题目
2.分发计算机安全[1]策略的方法有哪几种,说明一下方法的优缺点---------------------------------------------Windows Server 2003 中的每个组的作用域[2]分为:本地组、全局组、本地域组、通用组 4 种,其中本地域组驻留在域级别的 Active Directory 中;本地组:驻留在成员服务器和客户端计算机上,使用本地组授予计算机本地资源的访问权限,通常在非域环境中使用全局组:驻留在域级别的 Active Directory 中,使用全局组来组织分担相同工作任务和需要相似网络访问要求的用户,可以是其他全局组、通用组、本地域组的成员本地域组:驻留在域级别的 Active Directory 中,可以为要在其中创建本地域组的那个域中的资源指派访问权限,可以把所有需要共享相同资源的全局组添加到相应的本地域组通用组:驻留在林级别的 Active Directory 中,想要嵌套全局组时可以使用通用组,以便为多个域中的资源指派权限,通用组可以是其他通用组、全局组、本地域组的成员,域功能级别是 Win2000 本机模式或更高时可以使用通用安全组,是 win2000 混合模式或更高时可使用通用组Windows Server 2003 中支持的信任类型:父/子、树/根、外部、领域、林、快捷;父子:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除树根:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除外部:存在于不同林的域之间,单向或双向,不可传递领域:存在于非 windows 系统和 Server2003 域之间,单向或双向,传递或不可传递的林:存在于处于 Server2003 林功能模式的林之间,单向或双向,传递或不可传递快捷:存在于 Server2003 域中,单向或双向NTLM 身份验证的工作原理;(P20)① 客户端将用户名密码发送到域控制器② 域控制器生成一个 16 位的随机字符串,称为 Nonce③ 客户端用用户密码的哈希加密 Nonce,发送回域控制器④ 域控制器从安全账户数据库中寻找用户密码的哈希⑤ 域控制器用寻找到的哈希加密 Nonce,再和客户端加密的结果比对,若相同则通过身份验证简述 PKI 体系的组成;(P36)数字证书:是 PKI 的基础证书颁发机构 CA:负责为用户、计算机、服务办法证书并管理证书证书模板:定义了数字证书的内容和用途证书吊销列表 CRL:列出了在证书过期之前被 CA 吊销的证书AIA 和 CRL 分发点 CDP:分发点提供了组织内部或外部可获取证书和 CRL 的位置,AIA扩展指定获取 CA 最新证书的位置,CDP 扩展指定获取 CA 签名的最新 CRL 的位置CA 和证书管理工具:包括 GUI 和命令行工具说明独立 CA 与企业 CA 之间的区别;(P40)独立 CA:①通常作为离线 CA,也可以是在线 CA,离线 CA 就是与网络断开的 CA,用于防止签署证书的密钥丢失② 与 Active Directory 无关,可以部署在没有 Active Directory 的环境中③ 必须通过 Web 向独立证书颁发机构提出证书申请④ 所有证书申请必须由证书管理程序颁发或拒绝企业 CA:①通常作为颁发 CA,为用户、计算机和服务办法证书② 必须部署在 Active Directory 环境中,Active Directory 要作为配置和注册的数据库,并为证书提供发布点③ 可以通过 Web 和证书申请向导向企业证书颁发机构提出证书申请④ 证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表[3] DACL规划 CRL 发布间隔应遵循哪些标准;(P50)① 客户端操作系统;例如 win2000 就不能使用增量 CRLCRL②获取网络负载;过于频繁的 CRL 发布会导致获取 CRL 所用的网络流量过大③ 增量 CRL 大小;在基本 CRL 发布之后若间隔过长,会导致产生过大的增量 CRL,应该使用增量 CRL 降低每次下载 CRL 的大小,使经常更新更有意义CRL④吊销频率;证书的吊销频率对基本 CRL 和增量 CRL 的发布间隔有重大影响,应该及时更新 CRL 是被吊销的证书能够被及时识别⑤ 复制延迟;CRL 发布间隔受 Active Directory 目录服务复制延迟的限制,若复制周期为 