windows安全配置实验
网络安全实验报告windows安全配置实验
姓名:孙金科
班级:信管071
学号:200780434123
实验六:windows安全配置实验
1、实验目的
掌握windows的安全设置,加固操作系统安全
2、实验内容
1、账户与密码的安全设置
2、文件系统的保护和加密
3、启用安全策略与安全模板
4、审核与日志查看
5、利用MBSA 检查和配置系统安全
3、实验环境
硬件PC机一台。
2、系统配置:操作系统windows XP专业版。
4、实验步骤
4.1 账户和密码的安全设置
1、删除不再使用的账户,禁用guest 账户
⑴检查和删除不必要的账户
右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项;在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。
⑵禁用guest 账户
打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击guest 账户,在弹出的对话框中选择“属性”,在弹出的对话框
中“帐户已停用”一栏前打勾。
确定后,观察guest 前的图标变化,并再次试用guest 用户登陆,记录显示的信息。
2、启用账户策略
⑴设置密码策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。
⑵设置账户锁定策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。
在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如 3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。
在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如20 min )。
重启计算机,进行无效的登陆(如密码错误),当次数超过 3 次时,记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比。
3.开机时设置为“不自动显示上次登陆账户”
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,启用该设置。设置完毕后,重启机器看设置是否生效。
4.禁止枚举账户名
右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许
枚举SAM 账户和共享”。
此外,在“安全选项”中还有多项增强系统安全的选项,请同学们自行查看。
4.2 文件系统安全设置
⑴打开采用NTFS 格式的磁盘,选择一个需要设置用户权限的文件夹。
⑵右键单击该文件夹,选择“属性”,在工具栏中选择“安全”。
⑶将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限(如不去掉则无法删除可对父系文件夹操作用户组的操作权限)。
⑷选中列表中的Everyone 组,单击“删除”按钮,删除Everyone 组的操作权限,由于新建的用户往往都归属于Everyone 组,而Everyone 组在缺省情况下对所有系统驱动器都有完全控制权,删除Everyone 组的操作权限可以对新建用户的权限进行限制,原则上只保留允许访问此文件夹的用户和用户组。
⑸选择相应的用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。
⑹单击“高级”按钮,在弹出的窗口中,查看各用户组的权限。
⑺注销计算机,用不同的用户登陆,查看刚才设置“桌面”文件夹的访问权限,将结果记录在实验报告中。
4.3 启用审核与日志查看
1 .启用审核策略
(1) 打开“控制面板”中的“管理工具”,选择“本地安全策略”。
(2) 打开“本地策略”中的“审核策略”,在实验报告中记录当前系统的审核策略。
(3) 双击每项策略可以选择是否启用该项策略,例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审核登陆事件”将对每次用户的登陆进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关审核策略,审核策略启用后,审核结果放在各种事件日志中。
2 .查看事件日志
(1) 打开“控制面板”中的“管理工具”,双击“事件查看器“,在弹出的窗口中查看系统的3 种日志。
(2) 双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录,例如:查看用户登陆/ 注销的日志。
4.4 启用安全策略与安全模块
1、启用安全模板
开始前,请记录当前系统的账户策略和审核日志状态,以便于同实验后的设置进行比较。
⑴单击“开始”按钮,选择“运行”按钮,在对话框中运行mmc ,打开系统控制台
