电子商务安全

PAGE

PAGE

16

电子商务安全

上机实验指导书

实验名称:电子商务安全实验_____

实验班级:电商网011－014班_____

指导老师:高新亚_____

武汉理工大学经济学院电子商务系

2004年8月30日

实验一:Windows安全配置调整(上)

1、实验目的：了解windows的安全配置

2、实验内容（根据实验目的将实验要求细化）：

使用Windows的人非常多，而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多，安全隐患也很多，不过经过适当的设置和调整，你还是可以用上相对安全的Windows的。

针对一些常见的安全问题给出一些解决方法，其中大部分的操作都是针对Windows2000/XP的，不保证在Windows98/Me上可行。

准备活动：

给系统安装补丁程序的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE，OE漏洞的补丁（即使你并不打算使用它们）。微软会经常的发布一些已知漏洞的修补程序，这些东西一般都可以通过WindowsUpdate来安装。需要做的只是经常性的访问WindowsUpdate网站。或者直接点击开始菜单中WindowsUpdate的快捷方式。而WindowsXP和最新的Windows2000更加进步了，可以自动检查更新，在后台下载，完成后通知你下载完成并询问是否开始安装。对于Windows2000/XP的用户，微软还提供了一个检查安全性的实用工具：基准安全分析器（MicrosoftBaselineSecurityAnalyzer），这个程序可以自动对你的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。

在你安装了所有的补丁程序后，下面开始调整设置。

1．重命名和禁用默认的帐户

安装好Windows后，系统会自动建立两个账户：Administrator和Guest，其中Administrator拥有最高的权限，Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题，他将轻易的得知你的超级用户的名称，剩下的就是寻找密码了。因此，安全的做法是把Administrator账户的名称改掉，然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是：

在运行中输入secpol.msc然后回车，打开“LocalSecuritySettings（本地安全设置）”对话框，依次展开LocalPolicies（本地策略）－SecurityOptions（安全选项），在右侧窗口有一个“Accounts:Renameadministrator(guest)account（账户：重命名Administrator/Guest账户）”的策略，双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户，以迷惑闯入者。

2．安全选项的设置

同样是在LocalSecuritySettings中，展开LocalPolicies－SecurityOptions，这里还有很多其它的设置，经过合理的配置，可以使你的系统更加安全。

一下列举的选项最好全部禁止：

Interactivelogon:DonotrequireCTRL+ALT+DEL，交互式登录：不需要按Ctrl＋Alt＋Del。

Networkaccess:AllowanonymousSID/nametranslation，网络访问：允许匿名SID/名称转换。

Networkaccess:LetEveryonepermissionsapplytoanonymoususers，网络访问：让Everyone权限应用到匿名用户。

Recoveryconsole:Allowautomaticadministrativelogon，故障恢复控制台：允许自动系统管理级登录。

而以下的选项最好启用：

Devices:RestrictCD-ROMaccesstolocallylogged-onuseronly,设备：只有本地登录的用户才能访问CD－ROM。

Devices:Restrictfloppyaccesstolocallylogged-onuseronly，设备：只有本地登录的用户才能访问软驱。

Interactivelogon:Donotdisplaylastusername，交互式登录：不显示上一次使用的用户名。

Networkaccess:DonotallowanonymousenumerationofSAMaccounts，网络访问：不允许匿名SAM帐户的匿名枚举。

Networkaccess:DonotallowanonymousenumerationofSAMaccounts&shares，网络访问：不允许SAM账户和共享的匿名枚举。

Networksecurity:DonotstoreLANManagerhashvalueonnextpasswordchange，网络安全：不要在下次更改密码时存储LANManager的Hash值。

Systemobjects:Strengthendefaultpermissionsofinternalsystemobjects(e.g.,SymbolicLinks)，系统对象：增强内部系统对象的默认权限（例如SymbolicLinks）。

3．可靠的密码

尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置LocalSecuritySettings。展开到AccountPolicies－PasswordPolicy，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。

Enforcepasswordhistory(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximumpasswordage这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

Maximumpasswordage（密码最长存留期）。这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

Minimumpasswordage（密码最短存留期）。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforcepasswordhistory结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

Minimumpasswordlength（密码长度最小值）。这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。

Passwordmustmeetcomplexityrequirements（密码必须符合复杂性要求）。如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：

