网络安全基础与安全配置

第1章 资产保护

资产是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。组织必须保护它们的资产以求生存和发展。

威胁是指可能对资产带来危险的任何活动。

漏洞是可被威胁利用的安全性弱点。

攻击是指故意绕过计算机安全控制的尝试。

“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。

攻击类型：

电子欺骗：伪装为其他人或其他食物

中间人（Man-in-the-middle ）：在通信双方未察觉的情况下拦截其他传输数据。 后门（Back door）：允许攻击者绕过安全措施访问系统的软件

拒绝服务（Denial of service）：造成某个资源无法访问

重放：捕获传输数据，然后再次使用

数据包嗅探（Packet sniffing）：窃取网络通信

社交工程（Social engineering）:诱使用户违反正确的安全程序

CIA 三角—安全管理人员必须决定机密性（Confidentiality ）、完整性（Integrity ）、和可用性（Availability ）之间的平衡。

安全基线：为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、Web 服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全配置。

安全策略：创建文档，以详细说明所有安全策略。尽可能使用技术来确保安全策略得实施。

第2章 创建用户账户和安全组

Windows2000有两种用户账户：

本地账户 本地账户可以存储在除域控制器外的任何一台Windows 计算机上

域账户 域账户存储在域控制器的 Active Directory中，所以在任何一台域成员计算机上都可使用

安全标示符（SID ）是一个包含字符和数字具有惟一性的字符串，她在网络中代表用户。系统使用SID 来判断哪些安全主体（如用户账户和安全组）拥有对特定受保护资源的访问权限。

受保护资源的访问控制列表（ACL,Access Control List）P14

本地安全组根据相同的安全型需求将用户归为一组，这提高了安全性并使管理更方便。安全组拥有惟一的SID 。，这样他可以用于指定资源的访问权限。

交互式登录的过程：

1） LSA 的Winlogon 组件收集用户名和密码

2） LSA 查询SAM ，以验证用户名和密码

3） LSA 根据用户账户SID 和安全组SID 创建一个访问令牌

4） 访问令牌传递给后续进程，如果组策略（Group Policy）没有更改缺省值，后续进程应该

是Windows Experience

域 就是共享相同安全账户数据库的一组计算机，管理员能够集中管理域中所有成员计算机的用户账户和安全组。

信任关系是当多个域建立在相同的Active Directory服务下时，域就会自动地信任彼此的用户账户。因此，一个域的安全主体可能被包括在其信任域的ACL 和安全组中。

票证授权票证（TGT, Ticket-Granting Ticket ）

密钥分发中心（KDC, Key Distribution Center）

身份验证服务（AS, Authentication Service）

授权票证服务（TGS, Ticket-Granting Service）

操作系统角色 在域之间创建信任的机制完全是由操作系统来处理的。当在Active Directory中添加域时，Windows 交换密钥，以使两个域彼此信任。当把客户端计算机添加到域中时，Windows 交换密钥，以向KDC 证实客户端计算机已加入域中。

工作方式 P25

OU 工程团队领导组织单位（Organizational Unit） P30

第3章 限制账户、用户和组

账户策略（GPO, Global Policy Object）

如果用户不选取真正的随机密码，就应该考虑设置12个字符位密码长度最小值。

有3条可执行的账户策略设置用于账户锁定：

1） 账户锁定时间

2） 账户锁定阈值

3） 账户锁定计数器清零时间

有5个账户策略设置可以实现Kerberos 会话票证：

1） 强制用户登陆限制

2） 服务票证最长寿命

3） 用户票证罪长寿命

4） 用户票证续订最长寿命

5） 计算机时钟同步的最大容差

组策略的概念

组策略是用户界面限制与管理设置的结合，它可以防止用户更改计算机配置以及防止使用违反组织安全策略的方式操作计算机。

组策略还包含脚本和安装包。这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。

组策略用来对用户组和计算机的管理和安全设置（学校）或设施。另外，组策略也用来为一些指定的计算机配置一些特殊的需求。

全局惟一标示符（GUID, globally unique identifier）

计算机和用户配置策略有三个主要部分：

1）配置中的软件设置部分，包含主要由独立软件供应商提供的软件安装设置扩展

2）配置中的Windows 设置部分，包含应用于Windows 的设置，以及启动/关机脚本（计算机配置）或者登录/注销脚本（用户配置）。配置的Windows 设置部分包含特定于安全的大部分设置。

3）管理员可以使用.adm 文件来扩展配置的管理员模板部分，该部分包括修改Internet Explorer 、Windows Explorer 和其他程序的行为。

组策略应用中的隐蔽问题包括：

1）对组策略所做的更改，在本地起作用，但在其他站点上或者其他域中不起作用。

2）GPO 的复制速度比预期慢得多

3）组策略仅应用了一部分，其他部分未得到

预定义安全膜板包括：

1）默认工作站（basicwk.inf ）、服务器（basicsv.inf ）和域控制器（basicdc.inf ）模板用于已完成安装的标准计算机的安全设置。可以用这些模板来分别恢复已应用在工作站、服务器或域服务器中的其他安全设置

2）兼容工作站（Compatws.inf ）模板降低了计算机的默认安全设置，以便于用户组成员可以成功地运行未经windows2000验证的应用程序。一般情况下，只有Power Users 才可以运行这些程序

3）安全的工作站、服务器（Securews.inf ）和域控制器（Securedc.inf ）模板为工作站、服务器和域控制器实现了Microsoft 的安全推荐。这些安全推荐在不牺牲对早期Windows 操作系统的向下兼容性的同时提高了安全性

4）高度安全的工作站、服务器（Hisecws.inf ）和域控制器（Hisecdc.inf ）模板设定的安全设置，是以牺牲向下兼容性的代价保护计算机之间的网络通信。

5）默认设置安全（Setup security.inf）模板为Windows2000提供了默认安全设置

6）更新的安全默认域控制器（DC security.inf ）模板为域控制器建立了更新的默认安全设置。

部署安全模板的方法：

1）将安全模板导入GPO

2）在多个域和GPO 上部署安全模板

3）手工导入设置

4）使用Secedit 进行部署

第4章 配置基于账户的安全性

Windows 2000可以对下列资源类型应用权限：

1）NTFS 文件系统卷中的文件和文件夹

2）共享文件夹和打印机

3）注册表项

4）Active Directory目录服务对象

随机访问控制列表（DACL ，Discretionary Access Control List）通常也称为ACL

访问控制项（ACE ，Access Control Entry）

系统访问控制列表（SACL ，System Access Control List）

如果ACL 是空的，则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能力，因此不管权限如何，都可以向ACL 添加ACE 。

要解决这个问题，可以用Cacls 命令行工具来授予或删除特定ACE ，而不是影响或替换其他ACE 项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审核权限，以确保没有意外地授予某些用户太多的访问权。然后可以使用Cacls 命令检查不合适的权限并进行替换。

管理NTFS 文件系统权限的通用指导方针：P90

组策略的局限性：使用组策略配置Internet Explorer 安全性，请记住大部分设置只是限制用户界面，它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改Internet Explore 设置的程序、脚本或注册表文件，他们就可以覆盖组策略的设置。黑客们在Internet 上出卖这类脚本的事情很常见。

管理员可以访问大多数注册表项，但无法看到也无法修改注册表中存储安全帐户管理器（SAM,Security Accounts Manager）安全数据库的部分。绝大多数用户都适用于这样的设置。

