0综合实践项目7 系统加固技术实践.docx
- 文档编号:28973179
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:44
- 大小:3.60MB
0综合实践项目7 系统加固技术实践.docx
《0综合实践项目7 系统加固技术实践.docx》由会员分享,可在线阅读,更多相关《0综合实践项目7 系统加固技术实践.docx(44页珍藏版)》请在冰豆网上搜索。
0综合实践项目7系统加固技术实践
欺骗与拒绝服务攻防技术实践
摘要
在当今社会,信息技术的快速发展,使得以计算机、通信等技术变得日益更新,发展非常快,从而影响了政治经济和生活登各方各面领域的飞速发展,然而,网络是把双刃剑,在给人们生活带来便利的同时,网络的安全问题也日益突出和重要。
所以,网络是把双刃剑,在给人们带来便利的同时也给人们带来了危险,危险的例子也屡见不鲜,所以我们应该了解网络安全中面临的危险。
我们主要对Windowsxp进行了加固任务,考虑了操作系统平台上运行的各类常规应用软件系统(含典型数据库系统)在网络环境下的安全应用。
关键词:
网络安全,windowxp,系统加固
1绪论
计算机和信息技术的飞速发展,网络的日益普及,深刻地改变着人们的生活方式、生产方式与管理方式,加快了国家现代化和社会文化的发展。
21世纪的竞争是经济全球化和信息化的竞争,“谁掌握信息,谁就掌握了世界”,信息安全不仅关系到公民个人,企业团体的日常生活,更是影响国家安全,社会稳定的至关重要的因素之一。
今年来,我国网络安全事件发生的比例呈上升趋势,调查结果显示绝大多数网民的主机曾经感冒病毒,超过一半的网民经历过账号/个人信息被盗窃、被篡改,部分网民曾被仿冒网站欺骗。
在经济利益的驱使下,制造、贩卖病毒木马、进行网络盗窃或诈骗、教授网络攻击技术等形式的网络犯罪活动明显增多,造成了巨大的经济损失和安全威胁,严重影响了我国互联网事业的健康发展。
2windows口令与安全策略设置实验
选择开始,点击设置,选中控制面板
选中管理工具,打开本地安全策略,进入设置,里面分为帐户策略、本地策略、公钥策略三类
进入帐户策略,会看到两个文件,一个文件是密码策略,另一个文件是帐户锁定策略
进入密码策略
备注;如果该选项里面的设置都是未启用状态,在你设置密码的时候,不会有任何的提示,通常默认新安装的操作系统都是未启用状态。
启动密码复杂性要求,选中密码必须符合复杂性要求,双击进入设置,将已停用选择为已启用,点击确定,启用该策略
验证操作,计算机管理
单击计算机管理,进入设置
选中本地用户和组,进入设置,看到用户和组
点击用户进入,选中Administrator帐户
选中Administrator,点击鼠标右键,选择设置密码
将密码设置为123456,点击确定,查看其密码安全策略是否启用
小结:
由于该密码策略启用,因为密码设置为123456,长度只有6位,不符合密码策略中的长度和密码复杂性要求,故而不允许将123456设置为Administrator密码。
点击开始,设置。
控制面板,管理工具,服务
单击服务,进入详细目录,每个对应的服务都有名称、状态、启动类别,登录身份
将DNSClient(DNS客户端)、EventLog(事件日志)、LogicalDiskManager(逻辑磁盘管理器)、NetworkConnections(网络连接)、PlugandPlay(即插即用)、ProtectedStorage(受保护存储)、RemoteProcedureCall(RPC)(远程过程调用)、RunAsService(RunAs 服务)、SecurityAccountsManager(安全账号管理器)、TaskScheduler(任务调度程序)、WindowsManagementInstrumentation(Windows 管理规范)、WindowsManagementInstrumentationDriverExtensions(Windows管理规范驱动程序扩展)以上服务配置为启动时自动加载。
如下图所示,在启动类型处选择为自动,服务状态选择为已启动。
实验到此就结束了,关闭实验窗口
3Windows安全策略与审计
打开“设置,控制面板,管理工具”,运行“本地安全策略”。
打开“本地安全设置”对话框,选择“账户策略|密码策略|密码长度最小值”,通过窗口设置密码长度的最小值
然后选择“密码必须符合复杂性要求”属性,通过此窗口启用此功能
打开“设置,控制面板,管理工具”,运行“本地安全策略”。
打开“本地安全设置”对话框,选择“账户策略|账户锁定策略|账户锁定阈值”。
设置为2次以后,会出现如下图所示建议的数值改动,点击确定。
文件操作的审计,选择“本地策略|审核策略”,双击“审核对象访问”,选“成功”和“失败”
硬盘上新建一个名为文本文件,右键单击该文件,选择“属性”,然后单击“安全”选项卡
单击“高级”,然后选择“审核”选项卡,将“允许父项的继承审核项目传播到该对象和所有子对象。
包括那些在此明确定义的项目”打上勾
单击“添加”,在“输入要选择的对象名称”中,键入“Everyone”,然后单击“确定”
选择访问中的“删除”和“更改权限”的功能
至此,审计设置完成,如图所示,然后删除此文件
右键单击“我的电脑”,选择“管理”,在计算机管理中,选择“系统工具|事件查看器|安全性”
Windows用户账号管理进行审计,单击开始,选择设置,控制面板,管理工具,运行“本地安全设置”,选择“安全设置|本地策略|审核策略”,双击审核账户管理,选“成功”和“失败”。
开始|运行”中,输入cmd,在控制台下输入创建用户myTest和设置口令123456Aa的命令,如图19所示。
由于之前设置密码长度最小是4,所以这里的口令最少需要4位。
注销当前用户,并重新登录,登录输入密码时第一次输错密码,第二次输入正确密码,进入系统。
