《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目二 任務(wù)四 使用本地安全策略加強(qiáng)Windows主機(jī)整體安全

項(xiàng)目二Windows桌面系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一提高Windows主機(jī)安全訪問權(quán)限任務(wù)二使用Windows防火墻規(guī)則加強(qiáng)Windows主機(jī)安全任務(wù)三使用文件加密系統(tǒng)加強(qiáng)Windows文件系統(tǒng)安全任務(wù)四使用本地安全策略加強(qiáng)Windows主機(jī)整體安全任務(wù)五使用安全審計(jì)加強(qiáng)Windows主機(jī)安全維護(hù)任務(wù)提出

在前三個(gè)任務(wù)中，分別通過加強(qiáng)用戶賬戶的安全、設(shè)置Windows防火墻規(guī)則、文件加密系統(tǒng)對(duì)WindowsServer2008桌面系統(tǒng)進(jìn)行了安全防御，但并未從整體上對(duì)Windows環(huán)境進(jìn)行安全部署。使用本地安全策略可以提高Windows整體環(huán)境的安全，如果沒有設(shè)置本地安全策略，企業(yè)部門之間通過辦公網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)就容易遭到網(wǎng)絡(luò)攻擊。

在本任務(wù)中，主要通過設(shè)置以下策略加強(qiáng)系統(tǒng)安全：1.禁止枚舉帳號(hào)

通過限制用戶登錄時(shí)嘗試輸入用戶名和密碼的次數(shù)，防止用戶的用戶

名和密碼被非授權(quán)人員破解和登錄，進(jìn)而使得系統(tǒng)遭受攻擊。2.指派本地用戶權(quán)限

對(duì)本地用戶和用戶組的權(quán)限進(jìn)行指定，將管理員的權(quán)限分發(fā)給不同的用戶，防止非法用戶破解管理員帳戶后，獲得計(jì)算機(jī)的所有操作權(quán)限。3.IP策略

在IP篩選器中通過添加允許或阻止的應(yīng)用程序的端口號(hào)、IP地址、協(xié)議等，限制其他主機(jī)與本機(jī)之間的通信。4.密碼安全

在Windows系統(tǒng)中，利用用戶帳戶的安全策略保護(hù)密碼，設(shè)置更強(qiáng)、更安全的密碼，提高破解密碼的代價(jià)，防止密碼被破解。任務(wù)分析1.禁止枚舉帳號(hào)

用戶帳號(hào)的安全是保護(hù)計(jì)算機(jī)系統(tǒng)的第一道安全屏障，大部分黑客利用漏洞進(jìn)行入侵，然后提升權(quán)限成為管理員，一般都與用戶帳號(hào)緊密相連。黑客攻擊Windows系統(tǒng)，需要知道帳號(hào)和密碼，

而Windows系統(tǒng)安裝時(shí)默認(rèn)允許任何用戶通過空連接得到系統(tǒng)所有帳號(hào)列表，并且Windows系統(tǒng)的默認(rèn)管理員帳號(hào)均為Administrator。黑客可以很容易的獲取Windows系統(tǒng)中帳號(hào)，然后使用暴力法破解帳號(hào)的密碼，對(duì)計(jì)算機(jī)進(jìn)行攻擊。所以有必要通過修改注冊表和設(shè)置本地安全策略來禁止枚舉帳號(hào)，限制黑客破解用戶的名稱和密碼。2.指派本地用戶權(quán)限Windows系統(tǒng)中，管理員Administrator擁有所有的權(quán)限，是一個(gè)超級(jí)用戶，一旦被黑客攻破，整個(gè)操作系統(tǒng)將面臨完全被破壞的局面。通過將在本地安全策略中，指派本地用戶的權(quán)限，將管理員的權(quán)限分派給不同的用戶，例如，哪些用戶組或用戶可以登錄到此終端，哪些用戶組或用戶不能登錄到此終端。即使黑客破解了用戶帳號(hào)，但由于權(quán)限被限制，無法對(duì)系統(tǒng)進(jìn)行完全的破壞。3.IP策略IP安全策略是一個(gè)用于通信分析的策略，它將通信內(nèi)容與設(shè)置好的規(guī)則進(jìn)行比較，判斷通信是否與預(yù)期相吻合，然后決定是否允許通信，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的“隨意信任”安全漏洞，可以更仔細(xì)、更精確地實(shí)現(xiàn)TCP/IP安全，根據(jù)應(yīng)用程序的端口號(hào)、IP地址、協(xié)議等限制計(jì)算機(jī)間的通信。當(dāng)配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)且功能完善的防火墻系統(tǒng)。4.密碼安全

