实验二--个人主机安全策略设置

1、实验二 主机安全策略设置,实验目的,通过实验掌握Windows账户与密码的安全设 置、文件系统的保护和加密；安全策略与安全模版的使用、审核和日志的启用；建立一个Windows操作系统的基本安全框架。,实验任务,1、组策略、本地安全策略 2、设置WINDOWS系统安全策略 3、设置WINDOWS防火墙安全,1、组策略,组策略是Windows中的一套系统更改和配置管理工具的集合。打开方式：运行gpedit.msc,组策略的概述,组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。 通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定

2、义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。,组策略的概述,组策略对本地计算机可以进行两个方面的设置： 本地计算机配置 本地用户配置。 所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。,组策略的应用实例,1.禁用IE6浏览器的相关设置、菜单项和工具栏 2.防止用户使用“添加或删除程序” 3.禁止访问“控制面板” 4. “任务栏”和“开始

3、”菜单相关选项的删除和禁用 5.禁止访问驱动器 6.关闭移动存储设备自动播放功能 7.阻止访问命令提示符与注册表编辑器 8.运行或禁止指定的Windows应用程序,任务一.禁用IE6浏览器的相关设置、菜单项和工具栏,在IE浏览器的“Internet选项”窗口中，提供了比较全面的设置选项（例如：首页、临时文件夹、安全级别和分级审查等项目），这将极大方便我们网上冲浪。为了不使他人随意改变您对浏览器的设置以及对IE的某些功能限制使用，有必要将你的设置选项进行隐藏或禁止使用。,（1）、禁止修改IE浏览器的设置 选择“用户设置”“管理模板”“Windows组件”“Internet Explorer”“浏

4、览器菜单”分支，将“工具菜单：禁用Internet选项”策略启用即可。 （2）、禁止修改IE浏览器的主页 选择“用户配置”“管理模板”“Windows 组件”“Internet Explorer”分支，然后在右侧窗格中，将“禁用更改主页设置”策略启用即可。,任务2.防止用户使用“添加或删除程序”,“本地计算机策略”“用户配置”“管理模板”“控制面板”分支的右侧窗格中启用“删除添加/删除程序程序”策略选项。,任务3.禁止访问“控制面板”,展开“本地计算机策略”“用户配置”“管理模板”“控制面板”分支，然后将右侧窗格的“禁止访问控制面板”策略启用即可。,任务4. “任务栏”和“开始”菜单相关选项的

5、删除和禁用,在“本地计算机策略”中，逐级展开“用户配置”“管理模板”“任务栏和开始菜单”分支，在右侧窗格中，提供了 “任务栏”和“开始菜单”的有关策略。,任务5.禁止访问驱动器,在“本地计算机策略”中，逐级展开“用户配置”“管理模板”“Windows组件” “Windows资源管理器” “防止从我的电脑访问驱动器”,任务6.关闭移动存储设备自动播放功能,计算机配置”“管理模板”“系统”，双击“关闭自动播放”，在“设置”中选“已启用”，选“所有文件”，确定即可。,任务7.阻止访问命令提示符与注册表编辑器,用户配置”“管理模板”“系统”； 阻止访问命令提示符与注册表编辑器,任务8.运行或禁止指定的

6、Windows应用程序,用户配置”“管理模板”“系统”； 运行或禁止指定的Windows应用程序,2、本地安全策略,1、本地安全策略控制的对象 2、将策略应用于已连接到某个域的计算机 3、启动本地安全策略 单击“控制面板管理工具本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。,任务一：账户和口令的安全设置,删除不再使用的账户，禁用guest账户。 检查和删除不必要的账户。 guest账户的禁用 启用账户策略。 开机时设置为“不自动显示上次登录” 禁止枚举帐户名,任务二：用加密软件EPS加密硬盘数据,打开磁盘

7、格式为NTFS的磁盘，选择要进行加密的文件。 打开控制面板中的“用户账户”，创建一个名为USER的新用户，且不要创建为计算机管理员用户。 点击“开始”，选择“注销”，然后点击“切换用户”，登录刚新建的USER用户。 在“C:text”目录下，双击“新建文本文档”，发现无法打开该文件，说明已经加密。,任务三：启用审核与日志查看,打开审核策略 查看事件日志,任务四：启用安全策略与安全模板,启用安全模板 创建安全模板,3 、windows 防火墙功能,防火墙 firewall 就是一个位于计算机和它所连接的网络之间的软/硬件。它负责检查来自 Internet 或网络的信息。,为了更好的进行网络安全管

8、理，windows xp系统特意为用户提供了防火墙功能。如果能够巧妙地使用该功能。就可以根据实际需要允许或拒绝网络信息通过，从而达到防范攻击、保护网络安全的目的。,任务一： windows xp防火墙配置,在【控制面板】窗口中双击【windows 防火墙】图标，打开【windows 防火墙】对话框 选择【例外】选项卡，在其中即可阻止除了选定程序和服务之外的传入网络连接 在windows防火墙中，可以重新设置指定的服务和程序的属性，以逃避攻击。在【例外】选项卡下【程序和服务】列表中勾选【远程桌面】复选框，单击【编辑】按钮，打开【编辑服务】对话框，在其中即可看到【远程桌面】服务的当前属性。 单击【更改范围】按钮，打开【更改范围】对话框。在其中选择【仅我的网络】单选按钮，这样同一个子网上的计算机可以与此计算机上的程序连接，但拒绝远程网络的通信,利用windows系统自带防火墙的【安全日记记录】功能，可以创建用于观察计算机成功的数据连接和被丢弃的数据包。以便分析计算机安全状况。在【windows 防火墙】对话框中选择【高级】选项卡，在其中即可看到【安全日志记录】功能。 在“安全日志记录”栏目中单击【设置】按钮，打开【日志设置】对话框。勾选【记录被丢弃的数据包】复选