中南大学
操作系统安全 实验报告
学生姓名 学 院 信息科学与工程学院 专业班级 完成时间
《操作系统安全》实验错误!未指定书签。_
目 录
1.实验内容 ....................................... 3 2.实验1:Windows系统安全设置实验 ................ 3
2.1 实验目的 .................................. 3 2.2 实验要求 .................................. 3 2.3 实验内容 .................................. 3 2.4 实验结果 .................................. 4 3.实验2 :Linux系统安全设置实验 ................ 19
3.1 实验目的 ................................. 19 3.2实验要求 .................................. 19 3.3实验内容 .................................. 19 3.4 实验结果 ................................. 20 4.实验3 :SELinux实验 .......................... 25
4.1 实验目的 ................................. 25 4.2实验要求 .................................. 25 4.3实验内容 .................................. 25 4.4 实验结果 ................................. 26 5. 回答问题 ..................................... 28
第 2 页 共 28 页
《操作系统安全》实验错误!未指定书签。_
操作系统安全
1.实验内容
实验 1 Windows系统安全设置实验 实验 2 Linux系统安全设置实验 实验 3 SELinux实验
2.实验1:Windows系统安全设置实验
2.1 实验目的
1、了解Windows操作系统的安全性 2、熟悉Windows操作系统的安全设置 3、熟悉MBSA的使用
2.2 实验要求
1、根据实验中的安全设置要求,详细观察并记录设置前后系统的变化,给出分析报告。 2、采用MBSA测试系统的安全性,并分析原因。
3、比较Windows系统的安全设置和Linux系统安全设置的异同。
2.3 实验内容
1、配置本地安全设置,完成以下内容:
(1)账户策略:包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等)
(2)账户和口令的安全设置:检查和删除不必要的账户(User用户、Duplicate User用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限设置为最低)、不让系统显示上次登录的用户名。
(3)设置审核策略:审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等
第 3 页 共 28 页
《操作系统安全》实验错误!未指定书签。_
(4)设置IP安全策略
(5)其他设置:公钥策略、软件限制策略等 2、Windows系统注册表的配置
(1)找到用户安全设置的键值、SAM设置的键值
(2)修改注册表:禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。
3、文件及文件夹权限设置
(1)用户组及用户的权限:有哪些组?其权限是什么?有哪些用户?分属哪些组?设置其权限。
(2)新建一个文件夹并设置其访问控制权限。 4、审核日志分析
(1)查找审核日志,显示其详细信息:应用程序日志、安全性日志、系统日志。 (2)分析各种日志所描述的内容,分析警告、信息、错误等的意义。 5、使用Microsoft 基准安全分析器MBSA 2.0对系统进行安全评估
Microsoft 基准安全分析器 (MBSA) 可以检查操作系统,还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时,它将 Windows 组件(如 Internet 信息服务 (IIS) 和 COM+)也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中,由 MBSA 在运行扫描时下载,也可以下载到本地计算机上,或通过网络服务器使用。
2.4 实验结果
建立空连接“Local_Machine\\System\\CurrentControlSet\\Control\\ LSA-RestrictAnonymous” 的值改成“1”即可。
禁止管理共享: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ LanmanServer\\Parameters项
对于服务器,添加键值“AutoShareServer”,类型为 “REG_DWORD”,值为“0”。 对于客户机,添加键值“AutoShareWks”,类型为 “REG_DWORD”,值为“0”。 关闭139端口:在“网络和拨号连接”中“本地连 接”中选取“Internet协议(TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS 设置”里面有一项 “禁用 TCP/IP的NETBIOS”,打勾就关闭了139端口。
防范SYN攻击:相关的值项HKLM\\SYSTEM\\CurrentControlSet\\Service \\Tcpip\\Parameters下。
(1) DWORD:SynAttackProtect:定义了是否允许SYN淹没攻击保护,值1表示允许起用Windows的SYN淹没攻击保护。
第 4 页 共 28 页
《操作系统安全》实验错误!未指定书签。_
(2) DWORD:TcpMaxConnectResponseRetransmissions:定义了对于连接请求回应包的重发次数。值为1,则SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值>=2时才会被启用,默认值为3。
减少syn-ac包的响应时间:HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\ TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的 次数。 增大NETBT的连接块增加幅度和最大数器,NETBT使用139端口。 HKLM\\SYSTEM\\CurrentControlSet\\ Services\\NetBt\\Parameters\\BacklogIncrement默认值为3,最大20,最小1。 HKLM\\SYSTEM\\ CurrentControlSet\\Services\\NetBt\\Parameters\\MaxConnBackLog默认值为1000,最大可取40000
预防DoS攻击:在注册表HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Pa rameters中更改以下值可以防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
防止ICMP重定向报文的攻击: HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\ Parameters\\EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)该参数控制Windows 是否会改变其路由表以响应网络 设备(如路由器)发送给它的ICMP重定向消息,有时会 被利用来干坏事。Windows中默认值为1,表示响应 ICMP重定向报文。
禁止响应ICMP路由通告报文 HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\ Parameters\\Interfaces\\PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)。“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积,长时间的网络异常。 建议关闭响应ICMP路由通告报文。Windows中默认值为 2,表示当DHCP发送路由器发现选项时启用。 不支持IGMP协议 HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\ IGMPLevel REG_DWORD 0x0(默认值为0x2) Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug。Windows虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉。改成0后用 route print将看不到224.0.0.0项了。
禁止死网关监测技术 HKLM\\SYSTEM\\CurrentControlSet\\Services:\\Tcpip\\
ParametersEnableDeadGWDetectREG_DWORD 0x0(默认值为ox1)。如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关,有时候这并不是一项好主意,建议禁止死网关监测。
第 5 页 共 28 页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库操作系统安全实验报告 - 图文在线全文阅读。
相关推荐: