實(shí)驗(yàn)11A操作系統(tǒng)安全實(shí)驗(yàn)?zāi)康睦斫馊绾尾檎襑indows服務(wù)器存在的安全問題2．掌握Windows服務(wù)器的安全性設(shè)置方法。二、實(shí)驗(yàn)準(zhǔn)備1．Windows操作系統(tǒng)的安全管理措施主要有安裝系統(tǒng)補(bǔ)丁、用戶帳號及口令安全、文件系統(tǒng)安全、主機(jī)安全管理等組成。帳號和口令安全設(shè)置包括限制新建的帳號的登錄、限制帳戶的登錄時(shí)間、限制登錄到指定的計(jì)算機(jī)、設(shè)置帳號失效期和設(shè)置密碼策略。單個(gè)主機(jī)的安全設(shè)置的主要措施有使用安全策略、設(shè)置系統(tǒng)資源審核和關(guān)閉不必要的服務(wù)。2．為了提高系統(tǒng)安全性，需要對系統(tǒng)的一些重要文件夾進(jìn)行正確的權(quán)限設(shè)置，查閱資料，合理設(shè)置下列目錄和文件的使用權(quán)限：c:\inetpub\wwwroot、c:/inetpub/mailroot、c:/inetpub/ftprootc:/windows。3．在Windows中，計(jì)算機(jī)使用SID來跟蹤每個(gè)帳戶，讀者可以在命令行下輸入whoami/user查看自己的SID。如果重命名管理員帳戶，計(jì)算機(jī)仍然知道哪個(gè)帳戶是管理員帳戶因?yàn)闊o論帳戶名稱如何變化，SID保持不變。查閱有關(guān)資料，熟悉帳戶、服務(wù)、注冊表管理方法。三、實(shí)驗(yàn)內(nèi)容1．通過netshare命令查看本地共享資源，進(jìn)行必要的更改。相關(guān)命令集以及運(yùn)行結(jié)果如下圖所示。2.利用Windows內(nèi)置程序查看網(wǎng)絡(luò)是否有入侵行為發(fā)生。2.1檢查系統(tǒng)賬號1.查看服務(wù)器是否存在可疑賬號、新增賬號cmd--lusrmgr.msc，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶。經(jīng)檢查，處于正常狀態(tài)。2.netuser:查看當(dāng)前用戶netlocalgroupadministrators：查看當(dāng)前用戶組經(jīng)檢查，處于正常狀態(tài)。2.2結(jié)合Windows安全日志，查看管理員登錄時(shí)間、用戶名是否存在異常。Win+r+eventvwr.msc打開事件查看器，使用日志篩選功能對“4624”登錄成功事件、“4625”登錄失敗事件進(jìn)行查看，由近期登錄用戶時(shí)間，用戶名，縮小排查范圍，以及可以根據(jù)大量登錄失敗事件判斷出某賬號被進(jìn)行暴力破解。甚至我們可以導(dǎo)出Windows日志—安全，利用LogParser進(jìn)行分析。經(jīng)檢查均正常2.3檢查異常端口、進(jìn)程檢查端口檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接打開cmd輸入命令：netstat-ano再通過tasklist命令進(jìn)程定位tasklist|findstr"PID'檢查進(jìn)程win+r輸入msinfo32打開系統(tǒng)信息，查看進(jìn)程詳細(xì)信息，比如：進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期、啟動時(shí)間等。2.4檢查啟動項(xiàng)、計(jì)劃任務(wù)、服務(wù)2.4.1檢查服務(wù)器是否有異常的啟動項(xiàng)win+r輸入msconfig，查看是否存在命名異常的啟動項(xiàng)目，是則取消勾選命名異常的啟動項(xiàng)目，并到命令中顯示的路徑刪除文件。win+r輸入regedit，打開注冊表，查看開機(jī)啟動項(xiàng)是否正常，特別注意如下三個(gè)注冊表項(xiàng)：檢查右側(cè)是否有啟動異常的項(xiàng)目，如有刪除，清除殘留病毒或木馬。HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce2.4.2組策略，運(yùn)行win+R+gpedit.msc。