【正文】 《個(gè)人電腦安全技術(shù)基礎(chǔ)》實(shí)訓(xùn)指導(dǎo)書2008年3月60 / 60目錄實(shí)訓(xùn)項(xiàng)目一 windows操作系統(tǒng)的安全 …………………………………………3實(shí)訓(xùn)項(xiàng)目二 IE 瀏覽器安全………………… ……………………………..13 實(shí)訓(xùn)項(xiàng)目三 常用殺毒軟件的安裝與使用……………………………………24實(shí)訓(xùn)項(xiàng)目四 木馬攻擊與防范……………………………………………… 37..實(shí)訓(xùn)項(xiàng)目五 Windows 中的FTP、Web服務(wù)器的安全設(shè)置……………… 38實(shí)訓(xùn)項(xiàng)目六 信息加密技術(shù)、辦公文檔的安全管理……………………… .43實(shí)訓(xùn)項(xiàng)目七 使用ZoneAlarm防火墻………………………………………47實(shí)訓(xùn)項(xiàng)目八 信息隱藏技術(shù)…………………………………………………..57實(shí)訓(xùn)項(xiàng)目九 使用XSCANNER工具………………………………………….…61. 實(shí)訓(xùn)項(xiàng)目一 windows操作系統(tǒng)安全一、實(shí)訓(xùn)目的通過實(shí)訓(xùn)，掌握賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)與加密、安全策略與安全模板的使用、審核和日志的啟用、本機(jī)漏洞檢測軟件SuperScan 的使用，建立一個(gè)操作系統(tǒng)的安全框架。二、實(shí)訓(xùn)原理我們從賬戶口令、文件系統(tǒng)、日志和審核安全漏洞掃描等方面對windows操作系統(tǒng)安全進(jìn)行介紹。賬戶與口令賬戶與口令是登錄系統(tǒng)的基礎(chǔ)，也是眾多黑客攻擊程序攻擊和竊取的對象。因此，系統(tǒng)賬戶的安全是非常重要的，也是可以通過合理設(shè)置來實(shí)現(xiàn)的。普通用戶常常在安裝系統(tǒng)后長期使用系統(tǒng)的默認(rèn)設(shè)置，忽視了windows系統(tǒng)默認(rèn)設(shè)置的不安全性，被攻擊者利用，通過各種手法獲得合法的賬戶，進(jìn)一步破解口令。所以，首先要保障賬戶和密碼的安全。文件系統(tǒng)磁盤數(shù)據(jù)被攻擊者或者本地的其他用戶破壞或竊取是經(jīng)常困擾用戶的問題，文件系統(tǒng)的安全問題也是非常重要的。windows系統(tǒng)提供的磁盤格式有FAT、FAT3NTFS。其中，F(xiàn)AT、FAT32沒有考慮安全性方面的更高要求，例如無法設(shè)置用戶訪問權(quán)限等。NTFS文件系統(tǒng)是windows操作系統(tǒng)中一種安全的文件系統(tǒng)，管理員或用戶可以設(shè)置每個(gè)文件夾的訪問權(quán)限。數(shù)據(jù)的加密軟件當(dāng)用戶的計(jì)算機(jī)在沒有足夠的物理保護(hù)的地方使用的時(shí)候，或者發(fā)生計(jì)算機(jī)或磁盤被竊取、被拆換，保密的數(shù)據(jù)可能被竊取，造成重要數(shù)據(jù)的丟失。采用EFS的加密功能對敏感數(shù)據(jù)文件進(jìn)行加密，可以加強(qiáng)數(shù)據(jù)的安全性，減少數(shù)據(jù)失竊的隱患。EFS采用對稱和非對稱兩種加密方法對文件進(jìn)行加密，首先系統(tǒng)利用生成的對稱秘鑰將文件加密成密文，然后利用EFS證書中包含的公鑰將對稱密鑰加密后與密文加在一起。文件采用EFS加密后，可以控制特定用戶有權(quán)解密數(shù)據(jù)。這樣，即使攻擊者能夠訪問計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)器，也無法讀取用戶數(shù)據(jù)。只有用有EFS證書的用戶，采用證書中公鑰對應(yīng)的私鑰，先解密公鑰加密的文件密鑰，然后再用對稱秘鑰解密文件。EFS屬于NTFS文件系統(tǒng)的一種默認(rèn)功能，同時(shí)要求使用EFS的用戶必須擁有在NTFS卷中修改文件的權(quán)限。