網(wǎng)絡(luò)安全實(shí)驗(yàn)報(bào)告sniffer,虛擬機(jī)

試驗(yàn)一：虛擬機(jī)的安裝與使用，試驗(yàn)?zāi)康?、學(xué)習(xí)安裝、使用虛擬機(jī)2、給虛擬機(jī)安裝xp操作系統(tǒng)及常用軟件二、試驗(yàn)內(nèi)容安裝虛擬機(jī)步驟:.雙擊2?依據(jù)流程向?qū)ext>.選擇安裝路徑.安裝完成.可以看到home點(diǎn)擊newvirtualmachine添加新的虛擬機(jī)?依據(jù)安裝向?qū)乱徊?選擇安裝的操作系統(tǒng).選擇安裝路徑.選擇聯(lián)網(wǎng)方式.完成虛擬機(jī)的添加.可以在看到后后Home后Home后Home④WindowsProfessionalWindowsXPProfessionalState:PoweredoffGuestOS:WindowsXPProfessionalConfigurationfile:C:\DocumentsandSettings\zou\MyDocument外MyVirtualMachine外WindowsXPProfessVersion:CurrentvirtualmachineforVMwareCommandsCommandsCommands?Startthisvirtualmachine加Editvirtualmachinesettings電ClonethisvirtualmachineTypeheretoenternotesforthisvirtualmachineDevices宴MemoryQHardDisk(IDE0:0)(^CD-ROMCEDE1:0)""￡?Ethernet@USBControllerAudio⑨Commands?Startthisvirtualmachine加Editvirtualmachinesettings電ClonethisvirtualmachineTypeheretoenternotesforthisvirtualmachineDevices宴MemoryQHardDisk(IDE0:0)(^CD-ROMCEDE1:0)""￡?Ethernet@USBControllerAudio⑨VirtualProcessors256MBAutodetectbridgedPresentAutodetect1點(diǎn)擊CD-ROM.點(diǎn)startthisvirtualmachine或綠色開(kāi)頭按鈕.windows安裝可選手動(dòng)或自動(dòng).最終完成在虛擬機(jī)上的windows安裝后可以看到.可以通過(guò)虛擬機(jī)上安裝一些工具用來(lái)直接把主系統(tǒng)的軟件拖拽到虛擬機(jī)中VM-))installVmwaretools.設(shè)置虛擬機(jī)中的IP以及DNS等，使其能夠上網(wǎng)cureSupportComponent）；運(yùn)行在其上的是與操作系統(tǒng)內(nèi)核在同一個(gè)環(huán)上的核心模塊,通過(guò)該模塊來(lái)供應(yīng)對(duì)SSC的訪問(wèn)，同時(shí)供應(yīng)各種平安功能支持，稱(chēng)為nexus；上面是應(yīng)用層，由稱(chēng)為NCA（NexusComputingAgent）的代理來(lái)執(zhí)行。SSC：類(lèi)似TCG的TPM模塊（微軟指明可以使用TPM1.2版作為SSC）,作為平安功能的支持平臺(tái)，該硬件模塊能夠供應(yīng)密碼支持和平安存儲(chǔ)等；Nexus：NGSCB的核心組件，也是操作系統(tǒng)的一局部，運(yùn)行在核心態(tài)，但同時(shí)又和內(nèi)核獨(dú)立運(yùn)行，它為應(yīng)用層供應(yīng)了一組API和服務(wù)，包括密封存儲(chǔ)和驗(yàn)證，上層應(yīng)用將通過(guò)該部件來(lái)獲得平安支持；NCA：由nexus為應(yīng)用程序生成一個(gè)用戶態(tài)下的代理進(jìn)程，應(yīng)用程序通過(guò)該進(jìn)程和nexus交互，以獲得所需要的平安服務(wù)。從上面的結(jié)構(gòu)中可以看出，為了與現(xiàn)有系統(tǒng)的兼容，微軟同英特爾一樣，通過(guò)在現(xiàn)有環(huán)境基礎(chǔ)上兼容一個(gè)平行的保護(hù)環(huán)境來(lái)運(yùn)行NGSCB,平安親密相關(guān)的應(yīng)用將在右邊運(yùn)行，而傳統(tǒng)的應(yīng)用在左邊，互不干擾。