网络安全配置整理.docx

网络安全配置整理.docx

《网络安全配置整理.docx》由会员分享，可在线阅读，更多相关《网络安全配置整理.docx（23页珍藏版）》请在冰豆网上搜索。

网络安全配置整理

第一章

1资产的概念：

资产是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。

组织必须保护他们的资产以求生存和发展

2威胁：

威胁是指可能对资产带来危险的任何活动。

因为对资产带来危险的基本活动很少改变，威胁的变化性小于漏洞。

常见的威胁包括：

1）想方设法盗取、修改或破坏数据、系统或设备的人；2）引起数据、系统或设备损坏的灾难

漏洞：

漏洞是可被威胁利用的安全性上的弱点。

出现漏洞的常见原因包括：

1）新开发的软件和实现的硬件时常会带来新的漏洞；2）人在忙碌时难免犯错；3）许多组织是以被动的而非主动的方式应对网络安全问题

攻击：

攻击是指故意绕过计算机安全控制的尝试。

利用漏洞的新攻击不断出现，但是，当每种攻击方法公开后，防范这种攻击的对策通常也会随后公开

3常见的攻击者：

术语“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。

4电子欺骗：

伪装为其他人或其他事物；中间人：

在通信双方未察觉的情况下拦截其传输数据；后门：

允许攻击者绕过安全措施访问系统的软件；拒绝服务：

造成某个资源无法访问；重放：

捕获传输数据，然后再次使用；数据包嗅探：

窃听网络通信；社交工程：

诱使用户违反正确地安全程序。

5CIA三角-安全管理人员必须决定机密性（confidentiality）、完整性（Integrity）、可用性（Availability）

6安全基线：

为配置特定类型的计算机创建一套经过测试的标准。

为安全电子邮件服务器、web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。

确保系统保持安全的配置。

安全策略：

创建文档，以详细说明所有安全策略。

尽可能使用技术来确保安全策略的实施

7在Windows2000操作系统中主要提供了哪些网络身份验证方式？

（A、B、C、D）

AKerberosV5

B公钥证书

C安全套接字层/传输层安全性（SSL/TLS）

D摘要和NTLM验证

E口令认证

8．在Windows2000操作系统中主要提供了哪些安全策略来加强企业安全？

（A、B、C、D、

E）

A密码策略

B账户锁定策略

CKerberos策略

D审核策略

E用户权利

F组织单位

第二章

9用户账户的类型：

本地账户、域账户

本地账户可以存储在除域控制器外的任何一台Windows计算机上

域账户存储在域控制器的ActiveDirectory中，所以在任何一台域成员计算机上都可以使用。

10SID也就是安全标识符（SecurityIdentifiers），SID是一个包含字符和数字的具有惟一性的字符创，它在网络中代表用户。

系统使用SID来判断哪些安全主体（如用户账户和安全组）拥有对特定受保护资源的访问权限。

ACLAccessControlList

本地安全组根据相同的安全性需求将用户归为一组，这提高了安全性并使管理更方便。

安全组拥有走唯一的SID，这样它就可以用指定对资源的访问权限。

11交互式登录的过程：

（1）LSA的Winlogon组件收集用户名和密码。

（2）LSA查询SAM，以验证用户名和密码

（3）LSA根据用户账户SID和安全组SID创建一个访问令牌。

（4）访问令牌传递给后续进程，如果组策略（GroupPolicy）没有更改缺省值，后续进程应该是WindowsExplorer。

至此，用户登录完成。

12域：

所谓域就是共享相同安全账户数据库的一组计算机，管理员能够集中管理域中所有成员计算机的用户账户和安全组。

13信任关系：

一个域的安全主体可能被包括在其信任域的ACL和安全组中，这被称为信任关系。

和本地域账户类似，与用户账户和安全组在内部也用SID表示。

域SID和本地SID以同样的方法构建，区别在于用户账户数据存储在ActiveDirectory服务中而不是在SAM中。

14TGT票证授权（Ticket-GrantingTicket）,KDC密钥发布中心（KeyDistributionCenter）,AS身份验证服务（Authentication）TGS授权票证服务（Ticket-GrantingService）

15操作系统角色：

在域之间创建信任的机制完全是由操作系统来处理。

当在ActiveDirectory中添加域时，Windows交换密钥，以使域之间彼此信任，当把客户端计算机添加到域中时，Windows交换密钥，以向KDC证实客户端计算机已加入域中。