⑵单击工具栏上“控制台”,在弹出的菜单中选择“添加/ 删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
⑶此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每种安全策略可看到其相关配置。
⑷右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为mycomputer.sdb ,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸右键单击“安全设置与分析”,选择“立即分析计算机”,单击“确定”按钮,系统开始按照上一步中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。
⑹右键单击“安全设置与分析”,选择“立即配置计算机”,则按照第( 4 )步中所选的安全模板的要求对当前系统进行配置。
⑺在实验报告中记录实验前系统的缺省配置,接着记录启用安全模板后系统的安全设置,记录下比较和分析的结果。
2 .建安全模板
⑴单击“开始”按钮,选择“运行”按钮,在对话框中运行mmc ,打开系统控制台。
⑵单击工具栏上“控制台”,在弹出的菜单中选择“添加/ 删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全设置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
⑶此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹,打开“安全模板”文件夹,可以看到系统中存在的安全模板。右键单击模板名称,选择“设置描述”,可以看到该模板的相关信息。选择“打开”,右侧窗口出现该模板的安全策略,双击每中安全策略可看到其相关配置。
⑷右键单击“安全设置与分析”,选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称,例如起名为mycomputer.sdb ,单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。
⑸展开“安全模板”,右键单击模板所在路经, 选择“新加模板”,在弹出的对话框中添如预加入的模板名称mytem ,在“安全模板描述“中填入“自设模板”。查看新加模板是否出现在模板列表中。
⑹双击mytem ,在现实的安全策略列表中双击“账户策略”下的“密码策略”,可发现其中任一项均显示“没有定义”,双击预设置的安全策略(如“密码长度最小值”),弹出窗口。
⑺在“在模板中定义这个策略设置”前打勾,在框中填如密码的最小长度为
7 。
⑻依次设定“账户策略”、“本地策略”等项目中的每项安全策略,直至完成安全模板的设置。
4.5 MBSA 检查和配置系统安全
安装MBSA,利用说明文档(见附录,巧妙使用微软MBSA系统安全检测工具),学习其使用
Windows操作系统安全配置方案
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
深入了解Windows安全状况
深入了解Windows安全状况 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码.所以,对于早期的Windows版本来讲,企业很难满足。 作者简介:涂俊雄Microsoft MVP 熟悉微软产品,现为"技术中国"编辑,也是"https://www.360docs.net/doc/8f16000144.html,"的论坛版主。有部署大型网络和处理突发事件的经验,曾担任过多家网站的管理员与安全顾问,有丰富的管理站点的经验,熟悉多种站点系统,并能很好的应用,现在在对无线网络进行研究,并且熟悉黑客技术,能很好的处理攻击事件,写过一些基于WINDOWS 下的配置和安全管理的文章,翻译过一些优秀的技术文章。 概述 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码。所以,对于早期的Windows版本来讲,企业很难满足。Windows的安全现状,因为他们不能根据自己的企业来制定满主自己的解决方案。但是,不断完善的Windows给我们带来的越来越好的安全性,以及Windows的高部署性给越来越多的企业带来的惊喜,越来越多的企业选择了Windows,也越来越多的人开始研究Windows。包括Windows 在企业的部署以及Windows的安全性和可扩展性。从Widows NT以来,Microsoft在Windows的安全方面做了很多,最典型的就包括NTFS文件系统。而且结合Microsoft ISA Server可以让企业的安全性大大提升。本文就Windows现有的安全状况加以分析,让更多的从事Windows管理的专业人员提供更深入的对Windows 的安全了解。 操作系统安全定义 无论任何操作系统(OS),都有一套规范的、可扩展的安全定义。从计算机的访问到用户策略等。