審核與日志為了便于用戶檢測當(dāng)前系統(tǒng)的運(yùn)行狀況，系統(tǒng)中設(shè)置了審核與日志功能，它是系統(tǒng)中最基本的入侵檢測方法。當(dāng)有攻擊者嘗試對windows系統(tǒng)進(jìn)行某些方式的攻擊的時(shí)候，都會(huì)被安全日志記錄下來，寫入到日志中。一些下的應(yīng)用程序，如IIS（Internet信息服務(wù)器）也帶有相關(guān)的審核日志功能。例如，IIS中的FTP日志和WWW日志，等等。IIS每天生成一個(gè)日志文件，包含了該日的一切記錄，例如，試圖通過網(wǎng)絡(luò)登錄系統(tǒng)的IP地址等。文件名通常為：ex(年份)(月份)(日期)。例如，ex050123，就是2005年1月23日產(chǎn)生的日志。IIS在WWW的系統(tǒng)盤中 目錄下，F(xiàn)TP日志在 目錄下。而系統(tǒng)日志、安全性日志、應(yīng)用程序日志分別為 文件夾下的三個(gè)文件。安全模板 windows系統(tǒng)中的安全設(shè)置項(xiàng)目繁多，包括賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務(wù)、注冊表和文件系統(tǒng)。一一設(shè)置這些安全項(xiàng)目十分復(fù)雜，為了提高系統(tǒng)安全設(shè)置的簡易性，微軟在系統(tǒng)中提供可不同安全級(jí)別的安全模板，不同安全級(jí)別的模板包含了不同安全性要求的配置項(xiàng)目。用戶只要簡單的根據(jù)需要啟用相應(yīng)的模板，即可以自動(dòng)按照模板配置各項(xiàng)安全項(xiàng)目。對部分模板的意義作如下說明：setup : 全新安裝系統(tǒng)的默認(rèn)安全設(shè)置: 基本的安全級(jí)別: : 提供較高安全性的安全級(jí)別: 提供高度安全性的安全級(jí)別上述模板文件名的后兩個(gè)字母，ws代表workstation amp。 server，dc代表domain controller。windows系統(tǒng)也支持用戶自己構(gòu)建模板。MBSA（Microsoft Baseline Security Analyzer）要檢查當(dāng)前系統(tǒng)是否符合一定的安全標(biāo)準(zhǔn)，手動(dòng)逐項(xiàng)檢查的過程是非常復(fù)雜的，windows提供了自動(dòng)檢查系統(tǒng)漏洞的安全審計(jì)工具M(jìn)BSA。他將從系統(tǒng)的升級(jí)服務(wù)器中下載最新的補(bǔ)丁包，檢查windows系統(tǒng)中是否安裝了最新的安全補(bǔ)丁。此外，還可以對系統(tǒng)漏洞、IIS漏洞、SQLServer數(shù)據(jù)庫、IE、OFFICE等應(yīng)用程序的漏洞進(jìn)行掃描，以檢查系統(tǒng)的各項(xiàng)配置是否符合安全性要求。三、實(shí)訓(xùn)環(huán)境一臺(tái)安裝windows2000/XP的計(jì)算機(jī)，磁盤格式配置為NTFS，預(yù)裝了MBSA（Microsoft Baseline Security Analyzer）工具。需要說明的是，以下設(shè)置均以管理員身份登錄系統(tǒng)。在windows2000和windowsXP操作系統(tǒng)中，相關(guān)安全設(shè)置會(huì)稍有不同，但大同小異，以下以windows2000的設(shè)置步驟為實(shí)訓(xùn)系統(tǒng)。四、實(shí)訓(xùn)內(nèi)容和步驟任務(wù)一：賬戶和口令的安全設(shè)置刪除不再使用的賬戶，禁用 Guest賬戶共享賬戶、賬戶具有較弱的安全保護(hù)，常常都是黑客們攻擊的對象，系統(tǒng)地賬戶越多，被攻擊成功的可能性就越大，因此要及時(shí)檢查和刪除不必要的賬戶，必要時(shí)，禁用Guest賬戶（1）檢查和刪除不必要的賬戶[開始][資源管理器][控制面板][用戶和密碼]（如圖：）確認(rèn)賬戶是否仍在使用，刪除其中不用的賬戶。（2）Guest賬戶的禁用注：為了便于觀察實(shí)訓(xùn)結(jié)果，確保實(shí)訓(xùn)用機(jī)在實(shí)訓(xùn)前可以使用Guest賬戶登錄。