- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验4 基于Window网络安全整体解决方案
四、实验内容和任务
(“管理工具”(“本地安全策略”,选择账户策略、密码策略,账户锁定策略,设置密码复杂性、密码最长存留期、账户锁定要求等。
图4-2 本地安全设置
3.设置新的用户和口令,并重新登录或利用远程登录,尝试登录次数大于所设置尝试次数等情形。
任务二、文件系统安全设置
1.打开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。
2.设置其属性,删除Everyone组,(将“允许来自复习的可能继承权限传播给该对象”之前的勾去掉),如图4-3所示。
图4-3文件夹安全属性
3.选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限,如图4-4所示
图4-4用户权限
4.选择要加密的文件,利用文件夹的高级属性加密文件,如图4-5所示。
5.然后创建一个新的用户如:TEST,并利用新账号重新登录,再次访问该文件。
图4-5 文件夹的高级属性
6.再次切换回原来加密文件的管理员账户登录系统,单击“开始”按钮,在“运行”框中输入mmc,打开控制台,选择“添加/删除管理单元”,选择添加“证书”,如图4-6所示。在控制台中选择“证书”“个人”“证书”,可以看到用于文件系统的证书显示在右侧,如图4-7所示。
图4-6 添加证书
图4-7系统控制台
7.导出证书。
8.再次切换用户,以TEST登录系统,利用控制台导入证书。
9.再次双击加密的文件。
任务三、启动安全策略与安全模板
1.启动安全模板
利用mmc命令,启动系统控制台(添加/删除管理单元,分别添加“安全模板”、“安全配置和分析”如图4-8所示。
图4-8 安全模板
2.查看系统控制台中的安全模板的描述。
3.右键单击“安全配置与分析”,选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称,如图4-9所示。根据计算机准备配制成的安全等级,选择一个安全模板将其导入。
图4-9 打开数据库
4.右键单击“安全配置与分析”,选择“立即分析计算机”。记录分析结果。
任务四、FTP服务器的安全配置
1.停止默认FTP站点,打开“控制面板”(“管理工具”(“Internet服务管理器”,右击“默认FTP站点”,停止。避免使用周所周知的默认服务器设置。如图4-10所示。
图4-10 停止默认FTP站点,启动自己的FTP站点
2.修改TCP端口,默认端口为21,改用其他的端口值,使得攻击者无法得到服务器的端口号,从而增大攻击难度,但同时也会给用户带来不便。
3.启动日志记录,修改文件日志目录,将日志目录和FTP主目录分放在不同的路径下。
4.在账号安全页面中,取消“允许匿名连接”选项,在“FTP站点操作员”只留下系统管理员一个账号。
5.设置主目录的用户权限,删除Everyone用户组。
6.在“目录安全性”页面中添加被拒绝或允许的IP。
任务五、用IIS建立高安全的Web服务器
1.为保护Windows 2000 Server系统的安全性,确认IIS与系统安装在不同的分区。
2.删除不必要的虚拟目录,默认生成的目录很容易被攻击。
3.停止默认Web站点
4.删除不必要的应用程序映射
在“Internet服务管理器”中,右击网站目录,选择“属性”,在弹出的“应用程序配置”对话框的“应用程序映射”页面,只需保留需要的映射。
5.维护日志安全
修改日志路径,并适当设置权限。建议Administrator和System用户为完全控制,Everyone为只读;建议日志文件与Web目录文件放在不同的分区。
任务六、用SSL保护Web站点的安全
1.建立自己的一个网站,能够通过用户名和口令进行简单的用户的身份验证即可。
2.利用嗅探器Sniffer,查看登录时发送信息的内容。
图4-11 登录示意图
3.配置证书服务器
证书服务是Windows 2000 Server的一个组件,默认情况下是没有安装的,所以首先安装证书服务,并建立“独立根CA”。
4.启动IIS管理器来申请一个数字证书
(1)打开Internet服务管理器,选择自己建立的站点,右键打开属性,打开“目录安全性”选项卡,单击“服务器证书”按钮,如图4-12所示。
图4-12 “目录安全性”选项卡
(2)根据向导创建一个新证书,最后将证书请求输入一个文件。
5.将证书请求文件提交给证书颁发机构,
(1)打开IE浏览器,在地址栏输入证书颁发机构的IP地址/certsrv,按照步骤完成申请。注意申请时,选择”高级证书申请”,选中“使用base64编码的PKCS#10文件提交一个证书申请,或使用base64编码PKCS#7文件更新证书申请”复选项,将保存的证书申请拷贝到指定位置,并提交。
(2)证书颁发机构颁发证书
利用“开始(程序(管理工具(证书颁发机构”,进行
文档评论(0)