Windows安全实验Word格式文档下载.docx

Windows安全实验Word格式文档下载.docx

《Windows安全实验Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《Windows安全实验Word格式文档下载.docx（24页珍藏版）》请在冰豆网上搜索。

（2）guest账户的禁用。

在WindowsXP中，“控制面板”→“管理工具”→“计算机管理”→“本地用户和组”

→“用户”→右单击“Guest”→“属性”→在“账户已停用”前打勾。

（图2）

选中对象后，右击出现快捷菜单：

图3

选“禁用帐户”

（图4）

结果可以看到：

（图5）

2．启用账户策略

（1）在WindowsXP中，“控制面板”→“管理工具”→“本地安全策略”→“账户策略”

→“密码策略”（见图6）→双击“密码必须符合复杂性要求”，选择“启用”（见图7）

图6

图7

（图8）

（2）“密码长度最小值”：

8个字符

（3）“密码最长存留期”：

42天，作用是可以提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。

（4）“密码最短存留期”：

7天，这项设置是为了避免入侵的攻击者修改密码账户。

（5）“强制密码历史”：

1个记住的密码

（6）“为域中所有用户使用可还原的加密存储密码”：

启用

至此，密码策略设置完毕。

在“账户锁定策略”中：

（1）双击“账户锁定阈值”，在弹出的对话框中设置账户被锁定之前经过的无效登录次数，如3次，以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码（穷举法攻击）

（2）双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间，如20min，此后，当某账户无效登录的次数超过3次时，系统将锁定该账户20min。

3．开机时设置为“不自动显示上次登录账户”

图9

4．禁止枚举账户名

图10

图11

任务二文件系统安全设置

（1）打开磁盘格式为NTFS的磁盘，选择一个需要设置用户权限的文件夹。

（2）右单击该文件夹，选择“属性”，在工具栏中选择“安全”页。

（3）将“允许将来自父系的可能继承权限传播给该对象”之前的勾去掉。

（4）选中“everyone”组，单击“删除”。

（5）单击“高级”，查看各用户组的权限。

任务三用加密软件EFS加密硬盘数据

1．打开“控制面板”中的“用户账户”，创建一个名为MYUSER的新用户。

图12

选“创建一个新账户”

图13

图14

2．针对文件的加密

（1）“资源管理器”中选一个格式为NTFS磁盘下的某个文件夹，选择要进行加密的文件。

右击想要加密的文件：

图15

（2）在弹出的快捷菜单中选择“属性”，可以看到该文件的属性对话框（参见图16）

图16

（3）在“常规”选项卡中单击“高级”，看到“高级属性”对话框（参见图17）

图17

（4）选择“加密内容以保护数据”→“确定”，会弹出“加密警告”对话框。

（参见图18）

图18

（5）选“只加密文件”→“确定”，可发现该文件会呈“绿色”，表示已被加密。

图19

（5）用新帐户MYUSER登录，再试图访问所加密的文件夹或文件，会发现无法访问，说明文件已加密成功。

（参见图20）

图20

也可能出现以下对话框：

图21

请考虑如果在出现“加密警告”时（图18），选择了另一个选项“加密文件及其父文件夹”的结果。

3．针对文件夹的加密

（1）文件夹加密的操作与文件类似，右键单击目标文件夹，打开“属性”窗口，选择“常规”选项，单击“高级”按钮，弹出如下图所示的对话框。

（图23）

选择“加密内容以便保护数据”，单击“确定”按钮。

（2）加密完毕后保存当前用户下的文件，注销当前用户，以刚才新建的MYUSER用户登录系统。

再次点加密的文件夹，要打开其中的文件时，会弹出下图的出错窗口。

（图24）

对文件夹的加密请注意加密的时机：

（1）对刚建立的空文件夹进行加密，然后复制一些文件到该文件夹中；

（2）对其中已经有文件的文件夹进行加密；

（选下面一项：

将更改应用于该文件夹、子文件夹和文件）

图25

（3）对其中已经有文件的文件夹进行加密；

（选上面一项：

“仅将更改应用于该文件夹”）

同样用administrator的身份操作，用其它用户进行验证。

请写出这几种结果不同之处。

4．启用和禁用EFS

注册表位置：

HKEY_LOCAL_MACHINE\SOFRWARE\Microsoft\WindowsNT\CurrentVersion\EFS

新建DWORD值，命名：

EfsConfiguration，

取值

功能

1

禁用

图26

然后再去做加密操作时，会发现不能进行。

5．利用注册表操作，在右键快捷菜单中添加“加密”选项

HKEY_LOCAL_MACHINE\SOFRWARE\Microsoft\Windows\CurrentVersion

\Explorer\Adanced\新建DWORD值，命名：

EncryptionContextMenu，取值：

图27图28

然后在“资源管理器”中选中目标，再右单击，可以在快捷菜单中看到“加密”项。

6．为当前的加密文件系统EFS设置证书

（1）以管理员账户登录系统。

单击“开始”→“运行”→输入mmc，打开系统控制台。

图29

（2）单击左上角的“文件”菜单，选择“添加/删除管理单元”，在弹出的对话框中单击“添加”按钮，选择添加“证书”，如图30所示，

（图30）

图31

选择“完成”后，“关闭”

（图32）

选择“确定”

（图33）

（3）在控制台窗口左侧的目录树中选择“证书-当前用户”→“个人”→“证书”。

可以看到用于加密文件系统的证书显示在右侧的窗口中，如图34所示。

双击此证书，单击详细信息，则可看到证书中包含的详细信息，主要的一项是所包含的公钥，如图35所示。

（图34）

（图35）

（4）选中用于EFS的证书，单击右键，在弹出的菜单中单击“所有任务”，在展开的菜单中，单击“导出”，

图36

则弹出“欢迎使用证书导出向导”，单击“下一步”，选择“是，导出私钥”，如图37所示，

图37

设置保护私钥的密码，然后将导出的证书文件保存，这就完成了证书的导出。

（5）再次切换用户，以新建的MYUSER登录系统，重复步骤1和步骤3，右键单击选中的“证书”文件夹，选择“所有任务”中的“导入”，在弹出的“使用证书导入向导”，单击“下一步”，在地址栏中填入步骤4中导出的证书文件的地址，导入该证书，

（6）输入步骤4中为保护私钥设置的密码，选择将证书放入“个人”存储区中，单击“下一步”，完成证书导入。

（7）再次双击加密文件夹中的文件，文件可以支持正常打开。

说明该用户已成为加密文件的授权用户。

任务四启用审查和日志查看

1．启用审查策略

（1）打开“控制面板”中的“管理工具”，选择“本地安全策略”

（2）打开“本地策略”中的“审核策略”，可以看到当前系统的审核策略，

（3）双击每项策略可以选择是否启用该项策略。

例如：

“审核账户管理”将对每次建立新用户、删除用户等操作进行记录；

“审核登录事件”将对每次用户的登录进行记录；

“审核过程追踪”将对每次启动或退出的程序（或进程）进行记录。

审核策略启用后，审核结果放在各种事件日志中。

2．查看事件日志

（1）打开“控制面板”中的“管理工具”，选择“事件查看器”，可以看到三种日志，其中安全日志用于记录刚才上面审核策略中所设置的安全事件。

（2）双击“安全日志”，可查看有效/无效、登录尝试等安全事件的具体记录。

例如，查看用户登录/注销的日志，弹出分别为登录事件的失败审核与成功审核的对话框。

可以看到日志中详细记录的时间、账户名、错误类型等信息。

其中。

“事件ID”用于表示各事件的类型。

各ID的意义可以查看Mocrosoft网站。

任务五启用安全策略与安全模板

1．启用安全策略

开始前，请记录当前系统的账户策略和审核日志状态，以便与实验后的设置进行比较。

（1）“开始”→“运行”→在对话框中输入MMC，打开系统控制台

（2）单击“文件”菜单，选择“添加/删除管理单元”，单击“添加”，分别选择“安全模板”、“安全配置和分析”，单击“添加”后，关闭窗口，并“确定”。

（3）此时系统控制台中根节点下添加了“安全模板”、“安全配置和分析”两个文件夹。

打开“安全模板”文件夹，可以看到系统中存在的安全模板。

右击模板名称，选择“设置描述”，可以看该模板的相关信息。

双击该模板，右侧窗口出现该模板中的安全策略，双击每种安全策略可看到相关配置。

（4）右击“安全配置与分析”，选择“打开数据库”。

在弹出的对话框中输入欲新建安全数据库的名称，例如起名为my.sdb；

单击“打开”，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

（5）右键单击“安全配置与分析”，选择“立即分析计算机”，单击“确定”。

系统开始按照上一步骤中选定的安全模板，对当前系统的安全设置是否符合要求进行分析。

分析完毕后，可在目录中选择查看各安全设置的分析结果。

（6）右键单击“安全配置与分析”，选择“立即配置计算机”，则按照第4步中所选择的安全模板的要求对当前系统进行配置。

如果事先对系统的缺省配置选项作了记录，接着记录启用安全模板后系统的安全设置，与启用前进行比较，即可发现，如果选用的安全模板级别较高，则使用安全模板后系统的安全配置选项增加了许多。

2.创建安全模板

（1）重复任务五第1部分

（1）-（4）。

在图中展开“安全模板”，右键模板所在路径（C:

\WINNT\Security\Templates），选择“新加模板”，在弹出的对话框中填入欲新加入的模板名称mytem，在“安全模板描述”中填入“自设模板”。

可以看到新加模板出现在模板列表中。

（2）双击mytem，在显示的安全策略列表中双击“账户策略”下的“密码策略”，可以发现其中任一项均显示“没有定义”。

双击欲设置的安全策略（如“密码长度最小值”），弹出如图对话框

（3）在“在模板中定义这个策略设置”前打勾，在框中填入密码的最小长度7.

（4）依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。

至此，自行安全模板mytem创建完毕。

可以按照任务五第1部分中的步骤导入系统中。

对部分模板的意义做如下说明：

setupsecurity.inf：

全新安装系统的默认安全设置

basicws.inf：

基本的安全级别

compatws..inf：

将系统的NTFS和ACL设置成安全层次较低的NT4.0设置

securews.inf：

提供较高安全性的安全级别

hisecws.inf：

提供高度安全性的安全级别