工作方式（25页两大段，自己理解）

16OU：

OU（OrganizationalUnit，组织单位）是可以将用户、组、计算机和其它组织单位放入其中的AD（ActiveDirectory，活动目录）容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

ACL（AccessControlList）

第三章

17账户策略是存储在组策略对象（GPO，GlobalPolicyObject）的一些组策略设置，这些组策略对象（GPO）能控制操作系统中用户账户的相关特性。

18如果用户不选取真正的随机密码，就应该考虑设置12个字符为密码长度最小值。

19有3条可执行的账户策略设置用于账户锁定：

账户锁定时间、账户锁定阈值、账户锁定计数器清零时间。

20有5个账户策略设置可以实现Kerberos会话票证：

强制用户登录限制、服务票证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。

21组策略：

组策略是用户界面限制与管理设置的结合，它可以防止用户更改计算机配置以及使用违反组织安全策略的方式操作计算机；组策略还包含脚本和安装包。

这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。

组策略用来对用户组和计算机的管理和安全设置进行管理；组策略也用来为一些指定的计算机配置一些特殊的需求

22计算机和用户配置策略有三个主要部分：

（1）配置中的软件设置部分，包含主要由独立软件供应商提供的软件的软件安装设置扩展。

（2）配置中的Windows设置部分，包含应用于Windows的设置，以及启动/关机脚本（计算机配置）或者登陆/注销脚本（用户配置）。

配置的Windows设置部分包含设定于安全的大部分设置。

（3）管理员可以使用.adm文件来扩展配置的管理员模块部分，该部分包括修改InternetExplorer、WindowsExplorer和其他程序行为。

23组策略应用中的隐蔽问题包括：

对组策略所做的更改，在本地起作用，但在其他站点上或其他域中不起作用；GPO的复制速度比预期慢的多；组策略仅应用了一部分，其他部分未得到应用。

24预定义安全模板包括：

（1）默认工作站（Basicwk.inf）、服务器（Basicsv.inf）和域控制器（Basicdc.inf）模板用于已完成安装的标准计算机的安全设置。

（2）兼容工作站（Compatws.inf）模板降低了计算机的默认安全设置，以便于用户组成员可以成功地运行未经Windows2000验证的应用程序。

（3）安全的工作站、服务器（Securews.inf）和域控制器（Securedc.inf）模板为工作站、服务器和域控制器实现了Microsoft的安全推荐。

（4）高度安全的工作站、服务器（Hisecws.inf）和域控制器（Hisecdc.inf）模板设定的安全设置，是以牺牲向下兼容性的代价保护计算机之间的网络通信。

（5）默认安全设置（Setupsecurity.inf）模板为Windows2000提供了默认安全设置。

（6）更新的安全默认域控制器（DCsecurity.inf）模板为域控制器建立了更新的默认安全设置。

25有几种方法可以在一批计算机上部署安全模块：

将安全模块导入GPO、在多个域和GPO上部署安全模块、手工导入设置、使用Secedit进行部署。

26选择题：

下列关于PowerUsers的描述哪些是不正确的？

（E）

A除了Windows2000认证的应用程序外，还可以运行一些旧版应用程序

B安装不修改操作系统文件，并且不需要安装系统服务的应用程序

C自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源

D启动或停止默认情况下不启动的服务

EPowerUsers具有将自己添加到Administrators组的权限

为了加强公司安全策略，在周末你启用了密码策略，要求用户密码长度必须符合15位长，但是周一Windows95和Windows98用户报告说不能登录网络，可是登录Windows2000的用户没有问题，可能是哪些原因造成的？

