网络安全配置1.docx
- 文档编号:23890124
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:63
- 大小:150.74KB
网络安全配置1.docx
《网络安全配置1.docx》由会员分享,可在线阅读,更多相关《网络安全配置1.docx(63页珍藏版)》请在冰豆网上搜索。
网络安全配置1
第1章资产保护
1.1课堂练习识别对网络资产的攻击
攻击
答案
描述
电子欺骗
伪装为其他人或其他事物
在通信双方未察觉的情况下拦截其传输数据
中间人(Man-in-the-middle)
在通信双方未察觉的情况下拦截其传输数据
窃听网络通信
后门(Backdoor)
允许攻击者绕过安全措施访问系统的软件
伪装为其他人或其他事物
拒绝服务(Denialofservice)
造成某个资源无法访问的活动
捕获传输数据,然后再次使用
重放
捕获传输数据,然后再次使用
诱使用户违反正确的安全程序
数据包嗅探(Packetsniffing)
窃听网络通信
允许攻击者绕过安全措施访问系统的软件
社交工程学(Socailengineering)
诱使用户违反正确的安全程序
造成某个资源无法访问的活动
1.2课堂练习确定保护资产的方法
注意答案并非唯一,以下答案仅供参考。
答案会各不相同。
攻击
安全措施
缓冲区溢出
软件更新和正确配置
了解系统中默认安装的组件。
使用应用程序内建的安全功能。
确保其配置可实现最大程度的安全性。
依照制造厂商推荐的最佳实践。
采用软件更新程序来修正操作系统或应用程序中的已知问题
邮件中继
正确配置和安全基线
了解系统中默认安装的组件。
使用应用程序内建的安全功能。
确保其配置可实现最大程度的安全性。
依照制造厂商推荐的最佳实践。
为配置特定类型的计算机创建一套经过测试的标准。
为安全电子邮件服务器、Web服务器、文件服务器及台式机等设备测试并应用不同的基线。
确保系统保持了安全的配置
网页篡改
正确配置和安全基线
了解系统中默认安装的组件。
使用应用程序内建的安全功能。
确保其配置可实现最大程度的安全性。
依照制造厂商推荐的最佳实践。
为配置特定类型的计算机创建一个经过测试的标准。
为安全电子邮件服务器、文件服务器、台式机等设备测试并应用不同的基线。
确保系统保持了安全的配置
物理攻击
物理安全和审核
限制对下面任何组件的物理访问:
硬件、软件、固件、数据介质,例如磁盘、备份磁带和Zip驱动器。
通过门锁或门卡控制建筑物和房间的入口不要使用不受信任的系统。
监视服务、用户和管理员的行为以确保其符合安全策略。
归档并查看日志文件。
特洛伊木马
用户培训、杀毒软件和入侵检测
培训用户使其遵守计算机安全惯例。
使用可以自动除去恶意软件(如病毒、蠕虫和特洛伊木马)的应用程序。
经常更新防病毒软件以应对新的威胁。
使用入侵检测软件(IDS,intrusiondetectionsoftware)提醒网络管理员注意类似已知攻击的行为。
逻辑炸弹
用户培训、审核、入侵检测、物理安全和账户安全
培训用户使其遵守计算机安全惯例。
使用IDS提醒管理员注意文件系统的变化。
监视服务、用户和管理员的行为以确保其符合安全策略。
将日志文件归档,并查看日志文件
只允许已授权和经筛选的人员进行物理访问。
只允许少数经充分筛选的人员拥有管理员账户访问权限
蠕虫
用户培训、杀毒软件、软件更新和安全策略
培训用户使其遵守计算机安全惯例。
使用可以自动除去恶意软件(如病毒、蠕虫和特洛伊木马)的应用程序。
经常更新防病毒软件以应对新的威胁。
应用软件更新程序来修正操作系统或应用程序中的已知问题。
为配置特定类型的计算机创建一个经过测试的标准。
为安全电子邮件服务器、文件服务器、台式机等设备测试并应用不同的基线。
确保系统保持了安全的配置。
创建文档以详细说明所有安全策略。
尽可能使用技术来确保安全策略的实施
后门
用户培训、杀毒软件、软件更新、安全策略、入侵检测和物理安全
培训用户使其遵守计算机安全惯例。
使用可以自动除去恶意软件(如病毒、蠕虫和特洛伊木马)的应用软件。
经常更新防病毒软件以应对新的威胁。
应用软件更新程序来修正操作系统或应用程序中的已知问题。
使用IDS提醒管理员注意文件系统的变化。
创建文档以详细说明所有安全策略。
尽可能使用技术来确保安全策略的实施。
限制对计算机的物理访问
拒绝服务
入侵检测、正确配置、防火墙和安全基线
使用IDS提醒管理员注意类似已知攻击行为。
了解系统中默认安装的组件。
使用应用程序内建的安全功能。
确保其配置可实现最大程度的安全性。
依照制造厂商推荐的最佳实践。
安装和正确配置防火墙。
了解系统中默认安装的组件。
使用应用程序内建的安全功能。
确保其配置可实现最大程度的安全性。
依照制造厂商推荐的最佳实践
电子欺骗
防火墙、入侵检测、数字签名和加密
安装和正确配置防火墙。
使用IDS提醒管理员注意类似已知攻击行为。
使用数字签名。
打乱信息,使XX者无法理解
中间人
加密和数字签名
使用数字签名。
打乱信息,使XX者无法理解
重放
加密和数字签名
使用数字签名。
打乱信息,使XX者无法理解
数据包嗅探
加密、数字签名、防火墙和物理安全
使用数字签名。
打乱信息,使XX者无法理解。
安装和正确配置防火墙。
阻止未授权的用户与你的网络连接
社交工程学
用户培训、安全策略、审核、物理安全和账户安全
创建详细说明所有安全策略的文档。
尽可能使用技术来确保安全策略的实施。
培训用户使其遵守计算机安全惯例。
监视服务、用户和管理员的行为以确保其符合安全策略。
归档并查看日志文件。
仅在必要时创建账户,授予完成工作需要的最小权限,并在不需要时禁用账户。
仅允许必要的人员进行物理和账户访问
病毒
杀毒软件、用户培训和安全策略
使用可以自动除去恶意软件(如病毒、蠕虫和特洛伊木马)的应用软件。
经常更新防病毒软件以应对新的威胁。
培训用户使其遵守计算机安全惯例。
创建文档以详细说明所有安全策略的文档。
尽可能使用技术来确保安全策略的实施
密码猜测
密码安全、用户培训和安全策略
培训用户使其遵守计算机安全惯例。
选择难以猜测或难以强力(bruteforce)破解的密码。
经常更改密码,但是不要太频繁,否则用户会使用不安全的方式去记住密码。
要求密码具有惟一性。
审核密码安全性的遵守情况。
创建文档以详细说明所有安全策略。
尽可能使用技术来确保安全策略的实施
密码字典/
强力破解
密码安全、用户培训和安全策略
培训用户使其遵守计算机安全惯例。
选择难以猜测和破译的密码。
经常更改密码,但是不要太频繁,否则用户会使用不安全的方式去记住密码。
要求密码具有惟一性。
审核密码安全性的遵守情况。
创建文档以详细说明所有安全策略。
尽可能使用技术来确保安全策略的实施。
使用IDS检测强力破解攻击
1.3实验资产保护
练习1确定网络攻击者的类型
答案会各不相同。
可能存在的答案包括:
对Contoso公司不满而想从公司获取钱财的员工。
想非法控制公司物资的有组织犯罪者。
想要获得用于攻击的非法药品的恐怖分子。
抗议动物实验的动物权利保护者。
想要窃取商业机密的竞争对手。
想在黑客群体中出名的某个“脚本顽童”。
测试Contoso公司安全系统的攻击者。
想要隐藏电子邮件来源的垃圾邮件制造者。
想要造成重大损失的病毒编写者。
练习2确定攻击的威胁、漏洞和保护措施
攻击者
答案会各不相同。
以下是几个示例。
如果攻击者是竞争对手,可能得到以下答案。
威胁
漏洞
针对攻击的保护措施
他们会在公司里安置一些人作为门卫以便获取物理访问权限
背景调查不充分、缺乏物理安全
安全策略、物理安全
他们会扫描边界服务器并且会寻找可利用的软件漏洞
关键系统的补丁程序安装不全、关键系统配置不当
安全的基线、正确的配置、入侵检测软件
他们会试图对InternetWEB服务器进行密码攻击
弱密码
安全策略、用户培训、密码安全性
如果攻击者是动物权利保护者,则可能出现以下答案。
威胁
漏洞
针对攻击的保护措施
