流量完整性保护、事件监控与防火墙策略（Windows）

流量完整性保护

对网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站（Web）（注证书颁发给test.com并通过https://www.test.com访问Web网站）

创建证书

管理工具->IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书，创建证书申请，默认下一步，将证书申请保存至桌面

打开浏览器，访问http://localhost/certsrv/

申请证书->高级证书申请->使用 base64 编码申请,将刚刚保存到桌面的文件内容填入保存的申请提交

返回http://localhost/certsrv/ ->下载 CA 证书、证书链或 CRL -> 下载证书，保存到桌面

管理工具->证书颁发机构->挂起的证书,右键->所有属性->颁发证书.点击颁发的证书

右键打开刚刚颁发的证书，详细信息->复制到文件，默认下一步，保存到桌面（test.cer）.

配置HTTPS

回到IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书->完成证书申请选择刚刚保存到桌面的证书（test.cer），名称填写test.com

在IIS新建一个网站,物理路径在C盘新建一个目录http，按照下图信息填写

创建完后访问test.com,有可能会访问到互联网上的test.com,也就是这样

需要修改系统hosts文件，将test.com指向本地IP，当然配置DNS服务器也可以实现，但太麻烦了，懒得搭。

hosts文件路径C:\Windows\System32\drivers\etc\hosts,用记事本打开，在最后面添加一行IP test.com

然后访问你的网站，不出意外的话会提示以下错误。因为你的网站目录下网页文件，在你的网站目录下新建一个index.html,这时应该就能正常访问了。

再在IIS新建一个网站,物理路径在C盘新建一个目录https，或者复制http目录,配置按照下图信息填写

主机名无法输入，先不管。创建完后前往C:\Windows\System32\inetsrv\config\目录，修改applicationHost.config文件。Ctrl+F查找443,在:后添加test.com,保存修改，然后回到IIS管理器，重新启动https网站,可以看到有了主机名test.com，https://test.com 可以正常访问了

HTTP重定向

找到http网站的HTTP重定向

重定向目标填写https://test.com/$S$Q,重定向行为选择重定向到确切的目标,状态代码选择永久(301)

保存退出，重启网站http，再访问http://test.com就会跳转至https://test.com

事件监控

将Web服务器开启审核策略

管理工具->本地安全策略->本地策略->审核策略

登录事件 成功/失败；

特权使用 成功；

策略更改 成功/失败；

进程跟踪 成功/失败；

防火墙策略

Windows系统禁用445端口；

首先启用防火墙

打开高级安全Windows防火墙->新建入站规则，规则类型选择端口，TCP，特定本地端口（445）->阻止连接

名称和描述随便写点东西