2Windows系统安全加固

项目2Windows系统安全加固项目1双机互连对等网络的组建操作系统的安全防护研究通常包括以下几个方面的内容。(1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。(2)针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵。(3)保证操作系统本身所提供的网络服务能得到安全配置。只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统安全的概念一、WINDOWS密码设置实训windows系统的安全审计和安全配置用户身份验证帐户的管理(设置各级帐户和密码）P196帐户安全防护P204帐户安全策略P206基于对象的访问控制P194windows系统的注册表P209windows系统常用的系统进程和服务的安全配置P220为提高计算机WINDOWS操作系统的安全性，可作哪些安全配置？（小组讨论，总结）3分钟一、WINDOWS密码设置实训XP与SERVER设置BIOS开机密码设置WINDOWS登录密码设置屏幕保护密码账户数据库密码(syskey)为防止别人非法使用你的计算机系统，可设置哪些密码？（小组讨论）3分钟帐户的管理(设置各级帐户和密码）P196一、什么样的密码才安全？下面列出几种最危险的密码，请千万不要使用。1）密码和用户名相同。2）密码为用户名中的某几个邻近的数字或字母。3）密码为连续或相同的数字或字母。4)将用户名颠倒或加前后缀作为密码。5）使用姓氏的拼音或英文名字作为密码。6）使用自己或亲友的生日作为密码。7）使用常用英文单词作为密码。8)使用6位以下的数字或英文字母作为密码.6.3账户管理与密码安全P196账户与密码的使用通常是许多系统预设的防护措施。事实上，有许多用户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设密码。用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、数字、特殊字符，8位以上）小组为单位，讨论并配置5种密码（以XP或SERVER为例）设置进入BIOS的密码系统开机密码WINDOWS登录密码屏幕保护密码保护WINDOWS帐户数据库安全密码做一个启动U盘要求：小组内分工，每组同学要设置上述密码，并进行拷屏,文件名为：组名第6章作业1.DOC。任务1：密码安全配置P1971.任务目标(1)了解操作系统密码安全的重要性。(2)掌握密码安全配置的方法。2.任务内容(1)设置开机或BIOS密码(2)设置用户账户策略。(3)设置用户账户锁定策略。3.完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。用虚拟机设置BIOS开机密码运行虚拟机—VM---POWER-POWERONTOBIOSSetSupervisorPassword超级用户口令SetUserPassword一般用户口令Save&ExitSetup2.添加WONDOWS用户密码，设置密码策略(1)用户—添加管理员用户（2）设置用户账户策略步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，在左侧窗格中，选择“安全设置”→“账户策略”→“密码策略”选项，如图2-14所示。步骤2：双击右侧窗格中的“密码长度最小值”策略选项，打开“密码长度最小值属性”对话框，选择“本地安全设置”选项卡，设置密码必须至少是6个字符，如图2-15所示，单击“确定”按钮，返回“本地安全设置”窗口。步骤3：在图2-14中，双击右侧窗格中的“密码最短使用期限”策略选项，打开“密码最短使用期限属性”对话框，设置“在以下天数后可以更改密码”为3天，如图2-16所示，单击“确定”按钮，返回“本地安全设置”窗口。步骤4：同理，设置“密码最长使用期限”为“14”天，设置“强制密码历史”为“10”个记住的密码，设置“密码必须符合复杂性要求”为“已启用”。上述设置完成后的密码策略如图2-17所示。(2)设置用户账户锁定策略用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码。步骤1：在图2-17中，选择左侧窗格中的“账户锁定策略”选项，在右侧窗格中显示了账户锁定策略的三个策略项，如图2-18所示。步骤2：双击右侧窗格中的“账户锁定阈值”策略选项，打开“账户锁定阈值属性”对话框，选择“本地安全设置”选项卡，设置“在发生以下情况之后，锁定账户”为3次无效登录，如图2-19所示。步骤3：单击“确定”按钮，弹出“建议的数值改动”对话框，设置建议的“账户锁定时间”为“30分钟”、“复位账户锁定计数器”为“30分钟之后”，如图2-20所示，单击“确定”按钮，完成账户锁定策略设置。防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了。3．设置屏幕保护密码WINDOWS平台安全设置4.XP账户数据库密码二重密码保护：“启动密码”就是在系统启动是显示的，在重新启动系统后，首先出现的就是提示你输入“启动密码”，输入了正确的密码后就会出现WindowsXP的登录界面，输入用户名和密码后算是完全登录系统。1.设置启动密码开始→运行”，输入“Syskey”命令，弹出“保证WindowsXP账户数据库安全”----更新”。在“启动密码”界面中点选“密码启动”单选框。2.取消这个系统启动密码，则在“启动密码”界面中点选“系统产生的密码”下面的“在本机上保存启动密码”，确定后系统密码就会保存到硬盘上，在下次启动电脑时就不会再出现启动密码的窗口了。如果忘记了密码点办?(小组讨论、思考）如何清除进入物理机的BIOS设置的密码?如何清除物理开机密码?如何探测WINDOWS登录密码？相邻两小组实训:常用密码破解（10分钟）互换机器去破解别组设置的密码，并总结方法破解方法与工具P198L0phtcrack,WMICracker等BIOS口令的清除由于System级口令保护的是整个系统，在未正确输入口令时不能进入系统，因而当任何“软”方法都无法奏效时，只能用“硬”方法解决。