信息安全 DCNS 实验十 windows系统加固实验-访问控制.docVIP

第二部分 安全攻防实验 第二部分 安全攻防实验 实验十 Windows系统加固实验—访问控制 实验十 Windows系统加固实验—访问控制 PAGE 146 PAGE 146 PAGE 159 PAGE 159 实验 实验十 Windows系统加固 实验—访问控制 一、实验目的 掌握Windows系统进行网络访问和系统访问控制的操作。 二、应用环境 Windows网络环境相对复杂，对网络用户的访问请求进行控制尤为必要。很多时候用户盲目使用系统默认的安全设置会为系统带来可怕的安全问题，如果合理设置，Windows系统可以提供很高的安全访问性能。 三、实验设备 Windows2000/xp系统PC机1台 四、实验要求 熟练进行windows系统的访问控制操作。 五、实验步骤 除了 Windows中的许多特权组之外，还可以为用户和组分配许多用户权限，以便授予他们高于普通用户的特权。在这些额外的用户权限中，有许多（但并非全部）用户权限都适用于 Windows XP Professional。 要将用户权限的值设置为“No One”，请启用此设置，但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”，请不要启用此设置。 在 Windows 中，“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置： 计算机配置\Windows 设置\安全设置\本地策略\用户权限分配 UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机 从网络访问此计算机 Administrators, Users Administrators, Users Administrators, Users Administrators, Users 通过终端服务允许登录 Administrators Administrators No One No One 备份文件和目录 没有定义 没有定义 Administrators Administrators 跳过遍历检查 Users Users Users Users 更改系统时间 没有定义 没有定义 Administrators Administrators 调试程序 No One No One No One No One 通过终端服务拒绝登录 没有定义 没有定义 Everyone Everyone 从远程系统强制关机 没有定义 没有定义 Administrators Administrators 在本地登录 Administrators, Users Administrators, Users Administrators, Users Administrators, Users 配置单一进程 没有定义 没有定义 Administrators Administrators 还原文件和目录 没有定义 没有定义 Administrators Administrators, Users 关闭系统 没有定义 没有定义 Administrators, Users Administrators, Users (一) 从网络访问此计算机 “从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。此用户权限是许多网络协议所必需的，这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。 一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。这个组允许授权用户以及其他所有来宾和匿名用户都访问网络上的计算机。如果将此用户权限限制为管理员和用户，将阻止本地安装的应用程序或登录用户尝试添加用户或组，从而防止出现上述情况。 因此，在本节中定义的两种环境中，“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。 (二) 通过终端服务允许登录 “通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此权限。如果将“远程协助”用作企业技术支持策略的一部分，请创建一个组，并通过组策略向该组授予此权限。如果组织中的技术支持部门不使用远程协助，则仅向“Administrators”组授予此权限。 如果将此权限限制于“Administrators”组（可能还包括“Help Desk”技术人员组），将防止非法用户通过 Windows中新的“远程协助”功能从网络访问计算机。 因此，在企业客户端环境中，“通过终端服务允许登录”用户权限仅限制于“Administrators”组，在高安全级环境中，此权限限制为“No O