Windows系统加固试验09-操作系统安全策略配置-winXP试验

课程编写类别内容实验课题名称操作系统安全策略配置-winXP实验实验目的与要求掌握windows的安全设置，加固操作系统安全实验环境VPC1（虚拟PC）WindowsxpVPC1连接要求PC网络接口，本地连接与实验网络直连软件描述Windows自带软件实验环境描述1、学生机与实验室网络直连；2、VPC1与实验室网络直连；3、学生机与VPC1物理链路连通；预备知识操作系统安全策略和基本配置原则：1.操作系统的安全策略：利用windowsXP的安全配置工具来配置安全策略，微软提供了套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全策略”，可以配置四类安全策略：（1）账户策略，（2）本地策略，（3）公钥策略（4）IP安全策略。在默认情况下，这些策略都是没有■开启的。.关闭不必要的服务。.关闭不必要的端口。.开启审核策略。.开启密码策略。.开启账户策略。.备份敏感文件。.不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。.禁止建立空连接。.下载最新的补丁。1、账户与密码的安全设置2、关闭远程注册表服务实验内容3、设置登录系统时不显示上次登录的用户名实验内容4、设置注册表防止系统隐私信息被泄露5、审核与日志查看6、了解任务管理器3.任务一、账户和密码的安全设置1、删除不再使用的账户，禁用guest账户⑴检查和删除不必要的账户右键单击“开始”按钮，选择“控制面板”中的“用户账户”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。实验步骤实验步骤⑵禁用guest⑵禁用guest账户在上面的界面中单击guest在上面的界面中单击guest账户，选择开启来宾账户(3)确定后，观察guest前的图标变化。再次单击guest账户，选择禁用来宾账户，确定后，观察guest前的图标变化。用户帐户用户帐户类型切换用户了解12回区用户帐户包3用户帐户用户帐户用户帐户类型切换用户了解12回区用户帐户包3用户帐户挑选一项任务.…囱更改岷尸区创建一个新帐户叵更改用户登录或注销的方式或挑-Gw户做更改Adainistrator计算机管理员密码保护Guest来宾帐户处于启用状态或挑-Gw户做更改Adainistrator计算机管理员密码保护Guest来宾帐户处于启用状态2、启用账户策略⑴设置密码策略点击开始 运行2、启用账户策略⑴设置密码策略点击开始 运行安全策略”，选择中，双击其中每一，在运行框中输入“50。口。1.05。”打开“本地“账户策略”；双击“密码策略”，在右窗口项，可按照需要改变密码特性的设置。根据选

择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。⑵设置账户锁定策略击开始一一运行，在运行框中输入飞0。口01.05。”打开“本地安全策略”，选择“账户策略”。双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如5次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。确定 取消应用（A）超过5次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。（在该系统中不能实现，因为每次关机后，本次用户设置都会丢失）4、禁止枚举账户名点击开始一一运行，在运行框中输入飞0。口01.05。”打开“本地安全策略”，选择“账户策略”；选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。止匕外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。

