第一篇:网络安全课程实验指导书
网络安全课程实验安排及指导书
2009-10-21
实验安排
1、推荐必做实验
网络扫描
计算机病毒及恶意代码 防火墙实验 入侵检测系统
2、推荐选作实验
VPN配置
证书的申请和使用 windows安全配置实验
实验一: 网络扫描实验
【实验目的】
了解扫描的基本原理,掌握基本方法,最终巩固主机安全
【实验内容】
1、学习使用Nmap的使用方法
2、学习使用漏洞扫描工具
【实验环境】
1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】
1、端口扫描
1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap
运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。3)试图做以下扫描:
扫描局域网内存活主机,扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统
试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等
2、漏洞扫描
解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞
【实验报告】
1、说明程序设计原理。
2、提交运行测试结果。
【实验背景知识】
1、扫描及漏洞扫描原理见
第四章黑客攻击技术.ppt
2、NMAP使用方法
象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,X
mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
一、安装Nmap
Nmap要用到一个称为―Windows包捕获库‖的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系统,下载得到的是一个执行文件,双击安装,一路确认使用默认设置就可以了,安装好之后需要重新启动。
接下来下载Nmap。下载好之后解开压缩,不需要安装。除了执行文件nmap.exe之外,它还有下列参考文档:
㈠ nmap-os-fingerprints:列出了500多种网络设备和操作系统的堆栈标识信息。
㈡ nmap-protocols:Nmap执行协议扫描的协议清单。
㈢ nmap-rpc:远程过程调用(RPC)服务清单,Nmap用它来确定在特定端口上监听的应用类型。
㈣ nmap-services:一个TCP/UDP服务的清单,Nmap用它来匹配服务名称和端口号。
除了命令行版本之外,www.xiexiebang.com还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样,GUI版本需要安装,图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样,鉴于许多人更喜欢用命令行版本,本文后面的说明就以命令行版本为主。
图一
二、常用扫描类型
解开Nmap命令行版的压缩包之后,进入Windows的命令控制台,再转到安装Nmap的目录(如果经常要用Nmap,最好把它的路径加入到PATH环境变量)。不带任何命令行参数运行Nmap,Nmap显示出命令语法,如图二所示。
图二
下面是Nmap支持的四种最基本的扫描方式:
⑴ TCP connect()端口扫描(-sT参数)。
⑵ TCP同步(SYN)端口扫描(-sS参数)。
⑶ UDP端口扫描(-sU参数)。
⑷ Ping扫描(-sP参数)。
如果要勾画一个网络的整体情况,Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP(Internet Control Message Protocol,Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge,简写ACK)数据包,确定主机的状态,非常适合于检测指定网段内正在运行的主机数量。
TCP SYN扫描一下子不太好理解,但如果将它与TCP connect()扫描比较,就很容易看出这种扫描方式的特点。在TCP connect()扫描中,扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说,扫描器打开了两个主机之间的完整握手过程(SYN,SYN-ACK,和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。
TCP SYN扫描创建的是半打开的连接,它与TCP connect()扫描的不同之处在于,TCP SYN扫描发送的是复位(RST)标记而不是结束ACK标记(即,SYN,SYN-ACK,或RST):如果远程主机正在监听且端口是打开的,远程主机用SYN-ACK应答,Nmap发送一个RST;如果远程主机的端口是关闭的,它的应答将是RST,此时Nmap转入下一个端口。
图三是一次测试结果,很明显,TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项,在LAN环境下扫描一个主机,Ping扫描耗时不到十秒,TCP SYN扫描需要大约十三秒,而TCP connect()扫描耗时最多,需要大约7分钟。
图三
Nmap支持丰富、灵活的命令行参数。例如,如果要扫描192.168.7网络,可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数,如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口。
如果要查看Nmap运行的详细过程,只要启用verbose模式,即加上-v参数,或者加上-vv参数获得更加详细的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示执行一次TCP SYN扫描,启用verbose模式,要扫描的网络是192.168.7,检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子,nmap-sS 192.168.7.1/24-p 80扫描192.168.0子网,查找在80端口监听的服务器(通常是Web服务器)。
有些网络设备,例如路由器和网络打印机,可能禁用或过滤某些端口,禁止对该设备或跨越该设备的扫描。初步侦测网络情况时,-host_timeout<毫秒数>参数很有用,它表示超时时间,例如nmap sS host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。
网络设备上被过滤掉的端口一般会大大延长侦测时间,设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时,这时你就可以对这些设备个别处理,保证大范围网络扫描的整体速度。当然,host_timeout到底可以节省多少扫描时间,最终还是由网络上被过滤的端口数量决定。
Nmap的手册(man文档)详细说明了命令行参数的用法(虽然man文档是针对UNIX版Nmap编写的,但同样提供了Win32版本的说明)。
三、注意事项
也许你对其他端口扫描器比较熟悉,但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统,感觉一下Nmap的基本运行模式,熟悉之后,再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果,然后从一个外部IP地址扫描,注意防火墙、入侵检测系统(IDS)以及其他工具对扫描操作的反应。通常,TCP connect()会引起IDS系统的反应,但IDS不一定会记录俗称―半连接‖的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档,以便随后参考。
如果你打算熟悉和使用Nmap,下面几点经验可能对你有帮助:
㈠ 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为,所以测试Nmap最好在内部网络进行。如有必要,应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报以及其他网络问题。
㈡ 关闭不必要的服务。根据Nmap提供的报告(同时考虑网络的安全要求),关闭不必要的服务,或者调整路由器的访问控制规则(ACL),禁用网络开放给外界的某些端口。
㈢ 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后,下一步是从这些已知的系统和服务出发建立一个安全基准,以后如果要启用新的服务或者服务器,就可以方便地根据这个安全基准执行。实验二:计算机病毒及恶意代码
【实验目的】
练习木马程序安装和攻击过程,了解木马攻击原理,掌握手工查杀木马的基本方法,提高自己的安全意识。
【实验内容】
安装木马程序NetBus,通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术
【实验步骤】
1、木马安装和使用
1)在菜单运行中输入cmd打开dos命令编辑器 2)安装netbus软件
3)在DOS命令窗口启动进程并设置密码
4)打开木马程序,连接别人主机
5)控制本地电脑打开学院网页
6)查看自己主机
7)查看任务管理器进程 移除木马控制程序进程
查看任务管理器(注意:Patch.exe进程已经关闭)
2、木马防御实验
在木马安装过程可以运行一下软件查看主机信息变化:
1)使用autoruns.exe软件,查看windows程序启动程序的位置,了解木马的自动加载技术。如自动运行进程(下图所示)、IE浏览器调运插件、任务计划等:
2)查看当前运行的进程,windows提供的任务管理器可以查看当前运行的进程,但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例
启动procexp.exe程序,查看当前运行进程所在位置,如图所示:
3)木马综合查杀练习
使用冰刃IceSword查看木马可能修改的位置: 主要进行以下练习:
1)查看当前通信进程开放的端口。
木马攻击
2)查看当前启动的服务
3)练习其他功能,如强制删除其他文件,SPI、内核模块等。
【实验报告】
1、分析木马传播、自启动、及隐藏的原理。
2、提交运行测试的结果,并分析。
【背景知识】
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想―控制‖远程机器,必须先将服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。
NetBus服务器端程序是放在Windows的系统目录中的,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe(注意:不是explorer.exe!)或者简单地叫game.exe。同时,你可以检查Windows系统注册表,NetBus会在下面路径中加入其 自身的启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del,在任务列表中是看不到它的存在的。正确的去除方法如下:
1、运行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、将patch项删除(或者explore项);
4、重新启动机器后删除Windows系统目录下的patch.exe(或者explore.exe)即可。
实验三: 防火墙实验
【实验目的】
掌握个人防火墙的使用及规则的设置
【实验内容】
防火墙设置,规则的设置,检验防火墙的使用。
【实验环境】
3、硬件 PC机一台。
4、系统配置:操作系统windows XP以上。
【实验步骤】
(有两种可选方式,1、以天网防火墙为例,学习防火墙的规则设置,2、通过winroute防火墙学习使用规则设置,两者均需安装虚拟机)
一、虚拟机安装与配置
验证virtual PC是否安装在xp操作系统之上,如果没有安装,从获取相关软件并安装; 从教师机上获取windows 2000虚拟机硬盘
二、包过滤防火墙winroute配置(可选)
1、从教师机上获取winroute安装软件并放置在windows 2000上安装
2、安装默认方式进行安装,并按提示重启系统
3、登陆虚拟机,打开winroute 以管理员的身份登录,打开开始>WinRoute Pro>WinRoute Administration,输入IP地址或计算机名,以及WinRoute管理员帐号(默认为Admin)、密码(默认为空)
3、打开菜单
Setting>Advanced>Packet Filter
4、在Packet Filter对话框中,选中Any interface并展开 双击No Rule图标,打开Add Item对话框
在Protocol下拉列表框中选择ICMP,开始编辑规则
配置Destination:type为Host,IP Address为192.168.1.1(x为座位号)
5、在ICMP Types中,选中All复选项 在Action区域,选择Drop项
在Log Packet区域选中Log into Window 其他各项均保持默认值,单击OK 单击OK,返回主窗口
6、合作伙伴间ping对方IP,应该没有任何响应
打开菜单View>Logs>Security Log ,详细查看日志记录 禁用或删除规则
8、用WinRoute控制某个特定主机的访问(选作)
要求学生在虚拟机安装ftp服务器。
1)打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing标签 2)选择Any Interface并展开,双击No Rule,然后选择TCP协议
3)配置Destination 框:type为 Host,IP Address为192.168.1.2(2为合作伙伴座位号)4)、在Source框中:端口范围选择Greater than(>),然后输入1024 5)以21端口作为 Destination Port值 6)在Action区域,选择Deny选项 7)选择Log into window选项 8)应用以上设置,返回主窗口
9)合作伙伴间互相建立到对方的FTP连接,观察失败信息 10)禁用或删除FTP过滤
三、包过滤天网防火墙配置(可选)
1、安装
解压,单击安装文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安装按缺省的设置安装,注:破解
1)将两个文件[Cr-PFW.exe]和[PFW.bak]一起复制到软件安装目录中
2)运行破解补丁[Cr-PFW.exe],覆盖原主程序即可
2、熟悉防火墙规则
启动防火墙并‖单击自定义规则‖如图
熟悉规则的设置: 双击如下选项: “允许自己用ping命令探测其他机器 “防止别人用ping命令探测”
“禁止互联网上的机器使用我的共享资源” “防止互联网上的机器探测机器名称”等选项,熟悉其中的IP地址、方向,协议类型、端口号、控制位等项的设置。试总结规则设置的顺序,5、增加设置防火墙规则
开放部分自己需要的端口。下图为对话框,各部分说明: 1)新建IP规则的说明部分,可以取有代表性的名字,如―打开BT6881-6889端口‖,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,具体看后面的实例。
试设置如下规则:
1)禁止局域网的某一台主机和自己通信通信 2)禁止任何大于1023的目标端口于本机连接,3)允许任何新来的TCP与主机192.168.0.1的SMTP连接
4、查看各个程序使用及监听端口的情况
可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
【实验报告】
1、说明包过滤放火墙的工作原理。
2、提交防火墙指定功能测试结果。
实验4 入侵检测系统安装和使用
【实验目的】
通过安装并运行一个snort系统,了解入侵检测系统的作用和功能
【实验内容】
安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS
【实验环境】
硬件 PC机一台。
系统配置:操作系统windows XP以上。
【实验步骤】
1、安装appache服务器
安装的时候注意,本机的80 端口是否被占用,如果被占用则关闭占用端口的程序。选择定制安装,安装路径修改为c:apache 安装程序会自动建立c:apache2 目录,继续以完成安装。
添加Apache 对PHP 的支持
1)解压缩php-5.2.6-Win32.zip至c:php 2)拷贝php5ts.dll文件到%systemroot%system32
3)拷贝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同时拷贝c:phpextension下的php_gd2.dll与php_mysql.dll 至%systemroot%
4)添加gd库的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application这一行下面加入下面两行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新启动apache服务器。现在可以测试php脚本:
在c:apache2htdocs 目录下新建test.php
test.php 文件内容:
〈?phpinfo();?〉
使用http://localhost/test.php 测试php 是否安装成功
2、安装配置snort
安装程序WinPcap_4_0_2.exe;缺省安装即可 安装Snort_2_8_1_Installer.exe;缺省安装即可
将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:snort目录下。将文件压缩包中的snort.conf覆盖C:Snortetcsnort.conf
3、安装MySql配置mysql
解压mysql-5.0.51b-win32.zip,并安装。采取默认安装,注意设置root帐号和其密码 J检查是否已经启动mysql服务 在安装目录下运行命令:(一般为c:mysqlbin)mysql-u root –p 输入刚才设置的root密码
运行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要将snort_mysql复制到c盘下,当然也可以复制到其他目录)运行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安装其他工具
1)安装adodb,解压缩adodb497.zip到c:phpadodb 目录下
2)安装jpgrapg 库,解压缩jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安装acid,解压缩acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目录下,并将C:Apachehtdocsacidacid_conf.php文件的如下各行内容修改为: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “localhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “localhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php,在打开页面中点取―Create ACID AG‖按钮,让系统自动在mysql中建立acid 运行必须的数据库
5、启动snort 测试snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小猪证明工作正常 查看本地网络适配器编号: c:>snort-W 正式启动snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的参数为网卡编号,由snort –W 察看得知)这时通过http://localhost/acid/acid_main.php 可以察看入侵检测的结果
6、利用扫描实验的要求扫描局域网,查看检测的结果
【实验报告】
1、简单分析网络入侵检测snort的分析原理
2、分析所安装的入侵检测系统对攻击的检测结果。附:
Appach启动动命令:
apache-k install | apache-k start
证书的申请和使用
【实验目的】
掌握数字证书的申请、安装,利用证书的使用通过Outlook发送和接受安全电子邮件
【实验内容】
1、申请免费使用证书,了解证书的结构
2、利用申请的证书,发送和接收具有加密和签名认证的电子邮件
【实验环境】
上网计算机,Windows操作系统(最好是Windows2000)。IE5.0以上浏览器
【实验步骤】
1、证书申请
(1)登录中国数字认证网网站:http://www.xiexiebang.com,如图1所示,图1 申请证书主页
(2)单击 ―用表格申请‖,进入申请网页,如图2:填写相关信息,注意证书用途选择,电子邮件保护证书。注意电子邮件部分填写随后测试邮件的自己电子邮件的邮件
图
2、申请表格
3)单击“提交并安装证书” 4)证书查询
打开IE浏览器,依次点击工具→Internet选项→内容→证书,如图8.11所示,点击证书按钮后出现证书目录,如图8.12,双击刚才申请的试用个人证书,如图8.13所示。需要说明的是,由于证书是试用证书,所以有该证书未生效信息,实际上,正式申请的付费证书是没有任何问题。
图3互联网选项
图4 已经安装好的数字证书
图5 证书信息
2、使用证书发送安全邮件
1)选择菜单-〉工具-〉选项
弹出对话框
选择安全属性页,复选“给待发邮件添加数字签名”“以明文签名发送邮件”
选择“设置”按钮,弹出“更改安全设置对话框”见图9
图6 选项属性页
2)选择 ―设置‖按钮 弹出“更改安全设置”对话框 图7 填写名称
“选择” 按钮选择刚才申请的证书,并选择哈希算法和加密算法。
图7安全设置对话框)选择一个通信联系人发送一个邮件(这里最好是相互发送)看看对方是不是收到了一个带证书的电子邮件
注意:这时只能发送签名电子邮件,因为不知道对方的公钥无法加密(why?),可以思考一下。
发送加密带签名的电子邮件方法如下:
需要知道收信人的公钥才能加密,因此需要导入收信人的证书。4)导出收信人证书
以刚才收到的带签名的和证书的油箱导入对方的证书
A)添加刚才收到信的发信人岛通信薄。B)从刚才收到的信中到处证书。
在信的右边单击红色飘带弹出对话框,并单击“详细信息”,弹出对话框,选择 “签字人:****”,并单击“查看信息” 按钮(如图8),弹出属性页,选择“查看证书按钮”,弹出属性页对话框,选择“详细信息”,及“复制到文件…”按钮(见图9)。把证书复制到文件
图8
图9 5)向通信薄中联系人添加证书。选择菜单“工具”-〉“通信薄”,选择上述接收到的邮件发件人作为联系人,并单击,选择证书属性页,(如图10),单击“导入”按钮,倒入刚才到处的文件。
图10 6)发送带签名和加密的电子邮件
选择菜单
工具-〉选项…
弹出对话框
选择安全属性页,复选“加密带发邮件的内容和附件”,“给待发邮件添加数字签名”,“以明文签名发送邮件”(如图11)
向对方发送一个电子邮件,看看是不会加密带签名的
图11 【实验报告】
1、提交运行测试结果
2、提交申请证书的分析说明
3、提交认证(签名)和加密邮件的分析说明 实验六: windows安全配置实验
【实验目的】
掌握windows的安全设置,加固操作系统安全
【实验内容】
1、账户与密码的安全设置
2、文件系统的保护和加密
3、启用 安全策略与安全模板
4、审核与日志查看
5、利用 MBSA 检查和配置系统安全
【实验环境】
7、硬件 PC机一台。
2、系统配置:操作系统windows XP专业版。
【实验步骤 】
任务一 账户和密码的安全设置
1、删除不再使用的账户,禁用 guest 账户
⑴ 检查和删除不必要的账户
右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项; 在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。⑵ 禁用 guest 账户
打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击 guest 账户,在弹出的对话框中选择“属性”,在弹出的对话框中“帐户已停用”一栏前打勾。
确定后,观察 guest 前的图标变化,并再次试用 guest 用户登陆,记录显示的信息。2、启用账户策略
⑴ 设置密码策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。⑵ 设置账户锁定策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。
在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如 3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。
在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如 20 min)。
重启计算机,进行无效的登陆(如密码错误),当次数超过 3 次时,记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比。3.开机时设置为“不自动显示上次登陆账户”
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,启用该设置。设置完毕后,重启机器看设置是否生效。4.禁止枚举账户名
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。任务二 文件系统安全设置
⑴ 打开采用 NTFS 格式的磁盘,选择一个需要设置用户权限的文件夹。⑵ 右键单击该文件夹,选择“属性”,在工具栏中选择“安全”。
⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。
⑷ 选中列表中的 Everyone 组,单击“删除”按钮,删除 Everyone 组的操作权限,由于新建的用户往往都归属于 Everyone 组,而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权,删除 Everyone 组的操作权限可以对新建用户的权限进行限制,原则上只保留允许访问此文件夹的用户和用户组。
⑸ 选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。
⑹ 单击“高级”按钮,在弹出的窗口中,查看各用户组的权限。
⑺ 注销计算机,用不同的用户登陆,查看 刚才设置“桌面”文件夹的访问权限,将结果记录在实验报告中。任务三 启用审核与日志查看 1 .启用审核策略
(1)打开“控制面板”中的“管理工具”,选择“本地安全策略”。(2)打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。
(3)双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审核登陆事件”将对每次用户的登陆进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关审核策略,审核策略启用后,审核结果放在各种事件日志中。2 .查看事件日志
(1)打开“控制面板”中的“管理工具”,双击“事件查看器“,在弹出的窗口中查看系统的 3 种日志。(2)双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录,例如:查看用户登陆 / 注销的日志。任务四 启用安全策略与安全模块
1、启用安全模板
开始前,请记录当前系统的账户策略和审核日志状态,以便于同实验后的设置进行比较。
⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行 mmc,打开系统控制台
⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加 / 删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每种安全策略可看到其相关配置。
⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为 mycomputer.sdb,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸ 右键单击“安全设置与分析”,选择“立即分析计算机”,单击“确定”按钮,系统开始按照上一步中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。
⑹ 右键单击“安全设置与分析”,选择“立即配置计算机”,则按照第(4)步中所选的安全模板的要求对当前系统进行配置。
⑺ 在实验报告中记录实验前系统的缺省配置,接着记录启用安全模板后系统的安全设置,记录下比较和分析的结果。2 .建安全模板
⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行 mmc,打开系统控制台。
⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加 / 删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每中安全策略可看到其相关配置。
⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为 mycomputer.sdb,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸ 展开“安全模板”,右键单击模板所在路经 , 选择“新加模板”,在弹出的对话框中添如预加入的模板名称 mytem,在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。
⑹ 双击 mytem,在现实的安全策略列表中双击“账户策略”下的“密码策略”,可发现其中任一项均显示“没有定义”,双击预设置的安全策略(如“密码长度最小值”),弹出窗口。
⑺ 在“在模板中定义这个策略设置”前打勾,在框中填如密码的最小长度为 7。
⑻ 依次设定“账户策略”、“本地策略”等项目中的每项安全策略,直至完成安全模板的设置。
任务5 MBSA 检查和配置系统安全
安装MBSA,利用说明文档(见附录,巧妙使用微软MBSA系统安全检测工具),学习其使用
【实验报告】
记录系统各项安全设置前后的变化,并结合截图进行说明。
实验七:VPN【实验目的】
配置和使用
了解VPN的概念、分类,掌握使用在windows上配置VPN服务器和VPN客户端
【实验内容】
虚拟机的安装与使用,vpn服务器的配置,vpn客户端的配置,给出配置过程的截图
【实验拓扑(可选)】
在宿主操作系统(如xp)上开启虚拟机软件,在该软件中运行windows server 2000;同伴之间设置为相同网段的地址,测试防火墙和VPN配置情况。
【实验环境】
1、虚拟机相关软件:virtual PC软件和虚拟机硬盘
2、winroute软件
3、xp系统主机一台
【实验步骤】
一、虚拟机安装与配置
1、验证virtual PC是否安装在xp操作系统之上,如果没有安装,从教师机上获取相关软件并安装;
2、从教师机或ftp://222.22.94.2上获取windows 2000虚拟机硬盘
二、在wiindows 2000 server中配置VPN服务端
1、要求,server中设置2块网卡。确保xp系统和server 2000能够通信(如通过ping验证是否通信)。
2、点击“开始”->“管理工具”->“路由和远程访问”;
3、开始配置,在左边窗口中选中服务器名,单击右键,选中“配置并启用路由和远程访问”
4、在“公共设置”中,选中“虚拟专用网(VPN)服务器”,点击“下一步”
5、在“远程客户协议”的对话框中,选中“是,所有可用的协议都在列表上”,点击“下一步”
6、选中服务器所使用的Internet连接,连接方式如通过指定网卡进行连接等;点击“下一步”
7、选中“来自一个指定的IP地址范围”,点击“下一步”
8、在“地址范围指定”中选中新建,给出IP地址起始情况,如192.168.0.1~192.168.0.200。注意,IP地址范围要同服务器本身的IP地址处于同一个网段中。“确定”后,在“下一步”。
9、最后选中“不,我现在不想设置此服务器使用RADIUS”
10、赋予用户拨入此服务器的权限,点击“开始”->“管理工具”-> “计算机管理”,在“用户和计算机”添加一用户;如用户名test,密码123456
11、选中test用户,点击“右键”,选中“属性”,在该用户属性窗口中选中“拨入”项,然后单击“允许访问”。最后单击“确定”完成用户权限赋予工作。
12、到此VPN服务器端设置完备。
五、配置VPN客户端
1、在xp系统上点击“网上邻居”->“属性”。打开窗口后,双击“新建连接”,单击“下一步”。在连接类型中选中“通过Internet连接到专用网络”,点击下一步。
2、在目标地址中输入VPN服务的IP地址,单击“下一步”。允许“所有用户使用此连接”,至此VPN客户端配置完成。
3、打开“虚拟专用连接”,输入服务器允许拨入的用户和密码(如刚才创建的用户名test、密码为123456),单击连接就可以连接上VPN服务器。
【实验报告】
1、2、提交通过本次实验学生最终心得体会?
