數(shù)據(jù)安全整理

1、從操作系統(tǒng)本身而言，Windows NT 系統(tǒng)主要具有哪些特點(diǎn)？ 32 位操作系統(tǒng)，多重引導(dǎo)功能，可與其他操作系統(tǒng)共存。 實(shí)現(xiàn)了“搶先式”多任務(wù)和多線程操作。 采用 SMP（對(duì)稱多處理）CPU 系統(tǒng)。 支持 CISC（Intel 系統(tǒng)）RISC（Power 、R4400 等）多種硬件平臺(tái)。 Novel NetwareMacintosh 等系統(tǒng)；對(duì)客戶操作系統(tǒng)提供廣泛支持，如MS-DOS、Windows、Windows NT Workstation、UINX、OS2、Macintosh 等；支持多種協(xié)議：TCPIP、NetBEUI、DLC、AppleTalk、NWLINK 等。 C2 標(biāo)準(zhǔn)。Wi

2、ndowsNT NTF（Windows NT File SysteWindows NT FAT 高。 共享權(quán)限：支持對(duì)網(wǎng)絡(luò)資源設(shè)置一定的權(quán)限許可，沒(méi)有得到權(quán)限許可，就無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。用戶賬戶User AccounWindows NTWindows NT 控制該用戶在系統(tǒng)中的權(quán)利和權(quán)限，與服務(wù)賬戶本質(zhì)上沒(méi)有區(qū)別。域DomaiWindows NT 中數(shù)據(jù)安全和集中管理的基本單位。網(wǎng)絡(luò)由域組成，域NT 用相同的賬戶及安全數(shù)據(jù)庫(kù)。工作組Workgrou：工作組是一種資源與系統(tǒng)管理都分散的網(wǎng)絡(luò)結(jié)構(gòu)。在工作組的范圍里，每臺(tái)電腦既可以充當(dāng)服務(wù)器的角色，也可以充當(dāng)工作站的角色，彼此之間是平等關(guān)系。權(quán)限Rig

3、h：權(quán)限是授權(quán)某用戶可以在系統(tǒng)上執(zhí)行某些操作。權(quán)限用來(lái)保護(hù)系統(tǒng)整體。許可Permissio：許可用來(lái)保護(hù)特定對(duì)象。許可規(guī)定可以使用某一對(duì)象的用戶以及用什么方法使用。 安全審核：Windows NT 將記錄發(fā)生在電腦上各項(xiàng)與安全系統(tǒng)相關(guān)的過(guò)程?；顒?dòng)目錄的概念和作用分別是什么，包括哪些組成部分？活動(dòng)目錄（Active Directory, AD）服務(wù)是Windows 2000 安全模型靈活性與可擴(kuò)展性的核心，它提供了完全集成于Windows 2000 的一個(gè)安全、分布式、可擴(kuò)展以及重復(fù)的分層目錄服務(wù)。活動(dòng)目錄替代了 Windows NT 早期版本中域控制器的注冊(cè)表數(shù)據(jù)庫(kù)內(nèi)的安全賬戶管理器Secur

4、ity Accounts Manager, SA，從而成為用戶賬戶、工作組和口令等安全信息的主要存儲(chǔ)區(qū)域。同樣地，活動(dòng)目錄形成了本地安全授權(quán)Security Authorization, 活動(dòng)目錄主要包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理容器，目錄管理的基本對(duì)象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理。KerberosWindows 2000 使用Internet 標(biāo)準(zhǔn)Kerberos V5 協(xié)議（RFC 1510）作為驗(yàn)證用戶身份的Kerberos 協(xié)議提供在客戶機(jī)

5、和服務(wù)器之間的網(wǎng)絡(luò)連接打開(kāi)前交互身份驗(yàn)證的機(jī)制。此方法對(duì)包含開(kāi)放通信（Internet 上實(shí)現(xiàn)的）Kerberos 驗(yàn)證協(xié)議定義了客戶、資源和網(wǎng)絡(luò)驗(yàn)證服務(wù)（之間的安全Windows 2000 2000 Kerberos 域的一個(gè)等價(jià)物。Windows 2000 將Kerberos 協(xié)議完全集成到了Winlogon 單一登錄體系結(jié)構(gòu)之中， 提供了身份驗(yàn)證和訪問(wèn)控制功能。Kerberos 協(xié)議是基于“票據(jù)”的思想。票據(jù)是由密鑰分發(fā)中心（KDC）的可信頒發(fā)機(jī)KDC 為其頒發(fā)務(wù)。在 Windows 2000 中，每個(gè)域控制器就是一個(gè) KDC，而域控制器的領(lǐng)域與其所在的域?qū)?yīng)。Kerberos 協(xié)議的操

6、作過(guò)程其實(shí)比較簡(jiǎn)單，如圖1-3 所示。登錄時(shí)，用戶向KDC 身份，KDC TGT（Ticket Granting Ticket, 票據(jù)授予票據(jù)TGT ST（Service Ticket, 服務(wù)票據(jù)ST 提交給資源，由資源授權(quán)訪問(wèn)。IPSec 根據(jù) Kerberos 身份驗(yàn)證、數(shù)字證書(shū)或共享機(jī)密密鑰（密碼）IP 者身份。 IP 數(shù)據(jù)包的完整性。 按照絕密等級(jí)對(duì)所有在網(wǎng)絡(luò)上傳送的數(shù)據(jù)進(jìn)行加密。 IP 源地址。WindowsNT模式之間的區(qū)別。應(yīng)用程序及其子系統(tǒng)運(yùn)行在用戶模式下。該模式擁有較低特權(quán)，不能對(duì)硬件直接進(jìn)行訪間直接進(jìn)行訪問(wèn)。用戶模式只能使用特殊的應(yīng)用程序編程接口申請(qǐng)系統(tǒng)服務(wù)。用戶模式中包含

7、有以下一些主要的子系統(tǒng)。 Win32 32 位Windows 應(yīng)用程序都運(yùn)行在這個(gè)子系統(tǒng)之下。 Windows 的登錄過(guò)程，包括對(duì)登錄的身份驗(yàn)證和審核工作。安全子系統(tǒng)需要和Win32 子系統(tǒng)進(jìn)行通信。 OS/2 子系統(tǒng)：被設(shè)計(jì)用來(lái)運(yùn)行和OS/2 1.x 相兼容的應(yīng)用程序。 POSIX POSIX 1.x 相兼容的應(yīng)用程序。而內(nèi)核模式中的代碼則具有極高的特權(quán)，可以直接對(duì)硬件進(jìn)行操作以及直接訪問(wèn)所有的 模式的整套服務(wù)被稱為“執(zhí)行服務(wù)（Windows NT Executiv響應(yīng)用戶模式下應(yīng)用程序發(fā)出的請(qǐng)求來(lái)提供內(nèi)核模式服務(wù)。Windows NT 系統(tǒng)的用戶模式中包含哪些安全子系統(tǒng)？ 見(jiàn)上請(qǐng)說(shuō)明 FA

8、T 文件系統(tǒng)和 NTFS 文件系統(tǒng)的不同點(diǎn)。，Windows NT 4.0 NTFS NT File Syste（NT文件系統(tǒng)Windows NT 所開(kāi)始采用的獨(dú)特文件系統(tǒng)結(jié)構(gòu)。 NTFS NTFS 較FAT 為完善和靈活的文件系統(tǒng)。NTFS Windows NT 主要體現(xiàn)在以下幾個(gè)方面。 在 NTFS 分區(qū)上支持隨機(jī)訪問(wèn)控制和擁有權(quán)，對(duì)共享文件夾可以指定權(quán)限，以免受到本地訪問(wèn)或遠(yuǎn)程訪問(wèn)的影響。 對(duì)于在計(jì)算機(jī)上存儲(chǔ)文件夾或單個(gè)文件，或者是通過(guò)連接到共享文件夾訪問(wèn)的用戶，都可以指定權(quán)限，以使每個(gè)用戶只能按照系統(tǒng)賦予的權(quán)限進(jìn)行操作，充分保護(hù)了系統(tǒng)和數(shù)據(jù)的安全。 NTFS 使用事務(wù)日志自動(dòng)記錄所有文

9、件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問(wèn)題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作。正是由于具備了這些安全特性，Windows NT 下網(wǎng)絡(luò)資源的本地安全性是通過(guò)NTFS 權(quán)NTFS NTFS 許可的資源，都必須具備訪問(wèn)這些資源的權(quán)限。此外，NTFS FAT 文件系統(tǒng)NTFS 4GB NTFS 分區(qū)可以減少磁盤碎片的數(shù)量，大幅度提升磁 64GBFAT32 4GB；支持長(zhǎng)文件名等。請(qǐng)說(shuō)明工作組和域之間的不同之處。工作組（Workgroup）是一個(gè)不共享任何用戶賬戶信息和組賬戶信息的小型Windows NTSAM 數(shù)行控制。不同于工作組的獨(dú)立和松散，Windows NT 4.

