Windows系统加固实验Windows操作系统安全.docx

课程编写类别内容实验课题名称Windows操作系统安全实验目的与要求通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模版的使用、审核和日志的启用，建立一个Windows操作系统的基本安全框架实验环境VPC1(帅PC操作系统尖型：WindowsXP网络接口：本地连接VPC1连接要求PC网络接口，本地连接与实验网络直连软件描述学生机要求安装Java环境VPC1安装VC6.0实验环境描述学生机与实验室网络直连VPC1与实验室网络直连学生机与VPC1物理链路连通预备知识实验从这五力卸进行Windows操作系统的安全设置，分别是：1、账户口令的安全设置；2、文件系统安全设置；3、用加隹1软件；4、EPS加密硬盘数据；5、启用审核与日志查看启用安全策略与安全模块1、通过账户口令的安全设置，有效地减少了黑客攻击的成功率，一般电脑都使用Windows默认的账户口令，通过修改，提高了电脑的安全性能2、磁盘数据也是被攻击的对象，NFTS格式的文件，是一种安全文件系统，通过设置文件夹的权限，限制了其他用户的访问，从而保障了数据的安全性3、使用数据加密软件，加强数据的安全性，并且减少计算机、磁盘被窃或者桩拆后数据失窃的隐患。

加密后可以控制特定的用户有权解密数据4、运用Windows系统中审核与日志功能，进行入侵检测面对系统攻击时，会被记录进日志，以便查觉、防御5、使用Windows安全模板，以便理简单地根据需求，配置各项安全属性实验内容在WindowsXP操作系统中，相关女全设置会稍有不1可，但大同小异，所有的设置均以管理员(Administrator)身份登录系统任务一：账户和口令的安全设置任务二：用加密软件EPS加密硬盘数据任务三：启用审核与日志查看任务四：启用安全策略与安全模块2、任务一：账户和口令的安全设置⑴删除不再使用的账户，禁用guest账户①检查和删除不必要的账户右击“开始”按钮，选择“控制面板”中的“用户账户”项，如图1、2；在弹出的对话框中选择从列出的用户里删除不需要的账户图4中删除了没用的asd用户，删除之后只剩一个有用的Administrator和Guest,如图5所示实验步骤图2图3图4图5②guest账户的禁用右键单击“我的电脑”，选择“管理”选项，并打开“系统工具本地用户和组用户”，如图6、7所示打开0D贫漕管理器贯)搜索口…售理(G)映射/驱动晶⑶.新并向培痂动留try.创建快建方式(3)朋除⑪重命名叫)?玄杵力*fbm温看0HHfi)帮刘mi伊哈密过i+茸机穹斗।卜墙〕赢事找工反t4季外查看爵t匕工共享工件态-£本地用户单纲」即户-JW■胡性无日百知看急独设・曾起器容存禽岳蹴可弊福存儡后稔学碎匕史音异序多超=普程步*骂旭屋用牲序宵HJ视机墟” 但平援B闷时U，远程离面助手帐户 跄围E啜睑।CHtHi cross ft C*rp-3ri .这寻一寸用附T图7右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾；确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用，如图8、9、10。

什舁机管埋口‘巨冈g文冲期便唯如直看⑺盲口妙褶助如।-eJ卜一划画X省四虔国一雪计茸和者旺巾地,-通系统工具 年制早件有看照 , I］扶手式段天 -密五地用尸和组 H书尸CJ韭It蜀悭雅日吉和警擢国茂各割物.-.■ 士存储一冷।可工出T檀 豆整盘碎片整理程序 普的监管理+李.佰善物点月辞序名称 受君 宪更fhinimilr .. 管理计篁视L域］的内胃帐户仪*冗式反计笥¥1取词句哪回柳朝㈤一厅幡户 提供磔蝇的幡户场行m务(XJ * •£* CurpMi 过场,T晶助和支持掘务的成供卅辟U)重编之⑼尾件小J招助咒W2寸整机管理:fE|［x当兑件g探作阂立百m窗门诉］帮助®二则」依心皂幽图闻七弟新工具-词里广变首器 s电并事堂件典金本地用「耨泡剃i■㈣恰拜津#名称~^~猫占二加i，1”r苜理计苜剧；M】的内置或口m0川洪奉宜访日计当或晒话可封的内1＞打&\"沅丹克布野三艇户据供近程出肽的味」.■用尸||wStfItKKIj3...C^Hiaros«ftCorvort,.谈岸,T辛助知古辞JR善为樨快~~1蛆・超件就口撕律f根复衣看看胆弱.-JJ存付二育司葛酊存箫理航克正片茎理程序第诙盘首典-余际感尤应闻唉序图10⑵启用账户策略。

