2021年職業(yè)院校網(wǎng)絡(luò)安全技能大賽試題A

2021年職業(yè)院校網(wǎng)絡(luò)安全技能大賽試題

基礎(chǔ)設(shè)施設(shè)置與安全加固部分

假定你是某企業(yè)的網(wǎng)絡(luò)安全工程師，對(duì)于企業(yè)的服務(wù)器系

統(tǒng)，根據(jù)任務(wù)要求確保各服務(wù)正常運(yùn)行，并通過綜合運(yùn)用登錄

和密碼策略、數(shù)據(jù)庫安全策略、流量完整性保護(hù)策略、事件監(jiān)

控策略、防火墻策略等多種安全策略來提升服務(wù)器系統(tǒng)的網(wǎng)絡(luò)

安全防御能力。本模塊要求對(duì)具體任務(wù)的操作截圖并加以相

應(yīng)的文字說明，以word文檔的形式書寫，以PDF格式保存，以

賽位號(hào)作為文件名.

二、服務(wù)器環(huán)境說明

Windows用戶名：administrator,密碼：123456

Linux用戶名：root,密碼：123456

三、具體任務(wù)(每個(gè)任務(wù)得分以電子答題卡為準(zhǔn))

#A-1任務(wù)一登錄安全加固(Windows,Linux)

請(qǐng)對(duì)服務(wù)器Windows.Linux按要求進(jìn)行相應(yīng)的設(shè)置，提高

服務(wù)器的安全性。

1.密碼策略(Windows,Linux)

a.最小密碼長度不少于16個(gè)字符。

Windows：管理工具-本地安全策略-賬戶策略-密碼策略，設(shè)置

密碼長度即可

Linux：

修改/etc/login.defs文件PASS_MINLEN字段參數(shù)

2.登錄策略(Windows,Linux)

a.在用戶登錄系統(tǒng)時(shí)，應(yīng)該有^Forauthorizedusersonlyn

提示信息；

Linux：修改/etc/issue文件添加本地登錄歡迎語

修改/etc/ssh/sshd_config文件添加Banner

/etc/ssh/banner,在ssh目錄下新建一個(gè)文件Banner,內(nèi)

容寫歡迎語。

Windows：本地安全策略-本地策略-安全選項(xiàng)，“交換式登

錄：試圖登錄的用戶的消息標(biāo)題屬性”修改歡迎語。

b.遠(yuǎn)程用戶非活動(dòng)會(huì)話連接超時(shí)應(yīng)小于等于5分鐘。

Linux：修改/etc/ssh/sshdconfig文件，設(shè)置

ClientAlivelnterval和ClientAliveCountMax參數(shù)

Windows：管理工具-遠(yuǎn)程桌面服務(wù)-遠(yuǎn)程桌面會(huì)話主機(jī)設(shè)置，

RDP-Tcp屬性，在會(huì)話中修改。

3.用戶安全管理（Windows）

a.設(shè)置userl用戶只能在上班時(shí)間（周一至周五的

9：00"18：00）可以登錄，將userl的登錄時(shí)間配置界面截圖；

單機(jī)：netuser"userl"/time：M-F,9：00-18：00

域用戶：雙擊用戶帳戶，在出現(xiàn)的用戶屬性對(duì)話框中，點(diǎn)擊

“帳戶”標(biāo)簽，點(diǎn)擊“登錄時(shí)間”，可以指定用戶能夠登錄

到域的時(shí)間段，最小單位為小時(shí)。

b.在組策略中只允許管理員賬號(hào)從網(wǎng)絡(luò)訪問本機(jī)。

計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分

配-從網(wǎng)絡(luò)訪問此計(jì)算機(jī)

A-2任務(wù)二數(shù)據(jù)庫加固（Linux）

4.以普通帳戶mysql安全運(yùn)行mysql服務(wù)，禁止mysql以管

理員帳號(hào)權(quán)限運(yùn)行；

修改MySql配置文件/etc/f,設(shè)置user參數(shù)為普通用

戶。

5.刪除默認(rèn)數(shù)據(jù)庫（test）；

dropdatabasestest；

6.改變默認(rèn)mysql管理員用戶為：SuperRoot；

updateusersetuser='SuerRoot'whereuser='root'；

7.使用mysql內(nèi)置MD5加密函數(shù)加密用戶userl的密碼為

(P@sswOrd1!)；

Updateusersetpassword=md5(password)where

user="userl”；

8.賦予userl用戶對(duì)數(shù)據(jù)庫所有表只有

select,insert,delete,update權(quán)限。

grantselect,insert,delete,updateontestdb.*to

userl@'localhost'；

A-3任務(wù)三流量完整性保護(hù)(Windows)