10、0 域是具有集中安全授權(quán)機(jī)構(gòu)（如主域控PDC 在實(shí)際情況中，域中一般還存在備份域控制器BDCSAM數(shù)據(jù)庫(kù)的 多份完全復(fù)本，以提高有效性，并可以用來(lái)向多臺(tái)服務(wù)器提供分布式的驗(yàn)證服務(wù)。 Windows NT 域?yàn)橛脩?、組和計(jì)算機(jī)賬戶定義了安全邊界的管理范圍。由于集中安全授PDC 或者BDC 的域驗(yàn)證，那么該用戶就可以在具有必要權(quán)限的域和主體內(nèi)的任何地方訪問(wèn)資源了。兩個(gè)域之間的信任關(guān)系有哪兩種？WindowNT能否建立起信任關(guān)系？?jī)蓚€(gè)域之間的信任關(guān)系有如下兩種。 單向信任關(guān)系：信任只存在于一個(gè)方向上，即只是一個(gè)域信任另外一個(gè)域，反之則不然。信任域信任被信任域中的用戶，允許被信任域中的用戶訪問(wèn)信任域中

11、的資源。 雙向信任關(guān)系：信任建立在兩個(gè)方向上，兩個(gè)域之間彼此信任對(duì)方，每個(gè)域中的用戶賬戶都可以授權(quán)訪問(wèn)另一個(gè)域中的資源。信任關(guān)系只限于域和域之間，Windows NT 域與工作組之間不能建立信任關(guān)系。當(dāng)域之A BB C， A C 的結(jié)論。13.的特點(diǎn)和適用對(duì)象是什么？我們可以利用信任這個(gè)基本概念創(chuàng)建多個(gè)域模型。每個(gè)域模型具有不同的管理效果，在特定的環(huán)境中都具有其特殊的優(yōu)勢(shì)。單域模型采用單域模型（Single Domain Model）的網(wǎng)絡(luò)環(huán)境中只有一個(gè)域，不具有信任關(guān)系。單多的小型組織。主域模型采用主域模型（Master Domain Model）的網(wǎng)絡(luò)環(huán)境中具有多個(gè)域。所有用戶賬戶集中在某

12、個(gè)域中（賬戶域）員負(fù)責(zé)管理資源服務(wù)器和對(duì)這些資源的訪問(wèn)權(quán)限。圖2-2 說(shuō)明了這種模型。主域模型的優(yōu)勢(shì)在于對(duì)用戶賬戶的集中管理，并對(duì)賬戶和口令有一個(gè)通用策略。管理用 戶賬戶的管理員并沒(méi)有對(duì)資源的管理控制權(quán)Windows 的用戶提供了可用于資源域中所有Windows NT 服務(wù)單一用戶賬戶的單一登錄SingleSign-o，適用于網(wǎng)絡(luò)規(guī)模較大的組織。多主域模型多主域模型（Multiple Master Domain Model）則用多個(gè)主域控制賬戶，資源域信任所有2-3 說(shuō)明了多主域模型。多主域模型的優(yōu)勢(shì)在于，大型組織的不同分公司、分支單位（若地理位置相距很遠(yuǎn)）都 可以獨(dú)立管理自己的用戶賬戶數(shù)據(jù)庫(kù)

13、完全信任模型完全信任模型（Complete Trust Model）中的所有域之間均是雙向的信任關(guān)系。這個(gè)模照自己的需要管理用戶賬戶和資源。完全信任模型的優(yōu)勢(shì)在于，它建立在一個(gè)組織不同部門之間的松散結(jié)構(gòu)關(guān)系之上，并允 許來(lái)自任何部門的用戶都可以訪問(wèn)任何有效的資源全合作時(shí)才能夠達(dá)到足夠的安全等級(jí)。第三章Windows2000它們可以分成哪些組，各組完成的功能是什么？執(zhí)行體Executiv：包含為環(huán)境子系統(tǒng)和其他執(zhí)行體組件提供系統(tǒng)服務(wù)的系統(tǒng)組件。它們執(zhí)行的系統(tǒng)任務(wù)包括輸入/輸出、文件管理、虛擬內(nèi)存管理、資源管理以及進(jìn)程內(nèi)部通信等。設(shè)備驅(qū)動(dòng)程序Device driver：將組件的調(diào)用（例如打印機(jī)請(qǐng)求

14、）作。硬件抽象層Hardware abstraction layer, HA：將Windows 2000 執(zhí)行體的其他部分與特定的硬件分離開(kāi)來(lái)，使操作系統(tǒng)與多處理器平臺(tái)相兼容。微內(nèi)核Microkerne以及多處理器同步等。請(qǐng)簡(jiǎn)述Windows2000 系統(tǒng)試圖達(dá)到的安全性目標(biāo)。 企業(yè)中的單一登錄 集成的安全服務(wù) 管理的委派和可擴(kuò)展性 強(qiáng)大的身份驗(yàn)證 用于實(shí)現(xiàn)互操作能力的基于標(biāo)準(zhǔn)的協(xié)議 審核服務(wù)請(qǐng)簡(jiǎn)述Windows2000 系統(tǒng)安全模型的底層原理。為了實(shí)現(xiàn)這些安全性目標(biāo)，Windows 2000 使用了安全模型這一概念。這個(gè)模型定義了Windows 2000 操作系統(tǒng)的不同部分配合工作的方式。這

15、種結(jié)構(gòu)中的一些底層原理包括： 服務(wù)器提供對(duì)象訪問(wèn) 客戶只能通過(guò)服務(wù)器（服務(wù)）訪問(wèn)對(duì)象 對(duì)象管理器和安全引用監(jiān)視器Reference Monitor, 有哪些權(quán)限 可以使用多個(gè)協(xié)議驗(yàn)證用戶 管理安全策略的方式可以是全局的，也可以是本地的5. 本地安全授權(quán)機(jī)構(gòu)為基于Windows2000本地的安全信息，它提供了哪些功能？ Netlogon 服務(wù)（Netlogon.dll） Netlogon 服務(wù)維護(hù)計(jì)算機(jī)到其所在域內(nèi)的域控制器的安全信道。Netlogon 服務(wù)通過(guò)一個(gè)安全信道將證書(shū)交給域控制器，再為安全主體返回一個(gè)帶有安全標(biāo)識(shí)符和用戶權(quán)力的訪問(wèn)權(quán)標(biāo)。 NTLM 身份驗(yàn)證協(xié)議（MSV1_0.dll）

16、 NTLM 被用于驗(yàn)證不能使用Kerberos 身份驗(yàn)證的客戶，包括裝有Windows 9x 和Windows NT 的計(jì)算機(jī)。 安全套接字層（Schannel.dll）(Secure Sockets Layers, 在應(yīng)用層提供傳輸數(shù)據(jù)的加密服務(wù)。所有經(jīng)過(guò)加密信道的數(shù)據(jù)在網(wǎng)絡(luò)上都受到保護(hù)。為了使用SSL，必須將應(yīng)用程序編碼以識(shí)別和執(zhí)行SSL。 Kerberos v5 身份驗(yàn)證協(xié)議（Kerberos.dll） Kerberos v5 是Windows 2000 使用的默Kerberos ( Ticket-granting tickets, 據(jù)授予服務(wù)（Ticket-granting servi

