实验二操作系统安全配置.docx

上传人：小飞机

文档编号：5175150

上传时间：2023-06-11

格式：DOCX

页数：23

大小：543.57KB

《实验二操作系统安全配置.docx》由会员分享，可在线阅读，更多相关《实验二操作系统安全配置.docx（23页珍藏版）》请在三一办公上搜索。

1、实验二操作系统安全配置【实验目的】1. 掌握使用安全策略设置的方法，了解安全策略的主要内容和用途2. 掌握用计算机管理工具管理本地用户帐户的方法，了解Windows下帐户的命名规则和口令要求3. 掌握Windows下审核策略的设置方法，了解审核策略的制定准则4. 掌握Windows环境中网络服务和端口的安全管理技术5. 掌握Windows下IPSec策略的配置方法，利用IPSec进行安全传输*【实验设备及环境】1. Windows XP操作系统2. Windows Server 2003操作系统（虚拟机）【实验导读】1. 安全策略设置操作系统的安全配置是整个操作系统安全策略的核心，其目的就是

2、从系统根源构筑安全防护体系，通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段，形成一整套有效的系统安全策略。Windows系统安装的默认配置是不安全的，在系统使用前，应该进行一些设置，以使系统更安全。;通过本地安全策略可以控制：访问计算机的用户；授权用户使用计算机上的哪些资源；是否在事件日志中记录用户或组的操作。2. 用户管理在Windows中，用户管理对于系统和组织安全性非常关键，在组织内部，应该存在用来确定每个新用户具有的正确权限的过程，当用户离开组织时，应该具有保证用户不能再访问系统的过程。Windows用户帐户&Windows提供三

3、种类型的用户帐户：本地用户帐户、域用户帐户和内置用户帐户。本地用户帐户允许用户登录到一台特定的计算机上，从而可以访问该计算机上的资源。域用户帐户允许用户登录到域中从而可以访问网络中的资源。内置用户帐户允许用户执行管理任务或者访问本地和网络资源。一般Administrator帐户不能被删除，在实际应用时为了增加入侵难度，可以更改 Administrator 帐户名，比如改成 guestone。帐户规则命名规范命名规范确定域中的用户如何被标识，命名规范可参考表2-1表2-1命名规范规范说明用户登录名必须唯一本地用户帐号应该在本计算机上是唯一的。域用户帐号的登录名应该在域活动目录中是唯一的

4、。最多使用20个字符Windows只识别用户名称的前20个字符避免使用无效字符无效字符包括：/|：； =,+*！用户登录名不区分大小写用户登录名称对大小写不敏感表明用户类型在用户登录名前加上一个标识来说明用户类型口令要求为了保护对计算机的访问，每个用户必须有口令，对于口令有以下要求：,一定为Administrator设定一个安全的口令；使用难以猜测的口令，例如避免使用和用户名称明显相关的口令；口令可以多达128个字符，推荐使用最少8个字符的口令；使用大写和小写、数字和有效的非字母符号进行结合的口令。3. 系统审核安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种

5、方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。4. 网络服务和端口管理Windows中有许多用不着的服务自动处于激活状态，Terminal Services （终端服务）和 IIS （Internet信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。另外，需要把系统用不着的网络端口也关闭，

6、防止黑客的攻击。用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器，只允许TCP的80端口通过就可以了。TCP/IP筛选器是 Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。5. IPSec 策略IPsec在网络层提供安全服务，它能使系统按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。在Windows操作系统中内嵌了对IPsec的支持，可以方便的建立主机到主机，网络到网络的安全通信。IPsec适用于基于IPsec策略的通信，可以使用IPsec策

7、略来决定何时使用IPsec保护计算机之间的通信。创建IPsec策略时，需要配置IPsec规则（这些规则确定IPsec的行为）以及设置（设置的应用与配置的规则无关）。配置IPsec策略后，必须将该策略指派给一台计算机才能实施该策略。虽然在一台计算机上可以存在多个IPsec策略，但每次只能将一个IPsec策略指派给一台计算机。IPsec规则确定IPsec必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对IPSec对等方进行身份验证；以及其他设置。配置IPsec规则时，可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和IPs

8、ec封装模式（传输模式或隧道模式）。IPsec规则通常是针对特定用途（例如，阻止所有从Internet到TCP端口 135的入站通信流”）配置的。筛选器定义了要检查的通信流（这与防火墙规则类似）以及源和目标IP地址、协议和端口号（如果适用）。筛选器操作定义了网络通信流的安全性要求。）【实验任务及内容】1.安全策略配置幽安全设置-迪帐户策略密码策略以系统管理员的身份登录到Windows XP操作系统，对密码策略进行修改，选择【控制面板】|【管理工具】【本地安全策略】|【帐户策略】|【密码策略】，如图2-1所示。策略|安全设置|躅密码必麹符合复杂性要求已停用+也帷户锄定策略+国本地策略+公

9、钥策略+软件限制策略+，割ip安全策略，在本地id甥密码长度最小值0个字符躅密码最长存留期42天一住霓码最痘存留期0天躅强制密码历史0个记住的密码一蚩为域中所有用户使用可还原的.已停用图2-1密码策略双击右侧【密码必须符合复杂性要求】，出现如图2-2所示的界面。如果启用该策略，则密码必须符合以下最低要求。不能明显包含用户帐户名或用户全名的一部分； c长度至少为六个字符；必须包含以下四类字符中的三类字符：英文大写字母（A- Z ）英文大写字母（a- z ）10个基本数字（0- 9 ）非字母字符（例如！、$、#、% ）双击右侧【密码长度最小值】，出现如图2-3所示的界面。对密码长度最小值进行

10、修改。图2-3密码复杂性要求图2-4密码长度最小值策略设置双击右侧【密码最长存留期】，出现如图2-4所示的界面。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间，范围是1999天，默认为42天，设置为0表示密码永不过期。双击右侧【密码最短存留期】，出现如图2-5所示的界面。该安全设置确定用户在可以更改密码之前必须使用该密码的时间。可以设置为1998天，密码最短使用期限必须小于密码最长使用期限。图2-4密码最长存留期图2-5密码最短存留期双击右侧【强制密码历史】，出现如图2-6所示的界面。该安全设置确定与某个用户帐户相关的密码的数量，可以设置为024之间。该策略可以防止用户

11、重新使用旧密码，确保旧密码不能继续使用，从而能够增强安全性。双击右侧【为域中所有用户使用可还原的加密来存储密码】出现如图2-7所示的界面。该安全设置确定操作系统是否使用可还原的加密来存储密码，此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。图2-6强制密码历史图2-7用可还原的加密来存储密码从上面这些设置项中我们不难得到一个最简单有效的密码安全方案，即首先启用密码必须符合复杂性要求”策略，然后设置密码最短存留期”，最后开启强制密码

12、历史”。设置好后，在控制面板”中重新设置管理员的密码，这时的密码不仅本身是安全的（不低于6位且包含不同类别的字符），而且以后修改密码时也不易出现与以前重复的情况了，这样的系统密码安全性非常高。2. 添加和管理本地用户以系统管理员的身份登录到Windows XP操作系统，通过【控制面板】|【管理工具】 |【计算机管理】进入【计算机管理】界面。选择左侧【本地用户和组】|【用户】，出现如图2-8所示的界面。计湖朝E0口区粤 E牛If it -杏考宙nr帘电1|J| d5 创回旧区由名称全名犯U学件查专器4 Q北亭卫1牛王 -更本地用户和拒_|币_vrrware_Ti._叩眉睥匚Adriini

13、 strator那用户如islajit 远程卓而助手帐户 |?F0I7_3i=i. ClNi crosoEt Corpora.股ATIv&re UserE：肯杠I出;曲内M职p古未三力向i |针；tn丈市订对为河唱t E程IntJ曲帖亡占至一-利日把十湛:邱尽如悍世1写3罄否在纣广壬:耽耳国口区1-凸1亍睹4皆订在河用肉:Ti 慝弊导出列表心|泰1昨切由艮助M图2-8用户管理界面右击【用户】条目，从菜单中选择【新用户】。添加用户名为test的用户。如图2-9 所示。如果在密码策略中启用了复杂性密码要求，这时系统会提示密码不符合复杂性要求，需要按照密码复杂性要求选择密码。新用户区回用户下次登录

