操作系统安全实验报告

CENTRALSOUTHUNIVERSITY操作系统安全实验报告学生姓名姜荣霞班级学号信息安全1302指导教师宋红设计时间2015年10月《操作系统安全》实验一……Windows系统安全设置实验一、实验目的1、了解Windows操作系统的安全性2、熟悉Windows操作系统的安全设置3、熟悉MBSA的使用二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、采用MBSA测试系统的安全性，并分析原因。3、比较Windows系统的安全设置和Linux系统安全设置的异同。三、实验内容人1、配置本地安全设置，完成以下内容：（1）账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）A．账户锁定策略：账户锁定阈值：指用户输入几次错误的密码后将用户账户锁定，默认为0，代表不锁定账户锁定时间：指当用户账户被锁定后经过多长时间会自动解锁，0表示只有管理员才能受控解锁复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器复位为0.B.密码策略（2）账户和口令的安全设置：检查和删除不必要的账户（User用户、DuplicateUser用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。A.创建用户：控制面板----管理工具----计算机管理-----本地用户和组-----用户---创建用户B.修改用户权限：控制面板---用户账户---管理其他账户---更改账户类型C.禁止枚举账号：禁止原因：枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口，然后通过共享会话猜测管理员系统密码，因此需要禁止枚举账号方法：本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享”D．创建陷阱用户：原因：本来用户是权限是非管理员，让黑客认为他是管理员，取名Administrator，是因为一般的管理员用户默认名为Administrator方法：右击我的电脑→管理→本地用户和组→用户→1、将右侧“管理计算机（域）的内置账户”默认的是administrator,改名为其他名字，但不要以admin、root等命名。2、在右侧空白处右击→新用户→在弹出的对话框中用户名：admin或administrator，密码自设设置用户权限：运行组策略编辑器程序，在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。E．禁止来宾账户F．不让系统显示上次登录的用户名：组策略—计算机配置—windows配置—安全配置—本地策略—安全选项—双击交互式登陆：不显示上次的用户名—交互式登陆：不显示上次的用户名属性—单击已选用—确定（3）设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等方法：控制面板---管理工具---本地安全策略---本地策略—审核策略（4）设置IP安全策略作用：IP安全策略是起到IP地址的安全保护设置作用的，可以防止比尔ping自己的电脑，关闭一些危险的端口。（PING(PacketInternetGroper)，因特网包探索器，用于测试网络连接量的程序）方法：管理工具—本地安全策略—右键ip安全策略—创建IP安全策略—单击下一步—3389过滤—默认下一步—确定后—管理IP筛选器操作—建立筛选器—添加—输入3389筛选器1--单击添加—下一步—任何ip地址—下一步—目的地址选我的Ip地址—下一步—选择TCP的IP协议—设置从任何端都到本机的某一端口—下一步--管理筛选器操作—添加—下一步—取名—下一步—阻止—下一步—完成筛选器建立接着建立IP安全规则—双击建立的3389过滤”—添加—下一步—选择是—到下图选择3389过滤器1—阻止3389—下一步—完成安全规则建立—IP安全策略—右键3389过滤—单击之指派—开始应用IP策略—所以连接3389的TCP请求都被阻止建立允许管理员登陆的策略：打开上图—重复建立筛选器步骤—建立3389筛选器2的筛选器（其他设置与前面一样，选择源地址时变为“一个特定的IP地址“该地址是管理员工作站的IP）--重复建筛选器操作的步骤--建立名为3389的操作，在选择动作时使用”许可“（5）其他设置：公钥策略、软件限制策略等公钥策略：可以让电脑自动向企业证书颁发机构提交证书申请并安装办法的证书，这样有助于电脑获得在组织内执行公钥加密操作。软件限制策略：简单而言，就是设置哪些软件可用哪些不可用，默认情况是关闭的。设置某软件不可用：右键软件限制策略—建立新的策略—单击其他规则—选新路径规则—单击浏览—选择相应程序—安全级别中选不允许—单击确定2、Windows系统注册表的配置（1）找到用户安全设置的键值、SAM设置的键值（2）修改注册表：禁止建立空连接禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。A．打开系统注册表：开始—运行—键入regeditB.禁止建立空连接：空连接就是不用密码和用户名的IPC连接，在Windows下，它是Net命令来实现的方法1：开始—运行—键入regedit--找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous（DWORD）的键值改为:00000001上述操作执行完成后，用netshare命令仍能看到ipc$共享，但只是不允许匿名空连接，可使用密码连接。方法2：开始-设置-控制面板-管理工具-服务，在服务中停止掉server的服务C.禁止管理共享：方法1：在计算机管理中直接停止共享右击我的电脑→管理→共享文件夹→共享→右击需要停止的共享→停止共享。方法2：编辑注册表使用前:方法停止系统默认共享，在系统重新启动后，又恢复了共享，可以通过修改注册表的方法，永久停止系统默认共享。在注册表中找到如下组键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建DWORD类型的键，键名AutoShareServer，键值设为0。但IPC$共享不受此影响，要想停止IPC$共享，可建立一个批处理文件stopipc.bat，内容包括netshareipc$/delete一行，然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时，可停止IPC$共享，当以其它用户登录时，因不能执行NET命令，不能停止IPC$共享。D．减少Syn-ack包的响应时间：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000E．防范SYN攻击：相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下。(1)DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。(2)DWORD：TcpMaxConnectResponseRetransmissions：定义了对于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。（上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。）F．预防DoS攻击：在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击SynAttackProtectREG_DWORD2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0G．防止ICMP重定向报文的攻击：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)不支持ICMP协议IGMP(InternetGroupManageProtocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此项技术尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至鼠标,键盘均不管用.非得重起不H．修改MAC地址：控制面板—网络和控制中心—更改适配器设置—选择本地要修改MAC地址的网卡右键网卡选择属性—配置—高级—网络地址—输入新的MAC地址3、文件及文件夹权限设置（1）用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？有属哪些组？设置其权限。（2）新建一个文件夹并设置其访问控制权限。系统的当前用户为Adiministrator，因此选中该用户，编辑其权限，将拒绝权限项全部打钩后，点击应用，在打开文件的时候显示：4、审核日志分析（1）查找审核日志，显示其详细信息：应用程序日志、安全性日志、系统日志。控制面板—管理工具—事件查看器—windows日志—安全—双击事件—详细信息ProcessID表示进程的身份验证号是0xa60（2）分析各种日志所描述的内容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理问题，错误为必须立即处理的问题5、使用Microsoft基准安全分析器MBSA2.0对系统进行安全评估Microsoft基准安全分析器(MBSA)可以检查操作系统，还可以扫描计算机上的不安全配置。检查Windows服务包和修补程序时，它将Windows组件（如Internet信息服务(IIS)和COM+）也包括在内。MBSA使用一个XML文件作为现有更新的清单。该XML文件包含在存档Mssecure.cab中，由MBSA在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。6、信息安全综合实验系统中的实验：（1）信息安全01.Windows用户管理02.Windows策略管理03.Windows网络与服务管理04.Web服务安全配置06.远程桌面安全配置22.文件事件审计实验23.网络事件审计实验24.应用程序审计