实验五操作系统安全配置.doc

《实验五操作系统安全配置.doc》由会员分享，可在线阅读，更多相关《实验五操作系统安全配置.doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流实验五操作系统安全配置.精品文档.实验五 操作系统安全配置实验 一、实验目的 1、掌握Windows系统的安全机制，了解安全策略的主要内容和用途，掌握操作系统安全策略的设置方法。2、掌握Windows下审核策略的设置方法，了解审核策略的制定准则。掌握查看器查看审核日志和审核事件的一般方法。3、了解Windows的NTFS文件系统提供的对本地文件的安全保护功能，掌握其使用方法。二、实验环境 一台装有Windows 2003操作系统的计算机。三、实验内容：1、系统安全配置2、系统安全审核3、NTFS文件系统安全应用四、实验步骤：（一）系统安全配置

2、实验【实验原理】 操作系统的安全配置是整个操作系统安全策略的核心，其目的是从系统根源构成安全防护体系，通过用户和密码管理、共享设置、端口过滤、本地安全策略、外部工具使用等手段形成一套有效的系统安全策略。Windows系统安装的默认配置是不安全的，因此，在系统投入使用之前，应该进行一些设置，以便使系统更安全。通过本地安全策略可以控制：访问计算机的用户用户名；授权用户使用计算机上的哪些资源；是否在事件日志中记录用户或组的操作。其中与系统身份谁密切相关的密码策略用于管理域账户或本地用户账户。【实验步骤】 （1）设置密码策略。在【本地安全策略】窗口中，选择【安设设置】|【账户策略】|【密码策略】，如图

3、1所示。图 1（2）设置密码复杂性。双击窗口右侧【密码必须符合复杂性要求】，弹出如图2所示对话框。 图 2对密码复杂性要求策略进行修改，该安全设置确定密码是否符合复杂性要求。如启用该策略，则密码必须符合以下最低要求： 􀂗 不得明显包含用户账户名或用户全名的一部分； 􀂗 长度至少为六个字符； 􀂗 至少包含以下四种字符中的三种：英文大写字母（AZ）； 英文小写字母（az）； 􀂗 10个基本数字（09）； 非字母字符（如，!$#%）。密码策略设置后，在更改或创建密码时，会强制执行复杂性要求。 （3）修改密码长度。双击右侧【密码长

4、度最小值】，弹出如图3所示对话框。图 3（4）修改密码最长存留期。双击右侧【密码最长存留期】，弹出如图4所示对话框。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间。可将密码的过程天数设置在1999天之间，或将天数设置为为0，可指定密码永不过期。如果密码最长使用期限在1999之间，则密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1998天天之间的任何值。使用密码每隔3090天过期一次是最佳安全操作。通过对密码的最长有效期进行修改，保证用户的密码到达有效期后必须更换密码。 图 4（5）修改密码最短存留期限。方法同上。（6）设置强制密码历

5、史。双击右侧【强制密码历史】，弹出如图5所示对话框。为防止用户重新使用旧密码，该安全设置确定归纳法要个用户账户相关的密码的数量，该值必须为024之间的一个数值。该策略通过确保旧密码不能继续使用，从而能够增强安全性。图 5（7）为域中所有用户使用可还原的加密来存储密码。双击右侧【为域中所有用户使用可还原的加密来存储密码】，弹出如图6所示对话框。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可为它提供支持。 图 6 （二）系统安全审核实验【实验原理】 审核策略用于确定计算机的安全性事件日志记录了哪些安全事件。能够审核的事件类

6、型包括：对文件和文件夹的访问、登录以及退出登录、关闭以及重新启动计算机、对用户和组的改动。对审核事件的成功或者事件的或者两者都审核。跟踪成功事件可以决定用户对特定文件或者打印机访问，能够利用该信息计划资源。跟踪失败事件以寻找可能出现的安全破坏。 安全审核的内容应该包括： （1）审核账户登录事件。该审核用于确定是否对用户在计算机上登录或注销的每个实例进行审核。如果定义了该策略设置，则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在账户登录尝试成功时生成一个审核项，可用来确定哪个人成功登录到哪台计算机。失败审核会在账户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置

7、可能导致拒绝服务状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。（2）审核账户管理。该设置用于确定是否对计算机上的每个账户管理事件进行审核。账户管理事件的示例包括：创建、修改或删除用户账户或组；重命名、禁用或启用用户账户；设置或修改密码。在响应安全事件时，组织可以对创建、更改或删除账户的人员进行跟踪，这一点非常重要。（3）审核登录事件。该设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。账户登录事件是在账户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的。成功审核会在账户登录尝试成功时生成一个审核项，该审核项的信息对于记账以及事件