分析如果出现问题,是什么问题?是怎么解决的?是通过什么方式、来解决的?
第二篇:网络安全协议实验指导书
实验1网络安全协议
一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络安全协议;掌握各层安全协议的具体应用环境。二、实验软件:Windows XP 操作系统 三、实验步骤:
上Ineternet,利用各种搜索引擎搜索相关资料,并完成提交电子实验报告。
实验2 IPSec实验
一、实验目的:
掌握windows下IPSec的传输模式的配置,理解主机到主机的IPSec VPN的工作原理
二、实验软件:
Windows XP 操作系统2台。分别为主机xp1和主机xp2
三、实验步骤:
1.xp1和xp2均能互相ping通(关闭防火墙)。、2.在xp1下点击开始--->运行,输入“gpedit.msc”,运行组策略。
3.依次展开左侧的“本地计算机”策略—->“计算机配置”—->“windows设置”—->“安全设置”—->“IP安全策略”,点击右键,选择“创建IP安全策略”。
4.在“IP安全策略向导”中选择下一步,对其命名“IPSEC 加密”,选择下一步,在“默认相应规则验证方式”中选择第三个“此字符串用来保护密钥交换”,输入自己设定的密码。选择下一步,选择完成。
5.在“IPSec加密属性”中添加IP安全规则
6.“隧道终结点”选择“此规则不指定隧道”,点击下一步。7.“网络类型”选择“所有网络连接”,点击下一步 8.“身份验证方法”同步骤4,点击下一步。
9.“IP筛选器列表”选择“所有IP通信量”,点击下一步。10.“筛选器操作”选择添加,点击下一步。
11,“筛选器操作名称”输入“必须加密”,点击下一步。12,“筛选器操作常规选项”选择“协商安全”,点击下一步。13.选择“不和不支持Ipsec的计算机通信”,点击下一步。
14.“IP通信安全设施”选择“加密并保持完整性”,点击下一步,完成。15.在“筛选器操作中”选择“必须加密”,点击下一步。
点击下一步,完成。点击确定,并关闭对话框。
右键点击刚添加的IP安全策略,选择“指派”,使规则生效。测试此时xp1不能与xp2互相ping通。提示为“Negotiating IP Security”。Xp1的加密完成。
在xp2上重复进行上述操作,添加一条与xp1中一模一样的规则。测试此时xp1能够与xp2互相ping通。注意:xp1和xp2中规则必须一模一样,否则无法ping通。此时xp1和xp2的所有数据均加密通信。用ping命令测试两者之间的连接。如下图:显示出两台机子正在进行SA协商。
从协商到通信,这个之间的认证比较复杂,暂时还没有深入研究
20.在开始->运行中输入命令ipsecmon,弹出IPSec的安全监视器界面,显示相关的安全属性。
实验3 SSL/TLS基本协议
一、实验目的:
通过实验深入理解 SSL 的工作原理,熟练掌握 Windows 2000 Server 环境下SSL 连接的配置和使用方法。
二、实验软件:
Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。
三、实验步骤:
为 Web 服务器申请证书
1)单击“开始”,选择“程序”→“管理工具”→“Internet 服务管理器”,如图 1。在弹出的如图 2 所示的窗口左侧菜单中右键单击“默认 Web 站点”,选择“属性”。
图 图 2
2)在如图 3 所示的窗口中选择“目录安全性”菜单,单击“安全通信”中的“服务器证书”
图 3
图 4 3)在出现的欢迎使用 Web 服务器证书向导中,单击“下一步”按钮,在图 4中,选中“创建一个新证书”,单击“下一步”按钮。
4)在弹出的如图 5 所示的窗口中输入证书的名称,单击“下一步”按钮。
图 5
5)根据图 6 窗口的提示输入如图 6 所示的组织信息,单击“下一步”按钮。
图 6
6)在图 7 中输入站点的公用名称,单击“下一步”按钮。
图 7 7)图8中接着输入站点的地理信息,单击“下一步”按钮。
图 8
8)接着输入证书请求文件的文件名和存放路径,单击“下一步”按钮。在这个证书请求文件中的存放着刚才输入的用户信息和系统生成的公钥,如图 9 所示。
图 9
9)在图 10 中出现的确认信息窗口,单击“下一步”,接着单击“完成”按钮,完成服务器证书申请。
图 10
提交 Web 服务器证书
1)在服务器所在的计算机上打开 IE 浏览器,在地址栏中输入 http://根 CA的 IP/certsrv,其中的 IP 指的是建立根 CA 的服务器 IP 地址。在出现的页面中选中“申请证书”,并单击“下一步”按钮。
2)在弹出的如图 11 所示的页面中选中“高级申请”,并单击“下一步”,按钮。高级申请可以由用户导入请求证书文件。
图 11 3)在弹出的页面中选中“Base64 编码方式”,并单击“下一步”按钮,如图12 所示。
图 12 4)单击“浏览”,找到证书请求文件,并把它插入在图 13 页面中的“证书申请”框内,单击“提交”按钮。这就将我们上面刚刚完成的这个证书请求文件(即含有个人信息和公钥的文件)提交。
图 13
5)将会弹出如图 14 所示的页面,表示提交成功。服务器证书的颁发和安装 实现步骤同实验 14.1。
客户端证书的申请,颁发和安装
在另一台计算机上重复实验 14.1 中的相关步骤,完成客户端证书的申请,颁发和安装。
未配置 SSL 的普通 Web 连接的安全性
1)在配置 SSL 设置前,在网络中另外一台计算机中打开网络监测工具Sniffer,监测 Web 服务器的网络流量。2)在客户端访问服务器的证书申请网页 http://根 CA 的 IP/certsrv,第 3方计算机的 Sniffer 工具监测到了,数据包(Sniffer 的使用参考其他实验)。
可以看出,在 SSL 配置之前,Web 访问信息是明文传输的,第 3 方可以利用相关的工具窃取信息,在截获的 POST 类型的数据包中可以获得连接的地址等相关信息。
在服务器上配置 SSL 1)单击“开始”按钮,选择“程序”→“管理工具”→“Internet 服务管理器”。在弹出的窗口左侧菜单中右键单击“默认 Web 站点”,选择“属性”。
2)在弹出的窗口中选择“目录安全性”菜单项,选择面板上的“安全通信”中“查看证书”项,查看第 2 步中的安装的证书,如图 14 所示。
图 143)单击“确定”按钮后返回到“目录安全性”面板,选择“安全通信”中的“编辑”项,在弹出的如图 15 所示的窗口中选择“申请安全通道(SSL)”,并在“客户证书”栏中选择“接受客户证书”,单击“确定”按钮。
注意:“忽略客户证书”表示服务器不要求验证客户端的身份,客户端不需要证书,但客户端可以验证服务器的身份:“接收客户证书”则表示双方均可以验证对方的身份。
图 15 4)返回到“目录安全性”面板,单击“应用”按钮及“确定”按钮,完成配置。
客户端通过 SSL 与服务器建立连接
1)在网络中第 3 方的计算机上打开网络监视工具 Sniffer,监测的服务器的数据包。
2)在客户端计算机上打开 IE 浏览器,若仍在地址栏里输入 http://根 CA的 IP/certsrv,则显示如图 16 所示的界面,要求采用 HTTPS(安全的 HTTP)协议连接服务器端。
图 16 3)输入 https://根 CA 的 IP/certsrv,页面中弹出如图 17 所示的提示窗口。
