網(wǎng)絡(luò)操作系統(tǒng)課程設(shè)計(jì)--網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置及dhcp的配置與測試

1、<p>　　課程設(shè)計(jì)IV 課程設(shè)計(jì)</p><p><b>　　設(shè)計(jì)說明書</b></p><p>　　網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置 </p><p>　　及DHCP的配置與測試 </p><p><b>　　2012年9月6日</b></p><p>　　課程設(shè)計(jì)IV

2、 課程設(shè)計(jì)評閱書</p><p><b>　　課程設(shè)計(jì)任務(wù)書</b></p><p>　　2011—2012學(xué)年第二學(xué)期</p><p>　　專業(yè)： 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院 學(xué)號： 姓名： </p><p>　　課程設(shè)計(jì)名稱： 課程設(shè)計(jì)IV </p><p&g

3、t;　　設(shè)計(jì)題目： 網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置及DHCP服務(wù)器的配置與測試 </p><p>　　完成期限：自 2012 年 8 月 27 日至 2012 年 9月 7 日共 2 周</p><p>　　設(shè)計(jì)依據(jù)、要求及主要內(nèi)容（可另加附頁）：</p><p>　　本次課程設(shè)計(jì)的任務(wù)是基于Widows server2003的DHCP服務(wù)器的構(gòu)建。DHC

4、P是整個(gè)互聯(lián)網(wǎng)業(yè)務(wù)重要的組成部分，DHCP服務(wù)器已成為網(wǎng)絡(luò)用戶不可或缺的需要。本文將詳細(xì)介紹Widows server2003系統(tǒng)中DHCP服務(wù)器的相關(guān)知識、常用命令及安裝和配置過程及使用。</p><p>　　要求：1）簡述Widows server2003或者windows server 2003安全設(shè)置的相關(guān)原理；</p><p>　　2）系統(tǒng)相關(guān)安全配置中必須要有端口配置、路由配置

5、、遠(yuǎn)程連接配置等等；</p><p>　　指導(dǎo)教師（簽字）： 教研室主任（簽字）： </p><p>　　批準(zhǔn)日期： 年 月 日</p><p><b>　　目錄</b></p><p><b>　　引言1</b>&

6、lt;/p><p>　　1 windows server 2003 概述1</p><p>　　2 windows server 2003 安全性原理概述2</p><p><b>　　3安全策略實(shí)施3</b></p><p>　　3.1修改管理員帳號和創(chuàng)建陷阱帳號3</p><p>　　3.

7、2 清除默認(rèn)共享隱患3</p><p>　　3.3 清空遠(yuǎn)程可訪問的注冊表路徑6</p><p>　　3.4 關(guān)閉不必要的端口和服務(wù)7</p><p>　　3.5 杜絕非法訪問應(yīng)用程序9</p><p>　　4 DHCP服務(wù)器的安裝與配置11</p><p>　　4.1 DHCP簡介11</p>

8、<p>　　4.2 DHCP服務(wù)器的安裝11</p><p>　　4.3 DHCP服務(wù)器的基本設(shè)置及測試14</p><p><b>　　5總結(jié)17</b></p><p><b>　　參考文獻(xiàn)18</b></p><p><b>　　摘要</b><

9、/p><p>　　Windows Server 2003作為Microsoft推出的服務(wù)器操作系統(tǒng)，不僅繼承了Windows 2000/XP的易用性和穩(wěn)定性，而且還提供了更高的硬件支持和更加強(qiáng)大的安全功能，無疑是中小型網(wǎng)絡(luò)應(yīng)用服務(wù)器的當(dāng)然之選，另外對于Windows Server 2003 作為DHCP服務(wù)器時(shí)的性能也非常出色 。所以本文就Windows 2003網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置及DHCP的配置與測試。</

