信息安全實驗一—鄧昭—信息111—1108060103

1、貴州大學(xué)實驗報告學(xué)院：計算機科學(xué)與技術(shù) 專業(yè)：信息安全 班級：信息111姓名鄧昭學(xué)號1108060103實驗組實驗時間2014.5.21指導(dǎo)教師 成績實驗項目名稱 實驗一：Windows操作系統(tǒng)安全及Linux操作系統(tǒng)安全實驗?zāi)康模?）掌握Windows賬戶與密碼設(shè)置方法；（2）掌握文件系統(tǒng)的保護和加密方法；（3）掌握Windows操作系統(tǒng)安全策略的使用；（4）通過實驗掌握Linux操作系統(tǒng)環(huán)境下的用戶管理、進程管理以及文件管理的相關(guān)操作命令，掌握Linux中的相關(guān)安全配置方法，建立起Linux的基本安全框架。實驗要求 實驗原理1. 賬戶和密碼 賬戶和密碼是登錄系統(tǒng)的基礎(chǔ)，同時也是眾多黑客程序

2、攻擊和竊取的對象。因此，系統(tǒng)賬戶和密碼的安全是極其重要的，必須通過配置來實現(xiàn)賬戶和密碼的安全。普通用戶常常在安裝系統(tǒng)后長期使用系統(tǒng)的默認設(shè)置，忽視了Windows系統(tǒng)默認設(shè)置的不安全性，而這些不安全性常常被攻擊者利用，通過各種手段獲得合法的賬戶，進一步破解密碼，從而達到非法登錄系統(tǒng)的目的。所以，首先需要保障賬戶和密碼的安全。2、文件系統(tǒng) 磁盤數(shù)據(jù)被攻擊者或本地的其他用戶破壞和竊取是經(jīng)常困擾用戶的問題，文件系統(tǒng)的安全問題也是非常重要的。Windows系統(tǒng)提供的磁盤格式有FAT、FAT32以及NTFS。其中，F(xiàn)AT、FAT32格式?jīng)]有考慮到安全性方面的更高需求，例如無法設(shè)置用戶訪問權(quán)限等。NTFS

3、文件系統(tǒng)是Windows操作系統(tǒng)中的一種安全的文件系統(tǒng)，管理員或用戶可以設(shè)置每個文件夾及每個文件的訪問權(quán)限，從而限制一些用戶和用戶組的訪問，以保障數(shù)據(jù)的安全。3、數(shù)據(jù)加密軟甲EFS EFS（encrypting file system,加密文件系統(tǒng)）是Windows2000以上版本操作系統(tǒng)所特有的一個實用功能，NTFS卷上的文件和數(shù)據(jù)，都可以直接被操作系統(tǒng)加密保存，在很大程度上提高了數(shù)據(jù)的安全性。采用加密文件系統(tǒng)（EFS）加密的數(shù)據(jù)，能防止計算機、磁盤被竊或者被拆換后數(shù)據(jù)失竊的隱患。 EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時，系統(tǒng)首先會生產(chǎn)一個有偽隨機數(shù)組成的FEK（fi

4、le encryption key,文件加密鑰匙），然后利用FEK和數(shù)據(jù)擴展標準X算法創(chuàng)建加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。隨后系統(tǒng)利用用戶公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公約/私鑰對（統(tǒng)稱為密鑰），則會首先生成密鑰，然后加密數(shù)據(jù)。如果用戶登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機器。 EFS加密機制和操作系統(tǒng)緊密結(jié)合，用戶不必為了加密數(shù)據(jù)安裝額外的軟件，從而節(jié)約了用戶使用成本。EFS加密系統(tǒng)對用戶時

5、透明的。如果用戶加密了一些數(shù)據(jù)，那么用戶對這些數(shù)據(jù)的訪問將是安全允許的，并不會收到任何限制。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時，就會收到“拒絕訪問”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows系統(tǒng)時進行的，只要登錄到Windows系統(tǒng)，就可以打開任何一個被授權(quán)的加密文件。實驗儀器（1）硬件條件：個人計算機。（2）軟件條件：Windows 2003/XP；磁盤格式為NTFS。實驗步驟1. 賬戶和密碼的安全設(shè)置（1）刪除不再使用的賬戶，禁用Guest賬戶（2）啟用賬戶策略（3）開機時設(shè)置為不自動顯示上次登錄賬戶（4）禁止枚舉賬戶名2.文件系統(tǒng)安全設(shè)置（1）刪除everyone組的

6、操作權(quán)限（2）對同一磁盤進行不同用戶組權(quán)限分配3.用加密軟件EFS加密硬盤數(shù)據(jù)4.賬戶和安全口令（1）查看和添加賬戶（2）添加和更改口令（3）設(shè)置賬戶管理（4）賬戶禁用和恢復(fù)（5）建立用戶組，將指定的用戶添加到用戶組中 （6）設(shè)置口令規(guī)則（7）為用戶和用戶組設(shè)置不可更改屬性，防止非授權(quán)用戶獲得權(quán)限（8）刪除用戶和用戶組 5文件系統(tǒng)管理及安全 （1）新建文件和文件夾 （2）編輯文件 （3）查看文件內(nèi)容和相關(guān)信息 （4）設(shè)置文件的所屬用戶、用戶組和權(quán)限： 6.查看和修改PAM模塊設(shè)置 （1）查看用于控制口令選擇和口令時效的PAM模塊的設(shè)置 （2）限制su命令的使用用戶 7.檢查syslog日志設(shè)置

7、以及日志文件實驗內(nèi)容實驗數(shù)據(jù)1.賬戶和密碼的安全設(shè)置（1）刪除不再使用的賬戶，禁用Guest賬戶（2）啟用賬戶策略（3）開機時設(shè)置為不自動顯示上次登錄賬戶（4）禁止枚舉賬戶名2.文件系統(tǒng)安全設(shè)置（1）刪除everyone組的操作權(quán)限（2）對同一磁盤進行不同用戶組權(quán)限分配3. 用加密軟件EFS加密硬盤數(shù)據(jù)4.然后切換賬戶在再導(dǎo)入證書，就可以看到加密文件文本的內(nèi)容了：4.賬戶和安全口令（1）查看和添加賬戶使用系統(tǒng)管理員帳戶root登錄文本模式：rootloacalhost root# useradd myusername使用cat命令查看賬戶列表：rootloacalhost root# cat /etc/shadow得到列表信息如下：（2） 添加和更改口令（3） 設(shè)置賬戶管理（4） 賬戶禁用和恢復(fù)（5） 建立用戶組，將指定的用戶添加到用戶組中（6）設(shè)置口令規(guī)則（7） 為用戶和用戶組設(shè)置不可更改屬性，防止非授權(quán)用戶獲得權(quán)限5.文件系統(tǒng)管理及安全（1）新建文件和文件夾（2）編輯文件（3）查看文件內(nèi)容及相關(guān)信息（4）設(shè)置文件的所屬用戶、用戶組和權(quán)限：6.查看和修改PAM模塊設(shè)置（1）查看用于控制口令選擇和口令時效的PAM模塊的設(shè)置(2)限制su命令的使用