{安全生产管理}网络安全的实现和管理复习题.pdfVIP

{安全生产管理}网络安全 的实现和管理复习题 似网络访问要求的用户，可以是其他全局组、通用组、本地域组的成员 本地域组：驻留在域级别的 ActiveDirectory 中，可以为要在其中创建本地域组的那个域中 的资源指派访问权限，可以把所有需要共享相同资源的全局组添加到相应的本地域组 通用组：驻留在林级别的 ActiveDirectory 中，想要嵌套全局组时可以使用通用组，以便为 多个域中的资源指派权限，通用组可以是其他通用组、全局组、本地域组的成员，域功能级 别是Win2000 本机模式或更高时可以使用通用安全组，是 win2000 混合模式或更高时可使用 通用组 WindowsServer2003 中支持的信任类型：父/子、树/根、外部、领域、林、快捷； 父子：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 树根：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 外部：存在于不同林的域之间，单向或双向，不可传递 领域：存在于非 windows 系统和Server2003 域之间，单向或双向，传递或不可传递的 林：存在于处于 Server2003 林功能模式的林之间，单向或双向，传递或不可传递 快捷：存在于 Server2003 域中，单向或双向 NTLM 身份验证的工作原理；(P20) ①客户端将用户名密码发送到域控制器 ②域控制器生成一个 16 位的随机字符串，称为 Nonce ③客户端用用户密码的哈希加密 Nonce ，发送回域控制器 ④域控制器从安全账户数据库中寻找用户密码的哈希 ⑤域控制器用寻找到的哈希加密 Nonce ，再和客户端加密的结果比对，若相同则通过身份验 证 简述PKI 体系的组成；(P36) 数字证书：是 PKI 的基础 证书颁发机构 CA ：负责为用户、计算机、服务办法证书并管理证书 证书模板：定义了数字证书的内容和用途 证书吊销列表 CRL ：列出了在证书过期之前被CA 吊销的证书 AIA 和 CRL 分发点 CDP ：分发点提供了组织内部或外部可获取证书和CRL 的位置，AIA 扩展指 定获取 CA 最新证书的位置，CDP 扩展指定获取 CA 签名的最新 CRL 的位置 CA 和证书管理工具：包括 GUI 和命令行工具 说明独立 CA 与企业 CA 之间的区别；(P40) 独立 CA ：①通常作为离线CA ，也可以是在线CA ，离线CA 就是与网络断开的 CA ，用于防止 签署证书的密钥丢失 ②与 ActiveDirectory 无关，可以部署在没有ActiveDirectory 的环境中 ③必须通过 Web 向独立证书颁发机构提出证书申请 ④所有证书申请必须由证书管理程序颁发或拒绝 企业 CA ：①通常作为颁发CA ，为用户、计算机和服务办法证书 ②必须部署在 ActiveDirectory 环境中，ActiveDirectory 要作为配置和注册的数据库，并 为证书提供发布点 ③可以通过 Web 和证书申请向导向企业证书颁发机构提出证书申请 ④证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表 DACL 规划 CRL 发布间隔应遵循哪些标准; （P50） ①客户端操作系统；例如 win2000 就不能使用增量 CRL ②CRL 获取网络负载；过于频繁的CRL 发布会导致获取 CRL 所用的网络流量过大 ③增量 CRL 大小；在基本CRL 发布之后若间隔过长，会导致产生过大的增量 CRL ，应该使用 增量 CRL 降低每次下载CRL 的大小，使经常更新更有意义 ④CRL 吊销频率；证书的吊销频率对基本CRL 和增量 CRL 的发布间隔有重大影响，应该及时 更新 CRL 是被吊销的证书能够被及时识别 ⑤复制延迟；CRL 发布间隔受 ActiveDirectory 目录服务复制延迟的限制，若复制周期为8 小时，而发布周期小于8 小时，则会导致CRL 在复制完成前就不可用，路经验诊过程会失败 ⑥注册表设置；可以通过修改注册表设置防止前一个 CRL 过期，但是新的 CRL 因为复制延迟 而没有按时发布到CRL 分发点 数字证书包含哪些信息;(P60) ①来自证书所有者的密钥对的公钥 ②申请该证书的所有者的信息 ③办法该证书的 CA 的信息 数字证书的生命周期；(P60) ①提出证书申请 ②CA 生成证书 ③将证书颁发给提出申请的用户、计算机、服务 ④获得证书的用户、计算机、服务在使用支持 PKI 的应用程序时使用证书 ⑤证书有效期到期：证书过期失效/续订证书，或者使用现有密钥对，或者重新使用新的密 钥对 证书