網(wǎng)絡(luò)安全課程實驗指導(dǎo)書.doc

精品文檔網(wǎng)絡(luò)安全課程實驗安排及指導(dǎo)書2009-10-21 實驗安排1、推薦必做實驗網(wǎng)絡(luò)掃描計算機病毒及惡意代碼防火墻實驗入侵檢測系統(tǒng)2、推薦選作實驗VPN配置證書的申請和使用windows安全配置實驗實驗一： 網(wǎng)絡(luò)掃描實驗【實驗?zāi)康摹苛私鈷呙璧幕驹恚莆栈痉椒?，最終鞏固主機安全【實驗內(nèi)容】1、學(xué)習使用Nmap的使用方法2、學(xué)習使用漏洞掃描工具【實驗環(huán)境】1、 硬件 PC機一臺。 2、 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實驗步驟】1、端口掃描1） 解壓并安裝ipscan15.zip，掃描本局域網(wǎng)內(nèi)的主機2） 解壓nmap-4.00-win32.zip，安裝WinPcap 運行cmd.exe，熟悉nmap命令(詳見“Nmap詳解.mht”)。3） 試圖做以下掃描：掃描局域網(wǎng)內(nèi)存活主機，掃描某一臺主機或某一個網(wǎng)段的開放端口掃描目標主機的操作系統(tǒng)試圖使用Nmap的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機，或局域網(wǎng)內(nèi)某一臺主機的漏洞【實驗報告】1、說明程序設(shè)計原理。2、提交運行測試結(jié)果?！緦嶒灡尘爸R】1、 掃描及漏洞掃描原理見 第四章黑客攻擊技術(shù).ppt 2、 NMAP使用方法掃描器是幫助你了解自己系統(tǒng)的絕佳助手。象Windows 2K/XP這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測服務(wù)器上運行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法，不僅速度快，而且效果也很不錯。 Nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機以及其上運行何種服務(wù)。它支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null掃描。你可以從SCAN TYPES一節(jié)中察看相關(guān)細節(jié)。nmap還提供一些實用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。一、安裝NmapNmap要用到一個稱為“Windows包捕獲庫”的驅(qū)動程序WinPcap如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉這個驅(qū)動程序某些流媒體電影的地址是加密的，偵測這些電影的真實地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序(即這里的Nmap)捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在http:/netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系統(tǒng)，下載得到的是一個執(zhí)行文件，雙擊安裝，一路確認使用默認設(shè)置就可以了，安裝好之后需要重新啟動。接下來下載Nmap。下載好之后解開壓縮，不需要安裝。除了執(zhí)行文件nmap.exe之外，它還有下列參考文檔: nmap-os-fingerprints:列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標識信息。 nmap-protocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。 nmap-rpc:遠程過程調(diào)用(RPC)服務(wù)清單，Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。 nmap-services:一個TCP/UDP服務(wù)的清單，Nmap用它來匹配服務(wù)名稱和端口號。除了命令行版本之外，還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣，GUI版本需要安裝，圖一就是GUI版Nmap的運行界面。GUI版的功能基本上和命令行版本一樣，鑒于許多人更喜歡用命令行版本，本文后面的說明就以命令行版本為主。圖一二、常用掃描類型 解開Nmap命令行版的壓縮包之后，進入Windows的命令控制臺，再轉(zhuǎn)到安裝Nmap的目錄(如果經(jīng)常要用Nmap，最好把它的路徑加入到PATH環(huán)境變量)。不帶任何命令行參數(shù)運行Nmap，Nmap顯示出命令語法，如圖二所示。圖二下面是Nmap支持的四種最基本的掃描方式: TCP connect()端口掃描(-sT參數(shù))。 TCP同步(SYN)端口掃描(-sS參數(shù))。 UDP端口掃描(-sU參數(shù))。 Ping掃描(-sP參數(shù))。如果要勾畫一個網(wǎng)絡(luò)的整體情況，Ping掃描和TCP SYN掃描最為實用。Ping掃描通過發(fā)送ICMP(Internet Control Message Protocol，Internet控制消息協(xié)議)回應(yīng)請求數(shù)據(jù)包和TCP應(yīng)答(Acknowledge，簡寫ACK)數(shù)據(jù)包，確定主機的狀態(tài)，非常適合于檢測指定網(wǎng)段內(nèi)正在運行的主機數(shù)量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect()掃描比較，就很容易看出這種掃描方式的特點。在TCP connect()掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的TCP連接也就是說，掃描器打開了兩個主機之間的完整握手過程(SYN，SYN-ACK，和ACK)。一次完整執(zhí)行的握手過程表明遠程主機端口是打開的。TCP SYN掃描創(chuàng)建的是半打開的連接，它與TCP connect()掃描的不同之處在于，TCP SYN掃描發(fā)送的是復(fù)位(RST)標記而不是結(jié)束ACK標記(即，SYN，SYN-ACK，或RST):如果遠程主機正在監(jiān)聽且端口是打開的，遠程主機用SYN-ACK應(yīng)答，Nmap發(fā)送一個RST;如果遠程主機的端口是關(guān)閉的，它的應(yīng)答將是RST，此時Nmap轉(zhuǎn)入下一個端口。圖三是一次測試結(jié)果，很明顯，TCP SYN掃描速度要超過TCP connect()掃描。采用默認計時選項，在LAN環(huán)境下掃描一個主機，Ping掃描耗時不到十秒，TCP SYN掃描需要大約十三秒，而TCP connect()掃描耗時最多，需要大約7分鐘。圖三Nmap支持豐富、靈活的命令行參數(shù)。例如，如果要掃描192.168.7網(wǎng)絡(luò)，可以用192.168.7.x/24或-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù)，如果不指定要掃描的端口，Nmap默認掃描從1到1024再加上nmap-services列出的端口。如果要查看Nmap運行的詳細過程，只要啟用verbose模式，即加上-v參數(shù)，或者加上-vv參數(shù)獲得更加詳細的信息。例如，nmap -sS -255 -p 20,21,53-110,30000- -v命令，表示執(zhí)行一次TCP SYN掃描，啟用verbose模式，要掃描的網(wǎng)絡(luò)是192.168.7，檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子，nmap -sS /24 -p 80掃描192.168.0子網(wǎng)，查找在80端口監(jiān)聽的服務(wù)器(通常是Web服務(wù)器)。有些網(wǎng)絡(luò)設(shè)備，例如路由器和網(wǎng)絡(luò)打印機，可能禁用或過濾某些端口，禁止對該設(shè)備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時，-host_timeout參數(shù)很有用，它表示超時時間，例如nmap sS host_timeout 10000 命令規(guī)定超時時間是10000毫秒。網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時間，設(shè)置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡(luò)所需時間。Nmap會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時，這時你就可以對這些設(shè)備個別處理，保證大范圍網(wǎng)絡(luò)掃描的整體速度。