Windows系统加固实验09Windows操作系统安全文档格式.docx

1、启用审核与日志查看任务四：启用安全策略与安全模块2、任务一：删除不再使用的账户，禁用guest账户。1检查和删除不必要的账户。右击“开始”按钮，选择“控制面板”中的“用户账户”项，如图 K 2;在弹出的对话框中选择从列出的用户里删除不需要的账户。图4中删除了没用的as d用户，删除之后只剩一个有用的Admi n i st rat or 和 Gu est,如图 5 所示。记爭本远程桌面连播书助和文持Of）Q搜素0）近7运行OR）.佈有程序（T）卜|Q 注销（L）叵关闭计宜机on 丸开始 0 x*a）彌20师4ZJVQ 忖 00砲 J T丿磁!文件厌囲沁广&曲质佢v Q?aio旬区文用亮*tJ M

2、3P10乂Pres FtUrO xLaic.dA?Cte Q mwt40关工耳 oaOTDGTt o Uols 丸 OIUWCMSj伙河f o饰，似子2血钊 Jj帝用MSfc*co血卅0 ） I J BT职审広）-e珈碗JJ印机和传耳 呵t工只 今任劣计划件上u艾豪艾档1 XIo4rnt IXV.切gg LivV 17 m用户報户 匸）叵反0上一步 粒主页相关衽务更改另_个册尸 倔f俪尸您想更改asd的帐户的什么？更取名祐Q1EW“dQ更改勿片Q更改矗尸尖型Q WtfcF图52guest账户的禁用。右键单击“我的电脑”,选择“管理”选项，并打开“系统工具 本地用户和组用户”，如图6、7所示。打

3、开（0）资源管理器00搜索（E）.管理（G）映射権各驱动器QD.断并网络驱动器创建快捷方式（S） 删除（D） 重命名（H）屈性（R）图7右键单击gues t用户，选择“属性”，在弹出的对话框中“账 户已停用” 一栏前打勾;确定后,guest前的图标上会出现一个红色 的叉，此时账户被禁用，如图8、9 . 10o计貝机管理g文件（F）操作 查看00窗口 命助00 & 1 X脅朋臨压名称.CAdninistr.全名ft Corpora.这是一个帮助和支將加劳的提供里计算机昔亚体地） =軽糸统工具W网爭件查看范已g可移动存珪K磁盘瑋片基理思序 轄磁盘哲理+ Js据务和应用垠序设宜巒码（3）所有任冬（K

4、）冈Guest凰性图9图10启用账户策略。账户策略是Wind ows账户管理的重要工具。打开“控制面板“管理工具”一“本地安全策略”，选择“账 户策略”下的“密码策略”，如图1 1。文件00劇EO0査寿器肋做）图11其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大 小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密 码特殊的设置。1双击“密码密码必须符合复杂性要求”,选择“启用” o如图12 所示。图12打开“控制面板”中“用户和密码”项，在弹岀的对话框中选择一 个用户后，单击“设置密码”按钮。在出现的设置密码窗口中输入 密码，如图13。此时密码符合设置的密码要求。图143双

5、击“密码最长存留期”，在对话框中设置系统要求的账户密码 的最长使用期限为42天。设置密码自动保留期，用来提醒用户定 期修改密码，防止密码使用时间过长带来的安全问题。4双击“密码最短保留期”，设置密码最短存留期为7天。在密码 最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密 码。文件操作（A） 布助Q0在生F近議后可以更改帘碍. 制天： | 硝定 取消应用图155双击“强制密码历史”和“为域中所有用户使用可还原的加密存 储密码S在相继弹岀的类似对话框中，设置让系统记住的密码数量 和是否设置加密存储密码。至此，密码策略设置完成。开机时设置为“不自动显示上次登录”。Wind ows默认设置为