打開cmd，然后輸入schtasks.exe，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。2.4.3服務(wù)自啟動win+r輸入services.msc，注意服務(wù)狀態(tài)和啟動類型，檢查是否有異常服務(wù)。2.5檢查系統(tǒng)相關(guān)信息2.5.1查看系統(tǒng)版本以及補(bǔ)丁信息打開cmd輸入systeminfo，查看系統(tǒng)信息2.5.2查找可以目錄及文件打開cmd，輸入%UserProfile%\Recent，最近訪問無異常。3.查閱資料，合理設(shè)置下列目錄和文件的使用權(quán)限：c:\inetpub\wwwroot、c:/inetpub/mailroot、c:/inetpub/ftprootc:/windowsc:\inetpub\wwwrootadministrators完全控制；system完全控制；c:\inetpub\mailrootadministrators完全控制；system完全控制；service完全控制c:\inetpub\ftprooteveryone只讀和運(yùn)行c:/windowseveryone默認(rèn)權(quán)限4．禁用不必要的服務(wù)(1)選擇「開始」—「程序」—「管理工具」，然后單擊計(jì)算機(jī)管理。(2)在“計(jì)算機(jī)管理（本地）”下，展開“服務(wù)和應(yīng)用程序”，然后單擊服務(wù)。當(dāng)前所運(yùn)行服務(wù)的狀態(tài)列中顯示已啟動。按下“Win+R”組合鍵打開【運(yùn)行】小窗口，輸入：services.msc點(diǎn)擊確定打開服務(wù)組件(3)找出“要停止的服務(wù)”，右擊該服務(wù)選擇屬性，在屬性中選擇依存關(guān)系選項(xiàng)卡。Fax傳真服務(wù)，目前來說幾乎用不到。PrintSpooler打印后臺處理服務(wù)，如果電腦沒有使用打印機(jī)，就可以禁用。DownloadedMapsManager下載的地圖管理器，可以直接禁用。SmartCard智能卡服務(wù)，一般用戶用不到TouchKeyboardandHandwritingPanelService觸摸鍵盤、手寫面板筆和墨跡功能，不是觸摸屏的用戶可以直接禁用。（4）在“服務(wù)名依賴這些服務(wù)”列表中，查看并記錄與該服務(wù)存在依賴關(guān)系的服務(wù)，記下沒有該服務(wù)就無法啟動的那些服務(wù)。(5)如果要立即停止服務(wù)，請單擊停止。如果顯示停止其他服務(wù)對話框，依賴于該服務(wù)的其他服務(wù)也將被停止。按記下的受影響的服務(wù)，然后單擊是。(6)記下該服務(wù)停止后，存在依存關(guān)系的系統(tǒng)組件的狀態(tài)。狀態(tài)：如果顯示停止其他服務(wù)對話框，依賴于該服務(wù)的其他服務(wù)也將被停止。這些組件將無法使用。具體如下圖所示：5．禁用或刪除不必要的帳戶(1)選擇「開始」—「程序」—「管理工具」，然后單擊計(jì)算機(jī)管理。(2)在“計(jì)算機(jī)管理（本地）”下，展開“系統(tǒng)工具”，然后單擊“本地用戶和組”中的用戶。(3)查看系統(tǒng)的活動帳戶列表，并且禁用所有非活動帳戶，刪除不再需要的帳戶。查看禁用：點(diǎn)擊相應(yīng)用戶的屬性，可以進(jìn)行相應(yīng)的更改。刪除：6．設(shè)置更加可靠的密碼策略(1)選擇「開始」?「程序」?「管理工具」，然后單擊“本地安全策略”或“域安全策略”。(2)在“本地安全策略”下，展開“帳戶策略”，然后單擊“密碼策略”。(3)設(shè)置密碼策略首先將最小密碼長度設(shè)置為6個(gè)字符，然后設(shè)置一個(gè)適合您網(wǎng)絡(luò)的密碼最短期限（通常介于1至7天之間）。設(shè)置一個(gè)適合您網(wǎng)絡(luò)的最長密碼期限（通常不超過42天）(4)設(shè)置完成后創(chuàng)建一測試賬戶并設(shè)置一個(gè)1-5位的密碼，記錄系統(tǒng)提示信息。7．設(shè)置帳戶的鎖定策略（1）選擇「開始」?「程序」?「管理工具」，然后單擊“本地安全策略”或“域安全策略”。（2）在“本地安全策略”下，展開“帳戶策略”，然后單擊“帳戶的鎖定策略”。