重庆荣昌网站建设报价,新闻cms静态网站模板,深圳网站备案注销,阿里云可以后台一键安装wordpress实验一 Windows系统安全实验【网络安全】前言推荐实验一 Windows系统安全实验3.1 帐户和口令的安全设置3.1.1 实验目的3.1.2 实验环境3.1.3 实验内容和步骤1. 删除不再使用的帐户并禁用guest帐户2.启用密码策略和帐户锁定策略3.查看“用户权限分配”4.查看“用户组权限分配”5.…
实验一 Windows系统安全实验【网络安全】前言推荐实验一 Windows系统安全实验3.1 帐户和口令的安全设置3.1.1 实验目的3.1.2 实验环境3.1.3 实验内容和步骤1. 删除不再使用的帐户并禁用guest帐户2.启用密码策略和帐户锁定策略3.查看“用户权限分配”4.查看“用户组权限分配”5.在安全选项中设置“开机不自动显示上次登录帐户”6.禁止枚举帐户名7.禁止远程访问注册表另外说明最后前言
2023-3-27 10:28:47
以下内容源自《【网络安全】》 仅供学习交流使用
推荐
【网络安全】Windows系统安全实验
实验一 Windows系统安全实验
3.1 帐户和口令的安全设置
3.1.1 实验目的
本章实验的目的主要是熟悉Windows操作系统中帐户和口令的安全设置掌握删除、禁用帐户的方法了解并启用密码策略和用户锁定策略体验查看“用户权限分配”、查看“用户组权限分配”、 在安全选项中设置“开机不自动显示上次登录帐户”、 禁止枚举帐户名和禁止远程访问注册表等操作切实提高安全防范意识。
3.1.2 实验环境
1台安装Windows10操作系统的计算机磁盘格式配置为NTFS。
我上机实验是win7台式机 有两个截图是win11笔记本 win11截图有特别说明其余都是win7
win11本地安全策略找不到的话 请看本文最后说明
3.1.3 实验内容和步骤
1. 删除不再使用的帐户并禁用guest帐户
共享账户、guest帐户等具有较弱的安全保护常常都是黑客们攻击的对象系统的帐户越多被攻击者攻击成功的可能性越大因此要及时检查和删除不必要的帐户必要时禁用guest帐户。
首先检查和删除不必要的账户。右键单击“开始”按钮打开“资源管理器”选择“控制面板”中的“用户帐户”项再点击“用户帐户”、“管理帐户”列出了系统的所有帐户 我们创建一个新帐户。点击“在电脑设置中添加新用户” 填入账户名 新用户创建完成
在“此电脑”右键点击“管理”在管理界面左侧栏点击“本地用户和组”点击“用户”选中“jsss”右键点击“属性”勾选“帐户已禁用”这样就把帐户jsss禁用了。若要删除用户就点击上方红色“x”号删除用户。 2.启用密码策略和帐户锁定策略
帐户策略是Windows帐户管理的重要工具。
打开“控制面板”“查看方式”选择“小图标”点击“管理工具”—“本地安全策略”
找不到的话请看本文最后的说明 选择“帐户策略”双击“密码策略”弹出如下所示的窗口。
密码策略用于决定系统密码的安全规则和设置。 其中符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项可按照需要改变密码特性的设置。
1双击“密码必须符合复杂性要求”选择“启用” 下面我们看一下策略是否启动打开“控制面板”—“用户帐户”—“用户帐户”—“管理帐户”—“更改帐户”—“创建密码” 在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。
例如若输入密码为L123456则弹出“密码不符合要求”的对话框 若输入密码为L_123456密码被系统接受。
2双击“密码长度最小值”在弹出的对话框中设置可被系统接纳的帐户密码长度最小值例如设置为6个字符。一般为了达到较高的安全性建议密码长度的最小值为8。 3双击“密码最长使用期限”在弹出的对话框中设置系统要求的帐户密码的最常使用期限为42天。设置密码自动保留期可以提醒用户定期修改密码防止密码使用时间过长带来的安全问题。 4双击“密码最短使用期限”在弹出的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改密码帐户。
