1、实验实验7 网络攻击与安全网络攻击与安全 一、基础知识介绍一、基础知识介绍 二、能力培养二、能力培养 三、实验内容三、实验内容 四、实验作业四、实验作业 五、提升与拓展五、提升与拓展基础知识介绍基础知识介绍基础知识介绍一、一、Windows常见的安全问题常见的安全问题 操作系统是作为一个支撑软件,为应用程序或其他系统软件提供运行环境的。操作系统具有很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性、系统开发设计的不周而留下的破绽,都会给网络安全留下隐患。基础知识介绍Windows作为最常用的操作系统常见的安全问题如下:1资源共享漏洞 通过资源共享,可以轻松地访问远程
2、电脑,如果其“访问类型”是被设置为“完全”的话,可以任意地上传和下载,甚至是删除远程电脑上的文件,此时只需上传一个设置好的木马程序并设法激活它,黑客就可以得到远程电脑的控制权了。所以我们应该合理利用网络资源共享的功能,并设置好共享用户和权限。基础知识介绍2账号与密码的安全问题 操作系统有一些默认的账号,如Windows的Administrator、Linux的SA等,如果这些账号密码被黑客破译或猜测,将对系统安全造成很大威胁。3IP漏洞 在网上要隐藏自己的IP是很难的,而探到对方的IP却又是很容易的。如可以通过运行ipconfig知道自己电脑的IP,也可以利用网络防火墙的Spynet、Trac
3、e IP、Iptools等工具探查对方的IP。如果不想被IP炸弹袭击的话,建议安装网络防火墙。基础知识介绍4木马攻击 木马程序的隐蔽性、伪装性很强,很难防范。它可以通过资源共享漏洞、微软的IIS漏洞、电子邮件、文件下载,甚至通过打开网页进行传播。因此要采取安装防火墙等预防和检测措施。基础知识介绍二、二、IPSec安全策略安全策略1IPSec简介 IPSec(Internet Protocol Security,因特网协议安全)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议网络上进行保密而安全的通信。Windows 2000、Windows XP和Windows S
4、erver 2008家族实施IPSec是基于“Internet 工程任务组(IETF)”IPSec工作组开发的标准。基础知识介绍 由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的“IPSec安全策略”,虽然它提供的功能不是很完善,但只要合理定制,一样能很有效地增强网络安全。基础知识介绍 IPSec是安全联网的长期方向,它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的
5、攻击。在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在Windows 2000、Windows XP和Windows Server 2008家族中,IPSec提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、外联网以及漫游客户端之间的通信。基础知识介绍2IPSec术语(1)身份验证:确认计算机的身份是否合法的过程。Windows 2000系列IPSec 支持三种身份验证,即Kerberos、证书和预共享密钥。(2)加密:通过加密算法将明文转换为密文,是使准备在两个终结点之间传输的数据难以辨认的过程。(3)筛选器:对IP地址和协议的
6、描述,可触发IPSec安全关联的建立。(4)筛选器操作:针对安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。基础知识介绍(5)筛选器列表:筛选器的集合。(6)安全策略:规则集合,描述计算机之间的通信是如何得到保护的。(7)规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。(8)安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。基础知识介绍3IPSec的安全特性(1)不可否认性:可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。(2)反重播性:确保每个IP包的唯一性,保证信息万一被截取复制后
7、,不能再被重新利用、重新传输回目的地址。(3)数据完整性:防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。基础知识介绍(4)数据可靠性:在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。(5)消息认证:数据源发送附带认证信息(比如数字签名、信息摘要等)的信息,由接收方验证认证信息的合法性,只有通过认证的系统才可以建立通信连接。4Windows中默认IP安全策略缺省情况下Windows XP自建了三个IP安全策略,用户可以根据需要进行选择或修改后进行“指派”应用,也可以创建新的IP安全策略。基础知识介绍(1)安全服务器(需要安全):对所有IP通信总是使
