Windows系统加固试验09-Windows操作系统安全

1、课程编写类别内容实验课题名 称Windows操作系统安全实验目的与 要求通过实当掌握Windows账户与密码的安全设置、文件系统的保护 和加密、安全策略与安全模版的使用、审核和日志的启用，建立一 个Windows操作系统的基本安全框架。实 验 环 境VPC1(PC操作系统尖型：Windows XP 网络接口：本地连接VPC1 连 接要求PC网络接口，本地连接与实验网络直连软件描 述学生机要求安装Java环境VPC1 安装 VC6.0实验环 境描述学生机与实验室网络直连VPC1与实验室网络直连 学生机与VPC1物理链路连通预备知识实验从这五力卸进行 Windows操作系统的安全设置，分别是：1、

2、 账户口令的安全设置；2、文件系统安全设置；3、用加隹1软件；4、 EPS加密硬盘数据；5、启用审核与日志查看启用安全策略与安全 模块。1、通过账户口令的安全设置，有效地减少了黑客攻击的成功率，一般电脑都使用 Windows默认的账户口令，通过修改，提图J电 脑的安全性能。2、磁盘数据也是被攻击的对象，NFTS格式的文件，是一种安全 文件系统，通过设置文件夹的权限，限制了其他用户的访问，从而 保障了数据的安全性。3、使用数据加密软件，加强数据的安全性，并且减少计算机、磁 盘被窃或者桩拆后数据失窃的隐患。加密后可以控制特定的用户有 权解密数据。4、运用Windows系统中审核与日志功能，进行入侵

3、检测。面对系 统攻击时，会被记录进日志，以便查觉、防御。5、使用Windows安全模板，以便理简单地根据需求，配置各项安 全局性。实验内容在Windows XP操作系统中，相关女全设置会稍有不1可，但大同小 异，所有的设置均以管理员(Administrator)身份登录系统。任务一：账户和口令的安全设置任务二：用加密软件EPS加密硬盘数据任务三：启用审核与日志查看任务四：启用安全策略与安全模块2、任务一：账户和口令的安全设置删除不再使用的账户，禁用guest账户。检查和删除不必要的账户。右击“开始”按钮，选择“控制面板”中的“用户账户”项， 如图1、2；在弹出的对话框中选择从列出的用户里删除不

4、需要 的账户。图4中删除了没用的asd用户，删除之后只剩一个有 用的Administrator和Guest,如图5所示。实验步骤图2图3图4图5guest账户的禁用。右键单击“我的电脑”，选择“管理”选项，并打开“系统工 具本地用户和组用户”，如图6、7所示。营理(G)打开卬)资遮管理器贯)费案映射驱动器W' 创建快建方式删除重命名号U图6图7右键单击guest用户，选择“属性”，在弹出的对话框中“账 户已停用” 一栏前打勾；确定后，guest前的图标上会出现一个 红色的叉，此时账户被禁用，如图 8、9、10。什笄机冒胜pre冈ii文件便）悔作闺 连看前 臂口用 帮助®-ig

5、i<1F-1的国X国造图画 二 一当计苣礼者理尔地）二at茅施工具|：叵早产者盲器-1共享文件夹-差本地用尸和蛆口书尸Cj理一蚓性能H总和例星整各管理整二&存偌一g可感动存注 E陋盘月片置庭之字器眼监管理+第.拒答却点旧将席名梆金定碗fAdniuitr .M超过我加值1）的内母际FF五直耳苦皑SJ . 声的提伊远程柳助的帐户亚 朋有任务50*，门C"八rm .4是"个林助和支持朋务的药供供平反5间计箕机用访同审用叼S it笠航管理T f ll'x气 牙包睛阕底驾计算科首拜津地15痂承新工具, +回事斗空者募，+曰井主文障荚匕登聿也用尸汨组一用1二i湄t

6、胡但也日志汩警博 意在百言里寻-为寻科十金元急融存法 K版盆正产整蛭序 手感女自整出英隹留即应用陛声JL tni m rtr驾 文件的 梯件如 百看% Erncw）链外啪二杯;心+如方£ 手jfe口盯 m.1亩标克百口手叱户BHictisIt Corot'i黄街十亨机M的内兰味,n 供*家注同计曾和社话目F的内提岗工程巾的啪户沫是一个加助和支努根舞的樟快图10启用账户策略。账户策略是 Windows账户管理的重要工具。打开“控制面板” 一 “管理工具” 一 “本地安全策略”，选择 “账户策略”下的“密码策略”，如图 11。，本地安仝於孟立件梯祚闺豆看鹤聊1州姓赃国用o T于格

