网络安全实训3应用安全.docx
《网络安全实训3应用安全.docx》由会员分享,可在线阅读,更多相关《网络安全实训3应用安全.docx(37页珍藏版)》请在冰豆网上搜索。
网络安全实训3应用安全
第三部应用安全
实训十一、数据安全性保证
小知识
本地计算的安全问题,特别是文件级的安全问题,经常会被忽略。
多数人都对微软的Windows9x很熟悉,但Windows9x使用FAT分区,它没有提供对本地文件的安全保护。
为了保证必要的安全性,必须在安装WindowsNT/2000/XP是采用NTFS文件系统。
需要特别留意的是,尽管这些操作系统都兼容FAT分区,但只有安装在NTFS上的操作系统,才能保证本地文件的安全。
一、实训目标
使用各种办法确定一个分区是FAT/FAT32还是NTFS,并将FAT/FAT32分区转换成NTFS分区。
二、实训设备及软件
1.服务端:
Windows2000Server(确保管理员权限登陆)
2.Windows远程桌面客户端工具mstsc.exe
3.一台运行Windows2000Server的独立或者作为成员服务器的计算机
三、实训步骤
1.将当前的FAT文件格式转换为NTFS格式。
获取Windows远程桌面客户端工具mstsc压缩包,并解压。
在实验单中获取客户端连接工具,并记录实验服务器IP及管理员用户和口令。
运行远程桌面客户端程序mstsc.exe,输入服务器端IP地址,点击Connect连接,如图
(图1)
以Administrator(管理员)身份登陆服务器桌面。
(服务器Administrator用户的登陆密码为123456)。
在远程桌面中,单击开始->运行,键入cmd以调用命令行。
注意本实训中提供了FAT32格式驱动器,FAT和FAT32也是两种不同的文件系统。
FAT32分区将作为驱动器E。
在命令行键入
chkntfse:
来确认驱动器的文件系统及是否存在问题。
如果看到这样的提示“E:
没问题。
”,表示驱动器正常,可以进行文件格式转换。
在命令行上键入
converte:
/fs:
ntfs
将FAT32分区转换成NTFS分区。
小提示
如果驱动器上有一个卷标号,当提示时键入它,然后Windows将驱动器转换成NTFS格式;如果转换的是系统分区,转换时将不得不重新启动计算机。
在命令行再次键入
chkntfse:
来确认驱动器是否为NTFS格式。
以上步骤过程输出可参考下图。
2.FAT32文件系统与NTFS系统的比较
FAT32磁盘属性NTFS磁盘属性
如上图所示,在FAT32文件系统中,磁盘属性中不能像NTFS一样做安全和配额的设置,而这两项是可以对磁盘中的文件系统做基于用户识别的保护的。
四、实训思考
简单说,当采用FAT或FAT32系统时,每个登录在本机的用户都将拥有相同的文件使用权限,而换成NTFS后,不同的用户可以被赋予不同的文件使用权限。
总结起来,FAT32和NTFS系统之间的安全性区别如下:
1.NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
而Win2000中的FAT32支持分区的大小最大为32GB。
2.NTFS是一个可恢复的文件系统。
在NTFS分区上用户很少需要运行磁盘修复程序。
NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。
发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。
3.NTFS支持对分区、文件夹和文件的压缩。
任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩,当对文件进行读取时,文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩。
4.NTFS采用了更小的簇,可以更有效率地管理磁盘空间。
在Win2000的FAT32文件系统的情况下,分区大小在2GB~8GB时簇的大小为4KB;分区大小在8GB~16GB时簇的大小为8KB;分区大小在16GB~32GB时,簇的大小则达到了16KB。
而Win2000的NTFS文件系统,当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小;当分区的大小在2GB以上时(2GB~2TB),簇的大小都为4KB。
相比之下,NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。
5.在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。
许可的设置包括两方面的内容:
一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。
访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。
