流量完整性保护、事件监控与防火墙策略(Windows)
流量完整性保护
对网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Web)(注证书颁发给test.com
并通过https://www.test.com
访问Web网站)
创建证书
管理工具->IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书,创建证书申请,默认下一步,将证书申请保存至桌面
打开浏览器,访问http://localhost/certsrv/
申请证书->高级证书申请->使用 base64 编码申请,将刚刚保存到桌面的文件内容填入保存的申请
提交
返回http://localhost/certsrv/ ->下载 CA 证书、证书链或 CRL -> 下载证书,保存到桌面
管理工具->证书颁发机构->挂起的证书,右键->所有属性->颁发证书.点击颁发的证书
右键打开刚刚颁发的证书,详细信息->复制到文件,默认下一步,保存到桌面(test.cer).
配置HTTPS
回到IIS管理器->主机名(WIN-242GA01GJ9K)->服务器证书->完成证书申请选择刚刚保存到桌面的证书(test.cer),名称填写test.com
在IIS新建一个网站,物理路径在C盘新建一个目录http
,按照下图信息填写
创建完后访问test.com,有可能会访问到互联网上的test.com,也就是这样
需要修改系统hosts文件,将test.com指向本地IP,当然配置DNS服务器也可以实现,但太麻烦了,懒得搭。
hosts文件路径C:\Windows\System32\drivers\etc\hosts
,用记事本打开,在最后面添加一行IP test.com
然后访问你的网站,不出意外的话会提示以下错误。因为你的网站目录下网页文件,在你的网站目录下新建一个index.html
,这时应该就能正常访问了。
再在IIS新建一个网站,物理路径在C盘新建一个目录https
,或者复制http
目录,配置按照下图信息填写
主机名无法输入,先不管。创建完后前往C:\Windows\System32\inetsrv\config\
目录,修改applicationHost.config
文件。Ctrl+F
查找443
,在:
后添加test.com
,保存修改,然后回到IIS管理器,重新启动https
网站,可以看到有了主机名test.com
,https://test.com 可以正常访问了
HTTP重定向
找到http网站的HTTP重定向
重定向目标填写https://test.com/$S$Q
,重定向行为选择重定向到确切的目标
,状态代码选择永久(301)
保存退出,重启网站http
,再访问http://test.com就会跳转至https://test.com
事件监控
将Web服务器开启审核策略
管理工具->本地安全策略->本地策略->审核策略
登录事件 成功/失败;
特权使用 成功;
策略更改 成功/失败;
进程跟踪 成功/失败;
防火墙策略
Windows系统禁用445端口;
首先启用防火墙
打开高级安全Windows防火墙->新建入站规则,规则类型选择端口,TCP,特定本地端口(445)->阻止连接
名称和描述随便写点东西