1、南昌航空大学实验报告2011 年 10 月 13 日课程名称: 信息安全 实验名称:实验四 基于Window网络安全整体解决方案 班 级: 080611 学生姓名: 谈家平 学号: 080611123 指导教师评定: 签名: 一、实验目的通过实验掌握 Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板,了解 Windows操作系统中 Web服务器、FTP 服务器的安全漏洞及其防范措施,实现 Web服务器和 FTP服务器的安全配置。综合运用加密、IP 过滤、安全套接层协议等安全技术,建立一个 Windows操作系统的基本安全框架,掌握证书服务器的配置和使用方法。二、实验
2、原理账户和口令是登录系统的基础,合理地设置账号、口令是很必要的。磁盘数据也是攻击者的主要目标,NTFS 文件系统是一种安全的文件系统,当用户的计算机在没有足够物理保护的地方使用时,保密数据可能被盗取,造成数据丢失。采用加密文件系统 EFS 的加密功能可以对敏感数据文件进行加密,加强数据的安全性。IIS是 Windows系统中的 Internet信息和应用程序服务器。利用 IIS可以配置 Windows平台方便地提供并且和系统管理功能完美的融合在一起,使系统管理员获得和 Windows系统完全一致的管理。安全套接层(Secure Socket Layer ,SSL)是使用公钥和私钥技术组合的安全
3、网络通信协议,能把在网页和服务器之间传输的数据加密。SSL 在 TCP之上建立了一个加密通道,通过该通道的数据都经过了加密过程。SSL 协议又可分为两部分:握手协议和记录协议。其中握手协议用于协商密钥,记录协议则定义了传输的格式。三、实验环境Windows 2000 操作系统,建议安装一个虚拟机,并在虚拟机中完成相应实验。一般要求虚拟机安装没有打补丁的 Windows 2000 Server,虚拟机可采用VMWare,安装 Windows 2000 Server的计算机,某一磁盘格式配置为 NTFS。四、实验内容和任务任务一、账户和口令的安全设置1.删除不再使用的账户,禁用 guest账户,如
4、图 4-1所示。图 4-1用户和密码管理2.启动账户策略“控制面板”“管理工具”“本地安全策略” ,选择账户策略、密码策略,账户锁定策略,设置密码复杂性、密码最长存留期、账户锁定要求等。图 4-2 本地安全设置3.设置新的用户和口令,并重新登录或利用远程登录,尝试登录次数大于所设置尝试次数等情形。任务二、文件系统安全设置1打开采用 NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。2.设置其属性,删除 Everyone组, (将“允许来自复习的可能继承权限传播给该对象”之前的勾去掉) ,如图 4-3所示。图 4-3文件夹安全属性3.选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该
5、文件夹的操作权限4.选择要加密的文件,利用文件夹的高级属性加密文件。5.然后创建一个新用户如:TEST,并利用新账号重新登录,再访问该文件。6切换回原来加密文件的管理员账户登录系统,在“运行”中输入 mmc,打开控制台,选择“添加/删除管理单元” ,选择添加“证书” ,如图 4-6所示。在控制台中选择“证书” “个人” “证书” ,可以看到用于文件系统的证书显示在右侧。图 4-6 添加证书7.导出证书。8.再次切换用户,以 TEST登录系统,利用控制台导入证书。9.再次双击加密的文件。任务三、启动安全策略与安全模板1.启动安全模板利用 mmc命令,启动系统控制台添加/删除管理单元,分别添加“安
6、全模板” 、 “安全配置和分析” 。2.查看系统控制台中的安全模板的描述。3.右键单击“安全配置与分析” ,选择“打开数据库” 。在弹出的对话框中输入欲新建安全数据库的名称,如图 4-9所示。根据计算机准备配制成的安全等级,选择一个安全模板将其导入。图 4-9 打开数据库4.右键单击“安全配置与分析” ,选择“立即分析计算机” 。记录分析结果。任务四、FTP 服务器的安全配置1.停止默认 FTP站点,打开“控制面板”“管理工具”“Internet 服务管理器” ,右击“默认 FTP站点” ,停止。避免使用周所周知的默认服务器设置。如图 4-10所示。图 4-10 停止默认 FTP站点,启动自己
7、的 FTP站点2.修改 TCP端口,默认端口为 21,改用其他的端口值,使得攻击者无法得到服务器的端口号,从而增大攻击难度,但同时也会给用户带来不便。3.启动日志记录,修改文件日志目录,将日志目录和 FTP主目录分放在不同的路径下。4.在账号安全页面中,取消“允许匿名连接”选项,在“FTP 站点操作员”只留下系统管理员一个账号。5.设置主目录的用户权限,删除 Everyone用户组。6.在“目录安全性”页面中添加被拒绝或允许的 IP。任务五、用 IIS建立高安全的 Web服务器1为保护 Windows 2000 Server系统的安全性,确认 IIS与系统安装在不同的分区。2.删除不必要的虚拟
8、目录,默认生成的目录很容易被攻击。3.停止默认 Web站点4.删除不必要的应用程序映射在“Internet 服务管理器”中,右击网站目录,选择“属性” ,在弹出的“应用程序配置”对话框的“应用程序映射”页面,只需保留需要的映射。5.维护日志安全修改日志路径,并适当设置权限。建议 Administrator和 System用户为完全控制,Everyone 为只读;建议日志文件与 Web目录文件放在不同的分区。任务六、用 SSL保护 Web站点的安全1.建立自己的一个网站,能够通过用户名和口令进行简单的用户的身份验证即可。2.利用嗅探器 Sniffer,查看登录时发送信息的内容。3.配置证书服务器
9、证书服务是 Windows 2000 Server的一个组件,默认情况下是没有安装的,所以首先安装证书服务,并建立“独立根 CA”。4.启动 IIS管理器来申请一个数字证书(1)打开 Internet服务管理器,选择自己建立的站点,右键打开属性,打开“目录安全性”选项卡,单击“服务器证书”按钮,如图 4-12所示。(2)根据向导创建一个新证书,最后将证书请求输入一个文件。5.将证书请求文件提交给证书颁发机构,(1)打开 IE浏览器,在地址栏输入证书颁发机构的 IP地址/certsrv,按照步骤完成申请。注意申请时,选择”高级证书申请” ,选中“使用 base64编码的 PKCS#10文件提交一
10、个证书申请,或使用 base64编码 PKCS#7文件更新证书申请”复选项,将保存的证书申请拷贝到指定位置,并提交。(2)证书颁发机构颁发证书利用“开始程序 管理工具证书颁发机构” ,进行证书的颁发(3)Web服务器安装证书类似步骤(1)方法检查挂起证书,完成证书的下载。下载完毕后,进行安装。(4)Web站点申请安全通道使用安全通道浏览网页,速度会受到影响,所以根据需要可以选择是用 SSL来加密 Web站点的所有内容,还是只对某些文件夹进行加密。选择要保护的对象,单击右键,打开属性页,如图 4-12所示。点击编辑,选中“申请安全通道”。6.利用嗅探器 Sniffer,再次查看登录时发送信息的内容。五、实验结果通过本次试验自己基本完成了 1、账户和口令的安全设置,并用本机重新登录。2、创建了自己的安全模板,并导入系统。3、建立自己的 FTP服务器,并进行初步的安全配置,部分计算机可以访问该 FTP服务器。4、用 IIS建立自己的较高安全的 Web服务器。