8小时,而发布周期小于 8 小时,则会导致 CRL 在复制完成前就不可用,路经验诊过程会失败⑥ 注册表设置;可以通过修改注册表设置防止前一个 CRL 过期,但是新的 CRL 因为复制延迟而没有按时发布到 CRL 分发点数字证书包含哪些信息;(P60)① 来自证书所有者的密钥对[4]的公钥[5]② 申请该证书的所有者的信息③ 办法该证书的 CA 的信息数字证书的生命周期;(P60)① 提出证书申请CA②生成证书③ 将证书颁发给提出申请的用户、计算机、服务④ 获得证书的用户、计算机、服务在使用支持 PKI 的应用程序时使用证书⑤ 证书有效期到期:证书过期失效/续订证书,或者使用现有密钥对,或者重新使用新的密钥对证书注册的方法有哪些;(P67)用于颁发证书所用注册方法,将由从 CA 申请证书的 CA 类型、计算机的物理位置和网络上的颁发 CA 的类型决定① 基于 Web“② 证书”控制台[6]允许用户或计算机通过“证书”MMC 管理单元的证书注册向导从企业 CA 申请证书Certreq.exe③命令允许用户提交、创建、获取、接受发送给 CA 的证书申请④ 自动注册,允许客户端自动向 CA 发送证书申请和注册证书,只有 Win XP 和 WinServer2003 或更高的操作系统可以运行自动注册⑤ 注册代理,使用注册代理证书签署证书申请,可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书密钥存档和恢复的要求有哪些;(P73)要在组织中完成密钥存档恢复,必须先确定 CA 是否满足密钥存档的基本要求① 模板 2 的证书模板CA②运行 Windows Server2003CMS③的证书管理信息协议④ 具有 Windows Server2003 架构扩展的 Active Directory,使用 adprep.exe 命令将第一个Server2003 域控制器加入林中时,会自动安装架构扩展配置 CA 进行密钥存档的步骤有哪些;(P73)① 设置模板权限② 配置 CA 颁发 KRA 模板③ 为用户颁发 KRA④ 批准 KRA 证书⑤ 安装批准的 KRA 证书⑥ 配置 CA 使用恢复代理⑦ 配置新模板使用恢复代理⑧ 配置 CA 基于新模板颁发证书当用户或计算机丢失了与数字证书相关的私钥[7]时,可以启动密钥恢复[8]过程,密钥恢复过程有哪些步骤;(P75)当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复,若证书已经通过证密钥存档归档,则可采取步骤:① 用户或颁发了证书的 CA 的证书管理者确定证书的序列号② 证书管理者从 CA 数据库中提取证书和加密的私钥,输出为 PKCS#7 文件③ 将 PKCS#7 文件交给密钥恢复代理 KRAKRA④在恢复工作站中从 PKCS#7 中恢复私钥和证书,保存为 PKCS#12 文件,KRA 提供密码进行保护⑤ 将 PKCS#12 文件交给用户,用户提供 KRA 指定的密码,并使用证书导入向导将私钥和证书导入证书存储区密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具 Krt.exe使用智能卡进行多因素身份验证的好处有哪些;(P84)① 保护,智能卡为私钥和其他数据提供安全的防修改存储保护[9]② 隔离,所有加密过程都在智能卡上完成,与计算机和网络无关,将安全敏感数据[10]和系统的其他部分隔离开来了③ 可移动性,智能卡上存储的数据可在计算机、网络之间快速传递④ 单独使用,智能卡同时只能被一个用户使用Windows Server 2003 中提供哪几种证书模板支持智能卡的使用,它们的区别是什么;(P91)部署智能卡架构时还应该考虑要使用的智能卡证书模板,模板提供了一组规则和设置,根据证书预期的用途和证书颁发给用户的方式来定义证书的设置Windows Server2003 支持多种证书模板来支持智能卡的使用:① 注册代理,允许授权用户作为代表其他用户的证书请求代理② 智能卡登陆,用户可以通过智能卡登陆③ 智能卡用户,用户可以通过智能卡登陆并签署电子邮件[11]在 Windows Server 2003 中的组策略中,包含哪些和智能卡相关的设置,它们的作用是什么;(P95)① 交互式登陆:要求智能卡登陆,用户不能使用用户名密码登陆,必须使用智能卡登陆② 交互式登陆:智能卡移除操作,强制用户在拔除智能卡时注销或锁定他们的计算机③ 