信息安全基礎實驗指導實驗指導書

年5月29日信息安全基礎實驗指導實驗指導書文檔僅供參考<信息安全基礎實驗指導>實驗指導書實驗一古典密碼算法實驗名稱:古典密碼算法實驗類型:設計性實驗學時:4適用對象:信息安全一、實驗目的學習常見的古典密碼學算法,經(jīng)過編程實現(xiàn)替代密碼算法和置換密碼算法,加深對古典密碼體制的了解,為深入學習密碼學奠定基礎。二、實驗要求分析替代密碼算法和置換密碼算法的功能需求,詳細設計實現(xiàn)替代密碼算法和置換密碼算法的數(shù)據(jù)結構和流程,給出測試用例和測試步驟,得出測試和結論。替代密碼算法和置換密碼算法的實現(xiàn)程序必須提供加密和解密兩個接口:intencrypt()和intdecrypt()。當加密或者解密成功時返回CRYPT_OK,失敗時返回CRYPT_ERROR。三、實驗原理古典密碼算法曾被廣泛應用,大都比較簡單,使用手工和機械操作來實現(xiàn)加密和解密。它的主要應用對象是文字信息,利用密碼算法實現(xiàn)文字信息的加密和解密。下面介紹兩種常見的具有代表性的古典密碼算法,以幫助讀者對密碼算法建立一個初步的印象。替代密碼替代密碼的原理是使用替代法進行加密,就是將明文由其它的字母、數(shù)字或符合所代替后形成密文。這里每個明文字母對應的密文字母可能是一個,也可能是多個。接收者對密文進行逆向替換即可得到明文。替代密碼有五種表現(xiàn)形式:eq\o\ac(○,1)單表代替即簡單替代密碼或者稱為單字母代替,明文字母表中的一個字符對應密文字母表中的一個字符。這是所有加密中最簡單的方法。eq\o\ac(○,2)多名碼代替就是將明文字母表中的字符映射為密文字母表中的多個字符。多名碼簡單代替早在14就由DuchyMantua公司使用。在英文中,元音字母出現(xiàn)頻率最高,降低對應密文字母出現(xiàn)頻率的一種方法就是使用多名碼,如e可能被密文5、13或25替代。eq\o\ac(○,3)多音碼代替就是將多個明文字符代替為一個密文字符。比如將字母”i”和”j”對應為”K”,”v”和”w”代替為”L”最古老的這種多字母加密始見于1563年由波她的<密寫評價>(Defurtioisliterarumnotis)一書。eq\o\ac(○,4)多表代替即由多個簡單代替組成,也就是使用了兩個或兩個以上的代替表。比如使用有5個簡單代替表的代替密碼,明文的第一個字母用第一個代替表,第二個字母用第二個表,第三個字母用第三個表,以此類推,循環(huán)使用這五張代替表。多表代替密碼由萊昂.巴蒂斯塔于1568年創(chuàng)造,著名的維吉尼亞密碼和博福特密碼均是多表代替密碼。下面我們介紹一種典型的單表替代密碼——凱撒(Caesar)密碼,又叫循環(huán)移位密碼。它的加密方法就是將明文中的每個字母用字母表中該字母后的第R個字母來替換,達到加密的目的。它的加密過程能夠表示為下面的函數(shù):其中,ｍ為明文字母在字母表中的位置數(shù);ｎ為字母表中的字母個數(shù);ｋ為密鑰;為密文字母在字母表中對應的位置數(shù)。 例如:對于明文字母H,其在字母表中的位置數(shù)為8,設,則按照上式計算出來的密文為L,計算過程如下: ２．置換密碼置換密碼算法的原理是不改變明文字符,而是按照某一規(guī)則重新排列消息中的比特或字符順序,才而實現(xiàn)明文信息的加密。置換密碼有時又稱為換位密碼。矩陣換位法是實現(xiàn)置換密碼的一種常見方法。它將明文中的字母按照給定的順序安排在一個矩陣中,然后用根據(jù)密鑰提供的順序重新組合矩陣中的字母,從而形成密文。例如,明文為attackbeginsatfive,密鑰為cipher,將明文按照每行6個字母的形式排在矩陣中,形成如下形式:根據(jù)密鑰cipher中各個字母在字母表中出現(xiàn)的先后順序,給定一個置換:根據(jù)上面的置換,將原有居住中的字母按照第１列、第４裂、第５裂、第３裂、第２列、第６列的順序排列,則有下面的形式:從而得到密文:ａｂａｔｇｆｔｅｔｃｎｖａｉｉｋｓｅ其解密過程是根據(jù)密鑰的字母數(shù)作為列數(shù),將密文按照列、行的順序寫出,再根據(jù)由密鑰給出的矩陣置換產(chǎn)生新的矩陣,從而恢復明文。四、實驗所需儀器、設備、材料(試劑)運行Windows或Linux操作系統(tǒng)的PC機,具有gcc(Linux)、VC(Windows)等C語言或java編譯環(huán)境。五、實驗預習要求、實驗條件、方法及步驟(1)根據(jù)實驗原理部分對替代密碼算法的介紹,自己創(chuàng)立明文信息,并選擇一個密鑰,編寫替代密碼算法的實現(xiàn)程序,實現(xiàn)加密和解密操作。(2)根據(jù)實驗原理部分對置換密碼算法的介紹,自己創(chuàng)立明文信息,并選擇一個密鑰,編寫置換密碼算法的實現(xiàn)程序,實現(xiàn)加密和解密操作。六、思考題你所知道的古典密碼算法還有那些?詳細說明具體的加密和解密過程。你所看過的和密碼有關的電影或小說有哪些?描述一下其中的加密解密基本原理。實驗二使用Sniffer工具嗅探實驗名稱:使用Sniffer工具嗅探實驗類型:驗證性實驗、綜合性實驗學時:6適用對象:信息安全實驗目的經(jīng)過使用SnifferPro軟件掌握Sniffer(嗅探器)工具的使用方法,實現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包,以理解TCP/IP協(xié)議中的多種協(xié)議的數(shù)據(jù)結構、會話連接建立和終止的過程、TCP序列號、應答序號的變化規(guī)律。而且,經(jīng)過實驗了解FTP、HTTP等協(xié)議明文傳輸?shù)奶匦?以建立安全意識,防止FTP、HTTP等協(xié)議由于傳輸明文密碼造成的泄密。二、實驗要求(1)用兩臺主機做實驗,一臺主機進行Telnet登陸,另一臺主機進行嗅探,把嗅探到的重要信息寫出來,特別是用戶名和密碼,過程與任務二和任務三類似。 (2)任務三中嗅探HTTP信息所得到的數(shù)據(jù)包太多,既占用主機的硬盤資源,分析起來又極其麻煩,其實能夠設置DefineFilter選項中的DataPattern,這個功能能夠設置更加詳細的過濾選項從而使我們用最少的數(shù)據(jù)包得到最有用的數(shù)據(jù),請自己做實驗并研究怎樣設置這些選項,并把任務三的實驗重新做一遍,以得到少而有用的數(shù)據(jù)包,把設置的詳細步驟和最終結果寫出來。 (3)用兩臺主機做實驗,在一臺主機上安裝防火墻,另一臺主機再進行嗅探,看是否還能接收到信息,如果不能,分析其原因并詳細寫出來。三、實驗原理Sniffer是NAI公司推出的協(xié)議分析軟件,它能夠利用計算機的網(wǎng)絡接口截獲目的地為其它計算機的數(shù)據(jù)報文,并迎合了網(wǎng)絡管理所需的基本要求,支持豐富的協(xié)議,能夠進行快速解碼分析,而且Sniffer能夠運行在各種Windows平臺。1．網(wǎng)絡技術與設備簡介在講述Sniffer的概念之前,首先需要講述局域網(wǎng)設備的一些基本概念。數(shù)據(jù)在網(wǎng)絡上是以很小的稱為幀(Frame)的單位傳輸?shù)?幀由幾部分組成,不同的部分執(zhí)行不同的功能。幀經(jīng)過特定的稱為網(wǎng)絡驅動程序的軟件進行成型,然后經(jīng)過網(wǎng)卡發(fā)送到網(wǎng)線上,經(jīng)過網(wǎng)線到達它們的目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀已到達,然后對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會帶來安全方面的問題。每一個在局域網(wǎng)(LAN)上的工作站都有其硬件地址,這些地址惟一地表示了網(wǎng)絡上的機器(這一點與Internet地址系統(tǒng)比較相似)。當用戶發(fā)送一個數(shù)據(jù)包時,這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機器。