1、1. 理解操作系统安全对电子商务系统安全的重要性;2. 熟悉操作系统的安全机制,以及Windows的安全策略;3. 掌握对Windows操作系统进行安全配置的基本方法和步骤。4. 了解操作系统中Web服务器的安全漏洞及其安全策略。5. 掌握基于IIS的Web服务器的安全配置的方法。二、实验环境实验设备:PC机及其局域网,具备Internet连接。软件环境:Windows XP/Windows 2003 Ent操作系统,磁盘格式为NTFS,并且完全安装IIS服务组件。三、实验内容Web服务器的安装与操作系统的安全配置。内容摘要:内容1:账户和密码的安全设置1. 删除不再使用的账户2. 启用账户策
2、略3. 不自动显示上次登录的账户名4. 启动密码设置 内容2:文件系统加密(NTFS)内容3:启用审核与日志查看功能(一种入侵检测方法)1. 启用审核策略2. 事件日志查看内容4:启用安全模板(组织网络安全设置的建立与管理)1. 启用预定义的安全模板2. 自定安全模板内容5:禁用远程协助内容6:禁用不必要的协议端口1. 禁用不必要的协议(如:NetBIOS)2. 禁用不必要的协议和端口(如:Telnet)内容7:屏蔽不必要的服务组件内容8:IIS服务组件的安装内容9:配置并验证IIS四、安全配置的具体操作实现共享的账户越多,被黑客攻击的几率也越大。特别是Guest账户,它是一个非常危险的安全漏
3、洞,常常成为攻击的对象,因为黑客可以利用这个账户登录合法的服务器。因此,要求删除不再使用的账户,并且建议将Guest账户进行禁用。(1)检查和删除不再使用的账户单击“开始”按钮,然后依次选择“控制面板” “管理工具” “计算机管理” “本地用户和组” “用户” “删除其中不再使用的账户”,具体如下图1示:图 1 计算机管理窗口(2)禁用Guest账户在(1)的基础上,选“Guest 账户” “属性” “Guest属性” “账户已停用”,具体如下图2示:图 2 禁用Guest账户账户策略是Windows XP账户管理的重要工具,它可以增加攻击者登录系统的难度。(1)密码策略依次打开“控制面板”
4、“管理工具” “本地安全策略” “本地安全设置” “账户策略” “密码策略”设置如下(详见图3、图4示):设:“密码须符合复杂性要示”启用“密码长度最小值”8位“密码最长存留期”30天“密码最短存留期”5天“强制密码历史”3个记住的密码图 3 系统默认的密码策略图 4 设置后的安全策略(2)账户锁定策略依次选择“控制面板” “管理工具” “本地安全策略” “本地安全设置” “账户策略” “账户锁定策略”设置如下(修改后的账户锁定策略详见下图5示):. “账记锁定阈值”可抵御“对用户密码的暴力猜测”:设为“3”. “复位账户锁定计数器”被锁定的账户多长时间可被复位“0”:“3分”. “账户锁定时
5、间” 被锁定后的账户,多长时间才能重新使用:“10分”图 5 修改后的账户锁定策略 3. 不自动显示上次登录的账户名Windows XP默认情况下,系统会自动显示上次登录的账户名。这使得攻击者很容易得到系统的一些用户名,从而进行密码猜测,这对系统是很不安全的。因此,应禁止自动显示上次登录的账户名,其设置方法如下:依次选择“控制面板” “管理工具” “本地安全策略” “本地安全设置” “本地策略” “安全选项”启用:交互式登录(如图6示)图 6 启用交互式登录依次选择“开始” “命令提示栏输入“syskey”“更新”“密码启动”输入相应密码“在本机上保存启动密码”确定(如图7示):如果需要取消设
6、置的启动密码,可以在“启动密码”的对话框中选择“在本机上保存启动密码”,可以取消刚刚设置的启动密码。图 7 设置启动密码NTFS能够支持其他文件系统所不支持的特性,例如支持文件系统的加密等。NTFS比FAT32文件系统安全性更高,建议把磁盘重要分区都改为NTFS格式。(1)设置:选择要加密的文件夹 “属性”“常规” “高级” “加密内容以便保护数据 ”“确定”(如下图8示):(2)验证1:加密完毕注销当前用户(系统管理员)以普通用户身份重新登录系统再次访问已启用加密文件夹则会弹出错误窗口,表明加密启用成功(如图8示):图 8 文件夹“高级”属性加密“123”文件夹及其子文件(3)验证2:以管理
7、员账户再次登录“开始”“mmc”“文件”“添加/删除管理单元”“添加”“添加独立管理单元”“证书”“添加”“证书-当前用户”“个人”“证书”(如图9示):图 9 系统控制台(4)验证证书:双击该证书可查看详细信息包含:“主题公钥有效起止日期算法”等(如图10示)。图 10 证书详细信息(5)导出证书:右击该证书“所有任务”“导出”“证书导出向导”“下一步”“是,导出私钥”“下一步”安全审核时Windows XP操作系统基本的入侵检测方法。如果攻击者通过某种方式入侵时,恰当的审核策略所生成的日志文件将会包含有关本次入侵的重要信息。依次选择“控制面板” “管理工具” “本地策略” “审核策略”依次
