宣城職業(yè)技術(shù)學(xué)院畢業(yè)論文.doc

宣城職業(yè)技術(shù)學(xué)院畢業(yè)論文Windows server 2003 配置與安全作 者 王文強(qiáng) 班 級 09計(jì)算機(jī)網(wǎng)絡(luò) 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò) 教 學(xué) 系 信息工程系 指導(dǎo)老師 張海民 完成時間 2011 年 10 月 1日至 2011 年 12 月10日目 錄前言第一章 windows server 2003的配置一、DNS服務(wù)器配置與管理1.1 DNS的概念與原理1.2安裝和添加DNS服務(wù)器1.3設(shè)置DNS服務(wù)器1.4 DNS服務(wù)器的動態(tài)更新二、DHCP服務(wù)器配置與管理2.2 DHCP服務(wù)及其工作原理2.4安裝DHCP服務(wù)2.3 DHCP客戶端可獲得如下配置信息2.5創(chuàng)建并激活DHCP作用域三丶 IIS服務(wù)器的配置與管理3.1 安裝IIS3.2 Windows Server 2003中的IIS 6.0提供的服務(wù)第二章 windows server 2003 的安全一、 windows server 2003 安全性簡介1.1 2003安全措施概述1.2 主要特色安全技術(shù)二、Windows Server 2003 域控制器的安全特性2.1 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)2.2 域中添加工作站三丶 Windows Server 2003幾種服務(wù)器安全特性3.1 IIS 服務(wù)器安全特性3.2證書服務(wù)服務(wù)器安全特性結(jié)束語參考文獻(xiàn)前言Microsoft公司于2003年4月正式推出了Windows Server 2003新一代網(wǎng)絡(luò)操作系統(tǒng)，其目的是用于在網(wǎng)絡(luò)上構(gòu)建各種網(wǎng)絡(luò)服務(wù)，Windows Server 2003的新特性：新的遠(yuǎn)程管理工具包括遠(yuǎn)程安裝服務(wù)（RIS）、遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助；“管理您的服務(wù)器”向?qū)?，增加了服?wù)器角色的概念；新的Active Directory功能；可用性和可靠性的改進(jìn)包括自動系統(tǒng)恢復(fù)（ASR）、程序兼容性、策略的結(jié)果集。由于計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，如何配置完整的操作系統(tǒng)可謂很需要，所以本文以配置完整的windows server2003操作系統(tǒng)為題展開討論，從服務(wù)器、路由器等方面介紹了如何配置完整的windows server 2003 操作系統(tǒng)。在計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)普遍應(yīng)用的今天，人們已經(jīng)不再用太多的腦子去記很多的東西了，主要記載在計(jì)算機(jī)上或與之相關(guān)機(jī)器上，只需記載一些密碼便可，也方便查詢。但是，由于連上了網(wǎng)，難免有些人有盜取的想法，因此，需要確保信息系統(tǒng)安全。以前，人們只要設(shè)些復(fù)雜的密碼就可以，但是連上網(wǎng)后，駭客們就有盜竊，破壞的行動了，尤其是敏感信息。因此，不只要經(jīng)常給系統(tǒng)打補(bǔ)丁，還要有一個好的防火墻。有防火墻可以更好的防范駭客攻擊，它可以控制端口的連接，把一些危險的端口屏蔽掉，防止他人對的機(jī)子配置信息的掃描，可以防范一些有攻擊性的病毒，因此，用防火墻是很有必要的。可以根據(jù)自己愛好或用途選擇防火墻，如天網(wǎng)防火墻，諾頓安全特警，瑞星防火墻等。還有，安裝防火墻，它的設(shè)置不能僅是默認(rèn)設(shè)置，自己適當(dāng)更改，以便更適合自己。由此引出的問題和解決辦法就是這一課題的主要研究對象。第一章 windows server 2003的配置一、DNS服務(wù)器配置與管理1、DNS的基本概念與原理 DNS（Domain Name Service，域名系統(tǒng)）是一個分布式數(shù)據(jù)庫系統(tǒng)，其作用將域名解析成IP地址。 域名系統(tǒng)允許用戶使用友好的名字而不是難以記憶的數(shù)字IP地址來訪問Internet上的主機(jī)。2、安裝和添加DNS服務(wù)器 提示：DNS服務(wù)器必須擁有靜態(tài)的IP地址。 