精品文檔網絡安全課程實驗安排及指導書2009-10-21 實驗安排1、推薦必做實驗網絡掃描計算機病毒及惡意代碼防火墻實驗入侵檢測系統2、推薦選作實驗VPN配置證書的申請和使用windows安全配置實驗實驗一： 網絡掃描實驗【實驗目的】了解掃描的基本原理，掌握基本方法，最終鞏固主機安全【實驗內容】1、學習使用Nmap的使用方法2、學習使用漏洞掃描工具【實驗環境】1、 硬件 PC機一臺。 2、 系統配置：操作系統windows XP以上。 【實驗步驟】1、端口掃描1） 解壓并安裝ipscan15.zip，掃描本局域網內的主機2） 解壓nmap-4.00-win32.zip，安裝WinPcap 運行cmd.exe，熟悉nmap命令(詳見“Nmap詳解.mht”)。3） 試圖做以下掃描：掃描局域網內存活主機，掃描某一臺主機或某一個網段的開放端口掃描目標主機的操作系統試圖使用Nmap的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機，或局域網內某一臺主機的漏洞【實驗報告】1、說明程序設計原理。2、提交運行測試結果。【實驗背景知識】1、 掃描及漏洞掃描原理見 第四章黑客攻擊技術.ppt 2、 NMAP使用方法掃描器是幫助你了解自己系統的絕佳助手。象Windows 2K/XP這樣復雜的操作系統支持應用軟件打開數百個端口與其他客戶程序或服務器通信，端口掃描是檢測服務器上運行了哪些服務和應用、向Internet或其他網絡開放了哪些聯系通道的一種辦法，不僅速度快，而且效果也很不錯。 Nmap被開發用于允許系統管理員察看一個大的網絡系統有哪些主機以及其上運行何種服務。它支持多種協議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null掃描。你可以從SCAN TYPES一節中察看相關細節。nmap還提供一些實用功能如通過tcp/ip來甄別操作系統類型、秘密掃描、動態延遲和重發、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。一、安裝NmapNmap要用到一個稱為“Windows包捕獲庫”的驅動程序WinPcap如果你經常從網上下載流媒體電影，可能已經熟悉這個驅動程序某些流媒體電影的地址是加密的，偵測這些電影的真實地址就要用到WinPcap。WinPcap的作用是幫助調用程序(即這里的Nmap)捕獲通過網卡傳輸的原始數據。WinPcap的最新版本在http:/netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系統，下載得到的是一個執行文件，雙擊安裝，一路確認使用默認設置就可以了，安裝好之后需要重新啟動。接下來下載Nmap。下載好之后解開壓縮，不需要安裝。除了執行文件nmap.exe之外，它還有下列參考文檔: nmap-os-fingerprints:列出了500多種網絡設備和操作系統的堆棧標識信息。 nmap-protocols:Nmap執行協議掃描的協議清單。 nmap-rpc:遠程過程調用(RPC)服務清單，Nmap用它來確定在特定端口上監聽的應用類型。 nmap-services:一個TCP/UDP服務的清單，Nmap用它來匹配服務名稱和端口號。除了命令行版本之外，還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣，GUI版本需要安裝，圖一就是GUI版Nmap的運行界面。GUI版的功能基本上和命令行版本一樣，鑒于許多人更喜歡用命令行版本，本文后面的說明就以命令行版本為主。圖一二、常用掃描類型 解開Nmap命令行版的壓縮包之后，進入Windows的命令控制臺，再轉到安裝Nmap的目錄(如果經常要用Nmap，最好把它的路徑加入到PATH環境變量)。不帶任何命令行參數運行Nmap，Nmap顯示出命令語法，如圖二所示。圖二下面是Nmap支持的四種最基本的掃描方式: TCP connect()端口掃描(-sT參數)。 TCP同步(SYN)端口掃描(-sS參數)。 UDP端口掃描(-sU參數)。 Ping掃描(-sP參數)。如果要勾畫一個網絡的整體情況，Ping掃描和TCP SYN掃描最為實用。