Windows操作系统安全

1、Wind o ws操作系统安全实验报告实验名称Windows操作系统安全实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策 略与安全模版的使用、审核和日志的启用，建立一个Windows操作系统的基本安 全框架。使用仪器 实验环境使用仪器及实验环境：一台装有 Windows2000或者XP操作系统的计算机、磁盘 格式配置为NTFS实验内容在Windows2000或者XP操作系统中，相关安全设置会稍有不同，但大同小异， 所有的设置均以管理员(Administrator )身份登录系统。任务一：账户和口令的安全设置任务二：文件系统安全设置任务三：用加密软件EPS加密

2、硬盘数据任务四：启用审核与日志查看任务五：启用安全策略与安全模块实验步骤：任务一账户和口令的安全设置1、删除/、再使用的账户，禁用 guest账户(1)检查和删除不必要的账户。右志“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项； 在弹出的对话框中选择从列出的用户里删除/、需要的账户。(2) guest账户的禁用。右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用” 一栏前打勾； 确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用。2 、启用账户策略账户策略是 Windows账户管理的重要工具打开“控制面板” 一 “管理工具” 一 “本地安全策

3、略”，选择“用户策略”。双击“密码策略”，用于决定系统密码的安全规则和设置。其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符 的序列。双击其中每一项，可按照需要改变密码特殊的设置。(D双击“密码密码必须符合复杂性要求”，选择“启用”。打开“控制面板”中“用户和密码”项，在弹出的对话框中选择一个用户后，单击“设 置密码”按钮。在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。(2)双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户 密码长度最小值。一般为达到较高安全性，密码长度最小值为8。(3)双击“密码最长存留期”，在对话框中设置系统

4、要求的账户密码的最长使用期限为42大。设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安 全问题。(4)双击“密码最短保留期”，设置密码最短存留期为7天。在密码最短保留期内用户 不能修改密码，避免入侵的攻击者修改帐户密码。(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继 弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码3、开机时设置为“不自动显示上次登录”Windows默认设置为开机时自动显示上次登录的帐户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service 的登录界面看

5、到用户名文件旧操作白）查看驴黜助同造图9安全设置±） _J帐户策笔-四本地策略_3亩核策略_§用户权利指旅1 安全选项田J公钥策略+）软件限制策略力同口安全策略在本地t策略Microsoft网络客户：数字签一 Microsoft网络客尸：数字筌 跚故障恢复控制台：允许对所有一 S3效障诙复控制台：允许自动系 一蜀关机二清理虚拟内存页面文件 翩关机：允许荏未登录前关机IIO安全设置 已启用 已停用 已停用 已停用 没有定义 已启用示上次的用.已停用霞交互式登录；不需要按CTRL+. 独交互式登录；会话噩定时显示一 鼓交互式登录：可被舞冲保存的 掰文互式登录：要求域控制黯身.

6、明交互式登录：要求智能卡 圜交互式登录：用户试图登录时.一 .期交互式登录：用户试图登录时一一 I v心n ri! 1.一 干Fn、*, -没有定义 没靛义10次登录 已停用 没有定义 没有定义4、禁止枚举帐户名为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所 有本地帐户名，这给了攻击者可乘之机。要禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAMK户和共享”任务二：文件系统安全设置(1)打开采用NTFS&式的磁盘，选择一个需要设置用户权限的

7、文件夹。(2)右击选择“属性”，在工具栏中选择“安全”。(3)将“允许将来自父系的可能继承权限传播给该对象”之前的勾去掉，以去掉来自父 系文件夹的继承权限。(4)选中列表中的Everyone组，单击“删除”按钮，删除 Everyone组的操作权限。由于新建的用户往往都归属于 Everyone组，而Everyone组在缺省情况下对所有系统驱 动器都具有完全控制权，删除 Everyone组的操作权限可以对新建用户的权限进行限制。(5)选择相应用户组，在对应的复选框中打勾，设置其余用户对该文件夹的操作权限。(6)单击“高级”按钮，查看各用户组的权限。任务三：用加密软件 EPS加密硬盘数据(1)打开控

8、制面板中的“用户和密码”，创建一个名为MYUSER新用户。(2)打开磁盘格式为NTFS的磁盘，选择要进行加密的文件夹，这里仍选择“工具备份”。(3)右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。(4)选择“加密内容以便保护数据”，单击“确定”。(5)注销后登录刚新建的用户，发现无法打开该文件，说明已经加密。(6)再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在 “运行”框中输入 mmc打开系统控制台。单击左上角的“控制台”按钮，选择“添加/删 除管理单元” 一 “添加” 一 “证书”。(7)在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。用于加密文件

