《个人电脑安全技术》实训指导书

1《个人电脑安全技术基础》实训指导书2008年3月2目录实训项目一windows操作系统的安全…………………………………………3实训项目二IE浏览器安全………………………………………………..13实训项目三常用杀毒软件的安装与使用……………………………………24实训项目四木马攻击与防范………………………………………………37..实训项目五Windows中的FTP、Web服务器的安全设置………………38实训项目六信息加密技术、办公文档的安全管理……………………….43实训项目七使用ZoneAlarm防火墙………………………………………47实训项目八信息隐藏技术…………………………………………………..57实训项目九使用X-SCANNER工具………………………………………….…61.3实训项目一windows操作系统安全一、实训目的通过实训，掌握账户与密码的安全设置、文件系统的保护与加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件Super-Scan的使用，建立一个操作系统的安全框架。二、实训原理我们从账户口令、文件系统、日志和审核安全漏洞扫描等方面对windows操作系统安全进行介绍。1、账户与口令账户与口令是登录系统的基础，也是众多黑客攻击程序攻击和窃取的对象。因此，系统账户的安全是非常重要的，也是可以通过合理设置来实现的。普通用户常常在安装系统后长期使用系统的默认设置，忽视了windows系统默认设置的不安全性，被攻击者利用，通过各种手法获得合法的账户，进一步破解口令。所以，首先要保障账户和密码的安全。2、文件系统磁盘数据被攻击者或者本地的其他用户破坏或窃取是经常困扰用户的问题，文件系统的安全问题也是非常重要的。windows系统提供的磁盘格式有FAT、FAT32、NTFS。其中，FAT、FAT32没有考虑安全性方面的更高要求，例如无法设置用户访问权限等。NTFS文件系统是windows操作系统中一种安全的文件系统，管理员或用户可以设置每个文件夹的访问权限。3、数据的加密软件当用户的计算机在没有足够的物理保护的地方使用的时候，或者发生计算机或磁盘被窃取、被拆换，保密的数据可能被窃取，造成重要数据的丢失。采用EFS的加密功能对敏感数据文件进行加密，可以加强数据的安全性，减少数据失窃的隐患。EFS采用对称和非对称两种加密方法对文件进行加密，首先系统利用生成的对称秘钥将文件加密成密文，然后利用EFS证书中包含的公钥将对称密钥加密后与密文加在一起。文件采用EFS加密后，可以控制特定用户有权解密数据。这样，即使攻击者能够访问计算机数据存储器，也无法读取用户数据。只有用有EFS证书的用户，采用证书中公钥对应的私钥，先解密公钥加密的文件密钥，然4后再用对称秘钥解密文件。EFS属于NTFS文件系统的一种默认功能，同时要求使用EFS的用户必须拥有在NTFS卷中修改文件的权限。4、审核与日志为了便于用户检测当前系统的运行状况，系统中设置了审核与日志功能，它是系统中最基本的入侵检测方法。当有攻击者尝试对windows系统进行某些方式的攻击的时候，都会被安全日志记录下来，写入到日志中。一些下的应用程序，如IIS（Internet信息服务器）也带有相关的审核日志功能。例如，IIS中的FTP日志和日志，等等。IIS每天生成一个日志文件，包含了该日的一切记录，例如，试图通过网络登录系统的IP地址等。文件名通常为：ex(年份)(月份)(日期)。例如，ex050123，就是2005年1月23日产生的日志。IIS在的系统盘中目录下，FTP日志在目录下。而系统日志、安全性日志、应用程序日志分别为文件夹下的三个文件。5、安全模板windows系统中的安全设置项目繁多，包括账户策略、本地策略、事件日志、受限制的组、系统服务、注册表和文件系统。一一设置这些安全项目十分复杂，为了提高系统安全设置的简易性，微软在系统中提供可不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置项目。用户只要简单的根据需要启用相应的模板，即可以自动按照模板配置各项安全项目。对部分模板的意义作如下说明：setupsecurity.inf:全新安装系统的默认安全设置basicws.inf:基本的安全级别compatws.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置securews.inf:提供较高安全性的安全级别hisecws.inf:提供高度安全性的安全级别上述模板文件名的后两个字母，ws代表workstation&server，dc代表domaincontroller。windows系统也支持用户自己构建模板。6、MBSA（MicrosoftBaselineSecurityAnalyzer）要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常复杂的，windows提供了自动检查系统漏洞的安全审计工具MBSA。他将从系统的升级5服务器中下载最新的补丁包，检查windows系统中是否安装了最新的安全补丁。此外，还可以对系统漏洞、IIS漏洞、SQLServer数据库、IE、OFFICE等应用程序的漏洞进行扫描，以检查系统的各项配置是否符合安全性要求。三、实训环境一台安装windows2000/XP的计算机，磁盘格式配置为NTFS，预装了MBSA（MicrosoftBaselineSecurityAnalyzer）工具。需要说明的是，以下设置均以管理员身份登录系统。在windows2000和windowsXP操作系统中，相关安全设置会稍有不同，但大同小异，以下以windows2000的设置步骤为实训系统。四、实训内容和步骤任务一：账户和口令的安全设置1、删除不再使用的账户，禁用Guest账户共享账户、账户具有较弱的安全保护，常常都是黑客们攻击的对象，系统地账户越多，被攻击成功的可能性就越大，因此要及时检查和删除不必要的账户，必要时，禁用Guest账户（1）检查和删除不必要的账户[开始]----[资源管理器]---[控制面板]---[用户和密码]（如图：）确认账户是否仍在使用，删除其中不用的账户。