搜索
实验二操作系统安全配置【实验目的】1.掌握使用安全策略设置的方法,了解安全策略的主要内容和用途2.掌握用计算机管理工具管理本地用户帐户的方法,了解Windows下帐户的命名规则和口令要求3.掌握Windows下审核策略的设置方法,了解审核策略的制定准则4.掌握Windows环境中网络服务和端口的安全管理技术5.掌握Windows下IPSec策略的配置方法,利用IPSec进行安全传输【实验设备及环境】1.WindowsXP操作系统2.WindowsServer2003操作系统(虚拟机)【实验导读】1.安全策略设置操作系统的安全配置是整个操作系统安全策略的核心,其目的就是从系统根源构筑安全防护体系,通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段,形成一整套有效的系统安全策略。Windows系统安装的默认配置是不安全的,在系统使用前,应该进行一些设置,以使系统更安全。通过本地安全策略可以控制:访问计算机的用户;授权用户使用计算机上的哪些资源;是否在事件日志中记录用户或组的操作。2.用户管理在Windows中,用户管理对于系统和组织安全性非常关键,在组织内部,应该存在用来确定每个新用户具有的正确权限的过程,当用户离开组织时,应该具有保证用户不能再访问系统的过程。⑴Windows用户帐户Windows提供三种类型的用户帐户:本地用户帐户、域用户帐户和内置用户帐户。本地用户帐户允许用户登录到一台特定的计算机上,从而可以访问该计算机上的资源。域用户帐户允许用户登录到域中从而可以访问网络中的资源。内置用户帐户允许用户执行管理任务或者访问本地和网络资源。一般Administrator帐户不能被删除,在实际应用时为了增加入侵难度,可以更改Administrator帐户名,比如改成guestone。⑵帐户规则①命名规范命名规范确定域中的用户如何被标识,命名规范可参考表2-1表2-1命名规范规范说明用户登录名必须唯一本地用户帐号应该在本计算机上是唯一的。域用户帐号的登录名应该在域活动目录中是唯一的。最多使用20个字符Windows只识别用户名称的前20个字符避免使用无效字符无效字符包括:/|[]:;“=,+*?用户登录名不区分大小写用户登录名称对大小写不敏感表明用户类型在用户登录名前加上一个标识来说明用户类型②口令要求为了保护对计算机的访问,每个用户必须有口令,对于口令有以下要求:一定为Administrator设定一个安全的口令;使用难以猜测的口令,例如避免使用和用户名称明显相关的口令;口令可以多达128个字符,推荐使用最少8个字符的口令;使用大写和小写、数字和有效的非字母符号进行结合的口令。3.系统审核安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。4.网络服务和端口管理Windows中有许多用不着的服务自动处于激活状态,TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。另外,需要把系统用不着的网络端口也关闭,防止黑客的攻击。用端口扫描器扫描系统所开放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器,只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。5.IPSec策略IPsec在网络层提供安全服务,它能使系统按需选择安全协议,决定服务所使用的算法及放置密钥到相应位置。在Windows操作系统中内嵌了对IPsec的支持,可以方便的建立主机到主机,网络到网络的安全通信。IPsec适用于基于IPsec策略的通信,可以使用IPsec策略来决定何时使用IPsec保护计算机之间的通信。创建IPsec策略时,需要配置IPsec规则(这些规则确定IPsec的行为)以及设置(设置的应用与配置的规则无关)。配置IPsec策略后,必须将该策略指派给一台计算机才能实施该策略。虽然在一台计算机上可以存在多个IPsec策略,但每次只能将一个IPsec策略指派给一台计算机。IPsec规则确定IPsec必须对哪些类型的通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对IPSec对等方进行身份验证;以及其他设置。配置IPsec规则时,可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和IPsec封装模式(传输模式或隧道模式)。IPsec规则通常是针对特定用途(例如,“阻止所有从Internet到TCP端口135的入站通信流”)配置的。筛选器定义了要检查的通信流(这与防火墙规则类似)以及源和目标IP地址、协议和端口号(如果适用)。筛选器操作定义了网络通信流的安全性要求。【实验任务及内容】1.安全策略配置⑴以系统管理员的身份登录到WindowsXP操作系统,对密码策略进行修改,选择【控制面板】|【管理工具】【本地安全策略】|【帐户策略】|【密码策略】,如图2-1所示。图2-1密码策略⑵双击右侧【密码必须符合复杂性要求】,出现如图2-2所示的界面。如果启用该策略,则密码必须符合以下最低要求。①不能明显包含用户帐户名或用户全名的一部分;②长度至少为六个字符;③必须包含以下四类字符中的三类字符:英文大写字母(A–Z)英文大写字母(a–z)10个基本数字(0–9)非字母字符(例如!、$、#、%)⑶双击右侧【密码长度最小值】,出现如图2-3所示的界面。对密码长度最小值进行修改。图2-3密码复杂性要求图2-4密码长度最小值策略设置⑷双击右侧【密码最长存留期】,出现如图2-4所示的界面。