Windows系统加固实验09Windows操作系统安全文档格式.docx

Windows系统加固实验09Windows操作系统安全文档格式.docx

《Windows系统加固实验09Windows操作系统安全文档格式.docx》由会员分享，可在线阅读，更多相关《Windows系统加固实验09Windows操作系统安全文档格式.docx（40页珍藏版）》请在冰豆网上搜索。

启用审核与日志查看

任务四：

启用安全策略与安全模块

2、任务一：

⑴删除不再使用的账户，禁用guest账户。

1检查和删除不必要的账户。

右击“开始”按钮，选择“控制面板”中的“用户账户”项，如图K2;

在弹出的对话框中选择从列出的用户里删除不需要的账户。

图4中删除了没用的asd用户，删除之后只剩一个有用的Administrator和Guest,如图5所示。

记爭本

远程桌面连播

@书助和文持Of）

Q搜素0）

近7运行OR）...

佈有程序（T）卜

|Q注销（L）叵］关闭计宜机on丸开始0«

x*a）彌㈢2«

0>

师4

ZJVQ忖00

©

砲■JT丿磁

!

•文件厌

囲・

沁广&

曲质佢

vQ?

?

a

io旬区

文用亮

*tJM3P10乂

•」Pre^sFtUr

♦OxLaic.d«

<

£

A?

CteQmwt40关工耳oaOTDGT

toUols丸OIUWCMS

j伙河

fo饰

，似子2血钊Jj帝用M»

Sfc

*❖co血卅0）IJBT职审広）

-e珈碗

•]JJ印机和传耳呵t«

工只今任劣计划

"

件

上u艾豪艾档

♦[―1X<

h&

A讥"

Sr的文档±

勺网上郭居

」>

Io\4rn«

tIX

V.

切ggLiv«

V}<

l*t«

HjTitWSto

A«

S±

40

打卬带Ht

十辭iKrtM

曲冷甘

稲別彩崔乞

匕駅严

&

3

矽计划

冏M&

關評

戸如搭

1

糸统

立件斑卩

tt

晏示

卅

粉戏蔻如

EP山・V§

>

17»

m用户報户匸）叵反

0上一步粒主页

相关衽务

更改另_个册尸倔f俪尸

您想更改asd的帐户的什么？

□更取名祐

Q£

1»

EW

“d

Q更改勿片

Q更改矗尸尖型

QWtfcF

图5

2guest账户的禁用。

右键单击“我的电脑”,选择“管理”选项，并打开“系统工具\本地用户和组\用户”，如图6、7所示。

打开（0）

资源管理器00

搜索（E）..・

管理（G）

映射権各驱动器QD...

断并网络驱动器⑴…

创建快捷方式（S）删除（D）重命名（H）

屈性（R）

图7

右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾;

确定后,guest前的图标上会出现一个红色的叉，此时账户被禁用，如图8、9.10o

计貝机管理

g文件（F）操作⑹查看00窗口⑹命助00

&

1X脅朋臨压

名称

.^CAdninistr..

全名

ftCorpora...这是一个帮助和支將加劳的提供

里计算机昔亚体地）=軽糸统工具

W网爭件查看范

已g可移动存珪

K磁盘瑋片基理思序轄磁盘哲理

+Js据务和应用垠序

设宜巒码（3）…

所有任冬（K）

②冈

Guest凰性

图9

图10

⑵启用账户策略。

账户策略是Windows账户管理的重要工具。

打开“控制面板"

〜“管理工具”一“本地安全策略”，选择“账户策略”下的“密码策略”，如图11。

文件00劇EO0査寿⑴器肋做）

图11

其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。

双击其中每一项，可按照需要改变密码特殊的设置。

1双击“密码密码必须符合复杂性要求”,选择“启用”o如图12所示。

图12

打开“控制面板”中“用户和密码”项，在弹岀的对话框中选择一个用户后，单击“设置密码”按钮。

在出现的设置密码窗口中输入密码，如图13。

此时密码符合设置的密码要求。

图14

3双击“密码最长存留期”，在对话框中设置系统要求的账户密码的最长使用期限为42天。

设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。

4双击“密码最短保留期”，设置密码最短存留期为7天。

在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码。

文件⑵操作（A）布助Q0

在生F近議后可以更改帘碍.

♦制天

：

］>

|硝定」［取消］［应用⑷

图15

5双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码S在相继弹岀的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。

至此，密码策略设置完成。

⑶开机时设置为“不自动显示上次登录”。

Windows默认设置为开机时自动显示上次登录的帐戸名，许多用户也采用了这一设置。

这对系统来说是很不安全的，攻击者会从本地或TerminalService的登录界面看到用户名。

继续在本地安全设置中，打开“本地策略\安全选项”，选中“交互式登录：

不显示上次的用户”，将其设置为已启用，如图16、17o

文件（F）制£

3）3«

-m总肋0D

Q-也官罔国

輕本地克全设置

加牛（?

）燥件00査吞（¥

）衲肋（K）

图17

⑷禁止枚举帐户名

为了便于远程用户共审本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。

要禁用枚举账户名，执行下列操作：

打开“本地安全策略”项，选择“本地策略”中的“安全选项”，

选择“不允许枚举SAM账户和共享”o

策略

S设备

1S0SS-

珊丰计咖计翩市计fejRSrK全.3冃皿a}瑚网塔女全.LDA?

务尸簽召全不旻崔下次更C画网路安全在凶贾强湖tA珊网培安全设费芸干KJUR

魁]网隼访I•却刪网塔访问瑚网塔访ia.圖网络访I可.戲网络辻问藏网址诂冋・@]RStt冋幽网法访冋•如网塔访同

图18

3、任务二：

用加密软件EPS加密硬盘数据

⑴打开磁盘格式为NTFS的磁盘，选择要进行加密的文件，这里选择“C:

\text\新建文本文档”o右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。

选择“加密内容以便保护数据”，单击“确定”，如图19所示。

图19

⑵打开控制面板中的“用户账户”，创建一个名为USER的新用户，且不要创建为计算机管理员用户，如图20、21o

图22

（4）在"

C:

\text"

目录下，双击“新建文本文档”，发现无法打开该文件，说明已经加密，如图23。

⑸再次切换用户，以原来加密文件夹的管理员账户登录系统。

单击“开始”按钮，在“运行”框中输入mmc,打开系统控制台。

单击左上角的“文件”按钮，选择“添加/删除管理单元”，如图24、25o

运行

q黔佥驚；

itorinternGt资源的名

图24

图25

图26

⑹在弹出的对话框中选择“添加”，然后找到“证书”，如图26

所示，点击“添加J在弹出的“证书管理单元”对话框中选择“我的用户账户”，然后完成，如图27O

冷控制台1

该管理单元将始终为下列帐尸背理证书:

我的用戶％戶（M）

O服算胀戶（S）

O计算机禅戶（O

一步负〕「完成][取消

⑺在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。

用于加密文件系统的证书显示在右侧的窗口中。

028

⑻选中证书，单击右键,在菜单中单击“所有任务”f“导出”，打开“证书导出向导”O

导出私钥

您可以选择将私钥跟证书一起导出O

私钥受密码保护。

如果要将私钥跟证书一起导出鼻您必须在后面一页上犍入密码。

要将私钥跑证书1起导出吗？

是j导出私钥（D氐

（..」不j不要导出私钥（0）

＜上一步（B）||下一步的＞1[取消

图31

图32

密码

9要保证安全，您必须用密玛保护私钥。

敲并确认密码。

密码0）：

确认密码（C）：

上1步CB）下1步®

）>

职消

图33

（10）设置要导出的文件的文件名，并设置要导出文件的保存路径,注意一定要保存在C盘，然后完成证书导出。

图34

（11）再次切换用户，以新建的USER登录系统，如第⑸、（6）步打开控制台并添加证书，然后选中个人，会发现跟第⑺步不同的是右边没有证书。

右键点击个人，选择“所有任务”一“导入”，如图35、

36o

图35

图36

（⑵在私钥地址浏览中，打开C盘,选择“文件类型”的“所有文件”，然后打开siyue,如图37、38。

指定文件后点击“下一步”，输入之前设置的密码，继续点击“下一步”,然后完成导入如图39。

浏览00…

证书导入向导

要导入的文件

指定要导入的文件。

文件名（?

