實驗7網(wǎng)絡攻擊與安全

一、基礎知識介紹

二、能力培養(yǎng)

三、實驗內(nèi)容

四、實驗作業(yè)

五、提升與拓展基礎知識介紹基礎知識介紹一、Windows常見的安全問題

操作系統(tǒng)是作為一個支撐軟件，為應用程序或其他系統(tǒng)軟件提供運行環(huán)境的。操作系統(tǒng)具有很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性、系統(tǒng)開發(fā)設計的不周而留下的破綻，都會給網(wǎng)絡安全留下隱患。基礎知識介紹Windows作為最常用的操作系統(tǒng)常見的安全問題如下：1．資源共享漏洞通過資源共享，可以輕松地訪問遠程電腦，如果其“訪問類型”是被設置為“完全”的話，可以任意地上傳和下載，甚至是刪除遠程電腦上的文件，此時只需上傳一個設置好的木馬程序并設法激活它，黑客就可以得到遠程電腦的控制權了。所以我們應該合理利用網(wǎng)絡資源共享的功能，并設置好共享用戶和權限?；A知識介紹2．賬號與密碼的安全問題操作系統(tǒng)有一些默認的賬號，如Windows的Administrator、Linux的SA等，如果這些賬號密碼被黑客破譯或猜測，將對系統(tǒng)安全造成很大威脅。3．IP漏洞在網(wǎng)上要隱藏自己的IP是很難的，而探到對方的IP卻又是很容易的。如可以通過運行ipconfig知道自己電腦的IP，也可以利用網(wǎng)絡防火墻的Spynet、TraceIP、Iptools等工具探查對方的IP。如果不想被IP炸彈襲擊的話，建議安裝網(wǎng)絡防火墻。基礎知識介紹4．木馬攻擊木馬程序的隱蔽性、偽裝性很強，很難防范。它可以通過資源共享漏洞、微軟的IIS漏洞、電子郵件、文件下載，甚至通過打開網(wǎng)頁進行傳播。因此要采取安裝防火墻等預防和檢測措施?；A知識介紹二、IPSec安全策略1．IPSec簡介IPSec(InternetProtocolSecurity，因特網(wǎng)協(xié)議安全)是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協(xié)議網(wǎng)絡上進行保密而安全的通信。Windows2000、WindowsXP和WindowsServer2008家族實施IPSec是基于“Internet工程任務組(IETF)”IPSec工作組開發(fā)的標準?；A知識介紹由于在IP協(xié)議設計之初并沒過多考慮安全問題，因此早期的網(wǎng)絡中經(jīng)常發(fā)生遭受攻擊或機密數(shù)據(jù)被竊取等問題。為了增強網(wǎng)絡的安全性，IP安全(IPSec)協(xié)議應運而生。Windows2000/XP/2003操作系統(tǒng)也提供了對IPSec協(xié)議的支持，這就是我們平常所說的“IPSec安全策略”，雖然它提供的功能不是很完善，但只要合理定制，一樣能很有效地增強網(wǎng)絡安全。基礎知識介紹IPSec是安全聯(lián)網(wǎng)的長期方向，它通過端對端的安全性來提供主動的保護以防止專用網(wǎng)絡與Internet的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解IPSec保護的計算機。在Windows2000、WindowsXP和WindowsServer2008家族中，IPSec提供了一種能力，以保護工作組、局域網(wǎng)計算機、域客戶端和服務器、分支機構(物理上為遠程機構)、外聯(lián)網(wǎng)以及漫游客戶端之間的通信?；A知識介紹2．IPSec術語(1)身份驗證：確認計算機的身份是否合法的過程。Windows2000系列IPSec支持三種身份驗證，即Kerberos、證書和預共享密鑰。(2)加密：通過加密算法將明文轉換為密文，是使準備在兩個終結點之間傳輸?shù)臄?shù)據(jù)難以辨認的過程。(3)篩選器：對IP地址和協(xié)議的描述，可觸發(fā)IPSec安全關聯(lián)的建立。(4)篩選器操作：針對安全要求，可在通信與篩選器列表中的篩選器相匹配時啟用?；A知識介紹(5)篩選器列表：篩選器的集合。(6)安全策略：規(guī)則集合，描述計算機之間的通信是如何得到保護的。(7)規(guī)則：篩選器列表和篩選器操作之間的鏈接。當通信與篩選器列表匹配時，可觸發(fā)相應的篩選器操作。IPSec策略可包含多個規(guī)則。(8)安全關聯(lián)：終結點為建立安全會話而協(xié)商的身份驗證與加密方法的集合?；A知識介紹3．IPSec的安全特性(1)不可否認性：可以證實消息發(fā)送方是唯一可能的發(fā)送者，發(fā)送者不能否認發(fā)送過消息。(2)反重播性：確保每個IP包的唯一性，保證信息萬一被截取復制后，不能再被重新利用、重新傳輸回目的地址。(3)數(shù)據(jù)完整性：防止傳輸過程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性?；A知識介紹(4)數(shù)據(jù)可靠性：在傳輸前，對數(shù)據(jù)進行加密，可以保證在傳輸過程中，即使數(shù)據(jù)包遭截取，信息也無法被讀取。(5)消息認證：數(shù)據(jù)源發(fā)送附帶認證信息(比如數(shù)字簽名、信息摘要等)的信息，由接收方驗證認證信息的合法性，只有通過認證的系統(tǒng)才可以建立通信連接。4．Windows中默認IP安全策略缺省情況下WindowsXP自建了三個IP安全策略，用戶可以根據(jù)需要進行選擇或修改后進行“指派”應用，也可以創(chuàng)建新的IP安全策略?；A知識介紹(1)安全服務器(需要安全)：對所有IP通信總是使用Kerberos信任請求安全。不允許與不被信任的客戶端的不安全通信。(2)服務器(請求安全)：對所有IP通信總是使用Kerberos信任請求安全。允許與不響應請求的客戶端的不安全通信。(3)客戶端(僅相應)：正常通信(不安全的)。使用默認的響應規(guī)則與請示安全的服務器協(xié)商。只有與服務器的請求協(xié)議和端口通信是安全的。基礎知識介紹三、認證中心CA簡介無論是電子郵件保護或SSL網(wǎng)站安全鏈接，都必須申請證書(certification)，才可以使用公鑰與私鑰來執(zhí)行數(shù)據(jù)加密與身份驗證操作。證書就好像是機動車駕駛證一樣，必須擁有機動車駕駛證(證書)才能開車(使用密鑰)，而負責發(fā)放證書的機構就是被稱為認證中心CA(CertificationAuthority)的證書頒發(fā)機構?；A知識介紹在申請證書時，需要輸入姓名、地址與電子郵件地址等數(shù)據(jù)，這些數(shù)據(jù)會被發(fā)送到一個成為CSP(cryptographicserviceprovider，密碼學服務提供者)的程序，此程序已經(jīng)被安裝在申請者的計算機內(nèi)或此計算機可以訪問的設備里。CSP會自動創(chuàng)建一對密鑰：一個公鑰和一個私鑰。CSP會將私鑰存儲到申請者計算機的注冊表(registry)中，然后將證書申請數(shù)據(jù)與公鑰一起發(fā)送到CA。CA檢查這些數(shù)據(jù)無誤后，就會利用自己的私鑰將要發(fā)放的證書加以簽名，然后發(fā)放此證書。申請者收到證書后，將證書安裝到他的計算機上。基礎知識介紹證書內(nèi)包含了證書的發(fā)放對象(用戶或計算機)、證書的有效期限、發(fā)放此證書CA與CA的數(shù)字簽名(類似于機動車駕駛證上的交通管理局蓋章)，還有申請者的姓名、地址、電子郵件地址、公鑰等數(shù)據(jù)。CA分為兩大類，企業(yè)CA和獨立CA。企業(yè)CA的主要特征如下：(1)企業(yè)CA安裝時需要AD(活動目錄服務支持)，即計算機在活動目錄中才可以。(2)當安裝企業(yè)根時，對于域中的所用計算機，它都將會自動添加到受信任的根證書頒發(fā)機構的證書存儲區(qū)域?；A知識介紹(3)必須是域管理員或對AD有寫權限的管理員，才能安裝企業(yè)根CA。獨立CA的主要特征如下：(1)CA安裝時不需要AD(活動目錄服務)。(2)向獨立CA提交證書申請時，證書申請者必須在證書申請中明確提供所有關于自己的標識信息以及證書申請所需要的證書類型。(3)一般情況下，發(fā)送到獨立CA的所有證書申請都被設置為掛起狀態(tài)，需要管理員進行頒發(fā)處理?；A知識介紹四、ActiveDirectory證書服務(ADCS)若通過WindowsServer2008R2的ActiveDirectory證書服務(ACCS)來提供CA服務的話，則可以選擇將CA設置為以下角色之一：(1)企業(yè)根CA(EnterpriseRootCA)。企業(yè)根CA需要ActiveDirectory域，可以將企業(yè)根CA安裝到域控制器或成員服務器。企業(yè)根CA發(fā)放證書的對象僅限域用戶，當域用戶申請證書時，企業(yè)根CA可以從ActiveDirectory得知該用戶的相關信息，并確定該用戶是否有權利申請所需證書。大部分情況下，企業(yè)根CA主要用來發(fā)放證書給子級CA，雖然企業(yè)根CA還是可以發(fā)放保護電子郵件安全、網(wǎng)站SSL安全鏈接等證書，但這些工作應該交給子級CA來負責。基礎知識介紹(2)企業(yè)子級CA(EnterpriseSubordinateCA)。企業(yè)子級CA也需要ActiveDirectory域，企業(yè)子級CA適合用來發(fā)放保護電子郵件安全、網(wǎng)站SSL安全連接等證書，企業(yè)子級CA必須向其父級CA(例如企業(yè)根CA)取得證書之后，才能正常運行。企業(yè)子級CA也可以發(fā)放證書給再下一層的子級CA。(3)獨立根CA(StandaloneRootCA)。獨立根CA的角色與功能類似于企業(yè)根CA，但不需要ActiveDirectory域，扮演獨立根CA角色的計算機可以是獨立服務器、成員服務器或域控制器。無論是否為域用戶，都可以向獨立根CA申請證書?；A知識介紹(4)獨立子級CA(StandaloneSubordinateCA)。獨立子級CA的角色與功能類似于企業(yè)子級CA，但不需要ActiveDirectory域，扮演獨立子級CA角色的計算機可以是獨立服務器、成員服務器或域控制器。無論是否域用戶，都可以向獨立子級CA申請證書。能力培養(yǎng)能力培養(yǎng)

自20世紀90年代因特網(wǎng)商業(yè)化以來，因特網(wǎng)的應用得到了飛速發(fā)展，網(wǎng)絡用戶越來越多，因特網(wǎng)已經(jīng)深入到人類生活的各個層面。但由于TCP/IP協(xié)議在安全方面的不足以及網(wǎng)絡軟硬件系統(tǒng)的缺陷，使得各種網(wǎng)絡攻擊方法層出不窮，構建科學系統(tǒng)的網(wǎng)絡安全體系成為各種網(wǎng)絡應用系統(tǒng)極其重要的工作，網(wǎng)絡安全成為網(wǎng)絡應用系統(tǒng)成敗的前提條件。本實驗主要包括：操作系統(tǒng)安全設置、IP安全策略的配置、數(shù)字證書的應用等內(nèi)容。能力培養(yǎng)實

驗能力培養(yǎng)目標7-1Windows的本地安全設置了解Windows的安全機制，掌握本地安全中賬戶策略、用戶權利指派、安全選項等設置方法7-2“IP安全策略”的配置了解網(wǎng)絡安全協(xié)議，掌握“IP安全策略”的配置方法，進行網(wǎng)絡安全防護7-3ActiveDirectory證書服務的安裝與應用了解數(shù)字證書、認證中心等的概念與功能，通過“證書服務”功能實現(xiàn)SSL功能實驗內(nèi)容實驗內(nèi)容實驗7-1Windows的本地安全設置實驗目標通過實驗了解操作系統(tǒng)的安全漏洞和安全問題，Windows的安全策略和技術，Windows操作系統(tǒng)的缺陷和漏洞。掌握Windows操作系統(tǒng)的常用安全設置方法，從而提高本地安全性。掌握本地網(wǎng)絡安全與策略的基本配置與操作。實驗內(nèi)容(1)完成賬戶策略中密碼策略和賬戶鎖定策略的設置。(2)完成本地策略中審核策略、用戶權利指派和安全選項的設置。(3)完成公鑰策略和IP安全策略的設置。實驗要求若干臺計算機互連成網(wǎng)，系統(tǒng)安裝有WindowsXP(或其他版本)操作系統(tǒng)。實驗內(nèi)容(1)完成賬戶策略中密碼策略和賬戶鎖定策略的設置。(2)完成本地策略中審核策略、用戶權利指派和安全選項的設置。(3)完成公鑰策略和IP安全策略的設置。實驗要求若干臺計算機互連成網(wǎng)，系統(tǒng)安裝有WindowsXP(或其他版本)操作系統(tǒng)。實驗內(nèi)容1．禁用Guest賬號在計算機管理(見圖7-1)的用戶里面把Guest賬號禁用。如果一定要用，最好給Guest加一個復雜的密碼。選擇“控制面板—管理工具—計算機管理—本地用戶和組”，可以查看默認賬戶的屬性及工作狀態(tài)(見圖7-2)。實驗內(nèi)容圖7-1“計算機管理”對話框實驗內(nèi)容圖7-2“Guest屬性”對話框實驗內(nèi)容2．禁用Administrator賬號系統(tǒng)管理員Administrator用戶名是公開的，不能修改。這意味著黑客可以一遍又一遍地嘗試這個用戶的密碼。所以應該禁用Administrator用戶，為自己新建一個用戶如user1(見圖7-3)，將其加入到管理員組，使其擁有管理員權限，以便管理員使用(見圖7-4)。實驗內(nèi)容圖7-3“新用戶”對話框實驗內(nèi)容圖7-4用戶屬性對話框實驗內(nèi)容3．禁用默認特殊用戶遠程桌面助手賬戶“HelpAssistant”、幫助和支持服務的提供商賬戶“SUPPORT_388945a0”等系統(tǒng)默認賬戶一般很少被使用，為了消除安全隱患，應該禁用。禁用方法與禁用Guest用戶的方法相同。4．其他安全設置1)把共享文件的權限從Everyone組改成授權用戶在NTFS文件系統(tǒng)下，不但可以設置文件夾的共享，也可以設置文件的共享。實驗內(nèi)容在設置共享時，最好把共享權限指定到某些用戶和組，不要把共享的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的。在FAT32文件系統(tǒng)下不能進行這些設置。2)不讓系統(tǒng)顯示上次登錄的用戶名打開注冊表編輯器(開始—運行—執(zhí)行“regedit”命令)并找到注冊表項HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把鍵值改成1(見圖7-5和圖7-6)。實驗內(nèi)容圖7-4用戶屬性對話框實驗內(nèi)容圖7-6修改注冊表對話框實驗內(nèi)容3)系統(tǒng)賬號/共享列表WindowsXP的默認安裝允許任何用戶通過空用戶得到所有系統(tǒng)賬號/共享列表，這個本來是為了方便局域網(wǎng)用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼?？梢酝ㄟ^更改注冊表：Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous=1來禁止139空鏈接，還可以在WindowsXP的本地安全策略(如果是域服務器就是在域服務器安全和域安全策略)中的RestrictAnonymous(匿名連接的額外限制)選項進行設置。