7、42天0天口下记住刖墓棺已等月安全设置3幅士笑跑当，笔用甲n帐尸粒疣晒上力方比黄整十於铝第略十，钦斗阳赛宽路由皂ip安全金晦.在本地七 一第噌项也国心取件言夏亳性要求 剧智后长营员小值 离空正整根存名相 现智码身蚓存或蛹 或超粒粒哂巧更罐为曜中斫有用户使用可还.电的图11其中，符合复杂性要求的密码是具有相当长度、同时含有数字、 大小写字母和特殊字符的序列。双击其中每一项，可按照需要 改变密码特殊的设置。双击“密码密码必须符合复杂性要求”，选择“启用”。如图 12所小。图12打开“控制面板”中“用户和密码”项，在弹出的对话框中选 择一个用户后，单击“设置密码”按钮。在出现的设置密码窗 口中输入密

8、码，如图13。此时密码符合设置的密码要求。图13双击上图中的“密码长度最小值”；在弹出的对话框中可设 置可被系统接纳的账户密码长度最小值。一般为达到较高安全 性,密码长度最小值为8。帮助用）文件口抄作值F壹音g 国 固M L小安至诙置/帙9策暗出.糜概爸帐户蚪源明里士本刑策略jj 一I公剪笨喀上1致用曾,里+里IF安上箕斯，在却机二密吗大度最小值'Z®智得疝铮至少是3 :中字瞽曲定L理用吆1图14双击“密码最长存留期”，在对话框中设置系统要求的账户 密码的最长使用期限为42天。设置密码自动保留期，用来提醒 用户定期修改密码，防止密码使用时间过长带来的安全问题。双击“密码最短保

9、留期”，设置密码最短存留期为7天。在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改 帐户密码。曳占H 操作圃 看者靠）帮助（H）-为神户常略4空别第喀+映尹钺生第略本摄5P哈 一!铜荒明+ _|软怦限制兼喀， IT安士啡略本比HL书码鬣扣行鼾躺显性云埴5盘解释此马式任码足箱存器期：并以下步救后可以更理也.耳：天区区 取料 1 -HR图15双击“强制密码历史”和“为域中所有用户使用可还原的加 密存储密码”，在相继弹出的类似对话框中，设置让系统记住 的密码数量和是否设置加密存储密码。至此，密码策略设置完成。开机时设置为“不自动显示上次登录”。Windows默认设置为开机时自动显示上次登录的

10、 帐户名，许多 用户也采用了这一设置。这对系统来说是很不安全的，攻击者 会从本地或Terminal Service的登录界面看到用户名。继续在本 地安全设置中，打开“本地策略 安全选项”，选中“交互式登 录：不显示上次的用户”，将其设置为已启用，如图16、17。工冲I? 冷昨&J叁后g 巧助指 田陵收j安上很u-I j超学略）力聊满嗝；J）咬尸qW丽&=1 _3聿或等年上国市区策骑X 3用户粒中£旨挑4 R安£选R-二|金柄地略1_靠浦FP方库盅，¥ 11支高策略，在本市f咯叟全金百竭旭XI宝兰丘it沿宅更工苣心.於白定型直电K不叟空侬制定义西声心

11、.,皙定义苗四:占用舞魅力宣.己自用曜p:=r，*Et同洛展品鞠效于.E容用f则/电晶器散手一己年用，包肌.“；”口同络审再裆 正姓1S沿群盟gViHifiu门隧ft落尸土法带已后用现船hguEL鼻卷F空干哥.总必用明hamEt艮邮右户：数字或.巴,用飒戡哮受史正利土北弁二胡育.E号用躅君里雷豆控粘在一，亡岸行地事.二号用弱美且清陛诩依存大面至芈?事用域再M f.T在末考索而对：己自用虹:硬耳录不限于上渣由用H齿用般J灯可式苓录不崭年挂CU,.JftUrSi躅寡S：越隶含培就定时显示一浪才定X1用交互靛浪可把港:银笛!1. .国立岂录，国立互侬显要本览专有生身己停用弱交互三生袁要求普能卡出有建

