windows-xp安全策略配置

1、操作系统安全策略操作系统安全策略和基本配置原则：1. 操作系统的安全策略：利用windowsxp的安全配置工具來配置安全策略， 微软提供了一套基于管理控制台的安全配置和分析工具，可以配宜服务器的安全 策略，在管理工具中可以找到“本地安全策略”，可以配置四类安全策略：账 户策略，本地策略，公钥策略和ip安全策略。在默认情况下，这些策略都是没 有开启的。2 关闭不必要的服务。3 关闭不必要的端口。4. 开启审核策略。5. 开启密码策略。6. 开启账户策略。7. 备份敏感文件。8不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中 会显示上次登录的账户名，本地的登录对话框也是一样。黑客们

2、可以得到系统的 一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。9. 禁止建立空连接。10. 卜载最新的补j*o任务一、账户和密码的安全设置1、删除不再使用的账户，禁用guest账户（1）检查和删除不必要的账户右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户账 户”项；在弹出的对话框中屮列出了系统的所有账户。确认各账户是否仍在使 用,删除其中不用的账户。禁用guest账户在上面的界面屮单击guest账户，选择开启来宾账户，确定后，观察guest前 的图标变化。再次单击guest账户，选择禁用來宾账户，确定后，观察guest前的图标变化。2、启用账户策略设置密码策

3、略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”: 双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的 设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成 功，记录下密码策略和观察到的实验结果。筋本地安全设置文件（l）撫作q）査看0!）帮肋qp3 *固忌虜金安全设置安全设置曰ls帐户策略* u&密玛策略士卫恢户锁定策略由国本地策略冈公钥策略旳lj软件限制策略 it p ip安全策略，在本地i閥密国必残符合复杂更求 阀密码长度量"、值 越誉码杲长存霜期 闕巒码最短存曾期曲强制童网历史脚为蠟中所吉用户使用可还原的巳停

4、用0个字符42天0天0个记住的费码 已停用设置账户锁定策略打开“控制面板”屮的“管理工具”，在“木地安全策略”屮选择“账户策略”。 双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过 的无效登陆次数（如5次），以便防范攻击者利用管理员身份背陆后无限次的 猜测账户的密码。在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间 （如 50 min ）。重启计算机，进行无效的登陆（如密码错误），当次数超过5次时，记录系统 锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。（在 bupt-winxp_l 不能实现，因为每次关机后，本次

5、用户设置都会丢失）帥木地安全设矍文件（f）離作債）査看稱助003 *p 图够送全设置|策略/安全设置id l3帐戶皴略© c3惡码策略i±卫帐户蝮定策略® c3本地策略&1 q公钥策略险软件限制策略 田團if安全策略，在本瞬風复位桂尸愎定计数磊30分钟之后團铁户锁定时间30分钟囲标耀餌值5次无效登录3. 禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理 工具”选项，双击“本地安全策略”项，选择“本地策略”屮的“安全选项”，并 在弹出的窗口右侧列表小选择“对匿名连接的额外限制”项，在“本地策略设置” 中选择“不允许枚举sa

6、m账户和共享”。此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。文伶 0)mod 第勣 op«c 安金设jt j> xhw if jjskw it亠钥桝、_j张曲制e8t 0 »珀z« 狂方血朋加安全im宕戶签ejtfmm釜名閔陶安金 “庄下疗更改空制疗储 3 nwectr的meih ffi 已停用 s)m«± mqimm后矗创注篦已障用强fw牡设述 蔓于mu ssr尊蛀 uc)b«b的隈t住恪出有斤團吸鉛迢査 整于wj £sf»fi«sx ik唐p的*卜豈话竝 閔曲6网 黑増嚎

7、口曲m妥立a式t2sn«l用巨1访律了丽l" *七=方和0村g|fw访间不附3林戶工«名" 用任务二、关闭远程注册表服务默认情况下windows系统有儿个服务需要关闭才能更有效的保护服务器。其中一 个服务就是远程注册表服务，如果黑客连接到我们的计算机并且计算机启用了远 程注册表服务(remote registry)的话他还可以通过远程注册表操作系统任意 服务，因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就 可以高枕无忧，黑客可以通过命令行指令将服务轻松开启。要想彻底关闭远程注册表服务可以采用如下方法：1、通过任务栏的“开始-运行”,输入