Ping掃描通過發送ICMP(Internet Control Message Protocol，Internet控制消息協議)回應請求數據包和TCP應答(Acknowledge，簡寫ACK)數據包，確定主機的狀態，非常適合于檢測指定網段內正在運行的主機數量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect()掃描比較，就很容易看出這種掃描方式的特點。在TCP connect()掃描中，掃描器利用操作系統本身的系統調用打開一個完整的TCP連接也就是說，掃描器打開了兩個主機之間的完整握手過程(SYN，SYN-ACK，和ACK)。一次完整執行的握手過程表明遠程主機端口是打開的。TCP SYN掃描創建的是半打開的連接，它與TCP connect()掃描的不同之處在于，TCP SYN掃描發送的是復位(RST)標記而不是結束ACK標記(即，SYN，SYN-ACK，或RST):如果遠程主機正在監聽且端口是打開的，遠程主機用SYN-ACK應答，Nmap發送一個RST;如果遠程主機的端口是關閉的，它的應答將是RST，此時Nmap轉入下一個端口。圖三是一次測試結果，很明顯，TCP SYN掃描速度要超過TCP connect()掃描。采用默認計時選項，在LAN環境下掃描一個主機，Ping掃描耗時不到十秒，TCP SYN掃描需要大約十三秒，而TCP connect()掃描耗時最多，需要大約7分鐘。圖三Nmap支持豐富、靈活的命令行參數。例如，如果要掃描192.168.7網絡，可以用192.168.7.x/24或-255的形式指定IP地址范圍。指定端口范圍使用-p參數，如果不指定要掃描的端口，Nmap默認掃描從1到1024再加上nmap-services列出的端口。如果要查看Nmap運行的詳細過程，只要啟用verbose模式，即加上-v參數，或者加上-vv參數獲得更加詳細的信息。例如，nmap -sS -255 -p 20,21,53-110,30000- -v命令，表示執行一次TCP SYN掃描，啟用verbose模式，要掃描的網絡是192.168.7，檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子，nmap -sS /24 -p 80掃描192.168.0子網，查找在80端口監聽的服務器(通常是Web服務器)。有些網絡設備，例如路由器和網絡打印機，可能禁用或過濾某些端口，禁止對該設備或跨越該設備的掃描。初步偵測網絡情況時，-host_timeout參數很有用，它表示超時時間，例如nmap sS host_timeout 10000 命令規定超時時間是10000毫秒。網絡設備上被過濾掉的端口一般會大大延長偵測時間，設置超時參數有時可以顯著降低掃描網絡所需時間。Nmap會顯示出哪些網絡設備響應超時，這時你就可以對這些設備個別處理，保證大范圍網絡掃描的整體速度。當然，host_timeout到底可以節省多少掃描時間，最終還是由網絡上被過濾的端口數量決定。Nmap的手冊(man文檔)詳細說明了命令行參數的用法(雖然man文檔是針對UNIX版Nmap編寫的，但同樣提供了Win32版本的說明)。三、注意事項也許你對其他端口掃描器比較熟悉，但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統，感覺一下Nmap的基本運行模式，熟悉之后，再將掃描范圍擴大到其他系統。首先掃描內部網絡看看Nmap報告的結果，然后從一個外部IP地址掃描，注意防火墻、入侵檢測系統(IDS)以及其他工具對掃描操作的反應。通常，TCP connect()會引起IDS系統的反應，但IDS不一定會記錄俗稱“半連接”的TCP SYN掃描。最好將Nmap掃描網絡的報告整理存檔，以便隨后參考。如果你打算熟悉和使用Nmap，下面幾點經驗可能對你有幫助: 避免誤解。不要隨意選擇測試Nmap的掃描目標。許多單位把端口掃描視為惡意行為，所以測試Nmap最好在內部網絡進行。如有必要，應該告訴同事你正在試驗端口掃描，因為掃描可能引發IDS警報以及其他網絡問題。 關閉不必要的服務。根據Nmap提供的報告(同時考慮網絡的安全要求)，關閉不必要的服務，或者調整路由器的訪問控制規則(ACL)，禁用網絡開放給外界的某些端口。 建立安全基準。在Nmap的幫助下加固網絡、搞清楚哪些系統和服務可能受到攻擊之后，下一步是從這些已知的系統和服務出發建立一個安全基準，以后如果要啟用新的服務或者服務器，就可以方便地根據這個安全基準執行。實驗二：計算機病毒及惡意代碼【實驗目的】練習木馬程序安裝和攻擊過程，了解木馬攻擊原理，掌握手工查殺木馬的基本方法，提高自己的安全意識。【實驗內容】安裝木馬程序NetBus，通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術【實驗步驟】1、 木馬安裝和使用1) 在菜單運行中輸入cmd打開dos命令編輯器2 ) 安裝netbus軟件3) 在DOS命令窗口啟動進程并設置密碼4) 打開木馬程序，連接別人主機5) 控制本地電腦打開學院網頁6) 查看自己主機7) 查看任務管理器進程8 移除木馬控制程序進程查看任務管理器（注意：Patch.exe進程已經關閉）2、木馬防御實驗在木馬安裝過程可以運行一下軟件查看主機信息變化：1） 使用autoruns.exe軟件，查看windows程序啟動程序的位置，了解木馬的自動加載技術。如自動運行進程（下圖所示）、IE瀏覽器調運插件、任務計劃等：2） 查看當前運行的進程，windows提供的任務管理器可以查看當前運行的進程，但其提供的信息不全面。利用第三方軟件可以更清楚地了解當前運行進程的信息。這里procexp.exe為例 啟動procexp.exe程序，查看當前運行進程所在位置，如圖所示：3）木馬綜合查殺練習使用冰刃IceSword查看木馬可能修改的位置：主要進行以下練習：1） 查看當前通信進程開放的端口。 木馬攻擊2） 查看當前啟動的服務3） 練習其他功能，如強制刪除其他文件，SPI、內核模塊等。【實驗報告】1、 分析木馬傳播、自啟動、及隱藏的原理。2、 提交運行測試的結果，并分析。【背景知識】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務器端程序（通常文件名為：patch.exe）。要想“控制”遠程機器，必須先將服務器端程序安裝到遠程機器上這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。NetBus服務器端程序是放在Windows的系統目錄中的，它會在Windows啟動時自動啟動。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話，文件名應為explore.exe（注意：不是explorer.exe！）或者簡單地叫game.exe。同時，你可以檢查Windows系統注冊表，NetBus會在下面路徑中加入其自身的啟動項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過該注冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del，在任務列表中是看不到它的存在的。正確的去除方法如下：1、運行regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、將patch項刪除（或者explore項）；4、重新啟動機器后刪除Windows系統目錄下的patch.exe（或者explore.exe）即可。實驗三： 防火墻實驗【實驗目的】掌握個人防火墻的使用及規則的設置【實驗內容】防火墻設置，規則的設置，檢驗防火墻的使用。【實驗環境】3、 硬件 PC機一臺。 4、 系統配置：操作系統windows XP以上。 【實驗步驟】 (有兩種可選方式，1、以天網防火墻為例，學習防火墻的規則設置，2、通過winroute防火墻學習使用規則設置，兩者均需安裝虛擬機)一、 虛擬機安裝與配置驗證virtual PC是否安裝在xp操作系統之上，如果沒有安裝，從獲取相關軟件并安裝；從教師機上獲取windows 2000虛擬機硬盤二、包過濾防火墻winroute配置（可選）1、從教師機上獲取winroute安裝軟件并放置在windows 2000上安裝2、安裝默認方式進行安裝，并按提示重啟系統3、登陸虛擬機,打開winroute以管理員的身份登錄，打開開始WinRoute ProWinRoute Administration，輸入IP地址或計算機名，以及WinRoute管理員帳號（默認為Admin）、密碼（默認為空）3、打開菜單 SettingAdvancedPacket Filter4、在Packet Filter對話框中，選中Any interface并展開雙擊No Rule圖標，打開Add Item對話框在Protocol下拉列表框中選擇ICMP，開始編輯規則配置Destination：type為Host,IP Address為 (x為座位號)5、在ICMP Types中，選中All復選項在Action區域，選擇Drop項在Log Packet區域選中Log into Window其他各項均保持默認值，單擊OK單擊OK，返回主窗口6、合作伙伴間ping對方IP，應該沒有任何響應打開菜單ViewLogsSecurity Log ,詳細查看日志記錄禁用或刪除規則8、用WinRoute控制某個特定主機的訪問（選作）要求學生在虛擬機安裝ftp服務器。