《计算-机安全基础》实验指导书.doc

《计算机安全基础》实验指导书 侯迎春 09计网(1)、(2)、(3)班用内部资料 目 录 实验1 增强Windows操作系统安全 1.实验目的及要求 实验目的 通过实验掌握 Windows 账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件 MBSA 的使用，建立一个 Windows 操作系统的基本安全框架。 实验要求 根据教材中介绍的 Windows 操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。 实验设备及软件 1 台安装 Windows2000/XP 操作系统的计算机，磁盘格式配置为 NTFS ，预装 MBSA(Microsoft Baseline Security Analyzer) 工具。 实验内容 1)账户与密码的安全设置 2)文件系统的保护和加密 3)启用 安全策略与安全模板 4)用加密软件 EFS 加密硬盘数据 5)审核与日志查看 6)利用 MBSA 检查和配置系统安全 需要说明的是，下面的实验步骤主要是以 Windows2000 的设置为例进行说明，并且设置均需以管理员（ Administrator ）身份登陆系统。在 Windows XP 操作系统中，相关安全设置会稍有不同，但大同小异。 实验步骤 任务一 账户和密码的安全设置 1 ．删除不再使用的账户，禁用 guest 账户 ⑴ 检查和删除不必要的账户 右键单击“开始”按钮，、打开“资源管理器”，选择“控制面板”中的“用户和密码”项； 在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。 ⑵ 禁用 guest 账户 为了便于观察实验结果，确保实验用机在实验前可以使用 guest 账户登陆。 打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击 guest 账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。 确定后，观察 guest 前的图标变化，并再次试用 guest 用户登陆，记录显示的信息。 ２．启用账户策略 ⑴ 设置密码策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据你选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。 ⑵ 设置账户锁定策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如 3 次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如 20 min ）。 重启计算机，进行无效的登陆（如密码错误），当次数超过 3 次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。 ３．开机时设置为“不自动显示上次登陆账户” 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。 ４．禁止枚举账户名 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”， 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。 此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。 任务二 文件系统安全设置 ⑴ 打开采用 NTFS 格式的磁盘，选择一个需要设置用户权限的文件夹。这里选择 E 盘下的“桌面”文件夹。 ⑵ 右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。 ⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。 ⑷ 选中列表中的 Everyone 组，单击“删除”按钮，删除 Everyone 组的操作权限，由于新建的用户往往都归属于 Everyone 组，而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权，删除 Everyone 组的操作权限可以对新建用户的权限进行限制，原则上只保留允许访问此文件夹的用户和用户组。