在一般情況下,網(wǎng)絡上所有的機器都能夠”聽”到經(jīng)過的流量,但對不屬于自己的數(shù)據(jù)包則不予響應(換句話說,工作站A不會捕獲屬于工作站B的數(shù)據(jù),而是簡單地忽略這些數(shù)據(jù))。如果某個工作站的網(wǎng)絡接口處于混雜模式(關于混雜模式的概念會在后面解釋),那么它就能夠捕獲網(wǎng)絡上所有的數(shù)據(jù)包和幀。2．網(wǎng)絡監(jiān)聽原理Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡適配卡(NIC,一般為以太同卡)置為雜亂(promiscuous)模式狀態(tài)的工具,一旦同卡設置為這種模式,它就能接收傳輸在網(wǎng)絡上的每一個信息包。普通的情況下,阿卡只接收和自己的地址有關的信息包,即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息,系統(tǒng)需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情況下,網(wǎng)絡硬件和TCP／IP堆棧不支持接收或者發(fā)送與本地計算機無關的數(shù)據(jù)包,因此,為了繞過標準的TCP／IP堆棧,網(wǎng)卡就必須設置為我們剛開始講的混雜模式。一般情況下,要激活這種方式,內(nèi)核必須支持這種偽設備Bpfilter,而且需要root權限來運行這種程序,因此sniffer需要root身份安裝,如果只是以本地用戶的身份進人了系統(tǒng),那么不可能喚探到root的密碼,因為不能運行Sniffer。基于Sniffer這樣的模式,能夠分析各種信息包并描述出網(wǎng)絡的結構和使用的機器,由于它接收任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包,因此也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常見的擴大戰(zhàn)果的方法,用來奪取其它主機的控制權。3.Snifffer的分類Sniffer分為軟件和硬件兩種,軟件的Sniffer有NetXray、Packetboy、Netmonitor等,其優(yōu)點是物美價廉,易于學習使用,同時也易于交流;缺點是無法抓取網(wǎng)絡上所有的傳輸,某些情況下也就無法真正了解網(wǎng)絡的故障和運行情況。硬件的Sniffer一般稱為協(xié)議分析儀,一般都是商業(yè)性的,價格也比較貴。實際上本實驗中所講的Sniffer指的是軟件。它把包抓取下來,然后打開并查看其中的內(nèi)容,能夠得到密碼等。Sniffer只能抓取一個物理網(wǎng)段內(nèi)的包,就是說,你和監(jiān)聽的目標中間不能有路由或其它屏蔽廣播包的設備,這一點很重要。因此,對一般撥號上網(wǎng)的用戶來說,是不可能利用Sniffer來竊聽到其它人的通信內(nèi)容的。4.Snifffer可能造成的危害嗅探器能夠捕獲口令;能夠捕獲專用的或者機密的信息;能夠用來危害網(wǎng)絡鄰居的安全,或者用來獲取更高級別的訪問權限。事實上,如果你在網(wǎng)絡上存在非授權的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。四、實驗所需儀器、設備、材料(試劑)兩臺安裝Windows/XP的PC機,在其中一臺上安裝SnifferPro軟件。將兩臺PC機經(jīng)過hub相連,組成一個局域網(wǎng)。五、實驗預習要求、實驗條件、方法及步驟任務一熟悉Sniffer工具的使用 1.SnifferPro軟件簡介 Sniffer是NAI公司推出的協(xié)議分析軟件,實驗中使用SnifferPro4.7來截獲網(wǎng)絡中傳輸?shù)腇TP、HTTP、Telnet等數(shù)據(jù)包,并進行分析。 2.使用說明 啟動SnifferPro軟件后能夠看到它的主界面,啟動時有時需要選擇相應的網(wǎng)卡,選好后即可啟動軟件。用戶能夠經(jīng)過命令File/SelectSetting…來選擇相應的網(wǎng)卡。(如圖2-1所示)圖2-1網(wǎng)卡選擇 工具欄簡介如圖2-2。圖2-2(A)工具欄圖2-2(B)工具欄網(wǎng)絡監(jiān)視面板簡介,Dashbord能夠監(jiān)控網(wǎng)絡的利用率、流量以及錯誤報文等多種內(nèi)容。單擊Dashbord按鈕(Monitor/Dashbord)即可打開Dashbord面板運行操作(如圖2-3)圖2-3Dashbord界面HostTable提供了被監(jiān)視到的所有主機正在與網(wǎng)絡的通信情況,在其操作界面下,單擊Outline按鈕便可獲知各主機的IP地址、出入信包和信包大小等信息,如圖2-4顯示方式為IP。圖2-4HostTable界面任務二捕獲FTP數(shù)據(jù)包并進行分析(1)假設A主機監(jiān)視B主機的活動,首先A主機要知道B主機的IP地址,B主機能夠在命令符提示下輸入ipconfig查詢自己的IP地址并通知A主機。(2)選中Monitor菜單下的Matrix或直接點擊網(wǎng)絡性能監(jiān)視快捷鍵,此時能夠看到網(wǎng)絡中的TrafficMap視圖,如圖2-5所示,能夠單擊左下角的MAC、IP或IPX使TrafficMap視圖顯示相應主機的MAC地址、IP地址或者IPX地址。圖2-5顯示的是MAC地址,每條連線表明兩臺主機間的通信。圖2-5Matrix視圖(3)單擊菜單中的CaptureDefineFilterAdvanced,再選中IPTCPFTP,如圖2-6,然后單擊OK。圖2-6過濾器選項(4)回到TrafficMap視圖中,用鼠標選中要捕捉的B主機IP地址,選中后的IP地址以白底高亮顯示。此時,單擊鼠標右鍵,選中Capture或者單擊捕獲報文快捷鍵中的開始按鈕,Sniffer則開始捕捉指定IP地址主機的有關FTP協(xié)議的數(shù)據(jù)包。 (5)開始捕捉后,單擊工具欄中的CapturePanel按鈕,圖中顯示出捕捉的Packet的數(shù)量。 (6)B主機開始登陸一個FTP服務器。接著B主機打開FTP的某個目錄。 (7)此時,從CapturePanel中看到捕獲數(shù)據(jù)包已達到一定數(shù)量,單擊StopandDisplay按鈕,停止抓包。 (8)停止抓包后,單擊窗口左下角的Decode選項,窗中會顯示所捕捉的數(shù)據(jù),并分析捕獲的數(shù)據(jù)包。如圖2-7所示。圖2-7Decode視圖從捕獲的包中,我們能夠發(fā)現(xiàn)大量有用的信息。例如,能夠清楚地看出用戶名為test,密碼為。任務三捕獲HTTP數(shù)據(jù)包并分析(1)同任務二。 (2)同任務二。(3)單擊菜單中的CaptureDefineFilterAdvanced,再選中IPTCPHTTP,如圖2-8,然后單擊OK。圖2-8過濾器選項(4)同任務二。(5)同任務二。(6)B主機開始登陸一個Web服務器(網(wǎng)站),并輸入自己的郵箱地址和密碼。(7)同任務二。(8)停止抓包后,單擊窗口左下角的Decode選項,窗中會顯示所捕捉的數(shù)據(jù),并分析捕獲的數(shù)據(jù)包。如圖2-9所示。圖2-9Decode視圖由任務二的實驗和任務三的實驗我們能夠看出,Sniffer能夠探查出局域網(wǎng)內(nèi)流動的任何信息,特別是用戶名和密碼之類敏感的數(shù)據(jù),因此在局域網(wǎng)內(nèi)的安全就至關重要了,其實只要在電腦內(nèi)安裝上網(wǎng)絡防火墻,并把Windows操作系統(tǒng)的安全級別提高,Sniffer工具就可能嗅探不到任何信息。六、思考題你所了解的網(wǎng)絡嗅探工具還有那些?和Sniffer比較有何優(yōu)缺點?如果讓你開發(fā)一個網(wǎng)絡嗅探工具,應該如何設計和實現(xiàn)?經(jīng)過使用網(wǎng)絡嗅探工具,你體會應該在那些方面加強信息的安全性?實驗三賬號口令破解實驗名稱:賬號口令破解實驗類型:驗證性實驗學時:4適用對象:信息安全一、實驗目的 經(jīng)過密碼破解工具的使用,了解賬號口令的安全性,掌握安全口令設置原則,以保護賬號口令的安全。