《《信息安全基础实验指导》实验指导书.docx》由会员分享,可在线阅读,更多相关《《信息安全基础实验指导》实验指导书.docx(39页珍藏版)》请在三一办公上搜索。
1、信息安全基础实验指导实验指导书实验一 古典密码算法实验名称:古典密码算法实验类型: 设计性实验学时:4适用对象: 信息安全一、实验目的学习常见的古典密码学算法,通过编程实现替代密码算法和置换密码算法,加深对古典密码体制的了解,为深入学习密码学奠定基础。二、实验要求分析替代密码算法和置换密码算法的功能需求,详细设计实现替代密码算法和置换密码算法的数据结构和流程,给出测试用例和测试步骤,得出测试和结论。替代密码算法和置换密码算法的实现程序必须提供加密和解密两个接口:int encrypt()和int decrypt()。当加密或者解密成功时返回CRYPT_OK,失败时返回CRYPT_ERROR。三
2、、实验原理古典密码算法曾被广泛应用,大都比较简单,使用手工和机械操作来实现加密和解密。它的主要应用对象是文字信息,利用密码算法实现文字信息的加密和解密。下面介绍两种常见的具有代表性的古典密码算法,以帮助读者对密码算法建立一个初步的印象。1. 替代密码替代密码的原理是使用替代法进行加密,就是将明文由其它的字母、数字或符合所代替后形成密文。这里每个明文字母对应的密文字母可能是一个,也可能是多个。接收者对密文进行逆向替换即可得到明文。替代密码有五种表现形式:单表代替即简单替代密码或者称为单字母代替,明文字母表中的一个字符对应密文字母表中的一个字符。这是所有加密中最简单的方法。 多名码代替就是将明文字
3、母表中的字符映射为密文字母表中的多个字符。多名码简单代替早在1401年就由DuchyMantua公司使用。在英文中,元音字母出现频率最高,降低对应密文字母出现频率的一种方法就是使用多名码,如e可能被密文5、13或25替代。 多音码代替就是将多个明文字符代替为一个密文字符。比如将字母“i” 和“j”对应为“K”,“v”和“w”代替为“L”最古老的这种多字母加密始见于1563年由波他的密写评价(De furtiois literarum notis)一书。 多表代替即由多个简单代替组成,也就是使用了两个或两个以上的代替表。比如使用有5个简单代替表的代替密码,明文的第一个字母用第一个代替表,第二个字
4、母用第二个表,第三个字母用第三个表,以此类推,循环使用这五张代替表。多表代替密码由莱昂.巴蒂斯塔于1568年发明,著名的维吉尼亚密码和博福特密码均是多表代替密码。下面我们介绍一种典型的单表替代密码凯撒(Caesar)密码,又叫循环移位密码。它的加密方法就是将明文中的每个字母用字母表中该字母后的第R个字母来替换,达到加密的目的。它的加密过程可以表示为下面的函数:其中,为明文字母在字母表中的位置数;为字母表中的字母个数;为密钥; 为密文字母在字母表中对应的位置数。 例如:对于明文字母H,其在字母表中的位置数为8,设,则按照上式计算出来的密文为L,计算过程如下: 置换密码置换密码算法的原理是不改变明
5、文字符,而是按照某一规则重新排列消息中的比特或字符顺序,才而实现明文信息的加密。置换密码有时又称为换位密码。矩阵换位法是实现置换密码的一种常用方法。它将明文中的字母按照给定的顺序安排在一个矩阵中,然后用根据密钥提供的顺序重新组合矩阵中的字母,从而形成密文。例如,明文为attack begins at five,密钥为cipher,将明文按照每行6个字母的形式排在矩阵中,形成如下形式:根据密钥cipher中各个字母在字母表中出现的先后顺序,给定一个置换:根据上面的置换,将原有居住中的字母按照第列、第裂、第裂、第裂、第列、第列的顺序排列,则有下面的形式:从而得到密文:其解密过程是根据密钥的字母数作
6、为列数,将密文按照列、行的顺序写出,再根据由 密钥给出的矩阵置换产生新的矩阵,从而恢复明文。四、实验所需仪器、设备、材料(试剂)运行Windows或Linux操作系统的PC机,具有gcc(Linux)、VC(Windows)等C语言或java编译环境。五、实验预习要求、实验条件、方法及步骤(1)根据实验原理部分对替代密码算法的介绍,自己创建明文信息,并选择一个密钥,编写替代密码算法的实现程序,实现加密和解密操作。(2)根据实验原理部分对置换密码算法的介绍,自己创建明文信息,并选择一个密钥,编写置换密码算法的实现程序,实现加密和解密操作。六、思考题1、 你所知道的古典密码算法还有那些?详细说明具
