《网络安全配置整理》由会员分享,可在线阅读,更多相关《网络安全配置整理(15页珍藏版)》请在金锄头文库上搜索。
1、第一章第一章1 资产的概念:资产的概念: 资产是组织内具备有形或无形价值的任何东西,它可以是资源,也可以是竞争优势。 组织必须保护他们的资产以求生存和发展 2 威胁威胁 :威胁是指可能对资产带来危险的任何活动。因为对资产带来危险的基本活动很少 改变,威胁的变化性小于漏洞。常见的威胁包括:1) 想方设法盗取、修改或破坏数据、系 统或设备的人;2) 引起数据、系统或设备损坏的灾难 漏洞:漏洞:漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括:1) 新开发的软 件和实现的硬件时常会带来新的漏洞;2) 人在忙碌时难免犯错;3)许多组织是以被动的而 非主动的方式应对网络安全问题 攻击:攻击:攻
2、击是指故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现,但是,当 每种攻击方法公开后,防范这种攻击的对策通常也会随后公开 3 常见的攻击者:常见的攻击者:术语“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络 访问权限的人。 4 电子欺骗:电子欺骗:伪装为其他人或其他事物;中间人:在通信双方未察觉的情况下拦截其传输 数据;后门:允许攻击者绕过安全措施访问系统的软件;拒绝服务:造成某个资源无法访 问;重放:捕获传输数据,然后再次使用;数据包嗅探:窃听网络通信;社交工程:诱使 用户违反正确地安全程序。 5 CIA 三角三角-安全管理人员必须决定机密性(confidentiality)
3、、完整性(Integrity)、可用性 (Availability) 6 安全基线:安全基线:为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、 web 服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全 的配置。 安全策略安全策略:创建文档,以详细说明所有安全策略。尽可能使用技术来确保安全策略的 实施 7 在 Windows2000 操作系统中主要提供了哪些网络身份验证方式?( A、B、C、D) A Kerberos V5 B 公钥证书 C 安全套接字层/传输层安全性(SSL/TLS) D 摘要和 NTLM 验证 E 口令认证 8在 Windows2
4、000 操作系统中主要提供了哪些安全策略来加强企业安全? (A、B、C、D、 E) A 密码策略 B 账户锁定策略 C Kerberos 策略 D 审核策略 E 用户权利 F 组织单位第二章第二章9 用户账户的类型:本地账户、域账户用户账户的类型:本地账户、域账户 本地账户可以存储在除域控制器外的任何一台 Windows 计算机上 域账户存储在域控制器的 Active Directory 中,所以在任何一台域成员计算机上都可以使用。10 SID 也也就是安全标识符(Security Identifiers),SID 是一个包含字符和数字的具有惟一 性的字符创,它在网络中代表用户。系统使用 SI
5、D 来判断哪些安全主体(如用户账户和安 全组)拥有对特定受保护资源的访问权限。 ACL Access Control List 本地安全组本地安全组根据相同的安全性需求将用户归为一组,这提高了安全性并使管理更方便。 安全组拥有走唯一的安全组拥有走唯一的 SID,这样它就可以用指定对资源的访问权限。,这样它就可以用指定对资源的访问权限。 11 交互式登录的过程:交互式登录的过程: (1)LSA 的 Winlogon 组件收集用户名和密码。 (2)LSA 查询 SAM,以验证用户名和密码 (3)LSA 根据用户账户 SID 和安全组 SID 创建一个访问令牌。 (4)访问令牌传递给后续进程,如果组
6、策略(Group Policy)没有更改缺省值,后续进程 应该是 Windows Explorer。至此,用户登录完成。 12 域:域:所谓域就是共享相同安全账户数据库的一组计算机,管理员能够集中管理域中 所有成员计算机的用户账户和安全组。 13 信任关系:信任关系:一个域的安全主体可能被包括在其信任域的 ACL 和安全组中,这被称 为信任关系。 和本地域账户类似,与用户账户和安全组在内部也用 SID 表示。域 SID 和本地 SID 以 同样的方法构建,区别在于用户账户数据存储在 Active Directory 服务中而不是在 SAM 中。14 TGT 票证授权(Ticket-Granti
7、ng Ticket),KDC 密钥发布中心 (Key Distribution Center) ,AS 身份验证服务 (Authentication) TGS 授权票证服务 (Ticket-Granting Service) 15 操作系统角色:操作系统角色:在域之间创建信任的机制完全是由操作系统来处理。当在 Active Directory 中添加域时,Windows 交换密钥,以使域之间彼此信任,当把客户端计算机添 加到域中时,Windows 交换密钥,以向 KDC 证实客户端计算机已加入域中 。 工作方式(25 页 两大段,自己理解) 16 OU:OU(Organizational Un
8、it,组织单位)是可以将用户、组、计算机和其它组织 单位放入其中的 AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理 权限的最小作用域或单元。ACL(Access Control List)第三章第三章17 账户策略账户策略是存储在组策略对象(GPO,Global Policy Object)的一些组策略设置 , 这些组策略对象(GPO)能控制操作系统中用户账户的相关特性。 18 如果用户不选取真正的随机密码,就应该考虑设置 12 个字符为密码长度最小值。 19 有 3 条可执行的账户策略设置用于账户锁定:账户锁定时间、账户锁定阈值、账户 锁定计数器清零时
