Windows操作系统安全.pdf

《Windows操作系统安全.pdf》由会员分享，可在线阅读，更多相关《Windows操作系统安全.pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows 操作系统安全 实验名称 Windows 操作系统安全 实验目的 通过实验掌握 Windows 账户与密码的安全设置、文件系统的保护与加密、安全策略与安全模版的使用、审核与日志的启用，建立一个 Windows 操作系统的基本安全框架。使用仪器 实验环境 使用仪器及实验环境：一台装有 Windows2000 或者者 XP 操作系统的计算机、磁盘格式配置为 NTFS。实验内容 在 Windows2000 或者者 XP 操作系统中，有关安全设置会稍有不一致，但大同小异，所有的设置均以管理员（Administrator）身份登录系统。任务一：账户与口令的安全设置 任务二：文件系统安全设置

2、 任务三：用加密软件EPS 加密硬盘数据 任务四：启用审核与日志查看 任务五：启用安全策略与安全模块 实验步骤：任务一 账户与口令的安全设置 1、删除不再使用的账户，禁用guest 账户（1）检查与删除不必要的账户。右击“开始”按钮，打开“资源管理器”，选择“操纵面板”中的“用户与密码”项；在弹出的对话框中选择从列出的用户里删除不需要的账户。（2）guest 账户的禁用。右键单击 guest 用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾；确定后，guest 前的图标上会出现一个红色的叉，如今账户被禁用。2、启用账户策略 账户策略是 Windows 账户管理的重要工具。打开“操纵

3、面板”“管理工具”“本地安全策略”，选择“用户策略”。双击“密码策略”，用于决定系统密码的安全规则与设置。其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母与特殊字符的序列。双击其中每一项，可按照需要改变密码特殊的设置。（1）双击“密码密码务必符合复杂性要求”，选择“启用”。打开“操纵面板”中“用户与密码”项，在弹出的对话框中选择一个用户后，单击“设置密码”按钮。在出现的设置密码窗口中输入密码。如今密码符合设置的密码要求。（2）双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。通常为达到较高安全性，密码长度最小值为8。（3）双击“密码最长存

4、留期”，在对话框中设置系统要求的账户密码的最长使用期限为42 天。设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。（4）双击“密码最短保留期”，设置密码最短存留期为 7 天。在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码。（5）双击“强制密码历史”与“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量与是否设置加密存储密码。至此，密码策略设置完成。3、开机时设置为“不自动显示上次登录”Windows 默认设置为开机时自动显示上次登录的帐户名，许多用户也使用了这一设置。这对系统来说是很不安全的，攻击者会

5、从本地或者 Terminal Service 的登录界面看到用户名。4、禁止枚举帐户名 为了便于远程用户共享本地文件，Windows 默认设置远程用户能够通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。要禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不同意枚举 SAM 账户与共享”任务二：文件系统安全设置（1）打开使用 NTFS 格式的磁盘，选择一个需要设置用户权限的文件夹。（2）右击选择“属性”，在工具栏中选择“安全”。（3）将“同意将来自父系的可能继承权限传播给该对象”之前的勾去掉，以

6、去掉来自父系文件夹的继承权限。（4）选中列表中的 Everyone 组，单击“删除”按钮，删除 Everyone 组的操作权限。由于新建的用户往往都归属于 Everyone 组，而 Everyone 组在缺省情况下对所有系统驱动器都具有完全操纵权，删除 Everyone 组的操作权限能够对新建用户的权限进行限制。（5）选择相应用户组，在对应的复选框中打勾，设置其余用户对该文件夹的操作权限。（6）单击“高级”按钮，查看各用户组的权限。任务三：用加密软件 EPS 加密硬盘数据（1）打开操纵面板中的“用户与密码”，创建一个名为 MYUSER 的新用户。（2）打开磁盘格式为 NTFS 的磁盘，选择要进