1) 打開WinRoute,打開菜單SettingsAdvancedPacket Filter選擇,Outgoing標簽2) 選擇Any Interface并展開，雙擊No Rule，然后選擇TCP協議3) 配置Destination 框：type為 Host， IP Address為(2為合作伙伴座位號)4)、 在Source框中：端口范圍選擇Greater than()，然后輸入10245) 以21端口作為 Destination Port值6) 在Action區域，選擇Deny選項7) 選擇Log into window選項8) 應用以上設置，返回主窗口9) 合作伙伴間互相建立到對方的FTP連接，觀察失敗信息10)禁用或刪除FTP過濾三、包過濾天網防火墻配置（可選）1、安裝解壓，單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設置安裝，注：破解 1）將兩個文件Cr-PFW.exe和PFW.bak一起復制到軟件安裝目錄中 2）運行破解補丁Cr-PFW.exe，覆蓋原主程序即可2、熟悉防火墻規則 啟動防火墻并”單擊自定義規則”如圖熟悉規則的設置：雙擊如下選項：“允許自己用ping命令探測其他機器“防止別人用ping命令探測”“禁止互聯網上的機器使用我的共享資源”“防止互聯網上的機器探測機器名稱”等選項，熟悉其中的IP地址、方向，協議類型、端口號、控制位等項的設置。試總結規則設置的順序，5、 增加設置防火墻規則開放部分自己需要的端口。下圖為對話框，各部分說明：1） 新建IP規則的說明部分，可以取有代表性的名字，如“打開BT6881-6889端口”，說明詳細點也可以。還有數據包方向的選擇，分為接收，發送，接收和發送三種，可以根據具體情況決定。2）就是對方IP地址，分為任何地址，局域網內地址，指定地址，指定網絡地址四種。3）IP規則使用的各種協議，有IP，TCP，UDP，ICMP，IGMP五種協議，可以根據具體情況選用并設置，如開放IP地址的是IP協議，QQ使用的是UDP協議等。4）比較關鍵，就是決定你設置上面規則是允許還是拒絕，在滿足條件時是通行還是攔截還是繼續下一規則，要不要記錄，具體看后面的實例。試設置如下規則：1）禁止局域網的某一臺主機和自己通信通信2）禁止任何大于1023的目標端口于本機連接，3） 允許任何新來的TCP與主機的SMTP連接4、查看各個程序使用及監聽端口的情況可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網絡資源，如木馬程序，然后可以根據要求再自定義IP規則里封了某些端口以及禁止某些IP訪問自己的機子等等。【實驗報告】1、 說明包過濾放火墻的工作原理。2、 提交防火墻指定功能測試結果。實驗4 入侵檢測系統安裝和使用【實驗目的】通過安裝并運行一個snort系統，了解入侵檢測系統的作用和功能【實驗內容】 安裝并配置appahe，安裝并配置MySQL，安裝并配置snort；服務器端安裝配置php腳本，通過IE瀏覽器訪問IDS【實驗環境】硬件 PC機一臺。 系統配置：操作系統windows XP以上。 【實驗步驟】1、 安裝appache服務器 安裝的時候注意，本機的80 端口是否被占用，如果被占用則關閉占用端口的程序。選擇定制安裝，安裝路徑修改為c:apache 安裝程序會自動建立c:apache2 目錄，繼續以完成安裝。