前言

2023-3-27 10:28:47

以下内容源自《【网络安全】》
仅供学习交流使用

推荐

【网络安全】Windows系统安全实验

实验一 Windows系统安全实验

3.1 帐户和口令的安全设置

3.1.1 实验目的

本章实验的目的主要是熟悉Windows操作系统中帐户和口令的安全设置，掌握删除、禁用帐户的方法，了解并启用密码策略和用户锁定策略，体验查看“用户权限分配”、查看“用户组权限分配”、 在安全选项中设置“开机不自动显示上次登录帐户”、 禁止枚举帐户名和禁止远程访问注册表等操作，切实提高安全防范意识。

3.1.2 实验环境

1台安装Windows10操作系统的计算机，磁盘格式配置为NTFS。

我上机实验是win7台式机
有两个截图是win11笔记本
win11截图有特别说明，其余都是win7

win11本地安全策略找不到的话
请看本文最后说明

3.1.3 实验内容和步骤

1. 删除不再使用的帐户并禁用guest帐户

共享账户、guest帐户等具有较弱的安全保护，常常都是黑客们攻击的对象，系统的帐户越多，被攻击者攻击成功的可能性越大，因此要及时检查和删除不必要的帐户，必要时禁用guest帐户。

首先检查和删除不必要的账户。右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户帐户”项，再点击“用户帐户”、“管理帐户”，列出了系统的所有帐户：

我们创建一个新帐户。点击“在电脑设置中添加新用户”：

填入账户名

新用户创建完成！

在“此电脑”右键点击“管理”，在管理界面左侧栏点击“本地用户和组”，点击“用户”，选中“jsss”，右键点击“属性”，勾选“帐户已禁用”，这样就把帐户jsss禁用了。若要删除用户，就点击上方红色“x”号，删除用户。

2.启用密码策略和帐户锁定策略

帐户策略是Windows帐户管理的重要工具。

打开“控制面板”，“查看方式”选择“小图标”，点击“管理工具”—“本地安全策略”，

找不到的话，请看本文最后的说明

选择“帐户策略”，双击“密码策略”，弹出如下所示的窗口。

密码策略用于决定系统密码的安全规则和设置。

其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特性的设置。

（1）双击“密码必须符合复杂性要求”，选择“启用”：

下面我们看一下策略是否启动，打开“控制面板”—“用户帐户”—“用户帐户”—“管理帐户”—“更改帐户”—“创建密码”：

在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。

例如，若输入密码为L123456，则弹出“密码不符合要求”的对话框；

若输入密码为L_123456，密码被系统接受。

（2）双击“密码长度最小值”，在弹出的对话框中设置可被系统接纳的帐户密码长度最小值，例如设置为6个字符。一般为了达到较高的安全性，建议密码长度的最小值为8。

（3）双击“密码最长使用期限”，在弹出的对话框中设置系统要求的帐户密码的最常使用期限为42天。设置密码自动保留期，可以提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。

（4）双击“密码最短使用期限”，在弹出的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改密码帐户。

（5）双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。


至此，密码策略设置完毕。

帐户策略中的第2项是帐户锁定策略，它决定系统锁定帐户的时间等相关设置。

打开“帐户锁定策略”，弹出如下所示的窗口：

（1）双击“帐户锁定阈值”，在弹出的对话框中设置帐户被锁定之前经过的无效登录次数，如3次，以便防范攻击者利用管理员身份登录后无限次的猜测帐户的密码（穷举法攻击）。

（2）双击“帐户锁定时间”，在弹出的对话框中设置帐户被锁定的时间，如5min。此后，当某帐户无效登录（如密码错误）的次数超过3次时，系统将锁定该帐户5min。

要求：策略设置完毕后，可以尝试输入错误密码，锁定账户。

测试：我锁定时间改成了1分钟

三次错误密码即锁定，等待1分钟解锁

3.查看“用户权限分配”

系统中任何一个文件或文件夹，都有以其为客体的访问控制规则，这里我们进行查看。针对目标文件或文件夹，右键单击“属性”，“安全”，可以查看系统中的主体对其的访问控制权限，进一步可通过“编辑”，修改某一个主体的访问控制权限。

要求：尝试创建标准用户，并用该账号登录后新建文件，设置访问控制规则，使得管理员账户的访问权限低于标准用户。

注意：登录jsss用户

jsss用户下新建文件夹1

注意：
别在桌面上创建，
最好在盘符根目录下
下图文件在桌面上后面又移到了D:下了

原因：
桌面是用户目录，每一个用户都有自己的用户目录。
不是很好找，直接放到盘符下，所有用户共用。
修改管理员对文件夹的权限
完全控制 拒绝

查看安全设置

这里，我把文件夹1移到了盘符下了

文件夹1别放到桌面，移动到盘符下

登录：管理员

双击进入文件夹1
可以发现没有权限

如上图，管理员无法访问“文件夹1”，但普通用户可以访问。

4.查看“用户组权限分配”

在访问控制中，系统对用户组有一个粗略的系统权限分配，我们可以在“本地策略”中查看，并做编辑修改，如下图所示。

要求：请你分析本地机器的访问控制策略是否合理，如果需要修改，请给出理由。

以下是用户权限分配界面

备份文件和目录

5.在安全选项中设置“开机不自动显示上次登录帐户”

Windows默认设置为开机时自动显示上次登陆的帐户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service的登陆界面看到用户名，并尝试破解密码。

