MBA智库文档管理生产管理生产运作《个人电脑安全技术》实训指导书.doc

《个人电脑安全技术》实训指导书.doc

下载

Calvin025

58页 | 4.04MB | 0次下载 |

0.0

(0人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

《个人电脑安全技术基础》实训指导书 2008 年 3 月目录实训项目一 windows 操作系统的安全 …………………………………………3 实训项目二 IE 浏览器安全………………… ……………………………..13 实训项目三常用杀毒软件的安装与使用……………………………………24 实训项目四木马攻击与防范……………………………………………… 37.. 实训项目五 Windows 中的 FTP、Web 服务器的安全设置……………… 38 实训项目六信息加密技术、办公文档的安全管理……………………… .43 实训项目七使用 ZoneAlarm 防火墙………………………………………47 实训项目八信息隐藏技术…………………………………………………..57 实训项目九使用 X-SCANNER 工具………………………………………….…61. 实训项目一 windows 操作系统安全一、实训目的通过实训，掌握账户与密码的安全设置、文件系统的保护与加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件 Super-Scan 的使用，建立一个操作系统的安全框架。二、实训原理我们从账户口令、文件系统、日志和审核安全漏洞扫描等方面对 windows 操作系统安全进行介绍。 1、账户与口令账户与口令是登录系统的基础，也是众多黑客攻击程序攻击和窃取的对象。因此，系统账户的安全是非常重要的，也是可以通过合理设置来实现的。普通用户常常在安装系统后长期使用系统的默认设置，忽视了 windows 系统默认设置的不安全性，被攻击者利用，通过各种手法获得合法的账户，进一步破解口令。所以，首先要保障账户和密码的安全。 2、文件系统磁盘数据被攻击者或者本地的其他用户破坏或窃取是经常困扰用户的问题，文件系统的安全问题也是非常重要的。windows 系统提供的磁盘格式有 FAT、 FAT32、NTFS。其中，FAT、FAT32 没有考虑安全性方面的更高要求，例如无法设置用户访问权限等。NTFS 文件系统是 windows 操作系统中一种安全的文件系统，管理员或用户可以设置每个文件夹的访问权限。 3、数据的加密软件当用户的计算机在没有足够的物理保护的地方使用的时候，或者发生计算机或磁盘被窃取、被拆换，保密的数据可能被窃取，造成重要数据的丢失。采用 EFS 的加密功能对敏感数据文件进行加密，可以加强数据的安全性，减少数据失窃的隐患。EFS 采用对称和非对称两种加密方法对文件进行加密，首先系统利用生成的对称秘钥将文件加密成密文，然后利用 EFS 证书中包含的公钥将对称密钥加密后与密文加在一起。文件采用 EFS 加密后，可以控制特定用户有权解密数据。这样，即使攻击者能够访问计算机数据存储器，也无法读取用户数据。只有用有 EFS 证书的用户，采用证书中公钥对应的私钥，先解密公钥加密的文件密钥，然后再用对称秘钥解密文件。EFS 属于 NTFS 文件系统的一种默认功能，同时要求使用 EFS 的用户必须拥有在 NTFS 卷中修改文件的权限。 4、审核与日志为了便于用户检测当前系统的运行状况，系统中设置了审核与日志功能，它是系统中最基本的入侵检测方法。当有攻击者尝试对 windows 系统进行某些方式的攻击的时候，都会被安全日志记录下来，写入到日志中。一些下的应用程序，如 IIS（Internet 信息服务器）也带有相关的审核日志功能。例如，IIS 中的 FTP 日志和 WWW 日志，等等。IIS 每天生成一个日志文件，包含了该日的一切记录，例如，试图通过网络登录系统的 IP 地址等。文件名通常为：ex(年份)(月份)(日期)。例如，ex050123，就是 2005 年 1 月 23 日产生的日志。IIS 在 WWW 的系统盘中目录下，FTP 日志在目录下。而系统日志、安全性日志、应用程序日志分别为文件夹下的三个文件。 5、安全模板 windows 系统中的安全设置项目繁多，包括账户策略、本地策略、事件日志、受限制的组、系统服务、注册表和文件系统。一一设置这些安全项目十分复杂，为了提高系统安全设置的简易性，微软在系统中提供可不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置项目。用户只要简单的根据需要启用相应的模板，即可以自动按照模板配置各项安全项目。对部分模板的意义作如下说明： setup : 全新安装系统的默认安全设置 : 基本的安全级别 : 将系统的 NTFS 和 ACL 设置成安全层次较低的设置 : 提供较高安全性的安全级别 : 提供高度安全性的安全级别上述模板文件名的后两个字母，ws 代表 workstation & server，dc 代表 domain controller。windows 系统也支持用户自己构建模板。 6、MBSA（Microsoft Baseline Security Analyzer）要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常复杂的， windows 提供了自动检查系统漏洞的安全审计工具 MBSA。他将从系统的升级服务器中下载最新的补丁包，检查 windows 系统中是否安装了最新的安全补丁。此外，还可以对系统漏洞、IIS 漏洞、SQLServer 数据库、IE、OFFICE 等应用程序的漏洞进行扫描，以检查系统的各项配置是否符合安全性要求。三、实训环境一台安装 windows2000/XP 的计算机，磁盘格式配置为 NTFS，预装了 MBSA （Microsoft Baseline Security Analyzer）工具。需要说明的是，以下设置均以管理员身份登录系统。在 windows2000 和 windowsXP 操作系统中，相关安全设置会稍有不同，但大同小异，以下以 windows2000 的设置步骤为实训系统。四、实训内容和步骤任务一：账户和口令的安全设置 1、删除不再使用的账户，禁用 Guest 账户共享账户、账户具有较弱的安全保护，常常都是黑客们攻击的对象，系统地账户越多，被攻击成功的可能性就越大，因此要及时检查和删除不必要的账户，必要时，禁用 Guest 账户（1）检查和删除不必要的账户 [开始]----[资源管理器]---[控制面板]---[用户和密码]（如图：）确认账户是否仍在使用，删除其中不用的账户。（2）Guest 账户的禁用注：为了便于观察实训结果，确保实训用机在实训前可以使用 Guest 账户登录。 [控制面板]---[管理工具]---[计算机管理]---[本地用户和组]---[用户]---单击 Guest 账户，得到图 ---[属性]---勾选[账户已停用]-----[确定] 2、启用账户策略注：账户策路是 windows 账户管理的重要工具 [控制面板]---[管理工具]---[本地安全策路]---[账户策略]（如图：）---双击[密码策略]（如图：）密码策略用于决定系统密码的安全规则和设置。其中符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊符号的序列。双击其中每一项，可以按照需要改变密码特征的设置。（1）双击“密码必须符合复杂性要求”，在弹出的对话框中，选择“启用”。察看策略是否启用：[控制面板]---[用户和密码]（如图：）---[设置密码 ]---尝试设置简单的密码，察看系统提示。记录结果。（2）双击“密码长度最小值”，在弹出的对话框中设置可被系统接纳的账户密码长度的最小值。例如，设置为 6 位字符，一般为了达到更高的安全性，简易最小值为 8。（3）双击“密码最短存留期”，在弹出的对话框中设置密码最短存留期为 7 天。在密码最短存留期内，用户不能修改密码，这项设置是为了避免攻击者修改账户密码。（4）双击“密码最长存留期”，在弹出的对话框中设置密码最长存留期为 42 天。设置密码自动保留期，可以提醒用户定期修改密码，防止密码使用时间过长带来安全问题。（5）双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的对话框中，设置让系统记住的密码数量和是否设置加密存储密码。注：在账户策略中的第二项是“账户锁定策略”，它决定系统锁定账户的时间等相关设置。 [控制面板]---[管理工具]---[本地安全策路]---[账户策略]（如图：）---双击[账户锁定策略]（如图：）（1）双击“账户锁定阈值”，在弹出的对话框中设置账户被锁定之前经过的无效登录次数（如：3 次）以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码（穷举法攻击）。