【网络安全】Windows系统安全实验

news2024/11/25 11:34:33

3模块  Windows操作系统安全部分

3.1  帐户和口令的安全设置

3.1.1 实验目的

本章实验的目的主要是熟悉Windows操作系统中帐户和口令的安全设置,掌握删除、禁用帐户的方法,了解并启用密码策略和用户锁定策略,体验查看“用户权限分配”、查看“用户组权限分配”、 在安全选项中设置“开机不自动显示上次登录帐户”、 禁止枚举帐户名和禁止远程访问注册表等操作,切实提高安全防范意识。

3.1.2 实验环境

1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。

3.1.3 实验内容和步骤

1. 删除不再使用的帐户并禁用guest帐户

共享账户、guest帐户等具有较弱的安全保护,常常都是黑客们攻击的对象,系统的帐户越多,被攻击者攻击成功的可能性越大,因此要及时检查和删除不必要的帐户,必要时禁用guest帐户。

首先检查和删除不必要的账户。右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户帐户”项,再点击“用户帐户”、“管理帐户”,列出了系统的所有帐户:

我们创建一个新帐户。点击“在电脑设置中添加新用户”:

点击“将其他人添加到这台电脑”:

 

点击“我没有这个人的登录信息”:

填写相关信息后点击“下一步”:

新用户创建完成!

在“此电脑”右键点击“管理”,在管理界面左侧栏点击“本地用户和组”,点击“用户”,选中“95157”,右键点击“属性”,勾选“帐户已禁用”,这样就把帐户95157禁用了。若要删除用户,就点击上方红色“x”号,删除用户。

2.启用密码策略和帐户锁定策略

帐户策略是Windows帐户管理的重要工具。

打开“控制面板”,“查看方式”选择“小图标”,点击“管理工具”—“本地安全策略”,选择“帐户策略”,双击“密码策略”,弹出如下所示的窗口。密码策略用于决定系统密码的安全规则和设置。

其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特性的设置。

(1)双击“密码必须符合复杂性要求”,选择“启用”:

下面我们看一下策略是否启动,打开“控制面板”—“用户帐户”—“用户帐户”—“管理帐户”—“更改帐户”—“创建密码”:

在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。例如,若输入密码为L123456,则弹出“密码不符合要求”的对话框;若输入密码为L_123456,密码被系统接受。

(2)双击“密码长度最小值”,在弹出的对话框中设置可被系统接纳的帐户密码长度最小值,例如设置为6个字符。一般为了达到较高的安全性,建议密码长度的最小值为8。

(3)双击“密码最长使用期限”,在弹出的对话框中设置系统要求的帐户密码的最常使用期限为42天。设置密码自动保留期,可以提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。

(4)双击“密码最短使用期限”,在弹出的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改密码帐户。

(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。 至此,密码策略设置完毕。

帐户策略中的第2项是帐户锁定策略,它决定系统锁定帐户的时间等相关设置。 打开“帐户锁定策略”,弹出如下所示的窗口:

(1)双击“帐户锁定阈值”,在弹出的对话框中设置帐户被锁定之前经过的无效登录次数,如3次,以便防范攻击者利用管理员身份登录后无限次的猜测帐户的密码(穷举法攻击)。

(2)双击“帐户锁定时间”,在弹出的对话框中设置帐户被锁定的时间,如5min。此后,当某帐户无效登录(如密码错误)的次数超过3次时,系统将锁定该帐户5min。

要求:策略设置完毕后,可以尝试输入错误密码,锁定账户。

 

3.查看“用户权限分配”

系统中任何一个文件或文件夹,都有以其为客体的访问控制规则,这里我们进行查看。针对目标文件或文件夹,右键单击“属性”,“安全”,可以查看系统中的主体对其的访问控制权限,进一步可通过“编辑”,修改某一个主体的访问控制权限。

要求:尝试创建标准用户,并用该账号登录后新建文件,设置访问控制规则,使得管理员账户的访问权限低于标准用户。

如图,管理员无法访问“文件夹1”,但普通用户可以访问。

4.查看“用户组权限分配”

在访问控制中,系统对用户组有一个粗略的系统权限分配,我们可以在“本地策略”中查看,并做编辑修改,如下图所示。要求:请你分析本地机器的访问控制策略是否合理,如果需要修改,请给出理由。

备份文件和目录

5.在安全选项中设置“开机不自动显示上次登录帐户”

Windows默认设置为开机时自动显示上次登陆的帐户名,许多用户也采用了这一设置。这对系统来说是很不安全的,攻击者会从本地或Terminal Service的登陆界面看到用户名,并尝试破解密码。

要禁止显示上次的登陆名,可作如下设置:

打开“控制面板”,打开“管理工具”选项下“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“交互式登录:不显示最后的用户名”选项,在弹出的对话框中选择“已启用”,完成设置。

6.禁止枚举帐户名

为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。

要禁止枚举帐户名,可执行以下操作:

打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“网络访问:不允许SAM帐户和共享的匿名枚举” 选项,在弹出的对话框中选择“已启用”,完成设置。

7.禁止远程访问注册表

允许远程访问注册表风险极大,将远程访问注册表的路径设置为空,可以有效避免黑客利用扫描器通过远程注册表读取或更改系统信息。

打开控制面板,选择“管理工具”,双击“本地安全策略”,依次打开“本地策略”—“安全选项”,在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”,双击打开,将路径删除。

此外,在“安全选项”中还有多项增强系统安全的选项,请自行查看。

要求:列出10条你认为有必要的安全选项做设置并解释。

①Windows 使用安全策略设置“交互式登录:计算机非活动限制”来检测登录用户的活动情况,如果非活动时间量超过此策略设置的非活动限制,则用户可以通过调用屏幕保护程序处于活动状态来锁定会话。如果配置了“交互式登录:计算机不活动限制”的安全策略设置,则设备不仅在非活动时间超过非活动限制时锁定,而且在屏幕保护程序激活或屏幕因电源设置而关闭时锁定。我们将时间设置为10秒。

②“交互式登录:计算机帐户阈值”安全策略设置在启用了BitLocker的计算机上强制实施锁定策略,以保护操作系统卷。可以设置导致设备使用BitLocker锁定的失败登录尝试次数的阈值。此阈值意味着,如果超过指定的最大失败登录尝试次数,设备将使受信任的平台模块(TPM)保护程序和除48位恢复密码以外的任何其他保护程序失效,然后重新启动。 在设备锁定模式下,计算机或设备仅启动Windows 恢复环境(WinRE),直到授权用户输入恢复密码以还原完全访问权限。我们将最大登录次数设置为5次。

③“用户帐户控制:允许UIAccess应用程序在不使用安全桌面的情况下提升权限”策略决定了用户界面辅助程序是否可以绕过安全桌面,一般设置为“已禁用”,如果启用该选项,应用程序就可以直接按照应用需求提升权限,这样会增加系统的风险,因为可能会被恶意程序所利用。

④“用户帐户控制:用于内置管理员帐户的管理员批准模式”在启用时,本地管理员帐户像标准用户帐户那样运行,但它能够在不使用其他帐户登录的情况下提升权限。在此模式下,任何需要提升权限的操作均会显示可让管理员允许或拒绝提升权限的提示。如果未启用管理员批准模式,内置的管理员帐户默认在完全管理权限下运行所有应用程序。一般将此策略设置为“已禁用”。

⑤“用户帐户控制:提示提升时切换到安全桌面”策略决定了提升请求是在交互式用户桌面上提示还是在安全桌面上提示。如果启用,则包括管理员和标准用户的所有提升请求都将转换至安全桌面;如果禁用,则所有提升请求都将转至交互用户桌面。为了提高计算机的安全性,将该策略设置为“已启用”。

⑥“域控制器:允许服务器操作者计划任务策略决定了服务器操作员是否可以使用at命令提交作业。如果启用此策略,服务器操作员通过 at 命令创建的作业将在运行任务计划程序服务的帐户中运行。为安全起见,将该策略设置为“已禁用”。

“帐户:使用空白密码的本地帐户只允许进行控制台登录”策略一般设置为“已启用”,这表示如果账户密码为空,则只有本地才能登入。如果把该策略禁用,就意味着访客只需要知道用户名就可以访问,非常不安全。