操作系统的安全定义包括5大类,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。 身份认证 最基本的安全机制。当用户登陆到计算机操作系统时,要求身份认证,最常见的就是使用帐号以及密钥确认身份。但由于该方法的局限性,所以当计算机出现漏洞或密钥泄漏时,可能会出现安全问题。其他的身份认证还有:生物测定(compaq的鼠标认证)指纹、视网模等。这几种方式提供高机密性,保护用户的身份验证。采用唯一的方式,例如指纹,那么,恶意的人就很难获得除自己之外在有获得访问权限。 访问控制 在WINDOWS NT之后的WINDOWS版本,访问控制带来的更加安全的访问方法。该机制包括很多内容,包括磁盘的使用权限,文件夹的权限以及文件权限继承等。最常见的访问控制可以属WINDOWS的NTFS文件系统了。
Windows XP系统的安全配置方案
Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 关闭135端口: 1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2. 在弹出的“组件服务”对话框中,选择“计算机”选项。 3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。 6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口: 本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。 关闭445端口: 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。 (4) 3389端口 远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口: 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享
Windows操作系统安全
Windows操作系统安全
实验报告全框架。 使用仪器实验环境使用仪器及实验环境:一台装有Windows2000或者XP操作系统的计算机、磁盘格式配置为NTFS。 实验内容在Windows2000或者XP操作系统中,相关安全设置会稍有不同,但大同小异,所有的设置均以管理员(Administrator)身份登录系统。 任务一:账户和口令的安全设置 任务二:文件系统安全设置 任务三:用加密软件EPS加密硬盘数据 任务四:启用审核与日志查看 任务五:启用安全策略与安全模块 实验步骤: 任务一账户和口令的安全设置 、删除不再使用的账户,禁用guest账户 (1)检查和删除不必要的账户。 右击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项; 在弹出的对话框中选择从列出的用户里删除不需要的账户。 (2)guest账户的禁用。 右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾; 确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特殊的设置。 (1)双击“密码密码必须符合复杂性要求”,选择“启用”。 打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。 在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。 (2)双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户
、禁止枚举帐户名 为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。 要禁用枚举账户名,执行下列操作: 打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“对匿名连接的额
实验报告1windows的基本操作范例
实验名称:Windows的基本操作 一、实验目的 1.掌握桌面主题的设置。 2.掌握快捷方式的创建。 3.掌握开始菜单的组织。 4.掌握多任务间的数据传递——剪贴板的使用。 5.掌握文件夹和文件的创建、属性查看和设置。 6.掌握文件夹和文件的复制、移动和删除与恢复。 7.熟悉文件和文件夹的搜索。 8.熟悉文件和文件夹的压缩存储和解压缩。 二、实验环境 1.中文Windows 7操作系统。 三、实验内容及步骤 通过上机完成实验4、实验5所有内容后完成该实验报告 1.按“实验4--范例内容(1)”的要求设置桌面,将修改后的界面复制过来。 注:没有桌面背景图“Autumn”的,可选择其它背景图。 步骤:在桌面空白区域右击,选择菜单中的“个性化”,在弹出的窗口中点击“桌面背景”,在背景栏内选中“某一张图片”,单击“确定”。 修改后的界面如下图所示: 2.将画图程序添加到“开始”菜单的“固定项目列表”上。 步骤:右击“开始/所有程序/附件”菜单中的画图程序项,在弹出的快捷菜单中选“附到「开始」菜单”命令。 3.在D盘上建立以“自己的学号+姓名”为名的文件夹(如01108101刘琳)和其子文件 夹sub1,然后:
步骤:选定D:\为当前文件夹,选择“文件/新建/文件夹”命令,并将名字改为“学号+姓名”;选定“ D:\学号+姓名”为当前文件夹,选择“文件/新建/文件夹”命令,并将名字改为“sub1” ①在C:\WINDOWS中任选2个TXT文本文件,将它们复制到“学号+姓名”文件夹中;步骤:选定“C:\WINDOWS”为当前文件夹,随机选取2个文件, CTRL+C复制,返回“D:\学号+姓名”的文件夹,CTRL+V粘贴 ②将“学号+姓名”文件夹中的一个文件移到其子文件夹sub1中; 步骤:选定“ D:\学号+姓名”为当前文件夹,选中其中任意一个文件将其拖拽文件到subl ③在sub1文件夹中建立名为“”的空文本文档; 步骤:选定“ D:\学号+姓名\ sub1”为当前文件夹,在空白处单击右键,选择“新建\文本文档”,把名字改为test,回车完成。 ④删除文件夹sub1,然后再将其恢复。 步骤:选定“ D:\学号+姓名”为当前文件夹,右键单击“sub1”文件夹,选择“删除”,然后打开回收站,右键单击“sub1”文件夹,在弹出的快捷菜单中选择“还原”。 4.搜索C:\WINDOWS\system文件夹及其子文件夹下所有文件名第一个字母为s、文件长 度小于10KB且扩展名为exe的文件,并将它们复制到sub1文件夹中。 步骤:选定“ C:\WINDOWS\system”为当前文件夹,单击“搜索”按钮,在左侧窗格选择“所有文件和文件夹”,在“全部或部分文件名”中输入“s*.exe”,在“大小”中,选择“0~10KB”。 5.用不同的方法,在桌面上创建名为“计算器”、“画图”和“剪贴板”的三个快捷方式, 它们应用程序分别为:、和。并将三个快捷方式复制到sub1文件夹中。 步骤:①在"开始"菜单的"所有程序"子菜单中找到"计算器",单击右键,在弹出的快捷菜单中选择“发送到\桌面快捷方式”。 ②在"开始"菜单的"所有程序"子菜单中找到"画图",将其拖至桌面空白处。 ③在桌面上单击右键,在弹出的快捷菜单中选择“新建\快捷方式”,在“创建快捷方式”
Windows安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
项目2 Windows 7操作系统(实验教程)
实验一Windows 7的基本操作 实验二文件和文件夹的概念与操作 实验三系统自带的“附件”应用程序 实验四Windows 7的搜索功能 实验五定制用户的工作环境 实验六Windows 7的磁盘管理 项目二Windows 7操作系统 实验一Windows 7的基本操作 【实验目的】 通过本次实验,了解Windows 7的启动与退出方法;了解Windows 7桌面的基本构成要素;学会排列桌面图标与调整任务栏;掌握窗口和对话框的组成与基本操作;观察所用计算机主要硬件的基本信息。 项目二Windows 7操作系统 【实验内容】 Windows 7的启动与关闭; 了解Windows 7桌面的基本构成要素; 学会排列桌面图标与调整任务栏; 掌握窗口和对话框的组成与基本操作; 观察所用计算机主要软、硬件的基本信息。 【实验步骤】 1.Windows 7的启动与关闭 (1)Windows 7的启动 按照先外设后主机的顺序,先打开显示器等外设的电源开关,再开主机开关,等待计算机启动到WINDOWS状态。正常情况下,将出现Windows 7的桌面,如果启动过程中出现“黑屏”、“蓝屏”或有报警声时,Windows 7启动不成功,可能的情况如下,软件故障:Windows 7操作系统被病毒或人为破坏不能正常启动;硬件故障:计算机中某一个硬件出现损坏或接触不良故障,导致系统无法启动。 (2)Windows 7的关闭 关闭计算机之前,首先要关闭任务栏中打开的所有任务。具体操作:可以右击任务栏中的相关软件图标按钮,在打开的快捷菜单中,选择“关闭”菜单项并单击,即可关闭打开的一个任务,同样方法,可以关闭其它所有运行的任务。 关闭Windows 7操作系统也就是关闭计算机,使用鼠标单击【开始】→【关闭计算机】项,在打开的关闭计算机对话框中,选择“关闭”选项,单击【确定】按钮,计算机主机自动关闭。 在关机计算机对话框中,除了“关闭”项外,还会发现“待机”、“重新启动”和“等待”等项目,同学们可以分别操作一下,总结一下选择不同项目的不同功能。 2.了解Windows 7桌面的基本构成要素 正常启动Windows 7以后,大家会发现Windows桌面的基本构成要素:“我的电脑”、“我的文档”、“网上邻居”、“回收站”及“Internet E7lorer”等,除了以上基本要素外,不同的机器可能装有不同的应用程序会显示在桌面上。任务栏是位于桌面最下方的一个小长条。它显示了系统正在运行的程序和打开的窗口、当前时间等内容,用户通过任务栏可以完
Windows2008安装完系统后安全设置
