第3模块 Windows操作系统安全部分
3.1 帐户和口令的安全设置
3.1.1 实验目的
本章实验的目的主要是熟悉Windows操作系统中帐户和口令的安全设置,掌握删除、禁用帐户的方法,了解并启用密码策略和用户锁定策略,体验查看“用户权限分配”、查看“用户组权限分配”、 在安全选项中设置“开机不自动显示上次登录帐户”、 禁止枚举帐户名和禁止远程访问注册表等操作,切实提高安全防范意识。
3.1.2 实验环境
1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。
3.1.3 实验内容和步骤
1. 删除不再使用的帐户并禁用guest帐户
共享账户、guest帐户等具有较弱的安全保护,常常都是黑客们攻击的对象,系统的帐户越多,被攻击者攻击成功的可能性越大,因此要及时检查和删除不必要的帐户,必要时禁用guest帐户。
首先检查和删除不必要的账户。右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户帐户”项,再点击“用户帐户”、“管理帐户”,列出了系统的所有帐户:
我们创建一个新帐户。点击“在电脑设置中添加新用户”:
点击“将其他人添加到这台电脑”:
点击“我没有这个人的登录信息”:
填写相关信息后点击“下一步”:
新用户创建完成!
在“此电脑”右键点击“管理”,在管理界面左侧栏点击“本地用户和组”,点击“用户”,选中“95157”,右键点击“属性”,勾选“帐户已禁用”,这样就把帐户95157禁用了。若要删除用户,就点击上方红色“x”号,删除用户。
2.启用密码策略和帐户锁定策略
帐户策略是Windows帐户管理的重要工具。
打开“控制面板”,“查看方式”选择“小图标”,点击“管理工具”—“本地安全策略”,选择“帐户策略”,双击“密码策略”,弹出如下所示的窗口。密码策略用于决定系统密码的安全规则和设置。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特性的设置。
(1)双击“密码必须符合复杂性要求”,选择“启用”:
下面我们看一下策略是否启动,打开“控制面板”—“用户帐户”—“用户帐户”—“管理帐户”—“更改帐户”—“创建密码”:
在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。例如,若输入密码为L123456,则弹出“密码不符合要求”的对话框;若输入密码为L_123456,密码被系统接受。
(2)双击“密码长度最小值”,在弹出的对话框中设置可被系统接纳的帐户密码长度最小值,例如设置为6个字符。一般为了达到较高的安全性,建议密码长度的最小值为8。
(3)双击“密码最长使用期限”,在弹出的对话框中设置系统要求的帐户密码的最常使用期限为42天。设置密码自动保留期,可以提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
(4)双击“密码最短使用期限”,在弹出的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改密码帐户。
(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。 至此,密码策略设置完毕。
帐户策略中的第2项是帐户锁定策略,它决定系统锁定帐户的时间等相关设置。 打开“帐户锁定策略”,弹出如下所示的窗口:
(1)双击“帐户锁定阈值”,在弹出的对话框中设置帐户被锁定之前经过的无效登录次数,如3次,以便防范攻击者利用管理员身份登录后无限次的猜测帐户的密码(穷举法攻击)。
(2)双击“帐户锁定时间”,在弹出的对话框中设置帐户被锁定的时间,如5min。此后,当某帐户无效登录(如密码错误)的次数超过3次时,系统将锁定该帐户5min。
要求:策略设置完毕后,可以尝试输入错误密码,锁定账户。
3.查看“用户权限分配”
系统中任何一个文件或文件夹,都有以其为客体的访问控制规则,这里我们进行查看。针对目标文件或文件夹,右键单击“属性”,“安全”,可以查看系统中的主体对其的访问控制权限,进一步可通过“编辑”,修改某一个主体的访问控制权限。
要求:尝试创建标准用户,并用该账号登录后新建文件,设置访问控制规则,使得管理员账户的访问权限低于标准用户。
如图,管理员无法访问“文件夹1”,但普通用户可以访问。
4.查看“用户组权限分配”
在访问控制中,系统对用户组有一个粗略的系统权限分配,我们可以在“本地策略”中查看,并做编辑修改,如下图所示。要求:请你分析本地机器的访问控制策略是否合理,如果需要修改,请给出理由。 
备份文件和目录
5.在安全选项中设置“开机不自动显示上次登录帐户”
Windows默认设置为开机时自动显示上次登陆的帐户名,许多用户也采用了这一设置。这对系统来说是很不安全的,攻击者会从本地或Terminal Service的登陆界面看到用户名,并尝试破解密码。
要禁止显示上次的登陆名,可作如下设置:
打开“控制面板”,打开“管理工具”选项下“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“交互式登录:不显示最后的用户名”选项,在弹出的对话框中选择“已启用”,完成设置。
6.禁止枚举帐户名
为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。