⑧“系统设置: 将Windows可执行文件中的证书规则用于软件限制策略”用于确定在启用软件限制策略时是否处理数字证书,启用该策略会令软件限制策略检查证书吊销列表(CRL)以确保软件的证书和签名有效,从而提高安全性,所以建议启用。

⑨启用“用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置”有助于将应用程序写入失败重定向到文件系统和注册表的定义用户位置,从而防止较旧的应用程序将数据写入不安全的位置。

⑩“用户帐户控制:以管理员批准模式运行所有管理员”策略建议启用。在这种模式下,即使是用管理员账号登陆系统,此账号也会以一个普通标准用户的权限运行,如果有软件需要提升到管理员权限再提示对系统做相应的更改。如果禁用该策略,可能会有恶意软件私自篡改系统文件的风险,导致系统安全受到威胁和损害。

3.2  Bitlocker磁盘加密

3.2.1 实验目的

Windows10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密。Bitlocker的优势在于,除了设置密码的用户本人,其他任何人都不能打开加密的磁盘,可以避免因物理设备的丢失造成的用户信息泄露。

3.2.2 实验环境

1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。

3.2.3 实验内容和步骤

1.启动Bitlocker服务

“控制面板”—“管理工具”—“组件服务”—“服务(本地)”,在右边页面中找到“Bitlocker Drive Encryption Service”,双击打开,把启动类型改为“启用”状态。

2.对磁盘进行Bitlocker加密

在资源管理器中选择要加密的磁盘,右键单击,点Bitlocker操作。

设置加密密码,并对密钥生成备份文件。

3.3  启用审核与日志查看

3.3.1 实验目的

熟悉Windows操作系统的审核策略设置与日志查看方法,增强安全意识。

3.3.2 实验环境

1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。

3.3.3 实验内容和步骤

1.打开审核策略

(1)打开“控制面板”中的“管理工具”,选择“本地安全策略”;

(2)打开“本地策略”中的“审核策略”,可以看到当前系统的审核策略;

(3)双击每项策略可以选择是否启用该项策略。例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审计登录事件”将对每次用户的登录进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关的审核策略。审核策略启用后,审核结果放在各种事件日志中。

2、查看事件日志

(1)打开“控制面板”中的“管理工具”,双击“事件查看器”,安全日志用于记录刚才上面审核策略中所设置的安全事件。

(2)双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录。例如,查看用户登录/注销的日志,弹出分别为登录事件的失败审核与成功审核的对话框。可以看到日志中详细记录了登录的时间、账户名、错误类型等信息。其中,“事件ID”用于标示各事件的类型。各ID的意义可以查看Microsoft网站。

要求:请修改审核策略后,再查看日志文件,对比审核策略修改前后,系统审计日志的变化。

修改前:

修改后:

查看安全日志:

3.4  启用安全策略与安全模板

3.4.1 实验目的

掌握Windows操作系统的安全策略与安全模板的设置方法。

3.4.2 实验环境

1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。

3.4.3 实验内容和步骤

(1)单击“开始”,选择“运行”按钮,在对话框中输入mmc,打开系统控制台。

(2)单击工具栏上的“控制台”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全配置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。

(3)此时系统控制台中根节点下添加了“安全模板”、“安全配置分析”两个文件夹。打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”可以看该模板的相关信息。选择“打开”,右侧窗口出现该模板中的安全策略,双击每种安全策略可看到相关配置。

添加模板,命名为my。

(4)右键单击“安全配置与分析”,选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称,例如起名为my.sdb,如所示。单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。

(5)右键单击“安全配置与分析”,选择“立即分析计算机”,单击“确定”按钮。系统开始按照上一部中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。分析完毕后,可在目录中选择查看各安全设置的分析结果。

(6)右键单击“安全配置与分析”,选择“立即配置计算机”,则按照第(4)步中所选择的安全模板的要求对当前系统进行配置。如果事先对系统的缺省配置选项作了记录,接着记录启用安全模板后系统的安全设置,与启用前进行比较,即可发现,如果选用的安全模板级别较高,则使用安全模板后系统的安全配置选项增加了许多。

要求:制定自己的安全策略,创建并使用你认为较好的安全模板,对比使用模板前后的策略变化。

首先添加模板,输入模板的名称,假设是template。新的模板将在左边窗格中作为一个节点列出,位于预制的模板之下。接下来的所有设置都可以在template节点下完成。

