《网络安全等级保护原理与实践》 实训手册 安全计算环境-实验1：操作系统加固

实验单元1:操作系统加固

1.1实训说明

1.1.1实训目的

1.掌握Windows系统账号口令安全设置方法。

2.掌握Linux系统中保护root账号的方法。

1.1.2背景知识

1.J’解windows系统基本知识。

2.了解Linux系统基础命令。

3.了解操作系统安全风险。

1.1.3实习时长

4个学时

1.2实训环境

实验室学员电脑，能连通实验平台。

【登录实验平台和云主机】

学员使用实验室电脑，在浏览器输入http:〃x.x.x.x,x.x.x.x为实验平台辞录地址,进入

登录界面，输入学生账号、密码和验证码。

图1.1-1登录

图1.1-2登录成功

启动云主机，进入控制界面。

$WindowsServer2008

-Standard

图1.1-3登录云平台

输入密码：admin@123»进入平台系统。

此案例中，使用的是组2的IP地址作为案例，拓扑如下:

DMZ

50

图1.1-4拓扑

1.3实训内容

实验目标：掌握Windows系统账号口令安全设置方法。

1.3.1实训准备

确保实验室PC与串口服务器和实验平台服务器网络连通性。

确保windows2008开启。

确保kali能够访问到linux系统。

1.3.2实训步骤

打开实验环境：

一、Windows系统账号口令安全

1、以管理员身份登录Windows操作系统。

2、将administrator•用户'重命名'为其他名称。

进入‘控制面板'・>'管理工具'・>'计算机管理'，在‘系统工具'・>'本地用户和

组'中查看系统帐户信息，在"Administrator,处右击,选择'重命名',重命名为'xiaoming'。

步骤如下所示：

士计算机管理体始）名称I全名I相述

R的系线工具4Ad>inistr管理计真机Q鲂的内SS帐户

Ef-1

国O仔否计先推序供来宾访i可计算机或访1前妣

®i。事件查看罟*-cwqiguoqiyonghu过期袜户更多操作►

H区共享文件奖

豆共豆4江Ungg

3J会话

Zil打开文件

日叁本地用户和组

口用户

□组

3©性能

名设备管理署

臼昌:存储

N联盘隹理

⑷7服务和应用程序

氐

2J

CH❷fA田西由1528E

图1.1-5查看系统帐户

以计算机管理,|l5>|x|

文件优）掾作Q）直看9沙助®

♦，|力质I*U*I口近一

去计算机管理体地）

£济系统工具

F0任务计划程序

t回聿件查看器

F3共享文件夹

点共享

91会话

妹打开文件

E空本地用户和组

2J用户

7蛆

叵金庙能

自设皆宜理粉

巳”存储

名碗盘宜理

■:■■TCaoAa

图1.1-6重命名*Administrator'

i'T»p

I全名］不

<.•••>CD

■Jxiaoming管理计算机。或）的内置帐户

，.Guest供来宾访问计算机或访问域的

Saoqiguoqiyonghu过期帐户

zhangsan

图1.1-7重命名为'xiaoming'

3、新建一个名为administrator的普通用户

在空白处右击，选择'新用户（N）',新建'administrator'用户，并点击‘创建’，查

看用户，多一个普通的administrator用户。步骤如下所示：

|展计茸机管理业2s

文件（?）操作a）gs（y）帮助oo

伞吟I2扃1昌岛1口圈__________________________________________________________________________________________________

•11；4■汩川~1田攵a]4注1玲/14£Ar

5n系统工具管理计菖机（i中的内置俅户

用户

B。任务计划程序表Gtest演泰宣诒司咨宣舷话询孩乐

：+g]事件宜看器Aooqiguoqiyonghu过期帐户更多操作

日标共享文件夹4rcot$

贰其享4xLangsinrhan(san

品会活

共打开文件

E企本地用户和组

二用户

组

S.性能

金没骨管理器

二七存储

M磁盘管理

B二服务和应用程序

±12J

事IJc碑O7叫二❷?去-小15:32K

图1.1-8选择’新用户(N)'

图1.1-9进入‘新用户(N)'