要禁止显示上次的登陆名，可作如下设置：

打开“控制面板”，打开“管理工具”选项下“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“交互式登录：不显示最后的用户名”选项，在弹出的对话框中选择“已启用”，完成设置。

注意：
改之前知道自己账户名和密码
别玩坏了，我这里取消更改了

6.禁止枚举帐户名

为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。

要禁止枚举帐户名，可执行以下操作：

打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“网络访问：不允许SAM帐户和共享的匿名枚举” 选项，在弹出的对话框中选择“已启用”，完成设置。

7.禁止远程访问注册表

允许远程访问注册表风险极大，将远程访问注册表的路径设置为空，可以有效避免黑客利用扫描器通过远程注册表读取或更改系统信息。

打开控制面板，选择“管理工具”，双击“本地安全策略”，依次打开“本地策略”—“安全选项”，在右侧找到“网络访问：可远程访问的注册表路径”和“网络访问：可远程访问的注册表路径和子路径”，双击打开，将路径删除。

此外，在“安全选项”中还有多项增强系统安全的选项，请自行查看。

另外

要求：列出10条你认为有必要的安全选项做设置并解释。

①Windows 使用安全策略设置“交互式登录：计算机非活动限制”来检测登录用户的活动情况，如果非活动时间量超过此策略设置的非活动限制，则用户可以通过调用屏幕保护程序处于活动状态来锁定会话。如果配置了“交互式登录：计算机不活动限制”的安全策略设置，则设备不仅在非活动时间超过非活动限制时锁定，而且在屏幕保护程序激活或屏幕因电源设置而关闭时锁定。我们将时间设置为10秒。

下图是win7没有，win11的截图

②“交互式登录：计算机帐户阈值”安全策略设置在启用了BitLocker的计算机上强制实施锁定策略，以保护操作系统卷。可以设置导致设备使用BitLocker锁定的失败登录尝试次数的阈值。此阈值意味着，如果超过指定的最大失败登录尝试次数，设备将使受信任的平台模块（TPM）保护程序和除48位恢复密码以外的任何其他保护程序失效，然后重新启动。 在设备锁定模式下，计算机或设备仅启动Windows 恢复环境（WinRE），直到授权用户输入恢复密码以还原完全访问权限。我们将最大登录次数设置为5次。

下图是win7没有，win11的截图

③“用户帐户控制：允许UIAccess应用程序在不使用安全桌面的情况下提升权限”策略决定了用户界面辅助程序是否可以绕过安全桌面，一般设置为“已禁用”，如果启用该选项，应用程序就可以直接按照应用需求提升权限，这样会增加系统的风险，因为可能会被恶意程序所利用。

④“用户帐户控制：用于内置管理员帐户的管理员批准模式”在启用时，本地管理员帐户像标准用户帐户那样运行，但它能够在不使用其他帐户登录的情况下提升权限。在此模式下，任何需要提升权限的操作均会显示可让管理员允许或拒绝提升权限的提示。如果未启用管理员批准模式，内置的管理员帐户默认在完全管理权限下运行所有应用程序。一般将此策略设置为“已禁用”。

⑤“用户帐户控制：提示提升时切换到安全桌面”策略决定了提升请求是在交互式用户桌面上提示还是在安全桌面上提示。如果启用，则包括管理员和标准用户的所有提升请求都将转换至安全桌面；如果禁用，则所有提升请求都将转至交互用户桌面。为了提高计算机的安全性，将该策略设置为“已启用”。

⑥“域控制器：允许服务器操作者计划任务”策略决定了服务器操作员是否可以使用at命令提交作业。如果启用此策略，服务器操作员通过 at 命令创建的作业将在运行任务计划程序服务的帐户中运行。为安全起见，将该策略设置为“已禁用”。

⑦ “帐户：使用空白密码的本地帐户只允许进行控制台登录”策略一般设置为“已启用”，这表示如果账户密码为空，则只有本地才能登入。如果把该策略禁用，就意味着访客只需要知道用户名就可以访问，非常不安全。

⑧“系统设置: 将Windows可执行文件中的证书规则用于软件限制策略”用于确定在启用软件限制策略时是否处理数字证书，启用该策略会令软件限制策略检查证书吊销列表（CRL）以确保软件的证书和签名有效，从而提高安全性，所以建议启用。

⑨启用“用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置”有助于将应用程序写入失败重定向到文件系统和注册表的定义用户位置，从而防止较旧的应用程序将数据写入不安全的位置。

⑩“用户帐户控制：以管理员批准模式运行所有管理员”策略建议启用。在这种模式下，即使是用管理员账号登陆系统，此账号也会以一个普通标准用户的权限运行，如果有软件需要提升到管理员权限再提示对系统做相应的更改。如果禁用该策略，可能会有恶意软件私自篡改系统文件的风险，导致系统安全受到威胁和损害。

说明

WIN11家庭版没有本地安全策略解决方法

新建一个txt文件

@echo offpushd "%~dp0"dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txtdir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txtfor /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"pause

后缀改为bat，管理员模式运行，然后会弹出命令窗口，等几分钟，就安装好了

Win+r 运行 gpedit.msc

Win+r 运行 SECPOL.MSC

本地安全策略组就出来了

最后，可以把.bet文件和生成的List文件删掉。

最后

2023-3-27 11:36:04

祝大家逢考必过
点赞收藏关注哦