（2）双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如： 20minute）。此后，当系统的无效登录时间超过设定次数时（如：3 次），系统将锁定该账户 20minute。 3、开机时设置为“不自动显示上次登录账户” Windows 默认设置为，开机时自动显示上次登录的账户名，许多用户也采用了这一设置。这对于系统是不安全的。攻击者会从本地或者 Terminal Service 的登录界面看到用户名。要禁止显示上次登录的用户名，可以如下设置：右击[开始]---[资源管理器]---[控制面板]---[管理工具]---[本地安全策略]---[本地策略]---[安全选项]（如图：）---在窗口右侧列表中选择[登录屏幕上不要显示上次登录的用户名]----勾选[已启用]---[确定] 4、禁止枚举账户名为了便于远程用户共享本地文件，默认设置远程用户可以通过空连接枚举出所有的本地用户账户名，给攻击者由可乘之机。要禁止枚举账户名，可以执行以下操作： [本地安全策略 ]---[本地策略]---[安全选项]---[对匿名连接的额外限制]---[本地策略配置]中，选择[不允许枚举 SAM 账户和共享] 此外，在“安全选项”中还有多项增强系统安全的选项，请自行察看。任务二：文件系统安全设置 1、打开采用 NTFS 格式的磁盘，选择一个需要设置用户权限的文件夹。例如：E 盘下的“工具备份”文件夹。 2、右键单击该文件夹，选择“属性”，在工具栏中选择“安全”，弹出如图所示的窗口。 3、将“允许将来自父系的可继承权限传播给该对象”之前的勾去掉（如果不去掉则无法删除可对父系文件夹操作用户组的操作权限）。 4、选择列表中的 everyone 组，单击“确定”按钮，删除 everyone 组的操作权限。由于新建的用户往往都归属于 everyone 组，而 everyone 组在缺省状况下对所有系统驱动器都有完全控制权，删除 everyone 组的操作权限可以对新建的用户的权限进行限制。原则上只保留允许访问此文件夹的用户和用户组。 5、选择相应用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。 6、单击“高级”按钮，弹出如图所示的窗口，察看各用户组的权限。任务三：用加密软件 EFS 加密硬盘数据 1、打开“控制面板”中的“用户和密码”，创建一个名为 MYUSER 的新用户。 2、打开磁盘格式为 NTFS 的磁盘，选择要进行加密的文件夹。这里仍然选择 E 盘下的“工具备份”文件夹。 3、右击文件夹，打开“属性”窗口，选择“常规”选项，单击“高级”按钮，弹出如图所示的对话框。 4、选择“加密内容以便保护数据”，单击“确定”按钮。 5、在弹出的对话框中选择“将更改利用于该文件夹、子文件夹和文件”。 6、加密完毕后，保存当前用户下的文件，单击“开始”按钮，打开“关机”，在下拉列表中选择“注销……用户”（即当前用户），以刚才新建的 MYUSER 用户登录系统。再次访问“工具备份”文件夹，打开其中的文件时，弹出错误窗口，说明文件夹已经被加密，在没有授权的情况下无法打开。 7、再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入 mmc,打开系统控制台。单击左上角的“控制台”按钮，选择“添加/删除管理单元”，在弹出的对话框中单击“添加”按钮，选择添加“证书”，如图所示，为当前的加密文件系统 EFS 设置证书。 8、在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中，如图所示。双击证书，单击详细信息，则可以看到该证书中包含的详细信息，主要的一项是所包含的公钥，如图所示。 9、选中用于 EFS 的证书，单击右键，在弹出的所有菜单中单击“所有任务”，在展开的菜单中，单击“导出”，则弹出“欢迎使用证书导出向导”，单击“下一步”按钮，选择“是，导出私钥”，如图所示。接着设置保护私钥的密码，如图所示。然后将导出的证书文件保存在磁盘上的某个路径，如图所示。这就完成了证书的导出，如图所示。 10、再次切换用户，以新建的 MYUSER 登录系统，重复步骤 7、8，右键单击选中的“证书”文件夹，选择“所有任务”中的“导入”，在弹出的“使用证书导入向导”窗口，单击“下一步”按钮，在地址栏中填入步骤 9 中导出证书文件的地址，导入该证书，如图所示。 11、输入在步骤 9 中为保护私钥设置的密码，如图所示，选择将该证书放入“个人”存储区中，单击“下一步”按钮，完成证书导入，如图所示。 12、再次双击加密文件夹中的文件，文件可以正常运行。说明该用户已经成为加密文件的授权用户，如图所示。任务四：启用审核与日志查看 1、打开审核策略 [控制面板]---[管理工具]---[本地安全策略]---[本地策略]---[审核策略] （如图所示）双击每项策略，可以选择是否启用该项策略。例如： “审核账户管理”：对每次新建用户、删除用户等操作进行记录； “审核登陆事件”：对每次用户的登录进行记录； “审核过程追踪”：对每次启动或则退出的程序或者进程进行记录，根据需要启用相关审核策略。审核策略启用后，审核结果放在各种事件日志中。 2、查看事件日志 [控制面板]---[管理工具]---[事件查看器] 可以看到 3 种日志。其中安全日志用于记录刚才上面审核策略中所设置的安全事件。“安全日志”可以查看有效无效、登录尝试等安全事件的具体记录。例如，查看用户登录/注销的日志，弹出如图所示的对话框。任务五：启用安全策略与安全模板 1、启用安全模板注：开始操作之前，记录当前系统的账户策略和审核日志状态，以便操作前后的设置进行比较。（1）单击“开始”，选择“运行” 按钮，在对话框中输入 mmc，打开系统控制台，如图所示。（2）单击工具栏上的“控制台”，在弹出的菜单中选择“添加/删除管理单元”，单击“添加”，在弹出的如图所示的窗口中分别选择“安全模板”、“安全配置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。（3）此时系统控制台中根节点下添加了“安全模板”、“安全配置分析”文件夹。打开“安全模板”文件夹，可以看到系统中存在的安全模板，如图所示窗口。右键单击模板名称，选择“设置描述”，可以看到该模板的相关信息。选择“打开”，右侧窗口出现该模板的中的安全策略，双击每种安全策略可看到其相关的配置，如图所示。 (4)右键单击“安全配置与分析”，选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称，例如，起名为，如图所示。单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成安全级别，选择一个安全模板将其导入。（5）右键单击“安全配置与分析”，选择“立即分析计算机”，单击“确定” 按钮。系统开始按照上一步中选定的安全模板，对当前系统的安全设置是否符合要求进行分析，分析完毕后，可以在目录中选择查看各安全设置的分析结果，如图所示。（6）右键单击 “安全配置与分析”，选择“立即配置计算机”，则按照第（4）步中所选的安全模板的要求对当前系统进行设置。如果事先对系统的缺省配置选项作了记录，接着记录启用安全模板后系统的安全设置，与启用前进行比较，即可以发现，如果选用的模板安全级别较高，则使用安全模板后系统的安全配置选项增加了许多。 2、创建安全模板（1）重复任务第一步（1）——（4）步。在图中展开“安全模板”，右键单击模板所在路径（即: 图中“C:\WINNT/Security/Templates”）,选择“新加模板”。可以看到新加模板出现的模板列表，如图所示。（2）双击 mytem，在显示的安全策略列表中双击“账户策略”下的“密码策略”，可以发现其中任一项均显示“没有定义”。双击欲设置的安全策略（如“密码长度最小值”），弹出如图所示的对话框。（3）在“在模板中定义这个策略设置”前打勾，在框中填入密码的最小长度 7。（4）依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。任务六：利用 MBSA 检查和配置系统安全是微软公司提供的安全审计工具，可以从微软免费下载。 1、检查系统漏洞（1）双击打开 MBSA,在弹出的窗口中选择 Scan a computer,如图所示。（2）在弹出的窗口中填写本地计算机名称或 IP 地址，并选择希望扫描的漏洞类型。这里采用全部漏洞扫描，单击“Start scan”按钮，扫描计算机，如图所示。注意：由于扫描过程中需要连接 Microsoft 网站，因此需要事项配置好网络连接。（3）扫描完毕后，弹出如图所示的安全性报告。 2、查看安全性报告并动手修复漏洞安全性报告中，最左侧一栏为评估结果，其中红色和黄色的叉号表示该项目未能通过测试；雪花图标表示该项目还可以进行优化，也可能是程序跳过了其中的某项测试；叹号表示尚有更加详细的信息；绿色的对勾表示该项目已经通过测试；what was scan 表明检查的项目，result detail 中详细说明了该项目中出现的问题；how to correct this 说明了解决的方式。