实验二 加固windows安全配置抗攻击 - 图文

实验二 加固windows安全配置抗攻击 实验 5 使用 Windows 组策略对计算机遇行安全配置

【实验目的】

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。

我们通过实验 , 学会使用组策略对计算机进行安全配置。

【实验准备】

Windows 2000 系统 , 具有管理员权限账户登陆。组策略可以做很多的配置 , 实验只是举例一二。

【注意事项】

必须以管理员或管理员组成员的身份登录 Win2000 系统。 计算机配置中设置的策略级别要高于用户配置中的策略级别。

【实验步骤】

在 \开始 \菜单中 , 单击 \运行 \命令项 , 输入 gpedit.msc 并确定 , 即可运行程序。 依次进行以下实验:

隐藏驱动器

平时我们隐藏文件夹后 , 别人只需在文件夹选项里显示所有文件 , 就可以看见了 , 我们可以在组策略里删除这个选项 : 选择 \用户配置→管理模板→ Windows 组件→ Windows 资源管理器 \下图 ) 。

禁止来宾账户本机登录

使用电脑时 , 我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时 , 为了避免有人动用电脑 , 我们一般会把电脑锁定。但是在局域网中 , 为了方便网络登录 , 我们有时候会建立一些来宾账户 , 如果对方利用这些账户来注销当前账户并登录到别的账户 , 就会给正常工作带来影响。我们可以通过 \组策略 \来禁止一些账户在本机上登录 , 让对方只能通过网络登录。 在 \组策略 \窗口中依次打开\计算机配置→ Windows 设置→安全设置→本地策略→用户权限分配 \然后双击右侧窗格的 \拒绝本地登录 \项, 在弹出的窗口中添加要禁止的用户或组即可实现 ( 如图 ) 。

开启审核策略

在 \计算机配置→ Windows 设置→安全设置→本地策略→审核策略 \上 , 我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等 ( 如下图 ) 。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作 : 几时登录、关闭系统或更改过哪些策略等等。

我们应该养成经常在 \控制西板→管理工具→事件查看器\里查看事件的好习惯。比如 , 当你修改过\组策略\后 , 系统就发生了问题 , 此时\事件查看器\就会及时告诉你改了哪些策略。在 \登录事件\里 , 你可以查看到详细的登录事件 , 知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核 , 只要双击相应的项目 , 选中\成功\和\失败\两个选项即可。

禁止修改 IE 浏览器的主页

如果你不希望他人或网络上的一些恶意代码对自己设定的 IE 浏览器主页进行随意更改的话 , 我们可以选择 \用户配置 \→\管理模板\→\组件 \→\分支 , 然后在右侧窗格中 , 双击 \禁用更改主页设置 \策略启用即可 ( 如下图 ) 。

(1) 如图 , 还提供了更改历史记录设置、更改颜色设置和更改 Internet 临时文件设置等项目的禁用功能。 如果启用了这个策略 , 在IE 浏览器的\选项\对话框中 , 其\常规\选项卡的 \主页 \区域 的设置将变灰。

(2) 如果设置了位于 \用户配置 \→ \管理模板 \→\Windows 组件 \→\Explorer \→\控制面板\中的\禁用常规页\策略 , 则无需设置该策略 , 因为\禁用常规页\策略将删除界面上的\常规\选项卡。

(3) 逐级展开\用户设置 \→\管理模板 \→\Windows 组件 \→\Explorer \分支 , 我们可以在其下发现\Internet 控制面板 \、 \脱机页 \、 \浏览器菜单 \、 \工具栏 \、 \持续行为 \和\管理员认可的控件\等策略选项。利用它可以充分打造一个极有个性和安全的 IE 。

禁用 IE 组件自动安装

选择\计算机配置\→\管理模板 \→ \组件 \→ \项目 , 双击右边窗口中\禁用 Internet Explorer 组件的自动安装 \项目 , 在打开的窗口中选择\已启用 \单选按钮 , 将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件 , 篡改 IE 的行为也会得到遏制 ! 相对来说 IE 也会安全许多 !

