信息安全原理與實(shí)踐教程第章2

第4章系統(tǒng)安全防御配置

4.1概述

4.2IIS的基本配置實(shí)驗(yàn)

4.3IIS的訪問限制配置實(shí)驗(yàn)

4.4基于SSL的安全證書服務(wù)實(shí)驗(yàn)4.5Windows基本安全評估MBSA的使用

4.6小結(jié)

4.1概述

操作系統(tǒng)安全是走好網(wǎng)絡(luò)安全之路的第一步。從安全的角度來說，各種操作系統(tǒng)都或多或少地存在漏洞，有的漏洞可能還沒有被發(fā)現(xiàn)。這些沒被發(fā)現(xiàn)的漏洞嚴(yán)重地威脅著用戶的安全，但是它們又可以通過自身修復(fù)系統(tǒng)來減小危害。IIS(InternetInformationServer，互聯(lián)網(wǎng)信息服務(wù))是一種Web(網(wǎng)頁)服務(wù)組件，其中包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器，分別用于網(wǎng)頁瀏覽、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面，它使得在網(wǎng)絡(luò)(包括互聯(lián)網(wǎng)和局域網(wǎng))中發(fā)布信息成了一件很容易的事。IIS內(nèi)置在Windows2000、WindowsXPProfessional和WindowsServer2003中一起發(fā)行，但在普遍使用的WindowsXPHome版本上并沒有IIS，需要重新安裝和運(yùn)行。作為Microsoft戰(zhàn)略技術(shù)保護(hù)計(jì)劃(StrategicTechnologyProtectionProgram)的一部分，并為了直接滿足用戶對于可識別安全方面的常見配置錯(cuò)誤的簡便方法的需求，Microsoft開發(fā)了Microsoft基準(zhǔn)安全分析器(MBSA)。4.2IIS的基本配置實(shí)驗(yàn)在進(jìn)行IIS服務(wù)安全配置之前，首先要安裝IIS并運(yùn)行，然后建立自己的Web服務(wù)器，最后對相關(guān)安全進(jìn)行必要的配置。

1.實(shí)驗(yàn)?zāi)康牧私釯IS的作用；掌握IIS的添加和運(yùn)行，并能夠配置IIS之Web服務(wù)器。

2.實(shí)驗(yàn)環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)；系統(tǒng)安裝盤一張。

3.實(shí)驗(yàn)內(nèi)容1)?IIS的添加和運(yùn)行(1)進(jìn)入“控制面板”，依次選擇“添加/刪除程序→添加/刪除Windows組件”，將“Internet信息服務(wù)(IIS)”前的“√”去掉(如有)，重新勾選后按提示操作即可完成IIS組件的添加，如圖4.1所示。用這種方法添加的IIS組件中包括Web、FTP、NNTP和SMTP等全部四項(xiàng)服務(wù)。

圖4.1IIS的添加(2)當(dāng)IIS添加成功之后，再進(jìn)入“開始→程序→管理工具→Internet服務(wù)管理器”，以打開IIS管理器，對于有“已停止”字樣的服務(wù)，均在其上單擊鼠標(biāo)右鍵，選擇“啟動(dòng)”選項(xiàng)來開啟。2)建立第一個(gè)Web站點(diǎn)本機(jī)的IP地址為，自己的網(wǎng)頁放在“D：\MyWeb”目錄下，網(wǎng)頁的首頁文件名為Index.htm，現(xiàn)在想根據(jù)這些條件建立自己的Web服務(wù)器。對于此Web站點(diǎn)，我們可以用現(xiàn)有的“默認(rèn)Web站點(diǎn)”做相應(yīng)的修改后，就可以輕松實(shí)現(xiàn)。(1)輸入IP地址。打開IIS服務(wù)，在“默認(rèn)Web站點(diǎn)”選項(xiàng)上單擊右鍵，選擇“屬性”選項(xiàng)。