信息安全技术实验报告

1、信息安全综合实验实验报告学院:信息学院 专业：信息管理与信息系统专业 班级：信息13-1姓名刘斌彬学号130814102实验组实验时间2016年指导教师蓝海洋成绩实验项目名称Windows操作系统安全，Linux操作系统安全实验目的1. 掌握windows账户与密码的设置方法2. 掌握文件系统的保护和加密方法3. 掌握windows操作系统安全策略与安全模板的使用，审核和日志的启用方法4. 掌握windows操作系统漏洞检测软件MBSA的使用方法，建立一个windows操作系统基本安全框架5. 通过实验掌握linux操作系统（以下简称linux）环境下的用户管理，进程管理以及文件管理的相关操作

2、命令，掌握linux中的相关安全配置方法，建立起linux的基本安全框架实验要求通过这次的实验学习，学生要学会windows操作系统和linux操作系统的基本基本安全配置。实验原理一.Windows操作系统的安全原理1. 账户和密码账户和密码是登录系统的基础，同时也是众多黑客程序攻击和窃取的对象。因此，系统账户和密码的安全是极其重要的，必须通过配置来实现账户和密码的安全。普通用户常常在安装系统后长期使用系统的默认设置，忽视了windows系统默认设置的不安全性，而这些不安全性常常被攻击者利用，通过各种手段获得合法的账户，进一步破解密码，从而达到非法登录系统的目的。所以，首先需要保障账户和密码的

3、安全。2. 文件系统磁盘数据被攻击者或本地的其他用户破坏和窃取是经常困扰用户的问题，文件系统的安装问题也是非常重要的。Windows系统提供的磁盘格式有FAT，FAT32以及NTFS。其中，FAT，FAT32没有考虑安全到安全性方面的更高需求，例如无法设置用户访问权限等。NTFA文件系统是Windows操作系统的一种安全的文件系统，管理员或者用户可以设置每个文件夹及每个文件的访问权限，从而限制一些用户和用户组的访问，以保障数据安全。3. 数据加密软件EFSEFS（encrypting file system，加密文件系统）是windows2000以上的版本操作系统所特有的一个实用功能，NTFS

4、卷上的文件和数据，都可以直接被操作系统加密和保存，在很大程度上提高了数据的安全性。采用加密文件系统（EFS）加密的数据，能防止计算机，磁盘被窃取或者被拆换后数据失窃的隐患。EFS加密是基于公钥策略的。在实验EFS加密一个文件或者文件夹时，系统首先会生成一个伪随机数组成的FEK（file encrypting key，文件加密秘钥），然后利用EFK和数据扩展标准X算法创建加密后的文件，并把它存储在磁盘上，同时删除未加密的原始文件。随后系统利用用户公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件。在首次使

5、用FEK时，如果用户还没有公钥/私钥对，则会首先生成秘钥，然后加密数据。如果用户登录到了域环境中，秘钥的生成依赖于域控制器，否则他就依赖于本地机器。EFS和加密机制和操作系统的紧密结合，用户不必为了加密数据而安装额外的软件，从而节省了用户的使用成本。EFS加密系统对用户是透明的。如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密后的数据时，就会收到“拒绝访问”的错误提示。EFS加密的用户验证过程是在登录windows系统进行的，只要登录到windows系统，就可以打开任何一个被授权的加密文件。4. 审核与日志Windows系统从安全

6、的角度提供了审核与日志功能，让用户便于检测当前的系统运行状况。审核与日志是windows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写到日志文件中。一些windows系统下的应用程序也有相似的功能。5. 安全模板Windows系统中的安全项目设置繁多，包括账户策略，本地策略，事件日志，受限制的组，系统服务，注册表和文件系统。每个项目都进行设置是相当复杂的，为了提高系统安全性设置的简易性，微软在windows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置。用户只要简单地根据需要选择启用相应的安全模板，即可自动

7、按照模板配置各项安全属性。对部分的模板的意义做如下的说明：Setup security.inf:全新安装系统的默认安全设置Basic ws.inf:基本的安全级别Compatws.inf:将系统的NTFS和ACL设置成安全层次较低的NT4.0设置Securews.inf：提供较高安全性的安全级别Hisecws.inf：提供高度安全性的安全级别除了以上系统的默认的安全模板，windows操作系统还支持用户自己构建安全模板。6. MBSA（Microsoft baseline security analyzer）要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常繁杂的。微软提供了自动检

8、查windows系统漏洞的安全审计工具MBSA。它将从微软的升级服务器中下载最新的补丁包文件，检查windows系统中是否安装了最新的安全补丁。此外，还可以对系统漏洞，IIS漏洞，SQL Server 以及IE，Office等应用程序的漏洞进行扫描，以检查系统的各项配置是否符合安全性要求。出来微软的MBSA工具，其他的一些软件如瑞星杀毒软件，金山毒霸，360安全卫士等都提供了windows操作系统漏洞的扫描并从微软服务器下载补丁的功能。二.Linux操作系统的安全原理1. 用户管理Linux支持以命令行或者窗口方式管理用户和用户组。它提供了安全的用户和口令文件保护以及强大的口令设置规划，并对用