密码不能包含全部或者部分的用户名。

最少包括6个字符。

并且在字符的使用上还要遵循以下的规则，密码必须是：

英文字母，A－Z，大小写敏感。

基本的10个数字，0－9。

不能包含特殊字符，例如!,$,#,%等等。

如果启用了这个策略，相信你的密码就会比较安全了。

Storepasswordusingreversibleencryptionforallusersinthedomain（为域中的所有用户使用可还原的加密来存储密码）。很明显，这个策略最好不要启用。

3、预习要求及参考书目（参考书目最好有章节要求）：

《电子商务安全与保密》，祁明主编，高等教育出版社，2001年7月第1版

第1，2，3章。

4、实验步骤（具体操作流程）：

上机，打开windows2000或windowsXP，打开管理工具或控制面板，进行设置。

5、实验报告要求：

写下实验过程及结果，适当总结实验经验。

实验二:Windows安全配置调整(下)

1、实验目的：了解和掌握windows和IE的安全设置

2、实验内容（根据实验目的将实验要求细化）：

（接上一个实验内容）

4．安全使用InternetExplorer

InternetExplorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多。以下的叙述全部以IE6.0版为准，如果你使用了较低的版本，有些细节方面可能会不一样。

打开InternetExplorer，依次点击工具－Internet选项，然后打开安全选项卡。

在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的CustomLevel（自定义级别）。会出现一个窗口，这里显示了所有的IE安全设置。

DownloadsignedActiveXcontrols（下载已签名的ActiveX控件）。经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如WindowsUpdate，还有播放Flash的插件等。

DownloadunsignedActiveXcontrols(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

Initialize&scriptActiveXcontrolsnotmarkedassafe（对没有标记为安全的ActiveX控件进行初始化和脚本运行）。跟前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问（建议的设置）或者允许（不建议）来禁止那些为经签名的控件运行。

RunActiveXcontrols&plug-ins（运行ActiveX控件和插件）。假设你已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。

ScriptActiveXcontrolsmarkedsafeforscripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。

Activescripting（活动脚本）。现在各种的脚本程序非常流行，通过脚本程序可以建立很多实用的网页，例如WindowsUpdate网页，就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序，一些网页将不能正常浏览。这里建议你设置为禁用，至于少数重要的但是不能正常浏览的网页，我们将在后面看到解决办法。

Allowpasteoperationsviascript（允许通过脚本进行粘贴操作）。这个选项允许网页通过脚本把文件复制进你的剪贴板，为了安全考虑最好禁用。

ScriptingofJavaapplets（JAVA小程序脚本）。JavaScript是一种公开的，多平台，面向对象的脚本语言。很多网页中都使用了JAVA脚本，但是安全起见最好禁用它。

如果以上的设置会影响到少数你必须要访问的站点（例如WindowsUpdate网站），但是安全起见你又不想把Internet区域的安全级别设置的太低，那么你可以把一些你信任的站点添加到Trustedsites（信任站点）中去。方法是：

在Internet选项的安全选项卡下，点击Trustedsites（信任站点），然后点击Sites（站点）按钮，会出现图四的窗口，在新窗口中输入我们希望添加的网络地址（例如）然后点击右侧的Add（添加），这样就可以了。

现在，打开Internet选项中的Content（内容）选项卡，点击AutoComplete（自动完成），在这里也有一些东西需要调整。

对于所列出来的每一项，自动完成功能都会保存特定的内容，其中Webaddress（Web地址）会保存你在IE地址栏中输入过的内容；Forms（表单）会保存你在网页中填写的资料，例如论坛上的发言（除用户名和密码），搜索引擎中使用过的关键字；Usernamesandpasswordsonforms（表单上的用户名和密码）会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间，但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆，你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整，决定哪些内容可以自动保存，哪些不行。

现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意：

UsePassiveFTP(forfirewall&DSLmodemcompatibility)（使用被动FTP，为防火墙和DSL调制解调器兼容性），这个设置将会允许在使用IE浏览FTP服务器时使用被动模式,这种模式更加安全，因为服务器方无法获得你的IP地址，如果某些FTP服务器你不能正常访问，就可以试试启用或者禁用这个设置。

Checkforpublisher’scertificaterevocation（检查发行商的证书吊销），如果选择了这个选项，当你访问某些需要认证的站点时，IE会首先检查给站点提供的证书是否依然有效。一般情况下，建议你启用这个设置。

Checkforservercertificaterevocation（检查服务器的证书吊销），这个选项将会使IE检查站点服务器的证书是否仍然有效，一般也应该启用这个设置。

Checkforsignaturesondownloadedprograms（检查下载的程序的签名），如果启用了这个设置，在你下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。

Donotsaveencryptedpagetodisk（不将加密的页面存入硬盘），启用了这个选项后，对于加密页面(主要是URL以https打头的)将不会保存到Internet临时文件夹中。如果多人共用同一台电脑，这个选项是很有必要的，这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了（例如某些电子商务网站的信用卡付费页面）。

接下来的三个设置：UseSSL2.0,UseSSL3.0&UseTLS1.0（使用SSL2.0,使用SSL3.0和使用TLS1.0）都跟在Internet上通过协议加密数据有关。例如一些网站的身分认证和重要数据的传输，在这过程中都会使用到SSL加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误，那么可以禁用除SSL2.0之外的其它两个协议，因为不同版本之间可能会有冲突，而SSL2.0是被采用的最广泛的，一般的加密站点都会支持。

Warnaboutinvalidsitecertificates（对无效站点证书发出警告），启用这个设置之后，在遇到无效的站点证书时IE就会发出警告，提醒你注意。一般情况下可以启用这个。

Warnaboutchangingbetweensecure¬securemode（在安全和非安全模式之间转换时发出警告），当启用这个设置之后，如果你要从一个安全的网页（可能是经过SSL加密的）进入到一个不安全的网页的时候，IE会发出警告提醒你，以避免你在不知情的情况下泄漏一些私人的信息。

Warnifformssubmittalisbeingredirected（重定向提交的表单时发出警告），启用这个设置后，你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上，IE就会发出警报提醒你。所以安全起见这个也应当启用。

5．安全使用OutlookExpress

OutlookExpress是Windows自带的一个电子邮件程序，通过OE不仅可以收发电子邮件，还可以浏览新闻组，十分方便。不过很多人并不喜欢这个程序，还想千方百计的把它从自己的系统中卸载掉，主要是因为使用OE容易传染病毒。菜刀也容易伤人呢，但是每个家庭都得有个菜刀吧，所以，与其考虑怎么卸载OE还不如考虑一下怎么设置才能让OE更安全。本节全部以OE6为主，如果你使用得是较低的版本，某些细节方面可能会不同。

OE的主要设置都可以在工具－选项下看到，在这里我们主要关注的是安全选项卡。

SelecttheInternetExplorersecurityzonetouse（选择要使用的InternetExplorer安全区域），这个设置可以让你决定把电子邮件（尤其是使用HTML语言的电子邮件）当作什么安全区域对待（也就是我们在InternetExplorer的Internet选项中设置的不同安全级别的区域）.把它设置为Restrictedsiteszone（受限制的区域）是比较明智和安全的做法。这样，如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了。

Warnmewhenotherapplicationstrytosendmailasme（当其他程序以我的名义发送电子邮件时提醒我），这也是一个很有效的安全策略，曾经有很多病毒都是通过OE的地址簿中的联系人地址来发送含病毒的右键来扩散的，而启用这个设置就可以有效的解决这个问题。一旦有其他程序通过OE发送电子邮件，OE会首先询问你是否发送，对于那些可疑的右键，只要取消发送就可以了。

Donotallowattachmentstobesavedoropenedthatcouldpotentiallybeavirus（不允许可能包含病毒的附件被保存或者被打开），当启用这个设置后，电子邮件中某些格式的附件就不能被保存和打开了，这时如果你收到了含有附件的右键，保存和打开附件的选项将为不可用，进一步增强了安全性。

6．加固你的Internet连接

默认情况下，为了建立网络连接，Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的，例如NetBIOS、文件和打印机共享等，而“最小的服务＋最小的权限＝最大的安全”这个等式是永远成立的，因此我们有必要关掉不需要的服务，卸载不需要的协议，来增强我们的系统安全。

对于Windows9x/Me的系统

1.在控制面板中双击网络图标

2.选择Microsoft网络客户端，然后点击卸载

3.禁用文件和打印机共享，如果你确实需要共享，可以给它们设置一个密码

4.选择TCP/IP，然后点击属性按钮，打开NetBIOS选项卡，取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡，并选择禁用DNS（如果你确实不需要的话）。在WINS设置选项卡下，选中禁用WINS解析