8、用Kerberos信任请求安全。不允许与不被信任的客户端的不安全通信。(2)服务器(请求安全):对所有IP通信总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通信。(3)客户端(仅相应):正常通信(不安全的)。使用默认的响应规则与请示安全的服务器协商。只有与服务器的请求协议和端口通信是安全的。基础知识介绍三、认证中心三、认证中心CA简介简介 无论是电子邮件保护或SSL网站安全链接,都必须申请证书(certification),才可以使用公钥与私钥来执行数据加密与身份验证操作。证书就好像是机动车驾驶证一样,必须拥有机动车驾驶证(证书)才能开车(使用密钥),而负责发放证书
9、的机构就是被称为认证中心CA(Certification Authority)的证书颁发机构。基础知识介绍 在申请证书时,需要输入姓名、地址与电子邮件地址等数据,这些数据会被发送到一个成为CSP(cryptographic service provider,密码学服务提供者)的程序,此程序已经被安装在申请者的计算机内或此计算机可以访问的设备里。CSP会自动创建一对密钥:一个公钥和一个私钥。CSP会将私钥存储到申请者计算机的注册表(registry)中,然后将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后,就会利用自己的私钥将要发放的证书加以签名,然后发放此证书。申请者收到证书后,将证
10、书安装到他的计算机上。基础知识介绍 证书内包含了证书的发放对象(用户或计算机)、证书的有效期限、发放此证书CA与CA的数字签名(类似于机动车驾驶证上的交通管理局盖章),还有申请者的姓名、地址、电子邮件地址、公钥等数据。CA分为两大类,企业CA和独立CA。企业CA的主要特征如下:(1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。(2)当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域。基础知识介绍(3)必须是域管理员或对AD有写权限的管理员,才能安装企业根CA。独立CA的主要特征如下:(1)CA安装时不需要AD(活动目录服务)
11、。(2)向独立CA提交证书申请时,证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需要的证书类型。(3)一般情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员进行颁发处理。基础知识介绍四、四、Active Directory证书服务证书服务(AD CS)若通过Windows Server 2008 R2的Active Directory 证书服务(AC CS)来提供CA服务的话,则可以选择将CA设置为以下角色之一:(1)企业根CA(Enterprise Root CA)。企业根CA需要Active Directory域,可以将企业根CA安装到域控制器或成员
12、服务器。企业根CA发放证书的对象仅限域用户,当域用户申请证书时,企业根CA可以从Active Directory得知该用户的相关信息,并确定该用户是否有权利申请所需证书。大部分情况下,企业根CA主要用来发放证书给子级CA,虽然企业根CA还是可以发放保护电子邮件安全、网站SSL安全链接等证书,但这些工作应该交给子级CA来负责。基础知识介绍(2)企业子级CA(Enterprise Subordinate CA)。企业子级CA也需要Active Directory域,企业子级CA适合用来发放保护电子邮件安全、网站SSL安全连接等证书,企业子级CA必须向其父级CA(例如企业根CA)取得证书之后,才能正
13、常运行。企业子级CA也可以发放证书给再下一层的子级CA。(3)独立根CA(Standalone Root CA)。独立根CA的角色与功能类似于企业根CA,但不需要Active Directory域,扮演独立根CA角色的计算机可以是独立服务器、成员服务器或域控制器。无论是否为域用户,都可以向独立根CA申请证书。基础知识介绍(4)独立子级CA(Standalone Subordinate CA)。独立子级CA的角色与功能类似于企业子级CA,但不需要Active Directory域,扮演独立子级CA角色的计算机可以是独立服务器、成员服务器或域控制器。无论是否域用户,都可以向独立子级CA申请证书。能
14、力培养能力培养能力培养 自20世纪90年代因特网商业化以来,因特网的应用得到了飞速发展,网络用户越来越多,因特网已经深入到人类生活的各个层面。但由于TCP/IP协议在安全方面的不足以及网络软硬件系统的缺陷,使得各种网络攻击方法层出不穷,构建科学系统的网络安全体系成为各种网络应用系统极其重要的工作,网络安全成为网络应用系统成败的前提条件。本实验主要包括:操作系统安全设置、IP安全策略的配置、数字证书的应用等内容。能力培养实实 验验能力培养目标能力培养目标7-1 Windows的本地安全设置的本地安全设置了解Windows的安全机制,掌握本地安全中账户策略、用户权利指派、安全选项等设置方法7-2