图 17
4)单击“确定”按钮,探出如图 18 所示的证书选择窗口。
图 18
在窗口中选择步骤 2)中申请的证书 Web Cert,单击“确定”按钮。5)之后将正确的弹出正常的证书申请页面,完成基于 SSL 的连接。
6)查看第 3 方计算机上 Sniffer 的监测结果,其中并未出现 POST 类型的有效信息包,截获的信息均为无效的乱码。这说明 SSL 很好的实现了 Web连接的安全性。
实验4 应用OPENSSH和PUTTY进行安全SSH连接
一、实验目的:
掌握windows下IPSec的传输模式的配置,理解主机到主机的IPSec VPN的工作原理
二、实验软件:
Windows XP 操作系统2台。分别为主机xp1和主机xp2
三、实验步骤:远程连接工具putty
随着linux在服务器端应用的普及,linux系统越来越依赖于远程管理,而Putty为常用的远程管理工具。用途:查看服务器端文件、查看进程、关闭进程等
配置:双击putty后,出现下图界面。按图提示步骤进行输入:(1)输入服务器的 IP 或主机名,(2)选择好登录协议,通常选SSH。(3)选择协议的端口,选择22。(4)如果希望把这次的输入保存起来,以后就不需要再重新输入了,就在第4步输入好会话保存的名称,比如:mail-server,或者干脆就是主机的地址,点击保存就可以了。最后点下面的 Open 按钮,输入正确的用户名和口令,就可以登录服务器了。
用法:
(1)保存了会话后,直接点击中下方的text框内的快捷方式即可进入登录界面。(2)进入界面后,按提示输入用户名和密码,比如之前我们进的是192.168.2.96。其对应的用户名和密码是:oracle,oracle123(3)成功登录之后即可对服务器端进行操作。可以查看文件,开启关闭服务等等。下面截图ls显示了当前服务器端的文件列表。红色框选部分是启动汽车板块服务的快捷键。输入start_auto.sh即可启动汽车板块的进程。
个案应用:
主题:关于SSH(或putty)里查看进程的问题 起因:192.168.2.96 前后台打不开
分析:payment服务打不开,首先pj | grep payment 查看payment进程存在与否,因为服务荡掉有两种情况,一种是对应的进程直接荡掉不存在,一种是进程仍在,但服务不能正常运行。第一种直接启动,第二种先kill-9 加对应进程号先将进程kill掉,再重新开启。个案应用:
查有时用putty界面会出现中文字符乱码问题,解决方案如下: 选择配置窗口左边的Translation,在右边的 Received data assumed to be in which character set 下拉列表中选择“UTF-8”
1.远程连接工具ssh
Ssh和putty用法类似,只是界面稍微有些差异。用法:
(1)如果第一次连接服务器,则点击“quick connect”
输入服务器地址,出现如图下所示界面,点击“yes”然后输入密码即可登录。
(2)如果需要创建快捷方式,在输入密码登录成功以后,可以点击“profiles”,然后选择“add profiles”。输入一个保存的名字即可,下次登录时点击profile然后选择保存的名字即
可登录。(3)登录进入后使用同putty。
实验5 Kerberos
一、实验目的:
在这个实验中,将创建一个Kerberos服务。在完成这一实验后,将能够:(1)在服务器端安装 “Kerberos服务”。(2)配置”Kerberos服务”。
(3)利用”Kerberos服务”进行认证,获取票据。
二、实验软件:
服务器运行Windows 2000 Server,并创建活动目录。
三、实验步骤:
步骤:在Windows 2000 Server上建立Kerberos认证服务器,客户端能从Kerberos认证服务器获取票据登录服务器。活动目录的安装:
Windows 2000活动目录和其安全性服务(Kerberos)紧密结合,共同完成任务和协同管理。活动目录存储了域安全策略的信息,如域用户口令的限制策略和系统访问权限等,实施了基于对象的安全模型和访问控制机制。活动目录中的每一个对象都有一个独有的安全性描述,定义了浏览或更新对象属性所需要的访问权限。因此,在使用Windows 2000提供的安全服务前,首先应该在服务器上安装活动目录。操作步骤:
(1)在Windows 2000"控制面板"里,打开"管理工具"窗口,然后双击"配置服务器",启动"Windows 2000配置您的服务器"对话框,如图A7—1所示。
(2)在左边的选项列表中,单击"Active Directory"超级链接,并拖动右边的滚动条到底部,单击"启动"超级链接,打开"Active Directory安装向导"对话框,出现"欢迎使用Active Directory安装向导",按向导提示,单击"下一步"按钮,出现"域控制器类型"对话框。
(3)单击"新域的域控制器"单选按钮,使服务器成为新域的第一个域控制器。单击"下一步"按钮,出现"创建目录树或子域"对话框。
(4)如果用户不想让新域成为现有域的子域,单击"创建一个新的域目录树"单选按钮。单击"下一步"按钮,出现"创建或加入目录林"对话框。
(5)如果用户所创建的域为单位的第一个域,或者希望所创建的新域独立于现有的目录林,单击"创建新的域或目录树"单选按钮。单击"下一步"按钮,出现"新的域名"对话框。
(6)在"新域的DNS全名"文本框中,输入新建域的DNS全名,例如:book.com。单击"下一步"按钮,出现”Net BIOS域名"对话框。
(7)在”域Net BIOS名”文本框中,输入Net BIOS域名,或者接受显示的名称,单击"下一步"按钮,出现"数据库和日志文件位置"对话框。
(8)在”数据库位置”文本框中,输入保存数据库的位置,或者单击”浏览”按钮选择路径;在”日志位置”文本框中,输入保存日志的位置或单击”浏览”按钮选择路径; 如图A7—2所示。单击"下一步"按钮,出现"共享的系统卷"对话框。
(9)在”文件夹位置”文本框中输入Sysvol文件夹的位置,在Windows 2000中Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。或单击”浏览”按钮选择路径,如图A7—3所示。单击"下一步"按钮,出现"权限"对话框。
(10)设置用户和组对象的默认权限,选择”与Windows 2000服务器之前的版本相兼容的权限”。单击"下一步"按钮,出现"目录服务器恢复模式的管理员密码"对话框。
(11)在”密码”文本框中输入目录服务恢复模式的管理员密码,在”确认密码”文本框中重复输入密码。单击"下一步"按钮,出现"摘要"对话框。
(12)可以看到前几步的设置,如果发现错误,可以单击"上一步"按钮重新设置。
(13)单击"下一步"按钮,系统开始配置活动目录,同时打开”正在配置Active Directory”对话框,显示配置过程,经过几分钟之后配置完成。出现”完成Active Directory安装向导”对话框,单击"完成"按钮,即完成活动目录的安装,重新启动计算机,活动目录即会生效。
安全策略的设置:
安全策略的目标是制定在环境中配置和管理安全的步骤。Windows 2000组策略有助于在Active Directory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU(单位组织)结构结合使用,为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。操作步骤:(1)在” Active Directory用户和计算机”窗口,右击域名”book.com ”,如图A7-4所示。在弹出的菜单中选择”属性”命令,出现”book.com属性”对话框, 如图A7-5所示。
(2)选择”组策略”标签页(见图A7-6),系统提供了一系列工具。可以利用这些工具完成”组策略”的建立、添加、编辑、删除等操作。
(3)双击”Default Domain Policy”,出现” 组策略”对话框。在”组策略”窗口左侧”树”中,选择”Windows设置”并展开,在”安全设置”中打开”Kerberos策略”(见图A7-7),进行安全策略的设置;一般情况下,选择默认设置就能达到系统安全的要求。
Windows 2000 Professional 版客户端Professional 版客户端设置:
Windows 2000 Professional 版客户端设置配置成使用Kerberos域,在这个域里使用单独的登录标记和基于Windows 2000 Professional 的本地客户端账号。操作步骤:(1)安装 Kerberos配置实用程序,在Windows 2000 安装光盘的supportreskitnetmgmtsecurity文件夹 中找到setup.exe 注意:启动Windows 2000时,必须以管理员组的成员身份登录才能安装这些工具。Windows 2000光盘中,打开SupportTools文件夹,双击Setup.exe图标,然后按照屏幕上出现的说明进行操作。
通过以上步骤,用户在本机上安装了Windows 2000 SupportTools,它可以帮助管理网络并解决疑难问题。在用户系统盘的Program FileSupport Tools文件夹中可以看到许多实用工具,其中与Kerberos配置有关的程序为ksetup.exe和kpasswd.exe。用于配置Kerberos域,KDC和Kpasswd服务器,Ktpass.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC的Kerberos服务产生Keytab,如图A7--8所示。
(2)设置Kerberos域。因为Kerberos域不是一个Windows 2000域,所以客户端必须配置成为工作组中的一个成员。当设置Kerberos时,客户机会自动成为工作组的一个成员。
/setdomain参数的值BOOK.COM是指与本地计算机在同一域中的域控制器的DNS。如用户的域控制器的DNS名为www.xiexiebang.computerpassword的参数用于指定本地计算机的密码,如图A7-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤,无论何时对外部KDC和域配置做了改变,都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体,第二个参数用于指定本机的用户账户(见图A7-12)。定义账户映射可以将一个 Kerberos域中的主体映射到一个本地账号身份上,将本地账号映射到Kerberos。
实验6 SHTTP
一、实验目的:
掌握windows下HTTPS应用的配置过程,理解主机到服务器的安全访问工作原理
二、实验软件:
Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。
三、实验步骤: 1.准备 web 网站
下面以管理员的身份登录到 web 服务器上创建名为:wanjiafu 的网站:然后停止:并设置默认网站为启动 在 C 盘下创建文件夹 web 用于存放网页文件 名为:index.htm 2.为 web 网站创建证书申请文件 右键网站 wanjiafu 打开属性页
点击服务器证书出现:欢迎使用 web 服务器证书向导:对话框:在服务器和客户端之间建立安全的 web 通道: 单击【下一步】按钮:出现服务器证书对话框:可以新建、分配、导入、复制及移动证书:在此选择:新建证书:
【下一步】
【下一步】键入证书的名称
【下一步】键入单位部门信息
【下一步】键入 公用名
【下一步】键入 国家 省份 市县 信息
【下一步】键入 存放 地点
【下一步】查看全部配置
【下一步】完成!
打开 C 盘 看见文件 certreq.txt 打开如下图:
3.为 web 网站申请证书
以域管理员的身份登录到 web 服务器上
打开 IE 浏览器:输入:http://192.168.0.111/certsrv 单击 【申请一个证书】
单击红线选择区域
下面添加的内容为 C 盘下的 certsrv 文件
点击 【提交】见下图表示已经成功发送了申请 Id 为 2
4.在 CA 服务器上颁发证书
以域管理员的身份登录到 CA 服务器:打开:【证书颁发机构】【控制台】
展开服务器:单击【挂起的申请】可以看到 web 服务器申请的证书现在处于挂起状态
右击 【所有任务】【颁发】
打开【颁发的证书】查看已经颁发了
5.下载证书
以域管理员的身份登录到 web 服务器:
在 IE 浏览器中键入:http://192.168.0.111/certsrv 打开【证书申请】欢迎界面
单击保存的证书
单击 【DER 编码】【下载证书】
下载后如下图
6.为 web 网站安装证书
打开后创建的 wanjiafu 网站
选择:处理挂起的请求并安装证书
下面是证书的路径:刚才我把保存在桌面了
SSL 端口为默认 443
下面为证书的内容
【下一步】完成 点击【查看证书】
7.为 web 站点设置安全通信 点击【编辑】
勾选 要求安全通道(SSL)和 忽略客户端证书
下面在登录客户端验证之前:需要将默认网站停止:把 wanjiafu 启动
下面以域管理员的身份登录到 web 客户端上:
在 IE 浏览器中输入:http://192.168.0.111 访问 web 网站 发现这里已经不能用 HTTP 协议访问网站了
下面我们在 IE 浏览器中输入:https://192.168.0.111 来访问 web 网站 出现安全警报信息:这表示 web 客户端没有安装证书
打开如下图:
成功访问!到这里你们终于知道我的名字了!
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任务二:web 网站证书导出、导入和删除
为保存 web 网站证书可以将其导出:当误删除证书以后也可以将其导入:具体步骤如下: 1.导出 web 网站证书
打开 wanjiafu 属性 —— 服务器证书 —— 服务器证书向导 ——
【下一步】默认保存路径
【下一步】键入【证书密码】此密码将在【导入证书】时使用
【下一步】保存打开 C 盘查看文件
2.删除 web 网站证书
步骤同上:打开 IIS 证书向导:选择 【删除当前证书】
此时 【查看证书(V)】按钮已经变灰
3.导入 web 网站证书
步骤同上:打开 IIS 证书向导:选择 【 从.pfx 文件导入证书 】
【下一步】选择 路径(默认系统自动搜索)输入【密码】
网站端口
保存退出:此时查看如下图所见:
导入成功!
