项目和任务描述
假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求对具体任务的操作截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以赛位号作为文件名项目和任务描述
A-1任务一 登录安全加固
请对服务器按要求进行相应的设置,提高服务器的安全性。
1.密码策略
a.密码策略必须同时满足大小写字母、数字、特殊字符
计算机配置\Windows设置\安全设置\帐户策略\密码策略: win+r 运行 gpedit.msc
密码必须符合复杂性要求>已启用
Linux
编辑 /etc/pam.d/system-auth 配置文件中对应的部分截图
Ucredit=1 密码中大写字母最少有一位
Lcredit=1 密码中小写字母最少有一位
Dcredit=3 密码中最少有3个数字
Ocredit=1 密码中至少有1个特殊字符
2.登录策略
a.设置账户锁定阈值为6次错误锁定账户,锁定时间为1分钟,复位账户锁定计数器为1分钟之后
计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略: win+r 运行 gpedit.msc
帐户锁定时间>1分钟
帐户锁定阈值>6次无效登录
重置帐户锁定计数>1分钟
b.一分钟内仅允许5次登录失败,超过5次,登录账号锁定1分钟
编辑 /etc/pam.d/login
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
even_deny_root 也限制root用户;
root_unlock_time 设定root用户锁定后,多少时间后解锁,
单位是秒;
Auth required pam_tall2y.so deny=6 unlock_time=60
3.用户安全管理
a.禁止发送未加密的密码到第三方SMB服务器
计算机配置\Windows设置\安全设置\本地策略\安全选项: win+r 运行 gpedit.msc
Microsoft网络客户端:发送未加密的密码以连接到第三方 SMB 服务器>已禁用
b.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户
计算机配置\Windows设置\安全设置\本地策略\安全选项:
帐户:来宾帐户状态>已禁用
A-2任务二 本地安全策略设置 win+r 运行 gpedit.msc
4.关闭系统时清除虚拟内存页面文件
计算机配置\Windows设置\安全设置\本地策略\安全选项:
关机:清除虚拟内存页面文件>已启用
5.禁止系统在未登录的情况下关闭
计算机配置\Windows设置\安全设置\本地策略\安全选项:
关机:允许系统在未登录的情况下关闭>已禁用
6.禁止软盘复制并访问所有驱动器和所有文件夹
计算机配置\Windows设置\安全设置\本地策略\安全选项:
恢复控制台:允许软盘复制并访问所有驱动器和所有文件夹>已禁用
7.禁止显示上次登录的用户名
计算机配置\Windows设置\安全设置\本地策略\安全选项:
交互式登录:登录时不显示用户名>已禁用
A-3任务三 流量完整性保护
8.创建www.chinaskills.com站点,在C:\web文件夹内中创建名称为chinaskills.html的主页,主页显示内容“热烈庆祝2023年职业教育活动周全国启动仪式顺利开幕”,同时只允许使用SSL且只能采用域名(域名为www.test.com)方式进行访问。
9.为了防止密码在登录或者传输信息中被窃取,仅使用证书登录SSH。
A-4任务四 事件监控
10.应用程序日志文件最大大小达到60M时将其存档,不覆盖事件。
服务器管理\诊断\事件查看器\Windows日志\应用程序\属性
A-5任务五 服务加固
11.SSH服务加固
a.SSH禁止root用户远程登录。
vi /etc/ssh/sshd_config
#PermitRootLogin yes //去掉“#”,“yes”改为“no”
重启服务service sshd restart
b.设置root用户的计划任务。每天早上7:50自动开启SSH服务,22:50关闭;每周六的7:30重新启动SSH服务。
#crontab -e//进入计划任务编辑模式
//计划任务内容格式:* * * * * command
//五个*号分别表示分、时、日、月、周
50 7 * * * /etc/init.d/sshd start
50 22 * * * /etc/init.d/sshd stop
30 7 * * 6 /etc/init.d/sshd restart
c.修改SSH服务端口为2228
vi /etc/ssh/sshd_config
#Port 22//去掉“#”,22改为2228
重启服务service sshd restar
12.VSFTPD服务加固
a.设置数据连接的超时时间为60秒。
#vi /etc/vsftpd/vsftpd.conf
data_connection_timeout=60
#service vsfptd restart
b.设置站点本地用户访问的最大传输速率为2M。
#vi /etc/vsftpd/vsftpd.conf
local_max_rate=2048
#service vsfptd restart
13.IIS加固
a.防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露。
b.关闭IIS的WebDAV功能增强网站的安全性。