与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。
另外,在采用NTFS格式的Win2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。
这些在FAT32文件系统下,是不能实现的。
6.在Win2000的NTFS文件系统下可以进行磁盘配额管理。
磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。
设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。
磁盘配额管理功能的提供,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统的安全性。
7.NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。
实训十二、
身份认证(使用RunAs命令绕过安全)
系统安全始终是信息网络安全的一个重要方面,攻击者往往通过控制操作系统来破坏系统和信息,或扩大已有的破坏。
对操作系统进行安全加固就可以减少攻击者的攻击机会。
五、实训目标
小知识
在电子邮件病毒爆发以前,许多网络管理使用他们的管理员账号来完成每天的任务,例如撰写备忘录和检查电子邮件。
在“ILOVEYOU”病毒发作和接受大量网络文件之后,大多数的公司要求管理员使用两个账号。
一个账号用于管理任务,另一个用于日常任务。
尽管这个原则更安全,但也很不方便,Windows2000之后的版本有一个新功能,RunAs命令,解决了这个问题。
RunAs允许管理员用一个标准的用户账号登陆,并仍然具有运行管理程序的管理员权限,这些权限只能使用在应用程序上,所以病毒、蠕虫和特洛伊木马就不能用管理员权限来访问网络。
在完成这个实验后,将能够:
1.识别RunAs过程;
2.以一个常规用户登陆时,以Administrator身份运行程序;
六、实训设备及软件
本实训需要下列条件:
1.一台装有MicrosoftInternetExplorer6和Windows2000Server的计算机
Windows远程桌面客户端工具mstsc.exe
2.服务器的管理员权限
3.两个用户账号:
User1和User2
七、实训步骤
1.运行远程桌面客户端程序mstsc.exe,输入服务器IP地址,点击Connect连接,如图:
2.以用户User2(密码为123456)身份远程登陆
本实验中登录的用户密码都是123456,下面将不再特别说明。
试着直接打开LocalSecurityPolicy(本地安全策略)。
开始-控制面板-管理工具-本地安全策略。
将收到如图1-1所示的错误提示信息。
单击关闭。
按住Shift键,右击(本地安全策略)图标(开始-控制面板-管理工具-本地安全策略)。
未按住shift按下shift
单击”以其他用户身份运行”(RunAs)。
键入必要的管理员账号信息,如图1-2所示;
图1-2用运行为(RunAs)命令访问本地安全策略
单击(确定),直接调出本地安全策略的配置界面。
如下
现在就能够编辑本地安全策略了。
八、实训思考
本实训展示的RunAs功能,意义在于:
配置服务器时,仍然不允许管理员的远程访问,但却不妨碍管理员通过普通用户登录后运行管理工具时独立使用管理员权限。
这样,就可以既避免了病毒、木马等破坏性程序通过远程访问服务的攻击,也能够使管理员的工作不用那么麻烦就可以实现。
实训十三、发送匿名电子邮件和创建隐藏的文件附件
九、实训目标
有时用户希望发送匿名电子邮件,因为匿名邮件不易被人察觉,所以容易被某些人利用来作一些坏事,其中最普遍的就是垃圾邮件(尤其是含商业广告的垃圾邮件),所以如果打算使用匿名邮件,用户应当确定自己未被利用才行。
能够发送文件附件是电子邮件最有用的功能之一。
附件使用户能够共享程序、图形、脚本和许多其它类型的文件,但遗憾的是,由于一些病毒和蠕虫之类的有害附件存在,有时候必须阻拦这些类型的附件。
有些邮件程序(如:
outlook)自带阻拦可执行文件和脚本的功能,不过在将这个功能增加到程序之前,电子邮件中附加一个有害文件是很容易的事情。
本实训将分步骤完成如下的过程。
1.发送一封匿名电子邮件,了解关于匿名电子邮件的话题
2.建立一个不显示其真实内容的文件附件,了解发送有害附件的含义
一十、实训设备及软件
1.客户端:
Windows2000/XP/2003
2.服务端:
Windows2000Server
3.Foxmail
一十一、实训步骤
1.运行远程桌面客户端程序mstsc.exe,输入实验服务器IP地址,点击Connect连接,如下图:
以Administrator(管理员)(口令:
1qaz@WSX)身份登陆实验服务器桌面。
2.在实验服务器桌面,点击运行Foxmail,如下图
3.在随后出现的界面,点击“账户”“新建”启动用户向导建立一个匿名账户。
如下图
