信息安全技术实验报告讲解.docx

实验报告学院:信息学院专业：信息管理与信息系统专业班级：信息13-1姓名刘斌彬学号130814102实验组实验时间2016年指导教师蓝海洋成绩实验项目名称Windows操作系统安全，Linux操作系统安全实验目的掌握windows账户与密码的设置方法掌握文件系统的保护和加密方法掌握windows操作系统安全策略与安全模板的使用，审核和日志的启用方法掌握windows操作系统漏洞检测软件MBSA的使用方法，建立一个windows操作系统基本安全框架通过实验掌握linux操作系统（以下简称linux）环境下的用户管理，进程管理以及文件管理的相关操作命令，掌握linux中的相关安全配置方法，建立起linux的基本安全框架实验要求通过这次的实验学习，学生要学会windows操作系统和linux操作系统的基本基本安全配置。实验原理一.Windows操作系统的安全原理账户和密码账户和密码是登录系统的基础，同时也是众多黑客程序攻击和窃取的对象。因此，系统账户和密码的安全是极其重要的，必须通过配置来实现账户和密码的安全。普通用户常常在安装系统后长期使用系统的默认设置，忽视了windows系统默认设置的不安全性，而这些不安全性常常被攻击者利用，通过各种手段获得合法的账户，进一步破解密码，从而达到非法登录系统的目的。所以，首先需要保障账户和密码的安全。文件系统磁盘数据被攻击者或本地的其他用户破坏和窃取是经常困扰用户的问题，文件系统的安装问题也是非常重要的。Windows系统提供的磁盘格式有FAT，FAT32以及NTFS。其中，FAT，FAT32没有考虑安全到安全性方面的更高需求，例如无法设置用户访问权限等。NTFA文件系统是Windows操作系统的一种安全的文件系统，管理员或者用户可以设置每个文件夹及每个文件的访问权限，从而限制一些用户和用户组的访问，以保障数据安全。数据加密软件EFSEFS（encrypting file system，加密文件系统）是windows2000以上的版本操作系统所特有的一个实用功能，NTFS卷上的文件和数据，都可以直接被操作系统加密和保存，在很大程度上提高了数据的安全性。采用加密文件系统（EFS）加密的数据，能防止计算机，磁盘被窃取或者被拆换后数据失窃的隐患。EFS加密是基于公钥策略的。在实验EFS加密一个文件或者文件夹时，系统首先会生成一个伪随机数组成的FEK（file encrypting key，文件加密秘钥），然后利用EFK和数据扩展标准X算法创建加密后的文件，并把它存储在磁盘上，同时删除未加密的原始文件。随后系统利用用户公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件。在首次使用FEK时，如果用户还没有公钥/私钥对，则会首先生成秘钥，然后加密数据。如果用户登录到了域环境中，秘钥的生成依赖于域控制器，否则他就依赖于本地机器。EFS和加密机制和操作系统的紧密结合，用户不必为了加密数据而安装额外的软件，从而节省了用户的使用成本。EFS加密系统对用户是透明的。如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密后的数据时，就会收到“拒绝访问”的错误提示。EFS加密的用户验证过程是在登录windows系统进行的，只要登录到windows系统，就可以打开任何一个被授权的加密文件。审核与日志Windows系统从安全的角度提供了审核与日志功能，让用户便于检测当前的系统运行状况。审核与日志是windows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写到日志文件中。一些windows系统下的应用程序也有相似的功能。安全模板Windows系统中的安全项目设置繁多，包括账户策略，本地策略，事件日志，受限制的组，系统服务，注册表和文件系统。每个项目都进行设置是相当复杂的，为了提高系统安全性设置的简易性，微软在windows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置。用户只要简单地根据需要选择启用相应的安全模板，即可自动按照模板配置各项安全属性。对部分的模板的意义做如下的说明：Setup security.inf:全新安装系统的默认安全设置Basicws.inf:基本的安全级别Compatws.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置Securews.inf：提供较高安全性的安全级别Hisecws.inf：提供高度安全性的安全级别除了以上系统的默认的安全模板，windows操作系统还支持用户自己构建安全模板。MBSA（Microsoft baseline secur