要禁止枚举帐户名,可执行以下操作:
打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“网络访问:不允许SAM帐户和共享的匿名枚举” 选项,在弹出的对话框中选择“已启用”,完成设置。
7.禁止远程访问注册表
允许远程访问注册表风险极大,将远程访问注册表的路径设置为空,可以有效避免黑客利用扫描器通过远程注册表读取或更改系统信息。
打开控制面板,选择“管理工具”,双击“本地安全策略”,依次打开“本地策略”—“安全选项”,在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”,双击打开,将路径删除。
此外,在“安全选项”中还有多项增强系统安全的选项,请自行查看。
要求:列出10条你认为有必要的安全选项做设置并解释。
①Windows 使用安全策略设置“交互式登录:计算机非活动限制”来检测登录用户的活动情况,如果非活动时间量超过此策略设置的非活动限制,则用户可以通过调用屏幕保护程序处于活动状态来锁定会话。如果配置了“交互式登录:计算机不活动限制”的安全策略设置,则设备不仅在非活动时间超过非活动限制时锁定,而且在屏幕保护程序激活或屏幕因电源设置而关闭时锁定。我们将时间设置为10秒。
②“交互式登录:计算机帐户阈值”安全策略设置在启用了BitLocker的计算机上强制实施锁定策略,以保护操作系统卷。可以设置导致设备使用BitLocker锁定的失败登录尝试次数的阈值。此阈值意味着,如果超过指定的最大失败登录尝试次数,设备将使受信任的平台模块(TPM)保护程序和除48位恢复密码以外的任何其他保护程序失效,然后重新启动。 在设备锁定模式下,计算机或设备仅启动Windows 恢复环境(WinRE),直到授权用户输入恢复密码以还原完全访问权限。我们将最大登录次数设置为5次。
③“用户帐户控制:允许UIAccess应用程序在不使用安全桌面的情况下提升权限”策略决定了用户界面辅助程序是否可以绕过安全桌面,一般设置为“已禁用”,如果启用该选项,应用程序就可以直接按照应用需求提升权限,这样会增加系统的风险,因为可能会被恶意程序所利用。
④“用户帐户控制:用于内置管理员帐户的管理员批准模式”在启用时,本地管理员帐户像标准用户帐户那样运行,但它能够在不使用其他帐户登录的情况下提升权限。在此模式下,任何需要提升权限的操作均会显示可让管理员允许或拒绝提升权限的提示。如果未启用管理员批准模式,内置的管理员帐户默认在完全管理权限下运行所有应用程序。一般将此策略设置为“已禁用”。
⑤“用户帐户控制:提示提升时切换到安全桌面”策略决定了提升请求是在交互式用户桌面上提示还是在安全桌面上提示。如果启用,则包括管理员和标准用户的所有提升请求都将转换至安全桌面;如果禁用,则所有提升请求都将转至交互用户桌面。为了提高计算机的安全性,将该策略设置为“已启用”。
⑥“域控制器:允许服务器操作者计划任务”策略决定了服务器操作员是否可以使用at命令提交作业。如果启用此策略,服务器操作员通过 at 命令创建的作业将在运行任务计划程序服务的帐户中运行。为安全起见,将该策略设置为“已禁用”。
⑦ “帐户:使用空白密码的本地帐户只允许进行控制台登录”策略一般设置为“已启用”,这表示如果账户密码为空,则只有本地才能登入。如果把该策略禁用,就意味着访客只需要知道用户名就可以访问,非常不安全。
⑧“系统设置: 将Windows可执行文件中的证书规则用于软件限制策略”用于确定在启用软件限制策略时是否处理数字证书,启用该策略会令软件限制策略检查证书吊销列表(CRL)以确保软件的证书和签名有效,从而提高安全性,所以建议启用。
⑨启用“用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置”有助于将应用程序写入失败重定向到文件系统和注册表的定义用户位置,从而防止较旧的应用程序将数据写入不安全的位置。
⑩“用户帐户控制:以管理员批准模式运行所有管理员”策略建议启用。在这种模式下,即使是用管理员账号登陆系统,此账号也会以一个普通标准用户的权限运行,如果有软件需要提升到管理员权限再提示对系统做相应的更改。如果禁用该策略,可能会有恶意软件私自篡改系统文件的风险,导致系统安全受到威胁和损害。
3.2 Bitlocker磁盘加密
3.2.1 实验目的
Windows10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密。Bitlocker的优势在于,除了设置密码的用户本人,其他任何人都不能打开加密的磁盘,可以避免因物理设备的丢失造成的用户信息泄露。
3.2.2 实验环境
1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。
3.2.3 实验内容和步骤
1.启动Bitlocker服务
“控制面板”—“管理工具”—“组件服务”—“服务(本地)”,在右边页面中找到“Bitlocker Drive Encryption Service”,双击打开,把启动类型改为“启用”状态。
2.对磁盘进行Bitlocker加密
在资源管理器中选择要加密的磁盘,右键单击,点Bitlocker操作。
设置加密密码,并对密钥生成备份文件。
3.3 启用审核与日志查看
3.3.1 实验目的
熟悉Windows操作系统的审核策略设置与日志查看方法,增强安全意识。
