{安全生产管理}网络安全的实现和管理复习题.docx

{安全生产管理}网络安全的实现和管理复习题 似网络访问要求的用户，可以是其他全局组、通用组、本地域组的成员 本地域组：驻留在域级别的ActiveDirectory中，可以为要在其中创建本地域组的那个域中的资源指派访问权限，可以把所有需要共享相同资源的全局组添加到相应的本地域组 通用组：驻留在林级别的ActiveDirectory中，想要嵌套全局组时可以使用通用组，以便为多个域中的资源指派权限，通用组可以是其他通用组、全局组、本地域组的成员，域功能级别是Win2000本机模式或更高时可以使用通用安全组，是win2000混合模式或更高时可使用通用组 WindowsServer2003中支持的信任类型：父/子、树/根、外部、领域、林、快捷； 父子：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 树根：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除 外部：存在于不同林的域之间，单向或双向，不可传递 领域：存在于非windows系统和Server2003域之间，单向或双向，传递或不可传递的 林：存在于处于Server2003林功能模式的林之间，单向或双向，传递或不可传递 快捷：存在于Server2003域中，单向或双向 NTLM身份验证的工作原理；(P20) ①客户端将用户名密码发送到域控制器 ②域控制器生成一个16位的随机字符串，称为Nonce ③客户端用用户密码的哈希加密Nonce，发送回域控制器 ④域控制器从安全账户数据库中寻找用户密码的哈希 ⑤域控制器用寻找到的哈希加密Nonce，再和客户端加密的结果比对，若相同则通过身份验证 简述PKI体系的组成；(P36) 数字证书：是PKI的基础 证书颁发机构CA：负责为用户、计算机、服务办法证书并管理证书 证书模板：定义了数字证书的内容和用途 证书吊销列表CRL：列出了在证书过期之前被CA吊销的证书 AIA和CRL分发点CDP：分发点提供了组织内部或外部可获取证书和CRL的位置，AIA扩展指定获取CA最新证书的位置，CDP扩展指定获取CA签名的最新CRL的位置 CA和证书管理工具：包括GUI和命令行工具 说明独立CA与企业CA之间的区别；(P40) 独立CA：①通常作为离线CA，也可以是在线CA，离线CA就是与网络断开的CA，用于防止签署证书的密钥丢失 ②与ActiveDirectory无关，可以部署在没有ActiveDirectory的环境中 ③必须通过Web向独立证书颁发机构提出证书申请 ④所有证书申请必须由证书管理程序颁发或拒绝 企业CA：①通常作为颁发CA，为用户、计算机和服务办法证书 ②必须部署在ActiveDirectory环境中，ActiveDirectory要作为配置和注册的数据库，并为证书提供发布点 ③可以通过Web和证书申请向导向企业证书颁发机构提出证书申请 ④证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表DACL 规划CRL发布间隔应遵循哪些标准;（P50） ①客户端操作系统；例如win2000就不能使用增量CRL ②CRL获取网络负载；过于频繁的CRL发布会导致获取CRL所用的网络流量过大 ③增量CRL大小；在基本CRL发布之后若间隔过长，会导致产生过大的增量CRL，应该使用增量CRL降低每次下载CRL的大小，使经常更新更有意义 ④CRL吊销频率；证书的吊销频率对基本CRL和增量CRL的发布间隔有重大影响，应该及时更新CRL是被吊销的证书能够被及时识别 ⑤复制延迟；CRL发布间隔受ActiveDirectory目录服务复制延迟的限制，若复制周期为8小时，而发布周期小于8小时，则会导致CRL在复制完成前就不可用，路经验诊过程会失败 ⑥注册表设置；可以通过修改注册表设置防止前一个CRL过期，但是新的CRL因为复制延迟而没有按时发布到CRL分发点 数字证书包含哪些信息;(P60) ①来自证书所有者的密钥对的公钥 ②申请该证书的所有者的信息 ③办法该证书的CA的信息 数字证书的生命周期；(P60) ①提出证书申请 ②CA生成证书 ③将证书颁发给提出申请的用户、计算机、服务 ④获得证书的用户、计算机、服务在使用支持PKI的应用程序时使用证书 ⑤证书有效期到期：证书过期失效/续订证书，或者使用现有密钥对，或者重新使用新的密钥对 证书注册的方法有哪些;(P67) 用于颁发证书所用注册方法，将由从CA申请证书的CA类型、计算机的物理位置和网络上的颁发CA的类型决定 ①基于Web ②“证书”控制台允许用户或计算机通过“证书”MMC管理单元的证书注册向导从企业CA申请证书 ③命令允许用户提交、创建、获取、接受发送给CA的证书申请 ④自动注册，允许客户端自动向CA发送证书申请和注册证书，只有WinXP和WinServer