操作系统为 Windows server 2008 R2

A-1 任务一 登录安全加固（Windows, Linux）

请对服务器 Windows、Linux 按要求进行相应的设置，提高服务

器的安全性。

1.密码策略（Windows, Linux）

a.最小密码长度不少于 13 个字符；

b.密码必须符合复杂性要求。

按下 Win + R 键，在搜索框中输入secpol.msc，然后按回车键。

在本地安全策略编辑器中，依次展开“安全设置” -> “账户策略” -> “密码策略”。

找到“密码必须符合复杂性要求”策略，双击打开。

选择“已启用”，然后点击“应用”和“确定”

双击“密码长度最小值”

在弹出的窗口中，设置最小密码长度为13个字符。

2.用户安全管理(Windows)

a.设置取得文件或其他对象的所有权，将该权限只指派给

administrators 组；

按下 Win + R 键，在在搜索框中输入gpedit.msc，然后按回车键, 打开组策略编辑器：。

在组策略编辑器中，依次展开“计算机配置” -> “Windows 设置” -> “安全设置” -> “本地策略” -> “用户权限分配”。

找到“取得文件或其他对象的所有权”策略，双击打开。

在弹出的窗口中，点击“添加用户或组”按钮

点击对象类型

确保勾选给上“组”

输入administrators，然后点击“确定”

确保列表中只有administrators组被列出，点击“应用”和“确定”。

b.禁止普通用户使用命令提示符;

组策略编辑器中，依次展开“用户配置” -> “管理模板” -> “系统”。

在右侧找到“阻止访问命令提示符”策略，双击它。

在弹出的窗口中，选择“已启用”，然后点击“确定”保存设置。

c.设置不显示上次登录的用户名。

组策略管理编辑器中，依次展开“计算机配置” -> “Windows 设置” -> “安全设置” -> “本地策略” -> “安全选项”。

在右侧找到“交互式登录: 不显示最后的用户名”，双击它。

在弹出的窗口中，选择“已启用”，然后点击“确定”保存设置。

A-3 任务三 日志监控（Windows）

8.安全日志文件最大大小为 128MB，设置当达到最大的日志大小上限时，按需要覆盖事件（旧事件优先）；

按下Win + R键打开“运行”对话框，输入eventvwr.msc并按回车键

在事件查看器中，依次展开“Windows 日志” -> “安全”。

右键点击“安全”，选择“属性”。

在“安全属性”窗口中，可以设置日志的最大大小。输入128MB（或者131072KB）。

1MB=1024KB

所以128MB*1024=131072KB

在“达到事件日志最大大小时时”选项中，选择“覆盖事件”, 确保“按需要覆盖事件”被选中，这样旧事件将优先被覆盖。

点击“确定”保存设置。

9.应用日志文件最大大小为 64MB，设置当达到最大的日志大小上限时将其存档，不覆盖事件；

在“事件查看器”的左侧树状菜单中，依次展开“Windows 日志” -> “应用程序”。

在右侧的“操作”面板中，点击“属性”。

在“日志大小”部分，将“最大日志大小”设置为64MB。

64MB*1024=65536KB

在“达到事件日志最大大小时”部分，选择“日志满时将其存档，不覆盖事件”。

点击“确定”保存设置。

10.系统日志文件最大大小为 32MB，设置当达到最大的日志大小上限时，不覆盖事件（手动清除日志）。

在“事件查看器”的左侧树状菜单中，依次展开“Windows 日志” -> “系统”。

在右侧的“操作”面板中，点击“属性”。

在“日志大小”部分，将“日志最大大小”设置为32MB。

32MB*1024=32768KB

在“达到事件日志最大大小时”部分，选择“不覆盖事件（手动清除日志）”。

点击“确定”保存设置。

A-4 任务四 中间件服务加固 SSHD\VSFTPD\IIS（Windows, Linux）

13.IIS 加固（Windows）

a.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日

期、时间、客户端 IP 地址、用户名、方法)；

点击“开始”，选择“管理工具”，然后点击“Internet 信息服务 (IIS) 管理器”。

在IIS管理器中，展开左侧的树状菜单，找到并选择你要配置的网站。

由于是自己的搭建的环境，到时候要看比赛方是否指出让你对哪个网站进行设置。这里我就选择WIN-FGQCPDBNCH1）。对WIN-FGQCPDBNCH1）设置通常会影响服务器上所有的网站

在“功能视图”中，双击“日志”

在“格式”部分，选择“W3C”作为日志文件格式。

点击“选择字段”按钮，然后确保只选中以下字段：

1. 日期（date）
2. 时间（time）
3. 客户端IP地址（c-ip）
4. 用户名（cs-username）
5. 方法（cs-method）

b.关闭 IIS 的 WebDAV 功能增强网站的安全性。

在“功能视图”中，点击一下“WebDAV创作规则”（由于系统不一样，名称也可能不一样）

右侧“操作”中点击“停止”

A-5 任务五 本地安全策略（Windows）

打开“本地安全策略”管理工具：点击“开始”菜单，输入secpol.msc，然后按回车键。

14.禁止匿名枚举 SAM 帐户；

在“本地安全策略”管理工具中，导航到：安全设置 -> 本地策略 -> 安全选项

在右侧的策略列表中，找到并双击“网络访问：不允许 SAM 帐户和共享的匿名枚举”。

在弹出的属性窗口中，选择“已启用”，然后点击“应用”和“确定”。

15.禁止系统在未登录的情况下关闭；

在右侧的策略列表中，找到并双击“关机：允许系统在未登录的情况下关闭”。

在弹出的属性窗口中，选择“已禁用”，然后点击“应用”和“确定”。

16.禁止存储网络身份验证的密码和凭据；

在右侧的策略列表中，找到并双击“网络访问：不允许存储网络身份验证的密码和凭据”。

在弹出的属性窗口中，选择“已启用”，然后点击“应用”和“确定”。

（这里的图片错误，记得要选择“已启用”）

17.禁止将 Everyone 权限应用于匿名用户；

在右侧的策略列表中，找到并双击“网络访问：将Everyone权限应用于匿名用户”。

在弹出的属性窗口中，选择“已禁用”，然后点击“应用”和“确定”。

18.在超过登录时间后强制注销。

在右侧的策略列表中，找到并双击“网络安全：在超过登录时间后强制注销”。

在弹出的属性窗口中，选择“已启用”，然后点击“应用”和“确定”。

漫漫长夜中，总需要一个人挺身而出，做个“指路人”。