Windows安全模板配置4學時

1、精選優(yōu)質文檔-傾情為你奉上網絡安全實驗指導書課 程 號：適用專業(yè)：計算機網絡專業(yè)制 定 人：教 研 室：計算機網絡研室 信息技術系2009 年9 月目 錄實驗1 利用軟件動態(tài)分析技術破解WinZip9.0（4學時）一、實驗目的 1理解軟件分析技術的原理。 2掌握常見動態(tài)分析工具的使用方法。 3利用動態(tài)分析工具Soft-ICE破解WinZip9.0。 二、實驗理論基礎 1軟件分析技術 軟件分析技術一般分為靜態(tài)分析技術和動態(tài)分析技術兩種。靜態(tài)分析是從反匯編出來的程序清單上分析，從提示信息入手，了解軟件的編程思路，以便順利破解。動態(tài)分析是指利用動態(tài)分析工具一步一步地單步執(zhí)行軟件，進行破解。 2動態(tài)分

2、析的步驟首先對軟件進行粗跟蹤。即每次遇到調用CALL指令、重復操作指令REP、循環(huán)操作LOOP指令以及中斷調用INT指令等，尸般不要跟蹤進去，而是根據執(zhí)行結果分析該段程序的功能。其次對關鍵部分進行細跟蹤。對軟件進行了一定程度的粗跟蹤之后，便可以獲取軟件中我們所關心的模塊或程序段，這樣就可以針對性地對該模塊進行具體而詳細地跟蹤分析。一般情況下，對關鍵代碼的跟蹤可能要反復進行若干次才能讀懂該程序，每次要把比較關鍵的中間結果或指令地址記錄下來，這樣會對下一次分析有很大的幫助。三、實驗內容 1安裝動態(tài)分析工具Soft-ICE。 2利用Soft-ICE破解WinZip9.0，使之成為注冊版本。四、實驗步

3、驟 1下載、安裝動態(tài)分析軟件Soft-ICE，并從“開始”菜單啟動Soft-ICE，熟悉其具體操作。 2啟動winzip9.0，彈出一個未注冊窗口，單擊按鈕“Enter Registration Code.”，出現注冊窗口。輸入自己想要的用戶名及任意注冊碼，如“”。 3使用快捷鍵【Ctrl+D】，調出Soft-ICE窗口。輸入命令“S 30:0 lffffffff ”,找到一個內存地址，在此內存地址處設斷點，然后回車。 4輸入命令“X”，回車退出Soft-ICE窗口。5單擊注冊窗口中的OK按鈕，Soft-ICE被再次激活。6按【F12】鍵，直至看到“TEST EAX，EAX”語句。在執(zhí)行到此語

4、句的上一個“CALL”時，按【F8】鍵進入。然后按【F10】鍵，執(zhí)行到“PUSH ESI”處時，輸入“D EAX”，在Soft-ICE的數據窗口中就可以看到注冊碼了。7退出Soft-ICE窗口，在WinZip9.0的注冊窗口中重新輸入用戶名及得到的注冊碼，單擊OK按鈕，即可注冊成功。8根據實驗過程中的記錄，寫出實驗報告。實驗2 Windows2000用戶賬戶的管理（2學時）一、實驗目的 要求學生掌握Windows2000用戶賬戶管理機制。二、實驗環(huán)境 要求每人一臺計算機，安裝Windows2000系統。三、實驗步驟 1寫出實驗方案。 2進行添加用戶賬號的操作，同時注意記錄每個步驟。 3輸入用戶

5、信息和進行用戶環(huán)境的設置。 4設置用戶登錄時間。 5進行限制用戶由某臺客戶機登錄的設置。 6設置賬戶的有效期限。 7創(chuàng)建用戶賬號后，根據需要對賬戶進行密碼重新設置、修改、重命名等操作。 8寫出實驗報告。實驗3 殺毒軟件的使用（2學時）一、實驗目的1了解殺毒軟件的工作原理。 2學習使用殺毒軟件檢測和清除病毒。二、實驗環(huán)境一臺計算機，安裝Windows98或WindowsNT2000XP。三、實驗內容使用KV2005、瑞星殺毒軟件2005版或Norton Antivirus 2005殺毒軟件的有關網絡殺毒功能檢測Windows NT2000XP網絡系統，將檢測步驟寫成實驗報告。實驗4 局域網攻擊與

6、防范（4學時）一、實驗目的 1理解網絡安全體系結構及設計原則。 2掌握常見的局域網攻擊方法及防范措施。 3了解各種嗅探器及監(jiān)聽軟件的使用方法。二、實驗理論基礎 網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡安全的因素很多，如系統存在的漏洞、系統安全體系的缺陷、使用人員薄弱的安全意識及管理制度等，諸多的原因使網絡安全面臨的威脅日益嚴重。 鑒于網絡安全威脅的多樣性、復雜性及網絡信息、數據的重要性，在設計網絡系統的安全時，應努力通過相應的手段達到以下5項安全目標：可靠性、可用性、保密性、完整性和抗抵賴性。三、實驗內容 1盡可能多的從各個方面發(fā)現基于Wi

7、ndows平臺的客戶機和服務器的各種安全隱患。 2對于各種安全隱患給出相應的防范技巧。四、實驗步驟 隱患一 攻擊：在“開始”一“運行”中輸入“計算機名或IP地址共享名concon”，可使對方計算機藍屏。此方法在遠程攻擊、本地攻擊和網頁中都可實現。 防范：關閉所有共享，下載并安裝微軟發(fā)布的補丁。 隱患二 攻擊：由于Windows 9x存在共享密碼校驗漏洞，因此，客戶端在發(fā)送口令認證數據包時，可以設置長度域為1。攻擊者僅僅需要猜測共享口令的第一個字節(jié)即可。利用此漏洞破解的軟件很多，如Netpass等。 防范：在不需要交換文件時，不要共享。重要的文件盡量拿磁盤來交換。及時下載并安裝微軟發(fā)布的補丁。確

8、實需要共享時，可在共享名后面加上符號“$”。 隱患三 攻擊：發(fā)送數據可令對方死機，如：輸入“ping- t 對方IP”，就可令對方藍屏或者癱瘓。此類工具有ICMP、藍雪等。 防范：加裝防火墻，防止別人用Ping命令探測即可。 隱患四 攻擊：盜用別人IP地址連入局域網，造成沖突。防范：方法有二。其一，服務器開啟DHCP動態(tài)主機配置協議服務，為客戶機自動分配臨時的IP地址。其二，捆綁MAC地址和IP地址，兩者如若不匹配，就無法上網。 隱患五 攻擊：利用嗅探器、監(jiān)聽軟件等截獲數據，此類軟件如Sniffer Pro、NetXray、ARPSniffer等。 防范：對傳輸的數據進行加密。 另外應該在不斷

9、的學習過程中發(fā)現并記錄其他的隱患及防范的方法。最后要寫出詳細的實驗報告。實驗5 配置瑞星個人防火墻（2學時） 一、實驗目的 1理解防火墻技術的原理。 2掌握瑞星個人防火墻的配置方法。 二、實驗理論基礎 防火墻(Firewall)是一種能將內部網和公眾網分開的方法。它能限制被保護的網絡與互聯網絡及其他網絡之間進行的信息存取、傳遞等操作。 瑞星防火墻個人版是一套由瑞星安全實驗室制作的給PC使用的網絡安全程序。它能夠根據系統管理者設定的安全規(guī)則把守網絡，提供強大的訪問控制、應用選通、信息過濾等功能。它可以幫助用戶抵擋網絡入侵和攻擊，防止信息泄露。 三、實驗內容 1下載并安裝瑞星防火墻個人版。 2配置

10、并使用瑞星防火墻個人版。 四、實驗步驟 1下載并安裝瑞星防火墻個人版。下載地址為瑞星安全陣線(http：wwwmixingcomcn)或相關網址。 2設置防火墻的安全級別為中。 3開啟“防御ICMP攻擊”規(guī)則。 4關閉“TCP數據包監(jiān)視”、“禁止互聯網上的機器使用我的共享資源”、“UDP數據包監(jiān)視”規(guī)則。 5Ping命令和通過共享資源使用服務器的資源，并查看防火墻日志。 6試改變防火墻的其他設置規(guī)則，了解防火墻的不同工作狀態(tài)。 7根據實驗過程中的記錄，寫出實驗報告。實驗6 黑客軟件的使用（4學時） 一、實驗目的 1了解常見的黑客攻擊方法。 2掌握常見黑客工具軟件的使用方法。 二、實驗理論基礎

