目录 实验八id0ms系统安全设置.3 一、账户和密码的安全设置.3 二、关闭远程注册表服务.4 三、设置登录系统时不显示上次登录的用户名.5 四、设置注册表防止系统隐私信息被泄露.5 五、启用审核与日志查看.5 六、了解任务管理器.6 218
2 / 8 目录 实验八 Windows 系统安全设置.3 一、账户和密码的安全设置 .3 二、关闭远程注册表服务 .4 三、设置登录系统时不显示上次登录的用户名 .5 四、设置注册表防止系统隐私信息被泄露 .5 五、启用审核与日志查看 .5 六、了解任务管理器 .6
实验八Windows系统安全设置 实验日期:2015年6月2日 实验成绩: 实验目的: 1.了解Windows操作系统的安全配置: 2.学习使用常用的网络命令,了解本机安全状态: 3.掌握使用Windows自带审核策略的使用方法: 4.掌握Windows事件查看器的使用方法 实验环境(设备、仪器、网络): 系统环境:Windows Server2003 Enterprise Edition 网络环境:交换网络结构 实验工只: 注册表工具RegEdit 实验类型: 验证型 实验内容(实验方案、实验步骤、测量数据及处理等): 1)账户与密码的安全设置 2)关闭远程注册表服务 3)设置登录系统时不显示上次登录的用户名 4)设置注册表防止系统隐私信息被泄露 5)宙核与日志杏看 61 了解任务管理器 实验步骤 本练习主机A、B为一组(两人一组)。 使用快照X"恢复Windows系统环境。 一、账户和密码的安全设置 1、别除不再使用的账户,禁用guet账户 (④)检查和删除不必要的账户 右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项:在弹出的 对话框中中列出了系统的所有账户。确认各账户是否仍在使用,别除其中不用的账户。 (②)禁用guest账户 打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右健单 318
3 / 8 实验八 Windows 系统安全设置 实验日期:_2015_年_6_月_2_日 实验成绩:_ 实验目的: 1. 了解 Windows 操作系统的安全配置; 2. 学习使用常用的网络命令,了解本机安全状态; 3. 掌握使用 Windows 自带审核策略的使用方法; 4. 掌握 Windows 事件查看器的使用方法 实验环境(设备、仪器、网络): 系统环境:Windows Server 2003 Enterprise Edition 网络环境:交换网络结构 实验工具: 注册表工具 RegEdit 实验类型: 验证型 实验内容(实验方案、实验步骤、测量数据及处理等): 1) 账户与密码的安全设置 2) 关闭远程注册表服务 3) 设置登录系统时不显示上次登录的用户名 4) 设置注册表防止系统隐私信息被泄露 5) 审核与日志查看 6) 了解任务管理器 实验步骤 本练习主机 A、B 为一组(两人一组)。 使用“快照 X”恢复 Windows 系统环境。 一、账户和密码的安全设置 1、删除不再使用的账户,禁用 guest 账户 ⑴ 检查和删除不必要的账户 右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项; 在弹出的 对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。 ⑵ 禁用 guest 账户 打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单
击gust账户,在弹出的对话框中选择“属性”,在弹出的对话框中“帐户已停用”一栏前打勾。 确定后,观察guest前的图标变化,并再次试用guest用户登陆,记录显示的信息。 2、启用账户策略 (1)设置密码策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”:双击“密码策略”,在 右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据选择的安全策略,尝试对用户的密码 进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。 (②)设置账户锁定策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如20min) 重启计算机,进行无效的登陆(如密码错误),当次数超过3次时,记录系统锁定该账户的时间,并 与先前对“账户锁定时间”项的设置进行对比。 3.禁止枚举账户名 右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本 地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“对匿名连接的 额外限制”项,在“本地策略设置”中选择“不允许枚举SAM账户和共享”。 