5.确定，然后重启动电脑

对于Windows2000/XP的系统

1.打开控制面板中的网络连接，右键点击Internet连接，选择属性

2.如果你不需要共享文件和打印机，那么选中并卸载（可以不卸载，但是至少不要再使用）Windows网络的文件和打印机共享

3.双击Internet协议(TCP/IP)，然后点击高级按钮

4.打开WINS选项卡，取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS

5.在运行中输入Services.msc然后回车

6.找到TCP/IPNetBIOSHelper这个服务，把这个服务停止掉，并且设置启动类型为手动或者禁止

7.重启动电脑

7.防火墙和杀毒软件

不管你做了怎样的设置，只要你连接在Internet上，防火墙都是必要的。防火墙可以完全保护你的系统，把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种，一是Symantec公司的NortonInternetSecurity，这个软件不仅包含网络防火墙，还包含NortonAntivirus，一个著名的杀毒软件。NortonInternetSecurity的功能非常强大，不仅可以防病毒，防黑客，还可以帮助你过滤浏览网页时看到的广告，过滤收到的电子邮件，过滤网络中的一些色情和其它非法内容。不过NortonInternetSecurity对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试ZoneAlarm或者国产的天网，他们对系统的要求都不错，功能也够强大，还有一点，他们两者都可以从互联网上免费下载到。

对于使用WindowsXP的用户也可以用系统自带的防火墙，虽然没有那么多花哨的功能，不过最基本的防护还是可以胜任的。启用的方法是：打开控制面板－网络和Internet连接，双击网络连接打开属性对话框，在高级选项卡下，选中在我的电脑上使用Internet连接防火墙，之后还可以点击设置进行更进一步的配置。

3、预习要求及参考书目（参考书目最好有章节要求）：

《电子商务安全与保密》，祁明主编，高等教育出版社，2001年7月第1版

第1，2，3章。

4、实验步骤（具体操作流程）：

上机，打开windows2000或windowsXP，打开管理工具或控制面板，进行设置。

5、实验报告要求：

写下实验过程及结果，适当总结实验经验。

实验三:Windows2000安全设置

1、实验目的：掌握Windows2000安全设置

2、实验内容（根据实验目的将实验要求细化）：

Windows2000Server是比较流行的服务器操作系统，如何安全地配置这个操作系统呢？本文试图从用户安全设置、密码安全设置、系统安全设置、服务安全设置四个方面进行初步的探讨。

1．用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道，Windows2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。

2．密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

3．系统安全设置

1、使用NTFS格式分区

最好把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。

2、运行防毒软件

杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。

3、到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的惟一方法。

4、关闭默认共享

Windows2000安装好以后，系统会创建一些隐藏的共享，你可以在Cmd下打“NetShare”查看他们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开“管理工具\计算机管理\共享文件夹\共享”在相应的共享文件夹上按右键，点[停止共享]即可。

5、锁住注册表

在Windows2000中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。

详细信息请参考：

/support/kb/articles/Q153/1/83.asp

6、禁止用户从软盘和光驱启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。

7、利用Windows2000的安全配置工具来配置安全策略

微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。具体内容请参考微软主页：/windows2000/techinfo/

howitworks/security/sctoolset.asp

4．服务安全设置

1、关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。具体方法为：打开“网上邻居/属性/本地连接/属性/internet协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。

2、设置好安全记录的访问权限

安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。

3、把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。

4、禁止建立空连接

默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。

此外，安全和应用在很多时候是矛盾的。因此，你需要在其中找到平衡点，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。

3、预习要求及参考书目（参考书目最好有章节要求）：

《电子商务安全与保密》，祁明主编，高等教育出版社，2001年7月第1版，第2，3，4章。

4、实验步骤（具体操作流程）：

上机，打开windows2000，打开管理工具或控制面板，进行设置。

5、实验报告要求：

写下实验过程及结果，适当总结实验经验。

实验四:如何关闭windows系统中不安全的端口

1、实验目的：熟悉windows系统中不安全的端口

2、实验内容（根据实验目的将实验要求细化）：

Windows系统被安装的远程控制软件或其它各种木马通常是由于您没有正确的设置您的管理员密码造成的，比如administrator的口令为空。所以请先检查系统中所有帐号的口令是否设置的足够安全。

1.

Windows2000口令设置方法:

当前用户口令：

在桌面环境下按ctrl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。

其他用户口令：

在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

2.

