网络信息安全实验报告(2)

实验二、操作系统安全配置

一． 实验目的

1．熟悉Windows NT/XP/2000系统的安全配置 2. 理解可信计算机评价准则

二． 实验内容

1. 修改Windows 系统注册表的安全配置，并验证 2. 修改Windows 系统的安全服务设置，并验证 3. 修改IE 浏览器安全设置，并验证

4. 设置用户的本地安全策略，包括密码策略和帐户锁定策略。 5. 新建一个文件夹并设置其访问控制权限。 6. 学会用事件查看器查看三种日志。 7. 记录并分析实验现象

三． 实验过程

Windows系统注册表的配置

用“Regedit”命令启动注册表编辑器，配置Windows 系统注册表中的安全项 (1)、关闭 Windows 远程注册表服务

通 过任务栏的“ 开始-> 运行”， 输入regedit 进入注册表编辑器。找到注册表中

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 下的“RemoteRegistry”项。 右键点击“RemoteRegistry”项，选择“删除”

(2)修改系统注册表防止SYN 洪水攻击

(a)找到注册表位置：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建DWORD 值，名为SynAttackProtect。

(b)点击右键修改 SynAttackProtec t 键值的属性。

(c)在弹出的“编辑DWORD 值”对话框数值数据栏中输入“2”

(d)单击“确定”，继续在注册表中添加下列键值，防范SYN 洪水攻击。 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1

。

EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

(3) 修改注册表防范IPC$攻击：

(a)查找注册表中“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA”的 “RestrictAnonymous”项。 (b)单击右键，选择“修改”。

(c)在弹出的“编辑DWORD 值”对话框中数值数据框中添入“1”，将“RestrictAnonymous” 项设置为“1”，这样就可以禁止IPC$的连接，单击“确定”按钮。

(4)修改注册表关闭默认共享

(a)对于c$、d$和admin$等类型的默认共享则需要在注册表中找到

“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters”项。在该项的右边空白处，单击右键选择新建DWORD 值。

(b)添加键值“AutoShareServer”(类型为“REG_DWORD”，值为“0”)。

注 ： 如果系统为Windows 2000 Server 或Windows 2003 ， 则要在该项中添加键值 “AutoShareServer”(类型为“REG_DWORD”，值为“0”)。如果系统为Windows 2000 PRO，则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”，值为“0”)。

2． 通过“控制面板\\管理工具\\本地安全策略”，配置本地的安全策略 （1）禁止枚举账号

在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略”“安全选项”。 查看右侧的相关策略列表，在此找到“网络访问：不允许SAM 账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。

（2）不显示上次登录的用户名

3. 打开IE浏览器，选择“工具\\Internet选项\\安全”选项，进行IE浏览器的安全设置 （1）在Internet 选项中自定义安全级别

（2）设置添加受信任和受限制的站点

4. 新建一个用户组，并在这个用户组中新建一个帐号。 打开控制面板-用户账户-新建账户

5. 设置用户的本地安全策略，包括密码策略和帐户锁定策略。 （1）打开“控制面板”→“管理工具”→“本地安全设置”，

（2）设置密码复杂性要求：双击“密码必须符合复杂性要求”，就会出现“本地安全策略设置”界面，可根据需要选择“已启用”，单击“确定”，即可启用密码复杂性检查。

（3）设置密码长度最小值：双击“密码长度最小值”，将密码长度设置在6 位以上。

（4）设置密码最长存留期：双击“密码最长存留期”，将密码作废期设置为60 天，则用户每次设置的密码只在60 天内有效。

（5）单击左侧列表中的“帐户锁定策略”。

（6）设置帐户锁定时间：双击“帐户锁定时间”，将用户锁定时间设置为3 分钟，则每次锁定后帐户将保持锁定状态3 分钟。

（7）设置帐户锁定阀值：双击“帐户锁定阀值”，可将帐户锁定阀值设置为3 次。