《网络安全技术》实验指导书.doc

实验一 加解密算法DES算法的实现一、 实验目的熟悉DES算法的思想，算法实现过程。二、 实验内容DES加密算法分为3个步骤：第一步，初始置换IP585012342618102605244362812462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157（初始置换表IP）第二步，16轮迭代扩展置换32bitS盒替代P盒替代Ri48bit密钥变换Ki32bitLi-1Li48bitf函数一次迭代运算过程Ri-13212345456789891011121312131415161716171819202120212223242524252627282928293031321（扩展置换表E）1672021291228171152326518311028241432273919133062211425（P盒置换）行列0123456789101112131415S10144131215118310612590710157414213110612119538241148136211151297310503512824917511314100613S201518146113497213120510131347152814120110691152014711104131581269321531381013154211671205149（S盒子）第三步，逆初始置换40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725（逆初始置换IP1）子密钥的产生：子密钥的产生过程经过PC-1，得到C0，D0Ci(28bit)Di(28bit)循环左移循环左移经过PC-256bit48bit子密钥Ki密钥K（64bit）56bit根据以上DES算法的实现过程，补充程序，源码请参见网络存储。实验二：RSA算法的实现及应用一、 实验目的了解RSA算法的原理，实现过程，以及应用。二、 实验条件Windows2000/XP操作系统，vc6.0三、 实验内容了解RSA源码实现过程，源码请参见网络存储实验三 PGP的使用第1部分 PGP的安装及密钥的生成与管理一、实验目的掌握密码理论与技术（对称密码技术和非对称密码技术）的原理；能够比较透切地PGP使用公钥密码技术的机理；掌握PGP加密软件在密钥生成及管理。二、实验内容1安装PGP的安装很简单，和平时的软件安装一样，只须按提示一步步“Next”完成即可。其中在以下的画面你可以选择要安装的选件，如果选择了“PGPnetVirtualPrivateNetworking”虚拟网，再选择相应的Plugin，如“PGPMicrosoftOutlookExpressPlugin”，就可以在OutlookExpress中直接用PGP加密邮件，这里指的是加密邮件的内容，具体操作我们在后面会详细说到。如前所述请下载文件文件：PGP8.exe。然后直接执行，即可进入PGP程序安装画面，请依屏幕指示操作机可。2操作方式1密钥的生成使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的，其中的一个我们称为公钥，意思是公共的密钥，你可以把它分发给你的朋友们，让他们用这个密钥来加密文件，另一个我们称为私钥，这个密钥由你保存，你是用这个密钥来解开加密文件的。打开“开始”中“PGP”的“PGPKEYS”，可看到以下的画面。点击图标或者用菜单keynewkey开始生成密钥。PGP有一个很好的密钥生成向导，只要跟着它一步一步做下去就可以生成密钥，ok,letsgo！操作时请注意：（1）Fullname是个人公钥字段格式。（2）Email地址请填写正确。注：PGP5.0以后建议编码方式改用Diffie-Hellman/DSS算法，安全性比较高。而且在PGP6.0以后将不支持RSA编码了。请大家按PGP的建议吧!请对自己的私钥设定一组密码，在激活私钥时都需加以核对，以增加安全性，但一直输入密码也很讨厌，因此PGP有很人性化的考虑，他会自动判断需不需要核对密码。图3-1 设定PGP Public Key Information图3-2设定PGP Private Key密码注：在产生公钥/私钥的过程中，请记得要不断的移动鼠标，制造随机数，才能完成喔! 图3-2 产生PGP Private及Public Key在图3-2中生成完成后，单击“下一步”按钮，出现入图3-3所示的对话框，随即Private及Public Key生成完成。图3-3 图3-4 完成自己的PGPKey制作2操作方式2Public Key传送到预设的KeyServer个人的PGP私钥及密码在PGP机制中是最重要的部份，一定要妥善保管，万一遗失或担心已经泄露，可将公钥也一并作废(Revoke)，重新制作一组公钥及私钥。个人的PGP公錀最好透过安全的管道传送给自己的亲朋好友，让对方用来加密文件寄给自己。除了您主动交付公钥给对方之外，PGP机制中还有PGP Key Server的功能，让使用者公布个人公钥并开放给任何人下载。操作步骤见“PGP Desktop for Windows Users Guide”的P27。3操作方式3密钥认证特性的一些设置双击“PGPKeys”中的公钥项，出现如图3-5所示的对话框，即可以进行。图3-5 在图3-5中单击“Show Signing Key Properties”按钮，出现如图3-6所示的对话框，然后进行相应的设置（比如可以将密钥的Expire（期限）、Revoke（作废）等）。图3-64操作方式4输出文字文件的PublicKey汇出公钥及私钥的步骤，非常简单，在PGP keys的Keys选单内有Export功能，会帮你将公钥或私钥产生ASCII格式的文件，这个ASCII格式的文件就是您的公钥了，可用来公布在Key Server上或和你的朋友互相交换。图3-6 输出文字文件格式的PGP Public Key除了产生公钥的文字文件之外，若您勾选了ExportPrivateKey，将同时产生私钥的文字文件，扩展名习惯上都是*.asc，当然私钥的文字文件请小心保管，可别到处流传喔!图3-7 设定PGP Public Key文字文件文件名5操作方式5设定PGPKeyServer该功能能直接传送公钥、搜寻、更新公钥，和邮件软件的配合更是天衣无缝，作为用户可以在PGP内设定KeyServer。建议各位在还未习惯PGP各种操作前，先别将自己的公钥传送其它的KeyServer，免得将来要异动时很麻烦(所有的KeyServer都不能让使用者自行删除公钥!)。请选择Edit/Options图3-8 进入PGP的其它设定部份请选择Servers类别，并且将右边Listed的“”去掉。图3-9 设定PGP Key Server图3-10 建立一组新的PGP Key Server6PGP的认证方式PGP的基本规则是:要利用别人的公钥送加密文件给对方之前，必需先将对方的公钥加入到自己的公钥环(PublicKeyRing)。您可以透过各种妥善管道取得对方的公钥，例如直接由对方交付、或由网络传送等等，最重要的您一定要确定这把公钥真的是对方所有的!否则你们之间的通讯安全就无法保证了。因为PGP是以相互签名方式来验证公钥的真伪，我们要先接受第一个朋友的公钥，然后透过第一个朋友的签名验证后，才能接受其它的公钥。因此，千万别轻易为别人签名，除非确实是自己可信赖的人，免得因为PGP层层签名的制度而产生安全漏洞。总之，PGP也等于自己在网络世界的信用指数，可别随便拿自己的名誉开玩笑喔!7搜寻/加入别人的PublicKey在中研院的KeyServer(.tw)上可搜寻到所有的公钥，但是不能直接下载，必需利用Copy/Paste方式将对方的公钥存成文字文件，再加入到自己的公钥环之中。这版的PGP提供更简易的操作，直接在PGP中搜寻KeyServer上的公钥，找到后再决定是否加入自己的公钥环中，程序大致如下，是不是非常方便呢?选择Server/Search图3-11 由Key Server搜寻别人的Public Key请输入搜寻条件，例如以bernd，想列出其所有的公钥。图3-12 设定搜寻字符串条件PGP将会自动到预设的KeyServer查询符合的公钥（图略）。图3-13加入别人公钥到公钥环的步骤：（1）选择想加入的公钥。（2）按鼠标右键选择Import to Local Keyring图3-14 将别人的PublicKey加入自己的KeyRing加入了其它公钥的公钥环状况图3-15 完成后KeyRing内所有的PublicKey第2部分 PGP加密与数字签名的使用一、实验目的1掌握密码理论与技术（对称密码技术和非对称密码技术）的加密与数字签名的原理。2掌握PGP加密软件加密及数字签名的两种操作方式。二、实验内容PGP加密与数字签名一般有两种操作方式：其一对文件内容利用剪贴簿的【复制/贴上】功能达成，其二对文件则以鼠标右键激活PGP功能。分别详述如下：1剪贴簿（复制/贴上）当安装了PGP之后，PGP就会自动激活。并且在Windows下方状态列的右边会出现一个小符号如，在这个符号上按左键会出现PGP菜单，你可以选择EncryptClipboard(将剪贴簿内资料加密)、SignClipboard(将剪贴簿内资料签名)、Encrypt&SignClipboard(将剪贴簿内资料加密并签名)、Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)等功能，这种透过剪贴簿来操作PGP功能的操作方式，适用于电子邮件，例如:NetscapeMail(注)。信件加密/签名程序（1）当信件内容输入完成后，在Edit功能内选Select All，或按Ctrl+A。选择全部信件内容。（2）在Edit功能内选Copy，或按Ctrl+C。将信件内容复制到剪贴簿。图4-1 选择信件内容后复制到剪贴簿（3）在符号上按左键，点出PGP菜单。（4）选择Encrypt Clipboard只做加密，或选择Encrypt&SignClipboard加密又签名名。图4-2 选择PGPtray的Encrypt&SignClipboard（5）选择收信人的公钥。图4-3 选择收信人的公钥在PGPforOutlook中有另一项很方便的功能,若对方的公钥尚未加入到你的钥匙环中，PGP会自动到指定的KeyServer查询并下载。（6）若选择签名，则还要输入私钥密码以执行签名功能。图4-4 输入私钥密码执行签名（7）PGP完成动作后，会将加密/签名的结果自动更新到剪贴簿。（8）回到信件编辑状态时，只需在Edit功能内选Paste，或按Ctrl+V，就会变成信件加密/签名后的密码型式了。图4-5 将加密后密文贴在信件之中（9）传送信件给对方。收信人解密/验证程序在此以NetscapeMail利用PGP读取加密电子化薪资单为例。（1）Edit功能内选SelectAll，或按Ctrl+A。选择全部信件内容。（）在Edit功能内选Copy，或按Ctrl+C。将信件内容复制到剪贴簿。图4-6 将信件内容复制到剪贴簿（3）选择Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)。图4-7 选择PGPtray的Decrypt/VerifyClipboard功能（4）输入个人私钥的密码，进行解密；输入发送方的公钥进行签名验证。图4-8 输入私钥密码（5）得到解密结果。图4-9 解密结果（TextViewer窗口内容显示明文）（6）观看解密后的信件内容。PGP会自动出现TextViewer窗口（如上图所示），这里遇到中文有点小麻烦，因为窗口字型不是细明体，每一行均无法对齐，请按下功能。关闭TextViewer窗口。请开启文书软件(例如:笔记本Notepad)，再执行贴上功能，即可看到整齐的内容（如下图所示）。图4-10 粘贴到记事本显示明文2文件的加密/签名(按右键)这种方式适合对文件做加密/签名，而且操作程序更简单，只需在该文件上按鼠标右键，然后点PGP会出现:Encrypt(加密)、Sign(签名)、Encryp&Sign(加密并签名)、Wipe(清除原始文件)等功能，请选择执行即可（如图4-11）。假如加密签名的文件是：test.txt。图4-11 按鼠标右键执行PGP功能选择加密用的公钥/签名用的私钥，如图4-12所示。图4-12在图4-13中输入加密用的公钥。图4-13在图4-14中的对话框中输入签名用的私钥。图4-14随后就将加密并签名的的文件保存为：test.txt.asc注意：新产生的加密/签名档，PGP会自动加上不同的扩展名作为区别。加密后的新档为*.*.pgp、签名后的验证档为*.*.sig、加密又签名后的新档为*.*.asc。3文件的解密/验证签名(按右键)解密/验证签名的方法也是与前类似，只要在经过加密/签名的文件上，按鼠标右键，然后择选PGP内的Decrypt/Verify功能，再输入自己的私钥密码即可还原。下面仅仅以加密的文件为例进行讲解。图4-15在图4-16中输入签名验证用的公钥/解密用的私钥，随后单击“OK”按钮，并出现如图4-17所示的保存解密后文件的对话框。图4-16图4-17请留意PGPlog窗口，验证结果以符号及消息显示（如图4-18）。图4-18 实验四：简易防火墙的配置一、实验目的在Windows 2K中创建简易防火墙配置（IP筛选器）。完成实验后，将能够在本机实现对IP站点、端口、DNS服务屏蔽，实现防火墙功能。二、实验条件熟悉防火墙的概念。具备下述环境：运行Windows 2K Server的计算机。三、实验内容1运行IP筛选器主要任务：在Windows 2K Server上运行IP筛选器。操作步骤（1）在Windows 2K Server里运行“mmc”命令，在出现的“控制台1” 窗口里，选择菜单上的“控制台1”里的“添加/删除命令”，出现“添加/删除”对话框。