2023年12月17日发(作者:)
- - -..
一、实验目的及要求
(一)实验目的
通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。
(二)实验要求
根据教材中介绍的Windows操作系统的各项安全性实验要求,详细观察并记录设置前后系统的变化,给出分析报告。
二、实验设备及软件
1台安装Windows2000/XP操作系统的计算机,磁盘格式配置为NTFS,预装MBSA(Microsoft Baseline Security Analyzer)工具。
三、实验内容
1.账户与密码的安全设置
2.文件系统的保护和加密
3.启用安全策略与安全模板
4.用加密软件EFS加密硬盘数据
5.审核与日志查看
6.利用MBSA检查和配置系统安全
需要说明的是,下面的实验步骤主要是以Windows2000的设置为例进行说明,并且设置均需以管理员(Administrator)身份登陆系统。在Windows XP操作系统中,相关安全设置会稍有不同,但XX小异。
四、实验步骤
任务一 账户和密码的安全设置
1.删除不再使用的账户,禁用guest账户
⑴ 检查和删除不必要的账户
右键单击“开始”按钮,、打开“资源管理器”,选择“控制面板”中的“用户和密码”项;
- - 总结资料
- - -..
在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。
⑵ 禁用guest账户
为了便于观察实验结果,确保实验用机在实验前可以使用guest账户登陆。
打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击guest账户,在弹出的对话框中选择“属性”,在弹出的对话框中“XX已停用”一栏前打勾。
确定后,观察guest前的图标变化,并再次试用guest用户登陆,记录显示的信息。
2.启用账户策略
⑴ 设置密码策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据你选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。
⑵ 设置账户锁定策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“XX锁定策略”。
在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如3次),以便防X攻击者利用管理员身份登陆后无限次的猜测账户的密码。
在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如20
min)。
重启计算机,进行无效的登陆(如密码错误),当次数超过3次时,记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比。
3.开机时设置为“不自动显示上次登陆账户”
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,启用该设置。设置完毕后,重启机器看设置是否生效。
4.禁止枚举账户名
- - 总结资料
- - -..
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许枚举SAM账户和共享”。
此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。
任务二 文件系统安全设置
⑴ 打开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。这里选择E盘下的“桌面”文件夹。
⑵ 右键单击该文件夹,选择“属性”,在工具栏中选择“安全”。
⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。
⑷ 选中列表中的Everyone组,单击“删除”按钮,删除Everyone组的操作权限,由于新建的用户往往都归属于Everyone组,而Everyone组在缺省情况下对所有系统驱动器都有完全控制权,删除Everyone组的操作权限可以对新建用户的权限进行限制,原则上只保留允许访问此文件夹的用户和用户组。
⑸ 选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。
⑹ 单击“高级”按钮,在弹出的窗口中,查看各用户组的权限。
⑺ 注销计算机,用不同的用户登陆,查看E盘“桌面”文件夹的访问权限,将结果记录在实验报告中。
任务三 启用审核与日志查看
1.启用审核策略
(1) 打开“控制面板”中的“管理工具”,选择“本地安全策略”。
(2) 打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。
(3) 双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审核登陆事件”将对每次用户的登陆进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关审核策略,审核策略启用后,审核结果放在各种事件日志中。
2.查看事件日志
- - 总结资料
- - -..
(1) 打开“控制面板”中的“管理工具”,双击“事件查看器“,在弹出的窗口中查看系统的3种日志。
(2) 双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录,例如:查看用户登陆/注销的日志。
任务四 启用安全策略与安全模块
1.启用安全模板
开始前,请记录当前系统的账户策略和审核日志状态,以便于同实验后的设置进行比较。
⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行mmc,打开系统控制台
⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每中安全策略可看到其相关配置。
⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸ 右键单击“安全设置与分析”,选择“立即分析计算机”,单击“确定”按钮,系统开始按照上一步中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。
⑹ 右键单击“安全设置与分析”,选择“立即配置计算机”,则按照第(4)步中所选的安全模板的要求对当前系统进行配置。
⑺ 在实验报告中记录实验前系统的缺省配置,接着记录启用安全模板后系统的安全设置,记录下比较和分析的结果。
2.建安全模板
⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行mmc,打开系统控制台。
⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
- - 总结资料
- - -..
⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每中安全策略可看到其相关配置。
⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸ 展开“安全模板”,右键单击模板所在路经,选择“新加模板”,在弹出的对话框中添如预加入的模板名称mytem,在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。
⑹ 双击mytem,在现实的安全策略列表中双击“账户策略”下的“密码策略”,可发现其中任一项均显示“没有定义”,双击预设置的安全策略(如“密码长度最小值”),弹出如图46所示的窗口。
⑺ 在“在模板中定义这个策略设置”前打勾,在框中填如密码的最小长度为7。
⑻ 依次设定“账户策略”、“本地策略”等项目中的每项安全策略,直至完成安全模板的设置。
任务五 利加密软件EFS加密硬盘数据
⑴ 打开“控制面板”中的“用户和密码”,创建一个名为MYUSER的新用户。
⑵ 打开硬盘格式为NTFS的磁盘,选择要进行加密的文件夹。
⑶ 右键单击该文件夹,打开“属性”窗口,选择“常规”,单击“高级”按钮。
⑷ 选择“加密内容以便保护数据”,单击“确定”按钮。
⑸ 在弹出的对话框中选择“将更改利用于该文件夹、子文件夹和文件”。
⑹ 加密完成后,保存当前用户下的文件,单击“开始”按钮,打开“关机”,在下拉列表中选择“注销…用户”(即当前用户),以刚才新建的MYUSER用户登陆系统,再次访问“工具备份”文件夹,在实验报告中记录结果。
⑺ 再次切换用户,以原来加密文件夹的管理员用户登陆系统,单击“开始”按钮,在“运行”框输入mmc,打开系统控制台。单击左上角的“控制台”按钮,选择“添加/删除管理单元”,在弹出的对话框中单击“添加”按钮,选择添加“证书”,为当前的加密文件系统EFS设置证书
⑻ 在控制台窗口左侧的目录树中选择“证书”“个人“证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中。双击此证书,单击详细信息,则可以看到此证书包含的详细信息,记录这些信息。
- - 总结资料
- - -..
⑼ 选中用于EFS的证书,单击右键,在弹出的菜单中单击“所有任务”,在展开的菜单中,单击“导出”,则弹出“欢迎使用证书导出向导”,单击“下一步”按钮,选择“是,导出私钥”,接着设置保护私钥的密码,然后将导出的证书文件保存在磁盘上的某个路经,这就完成了证书的导出。
⑽ 再次切换用户,以新建的MYUSER登陆系统,重复步骤(7)和(8),右键单击选中的“证书”文件夹,选择“所有任务”中的“导入”,在弹出的“使用证书导入向导”窗口中,单击“下一步”按钮,在地址栏中填入步骤(9)中导出证书文件夹的地址,导入该证书。
⑾ 输入在步骤(9)中为保护私钥设置的密码,选择将证书放入“个人”存储区中,单击“下一步”按钮,完成证书导入。
⑿ 再次双击加密文件击中的文件,记录实验结果,并对其进行分析说明。
任务六 利用MBSA检查和配置系统安全
MBSA是微软公司提供的安全审计工具,可以从微软免费下载,其安装过程也非常简单,按照提示一步步安装即可。下面对MBSA的使用方法进行介绍。
(MBSA下载地址:.microsoft./china/technet/security/tools/#EBB)
1.检查系统漏洞
⑴ 双击打开MBSA,在弹出的窗口中选择Scan a puter:
⑵ 在弹出的窗口中填写本地计算机名称或者IP地址,并选择希望扫描的漏洞类型。这里采用全部漏洞扫描,单击“start scan”按钮,扫描计算机。
注意:由于扫描过程中需要连接Microsoft,因此需要事先配置好网络。
⑶ 扫描完成后,在实验报告中记录扫描结果。
2.查看安全性报告并手动修复漏洞
安全性报告中,最左侧一览为评估报告,其中红色和黄色的叉号表示该项目未能通过测试;雪花图标表示该项目还可以进行优化,也可能是程序跳过了其中的某项设置。感叹号表示尚有更详细的信息;绿色的对勾表示该项目已通过测试;What was scan表明检查的项目,result scan中详细的说明了该项目中出现的问题,how to correct this说明了解决的方式
⑴ 首先查看报告中评估结果为叉号的项目(这里选择file system),打开result detail,查看该项检查中出现的具体问题。
⑵ 单击how to correct this按钮,弹出的窗口显示了有关如何修改项目设置的提示信息。根据提示,我们可以修改不符合安全性要求的设置。
⑶ 完成修改后,再次进行扫描,查看修改后的设置是否已经达到安全要求
- - 总结资料
- - -..
五、实验结果
记录系统各项安全设置前后的变化,并结合截图进行说明。
六、实验思考题
1.如何检查系统是否允许guest账户登陆?
2.三种日志文件分别记录什么样的事件?
3.如何查看MBSA扫描安全性报告?
- - 总结资料
发布评论