15、“IP安全策略安全策略”的配置的配置了解网络安全协议,掌握“IP安全策略”的配置方法,进行网络安全防护7-3 Active Directory证书服务的安装与证书服务的安装与应用应用了解数字证书、认证中心等的概念与功能,通过“证书服务”功能实现SSL功能实验内容实验内容实验内容实验实验7-1 Windows的本地安全设置的本地安全设置实验目标实验目标 通过实验了解操作系统的安全漏洞和安全问题,Windows的安全策略和技术,Windows操作系统的缺陷和漏洞。掌握Windows操作系统的常用安全设置方法,从而提高本地安全性。掌握本地网络安全与策略的基本配置与操作。实验内容(1)完成账户策略中密
16、码策略和账户锁定策略的设置。(2)完成本地策略中审核策略、用户权利指派和安全选项的设置。(3)完成公钥策略和IP安全策略的设置。实验要求实验要求 若干台计算机互连成网,系统安装有Windows XP(或其他版本)操作系统。实验内容(1)完成账户策略中密码策略和账户锁定策略的设置。(2)完成本地策略中审核策略、用户权利指派和安全选项的设置。(3)完成公钥策略和IP安全策略的设置。实验要求实验要求 若干台计算机互连成网,系统安装有Windows XP(或其他版本)操作系统。实验内容1禁用Guest账号 在计算机管理(见图7-1)的用户里面把Guest账号禁用。如果一定要用,最好给Guest加一个复
17、杂的密码。选择“控制面板管理工具计算机管理本地用户和组”,可以查看默认账户的属性及工作状态(见图7-2)。实验内容图7-1 “计算机管理”对话框实验内容图7-2 “Guest属性”对话框实验内容2禁用Administrator账号 系统管理员Administrator用户名是公开的,不能修改。这意味着黑客可以一遍又一遍地尝试这个用户的密码。所以应该禁用Administrator用户,为自己新建一个用户如user1(见图7-3),将其加入到管理员组,使其拥有管理员权限,以便管理员使用(见图7-4)。实验内容图7-3 “新用户”对话框实验内容 图7-4 用户属性对话框实验内容3禁用默认特殊用户 远
18、程桌面助手账户“HelpAssistant”、帮助和支持服务的提供商账户“SUPPORT_388945a0”等系统默认账户一般很少被使用,为了消除安全隐患,应该禁用。禁用方法与禁用Guest用户的方法相同。4其他安全设置1)把共享文件的权限从Everyone组改成授权用户在NTFS文件系统下,不但可以设置文件夹的共享,也可以设置文件的共享。实验内容 在设置共享时,最好把共享权限指定到某些用户和组,不要把共享的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的。在FAT32文件系统下不能进行这些设置。2)不让系统显示上次登录的用户名 打开注册表编辑器(开始运行
19、执行“regedit”命令)并找到注册表项HKLMSoftware microsoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把键值改成1(见图7-5和图7-6)。实验内容 图7-4 用户属性对话框实验内容图7-6 修改注册表对话框实验内容3)系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到所有系统账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表:Local_MachineSystemCurrentContr
20、olSetControlLSA-RestrictAnonymous=1 来禁止139空链接,还可以在Windows XP的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略)中的Restrict Anonymous(匿名连接的额外限制)选项进行设置。实验内容二、本地安全策略设置二、本地安全策略设置 Windows XP系统自带的“本地安全策略”是一个很好的系统安全管理工具,通过对账户、密码、安全选项合理的设置,可以实现高安全性的系统登录。1密码策略 为了让账户密码相对安全、不易被破解,可设置密码策略,加强密码的安全性。最有效的方法是增加密码的长度和复杂性,并定期更改密码。单击:“开始”
21、“程序”“管理工具”“本地安全策略”,打开“本地安全设置”控制台,初始值如图7-7所示。实验内容图7-7 “密码策略”对话框实验内容密码策略中各项的含义及建议设置如下:(1)密码必须符合复杂性要求。密码中必须包含大小写字母、数字、特殊符号等。(2)密码长度最小值。密码长度越长安全性越好,一般最小值为10。(3)密码最长存留期。设置密码最长能使用的天数,可设置为40天。(4)密码最短存留期。设置密码最短能使用的天数,可设置为1天。(5)强制密码历史。系统记忆密码的个数,设置为记忆10个密码,这样新设置的密码不能和之前的10个密码一样。实验内容2账户锁定策略 设置账户登录时,密码尝试的次数,类似于