如何关闭Windows2000下的445端口？

关闭445端口的方法有很多，通常用修改注册表的方法：

1)

在命令行窗口运行修改注册表命令RegEdit。

2)

在弹出的注册表编辑窗口的左边找到下面目录

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

你可以一级一级目录往下点击，也可用“查找”命令找到NetBT项，然后点击Parameters项。

3)

在编辑窗口的右边空白处点击鼠标右键，出现的“新建”菜单中选择“DWORD值”。

4)

将新建的DWORD参数命名为“SMBDeviceEnabled”，数值为缺省的“0”。

5)

修改完后退出RegEdit，重启机器。

6)

运行“netstat–an”，你将会发现你的445端口已经不再Listening了。

7)

如何关闭Windows2000下的5800,5900端口？

1)

首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe)

2)

在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\winnt\explorer.exe)

3)

删除C:\winnt\fonts\中的explorer.exe程序。

4)

删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项。

5)

重新启动机器。

4．如何获得fport工具？

Fport工具可以把本机开放的TCP/UDP端口同应用程序关联起来，这和使用'netstat-an'命令产生的效果类似，但是该软件还可以把端口和运行着的进程关联起来，并可以显示进程PID，名称和路径。该软件可以用于将未知的端口同应用程序关联起来。

在CERNET应急响应组的网站上可以获得fport工具，下载路径为：

/tools/index.php

。

下载的文件为fport.zip,用winzip或winrar解开后存放到一个目录下就可以。比如我们把fport放在D:\fport-2.0下。那么，我们运行fport:：

D:\fport-2.0>fport

输出结果如下：

FPortv2.0-TCP/IPProcesstoPortMapper

Copyright2000byFoundstone,Inc.

PidProcessPortProtoPath

744svchost->135TCPC:\WINDOWS\system32\svchost.exe

4System->139TCP

4System->445TCP

792svchost->1025TCPC:\WINDOWS\System32\svchost.exe

1652navapw32->1027TCPC:\PROGRA~1\NORTON~1\navapw32.exe

1860inetinfo->1031TCPC:\WINDOWS\System32\inetsrv\inetinfo.exe

1880msmsgs->1226TCPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->2162TCPC:\ProgramFiles\InternetExplorer\iexplore.exe

956->5000TCP

1880msmsgs->13863TCPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->123UDPC:\ProgramFiles\InternetExplorer\iexplore.exe

744svchost->135UDPC:\WINDOWS\system32\svchost.exe

1332SecureCRT->137UDPC:\ProgramFiles\SecureCRT\SecureCRT.exe

2664SecureCRT->138UDPC:\ProgramFiles\SecureCRT\SecureCRT.exe

4System->445UDP

792svchost->500UDPC:\WINDOWS\System32\svchost.exe

2524SecureCRT->1028UDPC:\ProgramFiles\SecureCRT\SecureCRT.EXE

1860inetinfo->1032UDPC:\WINDOWS\System32\inetsrv\inetinfo.exe

1880msmsgs->1033UDPC:\ProgramFiles\Messenger\msmsgs.exe

2812wsftppro->1035UDPD:\tools\wsftppro.exe

956->1543UDP

1652navapw32->1561UDPC:\PROGRA~1\NORTON~1\navapw32.exe

4System->1610UDP

1880msmsgs->1900UDPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->3336UDPC:\ProgramFiles\InternetExplorer\iexplore.exe

2812wsftppro->3456UDPD:\tools\wsftppro.exe

1880msmsgs->9356UDPC:\ProgramFiles\Messenger\msmsgs.exe

从fport的输出结果中我们可以发现有没有不安全的tcp/udp端口开着,如果有就用前面介绍的方法把该端口关闭，或将相关程序删除。

3、预习要求及参考书目（参考书目最好有章节要求）：

《电子商务安全与保密》，祁明主编，高等教育出版社，2001年7月第1版，第3，4，5章。

4、实验步骤（具体操作流程）：

上机，打开windows2000或win98，打开管理工具或控制面板，进行设置。

5、实验报告要求：

写下实验过程及结果，适当总结实验经验。

实验五:文件共享的配置、使用与入侵防范

1、实验目的：掌握文件共享的配置、使用，防范入侵

2、实验内容（根据实验目的将实验要求细化）：

当你发现硬盘灯突然闪烁不停时，你是否想知道是谁访问了你的电脑？他们又在你的电脑里干什么？让我们一起揭开来访者头上的神秘面纱。

一、在Windows98/Me中

使用Windows98/Me提供的“网络监视器”可以查看目前谁在使用你的计算机上的资源。可以添加共享文件夹，也可以断开用户与你的计算机或指定的文件的连接。

安装打开“控制面板”，选择“添加删除程序→Windows安装程序”标签，在“组件”列表框中选中“系统工具”，单击下面的“详细信息按钮”，然后勾选“网络监视器”复选框，单击“确定”按钮完成安装。安装好的网络监视器快捷方式位于“开始→程序→系统工具”中。

