windows操作系统安全总结.docx
- 文档编号:23813006
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:20
- 大小:41.68KB
windows操作系统安全总结.docx
《windows操作系统安全总结.docx》由会员分享,可在线阅读,更多相关《windows操作系统安全总结.docx(20页珍藏版)》请在冰豆网上搜索。
windows操作系统安全总结
windows操作系统安全总结
篇一:
Windows操作系统安全
(一)
一、实验项目名称Windows操作系统安全
(一)
二、实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。
根据Windows操作系统的各项安全性实验要求,详细观察并记录设置前后系统的变化,给出分析报告。
三、实验内容与实验步骤
(1).账户与密码的安全设置
(2).启用安全策略与安全模板
(3).用加密软件EFS加密硬盘数据
(4).NTFS文件系统的权限设置和管理
四、实验环境1台安装Windows2017/XP操作系统的计算机,磁盘格式配置为NTFS,预装MBSA(MicrosoftBaselineSecurityAnalyzer)工具。
五、实验过程与分析任务一账户和密码的安全设置1.删除不再使用的账户,禁用guest账户⑴检查和删除不必要的账户,用户列表如下⑵禁用guest账户1)操作前用guest用户登录,可以登录,表示guest用户可以用。
在其他用户登录下禁止guest用户的使用。
2)之后再次注销,试图登陆guest,发现无法登陆,证明被禁止了。
2.启用账户策略⑴设置密码策略1)对密码策略设置如图
2)对长度最小值的改变进行测试:
设置只有一个字符的密码,不成功就代表了长度最小值策略设置成功。
⑵设置账户锁定策略1)对账户锁定策略设置如图2)对账户锁定阀值进行测试:
连续输入三次错误密码,账户被关闭。
证明账户锁定阀值为3。
2)对账户锁定时间进行测试两分钟之后账户又重新开放,所以账户锁定时间可以为2。
3.开机时设置为“不自动显示上次登陆账户”设置后注销重新登录,发现账户不显示。
4.禁止枚举账户名任务二启用安全策略与安全模块1.启用安全模板
(1)打开系统控制台,为控制台添加安全膜拜和安全配置分析项,并且查看模板配置信息
(2)建立安全数据库,选择一个安全模板将其导入。
(3)按照模板,选择“立即分析计算机”。
分析结果如下。
(4)记录当前安全配置,以密码策略为例。
(5)选择“立即配置计算机”,对计算机配置。
之后再对计算机分析,可以看到计算机设置发生了改变,密码长度最小值,密码最长保存期两个不符合模板的项按照模板进行了配置。
2.建安全模板
(1)打开控制台,添加“安全模板”、“安全设置和分析”,查看其相关配置。
建立安全数据库,导入安全模板。
(2)新加自设模板mytem,并且定义安全策略。
如图是对密码长度最小值设置。
任务三利用加密软件EFS加密硬盘数据
(1)建立名为MYUSER的新用户。
(2)打开硬盘格式为NTFS的磁盘,选择要进行加密的文件夹在属性窗口对其设置将其加密。
(3)加密完成后,保存当前用户下的文件注销当前用户,以刚才新建的MYUSER用户登陆系统,再次访问加密文件夹,发现其拒绝访问。
(4)以原来加密文件夹的管理员用户登陆系统,打开系统控制台添加证书,为当前的加密文件系统EFS设置证书。
在控制台窗口左侧的目录树中选择“证书”“个人“证书”。
可以看到用于加密文件系统的证书显示在右侧的窗口中。
双击此证书,单击详细信息,则可以看到此证书包含的详细信息。
(5)选中用于EFS的证书,导出证书,并设置保护私钥的密码,然后将导出的证书文件保存。
(6)以新建的MYUSER登陆系统导入该证书。
(7)再次双击加密文件击中的文件,发现可以进行访问。
任务四NTFS文件系统的权限设置和管理
1.为学生创建一个私有的用户文件夹:
在NTFS磁盘分区上为用户stu01建立一个用户文件夹StuData01,用户文件夹只允许用户本人完全控制,用户tutor读取访问,其他人拒绝访问。
用其他用户访问,无法访问。
2.创建一个学生组公用文件夹为学生组Students在windows2017服务器的NTFS磁盘分区上建立一个公用文件夹,该文件夹允许students成员读取及运行,tutor完全控制,Administrator只有列出文件夹,创建文件夹,删除文件夹和文件的权限。
并且此文件夹对Administrator的NTFS权限设置不传播到子文件夹。
3.文件夹共享
(1)创建一个文件夹share共享它。
(2)为这个文件夹分配共享权限,安全权限
(3)从网络上访问这个文件夹。
尝试用不同账号访问权限假设:
share共享权限是everyone完全控制,完全权限是everyone只读,那么用户从网络上的访问权限是什么?