添加Apache 對PHP 的支持1）解壓縮php-5.2.6-Win32.zip至c:php2）拷貝php5ts.dll文件到%systemroot%system32 3）拷貝php.ini-dist (修改文件名) 至%systemroot%php.ini 修改php.ini extension=php_gd2.dll extension=php_mysql.dll 同時拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot% 4）添加gd庫的支持在C:apacheApache2confhttpd.conf中添加：LoadModule php5_module c:/php5/php5apache2.dllAddType application這一行下面加入下面兩行：AddType application/x-httpd-php .php .phtml .php3 .php4 AddType application/x-httpd-php-source .phps5）添加好后，保存http.conf文件，并重新啟動apache服務器。現在可以測試php腳本： 在c:apache2htdocs 目錄下新建test.php test.php 文件內容： ?phpinfo();?使用http:/localhost/test.php測試php 是否安裝成功2、安裝配置snort安裝程序WinPcap_4_0_2.exe；缺省安裝即可安裝Snort_2_8_1_Installer.exe；缺省安裝即可將snortrules-snapshot-CURRENT目錄下的所有文件復制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf3、 安裝MySql配置mysql解壓mysql-5.0.51b-win32.zip，并安裝。采取默認安裝，注意設置root帳號和其密碼J檢查是否已經啟動mysql服務在安裝目錄下運行命令：（一般為c:mysqlbin）mysql -u root p輸入剛才設置的root密碼運行以下命令c:mysql -D mysql -u root -p c:snort_mysql （需要將snort_mysql復制到c盤下，當然也可以復制到其他目錄）運行以下命令：c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysql c:mysqlbinmysql -D snort_archive -u root -p snort -dev，能看到一只正在奔跑的小豬證明工作正常查看本地網絡適配器編號：c:snort -W正式啟動snort；snort -c c:snortetcsnort.conf -i 2 -l c:snortlogs -deX(注意其中-i 后的參數為網卡編號，由snort W 察看得知)這時通過http:/localhost/acid/acid_main.php 可以察看入侵檢測的結果6、 利用掃描實驗的要求掃描局域網，查看檢測的結果【實驗報告】1、 簡單分析網絡入侵檢測snort的分析原理2、 分析所安裝的入侵檢測系統對攻擊的檢測結果。附：Appach啟動動命令： apache -k install| apache -k start證書的申請和使用【實驗目的】掌握數字證書的申請、安裝，利用證書的使用通過Outlook發送和接受安全電子郵件【實驗內容】1、 申請免費使用證書，了解證書的結構2、 利用申請的證書，發送和接收具有加密和簽名認證的電子郵件【實驗環境】上網計算機，Windows操作系統（最好是Windows2000）。IE5.0以上瀏覽器【實驗步驟】1、證書申請（1）登錄中國數字認證網網站：，如圖1所示，圖1 申請證書主頁(2)單擊 “用表格申請”，進入申請網頁，如圖2：填寫相關信息，注意證書用途選擇，電子郵件保護證書。注意電子郵件部分填寫隨后測試郵件的自己電子郵件的郵件圖2、申請表格3）單擊“提交并安裝證書”4）證書查詢打開IE瀏覽器，依次點擊工具Internet選項內容證書，如圖8.11所示，點擊證書按鈕后出現證書目錄，如圖8.12，雙擊剛才申請的試用個人證書，如圖8.13所示。需要說明的是，由于證書是試用證書，所以有該證書未生效信息，實際上，正式申請的付費證書是沒有任何問題。圖3互聯網選項圖4 已經安裝好的數字證書圖5 證書信息2、 使用證書發送安全郵件1） 選擇菜單-工具-選項 彈出對話框 選擇安全屬性頁， 復選“給待發郵件添加數字簽名”“以明文簽名發送郵件” 選擇“設置”按鈕，彈出“更改安全設置對話框”見圖9圖6 選項屬性頁2） 選擇 “設置”按鈕 彈出“更改安全設置”對話框 圖7填寫名稱“選擇” 按鈕選擇剛才申請的證書 ，并選擇哈希算法和加密算法。圖7安全設置對話框3 ）選擇一個通信聯系人發送一個郵件(這里最好是相互發送)看看對方是不是收到了一個帶證書的電子郵件注意：這時只能發送簽名電子郵件，因為不知道對方的公鑰無法加密(why？),可以思考一下。