里计算机昔亚体地)=軽糸统工具
W网爭件查看范
已g可移动存珪
K磁盘瑋片基理思序轄磁盘哲理
+Js据务和应用垠序
设宜巒码(3)…
所有任冬(K)
②冈
Guest凰性
图9
图10
⑵启用账户策略。
账户策略是Windows账户管理的重要工具。
打开“控制面板"〜“管理工具”一“本地安全策略”,选择“账户策略”下的“密码策略”,如图11。
文件00劇EO0査寿⑴器肋做)
图11
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。
双击其中每一项,可按照需要改变密码特殊的设置。
1双击“密码密码必须符合复杂性要求”,选择“启用”o如图12所示。
图12
打开“控制面板”中“用户和密码”项,在弹岀的对话框中选择一个用户后,单击“设置密码”按钮。
在出现的设置密码窗口中输入密码,如图13。
此时密码符合设置的密码要求。
图14
3双击“密码最长存留期”,在对话框中设置系统要求的账户密码的最长使用期限为42天。
设置密码自动保留期,用来提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
4双击“密码最短保留期”,设置密码最短存留期为7天。
在密码最短保留期内用户不能修改密码,避免入侵的攻击者修改帐户密码。
文件⑵操作(A)布助Q0
在生F近議后可以更改帘碍.
♦制天
:
]>|硝定」[取消][应用⑷
图15
5双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码S在相继弹岀的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。
至此,密码策略设置完成。
⑶开机时设置为“不自动显示上次登录”。
Windows默认设置为开机时自动显示上次登录的帐戸名,许多用户也采用了这一设置。
这对系统来说是很不安全的,攻击者会从本地或TerminalService的登录界面看到用户名。
继续在本地安全设置中,打开“本地策略\安全选项”,选中“交互式登录:
不显示上次的用户”,将其设置为已启用,如图16、17o
文件(F)制£3)3«-m总肋0D
Q-也官罔国
輕本地克全设置
加牛(?
)燥件00査吞(¥)衲肋(K)
图17
⑷禁止枚举帐户名
为了便于远程用户共审本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。
要禁用枚举账户名,执行下列操作:
打开“本地安全策略”项,选择“本地策略”中的“安全选项”,
选择“不允许枚举SAM账户和共享”o
策略
S设备
1S0SS-
珊丰计咖计翩市计fejRSrK全.3冃皿a}瑚网塔女全.LDA?
务尸簽召全不旻崔下次更C画网路安全在凶贾强湖tA珊网培安全设费芸干KJUR
魁]网隼访I•却刪网塔访问瑚网塔访ia.圖网络访I可.戲网络辻问藏网址诂冋・@]RStt冋幽网法访冋•如网塔访同
图18
3、任务二:
用加密软件EPS加密硬盘数据
⑴打开磁盘格式为NTFS的磁盘,选择要进行加密的文件,这里选择“C:
\text\新建文本文档”o右击打开“属性”窗口,选择“常规”选项,单击“高级”按钮。
选择“加密内容以便保护数据”,单击“确定”,如图19所示。
图19
⑵打开控制面板中的“用户账户”,创建一个名为USER的新用户,且不要创建为计算机管理员用户,如图20、21o
图22
(4)在"C:
\text"目录下,双击“新建文本文档”,发现无法打开该文件,说明已经加密,如图23。
⑸再次切换用户,以原来加密文件夹的管理员账户登录系统。
单击“开始”按钮,在“运行”框中输入mmc,打开系统控制台。
单击左上角的“文件”按钮,选择“添加/删除管理单元”,如图24、25o
运行
q黔佥驚;itorinternGt资源的名
图24
图25
图26
⑹在弹出的对话框中选择“添加”,然后找到“证书”,如图26
所示,点击“添加J在弹出的“证书管理单元”对话框中选择“我的用户账户”,然后完成,如图27O
冷控制台1
该管理单元将始终为下列帐尸背理证书:
©我的用戶%戶(M)
O服算胀戶(S)
O计算机禅戶(O
一步负〕「完成][取消
⑺在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。
用于加密文件系统的证书显示在右侧的窗口中。
028
⑻选中证书,单击右键,在菜单中单击“所有任务”f“导出”,打开“证书导出向导”O
导出私钥
您可以选择将私钥跟证书一起导出O
私钥受密码保护。
如果要将私钥跟证书一起导出鼻您必须在后面一页上犍入密码。
要将私钥跑证书1起导出吗?