安裝方法： 1. 使用“配置服務(wù)器向?qū)А卑惭bDNS 該方法在安裝DNS的過程中，向?qū)崾居脩襞渲盟阉鲄^(qū)域、轉(zhuǎn)發(fā)器等 2. 使用“添加Windows組件”的方式安裝DNS 使用該方法安裝完成后，必須到“DNS管理控制臺”中配置搜索區(qū)域、轉(zhuǎn)發(fā)器等3、設(shè)置DNS服務(wù)器 DNS服務(wù)器屬性對話框中包含了“接口”、“轉(zhuǎn)發(fā)器”、“高級”、“根提示”、“調(diào)試日志”、“事件日志”、“監(jiān)視”、“安全”8個選項(xiàng)卡，通過對它們的設(shè)置，可實(shí)現(xiàn)對DNS服務(wù)器的有效管理。5、DNS服務(wù)器的動態(tài)更新1在DNS客戶端和服務(wù)器之間實(shí)現(xiàn)DNS動態(tài)更新2DHCP服務(wù)器代理DNS動態(tài)更新為了配置動態(tài)更新,你必須做:1配置DNS服務(wù)器允許動態(tài)更新2配置 DHCP 服務(wù)器允許動態(tài)更新3配置基于Windows xp/2000/2003的客戶機(jī)允許動態(tài)更新二、DHCP服務(wù)器配置與管理2、DHCP服務(wù)及其工作原理 DHCP全稱是Dynamic Host Configuration Protocol（動態(tài)主機(jī)配置協(xié)議），該協(xié)議可以自動為局域網(wǎng)中的每一臺計(jì)算機(jī)自動分配IP地址，并完成每臺計(jì)算機(jī)的TCP/IP協(xié)議配置，包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，以及DNS服務(wù)器等。 DHCP服務(wù)器能夠從預(yù)先設(shè)置的IP地址池中自動給主機(jī)分配IP地址，它不僅能夠解決IP地址沖突的問題，也能及時回收IP地址以提高IP地址的利用率。3、DHCP客戶端可獲得如下配置信息 一個IP地址、一個子網(wǎng)掩碼、某些可選值，如默認(rèn)的網(wǎng)關(guān)、DNS服務(wù)器的IP地址、WINS服務(wù)器的IP地址。4、安裝DHCP服務(wù) 方法一：通過“配置您的服務(wù)器向?qū)А?方法二：通過“添加刪除應(yīng)用程序” 注意：對于在Windows 2000/2003域中的DHCP服務(wù)器來說，只有經(jīng)過活動目錄授權(quán)后才能為網(wǎng)絡(luò)中的計(jì)算機(jī)提供IP地址分配服務(wù)。如果沒有經(jīng)過活動目錄授權(quán)，則不進(jìn)行初始化并停止提供DHCP服務(wù)。授權(quán)DHCP服務(wù)器的方法：管理工具-DHCP-管理授權(quán)的服務(wù)器5、創(chuàng)建并激活DHCP作用域 作用域:一個合法的IP地址范圍，用于將IP地址租用給客戶機(jī)。 利用 “配置您的服務(wù)器向?qū)А卑惭bDHCP的過程中可以根據(jù)提示創(chuàng)建作用域，并能正常提供服務(wù)。 利用“添加刪除應(yīng)用程序”安裝DHCP，必須通過“新作用域”向?qū)?chuàng)建作用域之后才能提供服務(wù)。 配置作用域參數(shù) 激活作用域：激活前要配置好所用的選項(xiàng)。三、IIS服務(wù)器的配置與管理 2、Windows Server 2003中的IIS 6.0提供的服務(wù)：1. 萬維網(wǎng)發(fā)布服務(wù) 通過將客戶端HTTP請求連接到在IIS中運(yùn)行的網(wǎng)站上，向IIS最終用戶提供Web發(fā)布。支持超文本傳輸協(xié)議2. 文件傳輸協(xié)議服務(wù)（FTP服務(wù)） 提供對管理和處理文件的完全支持。該服務(wù)使用傳輸控制協(xié)議（TCP），確保了文件傳輸?shù)耐瓿珊蛿?shù)據(jù)傳輸?shù)臏?zhǔn)確。支持文件傳輸協(xié)議（FTP）。3. 簡單郵件傳輸協(xié)議服務(wù)（SMTP服務(wù)） 允許基于WEB的應(yīng)用程序傳送和接收郵件。支持簡單郵件傳輸協(xié)議（SMTP）。4. 網(wǎng)絡(luò)新聞傳輸協(xié)議服務(wù)（NNTP服務(wù)） 可以使用網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP）服務(wù)主控單個計(jì)算機(jī)上的NNTP本地討論組。5. 管理服務(wù) 該項(xiàng)功能管理IIS配置數(shù)據(jù)庫，并為WWW服務(wù)、FTP服務(wù)、SMTP服務(wù)和NNTP服務(wù)更新Microsoft Windows操作系統(tǒng)注冊表。3、安裝IIS Windows Server 2003默認(rèn)并不安裝IIS，需要自行安裝。安裝注意事項(xiàng)：1、IIS計(jì)算機(jī)的IP地址最好使用靜態(tài)1) 如果要用戶使用域名來連接此網(wǎng)站，則需要在網(wǎng)絡(luò)中配置一臺DNS服務(wù)器，并且要將該網(wǎng)站的域名和IP地址注冊到DNS服務(wù)器中2) 網(wǎng)頁最好存儲在NTFS分區(qū)內(nèi)，以便通過NTFS權(quán)限增加網(wǎng)站的安全性方法一、配置您的服務(wù)器向?qū)?應(yīng)用程序服務(wù)器選項(xiàng)卡上都選擇上依次選擇“下一步”-完成方法二、windows組件向?qū)?yīng)用程序服務(wù)器-確定第二章 windows server 2003 的安全一、 windows server 2003 安全性簡介1.1 2003安全措施概述在 Windows Server 2003 環(huán)境中規(guī)劃基本的域結(jié)構(gòu)說明了如何構(gòu)建基準(zhǔn)域環(huán)境，以提供確保 Windows Server 2003 基礎(chǔ)結(jié)構(gòu)安全性的指南。介紹了域級別的安全設(shè)置和對策，同時還包括 Microsoft Active Directory 服務(wù)設(shè)計(jì)、組織單位 (OU) 設(shè)計(jì)和域策略的高級說明。然后，從確保域環(huán)境安全方面說明了本模塊中涉及的舊客戶端環(huán)境、企業(yè)客戶端環(huán)境和高安全級環(huán)境。這提供了一個發(fā)展思路，指導(dǎo)組織在適合每個環(huán)境的域基礎(chǔ)結(jié)構(gòu)內(nèi)構(gòu)造一個更安全的環(huán)境。創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)說明了定義的三個環(huán)境所包括的服務(wù)器角色的安全模板設(shè)置和其他安全措施。主要介紹了如何建立成員服務(wù)器基準(zhǔn)策略（MSBP），以實(shí)現(xiàn)指南中稍后討論的服務(wù)器角色強(qiáng)化建議 。本模塊中選擇的建議可以推薦的 Windows Server 2003 系統(tǒng)設(shè)置配置，這些配置既適合于現(xiàn)有系統(tǒng)，也適合于新建系統(tǒng)。Windows Server 2003 系統(tǒng)中默認(rèn)的安全配置已經(jīng)經(jīng)過了檢查與測試。與默認(rèn)操作系統(tǒng)設(shè)置相比，本模塊中提供的建議可以提供更好的安全性。在某些情況下，為提供對舊客戶端的支持，建議使用的設(shè)置配置沒有 Windows Server 2003 的默認(rèn)安裝中提供的設(shè)置嚴(yán)格。強(qiáng)化 Windows Server 2003 域控制器在任何包括運(yùn)行 Windows Server 2003 的計(jì)算機(jī)的 Active Directory 環(huán)境中，域控制器服務(wù)器都是需要確保其安全性的最重要角色之一。域控制器的任何損失或破壞都將破壞依賴域控制器進(jìn)行身份驗(yàn)證、組策略和中央輕型目錄訪問協(xié)議 (LDAP) 目錄的客戶端、服務(wù)器和應(yīng)用程序。本模塊概述了始終將域控制器服務(wù)器存儲在僅限定的管理人員可以訪問的安全的物理地點(diǎn)的重要性。此外，本模塊還說明了將域控制器存儲于不安全位置（如分支辦公室）的危險性并重點(diǎn)解釋了建議的域控制器組策略涉及的安全考慮。強(qiáng)化 Windows Server 2003 基礎(chǔ)結(jié)構(gòu)服務(wù)器，基礎(chǔ)結(jié)構(gòu)服務(wù)器角色被定義為一個動態(tài)主機(jī)控制協(xié)議 (DHCP) 服務(wù)器或者 Windows Internet 名稱服務(wù) (WINS) 服務(wù)器。此外，本模塊還詳細(xì)說明了在您的環(huán)境中基礎(chǔ)結(jié)構(gòu)服務(wù)器可以受益于成員服務(wù)器基準(zhǔn)策略沒有應(yīng)用的安全設(shè)置的領(lǐng)域。強(qiáng)化 Windows Server 2003 文件服務(wù)器文件服務(wù)器中的最基本服務(wù)需要與 Windows 網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) （NetBIOS） 相關(guān)的協(xié)議。