实验二操作系统安全配置.docx

1、实验二操作系统安全配置实验二操作系统安全配置【实验目的】1.掌握使用安全策略设置的方法，了解安全策略的主要内容和用途2.掌握用计算机管理工具管理本地用户帐户的方法，了解Windows下帐户的命名规则和口令要求3.掌握Windows下审核策略的设置方法，了解审核策略的制定准则4.掌握Windows环境中网络服务和端口的安全管理技术5.掌握Windows下IPSec策略的配置方法，利用IPSec进行安全传输*【实验设备及环境】1.Windows XP操作系统2.Windows Server 2003操作系统 （虚拟机）【实验导读】1安全策略设置操作系统的安全配置是整个操作系统安全策略的核心，其目的

2、就是从系统根源构筑安全防护体系，通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段，形成一整套有效的系统安全策略。Windows系统安装的默认配置是不安全的，在系统使用前，应该进行一些设置，以使系统更安全。;通过本地安全策略可以控制： 访问计算机的用户； 授权用户使用计算机上的哪些资源； 是否在事件日志中记录用户或组的操作。2用户管理在Windows 中，用户管理对于系统和组织安全性非常关键，在组织内部，应该存在用来确定每个新用户具有的正确权限的过程，当用户离开组织时，应该具有保证用户不能再访问系统的过程。Windows用户帐户&Windows提供三种

3、类型的用户帐户：本地用户帐户、域用户帐户和内置用户帐户。本地用户帐户允许用户登录到一台特定的计算机上，从而可以访问该计算机上的资源。域用户帐户允许用户登录到域中从而可以访问网络中的资源。内置用户帐户允许用户执行管理任务或者访问本地和网络资源。一般Administrator帐户不能被删除，在实际应用时为了增加入侵难度，可以更改Administrator帐户名，比如改成guestone。帐户规则命名规范命名规范确定域中的用户如何被标识，命名规范可参考表2-1表2-1 命名规范规范说明用户登录名必须唯一本地用户帐号应该在本计算机上是唯一的。域用户帐号的登录名应该在域活动目录中是唯一的。最多使用20个

4、字符Windows只识别用户名称的前20个字符避免使用无效字符无效字符包括：/|：；“=,+*！用户登录名不区分大小写用户登录名称对大小写不敏感表明用户类型在用户登录名前加上一个标识来说明用户类型口令要求为了保护对计算机的访问，每个用户必须有口令，对于口令有以下要求： , 一定为Administrator设定一个安全的口令； 使用难以猜测的口令，例如避免使用和用户名称明显相关的口令； 口令可以多达128个字符，推荐使用最少8个字符的口令； 使用大写和小写、数字和有效的非字母符号进行结合的口令。3.系统审核安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝

5、试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。4.网络服务和端口管理Windows中有许多用不着的服务自动处于激活状态，Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。另外，需要把系统用不着的网络端口也关闭，防止黑客的攻击。用端口扫描

6、器扫描系统所开放的端口，在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器，只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。5.IPSec策略IPsec在网络层提供安全服务，它能使系统按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。在Windows操作系统中内嵌了对IPsec的支持，可以方便的建立主机到主机，网络到网络的安全通信。IPsec适用于基于IPsec策略的通信，可以使用IPsec策略来决定何时使用IPsec保护计算机之间

7、的通信。创建 IPsec 策略时，需要配置 IPsec 规则（这些规则确定 IPsec 的行为）以及设置（设置的应用与配置的规则无关）。 配置 IPsec 策略后，必须将该策略指派给一台计算机才能实施该策略。 虽然在一台计算机上可以存在多个 IPsec 策略，但每次只能将一个 IPsec 策略指派给一台计算机。IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。配置 IPsec 规则时，可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装

8、模式（传输模式或隧道模式）。 IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。筛选器定义了要检查的通信流（这与防火墙规则类似）以及源和目标 IP 地址、协议和端口号（如果适用）。 筛选器操作定义了网络通信流的安全性要求。)【实验任务及内容】1安全策略配置 以系统管理员的身份登录到Windows XP操作系统，对密码策略进行修改，选择【控制面板】|【管理工具】【本地安全策略】|【帐户策略】|【密码策略】，如图2-1所示。图2-1 密码策略 双击右侧【密码必须符合复杂性要求】，出现如图2-2所示的界面。如果启用该策略，则密