第5章 使用访问控制和身份验证保护信息的安全

访问控制是授权用户或组访问网络对象的过程。

身份验证是验证某事或某人身份的过程。

授权是确定经身份验证的用户或进程是否有权访问资源，并指定用户对资源享有何种访问级别的过程。

访问控制需要：

1）允许已授权的用户访问他们请求的资源

2）阻止未经授权的用户访问资源

最小特权原则是指，为方便用户工作，应该为用户分配所必需的权限级别——但是不要超过

这个级别。

控制资源访问的两种方式：

1）基于密码的访问控制

2）基于用户的访问控制

Windows 使用两种主要的身份验证协议：NT LAN Manager（HTLM ）和Kerberos 。

访问控制模型：

自由访问控制（DAC, Discretionary Access Control）

基于角色的访问控制（RBAC ，Role-based Internet Explore）

强制访问控制（MAC ，Mandatory Internet Explore）

Windows 身份验证方式

1） 自动的身份验证

单点登录（SSO ，Single Sign On）系统，例如Kerberos ，自动执行身份验证过程，但并不是完全不需要登录到所访问的每台服务器。

2） 质询——响应身份验证

保护账户安全（MBSA ，Microsoft Baseline Security Analyzer）含义

第6章 管理证书颁发机构

密钥加密也成为对称密钥加密，这种加密使用同一种密钥加密和解密数据。

密钥加密算法存在一个问题。尽管可以将加密后的原文发送给任何人而不用担心被揭解密，但是却不能将密钥发送给需要解密的人，因为如果在传输时密钥被拦截，就可以被用来解密原文。由于无法将密钥传送给远方的接收人，所以纯粹的密钥系统不适合在Internet 这样的公共载体上传送文件。

数字签名是通过加密身份信息进行身份验证的一种方法，任何人都可以解密此信息以便进行验证，但是只有信息的原作者能加密该信息。

数字签名的工作过程：在公钥加密密码系统中，加密密钥是公钥，解密密钥是私钥。 而在数字签名系统中，加密密钥是私钥，解密密钥是公钥。

证书是一种数据结构，可以包含无数个公钥、私钥、密钥和数字签名。证书主要用于执行受信的第三方身份验证。

如果整个企业普遍使用证书，且发行证书的CA 都有相同的根CA ，那么所有这些CA 和基于证书的服务就称为公钥基础结构（PKI ，Public Key Infrastructure）。

强力攻击的威胁：强力攻击（或称分解攻击）中，黑客会使用所有可能的值，尝试确定签署

文件所使用的私钥，直到与数字签名匹配为止。

证书吊销列表（CRL, Certificate Revocation List）

使用Internet 信息服务（IIS, Internet Information Services）

证书可以为下列情况提供安全解决方案：

安全电子邮件、软件代码签名、安全Web 通信、智能卡登录、IPSec 客户端身份验证、加密文件系统（EFS, Encrypting File System）

企业CA 保存在Active Directory的CA 对象中。

加密服务提供程序（CSP ）是执行身份验证、编码和加密服务的代码，基于Windows 的应用程序会访问这些服务。CSP 负责创建密钥、销毁密钥，以及使用密钥执行多种加密操作。

吊销证书的原因：

未指定、密钥泄露、CA 泄露、附属关系改变、被取代、停止操作、证书保留

第7章 使用加密操作保护信息

密钥是用来改变加密结果的。不知道密钥，解密数据就会困难很多。采用密钥算法的好处是，多个用户可以使用相同的算法加密或解密不同的数据源。即使知道了算法和一个密钥，仍无法解密那些使用相同算法，但用不同密钥加密的数据。采用密钥算法，就可以使用公开算法，而不会影响数据的安全。

加密法的一般用途：现代加密法可以提供保密性、数据完整性、身份验证、不可抵赖性并能防止重放攻击——所有这一切都有助于加强数据安全性。

评估加密强度的考虑因素：

没有绝对安全的加密算法。只要知道算法并有足够的时间，攻击者就能重建大部分加密数据。强算法基于可靠的数学方法，其创建加密数据的模式不可预见，并且有一个足够长的密钥，所以强算法可以组织大部分攻击。

如果使用了强算法，攻破加密的唯方法就是获取密钥。攻击者要获取密钥，可能会通过窃取、诱使某人泄露密钥或尝试各种可能的密钥组合。最后使用的方法一般称为强力攻击。增加迷药的长度会使攻击者使用强力攻击花费的时间呈指数级增长。

对称加密原理：

对称加密是使用相同的密钥加、解密消息的加密办法。如果有人要加、解密数据，他必须将密钥保密。如果要在各方之间传输数据，各方必须同意使用共享密钥，并找到安全交换密钥的方法。

加密数据的安全依赖于密钥的保密性。如果有人知道了密钥，使用这个密钥，他或她就能解密所有使用该密钥加密的数据。

散列函数是一种加密类型，它选取任意长度的数据进行加密，随后生成一个固定长度的数据串，叫做散列。散列有时也称为摘要。

散列函数是单向函数，就是说，不能有散列数据重建原始数据。因为这一特性，散列不能用来确保保密性。不过，可以通过在两个不同时间创建散列并比较结果来确定数据是否被改变。

