网络安全70299题库中文版Word文档格式.docx

网络安全70299题库中文版Word文档格式.docx

《网络安全70299题库中文版Word文档格式.docx》由会员分享，可在线阅读，更多相关《网络安全70299题库中文版Word文档格式.docx（132页珍藏版）》请在冰豆网上搜索。

网络由一个独立的名叫的活动目

录森林组成。

所有的服务器要么运行WindowsServer2003，要么运行Windows2000Server。

而所有的域控制者运行WindowsServer2003，所有的客户计算机运行WindowsXP专业版。

TestK使用一部MicrosoftExchangeServer2003的计算机。

在网络内部的用户利

用MicrosoftOutlook连接到ExchangeServer2003。

TestK目前不支持用户经由Internet

与客户交换电子邮件。

你的公司根据对ExchangeServer2003计算机的放置要满足下列要求来

更新它的书面安全策略：

1.在英特网上的客户不能直接地连接到网络内部的任何一台计算机上。

2.允许通过防火墙设备的端口和协议的数目必须被减到最少。

现在，你需要根据公司上述的书面安全要求来放置计算机。

1

GeneratedbyFoxitPDFCreator©

FoxitSoftware

Forevaluationonly.

3.你是TestK的一位安全管理人。

网络由一个独立的名叫的活动目

所有的服务器运行WindowsServer2003，而所有的客户计算机运行Windows

终端服务运行在四个WindowsServer2003的计算机上，名叫RemoteApplication的组的成员需

要利用终端服务来获得（access）应用。

你给RemoteApplication组分配对于应用文件夹合适

的NTFS许可和在终端服务器上的合适的RDP-Tcp连接许可。

目前没有用户有权连接到终端

服务器。

你需要给RemoteApplication组的用户分配对获得应用必要的最少的权利。

2

你应该如何来设置终端服务器？

A.应用一个安全模板来分配从网络上访问这台计算机的权利给RemoteApplication组

B.应用一个安全模板来分配本地登录的许可权利给RemoteApplication组

C.应用一个安全模板来分配将登录当作服务的权利给RemoteApplication组

D.应用一个安全模板来分配通过终端服务器登录的许可权利给RemoteApplication组

第一部分.计划基于计算机角色的安全模板，计算机角色包括：

SQLServer，

MicrosoftExchangeServer，域控制器，IASServer，IISServer。

（9个问题）

1．你是TestK的安全系统管理师。

网络有名为的单一活动目录域。

域包含WindowsServer2003计算机和WindowsXP专业版客户端计算机。

所有的

计算机是域的成员。

一台名为TestKing3的WindowsServer2003计算机运行证书服务。

TestKing3是一个企业下级CA。

一台名为TestKing2的WindowsServer2003计算机运行IIS，

TestKing2主管一个关于雇员的人力资源WEB站点，你想确保雇员的个人数据在网络中传输

时不被暴露，你决定在TestKing2上使用SSL。

当使用SSL连接到WEB站点时你需要确保雇员

没有接收到相关证书的安全警报。

除非必须这么做，否则你想在不花费钱购买证书的情况下

达到这个目的。

你应该怎么做？

A．使用IIS向商业CA提交证书请求。

B．使用IIS向TestKing3提交证书请求。

C．使用证书控制台向商业CA提交客户证书请求。

D．使用证书控制台向TestKing3提交客户证书请求。

B

所有的服务器运行WindowsServer2003。

所有的服务器在一个名叫Servers的

OU中，或在被包含在ServersOU里的OU中。

基于最近的安全报告信息，你想应用来自一

个名叫Messenger.info的安全模板的设置到所有的服务器上，而Messenger服务就是在这些

服务器上被启动的。

你不想应用在这些设置到那些没有启动Messenger服务的服务器上。

你

同样不想将服务器移到外部的OU中去。

因此你需要将Messenger.inf安全模板应用到合适的

服务器上。

A.导入Messenger.info安全模板到一个GPO,并连接此GPO到服务器OU。

在GPO

中设置管理AdministrativeTemplates过滤。

B.导入Messenger.info安全模板到一个GPO,并连接此GPO到服务器OU。

配置一个

窗口管理器（WindowsManagementInstrumentation（WMI））为此GPO过滤

C.在一个GPO中设置登录脚本,并连接此GPO到服务器OU。

设置此脚本运行gpupd

ate指令如果Messenger正在运行。

D.编辑Messenger.info安全模板Messenger服务的启动模式为自动模式，然后运行secedi

t/refreshpolicy指令。

所有的服务器运行WindowsServer2003，而所有的客户计算机运行Windows

在这个域中有八个Windows2003的计算机，并且这些计算机被用于储存机

密文件。

它们被放在一个只有IT行政部门的人员才有获取通道的数据中心。

你需要限制来

3

自一个名叫Contractors的组的成员连接到文件编档服务器电脑上。

所有其他的职工需要这些

计算机。

A.应用一个安全模板到文件编档服务器电脑，这台计算机分配来自网络的电脑的Access访

问权利给DomainUsers组

B.应用一个安全模板到文件编档服务器电脑，这台计算机分配对来自网络的电脑的Deny访

问权利给Contractors组

C.应用一个安全模板到文件编档服务器电脑，这台计算机分配本地登录的Access访问权利

给DomainUsers组。

D.应用一个安全模板到文件编档服务器电脑，这台计算机分配本地登录的Deny访问权利给

Contractors组

4.你是TestK的一位安全管理人。

TestK域包括WindowsServer2003的计算机和WindowsXPProfessional的

客户计算机。

所有的计算机都是这个域内的用户。

TestK公司的职员用户帐户是客户计算机上的Administrators当地组的成员。

你会偶

尔经历管理客户计算机时碰到问题，这是因为一个职员在计算机上从Administration本地组中

除去了DomainAdmins全局组。

你需要组织职员在客户计算机上这样做。

A.应用一个安全模板到利用Restricted组s建立DomainAdmins全局组使之成为Administrators

本地组一员的客户计算机上。

B.应用一个安全模板到利用Restricted组s建立DomainAdmins全局组使之成为Administr

ators本地组一员的域控制计算机上。

C．通过分配Allow-FullControl协议给DomainAdmins全局组来修改DomainAdmins全

局组

D．通过分配Deny-FullControl协议给DomainAdmins全局组来修改DomainAdmins全局

组

A

5.你是TestK的一位安全管理人。

网络由两个活动目录域组成。

这些各自包含了

独立的活动目录森林。

domain起初被用于支持公司职员。

名叫bar.biz的域被用于

支持公司客户。

所有域的功能层是WindowsServer2003间歇（interim）模式。

存在一个单方

面的外部信任关系，在这个关系中域信任bar.biz域。

一台名叫TestKing3的

WindowsServer2003的计算机是bar.biz域中的一员。

TestKing3为客户提供对MicrosoftSQL

Server2000数据库的访问通路。

客户使用的客户帐户存放在TestKing3上的本地帐户数据库

中。

所有的客户帐户属于一个名叫Customers的本地计算机组中。

SQL服务器被设置成使用

WindowsIntegrated认证。

TestK拥有附加的存放在三台WindowsServer2003的计算机

上的SQLServer2000数据库。

这些计算机是域的成员。

TestKing的书面安全策略

声明：

客户帐户必须存放于bar.biz域的计算机上。

你需要设计一个策略来为客户提供对附加

数据库的访问。

你想用最小量的管理努力来达到这个目标。

A.为每个客户在bar.biz活动目录域中创建一个新的用户帐户。

在bar.biz域中创建一个通

用组（universal组）。

添加新的客户域用户帐户使成为这个新的通用组的成员。

给这个组分

配访问数据库的许可。

B。

为每个客户在bar.biz活动目录域中创建一个新的用户帐户。

在bar.biz域中创建一个全

局组（全局组）。

添加新的客户域用户帐户使成为这个新的全局组的成员。

给这个组分配

访问数据库的许可。

4

C．为每个客户在活动目录域中创建一个新的用户帐户。

在域中

创建一个全局组（全局组）。

给

这个组分配访问数据库的许可。

D。

.为每个客户在活动目录域中创建一个新的用户帐户。

6.你是TestK的一位安全管理人。

网络由一个独立的名叫的活动目录

域组成。

四台WindowsServer2003计算机运行IIS，并且作为Internet上的Web服务器。

TestKing

的书面安全策略声明那些从Internet上可以接近//访问（accessible）的计算机必须被加强以免

被攻击。

加强这些计算机的程序包括使不必要的服务失去（服务）能力。

你利用下面的关于

Web服务器的信息来评估哪些服务是必要的。

（1）客户和商务合伙人获取在Web服务器上的Web内容在他们利用用户名和密码被认证之

后。

（1）所有的软件都能利用可移除的媒介被本地安装在Web服务器上，除了服务包和安全补

丁。

（2）Web服务器从运行SoftwareUpdateServices（SUS）的一台内部计算机上自动下载服务包

和安全补丁。

（3）Web服务器不运行其他任何作用。

你需要为Web服务器创建一个安全模板来摧毁不必

要的服务并且允许必要的服务运行。

拖动合适的服务启动类型到工作区中正确的位置。

5

7.你是TestK的一位安全管理人。

所有的计算机被设置成使用AutomaticUpdates来安装更新而不用用户干涉。

更新被预定在非

高峰期进行。

在一个安全审核中，你发现一些客户计算机在规定的basis中没有接收更新。

检验运行在所有客户计算机上的AutomaticUpdates，并且你核实用户不能修改Automatic

Updates的设置。

你需要确定在你们网络上的计算机都能接收到所有的更新。

A.为预定的AutomaticUpdatesInstallations设置启动Noauto-restart

B.使SpecifyintranetMicrosoft更新服务区域设置有效

C.使Remove通路使用所有的WindowsUpdate的特征设置。

D.使RescheduleAutomaticUpdates被预定安装设置。

答案:

8.你是TestK的一位安全管理人。

网络由七个活动目录域组成。

这些域在同一个

活动目录森林中，所有的这七个活动目录域运行在一个WindowsServer2003域的功能层。

每个域包含一个向TestKing的经理们公布信息的内部Web网点。

对这些在内部Web网点上的

信息不允许对经理们加以访问限制。

在每个域中的一个现有的全球的组包含了存在于那个域

中的管理用户帐户。

你需要对TestKing的经理们限制对内部Web网点的访问。

你需要用最小的管理花费来达到

这个目标。

A．在7个活动目录域中的一个域里创建一个通用组。

添加已有的管理全局组使之成为这个

通用组的成员。

仅仅分配这个通用组许可来访问Web网点。

B．在7个活动目录域中的一个域里创建一个全局组。

添加已有的组使之成为这个全局组的

成员。

仅仅分配这个全局组许可来访问Web网点

C．在7个活动目录域中的一个域里创建一个domainlocal组。

添加已有的管理全局组使之

成为这个domainlocal组的成员。

仅仅分配这个domainlocal组许可来访问Web网点

D．仅仅分配这个已有的管理全局组许可来访问Web网点

6

9.你是TestK的一位安全管理人。

网络由两个活动目录森林组成，他们的名称分

别是和。

所有的服务器运行WindowsServer2003，而所有

的客户计算机运行WindowsXPProfessional。

网络由一个IEEE802.11b的无线局域网构成。

职

工和外部用户使用WLAN。

职工的用户帐户位于森林，而外部用户的帐户位于

森林中。

外部用户的计算机没有森林中的计算机帐户。

为增强安全，你升级网络硬件以便支持IEEE802.1x。

你设置一个publickeyinfrastructure

（PKI），并发行客户认证证书给职员以及被职员们使用的计算机，也给外部用户。

你需要设

置

无线局域网WLAN来对职员和外部用户进行认证。

A．设置每个无线接入口来转发RADIUS的到一个运行因特网认证服务（IAS）的服务器的请求。

一个连接请求策略来转发到合适的域的请求。

B．设置每个无线接入口来转发到一个在森林中的因特网认证服务（IAS）的服务器

的请求。

设置森林中的IAS服务器使用Tunnel-Server-Endpt属性。

C．利用ConnectionManagerAdministrationKit（CMAK），为外部用户设置一个。

为职员设置

另一个连接profile。

、

D．在森林和森林之间建立一个森林信任关系。

第二部分：

配置安全模板（2个问题）

所有的计算机都是这个域内的成员。

TestK利用一个惯用的应用来跟踪服务桌面调用。

你收到一个描述了客户应用中的弱

点（易受攻击点）安全公告。

为了修复这个弱点，你需要为每个用户改变他们的注册子树中

的一个值。

每个用户只需要在注册表键值上的那些必须要被改变的许可。

你需要确定对每个用户来讲，当他们下次登录到网站时他们的注册表值已经改变了。

你应该

怎么做？

A．创建一个脚本来改变注册表值。

指定这个脚本作为所有域用户帐户的注册脚本。

B．创建一个脚本来改变注册表值。

在一个应用于所有用户的组PolicyObject（GPO）中指定

这个计算机启动脚本作为用户登录脚本。

C．创建一个脚本来改变注册表值。

在一个应用于所有客户计算机的GPO中指定这个计算机

启动脚本作为用户登录脚本。

D．添加注册表值到一个应用于所有用户的组PolicyObject（GPO）的管理模板部分。

E．输出注册表值到一个名叫appfix.reg的注册表文件中。

在为每个用户的Startup组中，创建

一个到注册表编辑器（regedit.exe）或appfix.reg指令的快捷方式。

网络由一个独立的名叫活动目录

而

所有的客户计算机运行WindowsXPProfessional。

TestKing的书面安全策略声明：

当一个未

被授权的用户企图猜测用户的密码时用户的帐户必须被锁定。

当前的帐户策略使得当一个用

户在5分钟之内两次输入无效的密码之后将不能再进入了（被关在外面）。

直到这个帐户被

管理员重新设置了，否则这个用户将会保持“被关在外面”的状态。

用户频繁地调用帮助

桌面，来使得他们的帐户不被锁。

与帐户被锁的桌面调用（Calls）占到了帮助桌面调用的25%。

你需要降低与帐户被锁有关的帮助桌面调用的总数量，你应该怎么做？

7

A．修改DefaultDomainControllersPolicy组Policyobject（GPO），增加每个服务的tickets的

最大有效时间。

B．修改DefaultDomainControllersPolicy组Policyobject（GPO），设置被锁帐户极限为10。

C．修改DefaultDomainCont