Windows 操作系统安全实训指导书.docx
《Windows 操作系统安全实训指导书.docx》由会员分享,可在线阅读,更多相关《Windows 操作系统安全实训指导书.docx(19页珍藏版)》请在冰豆网上搜索。
Windows操作系统安全实训指导书
《Windows操作系统安全》
实训指导书
适用专业:
指导教师:
实训时间:
重庆电子工程职业工程学院系
年月日
《Windows2003操作系统安全》实训指导书
一、课程的地位、作用和目的
Windows2003操作系统安全是信息安全专业的学生必须掌握的一门课程,她在信息安全中起着核心和纽带的重要作用。
通过本次Windows2003操作系统安全实训周实训,学生能够将课堂中学习到的知道在实验中得到验证、加深对相关知识点的理解。
二、实训内容
实训一WindowsServer2003的安装
实训二虚拟机的使用与组网
实训三通过NTFS权限保护WindowsServer2003上的资源
实训四通过EFS证书保护WindowsServer2003的资源
实训五配置审核策略
实训六配置磁盘配额
实训七网络监视器的使用,利用网络监视器分析ICMP数据包
实训八利用IPSec保护数据安全
实训九利用MSBA扫描Windows操作系统漏洞
实训十利用备份保护数据安全
实训十一利用性能监视器发现TCP洪水攻击
实训十二利用证书保护Web工程案例
实训十三活动目录的安装,通过组策略统一分发Office软件
三、实训组织及要求
硬件要求:
装了WindowsServer2003操作系统的计算机;交换机或路由器等网络设备。
组织方式:
本实训安排在计算机网络实训室进行,将学生横分成若干小组,每组4-5位
同学,以小组为单位开展实训。
每组分配计算机3-4台,并利用实验室中现有的网络设备,由各小组自行完成系统的暗转及角色服务器的安装,并完成相应的配置和管理。
纪律要求:
学生必须按时到达实训室,不得做与实验无关的事情,除与实训有关的内容外,不得讨论其他话题,教师每天必须安排时间指导学生实训。
能力要求:
学生能够熟练的对WindowsServer2003及虚拟机进行操作。
四、实训考核办法
1.考核组织
由任课教师和实训指导教师组成
2.考核内容及平分办法
1)实训结束学生应上交一份实训报告,要求有比较详细操作步骤,体会与心得。
2)评分方法:
依据实训报告,重点在总结体会和心得,结合学生在实训中能力表现综合评定/
3.考核要求
首先要完成实训下达各项任务
完成横的实训报告重点写通过实训得到的体会和心得。
五、时间安排表
实训时间为两周,安排如下:
序号
内容
课时
1
WindowsServer2003的安装
2
2
虚拟机的使用与组网
2
3
通过NTFS权限保护WindowsServer2003上的资源
2
4
通过EFS证书保护WindowsServer2003的资源
2
5
配置审核策略
3
6
配置磁盘配额
3
7
网络监视器,sniffer监视分析ICMP数据包
4
8
利用IPSec保护数据安全
4
9
利用MSBA扫描Windows操作系统漏洞
2
10
利用备份保护数据安全
2
11
利用性能监视器发现TCP洪水攻击
4
12
利用证书保护Web工程案例
4
13
活动目录的安装,通过组策略统一分发Office软件
6
六、实训内容
实验一WindowsServer2003的安装
1.实验目的
了解WindowsServer2003运行环境和安装过程,掌握WindowsServer2003的安装方法及安装时故障的解决。
2.实验环境
Pentium133Hz以上的CPU
建议至少256M的内存
建议硬盘至少2GB,并有1GB的空闲空间。
3.相关理论
WindowsServer2003的安装可以有多种方式,根据安装程序所在的位置、操作系统,以及计算机平台的不同等因素,启动安装程序的方式也稍有不同。
1、通过从光盘启动计算机并全新安装WindowsServer2003
1)检查计算机,确定爱计算机能够从光盘驱动器启动,并且是执行全新安装。
2)关闭计算机,将光盘插入驱动器
3)启动计算机,并等待安装程序显示对话框
4)按照提示进行操作
2、在运行MS-DOS的计算机上安装WindowsServer2003
1)将光盘插入驱动器
2)在命令提示符下,键入X:
其中X是光盘驱动器的驱动器号
3)在X:
\>提示符下,键入CD\I386,然后按回车键
4)在X:
\I386>下,键入winnt,然后按回车键
5)按提示进行操作
3、在运行Windows98/NT的计算机上安装WindowsServer2003
1)将光盘插入驱动器
