第三届全国技能大赛网络安全项目(模块A)复现与练习(五)—WinServer域控服务器配置指南(下)

原创 已于 2025-11-20 16:48:56 修改 · 598 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #全国技能大赛网络安全 #天枢一体化虚拟仿真靶场平台 #网络安全竞赛 #网络安全竞赛赛题

于 2025-11-20 16:14:56 首次发布

        本文是企业级 Windows 域控服务器(DC) 的专项配置,核心围绕skills.cn域的搭建、用户组管理及四类核心策略(登录横幅、密码安全、访问控制、审计监控)展开。适用于 Windows Server 2022 环境,可直接作为标准域控配置模板,兼顾安全性与可操作性,助力快速构建合规的域环境。

 环境说明

检查项

要求

操作系统版本

Windows Server 2022

复现平台持:

天枢一体化虚拟仿真靶场平台

静态 IP 配置

已固定(示例:10.0.8.1)

主机名

已修改为dc(避免默认随机名)

网络连通性

内网互通,无防火墙拦截 AD 端口

管理员权限

拥有本地管理员账户

接上篇:

四、核心策略组配置

4.1 Issuer 策略组(登录横幅配置)

(1)配置目标

  • 登录时显示横幅标题:Welcome Skills Ltd.
  • 登录时显示警示信息:For authorized users only(提示未授权访问违法)

(2)操作步骤

      【Server Manager】→ 【Tools】→ 打开【Group Policy Management】

       展开【林: skills.cn】→ 【域】→ 右键skills.cn→ 【Create a GPO in this domain, and Link it here...

      GPO 名称输入【Issuer】→ 点击【确定】(创建 GPO 并自动链接到skills.cn域)

      右键【Issuer】GPO→ 【Edit】,打开【 Group Policy Management  Editor】

 (3)  配置路径:

Computer Configuration

→ 【Policies】→ 【Windows Settings】→【 Security Settings】→【Local Policies】 

→ 【Security Options】→ 【Interactive logon: Message title for users attempting to log on】

→【Interactive logon: Message text for users attempting to log on】 

生效与验证:

  • 在域控或域内客户端执行命令:gpupdate /force(强制刷新组策略,无需重启)
  • 注销当前用户→ 重新登录时,会先显示配置的横幅标题和警示信息→ 验证成功。

4.2 创建Account 策略组和配置

编辑策略组完成以下配置

  • 设置用户密码必须符合复杂性要求。
  • 设置用户密码最小长度为8位。
  • 设置用户可以立即修改密码,密码最长使用期限为30天。

以下路径配置密码策略:

Computer Configuration

→ Policies

→ Windows Settings

→ Security Settings

→ Account Policies

→ Password Policy

配置如图所示:

4.3 ACL 策略组(访问控制配置)

(1)配置目标:

针对【Client】用户组(普通用户)限制敏感操作,防止误改系统配置:

  • 拒绝访问控制面板
  • 拒绝访问注册表
  • 拒绝访问命令提示符

注意不同的winserver版本可能最后的配置项名称不同,这里以世赛提供的winserver版本为例。

(2)前置操作:创建 Client OU 并移动相关对象

  • ADUC→ 右键skills.cn→ 【News】→ 【Organizationl Unit】→ 名称输入【Client】→ 取消勾选【防止意外删除】→ 确定

  • 选中【Users】下的【Client】组、【client01】【client02】用户→ 右键【移动】→ 选择【skills.cn/Client】→ 确定(将相关对象移动到 Client OU)

(3) 单独对该OU创建策略组

(4)配置策略组:

① 设置拒绝Client用户组访问控制面板。

② 设置拒绝Client用户组访问注册表。

③ 设置拒绝Client用户组访问命令提示符。

拒绝用户访问控制面板的路径如下

User Configuration

 → Policies

   → Administrative Templates

     → Control Panel

选择开启然后点击Show..之后输入* 隐藏所有选项

接下来的两个路径都在

User Configuration  

  → Policies  

    → Administrative Templates  

      → System  

配置为图中所示

4.4 Audit 策略组(审计监控配置)

(1)配置目标

实现域内关键操作的日志审计,便于安全追溯:

① 对"登录"、"注销""、""账户锁定""审核策略开启成功和失败事件审核。

② 对"凭据验证"、"计算机账户管理"、"安全组管理"审核策略开启成功事件审核。

③ 对C:\share文件夹中的paris.jpg文件设置审计,使域内任何用户访问该文件时都会被记录事件日志。

(2)配置 1:登录 / 注销 / 账户锁定审核

Computer Configuration

  → Policies

    → Windows Settings

      → Security Settings

        → Advanced Audit Policy Configuration

          → Audit Policies

            → Logon/Logoff

配置为如图所示:

