信息安全试验教程.docx
- 文档编号:9247209
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:26
- 大小:1.12MB
信息安全试验教程.docx
《信息安全试验教程.docx》由会员分享,可在线阅读,更多相关《信息安全试验教程.docx(26页珍藏版)》请在冰豆网上搜索。
信息安全试验教程
第一部分计算机系统与网络安全配置试验
第一节Windows操作系统的安全配置
2.1.1试验目的
通过本试验掌握Windows操作系统的各种安全配置,以提高Windows操作系统的安全性,并能对如何建立信息系统的一个基本的安全框架进一步的认识。
2.1.2试验原理
虽然缺省的Windows2003安装绝对比缺省的WindowsNT或Windows2000安装安全许多,但是它还是存在着一些不足。
1.账户和口令的安全设置
在Windows和其他操作系统中,对用户的身份认证时通过账户和口令的输入进行的。
普通的用户常常在安装系统后长期地使用系统的默认设置账户和口令,忽视Windows系统默认设置的不安全性,而这些不安全的设置常常被攻击者利用。
而建立一个安全的网络环境就需要所有的用户使用保密性好的口令,因此系统的账户和口令是十分重要的,而这些可以通过对Windows系统合理的设置来实现。
2.文件系统
磁盘数据被窃取或破坏时经常困扰用户的问题,文件系统的安全问题也是非常重要的。
Windows2003系统提供的磁盘格式有FAT、FAT32和NTFS文件系统要比其他文件系统安全得多,因为管理员和用户可以设置每个文件夹的访问权限,从而限制一些用户和用户组的访问,保证数据的安全。
Windows2003系统的安全机制以用户为核心,试图访问受保护的每一行代码,用户必须用口令向客户机证明自己的身份。
文件和目录可以有两种许可权限:
共享许可权和文件许可权。
共享许可权用于用户远程访问文件系统,当用户试图以共享方式访问文件时,系统会检查用户是否拥有访问权限。
文件许可权是直接分配给文件和目录的访问权限,无论用户使用何种方式访问文件系统都起作用,需要将用户或工作组与特定的访问级别相联系。
3.端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障。
入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的。
从开放的端口入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞,因此对端口的扫描可以帮助我们更好地了解目标主机。
对于管理员,扫描主机的开放端口也是做好安全防范的第一步。
而端口配置正确与否也直接影响到主机的安全。
因此要对这些端口资源做出合理的配置。
4.文件加密系统EFS
当用户的计算机在没有足够物理保护的地方使用时,或者发生计算机或磁盘被窃取时,会造成重要数据的丢失。
Windows2003强大的加密系统能够给磁盘、文件夹加上一层安全保护,这样可以防止别人把磁盘挂到其他的计算机上读出里面的数据。
采用文件加密系统EFS的加密功能对敏感数据文件进行加密,可以加强数据的安全性。
EFS采用了对称和非对称两种加密算法对文件进行加密,首先系统利用生成的对称密钥将文件加密成密文,然后采用EFS证书中包含的公钥将对称密钥加密后与密文附加在一起。
文件采用EFS加密后,可以控制特定的用户有权解密数据,这样即使攻击者能够访问计算机的数据存储器,也无法读取用户数据。
只有拥有EFS证书的用户,采用证书中公钥对应的私钥,先解密公钥加密的密钥,然后再用对称密钥解密密文,才能对文件进行读写操作。
EFS属于NTFS文件系统的一项默认功能,同时要求使用EFS的用户必须用于在NTFS卷中修改文件的权限。
5.安全模版
对于大部分Windows系统用户来说,系统的安全设置项目繁多,而且对普通用户来说这些安全设置也相当复杂。
为了提高系统安全设置的简易性,Windows系统提供了不同安全级别的模板,这些模板包含了不同安全级别的相应设置。
用户通常选择不同的安全模板,来配置自己的系统。
部分模板的意义如下:
Setupsecurity.inf:
全新安装系统的默认安全设置
Compatws.inf:
将系统的NTFS和ACL设置为安全层次较低的NT4.0设置。
