一、实验目的
通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模版的使用、审核和日志的启用,建立一个Windows操作系统的基本安全框架。
二、实验环境
VPC1(虚拟PC):
操作系统类型:Windows XP
网络接口:本地连接
VPC1连接要求:
PC网络接口,本地连接与实验网络直连
软件描述:
学生机要求安装Java环境
VPC1安装VC6.0
实验环境描述:
学生机与实验室网络直连
VPC1与实验室网络直连
学生机与VPC1物理链路连通
三、实验内容和步骤
在Windows XP操作系统中,相关安全设置会稍有不同,但大同小异,所有的设置均以管理员(Administrator)身份登录系统。
任务一:账户和口令的安全设置
任务二:用加密软件EPS加密硬盘数据
任务三:启用审核与日志查看
任务四:启用安全策略与安全模块
1、打开控制台。
学生单击“试验环境试验”进入实验场景,单击bupt-winxp_1中的“打开控制台”按钮,进入目标主机。
2、任务一:账户和口令的安全设置
⑴删除不再使用的账户,禁用guest账户。
- 检查和删除不必要的账户。右击“开始”按钮,选择“控制面板”中的“用户账户”项;在弹出的对话框中选择从列出的用户里删除不需要的账户。
- guest账户的禁用。
右键单击“我的电脑”,选择“管理”选项,并打开“系统工具\本地用户和组\用户” 右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾;确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
⑵启用账户策略。
账户策略是Windows账户管理的重要工具。打开“控制面板”→“管理工具”→“本地安全策略”,选择“账户策略”下的“密码策略”。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特殊的设置。
①双击“密码密码必须符合复杂性要求”,选择“启用”。打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。
若密码不满足密码策略的要求,则会弹出以上提示框。
- 双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。一般为达到较高安全性,密码长度最小值为8。
- 双击“密码最长存留期”,在对话框中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期,用来提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
④双击“密码最短保留期”,设置密码最短存留期为7天。在密码最短保留期内用户不能修改密码,避免入侵的攻击者修改帐户密码。
- 双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。
至此,密码策略设置完成。
⑶开机时设置为“不自动显示上次登录”。Windows默认设置为开机时自动显示上次登录的帐户名,许多用户也采用了这一设置。这对系统来说是很不安全的,攻击者会从本地或Terminal Service的登录界面看到用户名。继续在本地安全设置中,打开“本地策略\安全选项”,选中“交互式登录:不显示上次的用户”,将其设置为已启用。
⑷禁止枚举帐户名
为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。要禁用枚举账户名,执行下列操作:打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“不允许枚举SAM账户和共享”。
3、任务二:用加密软件EPS加密硬盘数据
⑴打开磁盘格式为NTFS的磁盘,选择要进行加密的文件,这里选择“C:\text\新建文本文档”。右击打开“属性”窗口,选择“常规”选项,单击“高级”按钮。选择“加密内容以便保护数据”,单击“确定”。
⑵打开控制面板中的“用户账户”,创建一个名为USER的新用户,且不要创建为计算机管理员用户。
⑶点击“开始”,选择“注销”,然后点击“切换用户”,登录刚新建的USER用户。
⑷在“C:\text”目录下,双击“新建文本文档”,发现无法打开该文件,说明已经加密。
⑸再次切换用户,以原来加密文件夹的管理员账户登录系统。单击“开始”按钮,在“运行”框中输入mmc,打开系统控制台。单击左上角的“文件”按钮,选择“添加∕删除管理单元”。
⑹在弹出的对话框中选择“添加”,然后找到“证书”,点击“添加”。在弹出的“证书管理单元”对话框中选择“我的用户账户”。
⑺在控制台窗口左侧的目录树中选择“证书”“个人”“证书”。用于加密文件系统的证书显示在右侧的窗口中。
⑻选中证书,单击右键,在菜单中单击“所有任务”→“导出”,打开“证书导出向导”。
⑼点击“下一步”,选择“是,导出私钥”,然后继续点击“下一步”,设置保护私钥的密码。
⑽设置要导出的文件的文件名,并设置要导出文件的保存路径,注意一定要保存在C盘,然后完成证书导出。
⑾再次切换用户,以新建的USER登录系统,如第⑸、⑹步打开控制台并添加证书,然后选中个人,会发现跟第⑺步不同的是右边没有证书。右键点击个人,选择“所有任务”→“导入”。
⑿在私钥地址浏览中,打开C盘,选择“文件类型”的“所有文件”,然后打开siyue,指定文件后点击“下一步”,输入之前设置的密码,继续点击“下一步”,然后完成导入。
⒀完成导入后可以再控制台的“个人”栏看见原来没有证书的地方现在已经有了一个新的证书。
⒁再次进入C盘,双击加密文件夹中的文件,现在文件可以正常打开。
4、任务三:启用审核与日志查看
⑴打开审核策略
①打开“控制面板”中“管理工具”,选择“本地安全设置”。然后打开“本地安全设置”中“本地策略”下的“审核策略”。
②双击右边的各项目更改,假如我们更改审核账户管理,在“成功”和“失败”前面打勾。
⑵查看事件日志
①还是在“控制面板”,“管理工具”里找到“事件查看器”,双击打开。
②在“事件查看器”里双击“安全性”,可以查看安全事件的具体记录。
5、任务四:启用安全策略与安全模板
⑴启用安全模板
①单击“开始”,选择“运行”按钮,输入mmc,打开系统控制台。
②单击左上角的“文件”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”“安全配置和分析”,单击“添加”按钮后,关闭窗口,再“确定”。
③双击左边“控制台根节点”下的“安全模板”,右键单击模板,选择“设置描述”。打开之后可以查看相关信息。
④右键单击“安全配置与分析”,选择“打开数据库”。输入欲新建安全数据库的名称。单击“打开”,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑤右键单击“安全配置与分析”,选择“立即分析计算机”,并设置日志文件路径,然后点击确定。系统开始按照上一步中选定的安全模板,以当前系统的安全设置是否符合要求进行分析,分析完毕后可在目录中选择查看各安全设置的分析结果。
⑥右键单击,选择“立即配置计算机”,则按照所选择的安全模板的要求对当前系统进行配置。在设置日志路径后点击“确定”。
⑵创建安全模板
- 打开“安全模板”,右键单击,选择“新加模板”,在弹出对话框中填入欲新加入模板名称new,在“安全模板描述”中填入“自设模板”。
②双击new,在显示的安全策略列表中双击“账户策略”,然后继续双击“密码策略”,其中任一项均显示“没有定义”。
- 双击“密码长度最小值”这一项,在“模板中定义这个策略设置”前打勾,在框中填入密码的最小长度8。
依次设定其余项目中的每项安全策略,直至完成安全模板的设置。
实验总结
在实验中,我们掌握Windows账户与密码的安全设置,包括创建和管理用户账户、设置密码策略、禁用不必要的账户等。此外,还需要了解文件系统的保护和加密,包括设置文件和文件夹的权限、加密文件和文件夹等。同时,还需要学会使用安全策略和安全模版来设置系统安全策略,以及启用审核和日志功能来监控系统的安全状况。
总之,通过这个实验,我们可以更好地了解Windows操作系统的安全设置,掌握相关的安全技能,从而建立一个更加安全的Windows操作系统环境。
版权归原作者 渺淼妙音 所有, 如有侵权,请联系我们删除。