《网络安全的实现和管理_复习题1精编版[7页].docx》由会员分享,可在线阅读,更多相关《网络安全的实现和管理_复习题1精编版[7页].docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、最新资料推荐网络安全的管理和实现复习题不定项选择题1由于配置了密码安全设置,以下哪些密码是合格的复杂密码? a) 123$asd b) Jack123 c) yun67tong d) MOE#2005 e) Passw0rd答案:26页,ABDE2PKI解决方案能满足组织的下列哪些安全和技术需求? a) 保密性 b) 完整性 c) 不可抵赖性 d) 可用性答案:ABCD3以下哪个理由不是吊销证书的合法理由? a) 密钥泄露 b)停止操作 c) 被取代 d)证书到期答案:D名词解释1数字证书的生命周期 : 1)向CA提出申请 2)CA生成证书 3)将证书颁发给提出申请的用户,计算机或服务 4)用
2、户,计算机或服务在使用支持PKI的应用程序时使用证书 5)证书有效期限结束。 此时,证书:1)因为有效期限结束而过期 2)被续订。它可能会使用现有密钥对,也可能不使用。2EFS :加密文件系统3安全基线 :1) 服务和应用程序设置 2)操作系统组件的配置 3)权限和权力的分配 4)管理规程 问答题1通常情况下,建立一个安全基可以参考哪些准则?答:1)记录计算机上的所有应用程序和服务,如果没有计算机上的所有软件和硬件组件的完整清单,可能无法保护关键的组件,或者可能忽视需要对基线进行相应调整的硬件更改 2)记录操作系统,应用程序和服务所必需的安全设置,包括每一个与安全相关的设置和配置步骤。确保复核
3、这些指导方针以保证实用性3)将设置应用到每台计算机,考虑使用自动化的方式 4)建立审核方法以发现基线更改。除了基线更改之外,审核还能发现对计算机设置的更改。2分发计算机安全策略的方法有哪几种,说明一下方法的优缺点 -Windows Server 2003中的每个组的作用域分为:本地组、全局组、本地域组、通用组4种,其中本地域组驻留在域级别的Active Directory中;本地组:驻留在成员服务器和客户端计算机上,使用本地组授予计算机本地资源的访问权限,通常在非域环境中使用全局组:驻留在域级别的Active Directory中,使用全局组来组织分担相同工作任务和需要相似网络访问要求的用户,
4、可以是其他全局组、通用组、本地域组的成员本地域组:驻留在域级别的Active Directory中,可以为要在其中创建本地域组的那个域中的资源指派访问权限,可以把所有需要共享相同资源的全局组添加到相应的本地域组通用组:驻留在林级别的Active Directory中,想要嵌套全局组时可以使用通用组,以便为多个域中的资源指派权限,通用组可以是其他通用组、全局组、本地域组的成员,域功能级别是Win2000本机模式或更高时可以使用通用安全组,是win2000混合模式或更高时可使用通用组Windows Server 2003中支持的信任类型:父/子、树/根、外部、领域、林、快捷;父子:存在于林中所有域
5、之间,双向可传递,系统默认情况下创建的,不能被删除树根:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除外部:存在于不同林的域之间,单向或双向,不可传递领域:存在于非windows系统和Server2003域之间,单向或双向,传递或不可传递的林:存在于处于Server2003林功能模式的林之间,单向或双向,传递或不可传递快捷:存在于Server2003域中,单向或双向NTLM身份验证的工作原理;(P20)客户端将用户名密码发送到域控制器域控制器生成一个16位的随机字符串,称为Nonce客户端用用户密码的哈希加密Nonce,发送回域控制器域控制器从安全账户数据库中寻找用户密码的
6、哈希域控制器用寻找到的哈希加密Nonce,再和客户端加密的结果比对,若相同则通过身份验证简述PKI体系的组成;(P36)数字证书:是PKI的基础证书颁发机构CA:负责为用户、计算机、服务办法证书并管理证书证书模板:定义了数字证书的内容和用途证书吊销列表CRL:列出了在证书过期之前被CA吊销的证书AIA和CRL分发点CDP:分发点提供了组织内部或外部可获取证书和CRL的位置,AIA扩展指定获取CA最新证书的位置,CDP扩展指定获取CA签名的最新CRL的位置CA和证书管理工具:包括GUI和命令行工具说明独立CA与企业CA之间的区别;(P40)独立CA:通常作为离线CA,也可以是在线CA,离线CA就
7、是与网络断开的CA,用于防止签署证书的密钥丢失与Active Directory无关,可以部署在没有Active Directory的环境中必须通过Web向独立证书颁发机构提出证书申请所有证书申请必须由证书管理程序颁发或拒绝企业CA:通常作为颁发CA,为用户、计算机和服务办法证书必须部署在Active Directory环境中,Active Directory要作为配置和注册的数据库,并为证书提供发布点可以通过Web和证书申请向导向企业证书颁发机构提出证书申请证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表DACL规划CRL发布间隔应遵循哪些标准;(P50)客户端操作系统;例如w
8、in2000就不能使用增量CRLCRL获取网络负载;过于频繁的CRL发布会导致获取CRL所用的网络流量过大增量CRL大小;在基本CRL发布之后若间隔过长,会导致产生过大的增量CRL,应该使用增量CRL降低每次下载CRL的大小,使经常更新更有意义CRL吊销频率;证书的吊销频率对基本CRL和增量CRL的发布间隔有重大影响,应该及时更新CRL是被吊销的证书能够被及时识别复制延迟;CRL发布间隔受Active Directory目录服务复制延迟的限制,若复制周期为8小时,而发布周期小于8小时,则会导致CRL在复制完成前就不可用,路经验诊过程会失败注册表设置;可以通过修改注册表设置防止前一个CRL过期,
9、但是新的CRL因为复制延迟而没有按时发布到CRL分发点数字证书包含哪些信息;(P60)来自证书所有者的密钥对的公钥申请该证书的所有者的信息办法该证书的CA的信息数字证书的生命周期;(P60)提出证书申请CA生成证书将证书颁发给提出申请的用户、计算机、服务获得证书的用户、计算机、服务在使用支持PKI的应用程序时使用证书证书有效期到期:证书过期失效/续订证书,或者使用现有密钥对,或者重新使用新的密钥对证书注册的方法有哪些;(P67)用于颁发证书所用注册方法,将由从CA申请证书的CA类型、计算机的物理位置和网络上的颁发CA的类型决定基于Web“证书”控制台允许用户或计算机通过“证书”MMC管理单元的
10、证书注册向导从企业CA申请证书Certreq.exe命令允许用户提交、创建、获取、接受发送给CA的证书申请自动注册,允许客户端自动向CA发送证书申请和注册证书,只有Win XP和Win Server2003或更高的操作系统可以运行自动注册注册代理,使用注册代理证书签署证书申请,可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书密钥存档和恢复的要求有哪些;(P73)要在组织中完成密钥存档恢复,必须先确定CA是否满足密钥存档的基本要求模板2的证书模板CA运行Windows Server2003CMS的证书管理信息协议具有Windows Server2003架构扩展的Active Direct
11、ory,使用adprep.exe命令将第一个Server2003域控制器加入林中时,会自动安装架构扩展配置CA进行密钥存档的步骤有哪些;(P73)设置模板权限配置CA颁发KRA模板为用户颁发KRA批准KRA证书安装批准的KRA证书配置CA使用恢复代理配置新模板使用恢复代理配置CA基于新模板颁发证书当用户或计算机丢失了与数字证书相关的私钥时,可以启动密钥恢复过程,密钥恢复过程有哪些步骤;(P75)当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复,若证书已经通过证密钥存档归档,则可采取步骤:用户或颁发了证书的CA的证书管理者确定证书的序列号证书管理者从CA数据库中提取证书和加密的私钥,输出为P
12、KCS#7文件将PKCS#7文件交给密钥恢复代理KRAKRA在恢复工作站中从PKCS#7中恢复私钥和证书,保存为PKCS#12文件,KRA提供密码进行保护将PKCS#12文件交给用户,用户提供KRA指定的密码,并使用证书导入向导将私钥和证书导入证书存储区密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具Krt.exe使用智能卡进行多因素身份验证的好处有哪些;(P84)保护,智能卡为私钥和其他数据提供安全的防修改存储保护隔离,所有加密过程都在智能卡上完成,与计算机和网络无关,将安全敏感数据和系统的其他部分隔离开来了可移动性,智能卡上存储的数据可在计算机、网络之间快速传递单独使用,智能卡同时只能
13、被一个用户使用Windows Server 2003中提供哪几种证书模板支持智能卡的使用,它们的区别是什么;(P91)部署智能卡架构时还应该考虑要使用的智能卡证书模板,模板提供了一组规则和设置,根据证书预期的用途和证书颁发给用户的方式来定义证书的设置Windows Server2003支持多种证书模板来支持智能卡的使用:注册代理,允许授权用户作为代表其他用户的证书请求代理智能卡登陆,用户可以通过智能卡登陆智能卡用户,用户可以通过智能卡登陆并签署电子邮件在Windows Server 2003中的组策略中,包含哪些和智能卡相关的设置,它们的作用是什么;(P95)交互式登陆:要求智能卡登陆,用户不
14、能使用用户名密码登陆,必须使用智能卡登陆交互式登陆:智能卡移除操作,强制用户在拔除智能卡时注销或锁定他们的计算机交互式登陆:不允许智能卡设备重定向,可以防止智能卡设备和终端服务会话结合使用简述EFS的工作原理;(P101)EFS由用户模式的DDL动态链接库和内核模式的驱动共同构成,他们和NTFS一起合作共同启动EFSEFS驱动和NTFS文件系统驱动联系紧密,当NTFS处理加密文件时需要调用EFS的加密函数,当应用程序访问文件时,EFS负责加密和解密文件,EFS依赖于Server2003内置的加密支持用户首次加密文件,EFS会在本地证书储存区寻找供EFS使用的证书若证书存在且可用,用户已将某个文
15、件标记为加密,EFS则为该文件生成一个16位的随机数称为文件加密密钥KFS,用KFS加密文件内容,使用DESX、3DES、AES算法若证书不存在,EFS则向联机CA提交证书申请,若不存在证书颁发机构,则生成自签名证书EFS取出用户证书中指定与EFS一起使用的公钥,使用基于公钥的RSA算法来加密FEKEFS将加密后的FEK存储在正在加密文件的文件头的数据解密字段DDF中。若恢复代理可用,也可使用恢复代理的公钥来加密FEK。完成加密后,用户没有FEK指定的私钥的情况下,无法获取FEK来解密文件部署安全模版的方式有哪几种?组策略如果多台计算机有着相同的安全配置需求,那组策略是将安全模板部署到这些计算
16、机的首选方式“安全配置和分析”管理单元脚本编制怎么使用脚本编制从 High Security-Member Server Baseline.inf 安全模板中将用户权限分配导入到计算机中?(P135-136) 组策略,“安全配置和分析”管理单元,脚本编制(使用Secedit.exe) secedit.exe /configure /db secedit.sdb /cfg Enterprise Client-Member Server Baseline.inf /overwrite /areas USER_RIGHTS /log sec_config.log当通过使用组策略应用安全模板时,如果未
17、能将组策略应用到系统时,解决该问题的步骤有哪些?(P138)答案:1)使用Gpupdate刷新策略 2)分析Gpresult的输出以解释GPO被筛选掉的原因 3)通过域控制器同步客户端计算机上的时间,验证是否正确设置了时区 4)检查制定给希望优先应用的组策略的权限。验证用户具有“允许”权限而不是“拒绝”权限 5)在“应用程序”事件日志中查找相关事件,并诊断任何标识的问题 6)确定了问题或解决了问题 针对网络中的域控制器的安全威胁有哪些,怎么保护域控制器的安全?(P151)答:安全威胁:1)物理接入域控制器的恶意用户无时限地对域控制器进行攻击2)对存储在默认位置下的Active Director
18、y数据库和日志文件进行攻击3)对域控制器进行拒绝服务攻击导致服务失效4)干扰目录复制5)缓冲区溢出攻击6)对一个域有管理访问权的攻击者获得林中每个域的管理访问权7)社会工程保护措施:1)将域控制器放置在只有受信任的IT人员才能接触到的地方2)将Active Directory数据库和日志文件移动到非标准位置3)使多台域控制器同时在线,保护DNS基本架构,监视攻击4)保护DNS基本构架,使用IPSec保护复制5)使用所有最新的软件和服务包使域控制保持最新6)如果域遭受威胁会产生严重结果,请使用不同的林7)对用户和服务台人员进行关于防止泄露密码和其他敏感计算机信息培训使用域控制安全模版,移动活动目
19、录中数据库和日志文件的位置,调整活动目录事件日志文件的大小,使用SYSKEY保护存储在域控制器中的用户账户信息;简述保护Microsoft DNS服务器的指导方针;(P155)答:1)使用Active Directory集成DNS2)为不与Active Director集成的DNS服务器创建定制模板3)限制DNS区域传输4)限制对DNS服务器的外部访问5)启用“保护缓存防止污染”设置6)安全的动态更新7)调整DNS日志的大小简述Windows Server 2003中安全模板与管理模板之间的区别;(P179)答:安全模板:1)安全配置的文件表现 2)可以使用“安全模板”管理单元简单的编辑,是安
20、全处理文件中的文本的图形界面 3)使用扩展名为 .inf的文本文件 4)只包含某些特定安全设置。不能将设置添加到安全模板 5)只包含计算机的安全设置,不包含用户的安全设置 6)每个模板都是单独的文件,通常与在配置的安全性级别相关 7)在准备导入或应用它们之前应该将它们存储在安全的位置 8)通过导入到GPO或者使用“安全配置和分析”管理单元来应用 管理模板:1)控制管理员看到的配置选择 2)不存在特殊的编辑工具,因此可以使用文本编辑器编辑这些模板 3)使用扩展名为 .adm的文本文件 4)默认情况下包含一定的注册表设置,但是可以被修改为允许通过GPO的任何注册表配置设置 5)可以包含计算机和用户
21、的设置 6)可以从GPO中添加或删除多个模板。每个模板都控制一定的注册表区域 7)在GPO中添加或配置模板时,会自动将模板复制到Sysvol,并复制到所有域控制器 8)构成将要在本地策略或组策略中设置的配置选项的基础请说明Windows Server 2003组策略中的软件限制策略可以按照哪几种规则来识别软件;(P184)答:哈希规则,证书规则,路径规则,Internet区域规则;简述SUS基本架构由哪些组件组成,其中SUS服务器的作用是什么;(P196)答:Windows Update,SUS服务器,WEB管理工具,Automatic Updates客户端,组策略,MBSA。 作用:此服务器
22、维护更新程序的数据库和配置工具。IPSec验证模式共有哪几种,一般各用在哪些情况?(P224)答:对于身份验证,IPSec 允许使用 Kerberos V5 协议、基于证书的身份验证或预共享密钥身份验证。 Kerberos V5 安全协议是默认的身份验证技术。此方法可用于运行 Kerberos V5 协议并且是相同域或受信任域成员的所有客户端(无论它们是否是运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 操作系统)。 在以下情况中使用公钥证书:Internet 访问、对公司资源的远程访问、外部商业伙伴通信或不运行 Ke
23、rberos V5 安全协议的计算机。这就要求至少配置了一个受信任的证书颁发机构 (CA) 和关联的证书。运行 Windows 2000、Windows XP 或 Windows Server 2003 操作系统的计算机支持 X.509 版本 3 证书,包括商业性 CA 生成的计算机证书。 可指定预先共享密钥。预共享密钥使用便捷,而且不需要客户端运行 Kerberos V5 协议或拥有公钥证书。双方必须手动配置 IPSec 以使用此预共享密钥。建立SSL会话的过程由哪些步骤组成;(P241)答:1)客户端向服务器请求公钥2)服务器发送公钥给客户端3)客户端发送用公钥加密的会话密钥给服务器4)服
24、务器用服务器私鈅来解密从客户端收到的会话密钥。然后,会话密钥可作为共享密钥,用来加密和解密客户端与服务器间交换的数据。802.1X-EAP-TLS身份验证工作原理;(P255)答:(1)无线客户端在建立无线网络访问前确定集中授权的凭据;(2)当客户端需要网络访问时,它将凭据传递到无线 AP;无线 AP 然后将凭据传递到 NAAS 请求授权;(3)NAAS 检查凭据,查询访问策略,然后授予或拒绝对客户端的授权;(4)如果客户端得到了授权,则允许访问,客户端可以与无线 AP 安全的交换加密密钥。(密钥实际上是由 NAAS 生成并通过安全通道发送到无线 AP 的。)如果客户端未获得 NAAS 的授权
25、,就不再进行通信;(5)使用加密密钥,客户端和无线 AP 通过无线链路建立安全连接,并且建立了客户端与内部网络的连接;(6)客户端开始与内部网络中的设备进行通信。KDC:Key Distribution Center,密钥发布中心KA:主密钥;LSA:Local Security Authority;本地安全中心ACL:Access Control List;访问控制列表 CA:Certification Authority; 证书颁发机构AIA:Authority Information Access;PKI:Public Key Infrastructure;CRL:Certificate
26、 Revocation List;证书吊销列表AKI:颁发机构密钥标识符;KRA:Key Recovery Agent;DRA:Data Recovery Agent;EFS:Encrypting File System;加密文件系统DDF:Data Decryption Field;SAM:Security Accounts ManagerRADIUS:Remote Authentication Dial-in User Service;远程身份验证拨号用户服务IAS:Internet Authentication Service;VPN:虚拟专用网络最新精品资料整理推荐,更新于二二一年一月十八日2021年1月18日星期一17:52:16