windows-xp安全策略配置.doc

操作系统安全策略操作系统安全策略和基本配置原则：1.操作系统的安全策略：利用windowsXP的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全策略”，可以配置四类安全策略：账户策略，本地策略，公钥策略和IP安全策略。在默认情况下，这些策略都是没有开启的。2.关闭不必要的服务。3.关闭不必要的端口。4.开启审核策略。5.开启密码策略。6.开启账户策略。7.备份敏感文件。8.不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。9.禁止建立空连接。10.下载最新的补丁。任务一、账户和密码的安全设置1、删除不再使用的账户，禁用guest账户检查和删除不必要的账户右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户账户”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。禁用guest账户在上面的界面中单击guest账户，选择开启来宾账户，确定后，观察guest前的图标变化。再次单击guest账户，选择禁用来宾账户，确定后，观察guest前的图标变化。、启用账户策略设置密码策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。设置账户锁定策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如5次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如50min）。重启计算机，进行无效的登陆（如密码错误），当次数超过5次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。（在bupt-winxp_1中不能实现，因为每次关机后，本次用户设置都会丢失）3禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。任务二、关闭远程注册表服务默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务，如果黑客连接到我们的计算机并且计算机启用了远程注册表服务（RemoteRegistry）的话他还可以通过远程注册表操作系统任意服务，因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧，黑客可以通过命令行指令将服务轻松开启。要想彻底关闭远程注册表服务可以采用如下方法：1、通过任务栏的“开始-运行”，输入regedit进入注册表编辑器。2、找到注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的“RemoteRegistry”项。3、右键点击“RemoteRegistry”项，选择“删除”。任务三、设置登录系统时不显示上次登录的用户名用户在登录Windows2003时，Windows2003会自动在在登录对话框中显示出上次登录的用户名称，如果这是一台公共计算机，就有可能造成用户名的泄露，从而给一些不怀好意的人以可乘之机。如果你是系统管理员，你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消，这样Windows2003就会要求用户每次登录时都必须键入用户名，从而提高计算机的使用安全性。不显示上次登录的用户名1、打开“我的电脑”“控制面板”，双击打开“管理工具”。2、在“管理工具”界面中，双击打开“本地安全策略”。3、选择“本地策略”，然后选择“安全选项”。4、在“安全选项”列表中，双击“交互式登录：不显示上次的用户名”，启用该功能。任务四、设置注册表防止系统隐私信息被泄露在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。在注册表中进行设置1、如任务二，单击“开始”“运行”，输入“regedit”打开注册表编辑器。2、在注册表编辑器中找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”项。3、在右边对应的键值中找到“AUTO”，右键单击，在弹出的菜单中，选择“修改”。4、在弹出的“编辑字符串”对话框，“数值数据”下输入“0”，点击“确定”按钮，设置完成。任务五、启用审核与日志查看1启用审核策略(1)打开“控制面板”中的“管理工具”，选择“本地安全策略”。(2)打开“本地策略”中的“审核策略”，在实验报告中记录当前系统的审核策略。(3)双击每项策略可以选择是否启用该项策略，例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。2查看事件日志打开“控制面板”中的“管理工具”，双击“事件查看器“，在弹出的窗口中查看应用程序、系统、安全性的3种日志。任务六了解任务管理器Windows任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进程的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网络，那么还可以查看网络状态并迅速了解网络是如何工作的。对任务管理器有所了解可以帮助我们了解本机工作状态，及时发现安全威胁和隐患。1、启动任务管理器按Ctrl+Alt+Del进入任务管理器2、了解应用程序显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序，而QQ、MSNMessenger等最小化至系统托盘区的应用程序则并不会显示出来。1）选中并点击“结束任务”按钮直接关闭某个应用程序，如果需要同时结束多个任务，可以按住Ctrl键复选2）点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档或Internet资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新任务”的功能看起来有些类似于开始菜单中的运行命令。3、了解进程显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系统底层深处运行的病毒程序或木马程序都可以在这里找到，当然前提是你要知道它的名称。找到需要结束的进程名，然后执行右键菜单中的“结束进程”命令，就可以强行终止，不过这种方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使用。4.了解系统性能从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。PF使用情况：PF是页面文件pagefile的简写。但这个数字常常会让人误解，以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和，包括物理内存和虚拟内存。物理内存：计算机上安装的总物理内存，也称RAM，“可用数”物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。“系统缓存”被分配用于系统缓存用的物理内存量。主要来存放程序和数据等。一但系统或者程序需要，部分内存会被释放出来，也就是说这个值是可变的。认可用量总数：其实就是被操作系统和正运行程序所占用内存总和，包括物理内存和虚拟内存（pagefile）。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量，包括物理内存（RAM)和虚拟（pagefile）内存。“峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么增加pagefile，否则系统会给你颜色看的！核心内存：操作系统内核和设备驱动程序所使用的内存，“分页数”是可以复制到页面文件中的内存，一旦系统需要这部分物理内存的话，它会被映射到硬盘，由此可以释放物理内存；“未分页”是保留在物理内存中的内存，这部分不会被映射到硬盘，不会被复制到页面文件中。4.了解联网这里显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们可以在这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。5.了解用户这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字ID)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按钮重新登录，或者通过“断开”按钮连接与本机的连接，如果是局域网用户，还可以向其他用户发送消息呢。6、对windows任务管理器操作1）同时最小化多个窗口切换到“应用程序”标签页，按住Ctrl键同时选择需要同时最小化的应用程序项目，然