9.對(duì)Web網(wǎng)站進(jìn)行HTTP重定向HTTPS設(shè)置，僅使用HTTPS

協(xié)議訪問網(wǎng)站(Windows)(注：證書頒發(fā)給并通

過https:〃www.test,com訪問Web網(wǎng)站)。

在IIS設(shè)置中配置URL重寫

IIS重寫HTTP重定向到HTTPS操作方法(轉(zhuǎn))_hzfw2008的

博客-CSDN博客

https：///hzfw2008/article/details/1031

91496

A-4任務(wù)四事件監(jiān)控(Windows)

10.將Web服務(wù)器開啟審核策略登

錄事件成功/失敗；

特權(quán)使用成功；

策略更改成功/失敗;

進(jìn)程跟蹤成功/失敗;

組策略里面改就行。

■本址用建畤剃I四-□

文件提作(N圈勘(中

為Bmo

:本地計(jì)>即氟建A

??好?■

口.修而函

I無審橫

>dkimnLwwBMarZZI

▼wiWosift.二審核H裾事件~~財(cái)物

J審的■的局‘

、，名第析班第無審根

觸偏加關(guān)氏無南鎮(zhèn)

..?yBOTgffjaMA申耀目球服到于可無審根

[②I無審國

器產(chǎn)如

vis?審搐系統(tǒng)?件無審修

)q史瑪5518

?甲箱所0t?價(jià)無審娥

3都戶般黑筆

一審搐歸無重假

a朋《?施

Window1住Mr歷火.

,網(wǎng)緒列表管理88策略

A-5任務(wù)五服務(wù)加固SSH\VSFTPD\IIS(Windows,Linux)

11.SSH服務(wù)加固(Linux)

a.修改ssh服務(wù)端口為2222；

修改/etc/ssh/sshd_config,#Port22〃將注釋符#去掉,

然后改成2222,重啟ssh服務(wù)

b.ssh禁止root用戶遠(yuǎn)程登錄。

修改/etc/ssh/sshd_config,修改其中的#PernlitRootLogin

yes為PermitRootLoginno,重啟ssh服務(wù)。

12.VSFTPD服務(wù)加固(Linux)

a.vsftpd禁止匿名用戶上傳；

修改/etc/vsftpd/vsftpd.conf配置，配置

anonymous_enable=NO

b.設(shè)置無任何操作的超時(shí)時(shí)間為5分鐘。

修改/etc/vsftpd/vsftpd.conf配置，超時(shí)配置就這些：看

著來

#主動(dòng)模式連接超時(shí)時(shí)長，單位為秒

connect_timeout=600

#被動(dòng)模式連接超時(shí)時(shí)長，單位為秒

accept]imeout=600

#數(shù)據(jù)連接無數(shù)據(jù)超時(shí)時(shí)長，單位為秒

data_connection_timeout=300

#無命令操作超時(shí)時(shí)長，單位為秒

idle_session_timeout=600

13.IIS加固(Windows)

a.開啟HS的日志審計(jì)記錄(日志文件保存格式為W3C,只記

錄日期、時(shí)間、客戶端IP地址、用戶名、方法)；

IIS中-網(wǎng)站-日志設(shè)置，選擇日志記錄字段

b.為了減輕網(wǎng)站負(fù)載，設(shè)置網(wǎng)站最大并發(fā)連接數(shù)為1000。

IIS-網(wǎng)站-高級(jí)設(shè)置-最大并發(fā)連接數(shù)里修改

A-6任務(wù)六防火墻策略(Windows,Linux)

所有服務(wù)器開啟防火墻,為防止勒索病毒攻擊對(duì)防火墻進(jìn)行

加固策略：

14.Windows系統(tǒng)禁用445端口;

防火墻里面配置就行

15.Windows系統(tǒng)禁用23端口;

防火墻里面配置就行

16.Linux系統(tǒng)禁用23端口；

iptables-AINPUT-ptcp-dport23-jDROP

17.Linux系統(tǒng)禁止別人ping通；

A.臨時(shí)方法：

echo0>/proc/sys/net/ipv4/icm