域伺服器基礎設施設定與安全加固
第一部分:A 模組基礎設施設定與安全加固
總體要求:根據任務要求,參賽隊透過綜合運用登入和密碼策略、資料庫安
全策略、流量完整性保護策略、事件監控策略、防火牆策略等多種安全策略,確保
系統各服務正常執行。
域伺服器基礎設施設定與安全加固
1)在域伺服器上,檢查Kerberos策略,將“服務票證最長壽命”時間值,作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\Security 設定\Account Policies\Kerberos 策略\服務票證最長壽命
2)在域伺服器上,檢查密碼策略,啟用“密碼必須符合複雜性要求”將“強制密碼歷史”值,作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\強制密碼歷史
3)在域伺服器上,啟用遠端桌面,並檢查遠端桌面埠號,配置防火牆策略允許該埠透過,將遠端桌面埠號作為flag值提交。
過程:
1. 執行regedit.exe
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目錄下,修改PortNumber數值為xxxx
3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目錄下,修改PortNumber數值為xxxx
4)在域伺服器上,檢查 “配置Kerberos允許的加密型別”,將加密型別作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\本地策略\安全選項\網路安全:配置Kerberos允許的加密型別
5)在域伺服器上,檢查可以從網路訪問此計算機的物件,僅保留管理員組,刪除其餘不必要的物件,將刪除的物件名稱首字母按從小到大排序並連線成 flag提交。
過程:開啟本地管理策略\本地策略\使用者許可權分配:從網路訪問此計算機
6)在域伺服器上,檢查開機啟動指令碼,將PowerShell指令碼括號裡面的字元(不包括中文)作為flag提交。
過程:開啟本地組策略編輯器\使用者配置\Windows設定\指令碼(登入/登出)\登入\PowerShell指令碼\
7)在域伺服器上,為系統開啟SYN洪水保護,並將相關鍵值及鍵值資料(10進位制)作為flag提交。
過程:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到SynAttackProtect
8)在域伺服器上,設定處於SYN_RCVD狀態至少已經進行一次重傳的 TCP連線請求閾值為400,並將相關鍵值作為 flag提交。
過程:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到TcpMaxHalfOpenRetried
9)在域伺服器上,檢查檔案共享影子副本提供程式,並將允許或禁止透過加密來保護在檔案共享影子副本提供程式(在應用程式伺服器上執行)和檔案共享影子副本代理(在檔案伺服器上執行)之間傳遞的RPC協議訊息內的註釋內容作為flag提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板\系統\檔案共享影子副本提供程式\允許或禁止透過加密來保護在檔案共享影子副本提供程式(在應用程式伺服器上執行)和檔案共享影子副本代理(在檔案伺服器上執行)之間傳遞的RPC協議訊息
10)在域伺服器上,關閉永恆之藍的漏洞埠,並將埠號作為flag提交。(埠號從小到大排序,號隔開)
永恆之藍埠
11)在域伺服器上,檢查防火牆入站規則,並將放行的埠號按從小到大排序並連線成flag提交。
過程:開啟本地安全策略\高階安全Windows防火牆\高階安全Windows防火牆-本地組策略物件\入站規則\allow\協議和埠
12)在域伺服器上,啟用“指定 Intranet Microsoft 更新服務位置”,並將“備用下載伺服器”的地址作為flag提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\管理模板\Windows 元件\Windows 更新\指定 Intranet Microsoft 更新服務位置
13)在域伺服器上,檢查“賬戶鎖定閾值”,並將閾值作為flag提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\Windows設定\安全設定\賬戶策略\賬戶鎖定策略\賬戶鎖定閾值
14)在域伺服器上,關閉“主機同步服務”,並將檔名的前11個字元作為flag提交。
過程:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_4db68
15)在域伺服器上,啟用“日誌記錄儀”,並“將日誌最大大小”(kb)的值作為flag提交。
過程:開啟事件檢視器\Windows日誌\應用程式屬性