9、系统的证书显示在右侧的窗口中。(8)选中用于EFS的证书，单击右键，在菜单中单击“所有任务” 一 “导出” 一 “欢迎 使用证书导出向导” 一 “下一步” 一 “是，导出私钥”，然后设置保护私钥的密码，将导出 的证书另行保存，完成证书导出。(9)再次切换用户，以新建的 MYUSER录系统，重复(7)、(8),导入证书。(10)输入在步骤(9)中为保护私钥设置的密码，选择将证书放入“个人”存储区中， 完成导入。(11)再次双击加密文件夹中的文件，文件可以正常打开。任务四：启用审核与日志查看1、打开审核策略(1)打开“控制面板”中“管理工具”，选择“本地安全策略”；(2)打开“本地安全策略”中“审

10、核策略”；(3)双击可启用该项策略。文件9 操佗查看仍帮助如国适图守安全设置t 3株尸策略4密码策监+ 0帐户锁定策略 a-O本地策略-O审核策略7用户权利指派+3安全选项压二I公钥策咯 庄软件限制策略ip安全策暗，在本地家策略安全设置覆审核策喀更改无市核胤审核登录事件无审核题审核对象访问无审核随审核过程追踪无审核眼亩核目录服务访问无审核震审核捋权使用无串覆跚审横系统事件无审核置审核帐户登录事件无审核遐I里尊怅F宜理.手里吃2、查看事件日志(1)打开“管理工具”双击“事件查看器”。文件 操作增)查看国)帮助如应用程序 安全性 票款 ACS事件查看器阵地)血S诔地)名OI-111- N一一安全性

11、黑场ACSInternet Expl or例志志志志志到日日日日日描述大小厘用程序错误记录448.安全申核记录64.0KB系统偌黑记录446.自定义日志文件的错误圮录 自定义日志文件的错误圮录(2)双击“安全日志”。查看有效无效等安全事件的具体记录帮助第S回同事件登看器体地)用全统5程性Internet EjcplorerACS263个事件类型日期时间二来港分密 *中信息2010-11'1019-40 04ccxroaming：信息2010-111019 心 09V SJIl 1 iLLg.僖息2010-11-1019 05 09ccxroiaming电»信息2010-11-

12、1019:OS.03ccxrosming(2串信息2010-11-11019:05:01ccxroaming(2$信息2Q10-11-W19:0501ccxroiaming:(2信息2010-11-10ia-u isccxrcf&ming信息2010-11-1015:59 31ccxr&Ming任务五：启用安全策略与安全模版1、启用安全模板(1)单击“开始”，选择“运行”按钮，输入 mmc打开系统控制台。(2)单击工具栏上的“控制台”，在弹出的菜单中选择“添加/删除管理单元”，单击“添 加”，在弹出的窗口中分别选择“安全模板” “安全配置和分析”，单击“添加”按钮后，关闭 窗口

13、，再“确定”。(3)打开“安全模板”，右键单击模板，选择“设置描述”。选择“打开”，双击可看相 关配置。(4)右键单击“安全配置与分析”，选择“打开数据库”。输入欲新建安全数据库的名称。 单击“打开”，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。(5)右键单击“安全配置与分析”，选择“立即分析计算机”，单击“确定”按钮。系统 开始按照上一步中选定的安全模板，以当前系统的安全设置是否符合要求进行分析。分析完 毕后可在目录中选择查看各安全设置的分析结果。(6)右键单击，选择“立即配置计算机”，则按照所选择的安全模板的要求对当前系统 进行配置。对比雇用安全模板前后系统的安全设置，选用安

14、全模板级别较高，则使用安全模板后系 统的安全配置选项增加了许多。2、创建安全模板(1)重复任务五中第1部分(1) (4)步，打开“安全模板”，右键单击，选择“新加模板”，在弹出对话框中填入欲新加入模板名称myte1在“安全模板描述”中填入“自设模板”。(2)双击myteni在显示的安全策略列表中双击“账户策略”下的“密码策略”,其中任 一项均显示“没有定义”。(3)在“模板中定义这个策略设置”前打勾，在框中填入密码的最小长度7。(4)依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。至此，自设安全模板 mytem创建完毕。实验结果及理论分析:实验从这五方面进行 Windows操作系统的安全设置，分别是：1、账户口令 的安全设置2、文件系统安全设置3、用加密软件4、EPS加密硬盘数据5、启 用审核与日志查看启用安全策略与安全模块。1、通过账户口令的安全设置，有效地减少了黑客攻击的成功率，一般电脑 都使用Windows默认的账户口令，通过修改，提高了电脑的安