(3)配置 2:配置凭据验证、计算机账户管理、安全组管理的审核(注意此处只对成功做审核

Computer Configuration

 → Policies

   → Windows Settings

     → Security Settings

       → Advanced Audit Policy Configuration

         → Audit Policies

           → Account Management

(4)配置 3:文件访问做日志审计

Computer Configuration

 → Policies

   → Windows Settings

     → Security Settings

       → Advanced Audit Policy Configuration

         → Audit Policies

           → Object Access

然后对C:\share\paris.jpg做设置

2023年全国职业院校技能大赛GZ073网络系统管理模块A:网络构建
dekangzou的博客
01-01 6695
2023年全国职业院校技能大赛GZ073网络系统管理模块A:网络构建
第三届全国技能大赛网络安全项目模块A)复现练习)—WinServer服务器配置指南(上)
lightningyang的博客
11-20 748
适用于 Windows Server 2022 环境,可直接作为标准配置模板,兼顾安全可操作性,助力快速构建合规的环境。按上述步骤创建 client02、ldap、vpn01 用户,分别加入 Client、WEB、VPN 组。ADUC→ 【Users】→ 右键选中【client01】→ 【Add to a group】创建服务之前先固定静态ip和主机名,由于在第一篇中已经设置ip了所以这里只配置主机名为dc。安装过程中若提示 “缺少依赖功能”,直接点击【添加功能】自动补充,无需手动操作。
第三届全国技能大赛网络安全模块A)复现练习(九)—Office 区 PC(Windows 和 Linux)加入及 Wazuh-Agent 部署
lightningyang的博客
11-25 810
本篇文章主要为了让 Office 区 PC1(Windows)、PC2(Linux)加入并部署 Wazuh-Agent 的操作,部分操作内容需要结合(第三届全国技能大赛网络安全模块A)复现练习(八)—Wazuh-Agent 跨系统部署)的内容进行实操步骤,这个章节就不在介绍。弹出账户验证窗口,输入。
2023年第三届陕西省大学生网络安全技能大赛--本科高校组 Reverse
OrientalGlass的博客
06-03 4862
这次比总体感觉很好,比前几天黑盾杯和国坐牢要好太多,虽然一些目没见过,但是在网上查一下就能找到相关文章和工具还要重视理论知识水平,不能做脚本小子,这些目虽然有现成的工具做,但还是要了解一下相关原理,不然下次变一下就呆住了.例如这个的babypython,以前都是用工具或者脚本直接干pyc文件,这次只能生啃字节码(还好有gpt强大的分析能力),甚至还有很多混淆和跳转代码,也是锻炼到了啃字节码的能力另一方面,个人的经验还是不足,还要继续多做,多比,多复现,勤能补拙。
2023 年全国网络安全行业职业技能大赛-电子数据取证分析师总决解析WP
Aluxian_的博客
01-24 5075
简介电子数据取证分析师项目需要选手对各类电子数据的现场及在线提取固定,如不同的存储介质、智能终端、服务器及数据库、物联网和工程制系统等,恢复基于物理修复或数据特征等的电子数据,并进行分析。项目旨在测评参选手在电子数据的提取、固定、恢复、分析等一系列理论知识和技术技能。任务描述本项目需要运用不同的电子数据取证技术,任务有以下部分:电子数据提取固定电子数据恢复电子数据分析1.在开始配置前详细阅读所有的任务。每一项任务都可能和前后任务的完成有所依赖。依赖于上一项或下一项的完成。
网络安全技能大赛C模块夺旗攻击篇讲解(免费获得比环境)
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
10-21 3298
假定你是某企业的网络安全渗透测试工程师,负责企业某些服务器安全防护,为了更好的寻找企业网络中可能存在的各种问和漏洞。你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客的心态,从而改善您的防御策略
届强网杯全国网络安全挑战 复现(有目附件,详解)
路baby的博客
07-26 1万+
届强网杯全国网络安全挑战 复现(有目附件,详解) 目名称:签到 问卷 BlueTeaming CipherMan ISO1995 EzTime threebody 加油各位( •̀ ω •́ )y期待君再相逢
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 21万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
wp篇 adminlogin【第四届江西省高校网络安全技能大赛
这周末在做梦的博客
10-03 2683
