Windows操作系统安全(一)

一、实验项目名称
Windows操作系统安全（一）
二、实验目的
通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。

根据Windows操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。

三、实验内容与实验步骤
(1)．账户与密码的安全设置
(2)．启用安全策略与安全模板
(3)．用加密软件EFS加密硬盘数据
(4)．NTFS文件系统的权限设置和管理
四、实验环境
1台安装Windows2000/XP操作系统的计算机，磁盘格式配置为NTFS，预装MBSA(Microsoft Baseline Security Analyzer)工具。

五、实验过程与分析
任务一账户和密码的安全设置
1．删除不再使用的账户，禁用guest账户
⑴检查和删除不必要的账户，用户列表如下
⑵禁用guest账户
1）操作前用guest用户登录，可以登录，表示guest用户可以用。

在其他用户登录下禁止guest用户的使用。

2）之后再次注销，试图登陆guest，发现无法登陆，证明被禁止了。

２．启用账户策略
⑴设置密码策略
1）对密码策略设置如图
2）对长度最小值的改变进行测试：设置只有一个字符的密码，不成功就代表了长度最小值策略设置成功。

⑵设置账户锁定策略
1）对账户锁定策略设置如图
2）对账户锁定阀值进行测试：
连续输入三次错误密码，账户被关闭。

证明账户锁定阀值为3。

2）对账户锁定时间进行测试
两分钟之后账户又重新开放，所以账户锁定时间可以为2。

３．开机时设置为“不自动显示上次登陆账户”
设置后注销重新登录，发现账户不显示。

４．禁止枚举账户名
任务二启用安全策略与安全模块
1．启用安全模板
（1）打开系统控制台，为控制台添加安全膜拜和安全配置分析项，并且查看模板配置信息
（2）建立安全数据库，选择一个安全模板将其导入。

（3）按照模板，选择“立即分析计算机”。

分析结果如下。

（4）记录当前安全配置，以密码策略为例。

（5）选择“立即配置计算机”，对计算机配置。

之后再对计算机分析，可以看到计算机设置发生了改变，密码长度最小值，密码最长保存期两个不符合模板的项按照模板进行了配置。

2．建安全模板
（1）打开控制台，添加“安全模板”、“安全设置和分析”，查看其相关配置。

建立安全数据库，导入安全模板。

（2）新加自设模板mytem，并且定义安全策略。

如图是对密码长度最小值设置。

任务三利用加密软件EFS加密硬盘数据
（1）建立名为MYUSER的新用户。

（2）打开硬盘格式为NTFS的磁盘，选择要进行加密的文件夹在属性窗口对其设置将其加密。

（3）加密完成后，保存当前用户下的文件注销当前用户,以刚才新建的MYUSER用户登陆系统，再次访问加密文件夹，发现其拒绝访问。

（4）以原来加密文件夹的管理员用户登陆系统，打开系统控制台添加证书，为当前的加密文件系统EFS设置证书。

在控制台窗口左侧的目录树中选择“证书”“个人
“证书”。

可以看到用于加密文件系统的证书显示在右侧的窗口中。

双击此证
书，单击详细信息，则可以看到此证书包含的详细信息。

（5）选中用于EFS的证书,导出证书，并设置保护私钥的密码，然后将导出的证书文件保存。

（6）以新建的MYUSER登陆系统导入该证书。

（7）再次双击加密文件击中的文件，发现可以进行访问。

任务四 NTFS文件系统的权限设置和管理
1.为学生创建一个私有的用户文件夹：在NTFS磁盘分区上为用户stu01建立一个用户文
件夹StuData01,用户文件夹只允许用户本人完全控制，用户tutor读取访问，其他人拒绝访问。

用其他用户访问，无法访问。

2.创建一个学生组公用文件夹
为学生组Students在windows 2000服务器的NTFS磁盘分区上建立一个公用文件夹，该文件夹允许students成员读取及运行，tutor完全控制，Administrator只有列出文件夹，创建文件夹，删除文件夹和文件的权限。

并且此文件夹对Administrator的NTFS权限设置不传播到子文件夹。

3.文件夹共享
（1）创建一个文件夹share共享它。

（2）为这个文件夹分配共享权限，安全权限
（3）从网络上访问这个文件夹。

尝试用不同账号访问权限
假设：share共享权限是everyone完全控制，完全权限是everyone只读，那么用户从网络上的访问权限是什么？
回答：只读权限
假设：share共享权限是everyone只读，完全权限是everyone完全控制，那么用户从网络上的访问权限是什么？
回答:只读权限
六、实验结果总结
1．如何检查系统是否允许guest账户登陆？
回答：打开控制面板中的管理工具，选择计算机管理中本地用户和组，打开用户，若
guest用户前有叉号，则已经被禁用。

2.如果一个用户（非管理员）创建一个文件夹，内有文件，他设置安全权限，禁止除他以外的用户访问，请问管理员有权限访问吗？可以的话，如何操作？
回答：有的，管理员可以更改文件的所有者，可以把所有者改成自己，就可以访问了。

总结：本实验内容包括对于windows账户密码的安全进行设置，启用了安全策略和安全模板，用加密软件EFS加密硬盘数据，设置和管理NTFS文件系统四个方面。

通过以上的手段，建立了windows操作系统的基本安全框架。