A密码位数过长，不能超过7位

B密码位数过长，不能超过14位

C需要重新安装DNS

D密码策略尚没有复制到该分支结构

第四章

27Windows2000可以对下列资源类型应用权限：

1）NTFS文件系统卷中的文件和文件夹

2）共享文件夹和打印机

3）注册表项

4）ActiveDirectory目录服务对象

随机访问控制列表（DACL，DiscretionaryAccessControlList）通常也称为ACL

访问控制项（ACE，AccessControlEntry）

系统访问控制列表（SACL，SystemAccessControlList）

28NTFS（NewTechnologyFileSystem），是WindowsNT操作环境和WindowsNT高级服务器网络操作系统环境的文件系统。

29空ACL

如果ACL是空的，则所有用户都无权访问该文件。

拥有所有权的账户总是有更改权限的能力，因此不管权限如何，都可以向ACL添加ACE。

不存在的ACL

如果ACL不存在（这与ACL不同），则所有用户对该文件都拥有完全访问权。

30要解决这个问题，可以用Cacls命令行工具来授予或删除特定ACE，而不是影响或替换其他ACE项。

使用此工具可以修复包含数据的卷中的权限问题。

应该在服务器上按季度审核权限，以确保没有意外地授予某些用户太多的访问权。

然后可以使用Cacls命令检查不合适的权限并进行替换。

管理NTFS文件系统权限的通用指导方针：

P90

31组策略的局限性：

使用组策略配置InternetExplorer安全性，请记住大部分设置只是限制用户界面，它们并未真正禁用某类功能。

如果用户利用其他界面或下载可以修改InternetExplore设置的程序、脚本或注册表文件，他们就可以覆盖组策略的设置。

黑客们在Internet上出卖这类脚本的事情很常见。

32管理员可以访问大多数注册表项，但无法看到也无法修改注册表中存储安全帐户管理器（SAM,SecurityAccountsManager）安全数据库的部分。

绝大多数用户都适用于这样的设置。

第五章

33访问控制是授权用户或组访问网络对象的过程。

身份验证是验证某事或某人身份的过程。

授权是确定经身份验证的用户或进程是否有权访问资源，并指定用户对资源享有何种访问级别的过程。

34访问控制条件：

1）允许已授权的用户访问他们请求的资源

2）阻止XX的用户访问资源

35最小特权原则是指，为方便用户工作，应该为用户分配所必需的权限级别——但是不要超过这个级别。

通过拒绝与完成工作无关的访问类型，攻击者就不能使用额外的特权绕开网络安全措施

36控制资源访问的两种方式：

1）基于密码的访问控制

2）基于用户的访问控制

37Windows使用两种主要的身份验证协议：

NTLANManager（HTLM）和Kerberos。

Windows2000和WindowsXPProfessional支持下述三种咨询-响应身份验证方法：

LANManager（LM）、NTLMv1、NTLMv2.

38访问控制模型：

自由访问控制（DAC,DiscretionaryAccessControl）

基于角色的访问控制（RBAC，Role-basedInternetExplore）

强制访问控制（MAC，MandatoryInternetExplore）

39Windows身份验证方式

1）自动的身份验证

单点登录（SSO，SingleSignOn）系统，例如Kerberos，自动执行身份验证过程，但并不是完全不需要登录到所访问的每台服务器。

2）质询——响应身份验证

40保护账户安全（MBSA，MicrosoftBaselineSecurityAnalyzer）含义:

Microsoft基准安全分析器（MBSA）可以检查操作系统和SQLServer更新,MBSA还可以扫描计算机上的不安全配置。

第六章

41密钥加密：

也成为对称密钥加密，这种加密使用同一种密钥加密和解密数据。

42密钥加密算法存在的问题：

尽管可以将加密后的原文发送给任何人而不用担心被揭解密，但是却不能将密钥发送给需要解密的人，因为如果在传输时密钥被拦截，就可以被用来解密原文。

由于无法将密钥传送给远方的接收人，所以纯粹的密钥系统不适合在Internet这样的公共载体上传送信息。

43数字签名是通过加密身份信息进行身份验证的一种方法，任何人都可以解密此信息以便进行验证，但是只有信息的原作者能加密该信息。

44数字签名的工作原理：

在公钥加密密码系统中，加密密钥是公钥，解密密钥是私钥。

而在数字签名系统中，加密密钥是私钥，解密密钥是公钥。

45证书是一种数据结构，可以包含无数个公钥、私钥、密钥和数字签名。

证书主要用于执行受信的第三方身份验证。

46如果整个企业普遍使用证书，且发行证书的CA都有相同的根CA，那么所有这些CA和基于证书的服务就称为公钥基础结构（PKI，PublicKeyInfrastructure）。

47强力攻击的威胁：

强力攻击（或称分解攻击）中，黑客会使用所有可能的值，尝试确定签署文件所使用的私钥，直到与数字签名匹配为止。

48证书吊销列表（CRL,CertificateRevocationList）：

CA发布一个不再有效的证书的列表。

这个列表称为“证书吊销列表”

