Windows安全实验.docx
《Windows安全实验.docx》由会员分享,可在线阅读,更多相关《Windows安全实验.docx(24页珍藏版)》请在冰豆网上搜索。
Windows安全实验
Windows操作系统安全
【目的】通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用,建立一个Windows操作系统的基本安全框架。
【原理】
【环境】安装Windows2003Server/XP操作系统的计算机,磁盘格式配置为NTFS
【内容】1.账户和口令的安全设置;
2.文件系统安全设置;
3.用加密软件EFS加密硬盘数据;
4.启用审查和日志查看;
5.启用安全策略与安全模板
【步骤】
任务一账户和口令的安全设置
1.账户和口令的安全设置
(1)检查和删除不再使用的账户。
共享账户、guest账户等具有较弱的安全保护,常常都是黑客们攻击的对象,系统的账户越多,被攻击者攻击成功的可能性越大,因此要及时检查和删除不必要的账户。
打开“控制面板”中的“用户账户”这一项,在弹出的对话框中列出了系统的所有账户。
确认各账户是否仍在使用,删除其中不用的账户。
在Windows2003Server域控制器中:
可以看出一般没有多余的用户,或要被禁用。
图1
(2)guest账户的禁用。
在WindowsXP中,“控制面板”→“管理工具”→“计算机管理”→“本地用户和组”
→“用户”→右单击“Guest”→“属性”→在“账户已停用”前打勾。
(图2)
在Windows2003Server域控制器中:
选中对象后,右击出现快捷菜单:
图3
选“禁用帐户”
(图4)
结果可以看到:
(图5)
2.启用账户策略
(1)在WindowsXP中,“控制面板”→“管理工具”→“本地安全策略”→“账户策略”
→“密码策略”(见图6)→双击“密码必须符合复杂性要求”,选择“启用”(见图7)
图6
图7
(图8)
(2)“密码长度最小值”:
8个字符
(3)“密码最长存留期”:
42天,作用是可以提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
(4)“密码最短存留期”:
7天,这项设置是为了避免入侵的攻击者修改密码账户。
(5)“强制密码历史”:
1个记住的密码
(6)“为域中所有用户使用可还原的加密存储密码”:
启用
至此,密码策略设置完毕。
在“账户锁定策略”中:
(1)双击“账户锁定阈值”,在弹出的对话框中设置账户被锁定之前经过的无效登录次数,如3次,以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码(穷举法攻击)
(2)双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间,如20min,此后,当某账户无效登录的次数超过3次时,系统将锁定该账户20min。
3.开机时设置为“不自动显示上次登录账户”
图9
4.禁止枚举账户名
图10
在Windows2003Server域控制器中:
图11
任务二文件系统安全设置
(1)打开磁盘格式为NTFS的磁盘,选择一个需要设置用户权限的文件夹。
(2)右单击该文件夹,选择“属性”,在工具栏中选择“安全”页。
(3)将“允许将来自父系的可能继承权限传播给该对象”之前的勾去掉。
(4)选中“everyone”组,单击“删除”。
(5)单击“高级”,查看各用户组的权限。
任务三用加密软件EFS加密硬盘数据
1.打开“控制面板”中的“用户账户”,创建一个名为MYUSER的新用户。
图12
选“创建一个新账户”
图13
图14
2.针对文件的加密
(1)“资源管理器”中选一个格式为NTFS磁盘下的某个文件夹,选择要进行加密的文件。
右击想要加密的文件:
图15
(2)在弹出的快捷菜单中选择“属性”,可以看到该文件的属性对话框(参见图16)
图16
(3)在“常规”选项卡中单击“高级”,看到“高级属性”对话框(参见图17)
图17
(4)选择“加密内容以保护数据”→“确定”,会弹出“加密警告”对话框。
(参见图18)
图18
(5)选“只加密文件”→“确定”,可发现该文件会呈“绿色”,表示已被加密。
图19
(5)用新帐户MYUSER登录,再试图访问所加密的文件夹或文件,会发现无法访问,说明文件已加密成功。
(参见图20)
图20
也可能出现以下对话框:
图21
请考虑如果在出现“加密警告”时(图18),选择了另一个选项“加密文件及其父文件夹”的结果。
3.针对文件夹的加密
(1)文件夹加密的操作与文件类似,右键单击目标文件夹,打开“属性”窗口,选择“常规”选项,单击“高级”按钮,弹出如下图所示的对话框。
(图23)
选择“加密内容以便保护数据”,单击“确定”按钮。
(2)加密完毕后保存当前用户下的文件,注销当前用户,以刚才新建的MYUSER用户登录系统。
再次点加密的文件夹,要打开其中的文件时,会弹出下图的出错窗口。
(图24)
对文件夹的加密请注意加密的时机:
(1)对刚建立的空文件夹进行加密,然后复制一些文件到该文件夹中;
(2)对其中已经有文件的文件夹进行加密;
(选下面一项:
将更改应用于该文件夹、子文件夹和文件)
图25
(3)对其中已经有文件的文件夹进行加密;(选上面一项:
“仅将更改应用于该文件夹”)
同样用administrator的身份操作,用其它用户进行验证。
请写出这几种结果不同之处。
4.启用和禁用EFS
注册表位置:
HKEY_LOCAL_MACHINE\SOFRWARE\Microsoft\WindowsNT\CurrentVersion\EFS
新建DWORD值,命名:
EfsConfiguration,
取值
功能
1
禁用
0
启用
图26
然后再去做加密操作时,会发现不能进行。
5.利用注册表操作,在右键快捷菜单中添加“加密”选项
注册表位置:
