Windows操作系统安全.doc

病毒与黑客技术实训指导书课程名称：病毒与黑客技术实训 实训学时：48适用专业：计算机网络技术 课程类别：专业技能课编写大纲教研室/实训室：计算机网络教研室一、实训目的与要求通过本次实训，掌握什么是网络安全，网络安全的隐患，加解密技术、操作系统安全、防火墙技术、网络攻防、病毒防范和网络编程，通过案例分析掌握网络安全如何解决的。二、实训方式现场实施+实际操作三、考核方法出勤率30%+完成效果70%四、实训指导书及主要参考资料计算机安全技术杜庆灵 主编 西北大学出版社信息安全综合实验蒋朝惠 等 编著 中国铁道出版社 五、实训项目及学时分配项目名称任务名称学时项目一加解密的使用PGP电子邮件系统4Windows CA认证4项目二系统安全实验Windows操作系统安全4Linux操作系统安全4项目三防火墙的使用ISA防火墙配置4硬件防火墙配置4项目四网络攻防常用网络安全工具4木马攻击与防范4项目五Windows病毒的防范宏病毒防治4脚本病毒防治4项目六网络编程Windows注册表4文件系统4六、主要实训项目内容及其要求项目二 系统安全实验任务一 Windows操作系统安全（4学时）【实验目的】： 掌握Windows账户与密码设置方法。 掌握文件系统的保护和加密方法。 掌握Windows操作系统安全策略与安全模版的使用、审核与日志的启用方法。 掌握Windows操作系统漏洞检测软件MBSA的使用方法，建立一个Windows操作系统基本安全框架。【实训设备】：1台安装Windows XP/2003操作系统的计算机，磁盘格式配置为NTFS，并预装MBSA（Microsoft baseline security analyzer）工具。【实验内容】：需要说明的是，以下设置均需以管理员（administrator）身份登录系统。在Windows XP或Server 2003操作系统中，相关安全设置稍有不同，但大同小异，下面主要以Windows Server 2003的设置步骤为例进行说明。1.账户和密码的安全设置（1）删除不再使用的账户，禁用Guest账户共享账户、Guest账户等具有较弱的安全保护，常常都是黑客们攻击的对象，系统的账户越多，被攻击成功的可能性越大，因此要及时检查和删除不必要的账户，必要时禁用Guest账户。 检查和删除多余的账户。右击桌面上【我的电脑】图标，在弹出的快捷键菜单中选择【管理】命令，打开【计算机管理】窗口，在左侧依次选择【本地用户合组】【用户】选项，进入图2-1所示的用户界面。在图2-1中，列出了系统的所有账户。确认各账户是否仍在使用，删除其中不使用的账户。如在图2-1所示圆角矩形框中的用户即为笔者系统中多余的账户和Guest账户。如图2-2所示，右击多余账户，在弹出的快捷键菜单中选择【删除】命令完成多余账户的删除操作。图2-1 用户界面图2-2 删除多余账户 禁用Guest账户。进入图2-2所示的用户界面，右击Guest用户，在弹出的快捷键菜单中选择【属性】命令，打开【Guest属性】对话框，选中【账户已禁用】复选框，单击【确定】按钮，如图2-3所示。设置之后，Guest账户前会出现一个红色的叉。此时如果使用Guest账户登陆，则会显示【您的账户已被停用，请向系统管理员咨询】。（2）启用账户策略打开【控制面板】【管理工具】【本地安全设置】窗口，在左侧依次选择【账户策略】【密码策略】选项，进入图2-4所示的窗口。图2-3Guest属性图2-4密码策略其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特性的设置。 双击【密码必须符合复杂性要求】选项，在打开的图2-5 所示对话框中，选择【已启用】单选按钮，单击【确定】按钮完成操作。现在来验证一下密码策略是否已经启动。首先打开图2-1 所示的窗口，选择一个账户并右击，在弹出的快捷菜单中选择【设置密码】命令，在接下来的窗口中单击【继续】按钮，打开图2-6 所示的设置密码对话框，并在此对话框中输入密码。此时设置的密码要符合设置的密码要求。例如，若输入 111111，则弹出图2-7 所示的密码不符合要求的提示对话框；如输入密码为123asd!# ，密码被系统接受。 双击图2-4 所示窗口中的【密码长度最小值】选项，在打开的图2-8 所示的对话框中设置可被系统接纳的账户密码长度最小值，例如设置为6个字符。一般为了达到较高的安全性，建议密码长度的最小值为8个字符。图2-5 密码必须符合复杂性要求2-6设置密码2-7密码不符合要求 双击图2-4 所示窗口中的【密码最长使用期限】选项，在打开的图2-9 所示的对话框中设置系统要求的账户密码的最长使用天数，默认设置为42天。设置密码最长使用期限，可以提醒用户定期修改密码，防止密码使用时间过长带来的安全隐患。图2-8 密码长度最小值图2-9 密码最长使用期限图2-10 密码最短使用期限 双击图2-4 所示窗口的【密码最短使用期限】选项，在打开的图2-10 所示的对话框中设置密码最短使用天数。在密码最短使用期限内用户不能修改密码。这项设置是为了避免入侵的攻击者修改账户密码。 双击图2-4 所示窗口中的【强制密码历史】和【用可还原的加密储存密码】选项，在相继弹出的类似对话框中，设置让系统记住的密码数量和开启用可还原的加密来存储密码。至此，密码策略设置完毕。在账户策略中的第2项是账户锁定策略，它决定系统锁定账户的时间等相关设置。单击图2-4 所示窗口中的【账户锁定策略】选项，进入图2-11 所示的账户锁定策略窗口。图2-11 账户锁定策略 在图2-11 所示窗口中双击“账户锁定阈值”选项，在打开的图2-12所示的对话框中设置账户被锁定之前经过的无效登陆次数（如3次），以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码（穷举攻击法）。 双击图2-11 所示窗口中的“账户锁定时间”选项，在打开的图2-13 所示的对话框中设置账户被锁定的时间（如20min）。此后，当某账户无效登录（如密码错误）的次数超过3次时，系统将锁定该账户20min。图2-12 账户锁定阈值图2-13账户锁定时间（3）开机时设置为不自动显示上次登录账户Windows默认设置为开机时自动显示上次登录的账户，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service的登录界面看到用户名。禁止显示上次登录用户名的具体操作步骤如下： 打开【控制面板】【管理工具】【本地安全设置】窗口，在左侧依次选址【本地策略】【安全选项】选项，进入图2-14所示的窗口。 双击图2-14所示窗口中的圆角矩形圈住的【交互式登录：不显示上次的用户名】选项，在打开的图2-15所示窗口中选择【已启用】单选按钮，单击【确定】按钮完成设置。图2-14 安全选项图2-15 不显示上次的用户名（4）禁止枚举账户名为了便于远程用户共享本地文件Windows默认设置远程用户可以通过空连接枚举所有本地账户名，这给了攻击者可乘之机。要禁止枚举账户名，可执行以下操作：在图2-16所示的窗口中双击【网络访问：不允许SAM账户和共享的匿名枚举】选项，在接下来打开的窗口中选择【已启用】单选按钮，单击【确定】按钮完成设置。图2-16 不允许枚举账户和共享此外，早“安全选项”中还有多项增强系统安全的选项，配置方法同上，这里不再赘述。2. 文件系统安全设置 删除Everyone组的操作权限由于新建的用户往往都归属于Everyone用户组，而Everyone组在默认情况下对所有系统驱动器都有完全控制权，删除Everyone组的操作权限可以对新建用户的权限进行限制。打开采用NTFS格式的磁盘，这里选择E盘。右击E盘，在弹出的快捷菜单中选择【属性】命令，并在接下来的属性对话框中选择【安全】选项卡，如2-17所示，选择【组或用户名称】列表框中的【Everyone】用户组，单击【删除】按钮完成Everyone用户组权限的删除操作。以上操作是仅删除Everyone组对E盘的操作权限，而原则上是需要根据实际需求，只保留允许访问磁盘的用户和用户组。在图2-17所示的对话框中，同样可以实现对其他用户组和用户的权限控制操作。单击【高级】按钮，可以查看E盘的高级安全设置，如权限审核、所有者、有效权限，如图2-18所示。图2-17 文件夹安全属性图2-18 磁盘高级安全设置 对同一磁盘进行不同用户组权限分配图2-19 Users用户组默认权限在Windows操作系统中，Administrators是超级用户组，凡是隶属于此组的用户都是超级用户，拥有最高的权限。Users是新建用户默认隶属的用户组，此用户组用户不能对系统进行有意或无意的改动，只能运行经过验证的应用程序，不可以运行大多数旧版应用程序。还是以计算机磁盘E盘为例，Users用户组在默认情况下对E盘只能进行读取、运行、列出文件夹目录操作，如图2-19所示。这意味着Users用户组用户只能浏览E盘内的数据，不能将数据写入E盘。如果需要Users用户组用户能写入到E盘，这可以在图2-19所示对话框中的“Users的权限”列表框中选中【写入】权限对应的【允许】复选框，单击【确实】按钮即可。