版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、四、实验题(10道)5-192 按照国家电网公司SG186工程信息化建设要求,公司开发建设了某应用系统,系统采用Windows2003平台提供服务,根据等级保护建设和公司信息安全要求,需要根据如下具体要求对系统进行配置和安全加固。 (1)对登录操作系统的用户进行身份标识和鉴别,操作系统管理用户身份标识具有不易被冒用的特点,口令有复杂度并定期更换,同时对系统账号进行优化,禁用不必要的账号。 (2)根据应用系统服务端口最小化原则,关闭不必要的网络端口和服务。 (3)增强日志审核,调整审核策略,调整事件日志的大小和覆盖策略。 (4)为进一步提高系统安全性,需要禁止匿名用户连接(空连接),禁止系统显示
2、上次登录的用户名,删除主机默认共享,禁止dump file的产生。 答案要点: 1 (1)本地安全设置I账户策略I密码策略,对密码策略进行设置。密码复杂性要求:启用。密码长度最小值:8字符;密码最短存留期:0天。 (2)本地安全设置I账户策略I账户锁定策略,对账户锁定策略进行设置:复位账户锁定计数器:15min。账户锁定时间:15min。账户锁定阀值:5次。 (3)更改默认管理员账号,本地安全设置I本地策略I安全选项I重命名系统管理员账号。 (4)计算机管理I系统工具I本地用户和组I用户,删除非法账号或多余账号。 2 通过开始I运行Iservicesmsc,将不必要的服务启动类型设置为手动并停
3、止,或者禁用。需要停用的服务主要有: (1)Server:网络共享与IPC$。 (2)Remote Registry:远程管理注册表,开启此服务带来一定的风险。 (3)Print Spooler:如果相应服务器没有打印机,可以关闭此服务。 (4)Alerter:远程发送警告信息。 (5)Computer Browser(计算机浏览器):维护网络上更新的计算机清单。 (6)Messenger:允许网络之间互相传送提示信息的功能,如net send。 (7)Task Scheduler:计划任务。 3 (1)本地安全设置I本地策略I审核策略,进行审核策略调整。修改安全策略为下述值: 审核策略更改
4、成功 审核登录事件 无审核 审核对象访问 成功,失败 审核过程追踪 无审核 审核目录服务访问 无审核 审核特权使用 无审核 审核系统事件 成功,失败 审核账户登录事件 成功,失败 审核账户管理 成功,失败 (2)管理工具I事件查看器,设置应用程序、安全性、系统三者的默认“最大日志文件大小”和“覆盖策略”。 应用程序、安全性、系统三者的“最大日志文件大小”调整为16384K:覆盖策略调整为“改写久于30天的事件”。 4 (1)禁止匿名用户连接,修改注册表如下键值: HKLMSYSTEMCurrentControlSetControlLsa “restrictanonymous”的值修改为“1”,
5、类型为REG DWORD。 (2)禁止系统显示上次登录的用户名,修改注册表如下键值: HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon DontDisplayLastUserName把REG SZ的键值改成1。 (3)删除主机默认共享,增加注册表键值。 HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Autoshareserver项,并设置该值为“1”。 (4)禁止dump file的产生。 控制面板I系统属性I高级I启动和故障恢复,把“写入调试信息”改成无。5-193
6、国家电网公司内部需要利用Windows Server 2003服务器再发布多个Web站点,但是只能使用一个IP和标准的80端口。多个站点的地FQDN是newssgl86com,hrsgl86com,financesgl86com。其中,hrsgl86com涉及到表单登录,需要有更强的安全防护措施。新增的三个站点必需保证互不影响,即一个站点的意外停止运行不会影响到其他站点。请配置相关的DNS和服务器。 答案要点: (1)多主机头,DNS主机记录的注册。 (2)申请证书,对hrsgl86com站点进行SSL封装。 (3)创建不同的应用程序池,并应用到不同的三个站点。5-194 如何对默认安装的Wi