©是j导出私钥(D氐
(..」不j不要导出私钥(0)
<上一步(B)||下一步的>1[取消
图31
图32
密码
9要保证安全,您必须用密玛保护私钥。
敲并确认密码。
密码0):
确认密码(C):
<上1步CB)下1步®)>职消
图33
(10)设置要导出的文件的文件名,并设置要导出文件的保存路径,注意一定要保存在C盘,然后完成证书导出。
图34
(11)再次切换用户,以新建的USER登录系统,如第⑸、(6)步打开控制台并添加证书,然后选中个人,会发现跟第⑺步不同的是右边没有证书。
右键点击个人,选择“所有任务”一“导入”,如图35、
36o
图35
图36
(⑵在私钥地址浏览中,打开C盘,选择“文件类型”的“所有文件”,然后打开siyue,如图37、38。
指定文件后点击“下一步”,输入之前设置的密码,继续点击“下一步”,然后完成导入如图39。
浏览00…
证书导入向导
要导入的文件
指定要导入的文件。
文件名(?
)
C:
\siyu«e.p£x
注意:
用下列格式可以在1个文件中存储1个以上证书:
个人信息交换-PXCS#12(.PFX,.P12)
加密消息语;去标性-FKCS#7证书(.F7B)
Microsoft系列证书存ilflK(.SST)
密码
亠为了保证安全,已用密码保护私钥.
为私钥縫入密码g宼码学):
******
□曆翳診鷺縫翡髒瞪项’毎次应用皆
□标志此密钥为可号出的.这将允许您在稍后备份或僅输密钥
<上1步CB)下1步QD>取消
图39
图40
(13)完成导入后可以再控制台的“个人”栏看见原来没有证书的地方现在已经有了一个新的证书。
图40
(14)再次进入C盘,双击加密文件夹中的文件,现在文件可以正常打开。
8祥卩)仝石V〕收战*XS.CD刁助01)
4、任务三:
启用审核与日志查看
⑴打开审核策略
①打开“控制面板”中“管理工具”,选择“本地安全设置”。
然
后打开“本地安全设置”中“本地策略”下的“审核策略”O
丈泮血肺⑵至看0收酒如1^.7)刘肋00
图42
赛本地安全设置
立件⑺換作⑷査若M帮助(H)
图43
2双击右边的各项1_1更改,假如我们更改审核账户管理,如图44所示,在“成功”和"失败”前面打勾。
图44
⑵查看事件日志
①还是在“控制面板”,“管理工具”里找到“事件查看器”,双击打开。
图45
②在“事件查看器”里双击“安全性”,可以查看安全事件的具体记录。
r-E(xi
文悴I?
)按ffea克右")君助00
5、任务四:
启用安全策略与安全模板
(1)启用安全模板
①单击“开始”,选择“运行”按钮,输入mmc,打开系统控制台。
图47
②单击左上角的“文件”,在弹出的菜单中选择“添加/删除管理单元J单击“添加”,在弹出的窗口中分别选择“安全模板”“安全配置和分析”,单击“添加”按钮后,关闭窗口,再“确定”O
图48
③双击左边“控制台根节点”下的“安全模板”,右键单击模板,选择“设置描述”O打开之后可以查看相关信息。
图49
图50
④右键单击“安全配置与分析”,选择“打开数据库”o输入欲新建安全数据库的名称。
单击“打开”,根据计算机准备配置成的安全级别,选择一个安全模板将其导入,如图51、52、53所示。
图51
丿D^tabase
查找范围CI):
test
V
安全数据库文件(*.sdb)
v|
图52
打开(0)
文件名(H):
文件类型(T):
取消
图53
⑤右键单击“安全配置与分析”,选择“立即分析计算机”,并设置日志文件路径,如图54、55所示,然后点击确定。
系统开始按照上一步中选定的安全模板,以当前系统的安全设置是否符合要求进行分析,分析完毕后可在U录中选择查看各安全设置的分析结果,如图56、57o
图57
⑥右键单击,选择“立即配置讣算机”,则按照所选择的安全模板的要求对当前系统进行配置。
在设置日志路径后点击“确定”,如图58、59、60o
图58
图59
图60
⑵创建安全模板
①打开“安全模板”,右键单击,选择“新加模板”,在弹出对话框中填入欲新加入模板名称new,在“安全模板描述”中填入“自设模板”o
图62
W控制台根节点'安全模扳\C:
security\topiates匚叵区]
'_1揑制台根节点
E孑安全模饭
+卫C:
WlHDOff:
渗安全配置和分,
名称―—
茹述
A
为compatws(r^hisecdc:
^hisecws
於松用户鎚的默认文件和注册securedc的超集°对Lanfilarsecurews的超集对LanMar
自设篌板
iSsecuredc
将默认的根目录权限运用于c提供増强的域呢户策略丿限制士日卅朋出“V*期iGlkg笑盼RB
V
—1>
>1
图63
②双击new,在显示的安全策略列表中双击“账户策略”,然后继续双击“密码策略”,其中任一项均显示“没有定义”O
图64
3双击“密码长度最小值”这一项,在“模板中定义这个策略设置”前打勾,在框中填入密码的最小长度7。
[确定][取消][应用閃「
图65
4依次设定其余项LI中的每项安全策略,直至完成安全模板的设置。
图66至此,自设安全模板new创建完毕。
6、实验结束。