（1）首先查看报告中评估结果为叉号的项目（这里选者 file sysytem）, 打开 result detail 查看该项目检查过程中出现的具体问题。图所示的是对磁盘检查的结果，由于所有磁盘都没有使用更加安全的 NTFS 文件系统，所以评估结果显示为叹号。（2）单击 how to correct this 按钮，弹出的窗口显示了关于如何修改项目设置的提示信息；根据提示，我们可以修改不符合安全性要求的设置。（3）完成修改后，再次进行扫描，查看修改后的设置是否到达安全要求。 [实训报告要求] 根据上面的 Windows 操作系统的各项安全性实训要求，详细观察记录设置前后系统的变化，给出分析报告。实训项目二 IE 浏览器安全目前，绝大多数用户都在使用 Microsoft 公司的 Internet Explorer（简称 IE）浏览器进行网上冲浪。通过浏览器可以浏览信息、下载文件等，但这些操作易导致计算机系统的不安全性。本节介绍关于 IE 浏览器的一些安全措施。任务一：IE 安全设置 1、常规性设置当第一次启动 IE 浏览器时，IE 使用默认的设置浏览 Web 页。这些默认设置有时不能满足用户的安全需求，需要定制 IE 浏览器的设置。设置方法为：在 IE 浏览器中，执行[工具]---[Internet 选项]----[Internet 选项]对话框如图所示-----[常规]卡---- 设置主页、管理临时文件和历史记录 2、设置 Internet 的安全级别 IE 浏览器按区域将需要浏览的 Web 网页划分为 Internet、本地 Intranet、可信站点和受限站点四个区域。用户可以将 Web 网页分配到具有合适安全级别的区域。具体设置如下：执行[工具]---[Internet 选项] -----[安全]卡如图所示----在“请为不同区域的 Web 内容指定安全设置”区中，选择需要指定安全设置的图标----拖动“该区域的安全级别”区中的滑块可以修改选择区域的安全级别。如需要修改默认的安全级别，可以单击[自定义级别]按钮，进入[安全设置] 对话框，如题所示。在此对话框根据需要修改默认的安全级别的设置。 3、禁止用户更改安全级别为 IE 设置安全级别后，如果不想让其他人随意更改，可以通过修改注册表进行设置，操作如下：  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  右击注册表编辑器的空白处，从弹出的快捷菜单中执行［新建］――― ［DWORD 值］命令。  将 DWORD 值命名为“SecChangeSettings”，并设置其值为“１”  退出注册表，安 F5 键刷新页面;  打开 IE 浏览器,执行[工具]---[Internnet 选项]----[安全]。验证安全级别无法改动 4、禁用 [Internet 选项] 对话框中的选项卡（1）禁用 [常规] 卡：  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“GeneralTab”（REG_DWORD 类型）的键值项。  将“GeneralTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框，[常规] 选项卡被隐藏了。（2）禁用 [安全] 选项卡  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“SecurityTab”（REG_DWORD 类型）的键值项。  将“SecurityTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框，[安全] 选项卡被隐藏了。（3）禁用 [内容] 选项卡  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“ContentTab”（REG_DWORD 类型）的键值项。  将“ContentTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框，[内容] 选项卡被隐藏了。（4）禁用 [程序] 选项卡  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“ProgramsTab”（REG_DWORD 类型）的键值项。  将“ProgramsTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框，[程序] 选项卡被隐藏了。（5）禁用 [高级] 选项卡  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“AdvancedTab”（REG_DWORD 类型）的键值项。  将“AdvancedTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；  打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框， [高级]选项卡被隐藏了。（6）禁用 [连接] 选项卡  打开注册表编辑器，依次展开（如图所示）：［HKEY_CURRENT_USER\Software\Polices\Microsoft\Internet Explorer\Control Panel］  新建或选中名为“ConnectionsTab”（REG_DWORD 类型）的键值项。  将“ConnectionsTab” 键值设置为“1”；  退出注册表，安 F5 键刷新页面；  打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框， [连接]选项卡被隐藏了。 5、设置分级审查通过 IE 浏览器的分级审查功能可以控制在 Internet 上能够访问的内容类型。设置步骤如下：在[Internet 选项]卡中，单击[内容]选项卡 [分级审查]----[启用]----[级别]----[请选择类别，查看级别]选择需要的分级审查类别，调整滑块可以设置要使用的限制条件-----[描述]中显示设置级别的含义 ----单击[许可站点]选项卡----[允许该网站]中输入某一网址----[始终]或[从不]-----[许可或未许可的 Web 站点列表]选择某一站点-----单价[删除]可删除设置的站点---[常规]选项卡-----[用户可以查看未分级的内容]/[监督人员可以键入密码允许用户查看受限制的内容]---[创建密码]----- 6、解除 IE 分级审查口令当 IE 被设置了分级审查口令后，即使重新安装 IE 也不能将口令去除，但是可以通过修改注册表来解除。操作如下：  打开注册表编辑器，依次展开（如图所示）：［HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows\CurrentVersio n\Policies\Ratings］  右击 key 子键，在弹出的快捷菜单中执行 [删除] 命令；  关闭注册表，重启 IE  打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框  单击 [内容] 选项卡  输入自己新的分级审查口令即可。 7、证书在 IE 浏览器中可以为个人、机构、发行商设置安全性证书，通过这一证书可以确保个人或者站点的安全性。打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框 -----[内容]----[证书] /[发行商] 在向安全站点发送信息前，单击[证书]按钮，可以通知安全站点发送其安全证书，即安全 Web 页面向 IE 浏览器发送可以提供该站点的某些安全信息的证书。 IE 浏览器负责验证存储在证书中的 Internet 地址是否有效以及证书是否处于有效期内，如果出现问题，IE 浏览器将发出警告信息。使用个人者和那个数可以保护用户在 Internet 上的身份，证书时担保个人身份或者站点安全性的声明。如果有自己的系统密钥则可以控制对自己身份的使用。 8、设置匿名浏览利用正在浏览的网站，很容易地查出用户的 IP 地址、使用的操作系统、访问次数以及网站浏览轨迹等。为了防止他人查出这些信息，可以采用匿名浏览，即使用代理服务器来浏览网站。用户可以使用个人电脑和正在浏览的网站之间的代理服务器在因特网上浏览，这样因特网服务器只能够看到代理服务器的身份，而看不到用户信息，从而对用户起到保护作用。在 IE 浏览器中设置代理服务器操作如下：打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框 -----[连接]----[局域网设置]----勾选 [为局域网使用代理服务器]---在[地址]、[端口] 文本框中分别输入代理服务器的地址和端口号-----[确定]。