ZZ-2022029 网络安全赛项正式赛卷完整版包括附件-2022年全国职业院校技能大赛赛项正式赛卷.docx

2022年全国职业院校技能大赛（中职组）网络安全竞赛试题A模块评分标准模块A基础设施设置与安全加固A1任务一登录安全加固（Windows,Linux）请对服务器WindoWs、UnUX按要求进行相应的设置，提高服务器的安全性。1.密码策略(Windows,Linux)a最小密码长度不少于13个字符（Windows）,将密码长度最小值的属性配置界面截图：J×J密码长度最小值属性b.密码必须符合复杂性要求(Linux),将etcpam.dSyStemauth配置文件中对应的部分截图：以下参数不论先后顺序，ucreditlcreditdcreditocreditpasswordrequisitepanjracklib.sotry.first.passretry：3type-.ICre(IMEdcredltOCre(IltTl2.用户安全管理(WindoWS)a.设置取得文件或其他对象的所有权，将该权限只指派给adminiStratorS组，将取得文件或其它对象的所有权属性的配置界面截图：取得文件或其他对象的所有权屋性本地安全设置I说明I取得文件或其他对象的所有权福I取消I应用（八）b.禁止普通用户使用命令提示符，将阻止访问命令提示符配置界面截图：c.设置不显示上次登录的用户名，将交互式登录：不显示最后的用户名属性配置界面截图：交互式登录不过示最后的用户名fig性-ZJ2d本地安全设贯I说明I交互式登录不显示最后的用户名IC已启用S）I1.已禁用（三）A-2任务二NginX安全策略(Linux)1.禁止目录浏览和隐藏服务器版本和信息显示，将etcnginxnginx.conf配置文件相关配置项截图：servertokensoff;2 .限制HTTP请求方式，只允许GET、HEAD、POST,将etcnginxConf.ddefault.conf配置文件相关配置项截图：if($request_method!人(IGETlHEADlPOST|)$)return501;3 .设置客户端请求主体读取超时时间为10,将etcnginxnginx.conf配置文件相关配置项截图：clientbodytImeout10;4 .设置客户端请求头读取超时时间为10,将etcnginxnginx.conf配置文件相关配置项截图：clientheader_tImeout10;5 .将NginX服务降权，使用WWW用户启动服务，将etcnginxnginx.conf配置文件相关配置项截图：以下两张图片只要选手的截图中任意一张图与之相符即可给分图-userwwvwww;图二userwww;A-3任务三日志监控（WindOWS）1.安全日志文件最大大小为128MB,设置当达到最大的日志大小上限时，按需要覆盖事件（旧事件优先），将日志属性-安全（类型：管理的）配置界面截图：assn-安全（姆：vin）2.应用日志文件最大大小为64MB,设置当达到最大的日志大小 上限时将其存档，不覆盖事件，将日志属性-应用程序（类型：管理的）配置界面截图：日志融-应雕屎樊雪管理的）×J全名（D：ApplicationasS(i):%SystemRoot%System32WinevtLogsApplication.evtx日志大小:1.07 MB(Ul8,208 个邦)创建时间:2022年3月 20日 22:21:34修改时间:202阐1月6日 11:08:38访问时间:2022年3月 20日 22:21:34P启月日志记录（日日志最大大小（KB）凶:达到事件日志量大大小的c按耨麟Wtt（I瞟钺先股F日就对银能,天第善二二阳盖事件（手漏除日志）国）IIB(BI3.系统日志文件最大大小为32MB,设置当达到最大的日志大小上限时，不覆盖事件(手动清除日志)，将日志属性系统(类型：管理的)配置界面截图：日志属性一系绫偻里：管理的)常规IHHI全名(F):System日金径(I)：%SystemRoot%System32WinevtLogsSystem.evtx日志大小：1.07MB(1,118,208个字节)创舸间：2022年3月20日22:21:34修设时间：2021年11月6日11:08:38访问时间：2022年3月20日22:21:34P启用日志记录(E)日塘大小(KB)(X):I耕日樵林M按藕Sl耕(旧要牛优先)(W)c日志初将其存档，天覆盖事件（八）M7差事件(手比清除日志)(N)I¾I(P)A-4任务四中间件服务加固SSHDVSFTPDIIS(Windows,Linux)1.SSH服务力口固(Linux)a.修改SSh服务端口为2222,使用命令netstat-anltp|grepsshd查看SSH服务端口信息，将回显结果截图：(rootlocalhostDesktop)*ret>ft-nltpgrepsshd_tcpe.e.e.ei2222lo.e.o.e：*listen37ieShdltcp:2222:LISTEN371ssM1 r<>tlOcalhostDesktop1*b.ssh禁止root用户远程登录，将etcsshSShCLConfig配置文件中对应的部分截图：PermitRootLoginnoc.