【实验结果】

根据实验内容 , 侬次进行结果验证 , 看组策略是否被执行。

实验 6 加固windows 抗 DOS 攻击能力

【实验目的】

通过修改注册表 , 增强 Windows2000 抗拒绝服务攻击能力。

【实验准备】

Windows2000 系统 , 使用具有注册表管理权限的账户登陆。

【注意事项】

实验前先将注册表导出备份 , 实验后 , 将导出洼册表双击还原。

【实验步骤】

在开始 -〉运行 , 输入 regedit.exe, 打开注册表 , 对应注册表键值位置 , 选择需要修改项 , 点右键 \修改二进位数据 \依次进行修改。

[HKEY_LOCAL_MACHlNE\\SYSTEM\\CurrentControlset\\Services\\Tcpip\\Parameters] 位置下 :

1. 关闭无效网关的检查。当服务器设置了多个网关 , 这样在网络不通畅的时候系统会尝试连接第二个网关 , 通过关闭它可以优化网络。

修改项 :\

2. 禁止响应 ICMP 重定向报文。此类报文有可能用以攻击 , 所以系统应该拒绝接受 ICMP 重定向报文。 修改项 :\

3. 不允许释放 NETBIOS 名。当攻击者发出查询服务器 NETBIOS 名的请求时 , 可以便服务器禁止响应。 注意系统必须安装 SP2 以上。修改项 :\

4. 发送验证保持活动数据包。该选项决定 TCP 间隔多少时间来确定当前连接还处于连接状态 , 不设该值 , 则系统每隔 2 小时对 TCP 是否有闲置连接进行检查 , 这里设置时间为 5 分钟。 修改项 :\

5. 禁止进行最大包长度路径检测。该项值为 1 时 , 将自动检测出可以传输的数据包的大小 , 可以用来提高传输效率 , 如出现故障或安全起见 , 设项值为 0, 表示使用固定 MTU 值 576bytes 。 修改项 :\

6. 启动 syn 攻击保护。缺省项值为 0, 表示不开启攻击保护 , 项值为1和2 表示启动 syn 攻击保护 , 设成 2 之后安全级别更高 , 对何种状况下认为是攻击 , 则需要根据下面的 TcpMaxHalfOpen 和

TcpMaxHalfOpenRetried 值设定的条件来触发启动了。这里需要注意的是 ,NT4.0 必须设为 1, 设为 2 后在某种特殊数据包下会导致系统重启。

修改项 :\

7. 同时允许打开的半连接数量。所谓半连接 , 表示未完整建立的 TCP 会话 , 用 netstat 命令可以看到呈 SYN_RCVD 状态的就是。这里使用微软建议值 , 服务器设为 100, 高级服务器设为 500 。建议可以设稍微小一点。

修改项 :\

8. 判断是否存在攻击的触发点。这里使用微软建议值 , 服务器为 80, 高级服务器为 400 。 修改项 :\

9. 设置等待 SYN_ACK 时间。缺省项值为 3, 缺省这一过程消耗时间 45 秒。项值为 2, 消耗时间为 21 秒。项值为 1, 消耗时闰为 9 秒。最低可以设为 0, 表示不等待 , 消耗时间为 3 秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为 2。

修改项 :\

10. 设置 TCP 重传单个数据段的次数。缺省项值为 5, 缺省这一过程消耗时间 240 秒 O 微软站点安全推荐为 3 。

修改项 :\

11. 设置 syn 攻击保护的临界点。当可用的 backlog 变为 0 时 , 此参数用于控制 syn 攻击保护的开启 , 微软站点安全推荐为 5 。

修改项 :\

12. 禁止 IP 源路由。缺省项值为 1, 表示不转发源路由包 ,项值设为 0, 表示全部转发 , 设置为 2, 表示丢弃所有接受的源路由包 , 微软站点安全推荐为2。 修改项 :\

13. 限制处于 TIME_WAIT 状态的最长时间。缺省为 240 秒 , 最低为 30 秒 , 最高为 300 秒。建议设为 30 秒。

修改项 :\

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlset\\ Services\\ NetBT\\Parameters] 位置下 :