（3）右擊“賬戶鎖定閥值”，將其設(shè)置為“啟用在3至5次嘗試失敗之后的鎖定”。（4）右擊“復(fù)位帳戶鎖定計(jì)數(shù)器”，將其設(shè)置為“在不少于30分鐘之后復(fù)位計(jì)數(shù)器”。（5）右擊“帳戶鎖定時(shí)間”，將鎖定時(shí)間設(shè)置為“永久”。在設(shè)置“帳戶鎖定時(shí)間”時(shí)，由于最大值為99999分鐘，無“永久”選項(xiàng)，即設(shè)置“帳戶鎖定時(shí)間”為“99999分鐘”（6）用測試賬戶的錯(cuò)誤密碼登錄系統(tǒng)，記錄3次登錄失敗系統(tǒng)的狀態(tài)。狀態(tài)：用測試賬戶的錯(cuò)誤密碼（正確的賬戶密碼：test_user1，123456）連續(xù)5次登錄系統(tǒng)后，短時(shí)間內(nèi)不能再登錄。8.以管理員賬戶登錄，設(shè)置審核策略并查看審核結(jié)果開啟Windows時(shí)事件日志服務(wù)自動開啟，所有用戶都能閱讀應(yīng)用與系統(tǒng)日志。只有管理員才能訪問安全日志。管理員還可以設(shè)置寄存器中的審核政策，這使得安全日志滿時(shí)系統(tǒng)停止工作。審核目錄和文件訪問只能在NTFS分區(qū)上使能；FAT分區(qū)沒有審核屬性。WindowsServer2008系統(tǒng)包含九項(xiàng)審核策略，也就是說服務(wù)器系統(tǒng)可以允許對九大類操作進(jìn)行跟蹤、記錄。可以記入日志的事件類型包括：用戶和進(jìn)程的登錄和登出；對系統(tǒng)相關(guān)的數(shù)據(jù)和設(shè)備的訪問；改變用戶帳號和用戶組；改變對系統(tǒng)數(shù)據(jù)和資源的訪問權(quán)限；關(guān)閉或重啟系統(tǒng)，注冊可信的登錄進(jìn)程，或者其它影響系統(tǒng)安全的活動；進(jìn)程執(zhí)行和跟蹤；政策改變。（1）設(shè)置審核策略。在開始/運(yùn)行中輸入“Gpedit.msc”并回車，打開組策略編輯器，在左側(cè)的面板中依次展開“計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-審核策略”，然后在右側(cè)的面板中雙擊打開“審核對象訪問”這個(gè)策略，選中“成功”后點(diǎn)擊確定關(guān)閉這個(gè)窗口。（2）在ProgramFiles文件夾上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，接著在屬性窗口的“安全”選項(xiàng)卡上點(diǎn)擊“高級”按鈕，打開高級屬性的“審核”選項(xiàng)卡。點(diǎn)擊“添加”按鈕，然后在“選擇用戶和組”對話框中輸入“Everyone”并回車，“應(yīng)用到”下拉菜單中選擇“該文件夾，子文件夾及文件”，然后在下面的對話框中選中“遍歷文件夾/運(yùn)行文件”這個(gè)選項(xiàng)右側(cè)的“成功”復(fù)選框。這樣以后所有對ProgramFiles文件夾內(nèi)所有子文件夾的成功訪問以及所有文件的成功執(zhí)行都會被系統(tǒng)記錄起來。（3）使用在ProgramFiles文件夾中的程序和文件，然后在開始/運(yùn)行中輸入“eventvwr.exe”并回車，打開事件查看器，點(diǎn)擊左側(cè)的“安全性”條目，查看審核日志以及其他一些安全日志的顯示信息。"win+r"，輸入"msconfig"“服務(wù)"，查找右邊列表中的"windowsEventLog"右鍵點(diǎn)擊“屬性“四、實(shí)驗(yàn)報(bào)告1．通過實(shí)驗(yàn)回答下列問題（1）安裝完Windows服務(wù)器后，一般要做那些安全性配置？1查看本地共享資源，進(jìn)行必要的更改，關(guān)閉默認(rèn)共享的空連接，這是為了控制可共享文件的內(nèi)容和范圍，防止外部通過共享權(quán)限非法盜取某些文件或病毒木馬的進(jìn)入。2利用Windows內(nèi)置程序查看網(wǎng)絡(luò)是否有入侵行為發(fā)生。