操作系统安全实验3实验报告

..操作系统安全实验3一、实验目的1、了解Windows操作系统的安全性2、熟悉Windows操作系统的安全设置3、熟悉MBSA的使用二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、采用MBSA测试系统的安全性，并分析原因。3、比较Windows系统的安全设置和Linux系统安全设置的异同。三、实验内容1、配置本地安全设置，完成以下内容：（1）账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）..（2）账户和口令的安全设置：检查和删除不必要的账户（User用户、DuplicateUser用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。......（3）设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等..（4）设置IP安全策略..（5）其他设置：公钥策略、软件限制策略等..2、Windows系统注册表的配置（1）找到用户安全设置的键值、SAM设置的键值（2）修改注册表：禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。建立空连接：“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。禁止管理共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。关闭139端口：在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。防范SYN攻击：相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下。(1)DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。(2)DWORD：TcpMaxConnectResponseRetransmissions：定义了对于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。（上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。）减少syn-ack包的响应时间：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetran..smissions定义了重发SYN-ACK包的次数。增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000预防DoS攻击：在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击SynAttackProtectREG_DWORD2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0防止ICMP重定向报文的攻击：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)该参数控制Windows是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Windows中默认值为1，表示响应ICMP重定向报文。禁止响应ICMP路由通告报文HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\PerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)“ICMP路由公告”功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。建议关闭响应ICMP路由通告报文。Windows中默认值为2，表示当DHCP发送路由器发现选项时启用。不支持IGMP协议HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IGMPLevelREG_DWORD0x0(默认值为0x2)Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Windows虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用routeprint将看不到224.0.0.0项了。禁止死网关监测技术HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersEnableDeadGWDetectREG_DW..ORD0x0(默认值为ox1)如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。修改MAC地址HKLM\SYSTEM\CurrentControlSet\Control\Class\找到右窗口的说明为“网卡“的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之，在其下0000,0001,0002...的分支中找到”DriverDesc“的键值为你网卡的说明，比如说”DriverDesc“的值为”Intel(R)82559FastEthernetLANonMotherboard“然后在右窗口新建一字符串值，名字为”Networkaddress“，内容为你想要的MAC值，比如说是”004040404040“然后重起计算机，ipconfig/all查看。3、文件及文件夹权限设置（1）用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？分属哪些组？设置其权限。..（2）新建一个文件夹并设置其访问控制权限。..4、审核日志分析（1）查找审核日志，显示其详细信息：应用程序日志、安全性日志、系统日志。..（2）分析各种日志所描述的内容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理的问题，错误为必须立即处理的问题。5、使用Microsoft基准安全分析器MBSA2.0对系统进行安全评估Microsoft基准安全分析器(MBSA)可以检查操作系统，还可以扫描计算机上的不安全配置。检查Windows服务包和修补程序时，它将Windows组件（如Internet信息服务(IIS)和COM+）也包括在内。MBSA使用一个XML文件作为现有更新的清单。该XML文件包含在存档Mssecure.cab中，由MBSA在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。..