使用Internet信息服务（IIS,InternetInformationServices）：

发布文本文件。

49证书可以为下列情况提供安全解决方案：

安全电子邮件、软件代码签名、安全Web通信、智能卡登录、IPSec客户端身份验证、加密文件系统（EFS,EncryptingFileSystem）

缩写：

邮件扩充协议（SecureMultipurposeInternetMailExtension,S/MIME）

安全套接层（SSL，SecureSocketsLayer）

传输层安全（TLS,TransportLayerSecurity）

50Windows2000支持两类CA:

独立CA（StandaloneCA）、企业CA（EnterpriseCA）。

缩写：

加密服务提供程序（CSP,CryptographicServiceProviders）

51企业CA保存在ActiveDirectory的CA对象中。

52加密服务提供程序（CSP）是执行身份验证、编码和加密服务的代码，基于Windows的应用程序会访问这些服务。

CSP负责创建密钥、销毁密钥，以及使用密钥执行多种加密操作。

53吊销证书的原因：

未指定、密钥泄露、CA泄露、附属关系改变、被取代、停止操作、证书保留

54选择题

企业业务急剧扩张，因此为销售部门购进一批笔记本电脑，这些电脑都奉送智能卡和智能卡接口设备。

希望销售部门实现通过智能卡进行域验证，但是在申请证书页面没有查询到智能卡证书，请确定可能是由以下哪种原因造成的。

（B）

A这是企业CA

B这是独立CA

C用户权限不够

DCA有效期限已过

第七章

55密钥：

是用来改变加密结果的。

不知道密钥，解密数据就会困难很多。

采用密钥算法的好处是，多个用户可以使用相同的算法加密或解密不同的数据源。

即使知道了算法和一个密钥，仍无法解密那些使用相同算法，但用不同密钥加密的数据。

采用密钥算法，就可以使用公开算法，而不会影响数据的安全。

大部分商业算法都是公开的，政府情报机构有时候会使用保密算法。

57选择一个密钥，并使用指定算法和该密钥加密选择的词

58加密法的一般用途：

现代加密法可以提供保密性、数据完整性、身份验证、不可抵赖性并能防止重放攻击——所有这一切都有助于加强数据安全性。

59评估加密强度的考虑因素：

没有绝对安全的加密算法。

只要知道算法并有足够的时间，攻击者就能重建大部分加密数据。

强算法基于可靠的数学方法，其创建加密数据的模式不可预见，并且有一个足够长的密钥，所以强算法可以组织大部分攻击。

如果使用了强算法，攻破加密的唯方法就是获取密钥。

攻击者要获取密钥，可能会通过窃取、诱使某人泄露密钥或尝试各种可能的密钥组合。

最后使用的方法一般称为强力攻击。

增加迷药的长度会使攻击者使用强力攻击花费的时间呈指数级增长。

60对称加密原理：

对称加密是使用相同的密钥加、解密消息的加密办法。

如果有人要加、解密数据，他必须将密钥保密。

如果要在各方之间传输数据，各方必须同意使用共享密钥，并找到安全交换密钥的方法。

加密数据的安全依赖于密钥的保密性。

如果有人知道了密钥，使用这个密钥，他或她就能解密所有使用该密钥加密的数据。

61散列函数是一种加密类型，它选取任意长度的数据进行加密，随后生成一个固定长度的数据串，叫做散列。

散列有时也称为摘要。

散列函数是单向函数，就是说，不能有散列数据重建原始数据。

因为这一特性，散列不能用来确保保密性。

不过，可以通过在两个不同时间创建散列并比较结果来确定数据是否被改变。

62常见的散列算法：

Internet请求注释RFC，RequestsforComments。

MD4MessageDigest4

63公钥加密的原理

（1）所有人都可以使用公钥加密数据，公钥对公众是公开的。

（2）使用私钥的人生成密钥对。

（3）可以使用生成密钥的程序创建密钥对。

（4）强力攻击是根据公钥推断私钥的唯一已知方式。

64RSA来源：

根据该算法的发明者（RonRivest、AdiShamir和LeinardAdleman）的名字而命名，它是使用公钥加密数据的事实标准，RSA的专利保护已经过期，所以现在可免费使用RSA算法。

