信息安全安全實驗指導(dǎo)

1、PAGE21信息安全技術(shù)實驗指導(dǎo)書信息工程學(xué)院網(wǎng)絡(luò)與信息傳播教研室二一一年二月二十日信息安全技術(shù)是實踐性非常強的一門課程，學(xué)生要真正掌握信息安全技術(shù)必須通過實驗將學(xué)到的理論知識應(yīng)用到實踐中。通過實驗可以激發(fā)學(xué)生的學(xué)習(xí)興趣，有效增強學(xué)生的學(xué)習(xí)動力，鞏固學(xué)生所學(xué)到理論知識，提高學(xué)生的應(yīng)用知識能力。計算機信息安全技術(shù)實驗內(nèi)容有很多，主要包括安全程序設(shè)計和安全軟件使用兩部分。教材的習(xí)題部分包含了一些簡單程序設(shè)計題，這些題目可以作為實驗內(nèi)容，通過上機來完成。教材中介紹的DES 算法、RSA 算法和MDS 算法可以作為該課程或信息安全專業(yè)的課程設(shè)計，要求學(xué)生編寫程序?qū)崿F(xiàn)DEs 算法、RSA 算法和MDS

2、算法，以提高學(xué)生編程能力和邏輯思維能力。對AES 算法和NTRU 算法的研究與實現(xiàn)可以作為學(xué)生畢業(yè)設(shè)計課題。考慮到教材的篇幅以及對學(xué)生的基本要求，本教材主要提供安全軟件使用方面的實驗，以豐富學(xué)生對信息安全的感性認(rèn)識。這里需要強調(diào)的是許多安全軟件既可以發(fā)現(xiàn)系統(tǒng)中存在的漏洞，也可以成為攻擊、破壞系統(tǒng)的工具。希望學(xué)生通過實驗，強化信息安全意識，切不可利用安全工具進(jìn)行違法犯罪活動，損害國家和他人的利益。學(xué)生在寫實驗報告時，主要寫實驗名稱、實驗?zāi)康摹嶒灜h(huán)境、實驗內(nèi)容與步驟、實驗體會等就可以了，不必寫實驗說明部分。教材提供的實驗內(nèi)容只是實驗的主要部分，具體實驗時可以增加實驗內(nèi)容，并寫到實驗報告中。實驗1

3、 加密與隱藏一、實驗?zāi)康奶岣邔用芘c解密原理的認(rèn)識；提高對信息隱藏原理的認(rèn)識；學(xué)會使用加密與隱藏軟件。二、實驗環(huán)境Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤，安裝windows 98 以上操作系統(tǒng)，加密與隱藏軟件EsayCode Boy Plus 。EasyCode Boy Plus ，界面如圖1-1所示。圖1-1 EasyCode Boy Plus界面三、實驗內(nèi)容與步驟 加密文件任意編寫一個 Word 文檔，如 ，執(zhí)行 程序，打開 EsayCode Boy Plus 窗口選中“加密”“添加文件選中要加密的文件（如 my

4、. doc ）在密碼輸人框中輸人密碼“開始加密”打開加密文件，如 ，看到的將是亂碼。說明：實際上EasyCode Boy Plus可以加密任何類型的文件，并對文件的每個比特單元加密。如果需要加密一個文件夾，可以單擊“批量添加文件”，程序?qū)⒓用芪募A中的所有文件；如果被加密的文件較大，可以選中“啟動快速加密”選項；如果只對文件名加密，可以選中“加密文件名”選項，這時加密后的文件名會改變，無法打開或執(zhí)行。 解密文件在 Esaycode Boy Plus 窗口選中“解密”選擇被加密的文件在密碼輸人框中輸人密碼“開始解密”打開解密的文件，如 ，可以看到文件的內(nèi)容已經(jīng)被解密或文件已經(jīng)可以運行。 生成隨機

5、密碼在 Esaycode Boy Plus 窗口選中“加密”“產(chǎn)生隨機密碼”在彈出的“隨機密碼生成器”窗口中打開所有選項，改變密碼位數(shù)或密碼中特殊字符數(shù)單擊“生成。說明： EsayCode Boy Plus 可以生成安全強度很高的密碼。一般情況下使用 8位由大小寫字母和數(shù)字組成的密碼就可以了。 生成可自解密文件在 EsayC0de Boy Plus窗口選中“編譯 ExE” 選擇“將文件編譯為 ExE 文件” “瀏覽”選擇要加密的文件（如 my . doc ）在密碼輸人框中輸人密碼“開始編譯加密” 打開被加密的.exe 文件，如 ，程序會彈出窗口提示輸人密碼，輸人密碼正確后才能打開文件。在 Es

6、ayCode Boy Plus 窗口選中“編譯 EXE ” 選擇“對 ExE 文件加密碼保護” “瀏覽”選擇要加密的.exe 文件，如 在密碼輸入框中輸人密碼“開始編譯加密” 執(zhí)行被加密的.exe 文件，如 ，程序會彈出窗口提示輸人密碼，輸人密碼正確后程序才能繼續(xù)執(zhí)行。說明：自解密文件就是文件每次使用前輸人密碼后才能執(zhí)行，或輸人密碼后可以將文件解密釋放。 文件隱藏與恢復(fù)在 EsayCode Boy Plus窗口選中“文件嵌人”“瀏覽”，選擇要作為寄主的文件（如 ）“瀏覽”，選擇要嵌人的文件（如 ）在密碼輸人框中輸人密碼選中“嵌人后刪除寄生文件”選項單擊“嵌人文件”按鈕觀察寄主文件使用變化。在