實驗內(nèi)容二、本地安全策略設置WindowsXP系統(tǒng)自帶的“本地安全策略”是一個很好的系統(tǒng)安全管理工具，通過對賬戶、密碼、安全選項合理的設置，可以實現(xiàn)高安全性的系統(tǒng)登錄。1．密碼策略為了讓賬戶密碼相對安全、不易被破解，可設置密碼策略，加強密碼的安全性。最有效的方法是增加密碼的長度和復雜性，并定期更改密碼。單擊：“開始”→“程序”→“管理工具”→“本地安全策略”，打開“本地安全設置”控制臺，初始值如圖7-7所示。實驗內(nèi)容圖7-7“密碼策略”對話框實驗內(nèi)容密碼策略中各項的含義及建議設置如下：(1)密碼必須符合復雜性要求。密碼中必須包含大小寫字母、數(shù)字、特殊符號等。(2)密碼長度最小值。密碼長度越長安全性越好，一般最小值為10。(3)密碼最長存留期。設置密碼最長能使用的天數(shù)，可設置為40天。(4)密碼最短存留期。設置密碼最短能使用的天數(shù)，可設置為1天。(5)強制密碼歷史。系統(tǒng)記憶密碼的個數(shù)，設置為記憶10個密碼，這樣新設置的密碼不能和之前的10個密碼一樣。實驗內(nèi)容2．賬戶鎖定策略設置賬戶登錄時，密碼嘗試的次數(shù)，類似于銀行卡密碼每天只能嘗試三次，如果超過三次，則銀行卡就被鎖定，以保護銀行卡賬戶的安全。缺省時密碼嘗試沒有次數(shù)限制(賬戶鎖定閾值=0)，則其他兩個選項也處于無效狀態(tài)(見圖7-8和圖7-9)。實驗內(nèi)容圖7-8“賬戶鎖定策略”對話框實驗內(nèi)容圖7-9設置賬戶鎖定策略實驗內(nèi)容賬戶鎖定策略中各項的含義及建議設置如下：(1)賬戶鎖定閾值。賬戶鎖定閾值用于確定導致用戶賬戶被鎖定的登錄嘗試失敗的次數(shù)。在使用Ctrl+Alt+Del或密碼保護的屏幕保護程序鎖定的工作站或成員服務器上的密碼嘗試失敗時，將計作登錄嘗試失敗，最少3次。(2)賬戶鎖定時間。賬戶鎖定時間用于確定鎖定賬戶在自動解鎖之前保持鎖定的分鐘數(shù)。可用范圍從0～99999分鐘。如果將賬戶鎖定時間設置為0，賬戶將一直被鎖定直到管理員明確解除對它的鎖定。如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。實驗內(nèi)容(3)復位賬戶鎖定計數(shù)器。復位賬戶鎖定計數(shù)器用于確定在某次登錄嘗試失敗之后，將登錄嘗試失敗計數(shù)器重置為0次錯誤登錄嘗試之前所需要的時間。可用范圍是1～99999分鐘。如果定義了賬戶鎖定閾值，此重置時間必須小于或等于賬戶鎖定時間。實驗內(nèi)容3．本地策略1)審核策略每當用戶執(zhí)行了指定的某些操作，審核日志就會記錄一個審核項。用戶可以審核操作中的成功嘗試和失敗嘗試。安全審核對于任何企業(yè)系統(tǒng)來說都極其重要，因為只能使用審核日志來說明是否發(fā)生了違反安全的事件。如果通過其他某種方式檢測到入侵，正確的審核設置所生成的審核日志將包含有關此次入侵的重要信息。每個審核設置的選項為：成功、失敗、無審核?？梢愿鶕?jù)系統(tǒng)安全性的需要設置各個審核項的選項(見圖7-10)。實驗內(nèi)容圖7-10“審核策略”對話框實驗內(nèi)容審核策略中各個審核項的說明如下：(1)審核策略更改。審核策略更改用于確定是否對更改用戶權限分配策略、審核策略或信任策略的每個事件進行審核。一般設置為“成功”。(2)審核登錄事件。審核登錄事件用于確定是否對用戶在記錄審核事件的計算機上登錄、注銷或建立網(wǎng)絡連接的每個實例進行審核。一般設置為“無審核”。實驗內(nèi)容(3)審核對象訪問。審核對象訪問用于確定是否對用戶訪問指定了自身系統(tǒng)訪問控制列表(SACL)的對象(如文件、文件夾、注冊表項和打印機等)這一事件進行審核。它僅在確實要使用記錄的信息時才啟用。(4)審核目錄服務訪問。審核目錄服務訪問用于確定是否對用戶訪問MicrosoftActiveDirectory對象的事件進行審核，該對象指定了自身的SACL。它僅在確實要使用所創(chuàng)建的信息時才啟用。實驗內(nèi)容(5)審核特權使用。審核特權使用用于確定是否對用戶行使用戶權限的每個實例進行審核。只有在已經(jīng)計劃好如何使用所生成的信息時才啟用，一般設置為“無審核”。(6)審核系統(tǒng)事件。審核系統(tǒng)事件用于確定在用戶重新啟動或關閉其計算機時，或者在影響系統(tǒng)安全或安全日志的事件發(fā)生時是否進行審核。一般選擇“成功”。實驗內(nèi)容(7)審核賬戶登錄事件。審核賬戶登錄事件用于確定是否對用戶在另一臺計算機上登錄或注銷的每個實例進行審核，該計算機記錄了審核事件，并用來驗證賬戶。該審核項對于入侵檢測十分有用，但此設置可能會導致拒絕服務(DOS)，一般設置為“無審核”。(8)審核賬戶管理。審核賬戶管理用于確定是否對計算機上的每個賬戶管理事件進行審核。賬戶管理事件的示例包括：創(chuàng)建、修改或刪除用戶賬戶或組；重命名、禁用或啟用用戶賬戶；設置或修改密碼。一般選擇“成功”。實驗內(nèi)容2)用戶權利指派用戶權利指派是指在Windows系統(tǒng)中賦予用戶使用當前系統(tǒng)的各種權限，例如更改系統(tǒng)時間、關閉系統(tǒng)、從網(wǎng)絡訪問此計算機等權限。通過設置“用戶權利指派”策略，可以幫助解決用戶共享計算機無法共享等諸多網(wǎng)絡問題。如果你是系統(tǒng)管理員身份，可以指派特定權利給組賬戶或單個用戶賬戶。在“安全設置”中，定位于“本地策略→用戶權利指派”，而后在其右側的設置視圖中，可針對其下所列的各項策略分別進行安全設置(見圖7-11)。實驗內(nèi)容圖7-11“用戶權利指派”對話框實驗內(nèi)容圖7-12選擇用戶或組實驗內(nèi)容例如，若是希望允許某用戶獲得系統(tǒng)中任何可得到的對象的所有權：包括注冊表項、進程和線程以及NTFS文件和文件夾對象等(該策略的默認設置僅為管理員)。首先應找到列表中“取得文件或其他對象的所有權”策略，用鼠標右鍵單擊，在彈出菜單中選擇“屬性”，在此點擊“添加用戶或組”按鈕，在彈出對話框中(見圖7-12)輸入對象名稱并確認操作。顯然，如果此處的策略配置出現(xiàn)失誤，將會給系統(tǒng)帶來很多麻煩，比方說遠程非法登錄的非管理員級別的用戶，可能就會因此處的配置失誤而能夠進行各種破壞操作。實驗內(nèi)容如果需要恢復“用戶權利指派”策略集的默認設置，可以在“命令提示符”窗口中輸入“Secedit/configure/cfg%windir%\repair\secsetup.inf/dbsecsetup.sdb/areasUSER_RIGHTS/verbose”命令并回車，等待出現(xiàn)命令成功完成的提示即可。對于上述的操作，如果想讓命令執(zhí)行效率更高一些，那么可在命令提示符窗口中輸入“gpupdate”命令強制刷新即可。實驗內(nèi)容3)安全選項根據(jù)用戶對安全性不同和個性化的要求，通過修改“安全選項”相應的參數(shù)和選項來完成，其中的設置在系統(tǒng)重新啟動后生效。實驗內(nèi)容圖7-13“安全選項”對話框實驗內(nèi)容圖7-14“不允許SAM賬戶的匿名枚舉”對話框實驗內(nèi)容常用“安全選項”說明如下：(1)不允許SAM賬戶和共享的匿名枚舉。不允許SAM賬戶的匿名枚舉、禁止賬號克隆。有些蠕蟲病毒可以通過掃描Windows系統(tǒng)的指定端口，然后通過共享會話猜測管理員系統(tǒng)口令。因此，我們需要通過在“本地安全策略”中設置禁止枚舉賬號，從而抵御此類入侵行為。