22、银行卡密码每天只能尝试三次,如果超过三次,则银行卡就被锁定,以保护银行卡账户的安全。缺省时密码尝试没有次数限制(账户锁定阈值=0),则其他两个选项也处于无效状态(见图7-8和图7-9)。实验内容图7-8 “账户锁定策略”对话框实验内容 图7-9 设置账户锁定策略实验内容账户锁定策略中各项的含义及建议设置如下:(1)账户锁定阈值。账户锁定阈值用于确定导致用户账户被锁定的登录尝试失败的次数。在使用Ctrl+Alt+Del或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败时,将计作登录尝试失败,最少3次。(2)账户锁定时间。账户锁定时间用于确定锁定账户在自动解锁之前保持锁定的分钟数。可
23、用范围从099 999分钟。如果将账户锁定时间设置为0,账户将一直被锁定直到管理员明确解除对它的锁定。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。实验内容(3)复位账户锁定计数器。复位账户锁定计数器用于确定在某次登录尝试失败之后,将登录尝试失败计数器重置为0次错误登录尝试之前所需要的时间。可用范围是199 999分钟。如果定义了账户锁定阈值,此重置时间必须小于或等于账户锁定时间。实验内容3本地策略1)审核策略 每当用户执行了指定的某些操作,审核日志就会记录一个审核项。用户可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否
24、发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。每个审核设置的选项为:成功、失败、无审核。可以根据系统安全性的需要设置各个审核项的选项(见图7-10)。实验内容图7-10 “审核策略”对话框实验内容审核策略中各个审核项的说明如下:(1)审核策略更改。审核策略更改用于确定是否对更改用户权限分配策略、审核策略或信任策略的每个事件进行审核。一般设置为“成功”。(2)审核登录事件。审核登录事件用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。一般设置为“无审核”。实验内容(3)审核对象访问。审核对象访
25、问用于确定是否对用户访问指定了自身系统访问控制列表(SACL)的对象(如文件、文件夹、注册表项和打印机等)这一事件进行审核。它仅在确实要使用记录的信息时才启用。(4)审核目录服务访问。审核目录服务访问用于确定是否对用户访问 Microsoft Active Directory 对象的事件进行审核,该对象指定了自身的SACL。它仅在确实要使用所创建的信息时才启用。实验内容(5)审核特权使用。审核特权使用用于确定是否对用户行使用户权限的每个实例进行审核。只有在已经计划好如何使用所生成的信息时才启用,一般设置为“无审核”。(6)审核系统事件。审核系统事件用于确定在用户重新启动或关闭其计算机时,或者在
26、影响系统安全或安全日志的事件发生时是否进行审核。一般选择“成功”。实验内容(7)审核账户登录事件。审核账户登录事件用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核,该计算机记录了审核事件,并用来验证账户。该审核项对于入侵检测十分有用,但此设置可能会导致拒绝服务(DOS),一般设置为“无审核”。(8)审核账户管理。审核账户管理用于确定是否对计算机上的每个账户管理事件进行审核。账户管理事件的示例包括:创建、修改或删除用户账户或组;重命名、禁用或启用用户账户;设置或修改密码。一般选择“成功”。实验内容2)用户权利指派用户权利指派是指在Windows系统中赋予用户使用当前系统的各种权限,
27、例如更改系统时间、关闭系统、从网络访问此计算机等权限。通过设置“用户权利指派”策略,可以帮助解决用户共享计算机无法共享等诸多网络问题。如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。在“安全设置”中,定位于“本地策略用户权利指派”,而后在其右侧的设置视图中,可针对其下所列的各项策略分别进行安全设置(见图7-11)。实验内容图7-11 “用户权利指派”对话框实验内容图7-12 选择用户或组实验内容 例如,若是希望允许某用户获得系统中任何可得到的对象的所有权:包括注册表项、进程和线程以及NTFS文件和文件夹对象等(该策略的默认设置仅为管理员)。首先应找到列表中“取得文件或其他对象的
28、所有权”策略,用鼠标右键单击,在弹出菜单中选择“属性”,在此点击“添加用户或组”按钮,在弹出对话框中(见图7-12)输入对象名称并确认操作。显然,如果此处的策略配置出现失误,将会给系统带来很多麻烦,比方说远程非法登录的非管理员级别的用户,可能就会因此处的配置失误而能够进行各种破坏操作。实验内容 如果需要恢复“用户权利指派”策略集的默认设置,可以在“命令提示符”窗口中输入“Secedit/configure/cfg%windir%repairsecsetup.inf/db secsetup.sdb/areas USER_RIGHTS/verbose”命令并回车,等待出现命令成功完成的提示即可。对
