網(wǎng)絡安全課程實驗指導書

1、文檔來源為 :從網(wǎng)絡收集整理 .word 版本可編輯 .歡迎下載支持網(wǎng)絡安全課程實驗安排及指導書2009-10-2120文檔來源為 : 從網(wǎng)絡收集整理 .word 版本可編輯 .歡迎下載支持實驗安排1、推薦必做實驗網(wǎng)絡掃描 計算機病毒及惡意代碼 防火墻實驗 入侵檢測系統(tǒng)2、推薦選作實驗VPN 配置 證書的申請和使用 windows 安全配置實驗實驗一： 網(wǎng)絡掃描實驗【實驗目的】了解掃描的基本原理，掌握基本方法，最終鞏固主機安全【實驗內(nèi)容】1、學習使用 Nmap 的使用方法 2、學習使用漏洞掃描工具【實驗環(huán)境】1、 硬件 PC 機一臺。2、 系統(tǒng)配置：操作系統(tǒng) windows XP 以上?！緦嶒?/p>

2、步驟】1、端口掃描1) 解壓并安裝 ipscan15.zip ，掃描本局域網(wǎng)內(nèi)的主機2) 解壓 nmap-4.00-win32.zip ，安裝 WinPcap運行cmd.exe，熟悉nmap命令(詳見Nmap詳解.mht”)。3) 試圖做以下掃描： 掃描局域網(wǎng)內(nèi)存活主機， 掃描某一臺主機或某一個網(wǎng)段的開放端口 掃描目標主機的操作系統(tǒng) 試圖使用 Nmap 的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機，或 局域網(wǎng)內(nèi)某一臺主機的漏洞【實驗報告】1、說明程序設計原理。2、提交運行測試結(jié)果?！緦?/p>

3、驗背景知識】1、掃描及漏洞掃描原理見 第四章黑客攻擊技術(shù) .ppt2、NMAP 使用方法掃描器是幫助你了解自己系統(tǒng)的絕佳助手。 象 Windows 2K/XP 這樣復雜的操作系統(tǒng)支持應用軟件打開數(shù)百個端口與其他客戶程序或服務器通信，端口掃描是檢測服務器上運行了哪些服務和應用、向 Internet 或其他網(wǎng)絡開放了哪些聯(lián)系通道的一種辦法，不僅速 度快，而且效果也很不錯。Nmap 被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡系統(tǒng)有哪些主機以及其上運行 何種服務。 它支持多種協(xié)議的掃描如 UDP， TCP connect(),TCP SYN (half open), ftp proxy (bounce

4、attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和 Null 掃描。你可以從 SCAN TYPES 一節(jié)中察看相關(guān)細節(jié)。 nmap 還提供一些實用功能如通過 tcp/ip 來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平 行掃描、通過并行的 PING 偵測下屬的主機、欺騙掃描、端口過濾探測、直接的 RPC 掃 描、分布掃描、靈活的目標選擇以及端口的描述。一、安裝 NmapNmap要用到一個稱為“Windows包捕獲庫的驅(qū)動程序 WinPcap如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉

5、這個驅(qū)動程序 某些流媒體電影的地址是加密 的，偵測這些電影的真實地址就要用到 WinPcap。 WinPcap 的作用是幫助調(diào)用程序 (即這 里 的 Nmap） 捕 獲 通 過 網(wǎng) 卡 傳 輸 的 原 始 數(shù) 據(jù) 。 WinPcap 的 最 新 版 本 在 http:/netgroup-serv.polito.it/winpcap ，支持 XP/2K/Me/9x 全系列操作系統(tǒng)， 下載得到的是 一個執(zhí)行文件， 雙擊安裝， 一路確認使用默認設置就可以了， 安裝好之后需要重新啟動。接下來下載Nmap。下載好之后解開壓縮，不需要安裝。除了執(zhí)行文件nmap.exe之外，它還有下列參考文檔 : nmap

6、-os-fingerprints: 列出了 500 多種網(wǎng)絡設備和操作系統(tǒng)的堆棧標識信息。 nmap-protocols:Nmap 執(zhí)行協(xié)議掃描的協(xié)議清單。nmap-rpc:遠程過程調(diào)用（RPC）服務清單，Nmap用它來確定在特定端口上監(jiān)聽的 應用類型。nmap-services: 個TCP/UDP服務的清單，Nmap用它來匹配服務名稱和端口號。除了命令行版本之外， 還提供了一個帶 GUI 的 Nmap 版本。和其 他常見的 Windows 軟件一樣， GUI 版本需要安裝，圖一就是 GUI 版 Nmap 的運行界面。 GUI 版的功能基本上和命令行版本一樣，