11、黑客的攻擊手段多種多樣，常見的攻擊方法有口令攻擊、放置特洛伊木馬程序、Web欺騙技術、電子郵件攻擊、網絡監(jiān)聽、緩沖區(qū)溢出、端口掃描攻擊等。黑客進行攻擊時使用的工具大體可分為：木馬程序、掃描工具、破解工具、炸彈工具和安全防御工具等5類。 三、實驗內容 1下載并安裝各種黑客軟件。 2學習使用各種黑客軟件。 四、實驗步驟 1組建一個小型WindowsNT局域網，在其中一臺計算機中安裝“冰河”服務器端，另一臺計算機中安裝“冰河”客戶端。試用“冰河”的客戶端控制服務器端計算機。記錄實驗步驟。 2使用“流光”掃描遠程終端服務端口是否開放，記錄開放的端口號，分析可能的入侵方法。 3申請一個免費郵箱，記錄郵箱

12、用戶名及密碼。啟用“溯雪”和“黑雨”軟件，對郵箱進行破解。比較兩者破解的憂缺點。 4使用炸彈工具QuickFyre攻擊自己的免費郵箱，記錄攻擊效果。 5在安裝有“冰河”服務器端的計算機中，下載并安裝“木馬克星”，并對計算機進行掃描，記錄掃描及查殺結果。 6根據實驗過程中的記錄，寫出實驗報告。 實驗七 Windows安全模板配置 （4學時）一、實驗目的（1）通過實驗掌握安全策略與安全模板的使用二、實驗要求（1）掌握安全模板的管理和設置（2）按照模板配置各項安全屬性三、實驗原理"安全模板"是一種可以定義安全策略的文件表示方式，它能夠配置賬戶和本地策略、事件日志、受限組、文件系統

13、、注冊表以及系統服務等項目的安全設置。安全模板都以.inf格式的文本文件存在，用戶可以方便地復制、粘貼、導入或導出某些模板。此外，安全模板并不引入新的安全參數，而只是將所有現有的安全屬性組織到一個位置以簡化安全性管理，并且提供了一種快速批量修改安全選項的方法。 系統已經預定義了幾個安全模板以幫助加強系統安全，在默認情況下，這些模板存儲在"%Systemroot%SecurityTemplates"目錄下。它們分別是： 1.Compatws.inf 提供基本的安全策略，執(zhí)行具有較低級別的安全性但兼容性更好的環(huán)境。放松用戶組的默認文件和注冊表權限，使之與多數沒有驗證的應用程序的

14、要求一致。"Power Users"組通常用于運行沒有驗證的應用程序。 2.Hisec*.inf 提供高安全的客戶端策略模板，執(zhí)行高級安全的環(huán)境，是對加密和簽名作進一步限制的安全模板的擴展集，這些加密和簽名是進行身份認證和保證數據通過安全通道以及在SMB客戶機和服務器之間進行安全傳輸所必需的。 3.Rootsec.inf 確保系統根的安全，可以指定由Windows XP fessional所引入的新的根目錄權限。默認情況下，Rootsec.inf為系統驅動器根目錄定義這些權限。如果不小心更改了根目錄權限，則可利用該模板重新應用根目錄權限，或者通過修改模板對其他卷應用相同的根

15、目錄權限。 4.Secure*.inf 定義了至少可能影響應用程序兼容性的增強安全設置，還限制了LAN Manager和NTLM身份認證協議的使用，其方式是將客戶端配置為僅可發(fā)送NTLMv2響應，而將服務器配置為可拒絕LAN Manager的響應。5.Setupsecurity.inf 重新應用默認設置。這是一個針對于特定計算機的模板，它代表在安裝操作系統期間所應用的默認安全設置，其設置包括系統驅動器的根目錄的文件權限，可用于系統災難恢復。 以上就是系統預定義的安全模板，用戶可以使用其中一種安全模板，也可以創(chuàng)建自己需要的新安全模板。 四、實驗步驟1.管理安全模板 （1）安裝安全模板 安全模板文

