《操作系统安全》实验一---Windows操作系统的安全实验new.docVIP

北京信息科技大学 信息管理学院 课程设计报告 课程名称 《操作系统安全》课程设计 题 目 Windows操作系统的安全实验 指导教师 孙 璇 设计起止日期 2013年月日北京信息科技大学 信息管理学院 （课程设计）实验报告 实验名称 Windows操作系统的安全实验 实验地点 607 实验时间 课程设计目的： （1）理解操作系统安全的重要性?? （2）熟悉操作系统安全机制，以及Windows安全策略? （3）掌握对Windows操作系统进行安全配置的基本方法和步骤，并能根据实际应用要求构建一个Windows操作系统的基本安全框架。 课程设计内容： 1. 利用Windows XP的安全配置工具来配置安全策略 本实验将配置帐户策略和本地策略中的审核策略， 并使用事件查看器来查看修改审核策略事件的安全日志。 开启帐户策略： 开启密码策略: 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表2-1所示。 表2-1 b) 开启帐户锁定策略: 帐户锁定策略可以有效地防止字典式攻击，设置如表2-2所示。 表2-2 2) 开启审核策略。 安全审核是Windows XP最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来，记录到安全日志中。 需要开启的审核策略如表2-3所示。 表2-3 3）使用事件查看器察看安全日志。 对于在安全策略中指定审核的事件，其审核报告将被写入安全日志中，可以使用“事件查看器”来查看。 打开“控制面板”-〉“管理工具”-〉“事件查看器”。点击“安全性”选项，观察审核事件列表。 2. 停用不必要的帐号 应该在计算机管理单元中查看系统的活动帐号列表，禁用所有非活动用户，特别是Guest。配置步骤如下： 进入“控制面板”-〉“计算机管理”，打开“系统目录”下的“本地用户和组”，确认“Guest”帐号已停用。 3. 重命名管理员账户 Windows XP中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。 4. 创立陷阱帐号： 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。 5. 关闭不必要的服务。 每提供一种网络服务就增加一份安全威胁。所以应关闭所有不必要的网络服务。Windows XP 可禁用的服务如下。 表2-4 打开“控制面板”-〉“管理工具”-〉“服务”。查看系统提供的服务以及哪些服务被禁用。 6. 文件加密 Windows XP提供了一种基于新一代NTFS的加密文件系统（Encrypted File System，简称EFS）。针对NTFS分区中的文件和数据，用户都可以直接加密，从而达到快速提高数据安全性的目的。 EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。此时你可以发现，加密文件名的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可 2 1 7