7、鑒于許多人更喜歡用命令行版本，本文后面的 說明就以命令行版本為主。圖一二、常用掃描類型解開 Nmap 命令行版的壓縮包之后， 進入 Windows 的命令控制臺， 再轉(zhuǎn)到安裝 Nmap 的目錄（如果經(jīng)常要用 Nmap，最好把它的路徑加入到 PATH環(huán)境變量）。不帶任何命令行 參數(shù)運行 Nmap， Nmap 顯示出命令語法，如圖二所示。圖二下面是 Nmap 支持的四種最基本的掃描方式 : TCP connect（）端口掃描（-sT 參數(shù)）。TCP同步（SYN）端口掃描（-sS參數(shù)）。 UDP 端口掃描 （-sU 參數(shù) ）。Ping掃描（-sP參數(shù)）。如果要勾畫一個網(wǎng)絡的整體情況， Ping 掃描

8、和 TCP SYN 掃描最為實用。 Ping 掃描 通過發(fā)送 ICMP（Internet Control Message Protocol ，Internet 控制消息協(xié)議 ）回應請求數(shù)據(jù) 包和TCP應答（Acknowledge，簡寫ACK）數(shù)據(jù)包，確定主機的狀態(tài)，非常適合于檢測指 定網(wǎng)段內(nèi)正在運行的主機數(shù)量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect（）掃描比較，就很容易看出這種掃描方式的特點。在TCP connect（）掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的 TCP 連接 也就是說，掃描器打開了兩個主機之間的完整握手過 程（SYN，SYN-ACK

9、，和ACK）。一次完整執(zhí)行的握手過程表明遠程主機端口是打開的。TCP SYN掃描創(chuàng)建的是半打開的連接，它與TCP connect。掃描的不同之處在于，TCP SYN掃描發(fā)送的是復位（RST）標記而不是結(jié)束 ACK標記（即，SYN，SYN-ACK，或 RST）:如果遠程主機正在監(jiān)聽且端口是打開的，遠程主機用SYN-ACK應答，Nmap發(fā)送一個RST;如果遠程主機的端口是關(guān)閉的，它的應答將是 RST，此時Nmap轉(zhuǎn)入下一個端口。圖三是一次測試結(jié)果，很明顯， TCP SYN掃描速度要超過 TCP connect（）掃描。采 用默認計時選項，在 LAN 環(huán)境下掃描一個主機， Ping 掃描耗時不到十秒

10、， TCP SYN 掃 描需要大約十三秒，而 TCP conn ect（）掃描耗時最多，需要大約 7分鐘。圖三Nmap 支持豐富、靈活的命令行參數(shù)。例如，如果要掃描 192.168.7 網(wǎng)絡，可以用 192.168.7.x/24 或 -255 的形式指定 IP 地址范圍。指定端口范圍使用 -p 參數(shù)， 如果不指定要掃描的端口， Nmap 默認掃描從 1 到 1024 再加上 nmap-services 列出的端 口。如果要查看 Nmap 運行的詳細過程，只要啟用 verbose 模式，即加上 -v 參數(shù)，或者加 上 -vv 參數(shù)獲得更加詳細的信息。例如，nmap -sS

11、-255 -p 20,21,53-110,30000-v命令，表示執(zhí)行一次 TCP SYN掃描，啟用verbose模式，要掃描的網(wǎng)絡是 192.168.7, 檢測 20、21、53 到 110 以及 30000 以上的端口 （指定端口清單時中間不要插入空格）。再舉一個例子, nmap -sS /24 -p 80 掃描 192.168.0 子網(wǎng),查找在 80 端口監(jiān)聽的 服務器 （通常是 Web 服務器 ）。有些網(wǎng)絡設備,例如路由器和網(wǎng)絡打印機,可能禁用或過濾某些端口,禁止對該設 備或跨越該設備的掃描。初步偵測網(wǎng)絡情況時,-host_timeout參數(shù)

12、很有用,它表示超時時間,例如 nmap sS host_timeout 10000 命令規(guī)定超時時間是 10000 毫秒。網(wǎng)絡設備上被過濾掉的端口一般會大大延長偵測時間,設置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡所需時間。 Nmap 會顯示出哪些網(wǎng)絡設備響應超時,這時你就可以對這些 設備個別處理,保證大范圍網(wǎng)絡掃描的整體速度。當然,host_timeout 到底可以節(jié)省多少掃描時間,最終還是由網(wǎng)絡上被過濾的端口數(shù)量決定。Nmap 的手冊 （man 文檔）詳細說明了命令行參數(shù)的用法（雖然 man 文檔是針對 UNIX版 Nmap 編寫的,但同樣提供了 Win32 版本的說明 ）

13、。三、注意事項也許你對其他端口掃描器比較熟悉,但 Nmap 絕對值得一試。建議先用 Nmap 掃描 一個熟悉的系統(tǒng),感覺一下 Nmap 的基本運行模式,熟悉之后,再將掃描范圍擴大到其 他系統(tǒng)。 首先掃描內(nèi)部網(wǎng)絡看看 Nmap 報告的結(jié)果, 然后從一個外部 IP 地址掃描, 注意 防火墻、入侵檢測系統(tǒng)（IDS）以及其他工具對掃描操作的反應。通常，TCP connect。會引起 IDS 系統(tǒng)的反應, 但 IDS 不一定會記錄俗稱 “半連接 ”的 TCP SYN 掃描。最好將 Nmap 掃描網(wǎng)絡的報告整理存檔,以便隨后參考。如果你打算熟悉和使用 Nmap，下面幾點經(jīng)驗可能對你有幫助： 避免誤解。不要

14、隨意選擇測試 Nmap 的掃描目標。許多單位把端口掃描視為惡 意行為，所以測試 Nmap 最好在內(nèi)部網(wǎng)絡進行。如有必要，應該告訴同事你正在試驗端 口掃描，因為掃描可能引發(fā) IDS 警報以及其他網(wǎng)絡問題。 關(guān)閉不必要的服務。 根據(jù) Nmap 提供的報告 ( 同時考慮網(wǎng)絡的安全要求 ) ，關(guān)閉不 必要的服務， 或者調(diào)整路由器的訪問控制規(guī)則 (ACL) ，禁用網(wǎng)絡開放給外界的某些端口。 建立安全基準。在 Nmap 的幫助下加固網(wǎng)絡、搞清楚哪些系統(tǒng)和服務可能受到 攻擊之后，下一步是從這些已知的系統(tǒng)和服務出發(fā)建立一個安全基準，以后如果要啟用 新的服務或者服務器，就可以方便地根據(jù)這個安全基準執(zhí)行。實驗二：

15、計算機病毒及惡意代碼【實驗目的】 練習木馬程序安裝和攻擊過程， 了解木馬攻擊原理， 掌握手工查殺木馬的基本方法， 提 高自己的安全意識?！緦嶒瀮?nèi)容】安裝木馬程序 NetBus ，通過冰刃 iceberg 、 autoruns.exe 了解木馬的加載及隱藏技術(shù)【實驗步驟】1、木馬安裝和使用1) 在菜單運行中輸入 cmd 打開 dos 命令編輯器2 ) 安裝 netbus 軟件3) 在 DOS 命令窗口啟動進程并設置密碼4) 打開木馬程序，連接別人主機5) 控制本地電腦打開學院網(wǎng)頁6) 查看自己主機7) 查看任務管理器進程8 移除木馬控制程序進程查看任務管理器(注意： Patch.exe 進程已經(jīng)

16、關(guān)閉)2、木馬防御實驗在木馬安裝過程可以運行一下軟件查看主機信息變化：1) 使用 autoruns.exe 軟件， 查看 windows 程序啟動程序的位置， 了解木馬的自動加載技術(shù)。 如自動運行進程(下圖所示) 、IE 瀏覽器調(diào)運插件、任務計劃等：2) 查看當前運行的進程， windows 提供的任務管理器可以查看當前運行的進程，但其提供 的信息不全面。利用第三方軟件可以更清楚地了解當前運行進程的信息。這里 procexp.exe 為例啟動 procexp.exe 程序，查看當前運行進程所在位置，如圖所示：3) 木馬綜合查殺練習使用冰刃 IceSword 查看木馬可能修改的位置： 主要進行以