8、选择“控制面板” “管理工具”“事件查看器” 可见3种类操作系统的日志:3. 安全日志应用程序日志系统日志(如图11示):在事件查看器中,“安全性”日志用来记录审核策略中所设置的安全事件。双击“安全日志”,可以产看各种安全事件的详细记录。包含登录的时间、用户名、用户类型等信息。图 11 事件查看器在命令提示符中输入“mmc”命令,打开系统控制台。选择“文件”“添加/删除管理单元”“添加”“安全模板”与“安全配置和分析”“添加”“确定”(如图12示):图 12 添加安全模板和安全配置分析道控制台节点如1示,“mmc”“文件”“添加/删除管理单元”“添加”“安全模板”“新加模板搜索路径”“选定一个
9、安全模板文件夹”在命令提示符窗口输入“mmc”,打开系统控制台。选择“文件”“添加/删除管理单元”“添加”“组策略对象编辑器”“添加”“确定”“本地计算机策略”“计算机配置”“管理模板”“系统”“远程协助”双击“请求的远程协助”“已禁用”“确定”“关闭组策略管理单元”图 13 禁用远程协助依次选择“网上邻居”“属性”“本地连接”“属性”“本地连接属性”“TCP/IP”协议 “属性” “高级”“选项”“TCP/IP设置”“WINS”“禁用ICP/IP上的NetBIOS”(如下图14示):图 14 关闭NetBIOS2. 禁用不必要的协议和端口依次选择“网上邻居”“属性”“本地连接”“属性”“本地
10、连接属性”“TCP/IP”协议“属性” “高级”“选项”“TCP/IP筛选”“属性”“启用ICP/IP筛选”“只允许”从而可添加TCP、UDP、IP等网络协议充许的端口或屏蔽。图 15 禁用不必要的端口依次选择“控制面板” “管理工具”运行 “服务” “选择需要禁用的服务”,详见下图16示:图 16 系统的服务组件完成VM系统的安装后(由于已在计算机网络实验课程中学习过安装VM,故在此不再详述),如Win2003 Ent系统启动 Win 2003 Ent查“管理工具”看系统是否已有IIS,否则安装控制面板添加/删除程序添加/删除组件应用程序服务器当提示找CD时,点击“虚拟机”“可移动设备”“C
11、D-ROM.” “编辑”“使用ISO镜像”选E: 系统光盘镜像选择相应的组件,如:IIS, ftp, www站点完成后,查“管理工具”,即可看见IIS 服务器安装完成1. 配置IIS依次选择“控制面板”“管理工具”“Internet(IIS)管理器”“IIS7控制面板“DefaultWebSite”+“ASP”“启用父路径”“高级”设置网站的目录“物理路径”“绑定Http端口”为“8081”“设置默认文档”为ASP+Access (如图17示)图 17 主页面配置2. 用IIS发布网页完成上述配置过程后,选择某一磁盘下的某一目录下创建“文本文档”,而后在文本文档上输入自己想看到的内容,然后修改
12、存放格式为“.html”并保存,在到主页面配置将系统IP与刚才创建文档的路径以及该“.html”格式的静态网页加载进来,点击“应用”并“确定”;打开Internet浏览器,输入系统IP地址,就可以显示刚才创建的静态网页的内容。如下图18示:图 18 显示刚刚创建的静态网页的内容3. 配置不同VM间的互访按照同样的方法,在另外一台主机上创建另一个VM,而后按照同样的配置信息安装并配置IIS服务组件,然后在刚才创建VM中,打开Internet浏览器,输入刚刚创建的VM系统的IP地址,就可以看到其所创建的网页信息,达到同一局域网下,不同网络IP间的互访。如下图19示:图 19 不同VM下创建网页的互
13、访五、个人感想与心得体会实验做完了,过程很简单,乍一看没有什么。但是,做起来发觉确实自己对常用操作系统XP的一些基础知识储备太少了,很多地方要找很久才能找到。也有很多东西根本就不知道,比如系统控制台(原来根本不知道在命令提示符中输入“mmc”会出现这个窗口),系统基本启动密码的设置等等。现在想想整个过程,其实技术含量并不高,考察的都是一些操作系统基本的安全配置。虽然这些东西平时都不在意,对于文科生而言,没这个必要;但是,对于计算机专业搞安全的学生来说,这些基础的配置操作命令就显得格外重要,因为,只有充分了解计算机操作系统的内涵、组织构架,才能更好地掌握操作系统的基本原理,以及一些必要的安全配置命令。通过这次实验,感觉自己确确实实提高了不少,不仅仅是一些操作命令的掌握,还包括一些“无形”的而又非常重要的东西,感觉自己想要从事安全方面,还有很长的路要走。同时也非常希望能够通过这些基础的实验,使得自己的操作系统基础知识储备更加完善,自己的基础操作能力得到提高。