【正文】 《個人電腦安全技術基礎》實訓指導書2008年3月60 / 60目錄實訓項目一 windows操作系統(tǒng)的安全 …………………………………………3實訓項目二 IE 瀏覽器安全………………… ……………………………..13 實訓項目三 常用殺毒軟件的安裝與使用……………………………………24實訓項目四 木馬攻擊與防范……………………………………………… 37..實訓項目五 Windows 中的FTP、Web服務器的安全設置……………… 38實訓項目六 信息加密技術、辦公文檔的安全管理……………………… .43實訓項目七 使用ZoneAlarm防火墻………………………………………47實訓項目八 信息隱藏技術…………………………………………………..57實訓項目九 使用XSCANNER工具………………………………………….…61. 實訓項目一 windows操作系統(tǒng)安全一、實訓目的通過實訓，掌握賬戶與密碼的安全設置、文件系統(tǒng)的保護與加密、安全策略與安全模板的使用、審核和日志的啟用、本機漏洞檢測軟件SuperScan 的使用，建立一個操作系統(tǒng)的安全框架。二、實訓原理我們從賬戶口令、文件系統(tǒng)、日志和審核安全漏洞掃描等方面對windows操作系統(tǒng)安全進行介紹。賬戶與口令賬戶與口令是登錄系統(tǒng)的基礎，也是眾多黑客攻擊程序攻擊和竊取的對象。因此，系統(tǒng)賬戶的安全是非常重要的，也是可以通過合理設置來實現(xiàn)的。普通用戶常常在安裝系統(tǒng)后長期使用系統(tǒng)的默認設置，忽視了windows系統(tǒng)默認設置的不安全性，被攻擊者利用，通過各種手法獲得合法的賬戶，進一步破解口令。所以，首先要保障賬戶和密碼的安全。文件系統(tǒng)磁盤數(shù)據(jù)被攻擊者或者本地的其他用戶破壞或竊取是經(jīng)常困擾用戶的問題，文件系統(tǒng)的安全問題也是非常重要的。windows系統(tǒng)提供的磁盤格式有FAT、FAT3NTFS。其中，F(xiàn)AT、FAT32沒有考慮安全性方面的更高要求，例如無法設置用戶訪問權限等。NTFS文件系統(tǒng)是windows操作系統(tǒng)中一種安全的文件系統(tǒng)，管理員或用戶可以設置每個文件夾的訪問權限。數(shù)據(jù)的加密軟件當用戶的計算機在沒有足夠的物理保護的地方使用的時候，或者發(fā)生計算機或磁盤被竊取、被拆換，保密的數(shù)據(jù)可能被竊取，造成重要數(shù)據(jù)的丟失。采用EFS的加密功能對敏感數(shù)據(jù)文件進行加密，可以加強數(shù)據(jù)的安全性，減少數(shù)據(jù)失竊的隱患。EFS采用對稱和非對稱兩種加密方法對文件進行加密，首先系統(tǒng)利用生成的對稱秘鑰將文件加密成密文，然后利用EFS證書中包含的公鑰將對稱密鑰加密后與密文加在一起。文件采用EFS加密后，可以控制特定用戶有權解密數(shù)據(jù)。這樣，即使攻擊者能夠訪問計算機數(shù)據(jù)存儲器，也無法讀取用戶數(shù)據(jù)。只有用有EFS證書的用戶，采用證書中公鑰對應的私鑰，先解密公鑰加密的文件密鑰，然后再用對稱秘鑰解密文件。EFS屬于NTFS文件系統(tǒng)的一種默認功能，同時要求使用EFS的用戶必須擁有在NTFS卷中修改文件的權限。審核與日志為了便于用戶檢測當前系統(tǒng)的運行狀況，系統(tǒng)中設置了審核與日志功能，它是系統(tǒng)中最基本的入侵檢測方法。