打开“事件查看器”,选择“安全性”,可以看到审核记录,如图所示,其中有一条失败记录
IE浏览器安全配置策略⑴ 安全区域设置
①指定Web站点为本地Internet站点、可信站点或受限站点。
在IE“工具”菜单上,点击“Internet选项”,选择“安全”选项卡,然后选择将要把Web站点指定到的安全区域:
本地Intranet、可信站点或受限站点(默认情况下所有站点都属于Internet区域)
点击“站点”按钮,输入Web站点地址点击“添加”
改区域安全级别,在“安全”选项卡上选择要更改其安全级别的区域,点击“自定义级别”按钮,进行自定义设置,
自动完成配置,IE浏览器默认打开自动完成功能,在Internet选项中选择“内容”,点击“自动完成”按钮
在弹出的“自动完成设置”窗口中点击“清除表单”和“清除密码”按钮,也可以取消上方选框的选择来停用自动完成功能。
实验结束。
4Windows操作系统安全
4.1账户和口令的安全设置
删除不再使用的账户,禁用guest账户。
查和删除不必要的账户。
右击“开始”按钮,选择“控制面板”中的“用户账户”项,如在弹出的对话框中选择从列出的用户里删除不需要的账户。
图4中删除了没用的asd用户,删除之后只剩一个有用的Administrator和Guest
guest账户的禁用。
右键单击“我的电脑”,选择“管理”选项,并打开“系统工具\本地用户和组\用户”
右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾;确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
启用账户策略。
账户策略是Windows账户管理的重要工具。
打开“控制面板”→“管理工具”→“本地安全策略”,选择“账户策略”下的“密码策略”
符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。
双击其中每一项,可按照需要改变密码特殊的设置。
①双击“密码密码必须符合复杂性要求”,选择“启用”
打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。
在出现的设置密码窗口中输入密码,如图此时密码符合设置的密码要求
双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。
一般为达到较高安全性,密码长度最小值为8。
双击“密码最长存留期”,在对话框中设置系统要求的账户密码的最长使用期限为42天。
设置密码自动保留期,用来提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
双击“密码最短保留期”,设置密码最短存留期为7天。
在密码最短保留期内用户不能修改密码,避免入侵的攻击者修改帐户密码。
双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。
至此,密码策略设置完成。
开机时设置为“不自动显示上次登录”。
Windows默认设置为开机时自动显示上次登录的帐户名,许多用户也采用了这一设置。
这对系统来说是很不安全的,攻击者会从本地或TerminalService的登录界面看到用户名。
继续在本地安全设置中,打开“本地策略\安全选项”,选中“交互式登录:
不显示上次的用户”,将其设置为已启用。
禁止枚举帐户名为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。
要禁用枚举账户名,执行下列操作:
打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“不允许枚举SAM账户和共享”
用加密软件EPS加密硬盘数据,打开磁盘格式为NTFS的磁盘,选择要进行加密的文件,这里选择“C:
\text\新建文本文档”。
右击打开“属性”窗口,选择“常规”选项,单击“高级”按钮。
选择“加密内容以便保护数据”,单击“确定”,如图19所示。
打开控制面板中的“用户账户”,创建一个名为USER的新用户,且不要创建为计算机管理员用户
点击“开始”,选择“注销”,然后点击“切换用户”,登录刚新建的USER用户
在“C:
\text”目录下,双击“新建文本文档”,发现无法打开该文件,说明已经加密
再次切换用户,以原来加密文件夹的管理员账户登录系统。
单击“开始”按钮,在“运行”框中输入mmc,打开系统控制台。
单击左上角的“文件”按钮,选择“添加∕删除管理单元”
在弹出的对话框中选择“添加”,然后找到“证书”,如图所示,点击“添加”。
在弹出的“证书管理单元”对话框中选择“我的用户账户”,然后完成
在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。
用于加密文件系统的证书显示在右侧的窗口中。
选中证书,单击右键,在菜单中单击“所有任务”→“导出”,打开“证书导出向导”
点击“下一步”,选择“是,导出私钥”,然后继续点击“下一步”,设置保护私钥的密码
设置要导出的文件的文件名,并设置要导出文件的保存路径,注意一定要保存在C盘,然后完成证书导出
再次切换用户,以新建的USER登录系统,如第⑸、⑹步打开控制台并添加证书,然后选中个人,会发现跟第⑺步不同的是右边没有证书。
右键点击个人,选择“所有任务”→“导入”
在私钥地址浏览中,打开C盘,选择“文件类型”的“所有文件”,然后打开siyue,。
指定文件后点击“下一步”,输入之前设置的密码,继续点击“下一步”,然后完成导入
完成导入后可以再控制台的“个人”栏看见原来没有证书的地方现在已经有了一个新的证书
再次进入C盘,双击加密文件夹中的文件,现在文件可以正常打开
启用审核与日志查看,打开审核策略,打开“控制面板”中“管理工具”,选择“本地安全设置”。
然后打开“本地安全设置”中“本地策略”下的“审核策略”。
