windows2003系统的安全审计.doc

Windows 2003系统的安全审计 1. 实训目的 计算机安全审计，是对计算机访问控制的必要补充，是计算机访问控制的一个重要方面，审计会对计算机上进行的所有操作进行记录与监控，审计和监控是系统安全最后的一道防线，处于系统的最高层，审计与监控能够再现原有的进程和问题，这对于责任的追究和数据的恢复非常有必要。本次练习主要目的是体验利用漏洞进行缓冲区溢出攻击。 2. 实训所需条件及环境 硬件设备：局域网（含机柜、配线架、交换机等）、台式PC机 软件支撑：Windows 2003、Windows XP以及BackTract5虚拟机 网络拓扑结构： 3. 实训内容 3.1 Windows 2003系统的安全审计练习 　　1. 审计策略 　　启动【开始-所有程序-管理工具－本地安全策略】。 　　打开【安全设置－本地策略－审核策略】，右侧会有设置项。 　　双击【审核对象访问】，选中“成功”和“失败”。 　　单击【确定】按钮使策略生效。 　2. 访问文件夹的权限 　　(1) 在C盘下新建一个文件夹audit。 　　(2) 右键单击此文件夹，选择【属性】，在打开的【属性】对话框中选择【安全】属性页。 　　(3) 单击【高级】按钮，在出现的【高级安全设置】对话框中选择【审核】属性页。 　　(4) 单击【添加】按钮，在弹出的【选择用户或组】对话框中单击【高级】。 　　(5) 单击【立即查找】。 　　(6) 在“搜索结果”列表框中双击“Everyone”选项，单击【确定】按钮。然后会出现【审核项目】对话框。 　　(7) 在【访问】列表框中选中“写入属性”的“成功”与“失败”操作。 　　(8) 单击【确定】按钮直至完成。 　3. 清除无关事件 　　选择【开始-所有程序-管理工具-事件查看器-安全性】，右键单击该项，选择【清除所有事件】，并在弹出的提示框中单击【否】。 　4. 对文件夹进行操作 　　在audit文件夹中新建文档general.txt，并对该文档进行写入操作。 　5. 查看安全事件 　　选择【开始-所有程序-管理工具-事件查看器-安全性】，这里有对系统很多方面的审计日志，双击某一事件可以查看其详细信息。 　6. 导出并查看日志 　　鼠标右键单击【安全性】，在弹出的快捷菜单中选择【另存日志文件】，将日志作为文本文件(.txt)导出并另存于“C:\audit”下。分析这些日志文件所包含的信息并查找哪些是记录用户对文件夹的写入操作的。 3.2 WPA/WPA2无线密码破解练习 　1. 关闭以太网络连接 使用ifconfig指令关闭以太网卡，即让eth0等获得ip地址的网卡接口处于down的状态。 ifconfig eth0 down 　2. 监控无线网卡口 使用airmon-ng指令监控无线网卡接口，使之处于监控状态。 airmon-ng start wlan0 此时，使用ifconfig查看网卡状态，可以看到mon0的提示。 　3. 查找当前的无线网络 开启一台具有无线网卡的机器，并连接到指定的无线路由器test上。然后使用airodump-ng指令查找当前活跃的无线网络，即通过BSSID来分别不同的无线网络，并从中找到test无线路由及刚才接入的PC机器的MAC，效果如下图所示。 airodump-ng mon0 　4. 捕获目标路由的数据包 使用airodump-ng针对目标无线路由器进行数据包侦嗅，并将其保存到本地用于密码破解，命令格式如下： airodump-ng –w 文件名 –c 频道号 mon0 数据包捕获直到出现handshake的提示时停止，如下图所示。 　5. 对无线路由的客户端进行Deauth攻击 使用aireplay-ng针对目标无线路由器的客户机进行攻击，迫使其下线，命令格式如下： aireplay-ng –0 攻击次数 –a 无线路由MAC–c 客户机MAC mon0 　6. 密码破解 当捕包停止后，使用aircrack-ng针对捕获的数据包文件进行密码破解，破解方式为使用密码字典，命令格式如下： aircrack-ng –w 密码字典 文件名*.cap BackTrack5自带密码字典位置： /pentest/wireless/aircrack-ng/test/password.lst