回答:
只读权限假设:
share共享权限是everyone只读,完全权限是everyone完全控制,那么用户从网络上的访问权限是什么?
回答:
只读权限
六、实验结果总结1.如何检查系统是否允许guest账户登陆?
回答:
打开控制面板中的管理工具,选择计算机管理中本地用户和组,打开用户,若
guest用户前有叉号,则已经被禁用。
2.如果一个用户(非管理员)创建一个文件夹,内有文件,他设置安全权限,禁止除他以外的用户访问,请问管理员有权限访问吗?
可以的话,如何操作?
回答:
有的,管理员可以更改文件的所有者,可以把所有者改成自己,就可以访问了。
总结:
本实验内容包括对于windows账户密码的安全进行设置,启用了安全策略和安全模板,用加密软件EFS加密硬盘数据,设置和管理NTFS文件系统四个方面。
通过以上的手段,建立了windows操作系统的基本安全框架。
篇二:
windows操作系统的安全基本设置实验五windows操作系统安全
一、实验目的掌握windows操作系统的安全基本设置。
掌握:
1、如何查看和终止程序进程
2、如何打开、备份注册表
3、如何设置系统启动选项
4、查看/设置系统的默认共享
5、如何设置win2k/winXP的用户和口令
6、运行一个程序或打开一个文件非常规方法
7、Internet信息服务器(IIS)Web服务安全配置
8、Internet信息服务器(IIS)FTP服务安全配置
9、ping命令、nbtstat命令、IPCONFIG命令、arp命令
二、实验过程
1.如何查看和终止程序进程a)win2k/WinXP:
选择“控制面板”→“管理工具”→“服务”,打开服务管理窗口,选择相应的程序服务关闭,或者按“Ctrl+alt+del”打开windows任务管理器,选择“进程”标签,选择相应程序的执行文件(包括病毒程序)→“结束进程”2.如何打开、备份注册表a)“开始”→“运行”→“输入regedit”→“确定”
b)在“注册表编辑器”窗口中,“文件”→“导出”,选择目标文件夹,命名注册表文件为regbak.regc)在“注册表编辑器”窗口中,“文件”→“导入”,选择刚才导出的文件,点击“打开”,导入注册表文件d)对win9x注册表锁定(禁止编辑)可采用下面方法用notepad编写下列内容的文件REGEDIT4[HKEY_CURRENT_USER(本文来自:
WWw.cdfDs.池锝范文网:
windows操作系统安全总结)\Software\Microsoft\Windows\CurrentVersion\Policies\system]DisableRegistryTools=dword:
00000001选择“文件”→“另存为”,“保存类型”选择“所有文件*.*”,“文件名”处输入“lock.reg”退出notepad,双击lock.reg文件,即完成。
e)对win9x注册表解除禁止编辑的方法同上,只需要将DisableRegistryTools=dword:
00000001部分改成DisableRegistryTools=dword:
00000000即可。
f)对WindowsXP注册表锁定(禁止编辑)可采用下面方法用notepad编写下列内容的文件WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]DisableRegistryTools=dword:
00000001选择“文件”→“另存为”,“保存类型”选择“所有文件*.*”,“文件名”处输入“lock.reg”退出notepad,双击lock.reg文件,即完成g)对WindowsXP注册表解锁的方法是在命令提示符状态下用命令:
regdeleteHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system/va或命令:
regdeleteHEKY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\\Policies\system/vDisableRegistryToolsh)Windows注册表中保存了操作系统设置和操作系统下安装的各种软件的注册信息,大家可参阅专门的windows注册表书籍,要注意的是对注册表进行修改之前应进行备份。
3.如何设置系统启动选项a)运行注册表编辑器regedit.exeb)找到键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run
c)删除相应程序的启动键值(先备份注册表!