當然，host_timeout到底可以節(jié)省多少掃描時間，最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。Nmap的手冊(man文檔)詳細說明了命令行參數(shù)的用法(雖然man文檔是針對UNIX版Nmap編寫的，但同樣提供了Win32版本的說明)。三、注意事項也許你對其他端口掃描器比較熟悉，但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統(tǒng)，感覺一下Nmap的基本運行模式，熟悉之后，再將掃描范圍擴大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報告的結(jié)果，然后從一個外部IP地址掃描，注意防火墻、入侵檢測系統(tǒng)(IDS)以及其他工具對掃描操作的反應(yīng)。通常，TCP connect()會引起IDS系統(tǒng)的反應(yīng)，但IDS不一定會記錄俗稱“半連接”的TCP SYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報告整理存檔，以便隨后參考。如果你打算熟悉和使用Nmap，下面幾點經(jīng)驗可能對你有幫助: 避免誤解。不要隨意選擇測試Nmap的掃描目標。許多單位把端口掃描視為惡意行為，所以測試Nmap最好在內(nèi)部網(wǎng)絡(luò)進行。如有必要，應(yīng)該告訴同事你正在試驗端口掃描，因為掃描可能引發(fā)IDS警報以及其他網(wǎng)絡(luò)問題。 關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報告(同時考慮網(wǎng)絡(luò)的安全要求)，關(guān)閉不必要的服務(wù)，或者調(diào)整路由器的訪問控制規(guī)則(ACL)，禁用網(wǎng)絡(luò)開放給外界的某些端口。 建立安全基準。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后，下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準，以后如果要啟用新的服務(wù)或者服務(wù)器，就可以方便地根據(jù)這個安全基準執(zhí)行。實驗二：計算機病毒及惡意代碼【實驗?zāi)康摹烤毩暷抉R程序安裝和攻擊過程，了解木馬攻擊原理，掌握手工查殺木馬的基本方法，提高自己的安全意識?！緦嶒瀮?nèi)容】安裝木馬程序NetBus，通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術(shù)【實驗步驟】1、 木馬安裝和使用1) 在菜單運行中輸入cmd打開dos命令編輯器2 ) 安裝netbus軟件3) 在DOS命令窗口啟動進程并設(shè)置密碼4) 打開木馬程序，連接別人主機5) 控制本地電腦打開學(xué)院網(wǎng)頁6) 查看自己主機7) 查看任務(wù)管理器進程8 移除木馬控制程序進程查看任務(wù)管理器（注意：Patch.exe進程已經(jīng)關(guān)閉）2、木馬防御實驗在木馬安裝過程可以運行一下軟件查看主機信息變化：1） 使用autoruns.exe軟件，查看windows程序啟動程序的位置，了解木馬的自動加載技術(shù)。如自動運行進程（下圖所示）、IE瀏覽器調(diào)運插件、任務(wù)計劃等：2） 查看當前運行的進程，windows提供的任務(wù)管理器可以查看當前運行的進程，但其提供的信息不全面。利用第三方軟件可以更清楚地了解當前運行進程的信息。這里procexp.exe為例 啟動procexp.exe程序，查看當前運行進程所在位置，如圖所示：3）木馬綜合查殺練習使用冰刃IceSword查看木馬可能修改的位置：主要進行以下練習：1） 查看當前通信進程開放的端口。 木馬攻擊2） 查看當前啟動的服務(wù)3） 練習其他功能，如強制刪除其他文件，SPI、內(nèi)核模塊等。【實驗報告】1、 分析木馬傳播、自啟動、及隱藏的原理。2、 提交運行測試的結(jié)果，并分析?！颈尘爸R】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務(wù)器端程序（通常文件名為：patch.exe）。要想“控制”遠程機器，必須先將服務(wù)器端程序安裝到遠程機器上這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中的，它會在Windows啟動時自動啟動。