windows操作系统安全总结.docx

1、windows操作系统安全总结 windows操作系统安全总结篇一： Windows操作系统安全 (一) 一、实验项目名称 Windows 操作系统安全 （一） 二、实验目的 通过实验掌握 Windows 账户与密码的安全设置、文件系统的保护和加密、安全策略与 安全模板的使用、审核和日志的启用、本机漏洞检测软件 MBSA 的使用，建立一个 Windows 操作系统的基本安全框架。根据 Windows 操作系统的各项安全性实验要求， 详细观察并记录设置前后系统的变化，给出分析报告。 三、实验内容与实验步骤 (1)账户与密码的安全设置 (2)启用安全策略与安全模板 (3)用加密软件 EFS 加密硬

2、盘数据 (4)NTFS 文件系统的权限设置和管理 四、 实验环境 1 台 安 装 Windows2017/XP 操 作 系 统 的 计 算 机 ， 磁 盘 格 式 配 置 为 NTFS ， 预 装 MBSA(Microsoft Baseline Security Analyzer)工具。 五、 实验过程与分析 任务一 账户和密码的安全设置 1删除不再使用的账户，禁用 guest 账户 检查和删除不必要的账户，用户列表如下 禁用 guest 账户 1）操作前用 guest 用户登录，可以登录，表示 guest 用户可以用。在其他用户登 录下禁止 guest 用户的使用。2）之后再次注销，试图登陆

3、 guest，发现无法登陆，证明被禁止了。启用账户策略 设置密码策略 1）对密码策略设置如图2）对长度最小值的改变进行测试： 设置只有一个字符的密码，不成功就代表了长度最 小值策略设置成功。 设置账户锁定策略 1）对账户锁定策略设置如图2）对账户锁定阀值进行测试： 连续输入三次错误密码，账户被关闭。证明账户锁定阀值为 3。2）对账户锁定时间进行测试 两分钟之后账户又重新开放，所以账户锁定时间可以为 2。开机时设置为“不自动显示上次登陆账户” 设置后注销重新登录，发现账户不显示。禁止枚举账户名任务二 启用安全策略与安全模块 1启用安全模板 （1）打开系统控制台，为控制台添加安全膜拜和安全配置分析

4、项，并且查看模板配置信息 （2）建立安全数据库，选择一个安全模板将其导入。 （3）按照模板，选择“立即分析计算机”。分析结果如下。 （4）记录当前安全配置，以密码策略为例。 （5）选择“立即配置计算机”，对计算机配置。之后再对计算机分析，可以看到计算机设 置发生了改变，密码长度最小值，密码最长保存期两个不符合模板的项按照模板进行了配 置。2建安全模板 （1）打开控制台，添加“安全模板”、“安全设置和分析”，查看其相关配置。建立安全 数据库，导入安全模板。 （2）新加自设模板 mytem，并且定义安全策略。如图是对密码长度最小值设置。任务三 利用加密软件 EFS 加密硬盘数据 （1） 建立名为

5、MYUSER 的新用户。 （2） 打开硬盘格式为 NTFS 的磁盘，选择要进行加密的文件夹在属性窗口对其设置将其 加密。 （3） 加密完成后，保存当前用户下的文件注销当前用户,以刚才新建的 MYUSER 用户登 陆系统，再次访问加密文件夹，发现其拒绝访问。 （4） 以原来加密文件夹的管理员用户登陆系统，打开系统控制台添加证书，为当前的 加密文件系统 EFS 设置证书。在控制台窗口左侧的目录树中选择“证书”“个人 “证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中。双击此证 书，单击详细信息，则可以看到此证书包含的详细信息。 （5） 选中用于 EFS 的证书,导出证书，并设置保护私钥的密

6、码，然后将导出的证书文件 保存。 （6） 以新建的 MYUSER 登陆系统导入该证书。（7） 再次双击加密文件击中的文件，发现可以进行访问。任务四 NTFS 文件系统的权限设置和管理 1. 为学生创建一个私有的用户文件夹： 在 NTFS 磁盘分区上为用户 stu01 建立一个用户文 件夹 StuData01,用户文件夹只允许用户本人完全控制，用户 tutor 读取访问，其他人 拒绝访问。用其他用户访问，无法访问。2.创建一个学生组公用文件夹 为学生组 Students 在 windows 2017 服务器的 NTFS 磁盘分区上建立一个公用文件夹，该文 件夹允许 students 成员读取及运

