2022年全国职业院校技能大赛（中职组）网络安全赛项A模块解析

一、项目和任务描述：

假定你是某企业的网络安全工程师，对于企业的服务器系统，

根据任务要求确保各服务正常运行，并通过综合运用用户安全管理

与密码策略、Nginx 安全策略、日志监控策略、中间件服务安全策

略、本地安全策略、防火墙策略等多种安全策略来提升服务器系统

的网络安全防御能力。本模块要求根据竞赛现场提供的 A 模块答题

模板对具体任务的操作进行截图并加以相应的文字说明，以 word 文

档的形式书写,以 PDF 格式保存，以“赛位号+模块 A”作为文件

名，PDF 格式文档为此模块评分唯一依据。

二、服务器环境说明

Windows  用户名：administrator，密码：123456

Linux    用户名：root，密码：123456

三、具体任务（每个任务得分以电子答题卡为准）

A-1 任务一 登录安全加固（Windows, Linux）

请对服务器 Windows、Linux 按要求进行相应的设置，提高服务

器的安全性。

1.密码策略（Windows, Linux）

a.最小密码长度不少于 13 个字符；

windows修改方法：本地安全策略----安全设置-----账户策略----密码策略----密码长度最小值修改为13

Linux修改方法：

修改配置文件/etc/login.defs

b.密码必须符合复杂性要求。

Linux配置方法：在配置文件/etc/pam.d/system-auth中添加

Windows配置方法

本地安全策略----安全设置---账户策略----密码策略----密码必须符合复杂性要求---右键---属性---已启用

2.用户安全管理(Windows)

a.设置取得文件或其他对象的所有权，将该权限只指派给

administrators 组；

本地安全策略---安全设置---本地策略---用户权限分配----取得文件或其他对象所有权----右键---属性---添加用户或组---点击对象类型勾选组—确定—输入对象名称administrators并检查—应用

b.禁止普通用户使用命令提示符;

在运行框中输入gpedit.msc进入本地组策略编辑器---用户配置---管理模板---系统---找到阻止使用命令提示符---双击—点击已启用—应用---确定

c.设置不显示上次登录的用户名。

本地安全策略---安全设置—本地策略—安全选项---交互式登录：不显示最后的用户名—右键—属性—已启用—应用—确定

A-2 任务二 Nginx 安全策略（Linux）

禁止目录浏览和隐藏服务器版本和信息显示；

 在配置文件/etc/nginx/nginx.conf中

 修改

Server  tokens  off

限制 HTTP 请求方式，只允许 GET、HEAD、POST；

vim /etc/nginx/nginx.com  进入配置文件

修改

  If ($request_method !  $^（GET|HEAD|POST）$){

Return 501;

}

设置客户端请求主体读取超时时间为 10;

Vim /etc/nginx/nginx.conf   进入配置文件

Client_body­_timeout 10;     修改

设置客户端请求头读取超时时间为 10；

Vim /etc/nginx/nginx.conf  进入配置文件

Client_header_timeout 10;   修改

将 Nginx 服务降权，使用 www 用户启动服务。

Vim /etc/nginx/nginx.conf    进入配置文件

User  www           修改

A-3 任务三 日志监控（Windows）

8.安全日志文件最大大小为 128MB，设置当达到最大的日志大小

上限时，按需要覆盖事件（旧事件优先）；

右键开始图标----时间查看器---windows日志—安全—右键—属性—勾选按需覆盖事件并设置文件最大大小131072KB

9.应用日志文件最大大小为 64MB，设置当达到最大的日志大小

上限时将其存档，不覆盖事件；

右键开始菜单栏---事件查看器---windows日志---右键应用程序—属性---勾选达到最大的日志大小上限时，将其存档。修改最大日志文件大小为65536KB

10.系统日志文件最大大小为 32MB，设置当达到最大的日志大小

上限时，不覆盖事件（手动清除日志）。

右键开始菜单栏---事件查看器---windows日志---右键系统—属性—勾选当达到最大的日志大小上限时，不覆盖事件（手动清除日志）。修改文件大小问32768KB

A-4 任务四 中间件服务加固 SSHD\VSFTPD\IIS（Windows, Linux）

11.SSH 服务加固（Linux）

a.修改 ssh 服务端口为 2222；

vim /etc /ssh/sshd_config  进如ssh配置文件

修改

b.ssh 禁止 root 用户远程登录；

修改配置文件/etc/ssh/sshd_config

 

c.设置 root 用户的计划任务。每天早上 7:50 自动开启 ssh 服

务，22:50 关闭；每周六的 7:30 重新启动 ssh 服务；

进入配置文件crontab  -e 任务计划表

配置文件分为6段： 分 时 日 月 周  要执行的命令

*代表任意时间   /代表每隔多少时间

d.修改 SSHD 的 PID 档案存放地。

修改配置文件/etc/ssh/sshd.conf

12.VSFTPD 服务加固（Linux）

a.设置运行 vsftpd 的非特权系统用户为 pyftp；

配置文件/etc/vsftp/vsftpd.conf

b.限制客户端连接的端口范围在 50000-60000；

配置文件/etc/vsftp/vsftpd.conf中添加两行

c.限制本地用户登录活动范围限制在 home 目录。

 配置文件/etc/vsftp/vsftpd.conf中添加

13.IIS 加固（Windows）

a.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日

期、时间、客户端 IP 地址、用户名、方法)；

打开IIS管理器---选择网站---点击右侧的日志图标---格式选择W3C---点击选择字段只勾选日期、时间、客户端、IP地址、用户名、方法。

b.关闭 IIS 的 WebDAV 功能增强网站的安全性。

IIs管理器---选择网站---点击右侧的DAV创作规则—停止

A-5 任务五 本地安全策略（Windows）

14.禁止匿名枚举 SAM 帐户；

本地安全策略---本地策略—安全选项--- 网络访问：不允许SAM用户匿名枚举—右键—属性—已启用

15.禁止系统在未登录的情况下关闭；

本地安全策略---本地策略—安全选项---关机：允许系统未登录的情况下关闭—右键—属性—已禁用

16.禁止存储网络身份验证的密码和凭据；

本地安全策略—本地策略—安全选项---网络访问：不允许存储网络身份验证的密码和凭据—右键—属性—已启用

17.禁止将 Everyone 权限应用于匿名用户；

本地安全策略—本地策略—安全选项—网络访问：将Everyone权限应用于匿名用户---右键—属性—已禁用

18.在超过登录时间后强制注销

本地安全策略---本地策略---安全选项----网络安全：在超过登录时间后强制注销—右键—属性—已启用

A-6 任务六 防火墙策略（Linux）

19.设置防火墙允许本机转发除 ICMP 协议以外的所有数据包；

20.为防止 Nmap 等扫描软件探测到关键信息，设置 iptables 防

火墙策略对 80 号端口进行流量处理；

21.为防御拒绝服务攻击，设置 iptables 防火墙策略对传入的流

量进行过滤，限制每分钟允许 3 个包传入，并将瞬间流量设定为一次

最多处理 6 个数据包（超过上限的网络数据包将丢弃不予处理）；

4.只允许转发来自 172.16.0.0/24 局域网段的 DNS 解析请求数据包

Iptables 中 –A 向规则链中添加条目 –P 指定数据包协议 –dport 指定端口号

-s 指定要匹配数据包源IP  -j<动作>

规则链包括：INPUT处理输入数据包 OUTPUT处理输出数据包

      FORWARD处理转发数据包

动作包括：ACCEPT 接受数据包   DROP 丢弃数据包

仅个人理解，本人新手，勿喷