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話，文件名應(yīng)為explore.exe（注意：不是explorer.exe！）或者簡單地叫g(shù)ame.exe。同時，你可以檢查Windows系統(tǒng)注冊表，NetBus會在下面路徑中加入其自身的啟動項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過該注冊項實現(xiàn)Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del，在任務(wù)列表中是看不到它的存在的。正確的去除方法如下：1、運行regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、將patch項刪除（或者explore項）；4、重新啟動機器后刪除Windows系統(tǒng)目錄下的patch.exe（或者explore.exe）即可。實驗三： 防火墻實驗【實驗?zāi)康摹空莆諅€人防火墻的使用及規(guī)則的設(shè)置【實驗內(nèi)容】防火墻設(shè)置，規(guī)則的設(shè)置，檢驗防火墻的使用?！緦嶒灜h(huán)境】3、 硬件 PC機一臺。 4、 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實驗步驟】 (有兩種可選方式，1、以天網(wǎng)防火墻為例，學(xué)習防火墻的規(guī)則設(shè)置，2、通過winroute防火墻學(xué)習使用規(guī)則設(shè)置，兩者均需安裝虛擬機)一、 虛擬機安裝與配置驗證virtual PC是否安裝在xp操作系統(tǒng)之上，如果沒有安裝，從獲取相關(guān)軟件并安裝；從教師機上獲取windows 2000虛擬機硬盤二、包過濾防火墻winroute配置（可選）1、從教師機上獲取winroute安裝軟件并放置在windows 2000上安裝2、安裝默認方式進行安裝，并按提示重啟系統(tǒng)3、登陸虛擬機,打開winroute以管理員的身份登錄，打開開始WinRoute ProWinRoute Administration，輸入IP地址或計算機名，以及WinRoute管理員帳號（默認為Admin）、密碼（默認為空）3、打開菜單 SettingAdvancedPacket Filter4、在Packet Filter對話框中，選中Any interface并展開雙擊No Rule圖標，打開Add Item對話框在Protocol下拉列表框中選擇ICMP，開始編輯規(guī)則配置Destination：type為Host,IP Address為 (x為座位號)5、在ICMP Types中，選中All復(fù)選項在Action區(qū)域，選擇Drop項在Log Packet區(qū)域選中Log into Window其他各項均保持默認值，單擊OK單擊OK，返回主窗口6、合作伙伴間ping對方IP，應(yīng)該沒有任何響應(yīng)打開菜單ViewLogsSecurity Log ,詳細查看日志記錄禁用或刪除規(guī)則8、用WinRoute控制某個特定主機的訪問（選作）要求學(xué)生在虛擬機安裝ftp服務(wù)器。1) 打開WinRoute,打開菜單SettingsAdvancedPacket Filter選擇,Outgoing標簽2) 選擇Any Interface并展開，雙擊No Rule，然后選擇TCP協(xié)議3) 配置Destination 框：type為 Host， IP Address為(2為合作伙伴座位號)4)、 在Source框中：端口范圍選擇Greater than()，然后輸入10245) 以21端口作為 Destination Port值6) 在Action區(qū)域，選擇Deny選項7) 選擇Log into window選項8) 應(yīng)用以上設(shè)置，返回主窗口9) 合作伙伴間互相建立到對方的FTP連接，觀察失敗信息10)禁用或刪除FTP過濾三、包過濾天網(wǎng)防火墻配置（可選）1、安裝解壓，單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設(shè)置安裝，注：破解 1）將兩個文件Cr-PFW.exe和PFW.bak一起復(fù)制到軟件安裝目錄中 2）運行破解補丁Cr-PFW.exe，覆蓋原主程序即可2、熟悉防火墻規(guī)則 啟動防火墻并”單擊自定義規(guī)則”如圖熟悉規(guī)則的設(shè)置：雙擊如下選項：“允許自己用ping命令探測其他機器“防止別人用ping命令探測”“禁止互聯(lián)網(wǎng)上的機器使用我的共享資源”“防止互聯(lián)網(wǎng)上的機器探測機器名稱”等選項，熟悉其中的IP地址、方向，協(xié)議類型、端口號、控制位等項的設(shè)置。