Windows操作系统安全5306.docx

《Windows操作系统安全5306.docx》由会员分享，可在线阅读，更多相关《Windows操作系统安全5306.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验报告告实验名称称Winddowss操作系系统安全全实验目的的通过实验验掌握WWinddowss账户与与密码的的安全设设置、文文件系统统的保护护和加密密、安全全策略与与安全模模版的使使用、审审核和日日志的启启用，建立一一个Wiindoows操操作系统统的基本本安全框框架。使用仪器器实验环境境使用仪器器及实验验环境：一台装装有Wiindoows220000或者XXP操作作系统的的计算机机、磁盘盘格式配配置为NNTFSS。实验内容容在Winndowws20000或或者XPP操作系系统中，相相关安全全设置会会稍有不不同，但但大同小小异，所所有的设设置均以以管理员员（Addminnisttratto

2、r）身身份登录录系统。任务一：账户和和口令的的安全设设置任务二：文件系系统安全全设置任务三：用加密密软件EEPS加加密硬盘盘数据任务四：启用审审核与日日志查看看任务五：启用安安全策略略与安全全模块实验步骤骤：任务一 账户户和口令令的安全全设置1、删除除不再使使用的账账户，禁禁用guuestt账户（1）检检查和删删除不必必要的账账户。右击“开开始”按钮，打打开“资源管管理器”，选择择“控制面面板”中的“用户和和密码”项；在弹出的的对话框框中选择择从列出出的用户户里删除除不需要要的账户户。（2）gguesst账户户的禁用用。右键单击击gueest用用户，选选择“属性”，在弹弹出的对对话框中中“账户

3、已已停用”一栏前前打勾；确定后，gguesst前的的图标上上会出现现一个红红色的叉叉，此时时账户被被禁用。 2、启启用账户户策略账户策略略是Wiindoows账账户管理理的重要要工具。打开“控控制面板板”“管理工工具”“本地安安全策略略”，选择择“用户策策略”。双击“密密码策略略”，用于于决定系系统密码码的安全全规则和和设置。其中，符符合复杂杂性要求求的密码码是具有有相当长长度、同同时含有有数字、大大小写字字母和特特殊字符符的序列列。双击击其中每每一项，可可按照需需要改变变密码特特殊的设设置。（1）双双击“密码密密码必须须符合复复杂性要要求”，选择择“启用”。打开“控控制面板板”中“用户和和密

4、码”项，在在弹出的的对话框框中选择择一个用用户后，单单击“设置密密码”按钮。在出现的的设置密密码窗口口中输入入密码。此此时密码码符合设设置的密密码要求求。（2）双双击上图图中的“密码长长度最小小值”；在弹出出的对话话框中可可设置可可被系统统接纳的的账户密密码长度度最小值值。一般般为达到到较高安安全性，密密码长度度最小值值为8。（3）双双击“密码最最长存留留期”，在对对话框中中设置系系统要求求的账户户密码的的最长使使用期限限为422天。设设置密码码自动保保留期，用用来提醒醒用户定定期修改改密码，防防止密码码使用时时间过长长带来的的安全问问题。（4）双双击“密码最最短保留留期”，设置置密码最最短存

5、留留期为77天。在在密码最最短保留留期内用用户不能能修改密密码，避避免入侵侵的攻击击者修改改帐户密密码。（5）双双击“强制密密码历史史”和“为域中中所有用用户使用用可还原原的加密密存储密密码”，在相相继弹出出的类似似对话框框中，设设置让系系统记住住的密码码数量和和是否设设置加密密存储密密码。至此，密密码策略略设置完完成。3、开机机时设置置为“不自动动显示上上次登录录”Winddowss默认设设置为开开机时自自动显示示上次登登录的帐帐户名，许许多用户户也采用用了这一一设置。这这对系统统来说是是很不安安全的，攻攻击者会会从本地地或Teermiinall Seerviice的的登录界界面看到到用户名

6、名。4、禁止止枚举帐帐户名为了便于于远程用用户共享享本地文文件，WWinddowss默认设设置远程程用户可可以通过过空连接接枚举出出所有本本地帐户户名，这这给了攻攻击者可可乘之机机。要禁用枚枚举账户户名，执执行下列列操作：打开“本本地安全全策略”项，选选择“本地策策略”中的“安全选选项”，选择择“对匿名名连接的的额外限限制”项，在在“本地策策略设置置”中选择择“不允许许枚举SSAM账账户和共共享”任务二：文件系系统安全全设置（1）打打开采用用NTFFS格式式的磁盘盘，选择择一个需需要设置置用户权权限的文文件夹。（2）右右击选择择“属性”，在工工具栏中中选择“安全”。（3）将将“允许将将来自父父

7、系的可可能继承承权限传传播给该该对象”之前的的勾去掉掉，以去去掉来自自父系文文件夹的的继承权权限。（4）选选中列表表中的EEverryonne组，单击“删除”按钮，删删除Evveryyonee组的操操作权限限。 由于新新建的用用户往往往都归属属于Evveryyonee组，而而Eveeryoone组组在缺省省情况下下对所有有系统驱驱动器都都具有完完全控制制权，删删除Evveryyonee组的操操作权限限可以对对新建用用户的权权限进行行限制。（5）选选择相应应用户组组，在对对应的复复选框中中打勾，设设置其余余用户对对该文件件夹的操操作权限限。（6）单单击“高级”按钮，查查看各用用户组的的权限。任务

8、三：用加密密软件EEPS加加密硬盘盘数据（1）打打开控制制面板中中的“用户和和密码”，创建建一个名名为MYYUSEER的新新用户。（2）打打开磁盘盘格式为为NTFFS的磁磁盘，选选择要进进行加密密的文件件夹，这这里仍选选择E:“工具备备份”。（3）右右击打开开“属性”窗口，选择“常规”选项，单击“高级”按钮。（4）选选择“加密内内容以便便保护数数据”，单击“确定”。（5）注注销后登登录刚新新建的用用户，发发现无法法打开该该文件，说说明已经经加密。（6）再再次切换换用户，以以原来加加密文件件夹的管管理员账账户登录录系统。单击“开始”按钮，在“运行”框中输入mmc，打开系统控制台。单击左上角的“控

9、制台”按钮，选择“添加删除管理单元”“添加”“证书”。（7）在在控制台台窗口左左侧的目目录树中中选择“证书”“个人人”“证书书”。用于加加密文件件系统的的证书显显示在右右侧的窗窗口中。（8）选选中用于于EFSS的证书书，单击击右键，在在菜单中中单击“所有任任务”“导出出”“欢欢迎使用用证书导导出向导导”“下一一步”“是，导导出私钥钥”，然后后设置保保护私钥钥的密码码，将导导出的证证书另行行保存，完完成证书书导出。（9）再再次切换换用户，以以新建的的MYUUSERR登录系系统，重重复（7）、（8），导入入证书。（10）输入在步骤（9）中为保护私钥设置的密码，选择将证书放入“个人”存储区中，完成导

10、入。（11）再次双击加密文件夹中的文件，文件可以正常打开。任务四：启用审审核与日日志查看看1、打开开审核策策略（1）打打开“控制面面板”中“管理工工具”，选择择“本地安安全策略略”；（2）打打开“本地安安全策略略”中“审核策策略”；（3）双双击可启启用该项项策略。2、查看看事件日日志（1）打打开“管理工工具”双击“事件查查看器”。（2）双双击“安全日日志”。查看看有效无无效等安安全事件件的具体体记录。任务五：启用安安全策略略与安全全模版1、启用用安全模模板 （1）单单击“开始”，选择择“运行”按钮，输输入mmmc，打打开系统统控制台台。（2）单单击工具具栏上的的“控制台台”，在弹弹出的菜菜单中

11、选选择“添加/删除管管理单元元”，单击击“添加”，在弹弹出的窗窗口中分分别选择择“安全模模板”“安全全配置和和分析”，单击击“添加”按钮后后，关闭闭窗口，再再“确定”。（3）打打开“安全模模板”，右键键单击模模板，选选择“设置描描述”。选择择“打开”，双击击可看相相关配置置。（4）右右键单击击“安全配配置与分分析”，选择择“打开数数据库”。输入入欲新建建安全数数据库的的名称。单单击“打开”，根据据计算机机准备配配置成的的安全级级别，选选择一个个安全模模板将其其导入。（5）右右键单击击“安全配配置与分分析”，选择择“立即分分析计算算机”，单击击“确定”按钮。系系统开始始按照上上一步中中选定的的安

12、全模模板，以以当前系系统的安安全设置置是否符符合要求求进行分分析。分分析完毕毕后可在在目录中中选择查查看各安安全设置置的分析析结果。（6）右右键单击击，选择择“立即配配置计算算机”，则按按照所选选择的安安全模板板的要求求对当前前系统进进行配置置。对比雇用用安全模模板前后后系统的的安全设设置，选选用安全全模板级级别较高高，则使使用安全全模板后后系统的的安全配配置选项项增加了了许多。2、创建建安全模模板（1）重重复任务务五中第第1部分分（1）（4）步步，打开开“安全模模板”，右键键单击，选选择“新加模模板”，在弹弹出对话话框中填填入欲新新加入模模板名称称myttem，在在“安全模模板描述述”中填入

13、入“自设模模板”。（2）双双击myytemm，在显显示的安安全策略略列表中中双击“账户策策略”下的“密码策策略”，其中中任一项项均显示示“没有定定义”。（3）在在“模板中中定义这这个策略略设置”前打勾勾，在框框中填入入密码的的最小长长度7。（4）依依次设定定“账户策策略”、“本地策策略”等项目目中的每每项安全全策略，直直至完成成安全模模板的设设置。至此，自自设安全全模板mmyteem创建建完毕。实验结果果及理论论分析：实验从这这五方面面进行WWinddowss操作系系统的安安全设置置，分别别是：11、账户户口令的的安全设设置 22、文件件系统安安全设置置 3、用用加密软软件4、EEPS加加密硬

14、盘盘数据 5、启启用审核核与日志志查看启启用安全全策略与与安全模模块。1、通过过账户口口令的安安全设置置，有效效地减少少了黑客客攻击的的成功率率，一般般电脑都都使用WWinddowss默认的的账户口口令，通通过修改改，提高高了电脑脑的安全全性能。2、磁盘盘数据也也是被攻攻击的对对象，NNFTSS格式的的文件，是是一种安安全文件件系统，通通过设置置文件夹夹的权限限，限制制了其他他用户的的访问，从从而保障障了数据据的安全全性。3、使用用数据加加密软件件，加强强数据的的安全性性，并且且减少计计算机、磁磁盘被窃窃或者桩桩拆后数数据失窃窃的隐患患。加密密后可以以控制特特定的用用户有权权解密数数据。4、运用用Winndowws系统统中审核核与日志志功能，进进行入侵侵检测。面面对系统统攻击时时，会被被记录进进日志，以以便查觉觉、防御御。5、使用用Winndowws安全全模板，以以便理简简单地根根据需求求，配置置各项安安全属性性。