实验28 操作系统安全与服务优化
【实验目的】
掌握操作系统安全主要手段
【实验环境】
1.虚拟机软件VM Ware 6.0，Windows 2003 Server光盘或光盘镜像文件。

2.实训室网络。

【实验原理】
一、线路窃听预防https--ssl
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；
2）加密数据以防止数据中途被窃取；
3）维护数据的完整性，确保数据在传输过程中不被改变。

二、端口安全
Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号，并只答应某个MAC地址通过本端口通信。

假如任何其它MAC地址试图通过此端口通信，端口安全特性会阻止它。

使用端口安全特性可以防止某些设备访问网络，并增强安全性
【实验步骤】
本次实训中各步骤适当截图即可
一、体会http通道不安全因素(真机)
1.在真机中使用邮箱盗号工具pswmonitor.exe正确设置监听网卡后尝试获取日常
登录HTTP站点的用户名密码(以为例)（如需帮助请阅读文件夹
中说明文件）
2、简述在https安全型超文本传输协议网站假设的网站中是否会出现此安全性问
题？为什么？
(后续步骤均在虚拟机中实现：因为真机安装有驱动防火墙)
二、计算机端口安全
1.启动虚拟机后，正确设置静态IP地址为19
2.168.122.100+机号/8，网关为
192.168.122.1 ，网卡模式设置为桥接，修改主机名为学生姓名英文
2.解压端口扫描器X-Scan-v
3.3-cn后将其拖入真机中执行xscan_gui.exe完成后在
最终扫描报告中任意列举2台电脑情况（说明该电脑网络参数，开启那些端口
等）
3.在自己虚拟机中使用netstat –ano命令查看该计算机中开放的端口
三、安全保护之一防火墙的使用
1、使用真机ping虚拟机ip看是否ping通
2、虚拟机网上邻居右键属性----本地连接右键属性----高级选项卡中----选设置
windows防火墙以启用windows自带防火墙
3、再次使用真机ping虚拟机ip看是否ping通
4、在防火墙设置菜单中高级选项设置使其他主机能够ping通该虚拟机（放过
ICMP数据包）
5、此时虚拟机将默认封闭所有端口，如应用程序需要与外界联系时，windows
防火墙将会提示询问用户是否允许，对于不会提示的系统服务端口，请执行
如下操作：例如该虚拟机此时为web服务器，需要向外提供80端口并开启远
程桌面以便远程管理时请选取例外选项卡添加端口（名称为web服务器端
口为tcp 80）并同时选取远程桌面（实际使用中其他有用端口也如此逐个放过）
四、安全保护之二手动关闭无用端口或服务
1、删除共享以防范共享入侵
net share admin$ /delete 注意这个隐藏符号
net share c$ /delete
2、删除ipc$空连接，以防范共享入侵
在运行内输入regedit，在注册表中找到HKEY-LOCAL_MACHINE\SYSTEM CurrentControSet \Control \LSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

3、135端口的关闭
利用135端口的黑客想要得到管理员的账号和口令，过程往往是很简单，他们似乎部有自己的方法和手段。

关闭135端口，停止可能被黑客利用的RPC服务，不给他们任何能够利用系统弱点的机会。

但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。

在网络中，只有使用微软DCOM技术的程序才会调用RemoteProcedure Call，也就是135端口服务，所以在面临这个问题时，将DCOM服务停止是最好的方法。

步骤：1、单击―开始‖——―运行‖，输入―dcomcnfg‖，单击―确定‖，打开组件服务
2、在弹出的―组件服务‖对话框中，选择―计算机‖选项
3、在―计算机‖选项右边，右键单击―我的电脑‖，选择―属性‖。

3、在出现的―我的电脑属性‖对话框―默认属性‖选项卡中，去掉―在此计算机上启用分布式COM‖前的勾。

4选择―默认协议‖选项卡，选中―面向连接的
TCP/IP‖，单击―删除‖按钮。

重新启动后即可防止135端口接入
4、445端口的关闭
当电脑中没有安装防火墙的时候，我们可以通过注册表来手工关闭，在开始运行菜单输入“regedit”打开注册表编辑器，然后依次单击“HKEY-LOCAL-MACHINE\SYSTEM\Current ControlSet\Services\NetBT\Parameters”分支，新建一个名为“SMBDeviceEnabled”的双字节值。

最后双击“SMBDeviceEnabled”选项，在弹出的数值设置界面中，将其数值设置为“0”。

关闭注册表编辑界面，将系统重新启动，445服务端口就会被彻底的关闭了。

步骤在运行内输入regedit，在注册表中找到：
HKEY_LOCAL_MACHINE\ System\Current ControlSet \Services\ NetBT\ Parameters
建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0，重新启动后即可关闭135端口
4、关闭139端口：
39端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

停止TCP/IP协议下的NetBIOS服务，就能将139端口完全关闭。

步骤1、网上邻居右键属性----INTERNET协议（TCP/IP）属性-----高级----WINS----NETBIOS 设置----禁用TCP/IP上的NETBIOS
五、安全保护之三在计算机策略中启用ipsec
创建IP筛选器（此时请关闭windows自带防火墙）
1.打开控制面板→管理工具→本地安全策略
2.选择“IP安全策略”，右键单击右边窗格的空白处，选择“创建安全策略”。

图2-1 IP安全策略管理
3、请添加对相应风险端口的IP安全策略以便保护自身系统
【实验报告】
记录实验步骤并截图。

【思考题】
1.目前站点服务器WEB面临的最大安全问题是什么，如何解决？
2.端口的作用是什么，如何保护端口？。