試總結(jié)規(guī)則設(shè)置的順序，5、 增加設(shè)置防火墻規(guī)則開放部分自己需要的端口。下圖為對話框，各部分說明：1） 新建IP規(guī)則的說明部分，可以取有代表性的名字，如“打開BT6881-6889端口”，說明詳細點也可以。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可以根據(jù)具體情況決定。2）就是對方IP地址，分為任何地址，局域網(wǎng)內(nèi)地址，指定地址，指定網(wǎng)絡(luò)地址四種。3）IP規(guī)則使用的各種協(xié)議，有IP，TCP，UDP，ICMP，IGMP五種協(xié)議，可以根據(jù)具體情況選用并設(shè)置，如開放IP地址的是IP協(xié)議，QQ使用的是UDP協(xié)議等。4）比較關(guān)鍵，就是決定你設(shè)置上面規(guī)則是允許還是拒絕，在滿足條件時是通行還是攔截還是繼續(xù)下一規(guī)則，要不要記錄，具體看后面的實例。試設(shè)置如下規(guī)則：1）禁止局域網(wǎng)的某一臺主機和自己通信通信2）禁止任何大于1023的目標端口于本機連接，3） 允許任何新來的TCP與主機的SMTP連接4、查看各個程序使用及監(jiān)聽端口的情況可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源，如木馬程序，然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問自己的機子等等?！緦嶒瀳蟾妗?、 說明包過濾放火墻的工作原理。2、 提交防火墻指定功能測試結(jié)果。實驗4 入侵檢測系統(tǒng)安裝和使用【實驗?zāi)康摹客ㄟ^安裝并運行一個snort系統(tǒng)，了解入侵檢測系統(tǒng)的作用和功能【實驗內(nèi)容】 安裝并配置appahe，安裝并配置MySQL，安裝并配置snort；服務(wù)器端安裝配置php腳本，通過IE瀏覽器訪問IDS【實驗環(huán)境】硬件 PC機一臺。 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實驗步驟】1、 安裝appache服務(wù)器 安裝的時候注意，本機的80 端口是否被占用，如果被占用則關(guān)閉占用端口的程序。選擇定制安裝，安裝路徑修改為c:apache 安裝程序會自動建立c:apache2 目錄，繼續(xù)以完成安裝。添加Apache 對PHP 的支持1）解壓縮php-5.2.6-Win32.zip至c:php2）拷貝php5ts.dll文件到%systemroot%system32 3）拷貝php.ini-dist (修改文件名) 至%systemroot%php.ini 修改php.ini extension=php_gd2.dll extension=php_mysql.dll 同時拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot% 4）添加gd庫的支持在C:apacheApache2confhttpd.conf中添加：LoadModule php5_module c:/php5/php5apache2.dllAddType application這一行下面加入下面兩行：AddType application/x-httpd-php .php .phtml .php3 .php4 AddType application/x-httpd-php-source .phps5）添加好后，保存http.conf文件，并重新啟動apache服務(wù)器。現(xiàn)在可以測試php腳本： 在c:apache2htdocs 目錄下新建test.php test.php 文件內(nèi)容： ?phpinfo();?使用http:/localhost/test.php測試php 是否安裝成功2、安裝配置snort安裝程序WinPcap_4_0_2.exe；缺省安裝即可安裝Snort_2_8_1_Installer.exe；缺省安裝即可將snortrules-snapshot-CURRENT目錄下的所有文件復(fù)制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf3、 安裝MySql配置mysql解壓mysql-5.0.51b-win32.zip，并安裝。