此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。 二、关闭远程注册表服务 默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册 表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(Remote Registry)的话他还可 以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务 关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启 要想彻底关闭远程注册表服务可以采用如下方法: 1、通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。 2、找到注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的“RemoteRegistry”项 3、右键点击“RemoteRegistry”项,选择“刚除”。 418
4 / 8 击 guest 账户,在弹出的对话框中选择“属性”,在弹出的对话框中“帐户已停用”一栏前打勾。 确定后,观察 guest 前的图标变化,并再次试用 guest 用户登陆,记录显示的信息。 2、启用账户策略 ⑴ 设置密码策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在 右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据选择的安全策略,尝试对用户的密码 进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。 ⑵ 设置账户锁定策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如 3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如 20 min )。 重启计算机,进行无效的登陆(如密码错误),当次数超过 3 次时,记录系统锁定该账户的时间,并 与先前对“账户锁定时间”项的设置进行对比。 3.禁止枚举账户名 右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本 地安全策略”项,选择“本地策略”中的“安全选项”, 并在弹出的窗口右侧列表中选择“对匿名连接的 额外限制”项,在“本地策略设置”中选择“不允许枚举 SAM 账户和共享”。 此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。 二、关闭远程注册表服务 默认情况下 Windows 系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册 表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(Remote Registry)的话他还可 以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务 关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。 要想彻底关闭远程注册表服务可以采用如下方法: 1、通过任务栏的“开始->运行”,输入 regedit 进入注册表编辑器。 2、找到注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的“RemoteRegistry”项。 3、右键点击“RemoteRegistry”项,选择“删除
三、设置登录系统时不显示上次登录的用户名 用户在登录Windows2003时,Windows2003会自动在在登录对话框中显示出上次登录的用户名称, 如果这是一台公共计算机,就有可能造成用户名的泄露,从而给一些不怀好意的人以可乘之机。 如果你是系统管理员,你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消,这 样Windows2003就会要求用户每次登录时都必须键入用户名,从而提高计算机的使用安全性。 不显示上次登录的用户名 1、打开“我的电脑” “控制面板”,双击打开“管理工具”。 2、在“管理工具”界面中,双击打开“本地安全策略”。 3、在弹出的“本地安全设置”对话框中,选择“安全选项”。 4、在“安全选项”列表中,选择“交互式登录:不显示上次的用户名”。 5、单击右键,选择“属性”。 6、在弹出的“交互式登录:不显示上次的用户名属性”选项框中,选择“已启用”,单击“确定”按 钮,完成设置。 四、设置注册表防止系统隐私信息被泄露 在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保 存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的 隐私信息。