《Winndows操作系统安全.ppt》由会员分享,可在线阅读,更多相关《Winndows操作系统安全.ppt(28页珍藏版)》请在第壹文秘上搜索。
1、 实验讲义实验讲义2023-3-202实验目的通过实验掌握建立一个Windows操作系统的基本安全框架的方法: Windows帐号与密码的安全设置 文件系统的保护和加密 安全策略与安全模板的使用 审核和日志的启用2023-3-203实验内容一、帐号和口令的安全设置二、文件系统安全设置三、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-204实验观察点观察启用“帐户锁定策略”前后,用户错误输入登录密码情况的变化。观察同一个用户在非授权访问和授权访问情况下分别对同一个文件夹及其文件的可访问情况的变化。观察同一个用在非授权和授权情况下分别对加密数据的访问情况
2、的变化。通过事件查看器观察启用登录审核策略前后,登录和退出的日志记录的变化。通过事件查看器观察创建并启用一个自定义安全模板前后,登录和退出的日志记录情况的变化 。 2023-3-205实验要求根据Windows操作系统的各项安全性实验要求,详细观察、记录设置前后的变化,给出分析报告 2023-3-206实验内容一、帐号和口令的安全设置二、文件系统安全设置三、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-207一、帐号和口令的安全设置 1.删除不再使用的帐户,禁用guest帐户2.本地安全设置观察点:观察启用“帐户锁定策略”前后,用户错误输入登录密码情
3、况的变化 2023-3-208删除不再使用的帐户,禁用guest帐户右键单击桌面“我的电脑”图标,选择“管理”打开“计算机管理”窗口。从左侧窗口展开“系统工具”目录树直到“用户”节点从右侧窗口选中不再使用的帐户,按“Del”键删除从右侧窗口右键单击“guest”并选“属性”打开属性窗口,选中“帐户已停用”来禁用guest帐户2023-3-209本地安全设置启用启用“密码策略密码策略”。打开“控制面板”“管理工具”“本地安全策略”,在“本地安全设置”窗口中展开左侧窗口目录树,直到“密码策略”。右侧窗口显示所有密码策略选项,双击它们均可以进行设置。其中“符合复杂性要求”的密码是具有相当长度以及同时
4、含有数字、大小写字母和特殊字符的序列启用启用“帐户锁定策略帐户锁定策略”。从左侧窗口目录树选择“帐户锁定策略”,右侧窗口显示多项安全策略,双击它们均可进行设置2023-3-2010开机时设置为开机时设置为“不自动显示上次登录帐不自动显示上次登录帐户户”。从左侧窗口目录树选择“安全选项”,右侧窗口显示多项安全策略,双击“不自动显示上次登录帐户”项并设置已启用。禁止枚举帐户名。禁止枚举帐户名。从左侧窗口目录树选择“安全选项”,右侧窗口显示多项安全策略,双击“对匿名连接的额外限制”项并设置为“不允许枚举SAM帐户和共享”。2023-3-2011实验内容一、帐号和口令的安全设置二、文件系统安全设置三、
5、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-2012二、文件系统安全设置1.选择文件夹2.设置文件夹属性3.取消所有用户访问权限4.添加访问用户组观察点:观察同一个用户在非授权访问和授权访问情况下分别对同一个文件夹及其文件的可访问情况的变化 2023-3-2013 选择文件夹 选择NTFS格式的磁盘分区上的某个文件夹(设其中还有子文件夹) 设置文件夹属性 在文件夹“安全属性卡”中将“允许将来自父系的可能继承权限传输给该对象”前的勾去掉 取消所有用户访问权限 文件夹缺省为任何用户都可以访问。从列表中删除Everyone组 添加访问用户组 选中要赋予访