服務(wù)器消息塊 (SMB) 和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以向未進(jìn)行身份驗(yàn)證的用戶提供豐富的信息，但是，在高安全性 Windows 環(huán)境中通常建議禁用這些協(xié)議。此外，本模塊還詳細(xì)描述了在哪些方面，用戶環(huán)境中的文件服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。強(qiáng)化 Windows Server 2003 打印服務(wù)器打印服務(wù)器中的最基本服務(wù)需要與 Windows NetBIOS 相關(guān)的協(xié)議。服務(wù)器消息塊 (SMB) 和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以向未進(jìn)行身份驗(yàn)證的用戶提供豐富的信息，但是，在高安全性 Windows 環(huán)境中通常建議禁用這些協(xié)議。此外，本模塊還詳細(xì)描述了在哪些方面，打印服務(wù)器的安全設(shè)置可以通過非 MSBP 的方式得以優(yōu)化。強(qiáng)化 Windows Server 2003 IIS 服務(wù)器網(wǎng)站和應(yīng)用程序的總體安全性依賴于整個 IIS 服務(wù)器（包括在 IIS 服務(wù)器上運(yùn)行的各網(wǎng)站和應(yīng)用程序）以避免來自環(huán)境中客戶機(jī)的威脅。網(wǎng)站和應(yīng)用程序還須防范來自同一 IIS 服務(wù)器上其他網(wǎng)站和應(yīng)用程序的威脅。本模塊中詳細(xì)地說明了確保環(huán)境中的 IIS 服務(wù)器相互隔離的操作。在默認(rèn)情況下，IIS 沒有安裝在 Windows 服務(wù)器系統(tǒng)家族的成員上。在初始安裝 IIS 時，以高安全級別的“鎖定”模式進(jìn)行安裝。例如，默認(rèn)情況下，IIS 僅提供靜態(tài)內(nèi)容服務(wù)。其他功能（如 Asp、Asp.NET、服務(wù)器端包含、WebDAV 發(fā)布 和 Microsoft FrontPage Server Extensions）必須由管理員通過 Internet 信息服務(wù)管理器 (IIS Manager) 中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)才能啟用。1.2 主要特色安全技術(shù)各個部分對為增強(qiáng)環(huán)境中 IIS 服務(wù)器安全性實(shí)施的各種安全強(qiáng)化設(shè)置進(jìn)行了詳細(xì)的說明。我們還強(qiáng)調(diào)安全監(jiān)控、檢測和響應(yīng)的重要性以確保服務(wù)器保持安全。強(qiáng)化 Windows Server 2003 IAS 服務(wù)器用于驗(yàn)證遠(yuǎn)程登錄用戶的身份）。本模塊詳細(xì)說明了在哪些方面，用戶環(huán)境中的 ISA 服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。強(qiáng)化 Windows Server 2003 證書服務(wù)器證書服務(wù)提供了在服務(wù)器環(huán)境中建立公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 所需的加密服務(wù)和證書管理服務(wù)。本模塊詳細(xì)描述了在哪些方面，用戶環(huán)境中的證書服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。強(qiáng)化 Windows Server 2003 堡壘主機(jī)客戶端可以從 Internet 訪問堡壘主機(jī)服務(wù)器。本模塊對這些對外開放的堡壘服務(wù)器所面臨的大量網(wǎng)絡(luò)攻擊進(jìn)行了說明，在許多情況下，攻擊者完全可以根據(jù)自己的意愿實(shí)施匿名攻擊。多數(shù)組織不會將它們域基礎(chǔ)結(jié)構(gòu)擴(kuò)展到網(wǎng)絡(luò)中的對外開放部分。因此，本模塊適用于獨(dú)立計(jì)算機(jī)的安全性強(qiáng)化建議。此外，本模塊還詳細(xì)描述了在哪些方面，用戶環(huán)境中的堡壘主機(jī)可以受益于非 MSBP 策略的安全設(shè)置。二、Windows Server 2003 域控制器的安全特性2.1 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”用戶權(quán)限將確定哪些用戶和組可以通過網(wǎng)絡(luò)連接到此計(jì)算機(jī)。