实验7-8 应用UDP或TCP控件编写简单的网络协议
一、实验目的:
通过编程熟悉协议的设计制作流程,理解协议发送接收报文的具体流程。
二、实验要求:
使用JAVA/C++/C#语言编写一个能简单通信的网络协议
第三篇:《电子商务》课程实验指导书
《电子商务》课程实验指导书
一、课程简介及基本要求
本课程以理论学习为主,要求学生掌握电子商务的基本概念、实施过程以及组成内容,对电子商务领域有一个全面、概括的理解,并能结合本专业的特点灵活把握。实验是《电子商务C》课程的重要教学环节,在实验过程根据课程的性质、任务、要求及学习的对象设置相应的实验环节。通过各种实验对学生进行实践技能和科学研究方法的训练,巩固其在课堂上所学书本知识,加深对电子商务系统及运作模式的理解,掌握利用互联网络这个平台有效开展商务活动的基本技能,并运用相关理论处理一些实际问题。同时,通过实践教学活动,拓宽学生的知识领域,锻炼学生的实践技能,培养科学严谨、求真务实的工作作风。
二、实验方式与基本要求
电子商务课程具有较强的实践性,该实验环节是理论教学的深化和补充,通过上网实践验证所学的理论知识,并能结合实际需求进行综合分析策划,以培养学生理论联系实际、活学活用的能力。
1、本课程以理论教学为主,非单独设课,所以开课后,任课教师需向学生讲清课程的性质、任务、要求、课程安排和进度、平时考核内容、期末考试办法、实验守则及实验室安全制度等。
2、该课实验内容分为验证性和综合性实验,实验前学生必须进行预习所需的理论知识,为顺利进行实验打下基础。
3、实验不分组,在规定的时间内,由学生独立完成,出现问题,教师要引导学生独立分析、解决,不得包办代替。
4、任课教师要认真上好每一堂课,实验前清点学生人数,实验中按要求做好学生实验情况及结果记录,实验后认真填写实验开出记录。
5、实验结束后,总结实验过程并写出实验报告。报告应有明确的实验结果,并分析、讨论实验中的问题,提出个人的见解。其字数不少于2000字。
三、课程实验目的、内容和步骤
实验一 电子商务模式的认识与分析
1.实验内容
(1)C2C电子商务模式认识(2)B2C电子商务模式认识(3)B2B电子商务模式认识(4)个人网上银行系统的使用分析 2.实验目的
(1)掌握B-B,B-C,C-C等电子商务系统的交易规则,交易流程,盈利模式;(2)掌握企业网站诊断的工具,并能灵活应用分析。3.实验条件和要求 计算机,开通互联网 4.实验实施步骤
(1)C2C电子商务模式认识 ①列举国内外典型的C2C电子商务 ②并选一主要平台进行用户注册,分别以不同的角色登陆,进行了解交易流程、交易规则和平台的盈利模式,③对相关平台进行比较分析,找出存在的问题,并提出有效解决对策。(2)B-C电子商务平台的认识与分析
①登录海尔、联想、戴尔等网站,了解提供的服务和业务流程,②注册用户,登陆了解其交易流程、交易规则,③了解该平台的运营状况,找出存在的问题,并提出有效解决对策。(3)B2B电子商务模式认识
①找出相关B2B网站,了解其提供的服务和业务流程,②注册用户,登陆了解其交易流程、交易规则,③了解该平台的运营状况,找出存在的问题,并提出有效解决对策。(4)个人网上银行系统的使用分析
①查找并观看网上个人银行动态演示系统,熟悉操作流程;
②对比各银行网上个人业务,并通过列表形式比较各银行网上转帐汇款、交费支付业务的特点。③申请开通一网上银行或手机银行系统,了解其功能服务,并要求完成一次转账功能,并要求将转账结果截图在报告中体现。
四、实验成绩评定办法
实验时间:课内10学时。实验结束后,学生独立完成实验报告。考核时实验出勤和实验态度占40分,实验报告占60分。其中:原理描述20分、实验流程10分、数据记录10分、解决问题的能力10分、实验结果10分。
制订人:黄建莲
审核人:李跃贞
批准人:王升
2007.10
第四篇:《会计学原理》课程实验指导书.
《会计学原理》课程实验指导书
执笔人:邓红娟
一、实验目的:
(一)实验目的:
1、了解互联网的基本操作。
2、利用浙科财务会计软件进行编制记账凭证、登记账簿和编制资产负债表、利润表的模拟操作。
3、进行手工模拟编制记账凭证、登记账簿和编制资产负债表、利润表。
4、通过手工模拟,熟悉和掌握会计核算的基本过程,具备初步的会计应用能力。
(二)实验要求:
1、每位同学按照指导教师分配的身份进行实验,根据自己所扮演的角色,上网进行相关的会计活动操作。
2、每组1人~4人根据有关实验材料进行手工模拟。
二、实验设备及软件
(一)实验设备
服务器、交换机和PC机组成NT网络。
(二)软件环境
服务器采用Microsioft Windows 2000 Server 操作系统
学生客户端采用Windows 2000系统、IE5.0以上浏览器;
浙科财务会计教学软件
手工操作需要的各种实验器材,如:记账凭证、会计账簿和报表
三、实验内容
1、编制记账凭证。
2、登记现金日记账、银行存款日记账和总账。
3、编制资产负债表和利润表。
四、实验方式
1、上机时每人一组,独立进行实验。
2、手工实验时,每组1人~4人分组实验。
五、实验步骤:
(一)电脑操作
1、进入浙科电子商务教学系统
2、登陆并注册
3、按操作步骤进行模拟操作
(二)手工操作
1、根据实验教材编制记账凭证。
2、根据已编制的记账凭证,登记现金日记账、银行存款日记账和总账。
3、根据实验教材编制资产负债表和利润表。
六、本课程的考核方式与评分办法
本课程为考试课,根据平时上课表现和实验操作、期末考试成绩计算出期末成绩,其中:
平时成绩20%,实验报告10%,期末考试成绩60%。
第五篇:《会计学原理》课程实验指导书
63491755.doc指导书
《会计学原理》课程实验指导书
实验一
1.实验目的: 掌握记账凭证的填制方法。2.实验课时:课内2课时。3.实验组织:
课内、外的内容安排:课内——讲解实验基本要求,提示难点问题,完成部分实验。
课外——在规定期限内完成全部实验。
实验有关凭证的组织:要求填制记账凭证的,所需的记账凭证由实验室另行配备。实验室应准备的凭证:收款凭证、付款凭证(每人各20张)。
转账凭证(每人各30张)。
4.实验要求:
根据有关实验资料填制记账凭证。5.实验资料:
新华工厂系增值税一般纳税人(开户银行:大营办事处,简称大办,账号:143258379,地址:永宏市大营路29号,税务登记号:***),该2000年12月发生如下经济业务:
(1)1日,财务科出纳员刘莉开出现金支票一张,金额1 000元,从银行提取现金,以备零用。
(2)1日,供销科王明峰因采购材料去南京,经供销科长王露批准,向财务科借现金500元。
(3)1日,收到本市光明工厂偿还前欠的货款4 000元。收到转账支票一张并存入银行。(4)2日,向本市光明工厂销售甲产品200件,单价400元,乙产品200件,单价300元,增值税税率17%,货款暂未收到。
(5)2日,收到大治市耀华公司偿还前欠的货款12 000元。
(6)3日,向本市红星工厂购进A材料200kg,单价90元,B材料400kg,单价75元,增值税税率17%,材料已验收入库,货款开出转账支票支付。材料按实际成本计价核算。
(7)3日,本厂加工车间生产甲产品领用A材料800kg,单价90元,B材料1300kg,单价75元。生产乙产品领用A材料500kg,B材料600kg。
(8)4日,厂部从永宏市百货商场(开户行:工行桥办,账号:3862317)购买下列办公用品:钢笔5支,单价15元,圆珠笔10支,单价6元;笔记本10本,单价4元,直接领用。
(9)4日,开出现金支票提取现金500元,向永宏市邮政局预付明年上半年报刊费500元。
莆田学院会计教研室
2009.8
63491755.doc指导书
(10)5日,用现金向大方邮政所购买邮票100张,计80元(记入厂部办公费)。(11)6日,开出信汇凭证偿还前欠鞍庆市吉安工厂(地址:柳南街89号,开户行:工行柳南办,账号472986)的货款12 000元。
(12)7日,加工车间领用A材料500kg,单价90元;B材料600kg,单价75元。(13)7日,供销科王明峰出差归来报销差旅费530元,补付现金30元。
(14)8日,向大治市耀华公司销售甲产品175件,单价400元;乙产品100件,单价300元,货已发出并已办妥委托银行收款手续,以转账支票一张垫付大治货站(开户行:工行车站办,账号9831426)铁路运杂费600元。