9、户和用户组的权限进行细粒度的划分。Linux用户组合用户的信息分别保存在/etc/shadow，/etc/passwd，/etc/group，/etc/gshadow等几个文件中，为这些文件设置较高的安全权限是必要的。在较高安全要求的系统中，可以将这些文件设置成不可以更改。Linux中也带有一些常用的口令字典，以便在用户设置的口令不安全时及时提醒用户2. 文件管理在linux中，文件盒目录的权限根据其所属的用户或用户组来话、划分：文件所属的用户，即文件的创建者文件所属用户组的用户，即文件创建者所在的用户组中的其他用户其他用户，即文件所属用户组之外的其他用户每个文件或者目录的拥有者以及管理员ro

10、ot用户，可为以上三种用户或者用户组设置读、写或者可执行的权限。用户也可以通过改变文件所属的用户或者用户组改变3类用户的权限。对文件夹设置SGID权限，任何在该文件所属的用户和子目录都将与其父目录属于同样的用户组。这种管理有时是必要的，有时会带来一些安全的问题，因此在建立文件时要特别小心文件夹的SGID权限。另一个容易带来安全问题的文件是/home/*/.bash_history（*表示某用户名）。为了便于重复输入很长的命令，该文件保存了此用户经常使用的一组参数（默认为500或1000）的命令。这样就保留了一些重要的信息，例如文件的路径，一些与用户有关的密码等，为攻击的黑客留下了可乘之机。可以

11、通过/etc/profile文件中的参数设置，减少保留的，命名数目。3. 插入身份认证模块PAMPAM（pluggable authentication modules）是插入式身份认证模块，它提供身份认证功能防止未授权的用户访问，其身份认证功能高度模块化，可以通过配置文件进行灵活的配置。在高版本的linux中自动启用了PAM，用户也可以自行配置PAM文件。但是，任何很小的错误改动都可能导致所以用户被阻塞，所以在进行相关的文件改动之前，应当先备份系统内核。4. 记录系统syslogdLinux使用了一系列的日志文件，为管理提供了很多关于系统安全状态的信息。Syslogd是一种系统日子守护进程，

12、它接受系统和应用程序，守护进程以及内核提供的信息，并根据在/etc/syslog.conf文件中的配置，对这些信息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫syslogd接口来提供这些记录到日志中的消息。系统管理员可以通过设置/etc/syslogd.conf文件来设置希望记录的信息的类型或者希望监视的设备。实验仪器1. 一台安装windows xp/2003操作系统的计算机，磁盘格式配置为NTFS，并预装MBSA（Microsoft banseline security analyzer）实验步骤和实验数据一、Windows部分1. 账户和密码的安全设置，检查和删除多余

13、的账户2. 禁用Guest账户3. 启用账户策略，进入本地安全设置，点击开始，点击运行，输入gpedit.msc，点击确定；4. 密码必须符合复杂性要求5. 密码长度最小值6. 密码最长使用期限7. 密码最短使用期限8. 账户锁定阀值9. 账户锁定时间10. 开机时设置为不自动显示上次登录账户11. 禁止枚举账户名12. 删除Everyone组的操作权限13. 对同一磁盘进行不同用户组权限的分配14. 用加密软件EFS加密硬盘数据创建新用户15. 加密一个文件夹16. 切换用户到MyUser将拒绝访问17. 在Administrator中将证书导出18. 切换用户到MyUser将证书导入19.

14、 然后这个时候就可以在MyUser用户中看Administrator账户中创建并加密的文件了20. 启用审核和日志查看21. 启用安全策略和安全模板22. 自定义模板二、Linux部分1. 查看和添加用户useradd myusername2. 使用cat命令查看账户列表cat /etc/passwd3. 添加和更改口令cat /etc/shadow4. 设置账户管理，修改密码：passwd myusername 5. 账户禁用与恢复change m O M 90 -E 0 -w 10 myusername6. 切换用户su myusername7. 查看状态passwd -S myusern

15、ame8. 解锁passwd -u myusername9. 建立用户组groupadd mygroup10. 修改用户组名称groupmod n mygroup1 mygroup11. 将myusername加入用户组groupmod a myusername mygroup112. 将myuser设置为改组的管理员gpasswd -A myusername mygroup113. 使用命令编辑/etc/login.defs文件vi /etc/login.defs14. 修改里面的一些参数15. 将口令文件改为不可更改chattr +i /etc/passwd16. 此时新建用户就不行了us

16、eradd lbb17. 去除文件的不可更改性chattr -i /etc/passwd18. 删除用户userdel myusername19. 删除用户组groupdel mygroup120. 创建文件夹mkdir folder21. 创建子文件夹mkdir folder/childfolder22. 创建文件cd folder touch newfile23. 编辑文件vi newfile 24. 查看文件的内容cat newfile25. 查看文件的相关信息ll newfile26. 设置文件的属性chmod 750 newfile27. 分别用不同的用户对该文件进行读28. 查看P

17、AM的设置cat /etc/pam.d/passwd29. 查看是否存在名为wheel的用户组30. 创建新用户加入wheel中gpasswd -a newuser wheel31. 编辑文件vi /etc/pam.d/su32. 在文件第一行里面加入一行auth required /lib/decuritty/$ISA/pam_wheel.so group=wheel33. 限制文件的更改操作，只有wheel组的用户可以使用su命令chown root:wheel /bin/su chmod 4750 /bin/su34. 检查syslog日志设置以及日志文件cat /etc/syslog.conf实验总结实验总结：在本次试验中，分别让我们使用了Windows操作系统及Linux操作系统，并分别针对这两个操作系统进行操作系统的安全配置，两个操作系统的具体流程及实现过程稍有不同，但是均实现了