Windows操作系统安全.docVIP

实验报告 实验名称 Windows操作系统安全 实验目的 通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模版的使用、审核和日志的启用，建立一个Windows操作系统的基本安全框架。 使用仪器 实验环境 使用仪器及实验环境：一台装有Windows2000或者XP操作系统的计算机、磁盘格式配置为NTFS。 实验内容 在Windows2000或者XP操作系统中，相关安全设置会稍有不同，但大同小异，所有的设置均以管理员（Administrator）身份登录系统。 任务一：账户和口令的安全设置 任务二：文件系统安全设置 任务三：用加密软件EPS加密硬盘数据 任务四：启用审核与日志查看 任务五：启用安全策略与安全模块 实验步骤： 任务一 账户和口令的安全设置 1、删除不再使用的账户，禁用guest账户 （1）检查和删除不必要的账户。 右击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项； 在弹出的对话框中选择从列出的用户里删除不需要的账户。 （2）guest账户的禁用。 右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾； 确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用。 2、启用账户策略 账户策略是Windows账户管理的重要工具。 打开“控制面板”→“管理工具”→“本地安全策略”，选择“用户策略”。 双击“密码策略”，用于决定系统密码的安全规则和设置。 其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特殊的设置。 （1）双击“密码密码必须符合复杂性要求”，选择“启用”。 打开“控制面板”中“用户和密码”项，在弹出的对话框中选择一个用户后，单击“设置密码”按钮。 在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。 （2）双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。一般为达到较高安全性，密码长度最小值为8。 （3）双击“密码最长存留期”，在对话框中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。 （4）双击“密码最短保留期”，设置密码最短存留期为7天。在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码。 （5）双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。 至此，密码策略设置完成。 3、开机时设置为“不自动显示上次登录” Windows默认设置为开机时自动显示上次登录的帐户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service的登录界面看到用户名。 4、禁止枚举帐户名 为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。 要禁用枚举账户名，执行下列操作： 打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享” 任务二：文件系统安全设置 （1）打开采用NTFS格式的磁盘，选择一个需要设置用户权限的文件夹。 （2）右击选择“属性”，在工具栏中选择“安全”。 （3）将“允许将来自父系的可能继承权限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限。 （4）选中列表中的Everyone组，单击“删除”按钮，删除Everyone组的操作权限。 由于新建的用户往往都归属于Everyone组，而Everyone组在缺省情况下对所有系统驱动器都具有完全控制权，删除Everyone组的操作权限可以对新建用户的权限进行限制。 （5）选择相应用户组，在对应的复选框中打勾，设置其余用户对该文件夹的操作权限。 （6）单击“高级”按钮，查看各用户组的权限。 任务三：用加密软件EPS加密硬盘数据 （1）打开控制面板中的“用户和密码”，创建一个名为MYUSER的新用户。 （2）打开磁盘格式为NTFS的磁盘，选择要进行加密的文件夹，这里仍选择E:\“工具备份”。 （3）右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。 （4）选择“加密内容以便保护数据”，单击“确定”。 （5）注销后登录刚新建的用户，发现无法打开该文件，说明已经加密。 （6）再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入mmc，打开系统控制台。单击左上角的“控制台”按钮，选择“添加∕删除管理单元”→“添加”→“证