8、发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在账户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致拒绝服务状态。（4）审核策略更改。该设置用于确定是否对更改用户权限分配策略、审核策略或信任策略的每个事件进行审核。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在成功更改用户权限分配策略、审核策略或信任策略时生成一个审核项，该同的信息对于记账以及事件发生后的辩论十分有用，可用来确定谁在域或单个计算机上成功修改了策略。失败审核会在对用户权限分配策略、审核策略或信任策略的更改失败时生成一个审核项。（5）审核

9、特权使用。该审核设置用于确定是否对用户行使权限的每个实例进行审核。如果定义了此策略设置，则可指定是否审核成功、失败此事件类型。启用这些设置以后，生成的事件数量将十分庞大，并且验证以进行分类。只有在已经计划好如何使用所生成的信息时，才应启用这些设置。（6）审核过程追踪。该审核设置用于确定是否审核事件的详细跟踪信息，如程序激活、进程退出、句柄复制和间接对象访问等。启用该审核将生成大量事件，因此通常都城将其设置为无审核。（7）审核系统事件。该审核设置用于确定在用户重新启动或关闭计算机时，或者影响系统安全或安全事件发生时，是否进行审核。同时启用系统事件的失败审核和成功审核，也仅记录极少数事件，并且所有

10、这些事件都非常重要，因此建议在组织中的所有计算机上启用这些设置。审核的结果一般都保存到系统的日志中，可以使用事件查看器查看安全日志文件的内容，以及在日志文件中特定的事件。事件查看器有三种日志可以查看，应用程序日志包括程序的错误、警告和信息；安全日志包括被审核事件的成功或者失败信息，这是设置审核策略的结果；系统日志包括Windows产生的错误、警告和信息。【实验步骤】 1、设置审核策略。（1）打开【本地安全设置】窗口。单击【控制面板】|【管理工具】|【本地安全策略】|【本地策略】|【审核策略】，弹出如图7所示的窗口。 图 7 （2）设置相关策略。双击右侧相关的策略，在弹出的对话框中选中要设置的审

11、核操作，如图8所示。然后单击【确定】按钮，完成设置。图 82、审核对特定文件或文件夹的访问。（1）打开【属性】对话框。右击Windows文件夹，在弹出对话框中、选择【属性】，弹出【属性】对话框。（2）单击【安全】选项卡，在弹出的对话框中单击【高级】按钮，在弹出的对话框中单【审核】|【添加】，弹出如图9所示对话框。 图 9 （3）在【输入要选择的对象名称】文本框中，输入要审核的用户账户名，然后单击【确定】，弹出如图10所示对话框。图 10（3）对要审核的事件进行编辑。选中要审核的事件对应的复选框，定义完成后单击【确定】按钮。3、使用事件查看器。（1）打开【事件查看器】窗口。单击【开始】|【程序】

12、|【管理工具】，单击【事件查看器】|【安全性】，弹出如图12所示的窗口。 图 11（2）查看日志的详细信息。双击相应的日志事件。（3）查看并筛选事件。默认的事件查看器会显示所有的事件，为了更改日志中显示的内容，可以使用菜单【查看】|【筛选】命令来查找被审核的事件，或者使用菜单【查看】|【查找】命令来搜索特定的事件，如图13所示。图 12（三）NTFS文件系统安全应用实验【实验步骤】 1、数据保密性实验，设置只允许有访问权的用户打开设置属性的文件夹。（1）以administrator账号登录到Windows 2003 Server。（2）建立文件夹。打开我的电脑，在D盘建立一个文件夹（如user

13、），在user中建立一个user1文件夹。为了保护这个文件夹不被其他用户使用，设置user1安全属性。（3）设置访问权限。右击user1，单击【属性】，在弹出的对话框中单击【安全】选项卡，如图15所示。图 15 单击【高级】，在弹出的对话框中取消【允许父项的继承权限传播到该对象和所有子对象，包括哪些在此明确定义的项目】复选框中的勾，弹出如图16所示对话框。输入本地主机的IP地址，输入远程电脑的IP地址。单击【下一步】图 13单击【复制】按钮，返回【user1的高级安全设置】对话框，单击【添加】按钮，弹出【选择用户或组】对话框。输入允许使用该文件夹的用户的用户名（如zxl），如图17所示。图 1

14、7单击【确定】按钮，弹出【user1的权限项目】对话框，单击【允许】列下的【完全控制】复选框，单击【确定】按钮。单击【允许】列下的【完全控制】复选框，单击【确定】按钮，关闭所有窗口。此时只允许zxl访问该文件夹。2、数据加密实验。（1）以administrator账号登录到Windows 2003 Server。（2）建立文件夹。打开我的电脑，在D盘建立一个文件夹（如user），在user中建立一个user2文件夹。（3）创建文件。创建一个新的文本文件，并保存该文件。（4）设置加密。右击所建文件，选择【属性】，单击【高级】按钮，选中【加密内容来保护数据】复选框，单击【确定】，单击【确定】，单击【只加密文件】单选按钮，单击【确定】。