网络安全的实现和管理 70299题库.docx
《网络安全的实现和管理 70299题库.docx》由会员分享,可在线阅读,更多相关《网络安全的实现和管理 70299题库.docx(143页珍藏版)》请在冰豆网上搜索。
网络安全的实现和管理70299题库
Microsoft70-299
网络安全的实现和管理
主题1,实现、管理和配置安全策略(总数:
52个问题)(3个问题)
1.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
所有的服务器运行WindowsServer2003,而所有的客户计算机运行Windows
XPProfessional。
一些客户计算机被配置成访客和职员使用的kiosk计算机。
通过使用GPOs
来管理kiosk计算机,并且GPOs强制实施一个安全设置。
很多用户天天登录这些计算机。
你需要重新核查这个安全审核的结果。
当你发现某些已经登录的用户掉线的时候,你需要确
定安全设置一直在运行。
你应该做什么?
A.应用Securews.inf安全模板到kiosk计算机上。
B.在kiosk计算机上设置默认的用户配置文件使之成为强制用户配置文件。
C.编辑管理kiosk计算机的GPO,使第二次的登录服务失效。
D.编辑管理kiosk计算机的GPO,并启动回送处理功能。
答案:
D
2.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录森林组成。
所有的服务器要么运行WindowsServer2003,要么运行Windows2000Server。
而所有的域控制者运行WindowsServer2003,所有的客户计算机运行WindowsXP专业版。
TestK使用一部MicrosoftExchangeServer2003的计算机。
在网络内部的用户利
用MicrosoftOutlook连接到ExchangeServer2003。
TestK目前不支持用户经由Internet
与客户交换电子邮件。
你的公司根据对ExchangeServer2003计算机的放置要满足下列要求来
更新它的书面安全策略:
1.在英特网上的客户不能直接地连接到网络内部的任何一台计算机上。
2.允许通过防火墙设备的端口和协议的数目必须被减到最少。
现在,你需要根据公司上述的书面安全要求来放置计算机。
答案:
GeneratedbyFoxitPDFCreator©FoxitSoftware
Forevaluationonly.
3.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
所有的服务器运行WindowsServer2003,而所有的客户计算机运行Windows
XPProfessional。
终端服务运行在四个WindowsServer2003的计算机上,名叫RemoteApplication的组的成员需
要利用终端服务来获得(access)应用。
你给RemoteApplication组分配对于应用文件夹合适
的NTFS许可和在终端服务器上的合适的RDP-Tcp连接许可。
目前没有用户有权连接到终端
服务器。
你需要给RemoteApplication组的用户分配对获得应用必要的最少的权利。
你应该如何来设置终端服务器?
A.应用一个安全模板来分配从网络上访问这台计算机的权利给RemoteApplication组
B.应用一个安全模板来分配本地登录的许可权利给RemoteApplication组
C.应用一个安全模板来分配将登录当作服务的权利给RemoteApplication组
D.应用一个安全模板来分配通过终端服务器登录的许可权利给RemoteApplication组
答案:
D
第一部分.计划基于计算机角色的安全模板,计算机角色包括:
SQLServer,
MicrosoftExchangeServer,域控制器,IASServer,IISServer。
(9个问题)
1.你是TestK的安全系统管理师。
网络有名为的单一活动目录域。
域包含WindowsServer2003计算机和WindowsXP专业版客户端计算机。
所有的
计算机是域的成员。
一台名为TestKing3的WindowsServer2003计算机运行证书服务。
TestKing3是一个企业下级CA。
一台名为TestKing2的WindowsServer2003计算机运行IIS,
TestKing2主管一个关于雇员的人力资源WEB站点,你想确保雇员的个人数据在网络中传输
时不被暴露,你决定在TestKing2上使用SSL。
当使用SSL连接到WEB站点时你需要确保雇员
没有接收到相关证书的安全警报。
除非必须这么做,否则你想在不花费钱购买证书的情况下
达到这个目的。
你应该怎么做?
A.使用IIS向商业CA提交证书请求。
B.使用IIS向TestKing3提交证书请求。
C.使用证书控制台向商业CA提交客户证书请求。
D.使用证书控制台向TestKing3提交客户证书请求。
答案:
B
2.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
所有的服务器运行WindowsServer2003。
所有的服务器在一个名叫Servers的
OU中,或在被包含在ServersOU里的OU中。
基于最近的安全报告信息,你想应用来自一
个名叫Messenger.info的安全模板的设置到所有的服务器上,而Messenger服务就是在这些
服务器上被启动的。
你不想应用在这些设置到那些没有启动Messenger服务的服务器上。
你
同样不想将服务器移到外部的OU中去。
因此你需要将Messenger.inf安全模板应用到合适的
服务器上。
你应该怎么做?