當有攻擊者嘗試對windows系統(tǒng)進行某些方式的攻擊的時候，都會被安全日志記錄下來，寫入到日志中。一些下的應用程序，如IIS（Internet信息服務器）也帶有相關的審核日志功能。例如，IIS中的FTP日志和WWW日志，等等。IIS每天生成一個日志文件，包含了該日的一切記錄，例如，試圖通過網(wǎng)絡登錄系統(tǒng)的IP地址等。文件名通常為：ex(年份)(月份)(日期)。例如，ex050123，就是2005年1月23日產生的日志。IIS在WWW的系統(tǒng)盤中 目錄下，F(xiàn)TP日志在 目錄下。而系統(tǒng)日志、安全性日志、應用程序日志分別為 文件夾下的三個文件。安全模板 windows系統(tǒng)中的安全設置項目繁多，包括賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務、注冊表和文件系統(tǒng)。一一設置這些安全項目十分復雜，為了提高系統(tǒng)安全設置的簡易性，微軟在系統(tǒng)中提供可不同安全級別的安全模板，不同安全級別的模板包含了不同安全性要求的配置項目。用戶只要簡單的根據(jù)需要啟用相應的模板，即可以自動按照模板配置各項安全項目。對部分模板的意義作如下說明：setup : 全新安裝系統(tǒng)的默認安全設置: 基本的安全級別: : 提供較高安全性的安全級別: 提供高度安全性的安全級別上述模板文件名的后兩個字母，ws代表workstation amp。 server，dc代表domain controller。windows系統(tǒng)也支持用戶自己構建模板。MBSA（Microsoft Baseline Security Analyzer）要檢查當前系統(tǒng)是否符合一定的安全標準，手動逐項檢查的過程是非常復雜的，windows提供了自動檢查系統(tǒng)漏洞的安全審計工具MBSA。他將從系統(tǒng)的升級服務器中下載最新的補丁包，檢查windows系統(tǒng)中是否安裝了最新的安全補丁。此外，還可以對系統(tǒng)漏洞、IIS漏洞、SQLServer數(shù)據(jù)庫、IE、OFFICE等應用程序的漏洞進行掃描，以檢查系統(tǒng)的各項配置是否符合安全性要求。三、實訓環(huán)境一臺安裝windows2000/XP的計算機，磁盤格式配置為NTFS，預裝了MBSA（Microsoft Baseline Security Analyzer）工具。需要說明的是，以下設置均以管理員身份登錄系統(tǒng)。在windows2000和windowsXP操作系統(tǒng)中，相關安全設置會稍有不同，但大同小異，以下以windows2000的設置步驟為實訓系統(tǒng)。四、實訓內容和步驟任務一：賬戶和口令的安全設置刪除不再使用的賬戶，禁用 Guest賬戶共享賬戶、賬戶具有較弱的安全保護，常常都是黑客們攻擊的對象，系統(tǒng)地賬戶越多，被攻擊成功的可能性就越大，因此要及時檢查和刪除不必要的賬戶，必要時，禁用Guest賬戶（1）檢查和刪除不必要的賬戶[開始][資源管理器][控制面板][用戶和密碼]（如圖：）確認賬戶是否仍在使用，刪除其中不用的賬戶。（2）Guest賬戶的禁用注：為了便于觀察實訓結果，確保實訓用機在實訓前可以使用Guest賬戶登錄。[控制面板][管理工具][計算機管理][本地用戶和組][用戶]單擊Guest賬戶，得到圖 [屬性]勾選[賬戶已停用][確定]啟用賬戶策略注：賬戶策路是windows賬戶管理的重要工具[控制面板][管理工具][本地安全策路][賬戶策略]（如圖：）雙擊[密碼策略]（如圖： ）密碼策略用于決定系統(tǒng)密碼的安全規(guī)則和設置。