2、AD 域控

SAML：实现单点登录

Oauth：委派

3、keberos使用AES进行加密

4、类型一和类型二错误相等的时候，平衡点

6、HSM：使用硬件加密，硬件的安全模块，专门用来管理密钥安全的。

选最正确的

TPM：可信平台模块，主板上的

8、多套，那么认证体系不统一，导致控制不一致

9、固定的电话号码，代表的是这个人的位置。

邮编和电话号码，是确认位置的。

注意和回拨移动电话区分开

10、记住

11、tacacs+是应用最广泛的。

12、radisu做的是集中式身份认证。不叫单点登录。

不能说做身份认证就是单点登录。可以是单点登录的一个组件。

注意就整个概念。

18、C无法实现共享

再查查

21、biba，blp都是信息流模型，也都是强制访问控制模型。主要用于军事。

士兵汇报 blp

中央法律发布到地方 biba

23、shang,混乱的程度

25、NAC：网络访问能力

28、横向提权：之间的互相访问的，东西向

纵向提权：南北向

增加访问的难度，就是认证

30、格子模型：MAC

32、标识-》验证（登录）

输入admin，就是admin吗，

应该点登录，

登录是标识后的过程。

34、B还是C

B比C更加可靠

B在增加密码的数量

35、服务账户是不能登录的

nologin

查一下服务账户

37、这里有两个角色：业务人员和维护人员。

所以是基于角色的

40、这题可以不看

SPML：安全配置语言

41、为了对抗彩虹表攻击，使用了加盐的方式

43、特权蠕变，多个角色

题干里没有提到多个角色

45、oauth：身份的委派

创建一个网站，做了网易邮箱的登录，能够看到网易邮箱的账号，这就是委派

openid：使用第三方的登录，专门做身份验证

46、需要时立刻创建，不需要时马上就能删除

53、one password

访问的平台都不是内部的平台，所以不是单点登录和联合身份

是对密码进行管理

54、su：切换用户

sudo：以普通用户身份登录root

57、权限、主体和客体

无法确定是以主体还是客体为中心

既然确认不了，所以选择访问控制矩阵

60、C看不出来。

636已经是一个经过了TLS封装的端口

64、OIDC使用oauth2.0的身份验证层

json的网络令牌，restful的api

70、shang 混乱的程度

72、遵循的就是最小特权的原则

选项说法是正确的，但要和题干相关

73、openID可以做重定向

74、在一个应用程序里能否访问另一个应用的信息，就是身份的委派

oauth是对授权的委派

75、关联了多个属性

76、文件的主人/管理员修改文件的权限，这就是自主访问控制

77、离职是取消配置

79、kerberos有严格的时间要求

最大的可能是D，时钟不一致，导致票据无效

81、openid，是使用统一的第三方进行身份鉴别

83、虚拟应用，数据不落地

真正的数据还在服务器上。

桌面虚拟化等都可以。

86、TGT是一个票据，需要安装

88、重定向的网站被入侵了，可能会跳转到不正确的网址。

经过重定向的网址注意看是否正常，这个需要进行安全意识培训

89、本地和云上都有身份验证的系统。

90、和身份攻击相关的，CSRF，跨站请求伪造

92、明文存储密码有合规风险

94、日志和身份的唯一性是用于问责的

95、保安是一个持续的成本，开工资

96、B/C都是单点登录的技术。

64

65

66

70

83，考察的什么知识点？

88、SAML的主要问题，身份认证过程中的问题

95、密码是否会被存储的问题

比如kerberos

31

60