7、EsayCode Boy Plus 窗口選中“文件嵌人”“瀏覽”選擇要釋放寄生文件的寄主文件（如 my. exe）“瀏覽”，選擇寄生文件釋放后存放的目錄在密碼輸人框中輸人密碼選中“釋放后恢復(fù)寄生文件初始狀態(tài)”選項單擊“釋放文件”按鈕觀察寄主文件和寄主文件使用的變化，如 my. exe 、 my. doc 。說明：寄主文件是隱藏文件的載體，寄生文件是被隱藏的文件。 EsayCode Boy Plus可以將不同類型的文件作為寄主文件，將各種文件隱藏到不同類型的文件中。實驗過程中可以觀察寄主文件和寄生文件大小的變化，或通過 Hiew 等文件代碼編輯器查看寄主文件和寄生文件內(nèi)容的變化。偽裝文件夾在 E

8、sayCode Boy Plua窗口斗選中“偽裝目錄”、在左側(cè)的目錄樹中選擇需要進(jìn)行偽裝的文件夾。在右側(cè)“偽裝類型”中選擇偽裝類型（如“快捷方式”）。“偽裝目錄”。觀察被偽裝的文件夾變化。說明：在進(jìn)行目錄偽裝前需要先結(jié)束對該目錄中所有文件的操作，如退出該目錄中正在編輯的文檔等?？梢栽谶M(jìn)行目錄偽裝時加上密碼保護。實驗說明建議實驗課時為 2 個學(xué)時。 實驗 2 破解密碼一、實驗?zāi)康牧私饪诹钇平饣痉椒?；體會設(shè)置安全口令的重要意義。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤，安裝 Windows 2000 以上操

9、作系統(tǒng)，破解密碼軟件L0phtCrack、APDFPRP、 等，關(guān)閉殺毒和防火墻軟件。三、實驗內(nèi)容與步驟 破解 Windows 2000/XP 系統(tǒng)密碼安裝L0phtCrack（簡稱LC5）軟件，運行 LC5，根據(jù) LC5向?qū)В?LC5 Wizard ）選擇密碼猜測模式，根據(jù)軟件提示一步一步進(jìn)行，即可以獲得本地或遠(yuǎn)程計算機 Windows 2000/ xP 系統(tǒng)所有用戶密碼。說明： LC5可以用來檢測 Windows NT/2000/Xp/ UNIX 用戶是否使用了不安全的密碼，可以作為系統(tǒng)管理員評估用戶口令安全性的工具。也是最好、最快的操作系統(tǒng)管理員賬號密碼破解工具。 LCS 功能很多，實驗

10、時每個功能可以試做一次。 破解Office文檔密碼任意編寫一個 Office 文檔，并對該文檔進(jìn)行加密。如 ，通過 Word 菜單上的“工具”“選項”“保存”在“打開權(quán)限密碼”中，為 設(shè)置密碼，如 123456 。執(zhí)行 在彈出的對話框中輸人（或打開）要破譯的文件名（如 ）選擇 Bruce force（暴力攻擊）在 Bruce force rang option 中選擇 All printable在 Password length options 中選定可能的密碼長度選擇 Recovey菜單 Start , Aoxppr開始破解口令，破解完成后，Aoxppr 會提示破解結(jié)果報告。說明：Offic

11、e 文檔包括 Word、Excel、Accsee、VBA 等。Aoxppr功能很多，實驗時每個功能可以試做一次。 破解 PDF 文檔密碼安裝 APDFPRP ( Advanced PDF Password RecoveryPro）軟件在“程序”中執(zhí)行 APDFPRP在彈出的對話框中輸入（或打開）要破譯的文件名（如 ）選擇 Bruce force （暴力攻擊）在 Bruce force rang option 中選擇 All printable選擇 Advanced 在 Search for 中選擇 User PasswordStart，APDFPRP 開始破解用戶口令，結(jié)束后在 Search

12、for 中選擇 owner Password Start , APDFPRP 開始破解主口令。破解完成后，APDFPRP 會提示破解結(jié)果報告。說明： PDF 文件的用戶口令和主口令可以不同，因此需要分別破解。 。破解 POP3 郵箱密碼執(zhí)行 在彈出的窗口中選擇“產(chǎn)生密碼字典”設(shè)置密碼字典中使用的字母、數(shù)字、特殊符號和密碼組成長度等 OK 在彈出的“另存為”窗口中輸入密碼字典名（如 Password ）單擊“保存”選擇“ POP3 多線程掃描” OK在彈出的窗口中輸入服務(wù)器名或地址用戶名等OK MailHack 掃描結(jié)束后，在 Mai1Hack 文件夾下打開 文件，查看破譯密碼結(jié)果等信息。說明：

13、 可以破解 POP3/SMTP/FTP密碼，支持POP3/SMTP/FTP/TCP 掃描， whois 查詢、并且集成了密碼字典生成工具和郵箱炸彈等功能。四、實驗說明現(xiàn)在網(wǎng)上有很多口令破解工具，口令破解工具也是一把雙刃劍，它既可以用作破解口令的工具，也可以作為檢測口令安全性的工具。為了減少實驗時間，實驗用的密碼可以選得簡單一些，如1234 。上面介紹的軟件還有很多其他功能，建議實驗課時為 2-4 個學(xué)時，指導(dǎo)老師可以根據(jù)情況安排實驗時間。實驗 3 網(wǎng)絡(luò)漏洞掃描一、實驗?zāi)康牧私饽壳跋到y(tǒng)存在的典型漏洞；學(xué)會使用網(wǎng)絡(luò)掃描和漏洞掃描工具。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、

14、600 MHz以上CPU ,128M 以上內(nèi)存,10G 以上硬盤,安裝 Windows 2000 以上操作系統(tǒng)，局域網(wǎng)或因特網(wǎng)環(huán)境,網(wǎng)絡(luò)漏洞掃描工具 。 X-Scan界面如圖2所示。三、實驗內(nèi)容與步驟 1。運行 ，如圖3-1所示。 2。單擊“設(shè)置” ( Ctrl-E )，打開“掃描參數(shù)”窗口“全局設(shè)置”“掃描模塊”，在右邊的窗口中選擇要掃描的內(nèi)容，如遠(yuǎn)程操作系統(tǒng)類型、常用服務(wù)的端口狀態(tài)、檢測FTP 弱口令、 SQL-Server 弱口令、 IIS編碼/解碼漏洞等。 3。選擇“并發(fā)掃描”，確定掃描過程中最多可以啟動的掃描線程數(shù)量（最大并發(fā)線程數(shù)量）和可以同時檢測的主機數(shù)量（最大并發(fā)主機數(shù)量）。

15、圖3-1 X-Scan界面4。選擇“插件設(shè)置”“端口相關(guān)設(shè)置”在“待檢測端口”中修改要檢測的端口。5。選擇“插件設(shè)置”“SNMP 相關(guān)設(shè)置” 選中獲取IP、TCP 、UDP 等信息。6。選擇“插件設(shè)置” “ NetB10S 相關(guān)設(shè)置” 選中要檢測的 NetBIOS 信息。 7。選擇“插件設(shè)置”“字典文件設(shè)置”升選中要使用的服務(wù)密碼字典文件。 8。選擇“檢測范圍”在“指定 lP 范圍”中輸人要掃描的 lP 地址范圍。 9。選擇“文件”“開始掃描”xscan _ gui 開始掃描，掃描結(jié)束后，將報告掃描結(jié)果。四、實驗說明 還具有物理地址查詢、ARP 查詢、Whois等功能。建議實驗課時為 2 個學(xué)

16、時。實驗 4 “冰河”黑客工具一、實驗?zāi)康牧私夂诳瓦h(yuǎn)程控制的基本方法；體會黑客遠(yuǎn)程控制的基本原理。二、實驗環(huán)境Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤，安裝 Windows 2000 以上操作系統(tǒng)， TCP/IP協(xié)議，局域網(wǎng)或因特網(wǎng)環(huán)境，“冰河”黑客工具，關(guān)閉殺毒和防火墻軟件。“冰河”界面如圖4-1所示。三、實驗內(nèi)容與步驟 配置服務(wù)器端程序解壓“冰河”程序在控制端計算機上執(zhí)行客戶端監(jiān)控程序 “設(shè)置”“配置服務(wù)器程序”設(shè)置訪問口令、將動態(tài) IP 發(fā)送到指定信箱、郵件通知內(nèi)容、關(guān)聯(lián)文件類型、改變監(jiān)聽端口等、將服務(wù)器端程序

17、安裝到被監(jiān)控端計算機上。圖4-1 “冰河”界面 配置客戶端程序執(zhí)行 “文件”“添加主機”汁添加要控制的遠(yuǎn)程計算機名、地址訪問口令等“確定”，這時就可以查看被監(jiān)控端計算機信息。 搜索裝有“冰河”的計算機“文件”“自動搜索”輸人監(jiān)聽的端口號、起始域等“開始搜索”，G_ Client 可以搜索到指定子網(wǎng)內(nèi)安裝有 “冰河”的計算機。 控制被監(jiān)控計算機的屏幕“文件”“屏幕控制”“確定”可以在本地計算機上操作遠(yuǎn)程計算機。 操作被監(jiān)控計算機中的文件執(zhí)行 G_ “文件管理器”可以看到被監(jiān)控計算機的磁盤目錄，可以對遠(yuǎn)程計算機執(zhí)行復(fù)制、文件下載等操作。 獲取被監(jiān)控計算機的口令選中“命令控制臺”“口令類命令”可以看

18、到被監(jiān)控計算機的系統(tǒng)信息及口令、歷史口令、擊鍵記錄等。四、實驗說明上面的實驗內(nèi)容只是“冰河”的部分功能。學(xué)生可以相互組合。將對方的計算機作為被監(jiān)控端，自己的計算機作為監(jiān)控端，將“冰河”的所有功能都試做一下。建議實驗課時為 2 個學(xué)時。實驗 5 網(wǎng)絡(luò)監(jiān)聽工具 Sniffer一、實驗?zāi)康氖煜ぞW(wǎng)絡(luò)監(jiān)聽工具Sniffer Pro 操作界面；了解Sniffer Pro捕獲與監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)的方法；強化網(wǎng)絡(luò)安全意識。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤，支持混雜模式網(wǎng)卡，安裝 Windows 98SE 以上操作系統(tǒng)，