17、ce, 為基礎(chǔ)。 Kerberos 密鑰分發(fā)中心（Kdcsvc.dll） 在客戶端接受網(wǎng)絡(luò)身份驗(yàn)證的初期，Kerberos密鑰分發(fā)中心（Kerberos Distribution Center, TGT，然后該TGT 求的客戶端進(jìn)行身份驗(yàn)證。 本地安全授權(quán) 本地安全授權(quán)（Local Security Authority, 是安全子系統(tǒng)的核心組件，在Active Directory 下執(zhí)行所有定義的安全策略。 安全賬戶管理 安全賬戶管理（Security Accounts Manager, 程序被用于在一個(gè)非域控制器上存儲(chǔ)本地安全賬戶。SAM 同時(shí)也執(zhí)行所有本地的存儲(chǔ)策略。目錄服務(wù)模塊ntdsa

18、.dlWindows 2000 域控制器之間的復(fù)制，Active Directory Active Directory 架命名上下文。多 重身份驗(yàn) 證提供程序（Secur32.dll： 多重身份驗(yàn)證提供程序MultipleAuthentication Provider, 支持所有系統(tǒng)當(dāng)中可用的安全包。安全包包括Kerbero、Windows NT 局域網(wǎng)管理程序NT LAN Manager, NTLSecure和分布式密碼身份驗(yàn)證（Distributed Password Authentication, DPA）包。Windows2000務(wù)？ NTL（Windows NT LAN Manage

19、。由Windows N、Windows 95 和Windows 98NTLM 被用于通過(guò)在Windows 2000 Professional 和Windows 2000 Microsoft NTLM 安全服務(wù)器使用MCS1_0 Netlogon 服務(wù)來(lái)提供客戶端身份驗(yàn)證和授權(quán)。 Kerberos v5。基于Windows 2000 計(jì)算機(jī)的默認(rèn)安全協(xié)議。Kerberos 提供客戶端和Kerberos 制器活動(dòng)目錄上的密鑰分發(fā)中心TGT 和服務(wù)票據(jù)。分布式密碼身份驗(yàn)證Distributed Password Authenticatio。由Internet會(huì)員組織如MSN DPA Microsof

20、t Commercial SystemMCIInternet會(huì)員組織內(nèi)的會(huì)員DPA 使用MCIS安全服務(wù)（通常稱為“成員資格服務(wù)）不同服務(wù)器所特有的訪問(wèn)信息。 安全信道（Secure Channel）SSL 和傳輸層安全TL）協(xié)議進(jìn)行身份驗(yàn)證的能力。如果使用一個(gè)公鑰基礎(chǔ)機(jī)構(gòu)PK，這些Windows 2000 可以使用證書(shū)服務(wù)來(lái)部署公鑰基礎(chǔ)機(jī)構(gòu)，以創(chuàng)建證書(shū)頒發(fā)機(jī)構(gòu)CCA 負(fù)責(zé)頒發(fā)數(shù)字證書(shū)以用于身份驗(yàn)證。Windows2000 系統(tǒng)默認(rèn)的身份驗(yàn)證協(xié)議是什么？ Kerberos v5 身份驗(yàn)證協(xié)議（Kerberos.dll） Kerberos v5 是Windows 2000 Kerberos (

21、Ticket-granting tickets, 和票據(jù)授予服務(wù)（Ticket-granting service, TGS）為基礎(chǔ)。2.者之間的區(qū)別在哪里？活動(dòng)目錄包括兩個(gè)方面的內(nèi)容：目錄和與目錄服務(wù)。目錄（又稱數(shù)據(jù)存儲(chǔ)區(qū)）是存儲(chǔ)網(wǎng)絡(luò)對(duì)象信息的分層結(jié)構(gòu)?；顒?dòng)目錄使用“對(duì)象”這個(gè)Windows 系統(tǒng)在計(jì)算機(jī)上用文件夾和文件來(lái)目錄服務(wù)與目錄的不同之處在于它既是目錄信息源，又是使信息對(duì)管理員、用戶、網(wǎng)絡(luò) （兩個(gè)服務(wù)間傳輸數(shù)據(jù)所用的格式是與一些應(yīng)用程序（Microsoft Exchange 電子郵件目錄）集成，使得用戶能夠查找其他用戶的郵件地址信息并發(fā)送電子郵件。4. 請(qǐng)簡(jiǎn)述活動(dòng)目錄采用什么方式和 D

22、NS 集成？ 活動(dòng)目錄域和 DNS 域有相同的分層結(jié)構(gòu)。盡管由于目的不同，DNS 和活動(dòng)目錄域的組織名稱空間各自獨(dú)立，實(shí)施方法也有所不同，但它們卻有相同的結(jié)構(gòu)。例如，SjtuI 既是一個(gè)DNS 域又是一個(gè)活動(dòng)目錄域。 DNS Windows 2000 DNS 服務(wù)，主區(qū)域就可以保存在活動(dòng)目錄中，以便復(fù)制到其他活動(dòng)目錄域控制器中，為DNS 服務(wù)提供增強(qiáng)的安全性。 活動(dòng)目錄客戶機(jī)使用 DNS 錄客戶機(jī)會(huì)查詢已配置的DNS 服務(wù)器，以查找指定的資源記錄。6.請(qǐng)描述一下活動(dòng)目錄客戶機(jī)定位活動(dòng)目錄服務(wù)器的過(guò)程?；顒?dòng)目錄客戶機(jī)通過(guò)查詢DNS 來(lái)定位活動(dòng)目錄服務(wù)器。即活動(dòng)目錄將DNS 用作定位器服務(wù)，把活動(dòng)

23、目錄域、站點(diǎn)及服務(wù)名稱解析成IP 地址。例如，要登錄到活動(dòng)目錄域，活動(dòng)目錄客戶機(jī)會(huì)查詢已配置的DNS 服務(wù)器，請(qǐng)求LDAP 服務(wù)的IP 地址（LDAP 服務(wù)在指定域的域控制器中運(yùn)行）活動(dòng)目錄不需要系統(tǒng)啟動(dòng)DNS。Windows2000如何理解這種關(guān)系？Windows 2000 Windows NT 主域控制器（PDC）和備份域控制器（BDC）扮演的主/從角色有所不同。對(duì)等域控制器支持理Windows 2000 Windows NT Server 系統(tǒng)中PDC BDC 上。請(qǐng)簡(jiǎn)述全局編錄服務(wù)器的作用。全局編錄執(zhí)行兩個(gè)關(guān)鍵的活動(dòng)目錄角色：登錄和查詢。 登錄。在本機(jī)模式域中，全局編錄通過(guò)為賬戶提供通

24、用組成員身份信息（該賬戶將登錄請(qǐng)求發(fā)送到域控制器，啟用活動(dòng)目錄客戶機(jī)的網(wǎng)絡(luò)登錄。實(shí)際上，不但對(duì)活（UPN）中。惟一的例外是，如果用戶是域管理員 (Domain Admin) 組的成員，就能夠在全局編錄無(wú)效的情況下登錄到網(wǎng)絡(luò)中。 查詢。在包含多個(gè)域的目錄林中，全局編錄使得客戶機(jī)能夠方便快捷地執(zhí)行跨所有域的搜索，而不必逐個(gè)搜索每個(gè)域。全局編錄使目錄林中的目錄結(jié)構(gòu)對(duì)查找信息的最終用戶透明。絕大多數(shù)活動(dòng)目錄網(wǎng)絡(luò)通信是與查詢有關(guān)的：用戶、管理員和程序都會(huì)請(qǐng)求有關(guān)目錄對(duì)象的信息。查詢過(guò)程要比目錄更新過(guò)程的發(fā)生頻度高得多。如果把不止一個(gè)域控制器指定為全局編錄服務(wù)器，這樣雖然會(huì)減少對(duì)查找目錄信息的用戶的響應(yīng)時(shí)

