系統(tǒng)安全配置

1、實(shí)驗(yàn)設(shè)備 中軟吉大設(shè)備，主機(jī)6臺(tái)。實(shí)驗(yàn)拓?fù)?#160;實(shí)驗(yàn)過(guò)程簡(jiǎn)介 1. 用戶權(quán)限管理    (1) 查看用戶SID    (2) Windows系統(tǒng)權(quán)限四項(xiàng)原則    (3) NTFS分區(qū)的磁盤(pán)配額操作2. 注冊(cè)表安全設(shè)置    (1) 禁用注冊(cè)表的遠(yuǎn)程訪問(wèn)    (2) 禁用系統(tǒng)調(diào)試信息自動(dòng)保存    (3)

2、60;禁用系統(tǒng)資源共享    (4) 禁用系統(tǒng)頁(yè)面交換    (5) 修改TTL防主機(jī)類型探測(cè)3. TCP/IP篩選    (1) 測(cè)試服務(wù)正常工作驗(yàn)證    (2) 啟用TCP/IP篩選阻斷測(cè)試服務(wù)訪問(wèn)    (3) 測(cè)試服務(wù)重新驗(yàn)證    (4) TCP/IP篩選允許端口測(cè)試實(shí)驗(yàn)步驟 一. 用戶權(quán)限管理【實(shí)驗(yàn)說(shuō)明】實(shí)驗(yàn)開(kāi)始前

3、，首先使用分組切換器將實(shí)驗(yàn)主機(jī)切換到理論學(xué)習(xí)環(huán)境中；將智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)切換到“網(wǎng)絡(luò)結(jié)構(gòu)一”；主機(jī)A、B、C、D、E、F使用【快照】將Windows虛擬機(jī)恢復(fù)到“網(wǎng)絡(luò)結(jié)構(gòu)1”的狀態(tài)；該實(shí)驗(yàn)每組1人，實(shí)驗(yàn)步驟以主機(jī)A所在組為例進(jìn)行說(shuō)明，其它組的操作參考主機(jī)A所在組的操作。1. SID查看    (1) 在命令提示符中輸入“whoami /user”命令    顯示信息形式如下：    用戶名         

4、60;           SID    = =    000c2913aa0eadministrator S-1-5-21-1227453606-851076807-3559088397-500    由如上信息可以分析出：主機(jī)000c2913aa0e的用戶administrator的SID為1-5-21-1227453606-851076807-3559088397-500。2. 權(quán)限的四項(xiàng)基本原則演示

5、    (1) 拒絕優(yōu)先原則        (a) 鼠標(biāo)右鍵單擊“我的電腦”，選擇“管理”菜單項(xiàng)，然后選擇“系統(tǒng)工具->本地用戶和組->用戶”，右鍵選擇“新用戶”菜單項(xiàng)，如下圖所示。在彈出的新用戶對(duì)話框中，填寫(xiě)用戶名“test”，并設(shè)置“密碼永不過(guò)期”。單擊“創(chuàng)建”按鈕創(chuàng)建新用戶。圖5-1-1 創(chuàng)建新用戶        (b) 創(chuàng)建組       

6、; 鼠標(biāo)右鍵單擊“本地用戶和組->組”，選擇“新建組”。在彈出的對(duì)話框中新建組A、B，并將剛剛新建的test用戶分別添加到組A、B中，如下圖所示。圖5-1-2 創(chuàng)建用戶組并添加組成員        (c) 在C盤(pán)中新建名為test的文件夾，在里面新建文本文件test.txt，內(nèi)容任意。        (d) 鼠標(biāo)右鍵單擊test.txt文件，選擇“屬性”，在“安全”選項(xiàng)卡中，單擊“添加”按鈕，將包含test用戶的組A、B添加進(jìn)來(lái)，將組A的權(quán)限設(shè)置成“

7、允許完全控制”，組B的權(quán)限設(shè)置成“拒絕讀取”。單擊“確定”按鈕，在彈出的“安全”提示框中單擊“是”按鈕。        (e) 注銷當(dāng)前用戶，使用新建的test用戶登錄，進(jìn)入C:test目錄，訪問(wèn)test.txt文件?？梢园l(fā)現(xiàn)用戶test不能讀取該文件的內(nèi)容。    (2) 權(quán)限最小原則        (a) 使用Administrator用戶登錄系統(tǒng)，新建用戶test2。創(chuàng)建完畢后，在test2用戶上雙擊鼠標(biāo)左鍵，彈出“te