14. 增大 NetBT的连接块增加幅度。缺省为 3, 范围1-20, 数值越大在连接越多时提升性能。每个连接块消耗 87 个字节。

修改项 :\

15. 最大 NetBT 的连接快的数目。范围 1- 40000, 这里设置为 1000, 数值越大在连接越多时允许更多连接。

修改项 :\

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlset\\Services\\ Afd\\Parameters] 位置下 :

16. 配置激活动态 Backlog 。对于网络繁忙或者易遭受 SYN 攻击的系统 , 建议设置为 1, 表示允许动态 Backlog

修改项 :\

17. 配置最小动态 Backlog 默认项值为 0, 表示动态 Backlog 分配的自由连接的最小数目。当自由连接数目低于此数目时 , 将自动的分配自由连接。默认值为 0, 对于网络繁忙或者易遭受 SYN 攻击的系统 , 建议设置为 20 。

修改项 :\

18.最大动态Backlog。表示定义最大\准\连接的数目，主要看内存大小，理论每32M内存最大可以增加5000个，这里设为2000。

修改项 :\

19. 每次增加的自由连接数据。默认项值为 5, 表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受 SYN 攻击的系统 , 建议设置为 10 。

修改项 :\以下部分需要根据实际情况手动修改 :

[HKEY_LOCAL_MACHINE \\ SYSTEM\\CurrentControlset\\Services\\Tcpip\\Parameters] 位置下 :

20. 启用网卡上的安全过滤 .

修改项 :\

21. 同时打开的 TCP 连接数 , 这里可以根据情况进行控制。 修改项 :\

该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上 , 增加该设置可以提高 SYN 攻击期间的响应性能。修改项 :\

CurrentControlset\\Services\\Tcpip\\ Parameters\\Interfaces\\{ 自己的网卡接口 }] 位置下 :

22. 禁止路由发现功能。 ICMP 路由通告报文可以被用来增加路由表纪录 , 可以导致攻击 , 所以禁止路

由发现。

修改项 :\。

【实验结果】

实验配置后 , 两人一组进行互换检查 , 利用注册表的查找功能 , 通过查找实验中的\数值名称\来核对 \数值数据 \是否配置正确。

实验 7 通过过滤ICMP报文，阻止ICMP攻击

【实验目的】

很多攻击 , 如死亡之 Ping 等攻击都是通过 ICMP 报文漏洞实现的 , 我们通过过滤 ICMP 报文 , 进而阻止 ICMP 攻击。

【实验准备】

Windows2000 系统 , 具有操作\本地安全策略 \权限的账户登陆。

【注意事项】

学会 IP 筛选器的管理和操作 , 可根据需要进行其他安全配置操作。

【实验步骤】

1. 打开 \控制面极→性能管理→管理工具\。

2. 双击 \本地安全策略\，打开\本地安全设置\窗口。

3. 在\本地安全设置\窗口中 , 右键单击\安全策略 , 在本地机器\选\管理IP 筛选器和 IP 筛选器操作\在\管理 IP 筛选器和 IP 筛选器操作\列表中添加一个新的过滤规则 , 名称输入\防止 ICMP 攻击\然后按\添加\按钮 , 在\寻址\页中设置地址 , 在源地址选\任何 IP 地址\目标地址选\我的 IP 地址\在\协议\页设置协议类型为\设置宪毕。

4. 在\管理筛选器操作\中，取消选中\使用添加向导\，单击\添加\按钮，在\常规\也中输入名称为\操作\，在\安全措施\页中设置为\阻止\。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

5. 点击\安全策略 , 在本地机器\选择\创建 IP 安全策略 -下一步 -输入名称为 ICMP 过滤器\通过增加过滤规则向导 , 把刚刚定义的\防止 ICMP 攻击\过滤策略指定给 ICMP 过滤器 , 然后选择刚刚定义\的操作\。

最后启用设定好的安全策略 , 即 \指派 \策略。

经过这样设置后，我们就完成了一个关注所有进入系统的ICMP报文的过滤策略和丢弃所有报文的过滤操作，从而阻挡攻击者使用ICMP 报文进行的攻击。

【实验结果】

两人一组，通过ping对方经过ICMP筛选的机器，检查ICMP报文的过滤是否成功。

本文来源：https://www.bwwdw.com/article/h823.html