NGSCB技術(shù)也供應(yīng)四個(gè)新的平安特性，同LT技術(shù)特別類(lèi)似：進(jìn)程隔離：確保應(yīng)用之間不能訪問(wèn)對(duì)方空間，甚至連操作系統(tǒng)本身也無(wú)法做到，它是由nexus建立并維護(hù)的，由硬件供應(yīng)支持；密封存儲(chǔ)：包含認(rèn)證機(jī)制的加密保護(hù)，即只有可信的應(yīng)用，或由可信應(yīng)用委任的其他實(shí)體才可以訪問(wèn)該信息；平安通路:在輸入輸出和nexus之間建立基于硬件的平安通道，惡意代碼無(wú)法對(duì)輸入輸出數(shù)據(jù)進(jìn)行刺探，或進(jìn)行模擬及篡改；可驗(yàn)證性：平臺(tái)的相互認(rèn)證機(jī)制，同時(shí)也可以鑒別遠(yuǎn)程或本地平臺(tái)軟硬件配置及應(yīng)用的可信。國(guó)內(nèi)相關(guān)討論及實(shí)踐早在1999年，國(guó)內(nèi)廠商就對(duì)終端平安做過(guò)相關(guān)討論和嘗試，其中有代表性的是依托武漢高校技術(shù)力氣的武漢瑞達(dá)科技，它們獨(dú)立進(jìn)行了“平安計(jì)算機(jī)”的體系機(jī)構(gòu)和關(guān)鍵技術(shù)的討論和實(shí)踐，同TCG的思路特別相像，瑞達(dá)提出的技術(shù)框架也是在主板上增加平安掌握芯片以及從BIOS入手來(lái)增加平臺(tái)的平安性，不同的是沒(méi)有引入內(nèi)涵更為豐富的可信機(jī)制。在硬件的設(shè)計(jì)和實(shí)踐上瑞達(dá)先后推出了幾個(gè)版本的原型樣機(jī)，在這個(gè)領(lǐng)域積累了豐富的閱歷。聯(lián)想是領(lǐng)先加入TCG的國(guó)內(nèi)廠家，在PC整機(jī)設(shè)計(jì)制造方面有著豐富的閱歷，同時(shí)它們還和英特爾公司合作成立了聯(lián)合試驗(yàn)室討論可信計(jì)算技術(shù)，并且有望在將來(lái)的PC平臺(tái)生產(chǎn)上采納LT技術(shù)。同時(shí)，一些軍事科研單位采用當(dāng)前可信計(jì)算平臺(tái)討論的大環(huán)境，依據(jù)軍事信息系統(tǒng)的實(shí)際需求對(duì)可信計(jì)算平臺(tái)體系結(jié)構(gòu)和實(shí)現(xiàn)框架作了深化的討論。一些院校也成立了體系結(jié)構(gòu)試驗(yàn)室，主要討論可信計(jì)算平臺(tái)上的平安操作系統(tǒng)的實(shí)現(xiàn)等。對(duì)于終端平安及可信計(jì)算技術(shù)的討論和實(shí)踐，可以說(shuō)我們并沒(méi)有落后國(guó)外多少，我們應(yīng)當(dāng)采用這個(gè)大好時(shí)機(jī)，結(jié)合我們的國(guó)情和實(shí)際應(yīng)用需求，充分借鑒TCG提出的各種先進(jìn)技術(shù)和思想，構(gòu)建我們自己的可信計(jì)算平臺(tái)。因此要構(gòu)建可信計(jì)算平臺(tái)，就必需引入獨(dú)立的可信硬件，它是可信計(jì)算平臺(tái)的基礎(chǔ)?？尚庞布膶?shí)現(xiàn)方式一般采納獨(dú)立CPU設(shè)計(jì)的片上系統(tǒng)，這樣更能保證其獨(dú)立性和平安性，同時(shí)輔以外部掌握規(guī)律和平安通信合同。作為可信計(jì)算平臺(tái)的基礎(chǔ)部件，可信硬件自身的保護(hù)措施也是相當(dāng)嚴(yán)格的，涉及到命令合同的設(shè)計(jì)，算法的實(shí)現(xiàn)，存儲(chǔ)部件的愛(ài)護(hù)等。除此之外，硬件的實(shí)現(xiàn)還要考慮各種固件的可信設(shè)計(jì)，這里面主要指對(duì)BIOS和各種ROM代碼的改進(jìn)。任何平安系統(tǒng)都離不開(kāi)密碼技術(shù)，而基于硬件的密碼技術(shù)更是可信硬件平臺(tái)的基礎(chǔ)。它包括身份認(rèn)證中的簽名，數(shù)據(jù)保護(hù)中的對(duì)稱(chēng)鑰加密，以及密鑰管理中的公鑰加密等。在實(shí)現(xiàn)上，它將融入到可信硬件內(nèi)部的設(shè)計(jì)中，比方公鑰協(xié)處理器，隨機(jī)數(shù)發(fā)生器等；上層操作系統(tǒng)的平安功能也將很大程度上依靠密碼技術(shù)。可信計(jì)算平臺(tái)的核心TCG法律規(guī)范是獨(dú)立于操作系統(tǒng)的，這也是TCG提出的可信計(jì)算平臺(tái)最大的缺乏，應(yīng)當(dāng)意識(shí)到，高平安等級(jí)的操作系統(tǒng)才是可信計(jì)算平臺(tái)的核心，否那么，再平安牢靠的平臺(tái)也發(fā)揮不了作用。TCG法律規(guī)范反而給我們留下了一個(gè)機(jī)會(huì)，由于Linux的快速進(jìn)展給我們國(guó)家研發(fā)自主的操作系統(tǒng)帶來(lái)了歷史性機(jī)遇，我們應(yīng)充分發(fā)揮現(xiàn)有的優(yōu)勢(shì)，借可信計(jì)算的東風(fēng)，將可信計(jì)算技術(shù)和操作系統(tǒng)技術(shù)很好地融和起來(lái)，構(gòu)造自主產(chǎn)權(quán)的高等級(jí)的平安操作系統(tǒng)。