《计算机安全础》实验指导书
《计算机安全基础》实验指导书
侯迎春
09计网(1)、(2)、(3)班用内部资料
目 录
实验1 增强Windows操作系统安全
1.实验目的及要求
1.1实验目的
通过实验掌握 Windows 账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件 MBSA 的使用,建立一个 Windows 操作系统的基本安全框架。
1.2实验要求
根据教材中介绍的 Windows 操作系统的各项安全性实验要求,详细观察并记录设置前后系统的变化,给出分析报告。
2.实验设备及软件
1 台安装 Windows2000/XP 操作系统的计算机,磁盘格式配置为 NTFS ,预装 MBSA(Microsoft Baseline Security Analyzer) 工具。
3.实验内容
(1)账户与密码的安全设置
(2)文件系统的保护和加密
(3)启用 安全策略与安全模板
(4)用加密软件 EFS 加密硬盘数据
(5)审核与日志查看
(6)利用 MBSA 检查和配置系统安全
需要说明的是,下面的实验步骤主要是以 Windows2000/XP 的设置为例进行说明,并且设置均需以管理员( Administrator )身份登陆系统。在 Windows XP 操作系统中,相关安全设置会稍有不同,但大同小异。
4.实验步骤
4.1 任务一 账户和密码的安全设置
1 .删除不再使用的账户,禁用 guest 账户
⑴ 检查和删除不必要的账户
右键单击“开始”按钮,、打开“资源管理器”,选择“控制面板”中的“用户和密码”项;
在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。
⑵ 禁用 guest 账户
为了便于观察实验结果,确保实验用机在实验前可以使用 guest 账户登陆。
打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击 guest 账户,在弹出的对话框中选择“属性”,在弹出的对话框中“帐户已停用”一栏前打勾。
确定后,观察 guest 前的图标变化,并再次试用 guest 用户登陆,记录显示的信息。
2.启用账户策略
⑴ 设置密码策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据你选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。
⑵ 设置账户锁定策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。
在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如 3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。
在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如 20 min )。
重启计算机,进行无效的登陆(如密码错误),当次数超过 3 次时,记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比。
3.开机时设置为“不自动显示上次登陆账户”
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,启用该设置。设置完毕后,重启机器看设置是否生效。
4.禁止枚举账户名
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”, 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。
此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。
4.2 任务二 文件系统安全设置
⑴ 打开采用 NTFS 格式的磁盘,选择一个需要设置用户权限的文件夹。这里选择 E 盘下的“桌面”文件夹。
⑵ 右键单击该文件夹,选择“属性”,在工具栏中选择“安全”。
⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。
⑷ 选中列表中的 Everyone 组,单击“删除”按钮,删除 Everyone 组的操作权限,由于新建的用户往往都归属于 Everyone 组,而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权,删除 Everyone 组的操作权限可以对新建用户的权限