（2）在“添加/删除管理单元”对话框中（如图2-1所示），选择“独立”标签页，在“管理单元添加到”下拉列表框中，选择“控制根节点”选项，单击“添加”按钮，出现“添加独立管理单元”对话框。图2-1 “添加/删除管理单元”对话框 （3）在“添加独立管理单元”对话框中（如图2-2所示），在“可用独立管理单元”列表框中，选择“IP安全策略管理”选项，单击“添加”按钮，出现“选择计算机”对话框，单击“本地计算机”单选按钮，单击“完成”按钮。图2-2 “添加独立管理单元”对话框（4） 返回“添加独立管理单元”对话框中，单击“关闭”按钮，返回到“添加/删除管理单元”对话框中；单击“确定”按钮，返回“控制台1”窗口（如图2-3），完成“IP安全策略，在本地计算机”的设置。图2-3 “控制台1”窗口2添加IP筛选器表主要任务：在本机中添加一个能指定IP（）进行筛选的IP筛选器。操作步骤：（1）在“控制台1”窗口的“控制台根节点”窗口中，展开刚建立的“IP安全策略，在本地计算机”选项，右边框有3个默认的安全规则；选中左边的“IP安全策略，在本地计算机”选项并右击，从打开的菜单中选择“管理IP筛选器表和筛选器操作”命令（如图2-4），出现“管理IP筛选器表和筛选器操作”对话框。图2-4 选择“管理IP筛选器表和筛选器操作”命令（2）在出现的选择“管理IP筛选器表和筛选器操作”对话框中（如图2-5），单击“添加”按钮，出现“IP筛选器列表”对话框。图2-5 选择“管理IP筛选器表和筛选器操作”对话框（3）在打开的“IP筛选器列表”对话框中（如图2-6），输入此IP筛选器的名称和描述，例如：“名称”为“屏蔽特定IP”，“描述”为“屏蔽”，这里选择“使用添加向导”复选框，单击“编辑”按钮，出现“筛选器属性”对话框。可对“屏蔽特定IP”进行设置。图2-6 选择“IP筛选器列表”对话框（4）在“筛选器属性”对话框中（如图2-7），选择“寻址”标签页，在“源地址”和“目标地址”下拉列表框中，分别选择“我的IP地址”和“一个特定的IP”选项。当选择“一个特定的IP”选项时，会出现“IP地址”文本框，可输入要屏蔽的IP地址，如“”。选择IP地址设定的方法有5种，比较容易理解。默认情况下，“IP筛选器”的作用是单方面的，比如源地址为A，目标地址为B，则防火墙只对AB的流量起作用，对BA的流量不计。选中“镜像”复选框，则防火墙对AB的双向流量都进行处理（相当于一次添加了两条规则）。图2-7 “筛选器属性”对话框（5）在“筛选器属性”对话框的“协议”标签页中（如图2-8），选择协议类型及设置IP协议端口。图2-8 “协议”标签页（6）在“筛选器属性”对话框的“描述”标签页的“描述”文本框中，输入描述文字，作为筛选器的详细描述（如图2-9）。单击“确定”按钮，返回到“IP筛选器列表”窗口（如图2-10），“屏蔽特定IP”被填入了筛选器列表。图2-9 “描述”标签页图2-10 “屏蔽特定IP”被填入了筛选器列表3添加IP筛选器动作主要任务：在第“2”步的操作中，将一个虚拟的C类网段 加入到了“待屏蔽IP列表”，但它只是一个列表，没有防火墙功能，只有再加入动作后，才能够发挥作用。本任务是建立一个“阻止”动作，通过动作与刚才的列表结合，就可以屏蔽特定的IP地址。操作步骤：（1）在“控制台1”窗口的“控制台根节点”窗口中，选中左边的“IP安全策略，在本地计算机”选项并右击，选择“管理IP筛选器表和筛选器操作”命令，出现“管理IP筛选器表和筛选器操作”对话框。（2）在“管理IP筛选器表和筛选器操作”对话框的“管理IP筛选器列表”标签页中选择“屏蔽特定IP”选项（如图2-11）；然后选择“管理筛选器操作”标签页（如图2-11），单击“添加”按钮，出现“新筛选器操作属性”对话框。图2-11 选择“屏蔽特定IP”选项图2-12 “管理筛选器操作”标签页（3）在“IP筛选器列表”对话框中（见图2-6），输入此IP筛选器的名称和描述，例如“名称”为“屏蔽特定IP”，“描述”为“屏蔽特定IP”，并选择使用“添加向导”复选框，单击“添加”按钮，出现“筛选器属性”对话框，即可对“屏蔽特定IP”进行设置。（4）在“筛选器操作属性”对话框的“安全措施”标签页，选择“阻止”单选按钮（如图2-13），选择“常规”标签页，在“名称”文本框中输入“阻止”（如图2-14）；单击“确定”按钮，此时“阻止”加入到操作列表中（如图2-15）。图2-13 “安全措施”标签页图2-14 “常规”标签页图2-15 筛选器设置完成4创建IP安全策略主要任务：筛选器表和筛选器动作已建立完毕，在本任务中将它们结合起来发挥防火墙的作用。