12、生嬲交互五9M 用口!£1茎宗才.1通殳互送直来用户E匡圉录用.泄白走空翳1交1T吐量式在窗前作.H关:可交互式圈豪辔此卡密鼻序作无其力图16式肖电） 造作旧 青春W 邛勤淳安丰货晋号喋口策理+ _g也码黄略+ j怅尸既定策跑-二率加辨率廿3中役用唱*用户融札宿邪,.避安用立项T =I* 丽R7二秋苛限市惯塔+ S"安讶略，在本地iFCCGC-CK-E utjsl- 173 1-Fl, J l_ I J 1凡小於用研而桁施取政题3央交至壁装空必犯他快过己 舒门事也安全谈直.第降或程音刃史四澧录：不呈帚上次的用户落窗已旧同旧工巴生冏即蟀 | 敢滔 | |夜用汨图17禁止枚举帐

13、户名为了便于远程用户共享本地文件，Windows默认设置远程用户 可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之 机。要禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“不允许枚举SAM账户和共享”图183、任务二：用加密软件EPS加密硬盘数据打开磁盘格式为NTFS的磁盘，选择要进行加密的文件，这 里选择“新建文本文档”。右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。选择“加密内容以便保 护数据”，单击“确定”，如图19所示。图19打开控制面板中的“用户账户”，创建一个名为 USER的新 用户，且不要创建为计算机管理员用户，如图2

14、0、21。-i用户味户图21点击“开始”，选择“注销”，然后点击“切换用户”，登 录刚新建的USER用户，如图22。图22在“C:text”目录下，双击“新建文本文档”，发现无法打 开该文件，说明已经加密，如图 23。图23再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入 mmc,打开系统控制 台。单击左上角的“文件”按钮，选择“添加/删除管理单元” 如图24、25。图24图25图26在弹出的对话框中选择“添加”，然后找到“证书”，如图26所示，点击“添加”。在弹出的“证书管理单元”对话框中 选择“我的用户账户”，然后完成，如图 27。图26图27在控制

15、台窗口左侧的目录树中选择 “证书” “个人” “证书” 用于加密文件系统的证书显示在右侧的窗口中。图28选中证书，单击右键，在菜单中单击“所有任务” 一 “导出”， 打开“证书导出向导”。欢迎使用证书导出向导这个向导帮助概从证书存储已格证书、证书僖任列表和证书吊帽胤表受制到磁总口扫证书潼发机构颁发的证书是确M您的身份的文件，仁吉坐用来悌产鼻或建之安王K电诧搂的信息匚注相存诘是谋存证书前系金巳域口要鞋集-请单击“下一步”.:下一汽/ H 取消图30证书导出向导导出私钥您可以诙择将祜钥限证书一起导出.私钥受密码保护.如果要将私钥跟证书一起导出,您能学页在后面一页上解人密 鹤n要将私钥跟证书一起导出

16、吗？©星导出君钥心)后1.：不j不要导出匈朗00)<上一步G) I下一步田)>取消图31点击“下一步”，选择“是，导出私钥”，然后继续点击“下 步”，设置保护私钥的密码。导出私钥您可以选择将乱钥即通亳一起导出.租钥受密码保护.如果要格私钥跟证书一起导出，您必缄在后面一页上陲入密 码。要将私钥跟证书1起导出吗？是导出科钥CT) N.不I不要导出泡电且(o)上一步0)下一步on >1 飘甫图31证书导出向导导出文件格式可以用不同的文件格式导出证书°选择要使用的格式：EEE 漏网二J®制 X 5M，CER1(1<鹏小 鼎同 I 509 ICER)

17、 ©)加望消息语法标推-FKCS和证书(P7B (C),二如果可能，悔所有证书包括到证书潞径中CI).用人信息交换-FKCS #12 tFFJO任)如果可能，将所有证书包括到证书游役中(V)回启用加强保护建求IE 5Q WT 4 Q SF4或更高版本)也如果答出成功,删除密钥国R图32密码要俣证安全j您必须用雷丹俣护私钥-去并确认翻吃密码(F)：确认密码化(上一步吓一步M ) =取消图33设置要导出的文件的文件名，并设置要导出文件的保存路径, 注意一定要保存在C盘，然后完成证书导出。兄有/商帝口刑K七臬直兖吊近的艾松河上等用文件名国r保存克田tn：¥Xtfftga（*>

18、;&）图34(11)再次切换用户，以新建的 USER登录系统，如第、步打 开控制台并添加证书，然后选中个人，会发现跟第步不同的 是右边没有证书。右键点击个人，选择“所有任务” 一 “导入”， 如图35、36。文件 掾作 查看的 的就武© 制口 鹏）帮助中岩画 J国融阍集1器控制台抿举点上证书-当帚用户vb人； IRRW目证枸-当，*白樱» Ul*WffF 点业信-*匚中遇征；t _J Activi丁 CJ XkUet 0不信任F y对等空型此机图中泄有可显示白1第m图35文件 操作 里后叫收也哭 寄口馈wot）全 国画我团珞图回高控制台相节点'证书 当前用户

19、'个人.1 c A f-=.* iiD 二二二一 0+2±m+!+i+!叶布什鼻到苴者竣犷送里团建宜口M新总备和珈修（T）将讦书市加至帮由GCL融圉有可显示的项目口号钱证书©一.中油默怔4此.一t'A C)图36在私钥地址浏览中，打开 C盘，选择“文件类型”的“所有 文件”，然后打开siyue,如图37、38。指定文件后点击“下一 步”，输入之前设置的密码，继续点击“下一步”，然后完成 导入如图39。查找范削口)：“本地进型fie。7 J ?国，A l&SSBl已商用EM实.-jjCAF) ti*FFerlftg我最近I的文档ODocwents la

20、ndSettings; 亨于iyM_.1n*tpob可g*mpi*'二工Pr.tr5 Filtt口加口 sdt注入实总 .561甘目关工曼U_JSOFITHST茬的文档！liit，且一jtfBWfS府血血博河-3代眄LJ，奥曲斯统子讨06企业堰禽最；有文件* *：打开mi取消 图37图38密玛为了保证安:全已用密保护花钥.为私锢融入经购.密同管1!.* *口旦用罩利铜保密.如用员甩逵个选项，每茨应用程序 使用起钥时，盘都会窖期理示值）0标志此密钥为可算出的.速用允详悠在楣后备份或传输唐期相.（上一步【下100 > ，渭图39图40完成导入后可以再控制台的“个人”栏看见原来没有证书

21、的地图40(14)再次进入C盘，双击加密文件夹中的文件，现在文件可以正 常打开。图414、任务三：启用审核与日志查看打开审核策略打开“控制面板”中“管理工具”，选择“本地安全设置”然后打开“本地安全设置”中“本地策略”下的“审核策略”r炉*向，王产g 娜 Ef 里看g r.i®川 JLR 口 帮助回中勤1 ,胃 中由生堂中心打印机加恰 K嚏 i&±JT匕a夕H丽琳匏险性寄X俄牛叽&速衿显示用白格!3印件/!-tH*图42图43双击右边的各项目更改，假如我们更改审核账户管理，如图 44所示，在“成功”和“失败”前面打勾。3出胃怅户黄峪j 变3怅户锁声加上百椁笨

22、晅_3用户衣犯鳏3家例中辆将邸度4TF安全第咯,在本ti-而暄度申秋宗略更国 践京榜哨录挛胖 i昆章蒋羽兼访问 呼.审超过程追晾 国审秋目赫专 度;审崂特和使用 蜀宦檎秦箍事伸iu雪辛极临下官理图44查看事件日志还是在“控制面板”，“管理工具”里找到“事件查看器”， 双击打开。上雷理工H二=_幺<5科一方 孱幸 哀件WT；-it it 的。青在工口* £3*>31食伴与但,*5IV），'施囚上臬口花即心图45在“事件查看器”里双击“安全性”，可以查看安全事件的具 体记录。理日期时间 未涯拉出书域功甲琴2013-2213： EQ L£ SvmriW策珞揖但

23、在1 直着由 Wflboti为由曾因静四正率存查看看图465、任务四：启用安全策略与安全模板启用安全模板单击“开始”，选择“运行”按钮，输入 mmc,打开系统控 制台。图47单击左上角的“文件”，在弹出的菜单中选择“添加 /删除管 理单元”，单击“添加”，在弹出的窗口中分别选择“安全模 板” “安全配置和分析”，单击“添加”按钮后，关闭窗口， 再“确定”。安金模板描述ila+嘴定策略1权利和安全选项第d注册表鸟五4WJ士 < .1 赤觊服告也置 注册表安全设置图50右键单击“安全配置与分析”，选择“打开数据库”。输入 欲新建安全数据库的名称。单击“打开”，根据计算机准备配 置成的安全级别，选择一个安全模板将其导入，如图 51、52、 53所示。图51图54图55图56日回反m拴据o 1十件用1 南e御 香看笔 收解好m 说口用 帮助限） 生T 回典垣闺国右键单击，选择“立即配置计算机”，则按照所选择的安全 模板的要求对当前系统进行配置。在设置日志路径后点击“确 定”，如图 58、59、60。右键单击，选择“立即配置计算机”，则按照所选择的安全 模板的要求对当前系统进行配置。在设置日志路