3.3.2 实验环境
1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。
3.3.3 实验内容和步骤
1.打开审核策略
(1)打开“控制面板”中的“管理工具”,选择“本地安全策略”;
(2)打开“本地策略”中的“审核策略”,可以看到当前系统的审核策略;
(3)双击每项策略可以选择是否启用该项策略。例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审计登录事件”将对每次用户的登录进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关的审核策略。审核策略启用后,审核结果放在各种事件日志中。
2、查看事件日志
(1)打开“控制面板”中的“管理工具”,双击“事件查看器”,安全日志用于记录刚才上面审核策略中所设置的安全事件。
(2)双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录。例如,查看用户登录/注销的日志,弹出分别为登录事件的失败审核与成功审核的对话框。可以看到日志中详细记录了登录的时间、账户名、错误类型等信息。其中,“事件ID”用于标示各事件的类型。各ID的意义可以查看Microsoft网站。
要求:请修改审核策略后,再查看日志文件,对比审核策略修改前后,系统审计日志的变化。
修改前:
修改后:
查看安全日志:
3.4 启用安全策略与安全模板
3.4.1 实验目的
掌握Windows操作系统的安全策略与安全模板的设置方法。
3.4.2 实验环境
1台安装Windows10操作系统的计算机,磁盘格式配置为NTFS。
3.4.3 实验内容和步骤
(1)单击“开始”,选择“运行”按钮,在对话框中输入mmc,打开系统控制台。
(2)单击工具栏上的“控制台”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全配置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
(3)此时系统控制台中根节点下添加了“安全模板”、“安全配置分析”两个文件夹。打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”可以看该模板的相关信息。选择“打开”,右侧窗口出现该模板中的安全策略,双击每种安全策略可看到相关配置。
添加模板,命名为my。
(4)右键单击“安全配置与分析”,选择“打开数据库”。在弹出的对话框中输入欲新建安全数据库的名称,例如起名为my.sdb,如所示。单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
(5)右键单击“安全配置与分析”,选择“立即分析计算机”,单击“确定”按钮。系统开始按照上一部中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。分析完毕后,可在目录中选择查看各安全设置的分析结果。
(6)右键单击“安全配置与分析”,选择“立即配置计算机”,则按照第(4)步中所选择的安全模板的要求对当前系统进行配置。如果事先对系统的缺省配置选项作了记录,接着记录启用安全模板后系统的安全设置,与启用前进行比较,即可发现,如果选用的安全模板级别较高,则使用安全模板后系统的安全配置选项增加了许多。
要求:制定自己的安全策略,创建并使用你认为较好的安全模板,对比使用模板前后的策略变化。
首先添加模板,输入模板的名称,假设是template。新的模板将在左边窗格中作为一个节点列出,位于预制的模板之下。接下来的所有设置都可以在template节点下完成。
第一部分,设置Administrator组,只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的template节点,选中“受限制的组”,选择菜单“添加组”。
在新出现的对话框中,依次点击“浏览”、“高级”、“立即查找”并找到本地工作站或成员服务器的Administrators组。
接下来设置模板的第二部分,使得任何拥有C:\adminstuff文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中,右击“文件系统”,选择“添加文件”,在“添加文件或文件夹”对话框中找到或者输入C:\adminstuff目录,点击“确定”。
出现一个标准的NTFS权限设置对话框,加入对本地Administrators组的“完全控制”授权。注意NTFS安全设置对话框里还可以调整高级NTFS选项,例如设置审核功能、所有者权限等。点击“确定”,系统会询问是否把权限设置传播给所有子文件夹和文件,根据需要选择一个选项,点击“确定”。
第三部分,在控制台左边的窗格中,点击“系统服务”,将不需要的服务禁用。
右击控制台左边窗格中的template模板,选择“保存”。现在在C:\Users\26909\Documents\Security\Templates目录下就有了一个template.inf文件。
这一部分的实验让我认识到了Windows自带的安全模板和安全策略也可以对我们的系统进行一定的保护,并且学会了创建一个安全模板。安全模板可以实现控制组的成员,并且设置仅限本地用户组访问,同时禁用不需要的服务来保证安全。