網(wǎng)絡(luò)安全配置整理

1、第一章1資產(chǎn)的概念：資產(chǎn)是組織內(nèi)具備有形或無形價值的任何東西，它可以是資源，也可以是競爭優(yōu)勢。組 織必須保護他們的資產(chǎn)以求生存和發(fā)展2威脅：威脅是指可能對資產(chǎn)帶來危險的任何活動。因為對資產(chǎn)帶來危險的基本活動很少 改變，威脅的變化性小于漏洞。常見的威脅包括：1）想方設(shè)法盜取、修改或破壞數(shù)據(jù)、系 統(tǒng)或設(shè)備的人；2）引起數(shù)據(jù)、系統(tǒng)或設(shè)備損壞的災(zāi)難漏洞：漏洞是可被威脅利用的安全性上的弱點。出現(xiàn)漏洞的常見原因包括：1）新開發(fā)的軟 件和實現(xiàn)的硬件時常會帶來新的漏洞；2）人在忙碌時難免犯錯；3）許多組織是以被動的而 非主動的方式應(yīng)對網(wǎng)絡(luò)安全問題攻擊：攻擊是指故意繞過計算機安全控制的嘗試。利用漏洞的新攻擊不斷

2、出現(xiàn)，但是，當(dāng)每 種攻擊方法公開后，防范這種攻擊的對策通常也會隨后公開3常見的攻擊者：術(shù)語“攻擊者”指的是那些故意繞過安全控制以獲得他人計算機或網(wǎng)絡(luò)訪 問權(quán)限的人。4電子欺騙：偽裝為其他人或其他事物；中間人：在通信雙方未察覺的情況下攔截其傳輸數(shù) 據(jù)；后門：允許攻擊者繞過安全措施訪問系統(tǒng)的軟件；拒絕服務(wù)：造成某個資源無法訪問； 重放：捕獲傳輸數(shù)據(jù)，然后再次使用；數(shù)據(jù)包嗅探：竊聽網(wǎng)絡(luò)通信；社交工程：誘使用戶違 反正確地安全程序。5 CIA三角-安全管理人員必須決定機密性（confidentiality）、完整性（Integrity）、可用性 （Availability）6安全基線：為配置特定類型的

3、計算機創(chuàng)建一套經(jīng)過測試的標(biāo)準(zhǔn)。為安全電子郵件服務(wù)器、 web服務(wù)器、文件服務(wù)器和臺式計算機等設(shè)備測試并應(yīng)用不同的基線。確保系統(tǒng)保持安全的 配置。安全策略：創(chuàng)建文檔，以詳細說明所有安全策略。盡可能使用技術(shù)來確保安全策略的實 施7在Windows2000操作系統(tǒng)中主要提供了哪些網(wǎng)絡(luò)身份驗證方式？ （ A、B、C、D）A Kerberos V5B公鑰證書C安全套接字層/傳輸層安全性（SSL/TLS）D摘要和NTLM驗證E 口令認證8.在Windows2000操作系統(tǒng)中主要提供了哪些安全策略來加強企業(yè)安全？（A、B、C、D、 E）A密碼策略B賬戶鎖定策略C Kerberos 策略D審核策略E用戶權(quán)利F

4、組織單位第二章9用戶賬戶的類型：本地賬戶、域賬戶本地賬戶可以存儲在除域控制器外的任何一臺Windows計算機上域賬戶存儲在域控制器的Active Directory中，所以在任何一臺域成員計算機上都可以使用。10 SID也就是安全標(biāo)識符（Security Identifiers），SID是一個包含字符和數(shù)字的具有惟一性 的字符創(chuàng)，它在網(wǎng)絡(luò)中代表用戶。系統(tǒng)使用SID來判斷哪些安全主體（如用戶賬戶和安全 組）擁有對特定受保護資源的訪問權(quán)限。ACL Access Control List本地安全組根據(jù)相同的安全性需求將用戶歸為一組，這提高了安全性并使管理更方便。安全組擁有走唯一的SID，這樣它就可以

5、用指定對資源的訪問權(quán)限。11交互式登錄的過程：（1）LSA的Winlogon組件收集用戶名和密碼。（2）LSA查詢SAM，以驗證用戶名和密碼（3）LSA根據(jù)用戶賬戶SID和安全組SID創(chuàng)建一個訪問令牌。（4）訪問令牌傳遞給后續(xù)進程，如果組策略（Group Policy）沒有更改缺省值，后續(xù)進程應(yīng) 該是Windows Explorer。至此，用戶登錄完成。12域：所謂域就是共享相同安全賬戶數(shù)據(jù)庫的一組計算機，管理員能夠集中管理域中所有 成員計算機的用戶賬戶和安全組。13信任關(guān)系：一個域的安全主體可能被包括在其信任域的ACL和安全組中，這被稱為信任 關(guān)系。和本地域賬戶類似，與用戶賬戶和安全組在內(nèi)部