構(gòu)筑高平安等級(jí)的操作系統(tǒng)，首先要考慮應(yīng)用環(huán)境，高平安等級(jí)的操作系統(tǒng)并不是一個(gè)單純的操作系統(tǒng)，而是一個(gè)體系，應(yīng)當(dāng)包括各種應(yīng)用工具，編譯環(huán)境，開(kāi)發(fā)環(huán)境等。還要熟悉到高平安等級(jí)的操作系統(tǒng)對(duì)應(yīng)的是高平安等級(jí)的應(yīng)用系統(tǒng)。此外，如何表達(dá)可信機(jī)制，如何充分采用可信硬件的功能，為上層應(yīng)用供應(yīng)可信服務(wù)和功能調(diào)用等，都是要在設(shè)計(jì)時(shí)需要考慮的問(wèn)題。主要思路及方法可信計(jì)算平臺(tái)的基礎(chǔ)：TCG中可信計(jì)算平臺(tái)的核心是TPM,它是整個(gè)平臺(tái)的信任基礎(chǔ)，而無(wú)論從LT技術(shù)還是從微軟的NGSCB方案來(lái)看都離不開(kāi)平安硬件的支持。信任鏈的傳遞是表達(dá)可信的重要手段，它是可信計(jì)算平臺(tái)的核心機(jī)制。但應(yīng)當(dāng)看到TCG提出信任鏈傳遞是建立在國(guó)外社會(huì)信任體制及證書(shū)體系特別健全的前提下，而證書(shū)又是建立在公鑰基礎(chǔ)設(shè)施之上，目前而言并不符合國(guó)內(nèi)實(shí)際狀況，因此，需要新的實(shí)現(xiàn)方式來(lái)表達(dá)這種信任的傳遞。信任鏈的傳遞可以分為兩個(gè)主要階段，首先是從平臺(tái)的加電開(kāi)頭到操作系統(tǒng)裝載完畢，接著是從操作系統(tǒng)開(kāi)頭運(yùn)行以及應(yīng)用系統(tǒng)的運(yùn)行，第一階段信任鏈?zhǔn)菃蜗虻?，而進(jìn)入多任務(wù)環(huán)境下，應(yīng)用的運(yùn)行是隨機(jī)的，信任鏈也成為發(fā)散的樹(shù)形，因此實(shí)現(xiàn)的難點(diǎn)就在于如何在多任務(wù)環(huán)境下，應(yīng)用的運(yùn)行能夠始終保持平臺(tái)的可信狀態(tài)。詳細(xì)的實(shí)現(xiàn)中，在第一個(gè)階段可以借助簡(jiǎn)潔的完整性驗(yàn)證手段，在其次個(gè)階段可以和詳細(xì)的平安規(guī)章相結(jié)合，對(duì)不同的主客體定義詳細(xì)的信任等級(jí)，在傳遞過(guò)程中依據(jù)定義的規(guī)章進(jìn)行平臺(tái)狀態(tài)的轉(zhuǎn)換。這里就涉及到應(yīng)用的可信度問(wèn)題，并且在應(yīng)用程序的調(diào)度過(guò)程中也需要考慮進(jìn)程間的切換給平臺(tái)狀態(tài)帶來(lái)的影響，以及如何處理影響?？尚庞?jì)算需要引導(dǎo)與支持：可信引導(dǎo)是在可信計(jì)算平臺(tái)上建立可信環(huán)境的必要條件，只有引導(dǎo)過(guò)程是可信的，才能保證后面建立起來(lái)的環(huán)境是可信的。可信環(huán)境的建立是一個(gè)連續(xù)的過(guò)程，任何一個(gè)環(huán)節(jié)的漏洞都會(huì)導(dǎo)致整個(gè)系統(tǒng)擔(dān)憂全。一般的可信引導(dǎo)過(guò)程的設(shè)計(jì)應(yīng)當(dāng)保證在操作系統(tǒng)裝載之前的平臺(tái)運(yùn)行環(huán)境是可信的，包括對(duì)硬件配置信息的驗(yàn)證，每個(gè)環(huán)節(jié)運(yùn)行的固件或程序的驗(yàn)證，以及MBR、操作系統(tǒng)裝載程序和操作系統(tǒng)內(nèi)核本身的全都性進(jìn)行驗(yàn)證?？尚庞?jì)算環(huán)境除了平臺(tái)本身的可信不被破壞之外，對(duì)可信應(yīng)用的支持也是必不行少的，它表達(dá)了“自身強(qiáng)壯，關(guān)心別人”的思路。這其中主要包括如何在操作系統(tǒng)一層供應(yīng)體現(xiàn)可信機(jī)制的功能調(diào)用和在應(yīng)用層對(duì)可信應(yīng)用供應(yīng)的各種系統(tǒng)可信服務(wù)，在實(shí)現(xiàn)上可以從操作系統(tǒng)內(nèi)核和應(yīng)用兩個(gè)層次來(lái)供應(yīng)相應(yīng)的軟件支持。應(yīng)用還需因地制宜：可信計(jì)算平臺(tái)要解決應(yīng)用系統(tǒng)的平安問(wèn)題就必需面對(duì)詳細(xì)的應(yīng)用環(huán)境?？