【正文】 A，要求用戶輸入密碼。(3) 客戶A收到上述兩個(gè)數(shù)據(jù)包后，用自己的密鑰KA解密獲得會話密鑰Ks和票據(jù)KTGS(A,Ks)?？蛻鬉將獲得的票據(jù)KTGS(A,Ks)、應(yīng)用服務(wù)器名V以及用于會話密鑰加密的時(shí)間戳(用于防止重放攻擊)發(fā)送給票據(jù)授予服務(wù)器(TGS)，請求會話票據(jù)。(4) 票據(jù)授予服務(wù)器(TGS)收到上述數(shù)據(jù)包后，向客戶A返回它與服務(wù)器V通信的會話票據(jù)KAV，這個(gè)會話票據(jù)KAV是用客戶A的密鑰和應(yīng)用服務(wù)器V的密鑰進(jìn)行加密的。(5) 客戶A使用從票據(jù)授予服務(wù)器(TGS)獲取的會話票據(jù)KAV發(fā)送給應(yīng)用服務(wù)器V請求登錄，并且附上用KAV加密的時(shí)間戳，以防止重放攻擊。(6) 服務(wù)器V通過用KAV加密的時(shí)間戳進(jìn)行應(yīng)答，完成認(rèn)證過程。答案：(1)A (2)D【例815】分析：Melissa 病毒是一種快速傳播的能夠感染那些使用MS Word 97 和 MS Office 2000 的計(jì)算機(jī)宏病毒。即使不知道Melissa 病毒是什么也沒關(guān)系，因?yàn)榍懊嬗袀€(gè)Macro，表明這是宏病毒。答案：(1)D (2)B【例816】分析：Worm表示蠕蟲，Trojan表示木馬，Backdoor表示后門，Macro表示宏。答案：A【例817】分析：【問題1】本題考查的是VPN隧道技術(shù)的基本概念，這里不作詳細(xì)的解析?！締栴}2】本題考查IPSec協(xié)議組的功能?！締栴}3】源子網(wǎng)IP地址為ServerA連接的內(nèi)網(wǎng)網(wǎng)絡(luò)地址，；目標(biāo)子網(wǎng)IP地址應(yīng)為ServerB連接的內(nèi)網(wǎng)網(wǎng)絡(luò)地址。隧道設(shè)置中的隧道終點(diǎn)IP地址應(yīng)設(shè)置為服務(wù)器ServerB的外網(wǎng)地址。【問題4】題目中要求安全措施為“加密并保持完整性”。IPSec封裝安全負(fù)荷(ESP)提供了數(shù)據(jù)加密功能和數(shù)據(jù)完整性認(rèn)證。在隧道模式下，IPSec對原來的IP數(shù)據(jù)報(bào)進(jìn)行了封裝和加密，加上了新的IP頭，其格式如圖817所示。圖817 IP數(shù)據(jù)報(bào)的格式(2)答案：【問題1】(1)PPTP (2)L2TP　(3)IPSec說明：(1)和(2)答案可調(diào)換【問題2】(4)AH (5)ESP (6)ISA KMP/Oakley【問題3】(7) (8) (9)【問題4】(10)B (11)C (12)F【例818】分析：【問題1】隧道是建立在已連通的路由上的。ipsec只是加密，tunnel是建立隧道。應(yīng)填接入Internet的對應(yīng)網(wǎng)關(guān)地址，即(1)，(2)?！締栴}2】本題考查隧道本端及對端IP地址的設(shè)置。【問題3】本題考查建立IPSec安全關(guān)聯(lián)的配置命令。【問題4】建立IPSec策略p1。【問題5】從代碼段routera(configipsecprop) esp 3des sha1中明顯看出加密算法采用3DES，認(rèn)證算法采用SHA1。答案：【問題1】(1) (2)【問題2】(3) (4)【問題3】(5) (6)【問題4】建立IPSec策略p1?！締栴}5】(7)3DES (8)SHA1第9章 過關(guān)習(xí)題【例91】 分析：在采用NTFS格式的Windows 2000/2003中，應(yīng)用審核策略可以對文件夾、文件以及活動目錄對象進(jìn)行審核，審核結(jié)果記錄在安全日志中，通過安全日志就可以查看哪些組或用戶對文件夾、文件或活動目錄對象進(jìn)行了什么級別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問，通過采取相應(yīng)的措施，將這種安全隱患減到最低。這些在FAT32文件系統(tǒng)下是不能實(shí)現(xiàn)的。答案：D【例92】 分析：默認(rèn)情況下，只有系統(tǒng)管理員用戶組和系統(tǒng)組用戶擁有訪問和完全控制終端服務(wù)器的權(quán)限。