标签：基础设施 组策略 zhenxingbei flag 模块 bs 加固 服务器 在域

第一部分：A 模块基础设施设置与安全加固

总体要求：根据任务要求，参赛队通过综合运用登录和密码策略、数据库安

全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略，确保

系统各服务正常运行。

域服务器基础设施设置与安全加固

1）在域服务器上，检查Kerberos策略，将“服务票证最长寿命”时间值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\Security 设置\Account Policies\Kerberos 策略\服务票证最长寿命

2）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“强制密码历史”值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\强制密码历史

3）在域服务器上，启用远程桌面，并检查远程桌面端口号，配置防火墙策略允许该端口通过，将远程桌面端口号作为flag值提交。

过程：

1. 运行regedit.exe

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下，修改PortNumber数值为xxxx

3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下，修改PortNumber数值为xxxx

4）在域服务器上，检查 “配置Kerberos允许的加密类型”，将加密类型作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\本地策略\安全选项\网络安全：配置Kerberos允许的加密类型

5）在域服务器上，检查可以从网络访问此计算机的对象，仅保留管理员组，删除其余不必要的对象，将删除的对象名称首字母按从小到大排序并连接成 flag提交。

过程：打开本地管理策略\本地策略\用户权限分配：从网络访问此计算机

6）在域服务器上，检查开机启动脚本，将PowerShell脚本括号里面的字符(不包括中文)作为flag提交。

过程：打开本地组策略编辑器\用户配置\Windows设置\脚本(登录/注销)\登录\PowerShell脚本\

7）在域服务器上，为系统开启SYN洪水保护，并将相关键值及键值数据（10进制）作为flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到SynAttackProtect

8）在域服务器上，设置处于SYN_RCVD状态至少已经进行一次重传的 TCP连接请求阈值为400，并将相关键值作为 flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 下找到TcpMaxHalfOpenRetried

9）在域服务器上，检查文件共享影子副本提供程序，并将允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息内的注释内容作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板\系统\文件共享影子副本提供程序\允许或禁止通过加密来保护在文件共享影子副本提供程序(在应用程序服务器上运行)和文件共享影子副本代理(在文件服务器上运行)之间传递的RPC协议消息

10）在域服务器上，关闭永恒之蓝的漏洞端口，并将端口号作为flag提交。（端口号从小到大排序,号隔开）

永恒之蓝端口

11）在域服务器上，检查防火墙入站规则，并将放行的端口号按从小到大排序并连接成flag提交。

过程：打开本地安全策略\高级安全Windows防火墙\高级安全Windows防火墙-本地组策略对象\入站规则\allow\协议和端口

12）在域服务器上，启用“指定 Intranet Microsoft 更新服务位置”，并将“备用下载服务器”的地址作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\管理模板\Windows 组件\Windows 更新\指定 Intranet Microsoft 更新服务位置

13）在域服务器上，检查“账户锁定阈值”，并将阈值作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账户锁定阈值

14）在域服务器上，关闭“主机同步服务”，并将文件名的前11个字符作为flag提交。

过程：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_4db68

15）在域服务器上，启用“日志记录仪”，并“将日志最大大小”（kb）的值作为flag提交。

过程：打开事件查看器\Windows日志\应用程序属性

16）在域服务器上，启用并允许自动更新，并将“支持的平台”的前6个字符的开头字符作为flag提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板\Windows组件\Windows更新\配置自动更新

17）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码长度最小值”的值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\强制密码历史

18）在域服务器上，检查密码策略，启用“密码必须符合复杂性要求”将“密码最长使用期限”的值，作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\密码策略\密码最长使用期限

19）在域服务器上，检查“重置账户锁定计算器”并将值作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\Windows 设置\安全设置\账户锁定策略\重置账户锁定计算器

20）在域服务器上，设置“关闭多播名称解析”为已禁用并将注释中的内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\策略\管理模板\网络\DNS客户端\关闭多播名称解析