17、下練習：1) 查看當前通信進程開放的端口。木馬攻擊2) 查看當前啟動的服務3) 練習其他功能，如強制刪除其他文件，SPI、內(nèi)核模塊等?！緦嶒瀳蟾妗?、分析木馬傳播、自啟動、及隱藏的原理。2、提交運行測試的結(jié)果，并分析?！颈尘爸R】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務器端程序（通常文件名為：patch.exe）。要想 控制”遠程機器，必須先將服務器端程序安裝到遠程機器上-這一般是 通過遠程機器的主人無意中運行了帶有 NetBus 的所謂特洛伊木馬程序后完成的。NetBus 服務器端程序是放在 Windows 的系統(tǒng)目錄中的， 它會在 Windows 啟動時自動啟 動

18、。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話，文件名應為 explore.exe （注意：不是 explorer.exe!）或者簡單地叫 game.exeo 同時，你可以檢查 Windows 系統(tǒng)注冊表， NetBus 會在下面路徑中加入其自身的啟動項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun NetBus 通 過該注冊項實現(xiàn) Windows 啟動時的自動啟動。 但如果你按 Ctrl+Alt+Del ，在任務列表中是看 不到它的存在的。正確的去除方法如下

19、：1、運行 regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、將 patch 項刪除（或者 explore 項）；4、 重新啟動機器后刪除Windows系統(tǒng)目錄下的patch.exe （或者explore.exe）即可。實驗三： 防火墻實驗【實驗目的】掌握個人防火墻的使用及規(guī)則的設置【實驗內(nèi)容】防火墻設置，規(guī)則的設置，檢驗防火墻的使用?！緦嶒灜h(huán)境】3、硬件 PC 機一臺。4、系統(tǒng)配置：操作系統(tǒng) windows XP 以上?！緦嶒灢襟E】（ 有兩種可選方式， 1 、以天網(wǎng)防火墻為例，學習防火墻

20、的規(guī)則設置，2 、通過 winroute 防火墻學習使用規(guī)則設置，兩者均需安裝虛擬機 ）一、虛擬機安裝與配置驗證 virtual PC 是否安裝在 xp 操作系統(tǒng)之上，如果沒有安裝，從獲取相關(guān)軟件并安裝； 從教師機上獲取 windows 2000 虛擬機硬盤二、包過濾防火墻 winroute 配置（可選）1、從教師機上獲取winroute 安裝軟件并放置在 windows 2000 上安裝2、安裝默認方式進行安裝，并按提示重啟系統(tǒng)3、登陸虛擬機 ,打開 winroute 以管理員的身份登錄，打開開始 WinRoute ProWinRoute Administration ，輸入 IP 地址 或

21、計算機名，以及 WinRoute 管理員帳號（默認為 Admin ）、密碼（默認為空）3、打開菜單SettingAdvancedPacket Filter4、在 Packet Filter 對話框中，選中 Any interface 并展開 雙擊 No Rule 圖標，打開 Add Item 對話框 在 Protocol 下拉列表框中選擇 ICMP ，開始編輯規(guī)則配置 Destination ： type 為 Host,IP Address 為 （x 為座位號 ）5、在 ICMP Types 中，選中 All 復選項 在 Action 區(qū)域，選擇 Drop 項 在 Lo

22、g Packet 區(qū)域選中 Log into Window 其他各項均保持默認值，單擊 OK 單擊 OK ，返回主窗口6、合作伙伴間ping對方IP,應該沒有任何響應 打開菜單 ViewLogsSecurity Log , 詳細查看日志記錄 禁用或刪除規(guī)則8、用 WinRoute 控制某個特定主機的訪問（選作） 要求學生在虛擬機安裝 ftp 服務器。1）打開 Win Route,打開菜單 Setti ngsAdva ncedPacket Filter 選擇，Outgoi ng 標簽2）選擇Any In terface并展開，雙擊 No Rule，然后選擇TCP協(xié)議3）配置 Destinatio

23、n 框：type 為 Host， IP Address 為 （2 為合作伙伴座位號）4）、 在Source框中：端口范圍選擇 Greater than（），然后輸入10245）以 21 端口作為 Destination Port 值6）在 Action 區(qū)域,選擇 Deny 選項7）選擇 Log into window 選項8）應用以上設置,返回主窗口9）合作伙伴間互相建立到對方的 FTP 連接，觀察失敗信息10）禁用或刪除 FTP 過濾三、包過濾天網(wǎng)防火墻配置（可選）1、安裝解壓，單擊安裝文件 SkynetPFW_Retail_Release_v2.77_Build12