因为代理服务器是单机与目标站点之间的一个中转站，它负责将 Web 网站的信息传输给用户的电脑，而 Web 网站只能检测到代理服务器的信息，无法得到电脑的信息，从而有效保护用户在线的隐私安全。 9、设置 Cookie 访问权限正确的管理与使用好 Cookie，可以增强 IE 的安全性。管理 Cookie 步骤如下：打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框-----[隐私]----[设置]中拖动滑块设置 Cookie 的安全级别----在[弹出窗口阻止程序]区中单击[设置]按钮-----[弹出窗口阻止程序]对话框----在[要允许的网站地址]中输入允许的网站，单击[添加]-----[关闭]-----[确定]。 10、防止上网浏览时所填写的信息被泄漏为了防止上网浏览时所填写的信息被泄漏，可以通过调整“自动完成”功能来解决。打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internnet 选项] 对话框-----[内容]----[个人信息]区中单击[自动完成]----[自动完成功能应用于]区中取消选中 [Web 地址]、[表单]、[表单上的用户名和密码]----单击[清除表单] 和[清除密码]----[确定] 11、其他安全设置 [高级] 选项卡的使用。任务二：清除上网记录当使用 IE 浏览器浏览 Web 网页时，在用户电脑中将保存一些上网记录，为了使电脑安全，应该定期清除上网记录。 1、清除 IE 临时文件在 IE 临时文件夹中存放着用户曾经浏览过的网站的网页、图片等内容，这些内容可以加快再次打开该网页的速度，但是也会泄漏用户信息。为了不让他人看到曾经浏览过的网页内容，可以清除这戏临时文件。操作如下：打开 IE 浏览器 , 执行 [ 工具 ]---[Internnet 选项 ]---- [ 常规 ] ---[Internet 临时文件 ]-----[ 删除文件 ]-----[ 删除所有脱机内容]-----[确定]。 *：也可以使用 IE 修复专家来清除临时文件： 2、清除浏览记录打开 IE 浏览器,执行[工具]---[Internnet 选项]----[高级]-----[设置]---- 选中[关闭浏览器时清空 Internet 临时文件夹]------[确定]。 3、清除历史记录打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [常规]----[历史记录]-----[清除历史纪录]-------[确定]。 4、清除 Cookie 打开 IE 浏览器,执行[工具]---[Internnet 选项]---- [Internet 临时文件]----[删除 Cookie] 5、清除 IE 自动完成功能 IE 浏览器有一个自动完成功能，即自动为用户填写表单核输入 Web 地址。方便，但是存在安全隐患。打开 IE 浏览器,执行[工具]---[Internnet 选项]----[内容]-----[自动完成]---- 取消选中[Web 地址]、[表单]、[表单上的用户名和密码]和[提示我保存密码]------单击[清除表单]----单击[清除密码]-----[确定]。 6、整理收藏夹中的记录任务三：网站信息过滤在 IE 浏览器浏览 Web 页面时，会出现一些危害不大却很让人烦的事情。例如，当打开一个网站时，会弹出一个广告窗口，或者当关闭该窗口时，会弹出一串其他的广告窗口；另外，网上的内容良莠不齐，凶杀色情网站充斥其中。为了能有个干净、安全的浏览网站的环境，可以使用工具软件进行网站信息过滤。 1、使用美萍网站过滤专家使用美萍网站过滤专家可以过滤掉在网址库中定义的非法或者不健康的网站。该软件能自动查找网页中的不健康内容，一旦发现，就禁止浏览这个页面。提示允许用户添加被限制访问的网站，制定个性化的网络访问权限。当过滤器启动以后还可以自动保护自己所在的目录和 Windows 目录。 2、使用 IE 修复专家 IE 修复专家除了可以修改 IE 设置以外，还可以对网站信息进行过滤。 3、使用 AD-Aware SE Plus AD-Aware SE Plus 是一款很小的系统安全工具，它可以扫描用户电脑中网站所发送来的广告跟踪文件和相关文件，并能够安全的将它们删除。从而保护用户不会因为广告的存在而泄漏自己的隐私和数据。任务四：修复 IE 设置 1、使用 [Internet 选项] 对话框在 IE 浏览器中执行[工具]----[Internet 选项]。通过[Internet 选项]对话框修复 IE 设置要求相应的设置项必须是可修改的。在实际使用中，有些 IE 设置被锁定。不允许用户修改。当 IE 设置项被恶意代码锁定以后，就无法使用[Internet 选项]对话框修复 IE，需要使用其他方法来修复 IE 设置。 2、管理 Internet 加载项加载项项 IE 中添加了多种功能（如：额外的工具栏和按钮），这会使浏览更加有趣或高效。大多数加载项在下载安装之前不许获准用户授权，但是有些加载项可能未经确认即进行下载，还有一些加载项是随 Cookie 安装的。用户可以在 Internet Explorer 中管理加载。步骤如下：在桌面上右击[IE 浏览器]图标-----[属性]----[程序]-----[管理加载项]-----单击其中一个加载项-----[设置]中单击[启用]或者[禁用]----- 3、使用注册表 [开始]----[运行]----regedit----[确定]---- [HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Internet Explorer\Main]-----在右窗格找到[Windows Title]键，右击该键----[删除] 4、使用 IE 修复工具目前市场上有很多专门的 IE 修复软件，使用这些工具可以方便的进行 IE 设置。“IE 修复专家”是其中的一种。还有“超级兔子” 任务五：提高篇：清理流氓软件近日，“流氓软件”引起了用户和媒体的强烈关注，它们往往采用特殊手段频繁弹出广告窗口，窃取用户隐私信息，干扰用户正常工作。本节介绍流氓软件以及清除流氓软件的方法。 1、流氓软件从技术上讲，恶意广告软件（Adware）、间谍软件（Spyware）、恶意共享软件（Malicious Shareware）等都处于合法商业软件与电脑病毒之间的灰色地带。它们既不属于正规的商业软件，也不属于真正的病毒；既有一定的使用价值，也会给用户带来种种干扰。这些程学的共同特征是：未经用户允许强行潜伏到用户的电脑中，并且很多时候此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。因此大家称它们为“流氓软件”。它们表现形式有：广告程序、间谍软件、IE 插件等。  流氓软件进入用户系统的方式  在 Internet Explorer 浏览网页时自动安装，用户并不知情，但是用户可以感觉到载入页面时有假死的现象；提示安装，这类多疑 Active 插件为主，用户可以自行考虑安装与否。  随共享软件安装自动安装，可能有提示，但是没有取消选项或者根本没有提示；提示安装，提示是否安装，并由取消选项，用户可以不安装。  流氓软件的分类  广告软件未经用户允许，下载并安装在用户电脑上，或与其他软件捆绑，通过弹出式广告等形式牟取商业利润的程序。危害：此类软件往往会强制安装并无法卸载，在后台收集用户信息牟利；频繁弹出广告，消耗系统资源，使其运行变慢。  间谍软件一种能够在用户不知情的情况下，在其电脑安装后门，收集用户信息的软件。危害：用户的隐私信息和重要数据会被“后门程序”捕获，并发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程控制，组成庞大的“肉鸡网络”，这是目前网络安全的隐患之一。  浏览器劫持一种恶意程序。通过浏览器插件、ＢＨＯ（浏览器辅助对象）、Winsock LSP 等形式对用户的浏览器进行修改，使浏览器配置不正常，被强行引导到商业网站。危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法卸载，被挟持后，用户只要上网就会被强行引导到指定的网站，严重影响正常上网浏览。  行为记录软件 Track Ware，未经用户许可，窃取并分析用户信息记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危害：危及用户隐私、可能被黑客以来进行网络诈骗。  恶意共享软件某些共享软件为了获取利益，利用诱骗手段、使用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装在用户的机器里。危害：使用“使用陷阱”强迫用户进行注册，否则会丢失个人资料数据等。