通常包括查看服務(wù)器是否存在可疑賬號或新增賬號；不定期查看Windows安全日志，查看管理員登錄時(shí)間、用戶名是否存在異常以及有沒有意外事件發(fā)生；檢查有無異常端口、進(jìn)程，同時(shí)打開系統(tǒng)自帶防火墻，關(guān)閉445，135，137，138，139等高危端口；如果系統(tǒng)安裝有數(shù)據(jù)庫系統(tǒng)，最好也要關(guān)閉相關(guān)端口，比如mysql的3306，sqlserver的1433等等，若有必須開放數(shù)據(jù)庫端口的需求，最好是修改默認(rèn)端口，然后防火墻放行；通常會有遠(yuǎn)程桌面需求，需要放行3389端口，最好先修改下默認(rèn)3389為別的端口，然后放行；進(jìn)程如果出現(xiàn)異常，就停止服務(wù)檢查服務(wù)器啟動項(xiàng)，計(jì)劃任務(wù)、服務(wù)，注意服務(wù)狀態(tài)和啟動類型，檢查是否有異常服務(wù)，有的話立即刪除啟動項(xiàng)；檢查系統(tǒng)相關(guān)信息，比如查看系統(tǒng)版本以及有哪些補(bǔ)丁，如果版本過于落后或是系統(tǒng)出現(xiàn)漏洞則需要及時(shí)更新系統(tǒng)版本安裝系統(tǒng)補(bǔ)丁；同時(shí)系統(tǒng)更新方面，只勾選重要更新，并且最好選擇只下載更新，手動安裝更新，然后根據(jù)實(shí)際情況不定期上服務(wù)器手動更新下補(bǔ)丁，一般需要重啟服務(wù)器才能生效3磁盤權(quán)限設(shè)置：如C盤只給Administrators和system權(quán)限，防止破壞者通過進(jìn)行腳本寫入或植入病毒。4禁用不必要的服務(wù)，減少安全風(fēng)險(xiǎn)5禁用或刪除不必要的帳戶，一般來說systemAdministrators角色不要超過兩個(gè)，某些情況下可以刪除Guest賬戶6設(shè)置更加可靠的密碼策略，如設(shè)置復(fù)雜的管理員口令，比如混合數(shù)字，字母，特殊字符，較長的口令，避免使用電話號碼，生日等個(gè)人信息，同時(shí)注意密碼的時(shí)限要求（最短/長密碼期限）。7設(shè)置帳戶限制新建的帳號的登錄限制帳戶的登錄時(shí)間限制登錄到指定的計(jì)算機(jī)設(shè)置帳號失效期設(shè)置密碼策略（通常為保證安全性密碼由數(shù)字字母和特殊符號組成）如啟用登錄失敗鎖定功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。對于采用靜態(tài)口令認(rèn)證技術(shù)的服務(wù)器，應(yīng)設(shè)置當(dāng)用戶連續(xù)登錄失敗次數(shù)超過5次(不含5次)，鎖定該用戶使用的賬號**分鐘。8以管理員賬戶登錄，設(shè)置審核策略并查看審核結(jié)果。審核內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。設(shè)置日志審核策略：審計(jì)帳戶登錄事件：成功，失敗審計(jì)帳戶管理：成功，失敗審計(jì)目錄服務(wù)訪問：成功，失敗審計(jì)登錄事件：成功，失敗審計(jì)對象訪問：成功，失敗審計(jì)策略更改：成功，失敗審計(jì)特權(quán)使用：成功，失敗審計(jì)系統(tǒng)事件：成功，失敗審計(jì)過程追蹤：成功，失敗對登錄密碼的設(shè)置一般要考慮哪些問題？密碼的長度、密碼的最短和最長的期限、密碼的復(fù)雜性（通常為保證安全性密碼由數(shù)字字母和特殊符號組成）、連續(xù)多次輸入錯(cuò)誤密碼時(shí)賬戶鎖定時(shí)間如何記錄與審核用戶賬號創(chuàng)建事件？Win+RGpedit.msc“計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-審核策略選擇項(xiàng)目，右鍵選擇屬性，然后設(shè)置成如下樣式”，這樣就可以記錄審核賬號創(chuàng)建事件，可以在Windows日志中查看。2．問答題（1）與以前版本相比，新版Windows有那些新的安全特性？Windows11新的安全特性對網(wǎng)絡(luò)安全威脅的保護(hù)、提供更好的加密、以及攔截惡意APP和驅(qū)動。1釣魚保護(hù)Windows11的新安全功能使用MicrosoftDefenderSmartScreen，它已集成到操作系統(tǒng)中，并提供針對惡意應(yīng)用程序或?yàn)g覽器擴(kuò)展的保護(hù)。