19、安裝 以上版本，Sniffer Pro , 計算機之間用集線器(Hub)連接，構(gòu)造一個內(nèi)部局域網(wǎng)。三、實驗內(nèi)容與步驟 安裝Sniffer Pro 執(zhí)行Sniffer Pro 安裝程序，根據(jù)安裝向?qū)崾据斎讼嚓P(guān)數(shù)據(jù)，進(jìn)行注冊時，可以直接輸入軟件的序列號。 熟悉文件菜單（ File ) Open(打開）：從硬盤打開一個已經(jīng)保存過的截獲文件。 Close(關(guān)閉）：關(guān)閉活動的截獲文件。 Save (保存）：把一個截獲文件保存到硬盤。 select settings（選擇設(shè)定）：如果計算機上裝有多個網(wǎng)卡，可以為每張網(wǎng)卡建立一個代理，下次運行時就會自動選擇同樣的代理。Log off（退出）和 Log on

20、（登錄）：選擇 Log off 時關(guān)閉所有窗口，并斷開與代理的連接，但不停止應(yīng)用程序的運行。如果要重新進(jìn)人Sniffer Pro的窗口，可以選擇（Log On ）選項。Reset All （全部重置）：重新設(shè)定Sniffer Pro中的所有應(yīng)用程序，在監(jiān)控應(yīng)用程序時，選擇這個選項會清除所有數(shù)據(jù)并重新開始監(jiān)控過程。 Loopback Mode(環(huán)路模式）：用來模擬跟蹤文件的截獲過程。 Run Script(運行腳本）：運行 visual Basic 腳本程序。 Smart screens(智能屏幕）、 Physical Layer Stats（物理層情況）和 SONET Statistics (

21、 SONET 統(tǒng)計結(jié)果）只適用于ATM，不適用于LAN 。 熟悉監(jiān)控菜單（ Monitor ) Dashboard（儀表盤）：提供關(guān)于 Utilization %(網(wǎng)絡(luò)利用率）、Packets /s（每秒傳輸?shù)臄?shù)據(jù)包數(shù)）和 Errors/s（錯誤出現(xiàn)率）的實時、詳細(xì)的統(tǒng)計結(jié)果。 Host Table（主機表單）：收集網(wǎng)絡(luò)上所有的結(jié)點，提供每個結(jié)點的一些統(tǒng)計結(jié)果。 Matrix（矩陣）：顯示網(wǎng)絡(luò)上所有會話的列表和每次會話的統(tǒng)計結(jié)果。 Application Response Time（應(yīng)用程序響應(yīng)時間）：監(jiān)控在應(yīng)用層上客戶端與服務(wù)器之間的連接情況，衡量并記錄應(yīng)用層協(xié)議的響應(yīng)時間。 History

22、 samples（歷史樣本）：列出一段時間內(nèi)的各種網(wǎng)絡(luò)統(tǒng)計結(jié)果。 Protocol Distribution(協(xié)議分布）：根據(jù)會話層、傳輸層和應(yīng)用層協(xié)議的分布匯報網(wǎng)絡(luò)的使用情況。clobal Stalistics(整體網(wǎng)絡(luò)使用情況統(tǒng)計）：提供Size Disk(規(guī)模）和 Utilization Disk（利用率分布）的統(tǒng)計結(jié)果。 SwiIch(交換機）：啟動交換機高級程序，使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)來查詢并顯示來自網(wǎng)絡(luò)交換機上管理信息庫(MIB)的統(tǒng)計結(jié)果。Denne rilter(定義過濾器)和select Filter(選擇過濾器）：可以生成、修正或者刪除過濾器，并用過濾器來監(jiān)控應(yīng)用

23、程序。 Alarm Log(報警記錄）：用來查看以前生成的警告列表，顯示了警告的狀態(tài)、事件類型、事件發(fā)生的時間、嚴(yán)重性以及對錯誤的描述。 熟悉截獲菜單（ Capture ) Start（開始）：開始截獲過程。 Stop（停止）：停止截獲過程，但是不顯示截獲到的數(shù)據(jù)。 Stop and DisPlay （停止并顯示）：停止截獲過程，并顯示截獲到的數(shù)據(jù)。 Display（顯示）：顯示截獲到的數(shù)據(jù)，在顯示數(shù)據(jù)之前必須停止截獲過程。 Capture Pane1（截獲面板）：顯示截獲過程中的統(tǒng)計結(jié)果。 Trigger Setup（觸發(fā)）：根據(jù)特定的事件來觸發(fā)截獲過程的開始或停止。 熟悉工具菜單 Tool

24、s ) Address : Book （地址簿）：用來給網(wǎng)絡(luò)指定可識別的名稱，還可以指定數(shù)據(jù)鏈接層地址。 Packet Generator （數(shù)據(jù)包生成器）：用來向網(wǎng)絡(luò)傳送測試用數(shù)據(jù)包。 Bit Error Rate Test （二進(jìn)制位數(shù)錯誤率測試）：用來衡量 WAN 鏈接中二進(jìn)制位數(shù)錯誤率的測試值。 Reporier （報告生成器）：啟動 Sniffer 報告生成器代理軟件。Options(選項）：用來設(shè)定snifferPro 的可選參數(shù)。 Expert Option（高級選項）：用來為SnifferPro 的導(dǎo)出操作設(shè)置參數(shù)。 熟悉數(shù)據(jù)庫菜單（Database） Sniffer Pro會

25、通過監(jiān)控程序，把生成的實時統(tǒng)計結(jié)果保存為以逗號為分隔符的數(shù)值文件。數(shù)據(jù)庫菜單提供了與這些數(shù)據(jù)庫文件相關(guān)的可設(shè)置選項。 熟悉顯示菜單（ Display ) 顯示菜單用于查看截獲的數(shù)據(jù)結(jié)果。 熟悉工具欄四、實驗說明Sniffer Pro是一個功能強大的網(wǎng)絡(luò)分析軟件。在掌握網(wǎng)絡(luò)基礎(chǔ)知識的前提下，如果要熟練使用Sniffer Pro可能還要花很長的時間。本實驗只要求學(xué)生對Sniffer Pro的用戶界面有粗略的了解，建議實驗課時為 2 個學(xué)時。必要時，可以增加尋找網(wǎng)絡(luò)漏洞、密碼截獲與重試等內(nèi)容。有關(guān)Sniffer Pro詳細(xì)的使用方法可閱讀電子工業(yè)出版社出版的 Sniffer Pro網(wǎng)絡(luò)優(yōu)化與故障檢修

26、手冊 等資料。實驗 6 人侵檢測軟件設(shè)置一、實驗?zāi)康牧私馊饲謾z測軟件的設(shè)置方法；了解人侵檢測軟件的功能。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、600 MHz以上CPU，128M 以上內(nèi)存，10G 以上硬盤，安裝 Windows 98 以上操作系統(tǒng)，人侵檢測軟件 。 BlackICE 界面如圖6-1所示。三、實驗內(nèi)容與步驟 查看攻擊事件單擊 Events選項卡，在事件列表中會列出當(dāng)前網(wǎng)絡(luò)上的黑客或者來歷不明者攻擊計算機的事件，其中 Time 列顯示黑客攻擊的具體時間， Events 列顯示攻擊類型， Intruder 列顯示攻擊者的名稱， Count 列顯示黑客攻擊次數(shù)

27、。單擊 Intruders 選項卡可以查看攻擊者的具體信息。單擊 History 選項卡可以查看到目前總共被攻擊的次數(shù)以及當(dāng)前狀態(tài)下網(wǎng)絡(luò)的信息流量狀況。通過 Interval 可以選擇系統(tǒng)監(jiān)測的時間周期。圖6-1 BlackICE 界面 設(shè)置安全等級單擊 Tools 菜單，選中 Edit BlackICE Setlings ，在 Firewall 選項卡的 Protection Level 中有 4 個安全選項： (1) cautious選項表示能自動過濾未經(jīng)本機授權(quán)的打包信息。 (2) Paranoid 記選項表示將過濾掉所有未授權(quán)的信息包，該選項是安全等級最高的。 (3) Nervous

28、選項表示將過濾掉絕大部分未授權(quán)的信息包，該選項是安全等級次高的。 (4) Trusting 選項表示將放行所有未授權(quán)的信息包，該選項是最不安全的。 存儲日志在 Packet log選項卡中可以對系統(tǒng)信息進(jìn)行跟蹤記錄，將本機目前被攻擊的信息以日志的形式存儲起來。方法：選中 Logging enabled在 File 中輸人日志文件名在 maximum size 中輸人日志文件大小在 maximum number of files 中輸人最多可以存儲的文件數(shù)目單擊“確定”。 過濾事件單擊View 菜單選中 Filter by Event Severity可以選擇過濾事件類型，如危險（ Critic

29、al ）事件可疑（ Suspicious）事件等，減少程序處理的信息量。 指定應(yīng)用程序在計算機中運行單擊 Tools菜單選中 Edit BlackICE settingsApplication Control可以對本機未知應(yīng)用程序運行進(jìn)行警告或終止。 控制外部通信單擊 Tools 菜單選中 Edit BlackICE SettingsCommunications Conttol可以對外部未知應(yīng)用程序連接和訪問進(jìn)行警告或終止。 跟蹤黑客的線索單擊 Tools菜單選中 Edit BlaokICE SettingsBack trace可以設(shè)置跟蹤黑客的線索數(shù)，如直接跟蹤線索數(shù)為80，間接跟蹤線索數(shù)為

30、30。 信任另一臺計算機單擊 TOOls 菜單選中 Edit BlaokICE SettingIntrusion Delection選項卡Add 輸入信任的計算機IP 地址Add 。 停止應(yīng)用程序運行單擊Tools菜單選中 Advaoced Applicalion Protectioo settingsKnown Application在顯示應(yīng)用程序名窗口中選中要停止的應(yīng)用程序在Application Control列下用鼠標(biāo)單擊“”圖標(biāo)。選擇 Terminate Save Changes FileExit。四、實驗說明 BlackICE是一個使用相對簡單的入侵檢測工具，有單機版和服務(wù)器版兩種

31、?？梢愿鶕?jù)本校的實驗環(huán)境，選用和 入侵檢測工具，netwatch 提供更具體的配置條件， 的詳細(xì)使用方法可以參考國防工業(yè)出版社出版的入侵檢測 書籍。建議實驗課時為 2 個學(xué)時。實驗 7 Windows2000/XP/2003安全設(shè)置一、實驗?zāi)康膹娀僮飨到y(tǒng)安全意識；了解 windows 2000/XP/2003 中的安全保護措施；掌握操作系統(tǒng)中的安全概念；學(xué)會使用windows 2000/XP/2003常用的安全設(shè)置方法。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤，安裝 Windows 2000、Windo

