操作系统安全实验1实验报告

操作系统安全实验1

一、实验目的

1. 了解Windows的文件系统

2. 掌握Windows操作系统的访问控制和审核技术

3. 掌握系统安全配置和安全分析方法

4．理解Windows平台下的漏洞扫描原理

5. 掌握系统备份与恢复方法

二、实验环境

PC机，Windows XP操作系统，X-Scan v3.3，Ghost软件一套

三、实验内容

1. 系统安全配置与分析

2. 管理用户帐户

3. 授权管理

4．设置审核策略

5. 使用X-Scan对系统进行安全扫描

6. 系统的网络服务管理

7. 系统备份与恢复

四、实验步骤与结果分析

1、系统安全配置与分析

（1）修改密码策略

首先在“控制面板”中选择“管理工具”——“本地安全设置”——“帐户策略”——“密码策略”如下所示：

双击“密码必须符合复杂性要求”或者右击它选择属性，启用该策略,如下所示：

双击“密码长度最小值”，设置最短密码长度为8个字符，如下所示:

设置“密码最短存留期”，确定用户在可以更改密码之前必须使用该密码的天数,设置为7天。如下所示：

设置“密码最长存留期”，确定系统在要求用户更改密码之前可以使用该密码的天数，设置为30天。

设置“强制密码历史”，防止用户重新使用旧密码，设置为3。如下所示：

设置完成后退出“本地安全设置”，在“运行”中输入命令：gpupdate，系统将刷新刚才修改的安全策略。选择一个普通用户，为该用户重设口令，体会密码加强策略的作用，起初用户名设为love，密码设为520。如下所示：

结合密码复杂性设置原则（大写字母+小写字母+数字）再将密码修改为abc19881211，结果创建成功。

（2）设置帐户锁定策略

对帐户锁定策略进行设置，值为2，然后重新登录系统，使用用户zhengjiaen口令登录系统，体会帐户锁定的作用。如下所示：

（4）系统安全策略分析

在“运行”中输入MMC，打开控制台界面。单击“文件”——“添加/删除管理单元”——“添加”，选择“安全配置和分析”并添加，如下所示：

右击“安全配置与分析”，选择“打开数据库”，可以通过输入数据库名称1，并选择一个安全模板创建一个新的安全策略数据库，利用这个数据库可以分析当前计算机的安全配置与安全策略模板的差异，如下所示：

利用安全策略模板对当前计算机进行配置。配置方法：右击“安全配置与分析”，选择“立即配置计算机”，其作用和第（3）步相同。选择“立即分析计算机”，观察本机的安全配置与安全模板的差别。右侧策略项中带有红色的策略表示与安全模板不一致。如下所示：

2．管理用户帐户

（1）以系统管理员身份登录到Windows XP系统，右击我的电脑，选择“管理”，选择“本地用户和组”—“用户”，出现如下图所示界面。

（2）“操作”菜单—“新用户”，添加用户名为test，命名为testuser，描述为“这是一个供测试用的临时帐户”，密码为fortest。选定“用户下次登录时须更改密码”。如下所示：

（3）通过以下两种方法把用户test放入Power Users组中，

方法一：单击左侧的“组”—双击右侧的“Power User s”，出现Power Users属性界面，单击“添加”—“高级”—“立即查找”，出现选择用户对话框，从用户列表中选择test 用户，可把test加入到Power Users组中。

方法二：单击左侧的“用户”——双击右侧“test”，出现test属性界面，单击“隶属于”——“添加”——“高级”——“立即查找”，出现选择组对话框，从组列表中选择Power Users，可把test加入到Power Users组中。

如下所示：

（4）使用test用户登录系统进行权限测试，可以发现其拥有大部分管理权限，但也有限制。因此，test用户可以运行经过验证的应用程序，也可以运行旧版应用程序

3．授权管理

（1）检查磁盘分区的文件系统

“我的电脑”——右击D盘，查看“属性”，查到D盘为NTFS分区。如下所示：

（2）设置文件权限

默认情况下， Windows xp操作系统在NTFS分区中文件夹的属性窗口看不到“安全”选项。解决方法：“控制面板”—“文件夹选项”—“查看”，去掉“使用简单文件共享”前的钩。在D:\下建立一个文本文件sec.txt，右击——“属性”——“安全”。如下图所示：

单击“高级”按钮，出现如下图所示界面，可对已有的权限项目进行编辑。

单击“添加”——“高级”——“立即查找”，在“选择用户或组”对话框中选择test 用户（当然也可选择某个组，为组授权），单击“确定”。弹出对话框，为test用户授权。修改后的sec.txt文件的安全属性如图：

使用test用户名登录系统，双击sec.txt文件进行编辑，系统会提示权限错误。如下图所示：

4．开启审核策略

（1）设置审核策略

“ 控制面板”—“本地安全策略”—“审核策略”，系统各项审核策略默认情况下没有开

启，对每项进行相应修改，如下所示：

（2）对特定的文件或文件夹的访问进行审核。

例如，系统需要对Administrators组的用户对Windows文件夹写文件进行审核，具体方法如下：右击C：\Windows文件夹——“属性”——“安全”——“高级”——“审核”——“添加”—“高级”—“立即查找”。如下图所示，可以对要审核的事件进行编辑。

（3）使用事件查看器

审核开启后，审核结果记录在事件日志中，可用“事件查看器”查看。查看方法：“控制面板”—“管理工具”—“事件查看器”——“安全性” 。如下所示：

使用管理员帐户在C:\Windows文件夹下新建一个文件，然后查看事件日志中的内容。如下所示：