孫金霞

摘要：本文以windows server2012服務(wù)器和Centos7.0服務(wù)器在中小型企業(yè)中的應(yīng)用為基礎(chǔ)，分析了如何加固企業(yè)服務(wù)器，包括域服務(wù)的配置及組策略的設(shè)置、網(wǎng)站CA認(rèn)證服務(wù)的設(shè)置等，目的在保證公司日常的工作，防御外網(wǎng)的不良入侵。

Abstract： Based on the application of Windows server2012 system and Centos7.0 system in small and medium-sized enterprises， this paper analyzes how to reinforce the enterprise network server， including the configuration of domain service， the setting of group policy， the setting of website CA authentication service， etc.， in order to ensure the daily work of the company and prevent the intrusion of external network.

關(guān)鍵詞：網(wǎng)絡(luò)服務(wù)器;windows server2012;Centos7.0

Key words： network server;windows server2012;Centos7.0

中圖分類號：TP368.5 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2019）27-0231-02

1 ?網(wǎng)絡(luò)操作系統(tǒng)發(fā)展?fàn)顩r

北京時間2012年4月18日，微軟公布了Windows Server 2012（以下簡稱WS2012）的名字。WS2012系統(tǒng)取代了之前用的windows server 2008，該服務(wù)器版本是在Windows 8基礎(chǔ)上開發(fā)出來的，增強(qiáng)了網(wǎng)絡(luò)服務(wù)、存儲、虛擬化、云等技術(shù)的易用性，管理員能更容易地操作管理服務(wù)器。本文重點研究使用了WS2012版本中的Active Directory（以下簡稱AD DS）域服務(wù)及相應(yīng)的組策略。運行AD DS的服務(wù)器稱為域控制器。它對Windows域類型網(wǎng)絡(luò)中的所有用戶和計算機(jī)進(jìn)行身份驗證和授權(quán);為所有計算機(jī)分配和實施安全策略并安裝或更新軟件。例如，當(dāng)用戶登錄到屬于Windows域的計算機(jī)時，Active Directory會檢查提交的密碼并確定用戶是系統(tǒng)管理員還是普通用戶。此外，它還允許管理和存儲信息，提供身份驗證和授權(quán)機(jī)制，并建立一個框架來部署其他相關(guān)服務(wù)：證書服務(wù)，聯(lián)合服務(wù)，輕量級目錄服務(wù)和權(quán)限管理服務(wù)。

CentOS，也稱作社區(qū)企業(yè)操作系統(tǒng)，是Red Hat Enterprise Linux的再編譯版本，是開源和免費的版本。CentOS7.0于2014年7月7號正式發(fā)布，這是一個企業(yè)級的Linux發(fā)行版本，是中小型公司部署網(wǎng)絡(luò)服務(wù)器的首選。

2 ?中小型企業(yè)網(wǎng)絡(luò)服務(wù)器架構(gòu)分析

中小型企業(yè)在選擇網(wǎng)絡(luò)服務(wù)器的時候，可以從以下幾方面進(jìn)行考慮：

①網(wǎng)絡(luò)的可擴(kuò)展性，便于以后公司的發(fā)展和網(wǎng)絡(luò)的擴(kuò)展，選擇易于擴(kuò)容的架構(gòu)。

②網(wǎng)絡(luò)的安全性，便于以后公司的網(wǎng)絡(luò)安全，選擇易于維護(hù)和管理的架構(gòu)。

③服務(wù)器的成本問題，選擇開源和免費的服務(wù)器版本來組織公司網(wǎng)絡(luò)。

基于以上的分析，結(jié)合目前中小型企業(yè)的共同需求，我們做了如下的網(wǎng)絡(luò)服務(wù)器架構(gòu)，如圖1。

我們選擇WS2012作為主域控服務(wù)器，在上面部署域服務(wù)，采用Centos7.0作為第二臺服務(wù)器，在上面部署主要的服務(wù)：DNS服務(wù)器、DHCP服務(wù)器、WEB服務(wù)器、FTP服務(wù)器、CA認(rèn)證服務(wù)及相關(guān)的數(shù)據(jù)庫服務(wù)器。每臺服務(wù)器上IP地址都設(shè)置內(nèi)網(wǎng)和外網(wǎng)IP地址。內(nèi)網(wǎng)IP地址負(fù)責(zé)內(nèi)網(wǎng)通信，使用DNS服務(wù)器上內(nèi)網(wǎng)視圖。外網(wǎng)IP地址負(fù)責(zé)外網(wǎng)間通信，使用DNS服務(wù)器上外網(wǎng)視圖。

3 ?中小型企業(yè)網(wǎng)絡(luò)服務(wù)器安全加固分析

網(wǎng)絡(luò)服務(wù)器的安全包括對內(nèi)和對外兩方面。下面從不同的方面對服務(wù)器進(jìn)行加固。

3.1 域服務(wù)的使用及組策略的配置

中小型企業(yè)對內(nèi)使用域服務(wù)器進(jìn)行域用戶的管理，在域內(nèi)建立不同的組織單位，對域或者域內(nèi)不同的組織單位設(shè)置相應(yīng)的組策略，避免因使用統(tǒng)一的訪問服務(wù)器權(quán)限而帶來的安全隱患，同時對用戶行為進(jìn)行強(qiáng)制規(guī)范。

如圖2，設(shè)置域名為sjx.com，在該域中設(shè)置公司名稱“蘇州科技”組織單位，在內(nèi)部設(shè)置人力資源部、技術(shù)部等相關(guān)部門的組織單位。在各組織單位內(nèi)部設(shè)置普通用戶和經(jīng)理等相關(guān)用戶名，公司內(nèi)部用戶登錄時輸入各自分配的用戶名和密碼才能使用公司內(nèi)部資源。

針對不同的組織單位建立不同的組策略。首先需要建立組策略對象，之后對組策略對象進(jìn)行編輯，如圖2，對技術(shù)部對象進(jìn)行組策略編輯，包括該組織單位內(nèi)計算機(jī)的配置和用戶配置。

常用的組策略配置如下：

①要求設(shè)置安全策略，使密碼必須滿足復(fù)雜性。

②要求用戶每隔一個月修改一次密碼。