实验二Windows访问控制与安全配置.docxVIP

实验二?Windows?安全控制 一、实验目的 （1）通过实验掌握安全策略使用 二、实验要求 （1）掌握安全模板的管理和设置 （2）按照模板配置各项安全属性 三、实验原理 “安全模板”是一种可以定义安全策略的文件表示方式，它能够配置账户 和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安 全设置。安全模板都以.inf?格式的文本文件存在，用户可以方便地复制、粘贴、 导入或导出某些模板。此外，安全模板并不引入新的安全参数，而只是将所有 现有的安全属性组织到一个位置以简化安全性管理，并且提供了一种快速批量 修改安全选项的方法。 系统已经预定义了几个安全模板以帮助加强系统安全，在默认情况下，这些模 板存储在%Systemroot%\Security\Templates目录下。它们分别是： 1.Compatws.inf 提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松 用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。 Power?Users组通常用于运行没有验证的应用程序。 2.Hisec*.inf 提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一 步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过 安全通道以及在?SMB?客户机和服务器之间进行安全传输所必需的。 3.Rootsec.inf 确保系统根的安全，可以指定由?Windows?XP?Professional?所引入的新的根目 录权限。默认情况下，Rootsec.inf?为系统驱动器根目录定义这些权限。如果不 小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改 模板对其他卷应用相同的根目录权限。 4.Secure*.inf 定义了至少可能影响应用程序兼容性的增强安全设置，还限制了?LAN Manager?和?NTLM?身份认证协议的使用，其方式是将客户端配置为仅可发送 NTLMv2?响应，而将服务器配置为可拒绝?LAN?Manager?的响应。 5.Setupsecurity.inf 重新应用默认设置。这是一个针对于特定计算机的模板，它代表在安装操作系 统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限， 可用于系统灾难恢复。 以上就是系统预定义的安全模板，用户可以使用其中一种安全模板，也可以创 建自己需要的新安全模板。 四、实验步骤 1.打开我的电脑选择控制面板 2.选择计算机管理 3.单机本地用户和组，单机用户： 4.单机账户已停用： 5.为?Guest?设置密码： 6.删除不必要的用户： 7.设置?internet?安全机制，右键本地连接选择属性： 8.单机?internet?协议 9.单机高级选项： 10.设置只允许?TCP?端口号为?80?和?21?端口： 11.关闭不必要的服务： 12.选择?server,右键属性： 13.internet?安全选项设置 14.管理安全模板 （1）安装安全模板 安全模板文件都是基于文本的.inf?文件，可以用文本打开进行编辑，但是这种 方法编辑安全模板太复杂了，所以要将安全模板载入到?MMC（管理控制台）， 以方便使用。 ①依次点击开始和运行按钮，键入mmc并点击确定按钮就会打开控制 台节点； ②点击文件菜单中的添加/删除管理单元，在打开的窗口中点击独立标签 页中的添加按钮； ③在可用的独立管理单元列表中选中安全模板，然后点击添加按钮，最 后点击关闭，这样安全模板管理单元就被添加到?MMC?控制台中了。 为了避免退出后再运行?MMC?时每次都要重新载入，可以点击文件菜单上的 保存按钮，将当前设置为保存。 （2）建立、删除安全模板 将安全模板安装到?MMC?控制台后，就会看到系统预定义的那几个安全模板， 你还可以自己建立新的安全模板。 首先打开控制台根节点列表中的安全模板，在存储安全模板文件的文件夹 上点击鼠标右键，在弹出的快捷菜单中选择新加模板，这样就会弹出新建模 板窗口，在模板名称中键入新建模板的名称，在说明中，键入新模板的说 明，最后点击确定按钮。这样一个新的安全模板就成功建立了。 删除安全模板非常简单，打开安全模板，在控制台树中找到要删除的模板， 在其上面点击鼠标右键，选择删除即可。 （3）应用安全模板 新的安全模板经过配置后，就可以应用了，你必须通过使用安全配置和分析 管理单元来应用安全模板设置。 ①?首先要添加安全配置和分析管理单元，打开?MMC?控制台的文件菜单， 点击添加/删除管理单元，在添加独立管理单元列表中选中安全配置和 分析，并点击添加按钮，这样安全配置和分析管理单元就被添加到 MMC?控制台中了； ②在控制台树中的安全配置和分析上点击鼠标右键，选择打开数据库，在 弹出的窗口中键入