SEC-W01-005.1-配置Windows系统安全评估——账号管理、认证授权资料.doc

配置Windows系统安全评估2010年5月SEC-W01-、认证授权等功能的系统工具,原始系统含有了各类默认账号及组概念,系统管理员可以根据安全需求进行修改。另外,利用系统工具对各类账号的操作权限做限制,能够有效保证用户无法超越其账号权限的操作,确保系统安全。领信安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具,能够智能化识别各类安全设置,分析安全状态,并能够给出多种配置审计分析报告,目前已经支持多种操作系统及网络设备。实验目的熟悉领信安全配置审计工具的安全检查操作;修改系统账号及账号分组练习;配置安全策略,提高口令复杂度及安全审计;调整帐户权限;实验平台客户端:Windows2000/XP/2003服务端:Windows操作系统实验工具安氏领信安全配置审计工具实验要点实验中,将掌握配置检查工具对Windows系统的安全评估,修改系统账号、口令、权限等操作。实验步骤指导实验准备实验概要:获取Windows远程桌面客户端工具mstsc压缩包,并解压。获取服务器Windows操作系统Administrator管理员口令。获取服务器IP地址。安全配置审计工具安全检查实验概要:使用领信安全配置审计工具对Windows操作系统进行安全配置检查。,输入服务器端IP地址,点击Connect连接,如图1:(图1)以Administrator(管理员)身份登陆服务器桌面。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注释】服务器Administrator用户的登陆密码为123456※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※在远程桌面中,单击桌面程序快捷图标:,运行领信安全配置审计工具及wincollect信息收集程序,如图2:(图2)在wincollect程序对话框中输入如图2内容,点击确定,进行对系统信息的收集工作。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注意】在使用wincollect程序操作的同时,必须保证领信安全配置审计工具程序也处于运行状态。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※采集完成后,弹出如图3对话框,在该对话框中点击开始上传按钮,完成收集上传工作。(图3)在领信安全配置审计工具程序主界面中,选择资产管理栏,点击工具栏中的新增资产图标,弹出如图4新建资产-资产管理对话框:(图4)如图4输入对应内容,点击确定,即可新增资产,最后关闭该对话框。在领信安全配置审计工具主界面中,双击资产管理框中的树状,在业务系统-技术部-windows下可找到刚才新建的资产,如图5:(图5)在领信安全配置审计工具程序主界面中,选择任务管理栏,点击工具栏中的新建图标进行任务新建,弹出如图6新建任务-任务管理对话框:(图6)在图6的对话框中,输入如图内容,并双击现有资产中windows下先前生成资产,确保任务资产中添加成功,点击工具栏中的保存任务按钮,完成任务新建。在如图7主界面的任务管理栏中,选中先前新建的任务,点击工具栏中的执行按钮,进行安全配置审计工作,完成后可查看本操作系统的安全得分及各项配置状态:(图7)※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注释】在最终安全检查后得出的规则信息列表中,红色标记表示该项安全配置存在漏洞,需要关注。绿色标记则表示安全配置合理。该系统中,账号口令及授权部分,配置规则3、4、6、35、36、37存在问题。※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※账号配置实验概要:熟悉账号相关的安全配置操作。在远程桌面中,选择控制面板->管理工具->计算机管理,在计算机管理程序中,选择系统工具->本地用户和组,如图8:(图8)在本地用户和组下,可以根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。以及,删除或锁定与设备运行、维护等与工作无关的账号。选择Guest账户的属性,在弹出的属性对话框中,如图9,选择账户已停用并应用,即可完成安全要求-设备-WINDOWS-配置-3要求:(图9)口令配置实验概要:熟悉账号口令部分相关的安全配置操作。在图8中的计算机管理程序中,选中某个账户,在右击弹出菜单中选择设置复杂度较高的密码,按安全要求-设备-WINDOWS-配置-4要求修改。选择控制面板->管理工具->本地安全策略,在本地安全设置对话框中,选择帐户策略->密码策略,如图10:(图10)启动密码必须符合复杂性要求,即可达到安全要求-设备-WIND