《实验4-基于Windows网络安全的解决方案》由会员分享,可在线阅读,更多相关《实验4-基于Windows网络安全的解决方案(9页珍藏版)》请在金锄头文库上搜索。
1、南昌航空大学实验报告二。一三 年十一月八日课程名称:信息安全 实验名称:实验4基于 Window网络安全整体解决方案班级: xxx 姓名: xxx 同组人: 指导教师评定:签名:一、实验目的通过实验掌握 Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与 安全模板,了解 Windows操作系统中 Web服务器、FTP服务器的安全漏洞及其防范措施, 实现Web服务器和FTP服务器的安全配置。综合运用加密、IP过滤、安全套接层协议等安全技术,建立一个Windows操作系统的基本安全框架,掌握证书服务器的配置和使用方法。二、实验原理账户和口令是登录系统的基础,合理地设置账号、口令是
2、很必要的。 磁盘数据也是攻击者的主要目标,NTFS文件系统是一种安全的文件系统,当用户的计算机在没有足够物理保 护的地方使用时,保密数据可能被盗取,造成数据丢失。采用加密文件系统EFS的加密功能可以对敏感数据文件进行加密,加强数据的安全性。IIS是Windows系统中的Internet信息和应用程序服务器。利用 IIS可以配置 Windows平台 方便地提供并且和系统管理功能完美的融合在一起,使系统管理员获得和Windows系统完全一致的管理。安全套接层(Secure Socket Layer ,SSL)是使用公钥和私钥技术组合的安全网络通信协 议,能把在网页和服务器之间传输的数据加密。SSL
3、在TCP之上建立了一个加密通道,通过该通道的数据都经过了加密过程。SSL协议又可分为两部分:握手协议和记录协议。其中握手协议用于协商密钥,记录协议则定义了传输的格式。三、实验环境Windows 2000操作系统,建议安装一个虚拟机,并在虚拟机中完成相应实验。一般要求虚拟机安装没有打补丁的Windows 2000 Server,虚拟机可采用 VMWare ,安装 Windows2000 Server的计算机,某一磁盘格式配置为NTFS。四、实验内容和任务任务一、账户和口令的安全设置1.删除不再使用的账户,禁用 guest账户,如图4-1所示。图4-1用户和密码管理名称I全名 描述旦计篁机管理(本
4、地)-日蛇系统工具+ 犁事件查看器+系统信息+ 0性能日志和警报用 7共享文件夹S设备管理器日本地用尸和娼 用户二itsd四存储_j磁盘管理一1酊磁盘碎片整理程序 Sra-ABIK-JLQD_ IAdministratorf 在本士名称_3帐户策唱LJ本地策略口公钥策鸣耳ip安全策咯,在本地机附11描述密码和帐户辐定亨审核、用户权利,Internet协议安全常规 Web共享共享安全名称C3A*nini strators CNCMV-COmVUZH A dm i n.EveryoneF*wer V*ys CMU-COMPWUZHPawtr Ui.用STSTEM。Users OtCHU-OOMFW
5、UZHWsers)允许 拒期完全控制慢国读取及运行列出文件夹目录读取写入_1_二 一7nnnnnn回扃回口图4-2本地安全设置3.选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限,浦级9 |r允洋将来自父系的可维承枳眼传播蛤语对象比)如图4-4所示4.选择要加密的文件,利用文件夹的高级属性加密文件,如图4-5所示。5.然后创建一个新的用户如:TEST,并利用新账号重新登录,再次访问该文件。图4-4用户权限图4-5文件夹的高级属性Documents and Settings的访问控制强置?1乂1类型名称权限T应用于Adm inis tr at dr e QSi.完全控制
6、遂文件夹,子立件实反立件I允许Power Users Q3CHU.逐瞅通运疗谣文件夹,子文件夹装文件就允许SYSTEM完全控制厚文件夹 !子文件夹及文件翳允许Users QOU-COMFff .读取及运行谏文件夹.子文件夹及文件添加划一 | 删除退) |查看/编辑处极限|亩核|所有者| 权限项目Q直接在该对象上定义这个权限口子对象琳承该权限.何允许将来自父系的可继承根限传播给该对象电)r重置所有子对领的权f艮井允许传播可继承权限)确定取消Documents and Settings 屋件6 .再次切换回加密文件的管理员账户登录系统,单击“开始”按钮,在“运行”框中输入mmc,打开控制台,选择“