[控制面板][管理工具][計(jì)算機(jī)管理][本地用戶和組][用戶]單擊Guest賬戶，得到圖 [屬性]勾選[賬戶已停用][確定]啟用賬戶策略注：賬戶策路是windows賬戶管理的重要工具[控制面板][管理工具][本地安全策路][賬戶策略]（如圖：）雙擊[密碼策略]（如圖： ）密碼策略用于決定系統(tǒng)密碼的安全規(guī)則和設(shè)置。其中符合復(fù)雜性要求的密碼是具有相當(dāng)長度、同時(shí)含有數(shù)字、大小寫字母和特殊符號(hào)的序列。雙擊其中每一項(xiàng)，可以按照需要改變密碼特征的設(shè)置。（1）雙擊“密碼必須符合復(fù)雜性要求”，在彈出的 對話框中，選擇“啟用”。察看策略是否啟用：[控制面板][用戶和密碼]（如圖： ）[設(shè)置密碼 ]嘗試設(shè)置簡單的密碼，察看系統(tǒng)提示。記錄結(jié)果。（2）雙擊“密碼長度最小值”，在彈出的 對話框中設(shè)置可被系統(tǒng)接納的賬戶密碼長度的最小值。例如，設(shè)置為6位字符，一般為了達(dá)到更高的安全性，簡易最小值為8。（3）雙擊“密碼最短存留期”， 在彈出的 對話框中設(shè)置密碼最短存留期為7天。在密碼最短存留期內(nèi)，用戶不能修改密碼，這項(xiàng)設(shè)置是為了避免攻擊者修改賬戶密碼。（4）雙擊“密碼最長存留期”， 在彈出的 對話框中設(shè)置密碼最長存留期為42天。設(shè)置密碼自動(dòng)保留期，可以提醒用戶定期修改密碼，防止密碼使用時(shí)間過長帶來安全問題。（5）雙擊“強(qiáng)制密碼歷史”和“為域中所有用戶使用可還原的加密存儲(chǔ)密碼”，在相繼彈出的對話框中，設(shè)置讓系統(tǒng)記住的密碼數(shù)量和是否設(shè)置加密存儲(chǔ)密碼。注：在賬戶策略中的第二項(xiàng)是“賬戶鎖定策略”，它決定系統(tǒng)鎖定賬戶的時(shí)間等相關(guān)設(shè)置。[控制面板][管理工具][本地安全策路][賬戶策略]（如圖：）雙擊[賬戶鎖定策略]（如圖： ）（1） 雙擊“賬戶鎖定閾值”，在彈出的 對話框中設(shè)置賬戶被鎖定之前經(jīng)過的無效登錄次數(shù)（如：3次）以便防范攻擊者利用管理員身份登錄后無限次的猜測賬戶的密碼（窮舉法攻擊）。（2） 雙擊“賬戶鎖定時(shí)間”，在彈出的對話框中設(shè)置賬戶被鎖定的時(shí)間（如：20minute）。此后，當(dāng)系統(tǒng)的無效登錄時(shí)間超過設(shè)定次數(shù)時(shí)（如：3次），系統(tǒng)將鎖定該賬戶20minute。開機(jī)時(shí)設(shè)置為“不自動(dòng)顯示上次登錄賬戶” Windows默認(rèn)設(shè)置為，開機(jī)時(shí)自動(dòng)顯示上次登錄的賬戶名，許多用戶也采用了這一設(shè)置。這對于系統(tǒng)是不安全的。攻擊者會(huì)從本地或者Terminal Service的登錄界面看到用戶名。要禁止顯示上次登錄的用戶名，可以如下設(shè)置：右擊[開始][資源管理器][控制面板][管理工具][本地安全策略][本地策略][安全選項(xiàng)]（如圖： ）在窗口右側(cè)列表中選擇[登錄屏幕上不要顯示上次登錄的用戶名]勾選[已啟用][確定]禁止枚舉賬戶名為了便于遠(yuǎn)程用戶共享本地文件，默認(rèn)設(shè)置遠(yuǎn)程用戶可以通過空連接枚舉出所有的本地用戶賬戶名，給攻擊者由可乘之機(jī)。要禁止枚舉賬戶名，可以執(zhí)行以下操作：[本地安全策略 ][本地策略][安全選項(xiàng)][對匿名連接的額外限制][本地策略配置]中，選擇[不允許枚舉SAM賬戶和共享]此外，在“安全選項(xiàng)”中還有多項(xiàng)增強(qiáng)系統(tǒng)安全的選項(xiàng)，請自行察看。任務(wù)二：文件系統(tǒng)安全設(shè)置 打開采用NTFS格式的磁盤，選擇一個(gè)需要設(shè)置用戶權(quán)限的文件夾。例如：E盤下的“工具備份”文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”，彈出如圖 所示的窗口。 將“允許將來自父系的可繼承權(quán)限傳播給該對象”之前的勾去掉（如果不去掉則無法刪除可對父系文件夾操作用戶組的操作權(quán)限）。 選擇列表中的everyone組，單擊“確定”按鈕，刪除everyone組的操作權(quán)限。