(实训01WINDOWS操作系统安全策略.docVIP

实验目的及要求 实验目的 通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。 实验要求 根据教材中介绍的Windows操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。 检查和删除不必要的账户 单击“开始”按钮，选择“控制面板”中的“用户”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。锁定无效登录 为了防止他人进入电脑时，反复用猜测密码的方式登录，我们可以锁定无效登录，当密码输入错误达设定次数后，便锁定此账户，在一定时间内不能再以该账户登录。方法：进入控制面板，依次展开[管理工具]→[本地安全策略]，出现“本地安全设置”窗口在左侧列表中打开[账户策略]→[账户锁定策略]，在右边双击“账户锁定阀值”，在弹出的设置对话框中输入无效登录的次数（一般设3次为宜）确定后系统自动将锁定时长和计数器清零的时长设置为“30分钟”，我们也可以打开这两个策略修改时间。经过以上设置，就能够阻止那些靠猜密码登录的非法用户了。 加强密码安全为了让各账户的密码相对安全、不易被破解，我们可设置密码策略，加强密码的安全性，最有效的方法是增加密码的长度和复杂性，并定期更改密码。：进入控制面板，依次展开[管理工具]→[本地安全策略]展开[账户策略]→[密码策略]，密码长度最小值，设置最少字符数为8位以上，“密码必须符合复杂性要求”，设置为“已启动”密码最长存留期“”设置密码能使用的天数。经过以上三项设置后，凡新建账户或老账户更改密码时，系统会要求使用8位以上同时包含英文字母、数字或标点的密码，并且必须按设定的时间定期更改密码，密码的安全性将大大增强。 设置账户保密 登默认情况下，在系统登录框中会保留上次登录的用户名，这方便了该用户的登录，但却留下了安全隐患，特别是对管理员账户，暴露账户名称是一件非常危险的事情，因为有不良企图者只需输入密码便可尝试登录，甚至使用专门的工具来攻破此账户。我们可以将上次登录账户隐藏起来，方法：进入控制面板，依次展开[管理工具]→[本地安全策略]展开[本地策略]→[安全选项]，在右边找到“在登录屏幕上不要显示上次登录的用户名”，双击打开此策略，将其设置为“已启用”。 结果：进行此项设置后，系统启动或注销后，登录框中用户名为空，必须输入完整有效的用户名和密码才能登录。 、更改Administrator帐户的名字“我的电脑”选择管理—“本地用户和组Administrator”，打开属性窗口，重命名输入所需要名字即可 设置用户权限：当多人共同用一台计算机时，可通过组织策略在Windows XP中设置用户权限。打开—管理工具――本地安全策略―――用户权利指派双击需要改变的用户权限。 单击“增加”，然后双击想指派给权限的用户帐号。 结果：　只有ＡＤＭＩＮＩＳＴＲＡＴＯＲ管理员才能从网络上访问ＰＣ－。。。计算机，其他用户不能访问。 其他的选项权利设置依照上面的方法进行。 学生练习 1。）设置：“从远端系统强制关机“只能是计算机管理员ADMINISTRATORS 2） 设置“从网络访问此计算机”中不要给EVERYONE太高的权利。 八、打开—管理工具――本地策略——安全选项；双击“网络访问不允许SAM帐户匿名枚举”，选中“已启用”；同时还要“网络访问不允许 SAM帐户和共享的匿名枚举”；打开—管理工具――本地策略――安全选项 1）在右窗中找到[ 来宾帐户状态]，并双击，在打开的对话框中选择“已停用”。 2）在右窗中找开[ ]并双击此面，在打开的对话框中选择“已停用”。 十．其他设置 CD-ROM是系统中重要的外围设备，一般不能让远程访问，所以用户应用在[本地安全设置]的对话框中启用[ 只要本地 的用户才能访问CD-ROM]功能 如图所示 十一．忘记登录密码如何处理 方法一 1．开机启动Win XP，当运行到“正在启动Windows XP”的提示界面时，按“F8”键调出系统启动选择菜单，选择“带命令行安全模式”； 2.当运行停止后，会列出“Administrator”和其它用户的选择菜单(本例的其他用户以xpuser01为例)，选择“Administrator”后回车，进入命令行模式； 3.键入命令““net user xpuser01 1234/ADD”这是更改该用户密码的命令，命令中的“1234”是更改后的新密码，如果键入的用户不存在（xpuser01），那么系统会自动添加这个用户。 4.另外还可以使用“net 1oca1group administrator xpuser01 /