交互式登陆:不允许智能卡设备重定向[12],可以防止智能卡设备和终端服务会话结合使用简述 EFS 的工作原理;(P101)EFS 由用户模式的 DDL 动态链接库和内核模式的驱动共同构[13]成,他们和 NTFS 一起合作共同启动 EFSEFS 驱动和 NTFS 文件系统[14]驱动联系紧密,当 NTFS 处理加密文[15]件时需要调用 EFS 的加密函数,当应用程序访问文件时,EFS 负责加密和解密文件,EFS 依赖于 Server2003 内置的加密支持① 用户首次加密文件,EFS 会在本地证书储存区寻找供 EFS 使用的证书② 若证书存在且可用,用户已将某个文件标记为加密,EFS 则为该文件生成一个 16 位的随机数称为文件加密密钥 KFS,用 KFS 加密文件内容,使用 DESX、3DES、AES 算法③ 若证书不存在,EFS 则向联机 CA 提交证书申请,若不存在证书颁发机构,则生成自签名证书[16]EFS④取出用户证书中指定与 EFS 一起使用的公钥,使用基于公钥的 RSA 算法来加密 FEKEFS⑤将加密后的 FEK 存储在正在加密文件的文件头的数据解密字段 DDF 中。若恢复代理可用,也可使用恢复代理的公钥来加密 FEK。完成加密后,用户没有 FEK 指定的私钥的情况下,无法获取 FEK 来解密文件部署安全模版的方式有哪几种?组策略如果多台计算机有着相同的安全配置需求,那组策略是将安全模板部署到这些计算机的首选方式“安全配置和分析”管理单元脚本编制怎么使用脚本编制从 High Security-Member Server Baseline.inf 安全模板中将用户权限分配导入到计算机中?(P135-136)组策略,“安全配置和分析”管理单元,脚本编制(使用 Secedit.exe)secedit.exe /configure /db secedit.sdb /cfg "Enterprise Client-Member Server Baseline.inf"/overwrite /areas USER_RIGHTS /log sec_config.log当通过使用组策略应用安全模板时,如果未能将组策略应用到系统时,解决该问题的步骤有哪些?(P138)
2.分发计算机安全[1]策略的方法有哪几种,说明一下方法的优缺点---------------------------------------------Windows Server 2003 中的每个组的作用域[2]分为:本地组、全局组、本地域组、通用组 4 种,其中本地域组驻留在域级别的 Active Directory 中;本地组:驻留在成员服务器和客户端计算机上,使用本地组授予计算机本地资源的访问权限,通常在非域环境中使用全局组:驻留在域级别的 Active Directory 中,使用全局组来组织分担相同工作任务和需要相似网络访问要求的用户,可以是其他全局组、通用组、本地域组的成员本地域组:驻留在域级别的 Active Directory 中,可以为要在其中创建本地域组的那个域中的资源指派访问权限,可以把所有需要共享相同资源的全局组添加到相应的本地域组通用组:驻留在林级别的 Active Directory 中,想要嵌套全局组时可以使用通用组,以便为多个域中的资源指派权限,通用组可以是其他通用组、全局组、本地域组的成员,域功能级别是 Win2000 本机模式或更高时可以使用通用安全组,是 win2000 混合模式或更高时可使用通用组Windows Server 2003 中支持的信任类型:父/子、树/根、外部、领域、林、快捷;父子:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除树根:存在于林中所有域之间,双向可传递,系统默认情况下创建的,不能被删除外部:存在于不同林的域之间,单向或双向,不可传递领域:存在于非 windows 系统和 Server2003 域之间,单向或双向,传递或不可传递的林:存在于处于 Server2003 林功能模式的林之间,单向或双向,传递或不可传递快捷:存在于 Server2003 域中,单向或双向NTLM 身份验证的工作原理;(P20)① 客户端将用户名密码发送到域控制器② 域控制器生成一个 16 位的随机字符串,称为 Nonce③ 客户端用用户密码的哈希加密 Nonce,发送回域控制器④ 域控制器从安全账户数据库中寻找用户密码的哈希⑤ 域控制器用寻找到的哈希加密 Nonce,再和客户端加密的结果比对,若相同则通过身份验证简述 