这里写目录标一,目描述二,环境复现三,playload和exp四,学习收获,个人心得 一,目描述 简而言之,附件中是一条连接,目访问url/admin.php可以进入下图页面很明显,这是一道SQL注入。 二,环境复现 环境复现的附件我就放在,资源里面了,大家可以免费下载。 需要创建一个数据库ddctf(解释一下,我的英文ID是daydream,本人没有冒犯"DDCTF"的意思),然后引用source.sql。 admin.php也经过了测试,waf使用的是非完全版——即不一定完全当时的wa
CVE-2020-1472复现(包含Win Server 2012环境搭建)
Zyecho的博客
10-21 1421
CVE-2020-1472复现(包含Win Server 2012环境搭建),详细记录了CVE-2020-1472复现,将中保存在AD中的管理员password设置为空。
第三届江西省高校网络安全技能大赛 部分wp&Crypto的疑惑
monster663的博客
09-01 2716
2020 第三届江西省高校网络安全技能大赛 Misc1-Hello 直接把目拿去base64,得flag Base64: Q01JU0NDVEZ7V2VsY29tZV9DVEZlciF9 Flag: CMISCCTF{Welcome_CTFer!} Misc2-encrypt 本来是想考zip伪加密,通过winhex修改加密标志位解除伪加密,奈何我的360压缩无视了它的伪加密,直接打开了压缩包,把目拿去解base64两次,得flag Base64两次: UTAxSlUwTkRWRVo3Um1GclpWO
[ 内网渗透实战篇-2 ] 父架构的搭建安装&环境判断&定位&组策略&森林架构配置&信任关系
qq_51577576的博客
11-07 1235
[ 内网渗透实战篇-2 ] 父架构的搭建安装&环境判断&定位&组策略&森林架构配置&信任关系 1、学习如何搭建父子架构 2、了解森林架构以及、父子的不同 3、掌握如何判断主机是否在单内 4、掌握如何判断主机是否在父子内 5、掌握如何定位当前DC 6、掌握如何获取当前其他信息 其他信息:用户及组,网络架构等、手工工具:常见命令,工具插件等、角色信息
HTTP vs HTTPS:从明文到加密的Web安全演进
m0_62396717的博客
11-22 1057
HTTP(超文本传输协议)是互联网数据通信的基础,它属于应用层协议,默认端口是80,采用明文数据传输。问的关键:所有信息都是明文传输的HTTPS(超文本传输安全协议)是在HTTP的基础上扬长避短来的。传输方式从之前的明文传输变为了加密传输,默认端口为443,相较于HTTP他的性能较慢,因为存在加密解密的开销。
5G时代的网络安全挑战解决方案:守护数字未来
2501_94114373的博客
11-21 903
5G技术的普及正在推动全球通信网络进入全新的时代,同时也带来了前所未有的安全挑战。在面对这些挑战时,我们必须采取全面的安全防护措施,从物联网设备的安全到核心网络的防护,从隐私保护到全球协作,只有在多个层面同时发力,才能真正保障5G时代的网络安全。随着技术的不断进步和各方的共同努力,5G将能够为全球数字经济的繁荣提供安全、稳定的网络环境。
最适合零基础的渗透测试学习路径:理论+实战+就业,我在湖南网安基地实现了
最新发布
2401_84466227的博客
11-25 616
你是否也曾这样过?——对现状不满,想转行到高薪且充满挑战的网络安全,却被“零基础”三个字死死拦在门外。网上资料铺天盖地,却像无头苍蝇一样不知从何学起;看了几个教程,理论一头雾水,动手寸步难行;更深的夜里,一个终极问总会浮现:“就算我学会了,真的能找到工作吗?”对于零基础的你而言,“自学路线图”是你的航海图,而像湖南省网安基地科技有限公司这样的平台,则是能载你穿越风浪、直达目的地的旗舰。建议你主动搜索其官方渠道,关注其人才培养动态,这或许是让你从迷茫的自学者,蜕变为企业争抢的专业工程师最关键的一步。
SpringSecurity相关jar包的介绍
2509_94006401的博客
11-25 165
Spring Security是spring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的 授权功能。是一款非常优秀的权限管理框架。Spring Security主要jar包功能介绍。
【要闻周报】网络安全数据合规 11-21
专注于制造仓库、生产线边仓、物流仓储等人工拆零拣选辅助系统以及前沿技术。
11-21 1143
部门联合发布《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》、《中国互联网发展报告2025》和《世界互联网发展报告2025》、全国网安标委发布支撑《网络数据安全管理条例》、北京互联网法院审结一起关联App共享用户数据引发的人格权侵权案、上海市通管局通报53款侵害用户权益的App(SDK)、欧盟:EDPB通过对巴西充分性决定草案意见、美国:纽约州总检察长就新法案生效发布警示,提醒纽约市民警惕算法定价。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8822
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值