第一部分,设置Administrator组,只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的template节点,选中“受限制的组”,选择菜单“添加组”。

在新出现的对话框中,依次点击“浏览”、“高级”、“立即查找”并找到本地工作站或成员服务器的Administrators组。

接下来设置模板的第二部分,使得任何拥有C:\adminstuff文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中,右击“文件系统”,选择“添加文件”,在“添加文件或文件夹”对话框中找到或者输入C:\adminstuff目录,点击“确定”。

 出现一个标准的NTFS权限设置对话框,加入对本地Administrators组的“完全控制”授权。注意NTFS安全设置对话框里还可以调整高级NTFS选项,例如设置审核功能、所有者权限等。点击“确定”,系统会询问是否把权限设置传播给所有子文件夹和文件,根据需要选择一个选项,点击“确定”。

 

第三部分,在控制台左边的窗格中,点击“系统服务”,将不需要的服务禁用。

右击控制台左边窗格中的template模板,选择保存。现在在C:\Users\26909\Documents\Security\Templates目录下就有了一个template.inf文件。

这一部分的实验让我认识到了Windows自带的安全模板和安全策略也可以对我们的系统进行一定的保护,并且学会了创建一个安全模板。安全模板可以实现控制组的成员,并且设置仅限本地用户组访问,同时禁用不需要的服务来保证安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/365344.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何在Linux环境下用VI编辑器写C程序编译C程序运行C程序

我是荔园微风,作为一名在IT界整整25年的老兵,今天我们来重点说一说如何在Linux环境下用VI编辑器写C程序编译C程序运行C程序。相信大家在Windows环境下写C程序编译C程序运行C程序怎么弄都已经很清楚了,现在我们来看在Linux下如果来做&#xff…

Vue 在for循环中动态添加类名及style样式集合

介绍 在vue的 for 循环中,经常会使用到动态添加类名或者样式的情况,实现给当前的选中的 div 添加不同的样式。 动态添加类名 提示: 所有动态添加的类名,放在表达式里都需要添加引号,进行包裹。 通过 对象 的形式&a…

Git ---- Git 分支操作

Git ---- Git 分支操作1. 什么是分支2. 分支的好处3. 分支的操作1. 查看分支2. 创建分支3. 修改分支4. 切换分支5. 合并分支5. 产生冲突4. 创建分支和切换分支图解1. 什么是分支 在版本控制过程中,同时推进多个任务,为每个任务,我们就可以创…

【已解决】安装cv2时Building wheel for opencv-python终端卡死

目录1 问题背景2 问题探索3 问题解决4 告别Bug1 问题背景 环境: Ubuntu20.04Python3.6 现象:终端输出类似下面的命令,并卡住不动 Building wheel for opencv-python (PEP 517) ... 2 问题探索 首先,OpenCV较旧的Python版本不需要…

什么是自动化运维?为什么选择Python做自动化运维?

“Python自动化运维”这个词,想必大家都听说过,但是很多人对它并不了解,也不知道是做什么的,那么你对Python自动化运维了解多少呢?跟着蛋糕往下看。 什么是Python自动化运维? 随着技术的进步、业务需求的快速增长,…

网友爆料奇葩leader:日报要精确到0.5小时,每晚检查!每周写周计划,评审ABCD等级,午休不许刷手机、看视频、玩游戏!...

这样的leader你能接受吗?一位网友吐槽:一个团队6个人,加上leader一共7个人。leader要求每天写日报,并且要精确到0.5小时,格式必须正确,每天晚上都看,下班后各种问进度。每周一要写周计划&#x…

IM即时通讯构建企业协同生态链

在当今互联网信息飞速发展的时代,随着企业对协同办公要求的提高,协同办公的定义提升到了智能化办公的范畴。大多企业都非常重视构建连接用户、员工和合作伙伴的生态平台,利用即时通讯软件解决企业内部的工作沟通、信息传递和知识共享等问题。…

Pytorch 网络结构的可视化

在构建网络的过程中,需要查看网络结构,以便于优化,使用Pytorch常用的可视化工具有 1.Hidden layer myNet U_Net() print(myNet)# ## 可视化卷积神经网络,MyConvnet是定义的神经网络结构 hl_graph hl.build_graph(myNet, torch.zeros([1, 3…