在“默認(rèn)網(wǎng)站屬性”設(shè)置界面中，選擇“網(wǎng)站”窗口，在“IP地址”對話框中輸入本機(jī)IP地址“”，如圖4.2所示。圖4.2輸入網(wǎng)站IP地址(2)修修改改主主目目錄錄。。轉(zhuǎn)轉(zhuǎn)到到““主主目目錄錄””窗窗口口，，再再在在““本本地地路路徑徑””文文本本框框中中輸輸入入(或或單單擊擊【【瀏瀏覽覽】】按按鈕鈕選選擇擇)自自己己網(wǎng)網(wǎng)頁頁所所在在的的目目錄錄““D：：\MyWeb””，，如如圖圖4.3所所示示。。圖4.3輸輸入入主主目目錄錄(3)添添加加首首頁頁文文件件名名。。轉(zhuǎn)轉(zhuǎn)到到““文文檔檔””窗窗口口，，再再點(diǎn)點(diǎn)擊擊【【添添加加】】按按鈕鈕，，根根據(jù)據(jù)提提示示在在““默默認(rèn)認(rèn)文文檔檔名名””后后輸輸入入自自己己網(wǎng)網(wǎng)頁頁的的首首頁頁文文件件名名““Index.htm””，，如如圖圖4.4所所示示。。圖4.4添添加加默默認(rèn)認(rèn)文文檔檔(4)效效果果的的測測試試。。打打開開IE瀏瀏覽覽器器，，在在地地址址欄欄輸輸入入““””之之后后再再按按【【回回車車】】鍵鍵，，此此時(shí)時(shí)就就能能夠夠調(diào)調(diào)出出你你自自己己網(wǎng)網(wǎng)頁頁的的首首頁頁，，則則說說明明設(shè)設(shè)置置成成功功。。4.3IIS的的訪訪問問限限制制配配置置實(shí)實(shí)驗(yàn)驗(yàn)IIS作作為為當(dāng)當(dāng)今今流流行行的的Web服服務(wù)務(wù)器器之之一一，，提提供供了了強(qiáng)強(qiáng)大大的的Internet和和Intranet服服務(wù)務(wù)功功能能。。如如何何加加強(qiáng)強(qiáng)IIS的的安安全全機(jī)機(jī)制制，，建建立立一一個(gè)個(gè)高高安安全全性性能能的的Web服服務(wù)務(wù)器器，，已已成成為為IIS設(shè)設(shè)置置中中不不可可忽忽視視的的重重要要組組成成部部分分。。IIS設(shè)設(shè)置置包包括括操操作作員員設(shè)設(shè)置置、、目目錄錄安安全全性性設(shè)設(shè)置置等等。。1.實(shí)實(shí)驗(yàn)驗(yàn)?zāi)磕康牡牧私饨釽indows下下IIS服服務(wù)務(wù)的的安安全全體體系系；；掌掌握握IIS服服務(wù)務(wù)安安全全配配置置的的方方法法。。2.實(shí)實(shí)驗(yàn)驗(yàn)環(huán)環(huán)境境基于于WindowsXP或或Windows2003等等的的操操作作系系統(tǒng)統(tǒng)，，需需要要安安裝裝有有IIS。。3.實(shí)實(shí)驗(yàn)驗(yàn)內(nèi)內(nèi)容容在本本實(shí)實(shí)驗(yàn)驗(yàn)中中，，需需要要對對網(wǎng)網(wǎng)站站進(jìn)進(jìn)行行IIS安安全全配配置置。。站點(diǎn)點(diǎn)基基本本安安全全配配置置的的具具體體步步驟驟如如下下：：第1步步：：在在圖圖4.2所所示示““默默認(rèn)認(rèn)網(wǎng)網(wǎng)站站屬屬性性””對對話話框框中中，，點(diǎn)點(diǎn)擊擊日日志志記記錄錄中中的的【【屬屬性性】】按按鈕鈕，，打打開開““擴(kuò)擴(kuò)充充日日志志記記錄錄屬屬性性””對對話話框框，，選選中中““當(dāng)當(dāng)文文件件大大小小達(dá)達(dá)到到””選選項(xiàng)項(xiàng)，，輸輸入入““10””，，單單擊擊【【瀏瀏覽覽】】按按鈕鈕，，選選擇擇日日志志存存放放路路徑徑，，如如圖圖4.5所所示示。。圖4.5常常規(guī)規(guī)屬屬性性設(shè)設(shè)置置第2步：：單擊““擴(kuò)充的的屬性””命令，，勾選““發(fā)送字字節(jié)數(shù)””、“接接收字節(jié)節(jié)數(shù)”、、“所花花時(shí)間””選項(xiàng)，，單擊【【確定】】按鈕，，如圖4.6所所示。圖4.6設(shè)設(shè)置“擴(kuò)擴(kuò)充的屬屬性”第3步：：單擊圖圖4.2中的““操作員員”命令令，單擊擊【添加加】按鈕鈕，如圖圖4.7所示，，輸入要要添加的的Web站點(diǎn)操操作員，，然后點(diǎn)點(diǎn)擊【確確定】、、【應(yīng)用用】按鈕鈕。圖4.7添添加Web站點(diǎn)點(diǎn)操作員員第4步：：單擊圖圖4.2中的““目錄安安全性””命令，，單擊匿匿名訪問問和驗(yàn)證證控制中中的【編編輯】按按鈕，如如圖4.8所示示。去掉掉“匿名名訪問””的勾選選，單擊擊【確定定】按鈕鈕，如圖圖4.9所示。。圖4.8““目錄安安全性””主界面面圖4.9驗(yàn)驗(yàn)證方法法設(shè)置第5步：：在圖4.8中中，單擊擊“IP地址及及域名限限制”中中的【編編輯】按按鈕。彈彈出如圖圖4.10所示示對話框框，選中中“拒絕絕訪問””選項(xiàng)，，單擊【【添加】】按鈕。。圖4.10IP地地址及域域名控制制設(shè)置第6步：：在彈出出的“授授權(quán)以下下訪問””對話框框中選中中“一組組計(jì)算機(jī)機(jī)”選項(xiàng)項(xiàng)，在網(wǎng)網(wǎng)絡(luò)標(biāo)識識欄輸入入，在在子網(wǎng)掩掩碼欄輸輸入，，單擊【【確定】】按鈕，，如圖4.11所示。。這表示示只有這這一組主主機(jī)可以以訪問本本網(wǎng)站。。圖4.11輸輸入一一組計(jì)算算機(jī)IP地址第7步：：在圖4.7所所示窗口口中選中中“性能能”頁，，選中““限制網(wǎng)網(wǎng)站可以以使用的的網(wǎng)絡(luò)帶帶寬”選選項(xiàng)和““網(wǎng)站連連接”下下的“連連接限制制為”選選項(xiàng)，分分別輸入入1000和500，，表示網(wǎng)網(wǎng)站限制制最大帶帶寬為1000M/S，網(wǎng)網(wǎng)站連接接限制為為500，如圖圖4.12所示示。單擊擊【確定定】按鈕鈕，回到到主界面面。關(guān)于IIS的基基本安全全設(shè)置已已完成，，有興趣趣的讀者者可以嘗嘗試其他他設(shè)置。。圖4.12IIS性能設(shè)設(shè)置4.4基基于于SSL的安全全證書服服務(wù)實(shí)驗(yàn)驗(yàn)服務(wù)器證證書是服服務(wù)器的的一個(gè)電電子ID，服務(wù)務(wù)器可執(zhí)執(zhí)行兩個(gè)個(gè)重要的的功能來來確保通通信的安安全：為為用戶標(biāo)標(biāo)識自己己和加密密傳送到到這些用用戶的信信息。SSL加加密需要要一個(gè)服服務(wù)器證證書被綁綁定到網(wǎng)網(wǎng)站中，，該證書書包含有有密鑰，，在網(wǎng)站站和請求求安全信信息的用用戶間建建立一個(gè)個(gè)安全連連接時(shí)，，需要用用到這些些密鑰。?？蛻舳说牡淖C書和和服務(wù)端端的證書書是等價(jià)價(jià)的?？涂蛻糇C書書是一個(gè)個(gè)數(shù)字ID，該該ID用用來向Web服服務(wù)器標(biāo)標(biāo)識一個(gè)個(gè)客戶，，并且可可讓服務(wù)務(wù)器使用用客戶證證書映射射?？蛻魬糇C書映映射將一一個(gè)客戶戶的證書書映射為為一個(gè)Windows用戶帳帳號，并并且可以以自動(dòng)認(rèn)認(rèn)證和允允許帶有有這些證證書和正正確帳號號的用戶戶進(jìn)行訪訪問。SSL(SecuritySocketLayer)全稱稱是安全全套接字字協(xié)議層層，它位位于HTTP協(xié)協(xié)議層和和TCP協(xié)議層層之間，，用于建建立用戶戶與服務(wù)務(wù)器之間間的加密密通信，，確保所所傳遞信信息的安安全性，，同時(shí)SSL安安全機(jī)制制是依靠靠數(shù)字證證書來實(shí)實(shí)現(xiàn)的。。