他们会用动物实验的图片来篡改Web站点
弱密码、不安全的基线配置、或者Web服务器配置不当
密码安全性、安全基线、正确配置
他们可能试图通过恶意软件获取服务器访问权限,从而盗取与动物研究相关的机密数据
病毒防护不充分、缺乏用户培训、防火墙不够安全、甚至没有入侵检测
防病毒软件、用户培训、防火墙、入侵检测、加密
他们可能试图破坏计算机系统来阻止研究
物理安全不足、缺乏预防社交入侵的策略
物理安全、安全策略、用户培训
当所有小组完成以后,把你的攻击场景展示给班里的其他同学,就把他们当作一个高级管理委员会。
1.4习题解答
1.参考答案:
●系统补丁的升级
●防毒软件的安装
●账号的安全
●策略的安全设置
●系统漏洞的修补
●应用程序的安全问题
2.参考答案:
●放在公司防火墙之后
●修补系统漏洞
●使用raid5磁盘阵列保护数据
●使用备份软件实现远程备份
●用户和权限设置符合公司策略
●安全策略的设置
●使用用户的培训
●ntfs和共享权限的设置
●用集群实现冗余
3.参考答案:
●专业机房,并有防盗,防潮,防火措施
●安装专业监视设备
●配备专业网管
●服务器放入机柜
●完善的门禁系统
●完善的资产管理办法,责任到具体员工
●网络设备有专门的布线和架设设备
4.A、B、C、D
5.A、B、C、D、E
第2章创建用户账户和安全组
2.1实验在ActiveDirectory中创建OU、用户和安全组
练习1设计组织单位结构
在默认的ActiveDirectory结构中必须添加哪些OU?
将在这些OU中放入哪些对象?
答:
AtNorthwindTraders,differentadministratorswillcontroluseraccountsineachofthreedepartments.EachdepartmentwillhaveitsownOU.Memberserversareadministereddifferentlyfromclientcomputers,andshouldbeplacedintheirownOU.PlacealldomaincontrollersintotheexistingDomainControllersOU.LeaveallclientcomputersintheexistingComputerscontainer.
在NorthwindTraders公司,三个部门的管理员各自管理用户账户。
每个部门拥有自己的OU。
成员服务器的管理和客户端计算机的管理不同,应该将成员服务器放在本部门的OU中。
此外,还要将域控制器放在现有的DomainControllerOU中,并把所有客户端计算机放在现有的Computer容器中。
练习3设计域中的组
要确保经理们拥有必要的权限,同时又要最大程度的简化管理,你该做些什么?
答:
Ineachdomain,createaglobalgroup,andadduseraccountsforthemanagersinthatdomaintotheglobalgroup.Createadomainlocalgroupinthedomainwherethedatabaseislocated,andaddtheglobalgroupsfromeachdomaintothedomainlocalgroup.Then,grantpermissionstogainaccesstotheInventorydatabasetothedomainlocalgroup.
在每个域中创建一个全局组,然后把域中的经理账户添加到该全局组中。
在数据库所在的域中创建一个域本地组,然后把每个域中的全局组添加到该域本地组中。
最后,授予域本地组访问Inventory数据库的权限。
因为业务需求发生了变化,所以现在除了伦敦的Inventory数据库外,还要让所有的经理有权访问位于欧洲大陆和北美的Inventory数据库。
假设你希望将使用的组数减到最少,需要进行哪些修改?