實驗內(nèi)容操作步驟如下：在“本地安全策略”左側列表的“安全設置”目錄樹中，逐層展開“本地策略”、“安全選項”。查看右側的相關策略列表，在此找到“網(wǎng)絡訪問：不允許SAM賬戶和共享的匿名枚舉”，用鼠標右鍵單擊，在彈出菜單中選擇“屬性”，而后會彈出一個對話框，在此激活“已啟用”選項，最后點擊“應用”按鈕使設置生效(見圖7-13和圖7-14)。實驗內(nèi)容(2)賬戶管理。為了防止入侵者利用漏洞登錄機器，我們要在此設置重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶。設置方法為：在“本地策略”“安全選項”分支中，找到“賬戶：來賓賬戶狀態(tài)”策略，點右鍵彈出菜單中選擇“屬性”，而后在彈出的屬性對話框中設置其狀態(tài)為“已停用”，最后“確定”退出。下面再查看“賬戶：重命名系統(tǒng)管理員賬戶”這項策略，調出其屬性對話框，在其中的文本框中可自定義賬戶名稱。相關的選項介紹如下。實驗內(nèi)容管理員賬戶狀態(tài)：可以禁止管理員賬戶。來賓賬戶狀態(tài)：可以禁止來賓賬戶。重命名管理員賬戶：可以修改管理員賬戶名，默認為Administrator。重命名來賓賬戶：可以修改來賓賬戶名，默認為Guest。實驗內(nèi)容(3)不顯示上次的用戶名。防止黑客入侵后查看用戶登錄賬號。在“安全選項”列表中，選擇“交互式登錄：不顯示上次的用戶名”；單擊右鍵，選擇“屬性”；在彈出的“交互式登錄：不顯示上次的用戶名屬性”選項框中，選擇“已啟用”，單擊“確定”按鈕，完成設置。實驗內(nèi)容三、防火墻ICF設置

WindowsXP中自帶的防火墻為Internet連接防火墻，簡稱為ICF。它可保護系統(tǒng)和內(nèi)部網(wǎng)絡不受侵害。僅就防火墻功能而言，Windows防火墻只阻截所有傳入的未經(jīng)請求的流量，對主動請求傳出的流量不作處理。而第三方病毒防火墻軟件一般都會對兩個方向的訪問進行監(jiān)控和審核，這一點是它們之間最大的區(qū)別。如果入侵已經(jīng)發(fā)生或間諜軟件已經(jīng)安裝，并主動連接到外部網(wǎng)絡，那么Windows防火墻是束手無策的。不過由于攻擊多來自外部，而且如果間諜軟件偷偷自動開放端口來讓外部請求連接，那么Windows防火墻會立刻阻斷連接并彈出安全警告，所以普通用戶不必太過擔心這點。實驗內(nèi)容1．打開并啟用ICFWindows防火墻可以在網(wǎng)絡連接屬性、高級選項中打開，選中“Internet連接防火墻”欄的“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡”選項，點擊“確定”使設置有效(見圖7-15)。也可以在控制面板的安全中心中打開。點擊“Windows防火墻”，打開Windows防火墻對話框，選中“啟用(推薦)”單選按鈕(見圖7-16)，最后單擊“確定”按鈕，完成WindowsXP的防火墻設置。實驗內(nèi)容圖7-15防火墻屬性設置實驗內(nèi)容圖7-16啟用防火墻對話框實驗內(nèi)容2．“常規(guī)”選項卡設置在網(wǎng)絡連接屬性窗口選擇“高級”選項卡，單擊“設置”按鈕，可進入防火墻設置界面。配置常規(guī)設置、程序和服務的權限、指定于連接的設置、日志設置和允許的ICMP流量。常規(guī)選項卡有三個選項，如圖7-17所示。在Windows防火墻控制臺“常規(guī)”選項卡中有兩個主選項：啟用(推薦)和關閉(不推薦)，一個子選項“不允許例外”。如果選擇了不允許例外，Windows防火墻將攔截所有的連接用戶計算機的網(wǎng)絡請求，包括在例外選項卡列表中的應用程序和系統(tǒng)服務。實驗內(nèi)容圖7-17ICF常規(guī)設置實驗內(nèi)容3．例外選項卡設置某些程序需要對外通信，就可以把它們添加到“例外”選項卡中，這里的程序將被特許可以提供連接服務，即可以監(jiān)聽和接受來自網(wǎng)絡上的連接。在“例外”選項卡界面下方有兩個添加按鈕，分別是：添加程序和添加端口，可以根據(jù)具體的情況手工添加例外項。如果不清楚某個應用程序是通過哪個端口與外界通信，或者不知道它是基于UDP還是TCP的，可以通過“添加程序”來添加例外項。實驗內(nèi)容如果對端口號以及TCP/UDP比較熟悉，則可以采用后一種方式，即指定端口號的添加方式。對于每一個例外項，可以通過“更改范圍”指定其作用域。4．高級選項卡設置在“高級”選項卡中包含了網(wǎng)絡連接設置、安全記錄、ICMP設置和還原默認設置四組選項，可以根據(jù)實際情況進行配置。(1)網(wǎng)絡連接設置：這里可以選擇Windows防火墻應用到哪些連接上，當然也可以對某個連接進行單獨的配置，這樣可以使防火墻應用更靈活。實驗內(nèi)容(2)安全日志：日志選項里面的設置可以記錄防火墻的跟蹤記錄，包括丟棄和成功的所有事項。在日志文件選項里，可以更改記錄文件存放的位置，還可以手工指定日志文件的大小。系統(tǒng)默認的選項是不記錄任何攔截或成功的事項，而記錄文件的大小默認為4MB。(3)ICMP設置：Internet控制消息協(xié)議(ICMP)允許網(wǎng)絡上的計算機共享錯誤和狀態(tài)信息。在缺省狀態(tài)下，所有的ICMP都沒有打開。(4)默認設置：如果要將所有Windows防火墻設置恢復為默認狀態(tài)，可以單擊右側的“還原為默認值”按鈕。實驗內(nèi)容5．組策略部署在ICF中，只能通過網(wǎng)絡連接、網(wǎng)絡創(chuàng)建向導和Internet連接向導執(zhí)行啟用或關閉ICF，而從XP后新版的Windows防火墻則可以通過組策略來控制防火墻狀態(tài)、允許的例外等設置。組策略的設置具有很高的優(yōu)先級。依次單擊“開始→運行”，在“運行”對話框中輸入“gpedit.msc”，然后點擊“確定”按鈕即可打開WinXP組策略編輯器。實驗內(nèi)容進入組策略編輯器后，就可以用它配置Windows防火墻了。從左側窗格中依次展開“計算機配置→管理模板→網(wǎng)絡→網(wǎng)絡連接→Windows防火墻”。在Windows防火墻下可以看到兩個分支，一個是域配置文件，一個是標準配置文件。簡單的說，當計算機連接到有域控制器的網(wǎng)絡中時(即有專門的管理服務器時)，是域配置文件起作用，相反，則是標準配置文件起作用(見圖7-18)。即使沒有配置標準配置文件，缺省的值也會生效。配置文件中的每個項目均有未配置、已啟用、未啟用三個選項，根據(jù)實際需要進行選擇和設置。實驗內(nèi)容圖7-18“標準配置文件”對話框實驗內(nèi)容四、注冊表設置單擊“開始”菜單，選擇“運行”，在“運行”對話框中打開注冊表編輯器，選擇“打開”下拉框，輸入“regedit”，最后點擊“確定”按鈕(見圖7-19)。實驗內(nèi)容圖7-19注冊表編輯器實驗內(nèi)容1．隱藏上次登錄用戶名依次進入“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Policies\System”，也可以利用菜單“編輯—查找”輸入關鍵詞快速找到相關的選項；在右側框中雙擊“DontdisplayLastusername”名稱，將其值設為1。2．禁止按Shift鍵自動登錄進入“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current-Version\Winlogon”，新建“DWORD值”，名稱為“IgnorShiftOverride”，將其值設置為1。實驗內(nèi)容3．