資源描述:
《實(shí)驗(yàn)4-基于window網(wǎng)絡(luò)安全整體解決方案new》由會員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、南昌航空大學(xué)實(shí)驗(yàn)報(bào)告2011年10月13日課程名稱:信息安全實(shí)驗(yàn)名稱:實(shí)驗(yàn)四基于Window網(wǎng)絡(luò)安全整體解決方案班級:080611學(xué)生姓名:談家平學(xué)號:080611123指導(dǎo)教師評定:簽名:一、實(shí)驗(yàn)?zāi)康耐ㄟ^實(shí)驗(yàn)掌握Windows賬戶與密碼的安全設(shè)置��、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模板����,了解Windows操作系統(tǒng)中Web服務(wù)器、FTP服務(wù)器的安全漏洞及其防范措施��,實(shí)現(xiàn)Web服務(wù)器和FTP服務(wù)器的安全配置�。綜合運(yùn)用加密、IP過濾���、安全套接層協(xié)議等安全技術(shù)�����,建立一個(gè)Windows操作系統(tǒng)的基本安全
2���、框架,掌握證書服務(wù)器的配置和使用方法�。二、實(shí)驗(yàn)原理賬戶和口令是登錄系統(tǒng)的基礎(chǔ)�����,合理地設(shè)置賬號��、口令是很必要的。磁盤數(shù)據(jù)也是攻擊者的主要目標(biāo)�,NTFS文件系統(tǒng)是一種安全的文件系統(tǒng),當(dāng)用戶的計(jì)算機(jī)在沒有足夠物理保護(hù)的地方使用時(shí)�,保密數(shù)據(jù)可能被盜取,造成數(shù)據(jù)丟失�����。采用加密文件系統(tǒng)EFS的加密功能可以對敏感數(shù)據(jù)文件進(jìn)行加密���,加強(qiáng)數(shù)據(jù)的安全性。IIS是Windows系統(tǒng)中的Internet信息和應(yīng)用程序服務(wù)器���。利用IIS可以配置Windows平臺方便地提供并且和系統(tǒng)管理功能完美的融合在一起�,使系統(tǒng)管理員獲得
3��、和Windows系統(tǒng)完全一致的管理����。安全套接層(SecureSocketLayer,SSL)是使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通信協(xié)議��,能把在網(wǎng)頁和服務(wù)器之間傳輸?shù)臄?shù)據(jù)加密��。SSL在TCP之上建立了一個(gè)加密通道��,通過該通道的數(shù)據(jù)都經(jīng)過了加密過程��。SSL協(xié)議又可分為兩部分:握手協(xié)議和記錄協(xié)議。其中握手協(xié)議用于協(xié)商密鑰���,記錄協(xié)議則定義了傳輸?shù)母袷健H?shí)驗(yàn)環(huán)境Windows2000操作系統(tǒng)���,建議安裝一個(gè)虛擬機(jī)�����,并在虛擬機(jī)中完成相應(yīng)實(shí)驗(yàn)。一般要求虛擬機(jī)安裝沒有打補(bǔ)丁的Windows2000Server����,
4�����、虛擬機(jī)可采用VMWare�����,安裝Windows2000Server的計(jì)算機(jī)�,某一磁盤格式配置為NTFS�。四、實(shí)驗(yàn)內(nèi)容和任務(wù)任務(wù)一����、賬戶和口令的安全設(shè)置1.刪除不再使用的賬戶,禁用guest賬戶���,如圖4-1所示�。圖4-1用戶和密碼管理2.啟動賬戶策略“控制面板”à“管理工具”à“本地安全策略”��,選擇賬戶策略���、密碼策略���,賬戶鎖定策略�,設(shè)置密碼復(fù)雜性��、密碼最長存留期����、賬戶鎖定要求等。圖4-2本地安全設(shè)置3.設(shè)置新的用戶和口令��,并重新登錄或利用遠(yuǎn)程登錄����,嘗試登錄次數(shù)大于所設(shè)置嘗試次數(shù)等情形。任務(wù)二�����、文件系統(tǒng)
5����、安全設(shè)置1.打開采用NTFS格式的磁盤����,選擇一個(gè)需要設(shè)置用戶權(quán)限的文件夾。2.設(shè)置其屬性����,刪除Everyone組�����,(將“允許來自復(fù)習(xí)的可能繼承權(quán)限傳播給該對象”之前的勾去掉)����,如圖4-3所示���。圖4-3文件夾安全屬性3.選擇相應(yīng)的用戶組�,在對應(yīng)的復(fù)選框中打勾����,設(shè)置其余用戶組對該文件夾的操作權(quán)限4.選擇要加密的文件,利用文件夾的高級屬性加密文件�。5.然后創(chuàng)建一個(gè)新用戶如:TEST,并利用新賬號重新登錄�,再訪問該文件。6.切換回原來加密文件的管理員賬戶登錄系統(tǒng),在“運(yùn)行”中輸入mmc,打開控制臺��,選擇“
6���、添加/刪除管理單元”�����,選擇添加“證書”����,如圖4-6所示。在控制臺中選擇“證書”“個(gè)人”“證書”�����,可以看到用于文件系統(tǒng)的證書顯示在右側(cè)����。圖4-6添加證書7.導(dǎo)出證書。8.再次切換用戶��,以TEST登錄系統(tǒng)�,利用控制臺導(dǎo)入證書�。9.再次雙擊加密的文件。任務(wù)三����、啟動安全策略與安全模板1.啟動安全模板利用mmc命令,啟動系統(tǒng)控制臺à添加/刪除管理單元,分別添加“安全模板”�、“安全配置和分析”。2.查看系統(tǒng)控制臺中的安全模板的描述��。3.右鍵單擊“安全配置與分析”��,選擇“打開數(shù)據(jù)庫”���。在彈出的對話框中輸入欲新建
7���、安全數(shù)據(jù)庫的名稱,如圖4-9所示���。根據(jù)計(jì)算機(jī)準(zhǔn)備配制成的安全等級�,選擇一個(gè)安全模板將其導(dǎo)入��。圖4-9打開數(shù)據(jù)庫4.右鍵單擊“安全配置與分析”����,選擇“立即分析計(jì)算機(jī)”。記錄分析結(jié)果�。任務(wù)四、FTP服務(wù)器的安全配置1.停止默認(rèn)FTP站點(diǎn)����,打開“控制面板”à“管理工具”à“Internet服務(wù)管理器”����,右擊“默認(rèn)FTP站點(diǎn)”�,停止。避免使用周所周知的默認(rèn)服務(wù)器設(shè)置��。如圖4-10所示����。圖4-10停止默認(rèn)FTP站點(diǎn),啟動自己的FTP站點(diǎn)2.修改TCP端口����,默認(rèn)端口為21,改用其他的端口值���,使得攻擊者無法得到
8���、服務(wù)器的端口號,從而增大攻擊難度����,但同時(shí)也會給用戶帶來不便。3.啟動日志記錄��,修改文件日志目錄���,將日志目錄和FTP主目錄分放在不同的路徑下��。4.在賬號安全頁面中�,取消“允許匿名連接”選項(xiàng)����,在“FTP站點(diǎn)操作員”只留下系統(tǒng)管理員一個(gè)賬號。5.設(shè)置主目錄的用戶權(quán)限�����,刪除Everyone用戶組��。6.在“目錄安全性”頁面中添加被拒絕或允許的IP����。任務(wù)五、用IIS建立高安全的Web服務(wù)器1.為保護(hù)Windows2000Server系統(tǒng)的安全性�����,確認(rèn)IIS與系統(tǒng)安裝在不同的分區(qū)。2.刪除不必要