在22H2或更高版本中，微軟Defender將使用其AI驅(qū)動的檢測技術(shù)提供針對網(wǎng)絡(luò)釣魚的保護(hù)。微軟DefenderSmartScreen是微軟的一款基于云的反釣魚和反惡意軟件服務(wù)，通過將SmartScreen融合到操作系統(tǒng)中，Windows用戶在惡意應(yīng)用或被黑的網(wǎng)站中輸入憑證時(shí)會收到告警消息。2用戶數(shù)據(jù)保護(hù)新的PersonalDataEncryption（個(gè)人數(shù)據(jù)加密）特征可以在用戶未登錄系統(tǒng)（設(shè)備）時(shí)間保護(hù)用戶文件和數(shù)據(jù)，直到用戶通過Windowshello進(jìn)行認(rèn)證。要訪問數(shù)據(jù)，用戶必須首先通過WindowsHelloforBusiness進(jìn)行認(rèn)證，將數(shù)據(jù)加密密鑰與用戶無密碼憑證進(jìn)行關(guān)聯(lián)，即使設(shè)備丟失或被竊，數(shù)據(jù)仍然可以防止被竊取或訪問，對敏感數(shù)據(jù)來說是一層額外的保護(hù)措施。3針對惡意驅(qū)動的防護(hù)新發(fā)布的Windows11版本還為用戶提供了額外的數(shù)據(jù)保護(hù)措施以應(yīng)對惡意驅(qū)動。Windows11用戶可以使用WindowsDefenderApplicationControl(WDAC)來自動攔截有漏洞的驅(qū)動。該安全特征實(shí)現(xiàn)了對Windows系統(tǒng)的安全加固：攻擊者無法利用已知的安全漏洞在Windowskernel中實(shí)現(xiàn)權(quán)限提升；無法使用惡意軟件或證書進(jìn)行簽名；4Windows11APP和企業(yè)安全特征SmartAppControl是Windows11中的一個(gè)非常重要的安全特征。該特征會融入到操作系統(tǒng)的進(jìn)程級，通過代碼簽名和人工智能模型來識別和攔截用戶運(yùn)行惡意APP。運(yùn)行在Windows11上的新應(yīng)用，其代碼簽名和核心特征都會通過該人工智能模型的檢查，確保只有安全的應(yīng)用才能夠運(yùn)行。也就是說，Windows11用戶可以確信其設(shè)備上運(yùn)行的應(yīng)用都是安全和可靠的微軟還在Windows11中默認(rèn)啟用了憑證防護(hù)（CredentialGuard）功能，對使用Windows11企業(yè)版的組織還使用了本地安全授權(quán)（LocalSecurityAuthority，LSA）來改善企業(yè)環(huán)境的安全性。另一個(gè)非常重要的特征是ConfigLock（配置鎖定），可以鎖定所有的安全設(shè)置，如果有終端用戶或攻擊者嘗試修改，那么安全設(shè)置會自動恢復(fù)。系統(tǒng)使用MDM策略來監(jiān)控和恢復(fù)注冊表到初始狀態(tài)，使得其設(shè)備是安全的和不會受到攻擊的影響。Windows操作系統(tǒng)中采用了哪些訪問控制機(jī)制？常見的訪問控制機(jī)制有3種：DAC、RBAC、MAC。DAC（DiscretionaryAccessControl，自主訪問控制）MAC（MandatoryAccessControl，強(qiáng)制訪問控制）RBAC（roleBasedAccessControl，基于角色的訪問控制）windows一般采用基于角色/對象的訪問控制機(jī)制和自主訪問控制機(jī)制（3）談?wù)勀銓Π踩牟僮飨到y(tǒng)的理解。安全的系統(tǒng)包括以下幾方面的內(nèi)容：(1)保密性。指系統(tǒng)不受外界破壞、無泄露、對各種非法進(jìn)入和信息竊取具有防范能力。只有授權(quán)用戶才能存取系統(tǒng)的資源和信息。(2)完整性。指信息必須按照其原型保存，不能被有意或無意地修改，只有授權(quán)用戶才能修改(對軟件或數(shù)據(jù)未經(jīng)授權(quán)的修改都可能導(dǎo)致系統(tǒng)的致命錯(cuò)誤)。完整性分為軟件完整性和數(shù)據(jù)完整性。(3)可用性。指對合法用戶而言，無論何時(shí)，只要需要，信息必須是可用的