發送加密帶簽名的電子郵件方法如下：需要知道收信人的公鑰才能加密，因此需要導入收信人的證書。4）導出收信人證書以剛才收到的帶簽名的和證書的油箱導入對方的證書A） 添加剛才收到信的發信人島通信薄。B） 從剛才收到的信中到處證書。在信的右邊單擊紅色飄帶彈出對話框，并單擊“詳細信息”，彈出對話框，選擇 “簽字人：*” ，并單擊“查看信息” 按鈕（如圖8），彈出屬性頁，選擇“查看證書按鈕”，彈出屬性頁對話框，選擇“詳細信息”，及“復制到文件”按鈕（見圖9）。把證書復制到文件圖8圖95） 向通信薄中聯系人添加證書。選擇菜單“工具”-“通信薄”，選擇上述接收到的郵件發件人作為聯系人，并單擊，選擇證書屬性頁，（如圖10），單擊“導入”按鈕，倒入剛才到處的文件。圖106） 發送帶簽名和加密的電子郵件 選擇菜單 工具-選項彈出對話框 選擇安全屬性頁， 復選“加密帶發郵件的內容和附件” ， “給待發郵件添加數字簽名” ，“以明文簽名發送郵件”（如圖11）向對方發送一個電子郵件，看看是不會加密帶簽名的圖11【實驗報告】1、 提交運行測試結果2、 提交申請證書的分析說明3、 提交認證（簽名）和加密郵件的分析說明實驗六： windows安全配置實驗【實驗目的】掌握windows的安全設置，加固操作系統安全【實驗內容】1、賬戶與密碼的安全設置 2、文件系統的保護和加密 3、啟用 安全策略與安全模板 4、審核與日志查看5、利用 MBSA 檢查和配置系統安全【實驗環境】7、 硬件 PC機一臺。 2、系統配置：操作系統windows XP專業版。【實驗步驟 】任務一 賬戶和密碼的安全設置 1、刪除不再使用的賬戶，禁用 guest 賬戶 檢查和刪除不必要的賬戶 右鍵單擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用戶和密碼”項； 在彈出的對話框中中列出了系統的所有賬戶。確認各賬戶是否仍在使用，刪除其中不用的賬戶。 禁用 guest 賬戶 打開“控制面板”中的“管理工具”，選中“計算機管理”中“本地用戶和組”，打開“用戶”，右鍵單擊 guest 賬戶，在彈出的對話框中選擇“屬性”，在彈出的對話框中“帳戶已停用”一欄前打勾。 確定后，觀察 guest 前的圖標變化，并再次試用 guest 用戶登陸，記錄顯示的信息。 、啟用賬戶策略 設置密碼策略 打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項，可按照需要改變密碼特性的設置。根據選擇的安全策略，嘗試對用戶的密碼進行修改以驗證策略是否設置成功，記錄下密碼策略和觀察到的實驗結果。 設置賬戶鎖定策略 打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”。雙擊“帳戶鎖定策略”。 在右窗口中雙擊“賬戶鎖定閥值”，在彈出的對話框中設置賬戶被鎖定之前經過的無效登陸次數（如 3 次），以便防范攻擊者利用管理員身份登陸后無限次的猜測賬戶的密碼。 在右窗口中雙擊“賬戶鎖定時間”，在彈出的對話框中設置賬戶被鎖定的時間（如 20 min ）。 重啟計算機，進行無效的登陸（如密碼錯誤），當次數超過 3 次時，記錄系統鎖定該賬戶的時間，并與先前對“賬戶鎖定時間”項的設置進行對比。 開機時設置為“不自動顯示上次登陸賬戶” 右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”，并在彈出的窗口右側列表中選擇“登陸屏幕上不要顯示上次登陸的用戶名”選項，啟用該設置。設置完畢后，重啟機器看設置是否生效。 禁止枚舉賬戶名 右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”， 并在彈出的窗口右側列表中選擇“對匿名連接的額外限制”項，在“本地策略設置”中選擇“不允許枚舉 SAM 賬戶和共享”。 此外，在“安全選項”中還有多項增強系統安全的選項，請同學們自行查看。 任務二 文件系統安全設置 打開采用 NTFS 格式的磁盤，選擇一個需要設置用戶權限的文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”。 將“允許來自父系的可能繼承權限無限傳播給該對象”之前的勾去掉，以去掉來自父系文件夾的繼承權限（如不去掉則無法刪除可對父系文件夾操作用戶組的操作權限）。 