windows操作系统实验1

实验一：Windows系统安全1Windows系统安全模型漏洞检测登录与授权活动桌面前导知识compTIASecurity考纲前导知识注册信息安全认证CISP考察计算机网络安全从业人员需要掌握的网络安全基础知识和日常工作技能，涉及到的具体知识点：windows系统安全模型Windows系统具有模块化的设计结构。模块：一组被称做执行程序服务的软件。内核模式：运行一些列操作系统模块的环境。用户模式：运行在内核模式之上，其启动与否由用户决定。必须的内核模式组件可组成自成系统的操作系统，其上可运行用户模式组件，这种结构称为内核结构（microkernel）windows系统的安全性根植于windows系统的核心层，它为各层提供一致的安全模型，是windows系统的子系统，控制着windows系统中对象的访问。Windows系统的安全架构Windows安全架构Windows系统的漏洞检测漏洞产生原因：1、设置策略存在缺陷2、编程原因人为—故意为之技术—技术手段限制Microsoft基准安全分析器(MBSA)是一个很好的系统安全扫描分析器，它可以运行在Windows2000和WindowsXP系统上，并可以扫描下列产品，以发现常见的系统配置错误：WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003、InternetInformationServer（IIS）、SQLServer、InternetExplorer和Office。对一台计算机进行扫描是MBSA的基本功能单击MBSA主窗口中的“Scanacomputer”（或“Pickacomputertoscan”）菜单，将弹出“Pickacomputertoscan”对话框（如图2）。要想让MBSA成功扫描计算机，需在此对话框中进行正确地参数设置：(1)设定要扫描的对象告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供两种方法：方法1：在“Computername”文本框中输入计算机名称，格式为“工作组名\计算机名”。默认情况下，MBSA会显示运行MBSA的计算机的名称，如图2所示，“WORKGROUP”是笔者运行MBSA的计算机所属的工作组名称，“JXNO”是计算机名称。方法2：在“IPaddress”文本框中输入计算机的IP地址。在此文本框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示“Computernotfound.”（计算机没有找到）的信息。(2)设定安全报告的名称格式每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式，只要在“Securityreportname”文本框中输入文件格式即可。MBSA提供两种默认的名称格式：“%D%-%C%(%T%)”（域名-计算机名(日期戳)）和“%D%-%IP%(%T%)”（域名-IP地址(日期戳)）。(3)设定扫描中要检测的项目MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间，而且影响扫描速度。用户可以根据自身情况进行选择，对于一些没有安装的软件可以不选，例如：若没有安装SQLServer，则可不选中“CheckforSQLvulnerabilities”复选项，这样能缩短扫描时间，提高扫描速度。基于这点考虑，MBSA提供了让用户自主选择检测的项目的功能。只要用户选中（或取消）“Options”中某个复选项，就可让MBSA检测（或忽略）该项目。不过，允许用户自主选择的项目只有“CheckforWindowsvulnerabilities”（检查Windows的漏洞）、“Checkforweakpasswords”（检查密码的安全性）、“CheckforIISvulnerabilities”（检查IIS系统的漏洞）、“CheckforSQLvulnerabilities”（检查SQLServer的漏洞）等四项。至于其它项目（如：Office软件的漏洞等）MBSA会强制扫描。(4)设定安全漏洞清单的下载途径MBSA的工作原理是：以一份包含了所有已发现的漏洞的详细信息（如：什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等）的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。因此，要想让MBSA准确地检测出计算机上是否存在漏洞，安全漏洞清单的内容是否是最新的就至关重要了。由于新的漏洞不断被发现，所以我们要像更新防病毒软件的病毒库一样，及时更新安全漏洞清单。MBSA提供了两种更新方法：(1)从微软官方网站上下载(2)从SUS服务器上下载第二步：用户根据自身情况设置好各项参数后单击“StartScan”菜单，将弹出“Scanning”对话框（如图3），MBSA将开始扫描指定的计算机。第三步：扫描完成后，MBSA会将扫描的结果以安全报告的形式保存到“X:\DocumentsandSettings\username\SecurityScans”（X：指Windows的系统分区符，username：是操作MBSA的用户名）文件夹中。第四步：此时，MBSA还会自动弹出“Viewsecurityreport”对话窗（如图4），将刚生成的安全报告的内容显示出来。用户可以根据安全报告的“Score”列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞，哪些方面需要改进，如：●绿色的“√”图标表示该项目已经通过检测。●红色（或黄色）的“×”图标表示该项目没有通过检测，即存在漏洞或安全隐患。●蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化，或者是由于某种原因MBSA跳过了其中的某项检测。●白色的“i”图标表示该项目虽然没有通过检测，但问题不很严重，只要进行简单的修改即可。但是这种判断方法很不准确，正确的方法是查看检测项目的“Result”列中是否含有“Howtocorrectthis”（如何修正它）选项。只要有项目存在，用户就应该单击“Howtocorrectthis”选项。然后根据提供的解决方法，或是下载相应的补丁程序，或是修改相关的设置，就可修正存在的问题。登录流程登录验证安全帐号管理数据库中的认证安全帐号管理器返回SIDs本地安全权威创建主体本地安全权威创建存取令牌本地安全权威认证包运行注册表注册表概述注册表是包含应用程序、硬件设备、驱动器驱动程序配置、网络协议和适配卡设置等信息的数据库。注册表的数据结构由4个子树组成：HKEY_LOCAL_MACHINEHKEY_CLASSES_ROOTHKEY_CURRENT_USERSHKEY_USERS注册表中的关键字注册表编辑器窗口左边列出了注册表中的所有关键字，这些关键字又分组列入了标题和子标题。在注册表中，关键字的层数是没有限制的。当引用一个关键字时，要列出它的所有父关键字（从上到下的结构层次），并用斜线分割。例如HEKEY_CURRENT_USER\CONSOLE注册表中的值当选定一个特定的关键字时，注册表编辑器窗口的右边列出赋值给出该关键字的所有值。注册表中值的分类：StringBrinaryDword值注册表中关键字的结构HKEY_CURRENT_USERSHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG操作2：创建新用户设置密码强度禁止“密码永不过期”步骤：开始-程序-管理工具-计算机管理-用户-属性操作3：阻止加载登录屏幕保护程序Windows有一个叫做login.scr的默认屏幕保护程序,即使没有选择屏幕保护程序,它也会运行。这样可能会带来一个安全风险,因为它可以允许一个本地用户使用另一个程序替换login.scr并且使用系统特权优先级加载它。步骤：开始-运行-注册表更改“ScreenSaveActive”键值为“0”禁用屏幕保护程序。设置:用户主键:[HKEY_USERS\.DEFAULT\ControlPanel\Desktop]名称:ScreenSaveActive类型:REG_SZ(字符串值)值:(0=禁用,1=启用)操作4：在桌面上禁用右键功能这个技巧删除当用户在桌面上或者在资源管理器右边的结果面板中单击右键时正常情况下将会出现的快捷方式上下文菜单。步骤：开始-运行-注册表创建一个新的DWORD值,或者使用下面的设置修改名为“NoViewContextMenu”的现有值。设置:用户主键:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]系统主键:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]名称:NoViewContextMenu类型:REG_DWORD(DWORD值)值:(0=禁用,1=启用)