7、ndowsServer2003服务器进行安全加固,以防范中c$入侵。 答案要点: (1)禁止空连接进行枚举(此操作并不能阻止空连接的建立)。 首先运行regedit,找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA 把RestrictAnonymous=DWORD的键值改为:。 0x0缺省 0x1匿名用户无法列举本机用户列表 0x2匿名用户无法连接本机IPC$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQLServer (2)禁止默认共享。 1)察看本地共享资源。 运行-cmd-输入net share 2)
8、删除各共享。 net share ipc$delete net share admin$delete net share c$delete net share d$delete(如果有e,f,可以继续删除) 3)修改注册表,删除默认共享。 运行-regedit找到如下主键HKEY LOCAL MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 把AutoShareServer(DWORD)的键值改为。 如果上面所说的主键不存在,就新建(右键单击I新建I双字节值)一个主键再改键值。 (3)停止server服务。 1)停止ser
9、ver服务。 2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务 控制面板I管理工具I服务I找到server服务(右击)I属性I常规I启动类型I已禁用 (4)安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)。 1)取消“文件和打印机共享”与网络适配器的绑定。 鼠标右键单击桌面上的网络邻居I属性I本地连接I属性,去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。 2)利用TCP/IP筛选。 鼠标右击桌面上的网络邻居I属性I本地连接I属性,打
10、开“本地连接属性”对话框。选择Internet协议(TCP/IP)I属性I高级I选项,在列表中单击选中“TCP/IP筛选”选项。单击属性按钮,选择“只允许”,再单击添加按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。 3)使用IPSec安全策略阻止对端口139和445的访问。 选择我的电脑I控制面板I管理工具I本地安全策略IIP安全策略,在本地机器,在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何
11、回应。 4)使用防火墙防范攻击。 在防火墙中也可以设置阻止其他机器使用本机共享。在个人防火墙,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击确定按钮,并在“自定义ip规则”列表中勾选此规则即可启动拦截139端口攻击了。 (5)给所有账户设置复杂密码,密码包括大写字母、小写字母、数字、特殊字符种的至少三项,长度不少于8位,防止通过ipc$穷举密码。5-195 给一台使用默认设置安装好的Linux服务器,如何配置以加强这台服务器的安全性? (再
12、明确点) 答案要点: (1)用防火墙关闭不须要的任何端口,别人PING不到服务器,威胁自然减少了一大半 防止别人ping的方法: 1)命令提示符下打。 echo 1 procsysnetipv4icmp_ignore_all 2)用防火墙禁止(或丢弃)icmp包。 iptables-AINPUT-picmp-jDROP 3)对所有用ICMP通信的包不予响应。 比如PING TRACERT (2)更改SSH端口,最好改为10000以上,别人扫描到端口的几率也会下降。 vietcsshsshd_config 将PORT改为1000以上端口。 同时,创建一个普通登录用户,并取消直接root登录。 u
13、seraddUSemanle passwdusemame vietcsshsshd_config 在最后添加如下一句: PermitRootLogin nO #取消root直接远程登录 (3)删除系统臃肿多余的账号: userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允许匿名FTP,就删掉这个用户账号groupdel adm groupde
14、l lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers (4)更改下列文件权限,使任何人没有更改账产权限: chattr +ietcpasswdchattr +ietcshadowchattr +ietcgroupchattr +ietcgshadow (5)chmod600etcxinetdconf。 (6)关闭FTP匿名用户登录。5-196 某房间墙上有1个网口,可以为MAC地址为(00-FF-E4-4C-27-8A)的设备提供(ip-mac)绑定的接入因特网服务,该IP配置信息如下: I
