系统与网络安全管理实训教材(编辑修改稿)

系统与网络安全管理实训教材(编辑修改稿)内容摘要：

户名登录。 选择“ gl” 账号右键选择“属性”，在“常规”选项卡中修改“描述内容”，如下图所示。 建立一个虚拟管理员账号 新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后输入任意组合的最好不低于 20 位的密码操作步骤如下： 选择“ Users”目录下的“新建”子目录，然后点击“用户”，如下图所示。 在“ 姓（ L）：”和“用户登录名（ U）：”中输入“ Administrator”内容，然后点击“下一步”。 如下图 所示 ： 在此处输入“密码”，输入的密码必需符合系统的密码过滤规范，即要包含数字、字母、特殊字符等，然后点击“下一步”完成账号设置。 如下图 所示。 添加的虚拟账户默认隶属于 Users 组，以保证该账户最小的权限。 如下图所示。 修改 Guest 账户 将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，操作如下： 选择“ Guest”账户，点击右键选择“重设密码”，如下图 所示。 然后输入一 个复杂密码，输入的密码必需符合系统的密码过滤规范，即要包含数字、字母、特殊字符等，然后点击“确定” ，如下图所示。 选择“ Guest”账户，点击右键选择“属性”，如下图 所示。 选择“账户”选项卡，在“账户选项：”中点击“账户已禁用”打勾，然后“确定”。 如下图 所示。 编辑默认域 账户 设置 在“ 开始 ” －“管理工具”－“域安全策略” ，打开 “默认域 账户 设置”窗口 ，选择 “安全 设置 “－“ 账户策略 ”－“ 账户锁定策略 ” ，将账户设为“ 3 次登陆无效”，“锁定时间 60 分钟”，“复位锁定计数设为 60 分钟”。 （注：“复位 锁定计数器时间”必须大于“账户锁定时间”） 如下图 所示。 在 “默认域 安全设置 ”－“ 本地策略 ”－“ 安全选项 ” 中将“不显示上次的用户名”设为 “ 启用 ” ，如下图 所示。 在 “默认域 安全设置 ”－“ 本地策略 ”－“ 用户权利 ” 分配中将“从网络访问此计算机” 中添加组或账号，以使其可以通过网络访问些计算机，如下图 所示。 选择“定义这些策略设置”打勾，并点击“添加用户或组（ U）”，点击“浏览”出现窗口如下图所示。 点击“高级（ A）”后，出现如下图所示。 点击“立即查找（ N）”后，在“搜索结果（ U）：” 中列出所有账户信息，如下图所示。 添加 启动 IIS 进程账户 （ IIS_WPG）和域的来宾账户（ Domain Guests）。 如果 还提供其他的服务如 ，则保 留 相应 账户 即可。 第三章 系统资源的安全管理 本章包括二个实训： 文件系统和共享资源的安全 设置。 注册表的安全管理。 实训 文件系统和共享资源的安全设置 实训目的： Windows 系统为本地及网络用户提供了一系列良好 应用 资源， 因此 保障这些应用资源的有效、安全的应用是 尤为重要，本实训对 资源安全管理措施进行详细分析 和设置。 实训要求 ： 安装 windows Server2020 系统的计算机。 实训内容： 对系统盘、 c:\Documents and Settings 目录及其子 目录分别 进行不同的权限设置 ，对 system32 目录的可执行程序进行权限设置。 实训过程： 设置系统盘（ c:\）权限。 打开“我的电脑”选择系统盘右键选择“属性”，在弹出的窗口中选择“安全”选项卡 ， 如下图 所示。 保留“ administrators”和“ system”用户组权限的默认值，其他用户组删除，如下图所示。 添加 IIS_WPG 进程组 “特别权限或高 级设置，请单击‘高级’”处点击“高级”按钮，如下图所示。 点击“添加”按钮后，出现如下图所示。 选择“高级（ A） … ”按钮，然后点击“立即查找（ N）”按钮，出现如下图所示。 选择“ IIS_WPG”后点击“确定”后，在“权限项目”窗口中设置 ，应用到“ 只有该文件夹 ” 权限为“ 创建文件 /写入数据 ”，点击“确定”，如下图所示。 