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器时不会自动卸载这些附加的安装软件。又如，某加密软件，试用期过后所有被加密的资料都会丢失，只有缴费购买软件才能找回丢失的数据。  对付流氓软件不要登陆一些不良网站；不要下载一些不熟悉的软件；对软件附带的用户协议和使用说明一定要认真看，不要盲目安装；不要随意下载一些免费软件或共享软件；、不要按照“流氓软件”指定的操作去做。 2、恶意软件清理助手一款很小的软件，下载后不要安装，可以直接使用。帮助系统查找删除流氓软件。实训项目三常用杀毒软件的安装与使用 [实训目的]：掌握诺顿杀毒软件的安装与使用方法 [实训原理] Norton AntiVirus 是著名的 Symantec 公司出品的一款防杀病毒的软件，通常我们也把它称作 NAV，中文叫做“诺顿杀毒软件”，它可以帮我们检测到上万种已知和未知的病毒，并且它提供了一个实时病毒监测程序，每当你开机时，监测程序便会常驻在内存中，当您从磁盘、网络、E-mail 附件中打开文件时，它便会自动检查文件的安全性，如果文件内有病毒，便会立即警告，并作适当的处理。下面我们以 Norton AntiVirus 版为例来看看它的安装方法。首先我们双击，开始安装.EXE，开始安装　　选择 Install Norton Antivirus Client Locally 选择 I accept the terms in the license agreement，再按 NEXT 　　 Microsoft Exchange/Outlook，NEXT（对 Outlook 收发邮件进行病毒监控） UnManaged，NEXT，完成下面的安装工作。　安装好 NAV 后，每次启动计算机，在任务栏的右面都会出现一个 NAV 实时监测程序的图标。这是告诉我们，现在监测程序己经启动了。 1、在使用 NAV 前，需要完成注册工作。双击上述图标后会出现一个 Norton AntiVirus 信息向导。按“下一步”。选择“我接受授权许可协议”，按“下一步”。选择“中国”，按“下一步”。下面几个步骤都是注册您的个人信息，只要填好后按 “下一步”即可。正在发送您的注册信息。按“下一步”。到此，注册工作就完成了。或者直接跳过注册环节，点“忽略”。按“下一步”。完成。注册工作到此就结束了，此时会要求您重新启动计算机，请在此前保存好您的文件。 1. NAV 的使用方法——升级病毒库 NAV 的打开方式有三种，一是上页所说的双击任务栏中的图标。二是直接双击桌面上的快捷键打开。第三种就是从 “ 开始 ”—>“ 程序 ”—>“Norton Antivirus”—>“Norton AntiVirus 2002”，双击这图标打开。打开后的界面如下。现在看到的是整个 NAV 的状态。作为一个杀毒软件，最重要的就是要及时升级，Symantec 公司每星期都会发布新的病毒库，并把这些病毒库放在 Internet 上供我们免费下载，我们可以下载到它的最新病毒库。双击上图标记着“1”的“LiveUPDAte”图标，进入升级病毒库功能。　　点击“下一步”。正在查找有哪些可更新的产品。　　找到了，全部选中，点击“下一步”。正在下载更新。　　更新下载完毕，按“完成”即可。的使用方法——选项设置的使用方法——选项设置双击“2”所标注的“选项”，下面我们来对 NAV 的一些主要系统功能进行设置。　　如图设置“自动防护”。启用“自动防护”功能可以随时监测计算机硬盘及可移动介质（如软盘、U 盘、光盘）中的文件，一旦发现病毒，会向您发出通知，并修复文件。　　如图设置“手动扫描”。当您使用“手动扫描”功能时，NAV 会扫描在这里设定好的项目。　　如图设置“电子邮件”。当您接受或发送电子邮件时，NAV 都会自动进行扫描，自动修复受感染的文件。　　如图设置“自动 LiveUpdate”。以后系统会自动从网上下载更新最新的病毒库等项目。的使用方法——扫描杀毒 NAV 的使用方法——扫描杀毒　　双击“扫描病毒”。　　我们现在要对计算机硬盘中的所有文件进行扫描杀毒。　　选中“扫描驱动器”，双击该行或单击“操作”—>“扫描”，这时会弹出一个对话框，要您选择要扫描的驱动器，选好以后单击“扫描”。　　当然您也可以选择其它项任务，如“扫描我的电脑”，或 “扫描文件夹”、“扫描文件”等，对指定的文件夹或文件进行扫描　　正在扫描病毒，目前已经发现有 3 个文件感染了病毒，并已修复成功。　　另外您还可以单击“操作”—>“新建”。自己设定扫描任务。这时会弹出这个窗口，单击“下一步”。　　单击“添加文件夹”或“添加文件”，在弹出的窗口中选定要扫描的文件夹或文件，勾中旁边的框，然后单击“添加”。　　为新建的扫描任务取个名字，然后按“完成”。看，新的扫描任务已经加到任务列表里啦。对每项任务，我们还可以进行编辑和删除，并可以设定扫描时间和扫描频次，这样每到设定的时间，系统就会自动执行该项任务了。单击“任务调度”，对“程序文件”这项任务进行设定。这样系统在每周五的 11：00 开始执行这项扫描，到时候我就不用再烦神了。　　我们再来看看“报告”这项功能都为我们提供了哪些信息。　　单击“隔离的项目”旁边的“查看报告”按钮，弹出的框中列出了您计算机中由于感染病毒而被隔离的文件。目前还没有。　　单击“联机病毒”旁边的“查看报告”按钮，会链接到 Symantec 公司的主页上，上面有已发现的各种病毒信息介绍。　单击“活动日志”旁边的“查看报告”按钮，弹出的框中列出了您使用 NAV 系统的所有活动记录。包括您何时进行的病毒扫描，哪个文件感染了什么病毒，及处理情况等等内容。　　单击“病毒列表”旁边的“查看报告”按钮，弹出的框中列出的是您计算机上的病毒库中包括的所有病毒名称，及主要感染的目标文件。 [实训内容与步骤] 1、安装诺顿杀毒软件 2、使用诺顿杀毒软件 [实训报告要求] 实训项目四木马攻击与防范一、实训目的通过对木马的练习，理解和掌握木马的传播和运行机制；通过手动删除木马，掌握检测木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识二、实训原理木马的全称为特洛伊木马，源自古希腊神话。木马是隐藏在正常程序中的具有特殊攻能的恶意代码，使具备破坏、删除和修改文件、发送密码、记录键盘，实施 DOS 攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机中，可以随计算机自动启动并且在某一端口监听来自控制端的控制信息。 1、木马的特征木马程序为了实现其特殊功能，一般具有以下性质：伪装性：程序将自己的服务器端伪装成合法程序，诱惑被攻击者执行，使得木马代码在未经授权的情况向装载在系统中并开始运行。隐藏性：木马程序同病毒一样，不会暴露在系统进程管理器内，也不会让使用者觉察到它的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下很难发现系统中了木马。破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除编辑操作。还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。窃密性：木马程序的最大特点就是可以窥视被入侵的计算机上的所有资源，这不仅仅包括硬盘上的文件，还包括显示器画面，使用者在操作电脑过程中在硬盘上输入的命令等。 2、木马入侵的途径主要是通过一定的欺骗方法，如更改图标，把木马文件与普通文件合并，欺骗被攻击者下载并执行作了手脚的木马程序，就会把木马安装在被攻击者的计算机中。木马也可以通过 Script、ActiveX 及 ASP、CGI 交互脚本的方式入侵，由于微软的浏览器在执行 Script 脚本上存在漏洞，攻击者可以利用这些漏洞诱导上网者单击网页，这样 IE 浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，如微软的 IIS 服务器存在多种缓冲区溢出漏洞，通过缓冲区溢出攻击程序造成 IIS 服务器溢出，获得控制权限，然后再被攻击的服务器上运行安装木马。 3、木马的种类 4、木马的攻击原理三、实训环境两台运行 Windows2000/XP 的计算机，通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。四、实训内容与任务任务一：“冰河”木马的使用 1、“冰河”介绍 2、使用“冰河”对远程计算机进行控制 3、删除“冰河”木马任务二：“广外男生”木马使用 1、“广外男生”木马客户端和服务端的配置与连接 2、“广外男生”的检测 3、手动删除“广外男生”木马任务三、木马防范五、实训报告要求 1、安装或启动一款杀毒软件，对中了木马的主机进行全面扫描。查看在那些目录下存在木马文件，木马文件都是什么，加深对木马文件驻留主机的位置和原理的认识。 2、学习使用 fport tlist 等工具（在命令行提示符下输入参数/？即可查看详细的使用帮助）检查木马进程、网络连接和动态连接库。 