Securews.inf:
提供较高安全性的安全级别。
Hisecws.inf:
提供高度安全性的安全级别。
同时Windows系统也支持用户构建安全模板。
6.审核和日志
为了便于用户监测当前的系统运行情况,Windows系统中设置了审核和日志功能。
审核日志记录了用户每次登陆系统的行为,通过审核日志我们可以知道系统在某一时间执行了哪些操作。
审核和日志是Windows系统中最基本的入侵检测的方法,当攻击者尝试对系统进行某些方式的攻击时,都会被安全审核功能记录下俩,写入到日志中。
一些Windows系统下的应用程序也带有相关的审核日志功能,例如IIS的FTP日志和WWW日志文件等。
2.1.3试验环境
安装Windows2003操作系统的计算机,硬盘格式配置为:
NTFS。
2.1.4试验内容及步骤
1.账户和口令的安全配置
由于系统的账户越多,被攻击者攻击的可能性也就越大,特别是共享账户、Guest账户等这些系统默认的账户常常被黑客李彦宏。
因此要及时地检查和删除不必要的账户,必要时禁用Guest账户。
(1)设置Windows口令
右击“我的电脑”,在弹出的菜单里点击“管理”(图2.1.1),进入“计算机管理”对话框。
图2.1.1管理菜单
在弹出的“计算机管理”对话框“本地用户和组”里点击“用户”(如图2.1.2所示),在右边我们会看到本机的所有账号,右键点击其中的账户名,为该账号设置密码。
图2.1.2设置账号密码
(2)账户的禁用
以Guest账户为例,右击Guest账户,进入“Guest属性”对话框,如图2.1.3所示。
选中“账户已禁用”复选框,这时Guest账户前出现红叉,表明设置成功。
Windows2003的Adminstrator账户是系统默认的,如果不做相应改动,就以为着别人可以永无止境地尝试破解这个账户的密码。
把Adminstrator账户名改名可以有效地防止这一点,修改的时候尽量伪装成普通的用户。
图2.1.3禁用账户
(3)启用账户策略
打开“控制面板”→“管理工具”→“本地安全策略”,点击“账户策略”,如图2.1.4所示。
图2.1.4启用“账户策略”
点击“密码策略”,弹出如图2.1.5所示的窗口。
密码策略用于决定系统密码的安全规则和设置。
图2.1.5点击“密码策略”窗口
(4)密码策略
密码策略有6挑:
密码必须符合复杂性、密码长度最小值、密码最长使用期限、密码最短使用期限、强制密码历史、用可还原的加密来存储密码。
各条策略配置如下:
密码的复杂性要求密码具有相当长度,同时含有数字、大小写字母和特殊字符。
更改或创建密码时,会强制执行复杂性要求。
双击“密码必须符合复杂性要求”,出现“密码必须符合复杂性要求属性”对话框,如图2.1.6所示。
在对话框中选中“已启用”。
如图2.1.6“密码必须符合复杂性要求属性”对话框
密码长度最小值的安全设置确定用户账户的密码可以包含的最少字符个数。
可以设置为1—14个字符之间的某个值,或者通过将字符数设置为0表示不要求密码。
密码长度的最小值是限制密码的最小的字符长度,保证密码具有一定的复杂性。
双击“密码长度的最小值”出现“密码长度最小值属性”对话框,如图2.1.7所示。
在对话框中输入密码长度。
图2.1.7“密码长度最小值属性”对话框
密码最长使用期限的安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。
可将密码的过期天数设置在1—999天之间,或将天数设置为0,指定密码永不过期。
通过设置密码最长使用期限,可以提醒用户定期修改密码。
双击“密码最长使用期限”,出现“密码最长使用期限属性”对话框,如图2.1.8所示。
在对话框中输入密码最长使用期限。
图2.1.8“密码最长使用期限属性”对话框
密码最短使用期限的安全策略设置,可以确定用户在更改密码之前必须使用该密码的时间(单位为天)。
可以设置为1—998天之间的某个值,或者通过将天数设置为0允许立即更改密码。
在密码最短是使用期内用户不能修改密码,这是为了防止黑客入侵攻击时修改账户密码。
双击“密码最短使用期限”,出现“密码最短使用期限属性”对话框,如图2.1.9所示。
在对话框中输入密码最短使用期限。
图2.1.9“密码最短使用期限属性”对话框
强制密码历史值必须为0—24之间的一个数值。
