A 模块基础设施设置与安全加固

A 模块基础设施设置与安全加固

第一部分：A 模块基础设施设置与安全加固

总体要求：根据任务要求，参赛队通过综合运用登录和密码策略、数据库安

全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略，确保

系统各服务正常运行。

域服务器基础设施设置与安全加固

1）在域服务器上，检查Kerberos策略，将“服务票证最长寿命”时间值，作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置Security 设置Account PoliciesKerberos 策略服务票证最长寿命

2）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“强制密码历史”值，作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置安全设置密码策略强制密码历史

3）在域服务器上，启用远程桌面，并检查远程桌面端口号，配置防火墙策略允许该端口通过，将远程桌面端口号作为flag值提交。

过程：

1. 运行regedit.exe

2. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp目录下，修改PortNumber数值为xxxx

3. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTenninal ServerWinStationsRDP-Tcp目录下，修改PortNumber数值为xxxx

4）在域服务器上，检查 “配置Kerberos允许的加密类型”，将加密类型作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置安全设置本地策略安全选项网络安全：配置Kerberos允许的加密类型

5）在域服务器上，检查可以从网络访问此计算机的对象，仅保留管理员组，删除其余不必要的对象，将删除的对象名称首字母按从小到大排序并连接成 flag提交。

过程：打开本地管理策略本地策略用户权限分配：从网络访问此计算机

6）在域服务器上，检查开机启动脚本，将PowerShell脚本括号里面的字符(不包括中文)作为flag提交。

过程：打开本地组策略编辑器用户配置Windows设置脚本(登录/注销)登录PowerShell脚本

7）在域服务器上，为系统开启SYN洪水保护，并将相关键值及键值数据（10进制）作为flag提交。

过程：在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下找到SynAttackProtect

8）在域服务器上，设置处于SYN_RCVD状态至少已经进行一次重传的 TCP连接请求阈值为400，并将相关键值作为 flag提交。

过程：在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下找到TcpMaxHalfOpenRetried

9）在域服务器上，检查文件共享影子副本提供程序，并将允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息内的注释内容作为flag提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板系统文件共享影子副本提供程序允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息

10）在域服务器上，关闭永恒之蓝的漏洞端口，并将端口号作为flag提交。（端口号从小到大排序,号隔开）

永恒之蓝端口

11）在域服务器上，检查防火墙入站规则，并将放行的端口号按从小到大排序并连接成flag提交。

过程：打开本地安全策略高级安全Windows防火墙高级安全Windows防火墙-本地组策略对象入站规则allow协议和端口

12）在域服务器上，启用“指定 Intranet Microsoft 更新服务位置”，并将“备用下载服务器”的地址作为flag提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置策略管理模板Windows 组件Windows 更新指定 Intranet Microsoft 更新服务位置

13）在域服务器上，检查“账户锁定阈值”，并将阈值作为flag提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置策略Windows设置安全设置账户策略账户锁定策略账户锁定阈值

14）在域服务器上，关闭“主机同步服务”，并将文件名的前11个字符作为flag提交。

过程：在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUserDataSvc_4db68

15）在域服务器上，启用“日志记录仪”，并“将日志最大大小”（kb）的值作为flag提交。

过程：打开事件查看器Windows日志应用程序属性

16）在域服务器上，启用并允许自动更新，并将“支持的平台”的前6个字符的开头字符作为flag提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板Windows组件Windows更新配置自动更新

17）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码长度最小值”的值，作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置安全设置密码策略强制密码历史

18）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码最长使用期限”的值，作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置安全设置密码策略密码最长使用期限

19）在域服务器上，检查“重置账户锁定计算器”并将值作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置Windows 设置安全设置账户锁定策略重置账户锁定计算器

20）在域服务器上，设置“关闭多播名称解析”为已禁用并将注释中的内容作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置策略管理模板网络DNS客户端关闭多播名称解析

21）在域服务器上，检查Windows安全程序规则，查看所有数字签名的 Windows Installer 文件下的描述，并将描述中的内容作为flag值提交。

过程：打开本地安全策略应用程序控制策略AppLocker所有数字签名的 Windows Installer 文件

22）在域服务器上，检查证书路径验证设置，并将交叉证书下载间隔的小时数值作为flag值提交。

过程：打开本地安全策略公钥策略证书路径验证设置网络检索

23）在域服务器上，检查"交互式登录：计算机账户锁定阈值"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器本地策略安全选项交互式登录：计算机账户锁定阈值

24）在域服务器上，检查"交互式登录：之前登录到缓存的次数(域控制器不可用时)"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器本地策略安全选项交互式登录：之前登录到缓存的次数(域控制器不可用

25）在域服务器上，检查"创建的令牌对象"，并将令牌对象作为flag值提交。

过程：打开组策略管理编辑器Windows设置安全设置本地策略用户权限分配创建一个令牌对象

26）在域服务器上，检查"阻止访问源列表"，并将阻止访问源列表内的注释内容作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板：从本地计算机中检索的策略定义Windows组件RSS源阻止访问源列表

27）在域服务器上，检查"阻止创建桌面快捷方式"，并将阻止创建桌面快捷方式内的注释内容作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板：从本地计算机中检索的策略定义Windows组件Windows Media Player阻止创建桌面快捷方式

28）在域服务器上，检查"不发送额外的数据"，并将不发送额外的数据内的注释内容作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板：从本地计算机中检索的策略定义Windows组件Windows 错误报告不发送额外的数据

29）在域服务器上，检查"关闭Windows移动中心"，并将关闭Windows移动中心内的注释内容作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板：从本地计算机中检索的策略定义Windows组件Windows移动中心关闭Windows移动中心

30）在域服务器上，检查"关机期间挂起登录会话的超时时间"，并将关机期间挂起登录会话的超时时间的超时分钟数作为flag值提交。

过程：打开服务器管理器工具组策略管理林：zhenxingbei.bs域zhenxingbei.bs链接的组策略对象编辑计算机配置管理模板：从本地计算机中检索的策略定义Windows组件关机选项关机期间挂起登录会话的超时时间

Linux服务器基础设施设置与安全加固

31）在 Linux 服务器上，检查密码策略，将配置的当前密码的有效期限那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件，查找密码配置策略命令。

32）在 Linux 服务器上，检查密码安全策略，将连续输错10次密码帐号锁定5分钟的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件查找配置策略命令

33）在 Linux 服务器上，检查SSH 安全策略，将新修改的SSH默认端口的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/ssh/sshd_config”查看配置文件，查找端口配置命令行

34）在 Linux 服务器上，检查SSH安全策略，将控制远程访问配置中允许10段地址连接sshd远程连接的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/hosts.allow”查看配置文件，查看允许连接的IP段命令

35）在Linux服务器上，检查MySQL安全策略，将关闭MySQL远程TCP/IP连接方式的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/my.cnf“查看配置文件，查找命令

36）在Linux服务器上，检查PHP安全策略，将打开PHP安全模式的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找命令

37）在Linux服务器上，检查PHP安全策略，将控制PHP脚本只能访问的网站目录那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找配置命令。

38）在Linux服务器上，检查Apache安全策略，将禁止单个IP访问的IP地址作为flag提交。

过程：进入linux服务器，使用配置命令“vim /etc/httpd/conf/httpd.conf”，查找命令。

39）在Linux服务器上，检查Apache安全策略，将远程连接的超时时间那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“查找命令

40）在Linux服务器上，检查Apache安全策略，将Apache隐藏其版本号及其他敏感信息的那行，配置命令作为flag提交。

过程：进入Linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“，查找配置命令。