采取默認安裝，注意設(shè)置root帳號和其密碼J檢查是否已經(jīng)啟動mysql服務(wù)在安裝目錄下運行命令：（一般為c:mysqlbin）mysql -u root p輸入剛才設(shè)置的root密碼運行以下命令c:mysql -D mysql -u root -p c:snort_mysql （需要將snort_mysql復(fù)制到c盤下，當然也可以復(fù)制到其他目錄）運行以下命令：c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysql c:mysqlbinmysql -D snort_archive -u root -p snort -dev，能看到一只正在奔跑的小豬證明工作正常查看本地網(wǎng)絡(luò)適配器編號：c:snort -W正式啟動snort；snort -c c:snortetcsnort.conf -i 2 -l c:snortlogs -deX(注意其中-i 后的參數(shù)為網(wǎng)卡編號，由snort W 察看得知)這時通過http:/localhost/acid/acid_main.php 可以察看入侵檢測的結(jié)果6、 利用掃描實驗的要求掃描局域網(wǎng)，查看檢測的結(jié)果【實驗報告】1、 簡單分析網(wǎng)絡(luò)入侵檢測snort的分析原理2、 分析所安裝的入侵檢測系統(tǒng)對攻擊的檢測結(jié)果。附：Appach啟動動命令： apache -k install| apache -k start證書的申請和使用【實驗?zāi)康摹空莆諗?shù)字證書的申請、安裝，利用證書的使用通過Outlook發(fā)送和接受安全電子郵件【實驗內(nèi)容】1、 申請免費使用證書，了解證書的結(jié)構(gòu)2、 利用申請的證書，發(fā)送和接收具有加密和簽名認證的電子郵件【實驗環(huán)境】上網(wǎng)計算機，Windows操作系統(tǒng)（最好是Windows2000）。IE5.0以上瀏覽器【實驗步驟】1、證書申請（1）登錄中國數(shù)字認證網(wǎng)網(wǎng)站：，如圖1所示，圖1 申請證書主頁(2)單擊 “用表格申請”，進入申請網(wǎng)頁，如圖2：填寫相關(guān)信息，注意證書用途選擇，電子郵件保護證書。注意電子郵件部分填寫隨后測試郵件的自己電子郵件的郵件圖2、申請表格3）單擊“提交并安裝證書”4）證書查詢打開IE瀏覽器，依次點擊工具Internet選項內(nèi)容證書，如圖8.11所示，點擊證書按鈕后出現(xiàn)證書目錄，如圖8.12，雙擊剛才申請的試用個人證書，如圖8.13所示。需要說明的是，由于證書是試用證書，所以有該證書未生效信息，實際上，正式申請的付費證書是沒有任何問題。圖3互聯(lián)網(wǎng)選項圖4 已經(jīng)安裝好的數(shù)字證書圖5 證書信息2、 使用證書發(fā)送安全郵件1） 選擇菜單-工具-選項 彈出對話框 選擇安全屬性頁， 復(fù)選“給待發(fā)郵件添加數(shù)字簽名”“以明文簽名發(fā)送郵件” 選擇“設(shè)置”按鈕，彈出“更改安全設(shè)置對話框”見圖9圖6 選項屬性頁2） 選擇 “設(shè)置”按鈕 彈出“更改安全設(shè)置”對話框 圖7填寫名稱“選擇” 按鈕選擇剛才申請的證書 ，并選擇哈希算法和加密算法。圖7安全設(shè)置對話框3 ）選擇一個通信聯(lián)系人發(fā)送一個郵件(這里最好是相互發(fā)送)看看對方是不是收到了一個帶證書的電子郵件注意：這時只能發(fā)送簽名電子郵件，因為不知道對方的公鑰無法加密(why？),可以思考一下。發(fā)送加密帶簽名的電子郵件方法如下：需要知道收信人的公鑰才能加密，因此需要導(dǎo)入收信人的證書。4）導(dǎo)出收信人證書以剛才收到的帶簽名的和證書的油箱導(dǎo)入對方的證書A） 添加剛才收到信的發(fā)信人島通信薄。B） 從剛才收到的信中到處證書。在信的右邊單擊紅色飄帶彈出對話框，并單擊“詳細信息”，彈出對話框，選擇 “簽字人：*” ，并單擊“查看信息” 按鈕（如圖8），彈出屬性頁，選擇“查看證書按鈕”，彈出屬性頁對話框，選擇“詳細信息”，及“復(fù)制到文件”按鈕（見圖9）。把證書復(fù)制到文件圖8圖95） 向通信薄中聯(lián)系人添加證書。選擇菜單“工具”-“通信薄”，選擇上述接收到的郵件發(fā)件人作為聯(lián)系人，并單擊，選擇證書屬性頁，（如圖10），單擊“導(dǎo)入”按鈕，倒入剛才到處的文件。圖106） 發(fā)送帶簽名和加密的電子郵件 選擇菜單 工具-選項彈出對話框 選擇安全屬性頁， 復(fù)選“加密帶發(fā)郵件的內(nèi)容和附件” ， “給待發(fā)郵件添加數(shù)字簽名” ，“以明文簽名發(fā)送郵件”（如圖11）向?qū)Ψ桨l(fā)送一個電子郵件，看看是不會加密帶簽名的圖11【實驗報告】1、 提交運行測試結(jié)果2、 提交申請證書的分析說明3、 提交認證（簽名）和加密郵件的分析說明實驗六： windows安全配置實驗【實驗?zāi)康摹空莆誻indows的安全設(shè)置，加固操作系統(tǒng)安全【實驗內(nèi)容】1、賬戶與密碼的安全設(shè)置 2、文件系統(tǒng)的保護和加密 3、啟用 安全策略與安全模板 4、審核與日志查看5、利用 MBSA 檢查和配置系統(tǒng)安全【實驗環(huán)境】7、 硬件 PC機一臺。 2、系統(tǒng)配置：操作系統(tǒng)windows XP專業(yè)版?！緦嶒灢襟E 】任務(wù)一 賬戶和密碼的安全設(shè)置 1、刪除不再使用的賬戶，禁用 guest 賬戶 檢查和刪除不必要的賬戶 右鍵單擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用戶和密碼”項； 在彈出的對話框中中列出了系統(tǒng)的所有賬戶。確認各賬戶是否仍在使用，刪除其中不用的賬戶。 禁用 guest 賬戶 打開“控制面板”中的“管理工具”，選中“計算機管理”中“本地用戶和組”，打開“用戶”，右鍵單擊 guest 賬戶，在彈出的對話框中選擇“屬性”，在彈出的對話框中“帳戶已停用”一欄前打勾。 確定后，觀察 guest 前的圖標變化，并再次試用 guest 用戶登陸，記錄顯示的信息。 、啟用賬戶策略 設(shè)置密碼策略 打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項，可按照需要改變密碼特性的設(shè)置。根據(jù)選擇的安全策略，嘗試對用戶的密碼進行修改以驗證策略是否設(shè)置成功，記錄下密碼策略和觀察到的實驗結(jié)果。 設(shè)置賬戶鎖定策略 打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”。雙擊“帳戶鎖定策略”。 在右窗口中雙擊“賬戶鎖定閥值”，在彈出的對話框中設(shè)置賬戶被鎖定之前經(jīng)過的無效登陸次數(shù)（如 3 次），以便防范攻擊者利用管理員身份登陸后無限次的猜測賬戶的密碼。 在右窗口中雙擊“賬戶鎖定時間”，在彈出的對話框中設(shè)置賬戶被鎖定的時間（如 20 min ）。 重啟計算機，進行無效的登陸（如密碼錯誤），當次數(shù)超過 3 次時，記錄系統(tǒng)鎖定該賬戶的時間，并與先前對“賬戶鎖定時間”項的設(shè)置進行對比。 開機時設(shè)置為“不自動顯示上次登陸賬戶” 右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”，并在彈出的窗口右側(cè)列表中選擇“登陸屏幕上不要顯示上次登陸的用戶名”選項，啟用該設(shè)置。設(shè)置完畢后，重啟機器看設(shè)置是否生效。 禁止枚舉賬戶名 右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”， 并在彈出的窗口右側(cè)列表中選擇“對匿名連接的額外限制”項，在“本地策略設(shè)置”中選擇“不允許枚舉 SAM 賬戶和共享”。 此外，在“安全選項”中還有多項增強系統(tǒng)安全的選項，請同學(xué)們自行查看。 任務(wù)二 文件系統(tǒng)安全設(shè)置 打開采用 NTFS 格式的磁盤，選擇一個需要設(shè)置用戶權(quán)限的文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”。 將“允許來自父系的可能繼承權(quán)限無限傳播給該對象”之前的勾去掉，以去掉來自父系文件夾的繼承權(quán)限（如不去掉則無法刪除可對父系文件夾操作用戶組的操作權(quán)限）。 選中列表中的 Everyone 組，單擊“刪除”按鈕，刪除 Everyone 組的操作權(quán)限，由于新建的用戶往往都歸屬于 Everyone 組，而 Everyone 組在缺省情況下對所有系統(tǒng)驅(qū)動器都有完全控制權(quán)，刪除 Everyone 組的操作權(quán)限可以對新建用戶的權(quán)限進行限制，原則上只保留允許訪問此文件夾的用戶和用戶組。 