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。
双击“强制密码历史”出现“强制密码历史属性”对话框,如图2.1.10所示。
在对话框中输入记住密码的个数。
图2.1.10“强制密码历史属性”对话框
用可还原的加密拉存储密码的安全设置,可以确定操作系统是否使用可还原的加密来存储密码。
如果应用程序使用了要求最短用户密码才能进行身份验证的协议,则该策略可对它提供支持。
使用可还原的加密存储密码和存储明文版本密码本质上时相同的。
因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
双击“用可还原的加密拉存储密码”,出现“用可还原的加密来存储密码属性”对话框,如图2.1.11所示。
在对话框中选中“已启用”
至此密码策略设置完成。
图2.1.11“用可还原的加密来存储密码属性”对话框
(5)账号策略
点击“账户锁定策略”,弹出如图2.1.12所示的窗口。
账户锁定策略用于决定锁定账户的时间等相关设置。
图2.1.12账户锁定策略
账户锁定阈值的安全设置,可以确定造成用户账户被锁定的登录失败尝试的次数。
除非管理员进行了重新设置或该账户的锁定时间已过期,否则被锁定的账户是无法使用锁定功能的。
登录失败的范围可设置为0—999之间。
如果将此值设为0,则将无法锁定账户,对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的工作站或成员服务计算机上,失败的密码尝试计入失败次数中。
双击“账户锁定阈值”,出现“账户锁定阈值属性”对话框,如图2.1.13所示。
在对话框中输入无效登录次数。
图2.1.13“账户锁定阈值属性”对话框
在设置好账户锁定阈值后才能进行账户锁定时间和复位账户锁定计数器设置。
账户锁定时间安全设置,可以确定锁定的账户在自动解锁前保持锁定状态的分钟数。
有效范围从0—99999分钟。
如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。
双击“账户锁定时间”,出现“账户锁定属性”对话框,如图2.1.14所示。
在对话框中输入账户锁定时间。
图2.1.14“账户锁定属性”对话框
复位账户锁定计数器安全设置,可以确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。
有效范围为1—99999分钟。
如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。
双击“复位账户锁定计数器”,出现“复位账户锁定计数器属性”对话框,如图2.1.15所示。
在对话框中输入账户复位时间。
图1.1.15“复位账户锁定计数器属性”对话框
至此,账户策略介绍完毕。
(6)开机设置为“不自动显示上次登录账户”
该安全设置确定是否将最近一次登录到计算机的用户名显示在Windows登录画面中。
如果启用该策略,则最近一次成功登录的用户名称将不显示在“登录到Windows”对话框中。
打开“控制面板”→“管理工具”→“本地安全策略”,在左边窗口点击“安全选项”,如图2.1.16所示。
在安全选项中还有许多增强系统安全的选项,读者自己可以查看。
在右边找到“不显示上次的用户名”,双击后弹出的对话框中选中“已启用”。
图2.1.16开机时设置为“不自动显示上次登录账户”
(7)禁止枚举账户名
Windows允许匿名用户执行某些活动,如枚举域账户名和网络共享名。
例如,当管理员希望向为维护相互信任域中的用户授予访问权限时,这时非常方便的。
但是通过空连接枚举出所有的本地账户名,给攻击者提供了可趁之机。
要禁止账户枚举账户名,可进行一下配置:
选择“本地安全策略”→“本地策略”→“安全选项”→“不允许SAM账户的匿名枚举”和“不允许SAM账户和共享的匿名枚举”(图2.1.16),在弹出的菜单中选择“已启用”。
2.文件系统安全设置
在采用NTFS格式的磁盘中,选择一个需要设置用户权限的文件夹。
我们选择C盘根目录下的“信息安全”文件夹。
右键单击该文件夹,如图2.1.17所示对话框。
单击“安全”标签,弹出如图2.1.18所示的对话框。
在这里可以添加和删除用户组,选择相应的用户组可以设置文件的不同权限。
图2.1.17“信息安全属性”对话框
图1.1.18设置文件权限
单击“高级:
按钮,弹出如图2.1.19所示的对话框。
可以查看各用户组的权限。
单击共享标签,弹出如图2.1.20所示的对话框。
共享许可权用于用户远程访问文件系统,当用户试图以共享方式访问文件时,系统会检查用户是否拥有访问权限。
在进行权限控制时,需要遵循以下原则:
●级别的不同权限是累加的:
如果一个用户同时属于两个组,那么他会有这两个组所允许的所有权限。
●拒绝的权限要比允许的权限高,如果一个用户属于一个被拒绝访问某个资料的组,那么不管其他的权限给他开放了多少权限,他也一定不能访问这个资源。
●文件权限比文件夹权限高
利用用户组来进行权限控制是一个有经验的系统管理员必须具有的良好习惯之一。
仅给用户真正需要的权限,权限的最小化原则是安全的重要屏障。
图2.1.19用户权限
图2.1.20共享文件
3.端口
关闭相应的端口就意味着不能使用相应的功能,所以在安全和功能上需要相应的决策。
我们可以用端口扫描系统所开放的端口,同时确定哪些服务是被黑客用来入侵的。
关闭端口的具体方法为:
执行“网上邻居”→“本地连接”→“属性”→“Internet协议(TCP/IP)”→“高级”→“选项”→“属性”,得到如图2.1.21所示的“TCP/IP筛选”对话框。
图2.1.21“TCP/IP筛选”对话框。
选择“启用TCP/IP筛选”复选框,便可以进行相应的设置。
以TCP端口为例,单击“TCP端口”选项,出项“添加筛选器”对话框,如图2.1.22所示,在对话框中设置相应的端口。
图2.1.22“添加筛选器”对话框
这样,通过过滤器就可以有效防止端口扫描器获得服务器所开放的端口。
4.文件加密系统EFS
(1)打开D盘下(NTFS格式)需要设置用户权限的文件夹“信息安全”,右击该文件夹并选择“属性”项,出现“信息安全属性”对话框,如图2.1.13所示。
图2.1.13“信息安全属性”对话框
(2)单击“高级”按钮,弹出如图2.1.14对话框,选择“加密内容以便保护数据”复选框。
图2.1.24“高级属性”对话框
(3)加密完毕后保存该文件,注销计算机,以其他用户登录系统。
这时再访问“信息安全”文件夹时,表明文件已经被加密,在没有授权的情况下无法打开。
(4)再次切换用户,以原来的账户登录系统。
单击“开始”按钮,在“运行”框中输入mmc,打开控制台。
单击“文件”按钮,选择“添加/删除管理单元”项,如图2.1.26所示。
图2.1.26选择“添加/删除管理单元”项
(5)在弹出的对话框中选择“添加”,在图2.1.27中选择“证书”,为当前的加密文件系统EFS设置证书。
图2.1.27添加证书
(6)在控制台窗口左侧的目录树种选择“证书”。
可以看到用于加密文件系统的证书显示在右侧的窗口中,如图2.1.28所示。
图2.1.28查看证书
(7)选中用于EFS的证书,单击右键,在弹出的菜单中单击“导出”,如图2.1.29所示。
弹出“欢迎使用证书导出向导”,单击“下一步”按钮,选择“是,导出私钥”。
如图2.1.31所示。
然后将导出的证书文件保存在磁盘的某个路径。
这样就完成了证书的导出,如
图2.1.29导出证书
图2.1.30“证书导出向导”
(1)
图2.1.31“证书导出向导”
(2)
(8)再次切换用户,重复前面的步骤(5)和(6),右键单击选中的“证书”文件夹,选择“所有任务”中的“导入”,如图2.1.33所示。
图2.1.33导入证书
(9)在弹出的“证书导入向导”中,输入上面步骤中已导出的证书文件的地址,导入该证书,如图2.1.34所示。
图2.1.34“证书导入向导”
(1)
(10)输入在前面步骤中设定的密码,如图2.1.35所示。
选择将证书放入“个人”存储区中,单击“下一步”按钮,完成证书的导入。
图2.1.35“证书导入向导”
(2)
(11)这时再次双击加密的文件,文件可以正常打开。
说明用户已成为加密文件的授权用户,如图2.1.36所示。
图2.1.36打开加密文件
5.安全模板
安全模板的设置可以采用如下步骤:
(1)启用安全模板
在启用安全模板前,请记录当前系统的账户策略和审核日志状态,以便于设置后进行比较。
1单击“开始”菜单,选择“运行”,输入mmc,打开系统控制台,如图2.1.37所示。
图2.1.37系统控制台
2单击工具栏上的“文件”下拉菜单(如图2.1.37),在弹出的菜单中选择“添加/删除管理单元”,在“添加独立管理单元”对话框(如图2.1.38)中,单击“添加”按钮,在弹出的对话框中分别选择“安全模板”,“安全配置和分析”,单击“添加”按钮后,单击“确定”按钮。