际本地安全霞长13回国即际本地安全霞长13回国即本醍式生出透飞丁万帝 二EHUIfl«5、任务二、关闭远程注册表服务默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务，如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(RemoteRegistry)的话他还可以通过远程注册表操作系统任意服务，因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧，黑客可以通过命令行指令将服务轻松开启。要想彻底关闭远程注册表服务可以采用如下方法：1、通过任务栏的“开始-＞运行"，输入regedit进入注册表编辑器。2、找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”项。<,注册越事造*-Fhu-DDJMpJ*-Fhu-DDJMpJDuffichsl的阖”5llEmIJCim5sraJIC士把1TIM』EJtdGllllllLlalLl-ll^MJ.dM^lglDlDlItgl«¥R1vrnnnrm_J.M-l，土1J才一口工5rJn4jp商甲加mIliIrF-aGFn?ssl.5共生BE_EZftE-5；_VULTI_S3BEG_SZ明算HEUN01DEE3_SZHE'jJIirAm.SEHD；_EZQE'jJlKilD的D/ulD茵:倒未成式Iwrss力溺用尸耳犯出此计宜机上的(f的表诂H,inFle*'jtefitgi巾,□MEDOODOL⑴00DO0000OQ00DO000000DO0001000K：j^T4+Ro&i：5tYi?stii3El!5Pcfc'>Et41s_kSiralWnrAunrnmnLaZ£*nHcOUaDCKXlKC⑵gjgxgj如pupOWL，C口・EYSSSS弓口_i_J-m1a口口口口口口口口口口口口目口口目口口日口口口口口口口口a口口口口口口口口口口口口目口口目口口日口口口口口口口口?tilink名称类型数据411080画崔认）REG_SZ儆值未设置）JllOwnt；^]DependOnServiceREG_MULTI_SZRPCSSqll2160DescriptionREG_SZ使远程用尸能修改此计算机上的注册表设置。如..qll2403]DisplayNameREG_SZRemoteRegistryql1280WasAcdErrorControlREG.DWORD0x00000001(1)NasAuto侬]FailureActionsREG.BINARY00000000000000000000000001000..Ns12tpWasM皿Group展][magePathREG_SZREG_EXPAHB_SZ%SystemRoot%\system32\svchost.exe-kLocalS..NasPppoei^jObjectNameREG_SZHTAUTHORITYVLocalService^.aspti场StartREG_DWORD0x00000002(2)^,dbssRDPCDDRDPDDrdpdrRDFNPRDPWD^DSessMgrredbook般]TypeREG.DWORD0x00000020(32)我的电帼'|亚11_9二肛_1»1：机品。归门・1|口"「hlICiuU EHLmrL*；“rt”3、右键点击“RemoteRegistry”项，选择“删除”。固注册表编辑卷 目阿区I文件m编辑旧查看（V）收藏夹⑹帮助on展开新建QD►查找（F）...ESnil^H重命名陆导出（E）权限的…我的电脑\HKEY_LOCAL_复制项名称(C) itControlSet\Services\RemoteRegistry■；开始经-一・0注册表编辑器 .髭忸黑：126、任务三、设置登录系统时不显示上次登录的用户名用户在登录Windows2003时，Windows2003会自动在在登录对话框中显示出上次登录的用户名称，如果这是一台公共计算机，就有可能造成用户名的泄露，从而给一些不怀好意的人以可乘之机。如果你是系统管理员，你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消，这样Windows2003就会要求用户每次登录时都必须键入用户名，从而提高计算机的使用安全性。不显示上次登录的用户名1、点击开始一一运行，在运行框中输入飞0。口01.05。”打开“本地安全策略”2、然后选择“安全选项”。3、在“安全选项”列表中，双击“交互式登录：不显示上次的用户名”，启用该功能。7、任务四、设置注册表防止系统隐私信息被泄露在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。在注册表中进行设置1、如任务二，单击“开始”一“运行”，输入-egedit”打开注册表编辑器。2、在注册表编辑器中找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug”项。3、在右边对应的键值中找到“AUTO"，右键单击，在弹出的菜单中，选择“修改”。4、在弹出的“编辑字符串”对话框，“数值数据”下输入“0”，点击“确定”按钮，设置完成。£注班表编辑器文件①)编辑ce)查看⑺收藏夹a)帮助o1)SCjCurrentVersion aI±1「-IAccessibilityAeDebug田U]Asrl±lCJlClasses]Compatibility'1CompatibilitycI±1「-IConsoleHDrivers1drivers,desc田匚JDrivers32r-lEFS'~lEmbedding「"lEventViewer田L_]FileManagerHFontDrivers口FontDPIl±l匚]FontLink'~lFontMapperr-lFontsl~~lFontSubstitut€~~lGRE_Initializ«田口HotFixt±l口ICM由「"lImageFileExwCJIMECompatibilOIMMi±l「1IniFileMappin^-1LanguagePack_]LastFontSweepv而il 遢「名称类型数据因唯认) REG.SZ徽值未设置)AutoREG_SZo£i至jDebugger REG_SZUserDebuggerH...REG.DWORDdrwtsn32-p%ld-e%10x00000000(0)d-g我的电脑\HKEY_LOCAL_HACHIHE\SOFTWAREicrosoft\WindowsNT\CurrentVersion\AeDebug.® 3管理工具 部本地安全设置 术注册表编辑器 四|V18:208、任务五、启用审核与日志查看1.启用审核策略(1)点击开始一一运行，在运行框中输入“secpol.msc”打开“本地安全策略”(2)打开“本地策略”中的“审核策略”，在实验报告中记录当前系统的审核策略。(3)双击每项策略可以选择是否启用该项策略，例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。

过*qnFftg M助I过*qnFftg M助I町JstiKE“百张户螭笔3*岁处（粥工用「祝刘I溺_3鼠生起项-I口;曲和-ILJEMSfiHWv星1F史剑K咐」在碰卜4-宦呷|图2.查看事件日志打开“控制面板（将控制面板切换到经典视图）”中的“管理工具”，双击“事件查看器“，在弹出的窗口中查看应用程序、系统、安全性的3种日志。&事件查看器回回国文件3）,操作0）查看的帮助第的窗回IB蓟事件查看黑瘁地）

