Windows系统加固实验09-Windows操作系统安全讲述.doc

课程编写 类别 内容 实验课题名称 Windows操作系统安全 实验目的与要求 通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模版的使用、审核和日志的启用，建立一个Windows操作系统的基本安全框架。 实验环境 VPC1(虚拟PC） 操作系统类型：Windows XP 网络接口：本地连接 VPC1连接要求 PC网络接口，本地连接与实验网络直连 软件描述 学生机要求安装Java环境 VPC1安装VC6.0 实验环境描述 学生机与实验室网络直连VPC1与实验室网络直连学生机与VPC1物理链路连通 预备知识 实验从这五方面进行Windows操作系统的安全设置，分别是：1、账户口令的安全设置；2、文件系统安全设置；3、用加密软件；4、EPS加密硬盘数据；5、启用审核与日志查看启用安全策略与安全模块。 1、通过账户口令的安全设置，有效地减少了黑客攻击的成功率，一般电脑都使用Windows默认的账户口令，通过修改，提高了电脑的安全性能。 2、磁盘数据也是被攻击的对象，NFTS格式的文件，是一种安全文件系统，通过设置文件夹的权限，限制了其他用户的访问，从而保障了数据的安全性。 3、使用数据加密软件，加强数据的安全性，并且减少计算机、磁盘被窃或者桩拆后数据失窃的隐患。加密后可以控制特定的用户有权解密数据。 4、运用Windows系统中审核与日志功能，进行入侵检测。面对系统攻击时，会被记录进日志，以便查觉、防御。 5、使用Windows安全模板，以便理简单地根据需求，配置各项安全属性。 实验内容 在Windows XP操作系统中，相关安全设置会稍有不同，但大同小异，所有的设置均以管理员（Administrator）身份登录系统。 任务一：账户和口令的安全设置 任务二：用加密软件EPS加密硬盘数据 任务三：启用审核与日志查看 任务四：启用安全策略与安全模块 实验步骤 2、任务一：账户和口令的安全设置 ⑴删除不再使用的账户，禁用guest账户。 ①检查和删除不必要的账户。 右击“开始”按钮，选择“控制面板”中的“用户账户”项，如图1、2；在弹出的对话框中选择从列出的用户里删除不需要的账户。图4中删除了没用的asd用户，删除之后只剩一个有用的Administrator和Guest，如图5所示。 图2 图3 图4 图5 ②guest账户的禁用。 右键单击“我的电脑”，选择“管理”选项，并打开“系统工具\本地用户和组\用户”，如图6、7所示。 图6 图7 ???右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾；确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用，如图8、9、10。 图8 图9 图10 ⑵启用账户策略。 账户策略是Windows账户管理的重要工具。 打开“控制面板”→“管理工具”→“本地安全策略”，选择“账户策略”下的“密码策略”，如图11。 图11 其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特殊的设置。 ①双击“密码密码必须符合复杂性要求”，选择“启用”。如图12所示。 图12 打开“控制面板”中“用户和密码”项，在弹出的对话框中选择一个用户后，单击“设置密码”按钮。在出现的设置密码窗口中输入密码，如图13。此时密码符合设置的密码要求。 图13 ②双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。一般为达到较高安全性，密码长度最小值为8。 图14 ③双击“密码最长存留期”，在对话框中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。 ④双击“密码最短保留期”，设置密码最短存留期为7天。在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码。 图15 ⑤双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。 至此，密码策略设置完成。 ⑶开机时设置为“不自动显示上次登录”。 Windows默认设置为开机时自动显示上次登录的帐户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service的登录界面看到用户名。继续在本地安全设置中，打开“本地策略\安全选项”，选中“交互式登录：不显示上次的用户”，将其设置为已启用，如图16、17。 图16 图17 ⑷禁止枚举帐户名 为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有