)d)在win9x或winXP中也可以这样做:
“开始”→“运行”→输入msconfig命令e)在弹出的窗口中可以取消相应程序的启动选项4.查看/设置系统的默认共享a)默认共享会导致系统的安全性,通过以下步骤:
“开始”→“运行”→输入mand(forwin9x)或cmd(forwin2k/winXP)进入命令行,然后输入命令“netshare”即可查看系统的共享情况(当然查看共享的方法还有其它多种方法,自己思考):
b)用以下命令删除共享:
netshare/delete共享名,例如命令netshare/deleteC$将win2k/winXP的默认共享C$删除。
但操作系统重新启动之后,默认共享又存在。
解决这种问题的方法是用文本编辑软件如edit.或notepad.exe建立一个批处理文件,例如delshare.bat,其内容如下:
netshare/deleteC$netshare/deleteADMIN$然后将该批处理文件delshare.bat放入操作系统“程序”→“启动”组中,这样每次系统启动时即可删除默认的共享。
5.如何设置win2k/winXP的用户和口令a)“控制面板”→“管理工具”→“计算机管理”→“本地用户和组”即可设置新的系统用户或设置密码。
6.运行一个程序或打开一个文件非常规方法a)只要有操作系统某一窗口(如“我的电脑”)的地址栏或IE浏览器的地址栏,我们就可以做很多事情,而一般情况下IE的地址栏是不会受限制的b)假如“开始”→“运行”菜单受限制,则可以通过地址栏输入来运行一个程序或打开一个文件。
例如:
win9x:
在地址栏输入c:
\windows\mand.回车即可进入命令提示行状态。
winXP:
在地址栏输入c:
\windows\system32\cmd.exe回车即可进入命令提示行状态。
win2k:
在地址栏输入c:
\winnt\system32\cmd.exe回车即可进入命令提示行状态。
运行MicrosoftWord:
在地址栏输入C:
\ProgramFiles\MicrosoftOffice\Office\winword.exe回车即可运行word软件。
在地址栏输入d:
\myfolder\test.txt回车即可启动记事本并打开文件test.txt在地址栏输入d:
\回车即可浏览硬盘D:
的文件和文件夹。
等等7.Internet信息服务器(IIS)Web服务安全配置a)安装IIS服务b)配置IIS服务及安全配置,“控制面板”→“管理工具”→Internet服务器管理c)选择默认WEB站点d)打开“目录安全性”,设置“IP地址或域名限制”。
8.Internet信息服务器(IIS)FTP服务安全配置a)安装IIS服务b)配置IIS服务及安全配置,“控制面板”→“管理工具”→Internet服务器管理c)选择默认FTP站点,选择HOMEDIRECTORY,改变FTP目录d)保留读取和日志访问选项e)打开“目录安全性”,设置“IP地址或域名限制”。
f)设置FTP客户匿名登陆。
9.ping命令、nbtstat命令、IPCONFIG命令、arp命令a)ping命令用来检测网络连接,在命令行方式下,ping命令格式:
pingIP地址-t(参数-t是等待用户按ctrl+c去中断测试),例如:
ping210.45.157.10–tb)nbtstat命令用来检测对方计算机所在的组(group)、域(domain)、当前用户名,例如:
10.命令行方式下,使用ipconfig或winipcfg命令(forwin9x)用来查看本地DNS、IP地址、MAC地址(物理地址)。
使用格式ipconfig/all
11.命令行方式下,arp命令用来探测ip地址和mac地址的绑定。
使用格式arp–a12.命令行方式下,net命令a)netview显示网络上的计算机列表b)netview目标机器的IP地址显示目标机器上的共享资源c)netuser显示用户列表d)netconfigserver/hidden:
yes在网上邻居上隐藏你的计算机e)netconfigserver/hidden:
no在网上邻居上不隐藏你的计算机
13.命令行方式下,routeprint显示你的机器的路由设置14.命令行方式下,tracert主机名或IP地址进行到目标机器的路由跟踪。
例如:
tracert210.45.144.15则显示到IP地址为210.45.144.15目标机器的路由信息(路由即是路径)
三、所用仪器、材料所用仪器、PC机一台
四、实验总结Windows操作系统之所以称霸世界的另一个原因是它的易用性。
一个没有学过任何计算机专业知识的人,也会在几天甚至更短的时间内掌握操作系统的基本操作方法。
现在很多所谓的黑客高手基本上是拿着别人写好的漏洞攻击程序,敲几下键盘,单击几下鼠标,就能侵入Windows系统。
我们应该清楚任何操作系统都会存在漏洞,这一点必须要了解,只有了解这一点,才能有意识的采取相应的措施,使操作系统更加安全。
篇三:
《操作系统安全》实验一---Windows操作系统的安全实验北京信息科技大学信息管理学院课程设计报告课程名称题目《操作系统安全》课程设计Windows操作系统的安全实验孙璇指导教师设计起止日期2017年12月5日系专别业信息管理学院信息安全学生姓名班级/学号成绩1
北京信息科技大学信息管理学院(课程设计)实验报告实验名称
1.课程设计目的:
Windows操作系统的安全实验实验地点607实验时间
(1)理解操作系统安全的重要性
(2)熟悉操作系统安全机制,以及Windows安全策略
(3)掌握对Windows操作系统进行安全配置的基本方法和步骤,并能根据实际应用要求构建一个Windows操作系统的基本安全框架。
2.课程设计内容:
1.利用WindowsXP的安全配置工具来配置安全策略?
本实验将配置帐户策略和本地策略中的审核策略,并使用事件查看器来查看修改审核策略事件的安全日志。
1)开启帐户策略:
a)开启密码策略:
密码对系统安全非常重要。
本地安全设置中的密码策略在默认的情况下都没有开启。
需要开启的密码策略如表2-1所示。
表2-1b)开启帐户锁定策略:
帐户锁定策略可以有效地防止字典式攻击,设置如1
表2-2所示。
表2-22)开启审核策略。
安全审核是WindowsXP最基本的入侵检测方法。
当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来,记录到安全日志中。
需要开启的审核策略如表2-3所示。
表2-33)使用事件查看器察看安全日志。
对于在安全策略中指定审核的事件,其审核报告将被写入安全日志中,可以使2
用“事件查看器”来查看。
打开“控制面板”-〉“管理工具”-〉“事件查看器”。
点击“安全性”选项,观察审核事件列表。
2.停用不必要的帐号应该在计算机管理单元中查看系统的活动帐号列表,禁用所有非活动用户,特别是Guest。
配置步骤如下:
进入“控制面板”-〉“计算机管理”,打开“系统目录”下的“本地用户和组”,确认“Guest”帐号已停用。
3.重命名管理员账户WindowsXP中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。
把Administrator帐户改名可以有效的防止这一点。
不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:
guestone。
具体操作的时候只要选中帐户名改名就可以了。
4.创立陷阱帐号:
所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
3
这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。
可以将该用户隶属的组修改成Gues
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- windows 操作 系统安全 总结