(15)9日,本厂加工车间领用C材料500kg,单价20元,计10 000元,用于甲产品(16)9日,用银行存款支付永宏修缮队修理厂部办公楼的修理费1 200元。(17)9日,向鞍庆市吉安工厂购进A材料2000kg,@90元;B材料1000kg,@75元,增值税税率17%,均已验收入库,并同意付款。
(18)10日,前向本市光明工厂销售产品的货款9 000元,收到转账支票一张,已送存银行。
(19)10日,用银行存款归还前欠本市红星工厂的材料款35 000元。
(20)11日,向本市光明工厂销售甲产品100件,单价400元;乙产品200件,单价300元,货已被提走,货款收到转账支票一张已送存银行。
(21)11日,收到银行转来“委托银行收款结算凭证(支款通知)”,已从银行存款中支付永宏市电信局电话、电报费720元(记入厂部办公费)。
(22)13日,开出转账支票支付计算中心计算资料费460元(记入厂部办公费)。(23)14日,收回前向本市光明工厂销售产品的货款163 800元,其中3 800元收到现金,其余收到转账支票。
(24)14日,将销货款现金3 800元存入银行。
(25)14日,向本市光明工厂销售甲产品100件,单价400元,乙产品100件,单价300元,增值税税率17%,货已发出,货款暂欠。假设该批销货符合商品销售收入的确认条件。
(26)14日,向鞍庆市吉安工厂购进A材料1 500kg,单价90元;B材料1 000kg,单价75元, 增值税税率17%,材料已验收入库,料款和税款暂欠。材料均按实际成本计价核算。
(27)15日,本厂车间领用机器润滑油20kg,单价20元。(28)15日,用银行存款归还银行短期借款60 000元。(29)16日,提取现金120 000元备发工资及零用。(30)16日,用现金发放工资120 000元。(31)17日,向银行取得短期借款80 000元。
(32)17日, 向本市红星工厂购进C材料1500kg,@20元,价款计30 000元,增值税额5 100元,材料已验收入库,贷款暂欠。
(33)18日,加工车间领用C材料1400kg,单价20元。
(34)19日,加工车间生产甲产品领用A材料1200kg,单价90元;B材料800kg,单
莆田学院会计教研室
2009.8
63491755.doc指导书
价75元。
(35)20日,向大治市耀华公司销售甲产品200件,单价400元;乙产品200件,单价300元,增值税税率17%,货已发出并办妥委托银行收款手续。
(36)20日,前向本市光明工厂销售的贷款81 900元收到,收到转账支票一张,金额80 000元,已存入银行,另收到现金1 900元。
(37)20日,将销货款现金1 900元送存银行。
(38)21日,用银行存款支付本季度银行短期借款利息3 600元。
(39)21日,向本市光明工厂销售甲产品 200件,单价400元;乙产品200件,单价300元,增值税税率17%,货已被提走,货款暂欠。
(40)22日,归还前向鞍庆市吉安工厂采购材料的货款245 700元,其中用银行存款归还245 000元,用现金归还700元。
(41)23日,加工车间领用A材料800kg,单价90元;领用B材料1000kg,单价75元。
(42)24日,行政科用银行存款购买办公用品1 200元,直接交给管理部门使用。(43)25日,归还前欠本市红星工厂的材料款35 100元,其中:用银行存款归还35 000元,用现金归还100元。
(44)26日,供销科张春宏出差借差旅费付现金800元。
(45)27日,向鞍庆市吉安工厂采购A材料500kg,单价90元;B材料500kg,单价75元,增值税税率17%,材料已验收入库,货款暂欠。
(46)27日,向本市红星工厂采购A材料500kg,单价90元;B材料600kg,单价75元,增值税税率17%,材料已验收入库,贷款暂欠。
(47)27日,向大治市耀华公司销售甲产品200件,单价400元;乙产品300件,单价300元,增值税税率17%,货已发出,收到银行汇票一张,并办妥银行收款手续。
(48)28日,前向大治市耀华公司销售产品货款163 800元收到。
(49)29日,采购员张春宏出差归来报销差旅费700元,余款100元交回现金。(50)30日,分配本月工资:生产甲产品工人工资60 000元,生产乙产品工人工资40 000元,加工车间管理人员工资10 000元,厂部管理人员10 000元。
(51)30日,按工资总额的14%计提职工福利费16 800元,其中,甲产品8 400元,乙产品5 600元,车间1 400元,厂部11 400。
(52)30日.计提固定资产折旧费20 000元,其中:车间16 000元,厂部4 000元。(53)31日,支付并分配电费1 100元,其中,产品生产:甲产品5 000元,乙产品3 000元,车间照明用电1 000元,厂部照明用电1 000元。
(54)31日,向本市红星工厂采购C材料1 000kg,单价20元,计价款20 000元,增值税额3 400元,料已验收入库,货款暂欠。
(55)31日,结转损益类帐户至“本年利润”账户。(56)计提并结转所得税。
莆田学院会计教研室
2009.8
63491755.doc指导书
实验二
1.实验目的: 练习并掌握总账、明细账、日记账的登记方法。2.实验课时:2课时(课内)。3.实验组织:
具体讲解记账要求,学生熟悉有关实物。
实验室应准备的账簿:①三栏式现金日记账(每人1页);
②三栏式银行存款日记账(每人1页); ③三栏式应收账款明细账(每人2页); ④三栏式应付账款明细账(每人2页); ⑤数量金额式原材料明细账(每人3页);
⑥原材料、应收账款、应付账款三种总账(每种每人1页)。
4.实验要求:
(1)设置并登记三栏式现金日记账和银行存款日记账。(2)设置并登记三栏式应收账款明细账和应付账款明细账。(3)设置并登记数量金额式原材料明细账。
(4)设置并登记“原材料”、“应收账款”和“应付账款”三个总账。5.实验资料:
(1)实验一所给出的业务(1)~(55)。
(2)新华工厂2000年12月1日现金日记账和银行存款日记账的余额:
现金日记账的余额为4 200元; 银行存款日记账的余额为280 000元(3)新华工厂2000年12月1日应收账款明细账的余额:
光明工厂:借方余额为135 000元; 耀华公司:借方余额为16 000元(4)新华工厂2000年12月1日应付账款明细账的余额:
红星工厂:贷方余额为35 000元; 吉安工厂:贷方余额为15 000元(5)新华工厂2000年12月1日原材料明细账的余额如下:
A材料:数量1 800千克,单价90元,金额162 000元 B材料:数量2 200千克,单价75元,金额165 000元 C材料:数量2 000千克,单价20元,金额40 000元(6)新华工厂2000年12月1日有关总分类账户的期初余额:
“原材料”总分类账户的期初余额为367 000元(借方); “应付账款”总分类账户的期初余额为50 000元(贷方);
莆田学院会计教研室
2009.8
63491755.doc指导书
“应收账款”总分类账户的期初余额为151 000元(借方)。
实验三
1.实验目的: 掌握科目汇总表的填制方法。2.实验课时:2课时 3.实验组织:
课内、外的内容安排:课内——讲解实验基本要求,完成科目汇总表的填制实验。
课外——在规定期限内完成全部实验。
实验有关凭证的组织:本实验所需的各种汇总凭证由实验室另行配备。实验室应准备的凭证:科目汇总表(每人1张)。4.实验要求:
(1)编制12月份的科目汇总表。5.实验资料:
根据实验一业务(1)~(55)所填制的记账凭证。6.实验用汇总表
实验四
1.实验目的: 练习并掌握利润表的编制方法。2.实验课时:2课时 3.实验组织:
实验有关凭证的组织:本实验所需的利润表由实验室另行配备。实验室应准备的凭证:利润表(每人1张)。本实验在教师指导下,在课内完成。4.实验要求:
编制新华工厂2000年12月份的利润表(只填制利润表的“本月数”一栏)。5.实验资料:实验一、二、三的相关凭证及账表资料。6.实验用报表:(另发)
莆田学院会计教研室
2009.8
点击咨询 