9、码必须符合以下最低要求。1不能明显包含用户帐户名或用户全名的一部分；234长度至少为六个字符；必须包含以下四类字符中的三类字符： 英文大写字母( A Z ) 英文大写字母( a z ) 10个基本数字( 0 9 ) 非字母字符 ( 例如 !、$、#、% )双击右侧【密码长度最小值】，出现如图2-3所示的界面。对密码长度最小值进行修改。 * 图2-3 密码复杂性要求 图2-4 密码长度最小值策略设置 双击右侧【密码最长存留期】，出现如图2-4所示的界面。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间，范围是1999天，默认为42天，设置为0表示密码永不过期。 双击右侧【密码最短存留期

10、】，出现如图2-5所示的界面。该安全设置确定用户在可以更改密码之前必须使用该密码的时间。可以设置为1998天，密码最短使用期限必须小于密码最长使用期限。 图2-4密码最长存留期 图2-5 密码最短存留期双击右侧【强制密码历史】，出现如图2-6所示的界面。该安全设置确定与某个用户帐户相关的密码的数量，可以设置为024之间。该策略可以防止用户重新使用旧密码，确保旧密码不能继续使用，从而能够增强安全性。 双击右侧【为域中所有用户使用可还原的加密来存储密码】，出现如图2-7所示的界面。该安全设置确定操作系统是否使用可还原的加密来存储密码，此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码

11、来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。 图2-6 强制密码历史 图2-7 用可还原的加密来存储密码；从上面这些设置项中我们不难得到一个最简单有效的密码安全方案，即首先启用“密码必须符合复杂性要求”策略，然后设置“密码最短存留期”，最后开启“强制密码历史”。设置好后，在“控制面板”中重新设置管理员的密码，这时的密码不仅本身是安全的（不低于6位且包含不同类别的字符），而且以后修改密码时也不易出现与以前重复的情况了，这样的系统密码安全性非常高。2添加和管理本地用户以系统管理员的身份登录到Window

12、s XP操作系统，通过【控制面板】|【管理工具】|【计算机管理】进入【计算机管理】界面。选择左侧【本地用户和组】|【用户】，出现如图2-8所示的界面。图2-8 用户管理界面右击【用户】条目，从菜单中选择【新用户】。添加用户名为test的用户。如图2-9所示。如果在密码策略中启用了复杂性密码要求，这时系统会提示密码不符合复杂性要求，需要按照密码复杂性要求选择密码。图2-9 添加新用户为当前用户选择合适的组，默认的当前用户属于users组，下面提升test的权限，把它放入Administrators组中。方法是：在用户列表中双击test用户，出现用户属性界面，选择【隶属于】选项卡，单击【添加】按钮

13、，出现如图2-10所示界面，在【输入对象名称来选择】编辑框中输入Administrators,单击右侧【检查名称】按钮，出现Administrators组的信息，再单击【确定】即可。图2-10 添加用户到系统管理员组中3添加域用户以Domain Admins组成员的身份登录Windows Server 2003操作系统 （虚拟机）,然后打开【控制面板】|【管理工具】|【Active Directory用户和计算机】，如图2-11所示。图2-11【Active Directory用户和计算机】管理界面右键单击User选项，选择【新建】|【用户】。输入【姓】|【名】以及“用户登录名”，如图2-12

14、所示，然后单击【下一步】。图2-12 输入用户信息;输入并确认密码，清除【用户下次登录时需更改密码】复选框，如图2-13所示，然后单击【下一步】。图2-13 输入新用户密码在右栏中找到刚加入的用户myuser,双击出现该用户的属性信息，单击【成员属于】选项卡，可以修改用户所属的组，修改用户的权限，如图2-14所示。图2-14 新用户的属性3系统审核;设置审核策略的步骤如下：以系统管理员的身份登录到Windows XP操作系统，对审核策略进行修改，选择【控制面板】|【管理工具】|【本地安全策略】|【审核策略】，出现如图2-15所示的管理界面。图 2-15 审核策略管理界面双击右侧栏目的【审核对象访问】，出现如图2-16所示的管理界面，对对象访问的审核策略进行修改。修改完成后单击【确定】即可。； /proc/sys/net/ipv4/icmp_ignore_all用防火墙禁止（或丢弃）icmp包首先启用Iptables服务：services Iptables start配置规则：iptables A INPUT -p icmp j DROP10. 不要显示出操作系统和版本信息。 如果希望某个人远程登录到你的服务器时不要显示操作系统和版本信息，打开并编辑/etc/ 文件，