网络安全配置整理

  • 格式:doc
  • 大小:174.00 KB
  • 文档页数:15

第一章

1 资产的概念:

资产是组织内具备有形或无形价值的任何东西,它可以是资源,也可以是竞争优势。组织必须保护他们的资产以求生存和发展

2 威胁 :威胁是指可能对资产带来危险的任何活动。因为对资产带来危险的基本活动很少改变,威胁的变化性小于漏洞。常见的威胁包括:1) 想方设法盗取、修改或破坏数据、系统或设备的人;2) 引起数据、系统或设备损坏的灾难

漏洞:漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括:1) 新开发的软件和实现的硬件时常会带来新的漏洞;2) 人在忙碌时难免犯错;3)许多组织是以被动的而非主动的方式应对网络安全问题

攻击:攻击是指故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现,但是,当每种攻击方法公开后,防范这种攻击的对策通常也会随后公开

3 常见的攻击者:术语“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。

4 电子欺骗:伪装为其他人或其他事物;中间人:在通信双方未察觉的情况下拦截其传输数据;后门:允许攻击者绕过安全措施访问系统的软件;拒绝服务:造成某个资源无法访问;重放:捕获传输数据,然后再次使用;数据包嗅探:窃听网络通信;社交工程:诱使用户违反正确地安全程序。

5 CIA三角-安全管理人员必须决定机密性(confidentiality)、完整性(Integrity)、可用性(Availability)

6 安全基线:为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全的配置。

安全策略:创建文档,以详细说明所有安全策略。尽可能使用技术来确保安全策略的实施

7 在Windows2000操作系统中主要提供了哪些网络身份验证方式?( A、B、C、D)

A Kerberos V5

B 公钥证书

C 安全套接字层/传输层安全性(SSL/TLS)

D 摘要和NTLM验证

E 口令认证

8.在Windows2000操作系统中主要提供了哪些安全策略来加强企业安全?(A、B、C、D、

E)

A 密码策略

B 账户锁定策略

C Kerberos 策略

D 审核策略

E 用户权利

F 组织单位

第二章

9 用户账户的类型:本地账户、域账户

本地账户可以存储在除域控制器外的任何一台 Windows 计算机上

域账户存储在域控制器的Active Directory中,所以在任何一台域成员计算机上都可以使用。

10 SID也就是安全标识符(Security Identifiers),SID是一个包含字符和数字的具有惟一性的字符创,它在网络中代表用户。系统使用SID来判断哪些安全主体(如用户账户和安全组)拥有对特定受保护资源的访问权限。

ACL Access Control List

本地安全组根据相同的安全性需求将用户归为一组,这提高了安全性并使管理更方便。

安全组拥有走唯一的SID,这样它就可以用指定对资源的访问权限。

11 交互式登录的过程:

(1)LSA的Winlogon组件收集用户名和密码。

(2)LSA查询SAM,以验证用户名和密码

(3)LSA根据用户账户SID和安全组SID创建一个访问令牌。

(4)访问令牌传递给后续进程,如果组策略(Group Policy)没有更改缺省值,后续进程应该是Windows Explorer。至此,用户登录完成。

12 域:所谓域就是共享相同安全账户数据库的一组计算机,管理员能够集中管理域中所有成员计算机的用户账户和安全组。

13 信任关系:一个域的安全主体可能被包括在其信任域的ACL和安全组中,这被称为信任关系。

和本地域账户类似,与用户账户和安全组在内部也用SID表示。域SID和本地SID以同样的方法构建,区别在于用户账户数据存储在Active Directory服务中而不是在SAM中。

14 TGT 票证授权(Ticket-Granting Ticket),KDC 密钥发布中心 (Key Distribution

Center) ,AS 身份验证服务 (Authentication) TGS 授权票证服务 (Ticket-Granting Service)

15 操作系统角色:在域之间创建信任的机制完全是由操作系统来处理。当在 Active

Directory 中添加域时,Windows 交换密钥,以使域之间彼此信任,当把客户端计算机添加到域中时,Windows 交换密钥,以向 KDC 证实客户端计算机已加入域中 。

工作方式(25页 两大段,自己理解)

16 OU:OU(Organizational Unit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。ACL(Access Control List)

第三章

17 账户策略是存储在组策略对象(GPO,Global Policy Object)的一些组策略设置 ,这些组策略对象(GPO)能控制操作系统中用户账户的相关特性。

18 如果用户不选取真正的随机密码,就应该考虑设置12个字符为密码长度最小值。

19 有3条可执行的账户策略设置用于账户锁定:账户锁定时间、账户锁定阈值、账户锁定计数器清零时间。

20 有5个账户策略设置可以实现 Kerberos会话票证 :强制用户登录限制、服务票证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。

21 组策略:组策略是用户界面限制与管理设置的结合,它可以防止用户更改计算机配置以及使用违反组织安全策略的方式操作计算机 ;组策略还包含脚本和安装包。这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置,同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置进行管理;组策略也用来为一些指定的计算机配置一些特殊的需求 22 计算机和用户配置策略有三个主要部分:

(1)配置中的软件设置部分,包含主要由独立软件供应商提供的软件的软件安装设置扩展。

(2)配置中的Windows设置部分,包含应用于Windows的设置,以及启动/关机脚本(计算机配置)或者登陆/注销脚本(用户配置)。配置的Windows设置部分包含设定于安全的大部分设置。

(3)管理员可以使用.adm文件来扩展配置的管理员模块部分,该部分包括修改Internet

Explorer、Windows Explorer和其他程序行为。

23 组策略应用中的隐蔽问题包括:

对组策略所做的更改,在本地起作用,但在其他站点上或其他域中不起作用;GPO的复制速度比预期慢的多;组策略仅应用了一部分,其他部分未得到应用。

24 预定义安全模板包括:

(1)默认工作站(Basicwk.inf)、服务器(Basicsv.inf)和域控制器(Basicdc.inf)模板用于已完成安装的标准计算机的安全设置。

(2)兼容工作站(Compatws.inf)模板降低了计算机的默认安全设置,以便于用户组成员可以成功地运行未经Windows 2000验证的应用程序。

(3)安全的工作站、服务器(Securews.inf)和域控制器(Securedc.inf)模板为工作站、服务器和域控制器实现了Microsoft的安全推荐。

(4)高度安全的工作站、服务器(Hisecws.inf)和域控制器(Hisecdc.inf)模板设定的安全设置,是以牺牲向下兼容性的代价保护计算机之间的网络通信。

(5)默认安全设置(Setup security.inf)模板为Windows 2000提供了默认安全设置。

(6)更新的安全默认域控制器(DC security.inf)模板为域控制器建立了更新的默认安全设置。

25 有几种方法可以在一批计算机上部署安全模块:将安全模块导入GPO、在多个域和GPO上部署安全模块、手工导入设置、使用Secedit进行部署。

26 选择题:

下列关于Power Users的描述哪些是不正确的?(E)

A 除了Windows 2000认证的应用程序外,还可以运行一些旧版应用程序

B 安装不修改操作系统文件,并且不需要安装系统服务的应用程序

C 自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源

D 启动或停止默认情况下不启动的服务

E Power Users具有将自己添加到Administrators组的权限

为了加强公司安全策略,在周末你启用了密码策略,要求用户密码长度必须符合15位长,但是周一Windows 95和Windows 98用户报告说不能登录网络,可是登录Windows 2000的用户没有问题,可能是哪些原因造成的?

A 密码位数过长,不能超过7位

B 密码位数过长,不能超过14位

C 需要重新安装DNS

D 密码策略尚没有复制到该分支结构

第四章

27 Windows 2000可以对下列资源类型应用权限:

1)NTFS文件系统卷中的文件和文件夹

2)共享文件夹和打印机

3)注册表项

4)Active Directory目录服务对象

随机访问控制列表(DACL,Discretionary Access Control List)通常也称为ACL

访问控制项(ACE,Access Control Entry)

系统访问控制列表(SACL,System Access Control List)

28 NTFS (New Technology File System),是WindowsNT 操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统。

29 空ACL

如果ACL是空的,则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能力,因此不管权限如何,都可以向ACL添加ACE。

不存在的ACL

如果ACL不存在(这与ACL不同),则所有用户对该文件都拥有完全访问权。

30 要解决这个问题,可以用Cacls命令行工具来授予或删除特定ACE,而不是影响或替换其他ACE项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审核权限,以确保没有意外地授予某些用户太多的访问权。然后可以使用Cacls命令检查不合适的权限并进行替换。

管理NTFS文件系统权限的通用指导方针:P90

31 组策略的局限性:使用组策略配置Internet Explorer 安全性,请记住大部分设置只是限制用户界面,它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改Internet

Explore 设置的程序、脚本或注册表文件,他们就可以覆盖组策略的设置。黑客们在Internet

上出卖这类脚本的事情很常见。

32 管理员可以访问大多数注册表项,但无法看到也无法修改注册表中存储安全帐户管理器(SAM,Security Accounts Manager)安全数据库的部分。绝大多数用户都适用于这样的设置。

第五章

33 访问控制是授权用户或组访问网络对象的过程。

身份验证是验证某事或某人身份的过程。