使用SSL安全全機(jī)制的的通信過過程如下下：用戶與IIS服服務(wù)器建建立連接接后，服服務(wù)器會(huì)會(huì)把數(shù)字字證書與與公共密密鑰發(fā)送送給用戶戶，用戶戶端生成成會(huì)話密密鑰，并并用公共共密鑰對對會(huì)話密密鑰進(jìn)行行加密，，然后傳傳遞給服服務(wù)器，，服務(wù)器器端用私私人密鑰鑰進(jìn)行解解密，這這樣用戶戶端和服服務(wù)器端端就建立立了一條條安全通通道，只只有SSL允許許的用戶戶才能與與IIS服務(wù)器器進(jìn)行通通信。SSL網(wǎng)網(wǎng)站不同同于一般般的Web站站點(diǎn)，它它使用的的是HTTPS協(xié)議，，而不是是普通的的HTTP協(xié)議議。因此此它的URL(統(tǒng)一資資源定位位器)格格式為““https://網(wǎng)網(wǎng)站域名名”。1.實(shí)實(shí)驗(yàn)?zāi)康牡睦斫鈹?shù)字字證書和和SSL通信的的原理和和過程，，學(xué)會(huì)使使用證書書安裝向向?qū)斫ń⑿伦C證書、安安裝證書書的全過過程。2.實(shí)實(shí)驗(yàn)環(huán)境境基于Windows2003等的的操作系系統(tǒng)，需需要安裝裝有IIS。3.實(shí)實(shí)驗(yàn)內(nèi)容容1)安安裝證書書服務(wù)第1步：：安裝證證書服務(wù)務(wù)之前，，要先安安裝IIS服務(wù)務(wù)，且保保證“ActiveServerPages”為允允許狀態(tài)態(tài)。依次次打開““開始””→“程程序”→→“管理理工具””→“計(jì)計(jì)算機(jī)管管理”，，再依次次打開““計(jì)算機(jī)機(jī)管理””中的““服務(wù)和和應(yīng)用程程序”→→“IIS管理理”→““Web服務(wù)擴(kuò)擴(kuò)展”，，如圖4.13所示。。“ActiveServerPages””為允許許狀態(tài)。。圖4.13設(shè)設(shè)置““ActiveServerPages”為為允許狀狀態(tài)第2步：：要使用用SSL安全全機(jī)制功功能，必必須要安安裝Windows2003系統(tǒng)統(tǒng)證書服服務(wù)。依依次打開開“開始始”→““控制面面板”→→“添加加/刪除除程序””→“添添加/刪刪除Windows組組件”，，在“Windows組件向向?qū)А钡牡摹敖M件件”欄選選中“證證書服務(wù)務(wù)”選項(xiàng)項(xiàng)，如圖圖4.14所示示。第3步：：點(diǎn)擊【【詳細(xì)信信息】按按鈕，可可以看到到，該服服務(wù)有兩兩個(gè)子選選項(xiàng)“證證書服務(wù)務(wù)CA””和“證證書服務(wù)務(wù)Web注冊支支持”。。為了方方便起見見，這兩兩個(gè)功能能都需要要安裝，，如圖4.15所示。。圖4.14安安裝證證書服務(wù)務(wù)圖4.15證證書服服務(wù)功能能第4步：：點(diǎn)擊【【確定】】按鈕之之后將返返回，再再單擊【【下一步步】按鈕鈕，會(huì)出出現(xiàn)“證證書頒發(fā)發(fā)機(jī)構(gòu)類類型”的的選擇，，這里務(wù)務(wù)必要選選擇“獨(dú)獨(dú)立根””，點(diǎn)擊擊【下一一步】按按鈕，如如圖4.16所所示。當(dāng)當(dāng)然，如如果在域域中的話話，請不不要繼續(xù)續(xù)閱讀，，因?yàn)檫@這時(shí)需要要?jiǎng)?chuàng)建的的是企業(yè)業(yè)根或者者企業(yè)從從屬根。。圖4.16選選擇““獨(dú)立根根”證書書頒發(fā)機(jī)機(jī)構(gòu)類型型第5步：：在彈出出的對話話框中輸輸入與證證書有關(guān)關(guān)的一些些信息。。這里，，在““此CA的公用用名稱””欄中輸輸入“cqcc”，如如圖4.17所所示，點(diǎn)點(diǎn)擊【下下一步】】按鈕繼繼續(xù)。