Windows2008系统安全设置 编写:技术支持李岩伟 1、密码设置复杂一些,例如:******** 2、更改administrator账户名称,例如:南关区社管服务器administrator更改为 *******,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;
3、更改guest账户名称,例如更改为********,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称; 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组 更改描述:管理计算机(域)的内置帐户 5、更改远程桌面端口: 开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口; 找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 然后找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 6、设置不显示最后的用户名,设置方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用
Windows_不能加载用户的配置文件,但是用系统的默认配置文件让您登录
一、错误现象: 当用户登录时,输入密码后弹出如下的错误信息: “windows不能加载本地存储的配置文件。此问题的可能原因是安全权限不足或者是本地配置文件损坏。 如果此问题持续存在,请与管理员联系。” 二、解决办法 此种情况的原因可能是当前登录的用户为域中的用户,此用户的本地配置文件被误删除或者被破坏,这样在登录时,系统就找不到其配置文件信息。所以出现错误。 当然,解决的办法就是恢复其配置文件。步骤如下: 1、进入C:\document and setting ,找到以此用户命名的文件夹(例如teyqiu),也就是该用户原来的配置文件夹,主要内容有桌面的设置、开始菜单的设置和收藏夹等等信息。将其复制到别处。 2、重命名C:\document and setting下以此用户命名的文件夹。(例如原来是teyqiu改成了teyqiu2) 3、重启机器,用该用户再次登录,此时当机器登录到域时,由于本地已经删除了该用户的配置文件夹,此时会自动创建一个新的以此用户命名的文件夹。里面就会包含一个正确的配置文件了。 4、再将copy走的那个文件夹(本案例是改名的teyqiu2)中的“桌面”、“开始菜单”、“收藏夹”等个人设置的文件夹copy到新创建的文件夹下就可以恢复以前自己熟悉的桌面和开始菜单设置了。 注意:不要把copy走文件夹中的所有文件夹和文件覆盖新创建的文件夹中的内容,这样新创建的正确的配置文件也会被覆盖,所以只把属于你的copy回来就可以了! 注意以下的几个问题: 1.在copy C:\document and setting 中的依此用户命名的文件夹时,显示所有该文件夹的文件,因为Outlook的所有邮件都隐藏在该文件夹中的'Local settings",别再把它误删除了。 2.另外,建议不要急于删除C:\document and setting下依此用户命名的文件夹,只要把它该文件夹改一个名字即可,等重新启动及按照上方法copy完原来的一些配置后,发现机器完全恢复原来的样子后再删除也不迟。 3.恢复完后,outlook需要重新设置,但原来的邮件一封也没有少 百度文库
Windows 操作系统安全防护强制性要求
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
操作系统实验报告windows部分(原创)
操作系统实验报告(windows部分) 班级: : 学号:
3.1 Windows“任务管理器”的进程管理 (实验估计时间:60分钟) ?背景知识 ?实验目的 ?工具/准备工作 ?实验容与步骤 背景知识 Windows 2000的任务管理器提供了用户计算机上正在运行的程序和进程的相关信息,也显示了最常用的度量进程性能的单位。使用任务管理器,可以打开监视计算机性能的关键指示器,快速查看正在运行的程序的状态,或者终止已停止响应的程序。也可以使用多个参数评估正在运行的进程的活动,以及查看CPU 和存使用情况的图形和数据。其中: 1) “应用程序”选项卡显示正在运行程序的状态,用户能够结束、切换或者启动程序。 2) “进程”选项卡显示正在运行的进程信息。例如,可以显示关于CPU 和存使用情况、页面错误、句柄计数以及许多其他参数的信息。 3) “性能”选项卡显示计算机动态性能,包括CPU 和存使用情况的图表,正在运行的句柄、线程和进程的总数,物理、核心和认可的存总数 (KB) 等。 实验目的 通过在Windows 任务管理器中对程序进程进行响应的管理操作,熟悉操作系统进程管理的概念,学习观察操作系统运行的动态性能。 工具/准备工作 在开始本实验之前,请回顾教科书的相关容。 需要准备一台运行Windows 2000 Professional操作系统的计算机。 实验容与步骤 1. 使用任务管理器终止进程 2. 显示其他进程计数器 3. 更改正在运行的程序的优先级 启动并进入Windows环境,单击Ctrl + Alt + Del键,或者右键单击任务栏,在快捷菜单中单击“任务管理器”命令,打开“任务管理器”窗口。 在本次实验中,你使用的操作系统版本是: Microsoft Window 2000 5.00.2195 Service Pack 4 当前机器中由你打开,正在运行的应用程序有: 3.1Windows “任务管理器”的进程管理,Windows部分