16、件都是基于文本的.inf文件，可以用文本打開進行編輯，但是這種方法編輯安全模板太復雜了，所以要將安全模板載入到MMC控制臺，以方便使用。 依次點擊"開始"和"運行"按鈕，鍵入"mmc"并點擊"確定"按鈕就會打開控制臺節(jié)點； 點擊"文件"菜單中的"添加/刪除管理單元"，在打開的窗口中點擊"獨立"標簽頁中的"添加"按鈕； 在"可用的獨立管理單元"列表中選中"安全模板"，然后點擊"添加&quo

17、t;按鈕，最后點擊"關閉"，這樣安全模板管理單元就被添加到MMC控制臺中了。 為了避免退出后再運行MMC時每次都要重新載入，可以點擊"文件"菜單上的"保存"按鈕，將當前設置為保存。 （2）建立、刪除安全模板 將安全模板安裝到MMC控制臺后，就會看到系統預定義的那幾個安全模板，你還可以自己建立新的安全模板。 首先打開"控制臺根節(jié)點"列表中的"安全模板"，在存儲安全模板文件的文件夾上點擊鼠標右鍵，在彈出的快捷菜單中選擇"新加模板"，這樣就會彈出新建模板窗口，在"模板名稱

18、"中鍵入新建模板的名稱，在"說明"中，鍵入新模板的說明，最后點擊"確定"按鈕。這樣一個新的安全模板就成功建立了。刪除安全模板非常簡單，打開"安全模板"，在控制臺樹中找到要刪除的模板，在其上面點擊鼠標右鍵，選擇"刪除"即可。 （3）應用安全模板 新的安全模板經過配置后，就可以應用了，你必須通過使用"安全配置和分析"管理單元來應用安全模板設置。 首先要添加"安全配置和分析"管理單元，打開MMC控制臺的"文件"菜單，點擊"添加/刪除管理單元&

19、quot;，在"添加獨立管理單元"列表中選中"安全配置和分析"，并點擊"添加"按鈕，這樣"安全配置和分析"管理單元就被添加到MMC控制臺中了； 在控制臺樹中的"安全配置和分析"上點擊鼠標右鍵，選擇"打開"，在彈出的窗口中鍵入新數據庫名，然后點擊"打開"按鈕； 在安全模板列表窗口中選擇要導入的安全模板，然后點擊"打開"按鈕，這樣該安全模板就被成功導入了； 在控制臺樹中的"安全配置和分析"上點擊右鍵，然后在快捷菜單中選擇

20、"立即配置計算機"，就會彈出確認錯誤日志文件路徑窗口，點擊"確定"按鈕。 這樣，剛才被導入的安全模板就被成功應用了。 2.設置安全模板 （1）設置賬戶策略 賬戶策略之中包括密碼策略、賬戶鎖定策略和Kerberos策略的安全設置，密碼策略為密碼復雜程度和密碼規(guī)則的修改提供了一種標準的手段，以便滿足高安全性環(huán)境中對密碼的要求。賬戶鎖定策略可以跟蹤失敗的登錄嘗試，并且在必要時可以鎖定相應賬戶。Kerberos策略用于域用戶的賬戶，它們決定了與Kerberos相關的設置，諸如票據的期限和強制實施。 密碼策略 在這里可以配置5種與密碼特征相關的設置，分別是&quo

21、t;強制密碼歷史"、"密碼最長使用期限"、"密碼最短使用期限"、"密碼長度最小值"和"密碼必須符合復雜性要求"。強制密碼歷史：確定互不相同的新密碼的個數，在重新使用舊密碼之前，用戶必須使用過這么多的密碼，此設置值可介于0和24之間； 密碼最長使用期限：確定在要求用戶更改密碼之前用戶可以使用該密碼的天數。其值介于0和999之間；如果該值設置為0，則密碼永不過期； 密碼最短使用期限：確定用戶可以更改新密碼之前這些新密碼必須保留的天數。此設置被設計為與"強制密碼歷史"設置一起使用，這樣用戶就