5双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”在相继弹出的类似对话框中设置让系统记住的密码数量和是否设置加密存储密码。 至此密码策略设置完毕。 帐户策略中的第2项是帐户锁定策略它决定系统锁定帐户的时间等相关设置。
打开“帐户锁定策略”弹出如下所示的窗口 1双击“帐户锁定阈值”在弹出的对话框中设置帐户被锁定之前经过的无效登录次数如3次以便防范攻击者利用管理员身份登录后无限次的猜测帐户的密码穷举法攻击。 2双击“帐户锁定时间”在弹出的对话框中设置帐户被锁定的时间如5min。此后当某帐户无效登录如密码错误的次数超过3次时系统将锁定该帐户5min。 要求策略设置完毕后可以尝试输入错误密码锁定账户。
测试我锁定时间改成了1分钟 三次错误密码即锁定等待1分钟解锁 3.查看“用户权限分配”
系统中任何一个文件或文件夹都有以其为客体的访问控制规则这里我们进行查看。针对目标文件或文件夹右键单击“属性”“安全”可以查看系统中的主体对其的访问控制权限进一步可通过“编辑”修改某一个主体的访问控制权限。
要求尝试创建标准用户并用该账号登录后新建文件设置访问控制规则使得管理员账户的访问权限低于标准用户。
注意登录jsss用户 jsss用户下新建文件夹1
注意 别在桌面上创建 最好在盘符根目录下 下图文件在桌面上后面又移到了D:下了
原因 桌面是用户目录每一个用户都有自己的用户目录。 不是很好找直接放到盘符下所有用户共用。  修改管理员对文件夹的权限 完全控制 拒绝 查看安全设置 这里我把文件夹1移到了盘符下了
文件夹1别放到桌面移动到盘符下 登录管理员
双击进入文件夹1 可以发现没有权限 如上图管理员无法访问“文件夹1”但普通用户可以访问。
4.查看“用户组权限分配”
在访问控制中系统对用户组有一个粗略的系统权限分配我们可以在“本地策略”中查看并做编辑修改如下图所示。
要求请你分析本地机器的访问控制策略是否合理如果需要修改请给出理由。
以下是用户权限分配界面 备份文件和目录
5.在安全选项中设置“开机不自动显示上次登录帐户”
Windows默认设置为开机时自动显示上次登陆的帐户名许多用户也采用了这一设置。这对系统来说是很不安全的攻击者会从本地或Terminal Service的登陆界面看到用户名并尝试破解密码。
要禁止显示上次的登陆名可作如下设置
打开“控制面板”打开“管理工具”选项下“本地安全策略”项选择“本地策略”中的“安全选项”选择“交互式登录不显示最后的用户名”选项在弹出的对话框中选择“已启用”完成设置。 注意 改之前知道自己账户名和密码 别玩坏了我这里取消更改了
6.禁止枚举帐户名
为了便于远程用户共享本地文件Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名这给了攻击者可乘之机。
要禁止枚举帐户名可执行以下操作
打开“本地安全策略”项选择“本地策略”中的“安全选项”选择“网络访问不允许SAM帐户和共享的匿名枚举” 选项在弹出的对话框中选择“已启用”完成设置。 7.禁止远程访问注册表
允许远程访问注册表风险极大将远程访问注册表的路径设置为空可以有效避免黑客利用扫描器通过远程注册表读取或更改系统信息。
打开控制面板选择“管理工具”双击“本地安全策略”依次打开“本地策略”—“安全选项”在右侧找到“网络访问可远程访问的注册表路径”和“网络访问可远程访问的注册表路径和子路径”双击打开将路径删除。 此外在“安全选项”中还有多项增强系统安全的选项请自行查看。
另外
要求列出10条你认为有必要的安全选项做设置并解释。
①Windows 使用安全策略设置“交互式登录计算机非活动限制”来检测登录用户的活动情况如果非活动时间量超过此策略设置的非活动限制则用户可以通过调用屏幕保护程序处于活动状态来锁定会话。如果配置了“交互式登录计算机不活动限制”的安全策略设置则设备不仅在非活动时间超过非活动限制时锁定而且在屏幕保护程序激活或屏幕因电源设置而关闭时锁定。我们将时间设置为10秒。