Windows_Server_2008安全配置需要注意的几点
Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击: 首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口; 其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
协议类型列表中选中“ICMPv4”, 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。 小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作: 首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;
安装系统是提示windows安装程序无法将windows配置为在此计算机的硬件上运行解决办法合辑
安装win7系统时提示“windows安装程序无法将windows 配置为在此计算机的硬件上运行”解决办法合辑 很多朋友都会在装系统的时候遇到这个问题,所以我整理一下,供大家参考。 此方法根据自己经验以及网友们的建议整理,欢迎补充更好的办法。 那个提示准确讲应该是在系统装完重启后进入硬件检测和对应驱动开始阶段,应该是突然提示出来:“windows安装程序无法将windows配置为在此计算机的硬件上运行”,然后,就会进入死循环,不断地提醒,不断地重装,均无济于事。遇到这种情况一般都是:1、大都是安装win7,尤其是64位。2、大都是用新出的2.5寸750G7200转的硬盘。3、机器的BIOS选项里有SATA Operation (SATA 操作),此选项用于配置内置 SATA 硬盘驱动器控制器的工作模式。 最可能原因与解决方法1:出现这种问题的原因很可能是因为某些原因导致需要先安装“3系列芯片组Windows 7 x64的F6驱动”。 解决办法:“在Windows 7安装的过程中可以提前加入的驱动,到安装程序选择或管理分区的步骤时可以加入。”首先到一台能上网的电脑上下载INTEL F6驱动程序,在百度上搜索这个驱动(中关村就有下载)<注意要对应你安装的系统位数,32和64位的两种>下载完成之后解压,然后把解压得到的那个F6补丁放到U盘或者光盘——就是你安装系统的盘里,重新运行PE 把之前的系统盘格式化以后使用WIN7安装工具安装时,(安装win7在格式化磁盘这一步时有个“加载驱动程序”选项,找到之后(找不到的话请点——高级——就会出来))选择P NP驱动,点击后把驱动路径指向刚才U盘中的F6驱动程序,然后配置完成后提示重启,重启以后就可以正常安装了。 解决方法2:重装系统之前要先设置BOIS,在进入系统之前F12或F2进BIOS,看机型而定;然后在System Configuration(系统配置)选项选SATA Operation(SATA 操作),一般有三种方式可选 ATA、AHCI 和RAID,只要选AHCI就可以啦,千万别选Disabled
Windows实验报告
华北电力大学 实验报告 | | 实验名称验证性试验、设计性试验 课程名称Windows体系及编程 | | 专业班级:计科0803 学生:董世令 学号:2 成绩: 指导教师:王新颖实验日期:2011.4.8进程管理实验 一、实验目的 理解Windows编程环境下的进程管理机制,能创建一个完成特定功能的进程,并能对进程进行信息的获取、终止和保护。
二、实验要求 1.编写一段程序,能够完成创建进程的功能,要求启动windows记事本程序 (notepad.exe),同时打开一个文本文件,路径为:c:\system\user.log 。并打 印出新建进程ID。 2.获取当前系统进程信息,打印输出进程名称和ID号。 3.终止新创建的进程并获取退出代码。 三、实验原理 (1)进程的创建 进程的创建通过CreateProcess()函数来实现,CreateProcess()通过创建一个新的进程及在其地址空间运行的主线程来启动并运行一个新的程序。具体地,在执行CreateProcess()函数时,首先由操作系统负责创建一个进程核对象,初始化计数为1,并立即为新进程创建一块虚拟地址空间。随后将可执行文件或其他任何必要的动态库文件的代码和数据装载到该地址空间中。在创建主线程时,也是首先由系统负责创建一个线程核对象,并初始化为1。