6、开机时自动显示上次登录的帐戸名，许多用 户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本 地或Terminal S erv i c e的登录界面看到用户名。继续在本地安 全设置中，打开“本地策略安全选项”，选中“交互式登录：不显 示上次的用户”，将其设置为已启用，如图16、17o文件（F） 制3） 3-m 总肋0DQ - 也 官罔国輕本地克全设置加牛（?）燥件00 査吞（）衲肋（K）图17禁止枚举帐户名为了便于远程用户共审本地文件，Windows默认设置远程用户可 以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。要 禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“

7、本地策略”中的“安全选项”，选择“不允许枚举SAM账户和共享” o策略S设备1S0SS-珊丰计 咖计 翩市计 fejRSrK全.3 冃皿a 瑚网塔女全.LDA?务尸簽召 全不旻崔下次更C 画网路安全 在凶贾强湖t A 珊网培安全设费芸干KJUR魁网隼访I却 刪网塔访问 瑚网塔访ia. 圖网络访I可. 戲网络辻问 藏网址诂冋 RStt 冋 幽网法访冋 如网塔访同图1 83、任务二：用加密软件E P S加密硬盘数据打开磁盘格式为NT F S的磁盘，选择要进行加密的文件，这里 选择“C: te x t新建文本文档” o右击打开“属性”窗口，选择“常 规”选项，单击“高级”按钮。选择“加密内容以便保护

8、数据”， 单击“确定”，如图19所示。图19打开控制面板中的“用户账户”，创建一个名为USER的新用 户，且不要创建为计算机管理员用户，如图20、21o图2 2（4）在C:text目录下，双击“新建文本文档”，发现无法打开 该文件，说明已经加密，如图23。再次切换用户，以原来加密文件夹的管理员账户登录系统。单击 “开始”按钮，在“运行”框中输入mmc,打开系统控制台。单 击左上角的“文件”按钮，选择“添加/删除管理单元”，如图2 4、 25o运行q黔佥驚；itorinternGt资源的名图24图25图2 6在弹出的对话框中选择“添加”，然后找到“证书”，如图26所示，点击“添加J在弹出的“证书

9、管理单元”对话框中选择“我 的用户账户”，然后完成，如图2 7O冷控制台1该管理单元将始终为下列帐尸背理证书:我的用戶戶（M）O服算胀戶（S）O计算机禅戶（O一步负完成取消在控制台窗口左侧的目录树中选择“证书” “个人”“证书”。用于加密文件系统的证书显示在右侧的窗口中。0 28选中证书，单击右键,在菜单中单击“所有任务” f “导出”，打 开“证书导出向导” O导出私钥您可以选择将私钥跟证书一起导出O私钥受密码保护。如果要将私钥跟证书一起导出鼻您必须在后面一页上犍入密 码。要将私钥跑证书1起导出吗？是j导出私钥（D氐（.不j不要导出私钥（0）上一步（B）|下一步的1 取消图31图32密码9要

10、保证安全，您必须用密玛保护私钥。敲并确认密码。密码0）： 确认密码（C）：上1步CB）下1步） 职消图3 3（10）设置要导出的文件的文件名，并设置要导出文件的保存路径, 注意一定要保存在C盘，然后完成证书导出。图34（11）再次切换用户，以新建的USER登录系统，如第、（6）步打开控 制台并添加证书，然后选中个人，会发现跟第步不同的是右边没 有证书。右键点击个人，选择“所有任务”一“导入”，如图35、36o图3 5图36（在私钥地址浏览中，打开C盘,选择“文件类型”的“所有文件”， 然后打开siyue,如图37、38。指定文件后点击“下一步”，输 入之前设置的密码，继续点击“下一步”,然后完

