网络安全课程实验指导书.doc

资源描述

网络安全课程实验安排及指导书 2009-10-21 实验安排 1、推荐必做实验网络扫描计算机病毒及恶意代码防火墙实验入侵检测系统 2、推荐选作实验 VPN配置证书的申请和使用 windows安全配置实验实验一：网络扫描实验【实验目的】了解扫描的基本原理，掌握基本方法，最终巩固主机安全【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具【实验环境】 1、硬件 PC机一台. 2、系统配置:操作系统windows XP以上。【实验步骤】 1、端口扫描 1）解压并安装ipscan15.zip，扫描本局域网内的主机 2）解压nmap-4。00-win32.zip，安装WinPcap 运行cmd。exe，熟悉nmap命令（详见“Nmap详解。mht”). 3）试图做以下扫描: 扫描局域网内存活主机，扫描某一台主机或某一个网段的开放端口扫描目标主机的操作系统试图使用Nmap的其他扫描方式，伪源地址、隐蔽扫描等 2、漏洞扫描解压X-Scan—v3.3-cn.rar，运行程序xscan_gui.exe，将所有模块选择扫描，扫描本机，或局域网内某一台主机的漏洞【实验报告】 1、说明程序设计原理。 2、提交运行测试结果。【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术。ppt 2、 NMAP使用方法　扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。　　Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect(),TCP SYN (half open）, ftp proxy （bounce attack）,Reverse—ident, ICMP （ping sweep)， FIN, ACK sweep，X mas Tree， SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节.nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。　　一、安装Nmap 　　Nmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap-—如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据.WinPcap的最新版本在http://netgroup—serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系统,下载得到的是一个执行文件，双击安装,一路确认使用默认设置就可以了，安装好之后需要重新启动。　　接下来下载Nmap。下载好之后解开压缩,不需要安装。除了执行文件nmap.exe之外，它还有下列参考文档: 　　㈠ nmap—os-fingerprints：列出了500多种网络设备和操作系统的堆栈标识信息。　　㈡ nmap—protocols：Nmap执行协议扫描的协议清单。　　㈢ nmap-rpc：远程过程调用(RPC）服务清单，Nmap用它来确定在特定端口上监听的应用类型。　　㈣ nmap—services:一个TCP/UDP服务的清单,Nmap用它来匹配服务名称和端口号。　　除了命令行版本之外,www.insecure.org还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样,GUI版本需要安装,图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。图一　二、常用扫描类型　　解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录(如果经常要用Nmap，最好把它的路径加入到PATH环境变量）。不带任何命令行参数运行Nmap，Nmap显示出命令语法，如图二所示。图二　　下面是Nmap支持的四种最基本的扫描方式：　　⑴ TCP connect(）端口扫描(-sT参数）。　　⑵ TCP同步(SYN）端口扫描（-sS参数)。　　⑶ UDP端口扫描（-sU参数)。　　⑷ Ping扫描（-sP参数). 　　如果要勾画一个网络的整体情况,Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP(Internet Control Message Protocol,Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge,简写ACK)数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。　　TCP SYN扫描一下子不太好理解，但如果将它与TCP connect(）扫描比较,就很容易看出这种扫描方式的特点。在TCP connect()扫描中,扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说,扫描器打开了两个主机之间的完整握手过程（SYN，SYN-ACK，和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。　　