A.导入Messenger.info安全模板到一个GPO,并连接此GPO到服务器OU。
在GPO
中设置管理AdministrativeTemplates过滤。
B.导入Messenger.info安全模板到一个GPO,并连接此GPO到服务器OU。
配置一个
窗口管理器(WindowsManagementInstrumentation(WMI))为此GPO过滤
C.在一个GPO中设置登录脚本,并连接此GPO到服务器OU。
设置此脚本运行gpupd
ate指令如果Messenger正在运行。
D.编辑Messenger.info安全模板Messenger服务的启动模式为自动模式,然后运行secedi
t/refreshpolicy指令。
答案:
B
3.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
所有的服务器运行WindowsServer2003,而所有的客户计算机运行Windows
XPProfessional。
在这个域中有八个Windows2003的计算机,并且这些计算机被用于储存机
密文件。
它们被放在一个只有IT行政部门的人员才有获取通道的数据中心。
你需要限制来
自一个名叫Contractors的组的成员连接到文件编档服务器电脑上。
所有其他的职工需要这些
计算机。
你应该怎么做?
A.应用一个安全模板到文件编档服务器电脑,这台计算机分配来自网络的电脑的Access访
问权利给DomainUsers组
B.应用一个安全模板到文件编档服务器电脑,这台计算机分配对来自网络的电脑的Deny访
问权利给Contractors组
C.应用一个安全模板到文件编档服务器电脑,这台计算机分配本地登录的Access访问权利
给DomainUsers组。
D.应用一个安全模板到文件编档服务器电脑,这台计算机分配本地登录的Deny访问权利给
Contractors组
答案:
B
4.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
TestK域包括WindowsServer2003的计算机和WindowsXPProfessional的
客户计算机。
所有的计算机都是这个域内的用户。
TestK公司的职员用户帐户是客户计算机上的Administrators当地组的成员。
你会偶
尔经历管理客户计算机时碰到问题,这是因为一个职员在计算机上从Administration本地组中
除去了DomainAdmins全局组。
你需要组织职员在客户计算机上这样做。
你应该怎么做?
A.应用一个安全模板到利用Restricted组s建立DomainAdmins全局组使之成为Administrators
本地组一员的客户计算机上。
B.应用一个安全模板到利用Restricted组s建立DomainAdmins全局组使之成为Administr
ators本地组一员的域控制计算机上。
C.通过分配Allow-FullControl协议给DomainAdmins全局组来修改DomainAdmins全
局组
D.通过分配Deny-FullControl协议给DomainAdmins全局组来修改DomainAdmins全局
组
答案:
A
5.你是TestK的一位安全管理人。
网络由两个活动目录域组成。
这些各自包含了
独立的活动目录森林。
domain起初被用于支持公司职员。
名叫bar.biz的域被用于
支持公司客户。
所有域的功能层是WindowsServer2003间歇(interim)模式。
存在一个单方
面的外部信任关系,在这个关系中域信任bar.biz域。
一台名叫TestKing3的
WindowsServer2003的计算机是bar.biz域中的一员。
TestKing3为客户提供对MicrosoftSQL
Server2000数据库的访问通路。
客户使用的客户帐户存放在TestKing3上的本地帐户数据库
中。
所有的客户帐户属于一个名叫Customers的本地计算机组中。
SQL服务器被设置成使用
WindowsIntegrated认证。
TestK拥有附加的存放在三台WindowsServer2003的计算机
上的SQLServer2000数据库。
这些计算机是域的成员。
TestKing的书面安全策略
声明:
客户帐户必须存放于bar.biz域的计算机上。
你需要设计一个策略来为客户提供对附加
数据库的访问。
你想用最小量的管理努力来达到这个目标。
你应该怎么做?
