流量完整性保护、事件监控与防火墙策略(Windows)

流量完整性保护

对网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Web)(注证书颁发给test.com并通过https://www.test.com访问Web网站)

创建证书

管理工具->IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书,创建证书申请,默认下一步,将证书申请保存至桌面

1

2

打开浏览器,访问http://localhost/certsrv/

3

申请证书->高级证书申请->使用 base64 编码申请,将刚刚保存到桌面的文件内容填入保存的申请提交

4

返回http://localhost/certsrv/ ->下载 CA 证书、证书链或 CRL -> 下载证书,保存到桌面

5

管理工具->证书颁发机构->挂起的证书,右键->所有属性->颁发证书.点击颁发的证书

6

右键打开刚刚颁发的证书,详细信息->复制到文件,默认下一步,保存到桌面(test.cer).

7

8

配置HTTPS

回到IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书->完成证书申请选择刚刚保存到桌面的证书(test.cer),名称填写test.com

9

在IIS新建一个网站,物理路径在C盘新建一个目录http,按照下图信息填写

10

创建完后访问test.com,有可能会访问到互联网上的test.com,也就是这样

11

需要修改系统hosts文件,将test.com指向本地IP,当然配置DNS服务器也可以实现,但太麻烦了,懒得搭。

hosts文件路径C:\Windows\System32\drivers\etc\hosts,用记事本打开,在最后面添加一行IP test.com

12

然后访问你的网站,不出意外的话会提示以下错误。因为你的网站目录下网页文件,在你的网站目录下新建一个index.html,这时应该就能正常访问了。

13

再在IIS新建一个网站,物理路径在C盘新建一个目录https,或者复制http目录,配置按照下图信息填写

14

主机名无法输入,先不管。创建完后前往C:\Windows\System32\inetsrv\config\目录,修改applicationHost.config文件。Ctrl+F查找443,在:后添加test.com,保存修改,然后回到IIS管理器,重新启动https网站,可以看到有了主机名test.comhttps://test.com 可以正常访问了

15

16

HTTP重定向

找到http网站的HTTP重定向

17

重定向目标填写https://test.com/$S$Q,重定向行为选择重定向到确切的目标,状态代码选择永久(301)

18

保存退出,重启网站http,再访问http://test.com就会跳转至https://test.com

事件监控

将Web服务器开启审核策略

管理工具->本地安全策略->本地策略->审核策略

19

登录事件 成功/失败;

20

特权使用 成功;

21

策略更改 成功/失败;

22

进程跟踪 成功/失败;

23

防火墙策略

Windows系统禁用445端口;

首先启用防火墙

24

打开高级安全Windows防火墙->新建入站规则,规则类型选择端口,TCP,特定本地端口(445)->阻止连接

25

26

名称和描述随便写点东西

27