25、間，但同時(shí)也會(huì)導(dǎo)致網(wǎng)絡(luò)的復(fù)制通信量增加。12. 請(qǐng)解釋何謂“架構(gòu)”。Schem）（不同類型的對(duì)象）及這些對(duì)象類別的“屬性”中。架構(gòu)保存于活動(dòng)目錄中，而架構(gòu)定義本身也作為對(duì)象保存即類架構(gòu)Schema） （Attribute 方法來(lái)管理類別和屬性對(duì)象。在 Windows 2000 系統(tǒng)中，站點(diǎn)提供哪些服務(wù)？ 客戶機(jī)可以向同一站點(diǎn)的域控制器請(qǐng)求服務(wù) 活動(dòng)目錄會(huì)盡量將站內(nèi)復(fù)制的復(fù)制延遲降至最小 活動(dòng)目錄會(huì)盡量將站間復(fù)制的帶寬消耗降至最小 站點(diǎn)允許人為地安排站間復(fù)制的進(jìn)程請(qǐng)說(shuō)明站點(diǎn)和域之間的區(qū)別。站點(diǎn)是獨(dú)立于域的，了解這一概念非常重要。站點(diǎn)映射網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域一般映射組織的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)

26、構(gòu)彼此獨(dú)立，所以有： 站點(diǎn)和域名稱空間之間沒(méi)有必然的聯(lián)系。 網(wǎng)絡(luò)的物理結(jié)構(gòu)和域結(jié)構(gòu)之間也沒(méi)有必然的關(guān)聯(lián)。但是在很多組織中，創(chuàng)建的域反映了物理網(wǎng)絡(luò)結(jié)構(gòu)。這是因?yàn)橛蚴欠謪^(qū)，而分區(qū)可以影響復(fù)制，通過(guò)將目錄林分成多個(gè)更小的域，可以減少?gòu)?fù)制的通信量。 活動(dòng)目錄允許在一個(gè)站點(diǎn)出現(xiàn)多個(gè)域，也允許一個(gè)域出現(xiàn)在多個(gè)站點(diǎn)中。21.請(qǐng)說(shuō)明利用站點(diǎn)是如何來(lái)提高處理客戶機(jī)請(qǐng)求以及復(fù)制目錄數(shù)據(jù)操作的效率。利用站點(diǎn)可提高以下類型操作的效率。 處理客戶機(jī)請(qǐng)求。當(dāng)客戶機(jī)向域控制器請(qǐng)求服務(wù)時(shí)，它會(huì)直接把請(qǐng)求發(fā)送給同一站點(diǎn)的域控制器（如有一個(gè)可用的域控制器。選擇與發(fā)出請(qǐng)求的客戶機(jī)連接良好的 的域控制器，使網(wǎng)絡(luò)通信能在本地進(jìn)行，從而

27、提高了身份驗(yàn)證過(guò)程的效率。 復(fù)制目錄數(shù)據(jù)。站點(diǎn)可啟用站點(diǎn)內(nèi)和站點(diǎn)間的目錄數(shù)據(jù)復(fù)制?；顒?dòng)目錄在站點(diǎn)內(nèi)復(fù)制信息要比站點(diǎn)間復(fù)制頻繁得多，這意味著：連接最好的域控制器（特定目錄信息的域控制器）所有信息（但不頻繁，這樣就減少了網(wǎng)絡(luò)帶寬消耗。在域控制器之間復(fù)制活動(dòng)目錄數(shù)據(jù)，提供了數(shù)據(jù)的可用性、容錯(cuò)能力、負(fù)載平衡，并提高了性能。1. Windows 2000 系統(tǒng)的身份驗(yàn)證包括哪兩部分？分別完成什么功能？Windows 2000 的身份驗(yàn)證包括兩個(gè)部分：交互式登錄過(guò)程和網(wǎng)絡(luò)身份驗(yàn)證過(guò)程，而用戶身份驗(yàn)證的成功與否同時(shí)取決于這兩個(gè)過(guò)程計(jì)算機(jī)賬戶，而網(wǎng)絡(luò)身份驗(yàn)證則是向特定的網(wǎng)絡(luò)服務(wù)提供對(duì)身份的證明。用戶交互式登錄

28、到本地計(jì)算機(jī)和登錄到域賬戶有何不同？對(duì)于登錄到本地計(jì)算機(jī)賬戶的用戶而言，網(wǎng)絡(luò)身份驗(yàn)證是每次請(qǐng)求網(wǎng)絡(luò)服務(wù)時(shí)都要重復(fù) Windows 2000 性Single Sigh-on, SS成網(wǎng)絡(luò)身份驗(yàn)證，無(wú)須任何手工操作。Windows2000自的功能是什么？Windows 2000 系統(tǒng)的交互式登錄需要下面三個(gè)系統(tǒng)組件：Winlogon.exe、GINA（Graphical Identification and Authentication, 圖形化標(biāo)識(shí)與驗(yàn)證）程序的動(dòng)態(tài)鏈接庫(kù)。 Winlogon：與Windows NT 4.0 相同，Windows 2000 使用Winlogon.exe 來(lái)提供對(duì)交

29、Winlogon 負(fù)責(zé)管理登錄相關(guān)的安全性工作，處理用戶的登錄與注shellWinlogon GINA GINA 還必須保證其與安全相關(guān)操作對(duì)其他進(jìn)程不可見(jiàn)，以免其他進(jìn)程獲取登錄密碼。 GINA 的動(dòng)態(tài)鏈接庫(kù)：登錄進(jìn)程的驗(yàn)證和身份驗(yàn)證都是在GINA 所提供的動(dòng)態(tài)鏈接庫(kù)（DLL 文件）Winlogon 進(jìn)程所加載。微軟的GINA 是MSGINA.dllWindows Winlogon 用于標(biāo)行定制系統(tǒng)的用戶識(shí)別和身份驗(yàn)證。 網(wǎng)絡(luò)提供程序的動(dòng)態(tài)鏈接庫(kù)：Winlogon 還可以加載一個(gè)或多個(gè)網(wǎng)絡(luò)提供程序的動(dòng)態(tài)鏈接庫(kù)，以提供通過(guò)標(biāo)準(zhǔn)協(xié)議到其他類型網(wǎng)絡(luò)（如Novell）的輔助身份驗(yàn)證功能。請(qǐng)說(shuō)明本地安全

30、授權(quán)機(jī)構(gòu)在用戶登錄的身份驗(yàn)證過(guò)程中所起的作用。身份驗(yàn)證程序包位于一個(gè)動(dòng)態(tài)鏈接庫(kù)文件之中，它可以接受輸入的登錄證書(shū)，并且通過(guò) 甚至生物統(tǒng)計(jì)學(xué)數(shù)據(jù)。由于本地安全授權(quán)機(jī)構(gòu)（Local Security Authority, LSA）在系統(tǒng)啟動(dòng)期間加載這個(gè)身份驗(yàn)證程序包，因此LSA 在任何時(shí)候都可以對(duì)用戶進(jìn)行驗(yàn)證。這個(gè)驗(yàn)證的過(guò)程在Windows 2000身份驗(yàn)證的交互式登錄階段和網(wǎng)絡(luò)驗(yàn)證階段都會(huì)發(fā)生。身份驗(yàn)證程序包除了驗(yàn)證用戶之外，還要為用戶新建一個(gè) LSA 定到用戶安全令牌中的安全標(biāo)識(shí)符SI。Windows 2000 MSV1_0 和Kerberos 。另外， Windows 2000 程。Wind

