A模块解析
任务一、登录安全加固
- 设置最短密码长度为8;(10)
Win+R 输入gpedit.msc将进入本地组策略编辑器 亦或者是 在控制面板中找到管理工具进入本地组策略编辑器
位置:
计算机配置>Windows设置>安全设置
- 一分钟内仅允许4次登录失败,超过4次,登录帐号锁定1分钟。(10)
- 设置user1用户只能在上班时间(周一至周五的9:00~18:00可以登录,将user1的登录时间配置界面截图;(10)
Win + R输入cmd,进入cmd输入
> net user 用户名 /time:m-f,09:00-18:00
(m-f是Monday与Friday的缩写,表周一至周五)
- 在组策略中只允许管理员账号从网络访问本机;(10)
- 设置操作系统中的关键目录(system32、hosts、Program Files、Perflogs)的权限为最优状态,即仅允许管理员用户进行读取及运行。(10)
将安全中除了administrator以外的用户全部删除,并给予administrator读取和执行权限
- 密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图。(10)
- 在用户登录系统时,应该有“For authorized users only”提示信息,将登录系统时系统弹出警告信息窗口截图;(10)
- 远程用户非活动会话连接超时应小于等于5分钟,将RDP-Tcp属性对应的配置界面截图。(10)
- 对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听,将RDP-Tcp属性对应的配置界面截图;(20)
- 仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。(20)
将除administrator用户以外的所有用户全部删除
任务二、Web安全加固(Web) (winser 2008)
- 为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固,将C:\Windows\System32\inetsrv\config\applicationHost配置文件中对应的部分截图;(25)
添加命令 > </add fileExtension=”.mdb” allowed=”False” />
- 限制目录执行权限,对picture和upload目录设置执行权限为无,将编辑功能权限的配置界面截图;(25)
- 开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法),将W3C日志记录字段的配置界面截图;(25)
- 为了减轻网站负载,设置网站最大并发连接数为1000,将编辑网站限制的配置界面截图;(25)
- 防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露,将配置命令截图;(25)
命令 > fsutil 8dot3name set 1
- 关闭IIS的WebDAV功能增强网站的安全性,将警报提示信息截图。(25)
任务三、日志安全审计(Windows)
- 启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;(20)
Win+R 输入gpedit.msc将进入本地组策略编辑器 亦或者是 在控制面板中找到管理工具进入本地组策略编辑器
- 启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;(20)
- 启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核;(20)
- 启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核;(20)
- 启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。(20)
任务三、防火墙策略
- Windows系统禁用445端口,将防火墙入站规则截图;(20)
- Linux系统禁用23端口,将iptables配置命令截图;(20)
命令>
添加规则iptables -A INPUT -p tcp/del --dport 端口 -j DROP
删除规则 iptables -D INPUT -p tcp/del --dport 端口 -j DROP
-A:表示add
-D:表示de
- Linux系统禁止别人ping通,将iptables配置命令截图;(20)
命令>
Iptables -A INPUT -icmp --icmp-type 8 -j DROP
- Linux系统为确保安全禁止所有人连接SSH除了172.16.1.1这个ip,将iptables配置命令截图;(20)
命令>
禁止所有人Ping : iptables -A INPUT -p tcp/upd --dport 端口 -j DROP
指定用户访: iptables -A INPUT -p tcp/udp -dport 端口 -s 指定的用户IP -j ACCEPT
-s :指定用户访问,后接IP地址
DROP : 是关闭
ACCEPT: 是开启