【正文】 符合以上條件，就可以對特定的文件或文件夾進行審核，并且對哪些用戶或組指定哪些類型的訪問進行審核。（清除此復(fù)選框?qū)㈥P(guān)閉此功能。收起這個圖片展開這個圖片1. 在“工具”菜單上，單擊“文件夾選項”。如果關(guān)閉簡單文件共享，則不關(guān)閉共享文檔功能。如果關(guān)閉簡單文件共享，您對各個用戶的權(quán)限就會有更多的控制。加入到域中的基于 Windows XP Professional 的計算機只使用傳統(tǒng)的文件共享和安全界面。打開和關(guān)閉簡單文件共享注意基于 Windows XP Home Edition 的計算機始終啟用簡單文件共享。這些權(quán)限適用于文件夾、文件夾中的所有文件、子文件夾和子文件夾中的所有文件。您可以通過查看文件夾的屬性來訪問簡單文件共享用戶界面。本地用戶通過其自己的帳戶或來賓帳戶可以直接登錄到您的計算機上。如果太少的話，你如果想查看黑客攻擊的跡象卻發(fā)現(xiàn)沒有記錄，那就沒辦法了，但是審核項目如果太多，不僅會占用大量的系統(tǒng)資源，而且你也可能根本沒空去全部看完那些安全日志，這樣就失去了審核的意義。審核策略設(shè)置完成后，需要重新啟動計算機才能生效。另外在“本地安全策略”中還可開啟賬戶策略，如在賬戶鎖定策略中設(shè)定，賬戶鎖定閥值為三次(那么當(dāng)三次無效登錄將鎖定)，然后將賬戶鎖定時間設(shè)定為30分鐘，甚至更長。9）賬戶管理：創(chuàng)建、修改或刪除用戶和組，進行密碼更改，這一類必須同時審核它的成功和失敗事件。7）系統(tǒng)事件：與安全(如系統(tǒng)關(guān)閉和重新啟動)有關(guān)的事件；影響安全日志的事件，這一類必須同時審核它的成功和失敗事件。5）目錄服務(wù)訪問：記錄對Active Directory的訪問，這一類需要審核它的失敗事件。3）對象訪問：必須啟用它以允許審核特定的對象，這一類需要審核它的失敗事件。2）登錄事件：對本地計算機的交互式登錄或網(wǎng)絡(luò)連接。 (注意：家庭版中是沒有“本地安全策略”的)圖1制定審核策略 1）策略更改：安全策略更改，包括特權(quán)指派、審核策略修改和信任關(guān)系修改。 1． 打開審核策略 Windows XP的默認(rèn)安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。（三）合適的安全策略背景知識：Windows XP給我們提供了一項非常有用的功能：安全審核功能。在“本地安全策略”窗口， 用鼠標(biāo)右擊新添加的 IP 安全策略，然后選擇“指派”。 在“篩選器操作”選項卡中，把“使用添加向?qū)А弊筮叺你^去掉， 點擊“添加”按鈕，添加“阻止”操作： 在“新篩選器操作屬性”的“安全措施”選項卡中， 選擇“阻止”，然后點擊“確定”按鈕。 重復(fù)以上步驟添加TCP 1022743126123389 端口的屏蔽策略， 建立好上述端口的篩選器，最后點擊“確定”按鈕?！币詫W(xué)號姓名命名”第三步，進入“篩選器屬性”對話框， 首先看到的是尋址，源地址選“任何 IP 地址”， 目標(biāo)地址選“我的 IP 地址”； 點擊“協(xié)議”選項卡， 在“選擇協(xié)議類型”的下拉列表中選擇“TCP”， 然后在“到此端口”下的文本框中輸入“135”， 點擊“確定”按鈕， 這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器， 它可以防止外界通過135端口連上你的電腦。在向?qū)е悬c擊“下一步”按鈕，為新的安全策略命名；”以學(xué)號姓名命名” 再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉， 點擊“完成”按鈕就創(chuàng)建了一個新的IP 安全策略。 為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口， 主要有：TCP 131344591025 端口和 UDP 131313445 端口；一些流行病毒的后門端口（如 TCP 2743126129 端口）；以及遠(yuǎn)程服務(wù)訪問端口3389。所以，盡量讓你的電腦遠(yuǎn)離隱患，就是我們要做的事。 (7) 黑客的惡意攻擊。如圖23所示：實驗結(jié)果分析指導(dǎo)教師評閱實驗態(tài)度：不認(rèn)真（?。?，較認(rèn)真（?。?，認(rèn)真（?。嶒?zāi)康模翰幻鞔_（　），較明確（?。?，明確（　）實驗內(nèi)容：不完整（?。^完整（?。暾ā。嶒灢襟E：混亂（?。?，較清晰（?。逦ā。嶒灲Y(jié)果：錯誤（　），基本正確（?。_（?。嶒灲Y(jié)果分析：無（?。怀浞郑ā。^充分（?。?