其中符合復雜性要求的密碼是具有相當長度、同時含有數(shù)字、大小寫字母和特殊符號的序列。雙擊其中每一項，可以按照需要改變密碼特征的設置。（1）雙擊“密碼必須符合復雜性要求”，在彈出的 對話框中，選擇“啟用”。察看策略是否啟用：[控制面板][用戶和密碼]（如圖： ）[設置密碼 ]嘗試設置簡單的密碼，察看系統(tǒng)提示。記錄結果。（2）雙擊“密碼長度最小值”，在彈出的 對話框中設置可被系統(tǒng)接納的賬戶密碼長度的最小值。例如，設置為6位字符，一般為了達到更高的安全性，簡易最小值為8。（3）雙擊“密碼最短存留期”， 在彈出的 對話框中設置密碼最短存留期為7天。在密碼最短存留期內，用戶不能修改密碼，這項設置是為了避免攻擊者修改賬戶密碼。（4）雙擊“密碼最長存留期”， 在彈出的 對話框中設置密碼最長存留期為42天。設置密碼自動保留期，可以提醒用戶定期修改密碼，防止密碼使用時間過長帶來安全問題。（5）雙擊“強制密碼歷史”和“為域中所有用戶使用可還原的加密存儲密碼”，在相繼彈出的對話框中，設置讓系統(tǒng)記住的密碼數(shù)量和是否設置加密存儲密碼。注：在賬戶策略中的第二項是“賬戶鎖定策略”，它決定系統(tǒng)鎖定賬戶的時間等相關設置。[控制面板][管理工具][本地安全策路][賬戶策略]（如圖：）雙擊[賬戶鎖定策略]（如圖： ）（1） 雙擊“賬戶鎖定閾值”，在彈出的 對話框中設置賬戶被鎖定之前經(jīng)過的無效登錄次數(shù)（如：3次）以便防范攻擊者利用管理員身份登錄后無限次的猜測賬戶的密碼（窮舉法攻擊）。（2） 雙擊“賬戶鎖定時間”，在彈出的對話框中設置賬戶被鎖定的時間（如：20minute）。此后，當系統(tǒng)的無效登錄時間超過設定次數(shù)時（如：3次），系統(tǒng)將鎖定該賬戶20minute。開機時設置為“不自動顯示上次登錄賬戶” Windows默認設置為，開機時自動顯示上次登錄的賬戶名，許多用戶也采用了這一設置。這對于系統(tǒng)是不安全的。攻擊者會從本地或者Terminal Service的登錄界面看到用戶名。要禁止顯示上次登錄的用戶名，可以如下設置：右擊[開始][資源管理器][控制面板][管理工具][本地安全策略][本地策略][安全選項]（如圖： ）在窗口右側列表中選擇[登錄屏幕上不要顯示上次登錄的用戶名]勾選[已啟用][確定]禁止枚舉賬戶名為了便于遠程用戶共享本地文件，默認設置遠程用戶可以通過空連接枚舉出所有的本地用戶賬戶名，給攻擊者由可乘之機。要禁止枚舉賬戶名，可以執(zhí)行以下操作：[本地安全策略 ][本地策略][安全選項][對匿名連接的額外限制][本地策略配置]中，選擇[不允許枚舉SAM賬戶和共享]此外，在“安全選項”中還有多項增強系統(tǒng)安全的選項，請自行察看。任務二：文件系統(tǒng)安全設置 打開采用NTFS格式的磁盤，選擇一個需要設置用戶權限的文件夾。例如：E盤下的“工具備份”文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”，彈出如圖 所示的窗口。 將“允許將來自父系的可繼承權限傳播給該對象”之前的勾去掉（如果不去掉則無法刪除可對父系文件夾操作用戶組的操作權限）。 選擇列表中的everyone組，單擊“確定”按鈕，刪除everyone組的操作權限。