7、体的加密和解密过程。2、 你所看过的和密码有关的电影或小说有哪些?描述一下其中的加密解密基本原理。实验二 使用Sniffer工具嗅探实验名称:使用Sniffer工具嗅探实验类型: 验证性实验、综合性实验学时:6适用对象: 信息安全一、 实验目的通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中的多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且,通过实验了解FTP、HTTP等协议明文传输的特性,以建立安全意识,防止FTP、HTTP等协议由于传输明文密码造成的泄密。二、实
8、验要求(1) 用两台主机做实验,一台主机进行Telnet登陆,另一台主机进行嗅探,把嗅探到的重要信息写出来,尤其是用户名和密码,过程与任务二和任务三类似。 (2) 任务三中嗅探HTTP信息所得到的数据包太多,既占用主机的硬盘资源,分析起来又极其麻烦,其实可以设置Define Filter选项中的Data Pattern,这个功能可以设置更加详细的过滤选项从而使我们用最少的数据包得到最有用的数据,请自己做实验并研究怎样设置这些选项,并把任务三的实验重新做一遍,以得到少而有用的数据包,把设置的详细步骤和最终结果写出来。 (3) 用两台主机做实验,在一台主机上安装防火墙,另一台主机再进行嗅探,看是否
9、还能接收到信息,如果不能,分析其原因并详细写出来。三、实验原理Sniffer是NAI公司推出的协议分析软件,它可以利用计算机的网络接口截获目的地为其他计算机的数据报文,并迎合了网络管理所需的基本要求,支持丰富的协议,能够进行快速解码分析,而且Sniffer可以运行在各种Windows平台。1网络技术与设备简介在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反
10、的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的
11、数据包和帧。2网络监听原理Sniffor程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱(promiscuous)模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。普通的情况下,阿卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情况下,网络硬件和TCPIP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCPIP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须
12、支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权。3. Snifffer的分类Sniffer分为软件和硬件两种,软件的Sniffer有 NetXray、Packetboy、Net monit
13、or等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。实际上本实验中所讲的Sniffer指的是软件。它把包抓取下来,然后打开并查看其中的内容,可以得到密码等。Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。4. Snifffer可能造成的危害嗅探器能够捕获口令;能够捕获专用的或者机密的信息;
14、可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限。事实上,如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。四、实验所需仪器、设备、材料(试剂)两台安装Windows 2000/XP的PC机,在其中一台上安装Sniffer Pro软件。将两台PC机通过hub相连,组成一个局域网。五、实验预习要求、实验条件、方法及步骤任务一 熟悉Sniffer工具的使用 1. Sniffer Pro软件简介 Sniffer是NAI公司推出的协议分析软件,实验中使用Sniffer Pro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包,并进行分析。 2. 使用说明 启动
15、Sniffer Pro软件后可以看到它的主界面,启动时有时需要选择相应的网卡,选好后即可启动软件。用户可以通过命令File/Select Setting来选择相应的网卡。(如图2-1所示)图2-1 网卡选择 工具栏简介如图2-2。图2-2(A) 工具栏图2-2(B) 工具栏网络监视面板简介,Dashbord可以监控网络的利用率、流量以及错误报文等多种内容。单击Dashbord按钮(Monitor/Dashbord)即可打开Dashbord面板运行操作(如图2-3)图2-3 Dashbord界面Host Table提供了被监视到的所有主机正在与网络的通信情况,在其操作界面下,单击Outline按
16、钮便可获知各主机的IP地址、出入信包和信包大小等信息,如图2-4显示方式为IP。图2-4 Host Table界面任务二 捕获FTP数据包并进行分析(1) 假设A主机监视B主机的活动,首先A主机要知道B主机的IP地址,B主机可以在命令符提示下输入ipconfig查询自己的IP地址并通知A主机。(2) 选中Monitor菜单下的Matrix或直接点击网络性能监视快捷键,此时可以看到网络中的Traffic Map视图,如图2-5所示,可以单击左下角的MAC、IP或IPX使Traffic Map视图显示相应主机的MAC地址、IP地址或者IPX地址。图2-5显示的是MAC地址,每条连线表明两台主机间的
17、通信。图2-5 Matrix视图(3) 单击菜单中的CaptureDefine FilterAdvanced,再选中IPTCPFTP,如图2-6,然后单击OK。图2-6 过滤器选项(4) 回到Traffic Map视图中,用鼠标选中要捕捉的B主机IP地址,选中后的IP地址以白底高亮显示。此时,单击鼠标右键,选中Capture或者单击捕获报文快捷键中的开始按钮,Sniffer则开始捕捉指定IP地址主机的有关FTP协议的数据包。 (5) 开始捕捉后,单击工具栏中的Capture Panel按钮,图中显示出捕捉的Packet的数量。 (6) B主机开始登陆一个FTP服务器。接着B主机打开FTP的某个
18、目录。 (7) 此时,从Capture Panel中看到捕获数据包已达到一定数量,单击Stop and Display按钮,停止抓包。 (8) 停止抓包后,单击窗口左下角的Decode选项,窗中会显示所捕捉的数据,并分析捕获的数据包。如图2-7所示。图2-7 Decode视图从捕获的包中,我们可以发现大量有用的信息。例如,可以清楚地看出用户名为test,密码为123456789。任务三 捕获HTTP数据包并分析(1) 同任务二。 (2) 同任务二。(3) 单击菜单中的CaptureDefine FilterAdvanced,再选中IPTCPHTTP,如图2-8,然后单击OK。图2-8 过滤器选
19、项(4) 同任务二。(5) 同任务二。(6) B主机开始登陆一个Web服务器(网站),并输入自己的邮箱地址和密码。(7) 同任务二。(8) 停止抓包后,单击窗口左下角的Decode选项,窗中会显示所捕捉的数据,并分析捕获的数据包。如图2-9所示。图2-9 Decode视图由任务二的实验和任务三的实验我们可以看出,Sniffer可以探查出局域网内流动的任何信息,尤其是用户名和密码之类敏感的数据,所以在局域网内的安全就至关重要了,其实只要在电脑内安装上网络防火墙,并把Windows操作系统的安全级别提高,Sniffer工具就可能嗅探不到任何信息。六、思考题1、 你所了解的网络嗅探工具还有那些?和S
20、niffer比较有何优缺点?2、 如果让你开发一个网络嗅探工具,应该如何设计和实现?3、 通过使用网络嗅探工具,你体会应该在那些方面加强信息的安全性?实验三 账号口令破解实验名称:账号口令破解实验类型: 验证性实验学时:4适用对象: 信息安全一、实验目的通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令设置原则,以保护账号口令的安全。二、实验要求(1)自己尝试设置不同复杂度的用户密码,通过设置 LC5 中的不同破解方法进行破解,记录破解时间,加深对密码保护的理解。(2)通过设置“任务”中的“从Sniffer导入”选项,尝试通过嗅探器在线探测网络中传输的口令,改变身份验证方式,再进行尝试
21、,将步骤和结果加以整理并提交报告。(3) 整理总结增加密码口令安全性的方法和策略。三、实验原理口令密码应该说是用户最重要的一道防护门,如果密码被破解了,那么用户的信息将很容易被窃取,所以密码安全是尤其需要关注的内容。随着网络黑客攻击技术的增强和方式的改变,许多口令都可能被攻击和破译,这就要求用户提高对口令安全的认识。这个实验中介绍了口令破解的原理和工具的使用,可以用这些工具来测试用户密码的强度和安全性,以使用户选择更为安全的口令。一般入侵者常常采用下面几种方法获取用户的密码口令,包括弱口令扫描、Sniffer 密码嗅探、暴力破解、社会工程学(即通过欺诈手段获取)以及木马程序或键盘记录程序等手段
22、。有关弱口令扫描、Sniffer密码嗅探等已经在前面的实验中做了介绍,本章我们主要就暴力密码破解的工作原理进行简要介绍。首先介绍一种星号“*”密码查看器的工作原理。在Windows中Edit控件是一个标准控件,当把其Password属性设为True时,输入的口令密码就会屏蔽为星号,从而达到保护密码的目的。虽然表面上我们看到输入的密码都是星号,但程序中的Edit控件仍是用户输入的明文密码。应用程序可以获取该控件中的明文密码信息,也可以通过向其发送 WM_GETTEXT或EM_GETLINE消息来获取Edit控件中的内容。当破解程序发现当前探测的窗口是Edit控件时,即可利用具有ES-PASSWO
23、RD属性的Edit控件的这个特性,通过 SendMessage向此窗口发送WM-GETEXT或EM-GETLINE消息,这样Edit框中的“*”内容就一目了然了。当然,不同密码程序的加密机制有所不同,主面介绍的仅是其中的一种破解方法,但读者可以从中了解口令解密的机制。有关系统用户账号密码口令的破解主要是基于密码匹配的破解方法,最基本的方法有两个,即穷举法和字典法。穷举法就是效率最低的办法,将字符或数字按照穷举的规则生成口令字符串,进行遍历尝试。在口令密码稍微复杂的情况下,穷举法的破解速度很低。字典法相对来说效率较高,它用口令字典中事先定义的常用字符去尝试匹配口令。口令字典是一个很大的文本文件,
24、可以通过自己编辑或者由字典工具生成,里面包含了 单词或者数字的组合。如果你的密码就是一个单词或者是简单的数字组合那么破解者就可以很轻易的破解密码。目前常见的密码破解和审核工具有很多种,例如破解Windows平台口令的L0phtCrack、 WMICracker、SMBCrack、CNIPC NT弱口令终结者以及商用的工具:Elcomsoft公司的 Adanced NT Security Explorer和Proactive Windows Security Explorer、Winternals的Locksmith等,用于Unix平台的有John the Ripper等。下面的实验中,主要通过
25、介绍L0phtCrack5的使用,了解用户口令的安全性。四、实验所需仪器、设备、材料(试剂)一台安装Windows 2000/XP系统的计算机,安装 L0phtCrack5.02 密码破解工具。五、实验预习要求、实验条件、方法及步骤任务一 使用L0phtCrack5破解密码L0phtCrack5(简写为LC5)是L0phtCrack组织开发的Windows平台口令审核程序的最新版本,它提供了审核Windows用户账号的功能,以提高系统的安全性。另外,LC5也被一些非法入侵者用来破解Windows用户口令,给用户的网络安全造成很大的威胁。所以,了解LC5的使用方法,可以避免使用不安全的密码,从而
26、提高用户本身系统的安全性。在Windows操作系统中,用户账户的安全管理使用了安全账号管理器 SAM(Security Account Manager)的机制,用户和口令经过加密Hash变换后以Hash列表形式存放在%SystemRoot%System32下的SAM文件中。LC5主要是通过破解这个 SAM文件来获取用户名和密码的。LC5可以从本地系统、其它文件系统系统备份中获取SAM文件,从而破解出用户口令。我们事先在主机内建立用户名test,密码分别陆续设置为空密码、123123、security、security123进行测试。启动 LC5,弹出来LC5的主界面如图5-1 所示。图5-1
27、LC5主界面如果破解本台计算机的口令,并且具有管理员权限,那么选择从本地机器导入;如果已经侵入远程的一台主机,并且有管理员权限,那么可以选择从远程电脑导入,这样就可以破解远程主机的SAM文件(这种方法对使用syskey保护的计算机无效);如果获得了一台主机的紧急修复盘,那么可以破解紧急修复盘中的SAM文件;LC5还提供在网络中探测加密口令的选项,LC5可以在一台计算机向另一台计算机通过网络进行认证的挑战/应答过程中截获加密口令散列,这也要求和远程计算机建立起连接。本实验破解本地计算机的口令,所以选择“从本地机器导入”,然后单击Next按钮,弹出如图5-5所示的对话框。由于设置的是空口令,所以选
28、择快速口令破解即可以破解口令,再单击Next按钮,弹出如图5-6所示的对话框。选择默认的选项即可,接着单击Next按钮,弹出如图5-7所示的对话框。单击Finish按钮,软件就开始破解账号密码了,破解结果如图5-8所示。可以看到,用户test的密码为空,软件很快就被破解出来了。把test用户的密码改为“123123”,再次测试,由于口令不是太复杂,还是选择快速口令破解,破解结果如下图5-9所示。可以看到,test用户的密码“123123”也被很快的破解出来了。把主机密码设置的复杂一些,不选用数字,选择某些英文单词,比如security,再次测试,由于密码复杂了一些,破解方法选择“普通口令破解”
29、,测试结果如图5-10所示。可以看到,复杂口令的破解速度虽慢,但还是把比较复杂的口令security123破解出来了。其实我们还可以设置更加复杂的口令,采用更加复杂的自定义口令破解模式,设置界面如图5-13所示。其中,“字典攻击”中我们可以选择字典列表的字典文件进行破解,LC5本身带有简单的字典文件,也可以自己创建或者利用字典工具生成字典文件;“混合字典”破解口令把单词、数字或符号进行混合组合破解;“预定散列”攻击是利用预先生成的口令散列值和SAM中的散列值进行匹配,这种方法由于不用在线计算Hash,所以速度很快;利用暴力破解中的字符设置选项,可以设置为字母+数字、字母+数字+普通符号、字母+
30、数字+全部符号,这样我们就从理论上把大部分密码组合采用暴力方式遍历所有字符组合而破解出来,只是破解时间可能很长。任务二 掌握安全的密码设置策略暴力破解理论上可以破解任何密码,但如果密码过于复杂,暴力破解需要的时间会很长(比如几天),在这段较长的时间内,增加了用户发现入侵和破解行为的机会,以采取某种措施来阻止破解,所以密码越复杂越好。一般设置密码要遵循以下几个原则:(1) 密码长度不小于8个字符;(2) 包含有大写和小写的英文字母、数字和特殊符号的组合;(3) 不包含姓名、用户名、单词、日期以及这几项的组合;(4) 定期修改密码,并且对新密码做较大的变动。例如,这样的一个密码就是一个复杂度很高的
31、密码“974a3K%n_4$Fr1#”,破解软件要花费很长的时间才能破解。任务三 密码破解的防护syskey是Windows2000和Windows XP中增加的一项功能,它可以使用启动密钥来保护 SAM文件中的账号信息。默认情况下,启动密钥是一个随机生成的密钥,存储在本地计算机上。这个启动密钥在计算机启动后必须正确输入才能登录系统。通过在命令行界面下输入命令syskey,回车后即会启动syskey的设置界面,如图5-14所示。图 5-14syskey 配置界面通过 syskey 保护,攻击者即使通过另外一个操作系统挂上你的硬盘,偷走计算机上的一个SAM文件的拷贝,这份SAM文件的拷贝对于他们
32、也是没有意义的,因为Syskey提供了非常好的安全保护。当然,要防止攻击者进入系统后对本地计算机启动密钥的提索,这可以通过配置 syskey时,将启动密钥存储在软盘上实现启动密钥与本地计算机的 | 分隔。 另外,还可以通过选择安全的身份验证协议,防止嗅探器探测到网络中传输的密码。在 Windows2000和Windows XP中,默认的身份认证协议是Kerberos v5,它采用了复杂的加密方式来防止未经授权的用户截获网络中传输的密码信息。但是,如果计算机没有加入到域中, 则采用的身份认证协议是NTLM。NTLM采用询问应答的方式进行身份验证,它有3种变体:LM(Lan Manager)、NT
33、LM version 1 和NTLM version 2,其中NTLM version 2是最安全的身份验证方式。为了加强网络安全性,需要关闭LM 和 NTLM version l 这两种相对不安全的方式。可以通过控制面板管理工具本地安全策略,在打开的本地安全策略窗口中,打开安全设置本地策略安全选项,在右侧的窗口中,双击鼠标左键打开网络安全:Lan Manager 身份验证级别,在列表中选择 仅发送 N11Mv2 响应拒绝 LM&N ML 选项 , 如图 515 所示。在 Windows 系统里面有很多措施来增强密码口令的安全 , 详细步骤和过程请参考实 验 Windows 系统安全 中的账户
34、和口令安全设置。图 5-15 身份认证协议的选择界面实验四 Windows 操作系统安全实验名称:Windows 操作系统安全实验类型:验证性实验、综合性实验学时:4适用对象: 信息安全一、 实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。二、实验要求 根据Windows操作系统中的各项安全性要求,完成相关的设置,详细观察记录设置前后系统的变化,给出分析报告。三、实验原理我们从账户口令、文件系统、日志和审核、安全漏洞扫描等方面对Windows操
35、作系统安全进行介绍。 1. 账户和口令账户和口令是登录系统的基础,也是众多黑客程序攻击和窃取的对象。因此,系统帐户和口令的安全是非常重要的,也是可以通过合理设置来实现的。普通用户常常在安装系统后长期使用系统的默认设置,忽视了Windows系统默认设置的不安全性,而这些不安全性常常被攻击者利用,通过各种手段获得合法的账户,进一步破解口令。所以,首先需要保障账户和密码的安全。2. 文件系统 磁盘数据被攻击者或本地的其它用户破坏和窃取是经常困扰用户的问题,文件系统的安全问题也是非常重要的。Windows系统提供的磁盘格式有FAT、FAT32以及NTFS。其中,FAT格式和FAT32格式没有考虑对安全
36、性方面的更高需求,例如无法设置用户访问权限等。NTFS文件系统是Windows操作系统中的一种安全的文件系统,管理员或用户可以设置每个文件夹的访问权限,从而限制一些用户和用户组的访问,以保障数据的安全。3. 数据加密软件EFS当用户的计算机在没有足够物理保护的地方使用时,或者发生计算机或磁盘的被窃、被拆换,在所有这些情况下,保密的数据都可能被窃取,造成重要数据的丢失。采用加密文件系统(EFS)的加密功能对敏感数据文件进行加密,可以加强数据的安生性,并且减小计算机、磁盘被窃或者被拆换后数据失窃的隐患。EFS采用了对称和非对称两种加密算法对文件进行加密,首先系统利用生成的对称密钥将文件加密成为密文
37、,然后采用EFS证书中包含的公钥将对称密钥加密后与密文附加在一起。文件采用EFS加密后,可以控制特定的用户有权解密数据,这样即使攻击者能够访问计算机的数据存储器,也无法读取用户数据。只有拥有EFS证书的用户,采用证书中公钥对应的私钥,先解密公钥加密的对称密钥,然后再用对称密钥解密密文,才能对文件进行读写操作。EFS属于NTFS文件系统的一项默认功能,同时要求使用EFS的用户必须拥有在NTFS 卷中修改文件的权限。3. 审核与日志为了便于用户监测当前系统的运行状况,Windows系统中设置了审核与日志功能。审核与日志是Windows系统中最基本的入侵检测方法,当有攻击者尝试对系统进行某些方式的攻
38、击时,都会被安全审核功能记录下来,写入到日志中。一些Windows下的应用程序,如 IIS(Internet信息服务器),也带有相关的审核日志功能,例如,IIS的FTP日志和WWW日志等。IIS每天生成一个日志文件,包含了该日的一切记录,例如,试图通过网络登陆系统的IP地址等。文件名通常为ex年份月份日期,例如,ex050123,就是2005年1月23日产生的日志。IIS的WWW日志在系统盘中%systemroot%System32logfilesw3svc1目录下,FTP 日志在%systemroot%System32logfilesmsftpsvc1目录下。而系统日志、安全性日志和应用程序
39、日志分别为%systemroot%System32config文件夹下的3个文件。5. 安全模板Windows系统中的安全设置项目繁多,包括账户策略、本地策略、事件日志、受限制的组、系统服务、注册表和文件系统等。一一设置这些安全项目相当复杂,为了提高系统安全性设置的简易性,微软在Windows系统中提供了不同安全级别的安全模板,不同安全级别的模板包含了不同安全性要求的配置项目。用户只要简单地根据需要选择启用相应的模板,即可自动按照模板配置各项安全属性。对部分模板的意义做如下说明:setup security.inf:全新安装系统的默认安全设置basicws.inf:基本的安全级别compatw
40、s.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置securews.inf:提供较高安全性的安全级别hisecws.inf:提供高度安全性的安全级别上述模板文件名的后面两个字符,ws代表workstation & server,dc代表domain controller。Windows系统也支持用户自己构建模板。6. MBSA(Microsoft Baseline Security Analyzer)要检查当前系统是否符合一定的安全标准,手动逐项检查的过程是非常繁杂的。Microsoft 提供了自动检查Windows系统漏洞的安全审计工具MBSA。它将从微软的升级服务器中下
41、载最新的补丁包文件,检查Windows系统中是否安装了最新的安全补丁。此外,它还可以对系统漏洞、IIS 漏洞、SQLServer数据库以及IE、OFFICE等应用程序的漏洞进行扫描,以检查系统的各项配置是否符合安全性要求。四、实验所需仪器、设备、材料(试剂)1台安装Windows2003/XP操作系统的计算机,磁盘格式配置为NTFS,预装 MBSA(Microsoft Baseline Security Analyzer)工具。五、实验预习要求、实验条件、方法及步骤需要说明的是,以下设置均需以管理员(Administrator)身份登陆系统。在Windows2000和Windows XP操作系
42、统中,相关安全设置会稍有不同,但大同小异,下面主要以Windows2000 的设置步骤为例进行说明。任务一 账户和口令的安全设置1. 删除不再使用的账户,禁用guest账户共享账户、guest账户等具有较弱的安全保护,常常都是黑客们攻击的对象,系统的账户越多,被攻击者攻击成功的可能性越大,因此要及时检查和删除不必要的账户,必要时禁用 guest账户。(1) 检查和删除不必要的账户。右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项。在弹出的对话框(如图 6-1所示)中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。图6-1 用户和密码(2)gues
43、t 账户的禁用。为了便于观察实验结果,确保实验用机在实验前可以使用guest账户登陆;打开“”控制面板中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,弹出如图6-2所示的窗口;右键单击guest用户,弹出如图6-3所示对话框,选择“属性”,在弹出的对话框中“账户己停用”一栏前打勾;图 6-3 guest属性确定后,guest前的图标上会出现一个红色的叉。此时再次试用guest账户登陆,则会显示“您的账户已被停用,请与管理员联系”。2. 启用账户策略账户策略是Windows账户管理的重要工具。打开“控制面板”“管理工具”“本地安全策略”,选择“账户策略”,如图6-4所示。双
44、击“密码策略”,弹出如图6-5所示的窗口。密码策略用于决定系统密码的安全规则和设置。图 6-3 密码策略其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特性的设置。(1) 双击“密码必须符合复杂性要求”,在弹出的如图6-4所示对话框中,选择“启用”;下面我们看一下策略是否启动,打开“控制面板”中“用户和密码”项,在弹出的如图6-7所示对话框中选择一个用户后,单击“设置密码”按钮。图6-7用户和密码在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。例如,若输入密码为L123456,则弹出如图6-8所示的对话框
45、;若输入密码为L_123456,密码被系统接受。(2)双击图6-5面板中“密码长度最小值”,在弹出的对话框(见图6-8)中设置可被系统接纳的账户密码长度最小值,例如设置为6个字符。一般为了达到较高的安全性,建议密码长度的最小值为8。图6-8 密码长度最小值(3) 双击图 6-5面板中“密码最长存留期”,在弹出的对话框(见图6-10)中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期,可以提醒用户定期修改密码, 防止密码使用时间过长带来的安全问题。图 6-10 密码最长存留期(4) 双击图6-5面板中“密码最短存留期”,在弹出的对话框(见图6-11)中修改设置密码最短存留期为7天
46、。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改账户密码。(5) 双击“强制密码历史”和“为域中所有用户使用可还原的加密储存密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。至此,密码策略设置完毕。在账户策略中的第2项是账户锁定策略,它决定系统锁定账户的时间等相关设置。 打开图6-5中“账户锁定策略”,弹出如图6-12所示的窗口。图 6 12 账户锁定策略(1) 双击 账户锁定阙值 , 在弹出的对话框 ( 见图 6 13) 中设置账户被锁定之前经过 的无效登录次数 ( 如 3 次 ), 以便防范攻击者利用管理员身份登录后无限次的猜测账户的
47、 密码 ( 穷举法攻击 ) 。(2) 双击 账户锁定时间 , 在弹出的对话框 ( 见图 6-14) 中设置账户被锁定的时间 ( 如 2Omin) 。此后 , 当某账户无效登录 ( 如密码错误 ) 的次数超过 3 次时 , 系统将锁定该账户20min 。3. 开机时设置为“不自动显示上次登录账户”Windows 默认设置为开机时自动显示上次登陆的账户名,许多用户也采用了这一设置。这对系统来说是很不安全的,攻击者会从本地或Fremind SeIVice 的登陆界面看到用户名。图 6 14 账户锁定时间要禁止显示上次的登陆用户名 , 可做如下设置 :右键单击 开始 按钮 , 打开 资源管理器 , 选中 控制面板 , 打开 管理工具 朋下 , 本地安全策略 工页 , 选择 本地策略 中的 安全选项气并在图 6-15 所示窗 口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,弹出如图6-16 所示的对话框。选择“己启用”,完成设置。4. 禁止枚举账户名为了便于远程用户共享牢地文