注意：由于Administrators用户组的权限远远高于Users用户组权限，所以Administrators用户组用户对系统所进行的权限设置，Users 用户组用户没有权限进行修改，对于所有用户组来说，低权限拥护组对系统的安全设置，较高权限用户组可以对其进行修改，反之则不成立。这也正是NTFS磁盘格式比FAT、FAT32磁盘格式更安全的原因所在。3. 用加密软件EFS加密硬盘数据（1） 在计算机桌面上右击【我的电脑】图标，在弹出的快捷菜单中选择【管理】命令，在打开的【计算机管理】窗口中选择【本地用户和组】【用户】选项，再右击【用户】选项，在弹出的快捷菜单中选择【新用户】命令，创建一个名为MyUser 的新用户，如图2-20 所示。（2） 打开磁盘格式为NTFS的磁盘，选择要进行加密的文件夹，这里选择E盘上的【数据备份】文件夹。（3） 右击该文件夹，在弹出的快捷菜单中选择【属性】命令，打开【属性】对话框，选择【常规】选项卡，如图2-21 所示。单击【高级】按钮，打开图2-22 所示的对话框，选中【加密内容以便保护数据】复选框，单击【确定】按钮回到图2-21 所示对话框。（4） 在图2-21 所示对话框中单击【确定】按钮打开图2-23 所示的确认加密对话框。在此对话框中选择【将更改应用于该文件夹、子文件夹和文件】单选按钮，单击【确定】按钮完成设置操作。图2-20 新建用户图2-21 常规属性窗口图2-22 文件夹高级属性图2-23 确认加密（5） 加密完毕后保存但前用户下的文件，并注销当前用户，使用刚才新建的用户MyUser 登录系统。再次访问【数据备份】文件夹，打开其中的文本文件时，弹出图2-24所示的错误提示对话框。这说明该文件夹已经被加密，在没有授权的情况下无法打开。（6） 再次切换用户，以原来加密文件夹的管理员账户登录系统。单击【开始】按钮，在弹出的开始菜单中选择【运行】命令，在打开的【运行】对话框中输入mmc 命令，打开系统控制台。选择【文件】【添加/删除管理单元】命令，在打开的对话框中单击【添加】按钮，打开图2-25 所示的对话框。在此对话框中选择【证书】选项，单击【添加】按钮，打开图2-26 所示的对话框，选择【我的用户账户】单选按钮，单击【完成】按钮回到图2-25 所示对话框，单击【关闭】按钮。（7） 在图2-27 所示的控制台窗口中，在左侧目录中依次选择【证书】【个人】【证书】选项。可以看到用于秘密文件系统的证书显示在窗口右侧。双击此证书，在弹出的对话框中选择【详细信息】选项卡，可以看到证书中包含的详细信息，主要的一项是所包含的公钥，如图2-28 所示。图2-24 拒绝访问窗口图2-25 添加证书图2-26 【证书管理单元】对话框图2-27 系统控制台（8） 在图2-27 所示窗口中选中用于EFS 的证书并右击，在弹出的快捷菜单中选择【所有任务】【导出】命令，则打开【证书导出向导】对话框，单击【下一步】按钮，选择【是，导出私钥】单选按钮，如图2-29 所示，单击【下一步】按钮切换到图2-30所示的对话框，输入保护私钥的密码，单击【下一步】按钮，在图2-31 所示的对话框中单击【浏览】按钮指定保护证书的路径和证书文件名，单击【下一步】按钮完成证书的导出操作，如图2-32 所示。（9） 再次切换用户，以新建的MyUser 登录系统，重复、步骤，右击【个人】选项，在弹出的快捷菜单中选择【所有任务】【导入】命令进入证书导入向导，如图2-33所示，通过【浏览】按钮选择证书，单击【下一步】按钮。图2-28 证书详细信息图2-29 将私钥和证书一起导出图2-30 证书导出成功图2-31 指定导出的文件名图3-32 证书导出成功图2-33 导入证书文件（10） 在图2-34所示的对话框中的【密码】文件框中输入证书保护密钥，单击【下一步】按钮，选择将证书放入【个人】存储区中，单击【下一步】按钮，完成证书导入操作。（11） 再次双击加密文件夹中的文本文件，文件可以正常打开。说明该用户已经成为加密文件的授权用户，如图2-35所示。图2-34 导入证书保护密码图2-35 文件打开4.启用审核与日志查看（1）打开审核策略 打开【控制面板】【管理工具】【本地安全设置】窗口。 在左侧依次选择【本地策略】【审核策略】选项，可以看到当前系统的审核策略，如图2-36所示。图2-36 审核策略 双击每项策略，在打开的相应对话框中可以选择是否启用该项策略。例如，【审核账户管理】选项将每次建立新用户、删除用户等操作进行记录；【审核登录事件】选项将对每次用户的登录进行记录；【审核过程追踪】选项将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略。审核策略启用后，审核结果放在各种事件日志中。具体启用什么策略，根据用户的实际需要来定。