最后启动主线程并执行进程的入口函数WinMain(),完成对进程和执行线程的创建。 CreateProcess()函数的原型声明如下: BOOL CreateProcess( LPCTSTR lpApplicationName, // 可执行模块名 LPTSTR lpCommandLine, // 命令行字符串 LPSECURITY_ATTRIBUTES lpProcessAttributes, // 进程的安全属性 LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程的安全属性 BOOL bInheritHandles, // 句柄继承标志 DWORD dwCreationFlags, // 创建标志 LPVOID lpEnvironment, // 指向新的环境块的指针 LPCTSTR lpCurrentDirectory, // 指向当前目录名的指针 LPSTARTUPINFO lpStartupInfo, // 指向启动信息结构的指针LPPROCESS_INFORMATION lpProcessInformation // 指向进程信息结构的指针); (2)进程的获取 进程的定义是为执行程序指令的线程而保留的一系列资源的集合。进程是一个可执行的程序,由私有虚拟地址空间、代码、数据和其他操作系统资源(如进程创建的文件、管道、同步对象等)组成。进程是一些所有权的集合,一个进程拥有存、CPU运行时间等一系列资源,为线程的运行提供一个环境,每个进程都有它自己的地址空间和动态分配的存、线程、文件和其他一些模块。 系统快照的获取可以通过Win32 API函数CreateToolhelp32Snapshot()来完成,通过该函数不仅可以获取进程的快照,同样可以获取堆、模块和线程的系统快照。函数的声明如下: HANDLE WINAPI CreateToolhelp32Snapshot(
windows系统管理员
Windows系统管理员 一、配置Windows XP 培训目标:安装、管理和配置Windows XP Professional所需的知识和技能 1 安装Windows XP Professional 2 Windows XP Professional 自动化安装 3 在运行Windows XP Professional的计算机上配硬件 4 磁盘管理 5 配置和管理文件系统 6 引导过程和其他系统问题解决 7 桌面环境配置管理 8 配置TCP/IP寻址和命名解析 9 在Microsoft网络中配置Microsoft Windows XP Professional 10 远程桌面支持远程用户 11 为移动计算配置Windows Professional 12 性能和维护工具改善性能 13 配置应用程序兼容性 二、服务器环境管理: 目标:帮助您建立和管理Windows2003服务器 1 管理用户、计算机与组 2 管理文件与文件夹访问 3 实现与管理打印 4 Active Directory对象与委派控制 5 实现组策略 6 管理用户环境 7 Windows Server 2003安全设置 8 管理服务器 9 监视服务器性能 10 维护设备驱动程序 11 磁盘管理
12 文件存储管理 13 服务器灾难修复 14 管理软件更新服务 三、网络结构规划与管理: 培训目标:帮助您建立和管理一个真正的Win2003网络环境 1 TCP/IP协议组:OSI参考模型、TCP/IP协议组和网络监视器的使用 2 IP地址的分配:IP地址的基本知识、子网划分、使用IP路表和优化IP地址分配 3 IP地址配置:TCP/IP配置项目、TCP/IP配置方法、配置静态IP地址、配置动态IP地址、使用备用配置 4 名称解析:ARP地址解析、NetBIOS名称、静态名称解析、动态名称解析及名称解析过程 5 网络连续故障排除:确定产生网络连接故障的原因,如何使用Windows Server 2003提供的工具排除网络连接故障 6 企业中的路由规划; 7 使用DHCP为企业中的主机自动分配IP地址; 8 满足企业名称解析需求,使用DNS来实现主机名解析,使用WINS来实现NetBIOS名称解析; 9 使用IPSec来设计实现安全的网络通信过程;用证书服务来实现企业的安全身份验证过程; 10 企业对远程访问方案的需求,详细讲解了远程访问方案的设计实现,包括使用拨号访问、无线连接、VPN等多种方式进行远程访问,并设计实现远程访问的集中身份验证 四、网络架构计划维护 培训目标:帮助您掌握Windows2003网络环境规划和故障排错的技巧;帮助学员在分析具体案例的过程掌握对一个大型网络的分析和部署技巧 1 介绍Windows Server 2003 网络结构规划,工具,和文档 2 规划和优化TCP/IP物理和逻辑网络 3 路由的规划和排错 4 规划DHCP策略 5 DHCP排错 6 规划DNS策略 7 DNS 优化和排错
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)