实训01(WINDOWS操作系统安全策略).doc

实验目的及要求一实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。二实验要求根据教材中介绍的Windows操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。三实验内容1设置234. 一检查和删除不必要的账户单击“开始”按钮，选择“控制面板”中的“用户帐户”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。例如：下图中，可将不用的AAA，BBB帐户删除删除帐户操作方法1： 直接在用户帐户中删除，（如果不能删除，则在方法2中删除）方法2： 右击我的电脑，选择“管理”项，打开其计算机管理对话框，打开本地用户及组文件夹，右击要删除的帐户名，在弹出的菜单中，选择删除即可。如下图所示二停止启用来宾GUEST帐户方法1：在控制面版中的“用户帐户”的对话框中，停止启用GUEST帐户方法2：在计算机管理对话框中，右击GUEST图标，选择“属性”项，在打开对话框中，选择“帐户已停用”即可一 设置登录密码策略方法1：.从BIOS中设置密码操作：开机后不停地压DEL键，进入BIOS设置窗口。进入set password选项，设置密码。然后设置密码方式为system这样开机就须输入密码了方法2：在WINDOWS操作系统中设置管理员密码操作：【开始】-【设置】-【控制面版】-【用户帐号】窗口1 双击来宾GUEST帐户，将其设置为不启用2 双击计算机管理员帐户图标，3双击建立密码结果：开机后，使用密码才能进放操作系统了，别人就进不去了。说明：）如果密码忘记了用光盘可以删掉设置的密码（）后面讲解。 ）如果想取消密码只要将更改密码里的现在账户密码输入后，新的密码项空着，点击右下方的更改密码即可。）尽量设置一个自己常用不容易忘记的密码，长短都无所谓。二添加新的用户目的：为了防止忘记密码，可以增加用户，方法和设置密码差不多。操作：【开始】-【设置】-【控制面版】-【用户帐号】【创建一个新帐户】如图所示输入帐户名创建账户完成后可以给这个新账户设置一个密码，如果忘记了还可以用原来的Administrator账户进入。其实只要自己想防止别人进入 设置一个简单的密码就可以达到目的 别人就打不开了。三锁定无效登录 目的：为了防止他人进入电脑时，反复用猜测密码的方式登录，我们可以锁定无效登录，当密码输入错误达设定次数后，便锁定此账户，在一定时间内不能再以该账户登录。方法：进入控制面板，依次展开管理工具本地安全策略，出现“本地安全设置”窗口在左侧列表中打开账户策略账户锁定策略，在右边双击“账户锁定阀值”，在弹出的设置对话框中输入无效登录的次数（一般设3次为宜）确定后系统自动将锁定时长和计数器清零的时长设置为“30分钟”，我们也可以打开这两个策略修改时间。结果：经过以上设置，就能够阻止那些靠猜密码登录的非法用户了。 四加强密码安全目的：为了让各账户的密码相对安全、不易被破解，我们可设置密码策略，加强密码的安全性，最有效的方法是增加密码的长度和复杂性，并定期更改密码。方法：进入控制面板，依次展开管理工具本地安全策略- 展开账户策略密码策略，打开【密码长度最小值】，设置最少字符数为8位以上，打开【“密码必须符合复杂性要求”】，设置为“已启动”打开【密码最长存留期】“”设置密码能使用的天数。注意，在窗口中可查看上面设置的内容说明【】结果：经过以上三项设置后，凡新建账户或老账户更改密码时，系统会要求使用8位以上同时包含英文字母、数字或标点的密码，并且必须按设定的时间定期更改密码，密码的安全性将大大增强。 说明：如果感觉密码输入太复杂而不方便时，可不设置以上的内容。跳过。五设置账户名保密 （不显示上次登录的名字）目的：默认情况下，在系统登录框中会保留上次登录的用户名，这方便了该用户的登录，但却留下了安全隐患，特别是对管理员账户，暴露账户名称是一件非常危险的事情，因为有不良企图者只需输入密码便可尝试登录，甚至使用专门的工具来攻破此账户。我们可以将上次登录账户隐藏起来，方法：进入控制面板，依次展开管理工具本地安全策略-展开本地策略安全选项，在右边找到“在登录屏幕上不要显示上次登录的用户名”，双击打开此策略，将其设置为“已启用”。结果：进行此项设置后，系统启动或注销后，登录框中用户名为空，必须输入完整有效的用户名和密码才能登录。六、更改Administrator帐户的名字目的：将计算机默认的管理员名修改，以达到安全效果右击“我的电脑”-选择“管理”“本地用户和组”-“用户”双击“Administrator”，打开属性窗口，重命名输入所需要名字即可 七设置用户权限：目的：当多人共同用一台计算机时，可通过组织策略在Windows XP中设置用户权限。 打开控制面版管理工具本地安全策略用户权利指派 双击需要改变的用户权限。 单击“增加”，然后双击想指派给权限的用户帐号。结果：只有管理员才能从网络上访问。计算机，其他用户不能访问。其他的选项权利设置依照上面的方法进行。学生练习1。）设置：“从远端系统强制关机“只能是计算机管理员ADMINISTRATORS2） 设置“从网络访问此计算机”中不要给EVERYONE太高的权利。八、禁止枚举帐号目的：由于某些具有黑客行为的蠕虫病毒可以能过扫描XP系统的指定端口，然后通过共享会话猜测管理系统口令。所以要用户设置本地安全策略，来禁止枚举帐号，从而能抵御此类的入侵行为。打开控制面版管理工具本地策略安全选项；在右边的窗口中，双击“网络访问不允许SAM帐户匿名枚举”，在打开的对话框中中选择中“已启用”；同时还要对“网络访问不允许 SAM帐户和共享的匿名枚举”；选择启用九账户管理为了防止入侵者利用漏洞 录机器，用户要在此禁用“来宾账户”及“重命名系统管理账户名称”，见下图操作：打开控制面版管理工具本地策略安全选项1）在右窗中找到 来宾帐户状态，并双击，在打开的对话框中选择“已停用”。2）在右窗中找开 并双击此面，在打开的对话框中选择“已停用”。十其他设置CD-ROM是系统中重要的外围设备，一般不能让远程访问，所以用户应用在本地安全设置的对话框中启用 只要本地 的用户才能访问CD-ROM功能如图所示十一忘记登录密码如何处理方法一1开机启动Win XP，当运行到“正在启动Windows XP”的提示界面时，按“F8”键调出系统启动选择菜单，选择“带命令行安全模式”；2.当运行停止后，会列出“Administrator”和其它用户的选择菜单(本例的其他用户以xpuser01为例)，选择“Administrator”后回车，进入命令行模式； 3.键入命令“net user xpuser01 1234/ADD”这是更改该用户密码的命令，命令中的“1234”是更改后的新密码，如果键入的用户不存在（xpuser01），那么系统会自动添加这个用户。 4.另外还可以使用“net 1oca1group administrator xpuser01 /ADD”命令把xpuser01这个用户升为超级用户，即可拥有所有权限。 5.最后一步，就是重新启动计算机，在登录窗口中输入刚刚更改的新密码便可成功登陆方法二。如果是