Windows操作系統(tǒng)安全

1、Windows操作系統(tǒng)安全實驗名稱Windows操作系統(tǒng)安全實驗?zāi)康耐ㄟ^實驗把握 Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的愛護和加密、安全策 略與安全模版的使用、審核和日志的啟用，建立一個Windows操作系統(tǒng)的差不多安全框架。使用儀器 實驗環(huán)境使用儀器及實驗環(huán)境：一臺裝有 Windows2000或者XP操作系統(tǒng)的運算機、磁盤 格式配置為NTFS實驗內(nèi)容在Windows2000或者XP操作系統(tǒng)中，有關(guān)安全設(shè)置會稍有不同，但大同小異， 所有的設(shè)置均以治理員(Administrator )身份登錄系統(tǒng)。任務(wù)一：賬戶和口令的安全設(shè)置任務(wù)二：文件系統(tǒng)安全設(shè)置任務(wù)三：用加密軟件EP劭口密硬盤數(shù)據(jù)任

2、務(wù)四：啟用審核與日志查看任務(wù)五：啟用安全策略與安全模塊實驗步驟：任務(wù)一賬戶和口令的安全設(shè)置1、刪除/、再使用的賬戶，禁用guest賬戶(1)檢查和刪除不必要的賬戶。右志“開始”按鈕，打開“資源治理器”,選擇“操縱面板”中的“用戶和密碼”項； 在彈出的對話框中選擇從列出的用戶里刪除/、需要的賬戶。(2) guest賬戶的禁用。右鍵單擊guest用戶，選擇“屬性”，在彈出的對話框中“賬戶已停用” 一欄前打勾； 確定后，guest前的圖標(biāo)上會顯現(xiàn)一個紅色的叉，現(xiàn)在賬戶被禁用。|.國 立件 梯作 音看出 窗口電） 幫時M,|g|x|，時函團造畬四旦“苴機營理冰地）名稱生名描逑-孤系統(tǒng)工A+我事件查看案

3、Ailmihistr.管理計篁機（域）的內(nèi)置帖戶ifiGuest"鋌菜賓看同訐就戢訪同毓j西±）0共享文件典-S本地用戶帝隨0用尸us+ &性能日志情報 瑪設(shè)備管珅器-當(dāng)存儲+i號可移動存儲期磁施碎片會理程序 著磁心管理± Ju服冬和匣用程序密謁i或'二:二"'"'翩第福斯?fàn)幭鄳?想慎送襄稀斯曲解聲”雷利IT0RT.3, CMicrcsca Ccrporu.這是一T幫助和支持服務(wù)的提供 w以降之名h3iCJII| cuGTTB強留'常規(guī)一厘于配置文件Gnest全名1）：|描述!）：供來賓訪向訐算機或訪同庭

4、的內(nèi)置帳P用戶下次登錄時£更更改整嗎（W叵用尸不能更或密碼©0密碼永不過期值0帳戶已停用瑜n帳戶已演定w福定11取消應(yīng)用12 、啟用賬戶策略賬戶策略是 Windows賬戶治理的重要工具打開“操縱面板” 一 “治理工具” 一 “本地安全策略”，選擇“用戶策略” 雙擊“密碼策略”，用于決定系統(tǒng)密碼的安全規(guī)則和設(shè)置。其中，符合復(fù)雜性要求的密碼是具有相當(dāng)長度、同時含有數(shù)字、大小寫字母和專門字符 的序列。雙擊其中每一項，可按照需要改變密碼專門的設(shè)置。(1)雙擊“密碼密碼必須符合復(fù)雜性要求”，選擇“啟用”。打開“操縱面板”中“用戶和密碼”項，在彈出的對話框中選擇一個用戶后，單擊“設(shè) 置

5、密碼”按鈕。在顯現(xiàn)的設(shè)置密碼窗口中輸入密碼。現(xiàn)在密碼符合設(shè)置的密碼要求。(2)雙擊上圖中的“密碼長度最小值”；在彈出的對話框中可設(shè)置可被系統(tǒng)接納的賬戶 密碼長度最小值。一樣為達(dá)到較高安全性，密碼長度最小值為8。(3)雙擊“密碼最長存留期”，在對話框中設(shè)置系統(tǒng)要求的賬戶密碼的最長使用期限為 42大。設(shè)置密碼自動保留期，用來提醒用戶定期修改密碼，防止密碼使用時刻過長帶來的安 全咨詢題。(4)雙擊“密碼最短保留期”，設(shè)置密碼最短存留期為 7天。在密碼最短保留期內(nèi)用戶 不能修改密碼，幸免入侵的攻擊者修改帳戶密碼。(5)雙擊“強制密碼歷史”和“為域中所有用戶使用可還原的加密儲備密碼”，在相繼彈出的類似對