29、于上述的操作,如果想让命令执行效率更高一些,那么可在命令提示符窗口中输入“gpupdate”命令强制刷新即可。实验内容3)安全选项 根据用户对安全性不同和个性化的要求,通过修改“安全选项”相应的参数和选项来完成,其中的设置在系统重新启动后生效。实验内容图7-13 “安全选项”对话框实验内容图7-14 “不允许SAM账户的匿名枚举”对话框实验内容常用“安全选项”说明如下:(1)不允许SAM账户和共享的匿名枚举。不允许SAM账户的匿名枚举、禁止账号克隆。有些蠕虫病毒可以通过扫描Windows系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,
30、从而抵御此类入侵行为。实验内容 操作步骤如下:在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略”、“安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效(见图7-13和图7-14)。实验内容(2)账户管理。为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略”“安全选项”分支中,找到“账户:来宾账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出的属性对话框
31、中设置其状态为“已停用”,最后“确定”退出。下面再查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,在其中的文本框中可自定义账户名称。相关的选项介绍如下。实验内容管理员账户状态:可以禁止管理员账户。来宾账户状态:可以禁止来宾账户。重命名管理员账户:可以修改管理员账户名,默认为Administrator。重命名来宾账户:可以修改来宾账户名,默认为Guest。实验内容(3)不显示上次的用户名。防止黑客入侵后查看用户登录账号。在“安全选项”列表中,选择“交互式登录:不显示上次的用户名”;单击右键,选择“属性”;在弹出的“交互式登录:不显示上次的用户名属性”选项框中,选择“已启用”,单击“
32、确定”按钮,完成设置。实验内容三、防火墙ICF设置 Windows XP中自带的防火墙为Internet连接防火墙,简称为ICF。它可保护系统和内部网络不受侵害。仅就防火墙功能而言,Windows防火墙只阻截所有传入的未经请求的流量,对主动请求传出的流量不作处理。而第三方病毒防火墙软件一般都会对两个方向的访问进行监控和审核,这一点是它们之间最大的区别。如果入侵已经发生或间谍软件已经安装,并主动连接到外部网络,那么Windows防火墙是束手无策的。不过由于攻击多来自外部,而且如果间谍软件偷偷自动开放端口来让外部请求连接,那么Windows防火墙会立刻阻断连接并弹出安全警告,所以普通用户不必太过担
33、心这点。实验内容1打开并启用ICF Windows防火墙可以在网络连接属性、高级选项中打开,选中“Internet连接防火墙”栏的“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”选项,点击“确定”使设置有效(见图7-15)。也可以在控制面板的安全中心中打开。点击“Windows防火墙”,打开Windows防火墙对话框,选中“启用(推荐)”单选按钮(见图7-16),最后单击“确定”按钮,完成Windows XP的防火墙设置。实验内容图7-15 防火墙属性设置实验内容图7-16 启用防火墙对话框实验内容2“常规”选项卡设置 在网络连接属性窗口选择“高级”选项卡,单击“
34、设置”按钮,可进入防火墙设置界面。配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的ICMP流量。常规选项卡有三个选项,如图7-17所示。在Windows防火墙控制台“常规”选项卡中有两个主选项:启用(推荐)和关闭(不推荐),一个子选项“不允许例外”。如果选择了不允许例外,Windows防火墙将拦截所有的连接用户计算机的网络请求,包括在例外选项卡列表中的应用程序和系统服务。实验内容图7-17 ICF常规设置实验内容3例外选项卡设置 某些程序需要对外通信,就可以把它们添加到“例外”选项卡中,这里的程序将被特许可以提供连接服务,即可以监听和接受来自网络上的连接。在“例外”选项卡界面
35、下方有两个添加按钮,分别是:添加程序和添加端口,可以根据具体的情况手工添加例外项。如果不清楚某个应用程序是通过哪个端口与外界通信,或者不知道它是基于UDP还是TCP的,可以通过“添加程序”来添加例外项。实验内容 如果对端口号以及TCP/UDP比较熟悉,则可以采用后一种方式,即指定端口号的添加方式。对于每一个例外项,可以通过“更改范围”指定其作用域。4高级选项卡设置 在“高级”选项卡中包含了网络连接设置、安全记录、ICMP设置和还原默认设置四组选项,可以根据实际情况进行配置。(1)网络连接设置:这里可以选择Windows防火墙应用到哪些连接上,当然也可以对某个连接进行单独的配置,这样可以使防火墙
36、应用更灵活。实验内容(2)安全日志:日志选项里面的设置可以记录防火墙的跟踪记录,包括丢弃和成功的所有事项。在日志文件选项里,可以更改记录文件存放的位置,还可以手工指定日志文件的大小。系统默认的选项是不记录任何拦截或成功的事项,而记录文件的大小默认为4 MB。(3)ICMP设置:Internet控制消息协议(ICMP)允许网络上的计算机共享错误和状态信息。在缺省状态下,所有的ICMP都没有打开。(4)默认设置:如果要将所有Windows防火墙设置恢复为默认状态,可以单击右侧的“还原为默认值”按钮。实验内容5组策略部署 在ICF中,只能通过网络连接、网络创建向导和Internet连接向导执行启用或
