实验指导书5_基于Windows网络安全整体解决方案剖析.doc

南昌航空大学科技学院实验报告 课程名称： 信息安全概论 实验名称：基于Window网络安全整体解决方案(添加/删除管理单元，分别添加“安全模板”、“安全配置和分析”如图4-8所示。 图4-8 安全模板 2.查看系统控制台中的安全模板的描述。 3.右键单击“安全配置与分析”，选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称，如图4-9所示。根据计算机准备配制成的安全等级，选择一个安全模板将其导入。 图4-9 打开数据库 4.右键单击“安全配置与分析”，选择“立即分析计算机”。记录分析结果。 任务四、FTP服务器的安全配置 1.停止默认FTP站点，打开“控制面板”(“管理工具”(“Internet服务管理器”，右击“默认FTP站点”，停止。避免使用周所周知的默认服务器设置。如图4-10所示。 图4-10 停止默认FTP站点，启动自己的FTP站点 2.修改TCP端口，默认端口为21，改用其他的端口值，使得攻击者无法得到服务器的端口号，从而增大攻击难度，但同时也会给用户带来不便。 3.启动日志记录，修改文件日志目录，将日志目录和FTP主目录分放在不同的路径下。 4.在账号安全页面中，取消“允许匿名连接”选项，在“FTP站点操作员”只留下系统管理员一个账号。 5.设置主目录的用户权限，删除Everyone用户组。 6.在“目录安全性”页面中添加被拒绝或允许的IP。 任务五、用IIS建立高安全的Web服务器 1．为保护Windows 2000 Server系统的安全性，确认IIS与系统安装在不同的分区。 2.删除不必要的虚拟目录，默认生成的目录很容易被攻击。 3.停止默认Web站点 4.删除不必要的应用程序映射 在“Internet服务管理器”中，右击网站目录，选择“属性”，在弹出的“应用程序配置”对话框的“应用程序映射”页面，只需保留需要的映射。 5.维护日志安全 修改日志路径，并适当设置权限。建议Administrator和System用户为完全控制，Everyone为只读；建议日志文件与Web目录文件放在不同的分区。 任务六、用SSL保护Web站点的安全 1.建立自己的一个网站，能够通过用户名和口令进行简单的用户的身份验证即可。 2.利用嗅探器Sniffer，查看登录时发送信息的内容。 图4-11 登录示意图 3.配置证书服务器 证书服务是Windows 2000 Server的一个组件，默认情况下是没有安装的，所以首先安装证书服务，并建立“独立根CA”。 4.启动IIS管理器来申请一个数字证书 (1)打开Internet服务管理器，选择自己建立的站点，右键打开属性，打开“目录安全性”选项卡，单击“服务器证书”按钮，如图4-12所示。 图4-12 “目录安全性”选项卡 (2)根据向导创建一个新证书，最后将证书请求输入一个文件。 5.将证书请求文件提交给证书颁发机构， (1)打开IE浏览器，在地址栏输入证书颁发机构的IP地址/certsrv，按照步骤完成申请。注意申请时，选择”高级证书申请”，选中“使用base64编码的PKCS#10文件提交一个证书申请，或使用base64编码PKCS#7文件更新证书申请”复选项，将保存的证书申请拷贝到指定位置，并提交。 (2)证书颁发机构颁发证书 利用“开始(程序(管理工具(证书颁发机构”，进行证书的颁发 (3)Web服务器安装证书 类似步骤(1)方法检查挂起证书，完成证书的下载。下载完毕后，进行安装。 (4)Web站点申请安全通道 使用安全通道浏览网页，速度会受到影响，所以根据需要可以选择是用SSL来加密Web站点的所有内容，还是只对某些文件夹进行加密。选择要保护的对象，单击右键，打开属性页，如图4-12所示。点击编辑，选中“申请安全通道”。 6.利用嗅探器Sniffer，再次查看登录时发送信息的内容。 4.2实验结果 通过本次试验自己基本完成了1、账户和口令的安全设置，并用本机重新登录。2、创建了自己的安全模板，并导入系统。3、建立自己的FTP服务器，并进行初步的安全配置，使得部分满足条件的计算机才可以访问该FTP服务器。4、用IIS建立自己的较高安全的Web服务器。 五、实验总结 在本次实验中通过对账户和口令的安全设置，本机重新登录或利用远程登录，尝试创建自己的安全模板，并导入系统，建立自己的FTP服务器，并进行初步的安全配置，使得部分满足条件的计算机才可以访问该FTP服务器，试利用流光软件进行访问并记录结果，明白了系统的安全机制。实验过程中遇到了一些问题，通过自己上网查阅资料和同学的帮助，实验才得以完成。让我明白遇到不懂的问题要自己先尝试解决，要是翻书和上网查阅资