圖4.17輸輸入證證書有關(guān)關(guān)信息第6步：：下面涉涉及服務(wù)務(wù)器證書書的目錄錄等與數(shù)數(shù)據(jù)庫和和日志有有關(guān)的內(nèi)內(nèi)容，這這里選擇擇默認(rèn)選選項(xiàng)，如如圖4.18所所示，點(diǎn)點(diǎn)擊【下下一步】】按鈕繼繼續(xù)。圖4.18證證書數(shù)數(shù)據(jù)庫設(shè)設(shè)置第7步：：在安裝裝過程會(huì)會(huì)提示放放入系統(tǒng)統(tǒng)安裝光光盤，選選擇之后后進(jìn)行安安裝。安安裝完畢畢后，在在“控制制面板””的“管管理工具具”中就就會(huì)多出出一個(gè)““證書頒頒發(fā)機(jī)構(gòu)構(gòu)”的圖圖標(biāo)，如如圖4.19所所示。圖4.19證證書頒頒發(fā)機(jī)構(gòu)構(gòu)安裝完完畢2)客客戶端證證書申請請第1步：：如圖4.20所示，，運(yùn)行InternetExplorer瀏覽覽器，在在地址欄欄中輸入入“http://localhost/certsrv/default.asp”，，出現(xiàn)證證書申請請頁面，，點(diǎn)擊““申請一一個(gè)證書書”選項(xiàng)項(xiàng)。圖4.20申申請一一個(gè)證書書第2步：：在“申申請一個(gè)個(gè)證書””欄中選選擇“Web瀏瀏覽器證證書”，，如圖4.21所示。。第3步：：填入相相關(guān)信息息，單擊擊【提交交】按鈕鈕，如圖圖4.22所示示。第4步：：系統(tǒng)將將處理所所提交的的申請，，此過程程可能要要等待10秒鐘鐘左右。。建議議最好記記下申請請ID，，如圖4.23所示。。圖4.21選選擇Web瀏瀏覽器證證書圖4.22輸輸入證證書有關(guān)關(guān)信息圖4.23證證書申申請完成成3)客客戶端證證書的頒頒發(fā)打開“管管理工具具”→““證書頒頒發(fā)機(jī)構(gòu)構(gòu)”，選選擇“掛掛起的申申請”選選項(xiàng)，找找到剛才才申請的的客戶端端證書。。右擊該該證書，，在彈出出的菜單單中選擇擇“頒發(fā)發(fā)”，那那么這個(gè)個(gè)證書就就會(huì)由““掛起的的申請””轉(zhuǎn)移到到“頒發(fā)發(fā)的證書書”狀態(tài)態(tài)，如圖圖4.24所示示。圖4.24證書書頒發(fā)4)客戶戶端證書的的下載及安安裝第1步：選選擇圖4.20中的的“查看掛掛起的證書書申請的狀狀態(tài)”選項(xiàng)項(xiàng)，找到自自己申請的的證書，點(diǎn)點(diǎn)擊“Web瀏覽器器證書”選選項(xiàng)，如圖圖4.25所示。圖4.25查看看掛起的證證書申請的的狀態(tài)第2步：在在如圖4.26所示示窗口中，，點(diǎn)擊“安安裝此證書書”選項(xiàng)，，在安裝過過程中選擇擇“是”，，則證書安安裝完畢。。圖4.26安裝裝此證書第3步：安安裝完成后后，依次點(diǎn)點(diǎn)擊瀏覽器器的“工具具”→“Internet選選項(xiàng)”→““內(nèi)容”→→“證書””，可以看看到剛剛安安裝好的證證書，如圖圖4.27所示。圖4.27查看看證書第4步：點(diǎn)點(diǎn)擊證書，，即可看到到證書內(nèi)容容，如圖4.28所所示。圖4.28證書書信息5)服務(wù)務(wù)器證書的的申請第1步：以以IIS的的默認(rèn)站為為例，先右右擊站點(diǎn)，，依次打開開“網(wǎng)站屬屬性”→““目錄安全全性”→““服務(wù)器證證書”，如如圖4.29所示。。圖4.29選擇擇服務(wù)器證證書第2步：按按照IIS證書向?qū)?dǎo)，一步步步提交服務(wù)務(wù)器證書申申請，具體體操作如圖圖4.30～圖4.37所示示。圖4.30新建建證書圖4.31準(zhǔn)備備證書請求求圖4.32輸入入證書名稱稱等圖4.33輸入入證書單位位信息圖4.34輸入入證書公用用名稱圖4.35輸入入頒發(fā)機(jī)構(gòu)構(gòu)信息圖4.36輸入入證書請求求的文件名名圖4.37生成成請求文件件6)服務(wù)務(wù)器證書的的頒發(fā)和導(dǎo)導(dǎo)出第1步：在在如圖4.38所示示窗口中，，右擊“證證書頒發(fā)機(jī)機(jī)構(gòu)”，選選擇“所有有任務(wù)”→→“提交一一個(gè)新的申申請”。