windows操作系统安全

【实验目的】

  通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。

 

【实验器材】

   1台安装Windows2000/XP操作系统的计算机,磁盘格式配置为NTFS,预装MBSA(Microsoft Baseline Security Analyzer)工具。

 

【实验内容】

(1) Windows账户与密码的安全设置;

(2) 文件系统的保护和加密;

(3) 安全策略与安全模板的使用;

(4) 审核和日志的启用;

(5) 学会本机漏洞检测软件MBSA的使用;

  需要说明的是,下面的实验步骤主要是以 Windows2000 的设置为例进行说明,并且设置均需以管理员( Administrator )身份登陆系统。在 Windows 其他操作系统中,相关安全设置会稍有不同,但大同小异。

【实验原理】

账户和口令

  账户和口令是登录系统的基础,也是众多黑客程序攻击和窃取的对象。因此,系统账户和口令的安全是非常重要的,也是可以通过合理设置来实现的。普通常常在安装系统后长期使用系统的默认设置,忽视了Windows系统默认设置的不安全性,而这些不安全性常常被攻击者利用,通过各种手段获得合法的账户,进一步破解口令。所以,首先需要保障账户和密码安全。

文件系统

    Windows系统提供的磁盘格式有FAT,FAT32以及NTFS。其中,FAT格式和FAT32格式没有考虑对安全性方面的更高需求,例如无法设置用户访问权限等。NTFS文件系统是Windows操作系统中的一种安全的文件系统。管理员或用户可以设置每个文件夹的访问权限,从而限制一些用户和用户组的访问,以保障数据的安全。

数据加密软件EFS

   采用加密文件系统(EFS)的加密功能对敏感数据文件进行加密,可以加强数据的安全性,并且减小计算机和磁盘被窃或者被拆换后数据失窃的隐患。EFS采用了对称和非对称两种加密算法对文件进行加密,首先系统利用生成的对称密钥将文件加密成为密文,然后采用EFS证书中包含的公钥将对称密钥加密后与密文加附在一起。文件采用EFS加密后,可以控制特定的用户有权解密数据。这样即使攻击者能够访问计算机的数据存储器,也无法读取用户数据。只有拥有EFS证书的用户,采用证书中公约对应的私钥,先解密公钥加密的对称密钥,然后再用对称密钥解密密文,才能对文件进行读写操作。EFS属于NTFS文件系统的一项默认功能,同时要求使用EFS的用户必须拥有在NTFS卷中修改文件的权限。

审核与日志

    审核与日志是Windows系统中最基本的入侵监测方法。当有攻击者尝试对系统进行某些方式的攻击时,都会被安安全审核功能记录下来,写入到日志中。一些Windows下的应用程序,如IIS(Internet信息服务器),也带有相关的审核日志功能,例如,IIS的FTP日志和WWW日志等。IIS每天生成一个日志文件,包含了该日志的一切记录,例如,试图通过网络登陆系统的IP地址等,文件名通常为ex(年份)(月份)(日期),如,ex100211,就是2010年2月11日产生的日志。IIS的WWW日志在系统盘中\%systemroot%\System32\logfiles\w3svc1\目录下,FTP日志在\%Systemroot%\system32\logfiles\msftosvc1\目录下。而系统日志,安全性日志和应用程序日志分别为%Systemroot%\system32\config文件夹下的3个文件。

MBSA(Microsoft Baseline Security Analyzer)

    安全审计工具MBSA提供自动检查Windows系统漏洞的功能,可从微软的升级服务器中下载最新的补丁包文件,检查Windows系统中是否安装了最新的安全补丁。此外,它还可以对系统漏洞,IIS漏洞,SQLServer数据库以及IE,OFFICE等应用程序的漏洞进行扫描,以检查系统的各项配置是否符合安全性要求。

   在维护Windows操作系统安全的问题中,账号安全和文件系统安全是最基本、最容易操作的两个方面。

【实验步骤】

   以下设置均需以管理员(Administrator)身份登陆系统。在Windows Vista和Windows 7操作系统中,相关安全设置会稍有不同,但大同小异,下面主要以Windows XP系统的设置步骤为例进行说明。

实验步骤一:启动实验平台,拖出Windows PC机,并启动进入虚拟机环境,进入虚拟机环境,如图5-1所示:

 

                     图5-1 虚拟机界面

实验步骤二:Windows账户与密码的安全设置

 账户设置

删除不再使用的账户,禁用guest账户

共享账户,guest账户等具有较弱的安全保护,常常都是黑客们攻击的对象,系统的账户越多,被攻击者攻击成功的可能性越大,因此要及时检查和删除不必要的账户,必要时禁用guest账户。

检查和删除不必要的账户

   单击“开始”按钮,选择“管理工具”-“计算机管理”,打开的“本地用户和组”项下的 “用户”项;

    可以看到“用户”项里有添加的账户。确认各账户是否仍在使用,删除其中不用的账户。

 

                      图5-2 添加用户示图

guest账户的禁用。

为了便于观察实验结果,确保实验用机在实验前可以使用guest账户登陆;

重新打开“计算机管理”à“本地用户和组”à“用户”如图5-3所示:

 

                 图5-3  控制版面的小图标窗口示图

打开“管理工具”,在弹出的如图5-4的窗口中选中“计算机管理”项,

 

                  图5-4  管理工具窗口示图

选中其中的“本地用户和组”,打开“用户”,弹出如图5-5的窗口,

 

              图5-5  “计算机管理”下的用户窗口

右键单击guest用户,弹出如图5-6所示对话框,选择“属性”,在弹出的对话框中“账户已停用”一栏前打钩。

确定后,guest钱的图标上会出现一个向下方向箭头的标识。此时再次试用guest账户登陆,则会显示“您的账户已被停用,请与管理员联系”。

 

            图5-6   guest属性

启用账户策略

账户策略设置:

账户策略是Windows账户管理的重要工具。

打开“开始”->“管理工具”->“本地安全策略”,选择“账户策略”,如图5-7所示:

 

图5-7 账户策略示图

双击“密码策略”,弹出如图5-8 所示的窗口。密码策略用于决定系统密码的安全规则和设置。   

 

                 图5-8   密码策略示图

其中,符合复杂性要求的密码是具有相当长度,同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特性的设置。

(1).双击“密码必须符合复杂性要求”,在弹出的如图5-9所示对话框中,选择“启用”;

 

           图5-9  密码必须符合复杂性要求

下面我们看一下策略是否启动,打开“计算机管理”—>“本地用户和组”中的“用户”项,在弹出如图5-10所示对话框中选择一个用户后,右键单击账户,选择“更改密码”。

 

图5-10 更改密码

弹出“更改密码”的窗口后,此时设置的密码要符合设置的密码要求。例如,若输入密码为123,则弹出如图5-11所示的对话框:

 

图5-11 密码复杂性不符合要求

若输入密码为yc++123,密码被系统接收。

 

(2)双击上图5-12面板中“密码长度最小值”,在弹出的如图5-13的对话框中设置可被系统接纳的账户密码长度最小值,例如设置为6个字符。一般为了达到较高的安全性,建议密码长度的最小值为8。

 

图5-13 密码长度最小值示图

(3)双击图5-14 面板中“密码最长存留期”,在弹出的如图5-21 的对话框中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期,可以提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。

 

        图 5-14密码最长存留期

(4)双击图5-14面板中“密码最短存留期”,在弹出的如图5-15的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置时为了避免入侵的攻击者修改账户密码。

 

       图5-15  密码最短存留期

(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密储存密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。

    至此,密码策略设置完毕。

账户锁定策略设置:

    在账户策略中的第二项是账户锁定策略,它决定系统锁定账户的时间等相关设置。

    打开图5-16中“账户锁定策略”,弹出如图5-16所示的窗口。

 

                 图5-16 账户锁定策略

双击“账户锁定阈值”,

在弹出的如图5-17 所示的对话框中设置账户被锁定之前经过的无效登陆次数(如3次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码(穷举法攻击)。

 

      图5-17  账户锁定阈值

双击“账户锁定时间”

在弹出的如图5-18所示的对话框中设置账户被锁定的时间(如20min)。此后,当某账户无效登陆(如密码错误)的次数超过3次时,系统将锁定该账户20min。

 

        图5-18 账户锁定时间

开机时设置为“不自动显示上次登陆账户”

Windows默认设置为开机时自动显示上次登陆的账户名,许多用户也采用了这一设置。这对系统来说是很不安全的,攻击者会从本地或Terminal Service的登录界面看到用户名。

要禁止显示上次的登录用户名,可做如下设置:

单击“开始”按钮,打开“开始”中“管理工具”下的“本地安全策略”,选择“本地策略”下的“安全选项”,如图5-19所示:

 

                    图5-19本地安全策略

并在所示窗口右侧列表中选择“交互式登录”双击,弹出如图5-20所示对话框,选择“已启用”,完成设置。

 