選擇相應(yīng)的用戶組，在對應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶組對該文件夾的操作權(quán)限。 單擊“高級”按鈕，在彈出的窗口中，查看各用戶組的權(quán)限。 注銷計算機，用不同的用戶登陸，查看 剛才設(shè)置“桌面”文件夾的訪問權(quán)限，將結(jié)果記錄在實驗報告中。 任務(wù)三 啟用審核與日志查看 1 啟用審核策略 (1) 打開“控制面板”中的“管理工具”，選擇“本地安全策略”。 (2) 打開“本地策略”中的“審核策略”，在實驗報告中記錄當前系統(tǒng)的審核策略。 (3) 雙擊每項策略可以選擇是否啟用該項策略，例如“審核賬戶管理”將對每次建立新用戶、刪除用戶等操作進行記錄，“審核登陸事件”將對每次用戶的登陸進行記錄；“審核過程追蹤”將對每次啟動或者退出的程序或者進程進行記錄，根據(jù)需要啟用相關(guān)審核策略，審核策略啟用后，審核結(jié)果放在各種事件日志中。 2 查看事件日志 (1) 打開“控制面板”中的“管理工具”，雙擊“事件查看器“，在彈出的窗口中查看系統(tǒng)的 3 種日志。 (2) 雙擊“安全日志”，可查看有效無效、登陸嘗試等安全事件的具體記錄，例如：查看用戶登陸 / 注銷的日志。 任務(wù)四 啟用安全策略與安全模塊 1、啟用安全模板 開始前，請記錄當前系統(tǒng)的賬戶策略和審核日志狀態(tài)，以便于同實驗后的設(shè)置進行比較。 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系統(tǒng)控制臺 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設(shè)置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱，選擇“設(shè)置描述”，可以看到該模板的相關(guān)信息。選擇“打開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每種安全策略可看到其相關(guān)配置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框中輸入預(yù)建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打開”按鈕，在彈出的窗口中，根據(jù)計算機準備配置成的安全級別，選擇一個安全模板將其導(dǎo)入。 右鍵單擊“安全設(shè)置與分析”，選擇“立即分析計算機”，單擊“確定”按鈕，系統(tǒng)開始按照上一步中選定的安全模板，對當前系統(tǒng)的安全設(shè)置是否符合要求進行分析。將分析結(jié)果記錄在實驗報告中。 右鍵單擊“安全設(shè)置與分析”，選擇“立即配置計算機”，則按照第（ 4 ）步中所選的安全模板的要求對當前系統(tǒng)進行配置。 在實驗報告中記錄實驗前系統(tǒng)的缺省配置，接著記錄啟用安全模板后系統(tǒng)的安全設(shè)置，記錄下比較和分析的結(jié)果。 2 建安全模板 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系統(tǒng)控制臺。 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設(shè)置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱，選擇“設(shè)置描述”，可以看到該模板的相關(guān)信息。選擇“打開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每中安全策略可看到其相關(guān)配置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框中輸入預(yù)建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打開”按鈕，在彈出的窗口中，根據(jù)計算機準備配置成的安全級別，選擇一個安全模板將其導(dǎo)入。 展開“安全模板”，右鍵單擊模板所在路經(jīng) , 選擇“新加模板”，在彈出的對話框中添如預(yù)加入的模板名稱 mytem ，在“安全模板描述“中填入“自設(shè)模板”。查看新加模板是否出現(xiàn)在模板列表中。 雙擊 mytem ，在現(xiàn)實的安全策略列表中雙擊“賬戶策略”下的“密碼策略”，可發(fā)現(xiàn)其中任一項均顯示“沒有定義”，雙擊預(yù)設(shè)置的安全策略（如“密碼長度最小值”），彈出窗口。 在“