孙金霞

摘要：本文以windows server2012服务器和Centos7.0服务器在中小型企业中的应用为基础，分析了如何加固企业服务器，包括域服务的配置及组策略的设置、网站CA认证服务的设置等，目的在保证公司日常的工作，防御外网的不良入侵。

Abstract： Based on the application of Windows server2012 system and Centos7.0 system in small and medium-sized enterprises， this paper analyzes how to reinforce the enterprise network server， including the configuration of domain service， the setting of group policy， the setting of website CA authentication service， etc.， in order to ensure the daily work of the company and prevent the intrusion of external network.

关键词：网络服务器;windows server2012;Centos7.0

Key words： network server;windows server2012;Centos7.0

中图分类号：TP368.5                                      文献标识码：A                                  文章编号：1006-4311（2019）27-0231-02

1  网络操作系统发展状况

北京时间2012年4月18日，微软公布了Windows Server 2012（以下简称WS2012）的名字。WS2012系统取代了之前用的windows server 2008，该服务器版本是在Windows 8基础上开发出来的，增强了网络服务、存储、虚拟化、云等技术的易用性，管理员能更容易地操作管理服务器。本文重点研究使用了WS2012版本中的Active Directory（以下简称AD DS）域服务及相应的组策略。运行AD DS的服务器称为域控制器。它对Windows域类型网络中的所有用户和计算机进行身份验证和授权;为所有计算机分配和实施安全策略并安装或更新软件。例如，当用户登录到属于Windows域的计算机时，Active Directory会检查提交的密码并确定用户是系统管理员还是普通用户。此外，它还允许管理和存储信息，提供身份验证和授权机制，并建立一个框架来部署其他相关服务：证书服务，联合服务，轻量级目录服务和权限管理服务。

CentOS，也称作社区企业操作系统，是Red Hat Enterprise Linux的再编译版本，是开源和免费的版本。CentOS7.0于2014年7月7号正式发布，这是一个企业级的Linux发行版本，是中小型公司部署网络服务器的首选。

2  中小型企业网络服务器架构分析

中小型企业在选择网络服务器的时候，可以从以下几方面进行考虑：

①网络的可扩展性，便于以后公司的发展和网络的扩展，选择易于扩容的架构。

②网络的安全性，便于以后公司的网络安全，选择易于维护和管理的架构。

③服务器的成本问题，选择开源和免费的服務器版本来组织公司网络。

基于以上的分析，结合目前中小型企业的共同需求，我们做了如下的网络服务器架构，如图1。

我们选择WS2012作为主域控服务器，在上面部署域服务，采用Centos7.0作为第二台服务器，在上面部署主要的服务：DNS服务器、DHCP服务器、WEB服务器、FTP服务器、CA认证服务及相关的数据库服务器。每台服务器上IP地址都设置内网和外网IP地址。内网IP地址负责内网通信，使用DNS服务器上内网视图。外网IP地址负责外网间通信，使用DNS服务器上外网视图。

3  中小型企业网络服务器安全加固分析

网络服务器的安全包括对内和对外两方面。下面从不同的方面对服务器进行加固。

3.1 域服务的使用及组策略的配置

中小型企业对内使用域服务器进行域用户的管理，在域内建立不同的组织单位，对域或者域内不同的组织单位设置相应的组策略，避免因使用统一的访问服务器权限而带来的安全隐患，同时对用户行为进行强制规范。

如图2，设置域名为sjx.com，在该域中设置公司名称“苏州科技”组织单位，在内部设置人力资源部、技术部等相关部门的组织单位。在各组织单位内部设置普通用户和经理等相关用户名，公司内部用户登录时输入各自分配的用户名和密码才能使用公司内部资源。

针对不同的组织单位建立不同的组策略。首先需要建立组策略对象，之后对组策略对象进行编辑，如图2，对技术部对象进行组策略编辑，包括该组织单位内计算机的配置和用户配置。

常用的组策略配置如下：

①要求设置安全策略，使密码必须满足复杂性。

②要求用户每隔一个月修改一次密码。