8、st2 屬性”對(duì)話框，切換到“隸屬于”頁(yè)簽?？梢园l(fā)現(xiàn)默認(rèn)情況下用戶test2隸屬于Users組。        (b) 注銷當(dāng)前用戶，使用test2用戶登錄系統(tǒng)，嘗試修改C:WINDOWS目錄中的文件。可以發(fā)現(xiàn)用戶test2不能修改C:WINDOWS目錄中的文件。    (3) 權(quán)限繼承原則        (a) 使用Administrator用戶登錄系統(tǒng)，新建用戶test31、test32。   

9、;     (b) 在C盤(pán)中新建名為test3的文件夾，將其權(quán)限設(shè)置成對(duì)test31用戶完全控制，test32用戶只可以讀取。        (c) 在test3目錄中新建名為subtest3的文件夾。        (d) 分別使用test31、test32用戶登錄系統(tǒng)，訪問(wèn)目錄C:test3subtest3?？梢园l(fā)現(xiàn)用戶test31對(duì)subtest3文件夾擁有完全控制權(quán)限，用戶test32對(duì)subtest3文件夾擁有只讀權(quán)限。 &#

10、160;      注：對(duì)于用戶test32來(lái)說(shuō)，如果administrator用戶在C:test3subtest3目錄下創(chuàng)建了一個(gè)文件，則test32用戶對(duì)該文件只有“讀取”的權(quán)限，而不具備其它權(quán)限；但是test32用戶可以在C:test3subtest3目錄下創(chuàng)建文件或者文件夾，并可對(duì)其內(nèi)容進(jìn)行修改。其原因是：test32用戶隸屬于Users組，而Users組中用戶對(duì)整個(gè)C盤(pán)擁有創(chuàng)建文件和創(chuàng)建文件夾的權(quán)限，根據(jù)權(quán)限繼承原則，則test32用戶也就對(duì)C:test3subtest3目錄擁有了創(chuàng)建文件或者文件夾的權(quán)限。如果administrato

11、r用戶清除了C盤(pán)Users組用戶的創(chuàng)建文件或者文件夾權(quán)限，則用戶test32便不能在C:test3subtest3目錄下創(chuàng)建文件或者文件夾。同學(xué)們可自行嘗試。    (4) 權(quán)限累加原則        (a) 使用Administrator用戶登錄系統(tǒng)，在C盤(pán)中新建名為test4的文件夾，然后在test4文件夾中再新建文件夾subtest4。        (b) 新建用戶test4，默認(rèn)隸屬于Users組。 

12、60;      (c) 設(shè)置文件夾subtest4權(quán)限，對(duì)test4只有寫(xiě)權(quán)限。        (d) 設(shè)置文件夾test4權(quán)限，對(duì)test4只有讀取和運(yùn)行的權(quán)限。        (e) 注銷當(dāng)前用戶，使用test4用戶登錄系統(tǒng)，訪問(wèn)目錄C:test4subtest4?？梢园l(fā)現(xiàn)用戶test4對(duì)C:test4subtest4目錄同時(shí)擁有讀取、執(zhí)行與寫(xiě)權(quán)限。3. NTFS分區(qū)上分配磁盤(pán)配額    (

13、1) 使用Administrator用戶登錄系統(tǒng)，新建用戶test5，默認(rèn)隸屬Users組。    (2) 在C盤(pán)中單擊鼠標(biāo)右鍵，選擇“屬性”，打開(kāi)磁盤(pán)屬性菜單，選擇磁盤(pán)屬性對(duì)話框中的“配額”選項(xiàng)卡。勾選“啟用配額管理”和“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶”。圖5-1-3 開(kāi)啟磁盤(pán)配額功能        單擊“配額項(xiàng)”按鈕，進(jìn)入配額項(xiàng)管理。選擇“配額”菜單中的“新建配額項(xiàng)”，進(jìn)入選擇用戶界面添加test5用戶。圖5-1-4 為用戶test5指定磁盤(pán)配額   

14、60;    在“添加新配額項(xiàng)”界面中勾選“將磁盤(pán)空間限制為”，調(diào)整配額值為5MB，“將警告等級(jí)”設(shè)為1KB，單擊“確定”按鈕，完成配額添加。圖5-1-5 用戶test5磁盤(pán)配額項(xiàng)細(xì)則    (3) 注銷當(dāng)前用戶，使用test5登錄系統(tǒng)，在C盤(pán)中新建一個(gè)文件夾test5，復(fù)制C:Program FilesTiger221文件夾及其內(nèi)容(大小超過(guò)5MB)到test5文件夾中?？梢园l(fā)現(xiàn)當(dāng)用戶test5在C盤(pán)上使用的磁盤(pán)空間超過(guò)5MB時(shí)，系統(tǒng)會(huì)提示用戶test5沒(méi)有可用的磁盤(pán)空間 。同時(shí)切換到Administrator用戶登錄系統(tǒng)，并在本地