31、ows2000過(guò)程。為了登錄到本地計(jì)算機(jī)，每個(gè)Windows 2000 用戶都必須在系統(tǒng)安全賬戶管理器（Security Account Manager, SAM 過(guò)存儲(chǔ)在本地計(jì)算機(jī)注冊(cè)表（HKEY_LOCAL_MACHINESAMSAM 下）中的安全賬戶SAM 數(shù)據(jù)庫(kù)中Kerberos 是Windows 2000 的默認(rèn)身份驗(yàn)證協(xié)議，但它并不處理本地登錄請(qǐng)求。用戶通過(guò)按下 SAS 熱鍵（Ctrl+Alt+Del）Winlogon 一旦接收到此SAS Winlogon GINA LSA 進(jìn)行驗(yàn)證。LSA 則調(diào)用適當(dāng)?shù)尿?yàn)證程序包（MSV1_SAM SAM 找到了賬戶信息，就向身SID SIDLS

32、A SID， LSA SID 。經(jīng)歷了這樣的一個(gè)過(guò)程，用戶就可以進(jìn)入Windows 桌面了。每個(gè)基于 Windows 2000 Active Directory 每個(gè)基于 Windows 2000 Active Directory 。這Kerberos 身份驗(yàn)證的能力，因?yàn)橹灰蠥ctive Directory 的副本，就會(huì)有Kerberos 身份驗(yàn)證服務(wù)的副本。請(qǐng)解釋一下何謂 Kerberos 的身份驗(yàn)證委派？前面已經(jīng)說(shuō)明了客戶端訪問(wèn)單個(gè)服務(wù)器的情況。然而，對(duì)于應(yīng)用程序而言，使用幾個(gè)服 Web 的應(yīng)用程序可能既使用 Web 服務(wù)器，又使用 2000 提供跨多層應(yīng)用程序（通常稱為三層應(yīng)用程序）

33、的安全措施。如前所述，基于Windows 2000 的域間的傳遞信任關(guān)系極大地?cái)U(kuò)展了運(yùn)行Windows 2000或Windows NT Windows 2000 的域后可訪問(wèn)的資源范圍，無(wú)須使用許多不同密碼來(lái)訪問(wèn)不同服務(wù)器和資源。訪問(wèn)范圍（稱為單一登錄）是通過(guò)結(jié)合Windows 2000 信任機(jī)制和Kerberos 協(xié)議使用Active Directory 法而達(dá)成的。13. 請(qǐng)列舉 Kerberos 協(xié)議的優(yōu)缺點(diǎn)。Kerberos 協(xié)議比NTLM 協(xié)議更加靈活和有效率，并且更加安全。使用Kerberos 驗(yàn)證有以下好處。 NTLM 驗(yàn)證，應(yīng)用程序服務(wù)器為了驗(yàn)證每一個(gè)用戶必須連接到域控制器。而

34、使用Kerberos 驗(yàn)證，服務(wù)器就不再需要連接到域控制器了，它能夠通過(guò)檢查當(dāng)前用戶的信用證書(shū)驗(yàn)證客戶。客戶能夠一次獲得特定服務(wù)器的信用證書(shū)，并且在網(wǎng)絡(luò)登錄對(duì)話中再次使用它們。 NTLM 允許服務(wù)器檢驗(yàn)它們客戶的身份。它不允許客戶檢驗(yàn)服務(wù)器身NTLM Kerberos 協(xié)議不需要任何假設(shè)，網(wǎng)絡(luò)連接兩端的團(tuán)體都能夠知道另一端的團(tuán)體所聲稱的是什么。 Windows 服務(wù)在自己訪問(wèn)需要資源時(shí)模擬客戶。許多情況下，服務(wù)能夠NTLM 和Kerberos 都提供服務(wù)需要Kerberos 協(xié)議有代理機(jī)制，它允許服。 Kerberos Windows 2000 域之間的信任驗(yàn)證是通過(guò)默認(rèn)的雙向和傳遞。多域網(wǎng)絡(luò)

35、不再需要明確的、點(diǎn)到點(diǎn)信任關(guān)系的復(fù)雜網(wǎng)絡(luò)。相反，能夠組織大型網(wǎng)絡(luò)中的許多域到傳遞的、相互的信任樹(shù)中。如果網(wǎng)絡(luò)包含超過(guò)一個(gè)的樹(shù)時(shí)，整個(gè)森林將接受任何樹(shù)中的域發(fā)出的信任證書(shū)。 Microsoft 對(duì)于Kerberos Internet 工程任務(wù)組（IETF）推薦的標(biāo)準(zhǔn)途徑規(guī)范的。因此，當(dāng)Kerberos v5 用作驗(yàn)證時(shí)，Windows 2000中此協(xié)議的實(shí)現(xiàn)是位于同其他網(wǎng)絡(luò)協(xié)同工作能力基礎(chǔ)之上的。Kerberos 協(xié)議有其優(yōu)點(diǎn)，同時(shí)也有其固有的缺點(diǎn)，主要如下所述。 Kerberos 服務(wù)器與用戶共享的秘密是用戶的口令字，服務(wù)器在回應(yīng)時(shí)不驗(yàn)證用戶的真實(shí)性，假設(shè)只有合法用戶擁有口令字。如攻擊者記錄申

36、請(qǐng)回答報(bào)文，就易形成代碼本攻擊。 AS 和TGS AS 和TGS 的性能和安全。 Kerberos 擁有每個(gè)用戶的口令字的散列值，AS 與TGS 負(fù)責(zé)戶間通信密鑰的分配。當(dāng)N 個(gè)用戶想同時(shí)通信時(shí)，仍需要N*(N-1)/2 個(gè)密鑰。:1. 請(qǐng)解釋以下名詞：主體，客體，訪問(wèn)控制技術(shù)。在Windows 2000 系統(tǒng)中，安全主體（Security Principal）不僅僅包括用戶，還包2. 試從訪問(wèn)控制的主體和客體兩方面分別說(shuō)明 Windows 2000 系統(tǒng)中的訪問(wèn)控制機(jī)制。首先，從訪問(wèn)控制的主體角度出發(fā)，Windows 2000 系統(tǒng)在用戶登錄（無(wú)論是本地登錄還是遠(yuǎn)程登錄）Access Tok

37、eSIDSID 供了安全環(huán)境。而當(dāng)用戶每啟動(dòng)一個(gè)應(yīng)用程序時(shí)，所執(zhí)行的每一個(gè)線程都會(huì)得到一份該訪問(wèn)令牌的復(fù)本。作為用戶的代理，每當(dāng)線程請(qǐng)求對(duì)某個(gè)受到權(quán)限控制保護(hù)的對(duì)象進(jìn)行任何級(jí)別的訪問(wèn)時(shí)，該線程都要把此訪問(wèn)令牌提交給操作系統(tǒng)來(lái)執(zhí)行訪問(wèn)檢查。這種檢查可以確保主體是在經(jīng)過(guò)授權(quán)之后才進(jìn)行訪問(wèn)的。另一方面，從訪問(wèn)控制的客體角度出發(fā)，安全描述Discriptor）定義了客體（被訪問(wèn)的對(duì)象）SID 之外，主要說(shuō)明了哪些用戶（Access Control Entries, Window 2000 ACL 中的項(xiàng)（即ACE）SID SIDACE 來(lái)確定用戶是否有權(quán)限進(jìn)行所請(qǐng)求的訪問(wèn)6-1 描述了訪問(wèn)令牌與安全描

38、述之間的關(guān)系。請(qǐng)分別說(shuō)明自由訪問(wèn)控制列表（DACL）和系統(tǒng)訪問(wèn)控制列表（SACL） 在訪問(wèn)控制機(jī)制中的作用.ACL 包括DACL 和SACL 兩種類型。其中DACL（自由訪問(wèn)控制列表）規(guī)定了哪些安系統(tǒng)訪問(wèn)控制列表）規(guī)定了應(yīng)該審核哪些安全主體發(fā)出的哪些訪問(wèn)請(qǐng)求。什么叫做“模擬令牌”？它的作用是什么？（戶的安全上下文）的令牌。請(qǐng)簡(jiǎn)要描述一下“安全描述”的結(jié)構(gòu)。雖然安全描述中的具體信息依賴于對(duì)象類型以及對(duì)象的創(chuàng)建方式，但是安全描述有一個(gè)已定義的結(jié)構(gòu)，包括下列部分。頭部Heade。除一個(gè)修訂版本號(hào)之外，這部分還包括用于描述安全描述及其組DACL 還是。另外，Windows 2000 安全描述中的控制標(biāo)