10、p><p>　　關(guān)鍵字：Windows 2003；安全；DHCP</p><p><b>　　引言</b></p><p>　　在計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)普遍應(yīng)用的今天，計(jì)算機(jī)安全事故發(fā)生的幾率也逐年其高，因此，需要確保信息系統(tǒng)安全變得尤為重要。因此，不只要經(jīng)常給系統(tǒng)打補(bǔ)丁，還要有一個(gè)好的防火墻。有防火墻可以更好的防范駭客攻擊，它可以控制端口的連接，把

11、一些危險(xiǎn)的端口屏蔽掉，防止他人對的機(jī)子配置信息的掃描，可以防范一些有攻擊性的病毒，因此，用防火墻是很有必要的。另外對于Windows Server 2003 作為DHCP服務(wù)器時(shí)的應(yīng)用也非常廣泛，下面就以Windows server 2003為例，介紹服務(wù)器安全設(shè)置的相關(guān)原理，以及DHCP服務(wù)器的設(shè)置以及測試。</p><p>　　1 windows server 2003 概述</p><p

12、>　　Windows server 2003是微軟公司在2003—2004年間發(fā)布的新一代網(wǎng)絡(luò)和服務(wù)器操作系統(tǒng)。該操作系統(tǒng)延續(xù)微軟的經(jīng)典視窗界面，同時(shí)作為網(wǎng)絡(luò)操作系統(tǒng)或服務(wù)器操作系統(tǒng)，力求高性能、高可靠性和高安全性是其必備要素，尤其是日趨復(fù)雜的企業(yè)應(yīng)用和Internet應(yīng)用，對其提出了更高的要求。微軟的企業(yè)級操作系統(tǒng)中，如果說Windows 2000全面繼承了NT技術(shù)，那么Windows Server 2003則是依據(jù).NET架構(gòu)

13、對NT技術(shù)作了重要發(fā)展和實(shí)質(zhì)性改進(jìn)，凝聚了微軟多年來的技術(shù)積累，并部分實(shí)現(xiàn)了NET戰(zhàn)略，或者說構(gòu)筑了NET戰(zhàn)略中最基礎(chǔ)的一環(huán)。</p><p>　　針對大中型企業(yè)而設(shè)計(jì)的Windows Server 2003企業(yè)版是推薦運(yùn)行某些應(yīng)用程序的服務(wù)器應(yīng)該使用的操作系統(tǒng)，這些應(yīng)用程序包括：聯(lián)網(wǎng)、消息傳遞、清單和顧客服務(wù)系統(tǒng)、數(shù)據(jù)庫、電子商務(wù)Web站點(diǎn)以及文件和打印服務(wù)器。Windows Server 2003操作系統(tǒng)是最

14、高效的基礎(chǔ)架構(gòu)平臺(tái)，它為連接應(yīng)用、網(wǎng)絡(luò)和從工作組到數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)提供動(dòng)力。</p><p>　　2 windows server 2003 安全性原理概述</p><p>　　企業(yè)已經(jīng)通過將Intranets、Extranets和Internet站點(diǎn)的合成擴(kuò)展了傳統(tǒng)意義上的局域網(wǎng)（LAN）的涵義。因此擴(kuò)大了的系統(tǒng)的安全問題比從前更為重要。為了提供一個(gè)安全的計(jì)算環(huán)境，Windows Se

15、rver 2003操作系統(tǒng)將會(huì)提供很多重要的新安全特性，以及在Windows 2000 Server原有安全 特性的基礎(chǔ)上的改進(jìn)。高信度計(jì)算病毒的存在及軟件安全性是現(xiàn)存的一個(gè)持續(xù)性的挑戰(zhàn)。為了解決該問題，微軟在其所有產(chǎn)品使用了高可信度計(jì)算作為關(guān)鍵技術(shù)。高可信度計(jì)算為設(shè)備的開發(fā)提供了一個(gè)框架，這些由計(jì)算機(jī)及軟件給予動(dòng)力的設(shè)備就如同每天在家使用的家用電器和日用品一樣安全可靠。盡管現(xiàn)在真正的高可信度計(jì)算平臺(tái)還未出現(xiàn)，經(jīng)過了重新設(shè)計(jì)的Windo

