第46届世界技能大赛网络安全项目贵州省选拔赛-模块A-样题

FILENAME第46届世界技能大赛网络系统管理项目贵州省选拔赛-模块A--样题.docxVersion:[Status]Date:SAVEDATE\@"dd/MM/yyyy"11/12/2019 第46届世界技能大赛贵州省选拔赛网络安全项目2/2模块A简介竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！当竞赛结束，离开时请不要关机；所有配置应当在重启后有效； 除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。任务描述你和你的团队是A集团的网络安全运维及保障技术支撑队伍，目前A集团属于金融行业，根据信息系统重要程度及行业监管要求，定为等级保护3级系统。现在A集团要求分别根据不同的拓扑完成操作系统安全设置和加固、网络设备安全配置和管理。

第一部分：基本要求目前该行业对主机安全基本要求如下，在未提出具体要求时应参考该要求：项目具体要求身份鉴别本项要求包括：应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；口令应符合以下条件：数字、字母、符号混排，无规律的方式；口令的长度至少为8位；口令至少每季度更换1次,更新的口令至少5次内不能重复；（一个月按30天算，应至少提前14天警告）c)应启用登录失败处理功能，应采取限制非法登录次数并锁定账户措施；（标准值6次）d)当对服务器进行远程管理时，应采取如更换默认端口等必要措施，防止鉴别信息在网络传输过程中被窃听；访问控制本项要求包括：应启用访问控制功能，依据安全策略控制用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限分离；应及时删除多余的、过期的账户，避免共享账户的存在；应对重要信息资源设置敏感标记；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。安全审计本项要求包括：审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；应在保证系统运行安全和效率的前提下，启用系统审计。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应能够根据记录数据进行分析，并生成审计报表；f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。审计记录应至少保存6个月。更多信息参见以下具体要求……