二、實驗要求(1)自己嘗試設置不同復雜度的用戶密碼,經(jīng)過設置LC5中的不同破解方法進行破解,記錄破解時間,加深對密碼保護的理解。(2)經(jīng)過設置”任務”中的”從Sniffer導入”選項,嘗試經(jīng)過嗅探器在線探測網(wǎng)絡中傳輸?shù)目诹?改變身份驗證方式,再進行嘗試,將步驟和結果加以整理并提交報告。(3)整理總結增加密碼口令安全性的方法和策略。三、實驗原理口令密碼應該說是用戶最重要的一道防護門,如果密碼被破解了,那么用戶的信息將很容易被竊取,因此密碼安全是特別需要關注的內(nèi)容。隨著網(wǎng)絡黑客攻擊技術的增強和方式的改變,許多口令都可能被攻擊和破譯,這就要求用戶提高對口令安全的認識。這個實驗中介紹了口令破解的原理和工具的使用,能夠用這些工具來測試用戶密碼的強度和安全性,以使用戶選擇更為安全的口令。一般入侵者常常采用下面幾種方法獲取用戶的密碼口令,包括弱口令掃描、Sniffer密碼嗅探、暴力破解、社會工程學(即經(jīng)過欺詐手段獲取)以及木馬程序或鍵盤記錄程序等手段。有關弱口令掃描、Sniffer密碼嗅探等已經(jīng)在前面的實驗中做了介紹,本章我們主要就暴力密碼破解的工作原理進行簡要介紹。首先介紹一種星號”*”密碼查看器的工作原理。在Windows中Edit控件是一個標準控件,當把其Password屬性設為True時,輸入的口令密碼就會屏蔽為星號,從而達到保護密碼的目的。雖然表面上我們看到輸入的密碼都是星號,但程序中的Edit控件仍是用戶輸入的明文密碼。應用程序能夠獲取該控件中的明文密碼信息,也能夠經(jīng)過向其發(fā)送WM_GETTEXT或EM_GETLINE消息來獲取Edit控件中的內(nèi)容。當破解程序發(fā)現(xiàn)當前探測的窗口是Edit控件時,即可利用具有ES-PASSWORD屬性的Edit控件的這個特性,經(jīng)過SendMessage向此窗口發(fā)送WM-GETEXT或EM-GETLINE消息,這樣Edit框中的”*”內(nèi)容就一目了然了。當然,不同密碼程序的加密機制有所不同,主面介紹的僅是其中的一種破解方法,但讀者能夠從中了解口令解密的機制。有關系統(tǒng)用戶賬號密碼口令的破解主要是基于密碼匹配的破解方法,最基本的方法有兩個,即窮舉法和字典法。窮舉法就是效率最低的辦法,將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串,進行遍歷嘗試。在口令密碼稍微復雜的情況下,窮舉法的破解速度很低。字典法相對來說效率較高,它用口令字典中事先定義的常見字符去嘗試匹配口令?？诹钭值涫且粋€很大的文本文件,能夠經(jīng)過自己編輯或者由字典工具生成,里面包含了單詞或者數(shù)字的組合。如果你的密碼就是一個單詞或者是簡單的數(shù)字組合那么破解者就能夠很輕易的破解密碼。當前常見的密碼破解和審核工具有很多種,例如破解Windows平臺口令的L0phtCrack、WMICracker、SMBCrack、CNIPCNT弱口令終結者以及商用的工具:Elcomsoft公司的AdancedNTSecurityExplorer和ProactiveWindowsSecurityExplorer、Winternals的Locksmith等,用于Unix平臺的有JohntheRipper等。下面的實驗中,主要經(jīng)過介紹L0phtCrack5的使用,了解用戶口令的安全性。四、實驗所需儀器、設備、材料(試劑)一臺安裝Windows/XP系統(tǒng)的計算機,安裝L0phtCrack5.02密碼破解工具。五、實驗預習要求、實驗條件、方法及步驟任務一使用L0phtCrack5破解密碼L0phtCrack5(簡寫為LC5)是L0phtCrack組織開發(fā)的Windows平臺口令審核程序的最新版本,它提供了審核Windows用戶賬號的功能,以提高系統(tǒng)的安全性。另外,LC5也被一些非法入侵者用來破解Windows用戶口令,給用戶的網(wǎng)絡安全造成很大的威脅。因此,了解LC5的使用方法,能夠避免使用不安全的密碼,從而提高用戶本身系統(tǒng)的安全性。在Windows操作系統(tǒng)中,用戶賬戶的安全管理使用了安全賬號管理器SAM(SecurityAccountManager)的機制,用戶和口令經(jīng)過加密Hash變換后以Hash列表形式存放在%SystemRoot%\System32下的SAM文件中。LC5主要是經(jīng)過破解這個SAM文件來獲取用戶名和密碼的。LC5能夠從本地系統(tǒng)、其它文件系統(tǒng)系統(tǒng)備份中獲取SAM文件,從而破解出用戶口令。 我們事先在主機內(nèi)建立用戶名test,密碼分別陸續(xù)設置為空密碼、123123、security、security123進行測試。 啟動LC5,彈出來LC5的主界面如圖5-1所示。圖5-1LC5主界面如果破解本臺計算機的口令,而且具有管理員權限,那么選擇從本地機器導入;如果已經(jīng)侵入遠程的一臺主機,而且有管理員權限,那么能夠選擇從遠程電腦導入,這樣就能夠破解遠程主機的SAM文件(這種方法對使用syskey保護的計算機無效);如果獲得了一臺主機的緊急修復盤,那么能夠破解緊急修復盤中的SAM文件;LC5還提供在網(wǎng)絡中探測加密口令的選項,LC5能夠在一臺計算機向另一臺計算機經(jīng)過網(wǎng)絡進行認證的挑戰(zhàn)/應答過程中截獲加密口令散列,這也要求和遠程計算機建立起連接。本實驗破解本地計算機的口令,因此選擇”從本地機器導入”,然后單擊Next按鈕,彈出如圖5-5所示的對話框。由于設置的是空口令,因此選擇快速口令破解即能夠破解口令,再單擊Next按鈕,彈出如圖5-6所示的對話框。選擇默認的選項即可,接著單擊Next按鈕,彈出如圖5-7所示的對話框。單擊Finish按鈕,軟件就開始破解賬號密碼了,破解結果如圖5-8所示。能夠看到,用戶test的密碼為空,軟件很快就被破解出來了。把test用戶的密碼改為”123123”,再次測試,由于口令不是太復雜,還是選擇快速口令破解,破解結果如下圖5-9所示。 能夠看到,test用戶的密碼”123123”也被很快的破解出來了。把主機密碼設置的復雜一些,不選用數(shù)字,選擇某些英文單詞,比如security,再次測試,由于密碼復雜了一些,破解方法選擇”普通口令破解”,測試結果如圖5-10所示。能夠看到,復雜口令的破解速度雖慢,但還是把比較復雜的口令security123破解出來了。其實我們還能夠設置更加復雜的口令,采用更加復雜的自定義口令破解模式,設置界面如圖5-13所示。其中,”字典攻擊”中我們能夠選擇字典列表的字典文件進行破解,LC5本身帶有簡單的字典文件,也能夠自己創(chuàng)立或者利用字典工具生成字典文件;”混合字典”破解口令把單詞、數(shù)字或符號進行混合組合破解;”預定散列”攻擊是利用預先生成的口令散列值和SAM中的散列值進行匹配,這種方法由于不用在線計算Hash,因此速度很快;利用"暴力破解"中的字符設置選項,能夠設置為"字母+數(shù)字"、"字母+數(shù)字+普通符號"、"字母+數(shù)字+全部符號",這樣我們就從理論上把大部分密碼組合采用暴力方式遍歷所有字符組合而破解出來,只是破解時間可能很長。任務二掌握安全的密碼設置策略暴力破解理論上能夠破解任何密碼,但如果密碼過于復雜,暴力破解需要的時間會很長(比如幾天),在這段較長的時間內(nèi),增加了用戶發(fā)現(xiàn)入侵和破解行為的機會,以采取某種措施來阻止破解,因此密碼越復雜越好。一般設置密碼要遵循以下幾個原則:(1)密碼長度不小于8個字符;(2)包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合;(3)不包含姓名、用戶名、單詞、日期以及這幾項的組合;(4)定期修改密碼,而且對新密碼做較大的變動。例如,這樣的一個密碼就是一個復雜度很高的密碼”974a3K%n_4$Fr1#”,破解軟件要花費很長的時間才能破解。任務三密碼破解的防護syskey是Windows和WindowsXP中增加的一項功能,它能夠使用啟動密鑰來保護SAM文件中的賬號信息。默認情況下,啟動密鑰是一個隨機生成的密鑰,存儲在本地計算機上。這個啟動密鑰在計算機啟動后必須正確輸入才能登錄系統(tǒng)。經(jīng)過在命令行界面下輸入命令syskey,回車后即會啟動syskey的設置界面,如圖5-14所示。圖5-14syskey配置界面經(jīng)過syskey保護,攻擊者即使經(jīng)過另外一個操作系統(tǒng)掛上你的硬盤,偷走計算機上的一個SAM文件的拷貝,這份SAM文件的拷貝對于她們也是沒有意義的,因為Syskey提供了非常好的安全保護。當然,要防止攻擊者進入系統(tǒng)后對本地計算機啟動密鑰的提索,這能夠經(jīng)過配置syskey時,將啟動密鑰存儲在軟盤上實現(xiàn)啟動密鑰與本地計算機的|分隔。另外,還能夠經(jīng)過選擇安全的身份驗證協(xié)議,防止嗅探器探測到網(wǎng)絡中傳輸?shù)拿艽a。在Windows和WindowsXP中,默認的身份認證協(xié)議是Kerberosv5,它采用了復雜的加密方式來防止未經(jīng)授權的用戶截獲網(wǎng)絡中傳輸?shù)拿艽a信息?？墒?如果計算機沒有加入到域中,則采用的身份認證協(xié)議是NTLM。NTLM采用詢問應答的方式進行身份驗證,它有3種變體:LM(LanManager)、NTLMversion1和NTLMversion2,其中NTLMversion2是最安全的身份驗證方式。為了加強網(wǎng)絡安全性,需要關閉LM和NTLMversionl這兩種相對不安全的方式。能夠經(jīng)過控制面板→管理工具→本地安全策略,在打開的本地安全策略窗口中,打開安全設置\本地策略\安全選項,在右側的窗口中,雙擊鼠標左鍵打開"網(wǎng)絡安全:LanManager身份驗證級別",在列表中選擇"僅發(fā)送N11Mv2響應＼拒絕LM&NτML"選項,如圖515所示。在Windows系統(tǒng)里面有很多措施來增強密碼口令的安全,詳細步驟和過程請參考實驗"Windows系統(tǒng)安全"中的賬戶和口令安全設置。圖5-15身份認證協(xié)議的選擇界面實驗四Windows操作系統(tǒng)安全實驗名稱:Windows操作系統(tǒng)安全實驗類型:驗證性實驗、綜合性實驗學時:4適用對象:信息安全實驗目的經(jīng)過實驗掌握Windows賬戶與密碼的安全設置、文件系統(tǒng)的保護和加密、安全策略與安全模板的使用、審核和日志的啟用、本機漏洞檢測軟件MBSA的使用,建立一個Windows操作系統(tǒng)的基本安全框架。二、實驗要求根據(jù)Windows操作系統(tǒng)中的各項安全性要求,完成相關的設置,詳細觀察記錄設置前后系統(tǒng)的變化,給出分析報告。三、實驗原理我們從賬戶口令、文件系統(tǒng)、日志和審核、安全漏洞掃描等方面對Windows操作系統(tǒng)安全進行介紹。 1.賬戶和口令賬戶和口令是登錄系統(tǒng)的基礎,也是眾多黑客程序攻擊和竊取的對象。因此,系統(tǒng)帳戶和口令的安全是非常重要的,也是能夠經(jīng)過合理設置來實現(xiàn)的。普通用戶常常在安裝系統(tǒng)后長期使用系統(tǒng)的默認設置,忽視了Windows系統(tǒng)默認設置的不安全性,而這些不安全性常常被攻擊者利用,經(jīng)過各種手段獲得合法的賬戶,進一步破解口令。因此,首先需要保障賬戶和密碼的安全。文件系統(tǒng)磁盤數(shù)據(jù)被攻擊者或本地的其它用戶破壞和竊取是經(jīng)常困擾用戶的問題,文件系統(tǒng)的安全問題也是非常重要的。Windows系統(tǒng)提供的磁盤格式有FAT、FAT32以及NTFS。其中,FAT格式和FAT32格式?jīng)]有考慮對安全性方面的更高需求,例如無法設置用戶訪問權限等。NTFS文件系統(tǒng)是Windows操作系統(tǒng)中的一種安全的文件系統(tǒng),管理員或用戶能夠設置每個文件夾的訪問權限,從而限制一些用戶和用戶組的訪問,以保障數(shù)據(jù)的安全。3.數(shù)據(jù)加密軟件EFS當用戶的計算機在沒有足夠物理保護的地方使用時,或者發(fā)生計算機或磁盤的被竊、被拆換,在所有這些情況下,保密的數(shù)據(jù)都可能被竊取,造成重要數(shù)據(jù)的丟失。采用加密文件系統(tǒng)(EFS)的加密功能對敏感數(shù)據(jù)文件進行加密,能夠加強數(shù)據(jù)的安生性,而且減小計算機、磁盤被竊或者被拆換后數(shù)據(jù)失竊的隱患。EFS采用了對稱和非對稱兩種加密算法對文件進行加密,首先系統(tǒng)利用生成的對稱密鑰將文件加密成為密文,然后采用EFS證書中包含的公鑰將對稱密鑰加密后與密文附加在一起。文件采用EFS加密后,能夠控制特定的用戶有權解密數(shù)據(jù),這樣即使攻擊者能夠訪問計算機的數(shù)據(jù)存儲器,也無法讀取用戶數(shù)據(jù)。只有擁有EFS證書的用戶,采用證書中公鑰對應的私鑰,先解密公鑰加密的對稱密鑰,然后再用對稱密鑰解密密文,才能對文件進行讀寫操作。EFS屬于NTFS文件系統(tǒng)的一項默認功能,同時要求使用EFS的用戶必須擁有在NTFS卷中修改文件的權限。審核與日志為了便于用戶監(jiān)測當前系統(tǒng)的運行狀況,Windows系統(tǒng)中設置了審核與日志功能。審核與日志是Windows系統(tǒng)中最基本的入侵檢測方法,當有攻擊者嘗試對系統(tǒng)進行某些方式的攻擊時,都會被安全審核功能記錄下來,寫入到日志中。一些Windows下的應用程序,如IIS(Internet信息服務器),也帶有相關的審核日志功能,例如,IIS的FTP日志和WWW日志等。IIS每天生成一個日志文件,包含了該日的一切記錄,例如,試圖經(jīng)過網(wǎng)絡登陸系統(tǒng)的IP地址等。文件名一般為ex年份月份日期,例如,ex050123,就是1月23日產(chǎn)生的日志。IIS的WWW日志在系統(tǒng)盤中\(zhòng)%systemroot%\System32\logfiles\w3svc1\目錄下,FTP日志在\%systemroot%\System32\logfiles\msftpsvc1\目錄下。而系統(tǒng)日志、安全性日志和應用程序日志分別為\%systemroot%\System32\config文件夾下的3個文件。5.安全模板Windows系統(tǒng)中的安全設置項目繁多,包括賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務、注冊表和文件系統(tǒng)等。一一設置這些安全項目相當復雜,為了提高系統(tǒng)安全性設置的簡易性,微軟在Windows系統(tǒng)中提供了不同安全級別的安全模板,不同安全級別的模板包含了不同安全性要求的配置項目。用戶只要簡單地根據(jù)需要選擇啟用相應的模板,即可自動按照模板配置各項安全屬性。對部分模板的意義做如下說明:setupsecurity.inf:全新安裝系統(tǒng)的默認安全設置basicws.inf:基本的安全級別compatws.inf:將系統(tǒng)的NTFS和ACL設置成安全層次較低的NT4.0設置securews.inf:提供較高安全性的安全級別hisecws.inf:提供高度安全性的安全級別上述模板文件名的后面兩個字符,ws代表workstation&server,dc代表domaincontroller。Windows系統(tǒng)也支持用戶自己構建模板。6.MBSA(MicrosoftBaselineSecurityAnalyzer)要檢查當前系統(tǒng)是否符合一定的安全標準,手動逐項檢查的過程是非常繁雜的。Microsoft提供了自動檢查Windows系統(tǒng)漏洞的安全審計工具MBSA。它將從微軟的升級服務器中下載最新的補丁包文件,檢查Windows系統(tǒng)中是否安裝了最新的安全補丁。另外,它還能夠對系統(tǒng)漏洞、IIS漏洞、SQLServer數(shù)據(jù)庫以及IE、OFFICE等應用程序的漏洞進行掃描,以檢查系統(tǒng)的各項配置是否符合安全性要求。