禁止用戶更改密碼進入“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”，新建“DWORD值”，名稱為“DisableChangePassword”，將其值設置為1。4．禁止用戶使用注冊表編輯器進入“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”，新建“DWORD值”，名稱為“DisableRegistryTools”，將其值設置為1。實驗內(nèi)容5．限制普通用戶使用“控制面板”進入“HKEY_CURRENT_USER\Sotfware\Microsoft\Windows\CurrentVersion\Explorer”，新建“DWORD值”，名稱為“NoSetFolders”，將其值設置為1。6．禁止空連接進入“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，選中“RestrictAnonymous”，將其值更改為1。實驗內(nèi)容7．禁止用戶使用“任務管理器”進入“HKEY_CURRENT_USER\Sotfware\Microsoft\Windows\CurrentVersion\Policies\Explorer”，新建“DWORD值”，名稱為“DisableTaskMgr”，將其值設置為1。這僅是在原有WindowsXP操作系統(tǒng)下的一些設置，倘若需要更安全，還需采用一定的軟件和硬件措施。實驗內(nèi)容實驗7-2“IP安全策略”的配置實驗目標理解網(wǎng)絡安全協(xié)議的概念和作用，了解IPSec的功能和工作原理。掌握Windows中IP安全策略的配置方法，針對不同的安全性需求，設置不同的安全策略。(1)阻止固定IP地址訪問服務器。(2)封堵危險端口。(3)禁止訪問指定域名。實驗內(nèi)容實驗要求(1)網(wǎng)絡服務器：裝有Windows2008Server操作系統(tǒng)、具有固定IP地址、開通終端服務。(2)客戶機：裝有WindowsXP操作系統(tǒng)，具有固定IP地址。實驗步驟一、阻止固定IP地址訪問很多服務器都開通了終端服務，除了使用用戶權限控制訪問外，還可以創(chuàng)建IPSec安全策略進行限制。本節(jié)阻止局域網(wǎng)中IP為“”的機器訪問Windows終端服務器。實驗內(nèi)容1．創(chuàng)建IP安全策略在“本地安全設置”主窗口中，右鍵點擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”選項(見圖7-20)，進入“IP安全策略向導”，點擊“下一步”按鈕，在“IP安全策略”名稱對話框中輸入該策略的名字(見圖7-21)，如“終端服務過濾”，點擊“下一步”按鈕，下面彈出的對話框都選擇默認值，最后點擊“完成”按鈕。實驗內(nèi)容圖7-20“創(chuàng)建IP安全策略”對話框實驗內(nèi)容圖7-21“IP安全策略”名稱實驗內(nèi)容2．創(chuàng)新篩選器為該策略創(chuàng)建一個篩選器。右鍵點擊“IP安全策略，在本地計算機”安全策略，在菜單中選擇“管理IP篩選器表和篩選器操作”，切換到“管理IP篩選器列表”標簽頁(見圖7-22)，點擊下方的“添加”按鈕，彈出“IP篩選器列表”對話框，在“名稱”輸入框中輸入“終端服務”(見圖7-23)，點擊“添加”，進入“IP篩選器向導”窗口。實驗內(nèi)容圖7-22“管理IP篩選器列表”標簽頁實驗內(nèi)容圖7-23“IP篩選器列表”對話框實驗內(nèi)容點擊“下一步”按鈕，在“源地址”下拉列表框中選擇“一個特定IP地址”，然后輸入該客戶機的IP地址和子網(wǎng)掩碼，如“”(見圖7-24)。點擊“下一步”按鈕后，在“目標地址”下拉列表框中選擇“我的IP地址”，點擊“下一步”按鈕，接著在“選擇協(xié)議類型”中選擇“TCP”協(xié)議，點擊“下一步”按鈕，接著在協(xié)議端口中選擇“從任意端口，到此端口”，在輸入框中填入“3389”(遠程桌面的服務端口)，點擊“下一步”按鈕后完成篩選器的創(chuàng)建(見圖7-25)。實驗內(nèi)容圖7-24篩選器向導實驗內(nèi)容圖7-25IP協(xié)議端口對話框實驗內(nèi)容3．新建一個阻止操作切換到“篩選器操作”標簽頁(見圖7-26)，點擊“添加”按鈕，進入到“IP安全篩選器操作向導”，點擊“下一步”按鈕，給這個操作起一個名字，如“阻止”，點擊“下一步”按鈕，接著設置“篩選器操作的行為”，選擇“阻止”單選項(見圖7-27)，點擊“下一步”按鈕，就完成了“IP安全篩選器操作”的添加工作。實驗內(nèi)容圖7-27IP安全篩選器操作向導實驗內(nèi)容4．綁定過濾器和操作在IP安全策略主窗口中，雙擊第一步建立的“終端服務過濾”安全策略，點擊“添加”按鈕，進入“創(chuàng)建IP安全規(guī)則向導”，點擊“下一步”按鈕，選擇“此規(guī)則不指定隧道”，點擊“下一步”按鈕，在網(wǎng)絡類型對話框中選擇“局域網(wǎng)”，點擊“下一步”按鈕，在接下來對話框中選擇默認值，點擊“下一步”按鈕，在IP篩選器列表中選擇“終端服務”選項(見圖7-28)，點擊“下一步”按鈕，接著在篩選器操作列表中選擇“阻止”(見圖7-29)，最后點擊“完成”按鈕。實驗內(nèi)容圖7-27IP安全篩選器操作向導實驗內(nèi)容圖7-29篩選器操作實驗內(nèi)容5．完成“指派”完成了創(chuàng)建IPSec安全策略后，還要進行指派。右鍵單擊“終端服務過濾”，在彈出的菜單中選擇“指派”，這樣就啟用了該IPSec安全策略。局域網(wǎng)中IP為“”的機器就不能訪問Windows2008終端服務器了。注意：Windows系統(tǒng)的IPSec安全策略，一臺機器同時只能有一個策略被指派。實驗內(nèi)容6．IPSec安全策略驗證通過ping命令來測試的連通性，在配置和指派“終端服務過濾”策略前，可以連通，在配置并指派后則不能連通。如果不放心的話，也可以在“命令提示符”下使用“gpupdate/force”命令強行刷新IPSec安全策略。在使用Windows2008系統(tǒng)中，驗證指派的IPSec安全策略很簡單，在“命令提示符”下輸入“netshipsecdynamicshowALL”命令，然后返回命令結果。這樣，我們就能很清楚地看到該IP安全策略是否生效了。實驗內(nèi)容二、封堵危險端口默認情況下，Windows有很多端口是開放的，在用戶上網(wǎng)的時候，網(wǎng)絡病毒和黑客可以通過這些端口連上用戶的電腦。為了讓用戶的系統(tǒng)變?yōu)殂~墻鐵壁，應該封閉這些端口，主要有：TCP協(xié)議的135、139、445、593、1025端口和UDP協(xié)議的135、137、138、445端口，一些流行病毒的后門端口(如TCP2745、3127、6129端口)，以及遠程服務訪問端口3389。實驗內(nèi)容ping命令是利用TCP的135端口傳遞數(shù)據(jù)的，所以我們只要在IP安全策略中封堵禁止TCP的135端口，就可以禁止其他計算機ping自己了(當然防火墻也可以實現(xiàn)此功能)。實驗內(nèi)容下面介紹如何在WindowsXP/2000/2008下關閉TCP的135端口，禁止其他計算機ping本機：1．創(chuàng)建IP篩選器(1)在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向導”窗口，輸入IP篩選器名稱“封堵TCP135”(見圖7-30)，下一步將會彈出“IP通信源”頁面，在該頁面中設置“源地址”為“我的IP地址”(見圖7-31)，“目標地址”為“任何IP地址”，使得任何IP地址的計算機都不能ping你的機器。