（2）Guest账户的禁用注：为了便于观察实训结果，确保实训用机在实训前可以使用Guest账户登录。[控制面板]---[管理工具]---[计算机管理]---[本地用户和组]---[用户]---单击Guest账户，得到图---[属性]---勾选[账户已停用]-----[确定]2、启用账户策略注：账户策路是windows账户管理的重要工具[控制面板]---[管理工具]---[本地安全策路]---[账户策略]（如图：）---双击[密码策略]（如图：）密码策略用于决定系统密码的安全规则和设置。其中符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊符号的序列。双击其中每一项，可以按照需要改变密码特征的设置。6（1）双击“密码必须符合复杂性要求”，在弹出的对话框中，选择“启用”。察看策略是否启用：[控制面板]---[用户和密码]（如图：）---[设置密码]---尝试设置简单的密码，察看系统提示。记录结果。（2）双击“密码长度最小值”，在弹出的对话框中设置可被系统接纳的账户密码长度的最小值。例如，设置为6位字符，一般为了达到更高的安全性，简易最小值为8。（3）双击“密码最短存留期”，在弹出的对话框中设置密码最短存留期为7天。在密码最短存留期内，用户不能修改密码，这项设置是为了避免攻击者修改账户密码。（4）双击“密码最长存留期”，在弹出的对话框中设置密码最长存留期为42天。设置密码自动保留期，可以提醒用户定期修改密码，防止密码使用时间过长带来安全问题。（5）双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的对话框中，设置让系统记住的密码数量和是否设置加密存储密码。注：在账户策略中的第二项是“账户锁定策略”，它决定系统锁定账户的时间等相关设置。[控制面板]---[管理工具]---[本地安全策路]---[账户策略]（如图：）---双击[账户锁定策略]（如图：）（1）双击“账户锁定阈值”，在弹出的对话框中设置账户被锁定之前经过的无效登录次数（如：3次）以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码（穷举法攻击）。（2）双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如：20minute）。此后，当系统的无效登录时间超过设定次数时（如：3次），系统将锁定该账户20minute。3、开机时设置为“不自动显示上次登录账户”Windows默认设置为，开机时自动显示上次登录的账户名，许多用户也采用了这一设置。这对于系统是不安全的。攻击者会从本地或者TerminalService的登录界面看到用户名。要禁止显示上次登录的用户名，可以如下设置：右击[开始]---[资源管理器]---[控制面板]---[管理工具]---[本地安7全策略]---[本地策略]---[安全选项]（如图：）---在窗口右侧列表中选择[登录屏幕上不要显示上次登录的用户名]----勾选[已启用]---[确定]4、禁止枚举账户名为了便于远程用户共享本地文件，默认设置远程用户可以通过空连接枚举出所有的本地用户账户名，给攻击者由可乘之机。要禁止枚举账户名，可以执行以下操作：[本地安全策略]---[本地策略]---[安全选项]---[对匿名连接的额外限制]---[本地策略配置]中，选择[不允许枚举SAM账户和共享]此外，在“安全选项”中还有多项增强系统安全的选项，请自行察看。任务二：文件系统安全设置1、打开采用NTFS格式的磁盘，选择一个需要设置用户权限的文件夹。例如：E盘下的“工具备份”文件夹。2、右键单击该文件夹，选择“属性”，在工具栏中选择“安全”，弹出如图所示的窗口。3、将“允许将来自父系的可继承权限传播给该对象”之前的勾去掉（如果不去掉则无法删除可对父系文件夹操作用户组的操作权限）。4、选择列表中的everyone组，单击“确定”按钮，删除everyone组的操作权限。由于新建的用户往往都归属于everyone组，而everyone组在缺省状况下对所有系统驱动器都有完全控制权，删除everyone组的操作权限可以对新建的用户的权限进行限制。原则上只保留允许访问此文件夹的用户和用户组。5、选择相应用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。6、单击“高级”按钮，弹出如图所示的窗口，察看各用户组的权限。任务三：用加密软件EFS加密硬盘数据1、打开“控制面板”中的“用户和密码”，创建一个名为MYUSER的新用户。2、打开磁盘格式为NTFS的磁盘，选择要进行加密的文件夹。这里仍然选择8E盘下的“工具备份”文件夹。3、右击文件夹，打开“属性”窗口，选择“常规”选项，单击“高级”按钮，弹出如图所示的对话框。4、选择“加密内容以便保护数据”，单击“确定”按钮。5、在弹出的对话框中选择“将更改利用于该文件夹、子文件夹和文件”。6、加密完毕后，保存当前用户下的文件，单击“开始”按钮，打开“关机”，在下拉列表中选择“注销……用户”（即当前用户），以刚才新建的MYUSER用户登录系统。再次访问“工具备份”文件夹，打开其中的文件时，弹出错误窗口，说明文件夹已经被加密，在没有授权的情况下无法打开。7、再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入mmc,打开系统控制台。单击左上角的“控制台”按钮，选择“添加/删除管理单元”，在弹出的对话框中单击“添加”按钮，选择添加“证书”，如图所示，为当前的加密文件系统EFS设置证书。8、在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中，如图所示。双击证书，单击详细信息，则可以看到该证书中包含的详细信息，主要的一项是所包含的公钥，如图所示。9、选中用于EFS的证书，单击右键，在弹出的所有菜单中单击“所有任务”，在展开的菜单中，单击“导出”，则弹出“欢迎使用证书导出向导”，单击“下一步”按