系统安全设置实验报告

系统安全设置实验报告

项目组长李影娜学号 09040431017

成员李影

娜

专业计算机信息管理班级 09专科

实验项目名称系统安全设置

指导教师及职称赵宇烨助教

开课学期2011 至 2012 学年 1 学期

上课时间 2011 年 10 月21 日

实验项目：系统安全设置

一、摘要

在Windows 2000、Windows XP 或 Windows 2003 操作系统环境下，进行系统安全设置，通过实验深刻了解系统安全设置的方法，强化操作系统安全意识。

二、实验目的及要求

实验目的：

（1）强化操作系统安全意识；

（2）了解 windows 2000/XP/2003 中的安全保护措施；

（3）掌握操作系统中的安全概念；

（4）学会使用windows 2000/XP/2003常用的安全设置方法。

实验要求：

1．学习并理解系统安全设置的方法及步骤；

2．熟悉实验环境，掌握相关操作方法；

3．实现系统安全设置；

4．提交实验报告。

三、实验环境

Pentiuum III、600 MHz以上CPU , 128M 以上内存，10G 以上硬盘，安装 Windows 2000、Windows XP 或Windows 2003 操作系统。

四、实验方案设计

（1）相关知识：

访问控制用一个二元组（控制对象，访问类型）来表示。其中的控制对象表示系统中一切需要进行访问控制

的资源，访问类型是指对于相应的受控对象的访问控制，如：读取、修改、删除等等。

访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

（2）课时安排：

两个课时：第一课时注重操作；第二课时注重写实验报告。

五、实验内容及步骤

1．加密文件与文件夹

打开“资源管理器”→选择要加密的文件或文件夹→“属性”→“常规”→“高级”→选中“加密内容以便保护数据”复选框。

说明：如果操作系统所在的分区是 FAT32 格式，可先将分区 FAT32 格式转换成 NTFS格式。具体方法是先备份该分区的重要文件，然后选择菜单“开始”→“运行”→输人 cmd →“确定”→在命令行窗口中执行convertx:/fs: ntfs命令，其中x是该分区的盘符。

注意：解密的方法，是将‘“加密内容以便保护数据”复选框的选项去掉，即为解密。

加密后的内容对当前用户完全透明，即对当前用户没有加密。对其他用户是加密的状态。

测试加密效果：在控制面板中创建新用户“测试”，点击“开始”菜单，选择“注销”功能切换到“测试”用户，再查看加密的文件。

2.清除默认共享隐患

方法1：打开“控制面板”→“管理工具”→双击“服务”图标→选择“服务器（server）”项→在“启动类型”列表中选择“已禁用”或“手动”项。

说明：系统在默认安装时都会产生默认的共享文件夹，每个盘符也会被自动设置为共享。若不想让远程计算

机用户看到这些共享的驱动器或文件夹，只需在共享驱动器或文件夹的“共享名”后面加上一个“$”（如 c$、d$、ipc$以及admin$）。但如果远程计算机用户知道该机的计算机名、用户名和密码，也能通过网络访问该计算

机。这将导致具有共享驱动器或文件夹的计算机存在着安全隐患。

方法2：如要取消C盘、D盘共享，可以先编写如下批处理文件：

@ echo off

net share C$/del

net share D$/del

保存为 delshare.bat,存放到系统所在文件夹下的

system32\GroupPolicy\User\Scr-ipts\logon目录下。

单击“开始”→“运行”→执行 gpedit msc→组策略编辑器→“计算机配置”→ " Windo * s 设置”→“脚本（登录／注销）”→登录”→“登录属性”→“添加”→“添加脚本”→在“脚本名”栏中输人 delshare.bat(不需要添加参数）→“确定”→重新启动计算机系统。

3.开启 windows 账号安全和密码策略

单击“开始”→“运行”→执行 gpedit.msc程序→“组策略”窗口→“计算机配置”→windows 设置”→“密码策略”→“账户锁定策略”。

说明：开启 Windows 账号安全和密码策略，会使设置的密码更加安全。例如，启用“复位账户锁定计数器”、“账户锁定闭值”、“密码必须符合复杂性要求”，设置“密码长度最小值”、设置“强制密码历史”、“密码最长存留期”时间等。

4.关闭不必要的端口

(l）关闭 139 端口

单击“开始”→“设置”→“网络连接”→选择用来上网的拨号连接→“属性”→取消“ Microsoft 网络

的文件和打印共享”复选框→选中“Internet 协议（ TCP / IP ) ”、“属性”→“高级”→“ WINS”→选择“禁用 TCP/IP上的 NetBIOS”。

说明：Windows 在安装 TCP/IP 协议的同时会默认打开139 端口。 139 端口的开放意味着硬盘可能在网络中被共享，黑客也可以通过网络系统了解目标计算机中的一切情况。

( 2 ) TCP/IP 筛选

进人“网络连接”→选中‘本地连接’的“属性”→“Internet 协议(TCP/IP )”→“高级”→“高级 TCP /IP 设置”→“选项”→“ TCP/IP 筛选”→“属性”→”TC/IP 筛选”→选中“启用 TCP/IP 筛选（所有适配器）”复选框，然后根据需要进行配置即可。

说明：如果只打算浏览网页，则只要开放 TCP 端口 80 即可，所以可以在“ TCP 端口”上方选择“只允许”→“添加”→输入80→“确定”。