精编安全生产网络安全的实现和管理复习题.docx
- 文档编号:10690129
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:14
- 大小:119.23KB
精编安全生产网络安全的实现和管理复习题.docx
《精编安全生产网络安全的实现和管理复习题.docx》由会员分享,可在线阅读,更多相关《精编安全生产网络安全的实现和管理复习题.docx(14页珍藏版)》请在冰豆网上搜索。
精编安全生产网络安全的实现和管理复习题
【安全生产】网络安全的实现和管理复习题
xxxx年xx月xx日
xxxxxxxx集团企业有限公司
Pleaseenteryourcompany'snameandcontentv
《网络安全的管理和实现》复习题
不定项选择题
1.由于配置了密码安全设置,以下哪些密码是合格的复杂密码?
a)123$asdb)Jack123c)yun67tong
d)MOE#2005e)Passw0rd
答案:
26页,ABDE
2.PKI解决方案能满足组织的下列哪些安全和技术需求?
a)保密性b)完整性c)不可抵赖性d)可用性
答案:
ABCD
3.以下哪个理由不是吊销证书的合法理由?
a)密钥泄露b)停止操作c)被取代d)证书到期
答案:
D
名词解释
1.数字证书的生命周期:
1)向CA提出申请2)CA生成证书3)将证书颁发给提出申请的用户,计算机或服务4)用户,计算机或服务在使用支持PKI的应用程序时使用证书5)证书有效期限结束。
此时,证书:
1)因为有效期限结束而过期2)被续订。
它可能会使用现有密钥对,也可能不使用。
2.EFS:
加密文件系统
3.安全基线:
1)服务和应用程序设置2)操作系统组件的配置3)权限和权力的分配4)管理规程
问答题
1.通常情况下,建立一个安全基可以参考哪些准则?
答:
1)记录计算机上的所有应用程序和服务,如果没有计算机上的所有软件和硬件组件的完整清单,可能无法保护关键的组件,或者可能忽视需要对基线进行相应调整的硬件更改2)记录操作系统,应用程序和服务所必需的安全设置,包括每一个与安全相关的设置和配置步骤。
确保复核这些指导方针以保证实用性
3)将设置应用到每台计算机,考虑使用自动化的方式4)建立审核方法以发现基线更改。
除了基线更改之外,审核还能发现对计算机设置的更改。
2.分发计算机安全策略的方法有哪几种,说明一下方法的优缺点
---------------------------------------------
WindowsServer2003中的每个组的作用域分为:
本地组、全局组、本地域组、通用组4种,其中本地域组驻留在域级别的ActiveDirectory中;
本地组:
驻留在成员服务器和客户端计算机上,使用本地组授予计算机本地资源的访问权限,通常在非域环境中使用
全局组:
驻留在域级别的ActiveDirectory中,使用全局组来组织分担相同工作任务和需要相似网络访问要求的用户,可以是其他全局组、通用组、本地域组的成员
本地域组:
驻留在域级别的ActiveDirectory中,可以为要在其中创建本地域组的那个域中的资源指派访问权限,可以把所有需要共享相同资源的全局组添加到相应的本地域组
通用组:
驻留在林级别的ActiveDirectory中,想要嵌套全局组时可以使用通用组,以便为多个域中的资源指派权限,通用组可以是其他通用组、全局组、本地域组的成员,域功能级别是Win2000本机模式或更高时可以使用通用安全组,是win2000混合模式或更高时可使用通用组
WindowsServer2003中支持的信任类型:
父/子、树/根、外部、领域、林、快捷;
父子:
存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除
树根:
存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除
外部:
存在于不同林的域之间,单向或双向,不可传递
领域:
