《网络安全之操作系统实验》由会员分享,可在线阅读,更多相关《网络安全之操作系统实验(12页珍藏版)》请在金锄头文库上搜索。
1、第 727 页 附录附录 F 网络安全之操作系统实验网络安全之操作系统实验 IIS5.0 安全配置安全配置 实验目的:实验目的:掌握 IIS 基本配置方法; 实验环境:实验环境:Windows2000 实验步骤实验步骤: 1 去掉 IIS 的组件: 点击开始控制面板添加/删除程序windows 组件, (1)INTERNET 信息服务(IIS)中选择以下几个组件: INTERNET 服务管理器 INTERNET 服务管理器(HTML) WORLDWIDEWEB 服务器 公用文件 文档 其余的组件都不要安装 (2)避免安装在主域控制器上 2 更改 www 服务端口为 8080 点击开始管理工具I
2、nternet 服务管理器 如下图所示,TCP 端口为 8080,则在浏览器中输入时应该为 http:/servername:8080。 3 主目录设置 一、站点目录配置一、站点目录配置 第 728 页 不要将 IIS 安放在系统分区上,否则容易使非法用户侵入系统分区。首先在与系统分 区不同的另一个分区,建一个发布站点的目录,如在 D 盘下建 mywebsite 目录,启动 IIS 服务管理器后,右键点击默认的 WEB 站点或自己新建的站点,点“属性” ,再点“主目录” 标签,如下图: 在本地路径框中输入刚才建立的目录, 注意下面的多个访问的复选框中, 无特殊要求, 只选“读取”即可,如果允许
3、写入或目录浏览的话,则通过浏览器便可直接写入或浏览目 录,这样会很不安全。 最新的 MDAC(http:/ data/download.htm) (建议) 说明:MDAC 为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻 击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版 本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中 不再被支持,这种情况下可以通过修改注册表来档漏洞,祥见漏洞测试文档。 二、删除无用脚本映射二、删除无用脚本映射 右键点击选定站点,点属性,在“主目录”标签中,点击右下方的“配置”按扭,出 现下图界面,选中
4、无用的映射关系点“删除”按扭, 第 729 页 4 目录安全性设置 一、匿名访问和验证控制一、匿名访问和验证控制 进入 Internet 服务管理器后,右键点击左侧的的默认 web 站点或自己建立的站点名 称,点属性,点击“目录安全性”标签,在匿名访问和验证控制项中点编辑,出现如下图 界面 第 730 页 二、二、IPIP 地址和域名限制地址和域名限制 IIS 可以设置允许或拒绝从特定 IP 发来的服务请求, 有选择地允许特定节点的用户访 问服务,你可以通过设置来阻止除指定 IP 地址外的整个网络用户来访问你的 Web 服务器, 操作如下: 在 IIS 的所选站点中, “目录安全性”标签中点击
5、 IP 地址及域名限制中的“编辑”按 扭,可以看到如下图所示界面,可按自己的要求选择授权访问或是拒绝访问,再点击“添 加”按扭,将 IP 地址输入即可,如果对域名限制,则可点 DNS。 第 731 页 三、安全通信三、安全通信 具体操作如下:仍在“目录安全性”标签下,点“安全通信”中的“服务器证书”按扭, 开始导入证书, 如果已有证书,则在导入过程中选择“分配一个已存在的证书” ,如图 第 732 页 当把证书导入成功后, “安全通信”中的“查看证书”和“编辑”按扭便会由灰色变 成可用,这时点击“编辑”按扭,这时可以对安全通信进行一些设置。 设置完成后,在浏览器中必须输入 https:/ser
6、vername。 删除删除 Windows2000/XP 特殊共享特殊共享 实验目的:实验目的:掌握 windows 基本安全配置方法; 实验环境:实验环境:Windows2000 实验步骤实验步骤: 在计算机管理中删除了这些共享后,下次重新启动后会自动出现,所以只有通过更改 注册表来删除这些共享: 点击开始点击开始 运行运行regeditregedit 回车,做如下修改:回车,做如下修改: Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Name: AutoShareServer Type: DWORD Value
7、: 0 在 win2000Server 中如果找不到 AutoShareServer 这个键名,可以自己新建一个,同 样生效;如果操作系统是工作站类型的需要将 AutoShareWKSr 这个键名 删除删除 Windows2000/XP 空会话空会话 实验目的:实验目的:掌握 windows 基本安全配置方法; 实验环境:实验环境:Windows2000/XP 实验步骤实验步骤: 第 733 页 空会话通常使用 TCP139,135 端口 1 在开始运行中键入 regeidt,在注册表中查找相应键值: Key:HKLMSYSTEMCurrentControlSetControlLsa Name
8、: RestrictAnonymous Type: REG_DWORD Value: 1 | 2 说明:把该值设为 1 时,匿名用户无法列举主机用户列表; 把该值设为 2 时,匿名用户无法连接你的 IPS$共享,不建议使用 2,否则可能会造成 你的一些服务无法启动,如 SQL Server. 2 或者点击开始程序本地安全策略 启用启用 windows 安全审核功能安全审核功能 实验目的:实验目的:掌握 windows 基本安全配置方法; 实验环境:实验环境:Windows2000 实验步骤实验步骤: 1 访问文件夹的审核:访问文件夹的审核: 在在 NTFS 分区上选择一个要审核的目录分区上选择
