实验设备.doc

实验设备 中软吉大设备，主机6台。 实验拓扑 实验过程简介 1. 用户权限管理 (1) 查看用户SID (2) Windows系统权限四项原则 (3) NTFS分区的磁盘配额操作 2. 注册表安全设置 (1) 禁用注册表的远程访问 (2) 禁用系统调试信息自动保存 (3) 禁用系统资源共享 (4) 禁用系统页面交换 (5) 修改TTL防主机类型探测 3. TCP/IP筛选 (1) 测试服务正常工作验证 (2) 启用TCP/IP筛选阻断测试服务访问 (3) 测试服务重新验证 (4) TCP/IP筛选允许端口测试 实验步骤 一. 用户权限管理 【实验说明】 实验开始前，首先使用分组切换器将实验主机切换到理论学习环境中； 将智能网络设备的网络结构切换到“网络结构一”； 主机A、B、C、D、E、F使用【快照】将Windows虚拟机恢复到“网络结构1”的状态； 该实验每组1人，实验步骤以主机A所在组为例进行说明，其它组的操作参考主机A所在组的操作。 1. SID查看 (1) 在命令提示符中输入“whoami /user”命令 显示信息形式如下： 用户名 SID ========================== ============================================ 000c2913aa0e\administrator S-1-5-21-1227453606-851076807-3559088397-500 由如上信息可以分析出：主机000c2913aa0e的用户administrator的SID为1-5-21-1227453606-851076807-3559088397-500。 2. 权限的四项基本原则演示 (1) 拒绝优先原则 (a) 鼠标右键单击“我的电脑”，选择“管理”菜单项，然后选择“系统工具-本地用户和组-用户”，右键选择“新用户”菜单项，如下图所示。在弹出的新用户对话框中，填写用户名“test”，并设置“密码永不过期”。单击“创建”按钮创建新用户。 图5-1-1 创建新用户 (b) 创建组 鼠标右键单击“本地用户和组-组”，选择“新建组”。在弹出的对话框中新建组A、B，并将刚刚新建的test用户分别添加到组A、B中，如下图所示。 图5-1-2 创建用户组并添加组成员 (c) 在C盘中新建名为test的文件夹，在里面新建文本文件test.txt，内容任意。 (d) 鼠标右键单击test.txt文件，选择“属性”，在“安全”选项卡中，单击“添加”按钮，将包含test用户的组A、B添加进来，将组A的权限设置成“允许完全控制”，组B的权限设置成“拒绝读取”。单击“确定”按钮，在弹出的“安全”提示框中单击“是”按钮。 (e) 注销当前用户，使用新建的test用户登录，进入C:\test目录，访问test.txt文件。可以发现用户test不能读取该文件的内容。 (2) 权限最小原则 (a) 使用Administrator用户登录系统，新建用户test2。创建完毕后，在test2用户上双击鼠标左键，弹出“test2 属性”对话框，切换到“隶属于”页签。可以发现默认情况下用户test2隶属于Users组。 (b) 注销当前用户，使用test2用户登录系统，尝试修改C:\WINDOWS目录中的文件。可以发现用户test2不能修改C:\WINDOWS目录中的文件。 (3) 权限继承原则 (a) 使用Administrator用户登录系统，新建用户test31、test32。 (b) 在C盘中新建名为test3的文件夹，将其权限设置成对test31用户完全控制，test32用户只可以读取。 (c) 在test3目录中新建名为subtest3的文件夹。 (d) 分别使用test31、test32用户登录系统，访问目录C:\test3\subtest3。可以发现用户test31对subtest3文件夹拥有完全控制权限，用户test32对subtest3文件夹拥有只读权限。 注：对于用户test32来说，如果administrator用户在C:\test3\subtest3目录下创建了一个文件，则test32用户对该文件只有“读取”的权限，而