14、时须更改密码噬用户不能更改密码口密码永不过期口帐户已停用追创建关闭也）图2-9添加新用户为当前用户选择合适的组，默认的当前用户属于users组，下面提升test的权限，把它放入Administrators组中。方法是：在用户列表中双击test用户，出现用户属性界面，选择【隶属于】选项卡，单击【添加】按钮，出现如图2-10所示界面，在【输入对象名称来选择】编辑框中输入Administrators单击右侧【检查名称】按钮，出现Administrators组的信息，再单击【确定】即可。图2-10添加用户到系统管理员组中3. 添加域用户以Domain Admins组成员的身份登录Windo

16、ini st rater用户管理计算机域）的内置.序腿t Fubli.安全组-本.止t组的成员被允许发行.Domain Admins;安全组-全局指定的域管理员_i|IIi：irTi：irL Cum.安全组-全局切入到域中的所有工作.fSDoniain C on.安全组-全局域中所有域控制器jIlorriairi Jues+.s安全组-全局域的所有来宾H om ：i n 1J e er e安全组-全局所有域用户jEnterpri se.安全组-全局企业的指定系统管理员Group Poli.安全组-全局这个组中的成员可以修.Guest用户供来宾访问计耸机或访.HelpserTi c.安全组-本.

17、帮助和支持中心组在 RAS and IA.安全组-本这个组中的服务器可以创注在：yj . tlj i t. cd-u. an/lls Gi-s（上T（T| 下一步 g） :|取消|图2-11 Active Directory用户和计算机】管理界面右键单击User选项，选择【新建】|【用户】。输入【姓】|【名】以及“用户登录名”，如图2-12所示，然后单击【下2建对象-用户图2-12输入用户信息输入并确认密码，清除【用户下次登录时需更改密码】复选框，如图2-13所示，然后单击【下一步】。图2-13输入新用户密码在右栏中找到刚加入的用户myuser双击出现该用户的属性信息，单击【成员属于】选

18、项卡，可以修改用户所属的组，修改用户的权限，如图2-14所示。图2-14新用户的属性3. 系统审核;设置审核策略的步骤如下：以系统管理员的身份登录到Windows XP操作系统，对审核策略进行修改，选择【控制面板】|【管理工具】|【本地安全策略】|【审核策略】，出现如图2-15所示的管理界面。女什口操作3）查看（Z）帮助如=f 宜X虽留岁安主设宜+ _帐户第晦-本地策略+宜竣全诳项+ _j公钥策略十_1软件限和策咤+，.划，IF安全黄略-在本境衬策略_躅日核策喀更改霞）宣核登录事件曲吉核对象访问一婪有核讪程谊踪躅日核目录服客方问墨）宣核特枳使用商宣垓系统事件一壁有核帐户登录

19、半件躅日植帐户管理安全设置无审棱无审核无审核无审核无审核无审核无审核无审核无申诙图2-15审核策略管理界面双击右侧栏目的【审核对象访问】出现如图2-16所示的管理界面，对对象访问的审核策略进行修改。修改完成后单击【确定】即可。图2-16审核对象访问策略管理界面口徭部噩置用豌个容器中的 -且匚= 一 V 001口口确定右键单击想要审核的文件或文件夹，选择弹出菜单的【属性】命令，接着在弹出的窗口中选择【安全】标签。单击【高级】按钮，然后选择【审核】标签，再单击【添加】按钮出现如图2-17所示的界面，在此处可以对要审核的行为进行编辑。TIHDOIS的审核项目对篆名称： Administra

20、tor J-bbQjJbEAbEu 更改 /proc/sys/net/ipv%cmp_ignore_all用防火墙禁止（或丢弃）icmp包首先启用 Iptables 服务：services Iptables start 配置规则：iptables-A INPUT -p icmp-j DROP10. 不要显示出操作系统和版本信息。如果希望某个人远程登录到你的服务器时不要显示操作系统和版本信息，打开并编辑/etc/ 文件，在 telnet stream tcp nowait root /usr/sbin/tcpd 一行后口上-h ，加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login:。【实验报告】1. 实验目的；2. 实验设备及环境；3. 实验内容及任务；4. 实验方法与步骤（详细描述实验过程）；5. 实验结果与数据分析；6. 分析讨论。7.【分析讨论与思考】1. 根据实验过程，总结实验心得（重点包括实验中遇到的问题和解决方法）。2. 查阅资料，分析Iptables的安全机制。