7、添加/删除管理单元”,选择添加“证书”,如图4-6所示。在控制 台中选择“证书” “个人” “证书”,可以看到文件系统的证书显示在右侧,如图 4-7所示。图4-6添加证书图4-7系统控制台力控制台1控利酬G窗口5帮助 口目口曲查看(匕收藏夹(日1全土隆的|色|囤隰阕树1收素夹顽发给1硼fe者LJ控制台根节点 白爵证书-当前用户-二1个人,臼物品* 一|受信任的眼证普顺发;1正_|企业信任王口中缠证书雌机构 口 Active Dwertory 用户不 n受信任的发行者,不信任的证书,,第三方根征喟应战机中*,受信任人Li AdministratorAdministrator7控制台根节点证书-当
8、前用户个人证书1*1I 2J11J个人有糖含有一个证书.47 .导出证书。8 .再次切换用户,以 TEST登录系统,利用控制台导入证书。再次双击加密的文件。 任务三、启动安全策略与安全模板1 .启动安全模板:利用 mmc命令,启动系统控制台添加/删除管理单元,添加“安全模板”、“安全配置和分析”如图 4-8所示。2 .查看系统控制台中的安全模板的描述。3 .右键单击“安全配置与分析”,选择“打开数据库”。在弹出的对话框中输入欲新建安全 数据库的名称,如图4-9所示。根据计算机准备配制成的安全等级,选择一个安全模板将其 导入。图4-8安全模板图4-9打开数据库控制台 窗口侬 帮助回 D百0晅:W
9、INW5MurityTcmpldte5baslcs也控制舍根节点的隰国麟回查高?收够旧 3士宙恤 x圈 窗白伊 C:WINMT5MuritTeiiIbasicdcbasksv basicwkDC security hisecdc hisetws notssid 配file更 Qcfifesw secLtedc|;+比:+世111 庄+任11J securews$ setup security4 Qi安森覆和分析一缅手安全模板3安全配置和分析树|收强夹| ,东制台根: -学甦科H lSc1II3FS书库+ J setup ssurty三向伟爵U securews+后二+ 1+ L亘找范围(1):
10、 | _| OaiaiASft文件名:文忤耀由:解丽文件依乳打开电)+安全配置和加。记录分析结果。4 .右键单击“安全配置与分析”,选择“立即分析计算机” 任务四、FTP服务器的安全配置1 .停止,默认FTP站点,打开“控制面板”“管理工具”“Internet服务管理器”,右击“默认FTP站点”,停止。避免使用周所周知的默认服务器设置。如图 4-10所示。2 .修改TCP端口,使得攻击者无法得到服务器的端口号,从而增大攻击难度,但同时也 会给用户带来不便。3 .启动日志记录,修改文件日志目录,将日志目录和 FTP主目录分放在不同的路径下。4 .在账号页面中,取消“允许匿名连接”,在“ FTP站
11、点操作员”只留系统管理员账号。5 .设置主目录的用户权限,删除Everyone用户组。6 .在“目录安全性”页面中添加被拒绝或允许的IP。任务五、用IIS建立高安全的 Web服务器1 .为保护 Windows 2000 Server系统的安全性,确认 IIS与系统安装在不同的分区。2 .删除不必要的虚拟目录,默认生成的目录很容易被攻击。3 .停止,默认Web站点4 .删除不必要的应用程序映射,在“ Internet服务管理器”中,右击网站目录,选择“属 性”,在弹出的“应用程序配置”对话框的“应用程序映射”页面,只需保留需要的映射。5 .维护日志安全修改日志路径,并适当设置权限。建议 Admi
12、nistrator和System用户为完全控制,Everyone 为只读;建议日志文件与Web目录文件放在不同的分区。任务六、用SSL保护Web站点的安全1 .建立自己的一个网站,能够通过用户名和口令进行简单的用户的身份验证即可。2 .利用嗅探器Sniffer,查看登录时发送信息的内容。图4-10停止,默认FTP站点,启动自己的 FTP站点用户跖富知图4-12 “目录安全性”选项卡3 .配置证书服务器:证书服务是Windows 2000 Server的一个组件,默认情况下是没有安装的,所以首先安装证书服务,并建立“独立根CA”。4 .启动IIS管理器来申请一个数字证书(1)打开Internet
13、服务管理器,选择自己建立的站点, 右键打开属性,打开“目录安全性” 选项卡,单击“服务器证书”按钮,如图 4-12所示。(2)根据向导创建一个新证书,最后将证书请求输入一个文件。5 .将证书请求文件提交给证书颁发机构,(1)打开IE浏览器,在地址栏输入证书颁发机构的IP地址/certsrv,按照步骤完成申请。注意申请时,选择”高级证书申请”,选中“使用base64编码的PKCS#10文件提交一个证书 申请,或使用base64编码PKCS#7文件更新证书申请”复选项,将保存的证书申请拷贝到指 定位置,并提交。(2)证书颁发机构颁发证书:利用“开始 程序 管理工具 证书颁发机构”,进行证书 的颁发
