信息产业 ・163・ 基于Windows Server 2008的网站安全建设研究 牛晓晨 (西安邮电大学计算机学院,陕西西安710121) 摘要:随着互联网的日益发展,黑客攻击事件频发,而基于Windows Server 2008建立起来的网站为数众多,因此对其进行的安全 防护就显得尤为重要。从系统配置和站点建立两方面提出了安全建议和实施方法,以提高站点的安全性和抗攻击能力。 关键词:Server;安全;网站 Windows Server 2008是目前使用最多的微软服务器操作系 2.1创建多个WEB站点 统,功能十分强大,常用于构建可靠、灵活的服务器基础结构。在其 为了提高资源利用率,一台服务器上往往装有多个网站。创建 提供的网络服务中,Web服务是最常用,也是最易受到攻击的一项 多个网站的方法有以下四种[11。 服务。从系统配置和站点建立两方面讲述如何构建一个安全的网 a.IP地址法:在服务器上设置多个地址,每个地址对应一个网 站。 站。 1操作系统的安全维护 b.端口法:每个地址可以使用1-65535之间的端口,每个端口对 1.1安装中的安全设置 应一个网站。 系统安装过程中,首先会对硬盘分区。尽管可以随意分,但绝不 c.主机头法:采用DNS名称区别不同的网站。 可为省事只分一个区,一般情况下至少要分如下三个区: d.虚拟目录法:通过创建虚拟目录的方法,创建多个网站。 系统区,安装操作系统,大小不低于30G,否则运行一段时间 由于IP地址和DNS域名都由运营商管理,因此方法a、e受制 后,由于日志生成、补丁安装等行为都会占用磁盘空间,系统会不停 于人,而方法d安全性较差,所以方法b为最佳选择,且该方法可以 提示空间已满。 实现网站间的有效隔离,即某一网站的瘫痪不会影响到其它网站。 数据区,主要用来存放网站数据和安装的软件,独立划分出数 使用端口法创建Web站点非常简单,在Internet信息服务(IIS) 据区,好处是当系统因意外(非正常关机、黑客攻击等)崩溃时,站点 管理器中添加网站时,对不同的网站绑定一个不同端口即可。访问 数据不会受到影响。 时,输入http://网址:端口号,来访问不同的网站。 备份区,在这里可存放系统镜像文件以及通过计划任务定时备 2.2建立隔离用户的FTP服务器 份的一些重要数据,以避免因误操作导致数据无法恢复。 FTP协议是最常用的文件传输协议,网站管理员就是通过FrP 系统安装中需要设置管理员密码,为了防止黑客的暴力破解, 服务来更新服务器上网站页面、图片等文件的。隔离用户是系统的 需要使用复杂些的密码,笔者管理的服务器管理员密码就有19位, 一项新功能,它让每个用户各自拥有专用的文件夹,当用户登陆 其中包含有字母、数字和 等特殊符号。 FrP站点时,会被导向到其所属的文件夹,而且不能切换到其他用 系统安好后的第一要务就是通过windows update程序给系统 户的文件夹里。这样不同网站的管理员自己管理自己的网站文件, 打补丁,在控制面板里,通过设置控制面板的查看方式为小图标,就 而不会相互干扰。 可以看到它,点击后选择检查更新,并根据提示一步步操作即可完 建立隔离用户FrP对目录的创建有一定的要求:在ftp的主目 成对系统漏洞的修补。 录下建localuser文件夹,接着在该目录下建用户的主目录文件夹, 1.2远程桌面与防火墙配置 主目录文件夹名必须和用户的登录名一一对应。在IIS管理器中添 远程桌面是系统默认安装的提供远程控制的组件。开启了远程 加新的FTP站点后,点击“FrP用户隔离”项,选择“用户名物理目 桌面功能后,管理员可以使用远程桌面连接工具远程控制这台服务 录”,即可启用隔离。 器,可以进行实时操作,如在上面安装软件,运行程序,所有的一切 3结论 就好像是直接在该服务器上操作一样,而且网络通信是加密的。 本文从系统配置、服务建立两个方面讲述了在构建安全的Web 远程桌面默认是关闭的,开启步骤如下:a.“计算机”图标上点右 网站过程中需要注意的问题和解决方法。这些安全方法的应用提高 键,选择“属性”.b.在弹出的窗口左侧选择“远程设置”标签;c.选中 了系统的安全性,增强了网站抗攻击能力。 “允许运行任意版本远程桌面的计算机连接”项后确定即可完成远 参考文献 程桌面的启用。 [1]Y-春海.Windows Server 2008 R2系统管理实战【M].北京:清华大 远程桌面在给管理员提供便利的同时,也成为了黑客入侵的首 学出版社,2012:170—171. 选工具,黑客们往往通过系统漏洞拿到管理员密码,然后利用远程 桌面来操控服务器。因此远程桌面启用后,需要修改默认的3389连 接端口。这样即便黑客想用远程桌面,由于不知道端口号,而无法进 行连接控制。Windows并不提供修改端口的工具,本文以改为6532 端口为例,讲解一下修改过程。首先在开始一>运行里执行regedit 命令打开注册表,找到:『HKEY—LOCAL_MACHINE,SYSTEM\Cur- rentControlSet\Control\Terminal Server\],在该目录下找到[Wds ̄rdp— wdWds\tep] ̄'l[WinStationsLRDP—Tcp] ̄i分支中的PortNumber项,点十 进制,都改值为6532。到此端口修改完毕。最后还需要在防火墙中 开放该端口,防火墙设置如下:在控制面板中双击“windows防火墙” 项,选择左侧项目中的“高级设置”,进去后新建一条“入站规则”。规 则内容如下:类型为端口、协议为TCP、特定本地端口为6532、操作 为允许连接。 配置好防火墙后,重启电脑就可用新的端口进行远程登陆了, 在客户端使用远程桌面连接工具时记得要加上端口号,比如原来远 程桌面是直接用202.11.2.9,更改端口号后应该是202.11.2.9:6532。 2 WEB服务与FTP服务的建立
