选择进入“目录服务还原模式”。

2)用管理员登录成功后，运行Ntdsutil进入目录维护控制台。

3)输入“files”，回车确认。

4)输入“move DB to C:\ADData”回车，屏幕提示数据文件将会移动至C:\ADData 目录。

图3-1
5)输入“move Log to C:\ADLog”回车，屏幕提示日志文件将会移动至C:\ADLog 目录。

图3-2
6)重新启动DC完成数据重新部署。

3.2配置使用Syskey保护帐户数据
1)点击“开始”菜单，点击“运行”，输入“syskey”，然后点击“确定”。

2)点击“启用加密”（Encryption Enabled），然后点击“更新”（Update）。

图3-3
5)选择希望的选项，然后点击“确定”。

在此我们可以选择密码启动，设置对应密码。

然后点击“确定”。

（注：该设置一旦设置不可撤销，所以请牢记密码或者先在测试环
境下确认。

）
6)重新启动系统，注意到启动时提示输入密码，三次失败后系统自动重新启动。

3.3禁用错误报告
1)在组策略窗口中，点击计算机配置\管理模板\系统\错误报告功能。

2)在右窗格依次双击子项目检查具体安全设置。

如图3-4所示：
图3-4
3.4用IPSec过滤器阻断端口
1)在组策略窗口中，点击计算机配置\Windows 设置\安全设置\IP 安全策略。

2)右键单击右侧窗格。

在该菜单的顶部有两个选项：创建IP安全策略和管理IP 筛选器表和筛选器操作。

因为在创建策略之前需要列表和操作，所以首先要创建它们。

单击第二项—管理IP筛选器表和筛选器操作。

3)单击“添加”按钮。

赋予筛选器列表一个名称 FileAccess （注：此处我们仅允许文件访问用户可以根据访问要求定义对应的访问规则）。

如图3-5所示：
图3-5
4)在“IP 筛选器列表”对话框中，单击添加按钮。

5)后续设置按照这样设置：源地址是任何IP地址，目标地址可选择我的IP地址，选择协议为TCP ，IP 协议端口设置为“从任意端口”到此端口 445（文件共享用的是445端口）。

如图3-6所示：
图3-6
6)单击确定“以关闭IP筛选器列表“对话框。

7)单击“添加”按钮。

赋予筛选器列表一个名称 All Inbound （注：创建另外一个与进入该接口的所有通信相匹配的筛选器列表）。

8)在“IP 筛选器列表”对话框中，单击添加按钮。

9)后续设置按照这样设置：源地址是任何IP地址，目标地址可选择我的IP地址，选择协议为“任意”。

如图3-7所示：
图3-7
10)单击“确定”以关闭IP 筛选器列表对话框。

11)在完成筛选器列表后，单击“管理筛选器操作”选项卡。

12)单击“添加”按钮，将筛选器操作命名为阻止，将“阻止”选作常规选项，完成该向导。

并关闭“管理 IP 筛选器表和筛选器操作”对话框。

13)回到“IP 安全策略MMC”，右键单击右窗格，然后选择“创建 IP 安全策略”。

14)将策略命名为 Filters，不选“激活默认响应规则”，选中“编辑属性”，完成该向导。

15)在 Filters“属性”对话框单击添加，选择“此规则不指定隧道”，网络类型为“所有网络连接”，选择以前创建的筛选器列表 FileAccess ，选择“许可”筛选器操作，完成该向导。

如图3-8、3-9所示：
图3-8
图3-9
16)在 Filters 属性对话框单击“添加”，选择此规则不指定隧道，网络类型为“所有网络连接”，选择以前创建的筛选器列表 All Inbound，选择“阻止”筛选器操作，完成该向导。

17)关闭属性对话框，最后右键单击已创建的策略FileAccess，然后从菜单中选择“指派”。

如图3-10所示：
图3-10
18)到此该服务器的安全过滤配置完成，可以登录到另一台同网络的计算机，尝试Ping 该服务器将会不成功，而通过UNC名访问共享如\\ServerName 将会成功打开身份验证对话框，由此我们先前过滤的配置只允许“TCP 445”端口访问就成功了。

在未指派之前是能Ping通的指派此策略之后就不能Ping通了。

如图3-11所示：
图3-11
四、强化IIS服务器
4.1 Internet信息服务（IIS）6.0
1)在“控制面板”上，双击“添加/删除程序”，单击“添加/删除Windows组件”按钮，启动Windows组件向导。

在“组件”列表中，单击“应用程序服务器”，然后单击“详细”。

2)在“应用程序服务器”对话框中，在“应用程序服务器子组件”下，单击“Internet 信息服务（IIS）”，然后单击“详细”。

3)在Internet信息服务（IIS）对话框的Internet信息服务（IIS）子组件列表中，完成以下工作之一：
• 要增加其它组件，请选中想要安装组件旁边的复选框。

• 要删除已安装的组件，请清除想要删除组件旁边的复选框。

4)单击“确定”返回到Windows组件向导。

单击“下一步”，然后单击“完成”。

5)安装完毕后，运行管理工具中的“Internet 信息服务（IIS）管理器”。

6)展开对应服务器名称，然后单击“Web 服务扩展”检查IIS默认的WEB安全设置。

4.2 创建站点及访问设置
1)创建一个WEB站点，命名为myweb，主目录为C:\web\HP。

图4-1所示：
图4-1
2)在C:\web\hp下新建myweb.htm文件，然后在IE浏览器中输入
http://192.168.100.1/myweb.htm测试，可以匿名访问，如图4-2所示：
图4-2
3)在IIS管理器中打开“身份验证方法”对话框。

取消匿名访问方式，采用域用户验证。

如图4-3所示：
图4-3
4)在IE浏览器中再次输入http://192.168.100.1/myweb.htm测试，需要身份验证。

如图4-4所示：
图4-4
4.3 配置DNS服务实现域名解析访问
1)在DNS服务器正向查询区域添加一条主机记录，如图4-5所示：
图4-5
2) 在客户机上添加DNS服务器地址，然后在IE浏览器中输入
/myweb.htm测试，如图4-6所示：
图4-6
4.4 创建FTP站点及访问设置
1)创建一个FTP站点，命名为，主目录为C:\ftp\share。

如图4-7所示:
图4-7
2)在IE浏览器中输入ftp//192.168.100.1测试，可以匿名访问。

如图4-8所示：
图4-8
3)设置ftp允许写入权限，如图4-9所示：
图4-9
4)重新在IE浏览器中打开FTP站点，就可以写入数据，如图4-10所示，新建dicha文件
夹。

图4-10
附一第九组项目任务分配丁传华成员服务器基线及文档整理刘宏谱配置域的基础结构
李子霖/严萌强化域控制器
曹伟强化IIS服务器。