A.为每个客户在bar.biz活动目录域中创建一个新的用户帐户。
在bar.biz域中创建一个通
用组(universal组)。
添加新的客户域用户帐户使成为这个新的通用组的成员。
给这个组分
配访问数据库的许可。
B。
为每个客户在bar.biz活动目录域中创建一个新的用户帐户。
在bar.biz域中创建一个全
局组(全局组)。
添加新的客户域用户帐户使成为这个新的全局组的成员。
给这个组分配
访问数据库的许可。
C.为每个客户在活动目录域中创建一个新的用户帐户。
在域中
创建一个全局组(全局组)。
添加新的客户域用户帐户使成为这个新的全局组的成员。
给
这个组分配访问数据库的许可。
D。
.为每个客户在活动目录域中创建一个新的用户帐户。
在域中
创建一个全局组(全局组)。
添加新的客户域用户帐户使成为这个新的全局组的成员。
给
这个组分配访问数据库的许可。
答案:
B
6.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目录
域组成。
四台WindowsServer2003计算机运行IIS,并且作为Internet上的Web服务器。
TestKing
的书面安全策略声明那些从Internet上可以接近//访问(accessible)的计算机必须被加强以免
被攻击。
加强这些计算机的程序包括使不必要的服务失去(服务)能力。
你利用下面的关于
Web服务器的信息来评估哪些服务是必要的。
(1)客户和商务合伙人获取在Web服务器上的Web内容在他们利用用户名和密码被认证之
后。
(1)所有的软件都能利用可移除的媒介被本地安装在Web服务器上,除了服务包和安全补
丁。
(2)Web服务器从运行SoftwareUpdateServices(SUS)的一台内部计算机上自动下载服务包
和安全补丁。
(3)Web服务器不运行其他任何作用。
你需要为Web服务器创建一个安全模板来摧毁不必
要的服务并且允许必要的服务运行。
你应该怎么
拖动合适的服务启动类型到工作区中正确的位置。
答案:
7.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
所有的服务器运行WindowsServer2003,而所有的客户计算机运行Windows
XPProfessional。
所有的计算机被设置成使用AutomaticUpdates来安装更新而不用用户干涉。
更新被预定在非
高峰期进行。
在一个安全审核中,你发现一些客户计算机在规定的basis中没有接收更新。
你
检验运行在所有客户计算机上的AutomaticUpdates,并且你核实用户不能修改Automatic
Updates的设置。
你需要确定在你们网络上的计算机都能接收到所有的更新。
你应该怎么做?
A.为预定的AutomaticUpdatesInstallations设置启动Noauto-restart
B.使SpecifyintranetMicrosoft更新服务区域设置有效
C.使Remove通路使用所有的WindowsUpdate的特征设置。
D.使RescheduleAutomaticUpdates被预定安装设置。
答案:
D
8.你是TestK的一位安全管理人。
网络由七个活动目录域组成。
这些域在同一个
活动目录森林中,所有的这七个活动目录域运行在一个WindowsServer2003域的功能层。
每个域包含一个向TestKing的经理们公布信息的内部Web网点。
对这些在内部Web网点上的
信息不允许对经理们加以访问限制。
在每个域中的一个现有的全球的组包含了存在于那个域
中的管理用户帐户。
你需要对TestKing的经理们限制对内部Web网点的访问。
你需要用最小的管理花费来达到
这个目标。
你应该怎么做?
A.在7个活动目录域中的一个域里创建一个通用组。
添加已有的管理全局组使之成为这个
通用组的成员。
仅仅分配这个通用组许可来访问Web网点。
B.在7个活动目录域中的一个域里创建一个全局组。
添加已有的组使之成为这个全局组的
成员。
仅仅分配这个全局组许可来访问Web网点
C.在7个活动目录域中的一个域里创建一个domainlocal组。
添加已有的管理全局组使之
成为这个domainlocal组的成员。
仅仅分配这个domainlocal组许可来访问Web网点
D.仅仅分配这个已有的管理全局组许可来访问Web网点
答案:
A
9.你是TestK的一位安全管理人。
网络由两个活动目录森林组成,他们的名称分
别是和。
所有的服务器运行WindowsServer2003,而所有
的客户计算机运行WindowsXPProfessional。
网络由一个IEEE802.11b的无线局域网构成。
职
工和外部用户使用WLAN。
职工的用户帐户位于森林,而外部用户的帐户位于
森林中。
外部用户的计算机没有森林中的计算机帐户。
为增强安全,你升级网络硬件以便支持IEEE802.1x。
你设置一个publickeyinfrastructure
(PKI),并发行客户认证证书给职员以及被职员们使用的计算机,也给外部用户。
你需要设
置
无线局域网WLAN来对职员和外部用户进行认证。
你应该怎么做?
A.设置每个无线接入口来转发RADIUS的到一个运行因特网认证服务(IAS)的服务器的请求。
一个连接请求策略来转发到合适的域的请求。
B.设置每个无线接入口来转发到一个在森林中的因特网认证服务(IAS)的服务器
的请求。
设置森林中的IAS服务器使用Tunnel-Server-Endpt属性。
C.利用ConnectionManagerAdministrationKit(CMAK),为外部用户设置一个。
为职员设置
另一个连接profile。
、
D.在森林和森林之间建立一个森林信任关系。
答案:
A
第二部分:
配置安全模板(2个问题)
1.你是TestK的一位安全管理人。
网络由一个独立的名叫的活动目
录域组成。
TestK域包括WindowsServer2003的计算机和WindowsXPProfessional的
客户计算机。
所有的计算机都是这个域内的成员。
TestK利用一个惯用的应用来跟踪服务桌面调用。
你收到一个描述了客户应用中的弱
点(易受攻击点)安全公告。
为了修复这个弱点,你需要为每个用户改变他们的注册子树中
的一个值。
每个用户只需要在注册表键值上的那些必须要被改变的许可。
你需要确定对每个用户来讲,当他们下次登录到网站时他们的注册表值已经改变了。
你应该
怎么做?