9、一个要审核的目录,右键点击此目录右键点击此目录,在菜单中点在菜单中点“属性属性” 点点“安全安全”标签,点标签,点“高级高级”按扭,在出现的对话框中选择按扭,在出现的对话框中选择“审核审核”标签,再点标签,再点“添加添加” 按扭按扭,出现要审核的项目出现要审核的项目,如下图如下图,则可以按自己的需要对要审核项打勾则可以按自己的需要对要审核项打勾,然后点然后点“确定确定” 按扭即可。按扭即可。 第 734 页 审计成功:可以确定用户或服务获得访问指定文件、打印机或其他对象的频率。 审计失败:警告那些可能发生的安全泄漏。 2 审核策略审核策略: 启动本地安全策略,点开“本地策略”项,点“审核策略”
10、 ,右侧会有设置项,推荐的 审核如下图示。 3 安全事件查看并分析安全事件查看并分析 除了上述审核与安全性有关的事件外,Windows 2000 还生成安全日志并提供了查看 日志中所报告的安全事件的方法。具体操作如下: 点击开始管理工具事件查看器安全事件,这时会把曾设置的安全 审核后,发生的事件显示出来,双击某一事件可以查看其详细信息,如图: 第 735 页 去除去除 Wndows2000 对其他操作系统的支持对其他操作系统的支持 实验目的:实验目的:掌握 windows 基本安全配置方法; 实验环境:实验环境:Windows2000 实验步骤实验步骤: Win2K 可以很好地支持其他操作系统
11、,允许例如 OS/2 和 POSIX 的应用程序向服务器 发送请求以执行代码。这种功能通常叫做 Win2K 的子系统。Win2K 的子系统一般情况下 不会用到,但却是一个很大的安全漏洞,应该采取措施堵住它。关闭这个漏洞的最简单方 法是去掉这个子系统,使它们无法使用。这不会给 Win2K 服务器或 IIS 带来任何问题,因 为它们是在 Win32 子系统中运行的。 禁止 OS/2 和 POSIX 要通过删除相关文件和改写相关注册表键值来完成,步骤如下: 1 删除“HKLMSoftwareMicrosoftOS/2 Subsystem for NT”下面所有的子键。 2 除“HKLMSystemC
12、urrentControlSetControlSession ManagerEnvironment”中的值 Os2LibPath。 3 清除“HKLMSystemCurrentControlSetControlSession ManagerSubsystems”中 Optional 的内容,但是保留值 Optional 的名字。 4 删除“HKLMSystemCurrentControlSetControlSession ManagerSubSystems ”中的值 Os/2 和 Posix。 在在 Linux 系统中禁止系统对系统中禁止系统对 ping 事件的响应事件的响应 实验目的:实验目
13、的:掌握 Linux 基本安全配置方法; 第 736 页 实验环境:实验环境:linux8.0 实验步骤实验步骤: 进入 etc/rc.d 目录,编辑 rc.local 文件: 在“/etc/rc.d/rc.local”中加入 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 即可(每 次系统重新启动后自动执行该命令) 结果测试结果测试:ping目标 IP 避免避免 Linux 系统暴露系统版本号、内核版和服务器名称等信息系统暴露系统版本号、内核版和服务器名称等信息 实验目的:实验目的:掌握 Linux 基本安全配置方法; 实验环境:实验环境:lin
14、ux8.0 实验步骤实验步骤: 1编辑“/ect/rc.d/rc.local”文件,在下面这些行的前面加上“#”: # This will overwrite /etc/issue at every boot. So, make any changesyou # want to make to /etc/issue here or you will lose them when you reboot. #echo “ /etc/issue #echo “$R“ /etc/issue #echo “Kernel $(uname -r) on $a $(uname -m)“ /etc/issue
15、#cp -f /etc/issue /etc/ #echo /etc/issue 2删除“/etc”目录下的“”和“issue”文件: rootkcn# rm -f /etc/issue rootkcn# rm -f /etc/ 给给 Linux 口令文件和组文件设置不可改变位系口令文件和组文件设置不可改变位系 实验目的:实验目的:掌握 Linux 基本安全配置方法; 实验环境:实验环境:linux8.0 实验步骤实验步骤: rootkcn# chattr +i /etc/passwd rootkcn# chattr +i /etc/shadow rootkcn# chattr +i /etc
16、/group rootkcn# chattr +i /etc/gshadow 结果测试结果测试:rootkcn# vi/etc/passwd 说明:说明: 执行以下步骤,可取消 i 标志位 rootkcn# chattr -i /etc/passwd rootkcn# chattr -i /etc/shadow rootkcn# chattr -i /etc/group 第 737 页 rootkcn# chattr -i /etc/gshadow 如何打开(关闭)如何打开(关闭)Linux 下的下的 ftp 服务服务 实验目的:实验目的:掌握 Linux 基本安全配置方法; 实验环境:实验环境:linux8.0 实验步骤实验步骤:
