MBA智库文档管理生产管理生产运作数据安全整理.doc

数据安全整理.doc

下载

Rodsplumb

31页 | 430KB | 0次下载 |

0.0

(0人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

声明：本文件由杨晓龙和刘泽霖两人根据老师最后一节课所提的复习题为来源，摘抄的书上与问题相关部分的内容，并非答案，非官方，旨在于方便大家考试时查阅，禁止用作他处。我二人对由此产生的任何不良影响不负任何责任。使用此文档即表示你已经同意这则声明。从操作系统本身而言，Windows NT 系统主要具有哪些特点？ ① 32 位操作系统，多重引导功能，可与其他操作系统共存。 ① 实现了“抢先式”多任务和多线程操作。 ① 采用 SMP（对称多处理）技术，支持多CPU 系统。 ① 支持 CISC（如Intel 系统）和RISC（如Power PC、R4400 等）多种硬件平台。 ① 可与各种网络操作系统实现互操作，如：UNIX、Novel Netware、Macintosh 等系统；对客户操作系统提供广泛支持，如MS-DOS、Windows、Windows NT Workstation、 UINX、OS／2、Macintosh 等；支持多种协议：TCP／IP、NetBEUI、DLC、AppleTalk、 NWLINK 等。 ① 安全性达到美国国防部的 C2 标准。 1. Windows NT 系统在系统和网络安全性上引入了哪些新的概念？ ① NTFS（Windows NT File System）：Windows NT 采用的新型文件系统，可提供安全存取控制及容错能力，在大容量磁盘上，它的效率比FAT 高。 ① 共享权限：支持对网络资源设置一定的权限许可，没有得到权限许可，就无法访问网络资源。 ① 用户账户（User Account）：要想使用网络资源，就必须有用户账户。Windows NT 对用户和服务程序，都要求提供合法账户。专为应用程序或服务进程创建的账户即服务账户，在系统启动时，服务进程使用服务账户登录以获得在系统中使用资源的权利和权限。普通用户账户由用户登录时提供，用于Windows NT 控制该用户在系统中的权利和权限，与服务账户本质上没有区别。 ① 域（Domain）：域是Windows NT 中数据安全和集中管理的基本单位。网络由域组成，域具有惟一的名称。域可以看作由运行NT 的服务器组成的系统，一组电脑共用相同的账户及安全数据库。 ① 工作组（Workgroup）：工作组是一种资源与系统管理都分散的网络结构。在工作组的范围里，每台电脑既可以充当服务器的角色，也可以充当工作站的角色，彼此之间是平等关系。 ① 权限（Right）：权限是授权某用户可以在系统上执行某些操作。权限用来保护系统整体。 ① 许可（Permission）：许可用来保护特定对象。许可规定可以使用某一对象的用户以及用什么方法使用。 ① 安全审核：Windows NT 将记录发生在电脑上各项与安全系统相关的过程。 2. 活动目录的概念和作用分别是什么，包括哪些组成部分？活动目录（Active Directory, AD）服务是Windows 2000 安全模型灵活性与可扩展性的核心，它提供了完全集成于Windows 2000 的一个安全、分布式、可扩展以及重复的分层目录服务。活动目录替代了 Windows NT 早期版本中域控制器的注册表数据库内的安全账户管理器（Security Accounts Manager, SAM），从而成为用户账户、工作组和口令等安全信息的主要存储区域。同样地，活动目录形成了本地安全授权（Local Security Authorization, LSA）的一个可信任组件。换句话说，活动目录既为支持验证而存储了用户证书，也为支持授权访问系统资源而存储了访问控制信息。活动目录主要包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理容器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。 3. 请简述 Kerberos 协议的思想，并描述一次典型的操作过程。 Windows 2000 使用Internet 标准Kerberos V5 协议（RFC 1510）作为验证用户身份的主要方法。Kerberos 协议提供在客户机和服务器之间的网络连接打开前交互身份验证的机制。此方法对包含开放通信（如那些已经在Internet 上实现的）的网络来说是非常理想的。 Kerberos 验证协议定义了客户、资源和网络验证服务（密钥分配中心、KDC）之间的安全交互。在Windows 2000 中，KDC 是作为每个域控制器上的验证服务来实现的。通过把活动目录当作用户（主体）和工作组的账户数据库，Windows 2000 域变成了Kerberos 域的一个等价物。Windows 2000 将Kerberos 协议完全集成到了Winlogon 单一登录体系结构之中，提供了身份验证和访问控制功能。 Kerberos 协议是基于“票据”的思想。票据是由密钥分发中心（KDC）的可信颁发机构颁发的加密数据包。票据可以证明用户的身份，同时还携带了其他信息。KDC 为其颁发机构范围或“领域”内的所有用户提供票据，它提供身份验证服务和票据授予服务这两项服务。在 Windows 2000 中，每个域控制器就是一个 KDC，而域控制器的领域与其所在的域对应。 Kerberos 协议的操作过程其实比较简单，如图1-3 所示。登录时，用户向KDC 验证自己的身份，KDC 为用户提供一个初始票据，称为TGT（Ticket Granting Ticket, 票据授予票据）。此后，当用户需要使用网络资源时，其用户会话将TGT 提交给域控制器，并请求特定的资源票据，即ST（Service Ticket, 服务票据）。然后，用户将ST 提交给资源，由资源授权访问。 4. 配置 IPSec 协议可以完成哪些安全功能？ ① 根据 Kerberos 身份验证、数字证书或共享机密密钥（密码）来验证IP 数据包发送者身份。 ① 确保在网络上传送的 IP 数据包的完整性。 ① 按照绝密等级对所有在网络上传送的数据进行加密。 ① 在数据传输过程中，隐藏 IP 源地址。第二章：1. 请解释 Windows NT 系统安全体系结构中内核模式和用户模式之间的区别。应用程序及其子系统运行在用户模式下。该模式拥有较低特权，不能对硬件直接进行访问。用户模式的应用程序被限定在由操作系统所分配的内存空间内，不能对其他内存地址空间直接进行访问。用户模式只能使用特殊的应用程序编程接口（API）来从内核模式组件中申请系统服务。用户模式中包含有以下一些主要的子系统。 ① Win32 子系统：这是主要的应用程序子系统，所有的32 位Windows 应用程序都运行在这个子系统之下。 ① 本地安全子系统：用来支持 Windows 的登录过程，包括对登录的身份验证和审核工作。安全子系统需要和Win32 子系统进行通信。 ① OS/2 子系统：被设计用来运行和OS/2 相兼容的应用程序。 ① POSIX 子系统：被设计用来运行和POSIX 相兼容的应用程序。而内核模式中的代码则具有极高的特权，可以直接对硬件进行操作以及直接访问所有的内存空间，并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。组成内核模式的整套服务被称为“执行服务”（有时也被称为Windows NT Executive）。执行服务通过响应用户模式下应用程序发出的请求来提供内核模式服务。 Windows NT 系统的用户模式中包含哪些安全子系统？见上请说明 FAT 文件系统和 NTFS 文件系统的不同点。，Windows NT 的安全性能在很大程度上依赖于NTFS 文件系统。所谓NTFS，即NT File System（NT 文件系统），它是从Windows NT 所开始采用的独特文件系统结构。 NTFS 建立在保护文件和目录数据基础上，同时以节省存储资源、减少磁盘占用率为设计目的。NTFS 较FAT 文件系统而言，功能更强大，适合更大的磁盘和分区，支持安全性，是更为完善和灵活的文件系统。 NTFS 文件系统为Windows NT 服务器或工作站提供了必需的安全保障，它的安全特性主要体现在以下几个方面。 ① 在 NTFS 分区上支持随机访问控制和拥有权，对共享文件夹可以指定权限，以免受到本地访问或远程访问的影响。 ① 对于在计算机上存储文件夹或单个文件，或者是通过连接到共享文件夹访问的用户，都可以指定权限，以使每个用户只能按照系统赋予的权限进行操作，充分保护了系统和数据的安全。 ① NTFS 使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等问题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。正是由于具备了这些安全特性，Windows NT 下网络资源的本地安全性是通过NTFS 权限许可来实现的。在一个格式化为NTFS 的分区上，每个文件或者文件夹都可以被单独地分配一个许可，这个许可使得这些资源具备更高级别的安全性。用户无论是在本机还是通过远程网络访问这些设置有NTFS 许可的资源，都必须具备访问这些资源的权限。此外，NTFS 支持对单个文件或者整个文件夹进行压缩。这种压缩不同于FAT 文件系统中对驱动器卷的压缩，其可控性和速度均要好得多。NTFS 文件系统还具备其他一些优点，例如：对于超过4GB 以上的磁盘，使用NTFS 分区可以减少磁盘碎片的数量，大幅度提升磁盘的利用率；NTFS 可支持的磁盘分区大小可达64GB，远大于FAT32 可支持的4GB；支持长文件名等。请说明工作组和域之间的不同之处。工作组（Workgroup）是一个不共享任何用户账户信息和组账户信息的小型Windows NT 系统集合。工作组中每个系统之间是彼此独立的，在进行验证时都使用系统自身的SAM 数据库。所以，这种配置仅适用于最小型的环境，否则将是难以管理的，并且根本无法集中进行控制。不同于工作组的独立和松散，Windows NT 域是具有集中安全授权机构（如主域控制器，PDC）的一批计算机。它至少应该由一台PDC 和若干台工作站和成员服务器所组成。在实际情况中，域中一般还存在备份域控制器（BDC），它用来提供整个域SAM 数据库的多份完全复本，以提高有效性，并可以用来向多台服务器提供分布式的验证服务。 Windows NT 域为用户、组和计算机账户定义了安全边界的管理范围。由于集中安全授权机构的存在，一个域就允许在这个域中的所有用户共享普通的用户账户数据库和普通的安全策略，并不再需要每台计算机都各自提供自己的验证服务。一旦某用户通过了PDC 或者 BDC 的域验证，那么该用户就可以在具有必要权限的域和主体内的任何地方访问资源了。两个域之间的信任关系有哪两种？Window NT 系统的工作组和域之间能否建立起信任关系？两个域之间的信任关系有如下两种。 ① 单向信任关系：信任只存在于一个方向上，即只是一个域信任另外一个域，反之则不然。信任域信任被信任域中的用户，允许被信任域中的用户访问信任域中的资源。 ① 双向信任关系：信任建立在两个方向上，两个域之间彼此信任对方，每个域中的用户账户都可以授权访问另一个域中的资源。信任关系只限于域和域之间，Windows NT 域与工作组之间不能建立信任关系。当域之间建立起信任关系之后，被信任域中的全局组可以成为信任域中的本地组成员，信任域可以在域中为该本地组指定资源访问许可和权限。在带信任关系的多域环境中，组策略一般也是把用户加入全局组，再将全局组加入本地组。只不过全局组在被信任域中定义，本地组在信任域中定义。信任关系之间也不具有传递性。如果我们假设域A 信任域B，域B 信任域C，那么将无法推出域A 信任域C 的结论。 13. 根据域之间的信任关系，我们可以创建哪些域模型？各种域模型的特点和适用对象是什么？我们可以利用信任这个基本概念创建多个域模型。每个域模型具有不同的管理效果，在特定的环境中都具有其特殊的优势。（1）单域模型采用单域模型（Single Domain Model）的网络环境中只有一个域，不具有信任关系。单域模型的优势在于可以进行集中的账户管理和资源访问控制，适用于网络规模小，用户数不多的小型组织。（2）主域模型采用主域模型（Master Domain Model）的网络环境中具有多个域。所有用户账户集中在某个域中（账户域）进行管理，我们称这个域为主域；而其他域则信任这个账户域，我们称之为资源域，如存放文件与打印服务器的域。用户放在主域的全局组内，并且这些组被加入到适当资源域的本地组中。账户域的域管理员负责管理用户账户，而每个资源域的域管理员负责管理资源服务器和对这些资源的访问权限。图 2-2 说明了这种模型。主域模型的优势在于对用户账户的集中管理，并对账户和口令有一个通用策略。管理用户账户的管理员并没有对资源的管理控制权，同时也不允许资源管理员创建有权访问本地信息之外任何信息的新用户账户，也不鼓励在资源域中创建用户账户。主域模型为Windows NT 的用户提供了可用于资源域中所有 Windows NT 服务单一用户账户的单一登录（SingleSign-on），适用于网络规模较大的组织。（3）多主域模型多主域模型（Multiple Master Domain Model）则用多个主域控制账户，资源域信任所有的账户域，账户域彼此之间为双向信任。因此，用户账户就可以在任何一个主域中创建，并可以使用任何信任资源域中的资源。这一模型的其他方面与单主域模型相似，但却提供了更大的灵活性和可扩展性。图 2-3 说明了多主域模型。多主域模型的优势在于，大型组织的不同分公司、分支单位（若地理位置相距很远）都可以独立管理自己的用户账户数据库，同时任何主账户域中的用户照样可以访问任何信任资源域中的共享资源。同时，多主域模型也适用于账户数量庞大，超过一个域所能承受极限的网络环境。（4）完全信任模型完全信任模型（Complete Trust Model）中的所有域之间均是双向的信任关系。这个模型提供了分散式的用户账户、安全管理以及分散式的资源管理。每个部门维护自己的域，按照自己的需要管理用户账户和资源。完全信任模型的优势在于，它建立在一个组织不同部门之间的松散结构关系之上，并允许来自任何部门的用户都可以访问任何有效的资源。但只有当负责各域的管理员之间能够完全合作时才能够达到足够的安全等级。第三章 1. Windows 2000 系统的核心是处于体系结构中核心模式下的软件，它们可以分成哪些组，各组完成的功能是什么？ ① 执行体（Executive）：包含为环境子系统和其他执行体组件提供系统服务的系统组件。它们执行的系统任务包括输入/输出、文件管理、虚拟内存管理、资源管理以及进程内部通信等。 ① 设备驱动程序（Device drivers）：将组件的调用（例如打印机请求）翻译为硬件操作。 ① 硬件抽象层（Hardware abstraction layer, HAL）：将Windows 2000 执行体的其他部分与特定的硬件分离开来，使操作系统与多处理器平台相兼容。 ① 微内核（Microkernel）：管理微处理器。它执行一些重要的功能，例如调度、中断以及多处理器同步等。 2. 请简述Windows 2000 系统试图达到的安全性目标。 ① 企业中的单一登录 ① 集成的安全服务 ① 管理的委派和可扩展性 ① 强大的身份验证 ① 用于实现互操作能力的基于标准的协议 ① 审核服务 3. 请简述Windows 2000 系统安全模型的底层原理。为了实现这些安全性目标，Windows 2000 使用了安全模型这一概念。这个模型定义了 Windows 2000 操作系统的不同部分配合工作的方式。这种结构中的一些底层原理包括： ① 服务器提供对象访问 ① 客户只能通过服务器（服务）访问对象 ① 对象管理器和安全引用监视器（Security Reference Monitor, SRM）决定谁对对象拥有哪些权限 ① 可以使用多个协议验证用户 ① 管理安全策略的方式可以是全局的，也可以是本地的 4. 5. 本地安全授权机构为基于Windows 2000 系统的计算机维护所有本地的安全信息，它提供了哪些功能？ ① Netlogon 服务（） Netlogon 服务维护计算机到其所在域内的域控制器的安全信道。Netlogon 服务通过一个安全信道将证书交给域控制器，再为安全主体返回一个带有安全标识符和用户权力的访问权标。 ① NTLM 身份验证协议（） NTLM 被用于验证不能使用Kerberos 身份验证的客户，包括装有Windows 9x 和Windows NT 的计算机。 ① 安全套接字层（）安全套接字层(Secure Sockets Layers, SLL）在应用层提供传输数据的加密服务。所有经过加密信道的数据在网络上都受到保护。为了使用SSL，必须将应用程序编码以识别和执行SSL。 ① Kerberos v5 身份验证协议（） Kerberos v5 是Windows 2000 使用的默认验证协议。Kerberos 身份验证以票据授予票据( Ticket-granting tickets, TGT）和票据授予服务（Ticket-granting service, TGS）为基础。 ① Kerberos 密钥分发中心（）在客户端接受网络身份验证的初期，Kerberos 密钥分发中心（Kerberos Distribution Center, KDC）服务负责向它颁发TGT，然后该TGT 被用于后续的对服务票据的一系列请求，获得的票据最后被用于对发出请求的客户端进行身份验证。 ① 本地安全授权（）本地安全授权（Local Security Authority, LSA）是安全子系统的核心组件，在Active Directory 下执行所有定义的安全策略。 ① 安全账户管理（）安全账户管理（Security Accounts Manager, SAM）程序被用于在一个非域控制器上存储本地安全账户。SAM 同时也执行所有本地的存储策略。 ① 目录服务模块（）：目录服务模块支持Windows 2000 域控制器之间的复制，以及所有基于轻量级目录访问协议的、对Active Directory 和保存在Active Directory 下的命名上下文管理的访问。命名上下文包括域命名上下文、配置命名上下文和框架命名上下文。 ① 多重身份验证提供程序（）：多重身份验证提供程序（Multiple Authentication Provider, MAP）支持所有系统当中可用的安全包。安全包包括 Kerberos、Windows NT 局域网管理程序（NT LAN Manager, NTLM）、Secure 信道和分布式密码身份验证（Distributed Password Authentication, DPA）包。 6. Windows 2000 系统允许哪几种网络安全协议来提供身份验证服务？ ① NTLM（Windows NT LAN Manager）。由Windows NT、Windows 95 和Windows 98 客户端使用，这些系统上装有目录服务的客户端程序。NTLM 被用于通过在 Windows 2000 Professional 和Windows 2000 成员服务器上的网络身份验证和本地账号身份验证以及到Microsoft 早期操作系统的访问。