实验2 Windows2003操作系统安全

湖南科技职业学院Windows Server 2003系统安全项目文档班级：网络3061指导老师：邓卫军组长：丁传华组员：刘宏谱曹伟李子霖严萌2008年12月目录一、配置域的基础结构 (2)1.1 创建一个用于管理的OU (2)1.2 组策略管理和安全模板的导入 (3)1.3 设置密码策略 (5)1.4 设置安全选项 (5)二、成员服务器基线 (7)2.1考察审核策略 (7)2.2考察用户权限 (9)2.3考察其他安全选项 (10)2.4统服务设置 (11)三、强化域控制器 (13)3.1重新部署数据― Active Directory 数据库和日志文件 (13)3.2配置使用Syskey保护帐户数据 (14)3.3禁用错误报告 (15)3.4用IPSec过滤器阻断端口 (15)四、强化IIS服务器 (19)4.1 Internet信息服务（IIS）6.0 (19)4.2 创建站点及访问设置 (19)4.3 配置DNS服务实现域名解析访问 (21)4.4 创建FTP站点及访问设置 (22)附一第九组项目任务分配 (25)一、配置域的基础结构1.1 创建一个用于管理的OU1)分别启动三台虚拟机Server、DC、RRAS。

依次在这三台虚拟机上安装DHCP服务、AD（）、WINS服务。

2)将三台服务器的ip改成同一网段（192.168.100.0/24）；将DHCP、WINS服务器的主机名改为DHCP、WINS，DNS指定为DC服务器的ip地址；将DHCP和WINS加入到域。

3)在DC上在打开Active Directory用户和计算机，创建两个组织单元和一个全局安全组分别定义为：基础结构、成员服务器、基础结构管理员。

4)点击域中的Computers，将DHCP、WINS移动到刚创建的组织单元“基础结构”。

如图1-1所示：图1-15)新建三个用户，名称分别为adminA、adminB、adminC；密码为list123/.,然后就这三用户添加到已建立的全局安全组—基础结构管理员。

Windows 2003系统安全完美设置脚本一、系统权限的设置系统盘加固脚本：@echo offecho 本程序是源自，tamenglang亲手创作，此程序会自动加固您的系统…………………cacls C:\ /t /c /g administrators:F system:FCacls "C:\Program Files\Common Files" /t /e /c /g everyone:RCacls "C:\WINDOWS\IIS Temporary Compressed Files" /t /e /c /geveryone:CCacls C:\WINDOWS\ /t /e /c /g everyone:RCacls "C:\WINDOWS\\Framework\v1.1.4322\Temporary Files" /t /e /c /g everyone:CCacls "C:\WINDOWS\\Framework\v2.0.50727\Temporary Files" /t /e /c /g everyone:CCacls C:\WINDOWS\Registration /t /e /c /g everyone:RCacls C:\WINDOWS\Temp /t /e /c /g everyone:CCacls C:\WINDOWS\assembly /t /e /c /g everyone:RCacls C:\WINDOWS\WinSxS /t /e /c /g everyone:RCacls C:\WINDOWS\Fonts /t /e /c /g everyone:RCacls C:\WINDOWS\System32 /t /e /c /g everyone:RCacls C:\windows\system32\msdtc /t /e /c /g networkservice:CCacls "C:\WINDOWS\system32\inetsrv\ASP Compiled Templates"/t /e /c /g everyone:CCacls C:\WINDOWS\System32\*.exe /e /c /r everyoneCacls C:\WINDOWS\System32\cmd.exe /e /c /r systemCacls C:\WINDOWS\System32\net.exe /e /c /r systemCacls C:\WINDOWS\System32\net1.exe /e /c /r systemCacls C:\WINDOWS\System32\msdtc.exe /e /c /g everyone:RCacls C:\WINDOWS\System32\dllhost.exe /e /c /g everyone:RCacls C:\WINDOWS\System32\svchost.exe /e /c /g everyone:R此程序实现的功能如下：C:\ administrators,system完全控制C:\Program Files\Common Files everyone 读取C:\WINDOWS\IIS Temporary Compressed Files everyone 更改C:\Windows\ everyone 读取C:\WINDOWS\\Framework\v1.1.4322\Temporary Files everyone 更改C:\WINDOWS\\Framework\v2.0.50727\Temporary Files everyone 更改C:\Windows\Registration everyone 读取C:\Windows\Temp everyone 更改C:\Windows\assembly everyone 读取C:\Windows\WinSxS everyone 读取C:\Windows\Fonts everyone 读取C:\Windows\System32 everyone 读取C:\windows\system32\msdtc NETWORK SERVICE 更改C:\WINDOWS\system32\inetsrv\ASP Compiled Templates Everyone 更改C:\Windows\System32\*.exe 去除everyone 权限C:\windows\system32\msdtc.exe everyone 读取C:\Windows\System32\dllhost.exe everyone 读取C:\Windows\System32\svchost.exe everyone 读取二、服务启动类型的设置rem serverrem 微软：支持此计算机通过网络的文件、打印、和命名管道共享。