网应用程序蓟事件查看黑瘁地）

网应用程序］安全性H系统名称「类型描述大小|型应用程序日志应用程序错误记录64.0KB[国安全性日志安全审核记录64.0KB河枣添环日志家劄错误记录64.0KB事件查看器体地）9、任务六了解任务管理器Windows任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进程的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网络，那么还可以查看网络状态并迅速了解网络是如何工作的。对任务管理器有所了解可以帮助我们了解本机工作状态，及时发现安全威胁和隐患。1、启动任务管理器按Ctrl+Alt+Del进入任务管理器2、了解应用程序显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序，而QQ、MSNMessenger等最小化至系统托盘区的应用程序则并不会显示出来。1)选中并点击“结束任务”按钮直接关闭某个应用程序，如果需要同时结束多个任务，可以按住Ctrl键复选2) 点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档或Internet资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新任务”的功能看起来有些类似于开始菜单中的运行命令。3、了解进程显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系统底层深处运行的病毒程序或木马程序都可以在这里找到，当然前提是你要知道它的名称。找到需要结束的进程名，然后执行右键菜单中的“结束进程”命令，就可以强行终止，不过这种方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使用。C¥indo>s任务管理器 Clfnlfx文件(I)选项◎查看(V)关机也)帮助其I应用程序「进程~|性能〕〔联网〕［用户］映像名称用户名CPU内存使用Icrnd.exeA.dministrator00108K■conime.exeA.dministrator003,392Kdirome.exeA.dministrator003,968Kdirome.exeA.dministrator0020,856KWimRD.EXEA.dministrator00165,452Kcapclient.exeAiliiinietratur005,504Knotepad,exeAiiiriinistrator00576Kciirome.exeAiiiriinistrator00147,736KServirElaemurL.exeSYSTEM007f724Ktaskirigi-.exeAiiiriinistrator005,612KServlJAiiriin.exeAiiiriinistrator002,124KEvchuEt.exeSYSTEM0023,016K■vmvrarE-usharh...SYSTEM005,168KviTi'ivar已一htjstd.expSYSTEM0060,408Kwmiprvse.exeNETWORKSERVICE008,172KLenECClient.exeAiJitiinistrator0012,968KctfmuLl.hxpA.dministrator003,604KTDHelp32.exeA.dministrator001,456K-回显示所有用户的进程⑤) ［结束进程鱼i］进程数：43CFU使用：0%内存使用：T49M/3756M了解系统性能从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。PF使用情况：PF是页面文件pagefile的简写。但这个数字常常会让人误解，以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和，包括物理内存和虚拟内存。物理内存：计算机上安装的总物理内存，也称RAM，“可用数”物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。“系统缓存”被分配用于系统缓存用的物

理内存量。主要来存放程序和数据等。一但系统或者程序需要，部分内存会被释放出来，也就是说这个值是可变的。认可用量总数：其实就是被操作系统和正运行程序所占用内存总和，包括物理内存和虚拟内存(pagefile)。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量，包括物理内存(RAM)和虚拟(pagefile)内存。“峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么增加pagefile，否则系统会给你颜色看的！核心内存:操作系统内核和设备驱动程序所使用的内存，“分页数”是可以复制到页面文件中的内存，一旦系统需要这部分物理内存的话，它会被映射到硬盘，由此可以释放物理内存；“未分页”是保留在物理内存中的内存，这部分不会被映射到硬盘，不会被复制到页面文件中。QTindows任务管理器 匚I问反文件⑪选项。查看9关机⑪帮助其 联网CPU使用记录用户CPU使用FF使用应用程序进程 联网CPU使用记录用户CPU使用FF使用应用程序进程页面文件使用怩录T50MB数数数数柄程程T50MB数数数数柄程程总句线进1372447443物理内存GO总数 1906604可用数 1131T0口家统凌存 663396用使存数制值用使存数制值内总限峰7682243846808784212核心内存(K)总数分页数未分页921644510447060IB显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们可以在这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。

6.了解用户这里显示了当前已登录和连接到本机的用户数、标识（标识该计算机上的会话的数字ID）、活动状态（正在运行、已断开）、客户端名，可以点击“注销”按钮重新登录，或者通过“断开”按钮连接与本机的连接，如果是