假定你是某企业的网络安全工程师，对于企业的服务器系统，根据任务要求确保各服务正常运行，并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求对具体任务的操作截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以赛位号作为文件名.

二、服务器环境说明

Windows 用户名：administrator，密码：123456

Linux 用户名：root，密码：123456

三、具体任务（每个任务得分以电子答题卡为准）

请对服务器Windows、Linux按要求进行相应的设置，提高服务器的安全性。

1.密码策略（Windows, Linux）

a.最小密码长度不少于16个字符。

Windows：管理工具-本地安全策略-账户策略-密码策略，设置密码长度即可

Linux：

修改/etc/login.defs 文件 PASS_MIN_LEN 字段参数

2.登录策略（Windows, Linux）

a.在用户登录系统时，应该有“For authorized users only”提示信息；

Linux：修改/etc/issue 文件添加本地登录欢迎语

修改/etc/ssh/sshd_config文件添加 Banner /etc/ssh/banner，在ssh目录下新建一个文件Banner，内容写欢迎语。

Windows：本地安全策略-本地策略-安全选项，“交换式登录：试图登录的用户的消息标题 属性” 修改欢迎语。

b.远程用户非活动会话连接超时应小于等于5分钟。

Linux：修改/etc/ssh/sshd_config文件，设置ClientAliveInterval和ClientAliveCountMax 参数

Windows：管理工具-远程桌面服务-远程桌面会话主机设置，RDP-Tcp属性，在会话中修改。

3.用户安全管理(Windows)

a.设置user1用户只能在上班时间（周一至周五的9:00~18:00）可以登录，将user1的登录时间配置界面截图；

单机：net user "user1" /time:M-F,9:00-18:00

域用户：双击用户帐户，在出现的用户属性对话框中，点击“帐户”标签，点击“登录时间”，可以指定用户能够登录到域的时间段，最小单位为小时。

b.在组策略中只允许管理员账号从网络访问本机。

计算机配置-Windows设置-安全设置-本地策略-用户权限分配-从网络访问此计算机

4.以普通帐户mysql安全运行mysql服务，禁止mysql以管理员帐号权限运行；

修改MySql配置文件/etc/my.cnf，设置user参数为普通用户。

5.删除默认数据库(test)；

drop database test;

6.改变默认mysql管理员用户为:SuperRoot；

update user set user='SuerRoot' where user='root';

7.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)；

Update user set password=md5(password) where user="user1";

8.赋予user1用户对数据库所有表只有select,insert,delete,update权限。

grant select,insert,delete,update on testdb.* to user1@‘localhost’;

9.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站（Windows）(注：证书颁发给test.com 并通过https://www.test.com访问Web网站)。

在IIS设置中配置URL重写

IIS重写HTTP重定向到HTTPS操作方法（转）_hzfw2008的博客-CSDN博客 https://blog.csdn.net/hzfw2008/article/details/103191496