21）在域服务器上，检查Windows安全程序规则，查看所有数字签名的 Windows Installer 文件下的描述，并将描述中的内容作为flag值提交。

过程：打开本地安全策略\应用程序控制策略\AppLocker\所有数字签名的 Windows Installer 文件

22）在域服务器上，检查证书路径验证设置，并将交叉证书下载间隔的小时数值作为flag值提交。

过程：打开本地安全策略\公钥策略\证书路径验证设置\网络检索

23）在域服务器上，检查"交互式登录：计算机账户锁定阈值"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器\本地策略\安全选项\交互式登录：计算机账户锁定阈值

24）在域服务器上，检查"交互式登录：之前登录到缓存的次数(域控制器不可用时)"，并将参数的数值作为flag值提交。

过程：打开组策略管理编辑器\本地策略\安全选项\交互式登录：之前登录到缓存的次数(域控制器不可用

25）在域服务器上，检查"创建的令牌对象"，并将令牌对象作为flag值提交。

过程：打开组策略管理编辑器\Windows设置\安全设置\本地策略\用户权限分配\创建一个令牌对象

26）在域服务器上，检查"阻止访问源列表"，并将阻止访问源列表内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\RSS源\阻止访问源列表

27）在域服务器上，检查"阻止创建桌面快捷方式"，并将阻止创建桌面快捷方式内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows Media Player\阻止创建桌面快捷方式

28）在域服务器上，检查"不发送额外的数据"，并将不发送额外的数据内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows 错误报告\不发送额外的数据

29）在域服务器上，检查"关闭Windows移动中心"，并将关闭Windows移动中心内的注释内容作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\Windows移动中心\关闭Windows移动中心

30）在域服务器上，检查"关机期间挂起登录会话的超时时间"，并将关机期间挂起登录会话的超时时间的超时分钟数作为flag值提交。

过程：打开服务器管理器\工具\组策略管理\林：zhenxingbei.bs\域\zhenxingbei.bs\链接的组策略对象\编辑\计算机配置\管理模板：从本地计算机中检索的策略定义\Windows组件\关机选项\关机期间挂起登录会话的超时时间

Linux服务器基础设施设置与安全加固

31）在 Linux 服务器上，检查密码策略，将配置的当前密码的有效期限那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件，查找密码配置策略命令。

32）在 Linux 服务器上，检查密码安全策略，将连续输错10次密码帐号锁定5分钟的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/pam.d/system-auth”查看配置文件查找配置策略命令

33）在 Linux 服务器上，检查SSH 安全策略，将新修改的SSH默认端口的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令“vi /etc/ssh/sshd_config”查看配置文件，查找端口配置命令行

34）在 Linux 服务器上，检查SSH安全策略，将控制远程访问配置中允许10段地址连接sshd远程连接的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/hosts.allow”查看配置文件，查看允许连接的IP段命令

35）在Linux服务器上，检查MySQL安全策略，将关闭MySQL远程TCP/IP连接方式的那行，配置命令作为flag提交。

过程：打开linux服务器，使用命令“vi /etc/my.cnf“查看配置文件，查找命令

36）在Linux服务器上，检查PHP安全策略，将打开PHP安全模式的那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找命令

37）在Linux服务器上，检查PHP安全策略，将控制PHP脚本只能访问的网站目录那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /etc/php.ini“查看配置文件，查找配置命令。

38）在Linux服务器上，检查Apache安全策略，将禁止单个IP访问的IP地址作为flag提交。

过程：进入linux服务器，使用配置命令“vim /etc/httpd/conf/httpd.conf”，查找命令。

39）在Linux服务器上，检查Apache安全策略，将远程连接的超时时间那行，配置命令作为flag提交。

过程：进入linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“查找命令

40）在Linux服务器上，检查Apache安全策略，将Apache隐藏其版本号及其他敏感信息的那行，配置命令作为flag提交。

过程：进入Linux服务器，使用命令”vim /usr/share/doc/httpd-2.4.6/httpd-default.conf“，查找配置命令。

 

原帖是来自csdn的，因为那个黑色不好看，所以弄到自己博客，原地址

https://blog.csdn.net/qq_48985780/article/details/120797422

 

标签：基础设施,组策略,zhenxingbei,flag,模块,bs,加固,服务器,在域
来源： https://www.cnblogs.com/darling024/p/15965995.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。