6、也用SID表示。域SID和本地SID以同樣 的方法構(gòu)建，區(qū)別在于用戶賬戶數(shù)據(jù)存儲在Active Directory服務(wù)中而不是在SAM中。14 TGT 票證授權(quán)（Ticket-Granting Ticket）,KDC 密鑰發(fā)布中心（Key Distribution Center） ,AS 身份驗證服務(wù)（Authentication） TGS 授權(quán)票證服務(wù)（Ticket-Granting Service） 15操作系統(tǒng)角色：在域之間創(chuàng)建信任的機制完全是由操作系統(tǒng)來處理。當(dāng)在Active Directory中添加域時，Windows交換密鑰，以使域之間彼此信任，當(dāng)把客戶端計算機添加 到域中時，Wi

7、ndows交換密鑰，以向KDC證實客戶端計算機已加入域中。工作方式（25頁兩大段，自己理解）16 OU： OU（Organizational Unit，組織單位）是可以將用戶、組、計算機和其它組織單位放 入其中的AD（Active Directory，活動目錄）容器，是可以指派組策略設(shè)置或委派管理權(quán)限的 最小作用域或單元。ACL （Access Control List）第三章17賬戶策略是存儲在組策略對象（GPO，Global Policy Object）的一些組策略設(shè)置，這些 組策略對象（GPO）能控制操作系統(tǒng)中用戶賬戶的相關(guān)特性。18如果用戶不選取真正的隨機密碼，就應(yīng)該考慮設(shè)置12個字符

8、為密碼長度最小值。19有3條可執(zhí)行的賬戶策略設(shè)置用于賬戶鎖定：賬戶鎖定時間、賬戶鎖定閾值、賬戶鎖定 計數(shù)器清零時間。20有5個賬戶策略設(shè)置可以實現(xiàn)Kerberos會話票證：強制用戶登錄限制、服務(wù)票證最長 壽命、用戶票證續(xù)訂最長壽命、計算機時鐘同步的最大容差。21組策略：組策略是用戶界面限制與管理設(shè)置的結(jié)合，它可以防止用戶更改計算機配置以 及使用違反組織安全策略的方式操作計算機；組策略還包含腳本和安裝包。這就允許管理 員在任何數(shù)量的客戶機中建立、管理和部署許多不同的計算機配置，同時為不同類型的工作 人員提供一致的工作環(huán)境。組策略用來對用戶組和計算機的管理和安全設(shè)置進行管理；組策 略也用來為一些指

9、定的計算機配置一些特殊的需求22計算機和用戶配置策略有三個主要部分：配置中的軟件設(shè)置部分，包含主要由獨立軟件供應(yīng)商提供的軟件的軟件安裝設(shè)置 擴展。配置中的Windows設(shè)置部分，包含應(yīng)用于Windows的設(shè)置，以及啟動/關(guān)機腳本 (計算機配置)或者登陸/注銷腳本(用戶配置)。配置的Windows設(shè)置部分包含設(shè)定于安全的大部分設(shè)置。管理員可以使用.adm文件來擴展配置的管理員模塊部分，該部分包括修改Internet Explorer、Windows Explorer 和其他程序行為。23組策略應(yīng)用中的隱蔽問題包括：對組策略所做的更改，在本地起作用，但在其他站點上或其他域中不起作用；GPO的復(fù)制

10、速度比預(yù)期慢的多；組策略僅應(yīng)用了一部分，其他部分未得到應(yīng)用。24預(yù)定義安全模板包括：默認工作站(Basicwk.inf)、服務(wù)器(Basicsv.inf)和域控制器(Basicdc.inf)模 板用于已完成安裝的標(biāo)準(zhǔn)計算機的安全設(shè)置。兼容工作站(Compatws.inf)模板降低了計算機的默認安全設(shè)置，以便于用戶組 成員可以成功地運行未經(jīng)Windows 2000驗證的應(yīng)用程序。安全的工作站、服務(wù)器(Securews.inf)和域控制器(Securedc.inf)模板為工作站、 服務(wù)器和域控制器實現(xiàn)了 Microsoft的安全推薦。高度安全的工作站、服務(wù)器(Hisecws.inf)和域控制器(H

11、isecdc.inf)模板設(shè)定的 安全設(shè)置，是以犧牲向下兼容性的代價保護計算機之間的網(wǎng)絡(luò)通信。默認安全設(shè)置(Setup security.inf)模板為Windows 2000提供了默認安全設(shè)置。更新的安全默認域控制器(DC security.inf)模板為域控制器建立了更新的默認安 全設(shè)置。25有幾種方法可以在一批計算機上部署安全模塊：將安全模塊導(dǎo)入GPO、在多個域和GPO 上部署安全模塊、手工導(dǎo)入設(shè)置、使用Secedit進行部署。26選擇題：下列關(guān)于Power Users的描述哪些是不正確的？(E)A除了 Windows 2000認證的應(yīng)用程序外，還可以運行一些舊版應(yīng)用程序B安裝不修改操作

