windows-xp安全策略配置.doc

操作系统安全策略 操作系统安全策略和基本配置原则： 1.操作系统的安全策略：利用windowsXP的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全策略”，?可以配置四类安全策略：账户策略，本地策略，公钥策略和IP安全策略。在默认情况下，这些策略都是没有开启的。 2.关闭不必要的服务。 3.关闭不必要的端口。 4.开启审核策略。 5.开启密码策略。 6.开启账户策略。 7.备份敏感文件。 8.不显示上次登录名：默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表可禁止显示上次登录名。 9.禁止建立空连接。 10.下载必威体育精装版的补丁。  任务一、?账户和密码的安全设置 1、删除不再使用的账户，禁用?guest?账户 ⑴?检查和删除不必要的账户 右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户账户”项；?在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。 ⑵?禁用?guest?账户 在上面的界面中单击?guest?账户，选择开启来宾账户，确定后，观察?guest?前的图标变化。 再次单击?guest?账户，选择禁用来宾账户，确定后，观察?guest?前的图标变化。 ? ２、启用账户策略 ⑴?设置密码策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。 ⑵?设置账户锁定策略 打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如?5?次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如?50?min?）。 重启计算机，进行无效的登陆（如密码错误），当次数超过?5次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。（在bupt-winxp_1中不能实现，因为每次关机后，本次用户设置都会丢失） 3．禁止枚举账户名 右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，?并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举?SAM?账户和共享”。 此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。 ? 任务二、?关闭远程注册表服务 默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务，如果黑客连接到我们的计算机并且计算机启用了远程注册表服务（Remote?Registry）的话他还可以通过远程注册表操作系统任意服务，因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧，黑客可以通过命令行指令将服务轻松开启。 要想彻底关闭远程注册表服务可以采用如下方法： 1、通过任务栏的“开始-运行”，输入regedit进入注册表编辑器。 2、找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”项。 3、右键点击“RemoteRegistry”项，选择“删除”。 任务三、设置登录系统时不显示上次登录的用户名 用户在登录Windows?2003时，Windows?2003会自动在在登录对话框中显示出上次登录的用户名称，如果这是一台公共计算机，就有可能造成用户名的泄露，从而给一些不怀好意的人以可乘之机。 　　如果你是系统管理员，你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消，这样Windows?2003就会要求用户每次登录时都必须键入用户名，从而提高计算机的使用安全性。 不显示上次登录的用户名 1、打开“我的电脑”——“控制面板”，双击打开“管理工具”。 2、在“管理工具”界面中，双击打开“本地安全策略”。 3、选择“本地策略”，然后选择“安全选项”。 4、在“安全选项”列表中，双击“交互式登录：不显示上次的用户名”，启用该功能。 任务四、设置注册表防止系统隐私信息被泄露 在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的