设置root用户的计划任务。每天早上7:50自动开启SSh服务，22:50关闭；每周六的7:30重新启动SSh服务，使用命令crontab-I1将回显结果截图：507*etc7i11it.d7sshdstartso22*etcinit.d/sshdstop3。7*6J/etc/init.d/sshdrestartd.修改SSHD的PlD档案存放地，将etcsshSShCLeonfig配置文件中对应的部分截图:重接IPidFiIel/root/sshd.pid2 .VSFTPD月艮务力口固(Linux)a.设置运行VS即d的非特权系统用户为pyftp,将etcvsftpdVSftPd.conf配置文件下的相关配置项截图：*noprivuser=pyftpb限制客户端连接的端口范围在5000060000,将etcvsftpdVSftPd.conf配置文件下的相关配置项截图：pasvminport=50000pasvmaxport=60O00C.限制本地用户登录活动范围限制在home目录，将etcvsftpdVSftPd.conf配置文件下的相关配置项截图：Chrootlocaluser=YES3 .IIS加固(Windows)a.开启IIS的日志审计记录（日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法）,将W3C日志记录字段配置页面截图：b关闭IIS的WebDAV功能增强网站的安全性，将警报提示信息截图：割艮向WebDAW能已禁用°操作添加创作妮则启用WebDAVWebDAV设置.<&帮助联机帮助A-5任务五本地安全策略（WindOWS）1.禁止匿名枚举SAM帐户，将不允许SAM账户的匿名枚举的属性配置界面截图：2.禁止系统在未登录的情况下关闭，将允许系统在未登录的情况下关闭的属性配置界面截图：3 .禁止存储网络身份验证的密码和凭据，将不允许存储网络身份验证的密码和凭据的属性配置界面截图：4 .禁止将EVeryone权限应用于匿名用户，将EVeryOne权限应用于匿名用户的属性配置界面截图：5.在超过登录时间后强制注销，将在超过登录时间后强制注销的属性配置界面截图：A6任务六防火墙策略（LinUX）1 .设置防火墙允许本机转发除ICMP协议以外的所有数据包，将iptables配置命令截图：iptables-AFORWARD!-picmp-jACCEPT2 .为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机，将iptables配置命令截图：iptables-AINPUT-ptcp-dport22-S172.16.l.24-jACCEPT3 .为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理），将iptables配置命令截图：以下两张图片只要选手的截图中任意一张图与之相符即可给分图一iptables-AINPUTmlimit-limit3mlimit-burst图二iptables-AINPUT-mlimit-limitB/minutd-limit-burst回4 ,只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包，将iptables配置命令截图：iptables-AFORWARD-pudpdport同s172.16.0.24jACCEPTWindOWS靶机加固（七个得分点）130分得分点一：管理员用户弱口令漏洞加固（5分）为管理员用户设置较为复杂的密码，若在命令行下操作截图也正确得分点二：禁用TeInet服务漏洞发现过程或思路（9分）有则给分漏洞加固（10分）以下两张图片只要选手的截图中任意一张图与之相符即可给分图一图二文件9 视图9帮助QD连接9 II； I酶一起始页 ¾ WIH-93BMP6QI3IL OIM-93BNP .：，应用程序过E chinaskills田 Default Yeb SiteFTP身份验证分组依据不进行分组;本身份蛉证：匿名身份验证I状态I类型内置得分点三：禁止FTP服务匿名用户登录漏洞发现过程或思路（5分）有则给分漏洞加固（5分）Internet信息联务CllS）管理WI>WIH-93BMP6QI3IL>网站>ch>n*zklls>漏有则给分得分点四：MS15/34漏洞漏洞发现过程或思路（5分）有则给分漏洞加固（6分）禁用IIS内核缓存，避免对方利用msl5J）34漏洞进行DOS攻击,去掉【启用内核缓存】复选框前面的钩Internet信息服务（IIS）管理器漏有则给分得分点五：MS17J）10漏洞漏洞发现过程或思路（6分）以下两张图片只要包含其中一张图即给分图一172.16.1.116:445-Host is likely VULNERABLE to MS17-1O! - WindowsmsfauxiliaryQscannerVsinb/SmbJnS170可>exploitServer208R2Enterprise760x64(64-bit)*Scanned1of1hosts(1%complete)Auxiliarymoduleexecuti