第二部分：操作系统安全设置和加固注意：若题目中未明确规定，请使用默认配置，所有服务器应根据规格列表配置基本信息，Client不做评分，但需要做基本设置以验证其余任务是否正确完成。DC-SERVER(Windows2016)工作任务ActiveDirectory安装活动目录域服务，域名为：worldskills2021.gz。该服务器为DNS服务器，负责解析worldskills2021.gz域名及表中其它子域名，设置正向区域和反向区域记录。新建user1，user2域用户，帐号名和显示名相同，密码为SkillCS2021。新建C:\Share文件夹，建立两个文件夹user1、user2，每个用户只能将文件保存在自己的文件夹中，且不能让其他用户访问自己的文件夹。添加NormalUsers组和Operators组，将user1加入NormalUsers组，user2加入Operators组。设置Operators组为worldskills2021.gz域里所有机器的本地管理员，除了DomainContoller。配置用户环境漫游在worldskills2021.gz域的已新建的用户上，存储路径为:\\DC-Server\profile\下的对应用户名文件夹。Shares设置C:\Share的安全权限设定为NormalUsers组只可以读，而Operators组可以修改，并在域中将此共享文件夹发布。GPO创建组策略对象GPO1，将NormalUsers组里所有用户的Documents和Desktop目录重定向至C:\Share中的相应用户文件夹的Desktop和Documents。创建组策略对象GPO2，拒绝NormalUsers组的可移动磁盘在本服务器上执行、读取和写入。创建组策略对象GPO3，不允许NormalUsers组进入控制面板的显示设置；创建组策略对象GPO4，不允许NormalUsers组打开注册表；创建组策略对象GPO5，当DC-SERVER服务器不可用时，所有用户禁止使用缓存登录。创建组策略对象GPO6，隐藏和限制NormalUsers组访问本地磁盘；ADCS在此域控制器上安装证书CA服务，并要求能够通过域名访问申请WEB证书。安全加固身份鉴别，根据行业要求提供合规的身份鉴别机制。访问控制，防止远程或匿名访问注册表、共享文件夹、命名管道、账户。安全审计，除行业要求外，还应包括进程跟踪、对象访问、目录服务等审计服务；对所有审计日志文件超过1g后应按需覆盖日志文件。入侵防范，检查并关闭服务器上的高危端口或服务。资源控制，除管理员外任何用户不允许进行本地登录，登录时应重新输入用户名及密码，3分钟内没有任何操作应该采取锁屏措施，10分钟内没有操作应立即断开会话。Web-Server(Windows2016)工作任务IIS加入域环境，安装IIS服务，创建一个web站点www.worldskills2021.gz，启用HTTP重定向到HTTPS，使用的Web证书由worldskills2021.gz的CA颁发。配置FTP服务器，实现用户隔离，目录为c:\ftp，并在目录下创建各自以用户名命名的文件。安全加固身份鉴别，根据行业要求提供合规的身份鉴别机制。访问控制，防止远程或匿名访问注册表、共享文件夹、命名管道、账户。入侵防范，为防止永恒之蓝等病毒入侵，仅关闭其对应的高危端口（使用防火墙策略），其余端口默认开放保证服务可用性；除此之外在满足网站正常访问的同时应检查并限制网站目录的执行权限、目录浏览等功能。安全审计，除行业要求外，还应包括进程跟踪、对象访问、目录服务等审计服务；对所有审计日志文件超过1g后应按需覆盖日志文件；对网站的访问应能够审计具体日期时间、访问的站点名称和ip、调用方式和资源、访问的服务器端口，访问者的ip和所使用的的浏览器以及访问协议状态等。资源控制，除管理员外任何用户不允许进行本地登录，登录时应重新输入用户名及密码，3分钟内没有任何操作应该采取锁屏措施，10分钟内没有操作应立即断开远程连接会话。备份对FTP和WEB目录文件夹中的所有内容应进行备份，在遇到灾难时可恢复至4小时以内状态，所有备份文件分别存于服务器C:\backupftp、C:\backupweb目录。LnxWebServer(Centos7.X)工作任务Web服务搭建搭建Apache+mysql+php的WordPress站点（网站源码压缩包存于/opt下），该站点应能够给Internet区域用户通过访问，为保证网站安全性，Apache服务应通过WebApache用户运行，密码为SkillCS2021,并进入WordPress站点发布一篇标题为WorldSkills的文章。Web安全检查WordPress上的网站目录，分析可能的目录结构，对该网站做出必要的设置，包括：检查目录列出漏洞、WordPress上传目录等。配置aide安全检测策略，当/data/backup/目录中文件发生变化记录相关信息。安全加固 身份鉴别，根据行业要求提供合规的身份鉴别机制访问控制，设置root账户缺省文件和目录访问权限，取消组用户的写权限，其他用户的读、写和执行权限；设置用户创建文件的默认权限仅所有者完全控制；设置SSH登录前警告信息为Authorizedonly.Allactivitywillbemonitoredandreported关闭高危端口，根据服务角色，检查系统服务运行情况关闭不必要的或高危端口所在的服务。安全审计，检查并开启系统日志，并设置其他用户不可写权限，所有者和组用户完全控制；配置网站日志记录在/logs/webaccess.log，并记录远程主机、远程用户名、时间、请求行、状态、传送字节、请求来源、浏览器客户端等信息。入侵防范，禁止root用户直接通过ssh登录；3分钟内没有任何操作应该退出登录，设置历史命令不超过5行。LnxDatabase(Centos7.X)工作任务备份配置mysql数据库服务，使得WebServer(Linux)能够正常访问WordPress数据库。对WordPress数据库每隔1小时进行一次完全备份并写入计划任务，备份路径为：/home/backup目录，备份文件以WordPress_YYYYMMDD_H格式自动生成文件名。 安全加固身份鉴别，根据行业要求提供合规的身份鉴别机制。访问控制，设置root账户缺省文件和目录访问权限，取消组用户的写权限，其他用户的读、写和执行权限；设置用户创建文件的默认权限仅所有者完全控制；设置SSH登录前警告信息为Authorizedonly.Allactivitywillbemonitoredandreported。设置Mysql数据库，在保证正常访问前提下，仅允许mysql合理的访问权限；为mysql分配独立的Web应用用户WebMysql，密码为SkillCS@2019关闭高危端口，根据服务角色，检查系统服务运行情况关闭不必要的或高危端口所在的服务。安全审计，检查并开启系统日志，并设置其他用户不可写权限，所有者和组用户完全控制。入侵防范，禁止root用户直接通过ssh登录；3分钟内没有任何操作应该退出登录，检查并删除潜在的远程可执行文件，设置历史命令不超过5行。测试客户端Client1&Client2基础任务按照要求将该主机加入到worldskills2021.gz；设置本地管理员的密码为SkillCS2021；在Client2上安装AnyconnectVPN软件；关闭计算机休眠功能。第三部分：网络设备安全配置和管理FW-ASAv工作任务配置根据附录配置接口IP地址及主机名；根据附录配置接口区域以及安全级别；内部区域等级100；DMZ区域等级50