在Windows桌面系統(tǒng)中，用戶帳號(hào)的安全策略默認(rèn)是關(guān)閉的。要想保證桌面系統(tǒng)安全，必須開啟用戶帳號(hào)的安全策略。

用戶帳號(hào)的密碼安全涉及的概念有：

?弱口令：弱口令是指僅含簡單數(shù)字或字母的口令，或口令與個(gè)人信息相關(guān)，例如“123”、“abc”、生日、姓名等。

?密碼長度：密碼字符的長度，建議密碼的長度至少為8位。

?密碼復(fù)雜性：密碼由大寫字母、小寫字母、數(shù)字和特殊符號(hào)4種字符組成，這些字符組合的復(fù)雜程度稱為密碼復(fù)雜性。一般較強(qiáng)的密碼要求包含至少3種字符。

?密碼生存周期：也稱密碼有效期。在通常情況下，一個(gè)密碼是有時(shí)效性的。在工作組中，WindowsXP操作系統(tǒng)的密碼生存周期默認(rèn)是0，這意味著密碼永不過期；在活動(dòng)目錄中，密碼的生存周期默認(rèn)是7天。密碼生存周期包含兩種類型，一種是密碼最長使用期限，另一種是密碼最短使用期限。

?強(qiáng)制密碼歷史：指更改的密碼不能是最近設(shè)置過的密碼。例如，在更改密碼之前設(shè)置的密碼從遠(yuǎn)到近依次是123、456、789，假設(shè)強(qiáng)制密碼歷史設(shè)置為2，那么再更換密碼時(shí)，不能使用最近的2個(gè)密碼456和789。任務(wù)實(shí)施1.禁止枚舉帳號(hào)操作步驟如下：步驟1實(shí)驗(yàn)準(zhǔn)備階段，在VMwareWorkstation中部署兩臺(tái)WindowsServer2008R2虛擬機(jī)Server和PC，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。Server和PC的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址Server數(shù)據(jù)存儲(chǔ)服務(wù)器WindowsServer2008192.168.159.3/24PC測試計(jì)算機(jī)WindowsServer2008192.168.159.4/24步驟2

創(chuàng)建系統(tǒng)帳戶（1）在Server上，創(chuàng)建用戶（user1、user2、user3)和組（group1、group2、group3)，并將用戶分別加入相應(yīng)組中。（2）在Server上開啟遠(yuǎn)程桌面功能，由于本任務(wù)將從整體上加強(qiáng)Windows桌面系統(tǒng)的安全，需要對(duì)帳戶的權(quán)限進(jìn)行設(shè)置，并測試遠(yuǎn)程連接時(shí)的權(quán)限，因此本任務(wù)在開啟遠(yuǎn)程桌面功能時(shí)，在“遠(yuǎn)程設(shè)置”——“系統(tǒng)屬性”中選擇“僅允許使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接（更安全）”，如圖1所示。圖1在“選擇用戶”中將user1、user2、user3添加到遠(yuǎn)程桌面用戶列表中，如圖2所示。圖2步驟3：禁止枚舉帳號(hào)（1）在Server上，選擇“開始”—“管理工具”—“本地安全策略”菜單命令，打開“本地安全策略”窗口，展開“本地策略”—“安全選項(xiàng)”節(jié)點(diǎn)，如圖3所示。圖3（2）在右側(cè)策略列表中，雙擊“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”選項(xiàng)，打開其屬性對(duì)話框，選擇“已啟用”選項(xiàng)，如圖4所示，啟用禁止枚舉帳號(hào)策略。圖4（3）按照第（2）步操作，啟用“不允許SAM帳戶的匿名枚舉”策略。若已啟用，此步驟可省略。（4）在右側(cè)策略列表中，雙擊“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模型”選項(xiàng)，打開其屬性對(duì)話框，選擇“僅來賓—對(duì)本地用戶進(jìn)行身份驗(yàn)證，其身份為來賓”選項(xiàng)，如圖5所示。這樣當(dāng)其他計(jì)算機(jī)試圖訪問Server時(shí)，其身份會(huì)被設(shè)置為來賓，即匿名用戶。圖5（5）在Server上，創(chuàng)建共享文件夾C:\file1，如圖6所示。