国产蓝牙耳机哪个好用?国产好用的蓝牙耳机推荐

现如今,国产蓝牙耳机越来越受到人们关注,国产蓝牙耳机近几年的发展愈发迅猛,配置上相对于非国产蓝牙耳机来说也毫不逊色。那么,国产蓝牙耳机哪个好用?下面,我来给大家推荐几款好用的蓝牙耳机,一…

电脑应用程序在c盘怎么转移到d盘?建议先收藏

电脑应用程序在c盘怎么转移到d盘?很多小伙伴第一反应就是直接剪切,这种方法对于普通文件来说很简单、也很方便,只需执行CtrlX就能办到,然而对于已安装的应用程序,这并不是明智的做法。因为直接剪切粘贴后,应…

【概念辨析】二维数组传参的集中可能性

一、二维数组传参竟然不是用二级指针进行接收? 今天进行再一次的二级指针学习时,发现了一条以前没怎么注意过的知识点:二维数组进行传参只能用二维数组(不能省略列)进行接收或者是数组指针。 问题复现代码如下&#xf…

ChatGPT 编写模式:如何高效地将思维框架赋予 AI ?

如何理解 Prompt ?Prompt Enginneeringprompt 通常指的是一个输入的文本段落或短语,作为生成模型输出的起点或引导。prompt 可以是一个问题、一段文字描述、一段对话或任何形式的文本输入,模型会基于 prompt 所提供的上下文和语义信息&#x…

现有安全技术

现有的安全技术 防火墙技术 数据机密性技术 防火墙技术比较静态地保护网络支付涉及的客户端网络商家网络、金融专用网络等网络级的安全,数据传输过程中的安全性则需要数据机密性技术进一步给以保护 我们将源信息称为明文。为了保护明文,将其通过某种…

LMR23630APQDRRTQ1应用INA2181A1QDGSRQ1电流检测放大器电路图

LMR23630/LMR23630-Q1 SIMPLE SWITCHER降压转换器是易于使用的36V、3A同步降压稳压器。该器件的宽输入电压范围为 4.5V 至 36V,适用于调节从工业到汽车等各类应用中非稳压电源的电源调理。采用了峰值电流模式控制,以实现对环路补偿和逐周期电流限制的简单…

Docker 容器命令 和安装各种镜像环境

CentOS安装Docker 1.1.卸载(可选) 如果之前安装过旧版本的Docker,可以使用下面命令卸载: yum remove docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotat…

Qt-FFmpeg开发-保存视频流裸流(11)

Qt-FFmpeg开发-保存视频流裸流📀 文章目录Qt-FFmpeg开发-保存视频流裸流📀1、概述📸2、实现效果💽3、FFmpeg保存裸流代码流程💡4、主要代码🔍5、完整源代码📑更多精彩内容👉个人内容…

【HTML】我的花儿我做主~ 指定花瓣的数量,生成花朵~

效果图 前言(赛时灵感) 在比赛开始前,就一直没有灵感,不知道参与哪个赛道。也还不知道用啥去做。 直到比赛开始,还是没想到。 最后在比赛快要结束的第五天三更半夜的时候; 突然想到,既然要浪漫&…

每日学术速递2.23

Subjects: Robotics 1.On discrete symmetries of robotics systems: A group-theoretic and data-driven analysis ​ 标题:关于机器人系统的离散对称性:群论和数据驱动分析 作者:Daniel Ordonez-Apraez, Mario Martin, Antonio Agudo, F…

python中的取整、四舍五入和输出小数点后n位

各种取整 1.int是向下取整 2.math.ceil(num)是向上取整 3.math.floor(num)是向下取整 4.round(num)一般情况下是四舍五入取整(round毛病多) 四舍五入 1.round()可以四舍五入 2.int()也可以 这样写(数后面0.5)&#xff1a…

Python 爬虫通用代码框架代码示例

刚开始入门学习python爬虫会遇到各种各样的问题,如果以当时的学识想必处理起来也十分困难,那么,如果你拥有良好的编程习惯会让你轻松很多。 当我们在使用Requests库时经常遇到的问题无非是网络问题,连接的超时问题,或…