图2.1.38“添加独立管理单元”对话框
3此时系统控制台中根节点下添加了“安全模板”和“安全配置和分析”两个文件夹。
打开“安全模板”文件夹,可以看到系统中存在的安全模板,如图2.1.39所示。
图2.1.39查看安全模板
4右键单击模板名称,在弹出的菜单上选择“打开”,右侧窗口就出现该模板中的安全策略(如图2.1.40),单击每种安全策略可看到其相关配置。
图2.1.40查看安全策略
5右键单击“安全配置和分析”,在弹出的菜单上选择“打开数据库”,在弹出的对话框中选择要打开的数据库或输入新建的安全数据库的名称,例如mysec.sdb,单击“打开”按钮,出现如图2.1.41所示的对话框。
单击“打开”按钮,在弹出的对话框中,根据准备配置的安全等级,选择一个安全模板将其导入。
图2.1.41导入安全模板
6右键单击“安全配置和分析”,在菜单上选择“立即分析计算机”,单击“确定”按钮。
系统开始按照选定的安全模板,对当前系统的安全设置是否符合要求进行分析。
分析完毕后可在目录中选择查看各安全设置的分析结果,如图2.1.42所示。
图2.1.42所示密码策略实例
7右键单击“安全配置和分析”,在弹出的菜单中选择“立即配置计算机”,系统便会按照选定的安全模板对计算机进行配置。
配置完成后,对比一下配置以前的安全配置,就会发现安全配置发生了变化。
如果选择的安全模板的安全配置较高,就会发现安全配置多了许多。
(2)创建安全模板
1重复“启用安全模板”中的第一步到第三步。
右击模板所在路径,在弹出的菜单中选择“新加模板”,在弹出的对话框中填入要新建的模板的名称mysecm,可以看到新加模板出现在模板列表中,如图2.1.43所示。
图2.1.43创建新的安全模板
2双击新建的安全模板mysecm,在显示的安全策略中双击“账户策略”下的“密码策略”,可发现任意一项都显示为“没有定义”。
例如,欲设置安全策略中的“密码长度最小值”,可双击“密码长度最小值”项,在弹出的对话框中选中“在模板中定义这个策略设置”并设置相应的字符长度。
依次设定其他安全配置。
至此,自设安全模板创建完毕。
如果要启用自己创建的安全模板,可以按照启用安全模板设置的步骤导入安全设置。
6.审核和日志
(1)打开审核策略
打开“控制面板”→“管理工具”→“本地策略”,在左边的窗口中打开“审核策略”,如图2.1.44所示,在右边的窗口中我们可以看到各项安全审核策略。
例如,“审核策略更改”这一安全设置确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。
如果定义该策略设置,可以指定是否审核成功、审核失败或根本不对该事件类型进行审核。
对用户权限分配策略、审核策略或信任策略所作更改成功时,成功审核会生成审核项。
对用户权限分配策略、审核策略或信任策略所作更改失败时,失败审核会生成审核项。
要将该值设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后删除“成功”和“失败”复选框。
图2.1.44打开“审核策略”
(2)查看事件日志
使用“事件查看器”可以监视事件日志中记录的事件。
通常,计算机会存储“应用程序”“安全性”和“系统”日志。
根据计算机的角色和所安装的应用程序,还可能包括其他的日志。
根据计算机的角色和所安装的应用程序,还可能包括其他日志。
打开“控制面板”→“管理工具”→“事件查看器”,如图2.1.45所示,可以看到Windows2003的三种日志,其中安全日志用于记录刚才上面审核策略中所设置的安全事件。
图2.1.45“事件查看器”窗口
双击“安全性”,我们可以看到上面审核策略中所设置的安全事件,如图2.1.46所示。
图2.1.46查看安全事件
例如查看“审核策略更改”项,日志中详细的记录了各种信息,其中“事件ID”用于标识事件的类型。
各“事件ID”的意义可以查看Microsoft的相关网站。
2.1.5实验报告
根据上述关于Windows2003操作系统安全配置实验内容的要求,详细记录设置前后的系统的变化,给出分析报告。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 试验 教程