此用戶權(quán)限是許多網(wǎng)絡(luò)協(xié)議所必需的，這些協(xié)議包括基于服務(wù)器消息塊 (SMB) 的協(xié)議、網(wǎng)絡(luò)基本輸入輸出系統(tǒng) (NetBIOS)、通用 Internet 文件系統(tǒng) (CIFS)、超文本傳輸協(xié)議 (HTTP)和組件對象模型 (COM+)。雖然授予“Everyone”安全組的權(quán)限不再向 Windows Server 2003 中的匿名用戶授予訪問權(quán)，但是仍然可以通過“Everyone”安全組向來賓組和帳戶授予訪問權(quán)。出于此原因，本指南推薦在高安全性環(huán)境中從“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”用戶權(quán)限刪除“Everyone”安全組，以進(jìn)一步防止針對域來賓訪問權(quán)的攻擊。2.2 域中添加工作站“域中添加工作站”用戶權(quán)限允許用戶向特定域中添加計(jì)算機(jī)。為了使此權(quán)限生效，必須將它作為域的默認(rèn)域控制器策略的一部分分配給用戶。授予了此權(quán)限的用戶可以向域中最多添加 10 個工作站。授予了 Active Directory 中 OU 或計(jì)算機(jī)容器的“創(chuàng)建計(jì)算機(jī)對象”權(quán)限的用戶還可以將計(jì)算機(jī)加入域。授予了此權(quán)限的用戶可以向域中添加不限數(shù)量的計(jì)算機(jī)，無論他們是否已被分配“域中添加工作站”用戶權(quán)限。默認(rèn)情況下，“Authenticated Users”組中的所有用戶能夠向 Active Directory 域中最多添加 10 個計(jì)算機(jī)帳戶。這些新計(jì)算機(jī)帳戶是在計(jì)算機(jī)容器中創(chuàng)建的。在 Active Directory 域中，每個計(jì)算機(jī)帳戶是一個完整的安全主體，它能夠?qū)τ蛸Y源進(jìn)行身份驗(yàn)證和訪問。一些組織想限制 Active Directory 環(huán)境中的計(jì)算機(jī)數(shù)量，以便他們可以始終跟蹤、生成和管理它們。允許用戶向域中添加工作站會妨礙此努力。它還為用戶提供了執(zhí)行更難跟蹤的活動的途徑，因?yàn)樗麄兛梢詣?chuàng)建其他未授權(quán)的域計(jì)算機(jī)。出于這些原因，在本指南中定義的三種環(huán)境中，“域中添加工作站”用戶權(quán)限只授予給“Administrators”組。允許本地登錄通過“允許本地登錄”用戶權(quán)限，用戶可以在計(jì)算機(jī)上啟動一個交互式會話。如果不具有此權(quán)限的用戶具有“通過終端服務(wù)允許登錄”權(quán)限，則其仍然可以在計(jì)算機(jī)上啟動一個遠(yuǎn)程交互式會話。如果對某種環(huán)境中可以使用哪些帳戶登錄到域控制器控制臺進(jìn)行限制，將有助于阻止未經(jīng)授權(quán)的用戶訪問域控制器文件系統(tǒng)和系統(tǒng)服務(wù)?？梢缘卿浀接蚩刂破骺刂婆_的用戶可能會惡意利用此系統(tǒng)，并且可能威脅整個域或林的安全。默認(rèn)情況下，向“Account Operators”、“Backup Operators”、“Print Operators”和“Server Operators” 組授予了從本地登錄到域控制器的權(quán)限。這些組中的用戶將不必登錄到域控制器來執(zhí)行其管理任務(wù)。這些組中的用戶可從其他工作站正常執(zhí)行其任務(wù)。只有“Administrators”組中的用戶應(yīng)該對域控制器執(zhí)行維護(hù)任務(wù)。只向“Administrators”組授予此權(quán)限將域控制器的物理和交互式訪問權(quán)限僅限制在高度信任用戶，因此增強(qiáng)了安全性。出于此原因，在本指南中定義的三種環(huán)境中，“域中添加工作站”用戶權(quán)限只授予給“Administrators”組。通過終端服務(wù)允許登錄通過“通過終端服務(wù)允許登錄”用戶權(quán)限，用戶可以使用遠(yuǎn)程桌面連接登錄到計(jì)算機(jī)。如果通過終端服務(wù)對可使用哪些帳戶登錄到域控制器控制臺進(jìn)行限制，將有助于阻止未經(jīng)授權(quán)的用戶訪問域控制器文件系統(tǒng)和系統(tǒng)服務(wù)。通過終端服務(wù)可以登錄到域控制器控制臺的用戶可能利用此系統(tǒng)，并且可能威脅整個域或林的安全。