16)在域伺服器上,啟用並允許自動更新,並將“支援的平臺”的前6個字元的開頭字元作為flag提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板\Windows元件\Windows更新\配置自動更新
17)在域伺服器上,檢查密碼策略,啟用“密碼必須符合複雜性要求”將“密碼長度最小值”的值,作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\強制密碼歷史
18)在域伺服器上,檢查密碼策略,啟用“密碼必須符合複雜性要求”將“密碼最長使用期限”的值,作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\密碼策略\密碼最長使用期限
19)在域伺服器上,檢查“重置賬戶鎖定計算器”並將值作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\Windows 設定\安全設定\賬戶鎖定策略\重置賬戶鎖定計算器
20)在域伺服器上,設定“關閉多播名稱解析”為已禁用並將註釋中的內容作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\策略\管理模板\網路\DNS客戶端\關閉多播名稱解析
21)在域伺服器上,檢查Windows安全程式規則,檢視所有數字簽名的 Windows Installer 檔案下的描述,並將描述中的內容作為flag值提交。
過程:開啟本地安全策略\應用程式控制策略\AppLocker\所有數字簽名的 Windows Installer 檔案
22)在域伺服器上,檢查證照路徑驗證設定,並將交叉證照下載間隔的小時數值作為flag值提交。
過程:開啟本地安全策略\公鑰策略\證照路徑驗證設定\網路檢索
23)在域伺服器上,檢查"互動式登入:計算機賬戶鎖定閾值",並將引數的數值作為flag值提交。
過程:開啟組策略管理編輯器\本地策略\安全選項\互動式登入:計算機賬戶鎖定閾值
24)在域伺服器上,檢查"互動式登入:之前登入到快取的次數(域控制器不可用時)",並將引數的數值作為flag值提交。
過程:開啟組策略管理編輯器\本地策略\安全選項\互動式登入:之前登入到快取的次數(域控制器不可用
25)在域伺服器上,檢查"建立的令牌物件",並將令牌物件作為flag值提交。
過程:開啟組策略管理編輯器\Windows設定\安全設定\本地策略\使用者許可權分配\建立一個令牌物件
26)在域伺服器上,檢查"阻止訪問源列表",並將阻止訪問源列表內的註釋內容作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板:從本地計算機中檢索的策略定義\Windows元件\RSS源\阻止訪問源列表
27)在域伺服器上,檢查"阻止建立桌面快捷方式",並將阻止建立桌面快捷方式內的註釋內容作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板:從本地計算機中檢索的策略定義\Windows元件\Windows Media Player\阻止建立桌面快捷方式
28)在域伺服器上,檢查"不傳送額外的資料",並將不傳送額外的資料內的註釋內容作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板:從本地計算機中檢索的策略定義\Windows元件\Windows 錯誤報告\不傳送額外的資料
29)在域伺服器上,檢查"關閉Windows移動中心",並將關閉Windows移動中心內的註釋內容作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板:從本地計算機中檢索的策略定義\Windows元件\Windows移動中心\關閉Windows移動中心
30)在域伺服器上,檢查"關機期間掛起登入會話的超時時間",並將關機期間掛起登入會話的超時時間的超時分鐘數作為flag值提交。
過程:開啟伺服器管理器\工具\組策略管理\林:zhenxingbei.bs\域\zhenxingbei.bs\連結的組策略物件\編輯\計算機配置\管理模板:從本地計算機中檢索的策略定義\Windows元件\關機選項\關機期間掛起登入會話的超時時間
Linux伺服器基礎設施設定與安全加固
31)在 Linux 伺服器上,檢查密碼策略,將配置的當前密碼的有效期限那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令“vi /etc/pam.d/system-auth”檢視配置檔案,查詢密碼配置策略命令。
32)在 Linux 伺服器上,檢查密碼安全策略,將連續輸錯10次密碼帳號鎖定5分鐘的那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令“vi /etc/pam.d/system-auth”檢視配置檔案查詢配置策略命令
