Windows 2003 server IIS的配置及加密与数字证书服务的实 现实验报告

最小的权限,请根据需要设置A.NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.B.进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改.其它目录删除Everyone用户，注意以下文件夹保留Everyone用户,C:\Documents and Settings 下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限,C:\WINDOWS\PCHealth、C:\windows\Installer 也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击.默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录.删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.C,打开C:\Windows 搜索(可以不做)net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exeregsvr32.exexcopy.exewscript.execscript.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限D.关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareServer”数据值为“0”禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareWks”数据值为“0”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

windows2003 web服务器配置目录1. Web服务器概述2. IIS简介3. IIS的安装4.常见问题Web服务器概述Web服务器又称为WWW服务器，它是放置一般网站的服务器。

一台Web服务器上可以建立多个网站，各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中，其它用户就可以用浏览器访问网站中的网页了。

我们配置Web服务器，就是在服务器上建立网站，并设置好相关的参数，至于网站中的网页应该由网站的维护人员制作并上传到服务器中，这个工作不属于配置服务器的工作。

IIS简介IIS（Internet信息服务器）是 Internet Information Server 的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、SMTP等服务器组件。

它只能用于Windows操作系统。

IIS集成在Windows 2000/2003 Server版中，在Windows 2000 Server中集成的是IIS 5.0，在Windows Server 2003中集成的是IIS 6.0。

IIS 6.0不能用于Windows 2000中。

Windows 9x/Me里也有IIS，但只是PWS（个人WEB服务器），功能很有限，只支持1个连接。

Windows XP里也能安装IIS5.0，但功能受到限制，只支持10个连接。

通常在Windows XP操作系统中安装IIS的目的是为了调试ASP等程序。

IIS的安装一般在安装操作系统时不默认安装IIS，所以在第一次配置Web服务器时需要安装IIS。

安装方法为：1、打开“控制面板”，打开“添加/删除程序”，弹出“添加/删除程序”窗口。

2、单击窗口中的“添加/删除Windows组件”图标，弹出“Windows组件向导”对话框。

图13、选中“向导”中的“应用程序服务器”复选框。

单击“详细信息”按钮，弹出“应用程序服务器”对话框。

图24、选择需要的组件，其中“Internet信息服务(IIS)”和“应用程序服务器控制台”是必须选中的。

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了，。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！format.exe大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

windowsserver2003WEB服务器IIS的安全配置摘要：针对目前windows server 2003Web服务器所存在的安全隐患，阐述了如何通过IIS 服务器组件的安全管理来提高IIS 的安全机制，建立一个高安全性的Web 服务器。

关键字：WEB 服务器IIS安全配置IIS即Internet Information Services互联网信息服务，通过使用超文本传输协议HTTP传输信息，它是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

有很多其他的服务器软件如Netscape的服务器、Apache for Win服务器等，但是IIS是Windows平台下最简单易用的服务器，IIS作为当今流行的Web服务器之一，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。

下面将通过以下几个方面来阐述加强IIS安全机制的方法一、IIS安全安装首先IIS需要安装在非系统分区上。

在默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患，原因是一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区，所以需要将IIS安装到其他分区，即便入侵者能绕过IIS的安全机制，也很难访问到系统分区；其次在安装时修改IIS的默认路径，IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，当然这些人中包括了入侵者，所以需要更改成其他路径；最后需要及时打好IIS的补丁，它就会成为一个比较安全的服务器平台，能为我们提供安全稳定的服务。

二、删除不需要的IIS组件IIS默认安装后有些不需要的多余的组件会造成安全威胁，需要从系统中删除，降低隐患。

比如Internet服务管理器(HTML)组件，它是基于Web 的IIS服务器管理页面，一般情况下不会通过Web进行管理，可以卸载它；SMTP Service 和NNTP Service组件，这两个组件是用来转发邮件和提供新闻组服务的，不需要这个功能可以删除；样本页面和脚本，这些样本可被用来从Internet上执行应用程序和浏览服务器，建议删除，三、删除IIS示例IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录里存放的是用来示范安装和应用该技术的示例应用程序，没有多少实际的作用，反而会让黑客利用存放的位置发动恶意攻击，所以可以直接删除。

windows2003服务---证书服务在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。

在Web站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。

那我们该如果避免呢？可利用SSL通信协议，在Web服务器上启用安全通道以实现高安全性。

试验拓扑在安装证书服务之前，我已经在服务器上建了WEB站点，并配置了DNS服务器。

一：安装证书服务·打开“控制面板”---“添加/删除windows组件”。

勾选“证书服务”复选框·企业根CA：需要AD服务，即计算机在活动目录中才可以。

企业从属CA：域中的另一台证书服务器上独立根CA：服务器可以在AD中，也可以不在AD中。

·在此CA的公用名称中输入CA的名称，一般是域名称。

·设置证书数据库以及日志的路径。

（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务）·安装完成后，会在IIS管理器“默认站点”中添加一虚拟目录。

并在浏览器中输入http:// /certsrv时出现microsoft证书服务页面二：生成证书申请·打开“IIS管理器”右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“服务器证书”按钮，开始证书的申请。

注：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请这步了·输入单位信息、部门，单击下一步·公用名称中输入Web站点的域名·填写国家、地区等详细资料·输入“证书请求的文件名”三：申请、下载证书·上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，不需要这一步。

网工备考--Windows server 2003 IIS 配置WWW中的信息资源主要以WEB文档为基本元素构成。

WEB依赖三种机制保证信息资源可被世界范围内的访问者访问：URL，HTTP和HTML。

可以这们理解，当用户通过URL定位WEB资源并利用HTTP访问WEB服务器获取资源。

获得后就需要在自己的电脑上显示出来。

这就要用HTML对WEB页的内容、格式和WEB页中的超级链接进行描述。

URL：由访问协议类型、主机名和端口号、文件名3部分组成，比如：/index.html1、协议类型：可用的协议类型包括HTTP、GOPHER、FTP、MAILTO、TELNET、FILE等等。