梢韵葟墓ぷ髁鞒滔鄬?duì)固定的生產(chǎn)型系統(tǒng)開(kāi)頭，比方在電子政務(wù)的實(shí)施中分析詳細(xì)政務(wù)部門(mén)的工作流程和平安需求，充分發(fā)揮可信計(jì)算平臺(tái)的優(yōu)勢(shì)，取得肯定閱歷后再推廣到其他部門(mén)或機(jī)構(gòu)。高平安等級(jí)的操作系統(tǒng)要協(xié)作高平安等級(jí)的應(yīng)用系統(tǒng)，開(kāi)發(fā)出可信的應(yīng)用系統(tǒng)正是為了迎合這種需求，同時(shí)也是為了最大限度地發(fā)揮可信計(jì)算平臺(tái)的優(yōu)勢(shì)。開(kāi)發(fā)可信應(yīng)用面臨兩個(gè)主要問(wèn)題：一是如何結(jié)合詳細(xì)的應(yīng)用環(huán)境來(lái)采用可信計(jì)算平臺(tái)的功能；二是如何定義可信應(yīng)用，比方可以從應(yīng)用的開(kāi)發(fā)過(guò)程來(lái)衡量應(yīng)用系統(tǒng)的可信度，或采用CC標(biāo)準(zhǔn)來(lái)對(duì)應(yīng)用系統(tǒng)進(jìn)行評(píng)估。應(yīng)當(dāng)看到信息平安要立足于終端，從源頭抓起，才能從根本上解決平安問(wèn)題，同時(shí)信息平安也要和應(yīng)用系統(tǒng)緊密結(jié)合，才能做到有的放矢，真正有效地滿意我們國(guó)家各行業(yè)的迫切需求。目前我們國(guó)家的信息平安建設(shè)正處在一個(gè)關(guān)鍵時(shí)期，也面臨一個(gè)大好的進(jìn)展時(shí)期，我們必需把握住正確的討論方向，制定相應(yīng)的進(jìn)展戰(zhàn)略，走符合我們國(guó)家國(guó)情的進(jìn)展道路；要緊密關(guān)注國(guó)際趨勢(shì)，充分采用國(guó)際先進(jìn)技術(shù)，大力進(jìn)展自主產(chǎn)權(quán)芯片技術(shù)和高平安等級(jí)操作系統(tǒng)，促進(jìn)我們國(guó)家信息平安事業(yè)的進(jìn)展。.用ping測(cè)試網(wǎng)絡(luò)的連通性三、試驗(yàn)心得通過(guò)這個(gè)試驗(yàn)，關(guān)心我們把握了虛擬機(jī)的安裝，Windows的安裝，以及虛擬機(jī)的網(wǎng)絡(luò)互聯(lián)，我們以后會(huì)在虛擬機(jī)中進(jìn)一步了解其他的網(wǎng)絡(luò)平安試驗(yàn)，關(guān)心我們?yōu)橐院蟮脑囼?yàn)制造一個(gè)平安的平臺(tái)。四、試驗(yàn)反應(yīng)試驗(yàn)中由于剛剛接觸VMwareWorkstation,并不嫻熟在安裝應(yīng)用時(shí)花費(fèi)了較長(zhǎng)的時(shí)間。試驗(yàn)二：TCP,UDP端口掃描一、試驗(yàn)?zāi)康?了解常用的TCP、UDP端口掃描的原理及其各種手段.把握sniffer等網(wǎng)絡(luò)嗅探工具的使用二、試驗(yàn)內(nèi)容sniffer安裝步驟：.雙擊snifferpro.exe.進(jìn)入installshieldwizard.提取文件后單擊Next連續(xù)安裝，接下來(lái)是軟件許可合同yes。.填入名字公司.選擇安裝路徑.安裝文件.sniffer用戶注冊(cè)填入serialnumber.選擇直連internet.用戶注冊(cè)完成完成后.sniffer的releasenote文件就會(huì)消失.重啟計(jì)算機(jī).翻開(kāi)sniffer時(shí)會(huì)要求選擇網(wǎng)卡選擇后確定進(jìn)入軟件sniffer的應(yīng)用：了解常用的TCP、UDP端口掃描的原理及其各種手段UDP（用戶數(shù)據(jù)報(bào)合同）簡(jiǎn)介UDP合同是英文UserDatagramProtocol的縮寫(xiě)，即用戶數(shù)據(jù)報(bào)合同，主要用來(lái)支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)在內(nèi)的眾多的客戶/服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用UDP合同。UDP合同從問(wèn)世至今已經(jīng)被使用了很多年，雖然其最初的光榮已經(jīng)被一些類(lèi)似合同所掩蓋，但是即使是在今日，UDP仍舊不失為一項(xiàng)特別有用和可行的網(wǎng)絡(luò)傳輸層合同。與我們所熟知的TCP（傳輸掌握合同）合同一樣，UDP合同直接位于IP（網(wǎng)際合同）合同的頂層。依據(jù)0SI（開(kāi)放系統(tǒng)互連）參考模型，UDP和TCP都屬于傳輸層合同。