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间,范围是1~999天,默认为42天,设置为0表示密码永不过期。⑸双击右侧【密码最短存留期】,出现如图2-5所示的界面。该安全设置确定用户在可以更改密码之前必须使用该密码的时间。可以设置为1~998天,密码最短使用期限必须小于密码最长使用期限。图2-4密码最长存留期图2-5密码最短存留期⑹双击右侧【强制密码历史】,出现如图2-6所示的界面。该安全设置确定与某个用户帐户相关的密码的数量,可以设置为0~24之间。该策略可以防止用户重新使用旧密码,确保旧密码不能继续使用,从而能够增强安全性。⑺双击右侧【为域中所有用户使用可还原的加密来存储密码】,出现如图2-7所示的界面。该安全设置确定操作系统是否使用可还原的加密来存储密码,此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。图2-6强制密码历史图2-7用可还原的加密来存储密码从上面这些设置项中我们不难得到一个最简单有效的密码安全方案,即首先启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置好后,在“控制面板”中重新设置管理员的密码,这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况了,这样的系统密码安全性非常高。2.添加和管理本地用户⑴以系统管理员的身份登录到WindowsXP操作系统,通过【控制面板】|【管理工具】|【计算机管理】进入【计算机管理】界面。选择左侧【本地用户和组】|【用户】,出现如图2-8所示的界面。图2-8用户管理界面⑵右击【用户】条目,从菜单中选择【新用户】。添加用户名为test的用户。如图2-9所示。如果在密码策略中启用了复杂性密码要求,这时系统会提示密码不符合复杂性要求,需要按照密码复杂性要求选择密码。图2-9添加新用户⑶为当前用户选择合适的组,默认的当前用户属于users组,下面提升test的权限,把它放入Administrators组中。方法是:在用户列表中双击test用户,出现用户属性界面,选择【隶属于】选项卡,单击【添加】按钮,出现如图2-10所示界面,在【输入对象名称来选择】编辑框中输入Administrators,单击右侧【检查名称】按钮,出现Administrators组的信息,再单击【确定】即可。图2-10添加用户到系统管理员组中3.添加域用户⑴以DomainAdmins组成员的身份登录WindowsServer2003操作系统(虚拟机),然后打开【控制面板】|【管理工具】|【ActiveDirectory用户和计算机】,如图2-11所示。图2-11【ActiveDirectory用户和计算机】管理界面⑵右键单击User选项,选择【新建】|【用户】。⑶输入【姓】|【名】以及“用户登录名”,如图2-12所示,然后单击【下一步】。图2-12输入用户信息⑷输入并确认密码,清除【用户下次登录时需更改密码】复选框,如图2-13所示,然后单击【下一步】。图2-13输入新用户密码⑸在右栏中找到刚加入的用户myuser,双击出现该用户的属性信息,单击【成员属于】选项卡,可以修改用户所属的组,修改用户的权限,如图2-14所示。图2-14新用户的属性3.系统审核设置审核策略的步骤如下:⑴以系统管理员的身份登录到WindowsXP操作系统,对审核策略进行修改,选择【控制面板】|【管理工具】|【本地安全策略】|【审核策略】,出现如图2-15所示的管理界面。图2-15审核策略管理界面⑵双击右侧栏目的【审核对象访问】,出现如图2-16所示的管理界面,对对象访问的审核策略进行修改。修改完成后单击【确定】即可。图2-16审核对象访问策略管理界面⑶右键单击想要审核的文件或文件夹,选择弹出菜单的【属性】命令,接着在弹出的窗口中选择【安全】标签。单击【高级】按钮,然后选择【审核】标签,再单击【添加】按钮,出现如图2-17所示的界面,在此处可以对要审核的行为进行编辑。图2-17Windows文件夹的审核项目4.网络服务和端口管理以DomainAdmins组成员的身份登录WindowsServer2003操作系统(虚拟机)。⑴服务管理:①选择【控制面板】|【管理工具】|【服务】,如图2-18所示。图2-18服务管理界面②在右侧窗体中单击某一服务,在【操作】菜单上,单击【启动】、【停止】、【暂停】等命令对服务进行管理。③要配置服务的启动方式,右键单击要配置的服务,选择【属性】,在【常规】选项卡上选择【启动类型】列表中的【自动】【手动】或【禁用】,如图2-19所示。【登录】选项卡中可以指定服务用来登录的用户帐户。图2-19服务的启动方式⑵关闭不用的端口。关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。在Winnt\system32\drivers\etc\Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。按顺序打开【本地连接】|【属性】|【Internet协议(TCP/IP)】|【属性】,然后单击【高级】|【选项】|【TCP/IP筛选】|【属性】,根据需要的服务开设端口,如图2-20所示。图2-20根据需要开放端口⑶禁止建立空连接。空连接使用的端口号是139,通过空连接可以复制文件到远端服务器,默认情况下,任何用户可通过空连接连上服务器,从而枚举帐号并猜测密码,这是一个漏洞。通过下面两种方法禁止建立空连接:①在注册表中找到相应的键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Con