操作系統(tǒng)安全實驗3實驗報告

1、-. z.操作系統(tǒng)平安實驗3實驗?zāi)康牧私釽indows操作系統(tǒng)的平安性熟悉Windows操作系統(tǒng)的平安設(shè)置熟悉MBSA的使用實驗要求根據(jù)實驗中的平安設(shè)置要求，詳細觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報告。采用MBSA測試系統(tǒng)的平安性，并分析原因。比擬Windows系統(tǒng)的平安設(shè)置和Linu*系統(tǒng)平安設(shè)置的異同。實驗容配置本地平安設(shè)置，完成以下容：賬戶策略：包括密碼策略最小密碼長度、密碼最長存留期、密碼最短存留期、強制密碼歷史等和賬戶鎖定策略鎖定閾值、鎖定時間、鎖定計數(shù)等賬戶和口令的平安設(shè)置：檢查和刪除不必要的賬戶User用戶、Duplicate User用戶、測試用戶、共享用戶等、禁用gues

2、t賬戶、制止枚舉、創(chuàng)立兩個管理員、創(chuàng)立陷阱用戶用戶名為Administrator、權(quán)限設(shè)置為最低、不讓系統(tǒng)顯示上次登錄的用戶名。設(shè)置審核策略：審核策略更改、審核賬戶登錄事件、審核賬戶管理、審核登錄事件、審核特權(quán)使用等設(shè)置IP平安策略其他設(shè)置：公鑰策略、軟件限制策略等Windows系統(tǒng)注冊表的配置找到用戶平安設(shè)置的鍵值、SAM設(shè)置的鍵值修改注冊表：制止建立空連接、制止管理共享、關(guān)閉139端口、防SYN攻擊、減少syn-ack包的響應(yīng)時間、預(yù)防DoS攻擊、防止ICMP重定向報文攻擊、不支持IGMP協(xié)議、制止死網(wǎng)關(guān)監(jiān)控技術(shù)、修改MAC地址等操作。建立空連接：Local_MachineSystemCu

3、rrentControlSetControl LSA-RestrictAnonymous 的值改成1即可。制止管理共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters項 對于效勞器，添加鍵值A(chǔ)utoShareServer，類型為 REG_DWORD，值為0。 對于客戶機，添加鍵值A(chǔ)utoShareWks，類型為 REG_DWORD，值為0。 關(guān)閉139端口：在網(wǎng)絡(luò)和撥號連接中本地連 接中選取Internet協(xié)議(TCP/IP)屬性，進入高級 TCP/IP 設(shè)置WINS 設(shè)置里面有一項 禁用 TCP/

4、IP的NETBIOS，打勾就關(guān)閉了139端口。防SYN攻擊：相關(guān)的值項在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 DWORD：SynAttackProtect：定義了是否允許SYN淹沒攻擊保護，值1表示允許起用Windows的SYN淹沒攻擊保護。(2) DWORD：TcpMa*ConnectResponseRetransmissions：定義了對 于連接請求回應(yīng)包的重發(fā)次數(shù)。值為1，則SYN淹沒攻擊不會有效果，但是這樣會造成連接請求失敗幾率的增高。SYN淹沒攻擊保護只有在該值=2時才會被啟用，默認值為3。 上邊兩個值定義是否允許

5、SYN淹沒攻擊保護，下面三個則定義了 激活SYN淹沒攻擊保護的條件，滿足其中之一，則系統(tǒng)自動激活 SYN淹沒攻擊保護。 減少syn-ack包的響應(yīng)時間：HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMa*ConnectResponseRetransmissions定義了重發(fā)SYN-ACK包的 次數(shù)。 增大NETBT的連接塊增加幅度和最大數(shù)器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默認值為3，最大20，最小1。 HK

6、LMSYSTEMCurrentControlSetServicesNetBtParametersMa*ConnBackLog默認值為1000，最大可取40000 預(yù)防DoS攻擊：在注冊表 HKLMSYSTEMCurrentControlSetServicesTcpipPa rameters中更改以下值可以防御一定強度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliv

7、eTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 防止ICMP重定向報文的攻擊： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0*0(默認值為0*1) 該參數(shù)控制Windows 是否會改變其路由表以響應(yīng)網(wǎng)絡(luò) 設(shè)備(如路由器)發(fā)送給它的ICMP重定向消息，有時會 被利用來干壞事。Windows中默認值為1，表示響應(yīng) ICMP重定向報文。 制止響應(yīng)IC

8、MP路由通告報文 HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesPerformRouterDiscovery REG_DWORD 0*0(默認值為0*2) ICMP路由公告功能可造成他人計算機的網(wǎng)絡(luò)連接異常，數(shù)據(jù)被竊聽，計算機被用于流量攻擊等嚴重后果。此問題曾導(dǎo)致校園網(wǎng)*些局域網(wǎng)大面積，長時間的網(wǎng)絡(luò)異常。 建議關(guān)閉響應(yīng)ICMP路由通告報文。Windows中默認值為 2，表示當DHCP發(fā)送路由器發(fā)現(xiàn)選項時啟用。不支持IGMP協(xié)議 HKLMSYSTEMCurrentControlSetServicesTcpipParamet

9、ersIGMPLevel REG_DWORD 0*0(默認值為0*2) Win9*下有個bug，就是用可以用IGMP使別人藍屏，修改注冊表可以修正這個bug。Windows雖然沒這個bug了，但IGMP并不是必要的，因此照樣可以去掉。改成0后用 route print將看不到224.0.0.0項了。 制止死網(wǎng)關(guān)監(jiān)測技術(shù) HKLMSYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetectREG_DWORD 0*0(默認值為o*1) 如果你設(shè)置了多個網(wǎng)關(guān)，則你的機器在處理多個連接有困難時，就會自動改用備份網(wǎng)關(guān)，有時候這并不是一

10、項好主意，建議制止死網(wǎng)關(guān)監(jiān)測。 修改MAC地址 HKLMSYSTEMCurrentControlSetControlClass 找到右窗口的說明為網(wǎng)卡的目錄，比方說是4D36E972-E325-11CE-BFC1-08002BE10318展開之，在其下0000,0001,0002.的分支中找到DriverDesc的鍵值為你網(wǎng)卡的說明，比方說DriverDesc的值為Intel(R) 82559 Fast Ethernet LAN on Motherboard然后在右窗口新建一字符串值，名字為Networkaddress，容為你想要的MAC值，比方說是0然后重起計算機，ipconfig /all查看。 文件及文件夾權(quán)限設(shè)置用戶組及用戶的權(quán)限：有哪些組？其權(quán)限是什么？有哪些用戶？分屬哪些組？設(shè)置其權(quán)限。新建一個文件夾并設(shè)置其訪問控制權(quán)限。審核日志分析查找審核日志，顯示其詳細信息：應(yīng)用程序日志、平安性日志、系統(tǒng)日志。分析各種日志所描述的容，分析警告、信息、錯誤等的意義。信息為普通系統(tǒng)信息，警告為暫時可不處理的問題，錯誤為必須立即處理的問題。使用Microsoft 基準平安分析器MBSA 2.0對系統(tǒng)進展平安評估Microsoft 基準平安分析器 (MBSA) 可以檢查操作系統(tǒng)，還可以掃描