16、ws Server 2003正朝向這一目標(biāo)踏出了堅(jiān)實(shí)的一步。通用語言運(yùn)行時(shí)（Common Language Runtime）通用語言運(yùn)行時(shí)軟件引擎是Windows Server 2003提升可靠性并確保安全計(jì)算環(huán)境的關(guān)鍵要素。降低了由通常編程錯(cuò)誤引起的bug和安全漏洞的數(shù)量，因而也減少了可供攻擊者利用的漏洞。通用語言運(yùn)行時(shí)檢驗(yàn)應(yīng)用程序是否能夠正常</p><p>　　有效而安全的網(wǎng)絡(luò)計(jì)算對企業(yè)保持業(yè)務(wù)優(yōu)勢越來越重

17、要。Windows Server 2003將允許利用現(xiàn)有的IT投資并從中獲得更大收益，并通過配置關(guān)鍵特性，如跨森林驗(yàn)證和Passport集成為您的商業(yè)伙伴、客戶和廠商擴(kuò)大這些收益。Windows Server 2003將為商業(yè)服務(wù)創(chuàng)建一個(gè)更加安全的環(huán)境。在Windows 2003 Server上能夠非常簡便地加密敏感數(shù)據(jù)以及使用軟件限制策略限制由于病毒或者木馬而帶來的危害。Windows Server 2003還是配置公共密鑰結(jié)構(gòu)的最好

18、選擇；其自動(dòng)注冊和自動(dòng)更新特性使得在企業(yè)中部署智能卡和證書更加簡便。</p><p><b>　　3安全策略實(shí)施</b></p><p>　　3.1修改管理員帳號和創(chuàng)建陷阱帳號</p><p>　　Windows操作系統(tǒng)默認(rèn)安裝用Administrator作為管理員帳號，黑客也往往會(huì)先試圖破譯Administrator帳號密碼，從而開始進(jìn)攻系統(tǒng)

19、，所以系統(tǒng)安裝成功后，應(yīng)重命名Administrator帳號。方法如下：</p><p>　　(1) 打開【本地安全設(shè)置】對話框，選擇“本地策略”→“安全選項(xiàng)”，如圖3.1所示。</p><p>　　圖3.1重命名系統(tǒng)帳戶</p><p>　　(2) 雙擊“帳戶：重命名系統(tǒng)管理員帳戶”策略，給Administrator重新設(shè)置一個(gè)平常的用戶名，如user1，然后新建

20、一個(gè)權(quán)限最低的、密碼極復(fù)雜的Administrator的陷阱帳號來迷惑黑客，并且可以借此發(fā)現(xiàn)它們的入侵企圖。</p><p>　　3.2 清除默認(rèn)共享隱患 </p><p>　　Windows Server 2003系統(tǒng)在默認(rèn)安裝時(shí)，都會(huì)產(chǎn)生默認(rèn)的共享文件夾，如圖3.2所示。如果攻擊者破譯了系統(tǒng)的管理員密碼，就有可能通過“\\工作站名\共享名稱”的方法，打開系統(tǒng)的指定文件夾，因此應(yīng)從系統(tǒng)中

21、清除默認(rèn)的共享隱患。</p><p>　　圖3.2共享資源管理</p><p><b>　?。?）刪除默認(rèn)共享</b></p><p>　　以刪除圖2中的默認(rèn)磁盤及系統(tǒng)共享資源為例，首先打開“記事本”，根據(jù)需要編寫如下內(nèi)容的批處理文件： </p><p>　　@echo off </p><p>

22、　　net share C$ /del </p><p>　　net share D$ /del </p><p>　　net share E$ /del net share admin$ /del</p><p>　　文件保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32\GroupPolicy\User \Scripts\Logon目錄下

