信息安全技术实验分析报告

  • 格式:docx
  • 大小:15.11 MB
  • 文档页数:47

- 1 - / 47 实验报告

学院:信息学院 专业:信息治理与信息系统专业

班级:信息13-1

姓名 刘斌彬 学号 130814102 实验组

实验时刻 2016年 指导教师 蓝海洋 成绩

实验项目名称 Windows操作系统安全,Linux操作系统安全

实验目的 1. 掌握windows账户与密码的设置方法

2. 掌握文件系统的爱护和加密方法

3. 掌握windows操作系统安全策略与安全模板的使用,审核和日志的启用方法

4. 掌握windows操作系统漏洞检测软件MBSA的使用方法,建立一个windows操作系统差不多安全框架

5. 通过实验掌握linux操作系统(以下简称linux)环境下的用户治理,进程治理以及文件治理的相关操作命令,掌握linux中的相关安全配置方法,建立起linux的差不多安全框架 - 2 - / 47 实验要求 通过这次的实验学习,学生要学会windows操作系统和linux操作系统的差不多差不多安全配置。

实验原理 一.Windows操作系统的安全原理

1. 账户和密码

账户和密码是登录系统的基础,同时也是众多黑客程序攻击和窃取的对象。因此,系统账户和密码的安全是极其重要的,必须通过配置来实现账户和密码的安全。一般用户常常在安装系统后长期使用系统的默认设置,忽视了windows系统默认设置的不安全性,而这些不安全性常常被攻击者利用,通过各种手段获得合法的账户,进一步破解密码,从而达到非法登录系统的目的。因此,首先需要保障账户和密码的安全。

2. 文件系统

磁盘数据被攻击者或本地的其他用户破坏和窃取是经常困扰用户的问题,文件系统的安装问题也是特不重要的。Windows系统提供的磁盘格式有FAT,FAT32以及NTFS。其中,FAT,FAT32没有考虑安全到安全性方面的更高需求,例如无法设置用户访问权限等。NTFA文件系统是Windows操作系统的一种安全的文件系统,治理员或者用户能够设置每个文件夹及每个文件的访问权限,从而限制一些用户和用户组的访- 3 - / 47 问,以保障数据安全。

3. 数据加密软件EFS

EFS(encrypting file system,加密文件系统)是windows2000以上的版本操作系统所特有的一个有用功能,NTFS卷上的文件和数据,都能够直接被操作系统加密和保存,在专门大程度上提高了数据的安全性。采纳加密文件系统(EFS)加密的数据,能防止计算机,磁盘被窃取或者被拆换后数据失窃的隐患。

EFS加密是基于公钥策略的。在实验EFS加密一个文件或者文件夹时,系统首先会生成一个伪随机数组成的FEK(file

encrypting key,文件加密秘钥),然后利用EFK和数据扩展标准X算法创建加密后的文件,并把它存储在磁盘上,同时删除未加密的原始文件。随后系统利用用户公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密文件。在首次使用FEK时,假如用户还没有公钥/私钥对,则会首先生成秘钥,然后加密数据。假如用户登录到了域环境中,秘钥的生成依靠于域操纵器,否则他就依靠于本地机器。

EFS和加密机制和操作系统的紧密结合,用户不必为了加密数据而安装额外的软件,从而节约了用户的使用成本。EFS加密系统对用户是透明的。假如用户加密了一些数据,那么- 4 - / 47 用户对这些数据的访问将是完全同意的,并可不能受到任何限制。而其他非授权用户试图访问加密后的数据时,就会收到“拒绝访问”的错误提示。EFS加密的用户验证过程是在登录windows系统进行的,只要登录到windows系统,就能够打开任何一个被授权的加密文件。

4. 审核与日志

Windows系统从安全的角度提供了审核与日志功能,让用户便于检测当前的系统运行状况。审核与日志是windows系统中最差不多的入侵检测方法,当有攻击者尝试对系统进行某些方式的攻击时,都会被安全审核功能记录下来并写到日志文件中。一些windows系统下的应用程序也有相似的功能。

5. 安全模板

Windows系统中的安全项目设置繁多,包括账户策略,本地策略,事件日志,受限制的组,系统服务,注册表和文件系统。每个项目都进行设置是相当复杂的,为了提高系统安全性设置的简易性,微软在windows系统中提供了不同安全级不的安全模板,不同安全级不的模板包含了不同安全性要求的配置。用户只要简单地依照需要选择启用相应的安全模板,即可自动按照模板配置各项安全属性。对部分的模板的意义做如下的讲明:

Setup security.inf:全新安装系统的默认安全设置

Basic ws.inf:差不多的安全级不 - 5 - / 47 Compatws.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置

Securews.inf:提供较高安全性的安全级不

Hisecws.inf:提供高度安全性的安全级不

除了以上系统的默认的安全模板,windows操作系统还支持用户自己构建安全模板。

6. MBSA(Microsoft baseline security analyzer)

要检查当前系统是否符合一定的安全标准,手动逐项检查的过程是特不繁杂的。微软提供了自动检查windows系统漏洞的安全审计工具MBSA。它将从微软的升级服务器中下载最新的补丁包文件,检查windows系统中是否安装了最新的安全补丁。此外,还能够对系统漏洞,IIS漏洞,SQL Server 以及IE,Office等应用程序的漏洞进行扫描,以检查系统的各项配置是否符合安全性要求。出来微软的MBSA工具,其他的一些软件如瑞星杀毒软件,金山毒霸,360安全卫士等都提供了windows操作系统漏洞的扫描并从微软服务器下载补丁的功能。

二.Linux操作系统的安全原理

1. 用户治理

Linux支持以命令行或者窗口方式治理用户和用户组。它提供了安全的用户和口令文件爱护以及强大的口令设置规划,并对用户和用户组的权限进行细粒度的划分。 - 6 - / 47 Linux用户组合用户的信息分不保存在/etc/shadow,/etc/passwd,/etc/group,

/etc/gshadow等几个文件中,为这些文件设置较高的安全权限是必要的。在较高安全要求的系统中,能够将这些文件设置成不能够更改。Linux中也带有一些常用的口令字典,以便在用户设置的口令不安全时及时提醒用户

2. 文件治理

在linux中,文件盒目录的权限依照其所属的用户或用户组来话、划分:

①文件所属的用户,即文件的创建者

②文件所属用户组的用户,即文件创建者所在的用户组中的其他用户

③其他用户,即文件所属用户组之外的其他用户

每个文件或者目录的拥有者以及治理员root用户,可为以上三种用户或者用户组设置读、写或者可执行的权限。用户也能够通过改变文件所属的用户或者用户组改变3类用户的权限。

对文件夹设置SGID权限,任何在该文件所属的用户和子目录都将与其父目录属于同样的用户组。这种治理有时是必要的,有时会带来一些安全的问题,因此在建立文件时要特不小心文件夹的SGID权限。

另一个容易带来安全问题的文件是- 7 - / 47 /home/*/.bash_history(*表示某用户名)。为了便于重复输入专门长的命令,该文件保存了此用户经常使用的一组参数(默认为500或1000)的命令。如此就保留了一些重要的信息,例如文件的路径,一些与用户有关的密码等,为攻击的黑客留下了可乘之机。能够通过/etc/profile文件中的参数设置,减少保留的,命名数目。

3. 插入身份认证模块PAM

PAM(pluggable authentication modules)是插入式身份认证模块,它提供身份认证功能防止未授权的用户访问,其身份认证功能高度模块化,能够通过配置文件进行灵活的配置。在高版本的linux中自动启用了PAM,用户也能够自行配置PAM文件。然而,任何专门小的错误改动都可能导致因此用户被堵塞,因此在进行相关的文件改动之前,应当先备份系统内核。

4. 记录系统syslogd

Linux使用了一系列的日志文件,为治理提供了专门多关于系统安全状态的信息。Syslogd是一种系统生活守护进程,它同意系统和应用程序,守护进程以及内核提供的信息,并依照在/etc/syslog.conf文件中的配置,对这些信息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫syslogd接口来提供这些记录到日志中的消息。

系统治理员能够通过设置/etc/syslogd.conf文件来设- 8 - / 47 置希望记录的信息的类型或者希望监视的设备。

实验仪器 1. 一台安装windows xp/2003操作系统的计算机,磁盘格式配置为NTFS,并预装MBSA(Microsoft banseline security

analyzer)

实验步骤和

实验数据 一、Windows部分

1. 账户和密码的安全设置,检查和删除多余的账户

2. 禁用Guest账户 - 9 - / 47 3. 启用账户策略,进入本地安全设置,点击开始,点击运行,输入gpedit.msc,点击确定; - 10 - / 47 4. 密码必须符合复杂性要求

- 11 - / 47 5. 密码长度最小值

6. 密码最长使用期限 - 12 - / 47 7. 密码最短使用期限

8. 账户锁定阀值 - 13 - / 47 9. 账户锁定时刻

10. 开机时设置为不自动显示上次登录账户 - 14 - / 47 - 15 - / 47 11. 禁止枚举账户名

12. 删除Everyone组的操作权限 - 16 - / 47 13. 对同一磁盘进行不同用户组权限的分配 - 17 - / 47 - 18 - / 47 14. 用加密软件EFS加密硬盘数据创建新用户

- 19 - / 47 15. 加密一个文件夹 - 20 - / 47 16. 切换用户到MyUser将拒绝访问 - 21 - / 47 17. 在Administrator中将证书导出

- 22 - / 47 - 23 - / 47 - 24 - / 47 - 25 - / 47 - 26 - / 47 - 27 - / 47 18. 切换用户到MyUser将证书导入

- 28 - / 47 - 29 - / 47 19. 然后那个时候就能够在MyUser用户中看Administrator账户中创建并加密的文件了

20. 启用审核和日志查看