因此我们要阻止该程序将信息泄露出去。 找到 “HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug”,将AUTO键值 设置为O,现在DR.WATSON就不会记录系统运行时的出错信息了。 在注册表中进行设置 1、单击“开始”一“运行”,输入“regedit”打开注册表编辑器。 2、在注册表编辑器中找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT CurrentVersion\AeDebug”J项。 3、在右边对应的键值中找到“UTO”,右键单击,在弹出的莱单中,选择“修改”。 4、在弹出的“编辑字符串”对话框,“数值数据”下输入“0”,点击“确定”按钮,设置完成。 五、启用审核与日志查看 1.启用审核策略 (1)打开“控制面板”中的“管理工具”,选择“本地安全策略”。 (②)打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。 (③)双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、刷除用户 等操作进行记录,“审核登陆事件”将对每次用户的登陆进行记录:“审核过程追踪”将对每次启动或者退 5/8
5 / 8 三、设置登录系统时不显示上次登录的用户名 用户在登录 Windows 2003 时,Windows 2003 会自动在在登录对话框中显示出上次登录的用户名称, 如果这是一台公共计算机,就有可能造成用户名的泄露,从而给一些不怀好意的人以可乘之机。 如果你是系统管理员,你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消,这 样 Windows 2003 就会要求用户每次登录时都必须键入用户名,从而提高计算机的使用安全性。 不显示上次登录的用户名 1、打开“我的电脑”——“控制面板”,双击打开“管理工具”。 2、在“管理工具”界面中,双击打开“本地安全策略”。 3、在弹出的“本地安全设置”对话框中,选择“安全选项”。 4、在“安全选项”列表中,选择“交互式登录:不显示上次的用户名”。 5、单击右键,选择“属性”。 6、在弹出的“交互式登录:不显示上次的用户名属性”选项框中,选择“已启用”,单击“确定”按 钮,完成设置。 四、设置注册表防止系统隐私信息被泄露 在 Windows 系统运行出错的时候,系统内部有一个 DR.WATSON 程序会自动将系统调用的隐私信息保 存下来。隐私信息将保存在 user.dmp 和 drwtsn32.log 文件中。攻击者可以通过破解这个程序而了解系统的 隐私信息。因此我们要阻止该程序将信息泄露出去。 找到 “HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”,将 AUTO 键值 设置为 0,现在 DR.WATSON 就不会记录系统运行时的出错信息了。 在注册表中进行设置 1、单击“开始”—“运行”,输入“regedit”打开注册表编辑器。 2、在注册表编辑器中找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\ AeDebug”项。 3、在右边对应的键值中找到“AUTO”,右键单击,在弹出的菜单中,选择“修改”。 4、在弹出的“编辑字符串”对话框,“数值数据”下输入“0”,点击“确定”按钮,设置完成。 五、启用审核与日志查看 1.启用审核策略 (1) 打开“控制面板”中的“管理工具”,选择“本地安全策略”。 (2) 打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。 (3) 双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、删除用户 等操作进行记录,“审核登陆事件”将对每次用户的登陆进行记录;“审核过程追踪”将对每次启动或者退
出的程序或者进程进行记录,根据需要启用相关审核策略,审核策略启用后,审核结果放在各种事件日志 中。 2.查看事件日志 (1)打开“控制面板”中的“管理工具”,双击“事件查看器“,在弹出的窗口中查看应用程序、系统 安全的3种日志。 (2)双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录,例如:查看用户登陆/注 销的日志。 六、了解任务管理器 Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信 息,可以显示最常用的度量进程性能的单位:如果连接到网络,那么还可以查看网络状态并迅速了解网络 是如何工作的。对任务管理器有所了解可以帮助我们了解本机工作状态,及时发现安全威肋和隐患 1.启动任务管理器 按Ctl+At+De进入任务管理器 2.