8、regedit进入注册表编辑器。运行o腐糖翻跖罷予皿沁名2、找到注册表屮 hkey local machinesystemcurrentcontrolsetservices 下的 aremoteregistry”项。&注册表编辑器文件広)编辑 查看00收藏夹ck)帮ea勇我的电脑八ffi 口 hkey_classes_fioot ffi 口 hkey_current_usir 曰 口 hkey_ldcal_macmine 国 ul hardware ffi cj samq sicvrity(£ cj softwareq cj systim田 口 controlsetool田

9、口 controlset002s 口 curr tntc on tr ols e t田 u1 control田匚j e num(2 cj hardware profilts曰 o strvicts田 口 net clr dm田匚| net clr networl田 gji net d.t. frovy3、右键点击"remot eregis try ”项,选择“删除”。redbook remoteaccessremoteregij e num l_ paramet*lj security関 f.xlur j阂groupi llmteftt折直 新逢(x) 查找(?)删闻cd)ffi l

10、j rpc<pd(£ l_l rpclocator任务三、设置登录系统时不显示上次登录的用户名用户在登录windows 2003时windows 2003会自动在在登录对话框屮显示出上 次登录的用户名称，如果这是一台公共计算机，就有可能造成用户名的泄露，从 而给一些不怀好意的人以可乘之机。如果你是系统管理员，你可以采用卜面的方法将在登录对话框中显示上次登 录用户名的功能取消，这样windows 2003就会要求用户每次登录时都必须键入 用户名，从而提高计算机的使用安全性。不显示上次登录的用户名1、打开“我的电脑”“控制面板”，双击打开“管理工具”。2、在“管理工具”界面中，双击

11、打开“本地安全策略” o3、选择“本地策略”，然后选择“安全选项”。4、在“安全选项”列表中，双击“交互式登录：不显示上次的用户名”，启用 该功能。fr文件 “)hs) 1sct)*91003向宙曲” mi什尸条& h闿尸荻利描祈q _1公如皿 _|牧件制第略 s »安童等崎-在北如詢齐机内存为砥徉 尤许在寿豊录if黃机己障用 己启用l立互式a爭不畳示上虹mip名s61制犬互刘!鼻ifitrirh” 壬干需1!務ctbm*ltuilmmuwb?用 nrs 剧殆帧冲厲存“运豊象个越屯诚拄制hf可 更求线茲制31月旳社订ujk冒工ftiaw »3» 已停用 d

12、r金p任务四、设置注册表防止系统隐私信息被泄露在windows系统运行出错的时候，系统内部有一个dr. watson程序会自动将系统 调用的隐私信息保存下来。隐私信息将保存在user, dmp和drwtsn32. log文件屮。 攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将 信息泄露岀去。找到hkey_loacl_machinesoftwaremicrosoftwindowsntcurrentversion aed ebug”，将auto键值设置为0,现在dr. watson就不会记录系统运行时的出错 信息了。在注册表中进行设置1、如任务二，单击“开始”一“运行”,输

13、入“regedit”打开注册表编辑器。2、在注册表编辑器中找到ahkey_loacl_machinesoftwaremicrosoftwindowsnt currcntvcrsion acdcbug” 项。3、在右边对应的键值中找到“auto”，右键单击，在弹出的菜单中，选择“修 改”。数霓bbgz徽值耒设诗rk3z0冈，_i tuning sptex* _j updatesupnp device hostfzba妣值名苗倒：4讥； 锦走 j4、在弹出的“编辑字符串”对话框，“数值数据”下输入“0”，点击“确定” 按钮，设置完成。ifcff.* t -yisulstudioona'ab

14、 s«rvi ct provi dersiviriiiaasfeb foldersihndg% n*4it d«v><4 ium“ vandas messciac sdsjrsqs ivmdos nt1 curr«ntv<r si l£ _j ace«>b>litymikby任务五、启用审核与日志查看1启用审核策略(1)打开“控制面板”屮的“管理工具”，选择“本地安全策略”。 打开“木地策略”屮的“审核策略”，在实验报告屮记录当前系统的审核策 略。 双击每项策略可以选择是否启用该项策略，例如“中核账户管理”将对每次

15、 建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆 进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录, 根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。文件u)环結肋0()/妥全设畳± j用fb利=漁a安金选頂 ± 公 炊件国制第略 ”安全则h在咖枕i闵审績盹更改 画車技去录事件 闕审槟对象访冋 离审尿讨程谄踌 飼审復目录巌外访冋 越审松侍枚便甲 闕审種累纸爭件 囲审核嶽p豊录事件k孩s.ke$ 亩亩ip9 .fw fw fv tu t rc fw rc p日 ft审tt«4吏3s 8«审境

16、直点誉林就设豊第审扶莫略更改車霞这些冷作成功mm2查看事件日志打开“控制面板”中的“管理t具”，双击“事件查看器“，在弹出的窗口中 査看应用程序、系统、安全性的3种日志。文样09挟ft(a) 5«w辛助on> fl a es s' g s s日m2013也io：oe si$«mc« cfitru k2013-2210:02 sisvmct contrtl h2o13s10:02 51s«rvic« control n2013-2-22i0：0e 51sorvica control h.2013-2-2210:02 siservic

17、e cwitrol 用旳32-2220:02 sisem« control 8御无无无无无元任务六了解任务管理器windows任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的 程序和进程的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网 络，那么还可以查看网络状态并迅速了解网络是如何t作的。对任务管理器有所 了解可以帮助我们了解本机工作状态，及时发现安全威胁和隐患。1、启动任务管理器按ctrl+alt+del进入任务管理器2、了解应用程序显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程 序 而qq、msn messenger等最小化至系统

18、托盘区的应用程序则并不会显示出來。1) 选中并点击"结束任务”按钮直接关闭某个应用程序，如果需要同时结束多 个任务，可以按住ctrl键复选2) 点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档或internet 资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新 任务”的功能看起来有些类似于开始菜单中的运行命令。3、了解进程显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系 统底层深处运行的病毒程序或木马程序都可以在这里找到，当然前提是你要知道 它的名称。找到需要结束的进程名，然后执行右键菜单中的“结束进程”命令， 就可以强行终止，不过这

19、种方式将丢失未保存的数据，而且如果结束的是系统服 务，则系统的某些功能可能无法正常使用。口回冈q vindovs任务官理284. 了解系统性能从任务管理器屮我们可以看到计算机性能的动态概念，例如cpu和各种内存 的使用情况。cpu使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动 的主耍指示器，查看该图表可以知道当前使用的处理时间是多少。cpu使用记录：显示处理器的使用程序随时间的变化情况的图表，图表屮显 示的采样情况取决于“查看”菜单屮所选择的“更新速度”设置值，“高”表示 每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不 自动更新。pf使用悄况：pf是页面

20、文件page file的简写。但这个数字常常会让人误 解，以为是系统当时所用页血文件人小。正确含义则是正在使用的内存之和，包 括物理内存和虚拟内存。物理内存：计算机上安装的总物理内存，也称ram, “可用数”物理内存中可 被程序使用的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不 会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存 (pagcfile)前所剩余的物理内存。“系统缓存”被分配用于系统缓存用的物理 内存量。主要来存放程序和数据等。一但系统或者程序需要，部分内存会被释放 岀来，也就是说这个值是可变的。认可用量总数：其实就是被操作系统和正运行程序所占用内存

21、总和，包括物 理内存和虚拟内存(page file) o它和上面的pf使用率是相等的。“限制”指 系统所能提供的最高内存量，包括物理内存(ram)和虚拟(page file)内存。“峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么增加pagefile,否则系统会给你 颜色看的！核心内存：操作系统内核和设备驱动程序所使用的内存，“分页数”是可以 复制到页面文件中的内存，一旦系统需要这部分物理内存的话，它会被映射到硬 盘，出此可以释放物理内存；“未分页”是保留在物理内存中的内存，这部分不 会被映射到硬盘，不会被复制到页面文件中。4. 了解联网这里显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们 可以在这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。口回冈应用程序进程11性能联网l用户 本地连接22 vindovs任务管理赛文件(f)选项(d)查看(v)关机on帮助00适配器名称网絡应用槎接状态本地连接20 , 100 mbps可操作进程数：46 cpu使用2%提交更改91测/ 2460w5. 了解用户这里显示了当前己登录和连接到本机的用户数、标识(标识该计算机上的会 话的数字id)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按 钮重新登录，或者通过“断