   图5-20  交互式登录不显示最后的用户名

禁止枚举账户名

打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”, 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,如图5-28,在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”,如图5-21。

 

           图5-21 “对匿名连接的额外限制”项示图

 

   图 5-22 “不允许枚举SAM账号和共享”示图

此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。

实验步骤三:文件系统的保护和加密

 

打开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。这里选择C盘下的“tools”文件夹(此文件夹根据个人需要,可对不同文件夹进行操作)。

右键单击该文件夹,选择“属性”,在工具栏中选择“安全”,弹出如图5-23所示的窗口。

 

        图 5-23 文件夹安全属性示图

单击“高级”,在弹出的如图5-29所示的窗口中选择“权限”,打开后在弹出的窗口中将“允许将来自父系的可继承权限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。

 

             图5-24 安全【高级】属性示图

选中列表中的 Everyone 组,单击“删除”按钮,删除 Everyone 组的操作权限,由于新建的用户往往都归属于 Everyone 组,而 Everyone 组在缺省情况下对所有系统驱动器都有完全控制权,删除 Everyone 组的操作权限可以对新建用户的权限进行限制,原则上只保留允许访问此文件夹的用户和用户组。

选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。

单击“高级”按钮,在弹出的窗口中,查看各用户组的权限,如下图所示查看Everyone组权限:

 

      图5-25 Everyone组用户权限示图

注销计算机,用不同的用户登陆,查看 C 盘“tools”文件夹的访问权限,将结果记录在实验报告中。

 

步骤四 启用安全策略与安全模块

启用安全模板

开始前,请记录当前系统的账户策略和审核日志状态,便于同实验后的设置进行比较。

⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行 mmc ,打开系统控制台,如下图所示:

 

                 图5-26 系统控制台示图

⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加 / 删除管理单元”,如图5-27所示,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,如图5-33所示,单击“添加”按钮后,如图5-29所示,关闭窗口,并单击“确定”按钮。

 

           图5-27 “添加 / 删除管理单元”示图

 

             图5-28添加项示图

 

             图5-29 添加示图

⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,如图5-35所示,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,如图5-30所示,双击每中安全策略可看到其相关配置。

 

               图5-30 存在的安全模板示图

 

              图5-31 模板的安全策略示图

⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为 mycomputer.sdb ,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。

⑸ 右键单击“安全设置与分析”,选择“立即分析计算机”,单击“确定”按钮,系统开始按照上一步中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。

⑹ 右键单击“安全设置与分析”,选择“立即配置计算机”,则按照第( 4 )步中所选的安全模板的要求对当前系统进行配置。

⑺ 在实验报告中记录实验前系统的缺省配置,接着记录启用安全模板后系统的安全设置,记录下比较和分析的结果。

2 .建安全模板

⑴ 单击“开始”按钮,选择“运行”按钮,在对话框中运行 mmc ,打开系统控制台。

⑵ 单击工具栏上“控制台”,在弹出的菜单中选择“添加 / 删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。

⑶ 此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每中安全策略可看到其相关配置。

⑷ 右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为 mycomputer.sdb ,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。

⑸ 展开“安全模板”,右键单击模板所在路经 , 选择“新加模板”,在弹出的对话框中添如预加入的模板名称 mytem ,在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。

⑹ 双击 mytem ,在现实的安全策略列表中双击“账户策略”下的“密码策略”,可发现其中任一项均显示“没有定义”,双击预设置的安全策略(如“密码长度最小值”).

⑺ 在“在模板中定义这个策略设置”前打勾,在框中填如密码的最小长度为 7 。

⑻ 依次设定“账户策略”、“本地策略”等项目中的每项安全策略,直至完成安全模板的设置。

步骤五  启用审核与日志查看

打开审核策略

打开“开始”中的“管理工具”,选择“本地安全策略;

打开“本地策略”中的“审核策略”,可以看到当前系统的审核策略,如图5-32所示;

双击每项策略可选择是否启用该项策略。例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审核登陆事件”将对每次用户的登录进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关审核策略。审核策略启用后,审核结果放在各自事件日志中。

 

                   图5-32  审核策略示图

查看事件日志

打开“开始”中的“管理工具”,双击“事件查看器”,如图5-38所示,可以看到Win 7的3种日志,其中安全日志用于记录刚才上面审核策略中所设置的安全事件。

 

                图5-33  事件查看器示图

双击Windows日志下的“安全日志”,可查看有效无效、登录尝试等安全事件的具体记录。如图5-34所示。                  

 

                  图5-34 安全日志示图

你可能感兴趣的:(网络安全)