下图是win7没有win11的截图
②“交互式登录计算机帐户阈值”安全策略设置在启用了BitLocker的计算机上强制实施锁定策略以保护操作系统卷。可以设置导致设备使用BitLocker锁定的失败登录尝试次数的阈值。此阈值意味着如果超过指定的最大失败登录尝试次数设备将使受信任的平台模块TPM保护程序和除48位恢复密码以外的任何其他保护程序失效然后重新启动。 在设备锁定模式下计算机或设备仅启动Windows 恢复环境WinRE直到授权用户输入恢复密码以还原完全访问权限。我们将最大登录次数设置为5次。
下图是win7没有win11的截图
③“用户帐户控制允许UIAccess应用程序在不使用安全桌面的情况下提升权限”策略决定了用户界面辅助程序是否可以绕过安全桌面一般设置为“已禁用”如果启用该选项应用程序就可以直接按照应用需求提升权限这样会增加系统的风险因为可能会被恶意程序所利用。 ④“用户帐户控制用于内置管理员帐户的管理员批准模式”在启用时本地管理员帐户像标准用户帐户那样运行但它能够在不使用其他帐户登录的情况下提升权限。在此模式下任何需要提升权限的操作均会显示可让管理员允许或拒绝提升权限的提示。如果未启用管理员批准模式内置的管理员帐户默认在完全管理权限下运行所有应用程序。一般将此策略设置为“已禁用”。 ⑤“用户帐户控制提示提升时切换到安全桌面”策略决定了提升请求是在交互式用户桌面上提示还是在安全桌面上提示。如果启用则包括管理员和标准用户的所有提升请求都将转换至安全桌面如果禁用则所有提升请求都将转至交互用户桌面。为了提高计算机的安全性将该策略设置为“已启用”。 ⑥“域控制器允许服务器操作者计划任务”策略决定了服务器操作员是否可以使用at命令提交作业。如果启用此策略服务器操作员通过 at 命令创建的作业将在运行任务计划程序服务的帐户中运行。为安全起见将该策略设置为“已禁用”。 ⑦ “帐户使用空白密码的本地帐户只允许进行控制台登录”策略一般设置为“已启用”这表示如果账户密码为空则只有本地才能登入。如果把该策略禁用就意味着访客只需要知道用户名就可以访问非常不安全。 ⑧“系统设置: 将Windows可执行文件中的证书规则用于软件限制策略”用于确定在启用软件限制策略时是否处理数字证书启用该策略会令软件限制策略检查证书吊销列表CRL以确保软件的证书和签名有效从而提高安全性所以建议启用。 ⑨启用“用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置”有助于将应用程序写入失败重定向到文件系统和注册表的定义用户位置从而防止较旧的应用程序将数据写入不安全的位置。 ⑩“用户帐户控制以管理员批准模式运行所有管理员”策略建议启用。在这种模式下即使是用管理员账号登陆系统此账号也会以一个普通标准用户的权限运行如果有软件需要提升到管理员权限再提示对系统做相应的更改。如果禁用该策略可能会有恶意软件私自篡改系统文件的风险导致系统安全受到威胁和损害。 说明
WIN11家庭版没有本地安全策略解决方法
新建一个txt文件
echo offpushd %~dp0dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum List.txtdir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum List.txtfor /f %%i in (findstr /i . List.txt 2^nul) do dism /online /norestart /add-package:C:\Windows\servicing\Packages\%%ipause后缀改为bat管理员模式运行然后会弹出命令窗口等几分钟就安装好了
Winr 运行 gpedit.msc
Winr 运行 SECPOL.MSC
本地安全策略组就出来了
最后可以把.bet文件和生成的List文件删掉。
最后
2023-3-27 11:36:04
祝大家逢考必过 点赞收藏关注哦
