实验六：网络操作系统的安全配置

项目编号项目名称学时课程名称选用教材实训目的一、 案例背景作为上网的最基本的平台，网络操作系统的安全性始终是关注的焦点，如何打造一个“金刚不坏”之身呢？在本任务中将展示通过配置如何保护你的系统安全，本实验主要以微软的系统为例，因为目前终端用户大多都是微软的用户。二、 案例环境一台2000虚拟机服务器系统，一台XP虚拟机系统进行测试用，具体拓扑见下：三、案例步骤1、操作系统的初级配置1.1在计算机管理的用户里面把 Guest 帐号停用，任何时候都不允许 Guest 帐号登陆系统。为 了保险起见，最好给 Guest 加一个复杂的密码，可以打开记事本，在里面输入一串包含特 殊字符,数字，字母的长字符串。用它作为 Guest 帐号的密码，并且修改 Guest 帐号的属性， 设置拒绝远程访问1.2去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户1.3创建帐号 abc，其中 abc 是普通用户帐号，管理员平时使用 abc 登录系统，在必要的时候使用管理员帐号登录，帐号的密码强度要足够高1.4将 Administrator 帐号改名，比如改为 tobor1.5创建一个 Administrator 的帐号，赋予该帐号 guests 组权限，并且给这个帐号设置一个超复杂的密码2、操作系统的中级配置2.1尽量关闭不必要的服务，比如 IIS、Terminal Service 等，如果不清楚应该关闭哪些服务的话，可以按照下表来关闭服务2.2设置本机开放的端口和服务，在 IP 地址设置窗口中点击按钮“高级”在出现的对话框中选择选项卡“选项”，选中“TCP/IP 筛选”，点击按钮“属性”一台 Web 服务器只允许 TCP 的 80 端口通过就可以了。TCP/IP 筛选器是 Windows 自带的防火墙，功能比较强大，可以替代防火墙的部分功能。（可以通过开启web服务验证屏蔽80端口的设置）2.3在“开始”-“程序”-“管理工具”中打开“本地安全策略”，首先按下表设置密码策 略2.4按照下表设置帐户锁定策略2.5按照下表设置审核策略2.6修改注册表禁止显示上次登录名，在 HKEY_LOCAL_MACHINE 主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName ， 将 键 值改成 12.7修改注册表来禁止建立空连接。在 HKEY_LOCAL_MACHINE 主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成“1”即可配置完，可以在xp系统进行验证，查看是否能进行空连接3、操作系统的的高级配置3.1打开“管理工具”-“计算机管理”-“共享文件夹”-“共享”，关闭默认共享3.2打开“控制面板”-“系统属性”-“高级”-“启动和故障恢复”，把写入调试信息改成无3.3黑客利用 TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过 Ping 指令能判断目标主机类型。Ping 的用处是检测目标主机是否连通。许多入侵者首先会 Ping 一下主机，因为攻击某一台计算机需要根据对方的操作系统，是 Windows 还是 Unix。如过 TTL 值为 128 就可以认为你的系统为 Windows 2000 下表是不同的操作系统对应的 TTL 值我 们 可 以 修 改 操 作 系 统 的 TTL 值 ， 比 如 将 操 作 系 统 的 TTL 值 改 为 111 ， 修 改 主 键HKEY_LOCAL_MACHINE 的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项在键的名称中输入“d