Windows安全(一).docVIP

上机目的 理解操作系统安全对电子商务系统安全的重要性 熟悉操作系统的安全机制，以及Windows的安全策略 掌握对Windows的操作系统进行安全配置的基本方法和步骤，并能根据实际应用需求构建一个Windows操作系统的安全框架。 上机内容 帐户和密码的安全设置 启用审核与日志查看功能 上机方法和手段 在Windows操作系统控制面板中进行安全选项设置 上机组织运行要求 学生独立完成上机各项内容 上机条件 实验设备：PC机及其局域网；具备Internet连接。 软件环境：Windows XP操作系统，磁盘格式为NTFS 上机实施 帐户和密码的安全设置 删除不再使用的账户，禁用Guest帐户 共享的帐户越多，被黑客攻击的几率就越大。特别是Guest账户，它是一个非常危险的安全漏洞，常常称为攻击的对象，因为黑客可以使用这个帐户登陆合法用户的机器。因此，要求删除不再使用的帐户，并且建议将Guest账户进行禁用。 检查和删除不再使用的帐户。单击“开始”按钮，依次选择“控制面板”—“管理工具”—“计算机管理”窗口，打开“计算机管理”窗口。在该窗口中选中“本地用户和组”选项，然后单击“用户”项，如图1所示。 在“计算机管理”窗口中列出了系统所有的帐户。检查各帐户是否仍需使用，删除其中不再使用的帐户。 图1 计算机管理窗口 禁用Guest帐户。右键单击Guest帐户，选择“属性”，在弹出的“Guest”属性对话框中将“帐户已停用”一栏打对勾，如图2所示。这样就无法使用该帐号登陆系统了。 图2 禁用Guest帐号 启用帐号策略 帐号策略是Windows XP帐户管理的重要安全工具，它可以增加攻击者登陆系统的难度。 依次打开“控制面板”—“管理工具”—“本地安全策略”。在弹出的“本地安全设置”窗口中，选择“帐户策略”中的“密码策略”，如图3所示。 图3 系统默认的密码策略 密码策略用于决定系统的安全规则。例如，启用“密码必须符合复杂性要求”策略选项，以确保用户的口令符合安全性要求，不会很容易被攻破；设置“密码长度最小值”为8位；设置“密码最长存留期”为30天；设置“密码最短存留期”为5天；设置“强制密码历史”为3个记住的密码。密码设置完成后，如图4所示。 图4 设置后的安全策略 帐户策略中的第2项是帐户锁定策略，它决定系统锁定帐户的时间等相关设置。选中“帐户策略”下的“帐户锁定策略”，如图5所示。 图5 系统默认的帐户锁定策略 其中，有三个设置选项。首先设置“帐户锁定阈值”，该值定义了用户在进行多少次登陆后自动锁定帐户，设置这个阈值能从根本上抵御入侵者对用户密码的暴力猜测，推荐值为3次。然后，设置“复位帐户锁定计数器”，该值定义了帐户在锁定后多长时间可被系统复位为零，推荐值为3分钟。最后，设置“帐户锁定时间”，该值设置当用户的帐户被锁后，多长时间才能重新使用，推荐值为10分钟。 帐户锁定设置完成后，如图6所示。 图6 修改后的帐户锁定策略 不自动显示上次登陆的帐户名 Windows XP默认情况下，系统会自动显示上次登陆的账户名。这使得攻击者很容易得到系统的一些用户名，从而进行密码猜测，这对系统是很不安全的。因此，应禁止自动显示上次登陆的帐户名，其设置方法如下。 依次打开“控制面板”—〉“管理工具”—〉“本地安全策略”，弹出“本地安全设置”窗口后，选择“本地策略”中的“安全选项”，并在窗口右侧列表中选择“交互式登录：不显示上次的用户名”，如图7所示。 图7 本地安全设置 双击该选项，弹出如图8所示的对话框，选择“已启用”完成设置。 图8 禁止显示上次登录的帐户名 启动密码设置 在命令提示符中，输入“syskey”命令，弹出“保证Windows XP帐户数据库的安全”对话框，点击“更新”按钮，则弹出“启动密码”对话框，如图9所示。 图9 设置启动密码 选择“密码启动”单选按钮，输入用户想设置的密码，然后单击“确定”按钮完成设置。 在“启动密码”对话框中选择“在本机上保存启动密码”，可以取消刚才设置的系统密码。 启用审核与日志查看功能 安全审核是Windows操作系统基本的入侵检测方法。如果攻击者通过某种方式入侵时，恰当的审核策略所生成的日志文件将会包含有关本次入侵的重要信息。 启用审核策略 打开“控制面板”中的“管理工具”，选择“本地策略”中的审核策略，就可以看到审核策略在默认情况下是没有开启的，如图10所示。 图10 默认审核策略 双击每项策略可以选择是否启用该策略。例如，“审核策略更改”，用于确定是否对更改用户权限分配策略、审核策略或信任策略的每个事件进行审核；“审核登录事件”用于确定是否对用户记录审核事件的计算机登录、注销或建立网络的每个实例进行审核；“审核过程跟踪”则用于对每次启用或者退出的程