UDP合同不供應(yīng)端到端確實(shí)認(rèn)和重傳功能，它不保證信息包肯定能到達(dá)目的地，因此稱(chēng)為不行靠合同。TCP（傳輸掌握合同）簡(jiǎn)介T(mén)CP是TCP/IP合同棧中的傳輸層合同，TCP稱(chēng)為面對(duì)字節(jié)流連接的和牢靠的傳輸層合同。它給IP合同供應(yīng)了面對(duì)連接的和牢靠的服務(wù)。TCP與UDP不同，它允許發(fā)送和接收字節(jié)流形式的數(shù)據(jù)。為了使服務(wù)器和客戶端以不同的速度產(chǎn)生和消費(fèi)數(shù)據(jù)，TCP供應(yīng)了發(fā)送和接收兩個(gè)緩沖區(qū)。TCP供應(yīng)全雙工服務(wù)，數(shù)據(jù)同時(shí)能雙向流淌。每一方都有發(fā)送和接收兩個(gè)緩沖區(qū)，可以雙向發(fā)送數(shù)據(jù)。TCP在字節(jié)上加上一個(gè)遞進(jìn)確實(shí)認(rèn)序列號(hào)來(lái)告知接收者發(fā)送者期望收到的下一個(gè)字節(jié)，假如在規(guī)定時(shí)間內(nèi)，沒(méi)有收到關(guān)于這個(gè)包確實(shí)認(rèn)響應(yīng)，重新發(fā)送此包，這保證了TCP是一種牢靠的傳輸層合同。初次監(jiān)聽(tīng)捕獲三、試驗(yàn)心得sniffer是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)分析軟件，有捕獲解碼網(wǎng)絡(luò)上的數(shù)據(jù)，分析具有特地的合同的網(wǎng)絡(luò)活動(dòng)，生成并顯示關(guān)于網(wǎng)絡(luò)活動(dòng)的統(tǒng)計(jì)結(jié)果，進(jìn)行網(wǎng)絡(luò)力量的類(lèi)型分析等強(qiáng)大功能。我們使用sniffer可以關(guān)心我們?nèi)ゲ檎揖W(wǎng)絡(luò)中的錯(cuò)誤并進(jìn)行分析有利于更加便利的管理網(wǎng)絡(luò)。四、試驗(yàn)反應(yīng)由于用的是sniffer英文版，又是第一次接觸sniffer,所以在操作方面很不嫻熟，很多功能都沒(méi)有實(shí)現(xiàn)，以后會(huì)常常使用嫻熟把握sniffer工具。試驗(yàn)三：口令破解與嗅探一、試驗(yàn)?zāi)康耐ㄟ^(guò)密碼破解工具的使用，了解帳號(hào)口令的平安性，把握平安口令的設(shè)置原那么，以保護(hù)帳號(hào)口令的平安。二、試驗(yàn)內(nèi)容使用L0phtCrack5破解windows密碼在虛擬機(jī)中給windows系統(tǒng)管理員創(chuàng)立一個(gè)簡(jiǎn)潔密碼為123.點(diǎn)我的電腦-》掌握面板-》用戶帳戶.點(diǎn)要更改的用戶.把密碼更改成123.翻開(kāi)lc5.02容笑漢化精簡(jiǎn)版.可以看到目前主機(jī)中的用戶信息和認(rèn)證口令可以通過(guò)LC5直接查看到administration的弱口令123密碼破解的防護(hù)由于口令簡(jiǎn)潔很簡(jiǎn)潔被破解，我們就需要對(duì)密碼破解進(jìn)行防護(hù)通過(guò)網(wǎng)絡(luò)調(diào)研，了解syskey功能及其所能實(shí)現(xiàn)的帳號(hào)保護(hù)（一）、雙重密碼保護(hù)的設(shè)置.在開(kāi)頭菜單的“運(yùn)行”中輸入“syskey”，點(diǎn)擊確定。.這個(gè)界面所提到的帳戶數(shù)據(jù)庫(kù)便是NTFS加密的原理所在，對(duì)于我們一般用戶，不需要去討論原理，我們只要會(huì)用就好。下一步點(diǎn)擊“更新”。.這里我們選擇密碼啟動(dòng)，輸入一個(gè)密碼,然后點(diǎn)擊確定。這樣做將使WINXP在啟動(dòng)時(shí)需要多輸入一次密碼，起到了2次加密的作用。操作系統(tǒng)啟動(dòng)時(shí)在

平常我們輸入用戶名和密碼之前會(huì)消失窗口提示“本臺(tái)計(jì)算機(jī)需要密碼才能啟動(dòng)，請(qǐng)輸入啟動(dòng)密碼”。這便是我們剛剛制造的第一重密碼保護(hù)。二、密碼軟盤(pán)的制作1.假如我們選擇”在軟盤(pán)上保存啟動(dòng)密碼”，這樣將生成一個(gè)密碼軟盤(pán)，沒(méi)有這張軟盤(pán)，誰(shuí)也別想進(jìn)入你的操作系統(tǒng)。當(dāng)然，假如你之前設(shè)置了syskey系統(tǒng)啟動(dòng)密碼，這里還會(huì)需要你再次輸入那個(gè)密碼的，以獲得相應(yīng)的授權(quán)，這有點(diǎn)類(lèi)似我們?cè)诟腝Q密碼的時(shí)候，必需要知道原來(lái)的密碼一樣。.