2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-A模块A-1登录安全加固

最新推荐文章于 2024-08-09 09:21:14 发布
最新推荐文章于 2024-08-09 09:21:14 发布
阅读量326 收藏 2
点赞数 4
分类专栏: 省技能大赛模块  文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73252299/article/details/133196998
版权

前言

        大家好,在本章节中,我会模拟操作一次A卷的A-1模块,后面的模块我会在下几篇文章给大家逐一展示,这篇文章算是留给下几届学弟学妹们的学习资料,还望学弟 学妹们好好学习,壮大我们网络安全的基础!

竞赛阶段概览图

安全加固相关概念阐述

安全加固定义

          安全加固和优化是实现信息系统安全的关键环节。通过安全加固,将在信息系统的网络层、主机层、软件层、应用层等层次建立符合安全需求的安全状态,并以此作为保证客户信息系统安全的起点。

         安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,通过打补丁、强化帐号安全、加固服务、修改安全配置、优化访问控制策 略、增加安全机制等方法,堵塞漏洞及“后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,提升系统安全防范水平。

为什么需要安全加固

应用系统运行所需的软硬件,往往存在以下安全问题:

  1. 安装、配置不符合安全需求
  2. 参数配置错误
  3. 使用、维护不符合安全需求
  4. 系统完整性被破坏
  5. 被注入木马程序
  6. 帐户/口令问题
  7. 安全漏洞没有及时修补
  8. 应用服务和应用程序滥用
  9. 应用程序开发存在安全问题

安全加固内容

  1. 正确的安装
  2. 安装最新和全部OS和应用软件的安全补丁
  3. 操作系统、系统软件、应用软件的安全配置
  4. 系统安全风险防范
  5. 提供系统使用和维护建议
  6. 系统功能测试
  7. 系统安全风险测试
  8. 系统完整性备份
  9. 必要时重建系统等

安全加固原则

明确加固目标的结果必须能够明确做加固和优化的系统如何在功能性与安全性之间寻求平衡。

  • 修补加固内容不能影响目标系统所承载的业务运行
  • 修补加固不能严重影响目标系统的自身性能
  • 修补加固操作不能影响与目标系统以及与之相连的其它系统的安全性, 也不能造成性能的明显下降

A-1登录安全加固-赛方给定加固方案

我们已经大概了解了为什么要进行安全加固,现在我们进入实际操作,我们按照比赛给定的加固规则来进行:

实战操作

请对服务器 Web 按要求进行相应的设置,提高服务器的安全性。

被加固服务器:Windows server 2008 R2

1.密码策略(Web)

a.最小密码长度不少于 8 个字符,将密码长度最小值的属性配置界面截图;

b.密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图。

a、最小密码长度

        我们进入本地安全策略-安全设置-账户策略-密码策略-双击密码长度最小值

密码必须是   个字符”这个框中,输入8,确定即可。

截图:

b、密码策略

       密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图。

      在同组策略下,双击密码必须符合复杂性要求策略项、设置已启用,确定即可。

截图:

2.登录策略(Web)

a.For authorized users only”提示信息

        在用户登录系统时,应该有“For authorized users only”提示信息,将登录系统时系统弹出警告信息窗口截图;

我们进入本地安全策略-安全设置-本地策略-安全选项

找到   交互式登录:试图登录的用户的消息文本

输入“For authorized users only”

确定即可:

    找到    交互式登录:试图登录的用户的消息标题

设置完成,注销截图提交即可:

b.账户锁定策略

            一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定1 分钟,将账户锁定策略配置界面截图;

(注意,超过五次锁定,所以这里锁定阈值应为6 次,截图中若为 5 次则不计分)

(注意,超过五次锁定,所以这里锁定阈值应为6 次,截图中若为 5 次则不计分)

我们进入 本地安全策略-安全设置-账户策略-账户锁定策略

设置账户锁定阈值为6次无效登录,确定即可

设置账户锁定时间为1分钟,确定即可

c.远程访问安全策略

      远程用户非活动会话连接超时应小于等于 5分钟,将 RDP-Tcp 属性对应的配置界面截图。

 开始—运行,输入tsconfig.msc,打开远程桌面主机会话配置右键RDP-Tcp属性

点击会话界面,空闲会话限制改为5分钟

3.用户安全管理(Web)

a.安全性 SSL 加固

        对服务器进行远程管理安全性 SSL 加固,防止敏感信息泄露被监听,将RDP-Tcp 属性对应的配置界面截图;

    开始—运行,输入tsconfig.msc,打开远程桌面主机会话配置右键RDP-Tcp属性

点击常规界面,安全性选择“SSL(TLS 1.0)”,下方加密级别选择“

b.关闭系统

     仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。

我们进入  本地安全策略-安全设置-本地策略-用户权限分配-找到关闭系统,双击

只保留系统超级管理员用户 Administrator 、确定即可

结尾

        好了,到这里,A-1模块就算完成了,本章节到此结束,如果大家有疑点或更优的方案可以在评论区留言,我会继续做改进的,也会和大家一起进步!感谢大家的支持!!

