DNS
端口53
根据解析内容的分类:
正向解析(名字-IP)
反向解析(IP-名字)
配置DNS服务器
资源记录类别(标识)
A 正向解析
PTR反向解析
CNAME别名解析
服务器安全基线
为了满足安全规范要求,服务器必须要达到的最低安全标准
参生《GBT22239-2019信息安全技术网络安全等级保护基本要求》
2)操作系统安全基线
1)作用
设置口令复杂度策略、防止暴力破解密码
控制用户的文件权限,减少被攻击后的影响
最小化安装操作系统,防止不必要的服务带来的安全问题
2)安全配置
用户管理
密码策略
共享管理
文件权限管理
用户权限管理
日志审核管理
远程管理
本地安全策略
本地安全策略:为保护计算机资源而配置的规则
打开本地安全策
控制面板-管理工具-本地安全策略
开始菜单-windows管理工具-本地安全策略
运行-secpol.msc
3)本地安全策略主要包含
帐户策略:密码策略
帐户锁定策略
本地策略:审核策略
用户权限分配
安全选项
4)密码策略
密码必须符合复杂性要求:复杂密码满足条件,英文小写、大写、数字、特殊符号、四个条件取其三
密码长度最小值:0-14,0表示长度不限制
密码最长使用期限:默认42,取值范围0-999,0表示密码永不过期
密码最短使用期限:默认0表示无限制,随时可以更改密码,取值范围0-998
强制密码历史:默认0表示历史曾经用过的密码可以随时使用,取值范围0-24
测试暴力破解时长
https://www.security.org/how-secure-is-my-password/
验证:
配置Win2016用户密码可以使用123456
配置Win10用户密码不可以使用123456
5)帐户锁定策略
帐户锁定阈值:配置用户输入错误密码的次数,取值范围0-999,0表示不锁定帐户。
帐户锁定时间:帐户锁定多长时间自动解锁,单位分钟,取值范围0-99999, 0表示必须管理手动解锁。
重置帐户锁定计数器:用户输入错误密码开始计时,此时间超时,计数器重置为0
验证:
配置帐户锁定阈值为3,注销普通用户登录,输入3次错误密码,第4次输入正确密码看提示
配置锁定时间为1分钟,验证1分钟后是否解锁。
配置锁定时间为0分种,注销普通用户登录,输入3次错误密码
Administrator用户注销登录,手动解锁
注:administrator管理员用户不受此策略影响
内置帐户可以禁用,可以改名,不可以删除
6)审核策略
启用审核策略=安装监控
事件查看器=监控服务器存数据
验证审核账户管理
清除日志:控制面板-管理工具-事件查看器-windows日志-右击安全-清除日志
启用审核帐户管理:本地安全策略-本地策略-审核策略-双击审核帐户管理-勾选成功与失败-确定
Administrator修改普通用户名
查事:控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标事件内容
用户权限分配
更改系统时间
关闭系统
允许本地登录
拒绝本地登录
拒绝从网络访问这台计算机
验证:普通用户更改系统时间
普通用户登录系统尝试更改系统时间
本地安全策略-本地策略-用户权限分配-双击更改系统时间-添加普通用户
普通用户再次注销登录系统尝试更改系统时间
验证:普通用户关闭系统
Win10主机普通用户登录,点击开始菜单关闭系统
Win2016主机普通用户登录,点击开始菜单关闭系统
本地安全策略-本地策略-用户权限分配-双击关闭系统添加普通用户
Win2016主机普通用户登录,点击开始菜单关闭系统
验证:允许本地登录
本地安全策略-本地策略-用户权限分配-双击允许本地登录-删除users-确定
验证普通用户能否本地登录
普通用户能够本地登录
安全选项
交互式登录: 试图登录的用户消息标题
交互式登录: 试图登录的用户消息文本
交互式登录: 无须按ctrl+alt+delete
交互式登录: 提示用户过期之前更改密码(默认5天)
网络访问: 本地帐户的共享和安全模型-经典
帐户: 使用空密码的本地帐户仅允许控制台登录
关机: 允许系统在未登录的情况下关闭
交互式登录: 不显示最后的用户名