第10章 Windows 下的安全应用实验

1、2022-5-191*第第1010章章 Windows Windows 下的安全应用实验下的安全应用实验2022-5-192*实验一：加密与实验一：加密与HASHHASH算法的实现算法的实现实验二：安装配置证书服务实验二：安装配置证书服务实验三：简易防火墙配置实验三：简易防火墙配置实验四：创建实验四：创建KerberosKerberos服务服务实验五：利用实验五：利用SSLSSL加密加密HTTPHTTP通道通道2022-5-193*Windows Windows 下的安全应用实验下的安全应用实验实验一：加密与实验一：加密与HASHHASH算法的实现算法的实现2022-5-194*Windows

2、 Windows 下的安全应用实验下的安全应用实验目的：目的：用VC+实现DES加解密算法。完成实验后,将能够深入理解DES加解密算法及其在VC+中的实现过程。实验条件实验条件: :熟悉VC+开发环境和有关DES算法的知识,一台安装了VC+6.0 的计算机。 DES算法的C语言源码可在因特网上找或由教师提供。任务描述任务描述: :对数据进行加密能有效地保护数据的机密性, DES算法是保护数据机密性的经典算法之一,本算法在VC+6.0环境下实现。实验实验A A：DESDES加解密算法的实现加解密算法的实现2022-5-195*Windows Windows 下的安全应用实验下的安全应用实验目的：

3、目的：用VC+实现RSA加解密算法。完成实验后,将能够深入理解RSA加解密算法及其在VC+中的实现过程。实验条件实验条件: :熟悉VC+开发环境和有关RSA算法的知识,一台安装了VC+6.0 的计算机。 RSA算法的C语言源码可在因特网上找或由教师提供。任务描述任务描述: :RSA加解密算法是经典的公钥密码算法,它不仅可以作为加密算法使用,而且可以用作数字签名和密钥分配与管理。在这一密码体制中,每个用户有两个密钥:公钥和私钥。实验实验B B：RSARSA加解密算法的实现加解密算法的实现2022-5-196*Windows Windows 下的安全应用实验下的安全应用实验目的：目的：用VC+实现

4、MD5算法。实验条件实验条件: :熟悉VC+开发环境和有关MD5算法的知识,一台安装了VC+6.0 的计算机。 MD5算法的C语言源码可在因特网上找或由教师提供。任务描述任务描述: :用VC+实现MD5算法。 将整个文件当作HASH目标,经过MD5变换算法,产生一个定长(128位)并唯一的消息摘要。实验实验C C：MD5MD5算法的实现算法的实现2022-5-197*Windows Windows 下的安全应用实验下的安全应用实验实验二：安装配置证书服务实验二：安装配置证书服务2022-5-198*Windows Windows 下的安全应用实验下的安全应用实验目的：目的：本实验在 Windo

5、ws 中创建一个独立存在的CA。完成实验后,将能够: 1.安装/删除证书服务; 2.安装一个独立/从属存在的CA; 3.从某个CA申请证书; 4.发放证书。实验条件实验条件: :理解CA和PKI的概念;理解数字证书的基本概念;了解CA在Windows 中所起的作用; Windows Server配置、管理的相关知识。实验环境实验环境: : 1.一台运行Windows Server 的计算机,并将其配置为域控制器。 2.一台拥有类似配置的计算机,并将其加入上述域。 本实验不影响真实的环境,建议对管理员账户使用复杂的密码,并且不创建没有密码的账户。 一台计算机将拥有一个独立存在的根CA,而其它计算

6、机将拥有独立存在的下层CA。在开始实验之前,先确定计算机的角色。2022-5-199*Windows Windows 下的安全应用实验下的安全应用实验任务描述任务描述: :某公司要求业务伙伴通过Internet访问该公司的数据库。为了确保机密性,将利用证书对IP网络数据流加密。该公司的PKI结构要求有独立存在的根CA和独立存在的下层CA 。必须按所需安装CA,同时确保通过Internet通信的计算机都有合格的证书。实验实验A:A:创建一个独立存在的根创建一个独立存在的根CACA任务描述任务描述: :某公司要求有一个独立存在的根CA。这一根CA将位于认证链的顶部。目的目的: :安装证书服务;创建