PKI 体系的组成;(P36)数字证书:是 PKI 的基础证书颁发机构 CA:负责为用户、计算机、服务办法证书并管理证书证书模板:定义了数字证书的内容和用途证书吊销列表 CRL:列出了在证书过期之前被 CA 吊销的证书AIA 和 CRL 分发点 CDP:分发点提供了组织内部或外部可获取证书和 CRL 的位置,AIA扩展指定获取 CA 最新证书的位置,CDP 扩展指定获取 CA 签名的最新 CRL 的位置CA 和证书管理工具:包括 GUI 和命令行工具说明独立 CA 与企业 CA 之间的区别;(P40)独立 CA:①通常作为离线 CA,也可以是在线 CA,离线 CA 就是与网络断开的 CA,用于防止签署证书的密钥丢失② 与 Active Directory 无关,可以部署在没有 Active Directory 的环境中③ 必须通过 Web 向独立证书颁发机构提出证书申请④ 所有证书申请必须由证书管理程序颁发或拒绝企业 CA:①通常作为颁发 CA,为用户、计算机和服务办法证书② 必须部署在 Active Directory 环境中,Active Directory 要作为配置和注册的数据库,并为证书提供发布点③ 可以通过 Web 和证书申请向导向企业证书颁发机构提出证书申请④ 证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表[3] DACL规划 CRL 发布间隔应遵循哪些标准;(P50)① 客户端操作系统;例如 win2000 就不能使用增量 CRLCRL②获取网络负载;过于频繁的 CRL 发布会导致获取 CRL 所用的网络流量过大③ 增量 CRL 大小;在基本 CRL 发布之后若间隔过长,会导致产生过大的增量 CRL,应该使用增量 CRL 降低每次下载 CRL 的大小,使经常更新更有意义CRL④吊销频率;证书的吊销频率对基本 CRL 和增量 CRL 的发布间隔有重大影响,应该及时更新 CRL 是被吊销的证书能够被及时识别⑤ 复制延迟;CRL 发布间隔受 Active Directory 目录服务复制延迟的限制,若复制周期为 8小时,而发布周期小于 8 小时,则会导致 CRL 在复制完成前就不可用,路经验诊过程会失败⑥ 注册表设置;可以通过修改注册表设置防止前一个 CRL 过期,但是新的 CRL 因为复制延迟而没有按时发布到 CRL 分发点数字证书包含哪些信息;(P60)① 来自证书所有者的密钥对[4]的公钥[5]② 申请该证书的所有者的信息③ 办法该证书的 CA 的信息数字证书的生命周期;(P60)① 提出证书申请CA②生成证书③ 将证书颁发给提出申请的用户、计算机、服务④ 获得证书的用户、计算机、服务在使用支持 PKI 的应用程序时使用证书⑤ 证书有效期到期:证书过期失效/续订证书,或者使用现有密钥对,或者重新使用新的密钥对证书注册的方法有哪些;(P67)用于颁发证书所用注册方法,将由从 CA 申请证书的 CA 类型、计算机的物理位置和网络上的颁发 CA 的类型决定① 基于 Web“② 证书”控制台[6]允许用户或计算机通过“证书”MMC 管理单元的证书注册向导从企业 CA 申请证书Certreq.exe③命令允许用户提交、创建、获取、接受发送给 CA 的证书申请④ 自动注册,允许客户端自动向 CA 发送证书申请和注册证书,只有 Win XP 和 WinServer2003 或更高的操作系统可以运行自动注册⑤ 注册代理,使用注册代理证书签署证书申请,可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书密钥存档和恢复的要求有哪些;(P73)要在组织中完成密钥存档恢复,必须先确定 CA 是否满足密钥存档的基本要求① 模板 2 的证书模板CA②运行 Windows Server2003CMS③的证书管理信息协议④ 具有 Windows Server2003 架构扩展的 Active Directory,使用 adprep.exe 命令将第一个Server2003 域控制器加入林中时,会自动安装架构扩展配置 CA 进行密钥存档的步骤有哪些;(P73)① 设置模板权限② 配置 CA 颁发 KRA 模板③ 为用户颁发 KRA④ 批准 KRA 证书⑤ 安装批准的 KRA 证书⑥ 配置 CA 使用恢复代理⑦ 配置新模板使用恢复代理⑧ 配置 CA 