答:
CreateauniversalgroupintheLondonrootdomain,addtheglobalgroupsfromeachdomaintoit,andthengrantpermissionstoaccesseachInventorydatabasetotheuniversalgroup.
在London根域中创建一个通用组,把每个域的全局组添加到通用组中,然后授予该通用组访问每个Inventory数据库的权限。
假设在这三个域中都有一个全局目录服务器,希望提供所需的访问,同时保证最小的复制流量,你要做什么修改?
答:
CreatedomainlocalgroupsintheNorthAmericaandEuropedomains,addallthreeglobalgroupstobothdomainlocalgroups,andthengrantaccesspermissionsfortheInventorydatabasetothedomainlocalgroups.
在NorthAmerica域和Europe域中创建域本地组,把先前创建的三个全局组添加到这两个域本地组中,然后授予该域本地组访问Inventory数据库的权限。
练习6创建通用组并添加成员
是否成功地将Managersx全局组添加到了通用组?
为什么?
Yes.Aglobalgroupcanbeamemberofauniversalgroup.
答:
是,全局组能作为通用组的成员。
Inventoryx本地域组是否可供添加到通用组?
为什么?
No.Adomainlocalgroupcannotbeamemberofauniversalgroup.
答:
否,域本地组不能作为通用组的成员。
另一个域的Managersx全局组是否可供添加到通用组?
为什么?
Yes.Aglobalgroupfromanotherdomaincanbeamemberofauniversalgroup.
答:
另一个域的全局组能作为通用组的成员。
2.2习题解答
2.A
2.在计算机管理中权利可授权用户在计算机上执行某些操作,例如能够完成备份文件和文件夹或者进行关闭计算机操作,而权限是与对象(通常是文件、文件夹或打印机)相关联的一种规则,它用来规定哪些用户可以访问该对象以及能够以何种方式访问。
3.A,B
4.必须是下列内置组成员,AccountOperators、DomainAdmins、EnterpriseAdmins、将用户加入用户组的方法具体可以参看本章教材。
第3章限制账户、用户和组
3.1实验使用安全模板限制用户和组
练习1分析Windows 2000中的账户策略要求
在下表中,根据Baseline安全模板中设置的账户策略要求和所需设置的相符程度勾选方框,并给每个选项打分。
答案:
设置
要求
密码策略
无
低于要求
达到要求
超过要求
强制密码历史
☐
☐
☐
密码最长存留期
☐
☐
☐
密码最短存留期
☐
☐
☐
密码长度最小值
☐
☐
☐
密码必须符合复杂性要求
☐
☐
☐
为域中所有用户使用可还原的加密来储存密码
☐
☐
☐
账户锁定策略
账户锁定时间
☐
☐
☐
账户锁定阈值
☐
☐
☐
复位账户锁定计数器
☐
☐
☐
Kerberos策略
强制用户登录限制
☐
☐
☐
服务票证最长寿命
☐
☐
☐
用户票证最长寿命
☐
☐
☐
用户票证续订最长寿命
☐
☐
☐
计算机时钟同步的最大容差
☐
☐
☐
部署此基线安全模板前需要调整哪些密码策略设置?
答:
Tomeetthesecurityrequirements,theminimumpasswordlengthmustbeincreasedfromsixtoeightcharacters,andcomplexpasswordsmustbeenabled.
为满足安全要求,密码的最短长度必须从6个字符增加到8个字符,并且必须启用复杂密码。
设置密码最短使用期限对维护密码策略有什么帮助?
答:
Settingaminimumpasswordagepreventsnetworkusersfromimmediatelyresettingtheirpasswordsaftertheirexistingpasswordshaveexpired.Thisensuresthatausercannotsimplycyclethroughalistingofpasswordstocontinueusinghisorherexistingpassword.
设置密码最短使用期限能防止网络用户在密码过期后,立刻重设密码。
这保证了用户不能简单地重复使用密码。
在此部署基线安全模板前需要调整哪些账户锁定设置?
答:
Tomeetthesecurityrequirements,theaccountlockoutdurationmustbeincreasedto30minutes.
为满足安全要求,账户锁定时间必须增加到30分钟。
在部署此基线安全模板前需要调整哪些KerberosV5策略的设置?