NTLM 安全服务器使用 MCS1_0 验证服务和Netlogon 服务来提供客户端身份验证和授权。 ① Kerberos v5。基于Windows 2000 计算机的默认安全协议。Kerberos 提供客户端和服务器的相互认证、更好的性能并提供委派支持。Kerberos 安全提供程序使用域控制器活动目录上的密钥分发中心（KDC）服务来获取TGT 和服务票据。 ① 分布式密码身份验证（Distributed Password Authentication）。由Internet 会员组织如 MSN 所使用的共享的秘密身份验证协议。DPA 隶属于Microsoft Commercial System （MCIS），它允许只使用一个账号和密码来连接所有在Internet 会员组织内的会员站点。DPA 使用MCIS 安全服务（通常称为“成员资格服务”）来验证会员资格和不同服务器所特有的访问信息。 ① 安全信道（Secure Channel）服务。该服务提供基于公钥的协议，如SSL 和传输层安全（TLS）协议进行身份验证的能力。如果使用一个公钥基础机构（PKI），这些协议能在分布式网络上同时提供客户端和服务器的身份验证。在Windows 2000 中，可以使用证书服务来部署公钥基础机构，以创建证书颁发机构（CA）。这些CA 负责颁发数字证书以用于身份验证。 7. Windows 2000 系统默认的身份验证协议是什么？ ① Kerberos v5 身份验证协议（） Kerberos v5 是Windows 2000 使用的默认验证协议。Kerberos 身份验证以票据授予票据( Ticket-granting tickets, TGT）和票据授予服务（Ticket-granting service, TGS）为基础。 8. :2. 活动目录包含哪两方面的内容？它们各自的定义是什么？两者之间的区别在哪里？活动目录包括两个方面的内容：目录和与目录服务。目录（又称数据存储区）是存储网络对象信息的分层结构。活动目录使用“对象”这个名词来表示如用户、组、计算机、硬件设备、应用和打印机等网络资源。而目录则是存储各种“对象”的一个物理上的容器，从静态的角度来理解与我们以前所认识的“目录”和“文件夹”没有本质区别，这里也仅仅是一个对象，是一个实体。活动目录把信息组织成由这些对象和容器所组成的一个树型结构，这就类似于Windows 系统在计算机上用文件夹和文件来组织文件信息一样。例如，一般情况下，目录会存储用户账户的用户名、密码、电子邮件地址和电话号码等信息。目录服务与目录的不同之处在于它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化。这样，即使用户不知道资源的物理位置和连接方法，也能够访问该资源。我们继续上一个例子，正是目录服务使得同一网络中的其他授权用户能够访问针对用户对象所保存的目录信息，如电子邮件地址和电话号码等。目录服务可支持多种不同的功能：有些目录服务与操作系统集成，提供对用户、计算机和共享资源的管理；有些则是与一些应用程序（如Microsoft Exchange 电子邮件目录）集成，使得用户能够查找其他用户的邮件地址信息并发送电子邮件。 4. 请简述活动目录采用什么方式和 DNS 集成？ ① 活动目录域和 DNS 域有相同的分层结构。尽管由于目的不同，DNS 和活动目录域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。例如，既是一个DNS 域又是一个活动目录域。 ① DNS 区域可保存在活动目录中。如果使用Windows 2000 DNS 服务，主区域就可以保存在活动目录中，以便复制到其他活动目录域控制器中，为DNS 服务提供增强的安全性。 ① 活动目录客户机使用 DNS 来定位域控制器。为了定位指定域的域控制器，活动目录客户机会查询已配置的 DNS 服务器，以查找指定的资源记录。 6. 请描述一下活动目录客户机定位活动目录服务器的过程。活动目录客户机通过查询DNS 来定位活动目录服务器。即活动目录将DNS 用作定位器服务，把活动目录域、站点及服务名称解析成IP 地址。例如，要登录到活动目录域，活动目录客户机会查询已配置的DNS 服务器，请求LDAP 服务的IP 地址（LDAP 服务在指定域的域控制器中运行）活动目录不需要系统启动 DNS。 8. Windows 2000 域控制器之间是“对等”关系还是“主从”关系？如何理解这种关系？由于引入了活动目录，Windows 2000 域控制器的功能与“对等”类似。这与Windows NT Server 主域控制器（PDC）和备份域控制器（BDC）扮演的主/从角色有所不同。对等域控制器支持“多主机复制”，可在所有域控制器之间复制活动目录信息。多主机复制的引入意味着管理员可以更新域中任何Windows 2000 域控制器的活动目录。而在Windows NT Server 系统中，只有PDC 有目录的可读写副本，PDC 会把目录信息的只读副本复制到BDC 上。 9. 请简述全局编录服务器的作用。全局编录执行两个关键的活动目录角色：登录和查询。 ① 登录。在本机模式域中，全局编录通过为账户提供通用组成员身份信息（该账户将登录请求发送到域控制器），启用活动目录客户机的网络登录。实际上，不但对活动目录的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。当用户以非默认的用户主要名称（UPN）登录时，全局编录服务器也必须存在而且有效。如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。惟一的例外是，如果用户是域管理员 (Domain Admin) 组的成员，就能够在全局编录无效的情况下登录到网络中。 ① 查询。在包含多个域的目录林中，全局编录使得客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。全局编录使目录林中的目录结构对查找信息的最终用户透明。绝大多数活动目录网络通信是与查询有关的：用户、管理员和程序都会请求有关目录对象的信息。查询过程要比目录更新过程的发生频度高得多。如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加。 12. 请解释何谓“架构”。 “架构”（Schema）是对“对象类别”（不同类型的对象）及这些对象类别的“属性” 的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。活动目录对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性“描述”只定义了一次，却已用在许多不同类别中。架构保存于活动目录中，而架构定义本身也作为对象保存——即类架构（Class Schema）对象和属性架构（Attribute Schema）对象。这使得活动目录可以用管理其他目录对象的同种方法来管理类别和属性对象。在 Windows 2000 系统中，站点提供哪些服务？ ① 客户机可以向同一站点的域控制器请求服务 ① 活动目录会尽量将站内复制的复制延迟降至最小 ① 活动目录会尽量将站间复制的带宽消耗降至最小 ① 站点允许人为地安排站间复制的进程请说明站点和域之间的区别。站点是独立于域的，了解这一概念非常重要。站点映射网络的物理结构，而域一般映射组织的逻辑结构。逻辑结构和物理结构彼此独立，所以有： ① 站点和域名称空间之间没有必然的联系。 ① 网络的物理结构和域结构之间也没有必然的关联。但是在很多组织中，创建的域反映了物理网络结构。这是因为域是分区，而分区可以影响复制，通过将目录林分成多个更小的域，可以减少复制的通信量。 ① 活动目录允许在一个站点出现多个域，也允许一个域出现在多个站点中。 21. 请说明利用站点是如何来提高处理客户机请求以及复制目录数据操作的效率。利用站点可提高以下类型操作的效率。 ① 处理客户机请求。当客户机向域控制器请求服务时，它会直接把请求发送给同一站点的域控制器（如有一个可用的域控制器）。选择与发出请求的客户机连接良好的域控制器，将会提高处理此类请求的效率。例如，当客户机使用域账户登录时，登录机制会首先查找与客户机在同一站点的域控制器。因为先使用了客户机所在站点的域控制器，使网络通信能在本地进行，从而提高了身份验证过程的效率。 ① 复制目录数据。站点可启用站点内和站点间的目录数据复制。活动目录在站点内复制信息要比站点间复制频繁得多，这意味着：连接最好的域控制器（可能是最需要特定目录信息的域控制器）会最先收到复制；其他站点的域控制器接收目录更改的所有信息（但不频繁），这样就减少了网络带宽消耗。在域控制器之间复制活动目录数据，提供了数据的可用性、容错能力、负载平衡，并提高了性能。第五章:1. Windows 2000 系统的身份验证包括哪两部分？分别完成什么功能？ Windows 2000 的身份验证包括两个部分：交互式登录过程和网络身份验证过程，而用户身份验证的成功与否同时取决于这两个过程。交互式登录要求用户登录到域账户或者本地计算机账户，而网络身份验证则是向特定的网络服务提供对身份的证明。 4. 用户交互式登录到本地计算机和登录到域账户有何不同？对于登录到本地计算机账户的用户而言，网络身份验证是每次请求网络服务时都要重复进行的一个手工完成的过程；而登录到域账户的用户则由于Windows 2000 中的单一登录特性（Single Sigh-on, SSO），只要登录到域账户，那么每次请求网络服务的时候都会透明地完成网络身份验证，无须任何手工操作。 5. Windows 2000 系统的交互式登录需要哪三个系统组件？它们各自的功能是什么？ Windows 2000 系统的交互式登录需要下面三个系统组件：、GINA （Graphical Identification and Authentication, 图形化标识与验证）的动态链接库和网络提供程序的动态链接库。 ① Winlogon：与Windows NT 相同，Windows 2000 使用来提供对交互式登录的支持。Winlogon 负责管理登录相关的安全性工作，处理用户的登录与注销、启动用户shell、输入口令、更改口令、锁定与解锁工作站等。Winlogon 还要向GINA 发送事件通知消息，并提供可供GINA 调用的各种函数。此外，Winlogon 还必须保证其与安全相关操作对其他进程不可见，以免其他进程获取登录密码。 ① GINA 的动态链接库：登录进程的验证和身份验证都是在GINA 所提供的动态链接库（DLL 文件）中实现的，它在系统引导的时候被Winlogon 进程所加载。微软的 GINA 是，实现了默认的Windows 登录界面，提供了Winlogon 用于标识和验证用户的输出函数。这个动态链接库是允许被替换的，这样任何人都可以自行定制系统的用户识别和身份验证。 ① 网络提供程序的动态链接库：Winlogon 还可以加载一个或多个网络提供程序的动态链接库，以提供通过标准协议到其他类型网络（如 Novell）的辅助身份验证功能。 7. 请说明本地安全授权机构在用户登录的身份验证过程中所起的作用。身份验证程序包位于一个动态链接库文件之中，它可以接受输入的登录证书，并且通过验证程序来决定是否允许用户登录。根据这个程序包，登录证书中可以包括口令、加密数据甚至生物统计学数据。由于本地安全授权机构（Local Security Authority, LSA）在系统启动期间加载这个身份验证程序包，因此LSA 在任何时候都可以对用户进行验证。这个验证的过程在Windows 2000 身份验证的交互式登录阶段和网络验证阶段都会发生。身份验证程序包除了验证用户之外，还要为用户新建一个 LSA 登录会话并返回一组绑定到用户安全令牌中的安全标识符（SID）。 Windows 2000 默认安装了两个验证程序包，它们分别是MSV1_0 和Kerberos v5。另外， Windows 2000 是可扩展的，即允许自行开发验证程序包来实现不同类型的用户验证过程。 8. 请描述一下 Windows 2000 系统中交互式登录到本地计算机的过程。为了登录到本地计算机，每个Windows 2000 用户都必须在系统安全账户管理器（Security Account Manager, SAM）中具有一个账户。SAM 是一个受到保护的子系统，它通过存储在本地计算机注册表（位于HKEY_LOCAL_MACHINE\SAM\SAM 下）中的安全账户来管理用户和组信息。当用户请求登录到本地计算机时，系统将登录信息与SAM 数据库中的条目进行比较来判断用户提交的信息是否正确。虽然Kerberos 是Windows 2000 的默认身份验证协议，但它并不处理本地登录请求。用户通过按下 SAS 热键（默认为Ctrl+Alt+Del）来启动登录过程。Winlogon 一旦接收到此SAS 热键就会切换到Winlogon 桌面，并且调用GINA 来显示标准的登录对话框，提示用户输入用户名和口令。一旦用户输入了这些信息，GINA 就将它传送给LSA 进行验证。 LSA 则调用适当的验证程序包（如MSV1_0），并且将口令使用单向散列函数转换成非可逆的密钥形式，然后在SAM 数据库中找寻匹配的密钥。如果SAM 找到了账户信息，就向身份验证程序包返回用户的SID 和用户所在组的SID。验证程序包再向LSA 返回这些SID， LSA 使用这些SID 创建安全访问令牌，并把令牌句柄和登录确认信息返回给Winlogon。经历了这样的一个过程，用户就可以进入 Windows 桌面了。 9. 在 Kerberos 身份验证过程中，Active Directory 所起的作用是什么？每个基于 Windows 2000 的域控制器将Active Directory 实现为其目录并集成KDC。这允许所有用户账户信息存储在单个目录中。若一个组织是中型或大型的，就可能有多个域控制器来给组织提供可用性和容量。这不会影响使用Kerberos 身份验证的能力，因为只要有 Active Directory 的副本，就会有Kerberos 身份验证服务的副本。 10. 请解释一下何谓 Kerberos 的身份验证委派？前面已经说明了客户端访问单个服务器的情况。然而，对于应用程序而言，使用几个服务器来执行任务是很平常的。例如，基于Web 的应用程序可能既使用 Web 服务器，又使用一个数据库服务器，以此为基于浏览器的客户端提供信息。不用让客户端通过其所使用的每个服务器的个别身份验证过程，Windows 2000 提供跨多层应用程序（通常称为三层应用程序）的安全措施。如前所述，基于Windows 2000 的域间的传递信任关系极大地扩展了运行Windows 2000 或Windows NT 工作站的客户端在登录到基于Windows 2000 的域后可访问的资源范围，无须使用许多不同密码来访问不同服务器和资源。访问范围（称为单一登录）是通过结合 Windows 2000 信任机制和Kerberos 协议使用Active Directory 来处理客户端身份验证的方法而达成的。 13. 请列举 Kerberos 协议的优缺点。 Kerberos 协议比NTLM 协议更加灵活和有效率，并且更加安全。使用Kerberos 验证有以下好处。 ① 服务器更加高效的验证。使用 NTLM 验证，应用程序服务器为了验证每一个用户必须连接到域控制器。而使用Kerberos 验证，服务器就不再需要连接到域控制器了，它能够通过检查当前用户的信用证书验证客户。客户能够一次获得特定服务器的信用证书，并且在网络登录对话中再次使用它们。 ① 相互验证。NTLM 允许服务器检验它们客户的身份。它不允许客户检验服务器身份，或者一个服务器检验另一个服务器的身份。NTLM 验证是为服务器假定为纯粹的网络环境中而设计的，而Kerberos 协议不需要任何假设，网络连接两端的团体都能够知道另一端的团体所声称的是什么。 ① 授权验证。Windows 服务在自己访问需要资源时模拟客户。许多情况下，服务能够通过访问本地计算机中的资源为客户完成工作。NTLM 和Kerberos 都提供服务需要模拟其本地客户的信息。然而，一些分布式应用程序设计用来使得前端服务在连接到其他计算机上的后端服务时必须模拟客户。Kerberos 协议有代理机制，它允许服务在连接到其他服务时模拟其客户，而不需要存在NTLM。 ① 简化信任管理。Kerberos 协议的好处之一是Windows 2000 域之间的信任验证是通过默认的双向和传递。多域网络不再需要明确的、点到点信任关系的复杂网络。相反，能够组织大型网络中的许多域到传递的、相互的信任树中。如果网络包含超过一个的树时，整个森林将接受任何树中的域发出的信任证书。 ① 协同工作能力。Microsoft 对于Kerberos 协议的实现是基于Internet 工程任务组（IETF）推荐的标准途径规范的。因此，当Kerberos v5 用作验证时，Windows 2000 中此协议的实现是位于同其他网络协同工作能力基础之上的。 Kerberos 协议有其优点，同时也有其固有的缺点，主要如下所述。 ① Kerberos 服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，假设只有合法用户拥有口令字。如攻击者记录申请回答报文，就易形成代码本攻击。 ① AS 和TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS 和 TGS 的性能和安全。 ① 随着用户数的增加，密钥管理较为复杂。Kerberos 拥有每个用户的口令字的散列值， AS 与TGS 负责户间通信密钥的分配。当N 个用户想同时通信时，仍需要N*(N-1)/2 个密钥。 :1. 请解释以下名词：主体，客体，访问控制技术。在Windows 2000 系统中，安全主体（Security Principal）不仅仅包括用户，还包括组和服务等主动的实体；而客体则包括文件、文件夹、打印机、注册表、活动目录项以及其他对象。访问控制技术即决定安全主体能够在对象上执行何种类型的操作，如某个用户是否能够读取、写入还是执行某个文件。 2. 试从访问控制的主体和客体两方面分别说明 Windows 2000 系统中的访问控制机制。首先，从访问控制的主体角度出发，Windows 2000 系统在用户登录（无论是本地登录还是远程登录）的时候，都会为该用户创建一个访问令牌（Access Token）。该访问令牌含有该用户的SID，用户所属组的SID 和用户的特权。此令牌为用户在该计算机上的任何操作提供了安全环境。而当用户每启动一个应用程序时，所执行的每一个线程都会得到一份该访问令牌的复本。作为用户的代理，每当线程请求对某个受到权限控制保护的对象进行任何级别的访问时，该线程都要把此访问令牌提交给操作系统。然后操作系统就使用该令牌针对对象的安全信息来执行访问检查。这种检查可以确保主体是在经过授权之后才进行访问的。另一方面，从访问控制的客体角度出发，安全描述（Security Discriptor）定义了客体（被访问的对象）的安全信息。安全描述中除了对象所有者自身的SID 之外，主要说明了哪些用户和组是被允许还是被拒绝访问。这通过一个由访问控制项（Access Control Entries, ACE）组成的自由访问控制列表（DACL）来实现。Window 2000 系统通过寻找ACL 中的项（即 ACE）来匹配访问令牌中的用户SID 和组SID，以此ACE 来确定用户是否有权限进行所请求的访问。图6-1 描述了访问令牌与安全描述之间的关系。请分别说明自由访问控制列表（DACL）和系统访问控制列表（SACL）在访问控制机制中的作用. ACL 包括DACL 和SACL 两种类型。其中DACL（自由访问控制列表）规定了哪些安全主体可以访问对象以及能以何种类型的方式进行访问，而SACL（系统访问控制列表）则规定了应该审核哪些安全主体发出的哪些访问请求。什么叫做“模拟令牌”？它的作用是什么？模拟令牌是服务进程里的一个线程，用来临时接受一个不同的安全上下文（如服务的一个客户的安全上下文）的令牌。请简要描述一下“安全描述”的结构。虽然安全描述中的具体信息依赖于对象类型以及对象的创建方式，但是安全描述有一个已定义的结构，包括下列部分。 ① 头部（Header）。除一个修订版本号之外，这部分还包括用于描述安全描述及其组件的一组控制标志。这些控制标志是一些说明布尔值的位，例如描述符中包含的是 DACL 还是SACL。另外，Windows 2000 安全描述中的控制标志位还包含有关自动传播的信息，例如可继承权限是否能够修改安全描述中的DACL 和SACL。 ① 所有者（Owner）。该字段包含对象所有者的SID。 ① 主组（Primary Group）。该字段包含所有者主要组的SID。 ① 自由访问控制列表（DACL）。在对象所有者的控制下，DACL 是包含零个或多个 ACE 的列表，用它来控制特定用户和组对对象的访问。每个ACE 属于一个SID，并且包含一些指定该项允许还是拒绝访问的信息以及与这些访问类型相关联的操作。 ① 系统访问控制列表（SACL）。SACL 也是包含零个或多个ACE 的列表，但是SACL 用于审核而非控制对象访问。除用户或组的SID 之外，SACL 中的ACE 还包括所要审核的操作以及审核事件是由成功操作还是失败操作（或者两者一起）触发的。请说明“空 DACL”和“没有DACL”的区别。这里需要注意的是，“空DACL”与“没有DACL”是截然相反的。“没有DACL”的意思指的是对于该对象没有任何保护，发出请求的任何用户都被允许访问该对象；而“空 DACL”则恰恰相反，它表示在列表中没有任何ACE 的存在，所以也就不允许任何用户进行访问。第七章：1．FAT 文件系统较之NTFS 文件系统，谁的安全性更好？（NTFS安全性更好）FAT 文件系统能否转换成NTFS 文件系统？（能）若能，请问该如何操作？（FAT 卷在任何时候均可使用工具转换为NTFS 卷。用户在执行转换之前没有必要备份原有的文件系统，因为使用Convert 转换文件系统格式并不会给卷中原有的文件数据带来任何改变。但要注意的是：从FAT 文件系统格式转换而来的卷性能没有初始就使用NTFS 文件系统格式化的卷的性能好。此外，这个过程是不可逆向的，即无法从NTFS 卷返回到FAT 卷。 Convert 的命令语法为： CONVERT volume /FS:NTFS [/V]）NTFS 文件系统能否转换成FAT 文件系统？（不能）若能，请问又该如何操作？ 2．在基于 NTFS 文件系统的Windows 2000 中，如果一个用户即是 A 组的成员，又是B 组的成员，A 组拥有对某文件夹的“读取”权限，而B 组拥有对该文件夹的 “写入”权限，那么该用户对该文件夹具有什么权限？（读写） 4．在基于 NTFS 文件系统的Windows 2000 中，假设以下情况：某普通用户先将一个文件（该用户是这个文件的所有者）的访问权限设置为只有他才能完全控制，而其他任何人均没有任何访问权限。此后，因为某种原因从系统中删除了该用户的账户。这时候，系统中就没有任何人能够直接访问该文件了。请问：应该如何操作才能恢复对该文件的访问。 6．关于 Windows 2000 文件加密系统（EFS），下列哪种说法是不正确的：（4）（1） EFS 所采用的加密技术是基于公私钥体制的。（2） EFS 是作为综合系统服务运行的，比较容易管理、而且很难攻击。（3） EFS 对于用户是透明的。（4）不拥有文件密钥的用户无法访问使用EFS 加密的文件，而新安装系统的管理员则可以。 7．请简述 Windows 2000 EFS 的组成结构。在 Windows 2000 操作系统中，加密文件系统（EFS）的结构如图 7-4 所示。 EFS 由以下组件组成。 ① EFS 驱动程序。EFS 驱动程序在NTFS 的上面一层。它与EFS 服务通信，请求文件加密密钥、DDF、DRF 和其他密钥管理服务。它将信息送到EFS 文件系统运行时库（FSRTL），以透明地执行各种文件系统操作（打开、读取、写入和附加）。 ① EFS FSRTL。FSRTL 是EFS 驱动程序中的一个模块，用于实现NTFS 标注以处理各种文件系统操作，如对加密文件和目录的读取、写入和打开操作，以及文件数据写入磁盘或从磁盘中读取时对文件数据的加密、解密和恢复。即使EFS 驱动程序和 FSRTL 都是以单个组件实现的，它们之间从不直接通信。它们使用NTFS 文件控制标注机制相互传递消息。这保证了NTFS 参与所有的文件操作。使用文件控制机制完成的操作包括，将EFS 属性数据（DDF 和DRF）作为文件属性写入，以及将EFS 服务中计算的FEK 传送到FSRTL，使之可以在开放文件上下文中建立起来。此文件上下文又可用于磁盘文件读写操作的透明加密和解密。 ① EFS 服务。EFS 服务是安全子系统的一部分。它使用本地安全授权（LSA）和内核模式安全参考监视器之间的现有LPC 通信端口与EFS 驱动程序进行通信。在用户模式下，它针对CryptoAPI 提供文件加密密钥并生成DDF 和DRF。EFS 服务也支持Win32 API 的加密、解密、恢复、导入和导出。 ① Win32 API。它为加密明文文件、解密和恢复密文文件、导入和导出加密文件（没有先解密）提供了编程接口。（一个标准的系统 DLL）提供对这些 API 的支持。什么是“故障恢复代理”？它在文件加密系统中的作用是什么？安装 Windows 2000 Server 时，如果已设置第一个域控制器时，将自动对域执行故障恢复策略。域管理员被颁发自签名的证书，该证书将域管理员指派为故障恢复代理。 EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时，故障恢复策略将自动就位，让管理员成为故障恢复代理。 10．在以下关于复制加密文件的描述中，正确的有哪些：（1）源文件及其所在的目录都加密，而目标目录未加密，则目标文件不加密。（2）源文件及其所在的目录都加密，而目标目录未加密，则目标文件加密。（3）源文件及其所在的目录都未加密，而目标目录加密，则目标文件不加密。（4）源文件及其所在的目录都未加密，而目标目录加密，则目标文件加密。 13．请简述磁盘配额的好处。由于磁盘配额监视单个用户的卷使用情况，因此每个用户对磁盘空间的利用都不会影响同一卷上的其他用户的磁盘配额。磁盘配额是以文件所有权为基础的，并且不受卷中用户文件的文件夹位置的限制。磁盘配额只适用于卷，且不受卷的文件夹结构及物理磁盘上的布局的限制。 15．请解释以下名词：常规备份，增量备份，差异备份，拷贝备份，每日备份。常规备份（normal backup）：这种备份方式将复制所有选定的文件，且将其标记为已备份状态。常规备份时，仅需要备份文件的最近一次副本用以恢复所有的文件。 ① 增量备份（incremental backup）：这种备份方式只备份那些自从上一次常规或增量备份后创建的或改动的文件，且将其标记为已备份。如果用户将常规备份与增量备份结合起来使用，则需要最后一次常规备份集合和所有的增量备份集合以便于用来恢复数据。 ① 差异备份（differential backup）：这种备份方式将复制那些自从上一次常规或增量备份后创建的或改动的文件，但不将文件标记为已备份。如果用户结合使用常规备份和差异备份，那么需要最后一次常规备份集合和最后一次差异备份集合以用于恢复数据。 ① 拷贝备份（copy backup）：这种备份方式将复制所有选定的文件，但不将文件标记为已备份。复制对于常规备份和增量备份之间的文件备份而言十分有用，因为它不影响其他备份操作。 ① 每日备份（daily backup）：这种备份方式则是复制在实施日常备份的当天被改动的特定文件，而不管文档属性的当前状态。备份文件不标记已备份状态。第八章 2．使用 IPSec 协议对于安全的保证意义在于：（1）数据的完整性。（2）数据的保密性。（3）数据的可用性。（4）数据的来源验证。 4．IPSec 的传输模式和隧道模式有何区别？传输模式和隧道模式：在 IPSec 的传输模式中，IP 头与上层协议头之间插入一个特殊的IPSec 头；而在隧道模式中，要保护的整个IP 包都需加密封装到另一个IP 数据包里，同时在外部与内部IP 头之间插入一个 IPSec 头。这两种模式的区别如图 8-1 所示。两种 IPSec 协议（AH 和ESP）均能同时以传输模式或者隧道模式工作。传输模式用来保证在同一 LAN 上或通过专用WAN 链路连接起来的系统之间的客户对客户的安全性。在传输模式下，两个端的系统都必须支持IPSec，而中间节点系统不必支持 IPSec，它们只是以普通的方式转发数据包。隧道模式用于网关对网关的连接，例如通过需要最大安全性的Internet 连接虚拟专用网络（VPN）的那些连接。在隧道模式下，只有提供安全服务的网关才必须支持IPSec。隧道通过Internet 连接两个网络的情况下，数据包的源和目的终端都不必支持IPSec。产生数据包的系统把数据包传送的本地网络中的一个网关上，此网关把数据包封装到带有IPSec 安全性的IP 数据包中，并通过Internet 把它们传送到另一个网络中的一个网关上。远程网关接收到数据包，解密数据并进行所需的校验，然后用普通的IP 数据包或任何其他的网络层协议把数据发送到目标系统上，如图 8-2 所示。 5．请分别描述一下封装安全载荷（ESP）协议和验证报头（AH）协议的实现原理。 ESP（Encapsulating Security Payload）是属于IPSec 的一种协议，可用于确保IP 数据包的机密性（未被他人看过）、数据的完整性以及对数据源的身份验证。此外，它也要负责对重播攻击的抵抗。具体的实现原理是在 IP 头（以及任何IP 选项）之后，要保护的数据（传输层协议以及由创建该数据包的应用程序所产生的数据）之前，插入一个新头，也就是ESP 头。受保护的数据可以是一个上层协议，或者是整个IP 数据包（这取决于采用的是传输模式还是隧道模式）。最后，还要在数据包的最后追加一个 ESP 尾，如图 8-3 所示。验证报头（AH）与 ESP 类似，AH 也提供了数据完整性、数据源验证以及抗重播攻击的能力，但不能用它来保证数据的机密性。 AH 给标准的IP 数据包增加了另一个报头，这个AH 报头接在原来的IP 报头之后，紧接着下一个报头就是要保护的数据，如图 8-4 所示。如果数据包中含有其他的 IPSec 协议（如ESP），那么这些协议的报头就应该紧跟在 AH 报头之后。IP 报头中的“协议”字段必须标识出现在数据包中的下一个报头。在带有 AH 报头的数据包中，“协议”字段的值为51，而AH 报头中的“下一报头”字段值标识了传输层协议报头。 6．在 IPSec 中，安全联盟（SA）的作用是什么？为了能够正确封装及提取 IPSec 数据包，有必要采取一套专门的方案，将安全服务、密钥与要保护的通信数据联系到一起，同时要将远程通信实体与要交换密钥的IPSec 数据传输联系到一起。换言之，要解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题，这样的构建方案称为安全联盟（Security Association, SA）。 8．Windows 2000 在实现IKE 的时候提供了三种用以在计算机之间建立信任的身份验证方法（基于IETF 标准），它们分别是什么？ IKE 的实现提供三个基于IETF 标准的身份验证方法以在计算机之间建立信任。 ① 基于 Windows 2000 域基础结构提供的 Kerberos v5 身份验证，用于在一个域中或在几个受信任域中的计算机之间部署安全通信。 ① 使用证书的公钥/私钥签名，与多个证书系统兼容，包括Microsoft、Entrust、VeriSign 和Netscape。 ① 密码，用术语表示为“预先共享的身份验证密钥”，严格用于建立信任—不用于应用程序数据包保护。 9．请描述一下当 IPSec 策略发挥作用时的一个典型数据交换过程。 IPSec 策略由安全策略数据库（Security Policy Database, SPD）加以维护。在SPD 这个数据库中，每个条目都定义了要保护的是什么通信、怎样保护它以及和谁共享这种保护。对于进入或离开IP 堆栈的每个数据包，都必须检索SPD 数据库，调查可能的安全应用。对一个SPD 条目来说，它可能定义了这样几种行为：丢弃、绕过以及应用。其中，丢弃表示不让这个包进入或外出；绕过表示不对一个外出的包应用安全服务，也不指望一个进入的包进行了保密处理；而应用是指对外出的包应用安全服务，同时要求进入的包已应用了安全服务。对那些定义了应用行为的SPD 条目，它们均会指向一个或一套SA，表示要将其应用于数据包。 10．在 Windows 2000 中实现IPSec 时，有哪些预定义的IP 安全策略？它们分别对应于什么级别的安全性？客户端（只响应）该策略用于在大部分时间都不能保证通信的计算机。例如，企业内部网客户可能不需要 IPSec，除非另一台计算机发出请求。该策略允许在它活动的计算机上正确响应安全通信请求。该策略包含一个默认的响应规则，该规则允许与请求 IPSec 的计算机进行协商。对于该通信，只有被请求的协议和端口传输才是安全的。 ① 服务器（请求安全性）该策略用于应在大多数时间保证通信的计算机。该策略的一个例子就是传输敏感数据的服务器。在该策略中，计算机接受不安全的传输，但总是通过从原始发送者那里请求安全性来试图保护其他的通信。如果另一台计算机没有启用IPSec，则该策略允许整个通信都是不安全的。 ① 安全服务器（需要安全性）该策略用于始终需要安全通信的计算机。该策略的一个例子就是传输高度敏感数据的服务器，或者保护内部网不受外界侵犯的安全性网关。该策略拒绝不安全的传入通信，并且传出的数据始终都是安全的。不允许不安全的通信，即使对方没有启用IPSec。 14．什么是 SSL 协议？它实质上包括哪两层协议？ SSL（Secure Socket Layer, 安全套接字层）是Netscape 公司率先采用的网络安全协议，是在传输通信协议（TCP）上实现的一种安全协议，它采用公开密钥技术。SSL 协议的目标是提供两个应用间通信的保密和可靠性，可在服务器和客户机端同时实现支持。SSL 可提供3 种基本的安全服务：信息加密、信息完整性、相互认证。 SSL 实际上由两层协议所组成。 ① SSL 记录协议：用于封装不同的上层协议。它涉及应用程序提供的信息的分段、压缩、数据认证和加密。SSL v3 提供对数据认证用的MD5 和SHA 以及对数据加密用的R4 和DES 等的支持，用来对数据进行认证和加密的密钥可以SSL 的握手协议来协商。 ① SSL 握手协议：用来在服务器和客户机在传输应用数据之前，交换版本号、协商加密算法、（相互）身份认证并交换密钥。SSL v3 提供对Deffie-Hellman 密钥交换算法、基于RSA 的密钥交换机制和另一种实现在Fortezza Chip 上的密钥交换机制的支持。 16．请描述在使用 SSL 机制时，客户端和服务器之间建立一个安全通道的典型过程。在使用 SSL 安全机制的时候，客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。 17．什么是 VPN？最常用于VPN 的隧道协议有哪些？ VPN（Virtual Private Networks, 虚拟专用网络）能够利用Internet 或其他公共互联网络的基础设施为经过相互授权的用户创建通信隧道，并通过加密传输来提供与专用网络一样的安全和功能保障。 VPN 隧道协议为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。用于 VPN 的最常用的隧道协议如下。 ① 点对点隧道协议（Point to Point Tunnel Protocol, PPTP） PPTP 是PPP 的一个扩展，它增加了一个新的安全等级，并且可以通过Internet 进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协议封装在 PPP 数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP 在基于 TCP/IP 协议的数据网络上创建 VPN 连接，实现从远程计算机到专用服务器的安全数据传输。VPN 服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。尤其是使用EAP 后，通过启用 PPTP 的 VPN 传输数据就像在企业的一个局域网内那样安全。另外还可以使用 PPTP 建立专用 LAN 到 LAN 的网络。PPTP 是Microsoft 和其他厂家支持的标准。 ① 第二层隧道协议（Layer2 Tunneling Protocol, L2TP）除了 Microsoft 之外，另有一些厂家也做了许多开发工作。PPTP 能支持Macintosh 和 Unix，而Cisco 的L2F（Layer2 Forwarding）就是又一个隧道协议。Microsoft、Cisco 和其他一些网络厂商将L2F 与PPTP 融合在一起形成了新的L2TP 协议。PPTP 和L2TP 十分相似，因为L2TP 有一部分就是采用PPTP 协议。L2TP 也会压缩PPP 的帧，从而压缩 IP、IPX 或 NetBEUI 协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP 不同的是， L2TP 使用新的IPSec 来进行身份验证和数据加密。目前L2TP 只支持通过IP 网络建立隧道，不支持通过、帧中继或ATM 网络的本地隧道。 ① IP 协议安全（Internet Protocol Security, IPSec）在前面已经详细叙述过IPSec 了。当使用IPSec 且处于隧道模式时，完整的IP 数据包是由ESP 来进行封装和加密的，然后结果会被封装（使用明文的IP 数据头），并在中转互联网络上进行传输。第九章 3．请简述 IIS 所具备的安全特性。为了提高安全性，IIS 改进了自身的安全验证方法，加强了安全通信功能，并与 Kerberos v5 验证协议完全集成。 ① 在安全验证方面，IIS 用分级验证，能够安全、可靠地通过代理服务器和防火墙验证用户，此外使用Anonymous 和Windows 验证。 ① 在安全通信方面，IIS 的安全套接层（SSL）和传输层安全（TLS）为客户和服务器之间的信息交换提供了安全的方式。此外，SSL 和TLS 还为服务器提供了验证在用户登录到服务器之前的客户的方式。在IIS 中，ISAPI 和ASP 都得到客户证书，从而程序员可以通过他们的站点跟踪用户。同时， IIS 也可以将客户证书映射到Windows 用户账号，从而使管理员可以根据客户证书控制对系统资源的访问。服务器加密（SGC）是SSL 的扩展，它允许长达128 位的数据加密。