windows安全测试1.docVIP

一、实验目的及要求 （一）实验目的 通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。 （二）实验要求 根据教材中介绍的Windows操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。 二、实验设备及软件 1台安装Windows2000/XP操作系统的计算机，磁盘格式配置为NTFS，预装MBSA(Microsoft Baseline Security Analyzer)工具。 三、实验内容 1．账户与密码的安全设置 2．文件系统的保护和加密 3．启用安全策略与安全模板 4．用加密软件EFS加密硬盘数据 5．审核与日志查看 6．利用MBSA检查和配置系统安全 需要说明的是，下面的实验步骤主要是以Windows2000的设置为例进行说明，并且设置均需以管理员（Administrator）身份登陆系统。在Windows XP操作系统中，相关安全设置会稍有不同，但大同小异。 四、实验步骤 任务一? 账户和密码的安全设置 1．删除不再使用的账户，禁用guest账户 ⑴ 检查和删除不必要的账户 右键单击“开始”按钮，、打开“资源管理器”，选择“控制面板”中的“用户和密码”项； 在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。 ⑵ 禁用guest账户 为了便于观察实验结果，确保实验用机在实验前可以使用guest账户登陆。 打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击guest账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。 确定后，观察guest前的图标变化，并再次试用guest用户登陆，记录显示的信息。 ２．启用账户策略 ⑴ 设置密码策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据你选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。 ⑵ 设置账户锁定策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如3次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如20 min）。 重启计算机，进行无效的登陆（如密码错误），当次数超过3次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。 ３．开机时设置为“不自动显示上次登陆账户” 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。 ４．禁止枚举账户名 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。 此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。 任务二? 文件系统安全设置 ⑴ 打开采用NTFS格式的磁盘，选择一个需要设置用户权限的文件夹。这里选择E盘下的“桌面”文件夹。 ⑵ 右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。 ⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。 ⑷ 选中列表中的Everyone组，单击“删除”按钮，删除Everyone组的操作权限，由于新建的用户往往都归属于Everyone组，而Everyone组在缺省情况下对所有系统驱动器都有完全控制权，删除Everyone组的操作权限可以对新建用户的权限进行限制，原则上只保留允许访问此文件夹的用户和用户组。 ⑸ 选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。 ⑹ 单击“高级”按钮，在弹出的窗口中，查看各用户组的权限。 ⑺ 注销计算机，用不同的用户登陆，查看E盘“桌面”文件夹的访问权限，将结果记录在实验报告中。 任务三? 启用审核与日志查看 1．启用审核策略 (1) 打开“控制面板”