实验二操作系统安全配置..docVIP

实验二操作系统安全配置 【实验目的】 掌握使用安全策略设置的方法，了解安全策略的主要内容和用途 掌握用计算机管理工具管理本地用户帐户的方法，了解Windows下帐户的命名规则和口令要求 掌握Windows下审核策略的设置方法，了解审核策略的制定准则 掌握Windows环境中网络服务和端口的安全管理技术 掌握Windows下IPSec策略的配置方法，利用IPSec进行安全传输 【实验设备及环境】 Windows XP操作系统 Windows Server 2003操作系统 （虚拟机） 【实验导读】 安全策略设置 操作系统的安全配置是整个操作系统安全策略的核心，其目的就是从系统根源构筑安全防护体系，通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段，形成一整套有效的系统安全策略。Windows系统安装的默认配置是不安全的，在系统使用前，应该进行一些设置，以使系统更安全。 通过本地安全策略可以控制： 访问计算机的用户； 授权用户使用计算机上的哪些资源； 是否在事件日志中记录用户或组的操作。 用户管理 在Windows 中，用户管理对于系统和组织安全性非常关键，在组织内部，应该存在用来确定每个新用户具有的正确权限的过程，当用户离开组织时，应该具有保证用户不能再访问系统的过程。 ⑴Windows用户帐户 Windows提供三种类型的用户帐户：本地用户帐户、域用户帐户和内置用户帐户。本地用户帐户允许用户登录到一台特定的计算机上，从而可以访问该计算机上的资源。域用户帐户允许用户登录到域中从而可以访问网络中的资源。内置用户帐户允许用户执行管理任务或者访问本地和网络资源。 一般Administrator帐户不能被删除，在实际应用时为了增加入侵难度，可以更改Administrator帐户名，比如改成guestone。 ⑵帐户规则 ①命名规范 命名规范确定域中的用户如何被标识，命名规范可参考表2-1 表2-1 命名规范 规范 说明 用户登录名必须唯一 本地用户帐号应该在本计算机上是唯一的。域用户帐号的登录名应该在域活动目录中是唯一的。 最多使用20个字符 Windows只识别用户名称的前20个字符 避免使用无效字符 无效字符包括：/|[]：；“=,+*？ 用户登录名不区分大小写 用户登录名称对大小写不敏感 表明用户类型 在用户登录名前加上一个标识来说明用户类型 ②口令要求 为了保护对计算机的访问，每个用户必须有口令，对于口令有以下要求： 一定为Administrator设定一个安全的口令； 使用难以猜测的口令，例如避免使用和用户名称明显相关的口令； 口令可以多达128个字符，推荐使用最少8个字符的口令； 使用大写和小写、数字和有效的非字母符号进行结合的口令。 系统审核 安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。 网络服务和端口管理 Windows中有许多用不着的服务自动处于激活状态，Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 另外，需要把系统用不着的网络端口也关闭，防止黑客的攻击。用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器，只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 IPSec策略 IPsec在网络层提供安全服务，它能使系统按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。在Windows操作系统中内嵌了对IPsec的支持，可以方便的建立主机到主机，网络到网络的安全通信。IPsec适用于基于IPsec策略的通信，可以使用IPsec策略来决定何时使用IPsec保护计算机之间的通信。 创建 IPsec 策略时，需要配置 IPsec 规则（这些规则确定 IPsec 的行为）以及设置（设置的应用与配置的规则无关）。 配置 IPsec 策略后，必须将该策略指派给一台计算机才能实施该策略。 虽然在一台计算机上可以存在多个 IPsec 策略，但每次只能将一个 IPsec 策略指派给一台计算机。 IPsec 规则确定 IPs