Windows操作系統(tǒng)安全

1、實驗報告實驗名稱Windows操作系統(tǒng)安全實驗?zāi)康耐ㄟ^實驗掌握Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模版的使用、審核和日志的啟用，建立一個Windows操作系統(tǒng)的基本安全框架。使用儀器實驗環(huán)境使用儀器及實驗環(huán)境：一臺裝有Windows2000或者XP操作系統(tǒng)的計算機、磁盤格式配置為NTFS。實驗內(nèi)容在Windows2000或者XP操作系統(tǒng)中，相關(guān)安全設(shè)置會稍有不同，但大同小異，所有的設(shè)置均以管理員（Administrator）身份登錄系統(tǒng)。任務(wù)一：賬戶和口令的安全設(shè)置任務(wù)二：文件系統(tǒng)安全設(shè)置任務(wù)三：用加密軟件EPS加密硬盤數(shù)據(jù)任務(wù)四：啟用審核與日志查看任務(wù)五：

2、啟用安全策略與安全模塊實驗步驟：任務(wù)一 賬戶和口令的安全設(shè)置1、刪除不再使用的賬戶，禁用guest賬戶（1）檢查和刪除不必要的賬戶。右擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用戶和密碼”項；在彈出的對話框中選擇從列出的用戶里刪除不需要的賬戶。（2）guest賬戶的禁用。右鍵單擊guest用戶，選擇“屬性”，在彈出的對話框中“賬戶已停用”一欄前打勾；確定后，guest前的圖標(biāo)上會出現(xiàn)一個紅色的叉，此時賬戶被禁用。 2、啟用賬戶策略賬戶策略是Windows賬戶管理的重要工具。打開“控制面板”“管理工具”“本地安全策略”，選擇“用戶策略”。雙擊“密碼策略”，用于決定系統(tǒng)密碼的安全規(guī)

3、則和設(shè)置。其中，符合復(fù)雜性要求的密碼是具有相當(dāng)長度、同時含有數(shù)字、大小寫字母和特殊字符的序列。雙擊其中每一項，可按照需要改變密碼特殊的設(shè)置。（1）雙擊“密碼密碼必須符合復(fù)雜性要求”，選擇“啟用”。打開“控制面板”中“用戶和密碼”項，在彈出的對話框中選擇一個用戶后，單擊“設(shè)置密碼”按鈕。在出現(xiàn)的設(shè)置密碼窗口中輸入密碼。此時密碼符合設(shè)置的密碼要求。（2）雙擊上圖中的“密碼長度最小值”；在彈出的對話框中可設(shè)置可被系統(tǒng)接納的賬戶密碼長度最小值。一般為達(dá)到較高安全性，密碼長度最小值為8。（3）雙擊“密碼最長存留期”，在對話框中設(shè)置系統(tǒng)要求的賬戶密碼的最長使用期限為42天。設(shè)置密碼自動保留期，用來提醒用戶

4、定期修改密碼，防止密碼使用時間過長帶來的安全問題。（4）雙擊“密碼最短保留期”，設(shè)置密碼最短存留期為7天。在密碼最短保留期內(nèi)用戶不能修改密碼，避免入侵的攻擊者修改帳戶密碼。（5）雙擊“強制密碼歷史”和“為域中所有用戶使用可還原的加密存儲密碼”，在相繼彈出的類似對話框中，設(shè)置讓系統(tǒng)記住的密碼數(shù)量和是否設(shè)置加密存儲密碼。至此，密碼策略設(shè)置完成。3、開機時設(shè)置為“不自動顯示上次登錄”Windows默認(rèn)設(shè)置為開機時自動顯示上次登錄的帳戶名，許多用戶也采用了這一設(shè)置。這對系統(tǒng)來說是很不安全的，攻擊者會從本地或Terminal Service的登錄界面看到用戶名。4、禁止枚舉帳戶名為了便于遠(yuǎn)程用戶共享本地

5、文件，Windows默認(rèn)設(shè)置遠(yuǎn)程用戶可以通過空連接枚舉出所有本地帳戶名，這給了攻擊者可乘之機。要禁用枚舉賬戶名，執(zhí)行下列操作：打開“本地安全策略”項，選擇“本地策略”中的“安全選項”，選擇“對匿名連接的額外限制”項，在“本地策略設(shè)置”中選擇“不允許枚舉SAM賬戶和共享”任務(wù)二：文件系統(tǒng)安全設(shè)置（1）打開采用NTFS格式的磁盤，選擇一個需要設(shè)置用戶權(quán)限的文件夾。（2）右擊選擇“屬性”，在工具欄中選擇“安全”。（3）將“允許將來自父系的可能繼承權(quán)限傳播給該對象”之前的勾去掉，以去掉來自父系文件夾的繼承權(quán)限。（4）選中列表中的Everyone組，單擊“刪除”按鈕，刪除Everyone組的操作權(quán)限。

6、由于新建的用戶往往都?xì)w屬于Everyone組，而Everyone組在缺省情況下對所有系統(tǒng)驅(qū)動器都具有完全控制權(quán)，刪除Everyone組的操作權(quán)限可以對新建用戶的權(quán)限進(jìn)行限制。（5）選擇相應(yīng)用戶組，在對應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶對該文件夾的操作權(quán)限。（6）單擊“高級”按鈕，查看各用戶組的權(quán)限。任務(wù)三：用加密軟件EPS加密硬盤數(shù)據(jù)（1）打開控制面板中的“用戶和密碼”，創(chuàng)建一個名為MYUSER的新用戶。（2）打開磁盤格式為NTFS的磁盤，選擇要進(jìn)行加密的文件夾，這里仍選擇E:“工具備份”。（3）右擊打開“屬性”窗口，選擇“常規(guī)”選項，單擊“高級”按鈕。（4）選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”，單擊“確

7、定”。（5）注銷后登錄剛新建的用戶，發(fā)現(xiàn)無法打開該文件，說明已經(jīng)加密。（6）再次切換用戶，以原來加密文件夾的管理員賬戶登錄系統(tǒng)。單擊“開始”按鈕，在“運行”框中輸入mmc，打開系統(tǒng)控制臺。單擊左上角的“控制臺”按鈕，選擇“添加刪除管理單元”“添加”“證書”。（7）在控制臺窗口左側(cè)的目錄樹中選擇“證書”“個人”“證書”。用于加密文件系統(tǒng)的證書顯示在右側(cè)的窗口中。（8）選中用于EFS的證書，單擊右鍵，在菜單中單擊“所有任務(wù)”“導(dǎo)出”“歡迎使用證書導(dǎo)出向?qū)А?“下一步”“是，導(dǎo)出私鑰”，然后設(shè)置保護(hù)私鑰的密碼，將導(dǎo)出的證書另行保存，完成證書導(dǎo)出。（9）再次切換用戶，以新建的MYUSER登錄系統(tǒng)，重復(fù)

8、（7）、（8），導(dǎo)入證書。（10）輸入在步驟（9）中為保護(hù)私鑰設(shè)置的密碼，選擇將證書放入“個人”存儲區(qū)中，完成導(dǎo)入。（11）再次雙擊加密文件夾中的文件，文件可以正常打開。任務(wù)四：啟用審核與日志查看1、打開審核策略（1）打開“控制面板”中“管理工具”，選擇“本地安全策略”；（2）打開“本地安全策略”中“審核策略”；（3）雙擊可啟用該項策略。2、查看事件日志（1）打開“管理工具”雙擊“事件查看器”。（2）雙擊“安全日志”。查看有效無效等安全事件的具體記錄。任務(wù)五：啟用安全策略與安全模版1、啟用安全模板 （1）單擊“開始”，選擇“運行”按鈕，輸入mmc，打開系統(tǒng)控制臺。（2）單擊工具欄上的“控制臺”

9、，在彈出的菜單中選擇“添加/刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”“安全配置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，再“確定”。（3）打開“安全模板”，右鍵單擊模板，選擇“設(shè)置描述”。選擇“打開”，雙擊可看相關(guān)配置。（4）右鍵單擊“安全配置與分析”，選擇“打開數(shù)據(jù)庫”。輸入欲新建安全數(shù)據(jù)庫的名稱。單擊“打開”，根據(jù)計算機準(zhǔn)備配置成的安全級別，選擇一個安全模板將其導(dǎo)入。（5）右鍵單擊“安全配置與分析”，選擇“立即分析計算機”，單擊“確定”按鈕。系統(tǒng)開始按照上一步中選定的安全模板，以當(dāng)前系統(tǒng)的安全設(shè)置是否符合要求進(jìn)行分析。分析完畢后可在目錄中選擇查看各安全設(shè)置的分析結(jié)果。

10、（6）右鍵單擊，選擇“立即配置計算機”，則按照所選擇的安全模板的要求對當(dāng)前系統(tǒng)進(jìn)行配置。對比雇用安全模板前后系統(tǒng)的安全設(shè)置，選用安全模板級別較高，則使用安全模板后系統(tǒng)的安全配置選項增加了許多。2、創(chuàng)建安全模板（1）重復(fù)任務(wù)五中第1部分（1）（4）步，打開“安全模板”，右鍵單擊，選擇“新加模板”，在彈出對話框中填入欲新加入模板名稱mytem，在“安全模板描述”中填入“自設(shè)模板”。（2）雙擊mytem，在顯示的安全策略列表中雙擊“賬戶策略”下的“密碼策略”，其中任一項均顯示“沒有定義”。（3）在“模板中定義這個策略設(shè)置”前打勾，在框中填入密碼的最小長度7。（4）依次設(shè)定“賬戶策略”、“本地策略”等項目中的每項安全策略，直至完成安全模板的設(shè)置。至此，自設(shè)安全模板mytem創(chuàng)建完畢。實驗結(jié)果及理論分析：實驗從這五方面進(jìn)行Windows操作系統(tǒng)的安全設(shè)置，分別是：1、賬戶口令的安全設(shè)置 2、文件系統(tǒng)安全設(shè)置 3、用加密軟件4、EPS加密硬盤數(shù)據(jù) 5、啟用審核與日志查看啟用安全策略與安全模塊。1、通過賬戶口令的安全設(shè)置，有效地減少了黑客攻擊的成功率，一般電腦都使用Windows默認(rèn)的賬戶口令，通過修改，提高了電腦的安全性能。2、磁盤數(shù)據(jù)也是被攻擊的對象，NFTS格式的文件，是一種安全文件系統(tǒng)，通過設(shè)置文件夾的權(quán)限，限制了其他