網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教案4

鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁序號(hào)：4授課班級(jí)信息安全22A1信息安全22A2授課日期3.113.15出勤情況全勤全勤課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型一體化教學(xué)復(fù)習(xí)舊課引入新課復(fù)習(xí)使用EFS加強(qiáng)windows文件系統(tǒng)安全引入新課：默認(rèn)安裝完操作系統(tǒng)后，本地的安全策略并沒有進(jìn)行設(shè)置，這樣對(duì)數(shù)據(jù)本身及通過網(wǎng)絡(luò)來訪問數(shù)據(jù)的安全來說并不是特別安全，引入課程：使用本地安全策略加強(qiáng)windows主機(jī)的整體防御教學(xué)目標(biāo)了解本地安全策略的使用方法配置本地安全策略講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：禁止枚舉賬號(hào)指派本地用戶權(quán)利設(shè)置IP安全策略配置密碼安全策略教學(xué)設(shè)計(jì)：復(fù)習(xí)上節(jié)內(nèi)容回顧上節(jié)內(nèi)容，使用文件系統(tǒng)加密加強(qiáng)windows文件系統(tǒng)安全任務(wù)引入Windows系統(tǒng)中提供了一個(gè)類似防火墻的安全策略：IP安全策略，可以針對(duì)本地環(huán)境進(jìn)行配置，以便更加安全的保護(hù)終端及數(shù)據(jù)知識(shí)講授通過理論講授和實(shí)驗(yàn)演示法，講解通過設(shè)置本地安全策略等加強(qiáng)windows主機(jī)的整體防御課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：1.枚舉賬號(hào)2.本地安全策略3.密碼安全難點(diǎn)：IP安全策略解決方法：實(shí)驗(yàn)演示法、項(xiàng)目教學(xué)法課后作業(yè)完成實(shí)驗(yàn)任務(wù)，提交實(shí)驗(yàn)報(bào)告課后總結(jié)IP安全策略是一個(gè)給予通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的"隨意信任"重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，也就是說，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)，但功能完善的個(gè)人防火墻。鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第4-PAGE15頁使用本地安全策略加強(qiáng)windows主機(jī)的整體防御教學(xué)過程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)1.禁止枚舉賬號(hào)2.指派本地用戶權(quán)利3.設(shè)置IP安全策略4.配置密碼安全策略5分鐘復(fù)習(xí)上節(jié)課中的理論知識(shí)，為本節(jié)實(shí)驗(yàn)做好準(zhǔn)備實(shí)驗(yàn)操作〖步驟1〗創(chuàng)建系統(tǒng)賬戶第一步：創(chuàng)建多個(gè)Windows用戶帳戶在PC1上創(chuàng)建bob、Mary、Tim三個(gè)用戶，如圖：新建bob賬號(hào)新建Mary賬號(hào)新建Tim賬號(hào)第二步：創(chuàng)建Windows用戶組在PC1上創(chuàng)建Sales、Manager、Engineer三個(gè)用戶組，如圖建立Sales組建立Manager組建立Engineer組第三步：將不同用戶加入到不同的用戶組中將bob、Mary、Tim分別加入Sales、Manager、Engineer三個(gè)用戶組中，如圖把bob加入Sales組把Mary加入Manager組把Tim加入Engineer組〖步驟2〗設(shè)置本地策略第一步：禁止枚舉賬號(hào)打開PC1的控制面板——管理工具——本地安全策略——本地策略——安全選項(xiàng)：?jiǎn)⒂孟聢D兩個(gè)選項(xiàng)，如圖所示。禁止枚舉賬號(hào)雙擊停用的網(wǎng)絡(luò)訪問：不允許SAM賬戶賬戶和共享的匿名枚舉，選擇啟用。