域伺服器基礎設施設定與安全加固

第一部分：A 模組基礎設施設定與安全加固

總體要求：根據任務要求，參賽隊透過綜合運用登入和密碼策略、資料庫安

全策略、流量完整性保護策略、事件監控策略、防火牆策略等多種安全策略，確保

系統各服務正常執行。

域伺服器基礎設施設定與安全加固

1）在域伺服器上，檢查Kerberos策略，將“服務票證最長壽命”時間值，作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\Security 設定\Account Policies\Kerberos 策略\服務票證最長壽命

2）在域伺服器上，檢查密碼策略，啟用“密碼必須符合複雜性要求”將“強制密碼歷史”值，作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\強制密碼歷史

3）在域伺服器上，啟用遠端桌面，並檢查遠端桌面埠號，配置防火牆策略允許該埠透過，將遠端桌面埠號作為flag值提交。

過程：

1. 執行regedit.exe

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目錄下，修改PortNumber數值為xxxx

3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目錄下，修改PortNumber數值為xxxx

4）在域伺服器上，檢查 “配置Kerberos允許的加密型別”，將加密型別作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\本地策略\安全選項\網路安全：配置Kerberos允許的加密型別

5）在域伺服器上，檢查可以從網路訪問此計算機的物件，僅保留管理員組，刪除其餘不必要的物件，將刪除的物件名稱首字母按從小到大排序並連線成 flag提交。

過程：開啟本地管理策略\本地策略\使用者許可權分配：從網路訪問此計算機

6）在域伺服器上，檢查開機啟動指令碼，將PowerShell指令碼括號裡面的字元(不包括中文)作為flag提交。

過程：開啟本地組策略編輯器\使用者配置\Windows設定\指令碼(登入/登出)\登入\PowerShell指令碼\

7）在域伺服器上，為系統開啟SYN洪水保護，並將相關鍵值及鍵值資料（10進位制）作為flag提交。

過程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到SynAttackProtect

8）在域伺服器上，設定處於SYN_RCVD狀態至少已經進行一次重傳的 TCP連線請求閾值為400，並將相關鍵值作為 flag提交。

過程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到TcpMaxHalfOpenRetried

9）在域伺服器上，檢查檔案共享影子副本提供程式，並將允許或禁止透過加密來保護在檔案共享影子副本提供程式(在應用程式伺服器上執行)和檔案共享影子副本代理(在檔案伺服器上執行)之間傳遞的RPC協議訊息內的註釋內容作為flag提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板\系統\檔案共享影子副本提供程式\允許或禁止透過加密來保護在檔案共享影子副本提供程式(在應用程式伺服器上執行)和檔案共享影子副本代理(在檔案伺服器上執行)之間傳遞的RPC協議訊息

10）在域伺服器上，關閉永恆之藍的漏洞埠，並將埠號作為flag提交。（埠號從小到大排序,號隔開）

永恆之藍埠

11）在域伺服器上，檢查防火牆入站規則，並將放行的埠號按從小到大排序並連線成flag提交。

過程：開啟本地安全策略\高階安全Windows防火牆\高階安全Windows防火牆-本地組策略物件\入站規則\allow\協議和埠

12）在域伺服器上，啟用“指定 Intranet Microsoft 更新服務位置”，並將“備用下載伺服器”的地址作為flag提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\管理模板\Windows 元件\Windows 更新\指定 Intranet Microsoft 更新服務位置

13）在域伺服器上，檢查“賬戶鎖定閾值”，並將閾值作為flag提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\Windows設定\安全設定\賬戶策略\賬戶鎖定策略\賬戶鎖定閾值

14）在域伺服器上，關閉“主機同步服務”，並將檔名的前11個字元作為flag提交。

過程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_4db68

15）在域伺服器上，啟用“日誌記錄儀”，並“將日誌最大大小”（kb）的值作為flag提交。

過程：開啟事件檢視器\Windows日誌\應用程式屬性

16）在域伺服器上，啟用並允許自動更新，並將“支援的平臺”的前6個字元的開頭字元作為flag提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板\Windows元件\Windows更新\配置自動更新

17）在域伺服器上，檢查密碼策略，啟用“密碼必須符合複雜性要求”將“密碼長度最小值”的值，作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\強制密碼歷史

18）在域伺服器上，檢查密碼策略，啟用“密碼必須符合複雜性要求”將“密碼最長使用期限”的值，作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\密碼最長使用期限

19）在域伺服器上，檢查“重置賬戶鎖定計算器”並將值作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\賬戶鎖定策略\重置賬戶鎖定計算器

20）在域伺服器上，設定“關閉多播名稱解析”為已禁用並將註釋中的內容作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\管理模板\網路\DNS客戶端\關閉多播名稱解析

