系統(tǒng)安全實(shí)驗(yàn)1報(bào)告

1、實(shí)驗(yàn)一 windows系統(tǒng)安全設(shè)置姓名：學(xué)號(hào)專業(yè):班級(jí)指導(dǎo)教師：開(kāi)課學(xué)期2013至2014學(xué)年 學(xué)期上課時(shí)間2014 年 4月 21 日一、實(shí)驗(yàn)?zāi)康腳木實(shí)驗(yàn)以windows xp操作系統(tǒng)為例，通過(guò)對(duì)以下3個(gè)方面的設(shè)置來(lái)提高系統(tǒng)的安全性: 用戶賬戶和密碼的安全設(shè)置；數(shù)據(jù)文件的安全設(shè)置；網(wǎng)絡(luò)服務(wù)的安全設(shè)置。二、實(shí)驗(yàn)內(nèi)容1）用戶賬戶和密碼的安全設(shè)置。2）數(shù)據(jù)文件的安全設(shè)置。3）網(wǎng)絡(luò)服務(wù)的安全設(shè)置。三、實(shí)驗(yàn)步驟（1）、賬戶和密碼的安全設(shè)置1、刪除不再使用的賬戶，禁用guest賬戶（1）檢查和刪除不必要的賬戶右鍵單擊“開(kāi)始”按鈕,打開(kāi)“資源管理器”,選擇“控制面板”中的“用戶和密碼” 項(xiàng)；在彈出的對(duì)話框

2、中中列出了系統(tǒng)的所有賬八。確認(rèn)各賬戶是否仍在使用，刪除其中不 用的賬戶。（2）禁用guest賬戶打開(kāi)“控制面板”中的“管理工具”，選中“計(jì)算機(jī)管理”中“本地用戶和組”，打開(kāi) “川戶”,右鍵單擊guest賬戶,在彈出的對(duì)話框中選擇“屬性”,在彈出的對(duì)話框中“帳 戶已停用” 一欄前打勾。確定后，觀察guest前的圖標(biāo)變化，并再次試用guest用戶登陸，記錄顯示的信息。2、啟用賬戶策略設(shè)置密碼策略打開(kāi)“控制面板”屮的“管理工具”，在“木地安全策略”屮選擇“賬戶策略”；雙擊 “密碼策略”，在右窗口中，雙擊其小每一項(xiàng)，可按照需要改變密碼特性的設(shè)置。根據(jù)選擇 的安全策略，嘗試對(duì)用戶的密碼進(jìn)行修改以驗(yàn)證策略

3、是否設(shè)置成功，記錄下密碼策略和觀察 到的實(shí)驗(yàn)結(jié)果。（2）設(shè)證賬戶鎖定策略打開(kāi)“控制而板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”。雙擊 “帳戶鎖定策略”。在右窗口中雙擊“賬戶鎖定閥值”，在彈出的對(duì)話框屮設(shè)置賬戶被鎖定z前經(jīng)過(guò)的無(wú)效 背陸次數(shù)（如3次），以便防范攻擊者利用管理員身份登陸后無(wú)限次的獵測(cè)賬八的密碼。在右窗口屮雙擊“賬戶鎖定時(shí)間”，在彈出的對(duì)話椎中設(shè)逍賬戶被鎖定的時(shí)間（如20 min ）o重啟計(jì)算機(jī)，進(jìn)行無(wú)效的登陸（如密碼錯(cuò)誤），當(dāng)次數(shù)超過(guò)3次時(shí)，記錄系統(tǒng)鎖定該賬 戶的時(shí)間，并與先前對(duì)“賬戶鎖定時(shí)間”項(xiàng)的設(shè)置進(jìn)行對(duì)比。3、禁止枚舉賬戶名右鍵單擊“開(kāi)始”按鈕，打開(kāi)“資源管理

4、器”，選中“控制而板”，打開(kāi)“管理工具” 選項(xiàng)，雙擊“木地安全策略”項(xiàng)，選擇“木地策略”屮的“安全選項(xiàng)”，并在彈岀的窗口 右側(cè)列表小選擇“對(duì)匿名連接的額外限制”項(xiàng)，在“本地策略設(shè)置”屮選樣“不允許枚舉 sam賬戶和共享”。此外，在“安全選項(xiàng)”中還冇多項(xiàng)增強(qiáng)系統(tǒng)安全的選項(xiàng)，請(qǐng)同學(xué)們自行查看。（2）數(shù)據(jù)文件的安全設(shè)置1. 加密文件與文件夾打開(kāi)“資源管理器” f選擇要加密的文件或文件夾f “屬性” f “常規(guī)” f “高級(jí)” f 選屮“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框。說(shuō)明：如果操作系統(tǒng)所在的分區(qū)是fat32格式，可先將分區(qū)fat32格式轉(zhuǎn)換成ntfs 格式。具體方法是先備份該分區(qū)的重要文件，然后選擇菜

5、單“開(kāi)始” 一 “運(yùn)行” 一輸人cmd f "確定”一在命令行窗口屮執(zhí)行convertx:/fs: ntfs命令，其中x是該分區(qū)的盤符。注意：解密的方法，是將'“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框的選項(xiàng)去掉，即為解密。 加密后的內(nèi)容對(duì)當(dāng)前用戶完全透明，即對(duì)當(dāng)前用戶沒(méi)有加密。對(duì)其他用戶是加密的狀態(tài)。 測(cè)試加密效果：在控制血板中創(chuàng)建新用戶“測(cè)試”，點(diǎn)擊“開(kāi)始”菜單，選擇“注銷” 功能切換到“測(cè)試”用戶，再查看加密的文件。2. 清除默認(rèn)共享隱患打開(kāi)“控制面板” 一 “管理工具”一雙擊“服務(wù)”圖標(biāo)一選擇“服務(wù)器（server）”項(xiàng) 在“啟動(dòng)類型”列表中選擇“已禁用”或“手動(dòng)”項(xiàng)。說(shuō)明：系統(tǒng)

