实验指导书5_基于Windows网络安全整体解决方案

南昌航空大学科技学院实验报告

课程名称：信息安全概论

实验名称：基于Windows网络安全整体解决方案

学号： 148206102

姓名：刘婷

指导老师评定：

签名：

2016年 11 月 07 日

一、实验目的

通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板，了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施，实现Web服务器和FTP服务器的安全配置。综合运用加密、IP过滤、安全套接层协议等安全技术，建立一个Windows操作系统的基本安全框架，掌握证书服务器的配置和使用方法。

二、实验原理

账户和口令是登录系统的基础，合理地设置账号、口令是很必要的。磁盘数据也是攻击者的主要目标，NTFS文件系统是一种安全的文件系统，当用户的计算机在没有足够物理保护的地方使用时，保密数据可能被盗取，造成数据丢失。采用加密文件系统EFS 的加密功能可以对敏感数据文件进行加密，加强数据的安全性。

IIS是Windows系统中的Internet信息和应用程序服务器。利用IIS可以配置Windows 平台方便地提供并且和系统管理功能完美的融合在一起，使系统管理员获得和Windows系统完全一致的管理。

安全套接层(Secure Socket Layer ,SSL)是使用公钥和私钥技术组合的安全网络通信协议，能把在网页和服务器之间传输的数据加密。SSL在TCP之上建立了一个加密通道，通过该通道的数据都经过了加密过程。SSL协议又可分为两部分：握手协议和记录协议。其中握手协议用于协商密钥，记录协议则定义了传输的格式。

三、实验环境

Windows 2000 操作系统，建议安装一个虚拟机，并在虚拟机中完成相应实验。一般要求虚拟机安装没有打补丁的Windows 2000 Server，虚拟机可采用VMWare，安装Windows 2000 Server的计算机，某一磁盘格式配置为NTFS。

四、实验内容和结果

4.1实验内容

任务一、账户和口令的安全设置

1.删除不再使用的账户，禁用guest账户，如图4-1所示。

图4-1用户和密码管理

2.启动账户策略

“控制面板”→“管理工具”→“本地安全策略”，选择账户策略、密码策略，账户锁定策略，设置密码复杂性、密码最长存留期、账户锁定要求等。

图4-2 本地安全设置

3.设置新的用户和口令，并重新登录或利用远程登录，尝试登录次数大于所设置尝试次数等情形。

任务二、文件系统安全设置

1．打开采用NTFS格式的磁盘，选择一个需要设置用户权限的文件夹。

2.设置其属性，删除Everyone组，（将“允许来自复习的可能继承权限传播给该对象”之前的勾去掉），如图4-3所示。

图4-3文件夹安全属性

3.选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限，如图4-4所示

图4-4用户权限

4.选择要加密的文件，利用文件夹的高级属性加密文件，如图4-5所示。

5.然后创建一个新的用户如：TEST，并利用新账号重新登录，再次访问该文件。

图4-5 文件夹的高级属性

6．再次切换回原来加密文件的管理员账户登录系统,单击“开始”按钮，在“运行”框中输入mmc,打开控制台，选择“添加/删除管理单元”，选择添加“证书”，如图4-6所示。在控制台中选择“证书”“个人”“证书”，可以看到用于文件系统的证书显示在右侧，如图4-7所示。

图4-6 添加证书

图4-7系统控制台

7.导出证书。

8.再次切换用户，以TEST登录系统，利用控制台导入证书。

9.再次双击加密的文件。

任务三、启动安全策略与安全模板

1.启动安全模板

利用mmc命令，启动系统控制台 添加/删除管理单元，分别添加“安全模板”、“安全配置和分析”如图4-8所示。

图4-8 安全模板

2.查看系统控制台中的安全模板的描述。

3.右键单击“安全配置与分析”，选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称，如图4-9所示。根据计算机准备配制成的安全等级，选择一个安全模板将其导入。

图4-9 打开数据库

4.右键单击“安全配置与分析”，选择“立即分析计算机”。记录分析结果。

任务四、FTP服务器的安全配置

1.停止默认FTP站点，打开“控制面板”→“管理工具”→“Internet服务管理器”，

右击“默认FTP站点”，停止。避免使用周所周知的默认服务器设置。如图4-10所示。

图4-10 停止默认FTP站点，启动自己的FTP站点

2.修改TCP端口，默认端口为21，改用其他的端口值，使得攻击者无法得到服务器的端口号，从而增大攻击难度，但同时也会给用户带来不便。

3.启动日志记录，修改文件日志目录，将日志目录和FTP主目录分放在不同的路径下。

4.在账号安全页面中，取消“允许匿名连接”选项，在“FTP站点操作员”只留下系统管理员一个账号。

5.设置主目录的用户权限，删除Everyone用户组。

6.在“目录安全性”页面中添加被拒绝或允许的IP。

任务五、用IIS建立高安全的Web服务器

1．为保护Windows 2000 Server系统的安全性，确认IIS与系统安装在不同的分区。

2.删除不必要的虚拟目录，默认生成的目录很容易被攻击。

3.停止默认Web站点

4.删除不必要的应用程序映射

在“Internet服务管理器”中，右击网站目录，选择“属性”，在弹出的“应用程序配置”对话框的“应用程序映射”页面，只需保留需要的映射。

5.维护日志安全

修改日志路径，并适当设置权限。建议Administrator和System用户为完全控制，Everyone为只读；建议日志文件与Web目录文件放在不同的分区。

任务六、用SSL保护Web站点的安全

1.建立自己的一个网站，能够通过用户名和口令进行简单的用户的身份验证即可。

2.利用嗅探器Sniffer，查看登录时发送信息的内容。