22、不能很快地重置有次數要求的密碼并更改回舊密碼。該設置值可以介于0和999之間；如果設置為0，用戶可以立即更改新密碼。建議將該值設為2天； 密碼長度最小值：確定密碼最少可以有多少個字符。該設置值介于0和14個字符之間。如果設置為0，則允許用戶使用空白密碼。建議將該值設置為8個字符； 密碼必須符合復雜性要求：該項啟用后，將對所有的新密碼進行檢查，確保它們滿足復雜密碼的基本要求。如果啟用該設置，則用戶密碼必須符合特定要求，如至少有6個字符、密碼不得包含三個或三個以上來自用戶賬戶名中的字符等。 賬戶鎖定策略 在這里可以設置在指定的時間內一個用戶賬戶允許的登錄嘗試次數，以及登錄失敗后，該賬戶的鎖定時間。

23、 賬戶鎖定時間：這里的設置決定了一個賬戶在解除鎖定并允許用戶重新登錄之前所必須經過的時間，即被鎖定的用戶不能進行登錄操作的時間，該時間的單位為分鐘，如果將時間設置為0，將會永遠鎖定該賬戶，直到管理員解除賬戶的鎖定； 賬戶鎖定閥值：確定嘗試登錄失敗多少次后鎖定用戶賬戶。除非管理員進行了重新設置或該賬戶的鎖定期已滿，才能重新使用賬戶。嘗試登錄失敗的次數可設置為1到999之間的值，如果設置為0，則始終不鎖定該賬戶。 （2）設置本地策略 本地策略包括審核策略、用戶權限分配和安全選項三項安全設置，其中，審核策略確定了是否將安全事件記錄到計算機上的安全日志中；用戶權利指派確定了哪些用戶或組具有登錄計算機的

24、權利或特權；安全選項確定啟用或禁用計算機的安全設置。 審核策略 審核被啟用后，系統就會在審核日志中收集審核對象所發(fā)生的一切事件，如應用程序、系統以及安全的相關信息，因此審核對于保證域的安全是非常重要的。審核策略下的各項值可分為成功、失敗和不審核三種，默認是不審核，若要啟用審核，可在某項上雙擊鼠標，就會彈出"屬性"窗口，首先選中"在模板中定義這些策略設置"，然后按需求選擇"成功"或"失敗"即可。審核策略包括審核賬戶登錄事件、審核策略更改、審核賬戶管理、審核登錄事件、審核系統事件等，下面分別進行介紹。 審核策略更改：主

25、要用于確定是否對用戶權限分配策略、審核策略或信任策略作出更改的每一個事件進行審核。建議設置為"成功"和"失敗"； 審核登錄事件：用于確定是否審核用戶登錄到該計算機、從該計算機注銷或建立與該計算機的網絡連接的每一個實例。如果設定為審核成功，則可用來確定哪個用戶成功登錄到哪臺計算機；如果設為審核失敗，則可以用來檢測入侵，但攻擊者生成的龐大的登錄失敗日志，會造成拒絕服務(DoS)狀態(tài)。建議設置為"成功"； 審核對象訪問：確定是否審核用戶訪問某個對象，例如文件、文件夾、注冊表項、打印機等，它們都指定了自己的系統訪問控制列表(SACL)的事件。

26、建議設置為"失敗"； 審核過程跟蹤：確定是否審核事件的詳細跟蹤信息，如程序激活、進程退出、間接對象訪問等。如果你懷疑系統被攻擊，可啟用該項，但啟用后會生成大量事件，正常情況下建議將其設置為"無審核"； 審核目錄服務訪問：確定是否審核用戶訪問那些指定有自己的系統訪問控制列表(SACL)的ActiveDirectory對象的事件。啟用后會在域控制器的安全日志中生成大量審核項，因此僅在確實要使用所創(chuàng)建的信息時才應啟用。建議設置為"無審核"； 審核特權使用：該項用于確定是否對用戶行使用戶權限的每個實例進行審核，但除跳過遍歷檢查、調試程序、創(chuàng)建