TCP SYN扫描创建的是半打开的连接，它与TCP connect（）扫描的不同之处在于，TCP SYN扫描发送的是复位(RST）标记而不是结束ACK标记（即，SYN，SYN-ACK，或RST)：如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST;如果远程主机的端口是关闭的，它的应答将是RST,此时Nmap转入下一个端口. 　　图三是一次测试结果，很明显，TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCP SYN扫描需要大约十三秒，而TCP connect（）扫描耗时最多，需要大约7分钟。图三　　Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168。7网络，可以用192.168。7.x/24或192。168.7.0-255的形式指定IP地址范围.指定端口范围使用—p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口。　如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数,或者加上—vv参数获得更加详细的信息。例如，nmap -sS 192.168。7。1-255 —p 20，21,53-110，30000- —v命令，表示执行一次TCP SYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子，nmap —sS 192。168.7.1/24 -p 80扫描192.168.0子网，查找在80端口监听的服务器(通常是Web服务器）。　　有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描.初步侦测网络情况时，-host_timeout<毫秒数〉参数很有用,它表示超时时间，例如nmap sS host_timeout 10000 192.168。0。1命令规定超时时间是10000毫秒。　　网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。　　Nmap的手册(man文档）详细说明了命令行参数的用法（虽然man文档是针对UNIX版Nmap编写的,但同样提供了Win32版本的说明)。　　三、注意事项　　也许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址扫描，注意防火墙、入侵检测系统（IDS)以及其他工具对扫描操作的反应.通常，TCP connect()会引起IDS系统的反应，但IDS不一定会记录俗称“半连接”的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档,以便随后参考。　　如果你打算熟悉和使用Nmap，下面几点经验可能对你有帮助：　　㈠避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报以及其他网络问题. 　　㈡关闭不必要的服务。根据Nmap提供的报告（同时考虑网络的安全要求）,关闭不必要的服务，或者调整路由器的访问控制规则(ACL)，禁用网络开放给外界的某些端口。　　㈢建立安全基准.在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后,下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行. 实验二：计算机病毒及恶意代码【实验目的】练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。【实验内容】安装木马程序NetBus，通过冰刃iceberg、autoruns。exe了解木马的加载及隐藏技术【实验步骤】 1、木马安装和使用 1）在菜单运行中输入cmd打开dos命令编辑器 2 ) 安装netbus软件 3) 在DOS命令窗口启动进程并设置密码 4）打开木马程序，连接别人主机 5）控制本地电脑打开学院网页 6) 查看自己主机 7) 查看任务管理器进程 8 移除木马控制程序进程查看任务管理器（注意：Patch。exe进程已经关闭） 2、木马防御实验在木马安装过程可以运行一下软件查看主机信息变化： 1）使用autoruns.exe软件，查看windows程序启动程序的位置，了解木马的自动加载技术. 如自动运行进程(下图所示)、IE浏览器调运插件、任务计划等: 2）查看当前运行的进程，windows提供的任务管理器可以查看当前运行的进程，但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例启动procexp.exe程序，查看当前运行进程所在位置，如图所示： 3）木马综合查杀练习使用冰刃IceSword查看木马可能修改的位置：主要进行以下练习: 1）查看当前通信进程开放的端口. 木马攻击 2）查看当前启动的服务 3）练习其他功能,如强制删除其他文件，SPI、内核模块等. 【实验报告】 1、分析木马传播、自启动、及隐藏的原理。 2、提交运行测试的结果，并分析。【背景知识】 NetBus由两部分组成：客户端程序(netbus。exe）和服务器端程序（通常文件名为：patch。exe）。要想“控制"远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。 NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore。exe(注意：不是explorer.exe！）或者简单地叫game.exe. 同时，你可以检查Windows系统注册表,NetBus会在下面路径中加入其自身的启动项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的. 正确的去除方法如下: 1、运行regedit.exe； 2、找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun； 3、将patch项删除(或者explore项）； 4、重新启动机器后删除Windows系统目录下的patch。exe（或者explore。exe)即可. 实验三：防火墙实验【实验目的】掌握个人防火墙的使用及规则的设置【实验内容】防火墙设置，规则的设置，检验防火墙的使用。【实验环境】 3、硬件 PC机一台. 4、系统配置:操作系统windows XP以上。【实验步骤】（有两种可选方式，1、以天网防火墙为例，学习防火墙的规则设置，2、通过winroute防火墙学习使用规则设置,两者均需安装虚拟机) 一、虚拟机安装与配置验证virtual PC是否安装在xp操作系统之上，如果没有安装，从获取相关软件并安装；从教师机上获取windows 2000虚拟机硬盘二、包过滤防火墙winroute配置（可选) 1、从教师机上获取winroute安装软件并放置在windows 2000上安装 2、安装默认方式进行安装，并按提示重启系统 3、登陆虚拟机,打开winroute 以管理员的身份登录，打开开始〉WinRoute Pro>WinRoute Administration，输入IP地址或计算机名，以及WinRoute管理员帐号（默认为Admin)、密码（默认为空） 3、打开菜单 Setting〉Advanced>Packet Filter 4、在Packet Filter对话框中，选中Any interface并展开双击No Rule图标,打开Add Item对话框在Protocol下拉列表框中选择ICMP，开始编辑规则配置Destination：type为Host,IP Address为192.168。1.1 （x为座位号） 5、在ICMP Types中,选中All复选项在Action区域,选择Drop项在Log Packet区域选中Log into Window 其他各项均保持默认值，单击OK 单击OK，返回主窗口 6、合作伙伴间ping对方IP,应该没有任何响应打开菜单View>Logs〉Security Log ，详细查看日志记录禁用或删除规则 8、用WinRoute控制某个特定主机的访问(选作）要求学生在虚拟机安装ftp服务器。 1）打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing标签 2）选择Any Interface并展开，双击No Rule,然后选择TCP协议 3) 配置Destination 框:type为 Host， IP Address为192.168.1。2（2为合作伙伴座位号) 4）、在Source框中：端口范围选择Greater than（>),然后输入1024 5) 以21端口作为 Destination Port值 6）在Action区域，选择Deny选项 7) 选择Log into window选项 8）应用以上设置，返回主窗口 9）合作伙伴间互相建立到对方的FTP连接,观察失败信息 10)禁用或删除FTP过滤三、包过滤天网防火墙配置（可选） 1、安装解压,单击安装文件SkynetPFW_Retail_Release_v2.77_Build1228。EXE 安装按缺省的设置安装，注：破解 1)将两个文件［Cr—PFW。exe］和[PFW.bak]一起复制到软件安装目录中 2)运行破解补丁[Cr-PFW.exe]，覆盖原主程序即可 2、熟悉防火墙规则启动防火墙并”单击自定义规则”如图熟悉规则的设置: 双击如下选项: “允许自己用ping命令探测其他机器 “防止别人用ping命令探测” “禁止互联网上的机器使用我的共享资源” “防止互联网上的机器探测机器名称”等选项, 熟悉其中的IP地址、方向，协议类型、端口号、控制位等项的设置。试总结规则设置的顺序, 5、增加设置防火墙规则开放部分自己需要的端口。下图为对话框，各部分说明: 1) 新建IP规则的说明部分，可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以.还有数据包方向的选择，分为接收，发送,接收和发送三种,可以根据具体情况决定。 2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。 3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等. 4）比较关键,就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，具体看后面的实例。试设置如下规则： 1）禁止局域网的某一台主机和自己通信通信 2)禁止任何大于1023的目标端口于本机连接, 3）允许任何新来的TCP与主机192.168.0.1的SMTP连接 4、查看各个程序使用及监听端口的情况可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等. 【实验报告】 1、说明包过滤放火墙的工作原理。 2、提交防火墙指定功能测试结果。实验4 入侵检测系统安装和使用【实验目的】通过安装并运行一个snort系统，了解入侵检测系统的作用和功能【实验内容】安装并配置appahe，安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS 【实验环境】硬件 PC机一台. 系统配置：操作系统windows XP以上. 【实验步骤】 1、安装appache服务器安装的时候注意，本机的80 端口是否被占用，如果被占用则关闭占用端口的程序。选择定制安装，安装路径修改为c：\apache 安装程序会自动建立c：\apache2 目录,继续以完成安装。添加Apache 对PHP 的支持 1）解压缩php-5.2.6—Win32。zip至c:\php 2）拷贝php5ts。dll文件到％systemroot%\system32 3）拷贝php.ini-dist （修改文件名) 至％systemroot%\php.ini 修改php.ini extension=php_gd2.dll extension=php_mysql.dll 同时拷贝c：\php\extension下的php_gd2。dll与php_mysql。dll 至%systemroot％\ 4)添加gd库的支持在C：\apache\Apache2\conf\httpd.conf中添加： LoadModule php5_module "c:/php5/php5apache2.dll” AddType application这一行下面加入下面两行: AddType application/x—httpd—php 。php 。phtml .php3 。php4 AddType application/x-httpd-php-source 。phps 5）添加好后,保存http。conf文件，并重新启动apache服务器。现在可以测试php脚本：在c：\apache2\htdocs 目录下新建test。php test.php 文件内容：〈？phpinfo(）；？> 使用http：//localhost/test。php 测试php 是否安装成功 2、安装配置snort 安装程序WinPcap_4_0_2.exe;缺省安装即可安装Snort_2_8_1_Installer。exe；缺省安装即可将snortrules-snapshot-CURRENT目录下的所有文件复制（全选）到c:\snort目录下。将文件压缩包中的snort.conf覆盖C：\Snort\etc\snort.conf 3、安装MySql配置mysql 解压mysql—5。0。51b—win32。zip,并安装。采取默认安装,注意设置root帐号和其密码 J检查是否已经启动mysql服务在安装目录下运行命令：(一般为c：\mysql\bin） mysql -u root –p 输入刚才设置的root密码运行以下命令 c:\〉mysql —D mysql -u root —p 〈 c：\snort_mysql （需要将snort_mysql复制到c盘下，当然也可以复制到其他目录) 运行以下命令： c:\mysql\bin\mysql —D snort -u root -p 〈 c:\snort\schemas\create_mysql c:\mysql\bin\mysql —D snort_archive —u root -p 〈 c：\snort\schemas\create_mysql 4、安装其他工具 1）安装adodb，解压缩adodb497。zip到c:\php\adodb 目录下 2）安装jpgrapg 库，解压缩jpgraph-1。22。1.tar.gz到c：\php\jpgraph，并且修改C:\php\jpgraph\src\jpgraph。php,添加如下一行： DEFINE（"CACHE_DIR”,"/tmp/jpgraph_cache/”）; 3）安装acid,解压缩acid—0。9。6b23。tar。gz 到c:\apache\htdocs\acid 目录下，并将C:\Apache\htdocs\acid\acid_conf.php文件的如下各行内容修改为：＄DBlib_path = "c：\php\adodb"; ＄alert_dbname = "snort"；＄alert_host = "localhost”; ＄alert_port = "3306”; $alert_user = "acid"；＄alert_password = "acid"; ＄archive_dbname = "snort_archive"; $archive_host = ”localhost"； $archive_port = ”3306”；＄archive_user = ”acid"；＄archive_password = ”acid"； $ChartLib_path = ”c:\php\jpgraph\src"; 4）、通过浏览器访问http：/127.0。0.1/acid/acid_db_setup.php，在打开页面中点取“Create ACID AG”按钮,让系统自动在mysql中建立acid 运行必须的数据库 5、启动snort 测试snort是否正常： c:\〉snort -dev，能看到一只正在奔跑的小猪证明工作正常查看本地网络适配器编号: c：\〉snort —W 正式启动snort； snort -c ”c：\snort\etc\snort。conf” -i 2 —l ”c：\snort\logs” —deX (注意其中—i 后的参数为网卡编号，由snort –W 察看得知) 这时通过http：//localhost/acid/acid_main。php 可以察看入侵检测的结果 6、利用扫描实验的要求扫描局域网，查看检测的结果【实验报告】 1、简单分析网络入侵检测snort的分析原理 2、分析所安装的入侵检测系统对攻击的检测结果.附: Appach启动动命令: apache —k install | apache —k start 证书的申请和使用【实验目的】掌握数字证书的申请、安装，利用证书的使用通过Outlook发送和接受安全电子邮件【实验内容】 1、申请免费使用证书，了解证书的结构 2、利用申请的证书，发送和接收具有加密和签名认证的电子邮件【实验环境】上网计算机,Windows操作系统（最好是Windows2000）.IE5。0以上浏览器【实验步骤】 1、证书申请 (1）登录中国数字认证网网站：http://www。ca365。com，如图1所示，图1 申请证书主页 (2）单击 “用表格申请”，进入申请网页，如图2：填写相关信息，注意证书用途选择，电子邮件保护证书。注意电子邮件部分填写随后测试邮件的自己电子邮件的邮件图2、申请表格 3）单击“提交并安装证书” 4）证书查询打开IE浏览器,依次点击工具→Internet选项→内容→证书,如图8.11所示，点击证书按钮后出现证书目录，如图8。12，双击刚才申请的试用个人证书，如图8。13所示.需要说明的是，由于证书是试用证书,所以有该证书未生效信息，实际上，正式申请的付费证书是没有任何问题。图3互联网选项图4 已经安装好的数字证书图5 证书信息 2、使用证书发送安全邮件 1）选择菜单-〉工具-〉选项弹出对话框选择安全属性页，复选“给待发邮件添加数字签名”“以明文签名发送邮件" 选择“设置”按钮，弹出“更改安全设置对话框”见图9 图6 选项属性页 2）选择 “设置”按钮弹出“更改安全设置"对话框图7 填写名称 “选择" 按钮选择刚才申请的证书，并选择哈希算法和加密算法。图7安全设置对话框 3 ）选择一个通信联系人发送一个邮件(这里最好是相互发送）看看对方是不是收到了一个带证书的电子邮件注意：这时只能发送签名电子邮件,因为不知道对方的公钥无法加密（why？),可以思考一下。发送加密带签名的电子邮件方法如下：需要知道收信人的公钥才能加密,因此需要导入收信人的证书. 4)导出收信人证书以刚才收到的带签名的和证书的油箱导入对方的证书 A）添加刚才收到信的发信人岛通信薄. B）从刚才收到的信中到处证书。在信的右边单击红色飘带弹出对话框,并单击“详细信息"，弹出对话框,选择 “签字人：*＊*＊" ，并单击“查看信息” 按钮（如图8），弹出属性页，选择“查看证书按钮"，弹出属性页对话框，选择“详细信息"，及“复制到文件…”按钮（见图9）。把证书复制到文件图8 图9 5）向通信薄中联系人添加证书。选择菜单“工具"-〉“通信薄”,选择上述接收到的邮件发件人作为联系人，并单击，选择证书属性页,（如图10），单击“导入”按钮，倒入刚才到处的文件。图10 6）发送带签名和加密的电子邮件选择菜单工具—〉选项… 弹出对话框选择安全属性页，复选“加密带发邮件的内容和附件” , “给待发邮件添加数字签名” ，“以明文签名发送邮件"（如图11）向对方发送一个电子邮件，看看是不会加密带签名的图11 【实验报告】 1、提交运行测试结果 2、提交申请证书的分析说明 3、提交认证（签名)和加密邮件的分析说明实验六： windows安全配置实验【实验目的】掌握windows的安全设置,加固操作系统安全【实验内容】 1、账户与密码的安全设置 2、文件系统的保护和加密 3、启用安全策略与安全模板 4、审核与日志查看 5、利用 MBSA 检查和配置系统安全【实验环境】 7、硬件 PC机一台. 2、系统配置：操作系统windows XP专业版。【实验步骤】任务一账户和密码的安全设置 1、删除不再使用的账户，禁用 guest 账户 ⑴ 检查和删除不必要的账户右键单击“开始”按钮，打开“资源管理器"，选择“控制面板”中的“用户和密码”项；在弹出的对话框中中列出了系统的所有账户.确认各账户是否仍在使用，删除其中不用的账户. ⑵ 禁用 guest 账户打开“控制面板”中的“管理工具”，选中“计算机管理"中“本地用户和组”，打开“用户",右键单击 guest 账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用"一栏前打勾。确定后,观察 guest 前的图标变化,并再次试用 guest 用户登陆，记录显示的信息. ２、启用账户策略 ⑴ 设置密码策略打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置.根据选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。 ⑵ 设置账户锁定策略打开“控制面板"中的“管理工具"，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如 3 次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码. 在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间（如 20 min ）。重启计算机，进行无效的登陆（如密码错误），当次数超过 3 次时，记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比. ３．开机时设置为“不自动显示上次登陆账户” 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”,打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效. ４．禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”,打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项"，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制"项，在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。此外，在“安全选项"中还有多项增强系统安全的选项，请同学们自行查看。任务二文件系统安全设置 ⑴ 打开采用 NTFS 格式的磁盘,选择一个需要设置用户权限的文件夹。 ⑵ 右键单击该文件夹，选择“属性”,在工具栏中选择“安全”。 ⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。 ⑷ 选中列表中的 Everyone 组，单击“删除”按钮，删除 Everyone 组的操作权限，由于新建的用户往往都归属于 Everyone 组，而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权，删除 Everyone 组的操作权限可以对新建用户的权限进行限制,原则上只保留允许访问此文件夹的用户和用户组。 ⑸ 选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。 ⑹ 单击“高级"按钮，在弹出的窗口中,查看各用户组的权限。 ⑺ 注销计算机,用不同的用户登陆，查看刚才设置“桌面”文件夹的访问权限，将结果记录在实验报告中。任务三启用审核与日志查看 1 ．启用审核策略 (1）打开“控制面板"中的“管理工具”，选择“本地安全策略”。（2) 打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。（3) 双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后,审核结果放在各种事件日志中。 2 ．查看事件日志（1）打开“控制面板”中的“管理工具”，双击“事件查看器“,在弹出的窗口中查看系统的 3 种日志。（2）双击“安全日志”，可查看有效无效、登陆尝试等安全事件的具体记录，例如：查看用户登陆 / 注销的日志. 任务四启用安全策略与安全模块 1、启用安全模板开始前,请记录当前系统的账户策略和审核日志状态，以便于同实验后的设置进行比较。 ⑴ 单击“开始”按钮，选择“运行”按钮,在对话框中运行 mmc ，打开系统控制台 ⑵ 单击工具栏上“控制台"，在弹出的菜单中选择“添加 / 删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板"、“安全设置和分析”，单击“添加"按钮后,关闭窗口,并单击“确定”按钮。 ⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述"，可以看到该模板的相关信息.选择“打开”，右侧窗口出现该模板的安全策略,双击每种安全策略可看到其相关配置. ⑷ 右键单击“安全设置与分析"，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为 mycomputer。sdb ,单击“打开"按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。 ⑸ 右键单击“安全设置与分析”,选择“立即分析计算机”，单击“确定”按钮，系统开始按照上一步中选定的安全模板，对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。 ⑹ 右键单击“安全设置与分析”,选择“立即配置计算机”，则按照第（ 4 ）步中所选的安全模板的要求对当前系统进行配置。 ⑺ 在实验报告中记录实验前系统的缺省配置，接着记录启用安全模板后系统的安全设置，记录下比较和分析的结果。 2 ．建安全模板 ⑴ 单击“开始”按钮，选择“运行"按钮，在对话框中运行 mmc ,打开系统控制台。 ⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加 / 删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。 ⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的安全策略，双击每中安全策略可看到其相关配置。 ⑷ 右键单击“安全设置与分析”，选择“打开数据库”.在弹出的对话框中输入预建安全数据库的名称，例如起名为 mycomputer。sdb ,单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入. ⑸

展开阅读全文