操作系统安全策略配置.winXP实验.docxVIP

操作系统安全策略配置-winXP实验课程编写类别内容实验课题名称操作系统安全策略配置-winXP实验实验目的与要求掌握windows的安全设置，加固操作系统安全实验环境VPC1(虚拟PC）Windows xpVPC1?连接要求PC网络接口，本地连接与实验网络直连软件描述Windows自带软件实验环境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通；预备知识操作系统安全策略和基本配置原则：1.?操作系统的安全策略：利用windowsXP的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全策略”， 可以配置四类安全策略：（1）账户策略，（2）本地策略，（3）公钥策略（4）IP安全策略。在默认情况下，这些策略都是没有开启的。2.关闭不必要的服务。3.关闭不必要的端口。4.开启审核策略。5.开启密码策略。6.开启账户策略。7.备份敏感文件。8.不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。9.禁止建立空连接。10.下载最新的补丁。?实验内容1、账户与密码的安全设置2、关闭远程注册表服务3、设置登录系统时不显示上次登录的用户名4、设置注册表防止系统隐私信息被泄露5、审核与日志查看6、了解任务管理器?实验原理操作系统安全策略和基本配置原则：1.操作系统的安全策略：利用windowsXP的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全策略”， 可以配置四类安全策略：账户策略，本地策略，公钥策略和IP安全策略。在默认情况下，这些策略都是没有开启的。2.关闭不必要的服务。3.关闭不必要的端口。4.开启审核策略。5.开启密码策略。6.开启账户策略。7.备份敏感文件。8.不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。9.禁止建立空连接。10.下载最新的补丁。实验步骤首先点击打开控制台进入系统。任务一、 账户和密码的安全设置1、删除不再使用的账户，禁用 guest 账户⑴ 检查和删除不必要的账户右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户账户”项； 在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。⑵ 禁用 guest 账户在上面的界面中单击 guest 账户，选择开启来宾账户，确定后，观察 guest 前的图标变化。再次单击 guest 账户，选择禁用来宾账户，确定后，观察 guest 前的图标变化。２、启用账户策略⑴ 设置密码策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。⑵ 设置账户锁定策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如 5 次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如 50 min ）。重启计算机，进行无效的登陆（如密码错误），当次数超过 5次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。（在bupt-winxp_1中不能实现，因为每次关机后，本次用户设置都会丢失）3．禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”， 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。任务二、 关闭远程注册表服务默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务，如果黑客连接到我们的计算机并且计算机启用了远程注册表服务（Remote Registry）的话他还可以通过远程注册表操作系统任意服务，因此远程注册表服务要得到特别保护。当然不要以为仅仅将