基于新模板颁发证书当用户或计算机丢失了与数字证书相关的私钥[7]时,可以启动密钥恢复[8]过程,密钥恢复过程有哪些步骤;(P75)当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复,若证书已经通过证密钥存档归档,则可采取步骤:① 用户或颁发了证书的 CA 的证书管理者确定证书的序列号② 证书管理者从 CA 数据库中提取证书和加密的私钥,输出为 PKCS#7 文件③ 将 PKCS#7 文件交给密钥恢复代理 KRAKRA④在恢复工作站中从 PKCS#7 中恢复私钥和证书,保存为 PKCS#12 文件,KRA 提供密码进行保护⑤ 将 PKCS#12 文件交给用户,用户提供 KRA 指定的密码,并使用证书导入向导将私钥和证书导入证书存储区密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具 Krt.exe使用智能卡进行多因素身份验证的好处有哪些;(P84)① 保护,智能卡为私钥和其他数据提供安全的防修改存储保护[9]② 隔离,所有加密过程都在智能卡上完成,与计算机和网络无关,将安全敏感数据[10]和系统的其他部分隔离开来了③ 可移动性,智能卡上存储的数据可在计算机、网络之间快速传递④ 单独使用,智能卡同时只能被一个用户使用Windows Server 2003 中提供哪几种证书模板支持智能卡的使用,它们的区别是什么;(P91)部署智能卡架构时还应该考虑要使用的智能卡证书模板,模板提供了一组规则和设置,根据证书预期的用途和证书颁发给用户的方式来定义证书的设置Windows Server2003 支持多种证书模板来支持智能卡的使用:① 注册代理,允许授权用户作为代表其他用户的证书请求代理② 智能卡登陆,用户可以通过智能卡登陆③ 智能卡用户,用户可以通过智能卡登陆并签署电子邮件[11]在 Windows Server 2003 中的组策略中,包含哪些和智能卡相关的设置,它们的作用是什么;(P95)① 交互式登陆:要求智能卡登陆,用户不能使用用户名密码登陆,必须使用智能卡登陆② 交互式登陆:智能卡移除操作,强制用户在拔除智能卡时注销或锁定他们的计算机③ 交互式登陆:不允许智能卡设备重定向[12],可以防止智能卡设备和终端服务会话结合使用简述 EFS 的工作原理;(P101)EFS 由用户模式的 DDL 动态链接库和内核模式的驱动共同构[13]成,他们和 NTFS 一起合作共同启动 EFSEFS 驱动和 NTFS 文件系统[14]驱动联系紧密,当 NTFS 处理加密文[15]件时需要调用 EFS 的加密函数,当应用程序访问文件时,EFS 负责加密和解密文件,EFS 依赖于 Server2003 内置的加密支持① 用户首次加密文件,EFS 会在本地证书储存区寻找供 EFS 使用的证书② 若证书存在且可用,用户已将某个文件标记为加密,EFS 则为该文件生成一个 16 位的随机数称为文件加密密钥 KFS,用 KFS 加密文件内容,使用 DESX、3DES、AES 算法③ 若证书不存在,EFS 则向联机 CA 提交证书申请,若不存在证书颁发机构,则生成自签名证书[16]EFS④取出用户证书中指定与 EFS 一起使用的公钥,使用基于公钥的 RSA 算法来加密 FEKEFS⑤将加密后的 FEK 存储在正在加密文件的文件头的数据解密字段 DDF 中。若恢复代理可用,也可使用恢复代理的公钥来加密 FEK。完成加密后,用户没有 FEK 指定的私钥的情况下,无法获取 FEK 来解密文件部署安全模版的方式有哪几种?组策略如果多台计算机有着相同的安全配置需求,那组策略是将安全模板部署到这些计算机的首选方式“安全配置和分析”管理单元脚本编制怎么使用脚本编制从 High Security-Member Server Baseline.inf 安全模板中将用户权限分配导入到计算机中?(P135-136)组策略,“安全配置和分析”管理单元,脚本编制(使用 Secedit.exe)secedit.exe /configure /db secedit.sdb /cfg "Enterprise Client-Member Server Baseline.inf"/overwrite /areas USER_RIGHTS /log sec_config.log当通过使用组策略应用安全模板时,如果未能将组策略应用到系统时,解决该问题的步骤有哪些?(P138)
题目解答
答案
答案:1)使用 Gpupdate 刷新策略2)分析 Gpresult 的输出以解释 GPO 被筛选掉的原因