23、。選擇“開始”菜單→“運(yùn)行”，輸入gpedit.msc，回車即可打開組策略編輯器。點(diǎn)擊“用戶配置”→“Windows設(shè)置”→“腳本(登錄/注銷)”→“登錄”，如圖3.3所示。</p><p>　　圖3.3組策略編輯器</p><p>　　在【登錄屬性】窗口中單擊“添加”，會(huì)出現(xiàn)【添加腳本】對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可，如圖1-4所示

24、。</p><p>　　重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就可以自動(dòng)將系統(tǒng)所有的隱藏共享文件夾全部取消了。</p><p><b>　　圖3.4 登錄屬性</b></p><p>　?。?） 禁用IPC連接</p><p>　　IPC是Internet Process Connection的縮寫，也就是遠(yuǎn)程網(wǎng)絡(luò)連接，是共享“命名管道”

25、的資源，它是為了進(jìn)程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方計(jì)算機(jī)即可以建立安全的通道，并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對遠(yuǎn)程計(jì)算機(jī)的訪問，是Windows NT/2000/XP/2003特有的功能。</p><p>　　打開CMD后輸入如下命令即可進(jìn)行連接：</p><p>　　net use\\ip\ipc$</p><p>　　“p

26、assword”</p><p>　　/user:"username"</p><p>　　其中：ip為要連接的遠(yuǎn)程主機(jī)的IP地址，"username"和"password"分別是登錄該主機(jī)的用戶名和密碼。</p><p>　　默認(rèn)情況下，為了方便管理員的管理，IPC是共享的，但也為IPC入侵者提供了方便，

27、導(dǎo)致了系統(tǒng)安全性能的降低，這種基于IPC的入侵也常常被簡稱為IPC入侵。如果黑客獲得了遠(yuǎn)程主機(jī)的用戶名和密碼就可以利用IPC共享傳送木馬程序到遠(yuǎn)程主機(jī)上，從而控制遠(yuǎn)程主機(jī)。防止IPC共享安全漏洞可以通過修改注冊表來禁用IPC連接。方法為：打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC

28、連接，如圖3.5所示。</p><p>　　圖3.5注冊表編輯器</p><p>　　3.3 清空遠(yuǎn)程可訪問的注冊表路徑</p><p>　　Windows Server 2003提供了注冊表的遠(yuǎn)程訪問功能，黑客利用掃描器可通過遠(yuǎn)程注冊表讀取計(jì)算機(jī)的系統(tǒng)信息及其他信息，因此只有將遠(yuǎn)程可訪問的注冊表路徑設(shè)置為空，這樣才能有效地防止此類攻擊。</p>&l

29、t;p>　　點(diǎn)擊“開始”菜單→“運(yùn)行”，輸入gpedit.msc，回車打開組策略編輯器，選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，然后在打開的窗口中，將可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部設(shè)置為空即可，如圖3.6所示。</p><p>　　圖3.6組策略編輯器</p><p>　　3.

30、4 關(guān)閉不必要的端口和服務(wù)</p><p>　　Windows Server 2003安裝好后會(huì)默認(rèn)安裝一些服務(wù)，從而打開端口，黑客利用開放的端口可以對系統(tǒng)進(jìn)行攻擊，因此應(yīng)關(guān)閉掉無用的服務(wù)及端口。</p><p><b>　　圖3.7服務(wù)管理</b></p><p>　　關(guān)閉無用的服務(wù)可以在如圖3.7所示【計(jì)算機(jī)管理】界面的“服務(wù)”窗口中雙擊某

31、項(xiàng)服務(wù)，將其“啟動(dòng)類型”設(shè)置為“禁止”。對于服務(wù)列表中沒有列出的服務(wù)端口，則需要通過其他的設(shè)置來關(guān)閉，如關(guān)閉139端口。</p><p>　　139端口是NetBIOS協(xié)議所使用的端口，它的開放意味著硬盤可能會(huì)在網(wǎng)絡(luò)中共享，而黑客也可通過NetBIOS窺視到用戶電腦中的內(nèi)容。在Windows Server 2003中徹底關(guān)閉139端口的具體步驟如下：</p><p>　　(1) 打開【本地