如圖所示配置策略這樣我們就啟動(dòng)了“禁用枚舉賬號(hào)”第二步：指派本地用戶權(quán)利打開PC1的控制面板——管理工具——本地安全策略——本地策略——用戶權(quán)利指派：設(shè)置“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”，只加入sales組設(shè)置“拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”，加入manager組設(shè)置“關(guān)閉系統(tǒng)”，加入engineer組第三步：IP策略首先我們登陸PC2，打開命令提示符窗口，輸入telnet10.1.1.1445，可以看到可以連接到PC1的445端口，表示PC1的445端口已經(jīng)打開并且可以連接。如圖所示。測(cè)試PC1的445端口（1）測(cè)試PC1的445端口（2）打開PC1的控制面板——管理工具——本地安全策略——本地策略——IP安全策略：?jiǎn)螕粲益I新建IP安全策略，如圖所示。新建IP安全策略點(diǎn)擊創(chuàng)建IP安全策略，進(jìn)入IP安全策略向?qū)Ы缑?。如圖所示。IP安全策略向?qū)В?）點(diǎn)擊【下一步】，進(jìn)入下圖：鍵入名稱：屏蔽本地445端口，單擊【下一步】，如圖所示：IP安全策略向?qū)В?）配置安全通信請(qǐng)求，如圖所示。IP安全策略向?qū)В?）完成IP安全策略向?qū)В鐖D所示。IP安全策略向?qū)В?）點(diǎn)擊完成返回本地安全策略頁面，右鍵單擊IP安全策略，選擇管理IP篩選器表和篩選器操作，如圖所示。管理IP篩選器表盒篩選器操作（1）進(jìn)入配置頁面，如圖所示。管理IP篩選器表和篩選器操作（2）在上圖中點(diǎn)擊添加，進(jìn)入下面頁面：修改名稱，再點(diǎn)擊添加按鈕，如圖所示。建立IP篩選器列表點(diǎn)擊【下一步】，進(jìn)入到IP篩選器向?qū)?，如圖所示。配置IP通信源在源地址標(biāo)簽中選擇任何IP地址。點(diǎn)擊【下一步】，進(jìn)入到ip通信目標(biāo)設(shè)置頁面，如圖所示。圖2-23設(shè)置目標(biāo)地址目標(biāo)地址選擇我的IP地址，點(diǎn)擊【下一步】，設(shè)置目標(biāo)端口，如圖所示。設(shè)置目標(biāo)端口點(diǎn)擊【下一步】，進(jìn)入到設(shè)置IP協(xié)議端口界面，如圖所示。設(shè)置IP協(xié)議端口點(diǎn)擊完成進(jìn)入返回下圖。如圖所示。返回管理IP篩選器界面從上圖進(jìn)入到“管理篩選器操作”標(biāo)簽，如圖所示。管理篩選器操作點(diǎn)擊添加按鈕，進(jìn)入篩選器操作向?qū)?，如圖所示。篩選器操作向?qū)В?）添加篩選器操作名稱，如圖所示。圖設(shè)置名稱和描述點(diǎn)擊【下一步】，進(jìn)入到篩選器操作行為界面，選擇阻止，點(diǎn)擊【下一步】，如圖所示。篩選器操作行為完成篩選器操作向?qū)c(diǎn)擊完成按鈕。重新回到本地安全策略界面，在ip安全策略的右側(cè)，可以看到我們剛才新建的屏蔽本地445端口策略。在此上點(diǎn)擊右鍵，選擇屬性。如圖所示。進(jìn)入設(shè)定的IP安全策略屬性頁面屏蔽445端口策略屬性標(biāo)簽點(diǎn)擊添加按鈕，進(jìn)入安全規(guī)則向?qū)В鐖D所示。安全規(guī)則向?qū)В?）這里選擇“此規(guī)則不建立隧道”，如圖所示。安全規(guī)則向?qū)В?）選擇隧道選擇所有網(wǎng)絡(luò)連接，如果所示。配置網(wǎng)絡(luò)類型選擇屏蔽445端口，如圖所示。選擇“屏蔽445端口”選擇“拒絕445”，如圖所示選擇篩選器操作點(diǎn)擊【下一步】，完成配置。完成配置這樣我們就完成了IP策略的配置。下面我們來激活此策略。右鍵單擊此策略，選擇指派。如圖所示。指派IP安全策略激活了此策略，我們?cè)谙旅娌襟E三中來驗(yàn)證此策略。第四步：密碼安全在安全設(shè)置標(biāo)簽的賬戶策略——密碼策略中設(shè)置密碼策略：如圖所示。密碼策略啟動(dòng)密碼必須符合復(fù)雜性要求密碼長(zhǎng)度最小值設(shè)定為8位密碼最長(zhǎng)使用期限設(shè)定為默認(rèn)的42天密碼最短使用期限為1天強(qiáng)制密碼歷史建議設(shè)置為至少3次激活用戶還原的加密來儲(chǔ)存密碼〖步驟3〗驗(yàn)證測(cè)試第一步：安全策略驗(yàn)證指派用戶權(quán)利利用PC2遠(yuǎn)程桌面登陸到PC1上。填入bob用戶進(jìn)入到PC1，發(fā)現(xiàn)bob用戶可以登錄到PC1上。同樣利用Mary用戶無法登陸到PC1上。Tim賬號(hào)登陸后發(fā)現(xiàn)Tim無法關(guān)閉PC1系統(tǒng)。IP安全策略利用PC2上的命令提示符工具來驗(yàn)證IP安全策略。在命令提示符上輸入telnet10.1.1.1445，觀察狀態(tài)，發(fā)現(xiàn)無法進(jìn)行連接（做IP策略之前可以登錄，見IP策略配置），如圖所示。測(cè)試連接3）用