資源描述:
《實(shí)驗(yàn)4-基于windows網(wǎng)絡(luò)安全的解決方案》由會(huì)員上傳分享����,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1�����、南昌航空大學(xué)實(shí)驗(yàn)報(bào)告二〇一三年十一月八日課程名稱(chēng):信息安全實(shí)驗(yàn)名稱(chēng):實(shí)驗(yàn)4基于Window網(wǎng)絡(luò)安全整體解決方案班級(jí):xxx姓名:xxx同組人:指導(dǎo)教師評(píng)定:簽名:一�����、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)掌握Windows賬戶(hù)與密碼的安全設(shè)置���、文件系統(tǒng)的保護(hù)和加密�、安全策略與安全模板,了解Windows操作系統(tǒng)中Web服務(wù)器��、FTP服務(wù)器的安全漏洞及其防范措施���,實(shí)現(xiàn)Web服務(wù)器和FTP服務(wù)器的安全配置���。綜合運(yùn)用加密、IP過(guò)濾�、安全套接層協(xié)議等安全技術(shù),建立一個(gè)Windows操作系統(tǒng)的基本安全框架�,掌握證書(shū)服務(wù)器的配置和使用方法。二��、實(shí)驗(yàn)原理賬戶(hù)和口令是登錄系統(tǒng)的基礎(chǔ)�����,合理地設(shè)置賬號(hào)����、口令是很必要的
2、��。磁盤(pán)數(shù)據(jù)也是攻擊者的主要目標(biāo)��,NTFS文件系統(tǒng)是一種安全的文件系統(tǒng),當(dāng)用戶(hù)的計(jì)算機(jī)在沒(méi)有足夠物理保護(hù)的地方使用時(shí)����,保密數(shù)據(jù)可能被盜取,造成數(shù)據(jù)丟失�����。采用加密文件系統(tǒng)EFS的加密功能可以對(duì)敏感數(shù)據(jù)文件進(jìn)行加密����,加強(qiáng)數(shù)據(jù)的安全性。IIS是Windows系統(tǒng)中的Internet信息和應(yīng)用程序服務(wù)器�。利用IIS可以配置Windows平臺(tái)方便地提供并且和系統(tǒng)管理功能完美的融合在一起,使系統(tǒng)管理員獲得和Windows系統(tǒng)完全一致的管理��。安全套接層(SecureSocketLayer,SSL)是使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通信協(xié)議�����,能把在網(wǎng)頁(yè)和服務(wù)器之間傳輸?shù)臄?shù)據(jù)加密�����。SSL在TCP
3�����、之上建立了一個(gè)加密通道�����,通過(guò)該通道的數(shù)據(jù)都經(jīng)過(guò)了加密過(guò)程�。SSL協(xié)議又可分為兩部分:握手協(xié)議和記錄協(xié)議。其中握手協(xié)議用于協(xié)商密鑰��,記錄協(xié)議則定義了傳輸?shù)母袷?����。三�����、?shí)驗(yàn)環(huán)境Windows2000操作系統(tǒng)�,建議安裝一個(gè)虛擬機(jī),并在虛擬機(jī)中完成相應(yīng)實(shí)驗(yàn)��。一般要求虛擬機(jī)安裝沒(méi)有打補(bǔ)丁的Windows2000Server�����,虛擬機(jī)可采用VMWare,安裝Windows2000Server的計(jì)算機(jī)�,某一磁盤(pán)格式配置為NTFS。四����、實(shí)驗(yàn)內(nèi)容和任務(wù)任務(wù)一、賬戶(hù)和口令的安全設(shè)置1.刪除不再使用的賬戶(hù)��,禁用guest賬戶(hù)�����,如圖4-1所示�。圖4-1用戶(hù)和密碼管理2.啟動(dòng)賬戶(hù)策略:“控制面板”à“管理
4、工具”à“本地安全策略”�,選擇賬戶(hù)策略、密碼策略��,賬戶(hù)鎖定策略��,設(shè)置密碼復(fù)雜性�����、密碼最長(zhǎng)存留期�、賬戶(hù)鎖定要求等。如圖4-2�����。3.設(shè)置新的用戶(hù)和口令����,并重新登錄或利用遠(yuǎn)程登錄,嘗試登錄次數(shù)大于所設(shè)置嘗試次數(shù)等情形�。任務(wù)二、文件系統(tǒng)安全設(shè)置1.打開(kāi)采用NTFS格式的磁盤(pán)�����,選擇一個(gè)需要設(shè)置用戶(hù)權(quán)限的文件夾�。2.設(shè)置其屬性,刪除Everyone組���,(將“允許來(lái)自復(fù)習(xí)的可能繼承權(quán)限傳播給該對(duì)象”之前的勾去掉)����,如圖4-3所示��。圖4-2本地安全設(shè)置圖4-3文件夾安全屬性3.選擇相應(yīng)的用戶(hù)組�����,在對(duì)應(yīng)的復(fù)選框中打勾,設(shè)置其余用戶(hù)組對(duì)該文件夾的操作權(quán)限��,如圖4-4所示4.選擇要加密的文件�����,利用
5���、文件夾的高級(jí)屬性加密文件�,如圖4-5所示���。5.然后創(chuàng)建一個(gè)新的用戶(hù)如:TEST��,并利用新賬號(hào)重新登錄���,再次訪(fǎng)問(wèn)該文件。圖4-4用戶(hù)權(quán)限圖4-5文件夾的高級(jí)屬性6.再次切換回加密文件的管理員賬戶(hù)登錄系統(tǒng),單擊“開(kāi)始”按鈕�,在“運(yùn)行”框中輸入mmc,打開(kāi)控制臺(tái),選擇“添加/刪除管理單元”�,選擇添加“證書(shū)”,如圖4-6所示。在控制臺(tái)中選擇“證書(shū)”“個(gè)人”“證書(shū)”����,可以看到文件系統(tǒng)的證書(shū)顯示在右側(cè)���,如圖4-7所示����。圖4-6添加證書(shū)圖4-7系統(tǒng)控制臺(tái)7.導(dǎo)出證書(shū)����。8.再次切換用戶(hù),以TEST登錄系統(tǒng)�,利用控制臺(tái)導(dǎo)入證書(shū)。再次雙擊加密的文件��。任務(wù)三���、啟動(dòng)安全策略與安全模板1.啟動(dòng)安全模板
6���、:利用mmc命令,啟動(dòng)系統(tǒng)控制臺(tái)à添加/刪除管理單元�����,添加“安全模板”、“安全配置和分析”如圖4-8所示����。2.查看系統(tǒng)控制臺(tái)中的安全模板的描述。3.右鍵單擊“安全配置與分析”�,選擇“打開(kāi)數(shù)據(jù)庫(kù)”。在彈出的對(duì)話(huà)框中輸入欲新建安全數(shù)據(jù)庫(kù)的名稱(chēng)����,如圖4-9所示。根據(jù)計(jì)算機(jī)準(zhǔn)備配制成的安全等級(jí)���,選擇一個(gè)安全模板將其導(dǎo)入��。圖4-8安全模板圖4-9打開(kāi)數(shù)據(jù)庫(kù)4.右鍵單擊“安全配置與分析”�����,選擇“立即分析計(jì)算機(jī)”�����。記錄分析結(jié)果��。任務(wù)四����、FTP服務(wù)器的安全配置1.停止默認(rèn)FTP站點(diǎn),打開(kāi)“控制面板”à“管理工具”à“Internet服務(wù)管理器”��,右擊“默認(rèn)FTP站點(diǎn)”�,停止�����。避免使用周所周知
7���、的默認(rèn)服務(wù)器設(shè)置�����。如圖4-10所示�����。2.修改TCP端口�,使得攻擊者無(wú)法得到服務(wù)器的端口號(hào)�,從而增大攻擊難度,但同時(shí)也會(huì)給用戶(hù)帶來(lái)不便。3.啟動(dòng)日志記錄����,修改文件日志目錄,將日志目錄和FTP主目錄分放在不同的路徑下��。4.在賬號(hào)頁(yè)面中����,取消“允許匿名連接”,在“FTP站點(diǎn)操作員”只留系統(tǒng)管理員賬號(hào)���。5.設(shè)置主目錄的用戶(hù)權(quán)限�����,刪除Everyone用戶(hù)組��。6.在“目錄安全性”頁(yè)面中添加被拒絕或允許的IP�。任務(wù)五�����、用IIS建立高安全的Web服務(wù)器1.為保護(hù)Windows2000Server系統(tǒng)的安全性���,確認(rèn)IIS