7、一个独立的根CA。实验实验B:B:创建一个独立存在的从属创建一个独立存在的从属CACA任务任务1.1.添加独立存在的根CA作为信任根CA;任务任务2.2.创建一个独立存在的从属CA;任务任务3.3.针对根CA的下层CA发放一个证书;任务任务4.4.为该下层CA安装一个证书。2022-5-1910*Windows Windows 下的安全应用实验下的安全应用实验实验实验C:C:请求一个计算机证书请求一个计算机证书任务描述任务描述: :在已经配置好某公司的所有CA之后,用户须请求一个IPSec证书用以加密IP网络数据流。本实验建立在实验A的基础上。任务任务1.1.请求一个IPSec证书;任务任务2

8、.2.颁发IPSec证书;任务任务3.3.利用Internet Explorer浏览器安装发出的证书;任务任务4.4.确认IPSec证书已经被发放到你的计算机。实验实验D:D:删除证书服务删除证书服务2022-5-1911*Windows Windows 下的安全应用实验下的安全应用实验实验三：简易防火墙配置实验三：简易防火墙配置2022-5-1912*Windows Windows 下的安全应用实验下的安全应用实验目的：目的：本实验在 Windows 中创建简易防火墙(IP筛选器)。完成实验后,将能够在本机实现对IP站点、 端口、 DNS服务的屏蔽,实现简易防火墙功能。 实验条件实验条件:

9、:理解防火墙的概念; 具备Windows Server本机环境。任务任务1.1.运行IP筛选器;任务任务2.2.添加IP筛选器表;任务任务3.3.添加IP筛选器动作;任务任务4.4.创建IP安全策略;任务任务5.5.用IP筛选器屏蔽特定端口;任务任务4.4.应用IP安全策略。2022-5-1913*Windows Windows 下的安全应用实验下的安全应用实验实验四：创建实验四：创建KerberosKerberos服务服务2022-5-1914*Windows Windows 下的安全应用实验下的安全应用实验目的：目的：本实验将创建一个Kerberos服务。完成实验后,将能够: 1.在服务器

10、端安装Kerberos服务; 2.配置Kerberos服务; 3.利用Kerberos服务进行认证,获取票据; 实验条件实验条件: : 1.理解认证的概念、认证协议、 Kerberos模型和原理; 2.运行Windows Server 的计算机。任务描述任务描述: :在Windows Server 上建立Kerberos认证服务器,客户端能从Kerberos认证服务器获取票据登录服务器。任务任务1.1.活动目录的安装;任务任务2.2.安全策略的设置;任务任务3. 3. Windows Professional客户端设置。2022-5-1915*Windows Windows 下的安全应用实验下

11、的安全应用实验实验五：利用实验五：利用SSLSSL加密加密HTTPHTTP通道通道2022-5-1916*Windows Windows 下的安全应用实验下的安全应用实验目的：目的：本实验将在Windows Server中给IIS配置SSL。完成实验后,将能够: 1.在服务器端安装证书服务; 2.加密网络传输隧道。 实验条件实验条件: : 1.理解SSL和IIS的概念; 2.运行Windows Server 的计算机,并将它配置成域控制器。任务描述任务描述: :针对以IIS作为Web服务器的环境,可利用SSL加密HTTP通道以增加安全性。2022-5-1917*Windows 2000 Win

12、dows 2000 下的安全应用实验下的安全应用实验2022-5-1918*Windows 2000 Windows 2000 下的安全应用实验下的安全应用实验2022-5-1919*Windows 2000 Windows 2000 下的安全应用实验下的安全应用实验2022-5-1920*Windows 2000 Windows 2000 下的安全应用实验下的安全应用实验2022-5-1921*Windows 2000 Windows 2000 下的安全应用实验下的安全应用实验2022-5-1922*Windows 2000 Windows 2000 下的安全应用实验下的安全应用实验2022

13、-5-1923*小小 结结 1、信息与信息系统的概念。、信息与信息系统的概念。2、信息系统所面临的威胁以及原因。威胁有两种四类：第一种威胁是针对网络中信息的、信息系统所面临的威胁以及原因。威胁有两种四类：第一种威胁是针对网络中信息的威胁；第二种威胁是针对网络中设备的威胁。第一类是针对硬件实体设施；第二类是针威胁；第二种威胁是针对网络中设备的威胁。第一类是针对硬件实体设施；第二类是针对软件，数据和文档资料；第三类是对前两者的攻击破坏；第四类是计算机犯罪。安全对软件，数据和文档资料；第三类是对前两者的攻击破坏；第四类是计算机犯罪。安全威胁的来源主要有三个：天灾、人祸和系统本身的原因。威胁的来源主要