3、采用反弹端口方式二再次模拟入侵主机，将详细的过程结果提交上来，在此过程中需要申请动态域名，也可以使用服务器模拟一个 DNS 服务器，在客户端主机上也要使用相关工具建立 Web 服务器、FTP 服务器。实训项目五 Windows 中的 FTP、Web 服务器的安全设置一、实训目的了解 Windows 系统中的 FTP 服务器、Web 服务器的安全漏洞及其防范措施，实现 FTP 服务器和 Web 服务器的安全配置。二、实训原理 IIS 是 Windows 系统中的 Internet 信息和应用程序服务器。利用 IIS 可以配置 Windows 平台，并且和 Windows 系统管理功能完美的结合在一起，使系统管理员会的和 Windows 系统完全一致的管理。和应用非常广，但是由于这两个版本的 IIS 存在和多安全漏洞，它的使用也带来了很多安全隐患。IIS 常见的安全漏洞包括 idc&ida 漏洞、.htr 漏洞、NT Site Server Adsamples 漏洞、Printer 漏洞、Unicode 解析错误漏洞、Webdav 漏洞等。因此，了解如何加强 Web 服务器、FTP 服务器的安全性，防范由 IIS 漏洞造成的入侵就尤为重要。以下的实训通过对 Web 服务器和 FTP 服务器的安全配置，了解其防范方法。我们可以手动设置 IIS 的安全配置，包括 Web 服务器、FTP 服务器和 SMTP 服务器，也可以利用一些安全工具来进行。IISlockdown 是由微软开发的 IIS 安全配置工具，它按照模板的安全配置选项，通过关闭 IIS 服务器上的某些不必要的特征和服务，减少受攻击的威胁。此工具还与 URLscan 等协同工作，提供多层次的防御与保护。三、实训环境安装 Windows2000 Server/xp 操作系统的计算机，并且完全安装 IIS 服务四、实训内容和步骤任务一：用 IIS 建立高安全性的 Web 服务器为了保护 Windows2000 Server 系统的安全性，确认 IIS 与系统安装在不同的分区。如果 IIS 安装在系统分区，IIS 的漏洞可能直接威胁到系统的安全，建议卸载重新安装。 1、删除不必要的虚拟目录打开“*\wwwroot”(其中*代表 IIS 的安装路径)，删除在 IIS 安装完成后，默认生成的目录，包括 IISHelp、IISAdmin、IISSamples、MSADC 等。这些默认生成的目录是宗所周知的，容易给入侵者留下入侵的机会。 2、停止默认 Web 站点打开“控制面板”，进入“管理工具”的“Internet 服务管理器”，右键单击“默认 Web 站点”，在弹出的菜单中单击“停止”，根据需要，启用自己创建的 Web 站点，如图所示。默认的 Web 的根目录，默认在 interpub\wwwroot，还有其他一些列的参数设置也都是众所周知的，如果采用这些默认设置，将大大减小攻击难度。 3、IIS 中的文件和目录进行分类，区别设置权限对 Web 主目录中的文件和目录，单击鼠标右键，在“属性”中按照需要给它们分配适当权限。一般情况下，静态文件允许读，拒绝写；ASP 脚本文件、exe 可执行程序等允许执行，拒绝读写；通常不要开放写权限。此外，所有的文件和目录要将 Everyone 用户组的权限设置为只读权限。 4、删除不必要的应用程序映射在“Internet 服务管理器”中，右击网站目录，选择“属性”，如图所示。在网站目录属性对话框的“主目录”页面中，如图所示，单击配置按钮。在弹出的“应用程序配置”对话框的“应用程序映射”页面，如图，删除无用的程序映射，只需要留下.asp 一项即可，将.ida、.idq、.htr 等全部删除，以避免攻击者利用这些程序映射存在的漏洞对系统进行攻击。 5、维护日志安全在“Internet 服务管理器”中，右击网站目录，选择“属性”。在网站目录属性对话框的“Web 站点”页面中，在选中“启用日志记录”的情况下，单击旁边的“属性”按钮，如图所示。在“常规属性”页面中，单击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可，如图所示。修改路径后的日志文件要适当设置权限，它的文件权限建议 Administrator 和 system 用户为完全控制，Everyone 为只读；同时建议与 Web 主目录文件存放在不同的分区，以增加攻击者利用路径浏览日志存放的路径难度，防止攻击者恶意删改日志。 6、修改端口值在“Internet 服务管理器”中，右击网站目录，选择“属性”。在网站目录属性对话框的“Web 站点”页面中，如图所示，Web 服务器默认端口号为 80，而端口号是攻击者可以利用的一个便利条件。将端口号改用其他值，可以增加安全性，当然也会给用户的访问带来不便，系统管理员根据需要决定是否采用此策略。至此，简单的 Web 服务器安全配置已完成。事实上，虽然这些安全配置可以在很大程度上提高我们 Web 服务器的安全性，但作为真正实用的 Web 服务器，每天要接受大量的访问甚至大量的攻击，只有这些配置是远远不够的，还要采用一系列的安全措施，例如防火墙技术等，我们在后续实训中会继续学习。任务二：FTP 服务器的安全配置 1、停止默认 FTP 站点打开“控制面板”，进入“管理工具”的“Internet 服务管理器”，右键单击“默认 FTP 站点”，在弹出的菜单中单击“停止”，根据需要，启用自己创建的 FTP 站点，如图所示。 2、FTP 页面上，将 TCP 端口号“21”改为其他值如图所示，FTP 默认协议端口号为 21，改用其他的端口值使攻击者无法得到服务器的端口号，增大攻击难度。但是同时也给用户带来不便。 3、在 FTP 页面上，选中“启用日志记录”，如图所示，单击“属性”按钮，弹出如图所示对话框。修改文件日志目录，将日志目录和 FTP 主目录分放在不同的路径下，并参照 We 服务器的权限设置，设置文件和文件目录的权限，保护日志的安全性。 4、在账号安全页面中，取消“允许匿名连接”选项，在“FTP 站点操作员”只留下系统管理员的一个账号。如图所示。我们通过操作系统安全实训，已经配置了相对安全的管理员账号和密码。所以，在 FTP 站点操作员中只留下系统管理员，这就要求只有指导账号和密码的用户才可以登录和管理 FTP 服务，限制了匿名用户等其它用户行为。 5、在“主目录页面”设置 FTP 主目录，如图所示注意：该目录不要与系统路径在同一个磁盘分区，删除 Everyone 用户组，设置其它用户的权限为可读不可写，只对管理员用户保留完全控制权限。 6、在“目录安全性”页面添加被拒绝或允许访问的 IP，如图所示。在选中的“授权服务”的情况下，可以添加被拒绝的 IP 或 IP 组，其它未提到的 IP 视为允许访问。如图所示，在选中“拒绝访问”的情况下，可以添加被允许的 IP 或 IP 组，其它未提到的 IP 视为禁止访问。至此，我们对 FTP 服务器进行了一个初步的安全配置，更加安全的 FTP 服务器配置由 IISLockdown 工具来完成。任务三：IISLockdown 的安装和配置 IISLockdown 的安装过程就是它的配置过程，具体如下： 1、运行 IISLockdown 的可执行文件，弹出 IISLockdown 安装向导，单击“下一步”按钮开始安装。选择 I Agree 同意许可证协议，单击“下一步” 按钮出现服务器模板选项。这一步是按照需要选择要配置成哪种服务器类型，以进行安全性配置。例如，选择“静态网页服务器”、“动态网页服务器”、“代理服务器”或者其它，本实训 Static Web Server，即将此服务器配置为支持静态网页的 Web 服务器，单击“下一步”按钮。 2、在弹出的 Internet 服务对话框中，选择此服务器运行的协议，如图所示。本步中未被选中的协议将被关闭，为了后续实训方便，在复选框中选中所有四个服务器，然后单击“下一步”按钮。在实际应用中，应该根据自己的需要开放服务。过多的服务开放将增加不安全因素。 3、在弹出的脚本映射对话框中，选择不支持的脚本映射。由于.idq、.htr 等都存在安全漏洞，所以尽量保持尽可能少的脚本映射。除了最基本的 ASP （Active Server Page）外，将其它几项选中，单击“下一步”按钮。被选中的脚本映射类型，将不被配置好的服务器所支持。 4、在弹出的额外安全选项中，选中复选框中所有选项，单击“下一步”按钮。该步骤是选择需要删除的不必要的目录，这些目录是 IIS 安装完成后再 wwwroot 下默认生成的。此外，还包括禁止某些匿名用户的操作，例如，执行 cmd 、tftp 的权限，写目录的权限等。最后还将存在缓冲区益处漏洞的 WebDAV 功能禁止了。 5、在弹出的 URLScan 选项中，选中 Install URLScan filter on the server。 URLScan 是一种 Internet 服务应用程序编程接口（ISAPI）筛选器，它可以根据一组规则来筛选或拒绝 HTTP 请求，从而使 Web 服务器远离攻击。