操作步骤：（1）返回“控制台1”窗口的“控制台根节点”窗口，选择“IP安全策略，在本地计算机”并右击，选择“创建IP安全策略”命令（如图2-16），出现“IP安全策略向导1”对话框。图2-16 选择“创建IP安全策略”命令（2）在“IP安全策略向导”对话框的“名称”文本框中输入“我的安全策略”，可以在“描述”文本框中输入对安全策略设置的描述，单击“下一步”按钮，出现“IP安全策略向导”对话框。（3）在“IP安全策略向导”对话框中，取消选择“激活默认响应规则”复选框，单击“下一步”按钮，出现“IP安全策略向导”对话框。（4）在“IP安全策略向导”对话框中，选择“编辑属性”复选框，单击“完成”按钮，出现“我的安全策略属性”对话框。（5）在“我的安全策略属性”对话框的“规则”标签页中（见图2-17），选择“新IP筛选器”单选按钮，出现“新规则属性”对话框，修改此策略的属性，用筛选器表和筛选器动作建立规则。图2-17 “我的安全策略属性”对话框（6）在“新规则属性”对话框的“IP筛选器列表”标签页中，选择“新IP筛选器”单选按钮（如图2-18）；在“筛选器操作”标签页中，选择“阻止”单选按钮（如图2-19）；单击“确定”按钮，返回“我的安全策略属性”对话框，可看到新规则已建立（如图2-20）。至此，屏蔽特定IP或网址的操作已完成。图2-18 “IP筛选器列表”标签页图2-19 “筛选器操作”标签页5用IP筛选器屏蔽特定端口主要任务：建立一个名为“屏蔽139端口”的IP筛选器规则，关闭本机的“139端口”，然后结合上述任务添加的“阻止”动作进行设置，同样也可以关闭其他端口。操作步骤：（1）在“IP筛选器列表”对话框的“名称”文本框中，输入“屏蔽139端口”，如图2-21所示，单击“添加”按钮，出现“筛选器属性”对话框。图2-21 “IP筛选器列表”对话框（2）在“筛选器属性”对话框的“寻址”标签页中的“源地址”下拉式列表框中，选择“任何IP地址”，在“目的地址”下拉式列表框中，选择“我的IP地址”，取消“镜像”复选框（如图2-22）。在“协议”标签页中，参考图2-23进行设置；在“描述”标签页中，参与图2-24进行设置。图2-22 “寻址”标签页图2-23 “协议”标签页图2-24 “描述”标签页（3）单击“确定”按钮，返回到“管理IP筛选器表和筛选器操作”对话框，可以看到“屏蔽139端口”已经建立（如图2-25）。图2-25 “管理IP筛选器表和筛选器操作”对话框6应用IP安全策略主要任务：应用IP安全策略操作步骤：（1）在“控制台根节点“窗口中，在刚建立的”我的安全策略“规则”上右击，选择“指派”命令（见图2-26）。图2-26 选择“指派”命令（2）在“IP安全策略，在本地计算机”选项中右击，再选择“所有任务”|“导出策略”命令，备份所设置的安全策略（如图2-27）。同样的，可以使用“导入策略”恢复。图2-27 选择“所有任务”|“导出策略”命令实验五 Windows操作系统安全策略配置一、实验目的l 理解Windows操作系统的安全策略。l 掌握Windows操作系统的安全策略的配置。二、实验要求l 认真阅读和掌握本实验相关的知识点。l 上机进行实际的安全策略配置操作。l 得到实验结果，并加以分析生成实验报告。注：因为实验所选取的软件版本不同，学生要有举一反三的能力，通过对该软件的使用能掌握运行其他版本或类似软件的方法。三、 实验步骤3.1 实验环境要求实验主机配置：windows xp sp2。3.2 实验步骤3.2.1设置账号安全策略 从账户安全策略和密码安全策略分别进行设置。（1）开启帐户策略在开始-运行中输入gpedit.msc，回车，出现组策略窗口。图1 组策略选择计算机配置windows设置，在右侧的窗口中出现账户策略，本地策略、公钥策略和软件限制策略等。图2安全设置选择账户策略账户锁定策略，如下图3。图3 账户策略可设置为如下的策略，开启帐户策略可以有效的防止字典式攻击。l 复位帐户锁定计数器30分钟在此后复位帐户锁定计数器此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。l 帐户锁定时间30分钟帐户锁定时间此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。l 帐户锁定阈值5次帐户锁定阈值此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。默认值: 0。图4 设置账户策略(2)开启密码策略密码对系统安全非常重要，本地安全设置中的密码策略在默认的情况下都没有开启。参见图3，选择密码策略。