只向“Administrators”組授予此權(quán)限將域控制器的交互式訪問權(quán)僅限制在高度信任用戶，因此增強(qiáng)了安全性。出于此原因，在本指南中定義的三種環(huán)境中，“域中添加工作站”用戶權(quán)限只授予給“Administrators”組。默認(rèn)情況下，雖然通過終端服務(wù)登錄到域控制器需要管理權(quán)限，但是配置此用戶權(quán)限將有助于防止可能危及此限制的無意或惡意操作。作為進(jìn)一步安全措施，DCBP 將拒絕默認(rèn)的“Administrator”帳戶通過終端服務(wù)登錄域控制器的權(quán)限。此設(shè)置也將阻止惡意用戶試圖使用默認(rèn)的“Administrator”帳戶從遠(yuǎn)程闖入域控制器。有關(guān)此設(shè)置的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。更改系統(tǒng)時間通過“更改系統(tǒng)時間”用戶權(quán)限，用戶可以調(diào)整計(jì)算機(jī)內(nèi)部時鐘的時間。更改系統(tǒng)時間的時區(qū)或其他顯示特征不需要此權(quán)限。同步系統(tǒng)時間對于 Active Directory 的操作是關(guān)鍵的。Kerberos v5 身份驗(yàn)證協(xié)議所使用的正確的 Active Directory 復(fù)制和身份驗(yàn)證票證生成過程均依賴于在任何環(huán)境中同步的時間。如果使用某系統(tǒng)時間配置的域控制器與此環(huán)境中其他域控制器的系統(tǒng)時間不同步，此域控制器可能妨礙域服務(wù)操作。只有管理員可以修改系統(tǒng)時間，這將使使用錯誤系統(tǒng)時間配置域控制器的可能性減至最低。默認(rèn)情況下，向“Server Operators”組授予了修改域控制器系統(tǒng)時間的權(quán)限。由于此組成員錯誤修改域控制器系統(tǒng)時間可能導(dǎo)致的影響，所以在 DCBP 中配置此用戶權(quán)限，以便只有“Administrators”組能夠在本指南定義三種環(huán)境的任何一種中更改系統(tǒng)時間。三丶 Windows Server 2003幾種服務(wù)器安全特性3.1 IIS 服務(wù)器安全特性概述為了在抵制惡意用戶和攻擊者的過程中占據(jù)主動，默認(rèn)情況下，IIS 不安裝在 Windows Server 2003 系列產(chǎn)品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如，默認(rèn)情況下，IIS 最初僅提供靜態(tài)內(nèi)容。諸如 Active Server Pages (Asp)、Asp.NET、服務(wù)器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發(fā)布及 Microsoft FrontPage Server Extensions 等功能僅在管理員啟用它們后才起作用?？梢酝ㄟ^ Internet 信息服務(wù)管理器（IIS 管理器）中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)啟用這些功能和服務(wù)。審核策略設(shè)置在本指南定義的三種環(huán)境下，IIS 服務(wù)器的審核策略設(shè)置通過 MSBP 來配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置可確保所有相關(guān)的安全審核信息都記錄在所有的 IIS 服務(wù)器上。用戶權(quán)限分配本指南中定義的三種環(huán)境中的 IIS 服務(wù)器的大多數(shù)用戶權(quán)限分配都是通過 MSBP 配置的。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。在下一節(jié)中闡述 MSBP 與 Incremental IIS Group Policy（增量式 IIS 組策略）之間的差別。拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)注意：安全模板中不包含匿名登錄、內(nèi)置管理員帳戶、Support_388945a0、Guest 和所有非操作系統(tǒng)服務(wù)帳戶。對于組織中的每個域，這些帳戶和組擁有唯一的安全標(biāo)識 (SID)。因此，必須手動添加它們。“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”決定了哪些用戶不能通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。