2)在运行Windows98/NT的计算机上,将自动运行启动安装乘隙,若未自动运行,可手动运行X:
\I386\innt32.exe,其中X是光盘驱动器的驱动器号。
3)按提示进行操作
4、从网络启动安装程序
如果通过网络安装WindowsServer2003,可以直接把CD-ROM设为共享,或者把安装源文件复制到一个共享文件夹中,再用合适的程序来启动安装成。
因为安排的时间紧张,建议采用第一种方式安装,对另外几种方式要求清楚如何操作。
4.实验内容
安装WindowsServer2003
5.实验步骤
1、将WindowsServer2003的光盘插入光驱中,启动计算机
2、按照安装提示,继续进行
3、为WindowsServer2003选择或创建一个分区
4、选择区域设置和个人化软件
5、输入计算机名称
6、设置管理员密码
7、选择WindowsServer2003组件
8、设置日期和时间
9、设置网络选项
1)如果允许WindowsServer2003安装程序分配或获得IP地址,则在[网络设置]对话框中,单击[典型设置]。
WindowsServer2003安装程序将检查域中是否有DHCP服务器,则该服务器提供IP地址。
如果域内没有DHCP服务器,自动专用IP地址寻址功能将自动为这台计算机WindowsServer2003分配一个IP
2)如果希望为计算机指定静态IP地址及DNS和WINS的设置,则执行以下步骤:
在[网络设置]对话框,单击[自定义设置]:
在[网络组件]对话框内,单击[使用下面的IP地址]:
在[IP]地址和[子网掩码]内,键入适当的数字,在[使用下面的DNS服务器地址下],键入首选的DNS服务器地址和备用的DNS。
则要键盘录入在上一步已分配好的相同的IP地址。
如果要使用WINS服务器,可单击[高级],然后单击[高级TCP/IP设置]对话框的[WINS]项卡,添加一个或多个WINS服务器的IP地址。
如果本服务器是WINS服务器,则键盘第5步为本纪分配好的IP地址。
3)指定工作组名或域名
在此用户需要选择本机是属于工作组还是将本纪加入到一个域中,并指定工作组名或域名。
在安装向导完成WindowsServer2003的安装后,计算机会重新启动。
至此已经完成了WindowsServer2003的基本安装。
这时候用户就可以用Administrator身份登陆。
实训二虚拟机的使用与组网
1.实验目的
了解VMwareworkstation运行环境和安装过程,掌握VMwareworkstation的安装方法及安装时故障的解决。
2.实验环境
Pentium133Hz以上的CPU
建议至少256M的内存
建议硬盘至少2GB,并有1GB的空闲空间。
3.实验内容
安装VMwareworkstation以及利用VMwareworkstation组建网络
4.实验步骤
1.运行安装文件安装VMwareworkstation
2.使用VMwareworkstation安装系统——2003
3.介绍附带的网卡作用
4.利用VMwareworkstation组建局域网:
组建新建一个组,在组里面使用克隆方法复制3个虚拟系统,然后编辑组添加一个网段,将三个虚拟主机的网卡勾选到该网段中区——组建一个简单的局域网。
实训三通过NTFS权限保护WindowsServer2003上的资源
1.实验目的
掌握修改NTFS卷的访问控制表;
掌握应用共享许可,及共享许可与NTFS访问许可的结合应用;
2.实验环境
虚拟实验平台模拟两台2003服务器
3.实验内容
配置NTFS卷中的资源访问控制;
共享资源时的安全控制管理;
4.实验步骤
1.NTFS控制
1)、要修改NTFS资源的ACL,打开“我的电脑”或是“资源管理器”。
2)、打开驱动器非C,创建一个文件夹:
“Data”,在上右键单击并选择属性,选择安全页。
3)、创建一个用户“test”,试问:
test能访问文件件data文件夹嘛
4)、使用administrator登录,将data文件夹中的安全选项卡中删除usr用户组后,注销再用test用户登录,test用户还能访问data文件夹嘛
2.管理共享权限
1)、以管理员身份登录,在非C盘下创建一个文件夹:
Public。
2)、右键点击文件夹,选择“共享”,打开共享页。
3)、不要改变默认的共享名称,在共享页的描述文本框里打入“描述”,单击权限按钮,删除所有用户的ACE项,增加test账号并使他具有读权限。
4)、在另一台电脑即XP工作站,并访问这台计算机,可以在开始->运行中输入“\\计算机名或者ip”,输入test的用户名,来打开这台计算机的网络资源。
5)、打开共享的文件夹“Public”,尝试创建一个文本文件或文件。
问题1:
操作能否成功?
为什么?
6)、将test用户同时加入到组aaa和bbb中去在public的共享权限中分别添加aaa和bbb两个组,分别为aaa赋予完全控制bbb服务拒绝的权限,在另一台电脑即XP工作站,并访问这台计算机,可以在开始->运行中输入“\\计算机名或者ip”,输入test的用户名,来打开这台计算机的网络资源,去删除该文件的文件,结果会是如何?
3、混合管理NTFS安全和共享设置
1)、使用管理员创建一个public的文件夹在里面建一个文本文档,并在ntfs权限中加入test用户给以它完全控制的权限,然后再将test用户加入到public文件夹的共享权限中给予它读的权限,
2)、在另一台电脑上在开始->运行中输入“\\计算机名或者ip”,输入test的用户名,来打开这台计算机的public文件夹资源。
它能对该文件夹的文件作修改删除吗?
实训四通过EFS证书保护WindowsServer2003的资源
1.实验目的
掌握怎样加密文件或文件夹以增强私人数据的安全;和EFS恢复证书在丢失个人加密密钥时的作用;
2、实验环境
虚拟实验平台
3、实验内容
利用ESF加密文件;
4、实验步骤
1.使用加密文件系统
1)、以管理员身份登录系统,创建两个用户test、newuser。
注销并用test用户登录。
2)、用test用户在一个非c盘下建立一个文件夹data,在文件夹中建立一个文本文档,之后对文件进行esf加密保护
3)、加密该文档,右键单击文件,选属性,然后选高级按钮,将“加密内容以保护数据”勾选,点击确定退出。
系统会询问是否加密父文件夹,选不加密。
关闭所有窗口并注销用户。
4)、用newuser登录,进入Public文件夹,尝试打开这个文档。
问题1:
操作能否成功?
5)、要让新用户可以访问已加密的文件,我们需要test用户到处该加密文件的证书。
6)、用test用户登录,在运行中输入mmc打开控制台,在文件中选择添加/删除管理单元,并选择添加证书。
打开证书之后选择个人下面的证书,会出现用于加密文件的相应的证书,鼠标单击证书右键所用任务中选择导处证书,之后选择“是,导出私钥”,然后输入密钥保护密码,为证书命名为aa并指定证书存放位置(最好放到自己的移动存储设备上)。
这里我们存放到c盘。
4)、注销test,用newuser用户登录,打开C盘,双击aa证书文件,导入到自己的个人证书,输入密码,提示导入成功。
5)、newuser用户再次打开文件夹,尝试打开test的加密文档。
实训五配置审核策略
1、实验目的
配置审核策略加强系统安全
2、实验环境
虚拟实验平台模拟windows2003sever一台
3、实验内容
配置审核,来监控test用户对机要文件的操作
4、实验步骤
1)使用管理员账号登陆计算机,选中“我的电脑”右键“管理”进入计算机管理,展开中本地用户与组,选中“用户”右键新建用户,新建一个名为“test”的用户,密码设为123。
并建立一个文件夹,取名为“财务报表”够机密的吧。
2)单击【开始】在【运行】中输入“mmc”打开“控制台”。
点击“控制台”下的【文件】并选中【添加/删除管理单元】。
在弹出的对话框中单击【添加】,立即弹出一个名为“添加独立管理单元”的对话框,在该对话框中查找“组策略对象编辑器”单击【添加】再单击【关闭】。
3)添加完成之后,在控制台的左边框中的“控制台根节点”下出现了“本地计算机”策略,将其展开并继续展开“计算机配置”,在“计算机配置”下选中“windows设置”。
Windows设置展开后又出现许多选项,将视线聚焦在“本地策略”上,将其展开会发现我们的最终目标——“审核策略”。
单击“审核策略”在对话框中的有半框会出现9项待我们去审核的内容,这里我们用以记录监控用户对机要文件的访问事件,所以双击“审核对象访问”。
4)双击的结果会出现一个对话框,有两个复选框“成功与失败”都勾选上,已记录成功和失败的操作。
之后单击【确定】就ok了
5)下一步,注销administrator用户,使用test用户登录到系统。
test可以去打开“财务报表”那个文件夹,但此时这一行为被计算机记录下来了。
6)注销test用户,用administrator用户登录。
在“我的电脑”上右键“管理”进入“计算机管理”对话框,选中“事件查看器”并展开,“双击安全性”事件,你能找到有价值的东西吗?
