网络空间安全A模块试题练习

项目和任务描述

假定你是某企业的网络安全工程师，对于企业的服务器系统，根据任务要求确保各服务正常运行，并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求对具体任务的操作截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以赛位号作为文件名项目和任务描述

 

A-1任务一 登录安全加固

请对服务器按要求进行相应的设置，提高服务器的安全性。

1.密码策略

a.密码策略必须同时满足大小写字母、数字、特殊字符

计算机配置\Windows设置\安全设置\帐户策略\密码策略：     win+r 运行 gpedit.msc

密码必须符合复杂性要求>已启用

Linux

​​编辑​ /etc/pam.d/system-auth 配置文件中对应的部分截图

 

Ucredit=1 密码中大写字母最少有一位

Lcredit=1 密码中小写字母最少有一位

Dcredit=3 密码中最少有3个数字

Ocredit=1  密码中至少有1个特殊字符

2.登录策略

a.设置账户锁定阈值为6次错误锁定账户，锁定时间为1分钟，复位账户锁定计数器为1分钟之后

计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略：    win+r 运行 gpedit.msc

帐户锁定时间>1分钟

帐户锁定阈值>6次无效登录

重置帐户锁定计数>1分钟

 b.一分钟内仅允许5次登录失败，超过5次，登录账号锁定1分钟

编辑 /etc/pam.d/login

deny   设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

unlock_time        设定普通用户锁定后，多少时间后解锁，单位是秒；

even_deny_root    也限制root用户；

root_unlock_time      设定root用户锁定后，多少时间后解锁，

单位是秒；

Auth  required pam_tall2y.so  deny=6  unlock_time=60

3.用户安全管理

a.禁止发送未加密的密码到第三方SMB服务器

计算机配置\Windows设置\安全设置\本地策略\安全选项：     win+r 运行 gpedit.msc

Microsoft网络客户端:发送未加密的密码以连接到第三方 SMB 服务器>已禁用

 

b.禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户

计算机配置\Windows设置\安全设置\本地策略\安全选项：

帐户:来宾帐户状态>已禁用

A-2任务二 本地安全策略设置  win+r 运行 gpedit.msc

4.关闭系统时清除虚拟内存页面文件

计算机配置\Windows设置\安全设置\本地策略\安全选项：

关机:清除虚拟内存页面文件>已启用

 

5.禁止系统在未登录的情况下关闭

计算机配置\Windows设置\安全设置\本地策略\安全选项：

关机:允许系统在未登录的情况下关闭>已禁用

6.禁止软盘复制并访问所有驱动器和所有文件夹

计算机配置\Windows设置\安全设置\本地策略\安全选项：

恢复控制台:允许软盘复制并访问所有驱动器和所有文件夹>已禁用

7.禁止显示上次登录的用户名

计算机配置\Windows设置\安全设置\本地策略\安全选项：

交互式登录:登录时不显示用户名>已禁用

A-3任务三 流量完整性保护

8.创建www.chinaskills.com站点，在C:\web文件夹内中创建名称为chinaskills.html的主页，主页显示内容“热烈庆祝2023年职业教育活动周全国启动仪式顺利开幕”，同时只允许使用SSL且只能采用域名（域名为www.test.com）方式进行访问。

9.为了防止密码在登录或者传输信息中被窃取，仅使用证书登录SSH。

A-4任务四 事件监控

10.应用程序日志文件最大大小达到60M时将其存档，不覆盖事件。

服务器管理\诊断\事件查看器\Windows日志\应用程序\属性

A-5任务五 服务加固

11.SSH服务加固

a.SSH禁止root用户远程登录。

vi /etc/ssh/sshd_config

#PermitRootLogin yes //去掉“#”，“yes”改为“no”

重启服务service sshd restart

 

b.设置root用户的计划任务。每天早上7:50自动开启SSH服务，22:50关闭；每周六的7:30重新启动SSH服务。

#crontab -e//进入计划任务编辑模式

//计划任务内容格式：* * * * * command

//五个*号分别表示分、时、日、月、周

50 7 * * * /etc/init.d/sshd start

50 22 * * * /etc/init.d/sshd stop

30 7 * * 6 /etc/init.d/sshd restart

c.修改SSH服务端口为2228

vi /etc/ssh/sshd_config

#Port 22//去掉“#”，22改为2228

重启服务service sshd restar

12.VSFTPD服务加固

a.设置数据连接的超时时间为60秒。

#vi /etc/vsftpd/vsftpd.conf

data_connection_timeout=60

#service vsfptd restart

 

b.设置站点本地用户访问的最大传输速率为2M。

#vi /etc/vsftpd/vsftpd.conf

local_max_rate=2048

#service vsfptd restart

13.IIS加固

a.防止文件枚举漏洞枚举网络服务器根目录文件，禁止IIS短文件名泄露。

b.关闭IIS的WebDAV功能增强网站的安全性。