24、28.EXE 安裝按缺省的 設置安裝，注：破解1）將兩個文件Cr-PFW.exe和PFW.bak 起復制到軟件安裝目錄中2）運行破解補丁 Cr-PFW.exe ，覆蓋原主程序即可2、熟悉防火墻規(guī)則 啟動防火墻并 ”單擊自定義規(guī)則 ”如圖 熟悉規(guī)則的設置： 雙擊如下選項： “允許自己用 ping 命令探測其他機器 “防止別人用 ping 命令探測” “禁止互聯(lián)網(wǎng)上的機器使用我的共享資源” “防止互聯(lián)網(wǎng)上的機器探測機器名稱”等選項， 熟悉其中的 IP 地址、方向，協(xié)議類型、端口號、控制位等項的設置。 試總結(jié)規(guī)則設置的順序，5、增加設置防火墻規(guī)則 開放部分自己需要的端口。下圖為對話框，各部分說明：1

25、 ） 新建 IP 規(guī)則的說明部分， 可以取有代表性的名字， 如 “打開 BT6881-6889 端口 ”， 說明詳細點也可以。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可 以根據(jù)具體情況決定。2 ）就是對方 IP 地址，分為任何地址，局域網(wǎng)內(nèi)地址，指定地址，指定網(wǎng)絡地址四 種。3）IP 規(guī)則使用的各種協(xié)議，有 IP，TCP，UDP，ICMP，IGMP 五種協(xié)議，可以根 據(jù)具體情況選用并設置，如開放 IP 地址的是 IP 協(xié)議， QQ 使用的是 UDP 協(xié)議等。4 ）比較關(guān)鍵，就是決定你設置上面規(guī)則是允許還是拒絕，在滿足條件時是通行還 是攔截還是繼續(xù)下一規(guī)則，要不要記錄，具體看后面的

26、實例。試設置如下規(guī)則：1 ）禁止局域網(wǎng)的某一臺主機和自己通信通信2）禁止任何大于 1 023的目標端口于本機連接，3）允許任何新來的 TCP 與主機 的 SMTP 連接 4、查看各個程序使用及監(jiān)聽端口的情況可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網(wǎng)絡資源， 如木馬程序， 然后可以根據(jù)要求再自定義 IP 規(guī)則里封了某些端口以及禁止某些 IP 訪問 自己的機子等等?！緦嶒瀳蟾妗?、 說明包過濾放火墻的工作原理。2、 提交防火墻指定功能測試結(jié)果。實驗 4 入侵檢測系統(tǒng)安裝和使用【實驗目的】通過安裝并運行一個 snort 系統(tǒng)，了解入侵檢測系統(tǒng)的作用和功

27、能【實驗內(nèi)容】安裝并配置appahe,安裝并配置 MySQL，安裝并配置snort;服務器端安裝配置php腳本，通過 IE 瀏覽器訪問 IDS【實驗環(huán)境】硬件 PC 機一臺。 系統(tǒng)配置：操作系統(tǒng) windows XP 以上。【實驗步驟】1、安裝appache服務器安裝的時候注意,本機的 80 端口是否被占用,如果被占用則關(guān)閉占用端口的程序。 選擇定制安裝,安裝路徑修改為 c:apache 安裝程序會自動建立 c:apache2 目錄,繼續(xù) 以完成安裝。添加 Apache 對 PHP 的支持1 ）解壓縮 php-5.2.6-Win32.zip 至 c:php2）拷貝 php5ts.dll 文件到

28、 %systemroot%system323）拷貝 php.ini-dist （ 修改文件名 ） 至 %systemroot%php.ini 修改 php.iniextension=php_gd2.dllextension=php_mysql.dll同時拷貝 c:phpextension 下的 php_gd2.dll 與 php_mysql.dll 至 %systemroot%4）添加 gd 庫的支持在 C:apacheApache2confhttpd.conf 中添加：LoadModule php5_module c:/php5/php5apache2.dllAddType applicat

29、ion 這一行下面加入下面兩行：AddType application/x-httpd-php .php .phtml .php3 .php4 AddType application/x-httpd-php-source .phps5） 添加好后,保存 http.conf 文件,并重新啟動 apache 服務器。 現(xiàn)在可以測試 php 腳本：在 c:apache2htdocs 目錄下新建 test.phptest.php 文件內(nèi)容：?phpinfo（）;?使用 http:/localhost/test.php測試 php 是否安裝成功2、安裝配置 snort安裝程序 WinPcap_4_0_2