然后系統(tǒng)會(huì)提示你在軟驅(qū)中放入軟盤(pán)，當(dāng)密碼軟盤(pán)生成后會(huì)消失提示。.然后我們?cè)俅螁?dòng)系統(tǒng)，這時(shí)系統(tǒng)會(huì)提示你插入密碼軟盤(pán)，假如你不插入軟盤(pán)就點(diǎn)擊確定，系統(tǒng)是不會(huì)給你放行的。插入密碼軟盤(pán)，依據(jù)不同帳戶，輸入不同的密碼。同時(shí)假如你情愿，密碼軟盤(pán)中的密匙文件是可以復(fù)制到其他軟盤(pán)上的。三、去除密碼軟盤(pán)的高平安性要求假如有一天，你對(duì)操作系統(tǒng)的平安性要求不那么高了，而你也厭煩了每次進(jìn)入系統(tǒng)都需要插入軟盤(pán)，怎么辦？選擇“在本機(jī)上保存啟動(dòng)密碼”就可以了,當(dāng)然，進(jìn)行這一步操作你必需要有存有密匙的軟盤(pán)，這與密碼軟盤(pán)制作時(shí)要求輸入授權(quán)密碼是一個(gè)道理的。通過(guò)網(wǎng)絡(luò)調(diào)研,了解windows通過(guò)網(wǎng)絡(luò)調(diào)研,了解windows平安策略,嘗試設(shè)置不同的平安策略掌握面板，管理工具，本地平安策略在里面選擇對(duì)應(yīng)的一些平安策略:對(duì)密碼長(zhǎng)度設(shè)成8最長(zhǎng)存留時(shí)間變成15天把簡(jiǎn)單性開(kāi)啟通過(guò)設(shè)置“任務(wù)”中的從sniffer導(dǎo)入選項(xiàng)，小組協(xié)作嘗試嗅探網(wǎng)絡(luò)中傳輸?shù)拿艽a口令在LC5中點(diǎn)擊會(huì)話-》從sniffer中導(dǎo)入（在導(dǎo)入之前要先安裝/一—???WxxxFuap_4_O_2.exe,WlnFuap4?O?2xn...winpcap_7CACE—i）然后選擇去捕獲的網(wǎng)絡(luò)適配器，然后開(kāi)頭捕獲開(kāi)頭嗅探三、試驗(yàn)心得我們?cè)谑褂貌僮飨到y(tǒng)和一些應(yīng)用軟件時(shí)應(yīng)當(dāng)多留意密碼保護(hù)問(wèn)題，常常更換密碼，盡量多的使用符號(hào)字母。四、試驗(yàn)反應(yīng)通過(guò)網(wǎng)絡(luò)對(duì)syskey和本地平安策略的學(xué)習(xí)使我們把握了一些對(duì)windows平安有了更深入化的了解。試驗(yàn)四：設(shè)置平安PC終端一、試驗(yàn)?zāi)康耐ㄟ^(guò)試驗(yàn)把握windows帳號(hào)與密碼的平安設(shè)置、文件系統(tǒng)的保護(hù)和加密、平安策略與平安模板的使用、審核和日志啟用、本機(jī)漏洞檢測(cè)軟件MBSA的使用，建立一個(gè)windows操作系統(tǒng)的基本平安框架。二、試驗(yàn)內(nèi)容1）刪除不再使用的帳號(hào)，禁用guest帳號(hào)。在掌握面板中雙擊［用戶帳戶］進(jìn)入如下界面：假如我們不想再使用temp賬號(hào)，可以單擊它進(jìn)入：點(diǎn)擊刪除帳戶：禁用Guest賬戶選擇禁用來(lái)賓賬戶2）通過(guò)網(wǎng)絡(luò)調(diào)研，了解windows賬戶策略，嘗試設(shè)置不同的賬戶策略。進(jìn)入:掌握面板。管理工具->本地平安策略->賬戶策略后我們看到賬戶策略分為密碼策略和賬戶鎖定策略，在里面可以設(shè)置密碼簡(jiǎn)單度最小長(zhǎng)度存留期嘗試次數(shù)等平安策略.賬戶鎖定策略可以有效防止枚舉用戶名3）用加密軟件EFS加密硬盤(pán)數(shù)據(jù)a）掌握面板，用戶和密碼，創(chuàng)立新用戶“newuser”b）翻開(kāi)磁盤(pán)格式為NTFS的磁盤(pán)，選擇需要進(jìn)行加密的文件夾，如"C:\DocumentsandSettings\Administrator\桌面\1.txt”，文件夾右鍵，屬性，常規(guī)，高級(jí)，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”C）重啟，更換用戶觀看效果關(guān)于EFS加密：EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK（FileEncryptionKey,文件加密鑰匙），然后將采用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)立加密后的文件，并把它存儲(chǔ)到硬盤(pán)上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)采用你的公鑰加密FEK,并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問(wèn)被加密的文件時(shí)，系統(tǒng)首先采用當(dāng)前用戶的私鑰解密FEK,然后采用FEK解密出文件。