账户策略是Windows账户管理的重要工具打开“控制面板”一“管理工具”一“本地安全策略”，选择“账户策略”下的“密码策略”，如图11事本地安仝设置文件口）讲用旧查看（V：帮聃M3i隹］>总回审宪金设置策暗安全设置由0幅尸第题・通怅户锁记，+,』本旭鄢S十一1年铝藁睹目□软件慌足熊6心易।』安的星jQ后略4金出圈愚内办珈符吉复餐性要求巳停用前也冏性磨耳小值0十字特就密码岳依存喀朝蚯表醐型码他朝自恸鼬0天欧乾崛码里0个记住的密码整］第地中所有用口便本可还原的已停用图11其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列双击其中每一项，可按照需要改变密码特殊的设置①双击“密码密码必须符合复杂性要求”，选择“启用”如图12所小回快密码』炳符合簟柔性要求居性图12打开“控制面板”中“用户和密码”项，在弹出的对话框中选择一个用户后，单击“设置密码”按钮在出现的设置密码窗口中输入密码，如图13此时密码符合设置的密码要求图13②双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户密码长度最小值一般为达到较高安全性，密码长度最小值为8图14③双击“密码最长存留期”，在对话框中设置系统要求的账户密码的最长使用期限为42天。

设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题④双击“密码最短保留期”，设置密码最短存留期为7天在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码文件仍掬作凰亘者比।甘吃1始8国；•囹随因-咄户箫鸣，“率迪第略+3或尸触宝星略F3士星策端-±一!公钥第嗝_|软件日制今啮t乂：r安全甯褊•在走出.密码量趣讦苗期扁性区区超的5s群拜此逢置在以下F次后可以更取相.K值二天|加j[即泠_应用R，图15⑤双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码至此，密码策略设置完成⑶开机时设置为“不自动显示上次登录”Windows默认设置为开机时自动显示上次登录的帐户名，许多用户也采用了这一设置这对系统来说是很不安全的，攻击者会从本地或TerminalService的登录界面看到用户名继续在本地安全设置中，打开“本地策略安全选项”，选中“交互式登录：不显示上次的用户”，将其设置为已启用，如图16、17F小他史无健曾卫冲卸嗓作UU或考旧制hoc如回商1局图印安上通置* _3诃「粕等•一魂中再拌黑1 J）咬尸就令而二_3聿吨铜箝+3市售策监一占用产粒中£蜜62 • _3安上选：口-」金更牺<| _|歌附FM除甲国同#安然略，在本地3舞班崩MtW・妥里吟哥罡义语言通 JflMJH.史空磁司里义语吉（S. 蜀，l©ei限in?算琳当乱 猫叫就中,“再沾展苏篇世丰 福山再曾净.晶相 街号, 圈W个…田区络的苗器在4 躅“旧口弓"日E客尸什代耒 硼*=rn、Et秒端二户费手将. 避Rg皿E*敬M户.SFF基. 弱世尊侬II也告：荒在时肺T /羽芭建干戈E粗zi九3口5工. ：3-^Fl清理出的存五面炉11 醯美H加部西HHt陕机£生过三 :&A定义 期刷定义H1用用好用用用用ffl用用 言用品<■•4 AC g®号®ACE己15已已巳三二一巴己牙李干卜卡中十 日通用索杀浪要京录s rKr 卦蜜蜜玉重整一直畤玉 1T,匕二丁 J pJ. 〃五五互互互与q互 力友交交支空电在交 冏用中为地图『如同国 «-:.-«■■-CII«-!!- GII》当周一*■・ ♦!!果恭用皿丸，福。

定％ 学苦杭定昨显示，，段腕乂 可更察中受存韵..出吹量录 要李独公寓身 已军用要里拈非卡 设有定型用户口钙录11..蛆白走空 用户口图型录II..在常用司斛中度..H关 穹能干痉巨厚作 无勇仆图16玄匕曾 »-ra）奏音用矛然旧j安全法当q喋F第喀+ X+ 3独户坡晦-3车晌第噜1； /中'I：潴珀*• J1用户检中的温十裁定囱口r 一） *铜策略，二J就作雁到策略+$17安生芾弗・在本地；・蜀工［如「 咖”d 怛 U 1 1 IL- J -- 1- 1- lEf.■.; «i教敌美美空交交至交殳交更交交心电即 IF固固固脚置固抑飙到剧固困蜀同丰地五H京兰制程比港得步立式叠聚 不立?上次町用F苫3E6用工巴厘用M坦梢应冲㈤图17⑷禁止枚举帐户名为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机要禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“不允许枚举SAM账户和共享”图183、任务二：用加密软件EPS加密硬盘数据⑴打开磁盘格式为NTFS的磁盘，选择要进行加密的文件，这里选择“新建文本文档”。

右击打开“属性”窗口,选择“常规”选项，单击“高级”按钮选择“加密内容以便保护数据”，单击“确定”，如图19所示图19⑵打开控制面板中的“用户账户”，创建一个名为USER的新用户，且不要创建为计算机管理员用户，如图20、21图21⑶点击“开始”，选择“注销”，然后点击“切换用户”，登录刚新建的USER用户，如图22图22⑷在“C:text”目录下，双击“新建文本文档”，发现无法打开该文件，说明已经加密，如图 23图23⑸再次切换用户，以原来加密文件夹的管理员账户登录系统单击“开始”按钮，在“运行”框中输入mmc,打开系统控制台单击左上角的“文件”按钮，选择“添加/删除管理单元”，如图24、25运行O请建人程序、文件夹、文档或Jtermt贯源的名糠，Wind^ws将%疱打开宅a打开(0)：图24图25图26⑹在。