7、行，tutor 完全控制，Administrator 只有列出文件夹， 创建文件夹，删除文件夹和文件的权限。并且此文件夹对 Administrator 的 NTFS 权限设置 不传播到子文件夹。3.文件夹共享 （1） 创建一个文件夹 share 共享它。 （2） 为这个文件夹分配共享权限，安全权限 （3） 从网络上访问这个文件夹。尝试用不同账号访问权限 假设： share 共享权限是 everyone 完全控制，完全权限是 everyone 只读，那么用户 从网络上的访问权限是什么？ 回答： 只读权限 假设： share 共享权限是 everyone 只读，完全权限是 everyone 完全控

8、制，那么用户 从网络上的访问权限是什么？ 回答:只读权限 六、 实验结果总结 1如何检查系统是否允许 guest 账户登陆？ 回答： 打开控制面板中的管理工具，选择计算机管理中本地用户和组，打开用户，若guest 用户前有叉号，则已经被禁用。2.如果一个用户（非管理员）创建一个文件夹，内有文件，他设置安全权限，禁止除他以 外的用户访问，请问管理员有权限访问吗？可以的话，如何操作？ 回答： 有的，管理员可以更改文件的所有者，可以把所有者改成自己，就可以访问了。总结： 本实验内容包括对于 windows 账户密码的安全进行设置，启用了安全策略和安全模 板，用加密软件 EFS 加密硬盘数据，设置和管

9、理 NTFS 文件系统四个方面。通过以上的手 段，建立了 windows 操作系统的基本安全框架。 篇二： windows操作系统的安全基本设置实验五 windows 操作系统安全 一、实验目的掌握 windows 操作系统的安全基本设置。掌握： 1、如何查看和终止程序进程 2、如何打开、备份注册表 3、如何设置系统启动选项 4、查看/设置系统的默认共享 5、如何设置win2k/winXP的用户和口令 6、运行一个程序或打开一个文件非常规方法 7、Internet信息服务器（IIS）Web服务安全配置 8、Internet信息服务器（IIS）FTP服务安全配置 9、ping命令、nbtstat

10、命令、IPCONFIG命令、arp命令 二、实验过程 1. 如何查看和终止程序进程 a) win2k/WinXP： 选择“控制面板” “管理工具” “服务”， 打开服务管理窗口， 选择相应的程序服务关闭，或者按“Ctrl+alt+del”打开windows任务管理器，选 择“进程”标签，选择相应程序的执行文件（包括病毒程序）“结束进程”2. 如何打开、备份注册表 a) “开始” “运行” “输入regedit”“确定”b) 在“注册表编辑器”窗口中，“文件” “导出”，选择目标文件夹，命名注册表 文件为regbak.reg c) 在“注册表编辑器”窗口中， “文件” “导入”， 选择刚才导出的

11、文件， 点击“打 开”，导入注册表文件 d) 对win9x注册表锁定（禁止编辑）可采用下面方法 用notepad编写下列内容的文件 REGEDIT4 HKEY_CURRENT_USER(本文来自： WWw.cdfDs. 池 锝 范文 网:windows操作系统安全总结)SoftwareMicrosoftWindowsCurrentVersionPoliciessystem DisableRegistryTools =dword:00000001 选择“文件” “另存为”，“保存类型”选择“所有文件*.*”，“文件名”处输入 “lock.reg” 退出notepad，双击lock.reg文件，即

12、完成。e) 对 win9x 注 册 表 解 除 禁 止 编 辑 的 方 法 同 上 ， 只 需 要 将 DisableRegistryTools =dword:00000001 部 分 改 成 DisableRegistryTools =dword:00000000即可。f) 对Windows XP注册表锁定（禁止编辑）可采用下面方法 用notepad编写下列内容的文件 Windows Registry Editor Version 5.00 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem Disabl