12、系統(tǒng)文件，并且不需要安裝系統(tǒng)服務(wù)的應(yīng)用程序C自定義系統(tǒng)資源，包括打印機、日期/時間、電源選項和其他控制面板資源D啟動或停止默認情況下不啟動的服務(wù)E Power Users具有將自己添加到Administrators組的權(quán)限為了加強公司安全策略，在周末你啟用了密碼策略，要求用戶密碼長度必須符合15位長， 但是周一 Windows 95和Windows 98用戶報告說不能登錄網(wǎng)絡(luò)，可是登錄Windows 2000的 用戶沒有問題，可能是哪些原因造成的？A密碼位數(shù)過長，不能超過7位B密碼位數(shù)過長，不能超過14位C需要重新安裝DNSD密碼策略尚沒有復(fù)制到該分支結(jié)構(gòu)第四章Windows 2000可以對下

13、列資源類型應(yīng)用權(quán)限：NTFS文件系統(tǒng)卷中的文件和文件夾共享文件夾和打印機注冊表項Active Directory目錄服務(wù)對象隨機訪問控制列表(DACL，Discretionary Access Control List)通常也稱為 ACL訪問控制項(ACE，Access Control Entry)系統(tǒng)訪問控制列表(SACL，System Access Control List)NTFS (New Technology File System)，是 WindowsNT 操作環(huán)境和 Windows NT 高級 服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)環(huán)境的文件系統(tǒng)?？?ACL如果ACL是空的，則所有用戶都無權(quán)訪問該文

14、件。擁有所有權(quán)的賬戶總是有更改權(quán)限的能 力，因此不管權(quán)限如何，都可以向ACL添加ACE。不存在的ACL如果ACL不存在(這與ACL不同)，則所有用戶對該文件都擁有完全訪問權(quán)。30要解決這個問題，可以用Cacls命令行工具來授予或刪除特定ACE，而不是影響或替換 其他ACE項。使用此工具可以修復(fù)包含數(shù)據(jù)的卷中的權(quán)限問題。應(yīng)該在服務(wù)器上按季度審 核權(quán)限，以確保沒有意外地授予某些用戶太多的訪問權(quán)。然后可以使用Cacls命令檢查不合 適的權(quán)限并進行替換。管理NTFS文件系統(tǒng)權(quán)限的通用指導(dǎo)方針：P9031組策略的局限性：使用組策略配置Internet Explorer安全性，請記住大部分設(shè)置只是限 制用

15、戶界面，它們并未真正禁用某類功能。如果用戶利用其他界面或下載可以修改Internet Explore設(shè)置的程序、腳本或注冊表文件，他們就可以覆蓋組策略的設(shè)置。黑客們在Internet 上出賣這類腳本的事情很常見。32管理員可以訪問大多數(shù)注冊表項，但無法看到也無法修改注冊表中存儲安全帳戶管理器 (SAM,Security Accounts Manager)安全數(shù)據(jù)庫的部分。絕大多數(shù)用戶都適用于這樣的設(shè)置。第五章33訪問控制是授權(quán)用戶或組訪問網(wǎng)絡(luò)對象的過程。身份驗證是驗證某事或某人身份的過程。授權(quán)是確定經(jīng)身份驗證的用戶或進程是否有權(quán)訪問資源，并指定用戶對資源享有何種訪 問級別的過程。34訪問控制條

16、件：允許已授權(quán)的用戶訪問他們請求的資源阻止未經(jīng)授權(quán)的用戶訪問資源35最小特權(quán)原則是指，為方便用戶工作，應(yīng)該為用戶分配所必需的權(quán)限級別但是不要 超過這個級別。通過拒絕與完成工作無關(guān)的訪問類型，攻擊者就不能使用額外的特權(quán)繞開網(wǎng) 絡(luò)安全措施36控制資源訪問的兩種方式：1)基于密碼的訪問控制2)基于用戶的訪問控制 37 Windows 使用兩種主要的身份驗證協(xié)議:NT LAN Manager(HTLM)和 Kerberos 0 Windows 2000和Windows XP Professional支持下述三種咨詢-響應(yīng)身份驗證方法:LAN Manager(LM)、NTLM v1、NTLM v2.38

17、訪問控制模型：自由訪問控制(DAC, Discretionary Access Control)基于角色的訪問控制(RBAC, Role-based Internet Explore)強制訪問控制(MAC, Mandatory Internet Explore)Windows身份驗證方式自動的身份驗證單點登錄(SSO, Single Sign On)系統(tǒng)，例如Kerberos,自動執(zhí)行身份驗證過程， 但并不是完全不需要登錄到所訪問的每臺服務(wù)器。 質(zhì)詢一一響應(yīng)身份驗證保護賬戶安全(MBSA, Microsoft Baseline Security Analyzer)含義:Microsoft 基準(zhǔn)

18、 安全分析器(MBSA)可以檢查操作系統(tǒng)和SQL Server更新,MBSA還可以掃描 計算機上的不安全配置。第六章41密鑰加密：也成為對稱密鑰加密，這種加密使用同一種密鑰加密和解密數(shù)據(jù)。42密鑰加密算法存在的問題：盡管可以將加密后的原文發(fā)送給任何人而不用擔(dān)心被揭解 密，但是卻不能將密鑰發(fā)送給需要解密的人，因為如果在傳輸時密鑰被攔截，就可以被用來 解密原文。由于無法將密鑰傳送給遠方的接收人，所以純粹的密鑰系統(tǒng)不適合在Internet 這樣的公共載體上傳送信息。43數(shù)字簽名是通過加密身份信息進行身份驗證的一種方法，任何人都可以解密此信息以便 進行驗證，但是只有信息的原作者能加密該信息。44數(shù)字簽