了解应用程序 显示了所有当前正在运行的应用程序,不过它只会显示当前已打开窗口的应用程序,而QQ、MSN Messenger等最小化至系统托盘区的应用程序则并不会显示出来。 1)点击“结束任务”按钮直接关闭某个应用程序,如果需要同时结束多个任务,可以按住C键复选 点击“新任务”按钮,可以直接打开相应的程序、文件夹、文档或Internet资源,如果不知道程序的 名称,可以点击“浏览”按钮进行搜索,其实这个“新任务”的功能看起来有些类似于开始莱单中的运行 命令。 3.了解讲程 显示了所有当前正在运行的进程,包括应用程序、后台服务等,那些隐藏在系统底层深处运行的病毒 程序或木马程序都可以在这里找到,当然前提是你要知道它的名称。找到需要结束的进程名,然后执行右 键菜单中的“结束进程”命令,就可以强行终止,不过这种方式将丢失未保存的数据,而且如果结束的是 系统服务,则系统的某些功能可能无法正常使用。 4。了解系统性能 从任务管理器中我们可以看到计算机性能的动态概念,例如CPU和各种内存的使用情况。 (1)加PU使用情况:表明处理器工作时间百分比的图表,该计数器是处理器活动的主要指示器,查看该 图表可以知道当前使用的处理时间是多少。 (2)CPU使用记录:显示处理器的使用程序随时间的变化情况的图表,图表中显示的采样情况取决于“查 6/8
6 / 8 出的程序或者进程进行记录,根据需要启用相关审核策略,审核策略启用后,审核结果放在各种事件日志 中。 2.查看事件日志 (1) 打开“控制面板”中的“管理工具”,双击“事件查看器“,在弹出的窗口中查看应用程序、系统、 安全的 3 种日志。 (2) 双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录,例如:查看用户登陆 / 注 销的日志。 六、了解任务管理器 Windows 任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信 息,可以显示最常用的度量进程性能的单位;如果连接到网络,那么还可以查看网络状态并迅速了解网络 是如何工作的。对任务管理器有所了解可以帮助我们了解本机工作状态,及时发现安全威胁和隐患。 1.启动任务管理器 按 Ctrl+Alt+Del 进入任务管理器 2.了解应用程序 显示了所有当前正在运行的应用程序,不过它只会显示当前已打开窗口的应用程序,而 QQ、MSN Messenger 等最小化至系统托盘区的应用程序则并不会显示出来。 1)点击“结束任务”按钮直接关闭某个应用程序,如果需要同时结束多个任务,可以按住 Ctrl 键复选 点击“新任务”按钮,可以直接打开相应的程序、文件夹、文档或 Internet 资源,如果不知道程序的 名称,可以点击“浏览”按钮进行搜索,其实这个“新任务”的功能看起来有些类似于开始菜单中的运行 命令。 3.了解进程 显示了所有当前正在运行的进程,包括应用程序、后台服务等,那些隐藏在系统底层深处运行的病毒 程序或木马程序都可以在这里找到,当然前提是你要知道它的名称。找到需要结束的进程名,然后执行右 键菜单中的“结束进程”命令,就可以强行终止,不过这种方式将丢失未保存的数据,而且如果结束的是 系统服务,则系统的某些功能可能无法正常使用。 4.了解系统性能 从任务管理器中我们可以看到计算机性能的动态概念,例如 CPU 和各种内存的使用情况。 (1)CPU 使用情况:表明处理器工作时间百分比的图表,该计数器是处理器活动的主要指示器,查看该 图表可以知道当前使用的处理时间是多少。 (2)CPU 使用记录:显示处理器的使用程序随时间的变化情况的图表,图表中显示的采样情况取决于“查
看”菜单中所选择的“更新速度”设置值,“高”表示每秒2次,“正常”表示每两秒1次,“低”表示每四 秒1次,“暂停”表示不自动更新 (3)PF使用情况:PF是页面文件page file的简写。但这个数字常常会让人误解,以为是系统当时所用 页面文件大小。正确含义则是正在使用的内存之和,包括物理内存和虚拟内存。 (4)物理内存:计算机上安装的总物理内存,也称RAM,“可用数”物理内存中可被程序使用的空余量。 但实际的空余量要比这个数值略大一点,因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说 这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。“系统缓存”被分配用于系统缓存用的物理 内存量。主要来存放程序和数据等。一但系统或者程序需要,部分内存会被释放出来,也就是说这个值是 可变的。 (⑤)认可用量总数:其实就是被操作系统和正运行程序所占用内存总和,包括物理内存和虚拟内存(p9e fle)。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量,包括物理内存(RAM)和虚 拟(page file)内存。