网络安全实验报告4

一．设置并验证“审核对象访问”策略 1．设置“审核对象访问”策略

依次进入“开始”｜“程序”｜“管理工具”｜“本地安全策略”，启动本地安全策略管理器。进入管理器定位到如下分支：“安全设置”｜“本地策略”｜“审核策略”，选择“审核对象访问”项，双击该项（或单击右键菜单中的属性）进入属性页。选中“审核这些操作”中的“成功”、“失败”复选框。然后单击“确定”按钮完成设置策略操作。同样方法，将其它审核策略设置为“无审核”。

2．audit目录文件审核

（1）C盘下新建audit文件夹。

（2）audit目录下新建文本文件general.txt（在启动审核前创建文件）。

（3）设置audit文件夹属性，在属性对话框中依次点选“安全”｜“高级”｜“审核”｜“添加”，在“选择用户或组”对话框的“输入要选择的对象名称”文本框中输入“everyone”，单击“确定”按钮。在弹出的“audit的审核项目”对话框中，选中“创建文件/写入数据”对应的“成功”与“失败”复选按钮，单击“确定”按钮，直至完成。

（4）为了能够清晰分析后续审核事件，建议先将系统已有审核条目清除。具体做法如下：通过系统“管理工具”打开“事件查看器”，点选左侧“安全性”分支，右键单击该项，选择“清除所有事件”。

（5）对general.txt文件进行写入操作，并保存。刷新“事件查看器”｜“安全性”分支，查看右侧事件列表“分类”项为“对象访问”的事件，结合实验原理“常用审核事件ID”部分，回答下列问题：

针对写入数据操作，系统的审核事件序列是： 560 ,567,567 。

解释序列事件：允许访问一个已存在的对象c:\\audit\\general.txt 已经使用与句柄相关的权限（writeData）

已关闭对象句柄 。 （6）调换步骤：（2）（3）（4）步的顺序改为（4）（3）（2）（在启动审核后创建文件），重新进行此部分实验，回答下列问题：

针对创建文件操作，系统的审核事件序列是： 560 解释序列事件：

允许访问已经存在的对象c:\\audit\\新建文本文档.txt

。

针对写入数据操作，系统的审核事件序列是： 560 567 562 。

解释序列事件：允许（WRITEDATA）访问已存在对象C:\\audit; 已使用与句柄相关的权限;

已关闭对象句柄。

。

（7）重新设置audit文件夹审核策略，仅对“读取属性”事件进行审核，回答下列问题： 仅针对读取数据操作，系统的审核事件序列是： 560 567 562 。

解释序列事件：允许（Readata）访问已存在对象C:\\audit; 允许（Readata）访问已存在对象C:\\audit\\general.txt

已使用与句柄相关的权限;

已关闭对象句柄。

。 （8）可尝试对其它事件进行审核，如删除、更改权限等。 二．文件事件审计

（1）单击工具栏“监控器”按钮，打开监控器工具。在左侧向导栏中选择“文件监控”，进入文件监控视图。

（2）单击菜单栏“选项”｜“设置”，在“设置”对话框中可以设置文件监控所要监控的目录、监控进程和操作类型（新建文件、删除文件、文件写操作，修改文件属性）。单击“确定”按钮应用设置。

（3）单击监控器工具栏按钮，开始文件监控，在指定目录或使用指定应用程序进行新建文件等操作，观察监控视图的审计信息。 任务三：

一．注册表安全设置

1．清空可远程访问的注册表路径

Windows2003操作系统提供了注册表的远程访问功能，只有将可远程访问的注册表路径设置为空，才能有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。

打开系统“管理工具”，选择“本地安全策略”，将“本地策略”｜“安全选项”中的“网络访问：可远程访问的注册表路径、可远程访问的注册表路径和子路径”两项策略清空。如2．关闭自动保存隐患

Windows2003操作系统在调用应用程序出错时，系统会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客利用，一旦获取的话，各种重要的调试信息就会暴露无疑。 （1）双击C:\\WINDOWS\\regedit.exe文件或直接在“开始｜运行”（Win+R）中输入regedit，打开“注册表编辑器”

（2）依次展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\

AeDebug分支，设置“Auto”项的键值为0。 3．关闭资源共享隐患

为了给局域网用户相互之间传输信息带来方便，Windows2003系统提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也给黑客入侵提供了方便。 通过网上邻居设置“本地连接”，在“本地连接 属性”的“常规”选项卡中，取消勾选“Microsoft网络的文件和打印机共享”。 4．关闭页面交换隐患

Windows 2003操作系统中的页面交换文件中，其实隐藏很多重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口。 打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\

SessionManager\\MemoryManagement分支，设置ClearPageFileAtShutdown项的键值为1。 5．防火墙TTL主机类型探测

（1）打开系统控制台输入命令：ping 127..0.0.1或ping localhost

查看返回TTL值 128 。 （2）打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\Tcpip\\Parameters，修改DefaultTTL值为十进制110。重启系统，使用ping命令查看本机TTL值 110 。

本文来源：https://www.bwwdw.com/article/tlng.html