四、實驗所需儀器、設備、材料(試劑)1臺安裝Windows/XP操作系統(tǒng)的計算機,磁盤格式配置為NTFS,預裝MBSA(MicrosoftBaselineSecurityAnalyzer)工具。五、實驗預習要求、實驗條件、方法及步驟需要說明的是,以下設置均需以管理員(Administrator)身份登陸系統(tǒng)。在Windows和WindowsXP操作系統(tǒng)中,相關安全設置會稍有不同,但大同小異,下面主要以Windows的設置步驟為例進行說明。任務一賬戶和口令的安全設置1.刪除不再使用的賬戶,禁用guest賬戶共享賬戶、guest賬戶等具有較弱的安全保護,常常都是黑客們攻擊的對象,系統(tǒng)的賬戶越多,被攻擊者攻擊成功的可能性越大,因此要及時檢查和刪除不必要的賬戶,必要時禁用guest賬戶。(1)檢查和刪除不必要的賬戶。右鍵單擊”開始”按鈕,打開”資源管理器”,選擇”控制面板”中的”用戶和密碼”項。在彈出的對話框(如圖6-1所示)中列出了系統(tǒng)的所有賬戶。確認各賬戶是否仍在使用,刪除其中不用的賬戶。圖6-1用戶和密碼(2)guest賬戶的禁用。為了便于觀察實驗結果,確保實驗用機在實驗前能夠使用guest賬戶登陸;打開””控制面板中的”管理工具”,選中”計算機管理”中”本地用戶和組”,打開”用戶”,彈出如圖6-2所示的窗口; 右鍵單擊guest用戶,彈出如圖6-3所示對話框,選擇”屬性”,在彈出的對話框中”賬戶己停用”一欄前打勾;圖6-3guest屬性確定后,guest前的圖標上會出現(xiàn)一個紅色的叉。此時再次試用guest賬戶登陸,則會顯示”您的賬戶已被停用,請與管理員聯(lián)系”。2.啟用賬戶策略賬戶策略是Windows賬戶管理的重要工具。打開”控制面板”→”管理工具”→”本地安全策略”,選擇”賬戶策略”,如圖6-4所示。雙擊”密碼策略”,彈出如圖6-5所示的窗口。密碼策略用于決定系統(tǒng)密碼的安全規(guī)則和設置。圖6-3密碼策略其中,符合復雜性要求的密碼是具有相當長度、同時含有數(shù)字、大小寫字母和特殊字符的序列。雙擊其中每一項,可按照需要改變密碼特性的設置。(1)雙擊”密碼必須符合復雜性要求”,在彈出的如圖6-4所示對話框中,選擇”啟用”;下面我們看一下策略是否啟動,打開”控制面板”中”用戶和密碼”項,在彈出的如圖6-7所示對話框中選擇一個用戶后,單擊”設置密碼”按鈕。圖6-7用戶和密碼在出現(xiàn)的設置密碼窗口中輸入密碼。此時設置的密碼要符合設置的密碼要求。例如,若輸入密碼為L123456,則彈出如圖6-8所示的對話框;若輸入密碼為L_123456,密碼被系統(tǒng)接受。(2)雙擊圖6-5面板中”密碼長度最小值”,在彈出的對話框(見圖6-8)中設置可被系統(tǒng)接納的賬戶密碼長度最小值,例如設置為6個字符。一般為了達到較高的安全性,建議密碼長度的最小值為8。圖6-8密碼長度最小值(3)雙擊圖6-5面板中”密碼最長存留期”,在彈出的對話框(見圖6-10)中設置系統(tǒng)要求的賬戶密碼的最長使用期限為42天。設置密碼自動保留期,能夠提醒用戶定期修改密碼,防止密碼使用時間過長帶來的安全問題。圖6-10密碼最長存留期(4)雙擊圖6-5面板中”密碼最短存留期”,在彈出的對話框(見圖6-11)中修改設置密碼最短存留期為7天。在密碼最短存留期內(nèi)用戶不能修改密碼。這項設置是為了避免入侵的攻擊者修改賬戶密碼。(5)雙擊”強制密碼歷史”和”為域中所有用戶使用可還原的加密儲存密碼”,在相繼彈出的類似對話框中,設置讓系統(tǒng)記住的密碼數(shù)量和是否設置加密存儲密碼。至此,密碼策略設置完畢。在賬戶策略中的第2項是賬戶鎖定策略,它決定系統(tǒng)鎖定賬戶的時間等相關設置。打開圖6-5中”賬戶鎖定策略”,彈出如圖6-12所示的窗口。圖6·12賬戶鎖定策略(1)雙擊"賬戶鎖定闕值",在彈出的對話框(見圖6·13)中設置賬戶被鎖定之前經(jīng)過的無效登錄次數(shù)(如3次),以便防范攻擊者利用管理員身份登錄后無限次的猜測賬戶的密碼(窮舉法攻擊)。(2)雙擊"賬戶鎖定時間",在彈出的對話框(見圖6-14)中設置賬戶被鎖定的時間(如2Omin)。此后,當某賬戶無效登錄(如密碼錯誤)的次數(shù)超過3次時,系統(tǒng)將鎖定該賬戶 20min。3.開機時設置為”不自動顯示上次登錄賬戶”Windows默認設置為開機時自動顯示上次登陸的賬戶名,許多用戶也采用了這一設置。這對系統(tǒng)來說是很不安全的,攻擊者會從本地或FremindSeIVice的登陸界面看到用戶名。圖6·14賬戶鎖定時間要禁止顯示上次的登陸用戶名,可做如下設置:右鍵單擊"開始"按鈕,打開"資源管理器",選中"控制面板",打開"管理工具"朋下,"本地安全策略"工頁,選擇"本地策略"中的"安全選項氣并在圖6-15所示窗口右側列表中選擇”登陸屏幕上不要顯示上次登陸的用戶名”選項,彈出如圖6-16所示的對話框。選擇”己啟用”,完成設置。4.禁止枚舉賬戶名為了便于遠程用戶共享牢地文件,Windows默認設置遠程用戶能夠經(jīng)過空連接枚舉出所有本地賬戶名,這給了攻擊者可乘之機。要禁止枚舉賬戶名,可執(zhí)行以下操作:打開””本地安全策略項,選擇””本地策略中的””安全選項,如圖6-17所示,選擇"對匿名連接的額外限制"工頁,在"本地策略設置"中選擇"不允許枚舉SAM賬戶和共享"(見圖618)。圖6·1g司對匿名連接的額外限制另外,在"安全選項"中還有多項增強系統(tǒng)安全的選工頁,請讀者自行查看。 文件系統(tǒng)安全設置任務二 (1)打開采用NTFS格式的磁盤,選擇一個需要設置用反極限的文件夾。這里選擇E盤下的"工具備份"文件夾。 (2)右鍵單擊該‘文件失去F選擇"屬性",在工具欄中選擇"安全",彈出如圖6-19所示的窗口。文件夾安全屬性岳、圖、6,19 (3)將"允許將來自父索的主可能繼承權限傳播給該對象"之前的勾去掉,以去掉來縮、文件夾的繼承權限(如不去摸則無法刪除可對父系文件夾操作用戶組的操作權(4)選中列表中的Everyone組,單擊"刪除"按鈕,刪除Everyone組的操作權限。由于新建的用戶往往都歸屬于Everyone組,而Everyone組在缺省情況下對所有系統(tǒng)驅動器都有完全控制權,刪除Everyone組的操作權限能夠對新建用戶的權限進行限制。原則上只保留允許訪問此文件夾的用戶和用戶組。 (5)選擇相應用戶組,在對應的復選框中打勾,設置其余用戶組對該文件夾的操作權限。 (6)單擊"高級"按鈕,彈出如圖620所示的窗口,查看各用戶組的權限。該文件夾,子文件夾及文件該文件夾,子文件夾及文件完全控制讀取及運行守』允許抽imsuators@本允許FowerUses臼町用戶權限圖630用加密軟件EFS加密硬盤數(shù)據(jù) (1)打開"控制面板"中的"用戶和密碼",創(chuàng)立-個名為MYUSER的新用戶。 ,(2)打開磁盤格式為NTFS的磁盤,選擇要進行加密的文件夾,這里仍選擇E:1"I具備份"。 (3)右鍵單擊該文件夾,打開"屬性"窗口,選擇"常規(guī)"選工頁,單擊"高級yyt鈕,彈出如圖6·21所示的對話框。任務三圖6·21文件夾高級屬性(4)選擇"加密內(nèi)容以便保護數(shù)據(jù)",單擊"確定"按鈕。(5)在彈出的對話框中選擇"將更改利用于該文件夾、子文件夾和文件"。圖6·22加密(6)加密完畢后保存當前用戶下的文件,單擊"開始"按鈕,打開"關機",在下拉列表中選擇"注銷……用戶"(即當前用戶),以剛才新建的MYUSER用戶登陸系統(tǒng)。再次訪問"工具備份"文件夾,打開其中的文件時,彈出如圖6·23所示的錯誤窗口。圖6·23錯誤窗口說明該文件夾己經(jīng)被加密,在沒有授權的情況下無法打開。(7)再次切換用戶,以原來加密文件夾的管理員賬戶登陸系統(tǒng)。單擊"開始"按鈕,在飛行"框中輸入mmc,打開系統(tǒng)控制臺。單擊左上角的"控制臺"按鈕,選擇"添加l刷除管理單元",在彈出的對話框中單擊"添加"按鈕,選擇添加"證書",如圖6·24際,為當前的加密文件系統(tǒng)EFS設置證書。 (8)在控制臺窗口左側的目錄樹中選擇"證書""個人""證書"。能夠看到用于加密文件系統(tǒng)的證書顯示在右側的窗口中,如圖625所示。