6、问权限的用户组,并设置相应操作权限,然后从“高级”窗口查看细节2023-3-2014实验内容一、帐号和口令的安全设置二、文件系统安全设置三、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-2015三、用加密软件EPS加密硬盘数据1. 创建新用户2. 设置文件夹3. 未授权用户访问数据4. 数据访问授权5. 授权用户访问数据观察点:观察同一个用在非授权和授权情况下分别对加密数据的访问情况的变化 2023-3-2016创建新用户以管理员身份登录,并创建一个新用户设置文件夹选择NTFS格式的磁盘分区上的某个文件夹(设其中还有子文件夹),在文件夹属性的“高级属
7、性”窗口中选中“加密内容以便保护数据”,并允许“将更改应用于该文件夹、子文件夹和文件”未授权用户访问数据注销后以新建用户身份登录,并访问该文件夹,结果因文件夹加密未授权而访问失败 2023-3-2017数据访问授权注销后以管理员身份登录,通过运行“mmc”命令打开系统控制台,并从“添加/删除管理单元”窗口中添加“证书”,以便为当前用户的加密文件系统EFS设置证书(私钥)。从控制台窗口左侧目录树中选择“证书”、“个人”、“证书”,打开右侧窗口的证书可以看到该证书的详细信息,其中包括1024位的公钥。从右侧窗口导出证书保存到适当的路径,并为证书设置密码(用于保护私钥)2023-3-2018授权用户
8、访问数据注销后以新建用户身份登录,从存放证书的路径打开证书文件,利用证书导入向导输入保护私钥设置的密码,并将证书存入“个人”存储区。这时,因有了授权就可以打开加密过的文件夹和文件了2023-3-2019实验内容一、帐号和口令的安全设置二、文件系统安全设置三、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-2020四、启用审核与日志查看 1.打开审核策略 2.查看事件日志 观察点:通过事件查看器观察启用登录审核策略前后,登录和退出的日志记录的变化 2023-3-2021打开审核策略从“控制面板”打开“管理工具”,再打开“本地安全策略”从左侧窗口目录树打开
9、“本地策略”、“审核策略”,可以看到当前系统的审核策略。双击右侧窗口某项策略可以通过选择“成功”和“失败”来启用该项策略,比如“审核登录事件”2023-3-2022 查看事件日志 从“控制面板”打开“管理工具”,再打开“事件查看器” 从左侧窗口目录树打开“安全日志”,可以查看有效或无效的登录尝试等安全事件的详细记录 2023-3-2023实验内容一、帐号和口令的安全设置二、文件系统安全设置三、用加密软件EPS加密硬盘数据四、启用审核与日志查看五、启用安全策略与安全模板2023-3-2024五、启用安全策略与安全模板 1.创建安全模板2.启用安全模板 观察点:通过事件查看器观察创建并启用一个自定
10、义安全模板前后,登录和退出的日志记录情况的变化 2023-3-2025创建安全模板通过运行“mmc”命令打开系统控制台,并从“添加/删除管理单元”窗口中添加“安全模板”和“安全配置和分析”在控制台左侧窗口展开目录树,右键单击模板所在路径(一般缺省为C:WINNTSecurityTemplates),选择“新加模板”并命名和设置描述后确定完全展开新加的模板,在右侧窗口可发现任一项安全策略均显示“没有定义”。分别双击它们,可以进行设置。安全模板设置完后,可以与系统提供的安全模板一样导入系统而被使用 2023-3-2026启用安全模板通过运行“mmc”命令打开系统控制台,并从“添加/删除管理单元”窗
11、口中添加“安全模板”和“安全配置和分析”从控制台左侧窗口展开目录树,可以在右侧窗口看到各个模板及其安全策略。双击每种安全策略可看到其相关配置右键单击“安全配置和分析”,选择“打开数据库”,输入新数据库名并打开,导入要设置的安全级别的安全模板并打开2023-3-2027 右键单击“安全配置和分析”,选择“立即分析系统”确定,按此模板对当前系统的分析结果可通过目录树查看 右键单击“安全配置和分析”,选择“立即配置系统”,通过导入模板来完成配置2023-3-2028小结1.帐号和口令的安全设置:系统安全的基础2.文件系统安全设置:数据访问控制的基本方式3.用加密软件EPS加密硬盘数据:保证数据安全的根本方法4.启用审核与日志查看:实施监控体系5.启用安全策略与安全模板:部署监控体系