，充分（　）其它補充：總評成績：評閱教師（簽字）：評閱時間：實驗（八） 打造你的安全個人電腦 實驗時間：　　同組人員：　　 　　　　實驗?zāi)康?． 打造安全個人電腦2． 關(guān)閉Windows不必要的服務(wù)3． 有效的端口設(shè)置4． 合適的安全策略設(shè)置實驗內(nèi)容談到個人上網(wǎng)時的安全，還是先把大家可能會遇到的問題歸個類吧。（8）在主機A上點擊stop，停止監(jiān)聽。然后，嘗試刪除D盤上某個文件或文件夾，如：type ，del 。（6） 輸入dir命令，可以看到主機B上在D盤中的所有文件和文件夾信息。其操作步驟如圖19~20所示：（5）操作主機B中的數(shù)據(jù)主機B驗證用戶名和密碼正確無誤后，主機A可以進入主機B的目錄c:\Documents and Settings\xing18c中，此時主機A即可任意操作主機B中所有的數(shù)據(jù)資料，包括創(chuàng)建、刪除、修改、拷貝等操作，就像控制自己機器上的數(shù)據(jù)一樣。（4）在主機A上登錄主機B“開始”“運行”—輸入命令cmd，打開命令行窗口。最后再點擊服務(wù)狀態(tài)下的啟動按鈕，確定退出。具體操作步驟如圖15~17所示：（2）在主機B上啟動telnet服務(wù)啟動方法：右擊我的電腦，選擇“管理”“服務(wù)和應(yīng)用程序”“服務(wù)”，在列表中找到Telnet選項。（1）在主機B中創(chuàng)建管理員用戶在主機B上創(chuàng)建一個新的用戶名，并讓它屬于管理員組，用來進行登錄測試。答：選擇第一條Echo(ping) request監(jiān)聽可知TTL的值為1ms；如圖所示：選擇第二條Time to live exceeded記錄監(jiān)聽源主機到目的主機的路徑為：；花費的時間為：254ms1ms=253ms。l 選擇一條“Time to live exceeded”記錄，其中的兩個IP首部是一樣的嗎？為什么？；答：不一樣，一個是源IP（客戶端），另一個是目標(biāo)IP（服務(wù)器），利用ICMP查詢報文進行遠(yuǎn)程監(jiān)聽。其操作步驟如圖所示：（2）添加ARP靜態(tài)表項命令：arp –s IP地址 MAC地址把第（1）步中找到的一個合法IP地址（如：）和對應(yīng)MAC地址添加進ARP表中，命令為：arp –s 001bb9b7d594。IP數(shù)據(jù)報首部的檢驗和并不檢驗IP數(shù)據(jù)的內(nèi)容，因此ICMP報文產(chǎn)生錯誤，訪問不到。隔2分鐘后，再次使用arp –a，記錄ARP表項的變化情況如圖7所示，并分析原因。選擇第三條監(jiān)聽記錄查看ICMP詢問報文的數(shù)據(jù)部份如圖所示：與上一次監(jiān)聽結(jié)果進行比較，兩次監(jiān)聽結(jié)果的不同說明了什么問題？答：協(xié)議ARP報文解決問題的方法是在主機ARP高速緩存中存放一個從IP地址到硬件地址的映射表，并且這個映射表還經(jīng)常動態(tài)更新（新增或超時刪除）。類型字段跟代碼字段決定了ICMP報文的類型，校驗和字段包括數(shù)據(jù)在內(nèi)的整個ICMP數(shù)據(jù)包的校驗和，其計算方法和IP頭部校驗和的計算方法一樣。還有標(biāo)志字段、段偏移字段、可選項字段格式組成。源IP地址：。協(xié)議字段：為ICMP。生存期字段：為128。標(biāo)志字段占16比特。最大長度為65535字節(jié)?？傞L度字段：為60。服務(wù)類型字段：為0x00。報頭長度字段：為20bytes。版本占4比特。結(jié)果如圖所示：對監(jiān)聽結(jié)果進行分析：結(jié)合ICMP協(xié)議的工作原理對監(jiān)聽記錄進行分析；選擇一條監(jiān)聽記錄，分析IP報文和ICMP詢問報文的格式；查看ICMP詢問報文的數(shù)據(jù)部分。點擊start按鈕進行監(jiān)聽。再次用命令arp a查看ARP表項的變化情況，可以發(fā)現(xiàn)多了B的表項。協(xié)議類型指發(fā)送方提供的高層協(xié)議類型，對TCP/IP互聯(lián)網(wǎng)，采用IP地址，值為十六進制的0806。目標(biāo)硬件地址: c8:9c:dc:d8:ee:90 (c8:9c:dc:d8:ee:90)。 發(fā)送方硬件地址：c8:9c:dc:ab:d8:cc 。協(xié)議長度：4。協(xié)議類型: IP (0x0800)。示例監(jiān)聽結(jié)果如圖3所示：對監(jiān)聽到的數(shù)據(jù)進行分析：結(jié)合arp協(xié)議工作原理對監(jiān)聽記錄進行分析；選擇第一條監(jiān)聽記錄，分析ARP報文格式。用ping命令去ping局域網(wǎng)中的其它主機B（），且主機B的IP地址不在本機的ARP高速緩存中。