《实验1增强Windows操作系统安全》由会员分享,可在线阅读,更多相关《实验1增强Windows操作系统安全(4页珍藏版)》请在金锄头文库上搜索。
1、实验1增强Windows操作系统平安1. 实验目的及要求实验目的通过实验掌握Windows账户与密码的平安设置、文件系统的保护和加密、平安策略与平安 模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操 作系统的根本平安框架。实验要求根据Windows操作系统的各项平安性实验要求,详细观察并记录设置前后系统的变化,给 出分析报告。2. 实验设备及软件1台安装Windows2000/XP操作系统的计算机,磁盘格式配置为NTFS,预装 MBSA(Microsoft Baseline Security Analyzer)工具。3. 实验内容账户与密码的平安设置(2)
2、文件系统的保护和加密选做启用平安策略与平安模板(4) 用加密软件EFS加密硬盘数据选做(5) 审核与日志查看(6) 利用MBSA检查和配置系统平安选做需要说明的是,下面的实验步骤主要是以Windows2000/XP的设置为例进展说明,并且设 置均需以管理员Administrator身份登陆系统。在Windows XP操作系统中,相关平安 设置会稍有不同,但大同小异。4. 实验步骤4.1任务一账户和密码的平安设置1 .删除不再使用的账户,禁用guest账户检查和删除不必要的账户右键单击“开场按钮,、翻开“资源管理器,选择“控制面板中的“用户和密码项; 在弹出的对话框中中列出了系统的所有账户。确认
3、各账户是否仍在使用,删除其中不用的账 户。禁用guest账户为了便于观察实验结果,确保实验用机在实验前可以使用guest账户登陆。翻开“控制面板中的“管理工具,选中“计算机管理中“本地用户和组,翻开“用 户,右键单击guest账户,在弹出的对话框中选择“属性,在弹出的对话框中“帐户 已停用一栏前打勾。确定后,观察guest前的图标变化,并再次试用guest用户登陆,记录显示的信息。2.启用账户策略 设置密码策略翻开“控制面板中的“管理工具,在“本地平安策略中选择“账户策略;双击“密 码策略,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据你选择的 平安策略,尝试对用户的密码进展修
4、改以验证策略是否设置成功,记录下密码策略和观察到 的实验结果。设置账户锁定策略翻开“控制面板中的“管理工具,在“本地平安策略中选择“账户策略。双击“帐 户锁定策略。在右窗口中双击“账户锁定阀值,在弹出的对话框中设置账户被锁定之前经过的无效登陆 次数如3次,以便防范攻击者利用管理员身份登陆后无限次的猜想账户的密码。在右窗口中双击“账户锁定时间,在弹出的对话框中设置账户被锁定的时间如20 min。 重启计算机,进展无效的登陆如密码错误,当次数超过3次时,记录系统锁定该账户的 时间,并与先前对“账户锁定时间项的设置进展比照。3. 开机时设置为“不自动显示上次登陆账户右键单击“开场按钮,翻开“资源管理
5、器,选中“控制面板,翻开“管理工具选项, 双击“本地平安策略项,选择“本地策略中的“平安选项,并在弹出的窗口右侧列表 中选择“登陆屏幕上不要显示上次登陆的用户名选项,启用该设置。设置完毕后,重启机 器看设置是否生效。4. 制止枚举账户名右键单击“开场按钮,翻开“资源管理器,选中“控制面板,翻开“管理工具选项, 双击“本地平安策略项,选择“本地策略中的“平安选项,并在弹出的窗口右侧列 表中选择“对匿名连接的额外限制项,在“本地策略设置中选择“不允许枚举SAM账 户和共享或为“网络访问:不允许SAM帐户和共享的匿名枚举。此外,在“平安选项中还有多项增强系统平安的选项,请同学们自行查看如有感兴趣或
6、需要了解的内容,可百度或查看“解释此设置标签项。4.2任务二文件系统平安设置翻开采用NTFS格式(百度查看NTFS与FAT32的区别)的磁盘,选择一个需要设置用户权 限的文件夹。这里选择C盘下的“桌面文件夹可自行选择。右键单击该文件夹,选择“属性,在工具栏中选择“平安假设无此项那么在资源 管理器一工具一文件夹选项一查看一去掉“简单文件共享。 将“允许来自父系的可能继承权限无限传播给该对象可能在高级权限标签中之前 的勾去掉,以去掉来自父系文件夹的继承权限如不去掉那么无法删除可对父系文件夹操作 用户组的操作权限。选中列表中的Everyone组,单击删除”按钮,删除Everyone组的操作权限,由于