15、p:1021003 Netmask:2552552550 Gateway:102100254 DNS:1022001 如何配置一台天融信防火墙NGFW4000,使得某个网段(1921680124)的机器能通过此网口接入因特网? 答案要点: (1)在此防火墙上定义两个网口,分别命名为Internet口和Trust口。 (2)为Internet口修改MAC地址为00-FF-E4-4C-27-8A,同时设定下一条路由为102100254。 (3)在防火墙NAT设置里添加地址转换规则,在其中单击高级选项,在源中选择TRUST,目的中选择INTERNET。5-197 如何使用一台双网卡的Linux服务器
16、实现NAT功能? 答案要点: (1)设网卡。 外网网卡 DEVICE=eth0 IPADDR=(外网IP) NETMASK=2552552550 GATEWAY=(外网网关) dns服务器设置 DEVICE=eth1 IPADDR=(内网IP) NETMASK:2552552550 (2)打开内核数据包转发功能:echo “1” procsysnetipv4ip_forward。 (3)防火墙设置数据包转发伪装:iptables -t nat -A POSTROUTING -s 1921680024 -oeth1 -i SNAT -to-source(外网IP)。5-198 现在某单位机房内需
17、新上线一台信息外网Web服务器对公众提供Web访问服务,服务端口为80,该服务器IP为102100100,该服务器接在防火墙的DMZ区,对外服务映射公网IP为2101761102。如何配置防火墙,使得防火墙INTERNET区(连接Internet)和TRUST区(单位内用户)可以正常访问该服务器,同时服务器还能自动访问微软站点进行安全升级? 答案要点: (1)在防火墙Internet区进行NAT映射,将102100100映射为2101761102; (2)开通防火墙Internet区Any用户到DMZ区102100100 80端口的访问策略; (3)开通防火墙TRUST区Any用户到DMZ区1
18、02100100 80端口的访问策略: (4)开通防火墙DMZ区102100100到微软站点80端口的访问策略,同时设置源地址转换。5-199 现有一台防火墙、一台IDS、两台PC、一台交换机,若干网线,请搭建环境演示在利用一台PC对另外一台PC发动入侵攻击时,如何通过IDS和防火墙的联动来在防火墙上对攻击PC的p进行封堵。 答案要点: (1)网络配置要点: 1)防火墙上设置Untmst口和Trust口,攻击机器接入Untrust口,被攻击机器和IDS通过交换机接入Trust口。 2)在交换机上进行端口镜像,将被攻击机器所接端口流量镜像到IDS接入端口上。 (2)攻击演示要点: 1)在攻击机器上对被攻击机进行扫描探测。 2)观察IDS日志,记录攻击ip并截屏。 3)在防火墙上对攻击IP进行封堵。5-200 现有一台IPS、两台PC、若干网线,请搭建环境演示在利用一台PC对另外一台PC发动一种特定规则包入侵攻击时,如何通过被攻击机上的抓包软件进行数据包分析,并通过在IPS上设置相应的阻断规则来阻止相应的攻击。 答案要点: (1)搭建网络环境,两台笔记本分别接入IPS两个端口,并作相
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 农村简易房屋购买合同范本
- 展柜销售合同范本
- 业务配送合同范本
- 拍摄基地租赁合同范本
- 乒乓球桌子购买合同范本
- 库房施工合同范本
- 金融机构高层会议管理制度
- 奖学金评定协议书
- 绿化维护人员培训制度
- 2024至2030年金樽干红葡萄酒项目投资价值分析报告
- 山东省济南市第一中学2024-2025学年高一化学上学期期中试题
- 幼儿园中班:方爷爷和圆奶奶
- DB31∕T 1481-2024 儿童青少年裸眼视力和屈光度评价规范
- 教师资格考试《小学信息技术专业面试》真题汇编十
- 《荔枝》幼儿园小学少儿美术教育绘画课件创意教程教案模板
- 全过程工程咨询投标方案(技术方案)
- 小学英语作文范文30篇(完整版)
- 《太阳爱吃冰淇淋》
- 公务员(国考)之行政职业能力测验模拟考试试卷B卷含答案
- 业主退房申请书
- 幼儿园小班科学:《冬天真冷》 课件
评论
0/150
提交评论