A 模块基础设施设置与安全加固

第一部分：A 模块基础设施设置与安全加固

总体要求：根据任务要求，参赛队通过综合运用登录和密码策略、数据库安

全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略，确保

系统各服务正常运行。

域服务器基础设施设置与安全加固

1）在域服务器上，检查Kerberos策略，将“服务票证最长寿命”时间值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\Security 设置\Account Policies\Kerberos 策略\服务票证最长寿命

2）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“强制密码历史”值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\强制密码历史

3）在域服务器上，启用远程桌面，并检查远程桌面端口号，配置防火墙策略允许该端口通过，将远程桌面端口号作为flag值提交。

过程：

1. 运行regedit.exe

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下，修改PortNumber数值为xxxx

3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下，修改PortNumber数值为xxxx

4）在域服务器上，检查 “配置Kerberos允许的加密类型”，将加密类型作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\本地策略\安全选项\网络安全：配置Kerberos允许的加密类型

5）在域服务器上，检查可以从网络访问此计算机的对象，仅保留管理员组，删除其余不必要的对象，将删除的对象名称首字母按从小到大排序并连接成 flag提交。

过程：打开本地管理策略\本地策略\用户权限分配：从网络访问此计算机

6）在域服务器上，检查开机启动脚本，将PowerShell脚本括号里面的字符(不包括中文)作为flag提交。

过程：打开本地组策略编辑器\用户配置\Windows设置\脚本(登录/注销)\登录\PowerShell脚本\

7）在域服务器上，为系统开启SYN洪水保护，并将相关键值及键值数据（10进制）作为flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到SynAttackProtect

8）在域服务器上，设置处于SYN_RCVD状态至少已经进行一次重传的 TCP连接请求阈值为400，并将相关键值作为 flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到TcpMaxHalfOpenRetried

9）在域服务器上，检查文件共享影子副本提供程序，并将允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息内的注释内容作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板\系统\文件共享影子副本提供程序\允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息

10）在域服务器上，关闭永恒之蓝的漏洞端口，并将端口号作为flag提交。（端口号从小到大排序,号隔开）

永恒之蓝端口

11）在域服务器上，检查防火墙入站规则，并将放行的端口号按从小到大排序并连接成flag提交。

过程：打开本地安全策略\高级安全Windows防火墙\高级安全Windows防火墙-本地组策略对象\入站规则\allow\协议和端口

12）在域服务器上，启用“指定 Intranet Microsoft 更新服务位置”，并将“备用下载服务器”的地址作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\管理模板\Windows 组件\Windows 更新\指定 Intranet Microsoft 更新服务位置

13）在域服务器上，检查“账户锁定阈值”，并将阈值作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账户锁定阈值

14）在域服务器上，关闭“主机同步服务”，并将文件名的前11个字符作为flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_4db68

15）在域服务器上，启用“日志记录仪”，并“将日志最大大小”（kb）的值作为flag提交。

过程：打开事件查看器\Windows日志\应用程序属性

16）在域服务器上，启用并允许自动更新，并将“支持的平台”的前6个字符的开头字符作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板\Windows组件\Windows更新\配置自动更新

17）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码长度最小值”的值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\强制密码历史

18）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码最长使用期限”的值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\密码最长使用期限

19）在域服务器上，检查“重置账户锁定计算器”并将值作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\账户锁定策略\重置账户锁定计算器

20）在域服务器上，设置“关闭多播名称解析”为已禁用并将注释中的内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\管理模板\网络\DNS客户端\关闭多播名称解析

21）在域服务器上，检查Windows安全程序规则，查看所有数字签名的 Windows Installer 文件下的描述，并将描述中的内容作为flag值提交。

过程：打开本地安全策略\应用程序控制策略\AppLocker\所有数字签名的 Windows Installer 文件

22）在域服务器上，检查证书路径验证设置，并将交叉证书下载间隔的小时数值作为flag值提交。

过程：打开本地安全策略\公钥策略\证书路径验证设置\网络检索

23）在域服务器上，检查"交互式登录：计算机账户锁定阈值"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器\本地策略\安全选项\交互式登录：计算机账户锁定阈值

24）在域服务器上，检查"交互式登录：之前登录到缓存的次数(域控制器不可用时)"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器\本地策略\安全选项\交互式登录：之前登录到缓存的次数(域控制器不可用

25）在域服务器上，检查"创建的令牌对象"，并将令牌对象作为flag值提交。

过程：打开组策略管理编辑器\Windows设置\安全设置\本地策略\用户权限分配\创建一个令牌对象

26）在域服务器上，检查"阻止访问源列表"，并将阻止访问源列表内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\RSS源\阻止访问源列表

27）在域服务器上，检查"阻止创建桌面快捷方式"，并将阻止创建桌面快捷方式内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows Media Player\阻止创建桌面快捷方式

28）在域服务器上，检查"不发送额外的数据"，并将不发送额外的数据内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows 错误报告\不发送额外的数据

29）在域服务器上，检查"关闭Windows移动中心"，并将关闭Windows移动中心内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows移动中心\关闭Windows移动中心

30）在域服务器上，检查"关机期间挂起登录会话的超时时间"，并将关机期间挂起登录会话的超时时间的超时分钟数作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\关机选项\关机期间挂起登录会话的超时时间

Linux服务器基础设施设置与安全加固

31）在 Linux 服务器上，检查密码策略，将配置的当前密码的有效期限那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件，查找密码配置策略命令。

32）在 Linux 服务器上，检查密码安全策略，将连续输错10次密码帐号锁定5分钟的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件查找配置策略命令

33）在 Linux 服务器上，检查SSH 安全策略，将新修改的SSH默认端口的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/ssh/sshd_config”查看配置文件，查找端口配置命令行

34）在 Linux 服务器上，检查SSH安全策略，将控制远程访问配置中允许10段地址连接sshd远程连接的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/hosts.allow”查看配置文件，查看允许连接的IP段命令

35）在Linux服务器上，检查MySQL安全策略，将关闭MySQL远程TCP/IP连接方式的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/my.cnf“查看配置文件，查找命令

36）在Linux服务器上，检查PHP安全策略，将打开PHP安全模式的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找命令

37）在Linux服务器上，检查PHP安全策略，将控制PHP脚本只能访问的网站目录那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找配置命令。

38）在Linux服务器上，检查Apache安全策略，将禁止单个IP访问的IP地址作为flag提交。

过程：进入linux服务器，使用配置命令“vim /etc/httpd/conf/httpd.conf”，查找命令。

39）在Linux服务器上，检查Apache安全策略，将远程连接的超时时间那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“查找命令

40）在Linux服务器上，检查Apache安全策略，将Apache隐藏其版本号及其他敏感信息的那行，配置命令作为flag提交。

过程：进入Linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“，查找配置命令。