由于新建的用戶往往都?xì)w屬于everyone組，而everyone組在缺省狀況下對所有系統(tǒng)驅(qū)動(dòng)器都有完全控制權(quán)，刪除everyone組的操作權(quán)限可以對新建的用戶的權(quán)限進(jìn)行限制。原則上只保留允許訪問此文件夾的用戶和用戶組。 選擇相應(yīng)用戶組，在對應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶組對該文件夾的操作權(quán)限。 單擊“高級(jí)”按鈕，彈出如圖所示的窗口，察看各用戶組的權(quán)限。任務(wù)三：用加密軟件EFS加密硬盤數(shù)據(jù) 打開“控制面板”中的“用戶和密碼”，創(chuàng)建一個(gè)名為MYUSER的新用戶。 打開磁盤格式為NTFS 的磁盤，選擇要進(jìn)行加密的文件夾。這里仍然選擇E盤下的“工具備份”文件夾。 右擊文件夾，打開“屬性”窗口，選擇“常規(guī)”選項(xiàng)，單擊“高級(jí)”按鈕，彈出如圖所示的對話框。 選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”，單擊“確定”按鈕。 在彈出的對話框中選擇“將更改利用于該文件夾、子文件夾和文件”。 加密完畢后，保存當(dāng)前用戶下的文件，單擊“開始”按鈕，打開“關(guān)機(jī)”，在下拉列表中選擇“注銷……用戶”（即當(dāng)前用戶），以剛才新建的MYUSER用戶登錄系統(tǒng)。再次訪問“工具備份”文件夾，打開其中的文件時(shí)，彈出錯(cuò)誤窗口，說明文件夾已經(jīng)被加密，在沒有授權(quán)的情況下無法打開。 再次切換用戶，以原來加密文件夾的管理員賬戶登錄系統(tǒng)。單擊“開始”按鈕，在“運(yùn)行”框中輸入mmc,打開系統(tǒng)控制臺(tái)。單擊左上角的“控制臺(tái)”按鈕，選擇“添加/刪除管理單元”，在彈出的對話框中單擊“添加”按鈕，選擇添加“證書”，如圖所示，為當(dāng)前的加密文件系統(tǒng)EFS設(shè)置證書。 在控制臺(tái)窗口左側(cè)的目錄樹中選擇“證書”“個(gè)人”“證書”?？梢钥吹接糜诩用芪募到y(tǒng)的證書顯示在右側(cè)的窗口中，如圖所示。雙擊證書，單擊詳細(xì)信息，則可以看到該證書中包含的詳細(xì)信息，主要的一項(xiàng)是所包含的公鑰，如圖所示。 選中用于EFS的證書，單擊右鍵，在彈出的所有菜單中單擊“所有任務(wù)”，在展開的菜單中，單擊“導(dǎo)出”，則彈出“歡迎使用證書導(dǎo)出向?qū)А?，單擊“下一步”按鈕，選擇“是，導(dǎo)出私鑰”，如圖所示。接著設(shè)置保護(hù)私鑰的密碼，如圖所示。然后將導(dǎo)出的證書文件保存在磁盤上的某個(gè)路徑，如圖所示。這就完成了證書的導(dǎo)出，如圖所示。 再次切換用戶，以新建的MYUSER登錄系統(tǒng)，重復(fù)步驟8，右鍵單擊選中的“證書”文件夾，選擇“所有任務(wù)”中的“導(dǎo)入”，在彈出的“使用證書導(dǎo)入向?qū)А贝翱?，單擊“下一步”按鈕，在地址欄中填入步驟9中導(dǎo)出證書文件的地址，導(dǎo)入該證書，如圖所示。1 輸入在步驟9中為保護(hù)私鑰設(shè)置的密碼，如圖所示，選擇將該證書放入“個(gè)人”存儲(chǔ)區(qū)中，單擊“下一步”按鈕，完成證書導(dǎo)入，如圖所示。1 再次雙擊加密文件夾中的文件，文件可以正常運(yùn)行。說明該用戶已經(jīng)成為加密文件的授權(quán)用戶，如圖所示。任務(wù)四：啟用審核與日志查看打開審核策略[控制面板][管理工具][本地安全策略][本地策略][審核策略]（如圖所示）雙擊每項(xiàng)策略，可以選擇是否啟用該項(xiàng)策略。例如：“審核賬戶管理”： 對每次新建用戶、刪除用戶等操作進(jìn)行記錄；“審核登陸事件”：對每次用戶的登錄進(jìn)行記錄；“審核過程追蹤”：對每次啟動(dòng)或則退出的程序或者進(jìn)程進(jìn)行記錄，根據(jù)需要啟用相關(guān)審核策略。審核策略啟用后，審核結(jié)果放在各種事件日志中。查看事件日志[控制面板][管理工具][事件查看器]可以看到3種日志。其中安全日志用于記錄剛才上面審核策略中所設(shè)置的安全事件 ?！鞍踩罩尽笨梢圆榭从行o效、登錄嘗試等安全事件的具體記錄。例如，查看用戶登錄/注銷的日志，彈出如圖所示的對話框。任務(wù)五：啟用安全策略與安全模板啟用安全模板注：