選中列表中的 Everyone 組，單擊“刪除”按鈕，刪除 Everyone 組的操作權限，由于新建的用戶往往都歸屬于 Everyone 組，而 Everyone 組在缺省情況下對所有系統驅動器都有完全控制權，刪除 Everyone 組的操作權限可以對新建用戶的權限進行限制，原則上只保留允許訪問此文件夾的用戶和用戶組。 選擇相應的用戶組，在對應的復選框中打勾，設置其余用戶組對該文件夾的操作權限。 單擊“高級”按鈕，在彈出的窗口中，查看各用戶組的權限。 注銷計算機，用不同的用戶登陸，查看 剛才設置“桌面”文件夾的訪問權限，將結果記錄在實驗報告中。 任務三 啟用審核與日志查看 1 啟用審核策略 (1) 打開“控制面板”中的“管理工具”，選擇“本地安全策略”。 (2) 打開“本地策略”中的“審核策略”，在實驗報告中記錄當前系統的審核策略。 (3) 雙擊每項策略可以選擇是否啟用該項策略，例如“審核賬戶管理”將對每次建立新用戶、刪除用戶等操作進行記錄，“審核登陸事件”將對每次用戶的登陸進行記錄；“審核過程追蹤”將對每次啟動或者退出的程序或者進程進行記錄，根據需要啟用相關審核策略，審核策略啟用后，審核結果放在各種事件日志中。 2 查看事件日志 (1) 打開“控制面板”中的“管理工具”，雙擊“事件查看器“，在彈出的窗口中查看系統的 3 種日志。 (2) 雙擊“安全日志”，可查看有效無效、登陸嘗試等安全事件的具體記錄，例如：查看用戶登陸 / 注銷的日志。 任務四 啟用安全策略與安全模塊 1、啟用安全模板 開始前，請記錄當前系統的賬戶策略和審核日志狀態，以便于同實驗后的設置進行比較。 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系統控制臺 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設置和分析”，單擊“添加”按鈕后，關閉窗口，并單擊“確定”按鈕。 此時系統控制臺中根節點下添加了“安全模板”、“安全設置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統中存在的安全模板。右鍵單擊模板名稱，選擇“設置描述”，可以看到該模板的相關信息。選擇“打開”，右側窗口出現該模板的安全策略，雙擊每種安全策略可看到其相關配置。 右鍵單擊“安全設置與分析”，選擇“打開數據庫”。在彈出的對話框中輸入預建安全數據庫的名稱，例如起名為 mycomputer.sdb ，單擊“打開”按鈕，在彈出的窗口中，根據計算機準備配置成的安全級別，選擇一個安全模板將其導入。 右鍵單擊“安全設置與分析”，選擇“立即分析計算機”，單擊“確定”按鈕，系統開始按照上一步中選定的安全模板，對當前系統的安全設置是否符合要求進行分析。將分析結果記錄在實驗報告中。 右鍵單擊“安全設置與分析”，選擇“立即配置計算機”，則按照第（ 4 ）步中所選的安全模板的要求對當前系統進行配置。 在實驗報告中記錄實驗前系統的缺省配置，接著記錄啟用安全模板后系統的安全設置，記錄下比較和分析的結果。 2 建安全模板 單擊“開始”按鈕，選擇“運行”按鈕，在對話框中運行 mmc ，打開系統控制臺。 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設置和分析”，單擊“添加”按鈕后，關閉窗口，并單擊“確定”按鈕。 此時系統控制臺中根節點下添加了“安全模板”、“安全設置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統中存在的安全模板。右鍵單擊模板名稱，選擇“設置描述”，可以看到該模板的相關信息。選擇“打開”，右側窗口出現該模板的安全策略，雙擊每中安全策略可看到其相關配置。 右鍵單擊“安全設置與分析”，選擇“打開數據庫”。在彈出的對話框中輸入預建安全數據庫的名稱，例如起名為 mycomputer.sdb ，單擊“打開”按鈕，在彈出的窗口中，根據計算機準備配置成的安全級別，選擇一個安全模板將其導入。 展開“安全模板”，右鍵單擊模板所在路經 , 選擇“新加模板”，在彈出的對話框中添如預加入的模板名稱 mytem ，在“安全模板描述“中填入“自設模板”。查看新加模板是否出現在模板列表中。 雙擊 mytem ，在現實的安全策略列表中雙擊“賬戶策略”下的“密碼策略”，可發現其中任一項均顯示“沒有定義”，雙擊預設置的安全策略（如“密碼長度最小值”），彈出窗口。 在“