操作系統(tǒng)安全實驗3實驗報告

1、.操作系統(tǒng)安全實驗31、 實驗目的1、 了解Windows操作系統(tǒng)的安全性2、 熟悉Windows操作系統(tǒng)的安全設置3、 熟悉MBSA的使用2、 實驗要求1、 根據實驗中的安全設置要求，詳細觀察并記錄設置前后系統(tǒng)的變化，給出分析報告。2、 采用MBSA測試系統(tǒng)的安全性，并分析原因。3、 比較Windows系統(tǒng)的安全設置和Linux系統(tǒng)安全設置的異同。3、 實驗內容1、 配置本地安全設置，完成以下內容：（1） 賬戶策略：包括密碼策略（最小密碼長度、密碼最長存留期、密碼最短存留期、強制密碼歷史等）和賬戶鎖定策略（鎖定閾值、鎖定時間、鎖定計數(shù)等）（2） 賬戶和口令的安全設置：檢查和刪除不必要的賬戶（

2、User用戶、Duplicate User用戶、測試用戶、共享用戶等）、禁用guest賬戶、禁止枚舉帳號、創(chuàng)建兩個管理員帳號、創(chuàng)建陷阱用戶（用戶名為Administrator、權限設置為最低）、不讓系統(tǒng)顯示上次登錄的用戶名。（3） 設置審核策略：審核策略更改、審核賬戶登錄事件、審核賬戶管理、審核登錄事件、審核特權使用等（4） 設置IP安全策略（5） 其他設置：公鑰策略、軟件限制策略等2、 Windows系統(tǒng)注冊表的配置（1） 找到用戶安全設置的鍵值、SAM設置的鍵值（2） 修改注冊表：禁止建立空連接、禁止管理共享、關閉139端口、防范SYN攻擊、減少syn-ack包的響應時間、預防DoS攻擊、

3、防止ICMP重定向報文攻擊、不支持IGMP協(xié)議、禁止死網關監(jiān)控技術、修改MAC地址等操作。建立空連接：“Local_MachineSystemCurrentControlSetControl LSA-RestrictAnonymous” 的值改成“1”即可。禁止管理共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters項 對于服務器，添加鍵值“AutoShareServer”，類型為 “REG_DWORD”，值為“0”。 對于客戶機，添加鍵值“AutoShareWks”，類型為 “REG_DWORD”

4、，值為“0”。 關閉139端口：在“網絡和撥號連接”中“本地連 接”中選取“Internet協(xié)議(TCP/IP)”屬性，進入“高級 TCP/IP 設置”“WINS 設置”里面有一項 “禁用 TCP/IP的NETBIOS”，打勾就關閉了139端口。防范SYN攻擊：相關的值項在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：SynAttackProtect：定義了是否允許SYN淹沒攻擊保護，值1表示允許起用Windows的SYN淹沒攻擊保護。(2) DWORD：TcpMaxConnectResponseRetransm

5、issions：定義了對 于連接請求回應包的重發(fā)次數(shù)。值為1，則SYN淹沒攻擊不會有效果，但是這樣會造成連接請求失敗幾率的增高。SYN淹沒攻擊保護只有在該值=2時才會被啟用，默認值為3。 （上邊兩個值定義是否允許SYN淹沒攻擊保護，下面三個則定義了 激活SYN淹沒攻擊保護的條件，滿足其中之一，則系統(tǒng)自動激活 SYN淹沒攻擊保護。） 減少syn-ack包的響應時間：HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定義了重發(fā)SYN-ACK包的 次數(shù)。 增大NETBT的連接塊增

6、加幅度和最大數(shù)器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默認值為3，最大20，最小1。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默認值為1000，最大可取40000 預防DoS攻擊：在注冊表 HKLMSYSTEMCurrentControlSetServicesTcpipPa rameters中更改以下值可以防御一定強度的DoS攻擊 SynAttackProtect REG_DWORD

7、2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 防止ICMP重定向報文的攻擊： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默

8、認值為0x1) 該參數(shù)控制Windows 是否會改變其路由表以響應網絡 設備(如路由器)發(fā)送給它的ICMP重定向消息，有時會 被利用來干壞事。Windows中默認值為1，表示響應 ICMP重定向報文。 禁止響應ICMP路由通告報文 HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesPerformRouterDiscovery REG_DWORD 0x0(默認值為0x2) “ICMP路由公告”功能可造成他人計算機的網絡連接異常，數(shù)據被竊聽，計算機被用于流量攻擊等嚴重后果。此問題曾導致校園網某些局域網大面積，長時間的網絡異常。

9、建議關閉響應ICMP路由通告報文。Windows中默認值為 2，表示當DHCP發(fā)送路由器發(fā)現(xiàn)選項時啟用。 不支持IGMP協(xié)議 HKLMSYSTEMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0x0(默認值為0x2) Win9x下有個bug，就是用可以用IGMP使別人藍屏，修改注冊表可以修正這個bug。Windows雖然沒這個bug了，但IGMP并不是必要的，因此照樣可以去掉。改成0后用 route print將看不到224.0.0.0項了。 禁止死網關監(jiān)測技術 HKLMSYSTEMCurrentControlSetSe

10、rvices:TcpipParametersEnableDeadGWDetectREG_DWORD 0x0(默認值為ox1) 如果你設置了多個網關，那么你的機器在處理多個連接有困難時，就會自動改用備份網關，有時候這并不是一項好主意，建議禁止死網關監(jiān)測。 修改MAC地址 HKLMSYSTEMCurrentControlSetControlClass 找到右窗口的說明為“網卡“的目錄，比如說是4D36E972-E325-11CE-BFC1-08002BE10318展開之，在其下0000,0001,0002.的分支中找到”DriverDesc“的鍵值為你網卡的說明，比如說”DriverDesc“的值

11、為”Intel(R) 82559 Fast Ethernet LAN on Motherboard“然后在右窗口新建一字符串值，名字為”Networkaddress“，內容為你想要的MAC值，比如說是”004040404040“然后重起計算機，ipconfig /all查看。 3、 文件及文件夾權限設置（1） 用戶組及用戶的權限：有哪些組？其權限是什么？有哪些用戶？分屬哪些組？設置其權限。（2） 新建一個文件夾并設置其訪問控制權限。4、 審核日志分析（1） 查找審核日志，顯示其詳細信息：應用程序日志、安全性日志、系統(tǒng)日志。（2） 分析各種日志所描述的內容，分析警告、信息、錯誤等的意義。信息為普通系統(tǒng)信息，警告為暫時可不處理的問題，錯誤為必須立即處理的問題。5、 使用Microsoft 基準安全分析器MBSA 2.0對系統(tǒng)進行安全評估Microsoft 基準安全分析器 (MBSA) 可以檢查操作系統(tǒng)，還可以