2021年职业院校网络安全技能大赛试题A

2021年职业院校网络安全技能大赛试题

基础设施设置与安全加固部分

假定你是某企业的网络安全工程师，对于企业的服务器系

统，根据任务要求确保各服务正常运行，并通过综合运用登录

和密码策略、数据库安全策略、流量完整性保护策略、事件监

控策略、防火墙策略等多种安全策略来提升服务器系统的网络

安全防御能力。本模块要求对具体任务的操作截图并加以相

应的文字说明，以word文档的形式书写，以PDF格式保存，以

赛位号作为文件名.

二、服务器环境说明

Windows用户名：administrator,密码：123456

Linux用户名：root,密码：123456

三、具体任务(每个任务得分以电子答题卡为准)

#A-1任务一登录安全加固(Windows,Linux)

请对服务器Windows.Linux按要求进行相应的设置，提高

服务器的安全性。

1.密码策略(Windows,Linux)

a.最小密码长度不少于16个字符。

Windows：管理工具-本地安全策略-账户策略-密码策略，设置

密码长度即可

Linux：

修改/etc/login.defs文件PASS_MINLEN字段参数

2.登录策略(Windows,Linux)

a.在用户登录系统时，应该有^Forauthorizedusersonlyn

提示信息；

Linux：修改/etc/issue文件添加本地登录欢迎语

修改/etc/ssh/sshd_config文件添加Banner

/etc/ssh/banner,在ssh目录下新建一个文件Banner,内

容写欢迎语。

Windows：本地安全策略-本地策略-安全选项，“交换式登

录：试图登录的用户的消息标题属性”修改欢迎语。

b.远程用户非活动会话连接超时应小于等于5分钟。

Linux：修改/etc/ssh/sshdconfig文件，设置

ClientAlivelnterval和ClientAliveCountMax参数

Windows：管理工具-远程桌面服务-远程桌面会话主机设置，

RDP-Tcp属性，在会话中修改。

3.用户安全管理（Windows）

a.设置userl用户只能在上班时间（周一至周五的

9：00"18：00）可以登录，将userl的登录时间配置界面截图；

单机：netuser"userl"/time：M-F,9：00-18：00

域用户：双击用户帐户，在出现的用户属性对话框中，点击

“帐户”标签，点击“登录时间”，可以指定用户能够登录

到域的时间段，最小单位为小时。

b.在组策略中只允许管理员账号从网络访问本机。

计算机配置-Windows设置-安全设置-本地策略-用户权限分

配-从网络访问此计算机

A-2任务二数据库加固（Linux）

4.以普通帐户mysql安全运行mysql服务，禁止mysql以管

理员帐号权限运行；

修改MySql配置文件/etc/f,设置user参数为普通用

户。

5.删除默认数据库（test）；

dropdatabasestest；

6.改变默认mysql管理员用户为：SuperRoot；

updateusersetuser='SuerRoot'whereuser='root'；

7.使用mysql内置MD5加密函数加密用户userl的密码为

(P@sswOrd1!)；

Updateusersetpassword=md5(password)where

user="userl”；

8.赋予userl用户对数据库所有表只有

select,insert,delete,update权限。

grantselect,insert,delete,updateontestdb.*to

userl@'localhost'；

A-3任务三流量完整性保护(Windows)

9.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS

协议访问网站(Windows)(注：证书颁发给并通

过https:〃www.test,com访问Web网站)。

在IIS设置中配置URL重写

IIS重写HTTP重定向到HTTPS操作方法(转)_hzfw2008的

博客-CSDN博客

https：///hzfw2008/article/details/1031

91496

A-4任务四事件监控(Windows)

10.将Web服务器开启审核策略登

录事件成功/失败；

特权使用成功；

策略更改成功/失败;

进程跟踪成功/失败;

组策略里面改就行。

■本址用建畤剃I四-□

文件提作(N圈勘(中

为Bmo

:本地计>即氟建A

««好®■

口.修而函

I无审横

>dkimnLwwBMarZZI

▼wiWosift.二审核H裾事件~~财物

J审的■的局‘

、，名第析班第无审根

触偏加关氏无南镇

..•yBOTgffjaMA申耀目球服到于可无审根

[②I无审国

器产如

vis〜审搐系统•件无审修

)q史玛5518

〜甲箱所0t・价无审娥

3都户般黑笔

一审搐归无重假

a朋《»施

Window1住Mr历火.

,网绪列表管理88策略

A-5任务五服务加固SSH\VSFTPD\IIS(Windows,Linux)

11.SSH服务加固(Linux)

a.修改ssh服务端口为2222；

修改/etc/ssh/sshd_config,#Port22〃将注释符#去掉,

然后改成2222,重启ssh服务

b.ssh禁止root用户远程登录。

修改/etc/ssh/sshd_config,修改其中的#PernlitRootLogin

yes为PermitRootLoginno,重启ssh服务。

12.VSFTPD服务加固(Linux)

a.vsftpd禁止匿名用户上传；

修改/etc/vsftpd/vsftpd.conf配置，配置

anonymous_enable=NO

b.设置无任何操作的超时时间为5分钟。

修改/etc/vsftpd/vsftpd.conf配置，超时配置就这些：看

着来

#主动模式连接超时时长，单位为秒

connect_timeout=600

#被动模式连接超时时长，单位为秒

accept]imeout=600

#数据连接无数据超时时长，单位为秒

data_connection_timeout=300

#无命令操作超时时长，单位为秒

idle_session_timeout=600

13.IIS加固(Windows)

a.开启HS的日志审计记录(日志文件保存格式为W3C,只记

录日期、时间、客户端IP地址、用户名、方法)；

IIS中-网站-日志设置，选择日志记录字段

b.为了减轻网站负载，设置网站最大并发连接数为1000。

IIS-网站-高级设置-最大并发连接数里修改

A-6任务六防火墙策略(Windows,Linux)

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行

加固策略：

14.Windows系统禁用445端口;

防火墙里面配置就行

15.Windows系统禁用23端口;

防火墙里面配置就行

16.Linux系统禁用23端口；

iptables-AINPUT-ptcp-dport23-jDROP

17.Linux系统禁止别人ping通；

A.临时方法：

echo0>/proc/sys/net/ipv4/icm