一般的主板在后备电池的附近都有一个“Ext.Battery”、“CMOSReset”或“JCMOS”的跳线，断开微机电源打开机箱，按照主板说明书上的解说找到它，并将其中的两个脚短接数秒钟，然后将跳线恢复原状，即可清除口令。有的主板还要求在放电短接状态开机才能彻底清除BIOS设置数据，具体做法应该参照主板说明书上的叙述。用工具软件或命令（？？）WINDOWS本地账户实训P198-204用带工具U盘或光盘启动，破解WINDOWSXP登录密码帐户查看方法与工具使用L0phtCrack5审计WindowsServer2003本地账户实训使用Cain审计WindowsServer2003本地账户实训要求：1.老师提供工具，小组内分工，每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏,文件名为：组名第6章作业2.DOC。2.建议以小组为单位学会制作一个启动U盘，如大白菜。2.4项目实施(小组实训）2062.4.1任务1:账户安全配置1.任务目标(1)了解操作系统账户安全的重要性。(2)掌握账户安全配置的方法。2.任务内容(1)更改“Administrator”账户名称。(2)创建一个陷阱账户。(3)不让系统显示上次登录的账户名。3.完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。4.任务实施步骤(1)更改“Administrator”账户名称由于“Administrator”账户是微软操作系统的默认系统管理员账户，且此账户不能被停用，这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码。将“Administrator”重命名为其他名称，可以有效地解决这一问题。步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，如图2-1所示。步骤2：在左侧窗格中，选择“安全设置”→“本地策略”→“安全选项”选项，在右侧窗格中，双击“账户：重命名系统管理员账户”策略选项，打开如图2-2所示的对话框，将系统管理员账户名称“Administrator”改为一个普通的账户名称，如“huang”，而不要使用如“Admin”之类的账户名称，单击“确定”按钮。步骤3：更改完成后，选择“开始”→“程序”→“管理工具”→“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具”→“本地用户和组”→“用户”选项，如图2-3所示，默认的“Administrator”账户名称已被更改为“huang”。步骤4：在图2-3中，选择左侧窗格中的“组”选项，然后双击右侧窗格中的“Administrators”组名，打开“Administrators属性”对话框，默认只有“Administrator”账户，如图2-4所示。选中“Administrator”账户，单击“删除”按钮，将该账户删除。步骤5：在图2-4中，单击“添加”按钮，打开“选择用户”对话框，单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“huang”选项，如图2-5所示。此时，在“输入对象名称来选择”文本框中自动出现了已经重命名的管理员账户名称，如“TEST\huang”(计算机名\账户名)，如图2-6所示。步骤6：单击“确定”按钮返回“Administrators属性”对话框，再单击“确定”按钮完成系统管理员名称的更改。(2)创建一个陷阱账户陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户。默认的管理员账户“Administrator”重命名后，可以创建一个同名的拥有最低权限的“Administrator”账户，并把它添加到“Guests”组(“Guests”组的权限为最低)中，再为该账户设置一个超过20位的超级复杂密码(其中包括字母、数字、特殊符号等字符)。这样可以使非法入侵者需花费很长的时间才能破解密码，借此发现它们的入侵企图。步骤1：选择“开始”→“程序”→“管理工具”→“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具”→“本地用户和组”→“用户”选项，然后右击“用户”选项，在弹出的快捷菜单中选择“新用户”命令，打开“新用户”对话框，如图2-7所示。步骤2：在“用户名”文本框中输入用户名“Administrator”，在“密码”和“确认密码”文件框中输入一个较复杂的密码，单击“创建”按钮，再单击“关闭”按钮。步骤3：右击新创建的用户名“Administrator”，在弹出的快捷菜单中选择“属性”命令，打开“Administrator属性”对话框，选择“隶属于”选项卡，如图2-8所示，从图中可见，“Administrator”用户默认隶属于“Users”组。步骤4：单击“添加”按钮，打开“选择组”对话框，如图2-9所示。步骤5：单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“Guests”组名，如图2-10所示。步骤6：单击“确定”按钮，返回“Administrator属性”对话框，此时已添加了“Guests”组，如图2-11所示。步骤7：在图2-11中，选中“Users”组名，单击“删除”按钮，再单击“确定”按钮。此时，“Administrator”账户已设置为陷阱账户。(3)不让系统显示上次登录的账户名默认情况下，登录对话框中会显示上次登录的账户名。这使得非法入侵者可以很容易地得到系统的一些账户名，进而做密码猜测，从而给系统带来一定的安全隐患。可以设置登录时不显示上次登录的账户名，来解决这一问题。步骤1：在“本地安全设置”窗口的左侧窗格中，选择“本地策略”→“安全选项”选项。步骤2：在右侧窗格中，找到并双击“交互式登录：不显示上次的用户名”选项(