21）在域伺服器上，檢查Windows安全程式規則，檢視所有數字簽名的 Windows Installer 檔案下的描述，並將描述中的內容作為flag值提交。

過程：開啟本地安全策略\應用程式控制策略\AppLocker\所有數字簽名的 Windows Installer 檔案

22）在域伺服器上，檢查證照路徑驗證設定，並將交叉證照下載間隔的小時數值作為flag值提交。

過程：開啟本地安全策略\公鑰策略\證照路徑驗證設定\網路檢索

23）在域伺服器上，檢查"互動式登入：計算機賬戶鎖定閾值"，並將引數的數值作為flag值提交。

過程：開啟組策略管理編輯器\本地策略\安全選項\互動式登入：計算機賬戶鎖定閾值

24）在域伺服器上，檢查"互動式登入：之前登入到快取的次數(域控制器不可用時)"，並將引數的數值作為flag值提交。

過程：開啟組策略管理編輯器\本地策略\安全選項\互動式登入：之前登入到快取的次數(域控制器不可用

25）在域伺服器上，檢查"建立的令牌物件"，並將令牌物件作為flag值提交。

過程：開啟組策略管理編輯器\Windows設定\安全設定\本地策略\使用者許可權分配\建立一個令牌物件

26）在域伺服器上，檢查"阻止訪問源列表"，並將阻止訪問源列表內的註釋內容作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板：從本地計算機中檢索的策略定義\Windows元件\RSS源\阻止訪問源列表

27）在域伺服器上，檢查"阻止建立桌面快捷方式"，並將阻止建立桌面快捷方式內的註釋內容作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板：從本地計算機中檢索的策略定義\Windows元件\Windows Media Player\阻止建立桌面快捷方式

28）在域伺服器上，檢查"不傳送額外的資料"，並將不傳送額外的資料內的註釋內容作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板：從本地計算機中檢索的策略定義\Windows元件\Windows 錯誤報告\不傳送額外的資料

29）在域伺服器上，檢查"關閉Windows移動中心"，並將關閉Windows移動中心內的註釋內容作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板：從本地計算機中檢索的策略定義\Windows元件\Windows移動中心\關閉Windows移動中心

30）在域伺服器上，檢查"關機期間掛起登入會話的超時時間"，並將關機期間掛起登入會話的超時時間的超時分鐘數作為flag值提交。

過程：開啟伺服器管理器\工具\組策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板：從本地計算機中檢索的策略定義\Windows元件\關機選項\關機期間掛起登入會話的超時時間

Linux伺服器基礎設施設定與安全加固

31）在 Linux 伺服器上，檢查密碼策略，將配置的當前密碼的有效期限那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令“vi /etc/pam.d/system-auth”檢視配置檔案，查詢密碼配置策略命令。

32）在 Linux 伺服器上，檢查密碼安全策略，將連續輸錯10次密碼帳號鎖定5分鐘的那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令“vi /etc/pam.d/system-auth”檢視配置檔案查詢配置策略命令

33）在 Linux 伺服器上，檢查SSH 安全策略，將新修改的SSH預設埠的那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令“vi /etc/ssh/sshd_config”檢視配置檔案，查詢埠配置命令列

34）在 Linux 伺服器上，檢查SSH安全策略，將控制遠端訪問配置中允許10段地址連線sshd遠端連線的那行，配置命令作為flag提交。

過程：開啟linux伺服器，使用命令“vi /etc/hosts.allow”檢視配置檔案，檢視允許連線的IP段命令

35）在Linux伺服器上，檢查MySQL安全策略，將關閉MySQL遠端TCP/IP連線方式的那行，配置命令作為flag提交。

過程：開啟linux伺服器，使用命令“vi /etc/my.cnf“檢視配置檔案，查詢命令

36）在Linux伺服器上，檢查PHP安全策略，將開啟PHP安全模式的那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令”vim /etc/php.ini“檢視配置檔案，查詢命令

37）在Linux伺服器上，檢查PHP安全策略，將控制PHP指令碼只能訪問的網站目錄那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令”vim /etc/php.ini“檢視配置檔案，查詢配置命令。

38）在Linux伺服器上，檢查Apache安全策略，將禁止單個IP訪問的IP地址作為flag提交。

過程：進入linux伺服器，使用配置命令“vim /etc/httpd/conf/httpd.conf”，查詢命令。

39）在Linux伺服器上，檢查Apache安全策略，將遠端連線的超時時間那行，配置命令作為flag提交。

過程：進入linux伺服器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“查詢命令

40）在Linux伺服器上，檢查Apache安全策略，將Apache隱藏其版本號及其他敏感資訊的那行，配置命令作為flag提交。

過程：進入Linux伺服器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“，查詢配置命令