实验五操作系统安全配置..docVIP

实验五 操作系统安全配置实验 一、实验目的 1、掌握Windows系统的安全机制，了解安全策略的主要内容和用途，掌握操作系统安全策略的设置方法。 2、掌握Windows下审核策略的设置方法，了解审核策略的制定准则。掌握查看器查看审核日志和审核事件的一般方法。 3、了解Windows的NTFS文件系统提供的对本地文件的安全保护功能，掌握其使用方法。 二、实验环境 一台装有Windows 2003操作系统的计算机。 三、实验内容： 1、系统安全配置 2、系统安全审核 3、NTFS文件系统安全应用 四、实验步骤： （一）系统安全配置实验 【实验原理】 操作系统的安全配置是整个操作系统安全策略的核心，其目的是从系统根源构成安全防护体系，通过用户和密码管理、共享设置、端口过滤、本地安全策略、外部工具使用等手段形成一套有效的系统安全策略。Windows系统安装的默认配置是不安全的，因此，在系统投入使用之前，应该进行一些设置，以便使系统更安全。 通过本地安全策略可以控制：访问计算机的用户用户名；授权用户使用计算机上的哪些资源；是否在事件日志中记录用户或组的操作。其中与系统身份谁密切相关的密码策略用于管理域账户或本地用户账户。 【实验步骤】 （1）设置密码策略。在【本地安全策略】窗口中，选择【安设设置】|【账户策略】|【密码策略】，如图1所示。 图 1 （2）设置密码复杂性。双击窗口右侧【密码必须符合复杂性要求】，弹出如图2所示对话框。 图 2 对密码复杂性要求策略进行修改，该安全设置确定密码是否符合复杂性要求。如启用该策略，则密码必须符合以下最低要求： ???不得明显包含用户账户名或用户全名的一部分； ???长度至少为六个字符； ???至少包含以下四种字符中的三种：英文大写字母（A~Z）； 英文小写字母（a~z）； ???10个基本数字（0~9）； 非字母字符（如，!$#%）。 密码策略设置后，在更改或创建密码时，会强制执行复杂性要求。 （3）修改密码长度。双击右侧【密码长度最小值】，弹出如图3所示对话框。 图 3 （4）修改密码最长存留期。双击右侧【密码最长存留期】，弹出如图4所示对话框。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间。可将密码的过程天数设置在1~999天之间，或将天数设置为为0，可指定密码永不过期。如果密码最长使用期限在1~999之间，则密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1~998天天之间的任何值。使用密码每隔30~90天过期一次是最佳安全操作。通过对密码的最长有效期进行修改，保证用户的密码到达有效期后必须更换密码。 图 4 （5）修改密码最短存留期限。方法同上。 （6）设置强制密码历史。双击右侧【强制密码历史】，弹出如图5所示对话框。为防止用户重新使用旧密码，该安全设置确定归纳法要个用户账户相关的密码的数量，该值必须为0~24之间的一个数值。该策略通过确保旧密码不能继续使用，从而能够增强安全性。 图 5 （7）为域中所有用户使用可还原的加密来存储密码。双击右侧【为域中所有用户使用可还原的加密来存储密码】，弹出如图6所示对话框。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可为它提供支持。 图 6 （二）系统安全审核实验 【实验原理】 审核策略用于确定计算机的安全性事件日志记录了哪些安全事件。能够审核的事件类型包括：对文件和文件夹的访问、登录以及退出登录、关闭以及重新启动计算机、对用户和组的改动。对审核事件的成功或者事件的或者两者都审核。跟踪成功事件可以决定用户对特定文件或者打印机访问，能够利用该信息计划资源。跟踪失败事件以寻找可能出现的安全破坏。 安全审核的内容应该包括： （1）审核账户登录事件。该审核用于确定是否对用户在计算机上登录或注销的每个实例进行审核。如果定义了该策略设置，则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在账户登录尝试成功时生成一个审核项，可用来确定哪个人成功登录到哪台计算机。失败审核会在账户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能导致拒绝服务状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。 （2）审核账户管理。该设置用于确定是否对计算机上的每个账户管理事件进行审核。账户管理事件的示例包括：创建、修改或删除用户账户或组；重命名、禁用或启用用户账户；设置或修改密码。在响应安全事件时，组织可以对创建、更改或删除账户的人员进行跟踪，这一点非常重要。 （3）审核登录事件。该设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接