19、名的工作原理：在公鑰加密密碼系統(tǒng)中，加密密鑰是公鑰，解密密鑰是私鑰。 而在數(shù)字簽名系統(tǒng)中，加密密鑰是私鑰，解密密鑰是公鑰。45證書是一種數(shù)據(jù)結(jié)構(gòu)，可以包含無數(shù)個公鑰、私鑰、密鑰和數(shù)字簽名。證書主要用于執(zhí) 行受信的第三方身份驗證。46如果整個企業(yè)普遍使用證書，且發(fā)行證書的CA都有相同的根CA，那么所有這些CA和基 于證書的服務(wù)就稱為公鑰基礎(chǔ)結(jié)構(gòu)(PKI，Public Key Infrastructure)o47強力攻擊的威脅：強力攻擊(或稱分解攻擊)中，黑客會使用所有可能的值，嘗試確定 簽署文件所使用的私鑰，直到與數(shù)字簽名匹配為止。48證書吊銷列表(CRL, Certificate Revoca

20、tion List)： CA發(fā)布一個不再有效的證書的 列表。這個列表稱為“證書吊銷列表”使用 Internet 信息服務(wù)(IIS, Internet Information Services):發(fā)布文本文件。49證書可以為下列情況提供安全解決方案：安全電子郵件、軟件代碼簽名、安全Web通信、智能卡登錄、IPSec客戶端身份驗證、加密文件系統(tǒng)(EFS, Encrypting File System)縮寫：郵件擴充協(xié)議(Secure Multipurpose Internet Mail Extension,S/MIME)安全套接層(SSL，Secure Sockets Layer)傳輸層安全(TL

21、S,Transport Layer Security)50 Windows 2000 支持兩類。入:獨立 CA (Standalone CA)、企業(yè) CA (Enterprise CA)?？s寫：加密服務(wù)提供程序（CSP,Cryptographic Service Providers ）51企業(yè)CA保存在Active Directory的CA對象中。52加密服務(wù)提供程序（CSP）是執(zhí)行身份驗證、編碼和加密服務(wù)的代碼，基于Windows的 應(yīng)用程序會訪問這些服務(wù)。CSP負責(zé)創(chuàng)建密鑰、銷毀密鑰，以及使用密鑰執(zhí)行多種加密操作。53吊銷證書的原因：未指定、密鑰泄露、CA泄露、附屬關(guān)系改變、被取代、停止操

22、作、證 書保留54選擇題企業(yè)業(yè)務(wù)急劇擴張，因此為銷售部門購進一批筆記本電腦，這些電腦都奉送智能卡和智能卡 接口設(shè)備。希望銷售部門實現(xiàn)通過智能卡進行域驗證，但是在申請證書頁面沒有查詢到智能 卡證書，請確定可能是由以下哪種原因造成的（B）A這是企業(yè)CAB這是獨立CAC用戶權(quán)限不夠D CA有效期限已過第七章55密鑰：是用來改變加密結(jié)果的。不知道密鑰，解密數(shù)據(jù)就會困難很多。采用密鑰算法的 好處是，多個用戶可以使用相同的算法加密或解密不同的數(shù)據(jù)源。即使知道了算法和一個密 鑰，仍無法解密那些使用相同算法，但用不同密鑰加密的數(shù)據(jù)。采用密鑰算法，就可以使用 公開算法，而不會影響數(shù)據(jù)的安全。大部分商業(yè)算法都是公

23、開的，政府情報機構(gòu)有時候會使用保密算法。57選擇一個密鑰，并使用指定算法和該密鑰加密選擇的詞58加密法的一般用途：現(xiàn)代加密法可以提供保密性、數(shù)據(jù)完整性、身份驗證、不可抵賴性 并能防止重放攻擊一一所有這一切都有助于加強數(shù)據(jù)安全性。59評估加密強度的考慮因素：沒有絕對安全的加密算法。只要知道算法并有足夠的時間，攻擊者就能重建大部分加密 數(shù)據(jù)。強算法基于可靠的數(shù)學(xué)方法，其創(chuàng)建加密數(shù)據(jù)的模式不可預(yù)見，并且有一個足夠長的 密鑰，所以強算法可以組織大部分攻擊。如果使用了強算法，攻破加密的唯方法就是獲取密鑰。攻擊者要獲取密鑰，可能會通過 竊取、誘使某人泄露密鑰或嘗試各種可能的密鑰組合。最后使用的方法一般稱為