遠(yuǎn)程桌面用戶組的成員只具有訪問權(quán)限而不具備完全控制權(quán)。答案：B【例93】分析：l代表是連接文件，r代表可讀，w代表可寫，x代表可執(zhí)行。第一個(gè) root 用戶，第二個(gè) root 用戶組，4096是文件大小，20090414 17:30是文件創(chuàng)建時(shí)間，profile是文件名。答案：C【例94】分析：cp是文件復(fù)制命令，mv是文件移動命令，兩者的區(qū)別很明顯。復(fù)制文件時(shí)源文件不動，把文件復(fù)制到目標(biāo)目錄中。移動文件相當(dāng)于把源文件剪切掉，然后粘貼到目標(biāo)目錄中。答案：B【例95】分析：install命令的作用是安裝或升級軟件或備份數(shù)據(jù)，它的使用權(quán)限是所有用戶。fsck檢查與修復(fù) Linux 檔案系統(tǒng)，可以同時(shí)檢查一個(gè)或多個(gè) Linux 檔案系統(tǒng)。rpm是一個(gè)管理套件，用于管理各項(xiàng)軟件包。答案：B【例96】分析：ln具有鏈接功能；cat把檔案串聯(lián)后傳到基本輸出；locate命令用于查找文件；vi可在全屏幕方式下編輯一個(gè)或多個(gè)文件。答案：A【例97】分析：文件或目錄的訪問權(quán)限分為只讀r、只寫w和可執(zhí)行x三種。每一文件或目錄的訪問權(quán)限都有三組，每組用三位表示，分別為文件屬主的讀、寫和執(zhí)行權(quán)限，與屬主同組的用戶的讀、寫和執(zhí)行權(quán)限，系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。答案：B【例98】分析：/proc文件系統(tǒng)下的多種文件提供的系統(tǒng)信息，它不是針對某個(gè)特定進(jìn)程的，而是能夠在整個(gè)系統(tǒng)范圍的上下文中使用，可以使用的文件隨系統(tǒng)配置的變化而變化。答案：D【例99】分析：/etc/shadow是只有超級用戶root才能讀的文件，該文件包含了系統(tǒng)中所有用戶及其口令等相關(guān)信息。答案：C【例910】分析：出于系統(tǒng)安全考慮，Linux系統(tǒng)中的每一個(gè)用戶除了有其用戶名外，還有其對應(yīng)的用戶口令。因此使用useradd命令創(chuàng)建新用戶后，還需使用passwd命令為每一位新增加的用戶設(shè)置口令。root用戶可以使用passwd命令改變系統(tǒng)用戶的口令，系統(tǒng)用戶也可以使用passwd命令改變自己的口令。答案：B【例911】分析：IIS Service、文件傳輸協(xié)議(FTP)服務(wù)、萬維網(wǎng)服務(wù)、Frontpage服務(wù)器擴(kuò)展等子件，不包括DNS。DNS和IIS都是Windows Server 2003提供的服務(wù)。答案：D【例912】 分析：IIS 提供多種身份驗(yàn)證方案。匿名訪問：如果啟用了匿名訪問，訪問站點(diǎn)時(shí)，不要求提供經(jīng)過身份驗(yàn)證的用戶憑據(jù)。集成 Windows 身份驗(yàn)證以 Kerberos 票證的形式通過網(wǎng)絡(luò)向用戶發(fā)送身份驗(yàn)證信息，并提供較高的安全級別。Windows 域服務(wù)器的摘要式身份驗(yàn)證需要用戶ID和密碼，可提供中等的安全級別。此方法會將用戶憑據(jù)作為 MD5中的哈?；蛳⒄诰W(wǎng)絡(luò)中進(jìn)行傳輸，這樣就無法根據(jù)哈希對原始用戶名和密碼進(jìn)行解碼?；旧矸蒡?yàn)證需要用戶ID和密碼，提供的安全級別較低。用戶憑據(jù)以明文形式在網(wǎng)絡(luò)中發(fā)送。這種形式提供的安全級別很低，因?yàn)閹缀跛袇f(xié)議分析程序都能讀取密碼。Microsoft .NET Passport 身份驗(yàn)證提供了單一登錄安全性，對 IIS 的請求必須在查詢字符串或 Cookie 中包含有效的 .NET Passport 憑據(jù)。答案：C【例913】分析：FTP的數(shù)據(jù)端口號是FTP控制端口號1。例如當(dāng)控制端口為21時(shí)，數(shù)據(jù)端口就是20。題目中，控制端口為2222，則數(shù)據(jù)端口為22221=2221。