HKEY_LOCAL_MACHINE\SOFRWARE\Microsoft\Windows\CurrentVersion
\Explorer\Adanced\新建DWORD值,命名:
EncryptionContextMenu,取值:
1
图27图28
然后在“资源管理器”中选中目标,再右单击,可以在快捷菜单中看到“加密”项。
6.为当前的加密文件系统EFS设置证书
(1)以管理员账户登录系统。
单击“开始”→“运行”→输入mmc,打开系统控制台。
图29
(2)单击左上角的“文件”菜单,选择“添加/删除管理单元”,在弹出的对话框中单击“添加”按钮,选择添加“证书”,如图30所示,
(图30)
图31
选择“完成”后,“关闭”
(图32)
选择“确定”
(图33)
(3)在控制台窗口左侧的目录树中选择“证书-当前用户”→“个人”→“证书”。
可以看到用于加密文件系统的证书显示在右侧的窗口中,如图34所示。
双击此证书,单击详细信息,则可看到证书中包含的详细信息,主要的一项是所包含的公钥,如图35所示。
(图34)
(图35)
(4)选中用于EFS的证书,单击右键,在弹出的菜单中单击“所有任务”,在展开的菜单中,单击“导出”,
图36
则弹出“欢迎使用证书导出向导”,单击“下一步”,选择“是,导出私钥”,如图37所示,
图37
设置保护私钥的密码,然后将导出的证书文件保存,这就完成了证书的导出。
(5)再次切换用户,以新建的MYUSER登录系统,重复步骤1和步骤3,右键单击选中的“证书”文件夹,选择“所有任务”中的“导入”,在弹出的“使用证书导入向导”,单击“下一步”,在地址栏中填入步骤4中导出的证书文件的地址,导入该证书,
(6)输入步骤4中为保护私钥设置的密码,选择将证书放入“个人”存储区中,单击“下一步”,完成证书导入。
(7)再次双击加密文件夹中的文件,文件可以支持正常打开。
说明该用户已成为加密文件的授权用户。
任务四启用审查和日志查看
1.启用审查策略
(1)打开“控制面板”中的“管理工具”,选择“本地安全策略”
(2)打开“本地策略”中的“审核策略”,可以看到当前系统的审核策略,
(3)双击每项策略可以选择是否启用该项策略。
例如:
“审核账户管理”将对每次建立新用户、删除用户等操作进行记录;“审核登录事件”将对每次用户的登录进行记录;“审核过程追踪”将对每次启动或退出的程序(或进程)进行记录。
审核策略启用后,审核结果放在各种事件日志中。
2.查看事件日志
(1)打开“控制面板”中的“管理工具”,选择“事件查看器”,可以看到三种日志,其中安全日志用于记录刚才上面审核策略中所设置的安全事件。
(2)双击“安全日志”,可查看有效/无效、登录尝试等安全事件的具体记录。
例如,查看用户登录/注销的日志,弹出分别为登录事件的失败审核与成功审核的对话框。
可以看到日志中详细记录的时间、账户名、错误类型等信息。
其中。
“事件ID”用于表示各事件的类型。
各ID的意义可以查看Mocrosoft网站。
任务五启用安全策略与安全模板
1.启用安全策略
开始前,请记录当前系统的账户策略和审核日志状态,以便与实验后的设置进行比较。
(1)“开始”→“运行”→在对话框中输入MMC,打开系统控制台
(2)单击“文件”菜单,选择“添加/删除管理单元”,单击“添加”,分别选择“安全模板”、“安全配置和分析”,单击“添加”后,关闭窗口,并“确定”。
(3)此时系统控制台中根节点下添加了“安全模板”、“安全配置和分析”两个文件夹。
打开“安全模板”文件夹,可以看到系统中存在的安全模板。
右击模板名称,选择“设置描述”,可以看该模板的相关信息。
双击该模板,右侧窗口出现该模板中的安全策略,双击每种安全策略可看到相关配置。
(4)右击“安全配置与分析”,选择“打开数据库”。
在弹出的对话框中输入欲新建安全数据库的名称,例如起名为my.sdb;单击“打开”,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
(5)右键单击“安全配置与分析”,选择“立即分析计算机”,单击“确定”。
系统开始按照上一步骤中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。
分析完毕后,可在目录中选择查看各安全设置的分析结果。
(6)右键单击“安全配置与分析”,选择“立即配置计算机”,则按照第4步中所选择的安全模板的要求对当前系统进行配置。
如果事先对系统的缺省配置选项作了记录,接着记录启用安全模板后系统的安全设置,与启用前进行比较,即可发现,如果选用的安全模板级别较高,则使用安全模板后系统的安全配置选项增加了许多。
2.创建安全模板
(1)重复任务五第1部分
(1)-(4)。
在图中展开“安全模板”,右键模板所在路径(C:
\WINNT\Security\Templates),选择“新加模板”,在弹出的对话框中填入欲新加入的模板名称mytem,在“安全模板描述”中填入“自设模板”。
可以看到新加模板出现在模板列表中。
(2)双击mytem,在显示的安全策略列表中双击“账户策略”下的“密码策略”,可以发现其中任一项均显示“没有定义”。
双击欲设置的安全策略(如“密码长度最小值”),弹出如图对话框
(3)在“在模板中定义这个策略设置”前打勾,在框中填入密码的最小长度7.
(4)依次设定“账户策略”、“本地策略”等项目中的每项安全策略,直至完成安全模板的设置。
至此,自行安全模板mytem创建完毕。
可以按照任务五第1部分中的步骤导入系统中。
对部分模板的意义做如下说明:
setupsecurity.inf:
全新安装系统的默认安全设置
basicws.inf:
基本的安全级别
compatws..inf:
将系统的NTFS和ACL设置成安全层次较低的NT4.0设置
securews.inf:
提供较高安全性的安全级别
hisecws.inf:
提供高度安全性的安全级别
升级会员 