操作系统安全实验报告

CENTRAL SOUTH UNIVERSITY

操作系统安全实验报告

学生姓名

班级学号

指导教师

设计时间

《操作系统安全》实验一

……Windows系统安全设置实验

一、实验目的

1、了解Windows操作系统的安全性

2、熟悉Windows操作系统的安全设置

3、熟悉MBSA的使用

二、实验要求

1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。

2、采用MBSA测试系统的安全性，并分析原因。

3、比较Windows系统的安全设置和Linux系统安全设置的异同。

三、实验内容人

1、配置本地安全设置，完成以下内容：

（1）账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）

A．账户锁定策略：

账户锁定阈值：指用户输入几次错误的密码后将用户账户锁定，默认为0，代表不锁定

账户锁定时间：指当用户账户被锁定后经过多长时间会自动解锁，0表示只有管理员才能受控解锁

复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器复位为0.

B.密码策略

（2）账户和口令的安全设置：检查和删除不必要的账户（User用户、Duplicate User用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。

A.创建用户：

控制面板----管理工具----计算机管理-----本地用户和组-----用户---创建用户B.修改用户权限：

控制面板---用户账户---管理其他账户---更改账户类型

C.禁止枚举账号：

禁止原因：枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口，然后通过共享会话猜测管理员系统密码，因此需要禁止枚举账号

方法：本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享”

D．创建陷阱用户：

原因：本来用户是权限是非管理员，让黑客认为他是管理员，取名

Administrator，是因为一般的管理员用户默认名为Administrator

方法：右击我的电脑→管理→本地用户和组→用户→

1、将右侧“管理计算机（域）的内置账户”默认的是administrator,改名为其

他名字，但不要以admin、root等命名。

2、在右侧空白处右击→新用户→在弹出的对话框中用户名：admin或

administrator，密码自设

设置用户权限：

运行组策略编辑器程序，在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。

E．禁止来宾账户

F．不让系统显示上次登录的用户名：

组策略—计算机配置—windows配置—安全配置—本地策略—安全选项—双击交互式登陆：不显示上次的用户名—交互式登陆：不显示上次的用户名属性—单击已选用—确定

（3）设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等

方法：控制面板---管理工具---本地安全策略---本地策略—审核策略

（4）设置IP安全策略

作用：IP安全策略是起到IP地址的安全保护设置作用的，可以防止比尔ping自己的电脑，关闭一些危险的端口。（PING (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序）

方法：

管理工具—本地安全策略—右键ip安全策略—创建IP安全策略—单击

下一步—3389过滤—默认下一步—确定后—管理IP筛选器操作—建立

筛选器—添加—输入3389筛选器1--单击添加—下一步—任何ip地址—

下一步—目的地址选我的Ip地址—下一步—选择TCP的IP协议—设置

从任何端都到本机的某一端口—下一步--管理筛选器操作—添加—下一

步—取名—下一步—阻止—下一步—完成筛选器建立

接着建立IP安全规则—双击建立的"3389过滤”—添加—下一步—选择

是—到下图

选择3389过滤器1—阻止3389—下一步—完成安全规则建立—IP安全策略—右键3389过滤—单击之指派—开始应用IP策略—所以连接3389的TCP请求都被阻止

建立允许管理员登陆的策略：

打开上图—重复建立筛选器步骤—建立3389筛选器2的筛选器（其他设置与前面一样，选择源地址时变为“一个特定的IP地址“该地址是管理员工作站的IP）--重复建筛选器操作的步骤--建立名为3389的操作，在选择动作时使用”许可“

（5）其他设置：公钥策略、软件限制策略等

公钥策略：可以让电脑自动向企业证书颁发机构提交证书申请并安装办法的证书，这样有助于电脑获得在组织内执行公钥加密操作。

软件限制策略：简单而言，就是设置哪些软件可用哪些不可用，默认情况是关闭的。

设置某软件不可用：

右键软件限制策略—建立新的策略—单击其他规则—选新路径规则—单击浏览—选择相应程序—安全级别中选不允许—单击确定

2、Windows系统注册表的配置

（1）找到用户安全设置的键值、SAM设置的键值