“蜂值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限 制”的话,意味着要么你增加物理内存,要么增加pagefile,否则系统会给你颜色看的! (6)内核内存:操作系统内核和设备驱动程序所使用的内存,“分页数”是可以复制到页面文件中的内存, 一旦系统需要这部分物理内存的话,它会被映射到硬盘,由此可以释放物理内存:“未分页”是保留在物理 内存中的内存,这部分不会被映射到硬盘,不会被复制到页面文件中。 5.了解联网 这里显示了本地计算机所连接的网络通信量的指示,使用多个网络连接时,我们可以在这里比较每个 连接的通信量,当然只有安装网卡后才会显示该选项。 6.了解用户 这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字D八、活动状态(正 在运行、已断开、客户端名,可以点击“注销”按钮重新登录,或者通过“断开”按钮连接与本机的连接, 如果是局域网用户,还可以向其他用户发送消息呢。 7.对windows任务管理器操作 (1)同时最小化多个窗口 切换到“应用程序”标签页,按住Q键同时选择需要同时最小化的应用程序项目,然后点击这些项 目中的任意一个,从右键菜单中选择“最小化”命令即可,这里同时还可以完成层叠、横向平铺、纵向平 铺等操作。 (2)降低下载类应用软件的资源占用率 运行网络下载类应用软件时,往往会占用大量的系统资源,你会看到硬盘灯不停闪烁并伴随着飞速转 动的噪音,此时无论是浏览网页或是运行其他应用程序,肯定会有系统停滞的感觉。 718
7 / 8 看”菜单中所选择的“更新速度”设置值,“高”表示每秒 2 次,“正常”表示每两秒 1 次,“低”表示每四 秒 1 次,“暂停”表示不自动更新。 (3)PF 使用情况:PF 是页面文件 page file 的简写。但这个数字常常会让人误解,以为是系统当时所用 页面文件大小。正确含义则是正在使用的内存之和,包括物理内存和虚拟内存。 (4)物理内存:计算机上安装的总物理内存,也称 RAM,“可用数”物理内存中可被程序使用的空余量。 但实际的空余量要比这个数值略大一点,因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说 这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。 “系统缓存”被分配用于系统缓存用的物理 内存量。主要来存放程序和数据等。一但系统或者程序需要,部分内存会被释放出来,也就是说这个值是 可变的。 (5)认可用量总数:其实就是被操作系统和正运行程序所占用内存总和,包括物理内存和虚拟内存(page file)。它和上面的 PF 使用率是相等的。“限制”指系统所能提供的最高内存量,包括物理内存(RAM)和虚 拟(page file)内存。 “峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限 制”的话,意味着要么你增加物理内存,要么增加 pagefile,否则系统会给你颜色看的! (6)内核内存:操作系统内核和设备驱动程序所使用的内存,“分页数”是可以复制到页面文件中的内存, 一旦系统需要这部分物理内存的话,它会被映射到硬盘,由此可以释放物理内存;“未分页”是保留在物理 内存中的内存,这部分不会被映射到硬盘,不会被复制到页面文件中。 5.了解联网 这里显示了本地计算机所连接的网络通信量的指示,使用多个网络连接时,我们可以在这里比较每个 连接的通信量,当然只有安装网卡后才会显示该选项。 6.了解用户 这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字 ID)、活动状态(正 在运行、已断开)、客户端名,可以点击“注销”按钮重新登录,或者通过“断开”按钮连接与本机的连接, 如果是局域网用户,还可以向其他用户发送消息呢。 7.对 windows 任务管理器操作 (1)同时最小化多个窗口 切换到“应用程序”标签页,按住 Ctrl 键同时选择需要同时最小化的应用程序项目,然后点击这些项 目中的任意一个,从右键菜单中选择“最小化”命令即可,这里同时还可以完成层叠、横向平铺、纵向平 铺等操作。 (2)降低下载类应用软件的资源占用率 运行网络下载类应用软件时,往往会占用大量的系统资源,你会看到硬盘灯不停闪烁并伴随着飞速转 动的噪音,此时无论是浏览网页或是运行其他应用程序,肯定会有系统停滞的感觉
打开“任务管理器→进程”窗口,选择下裁软件的进程名,然后从右键菜单中选择“设置优先级”命 令,这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别,请根据实际情况进行设置,例 如设置为“低于标准”可以降低进程的优先级别,从而让Windows为其他进程分配更多的资源。 实验结果与分析: 思考题: 8/8
8 / 8 打开“任务管理器→进程”窗口,选择下载软件的进程名,然后从右键菜单中选择“设置优先级”命 令,这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别,请根据实际情况进行设置,例 如设置为“低于标准”可以降低进程的优先级别,从而让 Windows 为其他进程分配更多的资源。 实验结果与分析: 思考题: