比較存取控制模型

實現認證系統

了解存取控制攻擊

了解基於角色的存取控制（RBAC)模型的校心概念。 RBAC 模型使用基於任務的角色，當管理員將使用者帳戶指派到角色或群組時，使用者將獲得特權。將使用者從角色中移除時，將取消使用者透過角色成員所獲得的權限。

了解自主存取控制DAC模型的核心概念。基於規則的存取控制模型使用群組規則、限製或篩選器來決定存取。防火牆的存取控制清單定義了允許存取和阻止存取的規則清單。

了解基於角色的存取控制RBAC模型的核心概念。 RBAC模型使用基於任務的角色，當管理員將使用者帳戶分配到角色或群組時，使用者講獲得特權。將使用者從角色中移除，將取消使用者透過角色成員所獲得的權限

了解基於規則的存取控制模型的核心概念。基於規則的存取控制模型使用一組規則、限製或篩選器來確定存取。防火牆的存取控制清單定義了允許存取和組織存取的規則列表

了解網路使用的單一登入方法。單一登入(SSO)是一種機制，允許主體僅經過一次身份認證便可存取多個物件而不必再次進行身份認證。安全斷言標記語言(SAML)是一種基於XML 的開放標準，用於交換身分認證和授權資訊。 OAuth 2.0是RFC 6749 中所述的授權框架，並得到許多線上網站的文持。 OASIS 維護 OpeniD 和 OpenlD CommecOIDC). OpenlD提供身分認證。 OIDC 使用 OAutb 框架並基於 OpenID 標準來提供身分認證和授權。

丁解基於屬性的存取控制（ABAC)模型的核心概念。 ABAC-模型是基於規則的存取控制模型的高級實現，使用基於屬性的規則。軟體定義網路(SDN)通常採用 ABAC 模型。

了解強制存取控制(MAC)模型的核心概念。 MAC 模型使用標籤來識別安全性域。主體需要具備相符的標籤才可以存取物件。 MAC 模式強制實施因需可知原則，並支援分層環境、分區環境或兩者組合而成的混合環境。 MAC 模型通常被稱為基於格的模型。

了解基於風險的存取控制模型的核心概念。基於風險的存取控制模型評估環境和情景，並依據基於軟體的安全策略做出決策。該模型可以基於多種因素來控制訪問，例如基於IP位址的用戶位置、用戶是否使用多重身份認證登入以及用戶所使用的設備。其高階實作可以使用機器學習來評估風險。

了解 Kerberos。 Kerberos 是組織最常用的單一登入方法。 Kerberos 的主要用途是身份認證，Kerberos 使用對稱密碼技術和票證水證明身份識別並提供身份認證。一合伺服器與網路時何協定ANTP)服務照在時間上保持同步，網路中所有客戶端在時間上保特同步。

了解AAa 協議的目的。一些AAA 協定提供集中的身份認證、授權和記帳服務。網路訪間(或遠端存取)系統使用 AAA 協定。例如，網路存取伺服器是 RADIUS伺服器的用戶端，RADIU'S 伺服器則提供 AAA 服務。 RADIUS 使用 UDP協議，並且僅對口令進行加密。 TACACS 使用TCP 協議，並加密整個會話。 Diameter 基於 RADIUS，並且改進了 RADIUS 的許多缺陷，但 Diameter 與 RADIUS 不相容。

了解特權提升。攻擊者攻破單一系統後，使用特權提昇技術來獲得額外特權。攻擊者往往先嘗試在攻陷的系統上獲得額外特權。然後，攻擊者還可存取網路中的其他系統，並嘗試獲得更高的特權。透過限制授子服務帳戶的特權，包括盡量減少sudo 帳戶的使用，可以降低一些特權提升攻擊的成功率。

了解哈希傳遞攻擊。哈希傳遞攻擊允許攻擊者利用捕獲的用戶口令哈希值(而不是用戶口令)來冒充用戶。哈希傳遞攻擊通常利用 NTLM 漏洞，但攻擊者也可以針對其他協定(包括Kerberos)發動類似的政擊。

了解 Kerberos 漏洞攻擊。 Kerberos 攻擊試圖利用 Kerberos 票證中的漏洞。在某些攻擊中，攻擊者會捕獲 lsas.exe 進程中已儲存的票證並發動票證傳遞攻擊。白銀票證授子攻擊者服務帳戶的所有權限。在取得 Kerberos 服務帳戶(KRBTGT)的口令雜湊值後，攻擊者可以建立黃金票證，從而在活動目錄中隨意建立票證。

了解暴力破解攻擊和字典攻擊的工作原理。針對被盜口令資料庫檔案或系統的登入提示找行的暴力破解攻擊和宇典攻擊，旨在取得口令。在暴力破解攻擊中，攻擊者追曆鍵盤字元的所有可能組合，而字典攻擊使用預先定義的可能口令清單。帳戶鎖定控制可以有效抵禦線上攻擊。

了解鹽和胡椒預防口令攻擊的工作原理。加鹽的方法在進行哈希計算之前向口令添加額外的位，有助於抵禦彩虹表攻擊。一些演算法，如 Argon2、borypt 和基於口令的金鑰衍生函數2PBKDF2)，加鹽並多次重複執行雜湊西數。鹽與口令雜湊值儲存在同一資料庫。胡椒是一個非常大的常數，可以進一步提高哈希口令的安全性，儲存在哈希口令的資料庫之外的某個地方。

了解嗅探攻擊。在嗅探攻擊(或窺探攻擊)中，攻擊者使用資料包擷取工具(如嗅探器或協定分析器)來擷取、分析和讀取網路所傳送的資料。攻擊者可以輕鬆讀取網路中以明文形式發送的數據，但若對傳輸數據實施加密，可以抵禦此類攻擊。

了解欺騙攻擊。欺騙是指偽裝成某物或其他人，可應用於各類攻擊，包括門禁攻擊。攻擊者經常試圖取得使用者的憑證，從而冒用其身分。欺騙攻擊包括電子郵件救騙、電話號碼欺騙和IP欺騙。許多網路釣魚攻擊使用欺騙方法。

1 下列哪一項最適當地描述了隱性拒絕原則？ A. 允許所有未明確拒絕的操作。 B. 所有未明確允許的行為均被拒絕。 C.必須明確拒絕所有行動。 D.以上都不是。

2.一個表格包括多個客體和主體，標識每個主體對不同客體的特定存取權。這個表格 叫什麼？ A. 存取控制列表 B. 存取控制矩陣 C.聯盟 D.特權蠕變

3 你正在仔細研究存取控制模型並希望實現一個模型，該模型允許物件所有者向其他使用者授予特權。下列哪一個存取控制模型符合此要求？ A. 強制存取控制(MAC)模型 B. 自主存取控制(DAC)模型 C．基於角色的存取控制(RBAC)模型 D.基於規則的存取控制模型

4.下列哪一個存取控制模型允許資料擁有者修改權限？ A. 自主存取控制(DAC) B. 強制存取控制(MAC) C．基於規則的存取控制 D.基於風險的存取控制

5.集中授權機構根據組織的層次結構來決定使用者可以存取哪些文件。以下哪一項最符合 這一點？ A. DAC模型 B. 存取控制清單(ACL) C.基於規則的存取控制模型 D. RBAC模型

6.下列關於 RBAC 模型的敘述正確的是？ A. RBAC模型允許使用者成為多個群組的成員。 B. RBAC模型允許使用者成為單一群組的成員。 C. RBAC模型不分層。 D.RBAC模型使用標籤。

7.你正在仔細研究不同的門禁控制模型。下列哪一項最能描述基於規則的存取控制模型？ A，使用單獨套用於使用者的本機規則。 B. 使用單獨套用於使用者的全域規則。 C.平等地使用適用於所有使用者的本地規則。 D.平等地使用適用於所有使用者的全域規則。

8你的組織正考慮在資料中心都署軟體定義網路(SDN）。 SDN 中常用的存取控制模型有哪些？ A.強制存取控制(MAC）模型 B. 基於屬性的存取控制(ABAC)模型 C.基於角色的存取控制(RBAC)模型 D.自主存取控制(DAC)模型

9 MAC模型支援不同類型的環境。針對具體標籤，下列哪一項透過分配預定義標籤支援使用者存取權限？ A．分區環境 B. 分層環境 C.集中式環境 D.混合環境

10. 下列哪一個存取控制模型標識出攜帶標籤的主體的存取上限和下限？ A. 非自主存取控制 B.強制存取控制(MAC) C.自主存取控制(DAC) D.基於屬性的存取控制(ABAC)

11.下列哪一個存取控制模型使用標籤，且通常稱為基於格的模型？ A. DAC B. 非自主 C. MAC D. RBAC

12. 管理階層希望使用者在存取雲端資源時使用多因素身份認證。下列哪一個存取控制模型可以滿足此要求？ A. 基於風險的存取控制 B. 強制存取控制(MAC) C.基於角色的存取控制(RBAC) D. 自主存取控制(DAC)

13.下列哪一種存取控制模型會根據環境和情境來決定存取權限？ A. 基於風險的存取控制 B. 強制存取控制(MAC) C. 基於角色的存取控制(RBAC) D.基於屬性的存取控制(ABAC)

14. 一家雲端服務供應商己使用 JSON Web 令牌實現 SSO 技術。令牌提供身份認證資訊並包括使用者設定檔。下列哪一項最能辨識該技術？ A. OIDC B. OAuth C. SAML D. OpenID

15. 你網路中的一些使用者在使用 Kerberos 伺服器進行身份認證時遇到了問題。在解決問題時，你確認自己可以登入常用的工作電腦。但是，你無法使用自己的憑證登入使用者電腦。下列哪一項最可能解決這個問題？ A. 高級加密標準(AES) B. 網路存取控制(VAC) C．安全斷言標記語言(SAML) D.網路時間協定(NTP)

16 你的組織有支援數千名員工的大型網絡，並且使用Kerberos。下列哪一項是主要用途？ A．保密性 B. 完整性 C. 身份認證 D.問責制

17. RADIUS 架構中網路存取伺服器的作用是什麼？ A. 認證伺服器 B. 客戶端 C.AAA 伺服器 D.防火牆

18. Larry 管理一台 Linux 伺服器。 Lary 有時需要執行 root 等級特權的指令。如果攻擊者攻破 Larry 的帳戶，管理階層希望確保攻擊者無法執行 root 等級特權的指令。下列哪一個是最佳選擇？ A. 授子 Larry sudo 存取權限。 B. 給Larry root 口令。 C.將Larry 的帳號加入管理員群組。 D.將Larry的帳戶加入 LocalSystem 帳戶。

19. 攻擊者使用工具利用 NTLM 中的漏洞。他們識別出管理員的帳號。儘管沒有取得管理員的口令，但攻擊者確實透過冒充管理員存取了遠端系統。下列哪一項最能描述這種攻擊？ A. 票證傳遞 B. 黃金票證 C.彩虹表 D.哈希傳遞

20.你的組織服近遭受了重大資料外洩。經過調查，安全分析師發現攻擊者正在使用黃金票證來存取網路資源。攻擊者利用哪一項中的漏洞？ A. RADIUS B. SAML C. Kerberos D. OIDC