32、連接屬性】界面，取消“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“√”，如圖3.15所示。</p><p>　　(2) 選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”→“高級”→“WINS”，選中“禁用TCP/IP上的NetBIOS”選項(xiàng)，從而徹底關(guān)閉139端口，如圖3.8所示。</p><p>　　圖3.8 本地連接屬性

33、圖3.9 高級TCP/IP設(shè)置</p><p>　　圖3.10 TCP/IP篩選</p><p>　　Windows系統(tǒng)中還可以設(shè)置端口過濾功能來限定只有指定的端口才能對外通信。在如圖所示【高級TCP/IP設(shè)置】界面中單擊“選項(xiàng)”→“TCP/IP篩選”→“屬性”，選中“啟用TCP/IP篩選(所有適配器)”，然后根據(jù)需要配置就可以了。如只打算瀏覽網(wǎng)頁，則只需開放TCP端口80。方法為，可以在

34、“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”按鈕即可，如圖3.10所示。</p><p>　　3.5 杜絕非法訪問應(yīng)用程序 </p><p>　　根據(jù)不同用戶的訪問權(quán)限來限制他們調(diào)用應(yīng)用程序，可以防止由于登錄的用戶隨意啟動(dòng)服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運(yùn)行帶來的麻煩，因此應(yīng)對訪問應(yīng)用程序進(jìn)行設(shè)置。方法如下</p><p>　　在

35、“運(yùn)行”中輸入“gpedit.msc”，打開【組策略編輯器】界面，選擇“用戶配置”→“管理模板”→“系統(tǒng)”→雙擊“只運(yùn)行許可的Windows應(yīng)用程序”，選中“已啟用”→單擊“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個(gè)【顯示內(nèi)容】對話框，單擊“添加”按鈕，添加允許運(yùn)行的應(yīng)用程序，使一般用戶只能運(yùn)行“允許的應(yīng)用程序列表”中的程序，如圖3.11所示。</p><p>　　圖3.11 添加允許的應(yīng)用程序</p

36、><p>　　4 DHCP服務(wù)器的安裝與配置</p><p>　　4.1 DHCP簡介</p><p>　　DHCP又叫動(dòng)態(tài)主機(jī)配置協(xié)議，是基于TCP/IP協(xié)議的一種動(dòng)態(tài)地址分配方案，通過DHCP服務(wù)器可以集中管理網(wǎng)絡(luò)上使用的IP地址，提供主機(jī)IP地址的動(dòng)態(tài)租用配置，并將其他配置參數(shù)（包括子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS）分發(fā)給合法網(wǎng)絡(luò)客戶端的TCP/IP服務(wù)協(xié)議。</

37、p><p>　　4.2 DHCP服務(wù)器的安裝</p><p>　　DHCP服務(wù)器安裝TCP/IP協(xié)議，并設(shè)置固定的IP地址信息。在Windows Server 2003操作系統(tǒng)中，除了可以使用“Windows組件向?qū)А碧砑影惭bDHCP服務(wù)以外，還可通過“配置您的服務(wù)器向?qū)А睂?shí)現(xiàn)。</p><p>　　在此處通過第二種方法實(shí)現(xiàn)：</p><p>　

38、　a.打開“管理你的服務(wù)器”→“添加刪除角色”——“配置你的服務(wù)器向?qū)А薄x擇“域控制器”，如下圖4.1所示：</p><p>　　圖4.1進(jìn)入服務(wù)器向?qū)?lt;/p><p>　　b. 點(diǎn)擊“下一步”，進(jìn)入“作用域名”對話框，如下圖4.2所示：</p><p>　　圖4.2 新建作用域向?qū)?lt;/p><p>　　c. 點(diǎn)擊“下一步”，進(jìn)入“IP地