由于新建的用戶往往都歸屬于everyone組，而everyone組在缺省狀況下對所有系統(tǒng)驅動器都有完全控制權，刪除everyone組的操作權限可以對新建的用戶的權限進行限制。原則上只保留允許訪問此文件夾的用戶和用戶組。 選擇相應用戶組，在對應的復選框中打勾，設置其余用戶組對該文件夾的操作權限。 單擊“高級”按鈕，彈出如圖所示的窗口，察看各用戶組的權限。任務三：用加密軟件EFS加密硬盤數(shù)據(jù) 打開“控制面板”中的“用戶和密碼”，創(chuàng)建一個名為MYUSER的新用戶。 打開磁盤格式為NTFS 的磁盤，選擇要進行加密的文件夾。這里仍然選擇E盤下的“工具備份”文件夾。 右擊文件夾，打開“屬性”窗口，選擇“常規(guī)”選項，單擊“高級”按鈕，彈出如圖所示的對話框。 選擇“加密內容以便保護數(shù)據(jù)”，單擊“確定”按鈕。 在彈出的對話框中選擇“將更改利用于該文件夾、子文件夾和文件”。 加密完畢后，保存當前用戶下的文件，單擊“開始”按鈕，打開“關機”，在下拉列表中選擇“注銷……用戶”（即當前用戶），以剛才新建的MYUSER用戶登錄系統(tǒng)。再次訪問“工具備份”文件夾，打開其中的文件時，彈出錯誤窗口，說明文件夾已經(jīng)被加密，在沒有授權的情況下無法打開。 再次切換用戶，以原來加密文件夾的管理員賬戶登錄系統(tǒng)。單擊“開始”按鈕，在“運行”框中輸入mmc,打開系統(tǒng)控制臺。單擊左上角的“控制臺”按鈕，選擇“添加/刪除管理單元”，在彈出的對話框中單擊“添加”按鈕，選擇添加“證書”，如圖所示，為當前的加密文件系統(tǒng)EFS設置證書。 在控制臺窗口左側的目錄樹中選擇“證書”“個人”“證書”。可以看到用于加密文件系統(tǒng)的證書顯示在右側的窗口中，如圖所示。雙擊證書，單擊詳細信息，則可以看到該證書中包含的詳細信息，主要的一項是所包含的公鑰，如圖所示。 選中用于EFS的證書，單擊右鍵，在彈出的所有菜單中單擊“所有任務”，在展開的菜單中，單擊“導出”，則彈出“歡迎使用證書導出向導”，單擊“下一步”按鈕，選擇“是，導出私鑰”，如圖所示。接著設置保護私鑰的密碼，如圖所示。然后將導出的證書文件保存在磁盤上的某個路徑，如圖所示。這就完成了證書的導出，如圖所示。 再次切換用戶，以新建的MYUSER登錄系統(tǒng)，重復步驟8，右鍵單擊選中的“證書”文件夾，選擇“所有任務”中的“導入”，在彈出的“使用證書導入向導”窗口，單擊“下一步”按鈕，在地址欄中填入步驟9中導出證書文件的地址，導入該證書，如圖所示。1 輸入在步驟9中為保護私鑰設置的密碼，如圖所示，選擇將該證書放入“個人”存儲區(qū)中，單擊“下一步”按鈕，完成證書導入，如圖所示。1 再次雙擊加密文件夾中的文件，文件可以正常運行。說明該用戶已經(jīng)成為加密文件的授權用戶，如圖所示。任務四：啟用審核與日志查看打開審核策略[控制面板][管理工具][本地安全策略][本地策略][審核策略]（如圖所示）雙擊每項策略，可以選擇是否啟用該項策略。例如：“審核賬戶管理”： 對每次新建用戶、刪除用戶等操作進行記錄；“審核登陸事件”：對每次用戶的登錄進行記錄；“審核過程追蹤”：對每次啟動或則退出的程序或者進程進行記錄，根據(jù)需要啟用相關審核策略。審核策略啟用后，審核結果放在各種事件日志中。查看事件日志[控制面板][管理工具][事件查看器]可以看到3種日志。其中安全日志用于記錄剛才上面審核策略中所設置的安全事件 ?！鞍踩罩尽笨梢圆榭从行o效、登錄嘗試等安全事件的具體記錄。例如，查看用戶登錄/注銷的日志，彈出如圖所示的對話框。任務五：啟用安全策略與安全模板啟用安全模板注：