图5 密码策略可进行如下的密码策略设置：l 密码复杂性要求启用密码必须符合复杂性要求。此安全设置确定密码是否必须符合复杂性要求。如果启用此策略，密码必须符合下列最低要求： 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长包含以下四类字符中的三类字符： 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%)在更改或创建密码时执行复杂性要求。默认值:在域控制器上启用。在独立服务器上禁用。注意: 默认情况下，成员计算机沿用各自域控制器的配置。策略启用后，尝试新建一个用户test，密码设置为123456，会出现如下的出错提示。l 密码长度最小值6位最短密码长度。此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为 0 以确定不需要密码。默认值:在域控制器上为 7。在独立服务器上为 0。注意: 默认情况下，成员计算机沿用各自域控制器的配置。l 密码最长存留期15天密码最长使用期限此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。注意: 安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于您的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。默认值: 42。l 密码最短使用期限。此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0，用户将不必选择新密码。因此，默认情况下将“强制密码历史”设置为 1。默认值: 在域控制器上为 1。 在独立服务器上设置为 0。注意: 默认情况下，成员计算机沿用各自域控制器的配置。l 强制密码历史5个此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。默认值: 在域控制器上为 24。 在独立服务器上为 0。注意: 默认情况下，成员计算机沿用各自域控制器的配置。若要维护密码历史的有效性，还要同时启用密码最短使用期限安全策略设置，不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息，请参阅“密码最短使用期限”。l 用可还原的加密来储存密码使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。默认值: 禁用。图6 设置密码策略3.2.2网络安全策略 （1）关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。具体方法为：打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。 1）关闭自己的139端口，ipc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾重启后就关闭了139端口。图7 关闭139端口2）445端口的关闭修改注册表，添加一个键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。3）3389的关闭我的电脑上点右键选属性远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。图8 关闭3389端口设置完成后，可以运行CMD输入netstat na，查看这些端口是否已经关闭。（2）删除本地共享资源1).查看本地共享资源运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。图9 本地共享资源2).删除共享在图9中显示C、D、E、ADMIN是默认共享，可以通过如下命令进行删除默认共享。 net share admin$ /delete图10 删除默认共享ADMIN$ net share c$ /delete net share d$ /delete（如果有e，f，可以继续删除）3).删除ipc$空连接在运行内输入regedit，在注册表中找到 HKEYLOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。(3) 防止rpc漏洞打开管理工具服务找到RPC(Remote Procedure Call (RPC) Locator)服务将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。