32、ws XP 或 Windows 2003 操作系統(tǒng)。實驗內(nèi)容與步驟 加密文件與文件夾打開“資源管理器”選擇要加密的文件或文件夾“屬性”“常規(guī)”“高級”選中“加密內(nèi)容以便保護數(shù)據(jù)”復(fù)選框。說明：如果操作系統(tǒng)所在的分區(qū)是 FAT32 格式，可先將分區(qū) FAT32 格式轉(zhuǎn)換成 NTFS格式。具體方法是先備份該分區(qū)的重要文件，然后選擇菜單“開始”“運行”輸人 cmd “確定”在命令行窗口中執(zhí)行 convertx:/fs: ntfs命令，其中x是該分區(qū)的盤符。 將文件夾設(shè)為專用文件夾將文件夾移動到“ x:nocuments and Sellings用戶名”文件夾中（ x指 Windows 安裝文件所在分

33、區(qū)）選中該文件夾“屬性”“共享”選擇“將這個文件夾設(shè)為專用”。這樣一來，當(dāng)其他用戶想進(jìn)人這個文件夾時將遭到“拒絕訪間”的警告提示。說明：在默認(rèn)情況下，Windows 中所有的文件夾都是開放的，該機上的全部用戶都可使用它們，這無疑會使某些用戶的重要個人資料面臨著嚴(yán)重的威脅。 關(guān)閉簡單文件共享功能打開“我的電腦”“工具”菜單“文件夾選項”“查看”在“高級設(shè)置”窗口中取消“使用簡單文件共享（推薦）”。說明：這樣可以禁止網(wǎng)絡(luò)上的用戶實現(xiàn)文件共享。 設(shè)置應(yīng)用程序使用權(quán)限方法1：選中要設(shè)置使用權(quán)限的應(yīng)用程序安裝文件一鼠標(biāo)右鍵單擊應(yīng)用程序安裝文件“運行方式”在彈出的窗口中輸入具有相應(yīng)管理權(quán)限的用戶名和密碼即

34、可。說明：設(shè)置應(yīng)用程序使用權(quán)限，可以防止他人使用特定的應(yīng)用程序。方法2：單擊“開始”“運行”執(zhí)行 程序“組策略”窗口“用戶配置”“管理模板”“系統(tǒng)”雙擊“只運行許可的 Windows 應(yīng)用程序”“設(shè)置”。選擇“已啟用”“顯示”在“允許的應(yīng)用程序列表”中添加允許使用的應(yīng)用程序名“確定”“確定”。組策略編輯器 界面如圖6所示。說明：以后一般用戶只能運行“允許的應(yīng)用程序列表”中的程序。 Windows是一種服務(wù)器操作系統(tǒng)，為了防止登錄到其中的用戶隨意啟動服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運行帶來不必要的麻煩，因此有必要根據(jù)不同用戶的訪問權(quán)限來限制他們對應(yīng)用程序的調(diào)用。組策略編輯器中的內(nèi)容很多，做實驗

35、時最好每個選項都試著做一下，以便對操作系統(tǒng)安全概念有深入的理解。 清除默認(rèn)共享隱患方法1：打開“控制面板”“管理工具”雙擊“服務(wù)”圖標(biāo)選擇“服務(wù)器”項在“啟動類型”列表中選擇“已禁用”或“手動”項。圖7-1 組策略編輯器窗口說明：系統(tǒng)在默認(rèn)安裝時都會產(chǎn)生默認(rèn)的共享文件夾，每個盤符也會被自動設(shè)置為共享。若不想讓遠(yuǎn)程計算機用戶看到這些共享的驅(qū)動器或文件夾，只需在共享驅(qū)動器或文件夾的“共享名”后面加上一個“$”（如 c$、d$、ipc$以及admin$）。但如果遠(yuǎn)程計算機用戶知道該機的計算機名、用戶名和密碼，也能通過網(wǎng)絡(luò)訪問該計算機。這將導(dǎo)致具有共享驅(qū)動器或文件夾的計算機存在著安全隱患。方法2：如要

36、取消C盤、D盤共享，可以先編寫如下批處理文件： echo off net share C$/del net share D$/del 保存為 ,存放到系統(tǒng)所在文件夾下的system32GroupPolicyUserScr-iptslogon目錄下。單擊“開始”“運行”執(zhí)行 gpedit msc組策略編輯器“計算機配置” Windo * s 設(shè)置” “腳本（登錄注銷）” 登錄” “登錄屬性”“添加”“添加腳本”在“腳本名”欄中輸人 (不需要添加參數(shù)）“確定”重新啟動計算機系統(tǒng)。 禁用 Guest 賬戶打開“控制面板”“管理工具”“計算機管理”“本地用戶和組” “用戶”雙擊 Gueat 賬戶選中“

37、賬戶已停用”。說明： windowsXP Home 不允許停用 Guest 賬戶，但允許為 Guest 賬戶設(shè)置密碼。 隨時啟用屏保程序單擊“開始”“搜索”“文件或文件夾”“所有文件和文件夾” 在“全部或部分文件名”文本框中輸人*.scr“搜索”選擇自己喜歡的屏保程序在桌面上建立該屏保程序的決捷方式右鍵單擊桌面“屬性”“屏幕保護程序”選中“在恢復(fù)時顯示歡迎屏幕”或“使用密碼保護”復(fù)選項。說明：這種方法可以在用戶離開計算機時立即啟用屏保程序，防止他人在用戶短暫離開時窺測用戶計算機中的機密。 開啟 windows 賬號安全和密碼策略單擊“開始”“運行”執(zhí)行 程序“組策略”窗口“計算機配置”wind