7、行加密的文件夹，这里仍选择 E:“工具备份”。（3）右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。（4）选择“加密内容以便保护数据”，单击“确定”。（5）注销后登录刚新建的用户，发现无法打开该文件，说明已经加密。（6）再次切换用户，以原先加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入 mmc，打开系统操纵台。单击左上角的“操纵台”按钮，选择“添加删除管理单元”“添加”“证书”。（7）在操纵台窗口左侧的目录树中选择“证书”“个人”“证书”。用于加密文件系统的证书显示在右侧的窗口中。（8）选中用于 EFS 的证书，单击右键，在菜单中单击“所有任务”“导出”“欢迎使

8、用证书导出向导”“下一步”“是，导出私钥”，然后设置保护私钥的密码，将导出的证书另行储存，完成证书导出。（9）再次切换用户，以新建的MYUSER 登录系统，重复（7）、（8），导入证书。（10）输入在步骤（9）中为保护私钥设置的密码，选择将证书放入“个人”存储区中，完成导入。（11）再次双击加密文件夹中的文件，文件能够正常打开。任务四：启用审核与日志查看 1、打开审核策略（1）打开“操纵面板”中“管理工具”，选择“本地安全策略”；（2）打开“本地安全策略”中“审核策略”；（3）双击可启用该项策略。2、查看事件日志（1）打开“管理工具”双击“事件查看器”。（2）双击“安全日志”。查看有效无效等安

9、全事件的具体记录。任务五：启用安全策略与安全模版 1、启用安全模板 （1）单击“开始”，选择“运行”按钮，输入 mmc，打开系统操纵台。（2）单击工具栏上的“操纵台”，在弹出的菜单中选择“添加/删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”“安全配置与分析”，单击“添加”按钮后，关闭窗口，再“确定”。（3）打开“安全模板”，右键单击模板，选择“设置描述”。选择“打开”，双击可看有关配置。（4）右键单击“安全配置与分析”，选择“打开数据库”。输入欲新建安全数据库的名称。单击“打开”，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。（5）右键单击“安全配置与分析”，选择

10、“立即分析计算机”，单击“确定”按钮。系统开始按照上一步中选定的安全模板，以当前系统的安全设置是否符合要求进行分析。分析完毕后可在目录中选择查看各安全设置的分析结果。（6）右键单击，选择“立即配置计算机”，则按照所选择的安全模板的要求对当前系统进行配置。对比雇用安全模板前后系统的安全设置，选用安全模板级别较高，则使用安全模板后系统的安全配置选项增加了许多。2、创建安全模板（1）重复任务五中第1 部分（1）（4）步，打开“安全模板”，右键单击，选择“新加模板”，在弹出对话框中填入欲新加入模板名称 mytem，在“安全模板描述”中填入“自设模板”。（2）双击 mytem，在显示的安全策略列表中双击

11、“账户策略”下的“密码策略”，其中任一项均显示“没有定义”。（3）在“模板中定义这个策略设置”前打勾，在框中填入密码的最小长度 7。（4）依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。至此，自设安全模板 mytem 创建完毕。实验结果及理论分析：实验从这五方面进行 Windows 操作系统的安全设置，分别是：1、账户口令的安全设置 2、文件系统安全设置 3、用加密软件 4、EPS 加密硬盘数据 5、启用审核与日志查看启用安全策略与安全模块。1、通过账户口令的安全设置，有效地减少了黑客攻击的成功率，通常电脑都使用 Windows 默认的账户口令，通过修改，提高了电脑的安全性能。2、磁盘数据也是被攻击的对象，NFTS 格式的文件，是一种安全文件系统，通过设置文件夹的权限，限制了其他用户的访问，从而保障了数据的安全性。3、使用数据加密软件，加强数据的安全性，同时减少计算机、磁盘被窃或者者桩拆后数据失窃的隐患。加密后能够操纵特定的用户有权解密数据。4、运用 Windows 系统中审核与日志功能，进行入侵检测。面对系统攻击时，会被记录进日志，以便查觉、防御。5、使用 Windows 安全模板，以便理简单地根据需求，配置各项安全属性。