模块 A 基础设施设置与安全加固 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求 确保各服务正常运行,并通过综合运用登录和密码策略、流量完整性保护策略、 事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能 力。本模块要求对具体任务的操作截图并加以相应的文字说明,以 word 文档的形 式书写,以 PDF 格式保存,以赛位号作为文件名. 二、服务器环境说明 Log:日志服务器(Splunk),操作系统为 Linux Web:IIS 服务器,操作系统为 Windows A-1 任务一 登录安全加固 请对服务器 Web 按要求进行相应的设置,提高服务器的安全性。 1.密码策略(Web) a.最小密码长度不少于 8 个字符,将密码长度最小值的属性配置界面截图; b.密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复 杂性要求的属性配置界面截图。 2.登录策略(Web) a.在用户登录系统时,应该有“For authorized users only”提示信息, 将登录系统时系统弹出警告信息窗口截图; b.一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定 1 分钟, 将账户锁定策略配置界面截图;(注意,超过五次锁定,所以这里锁定阈值应为 6 次,截图中若为 5 次则不计分) c.远程用户非活动会话连接超时应小于等于 5 分钟,将 RDP-Tcp 属性对应的 配置界面截图。 3.用户安全管理(Web) a.对服务器进行远程管理安全性 SSL 加固,防止敏感信息泄露被监听,将 RDP-Tcp 属性对应的配置界面截图; b.仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。 A-2 任务二 Web 安全加固(Web) 1.为了防止 web 中.mdb 数据库文件非法下载,请对 Web 配置文件进行安全 加固,将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中 对应的部分截图; 2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无,将编辑 功能权限的配置界面截图; picture 目录权限设置 或 upload 目录权限设置 或 都给分 3.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、 客户端 IP 地址、用户名、方法),将 W3C 日志记录字段的配置界面截图; 4.为了减轻网站负载,设置网站最大并发连接数为 1000,将编辑网站限制 的配置界面截图; 5.防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名泄露, 将配置命令截图; 6.关闭 IIS 的 WebDAV 功能增强网站的安全性,将警报提示信息截图。 A-3 任务三 流量完整性保护与事件监控(Web,Log) 1.为了防止密码在登录或者传输信息时被窃取,仅使用证书登录 SSH(Log), 将/etc/ssh/sshd_config 配置文件中对应的部分截图; 2.将 Web 服务器开启审核策略 登录事件 成功/失败; 特权使用 成功; 策略更改 成功/失败; 进程跟踪 成功/失败; 将审核策略的配置界面截图; 3.配置 Splunk 接收 Web 服务器,安全日志,系统日志,CPU 负载,内存, 磁盘空间,网络状态。将转发器:部署成功的页面截图。 A-4 任务四 防火墙策略 所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略: 1.Windows 系统禁用 445 端口,将防火墙入站规则截图; 2.Linux 系统禁用 23 端口,将 iptables 配置命令截图; 3.Linux 系统禁止别人 ping 通,将 iptables 配置命令截图; 4.Linux 系统为确保安全禁止所有人连接 SSH 除了 172.16.1.1 这个 ip,将 iptables 配置命令截图。 两张图全对才给分 如需环境或者加入可以联系:1721676697