27、標記對象、替換進程級別標記、生成安全審核、備份文件和目錄、還原文件和目錄等權限。建議設置為"不審核"； 審核系統事件：用于確定當用戶重新啟動或關閉計算機時，或者對系統安全或安全日志有影響的事件發(fā)生時，是否予以審核。這些事件信息是非常重要的，所以建議設置為"成功"和"失敗"； 審核賬戶登錄事件：該設置用于確定當用戶登錄到其他計算機(該計算機用于驗證其他計算機中的賬戶)或從中注銷時，是否進行審核。建議設置為"成功"和"失敗"； 審核賬戶管理：用于確定是否對計算機上的每個賬戶管理事件，如重命名、禁用或

28、啟用用戶賬戶、創(chuàng)建、修改或刪除用戶賬戶或管理事件進行審核。建議設置為"成功"和"失敗"。(2)用戶權利指派 用戶權利指派主要是確定哪些用戶或組被允許做哪些事情。具體設置方法是： 雙擊某項策略，在彈出"屬性"窗口中，首先選中"在模板中定義這些策略設置"； 點擊"添加用戶或組"按鈕就會出現"選擇用戶或組"窗口，先點擊"對象類型"選擇對象的類型，再點擊"位置"選擇查找的位置，最后在"輸入對象名稱來選擇"下的空白欄中輸入用戶

29、或組的名稱，輸完后可點擊"檢查名稱"按鈕來檢查名稱是否正確； 最后點擊"確定"按鈕即可將輸入的對象添加到用戶列表中。 安全選項 在這里可以啟用或禁用計算機的安全設置，如數據的數字簽名、Administrator和Guest賬戶的名稱、軟盤驅動器和CD-ROM驅動器訪問、驅動程序安裝行為和登錄提示等。下面介紹幾個適合于一般用戶使用的設置。 防止用戶安裝打印機驅動程序。對于要打印到網絡打印機的計算機，網絡打印機的驅動程序必須安裝在本地打印機上。該安全設置確定了允許哪些人安裝作為添加網絡打印機一部分的打印機驅動程序。使用該設置可防止未授權的用戶下載和安裝不可信

30、的打印機驅動程序。 雙擊"設備：防止用戶安裝打印機驅動程序"，會彈出屬性窗口，首先選中"在模板中定義這個策略設置"項，然后將"已啟用"選中，最后點擊"確定"按鈕。這樣則只有管理員和超級用戶才可以安裝作為添加網絡打印機一部分的打印機驅動程序； 無提示安裝未經簽名的驅動程序。當試圖安裝未經Windows硬件質量實驗室(WHQL)頒發(fā)的設備驅動程序時，系統默認會彈出警告窗口，然后讓用戶選擇是否安裝，這樣很麻煩，你可以將其設置為無提示就直接安裝。 雙擊"設備：未簽名驅動程序的安裝操作"項，在出現的屬性窗

31、口中，選中"在模板中定義這個策略設置"項，然后點擊后面的下拉按鈕，選擇"默認安裝"，最后點擊"確定"按鈕即可； 登錄時顯示消息文字。指定用戶登錄時顯示的文本消息。利用這個警告消息設置，可以警告用戶不得以任何方式濫用公司信息或者警告用戶其操作可能會受到審核，從而更好地保護系統數據。 雙擊"交互式登錄：用戶試圖登錄時消息文字"，進入屬性窗口，先將"在模板中定義這個策略設置"選中，然后在下面的空白輸入框中輸入消息文字，最多可以輸入512個字符，最后點擊"確定"按鈕。這樣，用戶在登錄到控制臺之前就會看到這個警告消息對話框。注：概括性的敘述，務必保證準確性與層次分明。實驗八 古典密碼算法（2學時）一、實驗目的通過編程實現替代密碼算法和置換密碼算法，加深對古典密碼體制的了解，為深入學習密碼學奠定基礎。二、實驗原理古典密碼算法歷史上曾被廣泛應用,大都比較簡單,使用手工和機械操作來實現加密和解密.它的主要應用對象是文字信息,利用密碼算法實現文字信息的加密和解密.下