24、強力攻擊。 增加迷藥的長度會使攻擊者使用強力攻擊花費的時間呈指數(shù)級增長。60對稱加密原理：對稱加密是使用相同的密鑰加、解密消息的加密辦法。如果有人要加、解密數(shù)據(jù)，他必 須將密鑰保密。如果要在各方之間傳輸數(shù)據(jù)，各方必須同意使用共享密鑰，并找到安全交換 密鑰的方法。加密數(shù)據(jù)的安全依賴于密鑰的保密性。如果有人知道了密鑰，使用這個密鑰，他或她就 能解密所有使用該密鑰加密的數(shù)據(jù)。61散列函數(shù)是一種加密類型，它選取任意長度的數(shù)據(jù)進行加密，隨后生成一個固定長度的 數(shù)據(jù)串，叫做散列。散列有時也稱為摘要。散列函數(shù)是單向函數(shù)，就是說，不能有散列數(shù)據(jù)重建原始數(shù)據(jù)。因為這一特性，散列不 能用來確保保密性。不過，可以通

25、過在兩個不同時間創(chuàng)建散列并比較結(jié)果來確定數(shù)據(jù)是否被 改變。62常見的散列算法：算法來源特點J信息摘要4(MD4)RFC 1320728位，非?？?，中等安全性信息摘要5 (M05)RFC 1321*128位，快比MD4安全廣泛使用安全哈希算法(SH/V1)F!PS 180-1 160 位、美國政府標(biāo)準(zhǔn)*比MD5速度慢Internet 請求注釋 RFC, Requests for Comments0 MD4 Message Digest4 63公鑰加密的原理所有人都可以使用公鑰加密數(shù)據(jù)，公鑰對公眾是公開的。使用私鑰的人生成密鑰對?？梢允褂蒙擅荑€的程序創(chuàng)建密鑰對。強力攻擊是根據(jù)公鑰推斷私鑰的唯一

26、已知方式。64 RSA來源：根據(jù)該算法的發(fā)明者(Ron Rivest、Adi Shamir和Leinard Adleman)的名 字而命名，它是使用公鑰加密數(shù)據(jù)的事實標(biāo)準(zhǔn)，RSA的專利保護已經(jīng)過期，所以現(xiàn)在可免費 使用RSA算法。65公鑰加密的優(yōu)缺點：優(yōu)點：提供一種無需交換密鑰的安全通信方式；公鑰加密既可以驗證個人身份也可以驗證數(shù) 據(jù)的完整性。缺點：它很慢。66選擇題常見的加密算法中，除了圖中所示的兩種以外，還有哪一種？(圖中為SHA、3DES)(A)A AESB SSLC EAPD WEP從圖中可以看到用戶EFS證書的Thumbprint信息，如果使用efsinfo命令，需加上哪一命 令參數(shù)

27、才能查看到對應(yīng)的文件加密？(B)A /UB /CC /ID /S如果網(wǎng)站中配置了如圖所示的SSL選項，則通常需要在防火墻上開啟哪兩個端口才能訪問網(wǎng) 絡(luò)？A 80/110B 80/443C 25/110D 80/995第八章67數(shù)字證書：數(shù)字證書（簡稱為證書）是一種數(shù)字文檔，它通常用作身份驗證，也用來保 護在Internet、外部網(wǎng)和內(nèi)部網(wǎng)等開放性網(wǎng)絡(luò)中進行的信息交換。證書將公鑰安全地綁定 在擁有相應(yīng)私鑰的實體上。例如，可以將證書隨經(jīng)過簽名的電子郵件消息一起發(fā)送。收件人 使用該證書驗證消息的發(fā)件人，也可以使用包含在證書中的公鑰加密或解密數(shù)據(jù)68證書請求和接受的過程稱之為注冊（enrollment

28、）69請求和頒發(fā)證書的過程：（1）申請者生成一對密鑰（2）申請者向CA發(fā)送證書請求（3）管理員審閱請求（4）一旦批準(zhǔn)，CA就會頒發(fā)證書70智能卡使用證書的方法：智能卡是信用卡大小的沒有圖形化用戶界面的微型計算機。智能卡為保護電子郵件消息或域 登錄等任務(wù)提供了防篡改和易攜帶的安全解決方案?？梢园踩厥褂弥悄芸ù鎯?shù)據(jù)，包括證書和相應(yīng)私鑰。智能卡和計算機軟件一起生成密鑰 對，并提供對存儲在智能卡中的密鑰對和證書的訪問。71智能卡在以下幾個方面增強了安全性：交互式登錄、客戶端身份驗證、遠程登錄、私鑰 存儲。72認證中心（CA，Certification Authority）是安裝了證書服務(wù)的計算機。

29、CA證書的作用：驗證請求者的身份、向請求證書的用戶和計算機頒發(fā)證書、管理證書吊銷。73證書的生命周期：證書頒發(fā)之后，要經(jīng)歷不同的經(jīng)歷，并在一定的時間段內(nèi)保持有效， 這一段時間被稱為證書生命周期。74吊銷證書的方法：私鑰已泄露；用戶離開了組織；CA取消了用戶使用證書或私鑰 的權(quán)限；證書用戶的從屬關(guān)系已改變；CA已被攻擊；證書已由新的證書或私鑰取代; 證書已被凍結(jié)；CA已停止運營；AIA已泄露。76用戶證書的自動部署：只要需要在域中使用EFS證書加密文件，系統(tǒng)就會申請、創(chuàng)建并 部署這些證書。這種類型的證書不需要用戶或管理員的參與。77智能卡：是信用卡大小的安全裝置，包含微處理器和一定數(shù)量的永久內(nèi)存