存在于非windows系统和Server2003域之间,单向或双向,传递或不可传递的
林:
存在于处于Server2003林功能模式的林之间,单向或双向,传递或不可传递
快捷:
存在于Server2003域中,单向或双向
NTLM身份验证的工作原理;(P20)
①客户端将用户名密码发送到域控制器
②域控制器生成一个16位的随机字符串,称为Nonce
③客户端用用户密码的哈希加密Nonce,发送回域控制器
④域控制器从安全账户数据库中寻找用户密码的哈希
⑤域控制器用寻找到的哈希加密Nonce,再和客户端加密的结果比对,若相同则通过身份验证
简述PKI体系的组成;(P36)
数字证书:
是PKI的基础
证书颁发机构CA:
负责为用户、计算机、服务办法证书并管理证书
证书模板:
定义了数字证书的内容和用途
证书吊销列表CRL:
列出了在证书过期之前被CA吊销的证书
AIA和CRL分发点CDP:
分发点提供了组织内部或外部可获取证书和CRL的位置,AIA扩展指定获取CA最新证书的位置,CDP扩展指定获取CA签名的最新CRL的位置
CA和证书管理工具:
包括GUI和命令行工具
说明独立CA与企业CA之间的区别;(P40)
独立CA:
①通常作为离线CA,也可以是在线CA,离线CA就是与网络断开的CA,用于防止签署证书的密钥丢失
②与ActiveDirectory无关,可以部署在没有ActiveDirectory的环境中
③必须通过Web向独立证书颁发机构提出证书申请
④所有证书申请必须由证书管理程序颁发或拒绝
企业CA:
①通常作为颁发CA,为用户、计算机和服务办法证书
②必须部署在ActiveDirectory环境中,ActiveDirectory要作为配置和注册的数据库,并为证书提供发布点
③可以通过Web和证书申请向导向企业证书颁发机构提出证书申请
④证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表DACL
规划CRL发布间隔应遵循哪些标准;(P50)
①客户端操作系统;例如win2000就不能使用增量CRL
②CRL获取网络负载;过于频繁的CRL发布会导致获取CRL所用的网络流量过大
③增量CRL大小;在基本CRL发布之后若间隔过长,会导致产生过大的增量CRL,应该使用增量CRL降低每次下载CRL的大小,使经常更新更有意义
④CRL吊销频率;证书的吊销频率对基本CRL和增量CRL的发布间隔有重大影响,应该及时更新CRL是被吊销的证书能够被及时识别
⑤复制延迟;CRL发布间隔受ActiveDirectory目录服务复制延迟的限制,若复制周期为8小时,而发布周期小于8小时,则会导致CRL在复制完成前就不可用,路经验诊过程会失败
⑥注册表设置;可以通过修改注册表设置防止前一个CRL过期,但是新的CRL因为复制延迟而没有按时发布到CRL分发点
数字证书包含哪些信息;(P60)
①来自证书所有者的密钥对的公钥
②申请该证书的所有者的信息
③办法该证书的CA的信息
数字证书的生命周期;(P60)
①提出证书申请
②CA生成证书
③将证书颁发给提出申请的用户、计算机、服务
④获得证书的用户、计算机、服务在使用支持PKI的应用程序时使用证书
⑤证书有效期到期:
证书过期失效/续订证书,或者使用现有密钥对,或者重新使用新的密钥对
证书注册的方法有哪些;(P67)
用于颁发证书所用注册方法,将由从CA申请证书的CA类型、计算机的物理位置和网络上的颁发CA的类型决定
①基于Web
②“证书”控制台允许用户或计算机通过“证书”MMC管理单元的证书注册向导从企业CA申请证书
③Certreq.exe命令允许用户提交、创建、获取、接受发送给CA的证书申请
④自动注册,允许客户端自动向CA发送证书申请和注册证书,只有WinXP和WinServer2003或更高的操作系统可以运行自动注册
⑤注册代理,使用注册代理证书签署证书申请,可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书
密钥存档和恢复的要求有哪些;(P73)
要在组织中完成密钥存档恢复,必须先确定CA是否满足密钥存档的基本要求
①模板2的证书模板
②CA运行WindowsServer2003
③CMS的证书管理信息协议
④具有WindowsServer2003架构扩展的ActiveDirectory,使用adprep.exe命令将第一个Server2003域控制器加入林中时,会自动安装架构扩展
配置CA进行密钥存档的步骤有哪些;(P73)
①设置模板权限
②配置CA颁发KRA模板
③为用户颁发KRA
④批准KRA证书
⑤安装批准的KRA证书
⑥配置CA使用恢复代理
⑦配置新模板使用恢复代理
⑧配置CA基于新模板颁发证书
当用户或计算机丢失了与数字证书相关的私钥时,可以启动密钥恢复过程,密钥恢复过程有哪些步骤;(P75)
当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复,若证书已经通过证密钥存档归档,则可采取步骤:
①用户或颁发了证书的CA的证书管理者确定证书的序列号
②证书管理者从CA数据库中提取证书和加密的私钥,输出为PKCS#7文件
③将PKCS#7文件交给密钥恢复代理KRA
④KRA在恢复工作站中从PKCS#7中恢复私钥和证书,保存为PKCS#12文件,KRA提供密码进行保护
⑤将PKCS#12文件交给用户,用户提供KRA指定的密码,并使用证书导入向导将私钥和证书导入证书存储区
密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具Krt.exe
使用智能卡进行多因素身份验证的好处有哪些;(P84)
①保护,智能卡为私钥和其他数据提供安全的防修改存储保护
②隔离,所有加密过程都在智能卡上完成,与计算机和网络无关,将安全敏感数据和系统的其他部分隔离开来了
③可移动性,智能卡上存储的数据可在计算机、网络之间快速传递
④单独使用,智能卡同时只能被一个用户使用
WindowsServer2003中提供哪几种证书模板支持智能卡的使用,它们的区别是什么;(P91)
部署智能卡架构时还应该考虑要使用的智能卡证书模板,模板提供了一组规则和设置,根据证书预期的用途和证书颁发给用户的方式来定义证书的设置
WindowsServer2003支持多种证书模板来支持智能卡的使用:
①注册代理,允许授权用户作为代表其他用户的证书请求代理
②智能卡登陆,用户可以通过智能卡登陆
③智能卡用户,用户可以通过智能卡登陆并签署电子邮件
在WindowsServer2003中的组策略中,包含哪些和智能卡相关的设置,它们的作用是什么;(P95)
①交互式登陆:
要求智能卡登陆,用户不能使用用户名密码登陆,必须使用智能卡登陆
②交互式登陆:
智能卡移除操作,强制用户在拔除智能卡时注销或锁定他们的计算机
③交互式登陆:
不允许智能卡设备重定向,可以防止智能卡设备和终端服务会话结合使用
简述EFS的工作原理;(P101)
EFS由用户模式的DDL动态链接库和内核模式的驱动共同构成,他们和NTFS一起合作共同启动EFS
EFS驱动和NTFS文件系统驱动联系紧密,当NTFS处理加密文件时需要调用EFS的加密函数,当应用程序访问文件时,EFS负责加密和解密文件,EFS依赖于Server2003内置的加密支持
①用户首次加密文件,EFS会在本地证书储存区寻找供EFS使用的证书
②若证书存在且可用,用户已将某个文件标记为加密,EFS则为该文件生成一个16位的随机数称为文件加密密钥KFS,用KFS加密文件内容,使用DESX、3DES、AES算法
③若证书不存在,EFS则向联机CA提交证书申请,若不存在证书颁发机构,则生成自签名证书
④EFS取出用户证书中指定与EFS一起使用的公钥,使用基于公钥的RSA算法来加密FEK
⑤EFS将加密后的FEK存储在正在加密文件的文件头的数据解密字段DDF中。
若恢复代理可用,也可使用恢复代理的公钥来加密FEK。
完成加密后,用户没有FEK指定的私钥的情况下,无法获取FEK来解密文件
部署安全模版的方式有哪几种?