雙擊此證書,單擊詳細信息,則能夠看到證書中包含的詳細信息,主要的一項是所包含的公鑰,如圖6·26所幣。(9)選中用于EFS的證書,單擊右鍵,在彈出的菜單中單擊"所有任務飛在展開的菜單中,單擊"導出",則彈出"歡迎使用證書導出向導",單擊"下一步"按鈕,選擇"是,導出私鑰",如圖ι27所示,接著設置保護私鑰的密碼,如圖6·28所示,然后將導出的證書文件保存在磁盤上的某個路徑,如圖6-29所示,這就完成了證書的導出,如圖6·30所示。圖6·30導出完成(10)再次切換用戶,以新建的MYUSER登陸系統(tǒng),重復步驟(7)和(8),右鍵單擊選中的"證書"文件夾,選擇"所有任務"中的"導入",在彈出的"使用證書導入向導"窗口,單擊"下一步"按鈕,在地址欄中填入步驟。)中導出證書文件的地址,導入該證書,如圖631所示。圖631導入文件(11)輸入在步驟。)中為保護私鑰設置的密碼,如圖6-32所示,選擇將證書放入"個 人"存儲區(qū)中,單擊"下一步"按鈕,完成證書導入,如圖6·33所示。4牛二Jh平LLLLLLLL也掉自由蹦酣蛐蛐酣睡醒蠟瞥戴遇圖633完成導入(12)再次雙擊加密文件夾中的文件,文件能夠正常打開。說明該用戶已成為加密文件的授權用戶,如圖6·34所示。圖634文件打開任務四啟用審核與日志查看1.打開審核策略(l)打開"控制面板"中的"管理工具",選擇"本地安全策略":(2)·打開"本地策略"中的"審核策略",能夠看到當前系統(tǒng)的審核策略,如圖6-35所示: (3)雙擊每項策略能夠選擇是否啟用該項策略。例如"審核賬戶管理"將對每次建立新用戶、刪除用戶等操作進行記錄,"審核登錄事件"將對每次用戶的登錄進行記錄:"審核過程追蹤"將對每次啟動或者退出的程序或者進程進行記錄,根據(jù)需要啟用相關審核策略。審核策略啟用后,審核結果放在各種事件日志中。圖6·35審核策略2.查看事件日志。)打開"控制面板"中的"管理工具",雙擊"事件查看器",如圖636所示,可以看到Windows反P的3種日志,其中安全日志用于記錄剛才上面審核策略中所設置的安全事件。翻應用程序曰:志因安全日:志組系統(tǒng)日志應用程序錯誤記錄安全審核記錄系統(tǒng)$苦誤記錄日;吉、日志日志5121.OMB256圖6·36事件查看器 (2)雙擊"安全日志",可查看有效無效、登陸嘗試等安全事件的具體記錄。例如,查看用戶登錄/注銷的日志,彈出類似圖6·37和圖6·38所示的對話框。圖6·37和圖638分別為登錄事件的失敗審核與成功審核。能夠看到日志中詳細t錄了登錄的時間、賬戶名、錯誤類型等信息。其中,"事件ID"用于標識各事件的類型,各D的意義能夠查看Microsoft網(wǎng)站。任務五時叫飛嗖mmm明節(jié)盼牛在每罪貿(mào)ZFJ苦苦器ZEF瑞號在串串古到擺在雪茹苦嗦概ggzj圖637登錄失敗日志圖6-38登錄成功日志啟用安全策略與安全模板1.啟用安全模板開始前,請記錄當前系統(tǒng)的賬戶策略和審核日志狀態(tài),以便與實驗后的設置進行比較。三句 p 辛盧 (1)單擊"開始",選擇"運行吧按鈕,在對話框中輸入IIMIle,打開系統(tǒng)控制臺,如圖6羽所示。圖6·39控制臺(2)單擊工具欄上的"控制臺",在彈出的案單中選擇"添加/刪除管理單元",單擊自添加",在彈出的如圖640所示的窗口中分別選擇"安全模板"、44安全配置和分析",軸"添加"按鈕后,關閉窗口,并單擊"確定"按鈕。圖640管理單元(3)此時系統(tǒng)控制臺中根節(jié)點下添加了"安全模板"、"安全配置分析"兩個文件夾。打開"安全模板"文件夾,能夠看到系統(tǒng)中存在的安全模板,如圖641所示的窗口。圖641安全模板右鍵單擊模板名稱,選擇"設置描述",能夠看到該模板的相關信息。選擇"打開",右側窗口出現(xiàn)該模板中的安全策略,雙擊每種安全策略可看到其相關配置,如圖6·42所習之。(4)右鍵單擊"安全配置與分析",選擇"打開數(shù)據(jù)庫"。在彈出的對話框中輸入欲新建安全數(shù)據(jù)庫的名稱,例如起名為mycomputer-sdb,如圖643所示。單擊"打開"按鈕,在彈出的窗口中,根據(jù)計算機準備配置成的安全級別,選擇一個安全模板將其導入。圖ι42模板的具體設置圖643打開數(shù)據(jù)庫(5)右鍵單擊"安全配置與分析",選擇"立即分析計算機",單擊"確定"按鈕。系統(tǒng)開始按照上一步中選定的安全模板,對當前系統(tǒng)的安全設置是否符合要求進行分析。分析完畢后,可在目錄中選擇查看各安全設置的分析結果,如圖6·44所示。 (6)右鍵單擊"安全配置與分析",選擇"立即配置計算機",則按照第(4)步中所選擇的安全模板的要求對當前系統(tǒng)進行配置。如果事先對系統(tǒng)的缺省配置選項做了記錄,接著記錄啟用安全模板后系統(tǒng)的安全設置,與啟用前進行比較,即可發(fā)現(xiàn),如果選用的安全模板級別較高,則使用安全模板后系統(tǒng)的安全配置選項增加了許多。分析結果2.創(chuàng)立安全模板(1)重復任務五第1部分第(1)步~第(4)步。在圖6ι-4鉛2中展開"安全模板"氣,右鍵單擊模板所在路徑(即圖中的對話框中填入欲新力加日入的模板名稱ImIn1yt臼eIm肌InL1b,在"安全模板描述"中填入"自設模板"飛。可以看到新力加日模板出現(xiàn)在模板列表中,如圖645所示。圖644:1整釜運黎擺擺黯盟盟主哲堂堂?主胃mmmh默認安全設置.需要設置環(huán)摸變量D白I配置戚全新安裝時NR文件飛注冊表A..增強seqxews設置.對POW-『Use..配置成全新安黯才NT陀文件飛注冊表A..可選組{牛文件安全.多數(shù)文件可能不到..可選組件文件安全.多數(shù)文件可能不可..配置成全新安裝時陽陌文件宦跚表A..配置成全新安翻才陽陌文件飛注冊袋AH全新安裝系統(tǒng)的默認安全設置默認安全設重.不包括喃戶權限飛部R.挨執(zhí)委會注意旦不刨F用戶權限飛受限.自設模板圖6-45新加模板(2)雙擊mytem,在顯示的安全策略列表中雙擊"賬戶策略"下的"密碼策略",可發(fā)現(xiàn)其中任一項均顯示"沒有定義"。雙擊欲設置的安全策略(如"密碼長度最小值"),彈出如自6.46所示的對話框。圖6-46密碼長度最小值設置(3)在”在模板中定義這個策略設置”前打勾,在框中填入密碼的最小長度7。(4)依次設定”賬戶策略”、”本地策略”等項目中的每項安全策略,直至完成安全模板的設置。至此,自設安全模板mytem創(chuàng)立完畢,能夠按照任務五第1部分中的步驟導入系統(tǒng)中。任務六利用MBSA檢查和配置系統(tǒng)安全MBSA是微軟公司提供的安全審計工具,能夠從微軟網(wǎng)站免費下載,它的下載地址是。其安裝過程也非常簡單,下面對MBSA的使用方法進行介紹。檢查系統(tǒng)漏洞雙擊打開MBSA,在彈出的窗口中選擇”Scanacomputer”(或”Pickacomputertoscan”)菜單,如圖1所示。圖6-47MBSA歡迎界面系統(tǒng)將彈出”Pickacomputertoscan”對話框(如圖2),如圖6-47所示。在彈出的窗口中填寫本地計算機名稱或IP地址,并選擇希望掃描的漏洞類型。這里采用全部漏洞掃描,單擊”Startscan”按鈕,掃描計算機。注意:由于掃描過程需要連接Microsoft網(wǎng)站,因此需要事先配置好網(wǎng)絡連接。掃描結束后,彈出如圖6-49所示的安全性報告。圖6-49安全性報告檢查安全性報告并手動修復漏洞安全性報告中,最左側一欄為評估結果,其中紅色和黃色的叉號表示該項目未能經(jīng)過測試;雪花圖標表示該項目還能夠進行優(yōu)化,也可能是程序跳過了其中的某項測試;感嘆號表示尚有更詳細的信息;綠色的對勾表示該項目已經(jīng)過測試;Whatwasscanned表明檢查的項目,Resultdetails中詳細說明了該項目中出現(xiàn)的問題;Howtocorrectthis說明了解決的方式。首先查看報告中評價結果為叉號的項目(這里選擇filesystem),打開resultdetails,察看該項檢查中出現(xiàn)的具體問題。圖6-50現(xiàn)示的是對磁盤檢查的結果,由于所有硬盤都沒有使用更加安全的NTFS文件系統(tǒng),因此評估結果顯示為叉號。