网络安全配置整理.docVIP

第一章 1 资产的概念： 资产是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。组织必须保护他们的资产以求生存和发展 2 威胁 ：威胁是指可能对资产带来危险的任何活动。因为对资产带来危险的基本活动很少改变，威胁的变化性小于漏洞。常见的威胁包括：1) 想方设法盗取、修改或破坏数据、系统或设备的人；2) 引起数据、系统或设备损坏的灾难 漏洞：漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括：1) 新开发的软件和实现的硬件时常会带来新的漏洞；2) 人在忙碌时难免犯错；3)许多组织是以被动的而非主动的方式应对网络安全问题 攻击：攻击是指故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现，但是，当每种攻击方法公开后，防范这种攻击的对策通常也会随后公开 3 常见的攻击者：术语“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。 4 电子欺骗：伪装为其他人或其他事物；中间人：在通信双方未察觉的情况下拦截其传输数据；后门：允许攻击者绕过安全措施访问系统的软件；拒绝服务：造成某个资源无法访问；重放：捕获传输数据，然后再次使用；数据包嗅探：窃听网络通信；社交工程：诱使用户违反正确地安全程序。 5 CIA三角-安全管理人员必须决定机密性（confidentiality）、完整性(Integrity)、可用性(Availability) 6 安全基线：为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全的配置。 安全策略：创建文档，以详细说明所有安全策略。尽可能使用技术来确保安全策略的实施 7 在Windows2000操作系统中主要提供了哪些网络身份验证方式？（ A、B、C、D） A Kerberos V5 B 公钥证书 C 安全套接字层/传输层安全性（SSL/TLS） D 摘要和NTLM验证 E 口令认证 8．在Windows2000操作系统中主要提供了哪些安全策略来加强企业安全？（A、B、C、D、 E） A 密码策略 B 账户锁定策略 C Kerberos 策略 D 审核策略 E 用户权利 F 组织单位 第二章 9 用户账户的类型：本地账户、域账户 本地账户可以存储在除域控制器外的任何一台 Windows 计算机上 域账户存储在域控制器的Active Directory中，所以在任何一台域成员计算机上都可以使用。 10 SID也就是安全标识符（Security Identifiers）OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory，活动目录)容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。 17 账户策略是存储在组策略对象（GPO，Global Policy Object）的一些组策略设置 ，这些组策略对象（GPO）能控制操作系统中用户账户的相关特性。 18 如果用户不选取真正的随机密码，就应该考虑设置12个字符为密码长度最小值。 19 有3条可执行的账户策略设置用于账户锁定：账户锁定时间、账户锁定阈值、账户锁定计数器清零时间。 20 有5个账户策略设置可以实现 Kerberos会话票证 ：强制用户登录限制、服务票证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。 21 组策略：组策略是用户界面限制与管理设置的结合，它可以防止用户更改计算机配置以及使用违反组织安全策略的方式操作计算机 ；组策略还包含脚本和安装包。这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置进行管理；组策略也用来为一些指定的计算机配置一些特殊的需求 22 计算机和用户配置策略有三个主要部分： 配置中的软件设置部分，包含主要由独立软件供应商提供的软件的软件安装设置扩展。 配置中的Windows设置部分，包含应用于Windows的设置，以及启动/关机脚本（计算机配置）或者登陆/注销脚本（用户配置）。配置的Windows设置部分包含设定于安全的大部分设置。 管理员可以使用.adm文件来扩展配置的管理员模块部分，该部分包括修改Internet Explorer、Windows Explorer和其他程序行为。 23 组策略应用中的隐蔽问题包括： 对组策略所做的更改，在本地起作用，但在其他站点上或其他域中不起作用；GPO的复制速度比预期慢的多；组策略仅应用了一部分，其他部分未得到应用。 24 预定义安全模板包括： 默认工作站（Basicwk.inf）、服务器（Basicsv.inf）和域控制器（Bas