這些設(shè)置將拒絕大量的網(wǎng)絡(luò)協(xié)議，包括服務(wù)器消息塊 (SMB) 協(xié)議、網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS)、通用 Internet 文件系統(tǒng) (CIFS)、超文本傳輸協(xié)議 (HTTP) 和組件對象模型 (COM+)。當(dāng)用戶帳戶同時適用兩種策略時，該設(shè)置將覆蓋“允許通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置。通過給其它組配置該用戶權(quán)限，您可以限制用戶在您的環(huán)境中執(zhí)行委托管理任務(wù)的能力。在模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)中，本指南建議將 Guests 組包含在被分配了該權(quán)限的用戶和組列表中，以提供最大可能的安全性。但是，用于匿名訪問 IIS 的 IUSR 帳戶被默認(rèn)為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時可配置對 IIS 服務(wù)器的匿名訪問。因此，在本指南所定義的全部三種環(huán)境下，我們針對 IIS 服務(wù)器將“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置配置為包括：匿名登錄、內(nèi)置管理員、Support_388945a0、Guest 以及所有非操作系統(tǒng)服務(wù)帳戶。安全選項(xiàng)在本指南所的定義的三種環(huán)境中，IIS 服務(wù)器的安全選項(xiàng)通過 MSBP 來配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP設(shè)置確保了在企業(yè)IIS服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。事件日志設(shè)置在本指南中定義的三種環(huán)境中，IIS 服務(wù)器的事件日志設(shè)置通過 MSBP 來配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保了在企業(yè) IIS 服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。3.2證書服務(wù)服務(wù)器安全特性必須在所在環(huán)境中的一些證書服務(wù)服務(wù)器上安裝 Microsoft Internet 信息服務(wù) (IIS)，以便分發(fā)證書頒發(fā)機(jī)構(gòu) (CA) 證書和證書吊銷列表 (CRL)。還將 IIS 用于托管證書服務(wù)服務(wù)器的 Web 登記頁面，此頁面允許非基于 Microsoft Windows 操作系統(tǒng)的客戶進(jìn)行證書登記。了解這些程序?qū)⒂兄谀踩匕惭b IIS，這些內(nèi)容已經(jīng)在模塊強(qiáng)化 Windows Server 2003 IIS 服務(wù)器中討論過了，它們是使用本模塊所提供信息的先決條件。此外，如果在 CA 上安裝了 IIS，那么在按照規(guī)定對本模塊所介紹的服務(wù)器角色設(shè)置進(jìn)行配置之前，必須將為強(qiáng)化 Windows Server 2003 IIS 服務(wù)器開發(fā)的安全配置模板應(yīng)用于證書服務(wù)服務(wù)器。注意：在經(jīng)過簡化的環(huán)境中，發(fā)布的 CA 服務(wù)器可用做 Web 服務(wù)器主機(jī)、CA 證書主機(jī)和充當(dāng) CRL 下載點(diǎn)。但是，還應(yīng)該考慮在您自己的環(huán)境中使用一臺單獨(dú)的 Web 服務(wù)器，以提高 CA 的安全性。將 IIS 用于托管證書服務(wù)的登記頁面，以及為非 Windows 客戶發(fā)布 CA 證書和 CRL 下載點(diǎn)。Microsoft 建議您不要在根證書頒發(fā)機(jī)構(gòu) (CA) 服務(wù)器上安裝 IIS。如果可能，還應(yīng)該避免在環(huán)境中的頒發(fā) CA 和任何中間 CA 上運(yùn)行 IIS。在其他服務(wù)器上為 CA 證書和 CRL 創(chuàng)建 Web 下載點(diǎn)比在 CA 服務(wù)器上創(chuàng)建下載點(diǎn)要安全得多。可能有許多使用證書的用戶（內(nèi)部的和外部的）需要檢索 CRL 或 CA 鏈信息，沒有必要授予他們訪問 CA 的權(quán)限。如果只在 CA 上托管下載點(diǎn)，則此限制措施是很難實(shí)行的。