《2Windows系统安全加固精编版》由会员分享,可在线阅读,更多相关《2Windows系统安全加固精编版(118页珍藏版)》请在金锄头文库上搜索。
1、2 Windows系统安全加固,1 双机互连对等网络的组建,操作系统的安全防护研究通常包括以下几个方面的内容。 (1) 操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。 (2) 针对各种常用的操作系统,进行相关配置,使之能正确对付和防御各种入侵。 (3) 保证操作系统本身所提供的网络服务能得到安全配置。 只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。,操作系统安全的概念,一、 WINDOWS密码设置实训,windows系统的安全审计和安全配置 用户身份验证 帐户的管理(设置各级帐户和密码) P196 帐户安全防
2、护 P204 帐户安全策略 P206 基于对象的访问控制 P194 windows系统的注册表 P209 windows系统常用的系统进程和服务的安全配置 P220,为提高计算机WINDOWS操作系统的安全性,可作哪些安全配置?(小组讨论,总结)3分钟,一、 WINDOWS密码设置实训,XP与SERVER 设置BIOS开机密码 设置WINDOWS登录密码 设置屏幕保护密码 账户数据库密码(syskey),为防止别人非法使用你的计算机系统,可设置哪些密码?(小组讨论 )3分钟 帐户的管理(设置各级帐户和密码) P196,一、 什么样的密码才安全?,下面列出几种最危险的密码,请千万不要使用。 1)
3、 密码和用户名相同。 2) 密码为用户名中的某几个邻近的数字或字母。 3) 密码为连续或相同的数字或字母。 4) 将用户名颠倒或加前后缀作为密码。 5) 使用姓氏的拼音或英文名字作为密码。 6) 使用自己或亲友的生日作为密码。 7) 使用常用英文单词作为密码。 8) 使用6位以下的数字或英文字母作为密码.,6.3 账户管理与密码安全 P196,账户与密码的使用通常是许多系统预设的防护措施。事实上,有许多用户的密码是很容易被猜中的,或者使用系统预设的密码、甚至不设密码。 用户应该要避免使用不当的密码、系统预设密码或是使用空白密码,也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、数字、
4、特殊字符,8位以上),小组为单位,讨论并配置5种密码(以XP或SERVER为例),设置进入BIOS的密码 系统开机密码 WINDOWS登录密码 屏幕保护密码 保护WINDOWS帐户数据库安全密码 做一个启动U盘 要求:小组内分工,每组同学要设置上述密码,并进行拷屏,文件名为:组名第6章作业1.DOC。,任务1:密码安全配置 P197,1. 任务目标 (1) 了解操作系统密码安全的重要性。 (2) 掌握密码安全配置的方法。 2. 任务内容 (1)设置开机或BIOS密码 (2) 设置用户账户策略。 (3)设置用户账户锁定策略。 3. 完成任务所需的设备和软件 装有Windows Server 20
5、03操作系统的PC机1台,或Windows Server 2003虚拟机1台。,用虚拟机设置BIOS开机密码,运行虚拟机VM-POWER-POWER ON TO BIOS Set Supervisor Password超级用户口令 Set User Password一般用户口令 Save & Exit Setup,2.添加WONDOWS用户密码,设置密码策略 (1) 用户添加管理员用户 (2)设置用户账户策略 步骤1:选择“开始” “程序”“管理工具”“本地安全策略”命令,打开“本地安全设置”窗口,在左侧窗格中,选择“安全设置”“账户策略”“密码策略”选项,如图2-14所示。,步骤2:双击右侧
6、窗格中的“密码长度最小值”策略选项,打开“密码长度最小值 属性”对话框,选择“本地安全设置”选项卡,设置密码必须至少是6个字符,如图2-15所示,单击“确定”按钮,返回“本地安全设置”窗口。,步骤3:在图2-14中,双击右侧窗格中的“密码最短使用期限”策略选项,打开“密码最短使用期限 属性”对话框,设置“在以下天数后可以更改密码”为3天,如图2-16所示,单击“确定”按钮,返回“本地安全设置”窗口。,步骤4:同理,设置“密码最长使用期限”为“14”天,设置“强制密码历史”为“10”个记住的密码,设置“密码必须符合复杂性要求”为“已启用”。上述设置完成后的密码策略如图2-17所示。,(2) 设置
7、用户账户锁定策略 用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码。 步骤1:在图2-17中,选择左侧窗格中的“账户锁定策略”选项,在右侧窗格中显示了账户锁定策略的三个策略项,如图2-18所示。,步骤2:双击右侧窗格中的“账户锁定阈值”策略选项,打开“账户锁定阈值 属性”对话框,选择“本地安全设置”选项卡,设置“在发生以下情况之后,锁定账户”为3次无效登录,如图2-19所示。,步骤3:单击“确定”按钮,弹出“建议的数值改动”对话框,设置建议的“账户锁定时间”为“30分钟”、“复位账户锁定计数器”为“30分钟之后”,如图2-20所示,单击“确定”按钮,完成账户锁定策略设置。,防止内部人
8、员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了 。,3设置屏幕保护密码,WINDOWS平台安全设置,4.XP账户数据库密码,二重密码保护:“启动密码”就是在系统启动是显示的,在重新启动系统后,首先出现的就是提示你输入“启动密码”,输入了正确的密码后就会出现Windows XP的登录界面,输入用户名和密码后算是完全登录系统。 1. 设置启动密码 开始运行”,输入“Syskey”命令,弹出“保证Windows XP账户数据库安全”-更新” 。在“启动密码”界面中点选“密码启动”单选框。 2. 取消这个系统启动密码,则 在“启动密码”界面中点选“系
9、统产生的密码”下面的“在本机上保存启动密码” ,确定后系统密码就会保存到硬盘上,在下次启动电脑时就不会再出现启动密码的窗口了。,如果忘记了密码点办? (小组讨论、思考),如何清除进入物理机的BIOS设置的密码? 如何清除物理开机密码? 如何探测WINDOWS登录密码?,相邻两小组实训:常用密码破解(10分钟),互换机器 去破解别组设置的密码,并总结方法 破解方法与工具 P198 L0phtcrack,WMICracker等,BIOS口令的清除 由于System级口令保护的是整个系统,在未正确输入口令时不能进入系统,因而当任何“软”方法都无法奏效时,只能用“硬”方法解决。 一般的主板在后备电池的
10、附近都有一个“Ext. Battery”、“CMOS Reset”或“JCMOS”的跳线,断开微机电源打开机箱,按照主板说明书上的解说找到它,并将其中的两个脚短接数秒钟,然后将跳线恢复原状,即可清除口令。有的主板还要求在放电短接状态开机才能彻底清除BIOS设置数据,具体做法应该参照主板说明书上的叙述。,用工具软件或命令(?),WINDOWS 本地账户实训 P198-204,用带工具U盘或光盘启动,破解WINDOWS XP登录密码 帐户查看方法与工具 使用L0phtCrack5审计Windows Server 2003本地账户实训 使用Cain审计Windows Server 2003本地账户实
11、训 要求: 1.老师提供工具,小组内分工,每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏,文件名为:组名第6章作业2.DOC。 2.建议以小组为单位学会制作一个启动U盘,如大白菜。,2.4 项目实施 (小组实训)206,2.4.1 任务1:账户安全配置 1. 任务目标 (1) 了解操作系统账户安全的重要性。 (2) 掌握账户安全配置的方法。 2. 任务内容 (1) 更改“Administrator”账户名称。 (2) 创建一个陷阱账户。 (3) 不让系统显示上次登录的账户名。 3. 完成任务所需的设备和软件 装有Windows Server 2003操作系统的PC机1台,或Windo
12、ws Server 2003虚拟机1台。,4. 任务实施步骤 (1) 更改“Administrator”账户名称 由于“Administrator”账户是微软操作系统的默认系统管理员账户,且此账户不能被停用,这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码。 将“Administrator”重命名为其他名称,可以有效地解决这一问题。,步骤1:选择“开始” “程序”“管理工具”“本地安全策略”命令,打开“本地安全设置”窗口,如图2-1所示。,步骤2:在左侧窗格中,选择“安全设置” “本地策略”“安全选项”选项,在右侧窗格中,双击“账户:重命名系统管理员账户”策略选项,打开如图2-2所示的对话
13、框,将系统管理员账户名称“Administrator”改为一个普通的账户名称,如“huang”,而不要使用如“Admin”之类的账户名称,单击“确定”按钮。,步骤3:更改完成后,选择“开始” “程序”“管理工具”“计算机管理”命令,打开“计算机管理”窗口,在左侧窗格中,选择“系统工具” “本地用户和组”“用户”选项,如图2-3所示,默认的“Administrator”账户名称已被更改为“huang”。,步骤4:在图2-3中,选择左侧窗格中的“组”选项,然后双击右侧窗格中的“Administrators”组名,打开“Administrators 属性”对话框,默认只有“Administrator
14、”账户,如图2-4所示。选中“Administrator”账户,单击“删除”按钮,将该账户删除。,步骤5:在图2-4中,单击“添加”按钮,打开“选择用户”对话框,单击“高级”按钮,再单击“立即查找”按钮,双击对话框底部的“huang”选项,如图2-5所示。此时,在“输入对象名称来选择”文本框中自动出现了已经重命名的管理员账户名称,如“TESThuang”(计算机名账户名) ,如图2-6所示。,步骤6:单击“确定”按钮返回“Administrators 属性”对话框,再单击“确定”按钮完成系统管理员名称的更改。,(2) 创建一个陷阱账户 陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户。
15、 默认的管理员账户“Administrator”重命名后,可以创建一个同名的拥有最低权限的“Administrator”账户,并把它添加到“Guests”组(“Guests”组的权限为最低)中,再为该账户设置一个超过20位的超级复杂密码(其中包括字母、数字、特殊符号等字符)。 这样可以使非法入侵者需花费很长的时间才能破解密码,借此发现它们的入侵企图。,步骤1:选择“开始” “程序”“管理工具”“计算机管理”命令,打开“计算机管理”窗口,在左侧窗格中,选择“系统工具” “本地用户和组”“用户”选项,然后右击“用户”选项,在弹出的快捷菜单中选择“新用户”命令,打开“新用户”对话框,如图2-7所示。
16、 步骤2:在“用户名”文本框中输入用户名“Administrator”,在“密码”和“确认密码”文件框中输入一个较复杂的密码,单击“创建”按钮,再单击“关闭”按钮。,步骤3:右击新创建的用户名“Administrator”,在弹出的快捷菜单中选择“属性”命令,打开“Administrator 属性”对话框,选择“隶属于”选项卡,如图2-8所示,从图中可见, “Administrator”用户默认隶属于“Users”组。 步骤4:单击“添加”按钮,打开“选择组”对话框,如图2-9所示。,步骤5:单击“高级”按钮,再单击“立即查找”按钮,双击对话框底部的“Guests”组名,如图2-10所示。 步骤6:单击“确定”按钮,返回“Administrator 属性”对话框,此时已添加了“Guests”组,如图2-11所示。 步骤7:在图2-11中,选中“Users”组名,单击“删除”按钮,再单击“确定”按钮。此时,“Administrator”账户已设置为陷阱账户。,(3) 不让系统显示上次登录的账户名