30、。78存儲公鑰和私鑰：在創(chuàng)建智能卡的公鑰/私鑰對時，密鑰對由卡中的微處理器生成而不是由主機生成。私鑰 存儲在智能卡存儲器中主機訪問不到的安全區(qū)域，公鑰存儲在存儲器中主機可讀取的公用區(qū) 域。私鑰一旦產(chǎn)生并存儲在智能卡中，就不能刪除了。主機將加密數(shù)據(jù)發(fā)送給智能卡，智能卡 中微處理器使用公鑰解密數(shù)據(jù)，然后將解密的數(shù)據(jù)傳回給計算機。79選擇題通常情況下，以下哪些情況比較符合使用公用CA的條件（C）A公司內(nèi)部的證書服務(wù)器提供的安全加密等級不高B公司需要對合作伙伴作驗證C公司提供的服務(wù)需要給大量的外部客戶使用D VeriSign提供的服務(wù)已在絕大部分客戶端軟件上預(yù)安裝了證書作為系統(tǒng)管理員，你需要為兩臺加入

31、域的SQL Sever 2000和Exchange 2000 Sever安裝和 配置安全通訊，以下哪種情況比較合適？（D）A申請兩份服務(wù)器加密證書，為SQL Sever 2000和Exchange 2000 Sever配置SSLB無需申請服務(wù)器加密證書，為SQL Sever 2000和Exchange 2000 Sever配置IPSec。C無需申請服務(wù)器加密證書。SQL Sever 2000和Exchange 2000 Sever配置SSLD為SQL Sever申請一份服務(wù)器加密證書，為SQL Sever 2000配置SSL，為Exchange 2000 Sever 配置 IPSec。第九章8

32、0網(wǎng)絡(luò)設(shè)備中常見的威脅：大多數(shù)設(shè)備的管理工具可以被整個網(wǎng)絡(luò)訪問；設(shè)備運行的 硬件和軟件中可能會有程序缺陷，這些缺陷很有可能被攻擊者利用；如果攻擊者能夠物理 訪問設(shè)備的硬件，那么設(shè)可以被損壞或偷竊；設(shè)備剛出廠時用的是默認設(shè)置，攻擊者了解 這些配置。Tempest 是瞬變電磁脈沖設(shè)計標(biāo)準(zhǔn)技術(shù)(Transient ElectroMagnetic Pulse Engineering Standard Technology)的縮寫。星形拓撲易受至U拒絕服務(wù)(DoS，Denial-of-Service)攻擊。光 纖分布數(shù)據(jù)接口(FDDI，F(xiàn)iber Distributed Data Interface )

33、ARP緩存污染：根據(jù)操作系統(tǒng)規(guī)定的緩存規(guī)則，計算機A動態(tài)的緩存計算機B的信息，動 態(tài)緩存使攻擊者有可能改寫ARP緩存項或執(zhí)行ARP (Address Resolution Protocol)緩存 污染。ping of Death攻擊：攻擊者發(fā)送一個超過協(xié)議規(guī)范許可的更大的ping數(shù)據(jù)吧。這個很大 的ping數(shù)據(jù)包在通過路由器的時候被分段，但是當(dāng)它抵達目標(biāo)并被重新組裝時，常常會導(dǎo) 致系統(tǒng)死機。Smurfing攻擊：攻擊者欺騙ICMP的ping數(shù)據(jù)包，從而造成大量的ping相應(yīng)數(shù)據(jù)包被發(fā)送到 目標(biāo)計算機。84SMB簽名：這是一種數(shù)字簽名的方法，使用加密散列保護每一個服務(wù)器消息快(SMB,Serve

34、r Message Block)數(shù)據(jù)包的完整性。SMB簽名保護網(wǎng)絡(luò)通信不受中間人攻擊和TCP/IP會話劫 持攻擊，SMB通信是不加密的。86 IPSec發(fā)生故障的表現(xiàn)有兩種：通信沒有發(fā)生；通信沒有加密。87可以針對IPSec采用哪些身份驗證方法？(ABC)A Windows 默認(Kerberos v5)B來自CA的證書C預(yù)共享的密鑰D基本驗證你決定在公司部署安全策略時主要使用IKE密鑰，請問在Windows2000中分發(fā)IKE密鑰時可以使用哪種方 法？( ABC)A KerberosB密鑰手工鍵入C使用證書D證書映射第十章88 電氣和電子工程師協(xié)會(IEEE，Institute of Ele

35、ctrical and Electronics Engineers):電氣和電 子工程師協(xié)會(IEEE)是一個國際性的電子技術(shù)與信息科學(xué)工程師的協(xié)會，點對點模式(ad hoc(特別)模式)運行速度為1Mbps:Ad Hoc結(jié)構(gòu)是一種省去了無線中介設(shè)備 AP而搭建起來的對等網(wǎng)絡(luò)結(jié)構(gòu)，只要安裝了無線網(wǎng)卡，計算機彼此之間既可實現(xiàn)無線互聯(lián); 其原理是網(wǎng)絡(luò)中的一臺計算機主機建立點到點連接，相當(dāng)于虛擬AP,而其他計算機就可以 直接通過這個點對點連接進行網(wǎng)絡(luò)互聯(lián)與共享。89 wep具有一些安全漏洞，在構(gòu)建無線網(wǎng)絡(luò)是必須考慮：1)強力攻擊2)未經(jīng)授權(quán)的WAP部署3)WEP密鑰部署90使用802.1x身份驗證協(xié)

