网络安全导论 实验11A 操作系统安全

实验11A操作系统安全

一、实验目的

1.理解如何查找Windows服务器存在的安全问题

2.掌握Windows服务器的安全性设置方法。

二、实验准备

1.Windows操作系统的安仝管理措施主要有安装系统补丁、用户帐号及口令安仝、文

件系统安全、主机安全管理等组成。帐号和口令安全设置包括限制新建的帐号的登录、限制

帐户的登录时间、限制登录到指定的计算机、设置帐号失效期和设置密码策略。单个主机

的安全设置的主要措施有使用安全策略、设置系统资源审核和关闭不必要的服务。

2.为了提高系统安全性，需要对系统的一些重耍文件夹在行正确的权限设置，查阅资

料，合理设置下列目录和文件的使用权限：c:\inelpub\wwwrooi、c:/inelpub/mai】rooi、

c:/inelpub/ftproote/windows。

3.在Windows中，计算机使用SID来跟踪每个帐户，读者可以在命令行下输入whoami

/user查看自己的SID。如果重命名管理员帐户，计第机仍然知道哪个帐户是管理员帐户因为

无论帐户名称如何变化，SID保持不变。查阅有关资料，熟悉帐户、服务、注册表管理方法。

三、实验内容

1.通过nctsharc命令查看本地共享资源，进行必要的更改。

相关命令集以及运行结果如下图所示。

C:\Users\Administrator>netshare

共享名资源注解

基

歌认^

八

为

默

于

共

任

逅I

程

管

逅

PC理

C:\Windows

：\Users\Adininistrator>netsharemyShar©=，，C：/In^el"

yShare共享成功。

C:\Users\Administrator>netshareadmin$/delete

admin?已经删除。

C:\Users\Administrator>netshareC$/delete

C$已经删除。

C：\Users\Adininistrator>netshareD$/delete

D$已经删除。

C:\Users\Administrator>netshare

共享名资源注解

IPC$远程IPC

myShareC：/Intel

命令成功完成。

2.利用Windows内置程序查看网络是否有入侵行为发牛c

2.1检查系统账号

1.查看服务器是否存在可疑账号、新增账号

cmd-lusrmgr.nisc,查看是否有新增/可疑的账号，如有管理员群组的(Administrators)

里的新增账户。经检查，处于正常状态。

mlusrmgr，［本地用户和组(本地)户］

文件(F)操作(A)查看(V)郭助(H)

方亮I国昌I日国

4本地用户和组(本地)名称全名病述

LJ用户grAdministrat...曾理计算机(域)的内置怅户

□组S,DefaultAcc...亲统管理的用户帐户.

因Guest供来宾访问计算枳或访问域的内...

包WDAGUtilit…会能］WindowsDefender应

也lusrmgr•【本地户和殂(本地)、卸

文件(F)坦作(A)«§(V)语就(H)

・，1力庭1&插日五

要本地用户和组(本地)名称3

二用户由5AccessControlAssi^.此组的成员可以远程查询此计算...

蛆

电Administrators告理员而计算矶〃S有不受限制管…

零EdckupOperators备扮理柞员为了备份或还原文件...

ifcCryptographicOper...授权成员执行加法挂作.

电fDeviceOwners此期的成员可以更浅至拄范田内...

^DistributedCOMUs...成员允许启动.激活使用此计...

ifeEventLogReaders此组的成员可以从本地计算机中...

退Guests否认值,安踏用户组的成员.•・

电Hyper-VAdministry...此团的成号相石封Hyper-V而W..

电l$」USRSInternet信包系务使用主:内置组.

ij}NetworkConfigurat...此期中的成三有部分告理权限身…

谷PerformanceLogU...该组中的成员可以计圮进行性能...

典PerformanceMonit..此的成员可以从本地租远程访...

运PowerUsers包括高级用户以向下兼落，Sffi...

RemoteDesktopUs...此俎中的成层吸授予远程登录第

4^RemoteManageme...此追的成员可以通过营理协设倒..

电Replicator支持W中的文件星明

4}SystemManagedA...此期的成员由茎统告理.

卷Users防止用户进行存息或无金的系统

2.netuser:查看当前用户

netlocalgroupadministrators：查看当前用户组

经检查，处于正常状态。

C:\Users\AdministratorXusrmsr.msc

C:\Users\Administrator>netuser

WPC-29的用户帐户

AdministratorDefaultAccountGuest

VDAGUtilityAccount

命令成功完成。

C:\Users\Administrator>netlocalgroupadministrators

别名administrators

注楼管理员对计算机/域有不受限制的完全访问权

成员

Administrator

命若成式完版。

2.2结合Windows安全日志，查看管理员登录时间、用户名是否存在异常。

Win+r+eventvwr.msc打开事件查行器，使用日忐筛选功能对“4624”登录成功事件、“4625”

登录失败事件进行查看，由近期登录用户时间，用户名，缩小排杳范围，以及可以根据大量

登录失败事件判断出某账号被进行暴力破解。甚至我们可以导出Windows氏志一安全，利

用LogParser进行分析。

▼利・•日於

*WTEOOMU刁一="

s■«

©2/yigB夕—MMoo.

火...W2AHZ/W8U<e▼®*«..

M库eaacar?"叫心-

吟—-

tK33M^fta5k*U.