30、.exe ;缺省安裝即可安裝Snort_2_8_1nstaller.exe ;缺省安裝即可將 snortrules-snapshot-CURRENT 目錄下的所有文件復制 （全選 ）到 c:snort 目錄下。 將文件壓縮包中的 snort.conf 覆蓋 C:Snortetcsnort.conf3、安裝 MySql 配置 mysql 解壓 mysql- ,并安裝。采取默認安裝,注意設置 root 帳號和其密碼J 檢查是否已經(jīng)啟動 mysql 服務在安裝目錄下運行命令： （一般為 c:mysqlbin ）mysql -u root -p輸入剛才設置的 root 密碼 運行以下命令c:mysql

31、 -D mysql -u root -p c:snort_mysql （需要將 snort_mysql 復制到 c 盤下，當 然也可以復制到其他目錄）運行以下命令：c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p snort -dev，能看到一只正在奔跑的小豬證明工作正常查看本地網(wǎng)絡適配器編號：c:snort -W正式啟動 snort；snort -c c:snortetcsnort.conf -i 2 -l c:snortlogs

32、-deX（注意其中-i后的參數(shù)為網(wǎng)卡編號，由snort -W察看得知）這時通過 可以察看入侵檢測的結(jié)果6、利用掃描實驗的要求掃描局域網(wǎng)，查看檢測的結(jié)果【實驗報告】1、 簡單分析網(wǎng)絡入侵檢測snort的分析原理2、分析所安裝的入侵檢測系統(tǒng)對攻擊的檢測結(jié)果。附：Appach 啟動動命令： apache -k install| apache -k start證書的申請和使用【實驗目的】掌握數(shù)字證書的申請、安裝，利用證書的使用通過 Outlook 發(fā)送和接受安全電子郵件【實驗內(nèi)容】1、 申請免費使用證書，了解證書的結(jié)構(gòu)2、 利用申請的證書，發(fā)送和接收具有加密和簽名認證的電子郵件【實驗環(huán)境】上網(wǎng)計算機，

33、 Windows 操作系統(tǒng)（最好是 Windows2000 ）。 IE5.0 以上瀏覽器【實驗步驟】1、證書申請 （1）登錄中國數(shù)字認證網(wǎng)網(wǎng)站： ，如圖 1 所示， 圖 1 申請證書主頁（2） 單擊 “用表格申請 ”，進入申請網(wǎng)頁，如圖2：填寫相關(guān)信息，注意證書用途選擇，電子郵件保護證書。注意電子郵件部分填寫隨后測試郵件的自己電子郵件的郵件圖 2、申請表格 3）單擊“提交并安裝證書”4）證書查詢打開IE瀏覽器，依次點擊工具t In ternet選項宀內(nèi)容宀證書， 如圖8.11所示，點擊 證書按鈕后出現(xiàn)證書目錄，如圖8.12，雙擊剛才申請的試用個人證書，如圖8.13所示。需要說明的是， 由于證書

34、是試用證書，所以有該證書未生效信息， 實際上， 正式申請的 付費證書是沒有任何問題。圖 3 互聯(lián)網(wǎng)選項圖 4 已經(jīng)安裝好的數(shù)字證書圖 5 證書信息2、 使用證書發(fā)送安全郵件1）選擇菜單 -工具 -選項 彈出對話框 選擇安全屬性頁， 復選“給待發(fā)郵件添加數(shù)字簽名” “以明文簽名發(fā)送郵件” 選擇“設置”按鈕，彈出“更改安全設置對話框”見圖 9圖 6 選項屬性頁2）選擇 “設置 ”按鈕 彈出“更改安全設置”對話框 圖 7 填寫名稱“選擇” 按鈕選擇剛才申請的證書 ，并選擇哈希算法和加密算法。圖 7 安全設置對話框3 ）選擇一個通信聯(lián)系人發(fā)送一個郵件（這里最好是相互發(fā)送 ）看看對方是不是收到了一個帶證

35、書的電子郵件 注意：這時只能發(fā)送簽名電子郵件，因為不知道對方的公鑰無法加密（why ？）,可以思考一下。發(fā)送加密帶簽名的電子郵件方法如下：需要知道收信人的公鑰才能加密，因此需要導入收信人的證書。4）導出收信人證書以剛才收到的帶簽名的和證書的油箱導入對方的證書A ） 添加剛才收到信的發(fā)信人島通信薄。B） 從剛才收到的信中到處證書。在信的右邊單擊紅色飄帶彈出對話框，并單擊“詳細信息” ，彈出對話框，選 擇 “簽字人： * ” ，并單擊“查看信息” 按鈕（如圖 8），彈出屬性頁， 選擇“查看證書按鈕” ，彈出屬性頁對話框，選擇“詳細信息” ，及“復制到文 件”按鈕（見圖9）。把證書復制到文件圖8圖9

36、5）向通信薄中聯(lián)系人添加證書。選擇菜單“工具” - “通信薄”，選擇上述接收到的郵件發(fā)件人作為聯(lián)系人，并單 擊，選擇證書屬性頁， （如圖 10），單擊“導入”按鈕，倒入剛才到處的文件。 圖 106）發(fā)送帶簽名和加密的電子郵件選擇菜單工具 -選項 彈出對話框 選擇安全屬性頁，復選“加密帶發(fā)郵件的內(nèi)容和附件” ， “給待發(fā)郵件添加數(shù)字簽名” ，“以明 文簽名發(fā)送郵件” （如圖 11）向?qū)Ψ桨l(fā)送一個電子郵件，看看是不會加密帶簽名的圖 11【實驗報告】1、 提交運行測試結(jié)果2、提交申請證書的分析說明3、提交認證（簽名）和加密郵件的分析說明實驗六：windows 安全配置實驗【實驗目的】掌握 windo

37、ws 的安全設置，加固操作系統(tǒng)安全【實驗內(nèi)容】1、賬戶與密碼的安全設置2、文件系統(tǒng)的保護和加密3、啟用 安全策略與安全模板4、審核與日志查看5、利用 MBSA 檢查和配置系統(tǒng)安全【實驗環(huán)境】7、硬件 PC 機一臺。2、系統(tǒng)配置：操作系統(tǒng) windows XP 專業(yè)版。【實驗步驟 】任務一 賬戶和密碼的安全設置1、刪除不再使用的賬戶，禁用 guest 賬戶 檢查和刪除不必要的賬戶 右鍵單擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用 戶和密碼”項； 在彈出的對話框中中列出了系統(tǒng)的所有賬戶。確認各賬戶 是否仍在使用，刪除其中不用的賬戶。 禁用 guest 賬戶打開“控制面板”中的“管

38、理工具”， 選中“計算機管理”中“本地用戶和 組”，打開“用戶”，右鍵單擊 guest 賬戶，在彈出的對話框中選擇“屬 性”，在彈出的對話框中“帳戶已停用”一欄前打勾。確定后，觀察 guest 前的圖標變化，并再次試用 guest 用戶登陸，記錄顯 示的信息。2、啟用賬戶策略 設置密碼策略打開“控制面板”中的“管理工具”， 在“本地安全策略”中選擇“賬戶策 略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項，可按照需要改變 密碼特性的設置。根據(jù)選擇的安全策略，嘗試對用戶的密碼進行修改以驗證 策略是否設置成功，記錄下密碼策略和觀察到的實驗結(jié)果。 設置賬戶鎖定策略打開“控制面板”中的“管理工具”，

39、 在“本地安全策略”中選擇“賬戶策 略”。雙擊“帳戶鎖定策略”。在右窗口中雙擊“賬戶鎖定閥值”， 在彈出的對話框中設置賬戶被鎖定之前 經(jīng)過的無效登陸次數(shù)（如 3 次），以便防范攻擊者利用管理員身份登陸后無 限次的猜測賬戶的密碼。在右窗口中雙擊“賬戶鎖定時間”， 在彈出的對話框中設置賬戶被鎖定的時 間(如 20 min )。重啟計算機，進行無效的登陸(如密碼錯誤) ，當次數(shù)超過 3 次時，記錄系 統(tǒng)鎖定該賬戶的時間，并與先前對“賬戶鎖定時間”項的設置進行對比。3 開機時設置為“不自動顯示上次登陸賬戶”右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管 理工具”選項，雙擊“本地安

40、全策略”項，選擇“本地策略”中的“安全選 項”，并在彈出的窗口右側(cè)列表中選擇“登陸屏幕上不要顯示上次登陸的用 戶名”選項，啟用該設置。設置完畢后，重啟機器看設置是否生效。4.禁止枚舉賬戶名右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管 理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選 項”，并在彈出的窗口右側(cè)列表中選擇“對匿名連接的額外限制”項，在“本地策略設置”中選擇“不允許枚舉 SAM 賬戶和共享”。 此外，在“安全選項”中還有多項增強系統(tǒng)安全的選項， 請同學們自行查看。任務二文件系統(tǒng)安全設置 打開采用 NTFS 格式的磁盤，選擇一個需要設置用戶權(quán)限

