Windows-2000和XP的安全性.doc

Windows 2000/XP安全性 1、写出保护你的PC机的三个重要步骤，并说明在你使用的计算机是如何配置和实施的。 可以参考： 参考网站： 怎么把自己的电脑保护起来-实行电脑硬保护第一步：从操作系统抓起保护我们的电脑。 第一步当然要从操作系统抓起，只有让我们的系统健康起来，完善起来，才能够真正的做好安全保护工作。操作系统的安全保护主要由以下,四方面组成：1.选择稳定的操作系统；2.定期给系统打补丁；3，关闭系统默认的共享资源；4，及时备份操作系统。 第二步就是防范病毒入侵：1.安装杀毒软件；2.慎用来路不明的光盘、软盘；3. 谨慎使用网络上的程序和文件。 第三步是防范网络攻击和入侵，保护网络的主要步骤是：1.打好补丁；2.安装防火墙；3.安装木马检测软件。 2、了解WindowsXP的用户权限。有哪些用户组，它们的工作权限分别是什么？有哪些特别的用户？ Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。 　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。 　　Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。 　　Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。 　　Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。 其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。 3、试图使用可能的不同方式访问你所在网络的其它计算机，并做说明？（如：Net命令、FTP、HTTP、Telnet等方式。） （1）使用telnet远程连接，要把连接的两台计算机的我的电脑-属性-远程中的远程桌面下面的选项打上勾，然后启动开始菜单-附件里的远程桌面连接，输入要连接的计算机的IP地址，然后输入用户名和密码就能连接了。 （2）使用51MYPC远程控制软件。首先下载51MYPC，并一直点击“下一步“按钮，安装软件并出现如下界面 在下一步就是注册账户，填写EMAIL。密码并确认密码，如图， 接下来就是添加计算机呢称，以完成安装 最后一步就是在另外一台机子上进行远程控制，在其他PC机上登录WWW.51MYPC.COM，输入刚注册的EMAIL和密码，点击“远程控制”按钮，进行远程控制。如图示： 4、使用组策略（通过管理控制台添加）对计算机进行安全设置。如下图。 记录你所做的设置并写在实验报告内。 参考网站： 控制台(MMC) 控制台是Win2000系统的一个特性，它是一个集成了用来管理网络、计算机、服务及其他系统组件的管理工具。控制台不执行管理功能，但它集成了管理工具，通过将管理单元(可以添加到控制台的主要工具类型)加载到控制台中来完成系统的相关设置。 　　组策略 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可以定义用户桌面环境的各种组件、用户可以使用的程序、出现在用户桌面上的图标、“开始”菜单选项、哪些用户可以修改桌面及哪些用户不能修改桌面等等。组策略的设置是将组策略管理单元加载到控制台中来进行的。对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。计算机策略在计算机启动时获得，用户策略在用户登录时获得。所有策略的设置都将保存到 注册表的相关项目中。 单击“开始”菜单的“运行”项，输入“mmc”并确定，弹出控制台窗口。单击控制台主菜单的“控制台”项，选择“添加/删除管理单元”菜单项.在“添加/删除管理单元”对话框中，单击“添加”按钮，弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”条目，单击“添加”按钮。因为是将组策略应用到本地计算机中，所以在接下来弹出的“选择组策略对象”对话框中，“组策略对象”中默认的是本地计算机，单击“完成”按钮，返回到“添加独立管理单元”对话框，单击“关闭”按钮。这时“本地计算机”策略条目就添加到“添加/删除管理单元”对话框的列表中，单击“确定”按钮，“组策略”就添加到控制台中了。如图所示。 5、使用事件查看器查看Windows日志，并写下你认为重要的事件。并在如下图所示的审核策略中试图审核更多的事件，并在事件查看器中能够看到审核纪录。 6、说明如何创建紧急修复磁盘以备修复系统，说明其用途，并试图创建一张紧急修复磁盘。 7、列出Windows中主要的系统进程。 XP系统开机必须的进程： WIN 7系统开机必须的进程： 最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:  smss.exe Session Manager  csrss.exe 子系统服务器进程  winlogon.exe 管理用户登录  services.exe 包含很多系统服务  lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)  产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)  svchost.exe 包含很多系统服务  svchost.exe  SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)  explorer.exe 资源管理器  internat.exe 托盘区的拼音图标  附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:  mstask.exe 允许程序在指定时间运行。(系统服务)  regsvc.exe 允许远程注册表操作。(系统服务)  winmgmt.exe 提供系统管理信息(系统服务)。  inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)  tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)  允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)  tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)  termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器 上的基 于 Windows 的程序。(系统服务)  dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)  以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉  tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)  支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及Quote of the Day。(系统服务)  ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)  ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)  wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)  llssrv.exe License Logging Service(system service)  ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)  RsSub.exe 控制用来远程储存数据的媒体。(系统服务)  locator.exe 管理 RPC 名称服务数据库。(系统服务)  lserver.exe 注册客户端许可证。(系统服务)  dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)  clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)  msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)  faxsvc.exe 帮助您发送和接收传真。(系统服务)  cisvc.exe Indexing Service(system service)  dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)  mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)  netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)  smlogsvc.exe 配置性能日志和警报。(系统服务)  rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)  RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)  RsFsa.exe 管理远程储存的文件的操作。(系统服务)  grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)  SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)  snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)  snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序  。(系统服务)  UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)  msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) 8、列出Windows中主要的系统服务。 参照上一题 9、试图在Windows中对某一目录加密。（注意需要NTFS格式） 10、试图对某一目录作用户访问控制，限制的用户的读写等操作。 打开目录的属性-安全，如图 点击高级-更改权限后如下图所示： 选择所要允许的类型，点击“添加”按钮，就可以在文本框中输入要选择的对象名称，对其权限进程设置，如下图： 11、对Windows 2000/XP的某一安全漏洞作具体的描述，并给出漏洞是如何可能被利用的。 文件服务器的MS08-067漏洞： 这是一个远程代码执行漏洞。成功利用此漏洞的攻击者会完全远程控制受影响的系统。在基于 Microsoft Windows 2000、Windows XP、和 Windows Server 2003 的系统上，攻击者会在未经身份验证的情况下通过 RPC 利用此漏洞，并可运行任意代码。如果利用漏洞的尝试失败，这还会导致 Svchost.exe 的崩溃。如果 Svchost.exe 发生崩溃，将影响到服务器服务。该服务器服务提供通过网络共享的文件、打印和命名管道。该漏洞由服务器服务引起，因此不会正确处理特殊设计的 RPC 请求。