圖4.38提交交申請第2步：在在“打開申申請文件””窗口中，，選擇剛才才生成的證證書請求文文件“c:\certreq.txt”，按提提示一步步步完成，如如圖4.39所示。。圖4.39選擇擇證書請求求文件第3步：頒頒發(fā)證書。。在掛起的的申請里，，可以看到到剛才的申申請(本例例ID為3)，右擊擊證書選擇擇“頒發(fā)””，則完成成了服務(wù)器器證書的頒頒發(fā)，如圖圖4.40所示。圖4.40頒發(fā)發(fā)服務(wù)器證證書第4步：導(dǎo)導(dǎo)出證書。。在“頒發(fā)發(fā)的證書””對話框中中，可以看看到多了個(gè)個(gè)證書，如如圖4.41所示。。右擊新頒頒發(fā)的服務(wù)務(wù)器證書，，選擇“打打開”選項(xiàng)項(xiàng)。圖4.41打開開服務(wù)器證證書第5步：在在打開的證證書中，切切換到“詳詳細(xì)信息””，單擊【【復(fù)制到文文件】按鈕鈕，則將該該證書導(dǎo)出出為cer文件，導(dǎo)導(dǎo)出過程如如圖4.42～圖4.46所所示。圖4.42證書書詳細(xì)信息息圖4.43證書書導(dǎo)出向?qū)?dǎo)圖4.44選擇擇證書導(dǎo)出出格式圖4.45指定定證書導(dǎo)出出的文件名名圖4.46證書書導(dǎo)出完成成7)IIS中服服務(wù)器證書書/SSL的設(shè)置第1步：點(diǎn)點(diǎn)擊圖4.29中的的【服務(wù)器器證書】按按鈕，在彈彈出的“IIS證書書向?qū)А敝兄?，選擇““處理掛起起的請求并并安裝證書書”選項(xiàng)，，如圖4.47所示示。根據(jù)證證書向?qū)В?，選擇剛才才導(dǎo)出的服服務(wù)器證書書文件“malong.cer”，點(diǎn)點(diǎn)擊【下一一步】按鈕鈕，直至完完成。圖4.47處理理掛起的請請求并安裝裝證書第2步：設(shè)設(shè)置SSL。有了服服務(wù)器證書書后，IIS的相關(guān)關(guān)站點(diǎn)可以以改用https://來訪訪問。依次次打開圖4.29中中的“目錄錄安全性””→“安全全通信”→→“編輯””，選中““要求安全全通道(SSL)””及“忽略略客戶端證證書”選項(xiàng)項(xiàng)，點(diǎn)擊【【確定】按按鈕，如圖圖4.48所示。圖4.48安全全通信設(shè)置置8)測試試證書安裝完完畢后，如如果我們再再訪問http://localhost/CertSrv/default.asp時(shí)會(huì)會(huì)提示如圖圖4.49所示的錯(cuò)錯(cuò)誤。要想想正常訪問問，則必須須把“http://”換成成“https://”來訪訪問，即輸輸入“https://localhost/CertSrv/default.asp””，訪問結(jié)結(jié)果如圖4.50所所示。圖4.49頁面面訪問錯(cuò)誤誤圖4.50安全全訪問網(wǎng)頁頁總之，基于于SSL的的安全證書書服務(wù)大致致要經(jīng)過7個(gè)過程，，即安裝證證書服務(wù)、、客戶端證證書申請、、客戶端證證書的下載載及安裝、、客戶端證證書的頒發(fā)發(fā)、服務(wù)器器證書的申申請、服務(wù)務(wù)器證書的的頒發(fā)和導(dǎo)導(dǎo)出、IIS中服務(wù)務(wù)器證書/SSL的的設(shè)置。關(guān)關(guān)于證書服服務(wù)還有很很多內(nèi)容，，感興趣的的讀者可以以自己去嘗嘗試。4.5Windows基基本安全評評估MBSA的使用用Microsoft基準(zhǔn)安全全分析器(MicrosoftBaselineSecurityAnalyzer，MBSA)是微微軟公司整整個(gè)安全部部署方案中中的一種。。該工具允允許用戶掃掃描一臺或或多臺基于于Windows的的計(jì)算機(jī)，，檢查操作作系統(tǒng)和已已安裝的其其他組件(如IIS和SQLServer)，以發(fā)現(xiàn)現(xiàn)安全方面面的配置錯(cuò)錯(cuò)誤，并及及時(shí)通過推推薦的安全全更新進(jìn)行行修補(bǔ)。MBSA包包括可執(zhí)執(zhí)行本地或或遠(yuǎn)程Windows系系統(tǒng)掃描的的圖形和命命令行界面面。MBSA運(yùn)行在在Windows2000和WindowsXP系系統(tǒng)上，并并可以掃描描下列產(chǎn)品品，以發(fā)現(xiàn)現(xiàn)常見的系系統(tǒng)配置錯(cuò)錯(cuò)誤：WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003、InternetInformationServer(IIS)、SQLServer、InternetExplorer和Office。1.實(shí)驗(yàn)驗(yàn)?zāi)康牧私釳BSA的功能能；掌握MBSA的的使用，并并能通過MBSA掃掃描一臺或或多臺計(jì)算算機(jī)；發(fā)現(xiàn)現(xiàn)安全方面面的配置錯(cuò)錯(cuò)誤，并及及時(shí)通過推推薦的安全全更新進(jìn)行行修補(bǔ)。2.實(shí)驗(yàn)驗(yàn)環(huán)境基于WindowsXP或或Windows2003等的操作作系統(tǒng)，需需要安裝有有IIS，，下載并安安裝MBSA2.0.1。。3.實(shí)驗(yàn)驗(yàn)內(nèi)容第1步：下下載并安裝裝MBSA2.0.1軟件件后，運(yùn)行行即打開如如圖4.51所示的的程序主界界面。在這這里可以選選擇是檢測測一臺計(jì)算算機(jī)，還是是檢測多臺臺計(jì)算機(jī)。。如果要檢檢測一臺計(jì)計(jì)算機(jī)(通通常是當(dāng)前前計(jì)算機(jī)，，但也可以以是網(wǎng)絡(luò)中中其他計(jì)算算機(jī))，則則單擊“Scanacomputer”鏈鏈接，打開開如圖4.52所示示對話框。。在“Computername””欄中默認(rèn)認(rèn)顯示的是是當(dāng)前計(jì)算算機(jī)名。用用戶也可以以更改，或或者在下面面的“IPaddress”欄中輸輸入要檢測測的其他計(jì)計(jì)算機(jī)IP地址。圖4.51MBSA2.0.1程程序主界面面圖4.52單臺臺計(jì)算機(jī)檢檢測的配置置界面第2步：在在對話框下下面有許多多復(fù)選框。。其中主要要涉及選擇擇要掃描檢檢測的項(xiàng)目目，包括Windows系統(tǒng)統(tǒng)本身、IIS和SQL等相相關(guān)選項(xiàng)，，也就是MBSA的的3大主要要功能。根根據(jù)所檢測測的計(jì)算機(jī)機(jī)系統(tǒng)中安安裝的程序序和實(shí)際需需求來選擇擇即可。第3步：輸輸入要檢測測的計(jì)算機(jī)機(jī)，并選擇擇好要檢測測的項(xiàng)目后后，單擊如如圖4.52所示界界面中的【【Satrtscan】按按鈕，程序序則自動(dòng)開開始檢測已已選擇的項(xiàng)項(xiàng)目。檢測測完成后會(huì)會(huì)形成一個(gè)個(gè)報(bào)告，如如圖4.53所示。。圖4.53MBSA的檢檢測結(jié)果報(bào)報(bào)告在報(bào)告中凡凡是檢測到到存在嚴(yán)重重安全隱患患的則以紅紅色的“××”顯示，，中等級別別的則以黃黃色的“××”顯示。。而且用戶戶還可以單單擊“Howtocorrectthis”鏈接接，得知該該如何配置置才能糾正正這些不正正當(dāng)?shù)脑O(shè)置置。當(dāng)然它它是直接打打開互聯(lián)網(wǎng)網(wǎng)站的網(wǎng)頁頁，而且目目前仍是英英文的。從從筆者檢測測的結(jié)果中中可以看出出，第1項(xiàng)項(xiàng)“LocalAccountPasswordTest”是嚴(yán)重重隱患，第第2項(xiàng)“AutomaticUpdates”是中等等級別的隱隱患，指系系統(tǒng)中的自自更新功能能沒有啟用用。第4步：如如果要同時(shí)時(shí)檢測多臺臺計(jì)算機(jī)上上的安全漏漏洞，則需需在如圖4.51所所示程序主主界面中單單擊【Scanmorethanonecomputer】按鈕鈕，打開如如圖4.54所示對對話框。在這里可以以指定要掃掃描檢測的的多部計(jì)算算機(jī)。所掃掃描的多臺臺計(jì)算機(jī)范范圍可以通通過在對話話框中的““Domainname””文本框中中輸入這些些計(jì)算機(jī)所所在域來確確定。這樣樣的話，則則可檢測相相應(yīng)域中所所有的計(jì)算算機(jī)，也可可以通過在在“IPaddressrange”欄中中輸入IP地址段中中的起始IP地址和和終止IP地址來確確定，這樣樣只檢測IP地址范范圍內(nèi)的計(jì)計(jì)算機(jī)，然然后單擊【【StartScan】按按鈕同樣可可開始檢測測。關(guān)于MBSA的功能能還有很多多，感興趣趣的讀者可可以自己試試一試。圖4.54檢測測多臺計(jì)算算機(jī)的配置置界面4.6小小結(jié)結(jié)操作系統(tǒng)安安全是走好好網(wǎng)絡(luò)安全全之路的第第一步。通通過學(xué)習(xí)IIS的基基本設(shè)置和和訪問控制制設(shè)置，可可以提高網(wǎng)網(wǎng)站的安全全系數(shù)；通通過創(chuàng)建服服務(wù)器證書書和客戶端端證書映射射，在網(wǎng)站站和請求安安全信息的的用戶間建建立了一個(gè)個(gè)安全連接接；MBSA也使用用我們能夠夠了解本計(jì)計(jì)算機(jī)和本本網(wǎng)絡(luò)的安安全漏洞，，并及時(shí)下下載相應(yīng)的的補(bǔ)丁進(jìn)行行更新。9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Wednesday,December28,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。20:28:2320:28:2320:2812/28/20228:28:23PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2220:28:2320:28Dec-2228-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:28:2320:28:2320:28Wednesday,December28,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2220:28:2320:28:23December28,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。28十二二月20228:28:23下下午20:28:2312月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:28下下午12月-2220:28December28,202216、行動(dòng)出成果果，工作出財(cái)財(cái)富。。2022/12/2820:28:2320:28:2328December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。8:28:23下下午8:28下下午午20:28:2312月月-229、沒有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。20:28:2320:28:2320:2812/28/20228:28:23PM11、成功就是是日復(fù)一日日那一點(diǎn)點(diǎn)點(diǎn)小小努力力的積累。。。12月-2220:28:2320:28Dec-2228-Dec-2212、世間成事事，