第一章:1、作为一名网络安全管理员,进行系统加固建议:1)、系统补丁的升级2)、防病毒软件的安装3)、账号的安全4)、策略的安全设置5)、系统漏洞的修补6)、应用程序的安全问题。
2、可以确保公司信息安全的方法:1)、放在公司的防火墙后2)、修补系统漏洞3)、使用备份软件实现远程备份4)安全策略的设置5)、使用用户的培训6)、ntfs和共享权限的设置7)、用集群实现冗余。
3、对硬件保护措施:1)、专业的机房2)、完善的门警系统。
4、在windows2000中主要提供身份验证方式:1)kerberos v5;2)公钥证书3)安全套接字层/传输层安全性4)摘要和ntlm验证。
5、在windows2000中提供安全策略:1)、安全策略2)、账户锁定策略3)、kerberos 策略4)、审核策略5)、用户权利。
第二章:6、运行方式失败原因:secondary logon服务没有启动。
7、权利和权限的区别:在计算机管理中权利可授权用户在计算机上执行某些操作,而权限是与对象相关联的一种规则,用来规定哪些用户可访问该对象以及能以何种方式访问。
8、安全进行日常备份操作:1)、将本地用户账户添加到users本地组2)、使用本地安全策略向特定用户或组指派“允许在本地登录”的权利。
9、通过加入某些内置组来完成操作:必须是下列内置组成员:account operators;domain admins;enterprise admins
第三章:10、默认时间差是五分钟;将计算机时钟与可靠的时间源同步要使用工具:用net time命令加上setsntp:trusted time source fqdn参数。
11、为了防止木马,定期检查是否有非法用户加入管理员小组,成员身份的如何定义:可以在组策略中配置受限制的组中,将用户或组添加到受限制的组的成员列表中,组策略会在下次刷新时相应改变成员身份。
12、快速部署的方法:要将安全模极部署到多个active directory 对象最简单的方法。操作:将安全模极发送给各地分支机构由当地管理员导入组策略对象。
13、启动时报告数据库损坏解决办法:在命令提示符下运行cscnturl/g以检查位于%windir%\security\database|
14、默认安全设置被改动解决方法:模板导入;步骤:1)打开安全配置和分析。2)在“文件名”框中键入文件名。
第四章:15、共享安全依赖ntfs权限重要性:ftp终端服务或本地访问文件而不通过网络。可使用命令:进行转换分区。
16、为防范未经发现用户在计算机上运行密码清单窃取管理账户方法:可以通过审核来判断是否有黑客通过字典攻击等方式进行扫描。
17、担心员工会删除共享文件解决方法:可以通过审核记录用户表及相应的权限。
18、针对客户计算机注册表进行修改解决方法:为注册表项据派基于qcl的权限。
第五章:19、验证部署测试:未测试创建一个安全组,修改该组织单位下的组策略配置应用到这个测试组,如果没有问题再连接到需要安装配置的组织单位。
20、不能安装应用程序,错误消息是文件找不到的原因:可能是用户不能对包含软件和安装文件的共享文件夹进行读访问。解决方法:修改防病毒软件安装程序的共享文件夹。
21、确保未经授权的用户无法访问文档及防范中间人攻击:可以加强网络的账户策略,确保设置了失败登录尝试数,它表明网络安全水平,并且一个管理员必须手工来接触一个被锁的账户,此外确保使用复杂的密码,密码长度最小含有8个字符,并且用户不重用密码,同时启用ntim的验证的最高级别,具体操作参见课本。
22、找到记录登录失败的日志文件:可以在安全日志上找到关于登录和注销的事件记录。
关心的记录事件id:在域控制器的事件id是675,676,677;在本地工作组或服务器上的事件id是528,529,539.
23、确保系统快速升级的方法:1)在订阅microsoft security notification sevice,并且防病毒软件每日更新。2)使用windows update。
3)使用sus或sms或通过组策略进行集中补丁分发。
第六章:24、对称算法和非对称算法有什么区别,并举出实际的例子。答:
对称算法使用相同的密钥来加密和解密,如office 2000中的文件加密非对称算法则使用不同的密钥来加密和解密,如office 2003中的限制权限机制。
25、当尝试使用证书颁发机构web注册页面时,显示下列错误信息:“activex控件正确版本的**和安装失败。你可能没有足够的权限。
申请系统管理员的帮助”请分析原因并给出解决办法:由于该申请用户不是administrators或poweruser组中成员。将该用户加入到administrators或poweruser组。
26、企业购入一批电脑,希望通过智能卡进行域验证,但是在申请证书页面没有查询到智能卡证书,可能原因:这是独立的ca证书。
27、为了完善公司安全机制,要求在离职员工办完离职手续后,由hr部门发送邮件通知it部门删除该用户,同时要完全确保离职员工的证书无效,给出解决办法:可以使用证书过期或吊销证书。
28、在公司域组策略设置了自动注册客户端,但是用户仍然抱怨不能自动注册证书,分析原因,并给出解决方法:由于自动注册的组策略尚未复制到客户端,默认情况下该信息复制到所有计算机最多需120分钟,可以使用组策略刷新命令进行强制刷新。
第七章:29、通常情况,window2000需要安装windows2000high encryption pack 升级包才能支持到128位的加密算法。
30、常见的加密算法有aes md5 des.
31、从图可以看到用户efs证书的thumbprint信息,如果使用efsinfo命令需加上/c参数才能查看到对应的文件加密。
32、如果**中配置了ssl选项,则通常需要在防火墙上开启80/443两个端口才能访问这个**。
33、efs文件主要的特征包括:文件加密使用兑成密钥,该密钥本身使用公钥加密对的公钥进行加密,要想对文件进行解密,必须具备有关的私钥;efs加密文件如果在远程服务器的文件夹中保存或者打开过,则传输时就不再为加密状态。
第八章:34、在导出证书的时候,可以选择多种证书格式,其中。pfx格式是可以导出私有密钥的。
35、公司提供的服务需要给大量的外部客户使用时比较符合使用公用ca的条件。
36、在安装证书服务器的时候,系统管理员发现不能安装成企业跟ca,通常情况下是因为该计算机没有加入域。
37、关于智能卡登录,最好使用windows2000即插即用智能卡阅读器。
38、作为系统管理员,你需要为两台加入域的sql server 2000和exchange 2000 server 安装和配置安全通讯,比较适合为sql server 申请一份服务器加密证书,为sql server 2000配置ssl,为exchange 2000 server配置ipsec.
第九章:39、可以针对ipsec采用windows默认(kerberos v5),来自ca的证书,预共享的密钥身份认证的方法。
40、进行ipsec配置过程中,在参与者建立安全关联时,ike根据两系统上是否有相同的共享密钥来确定是否信任该参与者。
41、可以通过组策略kerberos 密钥快捷快速的能够在整个公司范围内进行ipsec的部署。
42、windows2000中分发ike密钥时的方法有kerberos 密钥手工键入使用证书。
43、面对并购的公司的网络环境,可以采用证书来分配ike密钥。
44、在公司部署了ipsec,同时采用了基于证书的ike协商,但还有部分用户报告不能连接通信,可能的原因有证书缺少私钥或证书**于不同根证书机构,解决办法是mmc查看证书内容。
第十章:45、现有的802.11协议中常见速率有802.11b为11mbps,为22mbps,802.11a为54mbps.
46、采用无线方案时应该考虑到无线功能会大大降低安全性,除非采取严格的补偿措施;无线计划用在哪些方面,哪种无线标准可为你提供最快的速度;需要何种类型的无线硬件。
47、阻止wlan访问私有网络最常用的方法是将wap放在防火墙边界以外,并将它们当作internet客户端处理。
48、wep中使用的常见密钥长度是40.128.154.256.
49、为了进行集成身份认证,windows2000中的internet身份验证服务器ias组件用来实现对802.1x的认证。
第十一章:50、当配置和启用路由和远程访问这个选项不可用你可以怎么启用路由并从安全规则上进行设置:打开路由和远程访问用鼠标右击你的服务器,然后单击属性在常规选项下选择路由器复选框并指定该路由器是否将支持需拨号路由,然后单击确定,可以设置筛选器和访问策略进行控制‘
51、从该路由器出发,你能够对通过对该路由器才能够达到的那些网络中的计算机进行ping操作,但是不能对需要通过一个或多个路由器才能进行访问的网络中的计算机进行ping操作,你可以采取什么措施实现这些网络的通信:为每个设有直接连接到该路由器的网络添加静态路由条目,然后针对你的路由器的各个网络添加一个到该网络上其他路由器的静态路由,如果你的网络上的其他路由支持rip,还可以安装和配置rip协议。
52、在windows2000接口中,怎样识别每个适配器,以便更容易的为每个适配器设置正确的ip地址:利用ipconfig/all命令来显示每个接口的名称和物理地址。各个接口的物理地址通常被标记在各个网络适配器上,利用这一信息可以识别各个适配器,右键选择网上邻居可以看到每块网卡的名称和属性。
53、为了流量负载均衡,设有多台vpn介入服务器,每台服务器进行单独的用户验证和访问策略设置,现在你特别希望有一种rras验证可与rras服务器共同使用提供集中验证,可以通过采用radius验证来实现。
第十二章:54、在windows操作系统中,将主机名解析为ip地址的两种方法时net bios主机名使wins解析和tcp/ip主机名使用dns解析。查看时可以使用ping和nslookup进行查找,为了进行网络线路检查可以使用pathing进行测试。
网络安全基础与安全配置
资产 是组织内具备有形或无形价值的任何东西,它可以是资源,也可以是竞争优势。组织必须保护它们的资产以求生存和发展。威胁 是指可能对资产带来危险的任何活动。漏洞 是可被威胁利用的安全性弱点。攻击 是指故意绕过计算机安全控制的尝试。攻击者 指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。攻...
网络安全课后答案重点版 整理
第章网络安全概述与环境配置。一 选择题。狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。信息安全从总体上可以分成个层次,密码技术是信息安全中研究的关键点。信息安全的目标指的是机密性,完整性,可用性。年月经过国家质量技术监督局批准发布的 计算机信息系统安全保护等级划分准则 将计算机安全...
《网络安全原理与技术》重点
a卷。1 选择题 15 2 30分 4,6,10,11,7,8,4,12,1,5,13,6,12,4,10 2 填空题 15 1 15分 6,8,10,13,11,12,6 3 判断题 10 1 10分 5,11,10,11,10,12,11,11,6,6 4 名词解释 4 5 20分 1,10,1...