39、址范圍”對話框。如圖4.3所示：</p><p>　　圖4.3 設(shè)置作用域IP地址范圍</p><p>　　d.點(diǎn)擊“下一步”，進(jìn)入“添加排除”對話框，如圖4.4所示：</p><p>　　圖4.4 設(shè)置排除ip地址范圍</p><p>　　e.點(diǎn)擊“下一步”，進(jìn)入“域名稱和DNS服務(wù)器”對話框，如圖4.5所示：</p><

40、;p>　　圖4.5設(shè)置DNS服務(wù)器</p><p>　　f.點(diǎn)擊“下一步”，即可完成服務(wù)器的創(chuàng)建，如下圖4.6：</p><p><b>　　圖4.6 完成設(shè)置</b></p><p>　　4.3 DHCP服務(wù)器的基本設(shè)置及測試</p><p>　　安裝DHCP服務(wù)器后，系統(tǒng)自動(dòng)將本機(jī)默認(rèn)的DHCP服務(wù)器添加到DH

41、CP控制臺(tái)的目錄樹中。當(dāng)然還可將網(wǎng)上的其他Windows 2000或Windows 2003 DHCP服務(wù)器添加到控制臺(tái)中進(jìn)行管理</p><p>　　a. 右擊該創(chuàng)建的服務(wù)器，進(jìn)入屬性對話框，設(shè)置沖突檢測，如圖4.7所示：</p><p>　　圖4.7查看DHCP日志存儲(chǔ)位置</p><p>　　b. 按照上圖，選擇“常規(guī)”，設(shè)置租期。如下圖4.8所示：</

42、p><p>　　圖4.8查看作用域租約時(shí)間</p><p>　　C．保留特定的IP地址</p><p>　　在一個(gè)網(wǎng)絡(luò)中，有時(shí)需要給某些DHCP客戶端配置固定專用的IP地址，而這些特定的IP地址便不能再分配給其他DHCP客戶端，這就需要DHCP服務(wù)器的“保留”功能來實(shí)現(xiàn)。也就是將特定的客戶端與特定的IP地址綁定在一起，當(dāng)這個(gè)DHCP客戶端每次向DHCP服務(wù)器請求獲得IP

43、地址時(shí)，DHCP服務(wù)器都會(huì)給該DHCP客戶端分配相同的IP地址。</p><p>　　右擊“保留”進(jìn)入“新建保留”對話框，如圖4.9所示：</p><p><b>　　圖4.9</b></p><p><b>　　5總結(jié)</b></p><p>　　在關(guān)于DHCP服務(wù)器的安裝，配置和使用中還有一些不

44、盡人意、考慮不周全的地方。比如在Winserver2003的DHCP服務(wù)的相關(guān)研究，由于時(shí)間關(guān)系，還有缺少研究平臺(tái)，因此沒能進(jìn)去更深入的研究，希望在以后中能不斷的進(jìn)行自我改善。</p><p>　　掌握了設(shè)置DHCP的一些研究，并接觸了DHCP服務(wù)器的知識。加深對網(wǎng)絡(luò)制式的了解，同時(shí)鞏固了以前所學(xué)知識，并了解了各種網(wǎng)絡(luò)設(shè)備的專業(yè)術(shù)語。</p><p>　　總之，經(jīng)過本次畢業(yè)設(shè)計(jì)，培養(yǎng)了自己

45、的動(dòng)手能力，大大提高了自己的自學(xué)能力和解決問題的能力，大大豐富了自己的專業(yè)知識和專業(yè)技能。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 劉永華 《Windows server 2003 操作系統(tǒng)》清華大學(xué)出版社 2008.6</p><p>　　[2] 劉曉輝 《Windows Server 2003 服務(wù)器搭建、