注意：為證書服務(wù)服務(wù)器角色指定的設(shè)置只在企業(yè)客戶端環(huán)境下進(jìn)行了測試。因此，為大多數(shù)其他服務(wù)器角色所指定的 IPSec 過濾器和拒絕服務(wù) (DoS) 信息沒有包括在本指南中。 審核策略設(shè)置在本指南所定義的企業(yè)客戶端環(huán)境下，證書服務(wù)服務(wù)器的審核策略設(shè)置都通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保了在全部證書服務(wù)服務(wù)器上記錄所有相關(guān)的安全審核信息。用戶權(quán)限分配 在本指南所定義的企業(yè)客戶端環(huán)境下，證書服務(wù)服務(wù)器的用戶權(quán)限分配也是通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保了可以在整個企業(yè)中為證書服務(wù)服務(wù)器的訪問權(quán)限實(shí)現(xiàn)統(tǒng)一配置。安全選項(xiàng)可使用組策略的“安全選項(xiàng)”部分啟用或禁用計(jì)算機(jī)的安全設(shè)置，如數(shù)據(jù)的數(shù)字簽名、管理員和來賓帳戶名、軟盤驅(qū)動器和 CD-ROM 驅(qū)動器訪問、驅(qū)動器安裝行為和登錄提示。“安全選項(xiàng)”設(shè)置可在 Windows Server 2003 的“組策略對象編輯器”中如下位置進(jìn)行配置：無論何時，只要有人登錄到服務(wù)器上的本地控制臺，那些通過網(wǎng)絡(luò)連接到證書服務(wù)服務(wù)器的用戶將不能使用服務(wù)器上的任何 CD-ROM 驅(qū)動器。不建議在系統(tǒng)上啟用此設(shè)置，以將服務(wù)器用作網(wǎng)絡(luò)用戶的 CD 點(diǎn)唱機(jī)。然而，啟用此設(shè)置將會阻止攻擊者從服務(wù)器的 CD-ROM 驅(qū)動器上運(yùn)行惡意程序。在一個 CA 上，管理員可以使用 CD-ROM 驅(qū)動器從服務(wù)器上復(fù)制敏感的重要數(shù)據(jù)，或?qū)?shù)據(jù)復(fù)制到服務(wù)器上 此設(shè)置會阻止除本地登錄的管理員以外的任何人訪問敏感數(shù)據(jù)。因此，在本指南所定義的企業(yè)客戶端環(huán)境中，將此設(shè)置配置為“禁用”。啟用該設(shè)置可以確保您所在環(huán)境中的計(jì)算機(jī)履行此服務(wù)器功能，它為實(shí)現(xiàn)數(shù)字加密、哈希和簽名而使用了最強(qiáng)大的算法。這樣，就減小了未經(jīng)授權(quán)的用戶威脅數(shù)字加密或簽名數(shù)據(jù)的風(fēng)險。因此，在本指南所定義的企業(yè)客戶端環(huán)境中，將此設(shè)置配置為“啟用”。注意：啟用此設(shè)置的客戶端將無法通過數(shù)字加密或者數(shù)字簽名協(xié)議與那些不支持這些算法的服務(wù)器進(jìn)行通訊。不支持這些算法的網(wǎng)絡(luò)客戶還將無法使用需要加密網(wǎng)絡(luò)通訊的服務(wù)器。例如，就無法將許多基于 Apache 的 Web 服務(wù)器配置為支持 TLS。如果您啟用了該設(shè)置，您還需要對 Internet Explorer 進(jìn)行配置，才能使用 TLS，從 Internet Explorer 上的“工具”菜單中打開“Internet 選項(xiàng)”對話框。在“Internet 選項(xiàng)”對話框中單擊“高級”選項(xiàng)卡，向下滾動至“設(shè)置”列表底部，然后單擊“使用 TLS 1.0”復(fù)選框。您還可以通過組策略或使用 Internet Explorer 管理員工具包對此進(jìn)行配置。事件日志設(shè)置 在本指南所定義的企業(yè)客戶端環(huán)境中，證書服務(wù)服務(wù)器的“事件日志”設(shè)置也可以通過 MSBP 進(jìn)行配置。有關(guān) MSBP 的詳細(xì)信息，請參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。系統(tǒng)服務(wù) 任何服務(wù)或應(yīng)用程序都是一個潛在的攻擊點(diǎn)，因此，應(yīng)該禁用或刪除所有不需要的服務(wù)或可執(zhí)行文件。在 MSBP 中，這些可選的服務(wù)以及所有其他不必要的服務(wù)都禁用。在運(yùn)行 Windows Server 2003 的證書服務(wù)服務(wù)器上，經(jīng)常還有其他一些服務(wù)被啟用，但是，這些