9、间。 20 有有 5 个账户策略设置可以实现个账户策略设置可以实现 Kerberos 会话票证会话票证 :强制用户登录限制、服务票 证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。 21 组策略:组策略:组策略是用户界面限制与管理设置的结合,它可以防止用户更改计算机配 置以及使用违反组织安全策略的方式操作计算机 ;组策略还包含脚本和安装包。这就允许 管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置,同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置进行管 理;组策略也用来为一些指定的计算机配置一些特殊的需求 22 计算机和用户配置策
10、略有三个主要部分:计算机和用户配置策略有三个主要部分: (1)配置中的软件设置部分,包含主要由独立软件供应商提供的软件的软件安装设置 扩展。 (2)配置中的 Windows 设置部分,包含应用于 Windows 的设置,以及启动/关机脚本 (计算机配置)或者登陆/注销脚本(用户配置)。配置的 Windows 设置部分包含设定于 安全的大部分设置。 (3)管理员可以使用.adm 文件来扩展配置的管理员模块部分,该部分包括修改 Internet Explorer、Windows Explorer 和其他程序行为。 23 组策略应用中的隐蔽问题包括:组策略应用中的隐蔽问题包括: 对组策略所做的更改,
11、在本地起作用,但在其他站点上或其他域中不起作用;GPO 的 复制速度比预期慢的多;组策略仅应用了一部分,其他部分未得到应用。 24 预定义安全模板包括:预定义安全模板包括: (1)默认工作站(Basicwk.inf)、服务器(Basicsv.inf)和域控制器(Basicdc.inf)模 板用于已完成安装的标准计算机的安全设置。 (2)兼容工作站(Compatws.inf)模板降低了计算机的默认安全设置,以便于用户组 成员可以成功地运行未经 Windows 2000 验证的应用程序。 (3)安全的工作站、服务器(Securews.inf)和域控制器(Securedc.inf)模板为工作 站、服
12、务器和域控制器实现了 Microsoft 的安全推荐。 (4)高度安全的工作站、服务器(Hisecws.inf)和域控制器(Hisecdc.inf)模板设定 的安全设置,是以牺牲向下兼容性的代价保护计算机之间的网络通信。 (5)默认安全设置(Setup security.inf)模板为 Windows 2000 提供了默认安全设置。 (6)更新的安全默认域控制器(DC security.inf)模板为域控制器建立了更新的默认 安全设置。 25 有几种方法可以在一批计算机上部署安全模块有几种方法可以在一批计算机上部署安全模块:将安全模块导入 GPO、在多个域 和 GPO 上部署安全模块、手工导入
13、设置、使用 Secedit 进行部署。 26 选择题: 下列关于 Power Users 的描述哪些是不正确的?(E) A 除了 Windows 2000 认证的应用程序外,还可以运行一些旧版应用程序 B 安装不修改操作系统文件,并且不需要安装系统服务的应用程序 C 自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源 D 启动或停止默认情况下不启动的服务 E Power Users 具有将自己添加到 Administrators 组的权限 为了加强公司安全策略,在周末你启用了密码策略,要求用户密码长度必须符合 15 位 长,但是周一 Windows 95 和 Windows 9
14、8 用户报告说不能登录网络,可是登录 Windows 2000 的用户没有问题,可能是哪些原因造成的? A 密码位数过长,不能超过 7 位 B 密码位数过长,不能超过 14 位 C 需要重新安装 DNS D 密码策略尚没有复制到该分支结构第四章第四章2727 WindowsWindows 20002000 可以对下列资源类型应用权限:可以对下列资源类型应用权限: 1)NTFS 文件系统卷中的文件和文件夹 2)共享文件夹和打印机 3)注册表项 4)Active Directory 目录服务对象 随机访问控制列表(随机访问控制列表(DACL,Discretionary Access Control
15、 List)通常也称为)通常也称为 ACL 访问控制项(访问控制项(ACE,Access Control Entry) 系统访问控制列表(系统访问控制列表(SACL,System Access Control List) 28 NTFS (New Technology File System),是,是 WindowsNT 操作环境和操作环境和 Windows NT 高级高级 服务器服务器网络操作系统网络操作系统环境的环境的文件系统文件系统。 29 空空 ACL 如果 ACL 是空的,则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能 力,因此不管权限如何,都可以向 ACL 添加 A
16、CE。 不存在的不存在的 ACL 如果 ACL 不存在(这与 ACL 不同),则所有用户对该文件都拥有完全访问权。 30 要解决这个问题,可以用 Cacls 命令行工具来授予或删除特定 ACE,而不是影响或替换 其他 ACE 项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审 核权限,以确保没有意外地授予某些用户太多的访问权。然后可以使用 Cacls 命令检查不 合适的权限并进行替换。 管理 NTFS 文件系统权限的通用指导方针:P90 31 组策略的局限性组策略的局限性:使用组策略配置 Internet Explorer 安全性,请记住大部分设置只是限 制用户界面,它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改 Internet Explore 设置的程序、脚本或注册表文件,他们就可以覆盖组策略的设置。黑客们在 Internet 上出卖这类脚本的事情很常见。 32 管理员可以访问大多数注册表项,但无法看到也无法修改注册表中存储安全帐户管理器 (SAM,Security Accounts Manager)