组策略如果多台计算机有着相同的安全配置需求,那组策略是将安全模板部署到这些计算机的首选方式
“安全配置和分析”管理单元
脚本编制
怎么使用脚本编制从HighSecurity-MemberServerBaseline.inf安全模板中将用户权限分配导入到计算机中?
(P135-136)
组策略,“安全配置和分析”管理单元,脚本编制(使用Secedit.exe)
secedit.exe/configure/dbsecedit.sdb/cfg"EnterpriseClient-MemberServerBaseline.inf"/overwrite/areasUSER_RIGHTS/logsec_config.log
当通过使用组策略应用安全模板时,如果未能将组策略应用到系统时,解决该问题的步骤有哪些?
(P138)
答案:
1)使用Gpupdate刷新策略
2)分析Gpresult的输出以解释GPO被筛选掉的原因
3)通过域控制器同步客户端计算机上的时间,验证是否正确设置了时区
4)检查制定给希望优先应用的组策略的权限。
验证用户具有“允许”权限而不是“拒绝”权限
5)在“应用程序”事件日志中查找相关事件,并诊断任何标识的问题
6)确定了问题或解决了问题
针对网络中的域控制器的安全威胁有哪些,怎么保护域控制器的安全?
(P151)
答:
安全威胁:
1)物理接入域控制器的恶意用户无时限地对域控制器进行攻击
2)对存储在默认位置下的ActiveDirectory数据库和日志文件进行攻击
3)对域控制器进行拒绝服务攻击导致服务失效
4)干扰目录复制
5)缓冲区溢出攻击
6)对一个域有管理访问权的攻击者获得林中每个域的管理访问权
7)社会工程
保护措施:
1)将域控制器放置在只有受信任的IT人员才能接触到的地方
2)将ActiveDirectory数据库和日志文件移动到非标准位置
3)使多台域控制器同时在线,保护DNS基本架构,监视攻击
4)保护DNS基本构架,使用IPSec保护复制
5)使用所有最新的软件和服务包使域控制保持最新
6)如果域遭受威胁会产生严重结果,请使用不同的林
7)对用户和服务台人员进行关于防止泄露密码和其他敏感计算机信息培训
使用域控制安全模版,移动活动目录中数据库和日志文件的位置,调整活动目录事件日志文件的大小,使用SYSKEY保护存储在域控制器中的用户账户信息;
简述保护MicrosoftDNS服务器的指导方针;(P155)
答:
1)使用ActiveDirectory集成DNS
2)为不与ActiveDirector集成的DNS服务器创建定制模板
3)限制DNS区域传输
4)限制对DNS服务器的外部访问
5)启用“保护缓存防止污染”设置
6)安全的动态更新
7)调整DNS日志的大小
简述WindowsServer2003中安全模板与管理模板之间的区别;(P179)
答:
安全模板:
1)安全配置的文件表现2)可以使用“安全模板”管理单元简单的编辑,是安全处理文件中的文本的图形界面3)使用扩展名为.inf的文本文件4)只包含某些特定安全设置。
不能将设置添加到安全模板5)只包含计算机的安全设置,不包含用户的安全设置6)每个模板都是单独的文件,通常与在配置的安全性级别相关7)在准备导入或应用它们之前应该将它们存储在安全的位置8)通过导入到GPO或者使用“安全配置和分析”管理单元来应用
管理模板:
1)控制管理员看到的配置选择2)不存在特殊的编辑工具,因此可以使用文本编辑器编辑这些模板3)使用扩展名为.adm的文本文件4)默认情况下包含一定的注册表设置,但是可以被修改为允许通过GPO的任何注册表配置设置5)可以包含计算机和用户的设置6)可以从GPO中添加或删除多个模板。
每个模板都控制一定的注册表区域7)在GPO中添加或配置模板时,会自动将模板复制到Sysvol,并复制到所有域控制器8)构成将要在本地策略或组策略中设置的配置选项的基础
请说明WindowsServer2003组策略中的软件限制策略可以按照哪几种规则来识别软件;(P184)
答:
哈希规则,证书规则,路径规则,Internet区域规则;
简述SUS基本架构由哪些组件组成,其中SUS服务器的作用是什么;(P196)
答:
WindowsUpdate,SUS服务器,WEB管理工具,AutomaticUpdates客户端,组策略,MBSA。
作用:
此服务器维护更新程序的数据库和配置工具。
IPSec验证模式共有哪几种,一般各用在哪些情况?
(P224)
答:
对于身份验证,IPSec允许使用KerberosV5协议、基于证书的身份验证或预共享密钥身份验证。
KerberosV5安全协议是默认的身份验证技术。
此方法可用于运行KerberosV5协议并且是相同域或受信任域成员的所有客户端(无论它们是否是运行Windows2000、WindowsXPProfessional或WindowsServer2003操作系统)。
在以下情况中使用公钥证书:
Internet访问、对公司资源的远程访问、外部商业伙伴通信或不运行KerberosV5安全协议的计算机。
这就要求至少配置了一个受信任的证书颁发机构(CA)和关联的证书。
运行Windows2000、WindowsXP或WindowsServer2003操作系统的计算机支持X.509版本3证书,包括商业性CA生成的计算机证书。
可指定预先共享密钥。
预共享密钥使用便捷,而且不需要客户端运行KerberosV5协议或拥有公钥证书。
双方必须手动配置IPSec以使用此预共享密钥。
建立SSL会话的过程由哪些步骤组成;(P241)
答:
1)客户端向服务器请求公钥
2)服务器发送公钥给客户端
3)客户端发送用公钥加密的会话密钥给服务器
4)服务器用服务器私鈅来解密从客户端收到的会话密钥。
然后,会话密钥可作为共享密钥,用来加密和解密客户端与服务器间交换的数据。
802.1X-EAP-TLS身份验证工作原理;(P255)
答:
(1)无线客户端在建立无线网络访问前确定集中授权的凭据;
(2)当客户端需要网络访问时,它将凭据传递到无线AP;无线AP然后将凭据传递到NAAS请求授权;
(3)NAAS检查凭据,查询访问策略,然后授予或拒绝对客户端的授权;
(4)如果客户端得到了授权,则允许访问,客户端可以与无线AP安全的交换加密密钥。
(密钥实际上是由NAAS生成并通过安全通道发送到无线AP的。
)如果客户端未获得NAAS的授权,就不再进行通信;
(5)使用加密密钥,客户端和无线AP通过无线链路建立安全连接,并且建立了客户端与内部网络的连接;
(6)客户端开始与内部网络中的设备进行通信。
KDC:
KeyDistributionCenter,密钥发布中心
KA:
主密钥;
LSA:
LocalSecurityAuthority;本地安全中心
ACL:
AccessControlList;访问控制列表
CA:
CertificationAuthority;证书颁发机构
AIA:
AuthorityInformationAccess;
PKI:
PublicKeyInfrastructure;
CRL:
CertificateRevocationList;证书吊销列表
AKI:
颁发机构密钥标识符;
KRA:
KeyRecoveryAgent;
DRA:
DataRecoveryAgent;
EFS:
EncryptingFileSystem;加密文件系统
DDF:
DataDecryptionField;
SAM:
SecurityAccountsManager
RADIUS:
RemoteAuthenticationDial-inUserService;远程身份验证拨号用户服务
IAS:
InternetAuthenticationService;
VPN:
虚拟专用网络
谢谢阅读!
!
!
随心编辑,值得下载拥有!
专业│专注│精心│卓越
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精编 安全生产 网络安全 实现 管理 复习题