14、有三个：天灾、人祸和系统本身的原因。3、信息安全是指信息在产生、传输、处理和存储过程中不被泄露或破坏，确保信息的可、信息安全是指信息在产生、传输、处理和存储过程中不被泄露或破坏，确保信息的可用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。信息安全包用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。信息安全包含三层含义。一是系统安全，即实体安全和系统运行安全。二是系统中的信息安全，即含三层含义。一是系统安全，即实体安全和系统运行安全。二是系统中的信息安全，即通过对用户权限的控制、数据加密等确保信息不被非授权者获取和篡改。三是管理安全，通过对用户权限的控制、数据加

15、密等确保信息不被非授权者获取和篡改。三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。即用综合手段对信息资源和系统安全运行进行有效管理。4、信息安全研究的内容主要有：实体硬件安全、软件系统安全、密码技术、认证技术、信息安全研究的内容主要有：实体硬件安全、软件系统安全、密码技术、认证技术、网络安全防护、数据信息安全、病毒防治技术、防火墙与隔离技术、入侵检测技术以及网络安全防护、数据信息安全、病毒防治技术、防火墙与隔离技术、入侵检测技术以及网络站点安全。网络站点安全。5、信息系统安全防御策略坚持：最小特权、纵深防御、建立控制点、监测的消除薄弱、信息系统安全防御策略坚持：最小特权、纵深

16、防御、建立控制点、监测的消除薄弱连接、失效保护、普遍参与、防御多样化、简单化原则。信息系统安全的工程原则应坚连接、失效保护、普遍参与、防御多样化、简单化原则。信息系统安全的工程原则应坚持：关系性、相关性、适应性、可评估性。持：关系性、相关性、适应性、可评估性。6、信息系统安全、信息系统安全的实质就是安全法规、安全管理和安全技术的实施。安全策略的职能的实质就是安全法规、安全管理和安全技术的实施。安全策略的职能包括三个方面：限制、监视和保障。包括三个方面：限制、监视和保障。7、GBT 9387.21995定义了五大类安全服务，提供这些服务的八类安全机制以及相定义了五大类安全服务，提供这些服务的八类

17、安全机制以及相应的开放系统互连的安全管理，并可根据具体系统适当地配置于应的开放系统互连的安全管理，并可根据具体系统适当地配置于OSI模型的七层协议中。模型的七层协议中。8、TCP/IP安全体系，安全体系，TCP/IP协议集各层的安全协议、安全服务，以及与协议集各层的安全协议、安全服务，以及与ISO安全体系安全体系结构定义服务的对应。结构定义服务的对应。9、可信计算机系统评估标准将计算机系统的可信程度，即安全等级划分为、可信计算机系统评估标准将计算机系统的可信程度，即安全等级划分为D、C、B、A4类类7级，由低到高。级，由低到高。D级暂时不分子级；级暂时不分子级；C级分为级分为C1和和C2两个子

18、级，两个子级，C2比比C1提供更多提供更多的保护；的保护；B级分为级分为B1、B2和和B3共共3个子级，由低到高：个子级，由低到高：A级暂时不分子级。级暂时不分子级。2022-5-1924*习题习题一、填空1.自从有了网络，人们通过网络传递信息，使得信息安全变得_。2.信息是客观事物运动状态的表征，一般可分为_、_和_三大类。3.计算机信息系统是指 的人机系统。4.网络安全的任务是：_。 5.信息安全的任务是：_。6.计算机系统中实体安全是指： 。7.计算机系统中的运行安全是指： 。8.计算机系统中的信息安全是指： 。9.主动攻击划分为 、 、 、 。10.可信任计算机标准评估准则的安全等级有 类 级，依照安全级，依照安全级别从高到低依次为： 。11. D类是 ，是安全等级中的 级，C类是 ， 是最高安全保护类，它是 类。12.DOS属于 安全类。13.TCSEC是 由哪个国家提出的， 。 14. 15.一个系统存在