图1.1-10新建"administrator,用户

1名称1型名

1administr...administrator

Guest

guoqiguoqiyonghu过期帐户

root$

xiaoming管理计算机6曲的内置帐户

zhangsanzhangsan

图1.1-11普通的administrator用户

4、使用命令查看这些用户的SID

进入“开始一＞运行一＞cmd”，输入uwmicuseraccountgetsid,name"。

图1.1-12查看SID

5、删除过期账户guoqi

在tguoqi"用户处右击，选择，删除'，点击'是'后，删除成功。

]CM|倒❷/舸（fa匹47・

(a)右击'guoqi'删除

本地用户和组凶

每

户

户密

户名

外迁

个唯

藕

哥

删场

户

帐

£用

H一

-

同

聂

^也

且

还

户

除

孟

真，

用

无

访问

，

要

一B

_

在

一

导

醺

当

凿

可

U刖

一

。

名

向

A帮^T

有

。

确定要删除用户guoqi吗？

|是（Y）|是3）|

(b)点击'是'

名称I全名I描述____________________

4administr...管理计算机6或)的内置怵户

Guest供来宾访问计算机或访问域f

4root$

）zhangsanzhangsan

(c)删除成功

图1.1-13删除过期账户

6、进入‘控制面板'。'管理工具''本地安全策略''安全设置''账户策略’，

在‘账户策略'->'密码策略'中启用‘口令复杂度'，设置'最长有效期’为90天、'历

史记录策略'为5个，取消“密码永不过期”前的对勾，并点击“确认”。

注意：组策略中的“口令最长有效期〃优先级低「用户和组管理器中的"口令永不过期”,

只有取消口令永不过期，组策略中设置的口令最长有效期才会生效。

一开始I]A曰曰睥IIIT]CH鱼❷？£a匐->539■

图1.1-14选择'账户策咯'

图1.1-15设置'密码策略’

⑪计算机管理-lalxi

文件G）操作㈤置看G）帮助领

xiaoain^Ktt

♦畛I力画|。国昌q凶

营计算机管理体地）

S皿系统工具

>.Q"（锈计端呈序

E心事件查看春

S豆共享文什夫

三>本地用户和组

;用户

23组

田领性能

a设备管理者

日皆存储

身强盘管理

3g,服务和应用程序

I一-I取消I应用二I犁助I

M।Zl

I-I

c开始Ij&后cillaimjM副，|哥久能p舸叱⑸45厘

图1.1-16取消“密码永不过期”

7、‘控制面板''管理工具''本地安全策略’'安全设置''账户策略’

'账户锁定策略‘，在'账户锁定策略’中。设置'账户锁定阈值’为3次无效登录，'账

户锁定时间'为30分钟。步骤如下图所示：

图1.1-17选择'账户锁定策略’

图1.1-18设置'账户锁定策略’

8、使用普通账户登录进行账户锁定验证

尝试登录zhangsan,密码123（错误密码）,当输入第四次时，账户将被锁定。步骤如

下：

图1.L19使用错误密码登录'zhangsan'四次

图1.1-20账户己被锁定

二、配置linux系统IP

登录linux系统，用户名/密码：root/123456。点击“活动”，点击命令行:

活动星期一02：47

Q输入以搜索…

RedHat

EnterpriseLinux

图1.1-21点击命令行窗口

打开终端命令行：

[root@RHEL8-]#|

I

图1.1-22打开终端

输入：vi/etc/sysconfig/network-scnipts/ifcfg-eth0

打开文件后，按i健，进入编辑模式，对网卡配置修改如下：

文件(F)编辑(E)查看(V)搜索(S)终端(T)帮助(H)

IjYPE二Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=none

DEFROUTE=yes

IPV4_FAILURE.FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFR0UTE=yes

IPV6.FAILURE.FATAL=no

IPV6_ADDR_GEN_MODE=stable-privacy

NAME=ens3

抑1873614214Ude98bo在共331db峭3

DEVICE=ens3

ONBOOT=yes

IPADDR=10.1.202.150

PREFIX=24

GATEWAY=10.1.202.1

"/etc/svsconfiq/network-scripts/ifcfq-ens3"18L.327C

图1.1-23修改网卡配置

完成编辑后，按ESC健，输入:wq,按回车健，保存并退出文件。

输入如下命令重启网卡：

/etc/init.d/networkrestart

三、Linux系统RHEL8限制root账号

1、以root用户身份登录RHEL8,打开终端，进入页面。输入用户名/密码：root/123456

进行登录。

图1.1-24登录

2、输入命令*cat/etc/ssh/sshd_config,打开并看看/etc/ssh/sshd_config,查看参数

4PermitRootLogin1的值是否为‘no'。若为'yes',输入命令进行编辑'vim

/etc/ssh/sshd_config,进行编辑,找至I]PermitRootLogin参数，按'a'进入输入模式，将‘yes'

改为‘n。'。修改成功后按'Esc'退出编辑模式，输入'：wq'保存文件并退出。再次输

入命令"cat/etc/ssh/sshd_config,查看，确保PermitRootLogin参数的值为no

root@RHEL8>x

文件(F)纲辑(E)查看(V)搜索(S)终端(T)帮助(H)

#Ciphersandkeying

#RekeyLimitdefaultnone

*System-wideCryptopolicy:

#Thissystemisfollowingsystem-widecryptopolicy.Thechangesto

#Ciphers,MACS,KexAlQoritmsandGSSAPIKexAlgorithsmwillnothaveany

#effecthere.Theywillbeoverriddenbycommand-lineoptionspassedon

#theserverstartup.

#Tooptout,uncommentalinewithredefinitionofCRYPTO.POLICY=

#variablein/etc/sysconfig/sshdtooverwritethepolicy.

#Formoreinformation,seemanualpageforupdate-crypto-pol.icies(8).

#Logging

»SyslogFacilityAUTHT

SyslogFacilityAUTHPRIV

#LogLevelINFO

#Authentication:

PermitRootLoginyes|

•STnctMoaesyes

IMaxAuthTries6

#MaxSessions10

#PubkeyAuthenticationyes

图1.1-25PermitRootLogin参数为*yes'

root@RHEL8:-

文件(F)编辑(E)查看(V)搜索(S)终端(T)帮助(H)

SyslogFacilityAUTHPRIV

»LogLevelINFO

#Authentication:

PermitRootLoginno

biriciMoaesyes

#MaxAuthTries6

#MaxSessions10

#PubkeyAuthenticationyes

#Thedefaultistocheckboth.ssh/authorized.keysand.ssh/authorized_keys2

#butthisisoverriddensoinstallationswillonlycheck.ssh/authorized_keys

AuthorizedKeysFilessh/authorized_keys

#AuthorizedPrincipalsFilenone

#AuthorizedKeysCommandnone

XAuthorizedKeysCommandUsernobody

#Forthistoworkyouwillalsoneedhostkeysifr/etc/ssh/ssh.known.hosts

#HostbasedAuthenticationno,

#Changetoyesifyoudon*ttrust*/.ssh/known_hostsfor

gHostbasedAuthentication

：wq|

图1.1-26修改PermitRootLogin参数为4no

root@RHEL8>

文件(F)编辑(E)查看(V)搜索(S)终端⑴帮助(H)

#Ciphers,MACS,KexAlgoritmsandGSSAPIKexAlgorithsmwillnothaveany

#effecthere.Theywillbeoverriddenbycommand-lineoptionspassedon

#theserverstartup.

#Tooptout,uncommentalinewithredefinitionofCRYPTO.POLICY=

#variablein/etc/sysconfig/sshdtooverwritethepolicy.

#Formoreinformation,seemanualpageforupdate-crypto-policies(8).

#Logging

#SyslogFacilityAUTH

SyslogFacilityAUTHPRIV

#LogLevelINFO

I

#Authentication:

InninArATATimp7m

ermitRootLoginno

STnctnoaesyes

IMaxAuthTries6

#MaxSessions10

MPubkeyAuthenticationyes

#Thedefaultistocheckboth.ssh/authorized_keysand.ssh/authorized_keys2

#butthisisoverriddensoinstallationswillonlycheck.ssh/authorized.keys

AuthorizedKeysFile.ssh/authorized.keys

#AuthorizedPrincipalsFilenone

图1.1-27确保PermitRootLogin参数为‘no'

3、输入命令‘more/etc/group|grepwheel'检查whee组内成员名单。

root@RHEL8:«

文件(F)编辑(E)查看(V)搜索(S)终端(T)帮助(H)

[root0RHEL8-]#more/etc/group|grepwheel

wheel:x:10:venus

(root@RHEL8«]#|

图1.1-28wheel组内成员名单

4、输入命令'vim/etc/pam.d/su'修改/etc/pam.d/su配置，按七’进入输入模式，

将"#authrequiredpam_wheel.souse_uid'取消注释'#：输入命令'：wq'保存并退出。