37、关闭ICF,而从XP后新版的Windows防火墙则可以通过组策略来控制防火墙状态、允许的例外等设置。组策略的设置具有很高的优先级。依次单击“开始运行”,在“运行”对话框中输入“gpedit.msc”,然后点击“确定”按钮即可打开WinXP组策略编辑器。实验内容 进入组策略编辑器后,就可以用它配置Windows防火墙了。从左侧窗格中依次展开“计算机配置管理模板网络网络连接Windows防火墙”。在Windows防火墙下可以看到两个分支,一个是域配置文件,一个是标准配置文件。简单的说,当计算机连接到有域控制器的网络中时(即有专门的管理服务器时),是域配置文件起作用,相反,则是标准配置文件起作用(见
38、图7-18)。即使没有配置标准配置文件,缺省的值也会生效。配置文件中的每个项目均有未配置、已启用、未启用三个选项,根据实际需要进行选择和设置。实验内容图7-18 “标准配置文件”对话框实验内容四、注册表设置四、注册表设置 单击“开始”菜单,选择“运行”,在“运行”对话框中打开注册表编辑器,选择“打开”下拉框,输入“regedit”,最后点击“确定”按钮(见图7-19)。实验内容图7-19 注册表编辑器实验内容1隐藏上次登录用户名 依次进入“HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsCurrent-VersionPoliciesSystem”,也可
39、以利用菜单“编辑查找”输入关键词快速找到相关的选项;在右侧框中双击“DontdisplayLastusername”名称,将其值设为1。2禁止按Shift键自动登录 进入“HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrent-Version Winlogon”,新建“DWORD值”,名称为“IgnorShiftOverride”,将其值设置为1。实验内容3禁止用户更改密码进入“HKEY_CURRENT_USER SOFTWARE Microsoft Windows Current Version PoliciesSystem”,新建“DWO
40、RD值”,名称为“DisableChangePassword”,将其值设置为1。4禁止用户使用注册表编辑器进入“HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”,新建“DWORD值”,名称为“DisableRegistryTools”,将其值设置为1。实验内容5限制普通用户使用“控制面板”进入“HKEY_CURRENT_USERSotfwareMicrosoftWindowsCurrentVersionExplorer”,新建“DWORD值”,名称为“NoSetFolders”,将其值设置为1。6禁止空
41、连接进入“HKEY_LOCAL_MACHINESystemCurrentControl SetControlLSA”,选中“Restrict Anonymous”,将其值更改为1。实验内容7禁止用户使用“任务管理器”进入“HKEY_CURRENT_USERSotfwareMicrosoftWindowsCurrentVersionPolicies Explorer”,新建“DWORD值”,名称为“DisableTaskMgr”,将其值设置为1。这仅是在原有Windows XP操作系统下的一些设置,倘若需要更安全,还需采用一定的软件和硬件措施。实验内容实验实验7-2“IP安全策略安全策略”的配置
42、的配置 实验目标实验目标 理解网络安全协议的概念和作用,了解IPSec的功能和工作原理。掌握Windows中IP安全策略的配置方法,针对不同的安全性需求,设置不同的安全策略。(1)阻止固定IP地址访问服务器。(2)封堵危险端口。(3)禁止访问指定域名。实验内容实验要求实验要求(1)网络服务器:装有Windows 2008 Server操作系统、具有固定IP地址、开通终端服务。(2)客户机:装有Windows XP操作系统,具有固定IP地址。实验步骤实验步骤一、阻止固定一、阻止固定IP地址访问地址访问 很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。
43、本节阻止局域网中IP为“192.168.0.2”的机器访问Windows终端服务器。实验内容1创建IP安全策略 在“本地安全设置”主窗口中,右键点击“IP安全策略”,选择“创建IP安全策略”选项(见图7-20),进入“IP安全策略向导”,点击“下一步”按钮,在“IP安全策略”名称对话框中输入该策略的名字(见图7-21),如“终端服务过滤”,点击“下一步”按钮,下面弹出的对话框都选择默认值,最后点击“完成”按钮。实验内容图7-20 “创建IP安全策略”对话框 实验内容图7-21 “IP安全策略”名称实验内容2创新筛选器 为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”安全策略,在菜