Windows server 2003操作系统
综合实训报告
实训名称Windows server 2003操作系统系别通信安全
专业12级信息安全技术
班级信息安全技术班
学号
学生姓名
日期2013年12月9日
指导教师孟彬彬
设置系统安装光盘
，在虚拟机硬件设置对话框。

选择“CD-ROM”，在右侧“连接”中选择“使用物理”，使用“自动探测”项（图8）。

或者直接指定当前物理光驱盘符，确定后即可以在虚拟机中使用当前的光驱了，然后把2003光盘放入光驱，启动虚拟机就能安装了。

如果有光盘ISO镜像文件，也可以勾选下方的使用ISO镜像，浏览指定ISO镜像文件（图9），即可将ISO镜像文件作为一张光盘，在虚拟机中打开。

Computer Knowledge And Technology 电脑知识与技术2008年第4卷第9期（总第36期）Windows 2003安全机制的分析马稳（西安科技大学计算机学院，陕西西安710054）摘要：该文对目前流行的操作系统Windows 2003的安全机制作了初步分析与探讨，对如何利用这些安全机制，提高Windows 2003系统的安全性与稳定性做了归纳，这对更好的使用该操作系统有一定的参考作用。

关键词：操作系统；安全机制；系统安全中图分类号：TP316文献标识码：A 文章编号：1009-3044(2008)36-2764-01Analysis of the Security Mechanism of Windows 2003MA Wen(Computer Science of Xi'an University of Science and Technology,Xi'an 710054,China)Abstract:This article discussed the security mechanism of windows 2003.It can be adopted to using these security mechanism to improve the security and stability of the Windows 2003.Key words:operation system;security mechanism;security of system1引言Windows 2003是目前比较流行的操作系统之一。

与其它的操作系统一样，如何提高Windows 2003系统的安全性和稳定性是使用好该系统应该考虑的一个重要问题。

本文从身份验证机制、访问控制机制、审核机制、Internet 协议安全性和防火墙技术等多方面对Windows 2003的安全机制做了初步分析。

实验二 Windows2003系统安全任务用户权限管理【实验目的】●了解SID●掌握权限基本原则及设置方法●掌握磁盘配额设置方法【实验人数】每组1人【系统环境】Windows【网络环境】交换网络结构【实验工具】无【实验步骤】本练习单人为一组。

首先使用“快照X”恢复Windows系统环境。

1． SID查看（1）控制台中输入命令行：Whoami/user2．权限的四项基本原则演示1）．拒绝优先原则（1）创建新用户右键点击我的电脑，选择管理，然后选择系统工具|本地用户和组|用户，右键选择“新用户”。

在弹出的新用户对话框中，填写用户名test，并设置“密码永不过期”。

单击“创建”按钮创建用户。

（2）创建组右键单击本地用户和组｜组，选择“新建组”。

在弹出的对话框中新建组A、B，并将刚刚新建的test用户添加到组中。

（3）在本地磁盘C中新建名为test的文件夹，在里面新建文本文件test.txt，内容任意。

「说明」本地磁盘D为FAT32文件系统，此种文件系统不支持文件或目录权限设置，也不支持磁盘配额设置。

（4）右键单击test.txt文件，选择“属性”，在“安全”选项卡中，单击“添加”按钮，将包含test用户的组A、B添加进来，将组A的权限设置成“允许完全控制”，组B 的权限设置成“拒绝读取”。

（5）注销当前用户，使用新建的test用户登录，进入本地磁盘C:\test目录，访问test文件。

访问结果。

2）．权限最小原则（1）注销当前用户，使用administrator用户登录系统，新建用户test2，默认情况下用户test2隶属组为：。

（2）注销当前用户，使用test2用户登录系统，进入C:\WINDOWS系统目录，尝试修改其中的文件，操作结果：。

3）．权限继承原则（1）注销当前用户，使用administrator用户登录系统，新建用户test31、test32。

（2）在本地磁盘C中新建名为test3的文件夹，将其权限设置成对test31用户完全控制，test32用户只可以读取。

Windows Server 2003系统安全技巧集操作系统的安全性无疑受大家关注最多，虽然Windows 2003稳定的性能受到越来越多用户的青睐，但面对层出不穷的新病毒，加强安全性依旧是当务之急。

通常，我们只需要某些细微的改动就能使系统安全提升一个台阶，大家看看下面几点您做到了么？● 用户口令设置为管理员帐户设置一个密码，在很大程度上可以避免口令攻击。

密码设置的字符长度应当在8位以上，最好是字母、数字、特殊字符的组合，如“psp53,@pq”、“skdfksadf10@”等，可以有效地防止暴力破解。

最好不要用自己的生日、手机号码、电话号码等做口令。

● 删除默认共享删除Windows 2003系统默认的隐藏共享同样可以有效提升系统的安全系数，单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。

依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows Server 2003默认的共享。

接下来再禁用IPC连接：打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。

● 关闭自动播放功能图一自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。

打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。

操作系统的安全性无疑受大家关注最多，虽然Windows 2003稳定的性能受到越来越多用户的青睐，但面对层出不穷的新病毒，加强安全性依旧是当务之急。

如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP 系统来说，各方面的功能确实得到了增强，尤其在安全方面，总体感觉做的还算不错。

