Winndows操作系统安全.ppt

绵阳师范学院计算机科学与工程系 ? 实验目的 通过实验掌握建立一个Windows操作系统的基本安全框架的方法： Windows帐号与密码的安全设置 文件系统的保护和加密 安全策略与安全模板的使用 审核和日志的启用 实验内容 一、帐号和口令的安全设置 二、文件系统安全设置 三、用加密软件EPS加密硬盘数据 四、启用审核与日志查看 五、启用安全策略与安全模板 实验观察点 观察启用“帐户锁定策略”前后，用户错误输入登录密码情况的变化。 观察同一个用户在非授权访问和授权访问情况下分别对同一个文件夹及其文件的可访问情况的变化。 观察同一个用在非授权和授权情况下分别对加密数据的访问情况的变化。 通过事件查看器观察启用登录审核策略前后，登录和退出的日志记录的变化。 通过事件查看器观察创建并启用一个自定义安全模板前后，登录和退出的日志记录情况的变化 。 实验要求 根据Windows操作系统的各项安全性实验要求，详细观察、记录设置前后的变化，给出分析报告 实验内容 一、帐号和口令的安全设置 二、文件系统安全设置 三、用加密软件EPS加密硬盘数据 四、启用审核与日志查看 五、启用安全策略与安全模板 一、帐号和口令的安全设置 1.删除不再使用的帐户，禁用guest帐户 2.本地安全设置 观察点： 观察启用“帐户锁定策略”前后，用户错误输入登录密码情况的变化 删除不再使用的帐户，禁用guest帐户 右键单击桌面“我的电脑”图标，选择“管理”打开“计算机管理”窗口。从左侧窗口展开“系统工具”目录树直到“用户”节点 从右侧窗口选中不再使用的帐户，按“Del”键删除 从右侧窗口右键单击“guest”并选“属性”打开属性窗口，选中“帐户已停用”来禁用guest帐户 本地安全设置 启用“密码策略”。打开“控制面板”—“管理工具”—“本地安全策略”，在“本地安全设置”窗口中展开左侧窗口目录树，直到“密码策略”。右侧窗口显示所有密码策略选项，双击它们均可以进行设置。其中“符合复杂性要求”的密码是具有相当长度以及同时含有数字、大小写字母和特殊字符的序列 启用“帐户锁定策略”。从左侧窗口目录树选择“帐户锁定策略”，右侧窗口显示多项安全策略，双击它们均可进行设置 开机时设置为“不自动显示上次登录帐户”。从左侧窗口目录树选择“安全选项”，右侧窗口显示多项安全策略，双击“不自动显示上次登录帐户”项并设置已启用。 禁止枚举帐户名。从左侧窗口目录树选择“安全选项”，右侧窗口显示多项安全策略，双击“对匿名连接的额外限制”项并设置为“不允许枚举SAM帐户和共享”。 实验内容 一、帐号和口令的安全设置 二、文件系统安全设置 三、用加密软件EPS加密硬盘数据 四、启用审核与日志查看 五、启用安全策略与安全模板 二、文件系统安全设置 1.选择文件夹 2.设置文件夹属性 3.取消所有用户访问权限 4.添加访问用户组 观察点： 观察同一个用户在非授权访问和授权访问情况下分别对同一个文件夹及其文件的可访问情况的变化 选择文件夹 选择NTFS格式的磁盘分区上的某个文件夹（设其中还有子文件夹） 设置文件夹属性 在文件夹“安全属性卡”中将“允许将来自父系的可能继承权限传输给该对象”前的勾去掉 取消所有用户访问权限 文件夹缺省为任何用户都可以访问。从列表中删除Everyone组 添加访问用户组 选中要赋予访问权限的用户组，并设置相应操作权限，然后从“高级”窗口查看细节 实验内容 一、帐号和口令的安全设置 二、文件系统安全设置 三、用加密软件EPS加密硬盘数据 四、启用审核与日志查看 五、启用安全策略与安全模板 三、用加密软件EPS加密硬盘数据 1. 创建新用户 2. 设置文件夹 3. 未授权用户访问数据 4. 数据访问授权 5. 授权用户访问数据 观察点： 观察同一个用在非授权和授权情况下分别对加密数据的访问情况的变化 创建新用户 以管理员身份登录，并创建一个新用户 设置文件夹 选择NTFS格式的磁盘分区上的某个文件夹（设其中还有子文件夹），在文件夹属性的“高级属性”窗口中选中“加密内容以便保护数据”，并允许“将更改应用于该文件夹、子文件夹和文件” 未授权用户访问数据 注销后以新建用户身份登录，并访问该文件夹，结果因文件夹加密未授权而访问失败 数据访问授权 注销后以管理员身份登录，通过运行“mmc”命令打开系统控制台，并从“添加/删除管理单元”窗口中添加“证书”，以便为当前用户的加密文件系统EFS设置证书（私钥）。从控制台窗口左侧目录树中选择“证书”、“个人”、“证书”，打开右侧窗口的证书可以看到该证书的详细信息，其中包括1024位的公钥。从右侧窗口导出证书保存到适当的路径，并为证书设置密码（用于保护私钥） 授权用户访问数据 注销后以新建用户身份登录，从存放证书的路径