Windows操作系统的安全加固

实验网络拓扑如下：

工具简介 实验场景一：补丁安装 任务一：由于这些漏洞都是已知windows系统及其组件的相关漏洞，请到微软官方查询漏洞详情和下载对应补丁。

某公司经过一次系统漏洞扫描检测操作系统安全，发现办公网部分的windows7 SP1系统主机皆含有MS17-010、MS12020、MS15-034漏洞。

查看系统信息以及扫描报告

发现目标系统是win7 64bit，确实存在MS17-010，MS12-020，MS15-034等漏洞。

由于补洞方法一样，因此仅演示补MS17-010漏洞

从微软安全公告网站找到对应系统版本的MS17-010补丁,并下载

打开补丁安装包并安装

请给出验证漏洞修复证明的步骤及截图：

查看系统信息，显示已经补上了MS17-010，MS12-020，MS15-034漏洞补丁

使用Kali自带的Metaspolit试探性攻击目标系统MS17-010，MS12-020，MS15-034漏洞

MS17-010

MS12-020

MS15-034

攻击均失败，证明目标系统已修复这三个漏洞

实验场景二：端口封禁(防止漏洞攻击临时策略)

公司的安全应急响应中心发布了一个0day漏洞安全预警。该漏洞能够造成远程代码执行，目前还未有对应的漏洞补丁方案。

任务一：

由于该漏洞危害较大，管理员决定采用端口封禁这种临时解决方案。已知该漏洞涉及TCP的2869、3389、5357端口。

运行gpedit.msc进入组策略配置

创建IP安全策略

进入编辑属性

添加TCP的2869、3389、5357端口封禁

同理可封禁另外两个端口

在筛选器操作选项卡，点击“添加”，添加一个新筛选器操作“阻止”

应用筛选规则

右键，指派新建的IP安全策略

请给出确保端口被封禁证明的步骤及截图：

使用nmap扫描2869，3389，5357端口

显示被过略

实验场景三：加强账号口令安全性

管理员最近接到好几起员工系统疑似被远程登陆操作的投诉，决定增强办公系统主机登陆口令的安全等级。

任务一：

禁用系统无用来宾账号，如Guest账号。删除无用账号，如null1,null2账号。

以管理员方式运行cmd

使用net user命令查看用户帐户

使用net user Guest /active:no命令禁用Guest账号

使用net user null1 /del和net user null2 /del命令删除无用账号

任务二：

强制要求系统账号必须符合强口令要求，且隔6个月内需更换一次密码，每次更换的密码不允许和历史记录的5个相同，设置密码最短使用期限为2个月。

进入本地安全策略

启用密码复杂性要求

修改最长使用期限

同理设置其他要求

任务三：

强制要求系统账号只能本地登陆无法通过远程的方式登陆。

删除从网络访问此计算机的所有用户

添加允许本地登录的账户

（编辑：开发网_新乡站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!