39、志位還包含有關(guān)自動(dòng)DACL 和SACL。所有者OwneSI。主組Primary GrouSI。自由訪問(wèn)控制列表DACDACL 是包含零個(gè)或多個(gè)ACE ACE 并且包含一些指定該項(xiàng)允許還是拒絕訪問(wèn)的信息以及與這些訪問(wèn)類型相關(guān)聯(lián)的操 作。系統(tǒng)訪問(wèn)控制列表SAC。SACL ACESACLSID 之外，SACL 中的ACE 還包括所要審核的操作以及審核事件是由成功操作還是失敗操作（或者兩者一起）觸發(fā)的。請(qǐng)說(shuō)明“空 DACL”和“沒(méi)有DACL”的區(qū)別。DACDACDAC”的意 DACL”則恰恰相反，它表示在列表中沒(méi)有任何ACE 的存在，所以也就不允許任何用戶進(jìn)行訪問(wèn)。第七章： 1FAT 文件系統(tǒng)較之NT

40、FS 文件系統(tǒng)，誰(shuí)的安全性更好？（NTFS安全性更好FAT NTFS（能Convert.exe NTFS 卷。用戶在執(zhí)行轉(zhuǎn)換之前沒(méi)Convert FAT 文件系統(tǒng)格式轉(zhuǎn)換而來(lái)的卷性能沒(méi)有初始就使用NTFS NTFS 卷返回到FAT 卷。Convert 的命令語(yǔ)法為：CONVERT volume /FS:NTFS /V）NTFS 文件系統(tǒng)能否轉(zhuǎn)換成FAT 文件系統(tǒng)？（不能）若能，請(qǐng)問(wèn)又該如何操作？2在基于 NTFS 文件系統(tǒng)的Windows 2000 中，如果一個(gè)用戶即是A 組的成員，又是B 組的成B“寫(xiě)入”權(quán)限，那么該用戶對(duì)該文件夾具有什么權(quán)限？（讀寫(xiě)）4NTFS 文件系統(tǒng)的Windows20

41、00（該用戶是這個(gè)文件的所有者的訪問(wèn)權(quán)限設(shè)置關(guān)于 Windows2000 文件加密系統(tǒng)（EFS（4）EFS 所采用的加密技術(shù)是基于公私鑰體制的。EFS 是作為綜合系統(tǒng)服務(wù)運(yùn)行的，比較容易管理、而且很難攻擊。EFS 對(duì)于用戶是透明的。不擁有文件密鑰的用戶無(wú)法訪問(wèn)使用EFS 以。Windows2000EFS 的組成結(jié)構(gòu)。在 Windows 2000 操作系統(tǒng)中，加密文件系統(tǒng)7-4 所示。EFS 由以下組件組成。 EFS 驅(qū)動(dòng)程序。EFS 驅(qū)動(dòng)程序在NTFS 的上面一層。它與EFS 服務(wù)通信，請(qǐng)求文、DRF EFS 時(shí)庫(kù)FSRT，以透明地執(zhí)行各種文件系統(tǒng)操作（打開(kāi)、讀取、寫(xiě)入和附加。 EFS FSR

42、TL。FSRTL 是EFS 驅(qū)動(dòng)程序中的一個(gè)模塊，用于實(shí)現(xiàn)NTFS 標(biāo)注以處理EFS 驅(qū)動(dòng)程序和 FSRTL NTFS 文件控NTFS 參與所有的文件操作。使用文件控制機(jī)EFS 屬性數(shù)據(jù)（DDF 和DRF）作為文件屬性寫(xiě)入，以及 將EFS FEK 傳送到 EFS 服務(wù)。EFS 服務(wù)是安全子系統(tǒng)的一部分。它使用本地安全授權(quán)（LSA）和內(nèi)核LPC EFS CryptoAPI DDF 和DRF。EFS 服務(wù)也支持Win32 API 的加密、解密、恢復(fù)、導(dǎo)入和導(dǎo)出。 Win32 API。它為加密明文文件、解密和恢復(fù)密文文件、導(dǎo)入和導(dǎo)出加密文件（沒(méi)有先解密）提供了編程接口。Advapi32.dll（一個(gè)

43、標(biāo)準(zhǔn)的系統(tǒng) DLL）提供對(duì)這些API 的支持。什么是“故障恢復(fù)代理”？它在文件加密系統(tǒng)中的作用是什么？安裝 Windows 2000 Server 時(shí)，如果已設(shè)置第一個(gè)域控制器時(shí)，將自動(dòng)對(duì)域執(zhí)行故障恢復(fù)策略。域管理員被頒發(fā)自簽名的證書(shū)，該證書(shū)將域管理員指派為故障恢復(fù)代理。 EFS 次登錄到系統(tǒng)時(shí)，故障恢復(fù)策略將自動(dòng)就位，讓管理員成為故障恢復(fù)代理。10在以下關(guān)于復(fù)制加密文件的描述中，正確的有哪些：源文件及其所在的目錄都加密，而目標(biāo)目錄未加密，則目標(biāo)文件不加密。源文件及其所在的目錄都加密，而目標(biāo)目錄未加密，則目標(biāo)文件加密。源文件及其所在的目錄都未加密，而目標(biāo)目錄加密，則目標(biāo)文件不加密。源文件及其所

44、在的目錄都未加密，而目標(biāo)目錄加密，則目標(biāo)文件加密。13請(qǐng)簡(jiǎn)述磁盤配額的好處。由于磁盤配額監(jiān)視單個(gè)用戶的卷使用情況，因此每個(gè)用戶對(duì)磁盤空間的利用都不會(huì)影響同一卷上的其他用戶的磁盤配額。磁盤配額是以文件所有權(quán)為基礎(chǔ)的，并且不受卷中用戶文件的文件夾位置的限制。磁盤配額只適用于卷，且不受卷的文件夾結(jié)構(gòu)及物理磁盤上的布局的限制。15請(qǐng)解釋以下名詞：常規(guī)備份，增量備份，差異備份，拷貝備份， 每日備份。常規(guī)備份（normal backup）：這種備份方式將復(fù)制所有選定的文件，且將其標(biāo)記為已備份狀態(tài)。常規(guī)備份時(shí)，僅需要備份文件的最近一次副本用以恢復(fù)所有的文件。 增量備份（incremental backup）

45、：這種備份方式只備份那些自從上一次常規(guī)或增量備份后創(chuàng)建的或改動(dòng)的文件，且將其標(biāo)記為已備份。如果用戶將常規(guī)備份與增量備份結(jié)合起來(lái)使用，則需要最后一次常規(guī)備份集合和所有的增量備份集合以便于用來(lái)恢復(fù)數(shù)據(jù)。 差異備份（differential backup）：這種備份方式將復(fù)制那些自從上一次常規(guī)或增量備份后創(chuàng)建的或改動(dòng)的文件，但不將文件標(biāo)記為已備份。如果用戶結(jié)合使用常規(guī)備份和差異備份，那么需要最后一次常規(guī)備份集合和最后一次差異備份集合以用于恢復(fù)數(shù)據(jù)。 拷貝備份（copy backup）：這種備份方式將復(fù)制所有選定的文件，但不將文件標(biāo)記為已備份。復(fù)制對(duì)于常規(guī)備份和增量備份之間的文件備份而言十分有用，因?yàn)?/p>