常见的散列算法：P173 Message Digest4(MD4)和Message Digest5(MD5)是Internet 请求注释（RFC,Request for Comments ）定义的两种最常见的算法。包括安全散列算法（SHA-1）。

公钥加密具有以下特性：

1）所有人都可以使用公钥加密数据，公钥对公众是公开的。

2）使用私钥的人生成密钥对。

3）可以使用生成密钥的程序创建密钥对。

4）强力攻击是根据公钥推断私钥的惟一已知方式。

RSA 来源：根据该算法的发明者（Ron Rivest、Adi Shamir和Leinard Adleman）的名字而命名，它是使用公钥加密数据的事实标准，RSA 的专利保护已经过期，所以现在可免费使用RSA 算法。

公钥加密的优缺点：

优点：提供一种无需交换密钥的安全通信方式；公钥加密既可以验证个人身份也可以验证数

据的完整性。

缺点：它很慢。

第8章 使用PKI 保护信息

数字证书（简称为证书）是一种数字文档，它通常用作身份验证，也用来保护在Internet 、

外部网和内部网等开放性网络中进行的信息。

证书请求和接受的过程称之为注册

请求和办法证书的过程：

1）申请者生成一对密钥

2）申请者向CA 发送证书请求

3）管理员审阅请求

4）一旦批准，CA 就会颁发证书

智能卡使用证书的办法：

智能卡是信用卡大小的没有图形化用户界面的微型计算机。智能卡为保护电子邮件消息或域登录等任务提供了防篡改和易携带的安全解决方案。

可以安全地使用智能卡存储数据，包括证书和相应的私钥，智能卡和计算机软件一起生成密钥对，并提供对存储在智能卡中的密钥对和证书的访问。

智能卡在以下几个方面增强了安全性：

交换式登录；客户端身份验证；远程登录；私钥存储

认证中心（CA ，Certification Authority）是安装了证书服务的计算机。

认证中心的作用：验证证书请求者的身份；

向请求证书的用户和计算机颁发证书；

管理证书吊销

证书被颁发之后，要经历不同的阶段，并在一定的时间段内保持有效，这一段时间被称为证书生命周期

在以下情况出现时，需要吊销证书：

私钥已泄露；用户离开了组织，CA 取消了用户使用证书或私钥的权限；证书用户的从属关系已改变；CA 已被攻击；证书已有新的证书或私钥代替；证书已被冻结；CA 已停止运营；AIA 已泄露

用户证书的自动部署：只要需要在域中使用EFS 证书加密文件，系统就会申请、创建并部署这些证书。这种类型的证书不需要用户或管理员的参与。

智能卡：是信用卡大小的安全装置，包含微处理器和一定数量的永久内存。

在创建智能卡的公钥/私钥对时，密钥对由卡中的微处理器生成而不是由主机生成。私钥存储在智能卡存储器中主机访问不到的安全区域，公钥存储在存储器中主机可读取的公用区域。 私钥一旦产生并存储在智能卡中，就不能删除了。主机将加密数据发送给智能卡，智能卡中微处理器使用公钥解密数据，然后将解密的数据传回给计算机。

第9章 保护数据传输

网络设备中常见的威胁：

1）大多数设备的管理工具可以被整个网络访问；

2）设备运行的硬件和软件中可能会有程序缺陷，这些缺陷很有可能被攻击者利用；

3）如果攻击者能够物理访问设备的硬件，那么设可以被损坏或偷窃；

4）设备刚出厂时用的是默认设置，攻击者了解这些配置。

Tempest 是瞬变电磁脉冲设计标准技术（Transient ElectroMagnetic Pulse Engineering Standard Technology）的缩写。应用于军事或政务。

星形拓扑易受到拒绝服务（DoS ，Denial-of-Service ）攻击。

FDDI （FDDI ，Fiber Distributed Data Interface）是光线分布数据接口。

ARP 缓存污染：根据操作系统规定的缓存规则，计算机A 动态的缓存计算机B 的信息，动态缓存使攻击者有可能改写ARP 缓存项或执行ARP 缓存污染。

ping of Death攻击：Smurfing 攻击：攻击者欺骗ICMP 的ping 数据包，从而造成大量的ping 相应数据包被发送到目标计算机。

SMB 签名：这是一种数字签名的方法，使用加密散列保护每一个服务器消息快（SMB,Server Message Block ）数据包的完整性。SMB 签名保护网络通信不受中间人攻击和TCP/IP会话劫

持攻击，SMB 通信是不加密的。

IPSec 发生故障的表现有两种：

1）通信没有发生；

2）通信没有加密。

第10章 配置无线客户端的安全性

电气和电子工程师协会（IEEE ，Institute of Electrical and Electronics Engineers）

点对点模式（ab hoc（特别）模式）P266

WLAN 能够以两种模式中任一种来运行：

1）ad hocWLAN 客户端网络适配器直接与另一台WLAN 客户端网络适配器回话，通过使用该模式来启用点对点通信。要想接入Internet 或别的网络，必须把其中的一个点配置为连接到相应网络的路由器。

2）Infrastructure 模式，客户端网络适配器只与称作无线访问点（WAP,Wireless Access Point ）的特殊无线桥接器回话，无线桥接器直接连入有线网络。

WEP 存在的问题：

1）强力攻击

2）未经授权的WAP 部署

3）WEP 密钥部署

802.1x 保护端口的方式：使用802.1x 身份验证协议就能保护网络上所有数据链路端口。

RADIUS 认证(英文缩写) ：在windows2000中，Internet 身份验证服务（LAS,Inertnet Authentication Service）、远程身份验证拨入用户服务（RADIUS,Remote Authentication Dial-In User Service）

802.1x 链接失败的原因：

1）连通性问题

2）配置问题

3）证书问题

4）权限问题

第11章 保护远程访问和VPN

路由与远程访问服务（RRAS, Routing and Remote Access Service）

RRAS 的标准身份验证方法：

1）PAP 和CHAP

2)EAP

3) 未经身份验证的访问

战争拨号机：（War Dialing ）是指随机的呼叫一批号码直到有一个调制解调器应答为止。攻击者可以使用称为战争拨号机的技术查找调制解调器，并访问组织的内部网络。

在选择远程访问身份验证协议之前，确保理解了下列协议的安全性内涵：

1）PAP ，尽管几乎所有的拨号网络服务支持密码身份验证协议（PAP Password Authentication Protocol ）, 但PAP 把用户的机密信息作为明文传输给远程访问服务器，不提供任何防止密码测定和重放攻击的保护。

2）SPAP,Shiva 密码身份验证协议（Shiva Password Authentication Protocol）为Shiva 远程访问客户端提供了支持。

3）ESP-TLS ，可扩展身份验证协议传输层安全（Extensible Authentication Protocol Transport Layer Security ）是最安全的远程身份验证协议。它在服务器和客户端都是用证书来提供相互身份验证、数据的完整性和数据的机密性。

4）SecurID ，SecurID 是一种使用EAP 的基于令牌的身份验证方法。

VPN 的两种基本配置类型：

1）客户端到网关

2）网关到网管

第12章 管理目录服务和DNS 的安全性

保护信息的方法：

1）尽量减少具有管理权限的账户

2）划分Active Directory

3）配置权限

4）保护域控制器的物理安全

DNS 的常见威胁：

1）无意的泄漏

2）未经授权的DNS 修改

3）拒绝访问

保护DNS 的方法：

1）限制DNS 提供的信息

2）在DNS 区域的其实授权机构（SOA,Start of Authority）记录中，使用一个仅用于此用途的普通电子邮件账户，不要使用用户常用的电子邮件地址

3）防止未经授权的区域复制

4）限制对DNS 数据库的管理性访问

5）将DNS 限制为动态更新

第13章 保护公共应用程序服务器

1）自动攻击

2）随机目标

3）特定目标

攻击网络的三种主要方法：

1）拒绝服务攻击

2）漏洞利用攻击

3）伪装攻击

使用防火墙保护服务，如果提供公共服务，必须至少具有三个安全区域：

1）公共Internet （不受信任的）

2）周边网络（部分信任的）

3）专用网络（受信任的）

在给Inernet 安全配置SQL Server时，应遵循以下指导方针：

1）保护数据库服务器

2）使用代理

3）使用ISA Server

4）使用SSL 加密

即时信息服务系统通常以明文方式发送数据。

第14章 保护Internet 应用程序和组件

对Web 服务器最常见的攻击类型包括：

1）使用示例硬功程序和管理脚本的攻击

2）侦查攻击

3）利用默认配置漏洞

4）利用Web 设计的漏洞

5）拒绝服务（Dos ）攻击

A、缓冲区溢出

B、SYN 拥塞（SYN flooding）

C、死亡之Ping （Ping of death）

安全外壳协议（SSH ）允许用户登录到网络上的另一台计算机，在远程计算机上执行命令，以及在计算机之间移动文件。与Telnet 不同，SSH 提供了较强的身份验证以及未受保护的通道上的安全通信，而且在网上传输密码前会加密密码。

因为可以配置SSH 加密并转发PPP 和其他协议，可以使用SSH 设置VPN 隧道，然后通过此隧道运行安全的FTP 会话。

SSH 可以防止：

1)IP 电子欺诈

3)DNS 电子欺骗

4) 拦截电子密码

配置SSL 选项：如果已经将服务器配置为要求使用SSL ，客户端就必须在统一资源定位器(URL)中输入“https:”而不是“http:”来访问服务器，而且每个客户段在指定的加密级别都必须支持SSL 。

使用客户端证书对用户进行身份验证的方法：

1）启用客户端证书

2）安装客户端证书

3）配置客户端证书设置

数据库服务器的漏洞包括：

1）未授权的删除或修改信息

2）设计拙劣的应用程序

3）不正确的权限

4）默认配置

第15章 入侵检测和事件监视

经常受攻击的端口包括：

1、网络基本输出/输入系统（NetBIOS , Network Basic Input/Output System）会话端口（139）；

2、通过TCP 的服务器消息块（SMB, Server Message Block）端口（445）

3、FTP （21）

4、远程通信网络协议（Telnet, Telecommunications Network Protocol）（23）

5、简单邮件传输协议（SMTP , Simple Mail Transfer Protocol）（25）

6、邮局协议3（POP3, Post Office Protocol 3）（110）

7、点对点隧道协议（PPTP , Point-to-Point Tunneling Protocol）（1723）

8、第2层隧道协议（L2TP , Layer 2 Tunneling Protocol）（1701）

9、RDP （3389）

实现诱饵服务器的方法：

1、 选择服务端口最为诱饵；

2、 在网络框架中放置诱饵服务器的位置；

3、 诱饵入侵检测的漏洞；

检测入侵者：

1、 配置ISA 服务器将端口通信转发给诱饵；

2、 配置诱饵的审核和警报；

3、 管理诱饵的日志保留方式；

安全事故的常见迹象：

1、 网络异常；

2、 系统异常；

3、 事件的直接报告；

4、 物理迹象；

5、 商业迹象；

已知攻击的征兆：

1、后门攻击：后门程序通常在影响到得计算机上安装一个服务器组件，然后它可被攻击者的客户端计算机访问。通常该安装会在文件跟踪软件中留下审核踪迹。后门程序通常会修改启动文件和注册表项，以确保它们能在任何时间都保持运行。有些后门程序会在注册表中注册它们自己的动态链接库（DLL ）。

2、病毒和蠕虫攻击：有些病毒会更改注册表项。例如：Nimda 病毒会更改注册表，用来创建新的共享并删除所有共享上的安全权限。蠕虫通常会将自己复制到其他主机上，所以会引发大量的网络通信。这类通信可能流向文件共享或web 访问的标准端口，于是这类通信的剧增是感染蠕虫的最明显迹象。病毒会引起奇怪的系统行为。

3、拒绝服务攻击：如果系统被拒绝服务（DoS ）攻击作为目标，最初的征兆通常会是系统崩溃。如果已经启用了实时报警，IDS 日志和防火墙日志会警告DoS 攻击正在进行。然后就会看到网络活动增加。计算机被破解可能也是分布式拒绝服务（DoS ）攻击导致的结果。在这种情况下，文件跟踪软件会检测到与后门攻击类似的改动。计算机可能有一个开放端口成为DoS 的从属组件，用来等待来自主组件的命令。如果计算机遭受DoS 攻击，会在日志中发现Internet 活动剧增——这多半发生在你没有登录系统的时候。

4、数据包嗅探攻击：数据包嗅探是一种被动攻击，因此非常难检测。有时数据包嗅探强制网络适配器工作在混合模式，以捕获所有的网络通信。这种改变有时会在系统日志文件中留下记录。在一些情况下，反嗅探软件能强制嗅探器暴露自己的行为。攻击者也可能物理修改嗅探器网络适配器的线路，使适配器不在传输任何数据，从而使得嗅探软件失去作用。这类修改通常要求对网络进行物理访问。

5、电子欺骗、中间人和重放攻击：如果为Windows 启用了IPSec ，且有日志项表明密钥交换失败，则可能是发生此类攻击的信号。

6、缓冲区溢出攻击

7、逻辑你炸弹攻击

8、邮件中继攻击

9、Web 页更换攻击

事故响应组的工作虽组织的不同而变化。通常他们执行下列任务：

1、开发并演练事故响应计划

2、监视并响应安全事故

3、通告安全事故

4、记录安全事故

5、研究新的漏洞和攻击

如何发现持久证据：

第16章 保障业务连续性

业务中断的常见原因包括：

1、 设备失效；

2、 人为错误；

3、 软件功能故障或损坏；

4、 攻击者活动；

5、 灾难；

6、 事故

在制定应对灾难的策略时，应该尝试排除每一个故障点：

1、 数据和服务；

2、 设备；

3、 设施；

4、 人员；

风险：可能受到的损失或伤害，在网络安全中，风险是指这样一种可能性：组织资产被破坏后，组织名誉受损、消息错误、失去信任、泄露隐私以及损失时间、金钱、效率和竞争优势。

风险管理：高层管理人员和网络安全设计者和设计师识别、控制、减轻和最小化风险的过程。完全消除风险是不可能的，因此风险管理的目标就是尽量减小风险。通常情况下，风险管理由高层管理人员、网络安全设计者和架构师来执行。

风险识别：非正式的风险识别过程，由网络安全人员在日常工作中执行，用来尽量减少风险。

风险、威胁和漏洞的关系：

风险是一个含义很广的词语，指组织或业务可能发生的不确定事件或破坏性事件。风险与威胁和漏洞相关。

管理风险通常是由高层管理者和网络安全规划者执行的任务。大部分网络安全人员把时间花在尽量减轻威胁的影响、预防攻击、减少漏洞数量和响应安全事故上。但是，如果理解风险、威胁和漏洞的关系，就能为风险管理提供支持。另外，还需要理解网络安全人员在其日常工作中所做的工作。

第17章 管理操作安全性

安全策略是在保护技术和信息资产方面对雇员做出要求的正式声明。

安全规程是应对安全事故的步骤。应对小组在事故中用安全规程来避免混淆和盲从，并确保以适当且全面的防水进行应对。

当你遇到道德难题时：

1、 相信你的直觉；

2、 延迟时间；

3、 同别人交谈；

第18章 实现安全计算基线

可信计算基础应该包括以下安全机制：

1、 实现用户身份验证和对计算机的访问控制；

2、 限制访问网络传输过程中的信息；

3、 确保记录的机密性并建立审核信息；

4、 确保数据不被破坏或窃取

安全基线是有关计算机配置和管理的详细描述，它将在特定计算机上实施可信赖的计算安全基础组件，同时还描述了为保护计算而进行的相关配置。安全基线的基本要素有：

1、 服务和应用程序的设置；

2、 操作系统组件的配置；

3、 权限和权力指派；

4、 管理流程；

计算机安全退役的方法：

1、 删除数据；

2、 永久销毁数据；

安全更新类型

Microsoft 提供下列类型的软件更新：

1、 修补程序；

2、 安全累计程序包；

3、 Server Pack;

远程安装服务（RIS , Remote Installation Service）

预处理环境（PXE , Pre-Execution Environment）

访问域名系统（DNS , Domain Name System）

访问动态主机配置协议（DHCP , Dynamic Host Configuration Protocol）

HFNetChk 是可以检查网络上一台或多台计算机路径状况的命令行工具。

选择题：

1、在windows2000操作系统中主要提供了哪些网络身份验证方式？（ABCD ）

A 、Kerberos V5

B 、公钥证书

C 、安全套接字层/传输层安全性（SSL/TLS）

D 、摘要和NTLM 验证

E 、口令验证

2、在Windows2000操作系统中主要提供了哪些安全策略来加强企业安全？（ABCDE ）

A 、密码策略

B 、账户锁定策略

C 、Kerberos 策略

D 、审核策略

E 、用户单位

F 、组织单位

3、下列关于Power Users的描述哪些不正确的？ （ E ）

A:除了Windows 2000认证的应用程序外，还可以运行一些旧版应用程序

B:安装不修改操作系统文件，并且不需要安装系统的应用程序

C:自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源

D:启动或停止默认情况下不启动的服务

E ：Power User具有将自己添加到Administrators 组的权限

4、为了加强公司安全策略，在周末你启动了密码策略，要求用户密码长度必须符合15位长，但是周一Windows95和Windows98用户报告说不能登录网络，可是登录Windows2000的用户没有问题，可能是哪些原因造成的？ （ D ）

A ：密码位数过长，不能超过7位

B ：密码位数过长，不能超过14位

C ：需要重新安装DNS

D ：密码策略尚没有复制到该分支机构

5、企业业务急剧扩张，因此为销售部门购进一批笔记本电脑，这些电脑都附送智能卡和智能卡接口设备。希望销售部门通过智能卡进行域验证，但是在申请证书页面内没有查询到智能卡证书，请确定是哪一种原因造成的（ B ）

A. 这时企业CA B.这时独立CA C.用户权限不够 D.CA有效期限已过

6、通常情况下，以下哪些情况比较符合使用公用CA 的条件（C ）

A 公司内部的证书服务器提供的安全加密等级不高

B 公司需要对合作伙伴作验证

C 公司提供的服务需要给大量的外部客户使用

D VeriSign提供的服务已在绝大部分客户端软件上预安装了证书

7、作为系统管理员，你需要为两台加入域的SQL Sever 2000和Exchange 2000 Sever安装和配置安全通讯，以下哪种情况比较合适？（D ）

A 申请两份服务器加密证书，为SQL Sever 2000和Exchange 2000 Sever配置SSL B 无需申请服务器加密证书，为SQL Sever 2000和Exchange 2000 Sever配置IPSec C 无需申请服务器加密证书。SQL Sever 2000和Exchange 2000 Sever配置SSL

D 为SQL Sever 申请一份服务器加密证书，为SQL Sever 2000配置SSL ，为Exchange 2000

Sever 配置IPSec

8、可以针对IPSec 采用哪些身份验证方法？ （ABC ）

A Windows默认（Kerberos v5）

B 来自CA 的证书

C 预共享的密钥

D 基本验证

9、你决定在公司部署安全策略时主要使用IKE 密钥，请问在Windows2000中分发IKE 密钥时可以使用哪种方法？（ABC ）

A Kerberos

B 密钥手工键入

C 使用证书

D 证书映射

10、现在的802.11协议中常见速率有错误的是哪个（ D ）

A 、802.11b 为11Mbps B、802.11b+为22Mbps

C 、802.11a 为54Mbps D、802.11g 为118Mbps

11、今天用户打电话过来，说网络上的计算机无法正常访问网络资源，你怀疑可能是因为计算机的TCP/IP配置不正确，是用什么命令，能够很快得到计算机的TCP/IP配置列表？请你在计算机上操作给出具体结果考虑到黑客有可能修改了DNS 缓存，你在该客户端应该执行那些命令才能重新刷新缓存？为了保障DNS 服务器的记录能够进行安全更新，下列哪些区域能够支持动态更新？ IPCONFIG /ALL IPCONFIG /FLASHDNS

( A )

A 、Active Directory集成的区域

B 、辅助区域

C 、标准反向区域

D 、根区域

12、为了防范最近出现的蠕虫病毒，你希望对公司所有系统进行安全扫描，你首先需要弄清楚专家建议的MBSA 能够扫描哪些系统文件，请把不支持的系统从下列选项中选择出来（J ）

A 、Windows NT 4.0

B 、Windows 2000

C 、Windows XP

D 、Microsoft Internet Information Service 4.0和5.0

E 、Microsoft Internet Explorer 5.01及更高版本

F 、 Microsoft SQL Server 7.0

G 、SQL Server 2000

H 、Microsoft Office 2000

I 、Microsoft Office XP

J 、Windows 98