《软件系统安全技术实验指导书.doc》由会员分享,可在线阅读,更多相关《软件系统安全技术实验指导书.doc(17页珍藏版)》请在金锄头文库上搜索。
1、软件系统安全技术实验指导书软件学院2006.8实验一 Windows操作系统安全实验目的:通过实验掌握Windows帐户与密码的安全设置、文件系统的保护与加密、安全策略与安全模板的使用、审核和日志的启用,建立一个Windows操作系统的基本安全框架。实验内容和步骤:以下设置均需以管理员(Administrator)身份登录系统。任务一:帐号和口令的安全设置1、删除不再使用的帐户、禁用guest帐户2、启用帐户策略:安全策略工具:“我的电脑控制面板管理工具本地安全策略”。修改以下安全策略有助于提高安全性: 安全设置|帐户策略|密码策略|密码必须符合复杂性要求:启用。 安全设置|帐户策略|密码策略
2、|密码长度最小值:8位。安全设置|帐户策略|密码策略|密码最长使用期限:42天。安全设置|帐户策略|密码策略|密码最短使用期限:7天。密码策略设置完毕。下面设置用户锁定策略,它决定系统锁定帐户的时间等相关设置。先设置“帐户锁定域值”,然后才能设置“帐户锁定时间”和“复位帐户锁定计数器”。3、开始时设置为“不自动显示上次登录帐号”还是在“本地安全策略”中,安全设置|本地策略|安全选项|交互式登陆:不显示上次的用户名:启用。此外,在“安全选项”中还有多项增强系统安全的选项,请自行查看。任务二:文件系统安全设置(1)打开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。(2)右键单击该文件夹
3、,选择“属性”,在工具栏中选择“安全”,“高级”。(3)将“允许父项的继承权限传播到该对象和所有子对象”之前的勾去掉,以去掉来自父系文件夹的继承权限。(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。(4)选中列表中的“Everyone组”,单击“删除”按钮,删除Everyone组的操作权限。(5)单击“高级”按钮,查看各用户组的权限。任务三:用加密软件EFS加密硬盘数据在F盘(磁盘格式为NTFS)下建立一个文件夹efs,并创建一个名为Myuser的新用户。方式1:手动加密(1)选择要进行加密的文件夹,在这里我们选择对F盘下的efs文件进行加密。(2)右键单击该文件夹,打开“属性”窗口
4、,选择“常规”选项,单击“高级”,选择“加密内容以便保护数据”。单击“确定”。(3)在弹出的对话框中选择“将更改利用于该文件夹、子文件夹和文件”。(4)加密完毕后保存当前用户下的文件,然后注销,以新建的用户Myuser登录系统,访问所加密的文件夹,看是否能打开其中的文件。解密的方法跟前面的步骤类似,不同点就是把“加密内容以便保护数据”前面的勾去掉即可。方法二:使用命令进行加密(1)加密目录文件夹和文件1.加密F盘下的efs目录点击“开始运行”,在运行对话框中输入“CMD”命令,弹出“命令提示符”窗口,进入到“F:”提示符下,然后运行“cipher /e efs”命令,接着系统提示“正在加密 f
5、: 中的目录,efs OK,一个目录中一个目录被加密”信息后,完成“efs”目录的加密操作。如果要加密efs目录下的所有子目录,运行“cipher /e /s:efs”命令即可。2.加密F盘下efs1目录中的“ichat.txt”文件在命令提示符窗口中运行“cipher /e /a efs1ichat.txt”命令后,系统提示“ichat.txtOK,1 个目录中的 1 个文件(或目录)已被加密”信息后,完成对ichat.txt文件的加密。如果要加密该目录下的所有文件,运行“cipher /e /a efs1*”命令即可。(2)解密目录文件夹在命令提示符窗口中运行“cipher/d efs”命
6、令后,就将efs目录解密。要解密efs目录下的所有子目录运行“cipher/d/s:efs”命令即可。要解密efs1目录ichat.txt文件,运行“cipher/d/a efs1ichat.txt”命令,解密该目录所有文件,运行“cipher /d /a efs1*”命令即可。任务四:导出与导入EFS加密证书一、导出证书1. 单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。打开“Microsoft 管理控制台”。 2. 在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 3. 在“添加独立管理单元”中,单击“证书,然后单击“添加”按钮。 4. 选择“我的用户帐
7、户”单选项,再单击“确定”按钮。 5. 单击“关闭”按钮,再单击“确定”按钮。 6. 双击“证书当前用户”、“个人”,然后双击“证书”。 7. 在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。 8. 右键单击该证书,选择“所有任务”,单击“导出”按钮。 9. 按照“证书导出向导”中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。二、导入证书1. 使用其他帐户登录计算机。2. 单击“开始”、“运行”。3. 键入 mmc.exe ,并按“回车”键。4. 在 MMC 中,在“文件”菜单中,选择“添加/删除管理单元”。5. 单击“添加”。弹出当前计算机上注册的所有管理单元列