實驗內(nèi)容圖7-30創(chuàng)建IP篩選器實驗內(nèi)容圖7-31指定源地址、目標地址實驗內(nèi)容(2)在“篩選器屬性”中封閉端口，比如封閉TCP協(xié)議的135端口：在“選擇協(xié)議類型”的下拉列表中選擇“TCP”(見圖7-32)，然后在“到此端口”下的文本框中輸入“135”(見圖7-33)，點擊“確定”按鈕，這樣就添加了一個屏蔽TCP135(RPC)端口的篩選器，它可以防止外界通過135端口連上你的電腦。實驗內(nèi)容圖7-32選擇協(xié)議類型實驗內(nèi)容圖7-33設置IP協(xié)議端口實驗內(nèi)容根據(jù)需要重復以上步驟可繼續(xù)添加TCP137、139、445、593等端口和UDP135、139、445等端口，為它們建立相應的篩選器。(3)依次單擊“下一步”→“完成”按鈕，此時，將會在“IP篩選器列表”看到剛剛創(chuàng)建的篩選器，將其選中后單擊“下一步”，在出現(xiàn)的“篩選器操作”頁面中設置篩選器操作為“需要安全”選項。實驗內(nèi)容2．創(chuàng)建IP安全策略(1)依次單擊“開始→控制面板→管理工具→本地安全策略”，打開“本地安全設置”，右擊該對話框左側的“IP安全策略，在本地計算機”選項，執(zhí)行“創(chuàng)建IP安全策略”命令。輸入IP安全策略名稱(如：封堵TCP135)等參數(shù)(見圖7-34)。實驗內(nèi)容(2)下一步取消選擇“激活默認響應規(guī)則”，再下一步，在出現(xiàn)的“默認響應規(guī)則身份驗證方法”對話框中選中“此字符串用來保護密鑰交換(預共享密鑰)”選項，然后在下面的文字框中輸入一段字符串(如123456)作為保護密鑰交換的密碼(見圖7-35)。點擊“下一步”按鈕完成了IP安全策略的創(chuàng)建工作。實驗內(nèi)容圖7-34創(chuàng)建IP安全策略實驗內(nèi)容圖7-35保護密鑰交換的密碼實驗內(nèi)容(3)完成創(chuàng)建IP安全策略后，要為其指定IP篩選器和訪問規(guī)則。右擊“封堵TCP135”“屬性”彈出“封堵TCP135屬性”對話框，點擊“添加”按鈕(見圖7-36)，彈出“安全規(guī)則向導”對話框，選擇“此規(guī)則不指定隧道”，選擇網(wǎng)絡類型“所有網(wǎng)絡連接”，在IP篩選器列表中選擇“封堵TCP135”，在篩選器操作中選擇“阻止”(見圖7-37)，完成IP安全策略設置。實驗內(nèi)容圖7-36IP篩選器列表實驗內(nèi)容圖7-37篩選器操作實驗內(nèi)容3．指派IP安全策略安全策略創(chuàng)建完畢后并不能馬上生效，還需通過“指派”功能令其發(fā)揮作用。方法是：在“控制臺根節(jié)點”中右擊“新的IP安全策略”選項，然后在彈出的右鍵菜單中執(zhí)行“指派”命令，即可啟用該策略。4．結果驗證在“指派”策略前，從其他計算機可以ping通本機，“指派”后則不能ping通(不過在本地仍然能夠ping通自己)。實驗內(nèi)容三、禁止訪問指定域名WindowsXP專業(yè)版自帶的IP安全策略，其功能并不比一些免費的防火墻差，可以關閉或開啟端口，可以封掉指定的IP地址，還可以封掉指定的域名。只是設置起來有點麻煩，以下以封掉指定域名()為例，講述設置過程。1．創(chuàng)建IP安全策略(1)點擊“計算機配置→windows設置→安全設置”，用鼠標右鍵點擊“IP安全策略”，在彈出菜單中點擊“創(chuàng)建IP安全策略”，點擊“下一步”按鈕。實驗內(nèi)容(2)出現(xiàn)“IP安全策略名稱”輸入界面，可以使用默認名稱“新IP安全策略”或者隨便輸入一個名稱，如：“封堵ABC”(圖7-38)。點擊“下一步”按鈕，出現(xiàn)“安全通訊請求”設置窗口，使用默認設置“激活默認響應規(guī)則”，點擊“下一步”按鈕。(3)出現(xiàn)“默認響應規(guī)則身份驗證方式”設置窗口，選擇“此字符串用來保護密鑰交換”，并隨便輸入一串字符，比如：123456abcd等(圖7-39)，點擊“下一步”按鈕。(4)出現(xiàn)完成“新IP安全策略屬性設置”的界面，選中“編輯屬性”，點擊“完成”按鈕。實驗內(nèi)容圖7-38新IP安全策略實驗內(nèi)容圖7-39默認響應規(guī)則身份驗證方式實驗內(nèi)容2．設置IP安全策略屬性(1)進入“封堵ABC屬性設置”界面(見圖7-40)，選擇“使用添加向導”，點擊“添加”按鈕。(2)出現(xiàn)“安全規(guī)則向導”，點擊“下一步”按鈕，進入“隧道終結點”設置界面，選擇“此規(guī)則不指定隧道”(見圖7-41)，點擊“下一步”按鈕。實驗內(nèi)容圖7-40“封堵ABC屬性設置”界面實驗內(nèi)容圖7-41“隧道終結點”設置界面實驗內(nèi)容(3)出現(xiàn)網(wǎng)絡類型設置界面，選擇“所有網(wǎng)絡連接”，點擊“下一步”按鈕，再次出現(xiàn)“默認響應規(guī)則身份驗證方式”設置窗口，選擇“此字符串用來保護密鑰交換”，再次隨便輸入一串字符，比如：123456abcd等，點擊“下一步”按鈕。3．創(chuàng)建IP篩選器出現(xiàn)“IP篩選器列表”界面，點擊“添加”按鈕，按照步驟創(chuàng)建IP篩選器(如果已經(jīng)編輯好IP篩選器，則直接在列表框中選中IP篩選器，如abc，在該項前面的圓圈中打上圓點標記，再點擊“下一步”按鈕，在“篩選器操作”中，選擇“拒絕”，在“拒絕”左邊的圓圈中打上圓點標記，點擊“下一步”按鈕，點擊“完成”按鈕)。實驗內(nèi)容(1)啟動IP篩選器向導：名稱可以使用默認“新IP篩選器列表”或者另取名字，如：abc。選中“使用添加向導”，點擊“添加”按鈕，啟動IP篩選器向導，點擊“下一步”按鈕。(2)指定IP通信源為：源地址選擇“一個特定的DNS名稱”，輸入主機名，在這里填入想要屏蔽的網(wǎng)絡域名，如(見圖7-42)，點擊“下一步”按鈕，這里可能會出現(xiàn)一個“安全警告”提示框，點擊“確定”按鈕。(3)設置IP通信目標為：我的IP地址(見圖7-43)；設置“IP協(xié)議類型”為“任意”，點擊“下一步”按鈕，點擊“完成”按鈕。實驗內(nèi)容圖7-42指定IP通信源實驗內(nèi)容圖7-43設置IP通信目標實驗內(nèi)容(4)回到“IP篩選器列表”界面，可以點擊“確定”退出此界面，或者點擊“添加”按鈕，繼續(xù)添加其他篩選器。(5)在列表框中選中剛才建立的IP篩選器，如abc，在該項前面的圓圈中打上圓點標記，再點擊“下一步”按鈕，在“篩選器操作”中，選擇“拒絕”(如果篩選器操作中找不到“拒絕”選項，那么需要進行添加“篩選器操作”)，在“拒絕”左邊的圓圈中打上圓點標記，點擊“下一步”按鈕，點擊“完成”按鈕。實驗內(nèi)容4．指派安全策略在組策略IP安全策略右邊窗口，找到剛才建立的IP安全策略，如abc，用鼠標右鍵點擊，在彈出的菜單中點擊“指派”。如果沒有進行此項操作，IP策略不會生效。5．效果測試重啟電腦，IP安全策略就生效了。這時，打開瀏覽器，輸入在以上過程中屏蔽掉的網(wǎng)址(域名)，如，如果無法瀏覽那個網(wǎng)站了，說明以上操作步驟正確。實驗內(nèi)容否則，按照以上步驟重新檢查。一般來說，容易忽視的地方是最后的“指派”操作，還有篩選器操作設置不當，如“阻止”設置成了“許可”。網(wǎng)上有IP安全規(guī)則可供下載，主要用于防范木馬病毒，但是不一定適合自己使用，需要適當修改一下，然后導入組策略，指派后就可生效，比Windows自帶的防火墻好用得多。實驗內(nèi)容實驗7-3ActiveDirectory證書服務的安裝與應用實驗目標通過實驗加深對數(shù)字證書原理和CA的理解，熟悉數(shù)字證書的作用及數(shù)字證書的申請、下載及安裝過程，掌握服務器數(shù)字證書的使用。(1)證書服務器的安裝與配置。(2)數(shù)字證書的申請與頒發(fā)。(3)配置SSL協(xié)議。(4)實現(xiàn)Web的安全訪問。實驗內(nèi)容實驗要求(1)默認Web服務器(基于IIS)。(2)證書服務器(基于WindowsServer2008)。實驗步驟一、證書服務器的安裝與配置在基于WindowsServer2008的服務器上安裝證書服務，操作過程如下：實驗內(nèi)容1．啟動添加“ActiveDirectory證書服務”角色向導點擊“開始菜單→管理工具→服務器管理器”，選擇左側樹形菜單“角色”節(jié)點，右鍵“添加角色”勾選(見圖7-44)，點擊“下一步”按鈕，出現(xiàn)證書服務簡介窗口(見圖7-45)，點擊“下一步”按鈕，彈出“添加角色向導”界面(見圖7-46)。實驗內(nèi)容圖7-44選擇服務器角色實驗內(nèi)容圖7-45證書服務簡介窗口實驗內(nèi)容圖7-46“添加角色向導”界面實驗內(nèi)容2．添加所需角色服務點擊“添加所需的角色服務”按鈕，選擇“證書頒發(fā)機構”、“證書頒發(fā)機構Web注冊”和“聯(lián)機響應程序”選項，點擊“下一步”按鈕(見圖7-47)。3．指定安裝類型在指定安裝類型窗口中，選擇“企業(yè)”(“企業(yè)”需要域環(huán)境，“獨立”不需要域環(huán)境)(圖7-48)，點擊“下一步”按鈕。在指定CA類型窗口中，選擇“根”(見圖7-49)，點擊“下一步”按鈕。實驗內(nèi)容圖7-47添加所需的角色服務實驗內(nèi)容圖7-48指定安裝類型窗口實驗內(nèi)容圖7-49指定CA類型窗口實驗內(nèi)容4．設置私鑰和加密為了CA的安全必須為CA服務器建立一個私鑰，選擇“新建私鑰”(見圖7-50)，點擊“下一步”按鈕。如果是重新安裝CA也可以選擇“使用現(xiàn)有私鑰”，以保證與先前證書的連續(xù)性。在設置私鑰窗口中，選擇加密服務提供程序：RSA#MicrosoftSoftwareKeyStoragePrivider，密鑰字符長度：2048(見圖7-51)，選擇此CA頒發(fā)的簽名證書的哈希算法：SHA1，然后點擊“下一步”按鈕。實驗內(nèi)容圖7-50新建私鑰對話框實驗內(nèi)容圖7-51選擇加密服務提供程序實驗內(nèi)容5．設置CA公鑰的名稱與有效期CA公鑰的名稱相當于頒發(fā)機構的名稱，類似于我們身份證的頒發(fā)機關是某某公安局。這里我們可以自行定義，也可以按缺省的名字，可辨名稱后綴一般不用修改(見圖7-52)，直接點擊“下一步”按鈕。根據(jù)系統(tǒng)要求設置生成證書的有效期，這里選擇5年(見圖7-53)，直接點擊“下一步”按鈕。實驗內(nèi)容圖7-52CA公鑰的名稱實驗內(nèi)容圖7-53設置生成證書的有效期實驗內(nèi)容6．設置證書數(shù)據(jù)庫及日志的存儲位置接下來是指定證書數(shù)據(jù)庫和日志的存儲地址，按默認路徑就可以(也可以“瀏覽”修改)，然后點擊“下一步”按鈕。7．添加Web服務器角色本次實驗要求申請、頒發(fā)證書時通過Web界面進行，所以CA服務器必須添加Web服務器角色。在添加角色窗口中(見圖7-54)，選擇添加Web服務器(IIS)選項，在選擇角色服務窗口中，可以根據(jù)需要的功能選擇，勾選運行Asp.Net網(wǎng)站必需的項(也可以進行簡單的全選)如圖7-55所示，點擊“下一步”按鈕。實驗內(nèi)容圖7-54Web服務器對話框實驗內(nèi)容圖7-55添加角色服務窗口實驗內(nèi)容8．執(zhí)行安裝在“確認安全選擇”窗口中(見圖7-56)，檢查安裝的角色、服務等相關參數(shù)，如果有問題可以選擇點擊“上一步”按鈕進行修改，確認后點擊“安裝”按鈕，進入安全進度界面，提示各項都安裝成功后，點擊“關閉”按鈕(見圖7-57)。實驗內(nèi)容圖7-56“確認安全選擇”窗口實驗內(nèi)容圖7-57安裝結果窗口實驗內(nèi)容另外，證書服務也可以在控制面板中的“添加Windows組件”來安裝。配置IIS中的默認Web服務器的參數(shù)，使得默認網(wǎng)站可以訪問，啟動IE，輸入“1”(客戶端IP)可以打開相應的網(wǎng)頁，說明Web服務器安裝成功并可以正常運行。二、Web服務器的數(shù)字證書的申請因為CA被寫入了默認網(wǎng)站的虛擬目錄里，所以我們申請證書時要注意，將Web先暫停一下(見圖7-58)，啟用默認網(wǎng)站的配置。在Web屬性窗口中，為Web服務器上填寫一個證書申請表。實驗內(nèi)容1．啟動“IIS證書向導”右擊“Web”，選擇“屬性”，選擇“目錄安全性”，單擊“服務器證書”(見圖7-59)。接下來，系統(tǒng)會要求用戶選擇指定服務器證書的來源方式，如果尚未安裝過服務器證書，這時候用戶必須選擇“創(chuàng)建一個新證書”選項。若之前已獲取過Web服務器證書，而且想要重新利用這些已有的證書，選擇“分配一個已存在的證書”或者“從密鑰管理器備份文件導入一個證書”選項，將原有的Web服務器證書安裝到IIS系統(tǒng)上。實驗內(nèi)容圖7-58停止Web服務實驗內(nèi)容圖7-59Web屬性窗口實驗內(nèi)容這里選擇“新建證書”單擊“下一步”按鈕(見圖7-60)，此時系統(tǒng)要求用戶選擇證書要求的時機，用戶可以按照需要來選擇是否要先準備好證書要求，稍后再將此證書要求發(fā)送到證書頒發(fā)機構上，以獲取適當?shù)淖C書信息；或者立即將證書要求傳遞到用戶在稍后指定的證書頒發(fā)機構上，立即向證書頒發(fā)機構要求獲取證書信息。選擇“現(xiàn)在準備證書請求，但稍后發(fā)送”(見圖7-61)。實驗內(nèi)容圖7-60新建證書對話框實驗內(nèi)容圖7-61選擇證書要求的時機實驗內(nèi)容2．填寫證書申請信息按照向導提示，分別輸入：證書名稱、密鑰長度、單位、部門、公鑰名稱、地理信息等申請表信息。在名稱對應的文本框中輸入一個易于標識的證書名稱，在位長對應的下拉菜單處設置此證書要使用的密鑰長度。根據(jù)應用的需要，設置適當?shù)拿荑€長度。一般來說大約1024、2048B會是比較好的選擇見(見圖7-62和圖7-63)。實驗內(nèi)容在“證書請求的文件名”中要定義一個文本文件如certreg.txt，并指定保存位置，以便提交證書申請時使用(見圖7-64)。當設置完成后，系統(tǒng)會顯示剛剛所設置的證書申請條件，用戶可以檢查是否有錯誤，若無錯誤，可以繼續(xù)按“下一步”按鈕，進行下一個步驟的服務器證書安裝設置過程。實驗內(nèi)容圖7-62填寫證書名稱與密鑰位長實驗內(nèi)容圖7-63填寫站點公用名稱實驗內(nèi)容圖7-64證書請求的文件名實驗內(nèi)容圖7-65完成Web服務器證書向導實驗內(nèi)容單擊“完成”(見圖7-65)，這時證書申請表已經(jīng)成功地完成填寫了。這時計算機已經(jīng)把證書請求文件存儲下來了，現(xiàn)在，就可以去證書頒發(fā)機構去獲取證書了。3．Web數(shù)字證書的申請登錄數(shù)字證書申請頁面(如1/certsrv，1是ADCS服務器的IP地址，certsrv是證書服務的虛擬目錄)，利用剛剛生成的證書請求代碼進行服務器證書的申請(見圖7-66)。單擊“申請一個證書”并選擇“高級證書申請”(見圖7-67)。