44、单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页(见图7-22),点击下方的“添加”按钮,弹出“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”(见图7-23),点击“添加”,进入“IP筛选器向导”窗口。实验内容图7-22 “管理IP筛选器列表”标签页实验内容图7-23 “IP筛选器列表”对话框实验内容 点击“下一步”按钮,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”(见图7-24)。点击“下一步”按钮后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”按钮,接着在“选择
45、协议类型”中选择“TCP”协议,点击“下一步”按钮,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”(远程桌面的服务端口),点击“下一步”按钮后完成筛选器的创建(见图7-25)。实验内容图7-24 筛选器向导实验内容图7-25 IP协议端口对话框实验内容3新建一个阻止操作 切换到“筛选器操作”标签页(见图7-26),点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”按钮,给这个操作起一个名字,如“阻止”,点击“下一步”按钮,接着设置“筛选器操作的行为”,选择“阻止”单选项(见图7-27),点击“下一步”按钮,就完成了“IP安全筛选器操作”的添加工作。实验
46、内容图7-27 IP安全筛选器操作向导实验内容4绑定过滤器和操作 在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”按钮,选择“此规则不指定隧道”,点击“下一步”按钮,在网络类型对话框中选择“局域网”,点击“下一步”按钮,在接下来对话框中选择默认值,点击“下一步”按钮,在IP筛选器列表中选择“终端服务”选项(见图7-28),点击“下一步”按钮,接着在筛选器操作列表中选择“阻止”(见图7-29),最后点击“完成”按钮。实验内容图7-27 IP安全筛选器操作向导实验内容 图7-29 筛选器操作实验内容5完成“指派”完成了
47、创建IPSec安全策略后,还要进行指派。右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2008终端服务器了。注意:Windows系统的IPSec安全策略,一台机器同时只能有一个策略被指派。实验内容6IPSec安全策略验证 通过ping命令来测试192.168.0.2的连通性,在配置和指派“终端服务过滤”策略前,可以连通,在配置并指派后则不能连通。如果不放心的话,也可以在“命令提示符”下使用“gpupdate/force”命令强行刷新IPSec安全策略。在使用Windows 2008
48、系统中,验证指派的IPSec安全策略很简单,在“命令提示符”下输入“netsh ipsec dynamic show ALL”命令,然后返回命令结果。这样,我们就能很清楚地看到该IP安全策略是否生效了。实验内容二、封堵危险端口二、封堵危险端口 默认情况下,Windows有很多端口是开放的,在用户上网的时候,网络病毒和黑客可以通过这些端口连上用户的电脑。为了让用户的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP协议的135、139、445、593、1025端口和UDP协议的135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129端口),以及远程服务
49、访问端口3389。实验内容 ping命令是利用TCP的135端口传递数据的,所以我们只要在IP安全策略中封堵禁止TCP的135端口,就可以禁止其他计算机ping自己了(当然防火墙也可以实现此功能)。实验内容 下面介绍如何在Windows XP/2000/2008下关闭TCP的135端口,禁止其他计算机ping本机:1创建IP筛选器(1)在“IP筛选器列表”窗口中单击“添加”按钮,此时将会弹出“IP筛选器向导”窗口,输入IP筛选器名称“封堵TCP135”(见图7-30),下一步将会弹出“IP通信源”页面,在该页面中设置“源地址”为“我的IP地址”(见图7-31),“目标地址”为“任何IP地址”,
50、使得任何IP地址的计算机都不能ping你的机器。实验内容图7-30 创建IP筛选器 实验内容图7-31 指定源地址、目标地址实验内容(2)在“筛选器属性”中封闭端口,比如封闭TCP协议的135端口:在“选择协议类型”的下拉列表中选择“TCP”(见图7-32),然后在“到此端口”下的文本框中输入“135”(见图7-33),点击“确定”按钮,这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。实验内容图7-32 选择协议类型 实验内容图7-33 设置IP协议端口实验内容 根据需要重复以上步骤可继续添加TCP 137、139、445、593等端口和UD