答案：D【例914】分析：IIS創(chuàng)建或設(shè)置網(wǎng)站，無需重新啟動。答案：A【例915】分析：主頁文件的讀取、寫入權(quán)限都可以通過“主目錄”選項(xiàng)卡進(jìn)行配置，通過勾選來確定其文件權(quán)限。答案：B【例916】分析：在“本地路徑”右邊，是網(wǎng)站根目錄，即網(wǎng)站文件存放的目錄，默認(rèn)路徑是“C:\intepub\ftproot”。如果想把網(wǎng)站文件存放在其他地方，可修改這個(gè)路徑。答案：B【例917】分析：虛擬主機(jī)服務(wù)是指在一臺物理機(jī)器上提供多個(gè)Web服務(wù)。用Apache設(shè)置虛擬服務(wù)器通?？梢圆捎脙煞N方案：基于IP地址的虛擬主機(jī)和基于域名的虛擬主機(jī)?；谟蛎奶摂M主機(jī)創(chuàng)建比較簡單，只需要配置域名服務(wù)器(即DNS服務(wù)器)將主機(jī)名映射到正確的IP地址，然后配置Apache HTTP服務(wù)器。在配置信息中，DocumentRoot是指Apache服務(wù)器存放網(wǎng)頁的根目錄，ServerName是由用戶指定的主機(jī)名。答案：(1)A (2)B (3)C【例918】分析：當(dāng)某個(gè)DNS客戶機(jī)準(zhǔn)備申請一個(gè)域名時(shí)，首先查詢客戶機(jī)的緩存，如果沒有符合條件的記錄，就產(chǎn)生一個(gè)查詢請求并發(fā)送給本地DNS服務(wù)器，如果客戶機(jī)在規(guī)定的時(shí)間內(nèi)沒有收到查詢響應(yīng)，會嘗試其他的DNS服務(wù)器或再次查詢。應(yīng)該說是本網(wǎng)段內(nèi)DNS。答案：A【例919】分析：緩存域名服務(wù)器沒有域名數(shù)據(jù)庫，它將向其他域名服務(wù)器進(jìn)行域名查詢并將查詢結(jié)果保存在緩存中。緩存域名服務(wù)器可以改進(jìn)網(wǎng)絡(luò)中DNS服務(wù)器的性能。當(dāng)DNS經(jīng)常查詢一些相同的目標(biāo)時(shí)，安裝緩存域名服務(wù)器可以對查詢提供更快速的響應(yīng)，而不需要通過主域名服務(wù)器或輔助域名服務(wù)器。緩存域名服務(wù)器因此特別適合于在局域網(wǎng)內(nèi)部使用，其主要目的是提高域名解析的速度和節(jié)約對互聯(lián)網(wǎng)訪問的出口帶寬。答案：A【例920】分析：對于要經(jīng)常訪問的網(wǎng)站，可以通過在Hosts中配置域名和IP的映射關(guān)系，這樣我們輸入域名計(jì)算機(jī)就能很快解析出IP，而不用請求網(wǎng)絡(luò)上的DNS服務(wù)器?，F(xiàn)在有很多網(wǎng)站不經(jīng)過用戶同意就將各種各樣的插件安裝到你的計(jì)算機(jī)中，有些說不定就是木馬或病毒。對于這些網(wǎng)站可以利用Hosts把該網(wǎng)站的域名映射到錯(cuò)誤的IP或自己計(jì)算機(jī)的IP，這樣就不用訪問了。，那我們在Hosts寫上以下內(nèi)容： 屏蔽的網(wǎng)站 屏蔽的網(wǎng)站這樣計(jì)算機(jī)解析域名就解析到本機(jī)或錯(cuò)誤的IP，達(dá)到了屏蔽的目的。答案：(1)A (2)D【例921】分析：Linux系統(tǒng)中，默認(rèn)安裝DHCP服務(wù)的配置文件為/etc/。答案：A【例922】分析：由defaultleasetime 3600知，默認(rèn)租用期為3600秒，換算成小時(shí)為1小時(shí)。答案：A【例923】分析：POP3的默認(rèn)端口是TCP的110。答案：A【例924】 分析：郵件服務(wù)器系統(tǒng)由POP3服務(wù)、簡單郵件傳輸協(xié)議(SMTP)服務(wù)以及電子郵件客戶端三個(gè)組件組成。其中的POP3服務(wù)與SMTP服務(wù)一起使用，POP3為用戶提供郵件下載服務(wù)，而SMTP則用于發(fā)送郵件以及郵件在服務(wù)器之間的傳遞。如果路由器端口的訪問控制列表設(shè)置為denypop3，則將無法接收郵件，與題意不符。答案：B【例925】分析：為了使Windows主機(jī)間的資源能夠共享，Microsoft實(shí)現(xiàn)了一個(gè)基于NetBIOS協(xié)議的共享網(wǎng)絡(luò)文件/打印機(jī)系統(tǒng)，Microsoft稱之為SMB(Server Message Block)通信協(xié)議。