Q»r»

9K4624.Mcrotofll^dMaKU^.■

Eft!

mrtM屯■■,

M<w«w*tt..

aR*

Mirewft“ciridMWfOt13

Uer■

SICXIX

MiU三

SS三

•WftPl：

三

是莪B0什

Hiyws□X

文侬9'作(A)MlV)♦助(H)

♦，二国日也

ttWtBM(XJS)安宝WtR4.72C梅作

>目今《«

♦/3侬S.«r.ty,亲J»：.事用IB♦越三初日，•

、V卅Mows日至

61邮电亨关・亨曰崂0次率,

・性

LA。本穗.・2022/2/2l/ffi-1M9:.,Mkro...El

0s«up典»«...

blBiK将日NSe日本文件另寻为一

1]ForwardedEvents行任务

>&ffi^ft^OSBE®再二田丽日白是又碎...

目订园T5

■■

■ft

>.

•iX4625.Microjo^tWindowssecurity-

□W性

««^©39

羽

w制

U侯存国52大..

EascxM)：安全@

Q

回事件属性-事件4625,MicrosoftWindowssecurityauditing.

常规详组信息

使用者：

安全ID：pc-29'^Administrator

日志名称(M):一

来源(S);MicrosoftWindowssecur记录时间(D)：2022/2/21阀一13:49:43

事件ID(E):4625^Mgy(Y)：Logon

瓢U(L):信息关键字(K)：审核失致

用户(U):能计算机(R):pc-01

操作代码(。)：信息

更多信息⑴:事咛三三联忙帮助

经检查均正常

2.3检查异常端口、进程

检查端口

检查端口连接情况，是否有远程连接、可疑连接

打开cmd输入命令：netstat-ano

S3告理具C:\Windows\system32\cmd.exe

•LiiunuAUTXiiuundLJVAZTKxv.v.«LOQUO・4」

c)2019MicrosoftCorporation4保留所有权利。

:\Users\Administrator>netstat-ano

^

p本地地址外出5地址状态PID

1253-

p0.0.0.0:1350.0.0.0:0LISTENING4

p0.0.0.0:4450.0.0.0:0LISTENING527<

p0.0.0.0:50400.0.0.0:0LISTENING700

p0.0.0.0:496640.0.0.0:0LISTENING9080

p0.0.0.0:496650.0.0.0:0LISTENING162

p0.0.0.0:496660.0.0.0:0LISTENING

168uA

p0.0.0.0:496670.0.0.0:0LISTENING1353~

p0.0.0.0:496680.0.0.0:0LISTENING684

p0.0.0.0:496700.0.0.0:0LISTENING342A

p0.0.0.0:496710.0.0.0:0LISTENING4u

p172.21.12.29:1390.0.0.0:0LISTENING7

453《

p172.21.12.29:1027114.250.63.38:443ESTABLISIED^

^8o

p172.21.12.29:16870.0.0.0:0LISTENING745

ESTABLISffiD

p172.21.12.29:2393112.85.70.25:443745JA

p172.21.12.29:17464114.250.63.38:443ESTABLISffiD7453-

p172.21.12.29:17465114.250.70.38:443ESTABLISHED7

453《

p172.21.12.29:17469114.250.65.38:443ESTABLISIED745A

p172.21.12.29:17473114.250.65.38:443ESTABLISHED73

453"

p172.21.12.29:17475114.250.65.36:443ESTABLISHED745<

p172.21.12.29:17480114.250.66.38:443ESTABLISIfD73

45o~

172.21.12.29:17481114.250.66.37:443ESTABLISHED745<

17991199Q-1742911A9RnAR22-ESTABLISHED3

再通过tasklist命令进程定位tasklist|findstr"PID'

C：\Il!=：Rrf=:\AdTnini<jt.rat.nr>t.ask1ist.|findstr"1256"

svchost.exe1256Services012,068K

C：\Users\Administrator>

检查进程

win+r输入msinfo32打开系统信息，查看进程详细信息，比如：进程路径、进程ID、文件

创建日期、启动时间等。

三

=•xifte■，林WEI

cMo烟

北•1auz^HML72.1W0X)85I»KBuW226

c三

•l»0mz/wism.“0474，.iMMIU

三c

1M3wuT%ai.

c=黑*XUMSU

101180202Z/S1nMLMA475&1.i52M»U2022/.

c三

M•IWOmz/viMU9M47SB.1.iMMIU2W2A

三c=

cM•ismmwiMUMO4ml.ZS2MSU皿26

三)2022/SnMLSB-047Sa1.202ZA

c813a1Z52MBU

4

士t)eo2W2WMI.2MMIU2W1

三r1

c4I«mxv)/sns«ac，？5，，9M«《x»v

三i»o“XM7现，.

c黑•2022AH252MIU»2Z6

=c_•IMOmz/viMUM042J21MBUM"

41S802022AHMLMA47MJ.ZS2MIU20226

c或

=c三41J802O22AHMUMX)47»1.252MIU2O2U

4IMOW?/WiMUMXUT$&1.

c=然iMMIUm?A

“d475a，•

c41J«2WW1MLlRMBJ20224

工

三

c"4IMOmz/wiMU“0夕4,・iMMIUmu

>wjunai.KU26

c或*ism232MBU

c4•，为202ZAHML“d475aLZ52MIUM2ZA

三

c=M•mwig.10418M21moos»W

c*isaomz/viMUtoAiasej.mod2tW

双

c黑*13802022/SnML161181WS-OOKB.M"

=1

H1•IMO2W2AHMUIO018K21XWKB.20W

S!器1SQ，《w皿2AHMLQMFH*wr

=C㈤—2O22/V19L»1L«•««直―w