33)在 Linux 伺服器上,檢查SSH 安全策略,將新修改的SSH預設埠的那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令“vi /etc/ssh/sshd_config”檢視配置檔案,查詢埠配置命令列
34)在 Linux 伺服器上,檢查SSH安全策略,將控制遠端訪問配置中允許10段地址連線sshd遠端連線的那行,配置命令作為flag提交。
過程:開啟linux伺服器,使用命令“vi /etc/hosts.allow”檢視配置檔案,檢視允許連線的IP段命令
35)在Linux伺服器上,檢查MySQL安全策略,將關閉MySQL遠端TCP/IP連線方式的那行,配置命令作為flag提交。
過程:開啟linux伺服器,使用命令“vi /etc/my.cnf“檢視配置檔案,查詢命令
36)在Linux伺服器上,檢查PHP安全策略,將開啟PHP安全模式的那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令”vim /etc/php.ini“檢視配置檔案,查詢命令
37)在Linux伺服器上,檢查PHP安全策略,將控制PHP指令碼只能訪問的網站目錄那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令”vim /etc/php.ini“檢視配置檔案,查詢配置命令。
38)在Linux伺服器上,檢查Apache安全策略,將禁止單個IP訪問的IP地址作為flag提交。
過程:進入linux伺服器,使用配置命令“vim /etc/httpd/conf/httpd.conf”,查詢命令。
39)在Linux伺服器上,檢查Apache安全策略,將遠端連線的超時時間那行,配置命令作為flag提交。
過程:進入linux伺服器,使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“查詢命令
40)在Linux伺服器上,檢查Apache安全策略,將Apache隱藏其版本號及其他敏感資訊的那行,配置命令作為flag提交。
過程:進入Linux伺服器,使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“,查詢配置命令
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31395138/viewspace-2865286/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- PbootCMS模板安全設定與加固方法boot
- Uber如何安全保護Kafka基礎設施?Kafka
- 雲伺服器簡單基礎的DEDECMS安全設定伺服器
- Arch Street Capital Advisors進軍基礎設施領域API
- 即時基礎設施:以業務速度發展的基礎設施
- 從智慧城市建設,看如何構建智慧安全基礎設施?
- 讀軟體開發安全之道:概念、設計與實施01基礎
- 人工智慧定義的 IT 基礎設施淺析人工智慧
- 個人伺服器基礎設施架構簡介伺服器架構
- centos基礎設定CentOS
- Pycharm 基礎設定PyCharm
- 解讀雲原生基礎設施
- Terraform: 基礎設施即程式碼ORM
- CentOS 伺服器安全設定CentOS伺服器
- 以安全中臺為核心,構建關鍵基礎設施安全運營
- IDC釋出:4Q18雲IT基礎設施收入低於傳統IT基礎設施收入
- canvas動畫教程-2 基礎設施Canvas動畫
- Coinbase如何改造基礎設施中Kafka?Kafka
- 關鍵基礎設施面臨的安全問題是什麼?
- 《關鍵資訊基礎設施安全保護要求》解讀(上篇)
- GNU/Linux安全基線與加固-0.1Linux
- 綠盟智慧水利安全解決方案,護航水利基礎設施安全執行
- 資料中心基礎設施高可用提升研究與實踐
- PHP 基礎 - Mac 下的安裝與設定PHPMac
- 伺服器的安全設定方法伺服器
- 伺服器安全必備:設定VPS安全伺服器
- 解讀“2020有線和無線區域網基礎設施”魔力象限
- 正式實施!《關鍵資訊基礎設施安全保護條例》重點解讀
- 關鍵基礎設施網路安全建議—使用視訊會議
- 如何使用 CloudSploit 識別和管理雲基礎設施的安全風險Cloud
- 城市基礎設施數字化管理:打造安全、智慧的城市生命線
- 網際網路後端基礎設施後端
- Flutter系列:3.APP基礎設施搭建FlutterAPP
- Pyinfra:使用Python自動化基礎設施Python
- RPKI-資源公鑰基礎設施
- Terraform入門 – 4. destroy 基礎設施ORM
- 什麼是基礎設施專案管理?專案管理
- 全球 IT 基礎設施市場:雲、企業