38、ows 設(shè)置” “密碼策略”“賬戶鎖定策略”。說明：開啟 Windows 賬號安全和密碼策略，會使設(shè)置的密碼更加安全。例如，啟用“復(fù)位賬戶鎖定計數(shù)器”、“賬戶鎖定閉值”、“密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長度最小值”、設(shè)置“強制密碼歷史”、“密碼最長存留期”時間等。 關(guān)閉不必要的端口 (l）關(guān)閉 139 端口單擊“開始”“設(shè)置”“網(wǎng)絡(luò)連接”選擇用來上網(wǎng)的撥號連接“屬性”“網(wǎng)絡(luò)”取消“ Microsoft 網(wǎng)絡(luò)的文件和打印共享”復(fù)選框 “Inlemet 協(xié)議（ TCP / IP ) ”、“屬性”“高級”“ WINS” 選擇“禁用 TCP/IP上的 NetBIOS”。說明：Windows 在安

39、裝 TCP/IP 協(xié)議的同時會默認(rèn)打開139 端口。 139 端口的開放意味著硬盤可能在網(wǎng)絡(luò)中被共享，黑客也可以通過網(wǎng)絡(luò)系統(tǒng)了解目標(biāo)計算機中的一切情況。 ( 2 ) TCP/IP 篩選進(jìn)人“網(wǎng)絡(luò)連接”選中網(wǎng)卡“屬性”“Internet 協(xié)議(TCP/IP )”“高級”“高級 TCP /IP 設(shè)置”“選項”“ TCP/IP 篩選”“屬性”TC/IP 篩選”選中“啟用 TCP/IP 篩選（所有適配器）”復(fù)選框，然后根據(jù)需要進(jìn)行配置即可。說明：如果只打算瀏覽網(wǎng)頁，則只要開放 TCP 端口 80 即可，所以可以在“ TCP 端口”上方選擇“只允許”“添加”輸入80“確定”。 關(guān)閉不需要的服務(wù)打開“控制

40、面板”“管理工具”雙擊“服務(wù)”圖標(biāo)選擇要關(guān)閉的服務(wù)在“啟動類型”列表中選擇“已禁用”或“手動”選項。說明：可以關(guān)閉如遠(yuǎn)程注冊服務(wù)、遠(yuǎn)程登錄等幾個高風(fēng)險的服務(wù)。 實驗 8 系統(tǒng)數(shù)據(jù)備份一、實驗?zāi)康膶W(xué)會使用常用硬盤克隆軟件；體會硬盤文件備份的重要意義。二、實驗環(huán)境 Pentiuum = 3 * ROMAN III、600 MHz以上CPU , 128M 以上內(nèi)存，10G 以上硬盤、 1 . 44 軟驅(qū)，安裝 windows 95 以上操作系統(tǒng)，將 Ghost 程序復(fù)制到 005 或 windows 98 啟動軟盤，或復(fù)制到 C 盤上。三、實驗內(nèi)容及實驗步驟 硬盤備份 Ghost 對硬盤進(jìn)行備份是按

41、照簇方式將硬盤上的所有內(nèi)容全部備份下來，并可采用映像文件形式保存在另外一個硬盤上，在需要恢復(fù)整個硬盤數(shù)據(jù)時，就可以利用這個映像文件，還原原硬盤上的所有數(shù)據(jù)。在硬盤或分區(qū)備份、復(fù)制之前應(yīng)該做好如下準(zhǔn)備工作：清除原硬盤或分區(qū)中的“垃圾”文件，如清空回收站，對硬盤進(jìn)行碎片整理。不要將有壞道的硬盤作為原盤使用，這樣可以提高硬盤備份效率。硬盤備份過程如下：(l）執(zhí)行 Ghost 程序，在Ghost窗口中依次執(zhí)行 LocalDiskTo Image,啟動硬盤備份功能。(2）在原硬盤選擇窗口中選擇要備份的硬盤，單擊 OK 按鈕；接著選擇映像文件所存放的硬盤、路徑以及映像文件名，單擊 OK 按鈕。(3）此時G

42、host 會彈出對話窗口，提示是否對映像文件進(jìn)行壓縮存放。 NO表示不對映像文件進(jìn)行壓縮處理，它占用的硬盤空間大、存放速度快。 Fast 表示快速壓縮，其壓縮速度比較快，但壓縮效果相對要差一些。 High 表示最大壓縮率，生成的映像文件最小，但壓縮速度也最慢，用戶需要等待較長時間，一般選擇 Fast 比較合適。這時 Ghoat 軟件將會把原盤的所有內(nèi)容以后綴名為.gho 的映像文件存到目標(biāo)盤上。 硬盤恢復(fù)硬盤恢復(fù)就是在硬盤上的系統(tǒng)文件受到嚴(yán)重破壞的情況下，用已備份的映像文件恢復(fù)被破壞的硬盤。由于在恢復(fù)過程中，目標(biāo)盤上所有文件、數(shù)據(jù)將全部丟失，因此在恢復(fù)之前，一定要將重要數(shù)據(jù)備份下來。硬盤恢復(fù)過