在首次使用EFS時(shí)，假如用戶還沒(méi)有公鑰/私鑰對(duì)（統(tǒng)稱(chēng)為密鑰），那么會(huì)首先生成密鑰，然后加密數(shù)據(jù)。假如你登錄到了域環(huán)境中，密鑰的生成依靠于域掌握器，否那么依靠于本地機(jī)器。EFS加密系統(tǒng)對(duì)用戶是透亮的。這也就是說(shuō)，假如你加密了一些數(shù)據(jù)，那么你對(duì)這些數(shù)據(jù)的訪問(wèn)將是完全允許的，并不會(huì)受到任何限制。而其他非授權(quán)用戶試圖訪問(wèn)加密過(guò)的數(shù)據(jù)時(shí)，就會(huì)收至廣訪問(wèn)拒絕”的錯(cuò)誤提示。EFS加密的用戶驗(yàn)證過(guò)程是在登錄Windows時(shí)進(jìn)行的，只要登錄到Windows,就可以翻開(kāi)任何一個(gè)被授權(quán)的加密文件。4）啟用審核和日志查看a）翻開(kāi)審核策略掌握面板，管理工具，本地平安策略,本地策略，審核策略：翻開(kāi)審核策略我們可能通過(guò)審核策略來(lái)指定哪些大事將被寫(xiě)進(jìn)系統(tǒng)日志，這有助于管理員分析網(wǎng)絡(luò)上一些資源的訪問(wèn)行為，對(duì)用戶和系統(tǒng)行為進(jìn)行檢查，可以分析對(duì)網(wǎng)絡(luò)資源授權(quán)和未知的訪問(wèn)。我們可能通過(guò)域范圍的審核策略來(lái)保護(hù)用戶網(wǎng)絡(luò)資源和系統(tǒng)。b）查看大事日志掌握面板。管理工具-＞大事查看器：查看日志5）采用MBSA檢查和配置系統(tǒng)平安關(guān)于MBSAMicrosoftBaselineSecurityAnalyzer（MBSA）工具允許用戶掃描一臺(tái)或多臺(tái)基于Windows的計(jì)算機(jī)，以覺(jué)察常見(jiàn)的平安方面的配置錯(cuò)誤。MBSA將掃描基于Windows的計(jì)算機(jī),并檢查操作系統(tǒng)和已安裝的其他組件（如：InternetInformationServices（IIS）和SQLServer）,以覺(jué)察平安方面的配置錯(cuò)誤，并準(zhǔn)時(shí)通過(guò)推舉的平安更新進(jìn)行修補(bǔ)。三、思索題將平安策略制成平安模版運(yùn)行:mmc添加平安模版管理單元右鍵選擇:新加模版配置后保存：通過(guò)組策略調(diào)用模版：四、試驗(yàn)心得通過(guò)這個(gè)試驗(yàn)，讓我們對(duì)WINDOWS自身的平安設(shè)置有了多方面的了解.其中包括賬戶平安，文件平安，日志紀(jì)錄，漏洞檢測(cè)，平安策略.使我們能夠在不借助其他平安工具的狀況下建立一個(gè)WINDOWS操作系統(tǒng)的基本平安框架。五、試驗(yàn)反應(yīng)在日志查看反面,沒(méi)有經(jīng)過(guò)訓(xùn)練的我們很難看懂那些紀(jì)錄.擴(kuò)展題分析“可信計(jì)算”面對(duì)終端假如信息系統(tǒng)中每一個(gè)使用者都是經(jīng)過(guò)認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么就不會(huì)產(chǎn)生攻擊性的事故，就能保證整個(gè)信息系統(tǒng)的平安。這是不需要證明的公理。終端平安思想從以上公理動(dòng)身就不難得出：從終端平安入手才能更好地解決整個(gè)信息系統(tǒng)的平安問(wèn)題。早在九十年月初，沈昌祥院士就認(rèn)為應(yīng)當(dāng)從終端來(lái)解決信息系統(tǒng)的平安問(wèn)題，后來(lái)提出了“三縱三橫兩個(gè)中心”的信息平安技術(shù)保障框架（見(jiàn)沈院士的《對(duì)當(dāng)前信息平安系統(tǒng)的反思》一文）。而在工作流程相對(duì)固定的生產(chǎn)系統(tǒng)中，信息系統(tǒng)主要由應(yīng)用操作、共享服務(wù)和網(wǎng)絡(luò)通信三個(gè)環(huán)節(jié)組成，假如信息系統(tǒng)中每一個(gè)使用者都是經(jīng)過(guò)認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，網(wǎng)絡(luò)也不會(huì)被竊聽(tīng)和插入，那么就不會(huì)產(chǎn)生攻擊性的事故，就能保證整個(gè)信息系統(tǒng)的平安。只有立足于終端，從源頭抓起，才能構(gòu)筑起全面高效的平安防護(hù)系統(tǒng)?？