（2）查看事件日志 打开【控制面板】【管理工具】【事件查看器】窗口，如图2-37所示，可以看到笔者计算机上的5种日志，其中主要的是前3种日志，其中安全性日志用于记录刚才上面审核中所设置的安全事情。图2-37 事件查看器 单击左侧树状菜单中的【安全性】日志，可查看有效无效、登录尝试等安全事件的具体记录。如图2-38所示，双击窗口右侧的任何一项日志，可以查看此项日志的相关详细信息。例如，在双击圆角矩形圈住部分日志可弹出Administrator 用户一次登录的详细事件信息，如图2-39 所示，可以看出Administrator 用户成功登录的日期、时间、类型、用户名等信息。图2-38 安全性日志图2-39 Administrator 登录成功日志5.启用安全策略与安全模版（1）启用安全模板开始前，请记录当前系统的账户策略和审核日志状态，以便与试验后的设置进行比较。 单击【开始】按钮，在弹出的开始菜单中选择【运行】命令，在【运行】对话框中输入mmc，打开系统控制台，如图2-40 所示。 在菜单栏中选择【文件】【添加/删除管理单元】命令，单击【添加】按钮，在弹出的图2-41 所示的对话框中分别选择【安全模板】、【安全配置和分析】选项，单击【添加】按钮后，关闭窗口，并单击【确定】按钮。图2-40 控制台图2-41 添加独立管理单元 此时系统控制台中根结点下添加了【安全模板】和【安全配置和分析】两个文件夹。打开【安全模板】文件夹，可以看到系统中存在的安全模板，如图2-42 所示。右击某一个模板，在弹出的快捷菜单中选择【设置描述】命令，可以查看该模板的相关信息。单击任何一个模板，窗口右侧会出现该模板中的安全策略，双击每种安全策略可看到其相关配置。 在图2-42所示窗口中右击【安全配置和分析】选项，在弹出的快捷菜单中选择【打开数据库】命令，在打开的对话框中输入欲保存安全数据库的路径和数据库名称，例如起名为MuComputerSecurity.sdb，如图2-43所示。单击【打开】按钮，在打开的窗口中，根据计算机准备配置成的安全级别，选择一个安全模版将其导入。 右击【安全配置和分析】选项，在弹出的快捷菜单中选择【立即分析计算机】命令，单击【确定】按钮。系统开始按照上一步中选定的安全模版对当前系统的安全设置是否符合要求进行分析。分析完毕后，可在目录中选择查看各安全设置的分析结果，如图2-44所示。图2-44 分析结果。图2-42 安全模板图2-43 打开数据库图2-44 分析结果 右击【安全配置和分析】选项，在弹出的快捷菜单中选择【立即配置计算机】命令，则按照第步中所选择的安全模版的要求对当前系统进行配置。如果事先对系统的默认配置选项做了记录，接着记录启用安全模板后系统的安全设置，与启用前进行比较即可发现，如果选用的安全模板级别较高，则使用安全模板后系统的安全配置选项增加了许多。（2）创建安全模板 重复前述第（1）部分第步第步。在图2-45所示窗口中右击模板所在路径（即可）图中C:WINDOWSsecuritytemplates），在弹出的快捷菜单中选择【新加模板】命令，在打开的对话框中填入新模板的名称，如MyTem，在“描述”文本框中填入描述信息，如图2-46所示，单击【确定】按钮完成自设模板的添加操作，可看见结果如图2-47 所示。 双击【MyTem】选项，在显示的安全策略列表中双击【账户策略】下的【密码策略】选项，可发现其中任一项均显示“没有定义”。双击欲设置的安全策略（如【密码长度最小值】），打开图2-48 所示的对话框。 选中【在模板中定义这个策略设置】复选框，在数值框中填入密码的最小长度为7，单击【确定】按钮完成此项设置操作。 依次设置【账户策略】、【本地策略】中的每项安全策略，直至完成安全模板的设置。至此，自设安全模板MyTem 创建完毕，可以导入系统中使用。图2-45 新加模板图2-46 输入模板名和描述图2-47 自设模板添加结果图2-48 密码长度最小值设置6.利用MBSA检查和配置系统安全微软推出的MBSA（microsoft baseline security analyzer）是一个强大的系统检查工具，该软件包含大部分的微软软件检测器，除了检测漏洞之外，还提供了详细的解决方案以及补丁下载地址，使用非常方便。（1）系统漏洞检测 安装此软件后，首先以管理员身份登录系统，然后运行该软件，进入图2-49 所示的界面。从该界面可以了解到，可以单独对一台计算机进行漏洞扫描，也可以同时对一批计算机进行漏洞扫描，还可以查看已有的安全报告。图2-49 MBSA欢迎界面 在图2-49所示窗口中单击【扫描一个电脑】按钮，进入图2-502-49所示的窗口。在【计算机名称】和【IP地址】组合框中输