Samba就是用來實(shí)現(xiàn)SMB的一種軟件。Samba服務(wù)器向Linux或Windows系統(tǒng)客戶端提供Windows風(fēng)格的文件和打印機(jī)共享服務(wù)，實(shí)現(xiàn)在Samba服務(wù)器上的打印機(jī)和文件系統(tǒng)的共享。答案：A【例926】 分析：【問題1】如果啟用“密碼必須符合復(fù)雜性要求”策略，則密碼必須符合以下最低要求。(1) 不包含全部或部分的用戶賬戶名。(2) 長度至少為六個(gè)字符。(3) 包含來自以下四個(gè)類別中三個(gè)類別的字符。l 英文大寫字母(從A到Z)。l 英文小寫字母(從a到z)。l 10個(gè)基本數(shù)字(從0到9)。l 非字母字符(例如，!、$、%)。如果啟用了此安全策略，而配置的用戶密碼不符合此配置要求時(shí)系統(tǒng)會提示錯(cuò)誤。題目中，選項(xiàng)A不符合要求1，選項(xiàng)B不符合要求2，選項(xiàng)D不符合要求3。【問題2】(1) 賬戶鎖定閾值。該安全設(shè)置確定導(dǎo)致用戶賬戶被鎖定的登錄失敗嘗試的次數(shù)。無法使用鎖定的賬戶，是因?yàn)楣芾韱T進(jìn)行了重新設(shè)置或該賬戶的鎖定時(shí)間已過期。登錄嘗試失敗的范圍可設(shè)置為0～999之間。如果將此值設(shè)為0，將無法鎖定賬戶。(2) 賬戶鎖定時(shí)間。該安全設(shè)置確定鎖定的賬戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍為0～99 999分鐘。如果將賬戶鎖定時(shí)間設(shè)置為0，那么在管理員明確將其解鎖前，該賬戶將被鎖定。(3) 復(fù)位賬戶鎖定計(jì)數(shù)器。該安全設(shè)置確定在登錄嘗試失敗計(jì)數(shù)器被復(fù)位為0(即0次失敗登錄嘗試)之前，嘗試登錄失敗之后所需的分鐘數(shù)，有效范圍為1～99 999分鐘。由“賬戶鎖定閾值”的設(shè)置可知，3次無效登錄后，用戶賬戶被鎖定。由“賬戶鎖定時(shí)間”可知鎖定時(shí)間為30分鐘。【問題3】安裝活動目錄的過程中，SYSVOL文件夾必須存儲在NTFS磁盤分區(qū)?；顒幽夸浿杏虻拿Q解析需要DNS的支持，域控制器也需要登記到DNS服務(wù)器內(nèi)，以便其他計(jì)算機(jī)通過DNS服務(wù)器查找到這臺域控制器。【問題4】全局組成員來自同一域的用戶賬戶和全局組，可以訪問域林中的任何資源。域本地組成員來自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組，只能訪問本地域中的資源。通用組成員來自林中任何域中的用戶賬戶、全局組和通用組，可以授予多個(gè)域中的訪問權(quán)限。答案：【問題1】(1)C【問題2】(2)A(3)A【問題3】(4)A(5)D【問題4】(6)B(7)C(8)A【例927】分析：【問題1】本題考查Linux系統(tǒng)的文件命令。chgrp命令改變文件所屬群組，vi命令表示編輯文件，which命令用來查找文件?！締栴}2】proc文件系統(tǒng)是一個(gè)偽文件系統(tǒng)，它只存在于內(nèi)存當(dāng)中，而不占用外存空間。它以文件系統(tǒng)的方式為訪問系統(tǒng)內(nèi)核數(shù)據(jù)的操作提供接口。用戶和應(yīng)用程序可以通過proc得到系統(tǒng)的信息，并可以改變內(nèi)核的某些參數(shù)。由于系統(tǒng)的信息如進(jìn)程是動態(tài)改變的，所以用戶或應(yīng)用程序讀取proc文件時(shí)，proc文件系統(tǒng)是動態(tài)從系統(tǒng)內(nèi)核讀出所需信息并提交的?！締栴}3】(5)的答案可以從題目給出的程序段中找出，hda2后面寫的是extended。(6)中的Shmfs文件系統(tǒng)是一種內(nèi)存共享模式的文件系統(tǒng)?！締栴}4】這是Linux下比較常見的關(guān)于文件系統(tǒng)的系統(tǒng)。答案：【問題1】(1)B (2)C (3)D 【問題2】(4)A【問題3】(5)/dev/hda2 (6)/dev/hda1【問題4】(7)/etc/f