6、在默認(rèn)安裝時(shí)都會(huì)產(chǎn)生默認(rèn)的共享文件夾,每個(gè)盤符也會(huì)被自動(dòng)設(shè)置為共享。 若不想讓遠(yuǎn)程計(jì)算機(jī)川戶看到這些共亨的驅(qū)動(dòng)器或文件夾，只需在共亨驅(qū)動(dòng)器或文件夾的 “共享名”后面加上一個(gè)“$”（如c$、d$、ipc$以及admin$）o但如果遠(yuǎn)程計(jì)算機(jī)用戶知 道該機(jī)的計(jì)算機(jī)名、用戶名和密碼，也能通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)。這將導(dǎo)致具冇共享驅(qū)動(dòng)器 或文件夾的計(jì)算機(jī)存在著安全隱患。3. 開(kāi)啟windows賬號(hào)安全和密碼策略單擊“開(kāi)始”一“運(yùn)行”一執(zhí)行g(shù)pedit.msc程序一“組策略”窗口一 “計(jì)算機(jī)配置” -windows設(shè)置”一“密碼策略”一“賬戶鎖定策略”。說(shuō)明：開(kāi)啟windows賬號(hào)安全和密碼策略，會(huì)使設(shè)置的

7、密碼更加安全。例如，啟用“復(fù) 位賬戶鎖定計(jì)數(shù)器”、“賬戶鎖定閉值”、“密碼必須符合復(fù)雜性耍求”，設(shè)置“密碼長(zhǎng)度最小 值”、設(shè)置“強(qiáng)制密碼歷史”、“密碼最長(zhǎng)存留期”時(shí)間等。4 .關(guān)閉不必耍的端口（1）關(guān)閉139端口單擊“開(kāi)始”一“設(shè)置”一“網(wǎng)絡(luò)連接”"選擇用來(lái)上網(wǎng)的撥號(hào)連接"“屬性” 一取消 “ microsoft網(wǎng)絡(luò)的文件和打印共享”復(fù)選框選中“internet協(xié)議（tcp / ip ） ”、 “屬性” 一 “高級(jí)” 一“ wins"-選擇“禁用tcp/tp上的netbios”。說(shuō)明：windows在安裝tcp/ip協(xié)議的同時(shí)會(huì)默認(rèn)打開(kāi)139端口。139端口的開(kāi)放

8、意 味著硬盤可能在網(wǎng)絡(luò)中被共享，黑客也可以通過(guò)網(wǎng)絡(luò)系統(tǒng)了解目標(biāo)計(jì)算機(jī)中的一切情況。（2 ） tcp/ip 篩選進(jìn)人“網(wǎng)絡(luò)連接” f選中'本地連接'的“屬性”-“internet協(xié)議（tcp/tp ）"- “高 級(jí)” f “高級(jí)tcp /tp設(shè)置” “選項(xiàng)” 一“ tcp/ip篩選”“屬性” ” tc/tp篩選” f選中“啟用tcp/ip篩選（所有適配器）”復(fù)選框,然后根據(jù)需要進(jìn)行配置即可。說(shuō)明:如果只打算瀏覽網(wǎng)頁(yè)，則只要開(kāi)放tcp端口 80即可,所以可以在“tcp端口” 上方選擇“只允許”一“添加”輸入80- “確定”。（3）網(wǎng)絡(luò)服務(wù)的安全設(shè)置（1）關(guān)閉口己的139端

9、口（ipc和rpc漏洞存在于此），本地連接右鍵屬性選中 internet協(xié)議（tcp/ip）雙擊高級(jí)wins設(shè)置選擇用tcp/ip的netbios（2）445端口的關(guān)閉，開(kāi)始運(yùn)行，輸入regedit,打開(kāi)注冊(cè)表編輯器，找到 hkey_local_machinesystemcurrentcontrolsetservicenetbtparameters,在右面 的窗口建立一個(gè) smbdcviccenablc dword 值，鍵值為 0,(3) 禁止終端服務(wù)遠(yuǎn)程控制、協(xié)助，我的電腦右鍵屬性高級(jí)系統(tǒng)屬性,(4) 屏蔽閑置端口，本地連接右鍵屬性選屮internet協(xié)議(tcp/ip)雙擊-髙級(jí)選項(xiàng)屬性tcp/ip篩選,六、結(jié)果與總結(jié)實(shí)驗(yàn)結(jié)果(截圖)：1.加密文件與文件夾2.開(kāi)啟windows賬號(hào)安全和密碼策略口回岡文件(f)操作(a)查看(v)幫助00q 丁隹舸尬虜回爭(zhēng)"本地計(jì)算機(jī)“策略 曰型計(jì)算機(jī)配置 -o軟件設(shè)置 日底j windows設(shè)置囿 腳本 啟動(dòng)/關(guān)機(jī))i白目安全設(shè)置 勾國(guó)悵尸策略 勾國(guó)本地策略 £1-0公鑰