网络安全防护操作题

四、实验题(10道)5-192按照国家电网公司SG186工程信息化建设要求，公司开发建设了某应用系统，系统采用Windows2003平台提供服务，根据等级保护建设和公司信息安全要求，需要根据如下具体要求对系统进行配置和安全加固。(1)对登录操作系统的用户进行身份标识和鉴别，操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换，同时对系统账号进行优化，禁用不必要的账号。(2)根据应用系统服务端口最小化原则，关闭不必要的网络端口和服务。(3)增强日志审核，调整审核策略，调整事件日志的大小和覆盖策略。(4)为进一步提高系统安全性，需要禁止匿名用户连接(空连接)，禁止系统显示上次登录的用户名，删除主机默认共享，禁止dumpfile的产生。答案要点：1．(1)本地安全设置I账户策略I密码策略，对密码策略进行设置。密码复杂性要求：启用。密码长度最小值：8字符；密码最短存留期：0天。(2)本地安全设置I账户策略I账户锁定策略，对账户锁定策略进行设置：复位账户锁定计数器：15min。账户锁定时间：15min。账户锁定阀值：5次。(3)更改默认管理员账号，本地安全设置I本地策略I安全选项I重命名系统管理员账号。(4)计算机管理I系统工具I本地用户和组I用户，删除非法账号或多余账号。2．通过开始I运行Iservices．msc，将不必要的服务启动类型设置为手动并停止，或者禁用。需要停用的服务主要有：(1)Server：网络共享与IPC$。(2)RemoteRegistry：远程管理注册表，开启此服务带来一定的风险。(3)PrintSpooler：如果相应服务器没有打印机，可以关闭此服务。(4)Alerter：远程发送警告信息。(5)ComputerBrowser(计算机浏览器)：维护网络上更新的计算机清单。(6)Messenger：允许网络之间互相传送提示信息的功能，如netsend。(7)TaskScheduler：计划任务。3．(1)本地安全设置I本地策略I审核策略，进行审核策略调整。修改安全策略为下述值：审核策略更改成功审核登录事件无审核审核对象访问成功，失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功，失败审核账户登录事件成功，失败审核账户管理成功，失败(2)管理工具I事件查看器，设置应用程序、安全性、系统三者的默认“最大日志文件大小”和“覆盖策略”。应用程序、安全性、系统三者的“最大日志文件大小”调整为16384K：覆盖策略调整为“改写久于30天的事件”。4．(1)禁止匿名用户连接，修改注册表如下键值：HKLM＼SYSTEM＼CurrentControlSet＼Control＼Lsa“restrictanonymous”的值修改为“1”，类型为REGDWORD。(2)禁止系统显示上次登录的用户名，修改注册表如下键值：HKLM＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼DontDisplayLastUserName把REGSZ的键值改成1。(3)删除主机默认共享，增加注册表键值。HKLM＼SYSTEM＼CurrentControlSet＼Services＼lanmanserver＼parametersAutoshareserver项，并设置该值为“1”。(4)禁止dumpfile的产生。控制面板I系统属性I高级I启动和故障恢复，把“写入调试信息”改成无。5-193国家电网公司内部需要利用WindowsServer2003服务器再发布多个Web站点，但是只能使用一个IP和标准的80端口。多个站点的地FQDN是news．sgl86．com，hr．sgl86．com，finance．sgl86．com。其中，hr．sgl86．com涉及到表单登录，需要有更强的安全防护措施。新增的三个站点必需保证互不影响，即一个站点的意外停止运行不会影响到其他站点。请配置相关的DNS和服务器。答案要点：(1)多主机头，DNS主机记录的注册。(2)申请证书，对hr．sgl86．com站点进行SSL封装。(3)创建不同的应用程序池，并应用到不同的三个站点。5-194如何对默认安装的WindowsServer2003服务器进行安全加固，以防范中c$入侵。答案要点：(1)禁止空连接进行枚举(此操作并不能阻止空连接的建立)。首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous=DWORD的键值改为：00000001。0x0缺省0x1匿名用户无法列举本机用户列表0x2匿名用户无法连接本机IPC$共享说明：不建议使用2，否则可能会造成你的一些服务无法启动，如SQLServer(2)禁止默认共享。1)察看本地共享资源。运行-cmd-输入netshare2)删除各共享。netshareipc$／deletenetshareadmin$／deletenetsharec$／deletenetshared$／delete(如果有e，f，……可以继续删除)3)修改注册表，删除默认共享。运行-regedit找到如下主键[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet＼Services＼LanmanServer＼Parameters]把AutoShareServer(DWORD)的键值改为0000000。如果上面所说的主键不存在，就新建(右键单击I新建I双字节值)一个主键再改键值。(3)停止server服务。1)停止server服务。2)永久关闭ipc$和默认共享依赖的服务：lanmanserver即server服务控制面板I管理工具I服务I找到server服务(右击)I属性I常规I启动类型I已禁用(4)安装防火墙(选中相关设置)，或者端口过滤(滤掉139，445等)。1)取消“文件和打印机共享”与网络适配器的绑定。鼠标右键单击桌面上的网络邻居I属性I本地连接I属性，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。2)利用TCP/IP筛选。鼠标右击桌面上的网络邻居I属性I本地连接I属性，打开“本地连接属性”对话框。选择Internet协议(TCP/IP)I属性I高级I选项，在列表中单击选中“TCP/IP筛选”选项。单击属性按钮，选择“只允许”，再单击添加按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。3)使用IPSec安全策略阻止对端口139和445的访问。选择我的电脑I控制面板I管理工具I本地安全策略IIP安全策略，在本地机器，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。4)使用防火墙防范攻击。在防火墙中也可以设置阻止其他机器使用本机共享。在个人防火墙，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击确定按钮，并在“自定义ip规则”列表中勾选此规则即可启动拦截139端口攻击了。(5)给所有账户设置复杂密码，密码包括大写字母、小写字母、数字、特殊字符种的至少三项，长度不少于8位，防止通过ipc$穷举密码。5-195给一台使用默认设置安装好的Linux服务器，如何配置以加强这台服务器的安全性?(再明确点)答案要点：(1)用防火墙关闭不须要的任何端口，别人PING不到服务器，威胁自然减少了一大半防止别人ping的方法：1)命令提示符下打。echo1／proc／sys／net／ipv4／icmp_ignore_all2)用防火墙禁止(或丢弃)icmp包。iptables-AINPUT-picmp-jDROP3)对所有用ICMP通信的包不予响应。比如PINGTRACERT(2)更改SSH端口，最好改为10000以上，别人扫描到端口的几率也会下降。vi／etc／ssh／sshd_config将PORT改为1000以上端口。同时，创建一个普通登录用户，并取消直接root登录。useradd'USemanle'passwd'usemame'vi／etc／ssh／sshd_config在最后添加如下一句：PermitRootLoginnO#取消root直接远程登录(3)删除系统臃肿多余的账号：userdeladmuserdellpuserdelsyncuserdelshutdownuserdelhaltuserdelnewsuserdeluucpuserdeloperatoruserdelgamesuserdelgopheruserdelftp如果你不允许匿名FTP，就删掉这个用户账号groupdeladmgroupdellpgroupdelnewsgroupdeluucpgroupdelgamesgroupdeldipgroupdelpppusers(4)更改下列文件权限，使任何人没有更改账产权限：chattr+i／etc／passwdchattr+i／etc／shadowchattr+i／etc／groupchattr+i／etc／gshadow(5)chmod600／etc／xinetd．conf。(6)关闭FTP匿名用户登录。5-196某房间墙上有1个网口，可以为MAC地址为(00-FF-E4-4C-27-8A)的设备提供(ip-mac)绑定的接入因特网服务，该IP配置信息如下：Ip：10．2．100．3Netmask：255．255．255．0Gateway：10．2．100．254DNS：10．2．200．1如何配置一台天融信防火墙NGFW4000，使得某个网段(192．168．0．1／24)的机器能通过此网口接入因特网?答案要点：(1)在此防火墙上定义两个网口，分别命名为Internet口和Trust口。(2)为Internet口修改MAC地址为00-FF-E4-4C-27-8A，同时设定下一条路由为10．2．100．254。(3)在防火墙NAT设置里添加地址转换规则，在其中单击高级选项，在源中选择TRUST，目的中选择INTERNET。5-197如何使用一台双网卡的Linux服务器实现NAT功能?答案要点：(1)设网卡。外网网卡DEVICE=eth0IPADDR=(外网IP)NETMASK=255．255．255．0GATEWAY=(外网网关)dns服务器设置DEVICE=eth1IPADDR=(内网IP)NETMASK：255．255．255．0(2)打开内核数据包转发功能：echo“1”／proc／sys／net／ipv4／ip_forward。(3)防火墙设置数据包转发伪装：iptables-tnat-APOSTROUTING-s192．168．0．0／24-oeth1-iSNAT-to-source(外网IP)。5-198现在某单位机房内需新上线一台信息外网Web服务器对公众提供Web访问服务，服务端口为80，该服务器IP为10．2．100．100，该服务器接在防火墙的DMZ区，对外服务映射公网IP为210．176．110．2。如何配置防火墙，使得防火墙INTERNET区(连接Internet)和TRUST区(单位内用户)可以正常访问该服务器，同时服务器还能自动访问微软站点进行安全升级?答案要点：(1)在防火墙Internet区进行NAT映射，将10．2．100．100映射为210．176．110．2；(2)开通防火墙Internet区Any用户到DMZ区10．2．100．10080端口的访问策略；(3)开通防火墙TRUS