65公钥加密的优缺点：

优点：

提供一种无需交换密钥的安全通信方式；公钥加密既可以验证个人身份也可以验证数据的完整性。

缺点：

它很慢。

66选择题

常见的加密算法中，除了图中所示的两种以外，还有哪一种？

（图中为SHA、3DES）（A）

AAES

BSSL

CEAP

DWEP

从图中可以看到用户EFS证书的Thumbprint信息，如果使用efsinfo命令，需加上哪一命令参数才能查看到对应的文件加密？

（B）

A/U

B/C

C/I

D/S

如果网站中配置了如图所示的SSL选项，则通常需要在防火墙上开启哪两个端口才能访问网络？

A80/110

B80/443

C25/110

D80/995

第八章

67数字证书：

数字证书（简称为证书）是一种数字文档，它通常用作身份验证，也用来保护在Internet、外部网和内部网等开放性网络中进行的信息交换。

证书将公钥安全地绑定在拥有相应私钥的实体上。

例如，可以将证书随经过签名的电子邮件消息一起发送。

收件人使用该证书验证消息的发件人，也可以使用包含在证书中的公钥加密或解密数据

68证书请求和接受的过程称之为注册（enrollment）

69请求和颁发证书的过程：

（1）申请者生成一对密钥

（2）申请者向CA发送证书请求

（3）管理员审阅请求

（4）一旦批准，CA就会颁发证书

70智能卡使用证书的方法：

智能卡是信用卡大小的没有图形化用户界面的微型计算机。

智能卡为保护电子邮件消息或域登录等任务提供了防篡改和易携带的安全解决方案。

可以安全地使用智能卡存储数据，包括证书和相应私钥。

智能卡和计算机软件一起生成密钥对，并提供对存储在智能卡中的密钥对和证书的访问。

71智能卡在以下几个方面增强了安全性：

交互式登录、客户端身份验证、远程登录、私钥存储。

72认证中心（CA，CertificationAuthority）是安装了证书服务的计算机。

CA证书的作用：

验证请求者的身份、向请求证书的用户和计算机颁发证书、管理证书吊销。

73证书的生命周期：

证书颁发之后，要经历不同的经历，并在一定的时间段内保持有效，这一段时间被称为证书生命周期。

74吊销证书的方法：

①私钥已泄露；②用户离开了组织；③CA取消了用户使用证书或私钥的权限；④证书用户的从属关系已改变；⑤CA已被攻击；⑥证书已由新的证书或私钥取代；⑦证书已被冻结；⑧CA已停止运营；⑨AIA已泄露。

76用户证书的自动部署：

只要需要在域中使用EFS证书加密文件，系统就会申请、创建并部署这些证书。

这种类型的证书不需要用户或管理员的参与。

77智能卡：

是信用卡大小的安全装置，包含微处理器和一定数量的永久内存。

78存储公钥和私钥：

在创建智能卡的公钥/私钥对时，密钥对由卡中的微处理器生成而不是由主机生成。

私钥存储在智能卡存储器中主机访问不到的安全区域，公钥存储在存储器中主机可读取的公用区域。

私钥一旦产生并存储在智能卡中，就不能删除了。

主机将加密数据发送给智能卡，智能卡中微处理器使用公钥解密数据，然后将解密的数据传回给计算机。

79选择题

通常情况下，以下哪些情况比较符合使用公用CA的条件（C）

A公司内部的证书服务器提供的安全加密等级不高

B公司需要对合作伙伴作验证

C公司提供的服务需要给大量的外部客户使用

DVeriSign提供的服务已在绝大部分客户端软件上预安装了证书

作为系统管理员，你需要为两台加入域的SQLSever2000和Exchange2000Sever安装和配置安全通讯，以下哪种情况比较合适？

（D）

A申请两份服务器加密证书，为SQLSever2000和Exchange2000Sever配置SSL

B无需申请服务器加密证书，为SQLSever2000和Exchange2000Sever配置IPSec。

C无需申请服务器加密证书。

SQLSever2000和Exchange2000Sever配置SSL

D为SQLSever申请一份服务器加密证书，为SQLSever2000配置SSL，为Exchange2000Sever配置IPSec。

第九章

80网络设备中常见的威胁：

①大多数设备的管理工具可以被整个网络访问；②设备运行的硬件和软件中可能会有程序缺陷，这些缺陷很有可能被攻击者利用；③如果攻击者能够物理访问设备的硬件，那么设可以被损坏或偷窃；④设备刚出厂时用的是默认设置，攻击者了解这些配置。

81Tempest是瞬变电磁脉冲设计标准技术（TransientElectroMagneticPulseEngineeringStandardTechnology）的缩写。

星形拓扑易受到拒绝服务（DoS，Denial-of-Service）攻击。

光纤分布数据接口（FDDI，FiberDistributedDataInterface）