8、表。6. 双击“证书” 管理单元,单击“我的用户帐户”,然后单击“完成”。7. 在“添加独立管理单元”对话框中,单击“关闭”按钮,然后在“添加/删除管理单元”对话框中,单击“确定”按钮。MMC 当前显示适合管理员帐户的个人证书。8. 导航到“证书”、“当前用户”、“个人”、“证书”,右键单击该文件夹,选择“所有任务”,然后单击“导入”,启动“证书导入向导”。9. 单击“下一步”,输入要导入的文件和及其路径,再单击“下一步”。注意选择“文件类型”为“pfx”。10输入我们加密时的口令。11一直点击“下一步”,直到“完成”。我们可以看到“证书”下有两个证书。其中Administrator是我们导入
9、的证书。然后我们再尝试打开用Administrator加密的文件。任务五:启用安全策略与安全模板Windows系统中的安全设置项目繁多,包括帐户策略、本地策略、事件日志等等。一一设置这些安全项目相当复杂,为了提高系统安全性设置的简易性,微软在Windows系统中提供了不同级别的安全模板,不同级别的安全模板包含了不同安全性要求的配置项目。用户只要简单地根据需要选择启用相应的模板,即可自动按照模板配置各项安全属性。创建安全模板,请执行以下步骤。1. 要打开“安全模板”,请单击“开始”-“运行”,键入 mmc,然后单击“确定”。 2. 在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按
10、钮。 3. 选定“安全模板”,单击“添加”,单击“关闭”,然后单击“确定”。Setup security:全新安装系统的默认安全设置Compatws:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置Securews:提供较高安全性的安全级别Hisecws:提供高度安全性的安全级别4. 在控制台树中,单击“安全模板”节点,用鼠标右键单击您要存储新模板的文件夹,然后单击“新加模板”。 5. 在“模板名”中,键入新安全模板的名称。 6. 在“描述”中,键入新安全模板的描述,然后单击“确定”。 7. 展开新模板,然后单击“系统服务”。8. 在详细信息窗格中,用鼠标右键单击“COM+ Even
11、t System”,然后单击“属性”。9. 选择“在模板中定义这个策略设置”,然后单击启动模式。 (对于 COM+ Event System,启动模式为“自动”。)10. 对下表中列出的每项服务重复步骤 8 和 9。服务名称简称启动模式Automatic Updateswuauserv自动Background Intelligent Transfer ServiceBITS手动COM+ Event SystemEventSystem手动Cryptographic ServicesCryptSvc自动DHCP ClientDhcp自动DNS ClientDnscache自动Error Repor
12、ting ServiceERSvc自动Event LogEventlog自动Help and SupportHelpsvc自动IPSec ServicesPolicyAgent自动Logical Disk Managerdmserver自动Logical Disk Manager Administrative Servicedmadmin手动Microsoft FirewallFwsrv自动Microsoft ISA Server ControlISACtrl自动Microsoft ISA Server Job SchedulerISASched自动Microsoft ISA Server S
13、torageISASTG自动Microsoft Software Shadow Copy ProviderSWPRV手动MSSQL$MSFWMSSQL$MSFW自动Network ConnectionsNetman手动Network Location Awareness (NLA)NLA手动NTLM Security Support ProviderNtLmSsp手动Performance Logs and AlertsSysmonLog自动Plug and PlayPlugPlay自动Protected StorageProtectedStorage自动Remote Access Conne
14、ction ManagerRasMan手动Remote Desktop Help Session ManagerRDSessMgr手动Remote Procedure Call (RPC)RpcSs自动Removable StorageNtmsSvc手动Routing and Remote AccessNone手动Secondary Logonseclogon自动Security Accounts ManagerSamSs自动Serverlanmanserver手动Smart CardSCardSvr手动System Event NotificationSENS自动TCP/IP NetBIOS HelperLmHosts自动TelephonyTapiSrv手动Terminal ServicesTermService手动Virtual Disk Service (VDS)VDS手动Volume Shadow CopyVSS手动Windows InstallerMSIServer手动Windows Management Instrumentationwinmgmt自动Windows TimeW32time自动Wireless ConfigurationWZCSVC自