13、eRegistryTools =dword:00000001 选择“文件” “另存为”，“保存类型”选择“所有文件*.*”，“文件名”处输入 “lock.reg” 退出notepad，双击lock.reg文件，即完成g) 对Windows XP注册表解锁的方法是在命令提示符状态下用命令： reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem /va 或命令： reg delete HEKY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio

14、n Policiessystem /v DisableRegistryToolsh) Windows注册表中保存了操作系统设置和操作系统下安装的各种软件的注册信息， 大 家可参阅专门的windows注册表书籍，要注意的是对注册表进行修改之前应进行备份。3. 如何设置系统启动选项 a) 运行注册表编辑器regedit.exe b) 找到键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowsCurrentVersionRunc) 删除相应程序的启动键值（先备份注册表！）d) 在win9x或winXP中也可以这样做： “开始”“运行” 输入msconfig命令e)

15、在弹出的窗口中可以取消相应程序的启动选项 4. 查看/设置系统的默认共享 a) 默认共享会导致系统的安全性，通过以下步骤： “开始” “运行” 输入 mand(for win9x)或cmd(for win2k/winXP)进入命令行，然后输入命令“net share”即可查看系统的共享情况（当然查看共享的方法还有其它多种方法，自己 思考）： b) 用以下命令删除共享： net share /delete 共享名 ，例如命令net share /delete C$将win2k/winXP的默认共享C$删除。但操作系统重新启动之后， 默认共享又存在。解决这种问题的方法是用文本编辑软 件如edit.

16、或notepad.exe建立一个批处理文件，例如delshare.bat，其内容如 下： net share /delete C$ net share /delete ADMIN$ 然后将该批处理文件delshare.bat放入操作系统“程序” “启动”组中，这样每次系统 启动时即可删除默认的共享。5. 如何设置win2k/winXP的用户和口令 a) “控制面板” “管理工具” “计算机管理” “本地用户和组”即可设置 新的系统用户或设置密码。6. 运行一个程序或打开一个文件非常规方法 a) 只要有操作系统某一窗口（如“我的电脑”）的地址栏或IE浏览器的地址栏，我们 就可以做很多事情，而一般

17、情况下IE的地址栏是不会受限制的 b) 假如“开始” “运行”菜单受限制， 则可以通过地址栏输入来运行一个程序或打 开一个文件。例如： win9x： 在地址栏输入c:windowsmand. 回车 即可进入命令提示行状态。 winXP： 在地址栏输入c:windowssystem32cmd.exe 回车 即可进入命令提示行状 态。win2k： 在地址栏输入c:winntsystem32cmd.exe 回车 即可进入命令提示行状 态 。运 行 Microsoft Word ： 在 地 址 栏 输 入 C:Program FilesMicrosoft OfficeOfficewinword.exe

18、 回车 即可运行word软件。 在地址栏输入d:myfoldertest.txt 回车 即可启动记事本并打开文件test.txt 在地址栏输入d: 回车 即可浏览硬盘D:的文件和文件夹。等等 7. Internet信息服务器（IIS）Web服务安全配置 a) 安装IIS服务 b) 配置IIS服务及安全配置，“控制面板”“管理工具” Internet服务器管理 c) 选择默认WEB站点 d) 打开“目录安全性”，设置“IP地址或域名限制”。8. Internet信息服务器（IIS）FTP服务安全配置 a) 安装IIS服务 b) 配置IIS服务及安全配置，“控制面板”“管理工具” Internet

19、服务器管理 c) 选择默认FTP站点，选择HOME DIRECTORY，改变FTP目录 d) 保留读取和日志访问选项 e) 打开“目录安全性”，设置“IP地址或域名限制”。f) 设置FTP客户匿名登陆。9. ping命令、nbtstat命令、IPCONFIG命令、arp命令 a) ping命令用来检测网络连接，在命令行方式下，ping命令格式： ping IP地址 -t（参 数-t是等待用户按ctrl+c去中断测试），例如： ping 210.45.157.10 t b) nbtstat命令用来检测对方计算机所在的组（group）、域（domain）、当前用户名， 例如： 10. 命令行方式下