將file1的共享中分別添加user1、user2、user3，賦予只讀權(quán)限，如圖7所示。圖6圖7（6）在PC上，在運(yùn)行中輸入“\\192.168.159.3”，嘗試通過匿名訪問共享文件夾，提示必須先輸入Server的用戶名和密碼才可以訪問該共享文件夾，如圖8所示。圖8在輸入Server的管理員帳戶的用戶名和密碼后，提示PC端登錄失敗，無法訪問共享文件夾，如圖9所示。圖92.指派本地用戶權(quán)限步驟4指派本地用戶權(quán)限（1）配置所有用戶具有“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”的權(quán)限。打開“本地安全策略”窗口，展開“本地策略”—“用戶權(quán)限分配”節(jié)點(diǎn)，如圖10所示。圖10（2）在“用戶權(quán)限分配”對(duì)話框右側(cè)列表框中，雙擊“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)，打開其屬性對(duì)話框，如圖11所示，查看是否允許Administrators組用戶和Everyone用戶訪問，若沒有相關(guān)用戶，則單擊“添加用戶或組”按鈕進(jìn)行添加，然后單擊“應(yīng)用”和“確定”按鈕，完成配置。圖11（3）根據(jù)（1）和（2）的操作步驟，配置group1組用戶“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”，如圖12所示。圖12（4）根據(jù)（1）和（2）的操作步驟，只允許管理員、user2和user3具有“關(guān)閉系統(tǒng)”的權(quán)限，如圖13所示。（5）只允許用戶user2具有“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”的權(quán)限，如圖14所示。圖13圖14（6）重新啟動(dòng)計(jì)算機(jī)Server。

第2步：測試指派用戶權(quán)限（1）測試“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”權(quán)限設(shè)置。a.在PC端，使用遠(yuǎn)程桌面連接訪問Server，在輸入憑據(jù)時(shí)輸入user1的用戶名和密碼，結(jié)果提示登錄不成功，表明group1組用戶無法從網(wǎng)絡(luò)訪問Server，如圖15所示。圖15b.在PC端輸入user2的用戶名和密碼，可以遠(yuǎn)程登錄，如圖16所示。圖16（2）測試“關(guān)閉系統(tǒng)”權(quán)限設(shè)置。a.在Server上切換至user1用戶登錄，發(fā)現(xiàn)用戶user1不能關(guān)閉計(jì)算機(jī)，在命令提示符中也不可通過命令關(guān)機(jī)，分別如圖17，18所示。圖17圖18b.用戶user2和user3可以關(guān)閉計(jì)算機(jī)，如圖19所示。圖19（3）測試“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置。在PC端使用遠(yuǎn)程桌面連接Server，登錄帳戶為user2，在user2的“開始”菜單中有“關(guān)機(jī)”選項(xiàng)，user2可以從遠(yuǎn)程關(guān)閉計(jì)算機(jī)，如圖20所示。圖203.IP策略步驟5配置IP安全策略第1步：測試網(wǎng)絡(luò)共享

（1）PC能夠訪問Server上的網(wǎng)絡(luò)共享夾C:\file1。（2）在PC機(jī)上，打開“開始”-“管理工具”-“服務(wù)器管理器”，打開“功能”選項(xiàng)，單擊“添加功能”，在“選擇功能”對(duì)話框中勾選上“Telnet客戶端”選項(xiàng)，如圖21所示。圖21（3）在“選擇功能”對(duì)話框中，單擊“下一步”-“安裝”-“關(guān)閉”按鈕，完成Telnet客戶端安裝。（4）測試445和139端口連接。在PC機(jī)上，打開命令提示符窗口，輸入命令“telnet192.168.159.3445”，可以連接到Server的445端口，表示Server的445端口已經(jīng)打開并且可以連接，如圖22和圖23所示。圖22圖23（5）按照（4）所示，連接Server的139端口，如圖24、25所示。第2步：創(chuàng)建IP安全策略。（1）在Server上，選擇“管理工具”-“本地安全策略”菜單命令，打開“本地安全策略”窗口。右擊“IP安全策略，在本地計(jì)算機(jī)”節(jié)點(diǎn)，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”命令，進(jìn)入“IP安全策略向?qū)А苯缑妫鐖D26所示。圖24圖25圖26（2）單擊“下一步”按鈕，輸入IP安全策略的名稱，如圖27所示。（3）單擊“下一步”按鈕，進(jìn)入“安全通迅請(qǐng)求”對(duì)話框，保持默認(rèn)配置，如圖28所示。圖27圖28（4）單擊“下一步”——“完成”按鈕，完成IP安全策略向?qū)渲?，如圖29所示。圖29第3步：添加IP篩選器列表（1）在“本地安全設(shè)置”窗口，右擊“IP安全策略，在本地計(jì)算機(jī)”節(jié)點(diǎn),在彈出的快捷菜單中選擇“管理IP篩選器列表和篩選器操作”命令，打開“管理IP篩選器列表和篩選器操作”對(duì)話框，如圖30所示。圖30（2）單擊“添加”按鈕。打開“IP篩選器列表”對(duì)話框，輸入IP篩選器列表名稱“連接139和445端口”，如圖31所示。圖31（3）單擊“添加”按鈕，打開“IP篩選器向?qū)А睂?duì)話框，選擇“下一步”，在“源地址”下拉列表框中選擇“任何IP地址”選項(xiàng)，如圖32所示。圖32（4）單擊“下一步”按鈕，進(jìn)入“IP流量目標(biāo)”設(shè)置界面，在“目標(biāo)地址”下拉列表框中選擇“我的IP地址”選項(xiàng)，如圖33所示。圖33（5）單擊“下-步”按鈕，進(jìn)入IP協(xié)議類型設(shè)置界面，在“選擇協(xié)議類型”下拉列表框中選擇“TCP”選項(xiàng)，如圖34所示。（6）單擊“下一步”按鈕，進(jìn)入IP協(xié)議端口設(shè)置界面，端口信息設(shè)置如圖35所示。圖34圖35（7）單擊“下一步”按鈕，完成IP篩選器向?qū)гO(shè)置，如圖36所示。（8）按照（3）-（7）操作所示，繼續(xù)添加對(duì)139端口訪問的IP篩選器表，添加結(jié)果如圖37所示。圖36圖37第4步：添加篩選器操作（1）在“管理IP篩選器列表和篩選器操作”對(duì)話框單擊“管理篩選器操作”選項(xiàng)卡，如圖38所示。（2）單擊“添加”按鈕，進(jìn)入篩選器操作向?qū)?，如圖39所示。圖38圖39（3）單擊“下一步”按鈕，輸入篩選器操作名稱，如圖40所示。（4）單擊“下一步”按鈕，進(jìn)入“設(shè)置篩選器操作的行為”界面，選中“阻止”單選項(xiàng)，如圖41所示。圖40圖41（5）單擊“下一步”按鈕，再單擊“完成”按鈕，完成IP安全篩選器的添加，如圖42所示。（6）單擊“關(guān)閉”按鈕，返回“本地安全設(shè)置”窗口，在“IP安全策略，在本地計(jì)算機(jī)”節(jié)點(diǎn)對(duì)應(yīng)的右側(cè)列表框中可以看到新建的“屏蔽網(wǎng)絡(luò)共享”策略，如圖43所示。圖42圖43