不过，要使用SGC 还需要特殊的SGC 证书才行。 ① IIS 与Kerberos v5 验证协议完全集成，使已经连接并运行Windows 的不同计算机之间能够传送证书。另外，Windows 证书管理器提供允许存储、备份和配置服务器证书的单入口点。此外，Windows 2000 系统所提供的众多新安全特性也有利于IIS 服务器的运行。 ① 继承权限：针对目录或注册表键而指定的自由访问控制列表（DACL）可以被其内容所继承，因此在Windows 2000 下使用DACL 就更为容易而且更少出错。 ① 安全模板：在Windows 2000 系统中，包括用户权限、文件系统与注册表DACL 和受限组成员身份在内的大量安全设置都已经收集到了安全模板文件中。可以利用这些模板来增强机器的本地安全策略，也可以测试计算机的当前配置与模板之间的一致性。 ① 活动目录的目录服务：Windows 2000 域之间双向可传递的信任关系允许活动目录可以用作该组织机构的单一账户数据库。只有加入活动目录的域森林，运行IIS 的服务器才可以使用该数据库自动对用户进行身份验证。 ① 证书服务：Windows 2000 提供了复杂的公钥基础结构（PKI）。因此，域用户可以自动获取证书并用来访问运行于IIS 服务器上的资源。活动目录会自动把证书映射到用户账户。 ① Kerberos 身份验证：Windows 2000 中新出现的这个协议可用来提高运行IIS 服务器的效率。与NTLM 相反，Kerberos 对每个用户进行身份验证时不需要连接域控制器。Kerberos 还支持用户凭证的多重委派，让系统可以更加简单清晰地实现对后端数据库和其他资源的访问。 ① IPSec：此协议提供了机密性、完整性以及IP 层的主机间身份验证服务。可以在 Intranet 或Internet 上实现IPSec 以提供VPN（虚拟专用网络）。在VPN 上提供的 IIS 服务，无须进一步配置就可以透明地享受到那些安全服务所带来的好处。 ① 高强度加密包。 4．IIS 有哪些身份验证机制？请比较各种身份验证机制在安全性上的差异。 1. 匿名身份验证匿名身份验证意味着根本就没有身份验证。在访问一个给匿名身份验证配置的资源时， IIS 就要把用户映射到本地账户，默认为IUSR_Computername（其中，Computername 是运行IIS 的计算机名称）。 IIS 默认配置为口令同步，也就是说IIS 控制着账户口令。它在这种模式下执行网络登录来模拟账户，因此账户需要拥有“从网络访问计算机”的权限。如果关闭口令同步，IIS 就进行默认为交互式的明文登录，因而它需要拥有“本地登录”的权限。另外，也可以重新定义明文登录类型。在创建 IUSR_Computername 时，就赋予了它上述权力并使它成为Guests 组的成员，以限制它对文件系统的访问。如果使用其他账户进行匿名访问，就必须重复进行这些设置。 2. 基本身份验证基本身份验证是收集用户名与口令信息的标准机制。Web 浏览器提示用户输入用户名和口令，并把它们传送到IIS 进行加密。IIS 使用这些信息来模拟Windows 2000 用户。如果服务器拒绝接受登录信息，浏览器就会反复提示用户直到用户关闭对话框为止。用户名可以选择在域\用户名（domain\username）格式中包括域名。基本身份验证的优势在于它是 HTTP 标准的一部分，因而在大多数浏览器上已经实现。但是，它也有严重的不足之处，即把登录信息泄漏给了窃听者。如果需要非常严格的安全需求，就可能只在安全网络上才使用这种机制，或者使用SSL/TLS 来保护网络连接。基本身份验证也称作默认为交互式的明文登录，因为它需要拥有“本地登录”权限。 3. 域服务器的简要身份验证简要身份验证（也成为摘要身份验证）是一种质询—应答（Challenge—Response）机制，它以非明文的传输形式提供关于用户口令的信息。可以在IETF 的RFC2069 文档中找到它的定义。简要身份验证的工作过程如下：（1）服务器向浏览器发送信息（质询）。（2）浏览器提示用户输入与基本身份验证相关的用户名和口令。（3）浏览器计算口令和质询信息的散列值，生成摘要，再把摘要与质询一起发送到服务器。（4）服务器计算质询与用户口令的备份的散列值，然后把所得到的摘要与所接受到的摘要进行比较。（5）如果两个摘要相同，则身份验证成功。为了防止攻击者对应答信息进行重放，质询必须包括客户机的身份标识、域及时间。简要身份验证是 HTTP 的一个新增特性，并不是所有的浏览器都支持这一特性。如果服务器要求简要身份验证而浏览器不支持它，那么身份验证就会失败，并且可能会反复提示用户输入用户名与口令。简要身份验证要求用户在 Windows 2000 域中具有账户，而且还要求Windows 2000 的域控制器以可逆加密的形式存储那些口令。这是因为在上述的散列值计算过程中，Web 浏览器采用了口令的纯文本形式，并且以计算过散列值的口令一般都不保存在域控制器里。因此，如果选择了摘要身份验证，就应该把严格的安全需求加入域控制器以保护可逆的加密口令。此外，还需要强制用户改变它们的口令，从而使可逆加密口令更有效。 IIS 使用简要身份验证机制来模拟通过网络进行登录的用户。因此，用户必须要拥有“从网络访问计算机”的权限。该身份验证协议可以在代理服务器和防火墙中使用，并且对 WebDAV 也有效。 4. 集成Windows 身份验证集成 Windows 身份验证是由Kerberos v5 与质询—应答身份验证协议组成的，这些机制一般用于Windows 网络的身份验证，这里它们是在HTTP 上实现的。与简要身份验证相似，该协议也以非明文的传输形式提供关于用户口令的信息，而且不用任何参数来对集成 Windows 身份验证进行配置。集成 Windows 身份验证处理过程如下：（1）如果用户已经登录到某个域上，Web 浏览器就会试图采用其中的用户凭证。（2）如果由于用户没有登录或登录到的是另一个域，而使上一步失败的话，Web 浏览器就会提示输入用户名和口令，直到用户输入有效账户或关闭对话框为止。尽管集成 Windows 身份验证是安全的，但它也具有下列局限性： ① 对 Web 浏览器的版本有限制。如只有Internet Explorer 2 以上的版本才可用， Kerberos 协议只在Internet Explorer 以上版本才可用。 ① 不能在 HTTP 代理服务器上工作。 ① 只有在已经加入到 Windows 2000 域的客户主机中，Kerberos 身份验证才是可用的。因此，集成 Windows 身份验证最适合Intranet 环境。 IIS 也使用该身份验证机制来模拟通过网络进行登录的用户，因此用户账户必须拥有“从网络访问计算机”的权限。 5. 证书的使用 IIS 可以使用证书来验证用户的身份，并且可以选择把这些用户映射到Windows 账户。（1）证书身份验证 IIS 实现了SSL/TLS 协议，这个协议向Web 浏览器与Web 服务器链接提供了机密性、完整性以及相互身份验证等服务。最初，用户需要从Web 服务器信任的证书颁发机构（CA）那里获取证书。然后，在 Web 服务器需要客户身份验证时，浏览器就提供证书并且使用质询—应答协议（SSL/TLS 协议的一部分）来证明它持有私钥。可以将每个证书映射到相互分离的账户，或者将其中的一部分映射到单一账户。这种账户映射不考虑其他IIS 身份验证机制的映射，但可以与它们一起并行使用。（2）证书映射在身份验证之后，就可以采用很多方法将证书映射到 Windows 账户，如图9-2 所示。在IIS 中可以定义下列证书映射。 ① 一对一映射：证书一个对一个地映射到账户。可以手工输入证书文件和与其相关的由用户名与口令组成的Windows 账户。Web 浏览器提供的证书要与保存在IIS 并将它映射到账户的证书进行一位一位（bit-for-bit）的比较。此过程优先下面的多对一映射。 ① 多对一映射：也叫做通配符匹配。根据一定规则将证书映射到静态账户中。这些规则将简单地匹配Web 用户证书中的字段，如拥有者名称、拥有者组织或发行者名称等，然后将它映射到预定义好的那个账户。（3）身份验证与映射方案 ① 证书身份验证、证书账户映射、SSL 及常规的IIS 身份验证机制可以结合起来向管理员提供很多身份验证选项。下面就是一些常用的组合方式： ① 请求证书身份验证并启用映射：如果启用其他机制，它们也必须要让用户成功地通过身份验证。但是这种方案却会因为证书映射而忽略了它们的账户映射。 ① 启用证书身份验证并启用映射：除了常规的身份验证机制把没有证书的用户映射到 Windows 账户外，这种方案的工作原理与上一种方案相类似。 ① 启用证书身份验证但禁用映射：证书身份验证将会保证可信授权机构已经向用户发行了证书，而常规机制还要将此用户映射到Windows 账户。 6. FTP 的身份验证 FTP 协议总是要提示输入用户名和口令。身份验证设置决定了可以接受什么样的用户名，但是不能对目录和文件进行身份验证，如图9-3 所示。图 9-3 FTP 的身份验证 ① 匿名 FTP 身份验证与Web 的匿名身份验证相类似。用户可以匿名登录或通过某个口令来使用FTP 服务。出于统计的目的，在实际情况中常常使用电子邮件地址作为FTP 登录的口令。 ① 基本 FTP 身份验证与Web 的基本身份验证也是类似的。在提示登录时，用户可以输入用户名或者域\用户名。如果IIS 在域控制器上运行，那么这两种格式的用户名是等效的。在独立服务器或成员服务器上，第一种格式的名称与本地账户相对应。 FTP 在网络上传输的数据都是以明文形式存在的，包括登录用户名和口令。而且，IIS 和常用的FTP 客户程序都没有为FTP 服务而支持SSL/TLS 协议。所以，如果要求安全性，应该考虑使用Web 服务来提供经过验证的资源访问。 5．对于通过任何类型 Web 浏览器来访问你所设置的Web 服务器的用户，你想要对他们进行身份验证。下列那种身份验证方法最适合你的需求？（1）匿名访问（2）基本身份验证（3）摘要身份验证（4）集成Windows 身份验证 13．IIS Lockdown 工具的功能是什么？URLScan 工具的功能是什么？ Microsoft 发布的IIS Lockdown Wizard（IIS 锁定向导）可用来帮助设置IIS 服务器上的安全性。它通过关闭IIS 服务器上的某些不必要的特性来工作，从而减少了攻击者能够利用和攻击范围。 URLScan 则是一个强大的IIS 安全工具，它与IIS 锁定向导协同工作，赋予了IIS Web 站点管理员限制某些服务器处理某些特定HTTP 请求的能力，并且因此阻止了潜在的有害请求到达并破坏服务器。为了提供深层次的锁定，或者说在多个层面抵挡攻击，URLScan 和面向每个受支持服务器角色的定制模板都已经被集成到了IIS Lockdown Wizard 之中。：1．什么是组策略？什么是组策略对象？组策略是用户和计算机配置设置的集合。可以将这些设置链接到计算机、站点（Site）、域（Domain）和组织单元（OU），以指定用户的桌面配置状况。组策略对象（Group Policy Object, GPO）则是大量组策略设置的一个集合，即可以为一组计算机或用户指定特定的桌面设置。请举例说明组策略配置的默认应用顺序。 1. 默认的组策略应用顺序组策略配置的默认应用顺序如下。 ① 本地组策略对象（Local GPO）：每台运行Windows 2000 的计算机都只存储有一个本地的组策略对象。 ① 站点组策略对象（Site GPO）：处理链接到计算机所在站点的所有组策略对象。处理是同步进行的，管理员指定要链接到站点的组策略对象顺序。 ① 域组策略对象（Domain GPO）：处理链接到计算机所在域的所有组策略对象。如果多个组策略对象链接到一个域，那么计算机就按照管理员指定的顺序同步处理它们。 ① 组织单元组策略对象（OU GPO）：首先处理链接到活动目录层次结构最高级OU 的组策略对象，然后按照从父OU 到子OU 的顺序，以及按照在每个OU 的级别上管理员指定的顺序依次进行，最后处理的组策略对象是链接到含有计算机和用户的 OU 的那些对象。这个应用顺序意味着本地组策略对象最先处理，链接到计算机或用户是其直接成员的 OU 的组策略对象最后处理，并覆盖早先处理的组策略对象。图10-3 说明了组策略在活动目录环境中的应用顺序。请举例说明组策略的继承关系。一般来说，组策略在活动目录服务中是从父容器遗传到子容器的。如果将一个单独的组策略分配给父容器，那么该组策略将应用于父容器下方的所有容器，包括父容器中的用户和计算机对象。不过，若为子容器指定了一个组策略设置，子容器的组策略设置将优先于从父容器继承的设置。 ① 如果父组织单元（OU）中的策略设置未配置，那么子OU 将不继承这些设置。被禁用的策略设置继承后仍为禁用状态。 ① 如果配置了父 OU 的一个策略，而子OU 的相同策略未配置，那么子OU 将继承父 OU 的策略设置。 ① 如果一个父策略和子策略兼容，子策略将继承父策略，而且子策略的设置也适用。只要策略兼容，策略就会被继承。例如，如果父策略将某个目录放到桌面上，而子策略设置调用了另外一个目录，那么用户将会看到两个目录。 ① 如果为父 OU 配置的策略与为子OU 配置的相同策略不兼容，那么子OU 将不会从父OU 中继承该策略设置，也就是子OU 中的设置将被应用。请解释以下与特殊的组策略应用顺序和继承相关的名词：禁止替代，锁定策略继承，反向。 ① “禁止替代”（No override）选项：链接到站点、域或组织单元（不包括本地）的任何一个组策略对象都可以使用“禁止替代”选项，来防止随后处理的组策略对象覆盖该组策略对象中的所有策略设置。如果有多个组策略对象设置为“禁止替代” 时，那么就会优先采用在活动目录层次结构中处于更高层的那一个。如果最高层的那一级有多个OU，那么就采用被指定为具有最高优先权的那个OU。 ① “锁定策略继承”（Block Policy Inheritance）：在任何一个站点、域或组织单元上，组策略继承都可以被选择性的标记为“锁定策略继承”，来禁止从父目录容器继承组策略。但是，设置为“禁止替代”的组策略对象链接将始终都会被采用，且不能阻止。“锁定策略继承”设置直接应用于站点、域或组织单元，而不应用于组策略对象，也不应用于组策略对象链接。所以，“锁定策略继承”将使来自上级可以到达站点、域或组织单元的所有组策略设置产生偏差，而不管这些设置来自哪些组策略对象。 ① “反向”（Loopback）：在获取其配置会影响用户的组策略对象顺序列表时，“反向” 提供了与默认方法不同的备用方法。这是一个高级的组策略设置，在某些封闭的管理环境（如实验室、机房和教室等）中的计算机上非常有用。默认情况下，用户设置来自于组策略对象的顺序列表，该列表取决于用户在活动目录服务中的位置所决定的继承关系，从链接到站点的组策略对象到链接到域的组策略对象再到链接到组织单元的组策略对象。各级管理员还可以指定系统在遍历活动目录层次结构时的顺序。“反向”可以被设置为“未配置”（Not Configured）、“启用”（Enabled）或“禁用”（Disabled）。其中在“启用”状态下，“反向”可设置为“合并”（Merge）模式还是“替换”（Replace）模式。请描述一下组策略对计算机启动和用户登录的影响情况。在计算机启动和用户登录的时候，组策略（包括计算机配置和用户配置）将按照以下列举的顺序来设置和应用。（1）网络启动。网络首先启动，然后依次是“远程过程调用系统服务”（Remote Procedure Call System Service, RPCSS）和“多用途通用命名规则提供程序”（Multiple Universal Naming Convention Provider, MUP）服务启动。（2）计算机获得一个组策略对象顺序列表。该顺序列表取决于： ① 计算机是否是 Windows 2000 域的一部分，因而通过活动目录取决于组策略 ① 是否启用了“反向”选项及反向策略设置的状态 ① 计算机对象在活动目录中的位置（3）应用计算机策略的配置。该项任务默认按照以下顺序同步进行：本地GPO、站点 GPO、域GPO、组织单元GPO、子组织单元GPO …。直到所有计算机策略都加载完毕后才会显示用户界面。（4）运行启动（Startup）脚本。该进程默认为隐藏和同步。每个脚本必须在下一个脚本开始之前完成或超时退出（默认的超时时间为600 秒，可以使用若干个组策略配置来进行更改）。（5）用户按下SAS 热键（默认为Ctrl+Alt+Del 组合键）登录。（6）用户通过身份验证之后，就会在当前策略设置的控制下加载用户配置文件。（7）计算机获得用户的一个组策略对象顺序列表。该顺序列表取决于： ① 该用户是否是 Windows 2000 域的一部分，因而通过活动目录取决于组策略 ① 是否启用了“反向”选项及反向策略设置的状态 ① 用户在活动目录中的位置如果要应用的顺序组策略列表没有被改变，那么也就不会进行任何处理。（8）应用用户策略的配置。该项任务默认按照以下顺序同步进行：本地GPO、站点GPO、域GPO、组织单元GPO、子组织单元GPO …。计算机在处理用户策略的同时，用户界面不会给出任何提示。（9）运行登录（Login）脚本。与Windows NT 不同的是，基于组策略的登录脚本在运行的时候是隐藏的。用户对象脚本最后运行。 (10) 组策略指定的操作系统用户界面出现。第十二章 Windows 2000 系统中包含哪6 种事件日志？其中又有哪几种日志在所有的Windows 2000 系统中都存在？（前三种） ① 应用服务日志：记录了应用程序和系统产生的事件。任何厂商开发的应用程序都可以用审核系统将自己注册，并向应用程序日志中写入事件。 ① 系统日志：含有 Windows 2000 系统自身产生的事件，以及驱动程序等组件产生的事件。 ① 安全日志：含有关于安全事件的信息，其中包括与监视系统、用户和进程的活动相关的信息，以及关于启动失败等安全服务的消息。 ① 目录服务日志：含有与目录服务相关的信息。 ① 文件复制日志：记录了与文件复制相关的事件，这些事件含有服务已启动或停止，或者服务已成功完成等信息。 ① DNS 服务日志：含有与域名系统有关的信息，包括DNS 服务何时启动或停止这样的详细信息，以及与DNS 区域相关的任何错误信息和消息。什么是对象的SACL？它是怎么组成的？它在Windows 2000 审核对象访问事件的时候所起的作用是什么？ Active Directory 对象具有与它们关联的SACL，因此也可以对它们进行审核。如前所述，通过审核账户管理来审核Active Directory 用户账户和组账户。然而，如果要审核对其他名称上下文（如配置和架构名称上下文）中的对象的修改，则必须审核对象访问，然后为希望审核的特定容器定义SACL。审核项是在Active Directory 对象的SACL 列出的用户试图访问该对象时生成的。由于会发生大量的（一般来讲是无害的）事件，因此很难找到与目录服务访问相关的特定事件。因此，对于目录服务访问，成员服务器和域控制器基本策略只审核失败的事件。这将有助于识别一个攻击者试图对Active Directory 进行未经授权的访问。尝试的目录访问将在安全日志中显示为 ID 为565 的目录服务事件。只有通过查看安全事件的详细信息才能确定该事件对应于哪一个对象。

联系我们

智库文档公众号

客服微信

数据安全整理.doc

下载

相关专题更多

联系我们

意见反馈

相关专题 更多

联系我们

意见反馈

相关专题更多