運行WireShark軟件，選擇captureoptions，在capture filter文本框中輸入：arp and host 本機IP地址，例如：arp and host 。官方下載地址：實驗步驟查看本機IP地址與MAC地址在命令行中輸入命令：ipconfig /all ，記錄顯示結(jié)果。網(wǎng)絡(luò)監(jiān)聽的防范方法主要有：從邏輯或物理上對網(wǎng)絡(luò)分段；以交換機代替共享集線器；使用加密技術(shù)；劃分VLAN。交換式網(wǎng)絡(luò)設(shè)備能將數(shù)據(jù)準(zhǔn)確地發(fā)給目的主機，而不會同時發(fā)給其他計算機，所以在交換網(wǎng)絡(luò)環(huán)境下，實現(xiàn)數(shù)據(jù)包的監(jiān)聽要復(fù)雜些，主要方法有：（1）對交換機實行端口鏡像，將其他端口的數(shù)據(jù)全部映射到鏡像端口，連接在鏡像端口上的計算機就可以實施監(jiān)聽了。網(wǎng)絡(luò)監(jiān)聽原理在共享式局域網(wǎng)中，位于同一網(wǎng)段的每臺主機都可以截獲在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)，正常情況下，一個網(wǎng)卡只響應(yīng)目的地址為單播地址和廣播地址的MAC幀而忽略其它MAC幀，網(wǎng)卡接收這兩種幀時，通過CPU產(chǎn)生一個硬件中斷，然后由操作系統(tǒng)負(fù)責(zé)處理該中斷，對數(shù)據(jù)幀中的數(shù)據(jù)做進一步處理。該過程實際上是從本地主機向遠(yuǎn)程主機發(fā)送一個IP數(shù)據(jù)報；3）將遠(yuǎn)程主機輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結(jié)果；4）最后，本地終端對遠(yuǎn)程主機進行撤消連接。Telnet遠(yuǎn)程登錄服務(wù)分為以下4個過程：1）本地與遠(yuǎn)程主機建立連接。遠(yuǎn)程終端協(xié)議TELNETTelnet協(xié)議基于TCP協(xié)議，默認(rèn)端口號為23。如此繼續(xù)，最后一個IP數(shù)據(jù)報到達目的主機時，目的主機和源主機間發(fā)送ICMP回送請求與回送應(yīng)答報文。Tracert從源主機向目的主機發(fā)送一連串的IP數(shù)據(jù)報P1，P1的TTL設(shè)置為1，當(dāng)它到達路徑上的第一個路由器R1時，R1先收下它，把P1的TTL值減1，變成0，R1丟棄P1，并向源主機發(fā)送一個ICMP超時差錯報告報文。命令格式為：ping 目的IP地址。ICMP協(xié)議ICMP協(xié)議是配合IP協(xié)議使用的網(wǎng)絡(luò)層協(xié)議，它的報文不是直接傳送到數(shù)據(jù)鏈路層，而是封裝成IP數(shù)據(jù)報后再傳送到數(shù)據(jù)鏈路層。每個主機都設(shè)有一個ARP高速緩存，操作系統(tǒng)通常會將從網(wǎng)絡(luò)中得到的IP地址和MAC地址的映射關(guān)系存放在本機的高速緩存中，使用arp命令，可以查看、添加和刪除高速緩沖區(qū)中的ARP表項。如圖13所示：圖13 勾選字典選項圖14啟用 字典破解然后打開文件，選擇恢復(fù)，在彈出的文件選擇框選擇要恢復(fù)的加密文檔，點擊打開后Office Key就會對文檔進行破解，如圖16所示：圖16破解過程實驗結(jié)果分析指導(dǎo)教師評閱實驗態(tài)度：不認(rèn)真（　），較認(rèn)真（　），認(rèn)真（　）實驗?zāi)康模翰幻鞔_（?。^明確（?。?，明確（?。嶒瀮?nèi)容：不完整（　），較完整（　），完整（?。嶒灢襟E：混亂（?。^清晰（?。?，清晰（?。嶒灲Y(jié)果：錯誤（　），基本正確（?。?，正確（　）實驗結(jié)果分析：無（?。?，不充分（?。?，較充分（?。?，充分（　）其它補充：總評成績：評閱教師（簽字）：評閱時間：實驗（七） 網(wǎng)絡(luò)監(jiān)聽 實驗時間：　　同組人員：　　 　　　　實驗?zāi)康氖煜P地址與MAC地址的概念理解ARP協(xié)議及ICMP協(xié)議原理了解TELNET應(yīng)用掌握網(wǎng)絡(luò)監(jiān)聽方法實驗內(nèi)容IP地址與MAC地址、ARP協(xié)議數(shù)據(jù)鏈路層使用物理地址（即MAC地址），網(wǎng)絡(luò)層使用IP地址，當(dāng)數(shù)據(jù)包在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間傳