2、主机名和端口号：在URL中，“//”与“/”之间的部分是服务器的主机名，也可以使用服务器的IP地址。

在主机名或IP地址后面还需要指出服务器所使用的端口号。

好：:8888/index.html。

如果没有指出端口号，将使用默认的端口号。

如：80。

静态与动态网页1、静态网页：静态网页公供阅读使用，不用输入任何信息就可以访问，所有人的访问结果都是相同的，即页面内容并不依赖用户输入的数据而改变，通常直接提供给用户的页面称为静态网页，如：*.html 、*.htm网页。

2、动态网页：动态网页是需要输入文字或设定的选项的网页，它允许用户通过WEB浏览器与网站交互。

比如：某些网站中的反馈意见表和用户申请表等即是一个典型的交互式动态网页的例子。

交互的动态网页一般是通过单选按钮、下拉菜单、文本栏或复选框等与用户交互信息。

而用户提交的信息将存储在网站后台的数据库中，因此，如果使用动态网页，通常需要在网站后台部署数据库系统。

常见的数据库系统包括SQL SERVER、MYSQL、ORALCE、DB2、POSTGRESQL等，常见的动态网页文件包括*.asp *.jsp *.php *.pl *.cgi等等下面来部署WEB服务首先必须在DNS中为WEB服务提供解析，在这里用它自己做DNS解析。

附件1：内网安全管理系统WIN2003-IIS服务器配置说明对于Win2003系统安装vrv内网安全管理系统后出现服务器和终端无法登陆WEB页面的现象，现做出以下服务器端的IIS配置说明：步骤一：点击开始菜单-管理工具-IIS服务管理器，打开，会出现如下界面：点击左边列表中的Web服务扩展，会出现右边红色标记的几个选项，默认情况下这几个选项都是禁止的，分别选中将它们设置为允许；几个选项分别为：Active Server Pages、Internet 数据连接器、在服务器端的包含文件；步骤二：如下图红色标记所示的IIS界面双击网站--默认网站（图1），在这下面会出现VRVEIS虚拟目录，右键单击VRVEIS—属性，点击虚拟目录选项（图2），再单击配置按钮出现图3，即应用程序配置，此时点击选项，将红色标记的启用父路径选项勾上即可；配置到这一步，如果你安装内网安全系统的系统盘是FAT32分区，那么现在你的本机及终端都可以成功登陆Web 界面了；如果你的系统是NTFS分区的那么你还得做如下操作才可以成功登陆Web界面；步骤三：打开安装内网安全管理系统的系统盘符，在根目录下找到VRV目录打开，找到VRVEIS目录，右键单击---属性，点击安全选项，直接点击添加按钮，会出现如下界面；此时点击红色标记的高级按钮，会出现如下界面：如上图所示，点击立即查找按钮搜索用户，找到下面有着红色标记的用户，该用户为：IUSR_TEST3,（TEST3为软件测试时该机器的当前登陆用户，一般要视此时机器登陆的用户名而定，其格式一般为IUSR_登陆的用户名；），找到该用户后选中，点击确定按钮即可，此时会出现下图界面：选中刚才添加的用户将权限设置为全部允许，到这一步，所有设置都以完成，此时分区为NTFS分区的服务器和其他终端都可以登陆Web界面了。

计算机网络上机实验学院经济管理学院班级0311001姓名姬玮源丁敏学号2010211504 2010211500实验名称：Windows 2003 server IIS 的配置及加密与数字证书服务的实现 实验目的：1. 了解Windows 2003 server 的特性，功能，熟悉基本应用。

2. 熟悉Windows 2003 server 的配置过程，掌握Windows 2003server 服务器的一般配置与使用方法。

3. 熟悉 Microsoft FrontPage 的环境。

能够使用FrontPage 作出简单网页。

4． 了解数字证书的安装过程。

5． 熟悉CA 证书的创建，管理和应用。

6． 了解并练习TCP/IP 协议的诊断程序。

准备工作每位同学首先要通过运行 ipconfig 命令记下各自所在机子的ip 地址。

并互相告诉对方。

实验环境：1. 做网页的有关资料（压缩资料）在机房网站软件下载上，可用IE 访问并下载。

（ip ：172.22.43.2）实验名称 Windows 2003 server IIS 的配置及加密与数字证书服务的实现实验日期2011~2012第一学期第十一周 星期一7-8节 实验地点 电子商务与网络开发实验室 设备机号 A35 A36 学生姓名姬玮源 学号 2010211504 指导 教师黄蜀江 同学姓名丁敏 学号 20102115002. 每组中，一位同学在D:\下新建两个文件夹：“基本资料”、“webpage”。

另一位同学在D:\下新建两个文件夹：“基本资料”、“webpage”。

3. 开机后每位同学首先要分别创建一个word文档，用来记录自己的基本情况。

包括自己的学号，姓名，机号，机子的ip地址——学号：2010211504姓名：姬玮源机号：A35机子的ip地址：172.22.5.35。

并将各自制作的文档存入D:\基本资料。

实验步骤准备工作单击“开始”，“运行”，输入“ipconfig”命令，然后用纸记下本机的ip地址。

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.点新建证书.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息点下一步然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.点完成这样早请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始--运行确定在证书管理控制台能够看到安装的CA证书.单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问. 配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书点是在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来启用客户端证书映射单击编辑点添加确定配置HTTPS启用证书信任列表点新建下一步选择要添加的CA证书下一步输入名称点完成完成.配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用NET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份. 下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CRL分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于CRL分发点URL 包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA 的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限。