双击右边的各项目更改,假如我们更改审核账户管理,如图44所示,在“成功”和“失败”前面打勾
查看事件日志,还是在“控制面板”,“管理工具”里找到“事件查看器”,双击打开,在“事件查看器”里双击“安全性”,可以查看安全事件的具体记录
启用安全策略与安全模板,启用安全模板,单击“开始”,选择“运行”按钮,输入mmc,打开系统控制台
单击左上角的“文件”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”“安全配置和分析”,单击“添加”按钮后,关闭窗口,再“确定”
双击左边“控制台根节点”下的“安全模板”,右键单击模板,选择“设置描述”。
打开之后可以查看相关信息。
右键单击“安全配置与分析”,选择“打开数据库”。
输入欲新建安全数据库的名称。
单击“打开”,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
右键单击“安全配置与分析”,选择“立即分析计算机”,并设置日志文件路径,然后点击确定。
系统开始按照上一步中选定的安全模板,以当前系统的安全设置是否符合要求进行分析,分析完毕后可在目录中选择查看各安全设置的分析结果
右键单击,选择“立即配置计算机”,则按照所选择的安全模板的要求对当前系统进行配置。
在设置日志路径后点击“确定”
创建安全模板,打开“安全模板”,右键单击,选择“新加模板”,在弹出对话框中填入欲新加入模板名称new,在“安全模板描述”中填入“自设模板”
双击new,在显示的安全策略列表中双击“账户策略”,然后继续双击“密码策略”,其中任一项均显示“没有定义”
双击“密码长度最小值”这一项,在“模板中定义这个策略设置”前打勾,在框中填入密码的最小长度7。
依次设定其余项目中的每项安全策略,直至完成安全模板的设置。
至此,自设安全模板new创建完毕。
实验结束。
5总结
如何对系统进加固
一、安装对策
在进行系统安装时,采取以下对策:
1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。
2、在安装操作系统时,建议至少分三个磁盘分区。
第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。
3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。
4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。
5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。
安装系统补丁一定要全面。
6、做系统的ghost以备还原。
二、运行对策
在系统运行时,采取以下对策:
1、关闭系统默认共享,修改系统注册表,禁止默认共享功能。
在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:
00000000。
2、删除多余的不需要的网络协议,只保留TCP/IP网络通讯协议。
3、关闭不必要的有安全隐患的服务,用户可以根据实际情况,关闭如:
Telnetservices、DHCPClient、DNSClient、Printspooler、RemoteRegistryservices、SNMP Services、TerminalServices等有安全隐患的系统服务。
4、启用安全策略(Gpedit.msc打开系统策略编辑器)
(1)帐号锁定策略。
设置帐号锁定阀值,3次无效登录后,即锁定帐号。
(2)密码策略。
一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符。
二是服务器密码长度最少设置为8位字符以上。
(3)审核策略。
默认安装时是关闭的。
激活此功能有利于管理员很好的掌握机器的状态,可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。
建议至少审核登录事件、帐户登录事件、帐户管理三个事件。
(4)“用户权利指派”。
在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。
(5)“安全选项”。
在“安全选项”中,将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。
也可以通过修改注册表中的值来禁止建立空连接,[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。
可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息的泄露。
5、加强对Administrator帐号和Guest帐号的管理监控,将Administrator帐号重新命名,创建一个陷阱账号,名为“Administrator”,口令为10位以上的复杂口令,其权限设置成最低,即:
将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。
设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators权限,只在需要的时候使用。
修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。
6、关闭文件和打印共享 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork]"NoFileSharingControl"=0000001
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0综合实践项目7 系统加固技术实践 综合 实践 项目 系统 加固 技术