但“金无足赤”任何事物也没有十全十美的，微软Windows 2003也是如此，照样存在着系统漏洞、存在着不少安全隐患！无论你用计算机欣赏音乐、上网冲浪、运行游戏，还是编写文档都要不可避免地遭受新病毒泛滥时的威胁，如何让Server 2003更加安全，成为广大用户十分关注的问题。

一、取消IE安全提示对话框面对黑客组织恶意程序的攻击，微软公司一直都在努力致力于降低产品的安全隐患，这是有目共睹的。

微软新一代的Server 2003操作系统在安全性能方面就得到了加强。

比如在使用Server 2003自带的IE浏览器浏览网页时，每次都会弹出一个安全提示框，“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；如果表示不信任的话，只能单击“关闭”按钮；而要是想浏览该站点的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

不过每次访问网页，都要经过这样的步骤，实在是太烦琐了。

其实我们可以通过下面的方法来让IE取消对网站安全性的检查：1.一旦系统打开安全提示页面时，你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中；2.在浏览界面中，用鼠标单击“工具”菜单项，从打开的下拉菜单中执行“Internet选项”命令；3.在弹出的选项设置界面中，你可以将系统默认状态下的最高安全级别设置为中等级别；4.设置时，只要在“安全”标签页面中，拖动其中的安全滑块到“中”位置处就可以了；5.完成设置后，单击“确定”按钮，就可以将浏览器的安全自动提示页面取消了。

经过修改IE的默认安全级别的设置，再上网的时候，IE就不会自动去检查网站的安全性了，麻烦解决了吧！二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows，它以其强大的功能，简单易学的特点而受到广大开发人员的喜欢。

实验Windows 2003的安全配置实验目的1. 学会用户的建立及安全设置2. 学会对文件夹的权限配置3. 掌握设置安全审核的方法4. 学会分析计算机的系统信息。

5. 学会设置错误调试器及诊断信息的方法。

实验环境Windows Server 2003操作系统。

实验工具Windows Server 2003操作系统。

实验内容任务A Windows 2003的权限配置与安全审核一、建立一个拥有超级用户权限的用户，替代Administrator的权限1. 单击“开始”→“设置”→“控制面板”→“管理工具”→“计算机管理”，弹出“计算机管理”控制台窗口。

2. 双击左边目录树结构中的“本地用户和组”选项，右击“用户”→选择“新用户”，弹出“新用户”对话框。

3. 在“用户名”文本框中输入新用户的名称，如“Admin”，单击“创建”按钮，“关闭”按钮。

4. 单击目录树的“用户”选项之后，在右侧窗格即可看到新建的用户Admin。

5. 右击“Admin”→“属性”，弹出“Admin属性”对话框→“隶属于”选项卡→“添加”，弹出“选择组”对话框。

6. 单击“高级”按钮→“立即查找”按钮，选择“搜索结果”列表中的所有用户，两次单击“确定”按钮。

此时，Admin用户就成为了超级用户，替代了Administrator的权限。

二、Administrator账号更名和禁用Guest账号1. 单击目录树的“用户”选项，在右侧窗格中右击“Administrator”用户→“重命名”→输入新名字，如“A”，回车确认。

2. 单击目录树的“用户”选项，在右侧窗格中右击“Guest”用户→“属性”→“属性”窗口中，选择“帐户己禁用”→“确定”。

三、关闭默认共享1. 双击目录树的“共享文件夹”选项，单击“共享”，可以在右侧窗格看到当前系统中所有被设置了共享的文件夹。

注意：所有分区的根目录都会被自动设置为共享，而且即使取消了共享设置，在重新启动计算机后，共享会重新出现，这样对服务器的安全就会造成严重的威胁，所以需要禁止这些默认共享。

实验二Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的首选。

虽然缺省的Windows 2003安装比缺省的Windows NT或Windows 2000安装安全许多，但是它还是存在着一些不足，许多安全机制依然需要用户来实现它们。

【实验目的】掌握Windows Server 2003常用的安全设置。

【实验条件】安装了Windows Server 2003的计算机。

【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。

【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号，黑客也往往会先试图破译Administrator帐号密码，从而开始进攻系统，所以系统安装成功后，应重命名Administrator帐号。

方法如下：(1) 打开【本地安全设置】对话框，选择“本地策略”→“安全选项”，如图1所示。

图1 重命名系统帐户(2) 双击“帐户：重命名系统管理员帐户”策略，给Administrator重新设置一个平常的用户名，如user1，然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客，并且可以借此发现它们的入侵企图。

2. 清除默认共享隐患Windows Server 2003系统在默认安装时，都会产生默认的共享文件夹，如图2所示。

如果攻击者破译了系统的管理员密码，就有可能通过“\\工作站名\共享名称”的方法，打开系统的指定文件夹，因此应从系统中清除默认的共享隐患。

图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例，首先打开“记事本”，根据需要编写如下内容的批处理文件：@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del文件保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User \Scripts\Logon目录下。