資源描述:
《實驗指導(dǎo)書4_基于window網(wǎng)絡(luò)安全整體解決方案》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、實驗4基于Window網(wǎng)絡(luò)安全整體解決方案一、實驗?zāi)康耐ㄟ^實驗掌握Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模板,了解Windows操作系統(tǒng)中Web服務(wù)器、FTP服務(wù)器的安全漏洞及其防范措施,實現(xiàn)Web服務(wù)器和FTP服務(wù)器的安全配置。綜合運用加密、IP過濾、安全套接層協(xié)議等安全技術(shù),建立一個Windows操作系統(tǒng)的基本安全框架,掌握證書服務(wù)器的配置和使用方法。二、實驗原理賬戶和口令是登錄系統(tǒng)的基礎(chǔ),合理地設(shè)置賬號、口令是很必要的。磁盤數(shù)據(jù)也是攻擊者的主要目標(biāo),NTFS文件系統(tǒng)是一種安全的文件系統(tǒng),當(dāng)用戶的計算機(jī)在沒有足夠物理保護(hù)
2、的地方使用時,保密數(shù)據(jù)可能被盜取,造成數(shù)據(jù)丟失。采用加密文件系統(tǒng)EFS的加密功能可以對敏感數(shù)據(jù)文件進(jìn)行加密,加強(qiáng)數(shù)據(jù)的安全性。IIS是Windows系統(tǒng)中的Internet信息和應(yīng)用程序服務(wù)器。利用IIS可以配置Windows平臺方便地提供并且和系統(tǒng)管理功能完美的融合在一起,使系統(tǒng)管理員獲得和Windows系統(tǒng)完全一致的管理。安全套接層(SecureSocketLayer,SSL)是使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通信協(xié)議,能把在網(wǎng)頁和服務(wù)器之間傳輸?shù)臄?shù)據(jù)加密。SSL在TCP之上建立了一個加密通道,通過該通道的數(shù)據(jù)都經(jīng)過了加密過程。SSL協(xié)議又可分為兩部分:
3、握手協(xié)議和記錄協(xié)議。其中握手協(xié)議用于協(xié)商密鑰,記錄協(xié)議則定義了傳輸?shù)母袷?。三、實驗環(huán)境Windows2000操作系統(tǒng),建議安裝一個虛擬機(jī),并在虛擬機(jī)中完成相應(yīng)實驗。一般要求虛擬機(jī)安裝沒有打補(bǔ)丁的Windows2000Server,虛擬機(jī)可采用VMWare,安裝Windows2000Server的計算機(jī),某一磁盤格式配置為NTFS。四、實驗內(nèi)容和任務(wù)任務(wù)一、賬戶和口令的安全設(shè)置1.刪除不再使用的賬戶,禁用guest賬戶,如圖4-1所示。圖4-1用戶和密碼管理2.啟動賬戶策略“控制面板”à“管理工具”à“本地安全策略”,選擇賬戶策略、密碼策略,賬戶鎖定策略,設(shè)置
4、密碼復(fù)雜性、密碼最長存留期、賬戶鎖定要求等。圖4-2本地安全設(shè)置3.設(shè)置新的用戶和口令,并重新登錄或利用遠(yuǎn)程登錄,嘗試登錄次數(shù)大于所設(shè)置嘗試次數(shù)等情形。任務(wù)二、文件系統(tǒng)安全設(shè)置1.打開采用NTFS格式的磁盤,選擇一個需要設(shè)置用戶權(quán)限的文件夾。2.設(shè)置其屬性,刪除Everyone組,(將“允許來自復(fù)習(xí)的可能繼承權(quán)限傳播給該對象”之前的勾去掉),如圖4-3所示。圖4-3文件夾安全屬性3.選擇相應(yīng)的用戶組,在對應(yīng)的復(fù)選框中打勾,設(shè)置其余用戶組對該文件夾的操作權(quán)限,如圖4-4所示圖4-4用戶權(quán)限4.選擇要加密的文件,利用文件夾的高級屬性加密文件,如圖4-5所示。5.
5、然后創(chuàng)建一個新的用戶如:TEST,并利用新賬號重新登錄,再次訪問該文件。圖4-5文件夾的高級屬性6.再次切換回原來加密文件的管理員賬戶登錄系統(tǒng),單擊“開始”按鈕,在“運行”框中輸入mmc,打開控制臺,選擇“添加/刪除管理單元”,選擇添加“證書”,如圖4-6所示。在控制臺中選擇“證書”“個人”“證書”,可以看到用于文件系統(tǒng)的證書顯示在右側(cè),如圖4-7所示。圖4-6添加證書圖4-7系統(tǒng)控制臺7.導(dǎo)出證書。8.再次切換用戶,以TEST登錄系統(tǒng),利用控制臺導(dǎo)入證書。9.再次雙擊加密的文件。任務(wù)三、啟動安全策略與安全模板1.啟動安全模板利用mmc命令,啟動系統(tǒng)控制臺à
6、添加/刪除管理單元,分別添加“安全模板”、“安全配置和分析”如圖4-8所示。圖4-8安全模板2.查看系統(tǒng)控制臺中的安全模板的描述。3.右鍵單擊“安全配置與分析”,選擇“打開數(shù)據(jù)庫”。在彈出的對話框中輸入欲新建安全數(shù)據(jù)庫的名稱,如圖4-9所示。根據(jù)計算機(jī)準(zhǔn)備配制成的安全等級,選擇一個安全模板將其導(dǎo)入。圖4-9打開數(shù)據(jù)庫4.右鍵單擊“安全配置與分析”,選擇“立即分析計算機(jī)”。記錄分析結(jié)果。任務(wù)四、FTP服務(wù)器的安全配置1.停止默認(rèn)FTP站點,打開“控制面板”à“管理工具”à“Internet服務(wù)管理器”,右擊“默認(rèn)FTP站點”,停止。避免使用周所周知的默認(rèn)服務(wù)器
7、設(shè)置。如圖4-10所示。圖4-10停止默認(rèn)FTP站點,啟動自己的FTP站點2.修改TCP端口,默認(rèn)端口為21,改用其他的端口值,使得攻擊者無法得到服務(wù)器的端口號,從而增大攻擊難度,但同時也會給用戶帶來不便。3.啟動日志記錄,修改文件日志目錄,將日志目錄和FTP主目錄分放在不同的路徑下。4.在賬號安全頁面中,取消“允許匿名連接”選項,在“FTP站點操作員”只留下系統(tǒng)管理員一個賬號。5.設(shè)置主目錄的用戶權(quán)限,刪除Everyone用戶組。6.在“目錄安全性”頁面中添加被拒絕或允許的IP。任務(wù)五、用IIS建立高安全的Web服務(wù)器1.為保護(hù)Windows2000Ser
8、ver系統(tǒng)的安全性,確認(rèn)IIS與系統(tǒng)安裝在不同的分區(qū)