實驗內(nèi)容圖7-66登錄數(shù)字證書申請頁面實驗內(nèi)容圖7-67申請一個證書實驗內(nèi)容因為已經(jīng)創(chuàng)建了證書申請表，所以選擇第二項(見圖7-68)，并打開剛才的證書申請表文件certreg.txt，將其內(nèi)容復制粘貼到“保存的申請”下的文本編輯框中(見圖7-69)(注意：粘貼后，要檢查最前面是否有空格，如果有要刪除最前面的空格)，并選擇正確的證書模版，單擊“提交”按鈕。實驗內(nèi)容圖7-68高級證書申請實驗內(nèi)容圖7-69提交一個證書申請實驗內(nèi)容4．數(shù)字證書的頒發(fā)完成數(shù)字證書申請后，數(shù)字證書的頒發(fā)應在CA服務器上完成。點擊“提交”之后，這張證書仍舊是“掛起”的證書申請狀態(tài)，所以我們需要手工去批準頒發(fā)。在CA服務器上，選擇“管理服務器→角色→ActiveDirectory證書服務”再選擇“證書頒發(fā)機構”。進入“掛起的申請”，右鍵點擊剛才申請的那張證書點擊“頒發(fā)”來頒發(fā)這張證書。實驗內(nèi)容5．下載和安裝證書在Web服務器(本例中也是CA服務器)上啟動IE，再次打開CA服務器網(wǎng)站，選擇“下載一個證書，證書鏈或CRL”，選擇“下載證書”(見圖7-70)，單擊“保存”按鈕，將證書保存到桌面或硬盤(見圖7-71)。實驗內(nèi)容圖7-70下載證書界面實驗內(nèi)容圖7-71保存證書文件實驗內(nèi)容6．安裝Web證書右擊“Web”，選擇“屬性”，選擇安全性選項卡，單擊“服務器證書”(見圖7-72)，選擇“處理掛起的請求”單擊“下一步”按鈕，選擇剛才下載保存的證書文件certnew.cer(見圖7-73)，設置使用的SSL端口為443，單擊“下一步”按鈕，完成證書的安裝。實驗內(nèi)容圖7-72Web安全性選項卡實驗內(nèi)容圖7-73指定下載證書文件的路徑實驗內(nèi)容此時Web服務器證書的申請安裝已經(jīng)完成，但因為還沒有啟用SSL服務，所以啟動IE瀏覽器，輸入1，仍然可以正常訪問Web網(wǎng)站。三、瀏覽器證書的申請在基于WindowsXP的客戶端上申請和安裝數(shù)字證書?？蛻舳俗C書的申請與安裝基本與Web證書相同，只是選擇“用戶證書”不需要進一步識別信息，直接提交即可。在證書頒發(fā)后，直接安裝此證書。實驗內(nèi)容四、設置SSL協(xié)議在安裝了服務器的證書后，用戶打開Web站點的屬性設置窗口(見圖7-74)，這時SSLPort變?yōu)榭商顚憼顟B(tài)。這里用戶要為該Web站點填寫一個安全通道端口(SSLPort)，推薦填寫默認值443。現(xiàn)在展開“目錄安全性”頁面，用戶可以看到在“安全通信”部分里的“查看證書”以及“編輯”按鈕已經(jīng)呈現(xiàn)啟用狀態(tài)了(見圖7-75)，表示這時候就可以開始設置Web服務器的安全性協(xié)議使用設置了。進入Web的屬性窗口的目錄安全性選項卡，單擊“編輯”按鈕。實驗內(nèi)容“要求安全通道SSL”選項：一般來說，若沒有啟動此選項的話，Web服務器默認都會以HTTP的通信協(xié)議來提供WWW服務。但若啟動了此選項后，IIS系統(tǒng)就會強迫WWW客戶端瀏覽器使用SSL的通信協(xié)議(采用SSL安全協(xié)議)來使用WWW的服務。此處選擇“要求安全通道”，并根據(jù)需要選擇“客戶端證書”選項?？蛻舳俗C書的三個選項介紹如下：(1)忽略客戶端證書。用戶可以不提供證書，只使用服務器證書進行SSL通信，就是說服務器不驗證客戶身份是否合法。配置此項后，訪問這個站點時必須使用HTTPS協(xié)議。實驗內(nèi)容圖7-74Web目錄安全性對話框實驗內(nèi)容圖7-75“安全通信”對話框實驗內(nèi)容(2)接受客戶端證書。客戶可以提供也可以不提供證書，服務器都允許客戶對服務器訪問，并且客戶提供證書時，服務器將對客戶身份的合法性進行驗證。(3)要求客戶端證書。用戶必須提供一個證書才能夠獲得訪問權限，拒絕沒有有效客戶端證書的用戶的訪問。這種方式具有較高的安全性。當設置完成后，單擊“OK”按鈕。這時，已經(jīng)完成了安全Web站點的設置工作，并已經(jīng)啟用了安全通道，如果再通過“http:”連接來連接該Web站點，系統(tǒng)會提示必須要通過“https:”連接來連接上要訪問的站點。完成配置后，單擊“完成”確認配置，結束SSL安全網(wǎng)站的配置。實驗內(nèi)容五、客戶端的驗證1．選擇“忽略客戶端證書”選項在“安全通信”窗口中選擇“忽略客戶端證書”選項。在客戶端啟動IE，輸入1則不能訪問Web頁面，需要鍵入1，首先出現(xiàn)安全警報(見圖7-76)，選擇繼續(xù)訪問，則可以成功打開網(wǎng)頁(見圖7-77)。實驗內(nèi)容圖7-76SSL安全警報實驗內(nèi)容圖7-77通過HTTPS訪問Web服務器實驗內(nèi)容因為客戶采用的是忽略客戶端證書，所以客戶端在訪問Web服務器時不提示下載證書。2．選擇“要求客戶端證書”選項在客戶端啟動IE，輸入1。提示“選擇數(shù)字證書”，選擇安裝的證書(見圖7-78)就可以成功訪問Web服務器了(見圖7-79)，這樣就實現(xiàn)了基于SSL的安全Web訪問(如果客戶端沒有數(shù)字證書則不能訪問)。實驗內(nèi)容圖7-78提示“選擇數(shù)字證書”實驗內(nèi)容圖7-79成功訪問Web服務實驗作業(yè)實驗作業(yè)(1)根據(jù)實際需要，設計Windows安全策略，如禁止Administrator、Guest賬戶；設置密碼復雜性；建立新的系統(tǒng)管理員賬戶并指派權限等。對Windows中“本地安全設置”相關選項進行設置，主要包括：賬戶策略、用戶安全選項指派、安全選項設置等。(2)熟悉IP安全策略中的三個默認安全策略(安全服務器、客戶端、服務器)，并分別進行指派，以測試其安全性功能。實驗作業(yè)(3)在WindowsServer2008服務器上新建IP安全策略，分別實現(xiàn)：阻止固定IP地址訪問(如：)、封堵危險端口(如：TCP協(xié)議135端口)、禁止訪問指定域名(如：)。(4)在WindowsServer2008服務器上安裝配置Web服務(建立簡單的網(wǎng)站)、安裝配置證書服務并進行簡單設置；在WindowsXP(IE客戶端)環(huán)境下，申請并安裝數(shù)字證書、設置SSL選項；分別為Web服務器和IE客戶端申請、安裝數(shù)字證書；實現(xiàn)客戶機對Web服務器的安全訪問(HTTPS)。提升與拓展提升與拓展一、WindowsXP安全建議1．及時安裝系統(tǒng)補丁

到微軟網(wǎng)站下載最新的補丁程序，經(jīng)常訪問微軟和一些安全站點，下載最新的ServicePack和漏洞補丁是保障服務器長久安全的唯一方法。2．安裝更新殺毒軟件

殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，因此要注意經(jīng)常運行程序并升級病毒庫。360安全中心、瑞星、賽門鐵克、江民等都是不錯的選擇。提升與拓展3．關閉不必要的服務服務組件安裝得越多，用戶可以享受的服務功能也就越多，但是用戶平時使用到的服務組件畢竟有限，而那些很少用到的組件除占用了不少系統(tǒng)資源，會引起系統(tǒng)不穩(wěn)定外，還為黑客的遠程入侵提供了多種途徑。在控制面板中“管理工具”→“服務”對話窗口中，對相應的服務進行啟動和停止。提升與拓展4．禁止遠程協(xié)助和遠程登錄“遠程協(xié)助”允許用戶在使用計算機發(fā)生困難時，向MSN上的好友發(fā)出遠程協(xié)助邀請，來幫助自己解決問題。這一功能正是“沖擊波”病毒所要攻擊的RPC(RemoteProcedureCall)服務在Windows