微软将此工具集成到了 IISLockdown，从而通过安装 IISLockdown 实现了更全面的安全配置。 6、检查设置是否符合自己的需要和安全要求。如果符合，则“下一步”，否则“上一步”修改设置直至符合要求。安装开始，由于我们在第 1 步选择了 View template setting，所以，安装过程中窗口会显示每一步设置的实现过程。 7、配置过程完成后，可以单击 View Report 按钮，查看安装日志文件时安装过程的安全配置细节。如果满足要求，单击“下一步”，再单击“完成”，最终完成安装。如果运行了 IISLockdown 后，对 Web 服务器和 FTP 服务器的访问出现了问题，希望撤销刚才所做的安全设置，只要重新运行 IISLockdown 的安装向导，就可以还原所做的修改。五、实训报告要求 1、根据实训内容对自己的 Web 服务器和 FTP 服务器作一个安全评测，并按照实训步骤，对计算机进行安全配置，分析每个步骤地设置原因。 2、在配置过程中分别保留和删除存在安全隐患的脚本映射，采用缓冲区溢出实训中的方法进行入侵，比较结果的异同。实训项目七信息加密技术一、实训目的：结合实际需要，使用适当软件对学要保护的文件加密二、实训原理 1、通用文件加密系统 1) 通用文件系统概述适用于各种类型文件的加密系统，是最常用的文件加密方式。一般具有以下特点：采用快速的对称分组算法；在密文文件中插入校验码保证文件内容不被修改；使用某个工具加密的文件，一般只能够用该工具解密；除了加密解密以外还提供其他一些附加功能，例如：温加插入与分割加密软件选择的一点建议：软件采用的算法要安全（例如： DES, IDEA, Blowfish , RC5）; 考虑软件的加密/解密速度（取决于：算法的速度、实现算法的代码质量、计算机的硬件性能。关于代码的速度： DES 分组的大小是 64bits, 使用它加密 100MB 数据，需要超过 107 次调用，如果代码运行速度降低秒，那么加密所需要的时间将增加 27 小时）；软件必须经过严格的测试。 2)常见通用文件加密软件（1）、Easycode Boy Plus! 图形界面文件加密解密工具，可以运行于 Windows 9x / ME / 2000 / NT / XP 。采用 Blowfish 算法免费共享软件特点：  可以加密任意格式、大小的文件，支持生成自解密文件格式；  可以一次对多个文件进行加密操作；  支持对 EXE 加壳保护；  提供随机密码产生器以产生安全等级更高的密码；  提供文件嵌入隐藏、伪装目录等信息隐藏伪装功能；  支持鼠标右键操作模式，便于操作使用；  支持密码记忆功能，在遗忘密码的情况下可以取回密码。（2）、BlackBox Interscope 公司制作的一款专业加密工具软件采用 DES 算法可以运行于 Windows 98 / ME / 2000 / NT / XP 特点：  可以加密任意格式、大小的文件，支持生成自解密文件格式；  可以一次对多个文件或文件夹进行加密操作；  支持多重加密，可以一次对多个文件或文件夹进行多次加密以提高安全性；  提供彻底删除任意格式文件的功能；  使用鼠标右键操作模式，便于操作使用；（3）、加密精灵国内制作的加密文件软件采用新型的 CES 快速加密算法（加密大文件时耗时相对少）可以运行于 Windows 98 / ME / 2000 / NT / XP 特点：  可以一次对多个文件或文件夹进行加密操作；  加密多个文件时，可以分别对每个文件进行加密，也可以打包在一起加密；  可以任意选择这解密包含在加密文件中的任意某个文件；  解密后，程序会自动彻底删除原文件，防止信息泄露；  采用汇编语言编写的核心算法，加密速度快。一、 Office 系列文件保护 Word / excel / powerpoint Word: 工具-----选项-----安全性------ ；工具-----保护文档----  指定打开文档的密码，防止未授权用户打开文档；  指定修改文档的密码，允许他人打开文档，但不允许保存修改；  指定传送供审阅的文档密码，防止除批注或修订标志之外的任何更改；  指定用表单域创建窗体的密码，防止指定的节被更改 Excel:  指定打开文档的密码，防止未授权用户打开文档；  指定修改文档的密码，允许他人打开文档，但不允许保存修改；  可以限制对单张工作表的访问权限，防止蚊授权用户更改单元格内容，查看隐藏公式、更改图形对象、更新地图等操作  可以限制对整个工作簿的操作，防止未授权用户查看隐藏工作表、移动工作表、创建徽宗报告、使用分析工具等， Powerpoint: 2、其他类型的文件保护系统 1、压缩类型文件保护 Winzip / winRAR / WinACE 2、 PDF 格式文件保护（Acrobat / EncryptPDF 加密 PDF 文件） Adobe 公司的可移植文件格式 PDF 是全世界电子版分发的开放式标准。一种通用的文件格式，能够保存任何源文档的所有字体、格式、颜色、图形，与创建时使用的应用程序无关。PDF 文件为压缩文件，可以使用免费的 Adobe Acrobat Reader 进行阅读和打印。可以用 Adobe Acrobat 对 PDF 文件进行加密 3、多媒体类型文件保护 ( photoEncrypt 加密 BMP 文件 / WinXFiles 加密 JPG 文件 )  图形文件（*. JPG , *.BMP , *.GIF, *.TIF……等）  音频文件(*.WAV, *.MP3 等)  视频文件(*.AVI, *RM, *.MPEG 等) 三、实训环境安装 windows2000/XP 的计算机四、实训内容和步骤 1、Easycode Boy Plus! 的使用内容：  加密任意格式、大小的文件，  对 EXE 生成自解密文件格式；  一次对多个文件进行加密操作；  对 EXE 加密保护；  提供随机密码产生器以产生安全等级更高的密码；步骤：（1）、用 Easycode Boy Plus! 加密任意格式、大小的文本（选两个打下不同的文件），以及可执行程序：（文件比较大时候，可以选中“其用快速加密”） a/ 加密解密创建文本------启动 Easycode Boy Plus!----- “加密”选项卡 ------ “添加文件” ----- 添加文件和 -------输入密码-------“开始加密”------ 打开被加密的文档，说明看到的结果------ 检查加密后的 exe 文件能否执行 ------ 解密加密整个目录： ----- “批量添加文件”------ 。注意：密码区分大小写 b/ 支持生成自解密文件格式 c/ 使用 Easycode Boy Plus! 随机密码发生器 2、加密精灵  一次对多个文件或文件夹进行加密操作；  加密多个文件时，分别对每个文件进行加密；  任意选择这解密包含在加密文件中的任意某个文件；五、实训报告要求实训项目七使用 ZoneAlarm 防火墙一、实训目标: 1、了解 ZoneAlarm 防火墙的基本功能； 2、能够使用 ZoneAlarm 防火墙对计算机系统进行安全维护。二、实训要求: 提交实训报告三、背景知识: ZoneAlarm 是目前最优秀的个人综合防火墙，它功能强大，易于操作，提供了防火墙功能，可以防止木马在你的电脑中偷偷作乱，具备邮件监视、网页过滤、弹出广告屏蔽功能，同时还具有强大的网关管理功能，能够让高级用户制定专家级的规则，自由控制上网资源。与其他个人防火墙软件相比，ZoneAlarm 占用资源少，能保护个人隐私安全，防范木马把你的银行帐号、游戏密码向外发送。此外，它对应用程序的控制也更安全，即使策略允许通过，它也要检查应用程序访问设置；其专家级的规则制定功能也更加强大，可以控制到 MAC 级别，能够定义组、时间控制和控制到数据链路层，在目前所有的个人防火墙中，只有 ZoneAlarm 能够控制到数据链路层。四、实训内容与步骤一、安装 ZoneAlarm Internet Security Suite 说明： ZoneAlarm 的安装非常简单，一路点击“下一步”即可，安装期间向导会询问你几个简单的问题，然后将带领你完成所有的配置。你可以使用软件的默认配置，为自己的计算机提供安全保护，也可以随时修改配置进行个性化设置。软件安装完成后，建议安装汉化补丁，这样界面和菜单就是中文的了，方便你使用。二、熟悉软件主界面 ZoneAlarm 主界面类似 Windows XP 风格，上端有 “Stop 停止”、 “Internet”、 “信任”、 “锁定” 四个按钮。单击“停止”按钮，可以屏蔽一切网络连接，当你遭到网络（冲击波/ 高波病毒等）攻击时建议使用它；而“锁定”按钮则针对应用程序，一旦锁定后，你标记为信任的应用程序仍然可以通讯，其它应用程序的通讯将会被中断。　　软件的导航条标签位于屏幕的左侧（如下图 1），点击它们可以显示设置每一项，例如设置防火墙、程序控制、病毒监控、邮件维护、隐私保护、ID 锁等。