孪生质数-希灵Sec
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志析解析(高职
Aluxian_的博客
02-16 4678
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表指定的设备和软件完成。评方案本项目模块数为350
2022全国职业院校技能大赛高职“信息安全管理与评估”赛项-1
05-08
该过程主要包括对网络进行漏洞扫描、安全策略析、安全防护措施评估、安全测试、安全审计等工作,以识别网络存在的安全漏洞和威胁,并提出相应的安全解决方案和建议,从而保证网络的正常运行和信息的安全性。...
2024 甘肃职业院校技能大赛 电子与信息类“网络安全赛项竞赛样题-B
旺仔Sec&blog
12-04 458
2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的。3.靶机服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相。5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程。2.堡垒服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的。3.堡垒服务器上的网站可能存在文件上传漏洞,要求选手找到文件上传的相。5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程。假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求。
2021 全国职业院校技能大赛(网络安全竞赛 A 模块标准
qqqwww_sssd的博客
06-20 2289
A-1 任务一 登录安全加固Windows, Linux)请对服务器 Windows、Linux 按要求进行相应的设置,提高服务器的安全性。1.密码策略(Windows, Linux)a1. 密码策略必须同时满足大小写字母、数字、特殊字符(Windows),将密码必须符合复杂性要求的属性配置界面截图:a2.密码策略必须同时满足大小写字母、数字、特殊字符(Linux),将/etc/pam.d/system-auth 配置文件对应的部截图: b1.最小密码长度不少于 8 个字符(Windows),将密码长
2022网络安全国赛A模块解析第二套
qq_57147160的博客
04-14 1153
2022全国职业院校技能大赛(网络安全竞赛试题 (2) (总100) 赛题说明 一、竞赛项目简介 “网络安全竞赛A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和值权重见表1。 表1 竞赛时间安排与值权重 模块编号 模块名.
2021山东职业院校技能大赛网络安全“正式赛题
旺仔Sec&blog
07-20 3454
模块 A 基础设施设置与安全加固一、服务器环境说明 Windows server 2008 系统:用户名 administrator,密码123456Linux 系统:用户名 root,密码 123456二、说明: 1.所有截图要求截图界面、字体清晰,并粘贴于相应题目要求的位置;2.文件名命名及保存:网络安全模块 A-XX(XX 为工位号),PDF格式保存;3.文件保存到 U 盘提交。三、具体任务(每个任务得电子答题卡为准)
2021职“网络安全“江西赛题—A模块解析
weixin_57060854的博客
05-19 1万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 2021职"网络安全"江西赛题—A模块解析学习交流A模块基础设施设置/安全加固(200)A-1:登录安全加固1.密码策略(web)2.登录策略(web)3.用户安全管理(web)A-2:Web安全加固(Web)A-3:流量完整性保护与事件监控(Web,Log)A-4:防火墙策略A-5:Windows操作系统安全配置A-6:Linux操作系统安全配置 学习交流 学习交流,或者遇到不会的可以+微信:wxid_8lz3hu0gcp6m2.
优质资料(2021-2022收藏)山西2015高职计算机网络应用大赛赛项规程23223.doc
11-28
【山西2015高职计算机网络应用大赛】是2015山西第九届职业院校技能大赛的一个重要赛项,旨在考察高职学生的计算机网络建设和管理能力。大赛主要包含两个子项目:新一代数据心网络建和网络综合布线。 **...
网络管理-信息化-高职A学院学生信息化管理问题析及解决方案.pdf
07-10
高职A学院的学生信息化管理问题析及解决方案主要集在教育信息化的背景下,针对高校管理信息化的重要性展开讨论。教育信息化是推动整个教育改革和现代化的关键,其,学校管理信息化扮演着至关重要的角色。在...
2022甘肃职业院校技能大赛高职网络系统管理-网络构建-试卷.pdf
03-10
1. 竞赛时间:本模块比赛时间为 3 小时,请合理竞赛时间。 2. 硬件、软件和辅助工具:竞赛所需的硬件、软件和辅助工具由委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。 3...
全国职业院校技能大赛职网络空间安全-2022郑州市A阶段赛题
y的博客
10-05 5073
全国职业院校技能大赛职网络空间安全-2022郑州市A阶段赛题
网络安全比赛A模块任务书
御七彩虹猫
10-20 5923
前言这是作者这几个月来的第一更新文章,问就是太忙了,最近要去参加国赛,在此重新回来写文章,也不知道能写多久,就当练习了。
2024江西“网络空间安全赛项模块A解析_殊字符,最小密码长度不少于 8 个字符,密码最长使用期限为 15 天,将该 设置界面截(3)
2401_84253894的博客
04-28 589
7.开启IIS的日志审计记录,日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、服务器端口、方法,将W3C日志记录字段的配置界面截图;3.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法),将W3C日志记录字段的配置界面截图;3.配置Splunk接收Web服务器,安全日志,系统日志,CPU负载,内存,磁盘空间,网络状态。b.一分钟内仅允许5登录失败尝试超过5登录帐号锁定1,将账户锁定策略配置界面截图;
域名安全详解
TechEnthusiast的博客
08-06 151
域名安全网络安全的重要成部,涉及多个方面。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 842
虽然目前光子计数技术仍在开发的过程,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多的历史,例如在专业助听器的产品化落地,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 1107
本文介绍下在应急响应过程,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
最新发布
薛定谔嘚喵博客
08-09 464
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
自学黑客(网络安全
热门推荐
2301_77160226的博客
08-05 1万+
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
Linux系统下的容器安全:原理、风险与防范措施
ddcajdkdl的博客
08-07 391
Linux命名空间为容器提供了独立的视图,包括PID、网络、UTS、IPC和mount命名空间,确保容器内的进程、网络配置、主机名、Inter-Process Communication和文件系统与宿主机隔离。Linux系统下的容器安全是一个至关重要的议题,涉及到容器的隔离性、网络访问控制、镜像安全、以及运行时保护等多个方面。通过cgroups,可以限制、记录和隔离容器使用的物理资源,如CPU、内存、I/O等,防止容器资源滥用影响宿主机或其它容器的稳定性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孪生质数-希灵Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值