圖6-50評估的詳細結果單擊howtocorrectthis按鈕,彈出的窗口顯示了有關如何修改項目設置的提示信息;根據(jù)提示,我們能夠修改不符合安全性要求的設置。完成修改后,再次進行掃描,查看修改后的設置是否已經(jīng)達到安全要求。六、思考題你認為微軟的安全策略有哪些優(yōu)缺點?請你關注它的下一個版本,看看你的想法是否正確。實驗五Linux操作系統(tǒng)安全實驗名稱:Linux操作系統(tǒng)安全實驗類型:驗證性實驗學時:4適用對象:信息安全一、實驗目的經(jīng)過實驗熟悉LiI111x環(huán)境下的用戶管理、進程管理以及文件管理的相關操作命令,掌握Linux操作系統(tǒng)中的相關安全配置方法,建立起Linux操作系統(tǒng)的基本安全框架。二、實驗原理1.用戶管理Linux系統(tǒng)支持以命令行或窗口方式管理用戶和用戶組。它提供了安全的用戶名和口令文件保護以及強大的口令設置規(guī)則,并對用戶和用戶組的權限進行細粒度的劃分。Linux系統(tǒng)的用戶和用戶組的信息分別保存在/etc/shadow、/etc/passwd、/etc/group和/etc/gshadow等幾個文件中,為這些文件設置較高的安全權限是完全必要的。在較高安全要求的系統(tǒng)中,能夠將這些文件設置為不可更改。Linux系統(tǒng)中也帶有一些常見的口令字典,以便在用戶設置的口令不太安全時及時的提醒用戶。表6-1列出了與用戶管理有關的命令及其簡單的使用規(guī)則和參數(shù)。如果希望進一步了解這些命令,能夠在Linux操作系統(tǒng)中經(jīng)過使用man命令查看。表6-1用戶管理常見命令及參數(shù)命令格式用途常見參數(shù)UseraddUseradd[參數(shù)及對應內(nèi)容]賬戶名按照設置添加用戶無參數(shù)直接建立-d設置用戶主目錄-G設置用戶附屬組-p設置用戶密碼PasswdPasswd[參數(shù)及對應內(nèi)容]賬戶名為用戶添加密碼或其它相關操作無參數(shù)設置用戶密碼-l鎖定賬戶-u解除鎖定-S查看用戶狀態(tài)FingerFinger[參數(shù)]賬戶名查看用戶的相關信息usermodUsemod[參數(shù)及對應內(nèi)容]賬戶名用戶建立后修改用戶的相關屬性-d–G-p同useradd-l更改用戶名UserdelUserdel[參數(shù)]賬戶名刪除用戶無參數(shù)直接刪除-r將其目錄刪除GroupaddGroupadd[參數(shù)及對應選項]組名添加用戶組無參數(shù)直接建立并使用默認id-g設置組idGpasswdGpasswd[參數(shù)]賬戶名對組用戶進行操作-a把用戶加入組-d把用戶從組中刪除-A對組指派管理員GroupdelGroupdel[組名]刪除用戶組無Susu賬戶名A將當前用戶切換為用戶A無ChageChage[參數(shù)及對應內(nèi)容]賬戶名設置用戶管理規(guī)則-m密碼被更改前須等待的天數(shù)-M一個密碼最長的有效期限-E賬號將過期的時間-W提前警告密碼將過期的天數(shù)ChattrChattr[+/-][參數(shù)]文件名稱限制/解除某文件的特殊設置I不能夠更改其中,在對系統(tǒng)有較高安全需求時,能夠限制只有部分用戶有權使用用于切換用戶的su命令。Linux系統(tǒng)中提供了用于限定該命令使用權限的wheel用戶組,只有該組的用戶才有權使用su命令,將準許使用su命令的用戶添加到該組中,即可限制其它用戶對該命令的使用。2.文件管理在Linux操作系統(tǒng)中,文件和目錄的權限根據(jù)其所屬的用戶或用戶組來劃分:(1)文件所屬的用戶,即文件的創(chuàng)立者。(2)文件所屬用戶組的用戶,即文件創(chuàng)立者所在的用戶組中的其它用戶。(3)其它用戶,即文件所屬用戶組之外的其它用戶。每個文件或者目錄的擁有者以及管理員root用戶,能夠為上述3種用戶或用戶組設置讀、寫或可執(zhí)行的權限。用戶也能夠經(jīng)過改變文件所屬的用戶和組改變3類用戶的權限。對文件夾設置SGID權限,任何在該目錄中創(chuàng)立的文件和子目錄都將與其父目錄屬于同樣的用戶組。這種管理有時是必要的,有時會帶來一定的安全問題,因此在建立文件時要特別小心文件夾的SGID權限位。另一個容易帶來安全問題的文件是home/*/.bash-history(*表示某用戶名)。為了便于重復輸入很長的命令,該文件保存了此用戶曾經(jīng)使用的一定數(shù)目(系統(tǒng)默認為500或1000)的命令。這樣就暴露了一些重要信息,例如文件的路徑,一些與用戶身份有關的密碼等,為攻擊的黑客留下了可乘之機。能夠經(jīng)過設置/etc/profile文件中的參數(shù)設置,減少保留的命令數(shù)目。表6-2中列出了用于文件管理和安全的一些相關命令及其參數(shù)。表6-2文件和權限管理的命令及其參數(shù)命令格式用途常見參數(shù)mkdirmkdir[參數(shù)及選項]文件夾名或文件夾名/子文件夾名建立文件夾及子文件夾-p直接建立帶有子文件夾的文件夾rmdirrmdir路徑及文件夾名刪除文件夾touchtouch路徑及文件名新建文件vivi路徑及文件名編輯文件catcat路徑及文件名查看文件內(nèi)容可在Cat后加上"〉"表示下面的屏幕輸出寫入文件rmrm路徑及文件名刪除文件llll路徑及文件名或文件夾名查看文件的權限等詳細信息或將文件夾中的文件信息列表chmodchmod數(shù)字或字符路徑及文件名或文件夾名為文件或文件夾設置讀、寫、可執(zhí)行權限詳見表后附文chownchown用戶A文件將文件或文件夾的所屬用戶更改為用戶Achgrpchgrp用戶組A文件將文件或文件夾的所屬用戶組更改為用戶組Atar[參數(shù)]包文件名(.tar)打包文件1,文件2將一個或幾個文件打包或解除打包-cvf將文件打包-xvf將包文件解包gzipgzip[參數(shù)]包文件名將一個包文件進行壓縮-l查看打包文件的詳細信息gunzip[參數(shù)]壓縮包名(.tar.gz)將一個壓縮包解壓附:chmod命令有以下兩種格式:格式1:命令樣例:chmod[+一=][rwxs]文件名最左面的一組參數(shù),U表示所屬用戶(user),g表示所屬用戶組(group),O表示其它用戶(other),a表示所有用戶(all)等,表示對這些用戶或用戶組的權限進行變更。中間一組參數(shù)表示要進行的操作,其中,"+"表示增加權限,"一"表示減少權限,"="表示分配權限,同時將其它權限刪除。最右面的一組參數(shù)表示要分配的權限,其中r表示允 許讀取,w表示允許寫入,x表示允許執(zhí)行,S為uid和gid。例如:[root@localhostchild]#ctMIlod0·rxnewfile表示將其它用戶對newflle的可讀r與可執(zhí)行x權限刪除。關于各用戶組對當前文件的權限,能夠用11命令進行查看:[root@localhostchild]#llnewale -rWE·E·xlroot root 1912月1310:58Ilewnle其中第1位的.表示文件(d表示文件夾),后面的每3位為一組,分別表示所屬用戶、用戶組和其它用戶的權限,每組的3位又分別表示該類用戶的可讀、可寫和可執(zhí)行權限。例如rWM·E-x表示用戶mot對newfile文件具有可讀、可寫、可執(zhí)行的權限:root所在的用戶組mot中的用戶對newflle文件具有可讀、可執(zhí)行權限,不具有可寫權限;其它 用戶對newfile文件具有可讀、可執(zhí)行權限,不具有可寫權限。格式22命令樣例zchmodnxyz文件名用這種形式也能夠設置相關權限。其中n位為2時表示設置SGID,也能夠不設置;x、y、z這3個數(shù)字分別表示所屬用戶、所屬用戶組以及其它用戶的權限。各數(shù)字實際I上是把讀、寫和執(zhí)行3個權限位分別用二進制數(shù)表示,0表示沒有該權限,1表示有例限。這樣一個二進制數(shù)111表示讀寫和執(zhí)行權限都有,轉換成十進制數(shù)就是7。同理, 只即101)即表示有讀和執(zhí)行的權限而沒有寫權限。