在“高级安全设置”窗口中点击“应用”，如下图所示。 重复以上过程继续添加 IIS_WPG， 然后 到“权限项目”窗口中设置不同的权限， 应用到“该文件夹，子文件夹及文件”，权限设置“遍 历文件夹 /运行文件 ”、“列出文件夹 /读取数据”、“读取属性”、“创建文件夹 /附加数据 ”、“读取权限”，如下图所示。 在“高级安全设置”窗口中点击“应用”，如下图所示。 设置 系统盘 \Documents and Settings 及其子目录权限。 （ \Documents and Settings 子目录的 权限不会继承 \Documents and Settings 的 设置 ,因此需分别设置 ） 选择 \Documents and Settings 文件夹，点击右键选择“属性”，在“安全”选项卡中只保留 Administrators 和 SYSTEM 权限，其他的删除，如下图所示。 选择 \Documents and Settings\All Users 文件夹，点击右键选择“属性”，在“安全”中只保留 Administrators 和 SYSTEM 权限，其他的删除，如下图所示。 选择 \Documents and Settings\All Users\Application Data 文件夹，点击右键选择“属性”，在“安全”中只保留 Administrators 和 SYSTEM 权限，其他的删除，如下图所 示。 选择 \Windows 文件夹，点击右键选择“属性”，在“安全”中只保留Administrators 和 SYSTEM 和 users 权限，其他的删除（ ASP 和 ASPX 等应用程序运行 需要 users的权限）， 如下图所示。 其他目录，如果 有安装程序运行的 可设置 Administrators 和 SYSTEM 权限，无只给 Administrators 权限 （某些程序的服务功能需要 SYSTEM 用户组权限）。 设置 \Windows\System32 目录下文件的权限。 将 \Windows\System32 目录 下的 ， ， ， ， ， ， ， ， 等 文件设置 Administrators 权限。 （下面以 文件设置为例） 选择文件 点击右键，选择“安全”选项卡，在“组或用户名称（ G）：”中只保留 Administrators 用户组名称，其他的删除，如下图所示。 实训 注册表的安全管理 实训目的： windows 的应用程序的许多初始 化信息和配置信息等都存储在注册表中，如某些软件的序列号和注册信息，远程数据库的用户和明文口令等 ，对注册表信息进行修改即可以增强系统安全，又能为入侵者提供便利，因此进行安全保护具有举足轻重的作用。 实训要求： 安装 windows Server2020 系统的计算机。 实训内容： 注册表中记录了 windows 系统和程序进行运转的几乎所有关键信息，在对 注册表相关项 进行 设置提高系统的安全性 的同时 也需 对注册表 本身进行 访问控制防止注册表的非法修改。 实训过程： 一、 修改注册表相关项目提高安全性。 禁用 IPC 空连接 默 认情况下，任何用户 可 利用 use、 view、 nbtstat 等网络命令 建立 空连接连上服务器，进而枚举出帐号，猜测密码。 因此禁止空连接很有必要。 具体步骤如下： 在“开始”菜单中选择“运行”命令，输入“ regedit” 打开注册表，如下图所示。 找到 如下分支KEY_Local_Machine\System\CurrentControlSet\Control\LSA 的RestrictAnonymous 值项， 把 该 值改成 “ 1”，如下图所示。 更改 TTL 值 不同的 TTL 值代表不同的操作系统，因此 ，通过修改 TTL 值为任意值， 可以 防止入侵者 根据 ping 回的 TTL 值来大致判断你的操作系统 ，具体操作如下 ： TTL=107(WINNT)。 TTL=108(win2020)。 TTL=127 或 128(win9x)。 TTL=240 或 241(linux)。 TTL=252(solaris)。 T。