实训六配置磁盘配额
1、实验目的
配置磁盘配额,防止磁盘容量资源的滥用
2、实验环境
虚拟实验平台模拟windowssever2003一台
3、实验内容
配置服务器的磁盘配额对用户使用的磁盘容量进行有限地控制。
4、实验步骤
1)使用管理员账号登陆计算机,选中“我的电脑”右键“管理”进入计算机管理,展开中本地用户与组,选中“用户”右键新建用户,新建一个名为“test”的用户,密码设为123。
2)此时我们要限制用户对E盘的空间使用,双击我的电脑,选中E盘并右键属性,在弹出的属性选项卡中单击“配额”
3)接下来,你将看到除了【启用配额管理】这个选项可选以外,其他都是灰色。
不用犹豫勾选【启用配额管理】
4)接下来单击选项卡右下方的【配额项】按钮,马上弹出一个“(E:
)的配额项目”的对话框
5)第五步,单击【配额】并选中【新建配额项】。
此时要求你选择用户,单击【高级】——立即查找——添加test用户,单击【确定】之后画面立即弹出一个名为“添加新配额项”的对话框。
当你看到这个画面时你应该会选第二个选项——“将磁盘空间限制为”。
6)这里就是为test用户分配空间大小,这里我们目的在于实验,将空间设为10MB。
可以看到后面的容量单位是可选的,根据实际情况而定。
7)配置完毕之后就关闭“(E:
)的配额项目”,退到属性对话框中后单击确定就ok了
8)注销管理员账号,用test用户登录到系统。
9)由于刚才为test用户分配的磁盘使用空间只有10MB,这样我们就可以找个超过10MB的文件复制到E盘中去,这样你会看到什么结果?
实训七网络监视器的使用,利用网络监视器分析ICMP数据包
1、实验目的
学习掌握两种流量分析器的使用,有助于网络安全分析与加固。
2、实验环境
虚拟实验平台模拟两台windows2003并将其放入同一网段两台主机的地址分别为192.168.1.100和192.168.1.200使用工具:
微软网络监视器与sniffer
3、实验内容
安装微软网络监视器,利用该工具捕获网卡中的流量并加以分析
安装sniffer,熟悉该工具的使用,并捕获网卡中的流量。
4、实验步骤
微软网络监视器
微软网络监视器是windows2003自带的一款网络流量监视器,不过默认情况下是没有被安装的,需要手工添加该组件
1)进入系统192.168.1.100之后,单击【开始】鼠标放到【设置】上,此时单击【控制面板】
2)控制面板出现后有许多选项,找到【添加删除程序】并双击。
在【添加删除程序】里面单击【添加删除组件】,马上会弹出一个对话框“组件向导”。
这是一个复选对话框,拉动滑动条找到【管理和监视工具】,注意:
不要勾选,你有两种选择一、可以单击该选项再单击【详细信息】,二、直接双击。
接下来进入了【管理和监视工具】的对话框,这里就直接勾选【网络监视工具】,单击确定。
3)回到windows组件向导后,单击下一步,只等待它自动安装完成。
4)下一步,点击【开始】鼠标放到【程序】上,找到【管理工具】在【管理工具】的选项中单击【网络监视器】。
5)接下来会弹出一个对话框,要求你选择你要监视那个网卡的流量,单击【确定】后弹出一个对话框,双击【本地计算机】会出现你计算机上的所用网卡,看用户需要监视那个网卡,这里我们选中【本地连接】并单击确定。
6)正式进入网络监视器之后,你会发现有类似于播放暂停的按钮,那正是我们要使用的。
单击工具栏中的黑色小箭头,这个时候监视器就开始工作了。
7)在监视器工作的同时,在【运行】中输入‘cmd’命令打开cmd.exe的字符操作界面,在该界面下输入:
ping192.168.1.200。
8)等ping命令执行完毕之后,回到监视器,你会发现右边框中的“网络统计”和“捕获统计”有了许多数据。
它做了一个相应的统计比如:
捕获了多少颗帧。
这些都是表面现象。
9)点击带有小眼镜的停止按钮,它的意思为停止并查看。
这是大家看到的就是流经在你网卡上的数据。
Sniffer的使用
1)安装sniffer,这款软件的安装比较复杂需谨慎
2)将sniffer的文件夹拷贝到192.168.1.100中,找到setup.exe的安装文件,双击开始安装。
3)进入“welcome”的欢迎界面,点击【next】,进入软件的许可认证界面。
没有选择,只能点【yes】。
4)输入用户信息,这里自己随意填写。
接下来就是指定文件存放位置,一般都是默认位置,单击【next】,之后就是读取进度条。
5)接下来这一步“用户注册”,需要注意的是填写一个完整的E-mail,比如:
jose@,其他随意并单击【下一步】。
接下来是填写用户的地址、城市、国家、邮编、电话、传真。
记住只要不要留空白就行了邮编和电话必须是数字,填好后单击【下一步】。
这一界面是个问卷调查,还是不要留空白,还有最重要的是最下面一个空:
序列号的输入。
回到刚才装安装文件的文件夹里,找到sn.txt的文本文件,序列号就在里面,将其复制再粘贴到“snifferserialnumber”处,单击【下一步】。
用户注册的最后一步,选择“Notconnectedtonetworkordial-upprint&faxoption”单击【下一步】,最后单击【完成按钮】。
6)最后要求重启计算机,必须同意并重启主机
7)重启只有在【开始】——【程序】中找到“snifferpro”单击开始运行。
这时sniffer开始二次安装,加载Java运行环境
8)首先,出现一个“软件许可协议”,点击【是】来到Java安装目标路径保持默认单击【一下不】。
接下来选择浏览器同样保持默认点击【下一步】,最后弹出一个Java的安全警告,选择“总是授权”。
安装终于完成了。
9)看到sniffer的工作界面比网络监视器要复杂得多,这里我们学如何进行捕帧并查看分析。
10)首先是选择要监视的网卡,单击【File】找到【selectsetting】,它也会识别到计算机上的所有网卡,选中local下的Intel(R)本地物理网卡单击【确定】。
接下来点击黑三角形按钮开始,这样sniffer就开始工作了。
11)同样在此时在192.168.1.100发起对192.168.1.200的ping,待ping命令执行完毕之后点击sniffer上带有小望远镜的红色停止键,停止并查看。
停止后你会发现并没有看到什么数据帧,一片空白。
在弹出的对话框中在框的下沿有几个选项卡,单击【Decode】就可以看到捕获到的数据了。
实训八利用IPSec保护数据安全
1、实验目的
掌握在windows2003上实现基于IPsec的数据安全传输
2、实验环境
使用虚拟实验平台搭建两台2003的服务器,并将其至于同一网段pc1为:
192.168.1.1,pc2为:
192.168.1.2。
3、实验内容
添加ip安全策略,使其为数据加密,保护数据安全
4、实验步骤
1)登录进入到pc1,单击【开始】在单击【运行】,输入mmc打开控制台。
打开控制台之后单击“文件”选择“添加删除管理单元”,在添加/删除管理单元的对话框中单击【添加】,马上弹出一个对话框,找到并添加“IP安全策略管理”。
2)“IP安全策略管理”添加完毕之后,在控制台节点下就多了一个“IP安全策略,在本地计算机”的选项,右键并选中“创建IP安全策略”,立即弹出一个策略安装向导,单击【下一步】。
3)单击下一步之后在下一个对话框中要求输入一个策略名称,这里输入“ICMP”作为策略名称,单击下一步。
4)接下来出现一个复选框让你勾选,这里将默认的选项“激活默认相应规则”的勾去掉,点击下一步。
5)在这一步骤中就是要求用户自定义“编辑属性”,点击【完成】。
这时弹出一个新的对话框“新IP安全策略”,单击下面的【添加】按钮。
6)接下来是一个向导的开始界面单击下一步,选择默认配置“此规则不指定隧道”再下一步。
来到一个单选对话框,这里我们使用的是局域网实验,所以鼠标点击“局域网”再单击下一步。
7)在这一画面中,鼠标点击最下面一项“此字符串用来保护密钥交换”,在下面框中输入一个共享密钥:
MCSE再下一步。
来到“IP筛选器列表”选择“所有ICMP通讯量”,为ICMP流量加密,点击下一步。
下一画面是“筛选器操作”选择“需要安全”然后再点击下一步。
在后面的操作中保持默认操作即可。
8)新ip的安全策略创建好了之后,在控制台的右边框内会多一个ICMP,鼠标选中它右键选择“指派”,执行该ip策略。
此时你在pc1上发起对pc2的ping,会看到什么效果?
4)最后在pc2上完成上述相同配置后,量主机之间在做ping会是什么效果。
实训九利用MSBA扫描Windows操作系统漏洞
1、实验目的
掌握微软基线分析器的使用
2、实验环境
虚拟实验平台搭建两台2003服务器,并将其设置为同一网段。
使用工具:
基线分析器
3、实验内容
安装微软基线分析器
利用基线分析器扫描系统漏洞
4、实验步骤
使用范围
运行Microsoft®Windows®2000Server或MicrosoftWindowsServer™2003
升级会员 