A.创建一个脚本来改变注册表值。
指定这个脚本作为所有域用户帐户的注册脚本。
B.创建一个脚本来改变注册表值。
在一个应用于所有用户的组PolicyObject(GPO)中指定
这个计算机启动脚本作为用户登录脚本。
C.创建一个脚本来改变注册表值。
在一个应用于所有客户计算机的GPO中指定这个计算机
启动脚本作为用户登录脚本。
D.添加注册表值到一个应用于所有用户的组PolicyObject(GPO)的管理模板部分。
E.输出注册表值到一个名叫appfix.reg的注册表文件中。
在为每个用户的Startup组中,创建
一个到注册表编辑器(regedit.exe)或appfix.reg指令的快捷方式。
答案:
D
2.你是TestK的一位安全管理人。
网络由一个独立的名叫活动目录
域组成。
所有的服务器要么运行WindowsServer2003,要么运行Windows2000Server。
而
所有的客户计算机运行WindowsXPProfessional。
TestKing的书面安全策略声明:
当一个未
被授权的用户企图猜测用户的密码时用户的帐户必须被锁定。
当前的帐户策略使得当一个用
户在5分钟之内两次输入无效的密码之后将不能再进入了(被关在外面)。
直到这个帐户被
管理员重新设置了,否则这个用户将会保持“被关在外面”的状态。
用户频繁地调用帮助
桌面,来使得他们的帐户不被锁。
与帐户被锁的桌面调用(Calls)占到了帮助桌面调用的25%。
你需要降低与帐户被锁有关的帮助桌面调用的总数量,你应该怎么做?
A.修改DefaultDomainControllersPolicy组Policyobject(GPO),增加每个服务的tickets的
最大有效时间。
B.修改DefaultDomainControllersPolicy组Policyobject(GPO),设置被锁帐户极限为10。
C.修改DefaultDomainControllersPolicy组Policyobject(GPO),使用户登录限制的执行失
效。
D.修改DefaultDomainControllersPolicy组Policyobject(GPO),增加密码的最长生命时间。
答案:
B
子部分,配置.pl文件(1个问题)
1.你是TestK的一位安全管理人。
网络由一个独立的名叫活动目录
域组成。
所有的服务器运行WindowsServer2003。
而所有的客户计算机要么运行Windows
XPProfessional要么运行WindowsNTWorkstation4.0。
TestKing的书面安全策略声明:
所有的
用户在使用任何一台客户计算机之前必须回发一个合法的消息。
你需要设置网络以确定所有
的客户计算机遵从书面安全策略。
你应该采取下面的哪2个行动?
(每个答案只解决方案的
一部分,你需要选择2个答案)
A.创建一个新GPO并且连接它到一个OU。
设置GPO来显示合法的消息。
将所有的Windows
XPProfessional计算机置于这个OU中。
B.创建一个新GPO并且连接它到一个OU。
设置GPO来显示合法的消息。
将所有的Windows
NTWorkstation4.0计算机置于这个OU中。
C.修改ModifytheDefaultControllersPolicyGPO,通过设置它来显示合法消息。
D.创建一个Config.pol文件来显示合法消息,将这个文件放在SYSVOL的共享文件夹中。
E.创建一个Config.pol文件来显示合法消息,将这个文件放在NETLOGIN的共享文件夹中。
答案:
A,E
子部分,配置审核策略(7个问题)
1.你是TestK的一位安全管理人。
网络由一个独立的名叫活动目录
域组成。
这个网络里包含几台被设置成的WindowsServer2003计算机。
TestK的书面
安全策略声明:
安全管理员必须保持一个用户何时登录到FTP服务器的记录。
你创建一个新
的安全模板来强迫执行书面安全策略。
你需要设置模板来遵从书面安全策略,你应该怎么
做?
答案:
2.你是TestK的一位安全管理人。
网络由一个独立的名叫活动目录
域组成。
域包含WindowsServer2003的计算机和WindowsXPProfessional的
客户计算机。
公司里的一些服务器是文件服务器。
这些文件服务器包含了在销售和市场部门
用户的共享文件。
这些文
升级会员 