20、，使用ipconfig或winipcfg命令（for win9x）用来查看本地DNS、IP地址、 MAC地址（物理地址）。使用格式ipconfig /all11. 命令行方式下，arp命令用来探测ip地址和mac地址的绑定。使用格式arp a12. 命令行方式下，net命令 a) net view 显示网络上的计算机列表b) net view 目标机器的IP地址 显示目标机器上的共享资源c) net user 显示用户列表d) net config server /hidden:yes 在网上邻居上隐藏你的计算机e) net config server /hidden:no 在网上邻居上不隐藏

21、你的计算机13. 命令行方式下，route print显示你的机器的路由设置14. 命令行方式下， tracert 主机名或IP地址 进行到目标机器的路由跟踪。例如： tracert 210.45.144.15则显示到IP地址为210.45.144.15目标机器的路由信息（路由即是路径） 三、所用仪器、材料 所用仪器、 PC 机一台 四、实验总结 Windows 操作系统之所以称霸世界的另一个原因是它的易用性。一个没有学过任何计算 机专业知识的人，也会在几天甚至更短的时间内掌握操作系统的基本操作方法。现在很多 所谓的黑客高手基本上是拿着别人写好的漏洞攻击程序，敲几下键盘，单击几下鼠标，就 能侵

22、入 Windows 系统。我们应该清楚任何操作系统都会存在漏洞，这一点必须要了解，只 有了解这一点，才能有意识的采取相应的措施，使操作系统更加安全。 篇三： 操作系统安全实验一-Windows操作系统的安全实验北京信息科技大学信息管理学院课程设计报告课程名称 题 目操作系统安全课程设计 Windows 操作系统的安全实验 孙 璇指导教师 设计起止日期2017 年 12 月 5 日系 专别 业信息管理学院 信息安全学生姓名 班级/学号 成 绩1北京信息科技大学信息管理学院（课程设计）实验报告实验名称 1. 课程设计目的： Windows 操作系统的安全实验实验地点607实验时间 （1）理解操作系

23、统安全的重要性 （2）熟悉操作系统安全机制，以及 Windows 安全策略 （3）掌握对 Windows 操作系统进行安全配置的基本方法和步骤，并能根据实际应用要求构 建一个 Windows 操作系统的基本安全框架。2. 课程设计内容： 1. 利用 Windows XP 的安全配置工具来配置安全策略 ? 本实验将配置帐户策略和本地策略中的审核策略， 并使用事件查看器来 查看修改审核策略事件的安全日志。1) 开启帐户策略： a) 开启密码策略: 密码对系统安全非常重要。本地安全设置中的密码策略 在默认的情况下都没有开启。需要开启的密码策略如表 2-1 所示。表 2-1 b) 开启帐户锁定策略:

24、帐户锁定策略可以有效地防止字典式攻击，设置如1表 2-2 所示。表 2-2 2) 开启审核策略。安全审核是 Windows XP 最基本的入侵检测方法。当有人尝试对系统进行某种 方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时 候，都会被安全审核记录下来，记录到安全日志中。需要开启的审核策略如表 2-3 所示。表 2-3 3）使用事件查看器察看安全日志。对于在安全策略中指定审核的事件，其审核报告将被写入安全日志中，可以使2用“事件查看器”来查看。打开“控制面板”-“管理工具”-“事件查看器”。点击“安全性”选项， 观察审核事件列表。2. 停用不必要的帐号 应该在计算机管理单

25、元中查看系统的活动帐号列表，禁用所有非活动用户，特 别是 Guest。配置步骤如下： 进入“控制面板”-“计算机管理”，打开“系统目录”下的“本地用户和 组”，确认“Guest”帐号已停用。3. 重命名管理员账户 Windows XP 中的 Administrator 帐号是不能被停用的， 这意味着别人可以一 遍又一边的尝试这个帐户的密码。把 Administrator 帐户改名可以有效的防 止这一点。不要使用 Admin 之类的名字，改了等于没改，尽量把它伪装成普通用户， 比如改成： guestone。具体操作的时候只要选中帐户名改名就可以了。4. 创立陷阱帐号： 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限 设置成最低，什么事也干不了的那种，并且加上一个超过 10 位的超级复杂密 码。3这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企 图。可以将该用户隶属的组修改成 Gues