使用查看来访者及其访问的资源，有三种方式：

一是以“按连接”方式查看。按下工具栏上的“显示用户”，“网络监视器”左边会显示所有已连接到你的计算机上的用户、计算机名、打开的文件数以及来访时间等基本信息。在左边选中一个连接，右边即会显示这个连接打开的文件和文件夹(如图)。

二是“按共享文件夹”方式查看。按下工具栏上的“显示共享的文件夹”按钮，“网络监视器”主界面左边会显示已共享出去的文件夹，选中一个文件夹，右边会显示连接到这个共享文件夹的计算机名及其打开的文件。

三是以“打开的文件”方式查看。按下工具栏上的“显示共享的文件夹”按钮，即会显示已被来访者打开的文件列表及打开文件者的计算机名。

阻止恶意用户的访问当发现来访者正在窥探敏感文件时，可以及时阻止他们的访问，也有三种方法：

一是直接关闭来访者打开的文件。单击工具栏上的“显示共享的文件夹”，选中欲关闭的文件，单击菜单栏的“管理”，选择“关闭文件”即可。

二是断开来访者的连接。单击工具栏上的“显示用户”按钮，选中恶意来访者，单击菜单栏的“管理”，选择“断开用户连接”即可。

三是停止共享或用密码来限制来访者的访问权限。单击工具栏上的“显示共享的文件夹”按钮，选中需管理的文件夹，单击菜单栏的“管理”，选择“停止共享”即可取消该文件夹的共享；若不希望停止共享，又要限制用户的访问，可以选择“共享文件夹的属性”为共享文件添加密码，限制未经授权的用户的访问。需要注意的是，设置好密码后，必需断开已连接用户的连接后，密码方能起作用。

二、在Windows2000/XP中

在Windows2000/XP中，网络监视器不再监测访问本机的连接及来访者的访问信息，但来访者的一举一动仍在Windows的监视之下。单击“开始→设置→控制面板”，双击“管理工具”，再双击“计算机管理”，在右边的目录树中双击展开“共享文件夹”，下面共有三个选项：“共享”、“会话”和“打开文件”。

共享显示当前系统的共享资源，在这里可以创建和设置共享及其权限。

会话显示当前来访者的用户名、IP地址、打开的文件数以及来访时间等基本信息。在用户名上单击右键，还可以断开恶意来访者的连接。如果对方也使用Windows2000/XP系统，还能给对方发送信使消息，通知对方关于自己共享资源的一些情况。

打开文件显示所有来访者及其打开的文件，如果你不希望对方浏览你的文件，单击右键，在弹出菜单中可以关闭其中一个或所有打开的文件。

3、预习要求及参考书目（参考书目最好有章节要求）：

《电子商务安全与保密》，祁明主编，高等教育出版社，2001年7月第1版，第5，6，7章。

4、实验步骤（具体操作流程）：

上机，打开windows2000或win98，打开管理工具或控制面板，进行设置。

5、实验报告要求：

写下实验过程及结果，适当总结实验经验。

实验六:常见的木马病毒清除方法

1、实验目的：熟悉常见的木马病毒清除方法

2、实验内容（根据实验目的将实验要求细化）：

当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，BackOrifice2000则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。

1．Windows本身自带的netstat命令

关于netstat命令，我们先来看看windows帮助文件中的介绍：

Netstat

显示协议统计和当前的TCP/IP网络连接。该命令只有在安装了TCP/IP协议后才可以使用。

netstat[-a][-e][-n][-s][-pprotocol][-r][interval]

参数

-a显示所有连接和侦听端口。服务器连接通常不显示。

-e显示以太网统计。该参数可以与-s选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。默认情况下，显示TCP、UDP、ICMP和IP的统计。-p选项可以用来指定默认的子集。

-pprotocol显示由protocol指定的协议的连接；protocol可以是tcp或udp。如果与-s选项一同使用显示每个协议的统计，protocol可以是tcp、udp、icmp或ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停interval秒。按CTRL+B停止重新显示统计。如果省略该参数，netstat将打印一次当前的配置信息。

好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：

C:\>netstat-an

ActiveConnections

Proto

LocalAddress

ForeignAddress

State

TCP

:80

:0

LISTENING

TCP

:21

:0

LISTENING

TCP

:7626

:0

LISTENING

UDP

:445

:0

UDP

:1046

:0

UDP

:1047

:0

解释一下，ActiveConnections是指当前本机活动连接，Proto是指连接使用的协议名称，LocalAddress是本地计算机的IP地址和连接正在使用的端口号，ForeignAddress是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的