江宝推荐我的一个平台,可以在网上学习并且做一些项目,第一个项目是来自SAP(思爱普)的。
一、关于密码策略
这是这个项目的任务书,从上图的要求看出本项目与安全态势、身份验证有关。要符合ISO 27002用于信息安全控制。
- 身份.csv:“4G$2U3j2$cm@3ur9u”
- 客户端密码策略.pdf:“kAcC9N5u^a**#K3Hk”
接下来是阅读下载到本地的文件,看看用户的密码是否符合标准。可以帮助我思考在企业中能否发现相关的人的漏洞并且及时修正。
1.阅读密码策略,如下图,了解密码制定、维护的策略
①可以看到首先所有等级的密码都应该每90天更新一次;
②上面提到所有的产品 系统等级的密码必须来自安全密码数据库中;
③所有用户级别不能重复使用最近十次使用过的密码;
④密码不能以明文形式传播;
⑤所有用户、系统或者LEIN/NCIC级别密码还得遵循下面规则:
•在所有系统上的最小长度为12个字符
•不是一个字典上的单词或专有名称。
•与用户ID不同。
•过期时间不超过90个日历天。
•与前十(3)个密码不相同。
•不能在安全位置外以明文或明文传输。
•输入时不显示。
•确保只重置授权用户的密码。
之后对于删除密码的策略也要了解,主要是针对合约到期、员工离职等情况密码交接时,要根据策略对密码、账户进行一个删除工作。
任务部分:审计20个密码,判断是否符合。尽管我们用程序就可以识别,但是依旧需要我们本身就有安全意识。
二、关于钓鱼
审计了几封邮件,判断是否为钓鱼邮件
三、整一个Windowsserver2019
四、审计一份扫描结果,判断存在的弊端,给出建议,获取证书。