7、新 建的用户往往都归属于Everyone组,而Everyone组在缺省情况下对所有系统驱动器都有 完全控制权,删除Everyone组的操作权限可以对新建用户的权限进展限制,原那么上只保 存允许访问此文件夹的用户和用户组。 选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。单击“高级按钮,在弹出的窗口中,查看各用户组的权限。 注销计算机,用不同的用户登陆,查看C盘“桌面文件夹可自行选择的访问权限, 将结果记录在实验报告中。4.3任务三启用审核与日志查看1.启用审核策略翻开“控制面板中的“管理工具,选择“本地平安策略。 翻开“本地策略中的“审核策略,在实验报告中记录当前系
8、统的审核策略。双击每项策略可以选择是否启用该项策略,例如“审核账户管理将对每次建立新用户、 删除用户等操作进展记录,“审核登陆事件将对每次用户的登陆进展记录;“审核过程追踪 将对每次启动或者退出的程序或者进程进展记录,根据需要启用相关审核策略,审核策略启 用后,审核结果放在各种事件日志中。2 .查看事件日志 翻开“控制面板中的“管理工具,双击“事件查看器“,在弹出的窗口中查看系统 的3种日志。(2)双击“平安日志,可查看有效无效、登陆尝试等平安事件的具体记录,例如:查看用 户登陆/注销的日志。4.4任务四启用平安策略与平安模块1 .启用平安模板开场前,请记录当前系统的账户策略和审核日志状态,以
9、便于同实验后的设置进展比拟。 单击“开场按钮,选择“运行按钮,在对话框中运行mmc,翻开系统控制台单击工具栏上“文件,在弹出的菜单中选择“添加/删除管理单元,单击“添加, 在弹出的窗口中分别选择“平安模板、“平安设置和分析,单击“添加按钮后,关闭 窗口,并单击“确定按钮。 此时系统控制台中根节点下添加了“平安模板、“平安设置分析两个文件夹,翻开“平 安模板文件夹,可以看到系统中存在的平安模板。右键单击模板名称,选择“设置描述, 可以看到该模板的相关信息。选择“翻开,右侧窗口出现该模板的平安策略,双击每种平 安策略可看到其相关配置。右键单击“平安设置与分析,选择“翻开数据库。在弹出的对话框中输入
10、预建平安 数据库的名称,例如起名为mycomputer.sdb,单击“翻开按钮,在弹出的窗口中,根据 计算机准备配置成的平安级别,选择一个平安模板将其导入。 右键单击“平安设置与分析,选择“立即分析计算机,单击“确定按钮,系统开 场按照上一步中选定的平安模板,对当前系统的平安设置是否符合要求进展分析。将分析结 果记录在实验报告中。右键单击“平安设置与分析,选择“立即配置计算机,那么按照第4步中所选 的平安模板的要求对当前系统进展配置。在实验报告中记录实验前系统的缺省配置,接着记录启用平安模板后系统的平安设置, 记录下比拟和分析的结果。2 .建平安模板 单击“开场按钮,选择“运行按钮,在对话框中
11、运行mmc,翻开系统控制台。单击工具栏上“文件,在弹出的菜单中选择“添加/删除管理单元,单击“添加, 在弹出的窗口中分别选择“平安模板、“平安设置和分析,单击“添加按钮后,关闭 窗口,并单击“确定按钮。 此时系统控制台中根节点下添加了“平安模板、“平安设置分析两个文件夹,翻开“平 安模板文件夹,可以看到系统中存在的平安模板。右键单击模板名称,选择“设置描述, 可以看到该模板的相关信息。选择“翻开,右侧窗口出现该模板的平安策略,双击每中平 安策略可看到其相关配置。右键单击“平安设置与分析,选择“翻开数据库。在弹出的对话框中输入预建平安 数据库的名称,例如起名为mycomputer.sdb,单击“
12、翻开按钮,在弹出的窗口中,根据 计算机准备配置成的平安级别,选择一个平安模板将其导入。展开“平安模板,右键单击模板所在路经,选择“新加模板,在弹出的对话框中添 入预参加的模板名称mytem,在“平安模板描述“中填入“自设模板。查看新加模板是 否出现在模板列表中。双击mytem,在现实的平安策略列表中双击“账户策略下的“密码策略,可发现 其中任一项均显示“没有定义,双击预设置的平安策略如“密码长度最小值。在“在模板中定义这个策略设置前打勾,在框中填如密码的最小长度为7。依次设定“账户策略、“本地策略等工程中的每项平安策略,直至完成平安模板的设5. 实验结果记录系统各项平安设置前后的变化,并结合截图进展说明。6. 实验思考题(1 )如何检查系统是否允许guest账户登陆?(2)三种日志文件分别记录什么样的事件?7. 选做可百度具体操作方法1下载并使用MBSA工具2下载并使用加密软件EFS加密硬盘数据3NTFS格式下文件夹的加密与破解4windowsXP开机密码破解5关闭和翻开网络效劳端口先百度为什么要关闭端口
