操作系统安全实验3实验报告解读.doc

操作系统安全实验3 实验目的 了解Windows操作系统的安全性 熟悉Windows操作系统的安全设置 熟悉MBSA的使用 实验要求 根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。 采用MBSA测试系统的安全性，并分析原因。 比较Windows系统的安全设置和Linux系统安全设置的异同。 实验内容 配置本地安全设置，完成以下内容： 账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等） 账户和口令的安全设置：检查和删除不必要的账户（User用户、Duplicate User用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。 设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等 设置IP安全策略 其他设置：公钥策略、软件限制策略等 Windows系统注册表的配置 找到用户安全设置的键值、SAM设置的键值 修改注册表：禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。 建立空连接： “Local_Machine\System\CurrentControlSet\Control\ LSA-RestrictAnonymous” 的值改成“1”即可。 禁止管理共享： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项 对于服务器，添加键值“AutoShareServer”，类型为 “REG_DWORD”，值为“0”。 对于客户机，添加键值“AutoShareWks”，类型为 “REG_DWORD”，值为“0”。 关闭139端口： 在“网络和拨号连接”中“本地连 接”中选取“Internet协议(TCP/IP)”属性，进入“高级 TCP/IP 设置”“WINS 设置”里面有一项 “禁用 TCP/IP的NETBIOS”，打勾就关闭了139端口。 防范SYN攻击： 相关的值项在 HKLM\SYSTEM\CurrentControlSet\Service \Tcpip\Parameters下。 DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。 (2) DWORD：TcpMaxConnectResponseRetransmissions：定义了对 于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。 （上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了 激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活 SYN淹没攻击保护。） 减少syn-ack包的响应时间： HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的 次数。 增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。 HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。 HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000 预防DoS攻击： 在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Pa rameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG