《(2020年){安全生产管理}网络安全的实现和管理复习题》由会员分享,可在线阅读,更多相关《(2020年){安全生产管理}网络安全的实现和管理复习题(14页珍藏版)》请在金锄头文库上搜索。
1、安全生产管理网络安全的实现和管理复习题似网络访问要求的用户,可以是其他全局组、通用组、本地域组的成员本地域组:驻留在域级别的ActiveDirectory中,可以为要在其中创建本地域组的那个域中的资源指派访问权限,可以把所有需要共享相同资源的全局组添加到相应的本地域组通用组:驻留在林级别的ActiveDirectory中,想要嵌套全局组时可以使用通用组,以便为多个域中的资源指派权限,通用组可以是其他通用组、全局组、本地域组的成员,域功能级别是Win2000本机模式或更高时可以使用通用安全组,是win2000混合模式或更高时可使用通用组WindowsServer2003中支持的信任类型:父/子、
2、树/根、外部、领域、林、快捷;父子:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除树根:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除外部:存在于不同林的域之间,单向或双向,不可传递领域:存在于非windows系统和Server2003域之间,单向或双向,传递或不可传递的林:存在于处于Server2003林功能模式的林之间,单向或双向,传递或不可传递快捷:存在于Server2003域中,单向或双向NTLM身份验证的工作原理;(P20)客户端将用户名密码发送到域控制器域控制器生成一个16位的随机字符串,称为Nonce客户端用用户密码的哈希加密Nonce,发
3、送回域控制器域控制器从安全账户数据库中寻找用户密码的哈希域控制器用寻找到的哈希加密Nonce,再和客户端加密的结果比对,若相同则通过身份验证简述PKI体系的组成;(P36)数字证书:是PKI的基础证书颁发机构CA:负责为用户、计算机、服务办法证书并管理证书证书模板:定义了数字证书的内容和用途证书吊销列表CRL:列出了在证书过期之前被CA吊销的证书AIA和CRL分发点CDP:分发点提供了组织内部或外部可获取证书和CRL的位置,AIA扩展指定获取CA最新证书的位置,CDP扩展指定获取CA签名的最新CRL的位置CA和证书管理工具:包括GUI和命令行工具说明独立CA与企业CA之间的区别;(P40)独立
4、CA:通常作为离线CA,也可以是在线CA,离线CA就是与网络断开的CA,用于防止签署证书的密钥丢失与ActiveDirectory无关,可以部署在没有ActiveDirectory的环境中必须通过Web向独立证书颁发机构提出证书申请所有证书申请必须由证书管理程序颁发或拒绝企业CA:通常作为颁发CA,为用户、计算机和服务办法证书必须部署在ActiveDirectory环境中,ActiveDirectory要作为配置和注册的数据库,并为证书提供发布点可以通过Web和证书申请向导向企业证书颁发机构提出证书申请证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表DACL规划CRL发布间隔应遵
5、循哪些标准;(P50)客户端操作系统;例如win2000就不能使用增量CRLCRL获取网络负载;过于频繁的CRL发布会导致获取CRL所用的网络流量过大增量CRL大小;在基本CRL发布之后若间隔过长,会导致产生过大的增量CRL,应该使用增量CRL降低每次下载CRL的大小,使经常更新更有意义CRL吊销频率;证书的吊销频率对基本CRL和增量CRL的发布间隔有重大影响,应该及时更新CRL是被吊销的证书能够被及时识别复制延迟;CRL发布间隔受ActiveDirectory目录服务复制延迟的限制,若复制周期为8小时,而发布周期小于8小时,则会导致CRL在复制完成前就不可用,路经验诊过程会失败注册表设置;可
6、以通过修改注册表设置防止前一个CRL过期,但是新的CRL因为复制延迟而没有按时发布到CRL分发点数字证书包含哪些信息;(P60)来自证书所有者的密钥对的公钥申请该证书的所有者的信息办法该证书的CA的信息数字证书的生命周期;(P60)提出证书申请CA生成证书将证书颁发给提出申请的用户、计算机、服务获得证书的用户、计算机、服务在使用支持PKI的应用程序时使用证书证书有效期到期:证书过期失效/续订证书,或者使用现有密钥对,或者重新使用新的密钥对证书注册的方法有哪些;(P67)用于颁发证书所用注册方法,将由从CA申请证书的CA类型、计算机的物理位置和网络上的颁发CA的类型决定基于Web“证书”控制台允
7、许用户或计算机通过“证书”MMC管理单元的证书注册向导从企业CA申请证书命令允许用户提交、创建、获取、接受发送给CA的证书申请自动注册,允许客户端自动向CA发送证书申请和注册证书,只有WinXP和WinServer2003或更高的操作系统可以运行自动注册注册代理,使用注册代理证书签署证书申请,可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书密钥存档和恢复的要求有哪些;(P73)要在组织中完成密钥存档恢复,必须先确定CA是否满足密钥存档的基本要求模板2的证书模板CA运行WindowsServer2003CMS的证书管理信息协议具有WindowsServer2003架构扩展的ActiveD
8、irectory,使用命令将第一个Server2003域控制器加入林中时,会自动安装架构扩展配置CA进行密钥存档的步骤有哪些;(P73)设置模板权限配置CA颁发KRA模板为用户颁发KRA批准KRA证书安装批准的KRA证书配置CA使用恢复代理配置新模板使用恢复代理配置CA基于新模板颁发证书当用户或计算机丢失了与数字证书相关的私钥时,可以启动密钥恢复过程,密钥恢复过程有哪些步骤;(P75)当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复,若证书已经通过证密钥存档归档,则可采取步骤:用户或颁发了证书的CA的证书管理者确定证书的序列号证书管理者从CA数据库中提取证书和加密的私钥,输出为PKCS#7
9、文件将PKCS#7文件交给密钥恢复代理KRAKRA在恢复工作站中从PKCS#7中恢复私钥和证书,保存为PKCS#12文件,KRA提供密码进行保护将PKCS#12文件交给用户,用户提供KRA指定的密码,并使用证书导入向导将私钥和证书导入证书存储区密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具使用智能卡进行多因素身份验证的好处有哪些;(P84)保护,智能卡为私钥和其他数据提供安全的防修改存储保护隔离,所有加密过程都在智能卡上完成,与计算机和网络无关,将安全敏感数据和系统的其他部分隔离开来了可移动性,智能卡上存储的数据可在计算机、网络之间快速传递单独使用,智能卡同时只能被一个用户使用Windo
10、wsServer2003中提供哪几种证书模板支持智能卡的使用,它们的区别是什么;(P91)部署智能卡架构时还应该考虑要使用的智能卡证书模板,模板提供了一组规则和设置,根据证书预期的用途和证书颁发给用户的方式来定义证书的设置WindowsServer2003支持多种证书模板来支持智能卡的使用:注册代理,允许授权用户作为代表其他用户的证书请求代理智能卡登陆,用户可以通过智能卡登陆智能卡用户,用户可以通过智能卡登陆并签署电子邮件在WindowsServer2003中的组策略中,包含哪些和智能卡相关的设置,它们的作用是什么;(P95)交互式登陆:要求智能卡登陆,用户不能使用用户名密码登陆,必须使用智能
11、卡登陆交互式登陆:智能卡移除操作,强制用户在拔除智能卡时注销或锁定他们的计算机交互式登陆:不允许智能卡设备重定向,可以防止智能卡设备和终端服务会话结合使用简述EFS的工作原理;(P101)EFS由用户模式的DDL动态链接库和内核模式的驱动共同构成,他们和NTFS一起合作共同启动EFSEFS驱动和NTFS文件系统驱动联系紧密,当NTFS处理加密文件时需要调用EFS的加密函数,当应用程序访问文件时,EFS负责加密和解密文件,EFS依赖于Server2003内置的加密支持用户首次加密文件,EFS会在本地证书储存区寻找供EFS使用的证书若证书存在且可用,用户已将某个文件标记为加密,EFS则为该文件生成
12、一个16位的随机数称为文件加密密钥KFS,用KFS加密文件内容,使用DESX、3DES、AES算法若证书不存在,EFS则向联机CA提交证书申请,若不存在证书颁发机构,则生成自签名证书EFS取出用户证书中指定与EFS一起使用的公钥,使用基于公钥的RSA算法来加密FEKEFS将加密后的FEK存储在正在加密文件的文件头的数据解密字段DDF中。若恢复代理可用,也可使用恢复代理的公钥来加密FEK。完成加密后,用户没有FEK指定的私钥的情况下,无法获取FEK来解密文件部署安全模版的方式有哪几种?组策略如果多台计算机有着相同的安全配置需求,那组策略是将安全模板部署到这些计算机的首选方式“安全配置和分析”管理
13、单元脚本编制怎么使用脚本编制从HighSecurity-MemberServer安全模板中将用户权限分配导入到计算机中?(P135-136)组策略,“安全配置和分析”管理单元,脚本编制(使用)/configure/db/cfgEnterpriseClient-MemberServer/overwrite/areasUSER_RIGHTS/logsec_当通过使用组策略应用安全模板时,如果未能将组策略应用到系统时,解决该问题的步骤有哪些?(P138)答案:1)使用Gpupdate刷新策略2)分析Gpresult的输出以解释GPO被筛选掉的原因3)通过域控制器同步客户端计算机上的时间,验证是否正确
14、设置了时区4)检查制定给希望优先应用的组策略的权限。验证用户具有“允许”权限而不是“拒绝”权限5)在“应用程序”事件日志中查找相关事件,并诊断任何标识的问题6)确定了问题或解决了问题针对网络中的域控制器的安全威胁有哪些,怎么保护域控制器的安全?(P151)答:安全威胁:1)物理接入域控制器的恶意用户无时限地对域控制器进行攻击2)对存储在默认位置下的ActiveDirectory数据库和日志文件进行攻击3)对域控制器进行拒绝服务攻击导致服务失效4)干扰目录复制5)缓冲区溢出攻击6)对一个域有管理访问权的攻击者获得林中每个域的管理访问权7)社会工程保护措施:1)将域控制器放置在只有受信任的IT人员
15、才能接触到的地方2)将ActiveDirectory数据库和日志文件移动到非标准位置3)使多台域控制器同时在线,保护DNS基本架构,监视攻击4)保护DNS基本构架,使用IPSec保护复制5)使用所有最新的软件和服务包使域控制保持最新6)如果域遭受威胁会产生严重结果,请使用不同的林7)对用户和服务台人员进行关于防止泄露密码和其他敏感计算机信息培训使用域控制安全模版,移动活动目录中数据库和日志文件的位置,调整活动目录事件日志文件的大小,使用SYSKEY保护存储在域控制器中的用户账户信息;简述保护MicrosoftDNS服务器的指导方针;(P155)答:1)使用ActiveDirectory集成DNS2)为不与ActiveDirector集成的DNS服务器创建定制模板3)限制DNS区域传输4)限制对DNS服务器的外部访问5)启用“保护缓存防止污染”设置6)安全的动态更新7)调整DNS日志的大小简述WindowsServer2003中安全模板与管理模板之间的区别;(P179)