单击 “防火墙”，你可以设置自己的个人防火墙，这是 ZoneAlarm Pro 的核心部分，设置以后就能确保黑客无法通过互联网侵入你的电脑，同时这里还有一个电子邮件监视器，能够捕捉到邮件病毒或者蠕虫，一个 cookie 管理器、弹出广告屏蔽器，以及 ActiveX 和 JavaScript 防御工具；单击“系统概要”，你可以看到目前 ZoneAlarm 已封锁了多少次入侵企图；在“警报/日志”中，你可以查到每个入侵企图的详细记录。三、应用操作下面我们通过一些实例，来详细介绍 ZoneAlarm 的使用方法： 1、用 ZoneAlarm 防范黑客和木马使用 ZoneAlarm，可以很好地防范黑客和木马的攻击，为此你应该如下操作：　　（1）在防火墙中设置 ZoneAlarm 防火墙具有三个安全级别（高、中和低），分成信任、封锁和 Internet 三个区域。单击“防火墙”/常规，把“Internet 安全防护”调到“高”（如下图 2），这样你的电脑在网络上就隐藏起来了，而且别人还不能使用你的共享资源。图 2 单击“警报/日志”查看本机以前曾受到哪些攻击（如下图 3），例如图中互联网上的电脑试图连接本机的 139 端口，被防火墙拦截，我们应该永远禁止它连接，把它添加到封锁区域，点击等级为“高”记录，右击鼠标选择菜单“添加区域”/封锁，把对方的 IP 添加到封锁区域。图 3 小提示：如果发现可疑的 IP 要求连接你的电脑，你应该把该 IP 添加到封锁区域、禁止它连接，对于同一个局域网中的电脑，应该把它加到信任区域，以便别人能共享你电脑中的资源。 2）在“程序控制”中设置在“程序控制”中，可以设置 4 个安全级别来管理应用程序和组件。如果设置为“低”级别，程序和组件都可以直接访问网络；“中”级别时，程序需要确认才能访问网络，组件可直接访问网络；设置为“高”级别，程序和组件都需要确认才可访问网络。单击“程序控制”/常规，把“应用程序控制”调为“高”（如下图 4），“警报建议” 调为“自动”，开启“自动封锁”，以便你在指定时间或屏幕保护时，能自动锁定网络。图 4 单击“程序控制”/程序，为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限（如下图 5），访问权限表示能否主动访问外部对象，服务权限表示是否允许开启服务端口，提供给外人连接。图中绿色的“√”表示允许连接；红色的“×”为禁止连接；“？”表示每次出现连接企图时，都会先提出询问。你应该按右下方的“添加”按钮，把常用的软件（例如 IE、 Word、outlook 等）都添加进来，然后单击小图标，为每个权限设置 “允许”、“封锁”或“询问”，把怀疑为木马的程序，都设置成不允许访问网络，这样就能阻挡木马从内到外的连接。图 5 最后单击导航条中的“病毒监控”，开启病毒监控，单击“邮件防护”，启用附件保护和寄出电子邮件保护。 2、用 ZoneAlarm 保护你的隐私信息（1）阻止 Cookie 　　当你登陆网站浏览时，有些网站可能会把你冲浪和购买习惯，记录在 Cookie 文本文件中，然后保存在你的硬盘上。在 ZoneAlarm 中，单击“隐私保护”，把 “Cookie 控制”调为“高”（如下图 6），即可阻止网站记录 Cookie。如果这样设置后，有些网站在调入时出现问题，你可以把“Cookie 控制”设为“中”，或者到“站点列表”中，自己控制哪个网站可保存 Cookie。（2）防范恶意网页把“广告封锁”调为“高”，可以拦截所有类型的广告（如下图 6）；把“活动码控制”设为“开启”，再点击右边的“自定义”，设置封锁 MIME 对象、嵌入对象（Java 和 ActiveX），可以阻止下载恶意网页和电子邮件，保护机器的安全。图 6 （3）防范木马发送你的银行帐号、游戏密码　　有些木马会偷偷记录你键盘输入的各种密码，然后发送给它的主人，只要你在 ZoneAlarm 中如下设置，就可以阻止木马发送你的密码。设置方法：单击“ID 锁”，在“常规”选项卡中，把“ID 封锁”调为“高”；然后打开“个人隐私”选项卡（如下图 7），点击“添加”按钮，输入要保护的帐号、密码，把你的密码全部添加进去。以后一旦你的密码向外发送，ZoneAlarm 就会报警、阻止发送，即使对方收到密码，也全部都是“*”而无法阅读。图 7 3、用 ZoneAlarm 过滤网页、对付恶意网站为了保护孩子上网，你可以用 ZoneAlarm 过滤不健康的网页，方法是：点击导航条的“防火墙”→区域（如下图 8），图 8 右击鼠标选择菜单“添加”→主机/站点，弹出一个窗口，在说明栏给该网站命名（例如暴力网站），在主机名称栏输入要拦截的网站地址（例如 http: //），在区域栏选择“封锁”，最后按“确定”即可（如下图 9）。图 9 对付恶意网站，你也可以采用这种办法，把它设置为封锁域。如果你想上网、办公两不误，也可以使用这种办法。首先你可以把内部办公网归为信任域，单击 “添加”/IP 范围，输入办公网的 IP 地址范围，在区域栏选择“信任”，设置完成后，办公网内的电脑即可不受防火墙的阻挡，自由共享资源了；接下来，你把上 Internet 网的机器设为封锁域，单击→主机/站点，输入 IP，选择“封锁”，这样上 Internet 网的机器就会受到防火墙的保护。附件: ZoneAlarm Pro 只包括防火墙组件。 ZoneAlarm Antivirus 包括防火墙和反病毒组件。 ZoneAlarm Anti-Spyware 包括防火墙和反间谍组件。 ZoneAlarm Internet Security Suite 包括以上所有的组件。实训项目八信息隐藏技术一、实训目的掌握常用信息隐藏工具软的使用二、实训环境 Windows2000 /XP ； Easycode Boy Plus! ； Invisible Secrets 超级文件隐形家三、实训内容与步骤 1、用 Easycode Boy Plus!：将文本嵌入到 BMP 文件；释放 BMP 文件中的寄生文件；进行目录伪装和还原。 2、用 Invisible Secrets 隐藏和释放文件 3、用超级文件隐形家隐藏收夹四、实训步骤 1、Easycode Boy Plus! 文件嵌入：创建文本文件，如，；制作一个 BMP 文件作为寄主文件，观察其原始状态-------“浏览”添加剂主文件和寄生文件------ 输入密码----- “嵌入后删除计生文件”------单击“嵌入文件”------ “确定”------ 查看寄主文件，与嵌入文件前的结果比较。文件释放：程序右下角“浏览”选择寄主文件，以及计生文件释放后存放的目录 ------ 输入密码------“释放后恢复寄主文件初始状态”------- “释放文件” ------ “确定”------ 比较释放后的与原来的文件目录伪装：左侧目录树选择需要伪装的文件夹----- 右侧选择“伪装类型”-------输入密码------ 单击“伪装目录”；还原目录：注：目录伪装之前需要停止对目录的一切操作（如，拷贝，搜索文件等）２、Invisible Secrets 利用 Invisible Secrets　将 GIF 图像文件嵌入 JPEG 文件中安装 Invisible Secrets------- 右键操作------ ------ 选择寄主文件 ----- “next”------ ------ 输入密码----- “next”------ 输入寄生后的新文件名----- “hide” ------ 恢复文件：…… 3、用超级文件隐形家隐藏收藏夹实训项目九使用 X-SCANNER 工具一、实训目的 1、熟悉对计算机的端口进行扫描的原理 2、熟练使用 X-SCANNER 扫描工具对计算机的端口进行扫描。二、实训环境 Windows2000 /XP 计算机若干台，有网络连接三、实训内容与步骤 1．熟练 X-SCANNER 扫描工具的界面打开 X-SCANNER，在主界面上会看到四个选项，第一项是扫描设置，第二项是“其他设置，第三项是“CGI 列表维护”，，在扫描项目下选取扫描所有项目，在主界面右上方运行参数内的扫描范围内填入需要进行扫描的 IP 段。，填入 IP 段的格式是填入一个起始 IP，中间加入一个分隔符，再加上结束的 IP 地址，然后按下方的“开始扫描”按钮，这时会弹出一个 DOS 窗口，当扫描结束时，DOS 窗口会自动关闭。 2．查看端口信息 X-SCANNER 目录下的 LOG 目录中存放着扫描结果。打开扫描结果就可以看到是否有可以入侵的带共享资源的机器，我们主要检查端口 21、23、139 和 3389 是否开放等内容。 3. 发现系统漏洞发现目标系统的 CGI 漏洞、IIS 漏洞、RPC 信息、SQL Sserver 漏洞和 FTP 弱口令漏洞等。 4. 打上系统漏洞的补丁四、实训要求提交实训扫描报告以及报告分析。

联系我们

智库文档公众号

客服微信

《个人电脑安全技术》实训指导书.doc

下载

标签

相关专题更多

联系我们

意见反馈

标签

相关专题 更多

联系我们

意见反馈

相关专题更多