实验-加固windows安全配置抗攻击精选.doc

实验二 加固windows安全配置抗攻击 实验 5 使用 Windows 组策略对计算机遇行安全配置 【实验目的】 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 我们通过实验 , 学会使用组策略对计算机进行安全配置。 【实验准备】 Windows 2000 系统 , 具有管理员权限账户登陆。组策略可以做很多的配置 , 实验只是举例一二。 【注意事项】 必须以管理员或管理员组成员的身份登录 Win2000 系统。 计算机配置中设置的策略级别要高于用户配置中的策略级别。 【实验步骤】 在 开始 菜单中 , 单击 运行 命令项 , 输入 gpedit.msc 并确定 , 即可运行程序。 依次进行以下实验: 隐藏驱动器 平时我们隐藏文件夹后 , 别人只需在文件夹选项里显示所有文件 , 就可以看见了 , 我们可以在组策略里删除这个选项 : 选择 用户配置→管理模板→ Windows 组件→ Windows 资源管理器 ( 下图 ) 。 禁止来宾账户本机登录 使用电脑时 , 我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时 , 为了避免有人动用电脑 , 我们一般会把电脑锁定。但是在局域网中 , 为了方便网络登录 , 我们有时候会建立一些来宾账户 , 如果对方利用这些账户来注销当前账户并登录到别的账户 , 就会给正常工作带来影响。我们可以通过 组策略 来禁止一些账户在本机上登录 , 让对方只能通过网络登录。 在 组策略 窗口中依次打开计算机配置→ Windows 设置→安全设置→本地策略→用户权限分配 , 然后双击右侧窗格的 拒绝本地登录 项, 在弹出的窗口中添加要禁止的用户或组即可实现 ( 如图 ) 。 开启审核策略 在 计算机配置→ Windows 设置→安全设置→本地策略→审核策略 上 , 我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等 ( 如下图 ) 。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作 : 几时登录、关闭系统或更改过哪些策略等等。 我们应该养成经常在 控制西板→管理工具→事件查看器里查看事件的好习惯。比如 , 当你修改过 组策略 后 , 系统就发生了问题 , 此时事件查看器就会及时告诉你改了哪些策略。在 登录事件里 , 你可以查看到详细的登录事件 , 知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核 , 只要双击相应的项目 , 选中成功 和失败两个选项即可。 禁止修改 IE 浏览器的主页 如果你不希望他人或网络上的一些恶意代码对自己设定的 IE 浏览器主页进行随意更改的话 , 我们可以选择 用户配置 →管理模板 → Windows 组件 →Internet Explorer分支 , 然后在右侧窗格中 , 双击 禁用更改主页设置 策略启用即可 ( 如下图 ) 。 (1) 如图 , 还提供了更改历史记录设置、更改颜色设置和更改 Internet 临时文件设置等项目的禁用功能。 如果启用了这个策略 , 在IE 浏览器的 Internet 选项 对话框中 , 其常规选项卡的 主页 区域 的设置将变灰。 (2) 如果设置了位于 用户配置 → 管理模板 → Windows 组件 →Internet Explorer → Internet 控制面板中的禁用常规页 策略 , 则无需设置该策略 , 因为 禁用常规页策略将删除界面上的常规 选项卡。 (3) 逐级展开用户设置 →管理模板 → Windows 组件 →Internet Explorer 分支 , 我们可以在其下发现 Internet 控制面板 、 脱机页 、 浏览器菜单 、 工具栏 、 持续行为 和 管理员认可的控件等策略选项。利用它可以充分打造一个极有个性和安全的 IE 。 禁用 IE 组件自动安装 选择计算机配置 → 管理模板 → Windows 组件 → Internet Explorer 项目 , 双击右边窗口中 禁用 Internet Explorer 组件的自动安装 项目 , 在打开的窗口中选择已启用 单选按钮 , 将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件 , 篡改 IE 的行为也会得到遏制 ! 相对来说 IE 也会安全许多 ! 【实验结果】 根据实验内容 , 侬次进行结果验证 , 看组策略是否被执行。 实验 6 加固windows 抗 DOS 攻