10.将Web服务器开启审核策略

登录事件 成功/失败；

特权使用 成功；

策略更改 成功/失败；

进程跟踪 成功/失败；

组策略里面改就行。

11.SSH服务加固（Linux）

a.修改ssh服务端口为2222；

修改 /etc/ssh/sshd_config, #Port 22 //将注释符#去掉,然后改成2222，重启ssh服务

b.ssh禁止root用户远程登录。

修改/etc/ssh/sshd_config，修改其中的#PermitRootLogin yes为PermitRootLogin no，重启ssh服务。

12.VSFTPD服务加固（Linux）

a.vsftpd禁止匿名用户上传；

修改/etc/vsftpd/vsftpd.conf配置，配置anonymous_enable=NO

b.设置无任何操作的超时时间为5分钟。

修改/etc/vsftpd/vsftpd.conf配置，超时配置就这些：看着来

# 主动模式连接超时时长，单位为秒

connect_timeout=600

# 被动模式连接超时时长，单位为秒

accept_timeout=600

# 数据连接无数据超时时长，单位为秒

data_connection_timeout=300

# 无命令操作超时时长，单位为秒

idle_session_timeout=600

13.IIS加固（Windows）

a.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)；

IIS中-网站-日志设置，选择日志记录字段

b.为了减轻网站负载，设置网站最大并发连接数为1000。

IIS–网站–高级设置–最大并发连接数里修改

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略：

14.Windows系统禁用445端口；

防火墙里面配置就行

15.Windows系统禁用23端口；

防火墙里面配置就行

16.Linux系统禁用23端口；

iptables -A INPUT -p tcp --dport 23 -j DROP

17.Linux系统禁止别人ping通；

A.临时方法：

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

B.永久PING配置方法。

/etc/sysctl.conf中增加一行

net.ipv4.icmp_echo_ignore_all=1

C.不该默认配置情况下，使用防火墙禁止

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

18.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip。

iptables -A INPUT -s 172.16.1.1 -p tcp --dport 22 -j ACCEPT

一、项目和任务描述：

假定你是某网络安全技术支持团队成员，某企业的服务器系统被黑客攻击，你的团队前来帮助企业进行调查并追踪本次网络攻击的源头，分析黑客的攻击方式，发现系统漏洞，提交网络安全事件响应报告，修复系统漏洞，删除黑客在系统中创建的后门，并帮助系统恢复正常运行。

二、服务器环境参考（以实际赛题为准）

操作系统：Windows/Linux

三、PC机环境参考（以实际赛题为准）

物理机：Windows7或Windows10；

虚拟机1：Ubuntu Linux（用户名：root；密码：123456）,安装工具集：Backtrack5,安装开发环境：Python3；

虚拟机2：Kali1.0（用户名：root；密码：123456）；

虚拟机3：Kali2.0（用户名：root；密码：123456）；

虚拟机4：WindowsXP（用户名：administrator；密码：123456）。

四、具体任务

任务说明：Flag格式：Flag｛Xxxx123｝，括号中的内容作为Flag值，提交Xxxx123即可

任务说明：仅能获取Server1的IP地址

1.从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password}形式提交(密码为6位)；

利用hashdump 提取内存中用户的hash，然后破解即可

2.获取当前系统ip地址及主机名，以Flag{ip:主机名}形式提交；

3.获取当前系统浏览器搜索过的关键词，作为Flag提交；

4.当前系统中存在挖矿进程，请获取指向的矿池地址，以Flag{ip:端口}形式提交；

netstat看进程连接端口

5.恶意进程在系统中注册了服务，请将服务名以Flag{服务名}形式提交。

任务说明：仅能获取Server2的IP地址

1.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件，找出黑客获取到的可成功登录目标服务器FTP服务的账号密码，并将黑客获取到的账号密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

Wireshark中打开数据包，过滤ftp协议找。

2.继续分析capture.pcapng数据包文件，找出黑客使用获取到的账号密码登录FTP服务的时间，并将黑客登录FTP的时间作为Flag值（例如：14:22:08）提交；

Wireshark中打开数据包，过滤ftp协议找。

3.继续分析capture.pcapng数据包文件，找出黑客成功登录FTP服务后执行的第一条命令，并将执行的命令作为Flag值提交;

过滤ftp.request.command

4.继续分析capture.pcapng数据包文件，找出黑客成功登录FTP服务后下载的关键文件，并将下载的文件名称作为Flag值提交；

5.继续分析capture.pcapng数据包文件，找出黑客成功登录FTP服务后下载的关键文件，并将下载的文件内容作为Flag值提交。

*任务说明：仅能获取Server3的IP地址

1.通过本地PC中渗透测试平台Kali对靶机场景Server3进行系统服务及版本扫描渗透测试，以xml格式向指定文件输出信息（使用工具Nmap），将以xml格式向指定文件输出信息必须要使用的参数作为Flag值提交；

-oX 参数输出xml

2.在本地PC的渗透测试平台Kali中，使用命令初始化MSF数据库并将此命令作为Flag值提交；

msfdb init

3.在本地PC的渗透测试平台Kali中，打开MSF，使用db_import将扫描结果导入到数据库中，并查看导入的数据，将查看该数据要使用的命令作为Flag值提交；

hosts可以查看导入数据的主机信息

4.在MSF工具中用search命令搜索CVE-2019-0708漏洞利用模块，将回显结果中的漏洞公开时间作为Flag值（如：2017-10-16）

提交；

search cve-2019-0708

5.在MSF工具中调用CVE-2019-0708漏洞攻击模块，并检测靶机是否存在漏洞，将回显结果中最后一个单词作为Flag值提交。

调用模块检测即可