）

C：

\siyu«

e.p£

x

注意：

用下列格式可以在1个文件中存储1个以上证书:

个人信息交换-PXCS#12（.PFX,.P12）

加密消息语;

去标性-FKCS#7证书（.F7B）

Microsoft系列证书存ilflK（.SST）

亠为了保证安全，已用密码保护私钥.

为私钥縫入密码g宼码学）：

******

□曆翳診鷺縫翡髒瞪项’毎次应用皆

□标志此密钥为可号出的.这将允许您在稍后备份或僅输密钥

上1步CB）下1步QD>

取消

图39

图40

（13）完成导入后可以再控制台的“个人”栏看见原来没有证书的地方现在已经有了一个新的证书。

（14）再次进入C盘，双击加密文件夹中的文件，现在文件可以正常打开。

8祥卩）仝石V〕收战*XS.CD刁助01）

4、任务三：

⑴打开审核策略

①打开“控制面板”中“管理工具”，选择“本地安全设置”。

然

后打开“本地安全设置”中“本地策略”下的“审核策略”O

丈泮血肺⑵至看0收酒如1^.7）刘肋00

图42

赛本地安全设置

立件⑺換作⑷査若M帮助（H）

图43

2双击右边的各项1_1更改，假如我们更改审核账户管理，如图44所示，在“成功”和"

失败”前面打勾。

图44

⑵查看事件日志

①还是在“控制面板”，“管理工具”里找到“事件查看器”，双击打开。

图45

②在“事件查看器”里双击“安全性”，可以查看安全事件的具体记录。

r-E（xi

文悴I?

）按ffea克右"

）君助00

5、任务四：

启用安全策略与安全模板

（1）启用安全模板

①单击“开始”，选择“运行”按钮，输入mmc,打开系统控制台。

图47

②单击左上角的“文件”，在弹出的菜单中选择“添加/删除管理单元J单击“添加”，在弹出的窗口中分别选择“安全模板”“安全配置和分析”，单击“添加”按钮后，关闭窗口，再“确定”O

图48

③双击左边“控制台根节点”下的“安全模板”，右键单击模板,选择“设置描述”O打开之后可以查看相关信息。

图49

图50

④右键单击“安全配置与分析”，选择“打开数据库”o输入欲新建安全数据库的名称。

单击“打开”，根据计算机准备配置成的安全级别，选择一个安全模板将其导入，如图51、52、53所示。

图51

丿D^tabase

查找范围CI）：

test

V

安全数据库文件（*.sdb）

v|

图52

文件名（H）：

文件类型（T）:

取消

图53

⑤右键单击“安全配置与分析”，选择“立即分析计算机”，并设置日志文件路径，如图54、55所示，然后点击确定。

系统开始按照上一步中选定的安全模板，以当前系统的安全设置是否符合要求进行分析，分析完毕后可在U录中选择查看各安全设置的分析结果,如图56、57o

图57

⑥右键单击，选择“立即配置讣算机”，则按照所选择的安全模板的要求对当前系统进行配置。

在设置日志路径后点击“确定”，如图58、59、60o

图58

图59

图60

⑵创建安全模板

①打开“安全模板”，右键单击，选择“新加模板”,在弹出对话框中填入欲新加入模板名称new,在“安全模板描述”中填入“自设模板”o

图62

W控制台根节点'

安全模扳\C:

security\topiates匚叵区］

'

_1揑制台根节点

E孑安全模饭

+卫C:

WlHDOff：

渗安全配置和分，

名称―—

茹述

A

为compatws（r^hisecdc:

^hisecws

於松用户鎚的默认文件和注册securedc的超集°

对Lanfilarsecurews的超集对LanMar

自设篌板

iSsecuredc

将默认的根目录权限运用于c提供増强的域呢户策略丿限制士日卅朋出“V*期iGlkg笑盼RB

—1>

图63

②双击new,在显示的安全策略列表中双击“账户策略”，然后继续双击“密码策略”，其中任一项均显示“没有定义”O

图64

3双击“密码长度最小值”这一项，在“模板中定义这个策略设置”前打勾,在框中填入密码的最小长度7。

［确定］［取消］［应用閃「

图65

4依次设定其余项LI中的每项安全策略，直至完成安全模板的设置。

图66至此，自设安全模板new创建完毕。

6、实验结束。