实验7windows的权限配置与安全审.doc

实验七 Windows XP/2000/2003的权限配置与安全审核 一、项目编号：7 二、实验学时：2学时 三、实验目的 1.学会用户的建立及安全设置。 2.学会对文件的权限配置。 3.掌握设置安全审核的方法。 4.学会从网上查找解决问题的方法。 四、实验内容 1.建立一个拥有超级用户的权限的用户。 2.Administrator 账号更名。 3.禁用 GUEST 账号。 4.关闭共享和修改共享权限。 5.对操作系统进行安全审核设置。 五、实验环境 普通机房，系统为windows xp/2000/2003 。 六、操作步骤及工作要点 1．建立一个拥有超级用户权限的用户，替代 Administrator 的权限。 2．Administrator 帐号更名 windows xp/2000/2003 的administrator帐号是不能被停用的，这样别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。但不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 3. 创建一个陷阱帐号 什么是陷阱帐号? 创建一个名为” Administrator”的本地帐户，把它的权限设置成最 低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 4. 把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在windows xp/2000/2003中意味着任何有权进入你的网络的用户都能 够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的。 5. 禁用 Guest 帐号。 6．关闭默认共享。 。 ⑴ 临时取消： windows xp/2000/2003安装好以后，系统会创建一些隐藏的共享， 你可以在cmd下打 net share 查看他们。要禁止这些共享 ，打开 管理工具计算机管 理共享文件夹共享 在相应的共享文件夹上按右键，点停止共享即可。但机器重新启 动后，默 认的 C$,D$.E$等每个根目录共享又会重新启动。 ⑵ 永久取消： 必须要修改注册表，否则每次重启之后默认共享还会出现。在注册表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右栏空白位置点击鼠标右键，选择“新建”，再选“字符串值”，名称中输入：“delipc＄”，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入：“net share ipc＄/del”，下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。 7. 关闭不必要的端口 ⑴ 为什么要关闭端口？用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。 ⑵ 关闭端口意味着减少功能，在安全和功能上面需要作一点决策。 ⑶ 关闭端口或打开端口的具体方法为：网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 8．修改本地帐户策略， 进行如下设置： 密码符合复杂性要求 启用 密码长度最小值 8个字符 密码最长留存期 30天 帐户锁定时间 60分钟 帐户锁定阈值 3次 9．修改本地安全策略， 进行如下设置： 策略 设置 审核策略更改 成功，失败 审核登陆事件 成功，失败 审核对象访问 失败 审核过程追踪 失败 审核特权使用 失败 审核系统事件 成功，失败 审核帐户登陆事件 成功，失败 审核帐户管理 成功，失败 审核策略设置 1. 打开相应的安全策略。 2. 展开“安全设置”。 3. 在“安全设置”中，展开“本地策略”，显示“审核策略”、“用户权利指派”以及“安全选项”策略。 4. 单击“审核策略”。右侧的详细信息窗格即显示可配置的审核策略设置。 图 1. 审核策略设置 5. 要设置安全事件的审核，请双击右侧详细信息窗格中所需的审核策略。这将打开“安全策略设置”对话框。 10．修改用户权利指派， 进行用户权安全性审核，进行如下设置： 策略 设置