43、程如下： (1）執(zhí)行 Ghost 程序，在 chost 窗口中依次執(zhí)行 LocalDiskFrom Image，啟動硬盤恢復(fù)功能。(2）在映像文件選擇窗口中，選擇需要還原的映像文件所在的硬盤、路徑和映像文件名；在彈出的目標(biāo)硬盤窗口中，選擇要還原的目標(biāo)硬盤；單擊 OK 按鈕， Ghost 程序?qū)驯４嬖谟诚裎募械臄?shù)據(jù)還原到目標(biāo)硬盤上，包括分區(qū)、文件系統(tǒng)和用戶數(shù)據(jù)等。 硬盤復(fù)制利用 Ghost 中的硬盤復(fù)制功能可以迅速地將一個硬盤上的所有數(shù)據(jù)和內(nèi)容復(fù)制到其他硬盤上。在復(fù)制前應(yīng)該做好如下準(zhǔn)備工作。在復(fù)制過程中，原盤內(nèi)容會覆蓋目標(biāo)盤中的所有數(shù)據(jù)，因此在復(fù)制前必須對目標(biāo)盤中的所有重要數(shù)據(jù)進(jìn)行備份，否

44、則將會造成目標(biāo)盤中的數(shù)據(jù)丟失。復(fù)制過程如下： (l）執(zhí)行 Ghost 程序，在 Ghost 窗口中依次執(zhí)行 LocalDiskTo Disk ，啟動硬盤復(fù)制功能，此時窗口中會出現(xiàn)物理硬盤列表，在原硬盤選擇窗口中選擇要復(fù)制的原盤，單擊 OK 按鈕。 (2）在目標(biāo)硬盤選擇窗口中選擇目標(biāo)硬盤，單擊 OK 按鈕后即可進(jìn)行硬盤復(fù)制工作。在硬盤復(fù)制或恢復(fù)等過程中 Ghost可能會要求輸人注冊號（License Number) , 該注冊號在 Norton Ghost 開始畫面中顯示。 分區(qū)復(fù)制 Ghost 除了能以硬盤為單位進(jìn)行復(fù)制、備份、恢復(fù)外，還允許以硬盤分區(qū)為單位，對硬盤上某個分區(qū)進(jìn)行復(fù)制、備份恢復(fù)

45、，為用戶提供了更靈活的硬盤保護方式。在復(fù)制分區(qū)之前必須注意目標(biāo)分區(qū)的大小，絕對不能小于原始分區(qū)的大小，否則目標(biāo)分區(qū)的后續(xù)分區(qū)將會被破壞。復(fù)制分區(qū)過程中目標(biāo)分區(qū)中的所有數(shù)據(jù)將會丟失，所以，復(fù)制分區(qū)之前必須對目標(biāo)分區(qū)中的重要數(shù)據(jù)進(jìn)行備份。復(fù)制分區(qū)過程如下： (l）執(zhí)行 chost 程序，在 Ghost 窗口中依次執(zhí)行 Local 斗 Partition To Partition , 啟動分區(qū)復(fù)制功能。 (2）在 Ghost 分區(qū)列表中選擇需要復(fù)制的分區(qū)，然后再選擇需要復(fù)制的目標(biāo)分區(qū)。單擊OK按鈕， Ghost 程序就會將原始分區(qū)中的內(nèi)容復(fù)制到目標(biāo)分區(qū)上。 分區(qū)備份與硬盤備份功能一樣, Ghost

46、也提供硬盤的分區(qū)備份功能，利用這一功能，將安裝有操作系統(tǒng)或重要數(shù)據(jù)的分區(qū)，采用映像文件的形式備份下來，以便在需要時進(jìn)行恢復(fù)。分區(qū)備份的過程如下：執(zhí)行 Ghost 程序，在 Ghosl 窗口中依次執(zhí)行 Liocal PartitionTo Image ，啟動分區(qū)備份功能，在隨即出現(xiàn)的窗口中選擇要備份的硬盤分區(qū)，系統(tǒng)會顯示一個備份文件對話框，用戶可設(shè)置映像文件所保存的硬盤、路徑和映像文件名。 分區(qū)恢復(fù)在執(zhí)行 Ghost 程序進(jìn)行分區(qū)恢復(fù)時，目標(biāo)分區(qū)中的數(shù)據(jù)同樣會全部丟失，因此在還原分區(qū)前，應(yīng)將相應(yīng)的目標(biāo)分區(qū)中的重要數(shù)據(jù)備份下來。分區(qū)恢復(fù)過程如下：執(zhí)行Ghost 程序，在 Ghost窗口中依次執(zhí)行 LocalPartitionFrom Image,啟動分區(qū)恢復(fù)功能；在分區(qū)還原窗口中選擇要還原的分區(qū)映像文件所在的硬盤、路徑和映像文件名；在目標(biāo)分區(qū)窗口中選擇需要還原的硬盤分區(qū)，單擊 OK 按鈕 Ghost 程序會將映像文件中的數(shù)據(jù)恢復(fù)到用戶指定的硬盤分區(qū)中。 映像文件檢查 Ghost 對硬盤和分區(qū)進(jìn)行備份時，都需要將指定的硬盤或分區(qū)中的內(nèi)容保存到一個映像文件中。由于這個映像文