XP SP2和2000 pro sp4，均不存在该漏洞。图10 防止RPC漏洞3.2.3 应用安全策略设置（1）禁用服务打开控制面板，进入管理工具服务，如下图11 图11 服务关闭以下服务：.Alerter通知选定的用户和计算机管理警报.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享.Distributed Link Tracking Server适用局域网分布式链接.Indexing Service提供本地或远程计算机上文件的索引内容和属性，泄露信息.Messenger警报.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换.Network DDE DSDM管理动态数据交换 (DDE) 网络共享.Remote Desktop Help Session Manager管理并控制远程协助.Remote Registry使远程计算机用户修改本地注册表.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息.Server支持此计算机通过网络的文件、打印、和命名管道共享.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络.Telnet允许远程用户登录到此计算机并运行程序.Terminal Services允许用户以交互方式连接到远程计算机.Window s Image Acquisition (WIA)照相服务，应用与数码摄象机如果发现机器开启了一些很奇怪的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。（2）本地策略打开管理工具找到本地安全设置本地策略审核策略，如图12。图12 审核策略.审核策略更改 成功失败此安全设置确定是否审核用户权限分配策略、审核策略或信任策略的每一个更改事件。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在成功更改用户权限分配策略、审核策略或信任策略时生成审核项。失败审核在更改用户权限分配策略、审核策略或信任策略失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。默认值:在域控制器上为“成功”。在成员服务器上为“无审核”。.审核登陆事件 成功失败此安全设置确定是否审核用户登录或注销计算机的每个实例。对于域帐户活动，在域控制器上生成帐户登录事件；对于本地帐户活动，在本地计算机上生成帐户登录事件。如果同时启用帐户登录和登录审核策略类别，使用域帐户的登录在工作站或服务器上生成登录或注销事件，并且在域控制器上生成帐户登录事件。此外，在成员服务器或工作站上使用域帐户的交互式登录将在域控制器上生成登录事件，与此同时在用户登录时还检索登录脚本和策略。有关帐户登录事件的详细信息，请参阅“审核帐户登录事件”。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核事件类型。成功审核在登录尝试成功时生成审核项。失败审核在登录尝试失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中，选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。默认值: 成功。.审核对象访问 失败此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在用户成功访问指定了相应 SACL 的对象时生成审核项。失败审核在用户尝试访问指定了 SACL 的对象失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。请注意，使用文件系统对象“属性”对话框中的“安全”选项卡，可以在该对象上设置 SACL。默认值: 无审核。.审核跟踪过程 无审核此安全设置确定是否审核事件的详细跟踪信息，例如程序激活、进程退出、句柄复制以及间接对象访问。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在被跟踪的进程成功时生成审核项。失败审核在被跟踪的进程失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。默认值: 无审核.审核目录服务访问 失败此安全设置确定是否审核用户访问指定了它自己的系统访问