尚庞?jì)算平臺(tái)在1999年，由包括Intel、惠普、康柏、微軟、舊M在內(nèi)的業(yè)界大公司牽頭，成立了可信計(jì)算平臺(tái)聯(lián)盟（TCPA）。并提出了“可信計(jì)算”（trustedcomputing）的概念，其主要思路是增加現(xiàn)有PC終端體系結(jié)構(gòu)的平安性，并推廣為工業(yè)法律規(guī)范，采用可信計(jì)算技術(shù)來(lái)構(gòu)建通用的終端硬件平臺(tái)。TCPA聯(lián)盟在2003年改組為T(mén)CG組織，成員也擴(kuò)大為200多個(gè)，遍布全球各大洲?？梢哉f(shuō)表達(dá)終端平安思想的“可信計(jì)算”已經(jīng)成為當(dāng)前信息平安進(jìn)展的趨勢(shì)?！翱尚庞?jì)算”的概念由TCG提出，但并沒(méi)有一個(gè)明確的定義，而且聯(lián)盟內(nèi)部的各大廠商對(duì)“可信計(jì)算”的理解也不盡相同。其主要思路是在PC機(jī)硬件平臺(tái)上引入平安芯片架構(gòu),通過(guò)供應(yīng)的平安特性來(lái)提高終端系統(tǒng)的平安性?！翱尚庞?jì)算”可以從幾個(gè)方面來(lái)理解：用戶的身份認(rèn)證，這是對(duì)使用者的信任；平臺(tái)軟硬件配置的正確性，這表達(dá)了使用者對(duì)平臺(tái)運(yùn)行環(huán)境的信任；應(yīng)用程序的完整性和合法性，表達(dá)了應(yīng)用程序運(yùn)行的可信；以及平臺(tái)之間的可驗(yàn)證性，指網(wǎng)絡(luò)環(huán)境下平臺(tái)之間的相互信任?！翱尚庞?jì)算平臺(tái)”是采納“可信計(jì)算”技術(shù)的終端平臺(tái)架構(gòu)。TCG認(rèn)為假如從一個(gè)初始的“信任根”動(dòng)身，在平臺(tái)計(jì)算環(huán)境的每一次轉(zhuǎn)換時(shí)，這種信任狀態(tài)可以通過(guò)傳遞的方式保持下去不被破壞，那么平臺(tái)上的計(jì)算環(huán)境始終是可信的，在可信環(huán)境下的各種操作也不會(huì)破壞平臺(tái)的可信，平臺(tái)本身的完整性得到保證，終端平安自然也得到了保證，這就是信任鏈的傳遞機(jī)制。“可信計(jì)算”技術(shù)的核心是稱(chēng)為T(mén)PM（可信平臺(tái)模塊）的平安芯片。TPM實(shí)際上是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的小型片上系統(tǒng)，以TPM為基礎(chǔ)，可信機(jī)制主要通過(guò)三個(gè)方面來(lái)表達(dá)：可信的度量：任何將要獲得掌握權(quán)的實(shí)體，都需要先對(duì)該實(shí)體進(jìn)行度量，主要是指完整性值的計(jì)算。從平臺(tái)加電開(kāi)頭，直到運(yùn)行環(huán)境的建立，這個(gè)過(guò)程就始終在進(jìn)行；度量的存儲(chǔ)：全部度量值將形成一個(gè)序列，并保存在TPM中，同時(shí)還包括度量過(guò)程日志的存儲(chǔ);度量的報(bào)告：對(duì)平臺(tái)是否可信的詢問(wèn)正是通過(guò)“報(bào)告”機(jī)制來(lái)完成的，任何需要知道平臺(tái)狀態(tài)的實(shí)體需要讓TPM報(bào)告它這些度量值和相關(guān)日志信息，這個(gè)過(guò)程需要詢問(wèn)實(shí)體和平臺(tái)之間進(jìn)行雙向的認(rèn)證。假如平臺(tái)的可信環(huán)境被破壞了，詢問(wèn)者有權(quán)拒絕與該平臺(tái)的交互或向該平臺(tái)供應(yīng)服務(wù)。可信計(jì)算技術(shù)非一支獨(dú)秀早在1996年就有基于可信引導(dǎo)和可信恢復(fù)的討論，通過(guò)將終端結(jié)構(gòu)層次化，而引入層次間的完整性驗(yàn)證機(jī)制，TCG中關(guān)于引導(dǎo)過(guò)程的可信可以說(shuō)借鑒了其中的思想。另一種可信計(jì)算的硬件實(shí)現(xiàn)，主要是基于對(duì)終端CPU結(jié)構(gòu)的改進(jìn)，它引入平安上下文管理和內(nèi)存的全都性校驗(yàn)機(jī)制來(lái)保護(hù)終端上的進(jìn)程執(zhí)行和進(jìn)程間隔離。此外，還有很多純軟件的虛擬機(jī)方式實(shí)現(xiàn)可信計(jì)算以及純硬件的平安協(xié)處理器的討論?？梢?jiàn)，TCG在提出可信計(jì)算時(shí)也從中吸取了很多有用的技術(shù)和閱歷，并加以綜合充實(shí)，從而形成一整套完整的技術(shù)框架。LT技術(shù)：LT技術(shù)是英特爾公司