6、話框中，設(shè)置讓系統(tǒng)記住的密碼數(shù)量和是否設(shè)置加密儲備密碼。至此，密碼策略設(shè)置完成。3、開機時設(shè)置為“不自動顯示上次登錄”Windows默認(rèn)設(shè)置為開機時自動顯示上次登錄的帳戶名，許多用戶也采納了這一設(shè)置。這對系統(tǒng)來講是專門不安全的，攻擊者會從本地或Terminal Service的登錄界面看到用戶名。文件里）源作3）更有卬都助（W于安全役置+i罵帳F策略s 3本地策略lj畝核策噸L3用戶權(quán)利指派i1四妥全選理± 占鑰策咯不我件限制策略±|同I?安全策暗，在本地二界幽Mibsoft網(wǎng)絡(luò)客戶：數(shù)字答. 畿柜江t幽客戶：數(shù)下重.一 回故障俵復(fù)控制臺：允許對所有 跚敵瞰復(fù)確脂；允許自動

7、泵 福關(guān)機.清理虛擬內(nèi)存頁面文件 耨1美機：允許在生饕錄前關(guān)機上不顯示上次的用.已停用安全設(shè)置 已啟用 巴停用 已停用 已停用 沒有定義 已啟用閾交互式登錄：不需要揩CIEL+.也有定義 弱交互式矍錄：登話鎮(zhèn)定時顯示.設(shè)有定義 破|交互式登錄：可被蟄沖保存的一 N次登錄 展交互式登錄；要求域控帶盤身. 已停用遺交互式錄：要求智能卡沒有定義到交互式登錄：用戶試圖登錄時.橫有定義 超交互式登錄：用尸試圖登錄時.4、禁止枚舉帳戶名為了便于遠(yuǎn)程用戶共享本地文件，Windows默認(rèn)設(shè)置遠(yuǎn)程用戶能夠通過空連接枚舉出所有 本地帳戶名，這給了攻擊者可乘之機。要禁用枚舉賬戶名，執(zhí)行下列操作：打開“本地安全策略”

8、項，選擇“本地策略”中的“安全選項”，選擇“對匿名連接的額外限制”項，在“本地策略設(shè)置”中選擇“不承諾枚舉SAMt戶和共享”任務(wù)二：文件系統(tǒng)安全設(shè)置(1)打開采納NTFS&式的磁盤，選擇一個需要設(shè)置用戶權(quán)限的文件夾。(2)右擊選擇“屬性”，在工具欄中選擇“安全”。(3)將“承諾今后自父系的可能繼承權(quán)限傳播給該對象”之前的勾去掉，以去掉來自父 系文件夾的繼承權(quán)限。(4)選中列表中的Everyone組，單擊“刪除”按鈕，刪除 Everyone組的操作權(quán)限。由于新建的用戶往往都?xì)w屬于 Everyone組，而Everyone組在缺省情形下對所有系統(tǒng)驅(qū) 動器都具有完全操縱權(quán)，刪除Everyone

9、組的操作權(quán)限能夠?qū)π陆ㄓ脩舻臋?quán)限進行限制。(5)選擇相應(yīng)用戶組，在對應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶對該文件夾的操作權(quán)限。(6)單擊“高級”按鈕，查看各用戶組的權(quán)限。任務(wù)三：用加密軟件 EPS加密硬盤數(shù)據(jù)(1)打開操縱面板中的“用戶和密碼”，創(chuàng)建一個名為MYUSER新用戶。(2)打開磁盤格式為NTFS勺磁盤，選擇要進行加密的文件夾，那個地點仍選擇“二具備份”。(3)右擊打開“屬性”窗口，選擇“常規(guī)”選項，單擊“高級”按鈕。(4)選擇“加密內(nèi)容以便愛護數(shù)據(jù)”，單擊“確定”。(5)注銷后登錄剛新建的用戶，發(fā)覺無法打開該文件，講明差不多加密。(6)再次切換用戶，以原先加密文件夾的治理員賬戶登錄系統(tǒng)。單

10、擊“開始”按鈕，在 “運行”框中輸入mmc打開系統(tǒng)操縱臺。單擊左上角的“操縱臺”按鈕，選擇“添加/刪除 治理單元” 一 “添加” 一 “證書”。(7)在操縱臺窗口左側(cè)的名目樹中選擇“證書”“個人” “證書”。用于加密文件系統(tǒng)的證書顯示在右側(cè)的窗口中。(8)選中用于EFS的證書，單擊右鍵，在菜單中單擊“所有任務(wù)” 一 “導(dǎo)出” 一 “歡迎 使用證書導(dǎo)出向?qū)А?一 “下一步” 一 “是，導(dǎo)出私鑰”，然后設(shè)置愛護私鑰的密碼，將導(dǎo)出 的證書另行儲存，完成證書導(dǎo)出。(9)再次切換用戶，以新建的 MYUSER錄系統(tǒng)，重復(fù)(7)、(8),導(dǎo)入證書。(10)輸入在步驟(9)中為愛護私鑰設(shè)置的密碼，選擇將證書放

11、入“個人”儲備區(qū)中， 完成導(dǎo)入。(11)再次雙擊加密文件夾中的文件，文件能夠正常打開。任務(wù)四：啟用審核與日志查看1、打開審核策略(1)打開“操縱面板”中“治理工具”，選擇“本地安全策略”；(2)打開“本地安全策略”中“審核策略”；(3)雙擊可啟用該項策略。手安全設(shè)置-W帳尸策珞3密碼策略出冷帳尸物定策略-2本地策略且審核策略+ R用尸權(quán)利指漱田君安全選項十二i公鑰策瞄*二j軟件限制策略+翥IF安全策嚕，在本地蟲文件®操作 查看 幫助血)的哈留回ITJNHRFIFI一-回事件互看器本地)應(yīng)用程序安生性泉繞ACSInternet Explorer(2)雙擊“安全日志”名稱類型描逑大小22

12、1-1噂1 ;KI -f二- -m 一 三KKrlKKL厘用程序安全性系統(tǒng)ACSI liter jiet Explorer志志志志志日日日日日應(yīng)用程序錯誤記錄安全畝核記錄系統(tǒng)錯設(shè)記錄自定義日志文件的錯謖記錄自定義日志文件的錯誤記錄4姐64. D KB44B.查看有效無效等安全事件的具體記錄文件 操作 查看過)幫助皿 園回策略安全設(shè)道圈審核策略更改無審桂遐審核登錄事件無審核圓審祗對藕訪問 無審核 獻審核過程追蹤 無畝核 踐審祓目錄服務(wù)訪問 無審核. 骷本根特權(quán)使用 無審核 量審核浜線事件 無審梭嗣審核幡戶登錄事件無審檀圓苣置物5宣野：二無更強2、查看事件日志(1)打開“治理工具”雙擊“事件查看器

13、”。文件望)操作 查看 幫助國)園麗囪團咯國回程性r er息息息息息息 信信信信信信263個事件日斯 2010-11-102010-11-102010-11-10 zaio-u-io 2D10-11-10 zoio-ii-ia 2010-11-10 2010-11-10來源Hl -1ccxrosmingccicr Osumi ng但c CKr o ani i ng但ccKsr oiuniixgccsrec exrowingccxrowiiiiecaQ時間19:40:0419:29:0919j05:0Q16:05:031Q:OE:O1 19:05:01ie：11:19 15:59:31任務(wù)五：啟

14、用安全策略與安全模版1、啟用安全模板(1)單擊“開始”，選擇“運行”按鈕，輸入 mmc打開系統(tǒng)操縱臺。(2)單擊工具欄上的“操縱臺”，在彈出的菜單中選擇“添加/刪除治理單元”，單擊“添 加”，在彈出的窗口中分不選擇“安全模板” “安全配置和分析”，單擊“添加”按鈕后，關(guān)閉 窗口，再“確定”。(3)打開“安全模板”，右鍵單擊模板，選擇“設(shè)置描述”。選擇“打開”，雙擊可看有 關(guān)配置。(4)右鍵單擊“安全配置與分析”，選擇“打開數(shù)據(jù)庫”。輸入欲新建安全數(shù)據(jù)庫的名稱。 單擊“打開”，按照運算機預(yù)備配置成的安全級不，選擇一個安全模板將其導(dǎo)入。(5)右鍵單擊“安全配置與分析”，選擇“趕忙分析運算機”，單擊

15、“確定”按鈕。系統(tǒng) 開始按照上一步中選定的安全模板，以當(dāng)前系統(tǒng)的安全設(shè)置是否符合要求進行分析。分析完 畢后可在名目中選擇查看各安全設(shè)置的分析結(jié)果。(6)右鍵單擊，選擇“趕忙配置運算機”，則按照所選擇的安全模板的要求對當(dāng)前系統(tǒng) 進行配置。對比雇用安全模板前后系統(tǒng)的安全設(shè)置，選用安全模板級不較高，則使用安全模板后系 統(tǒng)的安全配置選項增加了許多。2、創(chuàng)建安全模板(1)重復(fù)任務(wù)五中第1部分(1) (4)步，打開“安全模板”，右鍵單擊，選擇“新加 模板”，在彈出對話框中填入欲新加入模板名稱 myteni在“安全模板描述”中填入“自設(shè)模 板”。(2)雙擊mytem,在顯示的安全策略列表中雙擊“賬戶策略”下的“密碼策略”,其中任 一項均顯示“沒有定義”。(3)在“模板中定義那個策略設(shè)置”前打勾，在框中填入密碼的最小長度7。(4)依次設(shè)定“賬戶策略”、“本地策略”等項目中的每項安全策略，直至完成安全模板的設(shè)置。至此，自設(shè)安全模板mytem創(chuàng)建完畢。實驗結(jié)果及理論分析:實驗從這五方面進行 Windows操作系統(tǒng)的安全設(shè)置，分不是：1、賬戶口令 的安全設(shè)置2、文件系統(tǒng)安全設(shè)置3、用加密軟件4、EPS加密硬盤數(shù)據(jù)5、啟 用審核與日志查看啟用安全策略與安全模塊。1、通過賬戶口令的安全設(shè)置，有效地減少了黑客攻擊的成功率，一樣電腦 都使用Window