第5步：添加安全規(guī)則（1）右擊“屏蔽網(wǎng)絡(luò)共享”選項(xiàng)，在彈出的快捷菜單中選擇“屬性”命令,打開“屏蔽網(wǎng)絡(luò)共享屬性”對(duì)話框，如圖44所示。圖44（2）選中“使用‘添加向?qū)А睆?fù)選框，單擊“添加”按鈕，打開“安全規(guī)則向?qū)А睂?duì)話框，如圖45所示。

（3）單擊“下一步”按鈕，選中“此規(guī)則不指定隧道”單選項(xiàng)，如圖46所示。圖45圖46（4）單擊“下一步”按鈕，選中“所有網(wǎng)絡(luò)連接”單選項(xiàng)，如圖47所示。

（5）單擊“下一步”按鈕，在“IP篩選器列表”中選中“連接139和445端口”單選項(xiàng)，如圖48所示。圖47圖48（6）單擊“下一步”按鈕，在“篩選器操作”列表框中，選中“阻止訪問”單選項(xiàng)，如圖49所示。（7）依次單擊“下一步”按鈕和“完成”按鈕，如圖50所示，點(diǎn)擊“應(yīng)用”-“確定”按鈕，完成IP策略的配置。圖49圖50（8）指派IP策略。在計(jì)算機(jī)Server中，在右側(cè)列表框中，右擊“屏蔽本地網(wǎng)絡(luò)共享”選項(xiàng)，在彈出的快捷菜單中選擇“分配”命令，完成策略分配，如圖51所示。圖51第6步：測試IP策略（1）在PC機(jī)的“開始”菜單搜索框中輸入\\192.168.159.3訪問Server上的網(wǎng)絡(luò)共享文件夾C:\file1,提示無法訪問，如圖52所示。（2）測試445和139端口連接。在PC的命令提示符窗口中輸入“telnet192.168.159.3445”，觀察狀態(tài)，發(fā)現(xiàn)無法進(jìn)行連接，如圖53所示。圖52圖534.密碼安全步驟6：設(shè)置密碼策略第1步：設(shè)置密碼策略（1）在計(jì)算機(jī)Server中，打開“本地安全策略”窗口，展開“帳戶策略”-“密碼策略”節(jié)點(diǎn)，如圖54所示。圖54（2）在右側(cè)列表框中，右擊“密碼必須符合復(fù)雜性要求”選項(xiàng)，在彈出菜單中選擇“屬性”命令，在打開的對(duì)話框中，選中“已啟用”選項(xiàng)，單擊“應(yīng)用”-“確定”按鈕，完成配置，如圖55所示。圖