41、的文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”。 將“允許來自父系的可能繼承權(quán)限無限傳播給該對象”之前的勾去掉， 以去掉來自父系文件夾的繼承權(quán)限(如不去掉則無法刪除可對父系文件夾操 作用戶組的操作權(quán)限)。 選中列表中的 Everyone 組，單擊“刪除”按鈕，刪除 Everyone 組的 操作權(quán)限，由于新建的用戶往往都歸屬于 Everyone 組，而 Everyone 組在 缺省情況下對所有系統(tǒng)驅(qū)動器都有完全控制權(quán)， 刪除 Everyone 組的操作權(quán) 限可以對新建用戶的權(quán)限進行限制， 原則上只保留允許訪問此文件夾的用戶 和用戶組。 選擇相應的用戶組，在對應的復選框中打勾，

42、設置其余用戶組對該文件 夾的操作權(quán)限。 單擊“高級”按鈕，在彈出的窗口中，查看各用戶組的權(quán)限。 注銷計算機，用不同的用戶登陸，查看 剛才設置“桌面”文件夾的訪問 權(quán)限，將結(jié)果記錄在實驗報告中。任務三啟用審核與日志查看1 .啟用審核策略(1) 打開“控制面板”中的“管理工具”，選擇“本地安全策略”。(2) 打開“本地策略”中的“審核策略”， 在實驗報告中記錄當前系統(tǒng)的審 核策略。(3) 雙擊每項策略可以選擇是否啟用該項策略， 例如“審核賬戶管理”將對 每次建立新用戶、刪除用戶等操作進行記錄，“審核登陸事件”將對每次用 戶的登陸進行記錄； “審核過程追蹤”將對每次啟動或者退出的程序或者進 程進行記

43、錄，根據(jù)需要啟用相關(guān)審核策略，審核策略啟用后，審核結(jié)果放在 各種事件日志中。2 查看事件日志(1) 打開“控制面板”中的“管理工具”，雙擊“事件查看器“，在彈出的 窗口中查看系統(tǒng)的 3 種日志。(2) 雙擊“安全日志”， 可查看有效無效、 登陸嘗試等安全事件的具體記錄， 例如：查看用戶登陸 / 注銷的日志。任務四 啟用安全策略與安全模塊1、啟用安全模板開始前，請記錄當前系統(tǒng)的賬戶策略和審核日志狀態(tài)，以便于同實驗后的設 置進行比較。 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系 統(tǒng)控制臺 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單 元”，單擊“添加”

44、，在彈出的窗口中分別選擇“安全模板”、“安全設置 和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右 鍵單擊模板名稱，選擇“設置描述”， 可以看到該模板的相關(guān)信息。 選擇“打 開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每種安全策略可看到其相關(guān)配 置。 右鍵單擊“安全設置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框 中輸入預建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打 開”按鈕，在彈出的窗口中，根據(jù)計算機準備配置成的安全級別，選擇一

45、個 安全模板將其導入。 右鍵單擊“安全設置與分析”， 選擇“立即分析計算機”， 單擊“確定” 按鈕，系統(tǒng)開始按照上一步中選定的安全模板，對當前系統(tǒng)的安全設置是否 符合要求進行分析。將分析結(jié)果記錄在實驗報告中。 右鍵單擊“安全設置與分析”，選擇“立即配置計算機”，則按照第( 4 )步中所選的安全模板的要求對當前系統(tǒng)進行配置。 在實驗報告中記錄實驗前系統(tǒng)的缺省配置，接著記錄啟用安全模板后系 統(tǒng)的安全設置，記錄下比較和分析的結(jié)果。2 建安全模板 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系 統(tǒng)控制臺。 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單 元”，單

46、擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設置 和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時系統(tǒng)控制臺中根節(jié)點下添加了“安全模板”、“安全設置分析”兩 個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右 鍵單擊模板名稱，選擇“設置描述”， 可以看到該模板的相關(guān)信息。 選擇“打 開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每中安全策略可看到其相關(guān)配 置。 右鍵單擊“安全設置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框 中輸入預建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打 開”按鈕，在彈出的窗口中，根據(jù)計算機準備配置成的安全級別，選擇一個 安全模板將其導入。 展開“安全模板”，右鍵單擊模板所在路經(jīng) , 選擇“新加模板”，在彈 出的對話框中添如預加入的模板名稱 mytem ，在“安全模板描述“中填入