網络安全的实现和管理_复习题.docVIP

《网络安全的管理和实现》复习题 不定项选择题 1．由于配置了密码安全设置，以下哪些密码是合格的复杂密码？ a) 123$asd b) Jack123 c) yun67tong d) MOE#2005 e) Passw0rd 答案：26页，ABDE 2．PKI解决方案能满足组织的下列哪些安全和技术需求？ a) 必威体育官网网址性 b) 完整性 c) 不可抵赖性 d) 可用性 答案：ABCD 3．以下哪个理由不是吊销证书的合法理由？ a) 密钥泄露 b)停止操作 c) 被取代 d)证书到期 答案：D 名词解释 1．数字证书的生命周期 : 1）向CA提出申请 2）CA生成证书 3）将证书颁发给提出申请的用户，计算机或服务 4）用户，计算机或服务在使用支持PKI的应用程序时使用证书 5）证书有效期限结束。 此时，证书：1）因为有效期限结束而过期 2）被续订。它可能会使用现有密钥对，也可能不使用。 2．EFS ：加密文件系统 3．安全基线 ：1） 服务和应用程序设置 2）操作系统组件的配置 3）权限和权力的分配 4）管理规程 问答题 1．通常情况下，建立一个安全基可以参考哪些准则？ 答：1）记录计算机上的所有应用程序和服务，如果没有计算机上的所有软件和硬件组件的完整清单，可能无法保护关键的组件，或者可能忽视需要对基线进行相应调整的硬件更改 2）记录操作系统，应用程序和服务所必需的安全设置，包括每一个与安全相关的设置和配置步骤。确保复核这些指导方针以保证实用性 3）将设置应用到每台计算机，考虑使用自动化的方式 4）建立审核方法以发现基线更改。除了基线更改之外，审核还能发现对计算机设置的更改。 2．分发计算机安全策略的方法有哪几种，说明一下方法的优缺点 --------------------------------------------- Windows Server 2003中的每个组的作用域分为：本地组、全局组、本地域组、通用组4种，其中本地域组驻留在域级别的Active Directory中； 本地组：驻留在成员服务器和客户端计算机上，使用本地组授予计算机本地资源的访问权限，通常在非域环境中使用 全局组：驻留在域级别的Active Directory中，使用全局组来组织分担相同工作任务和需要相似网络访问要求的用户，可以是其他全局组、通用组、本地域组的成员 本地域组：驻留在域级别的Active Directory中，可以为要在其中创建本地域组的那个域中的资源指派访问权限，可以把所有需要共享相同资源的全局组添加到相应的本地域组 通用组：驻留在林级别的Active Directory中，想要嵌套全局组时可以使用通用组，以便为多个域中的资源指派权限，通用组可以是其他通用组、全局组、本地域组的成员，域功能级别是Win2000本机模式或更高时可以使用通用安全组，是win2000混合模式或更高时可使用通用组 Windows Server 2003中支持的信任类型：父/子、树/根、外部、领域、林、快捷； 父子：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 树根：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 外部：存在于不同林的域之间，单向或双向，不可传递 领域：存在于非windows系统和Server2003域之间，单向或双向，传递或不可传递的 林：存在于处于Server2003林功能模式的林之间，单向或双向，传递或不可传递 快捷：存在于Server2003域中，单向或双向 NTLM身份验证的工作原理；(P20) ①客户端将用户名密码发送到域控制器 ②域控制器生成一个16位的随机字符串，称为Nonce ③客户端用用户密码的哈希加密Nonce，发送回域控制器 ④域控制器从安全账户数据库中寻找用户密码的哈希 ⑤域控制器用寻找到的哈希加密Nonce，再和客户端加密的结果比对，若相同则通过身份验证 简述PKI体系的组成；(P36) 数字证书：是PKI的基础 证书颁发机构CA：负责为用户、计算机、服务办法证书并管理证书 证书模板：定义了数字证书的内容和用途 证书吊销列表CRL：列出了在证书过期之前被CA吊销的证书 AIA和CRL分发点CDP：分发点提供了组织内部或外部可获取证书和CRL的位置，AIA扩展指定获取CA必威体育精装版证书的位置，CDP扩展指定获取CA签名的必威体育精装版CRL的位置 CA和证书管理工具：包括GUI和命令行工具 说明独立CA与企业CA之间的区别；(P40) 独立CA：①通常作为离线CA，也可以是在