36、議就能保護網(wǎng)絡(luò)上所有數(shù)據(jù)鏈路端口91身份驗證服務(wù)(IAS，Internet Authentication Service)用來提供遠程身份驗證撥入 用戶服務(wù)(RADIUS,Remote Authentication Dial-In User Service)，遠程用戶身份驗證 基于MD5 (消息摘要v5，Message Digest version5)密鑰加密協(xié)議或者用戶和計算機證書。 數(shù)據(jù)鏈路設(shè)備會開放用戶數(shù)據(jù)報協(xié)議(UDP，User Datagram Protocol)端口來驗證所有連 接的客戶端，但它會阻塞其他其他端口直到身份驗證服務(wù)器報告客戶端已通過驗證。92 802.1x連接失敗的原

37、因：連通性問題2)配置問題3)證書問題4)權(quán)限問題93現(xiàn)在的802.11協(xié)議中常見速率有錯誤的是哪個(D)A、802.11b 為 11MbpsB、802.11b+為 22MbpsC、802.11a 為 54MbpsD、802.11g 為 118Mbps第十一章路由與遠程訪問服務(wù)(RRAS, Routing and Remote Access Service)RRAS的標(biāo)準(zhǔn)身份驗證方法：1)PAP和CHAP 2)EAP 3)未經(jīng)身份驗證的訪問96戰(zhàn)爭撥號機：(War Dialing)是指隨機的呼叫一批號碼直到有一個調(diào)制解調(diào)器應(yīng)答為止。 攻擊者可以使用稱為戰(zhàn)爭撥號機的技術(shù)查找調(diào)制解調(diào)器，并訪問組織

38、的內(nèi)部網(wǎng)絡(luò)。97在選擇遠程訪問身份驗證協(xié)議之前，確保理解了下列協(xié)議的安全性內(nèi)涵：PAP，盡管幾乎所有的撥號網(wǎng)絡(luò)服務(wù)支持密碼身份驗證協(xié)議(PAP Password Authentication Protocol)，但PAP把用戶的機密信息作為明文傳輸給遠程訪問服務(wù)器，不提供任何防止密 碼測定和重放攻擊的保護。SPAP,Shiva 密碼身份驗證協(xié)議(Shiva Password Authentication Protocol)為 Shiva 遠程訪問客戶端提供了支持。ESP-TLS，可擴展身份驗證協(xié)議傳輸層安全(Extensible Authentication Protocol Transpor

39、t Layer Security)是最安全的遠程身份驗證協(xié)議。它在服務(wù)器和客戶端都使用證 書來提供相互身份驗證、數(shù)據(jù)的完整性和數(shù)據(jù)的機密性。SecurID，SecurID是一種使用EAP的基于令牌的身份驗證方法。98 VPN的兩種基本配置：1)客戶端到網(wǎng)關(guān)2)網(wǎng)關(guān)到網(wǎng)管第十二章99保護信息的方法：1)盡量減少具有管理權(quán)限的賬戶2)劃分Active Directory 3)配置 權(quán)限4)保護域控制器的物理安全100 DNS的常見威脅：1)無意的泄漏2)未經(jīng)授權(quán)的DNS修改3)拒絕訪問101保護DNS的方法：1)限制DNS提供的信息2)在DNS區(qū)域的其實授權(quán)機構(gòu)(SOA,Start of Auth

40、ority)記錄中，使用一個僅用于此用途的普通電子郵件賬戶，不要使用用戶常用的電 子郵件地址。3)防止未經(jīng)授權(quán)的區(qū)域復(fù)制4)限制對DNS數(shù)據(jù)庫的管理性訪問5)將DNS 限制為動態(tài)更新102今天用戶打電話過來，說網(wǎng)絡(luò)上的計算機無法正常訪問網(wǎng)絡(luò)資源，你懷疑可能是因為 計算機的TCP/IP配置不正確，是用什么命令，能夠很快得到計算機的TCP/IP配置列表？請你在計算機上操作給出具體結(jié)果考慮到黑客有可能修改了 DNS緩存，你在該客戶端應(yīng)該 執(zhí)行那些命令才能重新刷新緩存？為了保障DNS服務(wù)器的記錄能夠進行安全更新，下列哪 些區(qū)域能夠支持動態(tài)更新？ IPCONFIG /ALL IPCONFIG /FLAS