11、成导入如图3 9。浏览00证书导入向导要导入的文件指定要导入的文件。文件名（?）C： siyue. px注意：用下列格式可以在1个文件中存储1个以上证书: 个人信息交换-PXCS #12 （. PFX,. P12）加密消息语;去标性-FKCS #7证书（.F7B）Mi crosoft 系列证书存ilflK （. SST）亠为了保证安全，已用密码保护私钥.为私钥縫入密码g 宼码学）： *曆翳診鷺縫翡髒瞪项毎次应用皆标志此密钥为可号出的.这将允许您在稍后备份或僅输密钥上1步CB）下1步QD 取消图39图40（13）完成导入后可以再控制台的“个人”栏看见原来没有证书的地方 现在已经有了一个新的证书。

12、（14）再次进入C盘，双击加密文件夹中的文件，现在文件可以正常 打开。8祥卩）仝石V收战* XS.CD 刁助01）4、任务三：打开审核策略打开“控制面板”中“管理工具”，选择“本地安全设置”。然后打开“本地安全设置”中“本地策略”下的“审核策略” O丈泮血肺至看0收酒如1.7）刘肋00图42赛本地安全设置立件 換作 査若M 帮助（H）图432双击右边的各项1_1更改，假如我们更改审核账户管理，如图44 所示，在“成功”和失败”前面打勾。图44查看事件日志还是在“控制面板”，“管理工具”里找到“事件查看器”，双 击打开。图4 5在“事件查看器”里双击“安全性”，可以查看安全事件的具体记 录。r-

13、E（xi文悴I?）按ffea 克右）君助005、任务四：启用安全策略与安全模板（1）启用安全模板单击“开始”，选择“运行”按钮，输入mmc,打开系统控制 台。图47单击左上角的“文件”，在弹出的菜单中选择“添加/删除管理单 元J单击“添加”，在弹出的窗口中分别选择“安全模板”“安 全配置和分析”，单击“添加”按钮后，关闭窗口，再“确定” O图48双击左边“控制台根节点”下的“安全模板”，右键单击模板, 选择“设置描述” O打开之后可以查看相关信息。图49图50右键单击“安全配置与分析”，选择“打开数据库” o输入欲新 建安全数据库的名称。单击“打开”，根据计算机准备配置成的安 全级别，选择一个

14、安全模板将其导入，如图51、52、53所示。图51丿 Dtabase查找范围CI）：testV安全数据库文件（*. sdb）v|图52文件名（H）：文件类型（T）:取消图53右键单击“安全配置与分析”，选择“立即分析计算机”，并设置 日志文件路径，如图5 4、55所示，然后点击确定。系统开始按照 上一步中选定的安全模板，以当前系统的安全设置是否符合要求进 行分析，分析完毕后可在U录中选择查看各安全设置的分析结果, 如图56、5 7 o图57右键单击，选择“立即配置讣算机”，则按照所选择的安全模板的 要求对当前系统进行配置。在设置日志路径后点击“确定”，如图 58、 59、 60o图58图5 9

15、图60创建安全模板打开“安全模板”，右键单击，选择“新加模板”,在弹出对话 框中填入欲新加入模板名称new,在“安全模板描述”中填入“自 设模板” o图62W控制台根节点安全模扳C:securitytopiates匚叵区_1揑制台根节点E孑安全模饭+ 卫 C: WlHDOff： 渗安全配置和分，名称茹述A为 compatws （rhisecdc :hisecws於松用户鎚的默认文件和注册 securedc 的超集 对 Lanfilar securews 的超集对 LanMar自设篌板,i S securedc将默认的根目录权限运用于c 提供増强的域呢户策略丿限制 士日 卅朋出“V* 期iGlkg 笑盼 RB1 图63双击new,在显示的安全策略列表中双击“账户策略”，然后继续双击 “密码策略”，其中任一项均显示“没有定义” O图643双击“密码长度最小值”这一项，在“模板中定义这个策略设 置”前打勾,在框中填入密码的最小长度7。 确定取消应用閃图654依次设定其余项LI中的每项安全策略，直至完成安全模板的设 置。图66 至此，自设安全模板new创建完毕。6、实验结束。