操作系统安全实验3实验报告

1、-. z.操作系统平安实验3实验目的了解Windows操作系统的平安性熟悉Windows操作系统的平安设置熟悉MBSA的使用实验要求根据实验中的平安设置要求，详细观察并记录设置前后系统的变化，给出分析报告。采用MBSA测试系统的平安性，并分析原因。比拟Windows系统的平安设置和Linu*系统平安设置的异同。实验容配置本地平安设置，完成以下容：账户策略：包括密码策略最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等和账户锁定策略锁定阈值、锁定时间、锁定计数等账户和口令的平安设置：检查和删除不必要的账户User用户、Duplicate User用户、测试用户、共享用户等、禁用gues

2、t账户、制止枚举、创立两个管理员、创立陷阱用户用户名为Administrator、权限设置为最低、不让系统显示上次登录的用户名。设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等设置IP平安策略其他设置：公钥策略、软件限制策略等Windows系统注册表的配置找到用户平安设置的键值、SAM设置的键值修改注册表：制止建立空连接、制止管理共享、关闭139端口、防SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、制止死网关监控技术、修改MAC地址等操作。建立空连接：Local_MachineSystemCu

3、rrentControlSetControl LSA-RestrictAnonymous 的值改成1即可。制止管理共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项 对于效劳器，添加键值AutoShareServer，类型为 REG_DWORD，值为0。 对于客户机，添加键值AutoShareWks，类型为 REG_DWORD，值为0。 关闭139端口：在网络和拨号连接中本地连 接中选取Internet协议(TCP/IP)属性，进入高级 TCP/IP 设置WINS 设置里面有一项 禁用 TCP/

4、IP的NETBIOS，打勾就关闭了139端口。防SYN攻击：相关的值项在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。(2) DWORD：TcpMa*ConnectResponseRetransmissions：定义了对 于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。 上边两个值定义是否允许

5、SYN淹没攻击保护，下面三个则定义了 激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活 SYN淹没攻击保护。 减少syn-ack包的响应时间：HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMa*ConnectResponseRetransmissions定义了重发SYN-ACK包的 次数。 增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默认值为3，最大20，最小1。 HK

6、LMSYSTEMCurrentControlSetServicesNetBtParametersMa*ConnBackLog默认值为1000，最大可取40000 预防DoS攻击：在注册表 HKLMSYSTEMCurrentControlSetServicesTcpipPa rameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliv

7、eTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 防止ICMP重定向报文的攻击： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0*0(默认值为0*1) 该参数控制Windows 是否会改变其路由表以响应网络 设备(如路由器)发送给它的ICMP重定向消息，有时会 被利用来干坏事。Windows中默认值为1，表示响应 ICMP重定向报文。 制止响应IC

8、MP路由通告报文 HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesPerformRouterDiscovery REG_DWORD 0*0(默认值为0*2) ICMP路由公告功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网*些局域网大面积，长时间的网络异常。 建议关闭响应ICMP路由通告报文。Windows中默认值为 2，表示当DHCP发送路由器发现选项时启用。不支持IGMP协议 HKLMSYSTEMCurrentControlSetServicesTcpipParamet

9、ersIGMPLevel REG_DWORD 0*0(默认值为0*2) Win9*下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Windows虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用 route print将看不到224.0.0.0项了。 制止死网关监测技术 HKLMSYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetectREG_DWORD 0*0(默认值为o*1) 如果你设置了多个网关，则你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一

10、项好主意，建议制止死网关监测。 修改MAC地址 HKLMSYSTEMCurrentControlSetControlClass 找到右窗口的说明为网卡的目录，比方说是4D36E972-E325-11CE-BFC1-08002BE10318展开之，在其下0000,0001,0002.的分支中找到DriverDesc的键值为你网卡的说明，比方说DriverDesc的值为Intel(R) 82559 Fast Ethernet LAN on Motherboard然后在右窗口新建一字符串值，名字为Networkaddress，容为你想要的MAC值，比方说是0然后重起计算机，ipconfig /all查看。 文件及文件夹权限设置用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？分属哪些组？设置其权限。新建一个文件夹并设置其访问控制权限。审核日志分析查找审核日志，显示其详细信息：应用程序日志、平安性日志、系统日志。分析各种日志所描述的容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理的问题，错误为必须立即处理的问题。使用Microsoft 基准平安分析器MBSA 2.0对系统进展平安评估Microsoft 基准平安分析器 (MBSA) 可以检查操作系统，还可以扫描