41、HDNS （ A ）A、Active Directory 集成的區(qū)域B、輔助區(qū)域C、標(biāo)準(zhǔn)反向區(qū)域D、根區(qū)域第十三章103攻擊類型：1）自動攻擊2）隨機目標(biāo)3）特定目標(biāo)104攻擊網(wǎng)絡(luò)的三種主要方法：1）拒絕服務(wù)攻擊2）漏洞利用攻擊3）偽裝攻擊105使用防火墻保護服務(wù)，如果提供公共服務(wù)，必須至少具有三個安全區(qū)域：1）公共Internet（不受 信任的）2）周邊網(wǎng)絡(luò)（部分信任的）3）專用網(wǎng)絡(luò)（受信任的）106在給Inernet安全配置SQL Server時，應(yīng)遵循以下指導(dǎo)方針：1）保護數(shù)據(jù)庫服務(wù)器2）使用代理3）使用ISA Server 4）使用SSL加密107即時信息服務(wù)系統(tǒng)通常以明文方式發(fā)送數(shù)據(jù)

42、。第十四章108對Web服務(wù)器最常見的攻擊類型包括：1）使用示例硬功程序和管理腳本的攻擊2）偵查攻擊3） 利用默認配置漏洞4）利用Web設(shè)計的漏洞5）拒絕服務(wù)（Dos）攻擊其包括：緩沖區(qū) 溢出、SYN擁塞、死亡之Ping109安全外殼協(xié)議（SSH）允許用戶登錄到網(wǎng)絡(luò)上的另一臺計算機，在遠程計算機上執(zhí)行命令， 以及在計算機之間移動文件。與Telnet不同，SSH提供了較強的身份驗證以及未受保護的 通道上的安全通信，而且在網(wǎng)上傳輸密碼前會加密密碼oSSH可以防止：1）IP電子欺詐 2）IP 源路由3）DNS電子欺騙 4）攔截電子密碼110配置SSL選項：如果已經(jīng)將服務(wù)器配置為要求使用SSL，客戶端

43、就必須在統(tǒng)一資源定位器 （URL， Unique Resource Locators）中輸入“ https: ”而不是“ http:” 來訪問服務(wù)器，而且 每個客戶段在指定的加密級別都必須支持SSL。111使用客戶端證書對用戶進行身份驗證的方法：1）啟用客戶端證書2）安裝客戶端證書3） 配置客戶端證書設(shè)置112數(shù)據(jù)庫服務(wù)器的漏洞包括：1）軟件錯誤和缺陷2）設(shè)計拙劣的應(yīng)用程序3）不正確的權(quán)限4）默認配置第十五章113經(jīng)常受攻擊的端口包括網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)（NetBios,NetworkBasic Input/Output system）會話端口（ 139） 通過TCP的服務(wù)器消息塊（SMB，

44、ServerMessage Block）端口FTP（21）FTP （21）遠程通信網(wǎng)絡(luò)協(xié)議（Telnet,Telecommunications Network Protocol） （23）簡單郵件傳輸協(xié)議（SMTP Simple Mail Transfer Protocol）（25）郵局協(xié)議3（POP3，Post Office Protocol 3）（110）點對點隧道協(xié)議（PPTP Point-to-point Tunneling Protocol）（1723）第2層隧道協(xié)議（L2TP Layer 2 Tunneling Protocol）（1701）RDP （3389）114實現(xiàn)誘餌服務(wù)器

45、的方法:1選擇服務(wù)端口作為誘餌2在網(wǎng)絡(luò)架構(gòu)中放置誘餌服務(wù)器的位置3誘餌入侵檢測的漏洞115檢測入侵者：（1）配置ISA服務(wù)器將端口通信轉(zhuǎn)發(fā)給誘餌（2）配置誘餌的審核和警報（3）管理誘餌的日志保留方式116安全事故的常見跡象：（1）網(wǎng)絡(luò)異常、（2）系統(tǒng)異常、（3）事件的直接報告、（4）物理 跡象、（5）商業(yè)跡象117后門攻擊：后門程序通常在影響到計算機安裝一個服務(wù)器組件，然后它可被攻擊者的客 戶端計算機訪問。通常該安裝會在文件跟蹤軟件中留下審核蹤跡。后門程序通常會修改啟 動文件和注冊表項，以確保它們能在任何時間都保持運行，有些后門程序會在注冊表中注冊 他們自己的動態(tài)鏈接庫（DDL）。118病毒和蠕蟲攻擊（判斷）：有些病毒會更改注冊表項。例如：Nimda病毒會更改注冊表， 用來創(chuàng)建新的共享并刪除所有共享上的安全權(quán)限。蠕蟲通常會將自己復(fù)制到其他主機上，所 以會引發(fā)大量的網(wǎng)絡(luò)通信。這類通信可能流向文件共享或web訪問的標(biāo)準(zhǔn)端口，于是這類通 信的劇增是感染蠕蟲的最明顯跡象。病毒會引起奇怪的系統(tǒng)行為。119數(shù)據(jù)包嗅探攻擊（理解）：數(shù)據(jù)包嗅探是一種被動攻擊，因此非常難檢測。有時數(shù)據(jù) 包嗅探強制網(wǎng)絡(luò)適配器工作在混合模式，以捕獲所有的網(wǎng)絡(luò)通信。這種改變有時會在系統(tǒng)日 志文件中留下記錄。在一些情況下，反嗅探軟件能強制嗅探器暴露自己的行為。120