为实验需要,在实验服务器上已经安装一个邮件服务器(域名为:
mial_)并添加了一个邮件帐号(receiver),实验过程中不要对该帐号属性作修改。
4.在用户向导界面,单击下一步,如下图。
5.在“用户名”处随便输入一个用户名(如:
test),单击下一步,如下图。
在“发送者姓名”处随便输入一个名字(如:
test),在“邮件地址处”随便输入一个地址(如:
test@),点击下一步,如下图。
选择“POP3账户”,在“POP3服务器”和“SMTP服务器”处输入mail-,其它位置留空,点击下一步,如下图。
在随后出现的界面,点击完成,则在foxmail中创建了一个匿名邮件帐号,如下两图所示。
6.点选新建的匿名账号,再点击“撰写”开始编写邮件,如下图
在新建邮件的界面,在“收件人”输入receiver@mail-,在“标题”和“邮件内容”随便输入些内容(如:
justanonymous和anonymousmailtest),然后点击“发送”将邮件发出。
如下图。
邮件发送以后,Foxmail应该回到主界面,点选receiver账户,然后点击“接收”,收取邮件,如下图
点选receiver用户的收件箱,然后再双击打开右边邮件列表中收到的邮件,如下图。
双击发件人位置,查看发件人地址,可以发现,虽然发件人地址是个杜撰的,但是邮件已经发送成功,如下图。
7.创建邮件隐藏附件
在目标机桌面,点击“开始”“运行”并在输入框中输入“notepad.exe”,然后点“确定”打开Notepad(记事本)如下图。
在记事本中输入文本:
notpad.exe,单击“文件”“另存为”,将文件存入“我的文档”,文件名为:
importantfile.doc.bat(但是.doc和.bat之间加上100个空格),然后点击“保存”,如下图所示。
按照前面做过的方式使用Foxmail将这个文件作为附件用创建的匿名账号发送给receiver@mail-,标题可以写为:
ImportantDocument,PleaseRead,然后点击“发送”将邮件发送出去,如下两图所示。
然后按照上面步骤的方式,用receiver帐号收取邮件,然后在收件箱中选择收到的邮件,如下两图所示。
双击附件,在随后的确认窗口选择“打开”看看系统是不是已经打开了记事本(notepad)程序,如下两图。
图21
一十二、实训思考
1.对于邮件服务器的smtp服务,需要开启用户口令验证功能,禁止非系统用户匿名发送邮件。
2.不要打开所收到邮件中的不明附件,邮件接收程序中有阻拦可执行文件和脚本功能的尽量打开。
实训十四、安装证书服务器
运行证书服务的服务器能够作为两种类型认证中心之一:
Enterprise(企业级的)和Stand-alone(独立的)。
企业级的CA是ActiveDirectory(活动目录)的一部分,能够使用模板和智能卡,能够在活动目录中发行数字证书。
独立的CA不需要活动目录,也没有办法使用模板,所有的证书都标记为挂起状态,直到管理员签发为止。
由独立CA建立的证书不公布,而且必须由手工分发。
一十三、实训目标
1.安装Windows2000的CertificateServices(证书服务)
2.配置独立的根CA
一十四、实训设备及软件
1.客户端:
Windows2000/XP/2003
2.服务端:
Windows2000Server(确保管理员账户登陆)
3.Windows远程桌面客户端工具mstsc.exe
4.一台安装Windows2000Server的计算机
一十五、实训步骤
1.运行远程桌面客户端程序mstsc.exe,输入服务器端IP地址,点击Connect连接,如图
2.以Administrator(管理员)身份登陆服务器桌面。
服务器Administrator用户的登陆密码为123456。
3.在远程桌面中,单击开始->设置->控制面板。
4.单击添加/删除Windows组件按钮,如图2:
5.选择证书服务组件复选框,点击下一步,开始安装证书服务器,如图3:
6.单击Yes(是)接受警告提示信息,如图4:
由于本实验中使用了远程终端服务,所以在进行安装证书服务器的时候会弹出配置终端服务对话框。
可以直接选择“下一步”,完成该配置过程。
7.单击下一步,选择独立根CA,如图5:
8.单击下一步,在CA标识信息对话框中,键入如图6所示信息。
9.单击下一步,在数据存储位置对话框中,保持内容不变,如图7:
10.单击下一步,单击确定,系统将停止IIS服务,如图8:
11.在安装过程中,系统可能会提示需要Windows2000Server安装光盘,如图9,
由于安装过程中需要Windows2000Server安装文件,可在光盘的I386目录中找到对应文件;本实验中提供了C:
\SETUP\目录,该目录中包含所需的对应安装文件。
12.单击确定,在对话框中选择C:
\SETUP\目录,直接打开对应文件,如图10:
13.单击完成,结束安装过程后,即完成了在Windows2000Server上安装证书服务器。
同时在开始菜单->程序->管理工具中新增了“证书颁发机构”,如图11:
一十六、实训思考
关于独立CA证书的申请
无论是否是域用户向独立CA申请证书都用的是web方式,无法利用证书申请向导。
独立CA默认并不会自动核准和发放证书,必须等CA管理员检查信息是否有误,再手动发放证书。
1、在浏览器中输入http:
//ca计算机名或ip地址/certsrv
2、图中选取申请一个证书,选择web浏览器证书
3、输入相应信息点提交
4、必须等CA管理员审核后,再来查看CA证书
5、到独立根CA安装的计算机上,选择开始-管理工具-证书颁发机构,选择挂起,选择颁发。
6、回到test2所在的计算机,用浏览器查看证书申请,选择查看挂起的证书状态
7、点击安装证书
7、查看证书已经安装
实训十五、主机配置(配置复杂口令和配置服务)
口令策略在网络环境中十分重要。
网络中的所有结点和设备需要保护免遭入侵,而口令是第一道防线。
然而,一个弱口令几乎像没有口令一样糟糕。
例如,所有网络设备都有一个容易使用的默认口令,对这些口令失于更改是经常和主要的错误,没有全职IT职员的企业总是会犯这样的错误。
建立复杂口令的要求是建立堡垒主机的第一步。
文件bastion.inf中推荐的安全设置可以通过secedit命令来实现。
当建立堡垒主机时,删除所有不需要或者不用的服务和程序也是很重要的。
这些服务和程序,可能被用来利用操作系统的弱点或者不用的服务和程序也是很重要的。
这些服务和程序,可能被用来利用操作系统的弱点或者只是消耗系统资源。
诸如Telnet,FTP和各类编辑器之类的程序都应该取消,NetBIOS和假脱机这类的服务也应当删除。
这一步骤的思想是仅运行哪些必须的程序,并删除任何不需要的程序。
由于操作系统的规模大,这在建立堡垒主机过程中是较为困难的步骤之一。
Windows2000比WindowsNT多处两倍以上的服务,它的强化更加困难。
一十七、实训目标
完成实验之后,你将能够:
1.配置服务进程;
2.禁用不需要的服务;
3.更改Windows2000的本地策略;
4.更改策略使得口令必须满足复杂性要求。
一十八、实训设备及软件
1.目标加固主机(服务端):
Windows2000
2.Windows远程桌面客户端工具mstsc.exe
3.Windows2000所有最新的ServicePack和热修复程序
4.一个bastion.inf的文件,在桌面可以找到。
一十九、实训步骤
1.运行远程桌面客户端程序mstsc.exe,输入服务器IP地址,点击Connect连接,如图:
以Administrator(管理员)身份远程登陆,服务器Administrator用户的登陆密码为123456
2.单击开始—程序—管理工具—然后选择本地策略
展开账号策略。
选择密码策略,双击(口令必须满足复杂性要求)选项
单击“已启用”单选按钮。
单击确定。
试着将administrator(管理员)口令改为passwd,(本实验是失败的)。
3.锁定安全设置中将应用在bastion.inf文件中的其余部分。
复制bastion.inf文件到c:
\,这个文件在桌面可以找到。
单击开始—运行—键入cmd,然后按“ENTER”回车键,开启命令行界面。
在命令行键入:
cd\
secedit/configure/CFGbastion.inf/db%temp%\seclog.db/verbose/log%temp%\seclog.txt
系统将运行97项,其中一些也许不在服务器上。
找到seclog.txt文件查看的结果。
这个文件将自动建立。
注意:
bastion.inf将重命名”guest”账号为”friend”。
4.配置服务和进程
单击开始—程序—管理工具—然后选择“服务”。
为了改变服务设置,双击希望改变其设置的服务。
将下面的服务配置为启动时自动加载:
●DNSClient(DNS客户端)
●EventLog(事件日志)
●LogicalDiskManager(逻辑磁盘管理器)
●NetworkConnections(网络连接)
●PlugandPlay(即插即用)
●ProtectedStorage(受保护存储)
●RemoteProcedureCall(RPC)(远程过程调用)
●RunAsService(RunAs服务)
●SecurityAccountsManager(安全账号管理器)
●TaskScheduler(任务调度程序)
●WindowsManagementInstrumentation(Windows管理规范)
●WindowsManagementInstrumentationDriverExtensions(Windows管理规范驱动程序扩展)
●将LogicalDiskManagerAdministrativeservices(逻辑磁盘管理器管理服务)配置为启动时自动加载。
禁用所有其他服务。
注意,如果使用DHCP,同时启动DHCP客户端
二十、实训思考
将本地策略的密码长度最小值做一次变动,体会由此带来到变化。
升级会员 