46、它不影響其他備份操作。 每日備份（daily backup）：特定文件，而不管文檔屬性的當(dāng)前狀態(tài)。備份文件不標(biāo)記已備份狀態(tài)。第八章2使用 IPSec 協(xié)議對(duì)于安全的保證意義在于：數(shù)據(jù)的完整性。數(shù)據(jù)的保密性。數(shù)據(jù)的可用性。數(shù)據(jù)的來(lái)源驗(yàn)證。IPSec 的傳輸模式和隧道模式有何區(qū)別？傳輸模式和隧道模式：在 IPSec 的傳輸模式中，IP 頭與上層協(xié)議頭之間插入一個(gè)特殊的IPSec 頭；而在隧道模式中，要保護(hù)的整個(gè)IP 包都需加密封裝到另一個(gè)IP 數(shù)據(jù)包里，同時(shí)在外部與內(nèi)部IP 頭之間插入一個(gè)IPSec 頭。這兩種模式的區(qū)別如圖 8-1 所示。兩種 IPSec 協(xié)議（AH 和ESP）均能同時(shí)以傳輸模式

47、或者隧道模式工作。傳輸模式用來(lái)保證在同一 LAN 上或通過(guò)專用WAN 鏈路連接起來(lái)的系統(tǒng)之間的客戶對(duì)客戶的安全性。在傳輸模式下，兩個(gè)端的系統(tǒng)都必須支持IPSec，而中間節(jié)點(diǎn)系統(tǒng)不必支持IPSec，它們只是以普通的方式轉(zhuǎn)發(fā)數(shù)據(jù)包。隧道模式用于網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的連接，例如通過(guò)需要最大安全性的Internet 連接虛擬專用網(wǎng)絡(luò)（VPN）IPSec。隧道 通過(guò)Internet IPSec。產(chǎn)生數(shù)據(jù)包IPSec Internet IP 數(shù)據(jù)包或任何其他的網(wǎng)絡(luò)層協(xié)議把8-2 所示。請(qǐng)分別描述一下封裝安全載荷協(xié)議和驗(yàn)證報(bào)頭的實(shí)現(xiàn)原理。ESP（Encapsulating Security Payload）是屬于IP

48、Sec 的一種協(xié)議，可用于確保IP 數(shù)據(jù)包的機(jī)密性（未被他人看過(guò)）、數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證。此外，它也要負(fù)責(zé)對(duì)重播攻擊的抵抗。具體的實(shí)現(xiàn)原理是在 IP 頭（IP 選項(xiàng)）之后，要保護(hù)的數(shù)據(jù)（傳輸層協(xié)議以及由創(chuàng)建該數(shù)據(jù)包的應(yīng)用程序所產(chǎn)生的數(shù)據(jù)）ESP 頭。受保護(hù)的IP 數(shù)據(jù)包（。最后，還要在數(shù)據(jù)包的最后追加一個(gè)ESP 8-3 所示。驗(yàn)證報(bào)頭（AH ）與 ESP 類似，AH 它來(lái)保證數(shù)據(jù)的機(jī)密性。AH 給標(biāo)準(zhǔn)的IP 數(shù)據(jù)包增加了另一個(gè)報(bào)頭，這個(gè)AH 報(bào)頭接在原來(lái)的IP 報(bào)頭之后，緊接著下一個(gè)報(bào)頭就是要保護(hù)的數(shù)據(jù)，如圖8-4 所示。如果數(shù)據(jù)包中含有其他的 IPSec 協(xié)議（如ESP），那么

49、這些協(xié)議的報(bào)頭就應(yīng)該緊跟在AH IP 報(bào)頭中的“協(xié)議”字段必須標(biāo)識(shí)出現(xiàn)在數(shù)據(jù)包中的下一個(gè)報(bào)頭。在帶有AH 51AH 傳輸層協(xié)議報(bào)頭。IPSec 中，安全聯(lián)盟（SA）的作用是什么？為了能夠正確封裝及提取 IPSec 數(shù)據(jù)包，有必要采取一套專門的方案，將安全服務(wù)、密鑰IPSec 數(shù)據(jù)傳輸聯(lián)Association, 。Windows2000IKE 的時(shí)候提供了三種用以在計(jì)算機(jī)之間（基于IETF 標(biāo)準(zhǔn)，它們分別是什么？IKE 的實(shí)現(xiàn)提供三個(gè)基于IETF 標(biāo)準(zhǔn)的身份驗(yàn)證方法以在計(jì)算機(jī)之間建立信任。 基于 Windows 2000 域基礎(chǔ)結(jié)構(gòu)提供的 Kerberos v5 在幾個(gè)受信任域中的計(jì)算機(jī)之間部署

50、安全通信。 使用證書(shū)的公鑰/私鑰簽名，與多個(gè)證書(shū)系統(tǒng)兼容，包括Microsoft、Entrust、VeriSign和Netscape。 密碼，用術(shù)語(yǔ)表示為“預(yù)先共享的身份驗(yàn)證密鑰”，嚴(yán)格用于建立信任不用于應(yīng)用程序數(shù)據(jù)包保護(hù)。請(qǐng)描述一下當(dāng) IPSec 策略發(fā)揮作用時(shí)的一個(gè)典型數(shù)據(jù)交換過(guò)程。IPSec 策略由安全策略數(shù)據(jù)庫(kù)（Security Policy Database, SPD）加以維護(hù)。在SPD 這個(gè)IP SPD 數(shù)據(jù)庫(kù)，調(diào)查可能的安全應(yīng)用。對(duì)一個(gè)SPD 條目來(lái)說(shuō)，它可能定義了這樣幾種行為：丟棄、繞過(guò)以及應(yīng)用。其中，丟棄表示不讓SPD SA，表示要將其應(yīng)用于數(shù)據(jù)包。Windows2000 中

51、實(shí)現(xiàn)IPSec 時(shí)，有哪些預(yù)定義的IP略？它們分別對(duì)應(yīng)于什么級(jí)別的安全性？客戶端（只響應(yīng)）該策略用于在大部分時(shí)間都不能保證通信的計(jì)算機(jī)。例如，企業(yè)內(nèi)部網(wǎng)客戶可能不需要IPSec，除非另一臺(tái)計(jì)算機(jī)發(fā)出請(qǐng)求。該策略允許在它活動(dòng)的計(jì)算機(jī)上正確響應(yīng)安全通信請(qǐng)求。該策略包含一個(gè)默認(rèn)的響應(yīng)規(guī)則，該規(guī)則允許與請(qǐng)求 IPSec 的計(jì)算機(jī)進(jìn)行協(xié)商。對(duì)于該通信，只有被請(qǐng)求的協(xié)議和端口傳輸才是安全的。 服務(wù)器（請(qǐng)求安全性）該策略用于應(yīng)在大多數(shù)時(shí)間保證通信的計(jì)算機(jī)。該策略的一個(gè)例子就是傳輸敏感數(shù)據(jù)的服務(wù)器。在該策略中，計(jì)算機(jī)接受不安 IPSec，則該策略允許整個(gè)通信都是不安全的。 安全服務(wù)器（需要安全性）該策略用于始

52、終需要安全通信的計(jì)算機(jī)。該策略的一個(gè)例子就是傳輸高度敏感數(shù)據(jù)的服 IPSec。14什么是 SSL 協(xié)議？它實(shí)質(zhì)上包括哪兩層協(xié)議？SSL（Secure Socket Layer, 安全套接字層）Netscape 公司率先采用的網(wǎng)絡(luò)安全協(xié)議， 是在傳輸通信協(xié)議SSL 協(xié)議的目SSL 提供3 種基本的安全服務(wù)：信息加密、信息完整性、相互認(rèn)證。SSL 實(shí)際上由兩層協(xié)議所組成。 SSL 記錄協(xié)議：用于封裝不同的上層協(xié)議。它涉及應(yīng)用程序提供的信息的分段、壓SSL v3 MD5 和SHA 的R4 DES SSL 的握手協(xié)議來(lái)協(xié)商。 SSL 握手協(xié)議：用來(lái)在服務(wù)器和客戶機(jī)在傳輸應(yīng)用數(shù)據(jù)之前，交換版本號(hào)、協(xié)商加

53、密算法、（相互）SSL v3 Deffie-Hellman 密鑰交換算法、基于RSA 的密鑰交換機(jī)制和另一種實(shí)現(xiàn)在Fortezza Chip 上的密鑰交換機(jī)制的支持。SSL通道的典型過(guò)程。在使用 SSL 安全機(jī)制的時(shí)候，客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。VPN？最常用于VPN 的隧道協(xié)議有哪些？VPN（Virtual Private Networks, 虛擬專用網(wǎng)絡(luò)）Internet 或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為經(jīng)過(guò)相互授權(quán)的用戶創(chuàng)建通信隧道安全和功能保障。VPN 隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相

54、同的隧道協(xié)議。用于 VPN 用的隧道協(xié)議如下。 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point to Point Tunnel Protocol, PPTP）PPTP 是PPP 的一個(gè)擴(kuò)展，它增加了一個(gè)新的安全等級(jí)，并且可以通過(guò)Internet 進(jìn)行多（PPTP 可以建立隧道或?qū)?IPX 或 NetBEUI 協(xié)議封裝在 PPP PPTP 在基于 TCP/IP 協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建 VPN 連 接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸VPN EAP 后，通過(guò)啟用 PPTP 的 VPN 傳輸數(shù)據(jù)就像在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣安全。另外還可以使用PPTP 建立專用 LAN 到 LAN PPTP 是Microsoft

55、 和其他廠家支持的標(biāo)準(zhǔn)。 第二層隧道協(xié)議（Layer2 Tunneling Protocol, L2TP）除了 Microsoft PPTP Macintosh 和Unix，Cisco 的Forwarding）MicrosoftCisco 和其他一些網(wǎng)L2F 與PPTP L2TP PPTP 和L2TP PPTP L2TP PPP IPX 或NetBEUI PPTP L2TP 使IPSec L2TP IP 網(wǎng)絡(luò)建立隧道，X.25ATM 網(wǎng)絡(luò)的本地隧道。 IP 協(xié)議安全（Internet Protocol Security, IPSec）在前面已經(jīng)詳細(xì)敘述過(guò)IPSec 了。當(dāng)使用IPSec 且處于

56、隧道模式時(shí)，完整的IP 數(shù)據(jù)包是由ESP 來(lái)進(jìn)行封裝和加密的，然后結(jié)果會(huì)被封裝（使用明文的IP 數(shù)據(jù)頭），并在中轉(zhuǎn)互聯(lián)網(wǎng)絡(luò)上進(jìn)行傳輸。第九章IIS5.0 所具備的安全特性。為了提高安全性，IIS 5.0 改進(jìn)了自身的安全驗(yàn)證方法，加強(qiáng)了安全通信功能，并與Kerberos v5 驗(yàn)證協(xié)議完全集成。 在安全驗(yàn)證方面，IIS 5.0 用分級(jí)驗(yàn)證，能夠安全、可靠地通過(guò)代理服務(wù)器和防火墻Anonymous 和Windows 驗(yàn)證。 在安全通信方面，IIS 5.0 的安全套接層（SSL）3.0 和傳輸層安全（TLS）為客戶和 3.0 和TLS 還為服務(wù)器提供IIS 5.0 中，ISAPI ASP 都得到客

57、戶證書(shū)，從而程序員可以通過(guò)他們的站點(diǎn)跟蹤用戶。同時(shí)， IIS 5.0 也可以將Windows 用戶賬號(hào)，從而使管理員可以根據(jù)客戶證書(shū)控制對(duì)系統(tǒng)資源的訪問(wèn)。服務(wù)器加密SSL 128 SGC SGC 證書(shū)才行。 IIS 與Kerberos v5 Windows 的不同計(jì)算機(jī) 證書(shū)的單入口點(diǎn)。此外，Windows 2000 IIS 服務(wù)器的運(yùn)行。 繼承權(quán)限：針對(duì)目錄或注冊(cè)表鍵而指定的自由訪問(wèn)控制列表（DACL）可以被其內(nèi)Windows 2000 DACL 就更為容易而且更少出錯(cuò)。 安全模板：在Windows 2000 系統(tǒng)中，包括用戶權(quán)限、文件系統(tǒng)與注冊(cè)表DACL 和受限組成員身份在內(nèi)的大量安全設(shè)置

58、都已經(jīng)收集到了安全模板文件中?？梢岳眠@些模板來(lái)增強(qiáng)機(jī)器的本地安全策略，也可以測(cè)試計(jì)算機(jī)的當(dāng)前配置與模板之間的一致性。 活動(dòng)目錄的目錄服務(wù)：Windows 2000 域之間雙向可傳遞的信任關(guān)系允許活動(dòng)目錄IIS 服務(wù)器才可以使用該數(shù)據(jù)庫(kù)自動(dòng)對(duì)用戶進(jìn)行身份驗(yàn)證。 證書(shū)服務(wù)：Windows 2000 提供了復(fù)雜的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）。因此，域用戶可以自動(dòng)獲取證書(shū)并用來(lái)訪問(wèn)運(yùn)行于IIS 服務(wù)器上的資源?；顒?dòng)目錄會(huì)自動(dòng)把證書(shū)映射到用戶賬戶。 Kerberos 身份驗(yàn)證：Windows 2000 中新出現(xiàn)的這個(gè)協(xié)議可用來(lái)提高運(yùn)行IIS 服務(wù)器NTLM 相反，Kerberos 對(duì)每個(gè)用戶進(jìn)行身份驗(yàn)證時(shí)不

59、需要連接域控制器。Kerberos IPSec：此協(xié)議提供了機(jī)密性、完整性以及IP 層的主機(jī)間身份驗(yàn)證服務(wù)。可以在Intranet 或Internet 上實(shí)現(xiàn)IPSec 以提供VPN（虛擬專用網(wǎng)絡(luò)）。在VPN 上提供的IIS 服務(wù)，無(wú)須進(jìn)一步配置就可以透明地享受到那些安全服務(wù)所帶來(lái)的好處。 高強(qiáng)度加密包。IS5.0性上的差異。匿名身份驗(yàn)證匿名身份驗(yàn)證意味著根本就沒(méi)有身份驗(yàn)證。在訪問(wèn)一個(gè)給匿名身份驗(yàn)證配置的資源時(shí)，IIS IUSR_Computername（其中，Computername 行IIS 的計(jì)算機(jī)名稱。IIS IIS 控制著賬戶口令。它在這種模式下執(zhí)行網(wǎng)絡(luò)登定義明文登錄類型。在創(chuàng)建 I

60、USR_Computername 時(shí)，就賦予了它上述權(quán)力并使它成為Guests 組的成員，以限制它對(duì)文件系統(tǒng)的訪問(wèn)。如果使用其他賬戶進(jìn)行匿名訪問(wèn)，就必須重復(fù)進(jìn)行這些設(shè)置?；旧矸蒡?yàn)證基本身份驗(yàn)證是收集用戶名與口令信息的標(biāo)準(zhǔn)機(jī)制。Web 瀏覽器提示用戶輸入用戶名IIS IIS Windows 2000 用戶名（domainusername）格式中包括域名。基本身份驗(yàn)證的優(yōu)勢(shì)在于它是 HTTP 標(biāo)準(zhǔn)的一部分，因而在大多數(shù)瀏覽器上已經(jīng)實(shí)現(xiàn)。但SSL/TLS 來(lái)保護(hù)網(wǎng)絡(luò)連接?；旧矸蒡?yàn)證也稱作默認(rèn)為交互式的明文登錄，因?yàn)樗枰獡碛小氨镜氐卿洝睓?quán)限。域服務(wù)器的簡(jiǎn)要身份驗(yàn)證簡(jiǎn)要身份驗(yàn)證（也成為摘要身份驗(yàn)證