例如:[root@localhostchild]#chmod然后用ll命令查看文件權限:[root@locdhostchild]#llnewfilefWXE--XE--xlrootroot3.插入式身份認證模塊PAMPAM(PluggableAuthenticationModules)是插入式身份認證模塊,它提供身份認證功能防止未授權用戶的訪問,其身份認證功能高度模塊化,可經(jīng)過配置文件進行靈活配置,在高版本的Limx系統(tǒng)中自動啟動了P劇,用戶也能夠自行配置PAM文件。可是,任何很小的錯誤改動都可能導致所有用戶被阻塞(包括根用戶)。因此,在進行相關文件改動之前,應當先備份系統(tǒng)內(nèi)核。Limo-0的一系列pam配置文件保存在/etc/pam.d文件夾中。在下面的實驗中能夠看到它包含與登錄、密碼驗證以及相關命令有關的一系列文件。文件中包含的語句形式 如下:passwordshadow755Ilewfile1912月1311:02newfilesumcient/lib/security/$ISA/pam--unix-SOI11111okustauthtoKInd5上述語句是按照下面的格式進行排列的:module-typecontd-flagmodule-patharguments其中的module-type,即PAM包含的模塊類型,共有4種,見表63所列。表63module-type模塊類型說明模塊類型 說 明Auth 用于提示用戶提供身份認證信息,如口令 Account 檢查用戶賬戶信息,如口令時效信息及訪問限制Session 用于提供會話建立之前和之后的功能 Passwod 負責更新用戶身份認證標記,如口令 第2個字段comol-fIag,為控制參數(shù),表示系統(tǒng)根據(jù)此PAM模塊的運行結果如何控制后繼操作以及應用此模塊的必要性。該字段有以下4種類型,見表634所列。表64COIlKol-fIag類型說明控制標志 說 明R噸uimd 這個模塊必須為將要授予的服務返回成功。如果該模塊是一系列使用模塊中的一個,發(fā)生錯誤后,其 它模塊仍將繼續(xù)執(zhí)行,但不會告知是哪個模塊發(fā)生了錯誤R噸uisite 同上所述。但此錯誤會終止所有模塊的執(zhí)行并返回一個失敗狀態(tài)Opdonal 并非必須的模塊Sllmcient 如果這個模塊運行成功,那么其它的模塊都能夠忽略:但其失敗不會帶來整個堆撓的運行失敗module-path字段指明了pam模塊的絕對路徑,一般在/lib/security目錄下。Arguments字段的參數(shù)用于指定該模塊的某些具體操作,指定的參數(shù)是能夠選擇的,一個模塊能夠附帶多個參數(shù)。所有模塊的通用參數(shù)在表6-5中列出。表63Arguments類型說明標準參數(shù) 說 明Debug 產(chǎn)生附加信息輸出到syslog*(即系統(tǒng)日志) Audit 產(chǎn)生更詳細的信息輸出到syslog No-W缸EI 禁止傳送警告消息到應用 Likeaua 該參數(shù)使模塊無論是檢查還是設置都返回一個相同的值涉及到的特殊模塊的參數(shù)將在下面的實驗中介紹。配置文件中也可能出現(xiàn)下面的語句: au也 required pam--stack-SOservice=system-auth表示從/etc/Pauldsystem,auth文件取出被引用模塊類型的內(nèi)容,并將這些內(nèi)容插入相關參考點。下面的實驗中,能夠看到system-auth文件的完整內(nèi)容。4.系統(tǒng)記錄sysl。gdLinux系統(tǒng)使用了一系列的日志文件,為管理員提供了很多關于系統(tǒng)安全狀態(tài)的信息。syslogd是一種系統(tǒng)日志守護進程,它接受系統(tǒng)和應用程序、守護進程以及內(nèi)核提供的消息,并根據(jù)在/etdsyslog-conf文件中的配置,來對這些消息在不同日志文件中進行記錄和處理。絕大部分內(nèi)部系統(tǒng)工具都會經(jīng)過呼叫syslog接口來提供這些記錄到日志中232的消息。系統(tǒng)管理員能夠經(jīng)過設置／ect／syslog．conf文件來設置希望記錄的消息類型或希望視的設備。該文件接受的句法形式如下:facility．1evelaction‘其中,facility表示可用的syslog設備。下面列出了一些常見的設備:一authpriv包括特權信息比如用戶名的身份認證行為．qkem內(nèi)核消息imail與電子郵件有關的消息。望User由一個用戶程序產(chǎn)生的任何消息*通配符level表示與各設備相關聯(lián)的各種不同設備的優(yōu)先級或重要性級別。下面從高到出一些優(yōu)先級::emerg系統(tǒng)不可用crit阻止某個工具或子系統(tǒng)功能發(fā)揮的一種錯誤情況jelT阻止某個工具或子系統(tǒng)組件功能發(fā)揮的一種錯誤情況:warning一個警告信息info信息性消息none無安全級}所有優(yōu)先級,除了noneaction字段系統(tǒng)支持的相關操作。下面列出了一些常見操作:file指定一個日志文件的絕對路徑名,消息將被寫入到這個terminal完全限定的串行或并行設備說明,消息將被寫入這個設@hostname將消息寫入一個可辨識的遠程主機username將消息發(fā)給指定用戶,木表示所有用戶根據(jù)上面的說明,語句mail．％／var／log／maillog能夠這樣解釋:與電任意安全級別的消息都將被寫／X．／var／log／maillog文件中。三、實驗環(huán)境安裝Redhat9．0操作系統(tǒng)的計算機。四、實驗內(nèi)容任務一賬戶和口令安全1．查看和添加賬戶(1)在X—Windows窗口中單擊鼠標右鍵,選擇”新建終端”,【root@localhostroot]#useraddmylist利用useradd命令新建名為mylist的新賬戶。(2)輸入命令行:【root@localhostroot]#cat／etc／shadow輸入j鍵端L,!簟、{哮÷壤藹,233利用cat查看系統(tǒng)中的賬戶列表,其中一部分列表如下:Icyl:$lSktYiazPESQtTSx3By6chicHU6BM~s90:12761:0:99999:7:::shiyanshi:shiyanshi:12761:0:99999:7:::5:$151vhrLLst$jou6y8bGhljDpsSFz3Y8L／:12762:0:99999:7:::／田IJsu;令切換到新建的mynst賬戶,重復步驟(2),檢查shadow文件的權限設置#安全。設置安全時,普通用戶mylist應沒有查看該系統(tǒng)文件的權限。在終端中出現(xiàn)如的提示:cat:／etc／shadow:權限不夠2．添加和更改密碼(1)在終端中輸入:[root@localhostroot]#passwdmylist冀莖箋震器輸入原來密碼即可刪用passwd命令添加或改變?nèi)我庥脩舻淖⒁?系統(tǒng)管理員無需輸入原來密碼即能夠利用命令添邪_戥吸父仕恧用廠’H。隅;但普通用戶只能夠改變自己的密碼。(2)輸入后將依次出現(xiàn)如下提示:Changingpasswordforusermylist·Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully．黧‰蒜i謄L黼inux篙翥鬈一蝴一…一典(3)輸入下面的命令,查看系統(tǒng)中是否有用十槿鍘{譬俏女芏削羆爸小瞄于丹乏密碼檢測模塊:『r00t@10calllostroot]#locatepamcracklib．SOdictIgrepcrack如果有,終端上將有如下的輸出:／lib／security／pam_cracklib．SO／var／www／manual／mod／mod_php4／de／function．crack-closedict·html|Ⅵ氆If、N、N、N／manual／mod／mod_php4／de／function．crack-opendict·html,v州www／manual／mod／mod舭s／function．cr