答:
Configuremaximumtoleranceforcomputerclocksynchronizationtofiveminutes.
将计算机时钟同步的最大容差设置为5分钟。
练习4部署自定义安全模板
是否出现登录对话框?
为什么?
答:
Yes.Thesecuritysettingwasenforced.
是,安全设置增强了。
为什么前两次都无法成功创建用户?
答:
Becausethepasswordpolicymandatedtheuseofaminimum6characterpasswordandthepasswordalsohadtomeetcomplexityrequirements.
因为密码策略规定,密码的最短长度必须为6,并且必须是复杂密码。
练习6删除策略设置
是否出现登录对话框?
为什么?
答:
No.Thesecuritysettinghasbeenremoved.
否,安全设置已被清除。
为什么第一次就可以成功创建这个用户?
答:
安全设置中的密码策略已被清除。
3.2习题解答
1.默认值是五分钟。
可以用NETTIME命令加上/SETSNTP:
trustedtimesourceFQDN参数将计算机时钟与可靠的时间源同步
2.E。
3.B
4.可以在组策略中配置受限制的组中,将用户或组添加到“受限制的组”的成员列表,组策略会在下次刷新时相应改变成员身份,具体操作步骤可以参看书本。
5.要将安全模板部署到多个ActiveDirectory对象,最简单的方法是将安全模板发给各地分支机构,由当地管理员导入组策略对象,具体操作过程可以参看教材。
6.在命令提示符处运行esentutl/g以检查位于%windir%\Security\Database\Secedit.sdb处的安全数据库是否完整。
如果数据库被损坏:
可以在%windir%\Security文件夹的命令提示符处键入esentutl/r来恢复数据库
如果不成功,尝试在%windir%\Security\Database\Secedit.sdb命令提示符处键入esentutl/p对该数据库进行修复,之后,删除%windir%\Security中的日志文件。
注意,强调备份电源的准备和日常备份管理。
7.可以通过应用默认的安全设置来解决,
a)打开“安全配置和分析”;
●在控制台树中,右键单击“安全配置和分析”,然后单击“打开数据库”
b)在“文件名”框中,键入文件名,然后单击“打开”。
c)执行以下操作之一:
●对域控制器,在控制台树中右键单击“安全配置和分析”,接着单击“导入模板”,然后单击“DCsecurity.inf”。
●对其他计算机,请在控制台树中右键单击“安全配置和分析”,接着单击“导入模板”,然后单击“setupsecurity.inf”。
d)选中“导入之前清除这个数据库”,然后单击“打开”。
e)在控制台树中,右键单击“安全配置和分析”,然后单击“立即配置计算机”。
f)执行以下操作之一:
●要使用在“错误日志文件路径”中指定的默认日志,请单击“确定”。
●要指定不同的日志,请在“错误日志文件路径”中输入有效的路径和文件名,然后单击“确定”。
g)完成配置后,请右键单击“安全配置和分析”,然后单击“查看日志文件”,查看是否做了应用。
第4章配置基于账户的安全性
4.1实验使用安全模板配置基于账户的安全性
练习1在Windows2000中分析审核策略要求
当前审核设置中哪些地方没有满足审核要求?
答:
Thecurrentauditingsettingswillnotrecordanauditeventifsomeonesuccessfullychangestheauditingsettings.Thecurrentauditsettingsonlytrackfailedattemptstochangetheauditsettings.Systemrestartswillnotbeloggedunlesssuccessauditingisenabled.Additionally,toauditaccesstothedesigndocumentfilesfortheadventuregames,Auditobjectaccessmustbeenabledforsuccessandfailure.
如果有人成功更改了审核设置,那么该审核事件不会记录在当前审核设置中。
当前审核设置只追踪尝试更改审核设置失败的事件。
只有启用了成功审核,才会记录系统重启事件。
此外,必须启用“审核对象访问”,以审核对Adventure游戏设计文档的访问。
启用了哪些不需要的其他审核?
答:
Failedaccountlogoneventsdonotrequireauditing,includingallKerberosV5sessi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 配置