15、磁盤(pán)C的配額項(xiàng)中可以觀察到相應(yīng)的警告信息。二. 注冊(cè)表安全設(shè)置【實(shí)驗(yàn)說(shuō)明】該實(shí)驗(yàn)每組1人，實(shí)驗(yàn)步驟以主機(jī)A所在組為例進(jìn)行說(shuō)明，其它組的操作參考主機(jī)A所在組的操作。1. 清空遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑    Windows2003操作系統(tǒng)提供了注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空，才能有效地防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息。    打開(kāi)系統(tǒng)“管理工具”，選擇“本地安全策略”，將“本地策略->安全選項(xiàng)”中的“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”、“可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑

16、”兩項(xiàng)策略清空。如圖5-1-6所示。圖5-1-6 設(shè)置可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑2. 關(guān)閉自動(dòng)保存隱患    Windows2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯(cuò)時(shí)，系統(tǒng)會(huì)自動(dòng)將一些重要的調(diào)試信息保存起來(lái)，以便日后維護(hù)系統(tǒng)時(shí)查看，不過(guò)這些信息很有可能被黑客利用，一旦獲取的話，各種重要的調(diào)試信息就會(huì)暴露無(wú)疑。    (1) 在“開(kāi)始->運(yùn)行”中輸入regedit，打開(kāi)“注冊(cè)表編輯器”，如圖5-1-7所示。圖5-1-7 注冊(cè)表編輯器    (2) 依次展開(kāi)HKE

17、Y_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAeDebug分支，設(shè)置“Auto”項(xiàng)的鍵值為0。3. 關(guān)閉資源共享隱患    為了給局域網(wǎng)用戶相互之間傳輸信息帶來(lái)方便，Windows2003系統(tǒng)提供了文件和打印共享功能，不過(guò)我們?cè)谙硎茉摴δ軒?lái)便利的同時(shí)，共享功能也給黑客入侵提供了方便。    通過(guò)網(wǎng)上鄰居設(shè)置“本地連接”，在“本地連接 屬性”的“常規(guī)”選項(xiàng)卡中，取消勾選“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。4. 關(guān)閉頁(yè)面交換隱患 

18、   Windows 2003操作系統(tǒng)中的頁(yè)面交換文件中，其實(shí)隱藏很多重要隱私信息，這些信息都是在動(dòng)態(tài)中產(chǎn)生的，要是不及時(shí)將它們清除，就很有可能成為黑客的入侵突破口。    打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management分支，設(shè)置ClearPageFileAtShutdown項(xiàng)的鍵值為1。5. 防火墻TTL主機(jī)類型探測(cè)    (1) 選擇“開(kāi)始->運(yùn)行”菜單項(xiàng)，彈

19、出“運(yùn)行”對(duì)話框，并輸入“cmd”命令，彈出“命令提示符”，輸入命令“ping ”。        可以發(fā)現(xiàn)返回TTL值為64，說(shuō)明本機(jī)使用的是Windows 2003操作系統(tǒng)。    (2) 選擇“開(kāi)始->運(yùn)行”菜單項(xiàng)，彈出“運(yùn)行”對(duì)話框，并輸入“regedit”命令，打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters，修改DefaultTTL值為十進(jìn)制110。重啟系統(tǒng)，使用ping命令查看本機(jī)TTL值此時(shí)變成了修改后的110。這樣其它用戶便不能通過(guò)ping操作返回到TTL值來(lái)判斷目的主機(jī)的操作系統(tǒng)類型。三. TCP/IP篩選【實(shí)驗(yàn)說(shuō)明】該實(shí)驗(yàn)每組2人，主機(jī)A和B作為一組，主機(jī)C和D作為一組，主機(jī)E和F作為一組，實(shí)驗(yàn)步驟以主機(jī)A、B所在組為例進(jìn)行說(shuō)明，其它組的操作參考主機(jī)A、B所在組的操作。主機(jī)C、F的操作與主機(jī)A的相同，主機(jī)D、E的操作與主機(jī)B的相同。1. 主機(jī)B在IE瀏覽器中使用“http:/主機(jī)A的IP地址:80”訪問(wèn)主機(jī)A的Web服務(wù)(80/tcp)，確定主機(jī)A的Web服務(wù)正常。2. 主機(jī)A通過(guò)“網(wǎng)上鄰居”找到“