selftest.docx
《selftest.docx》由会员分享,可在线阅读,更多相关《selftest.docx(19页珍藏版)》请在冰豆网上搜索。
selftest
第一章
1.如图:
你是的安全管理员。
S有一个子公司。
所有服务器运行WindowsServer2003。
所有客户机运行WindowsXPProfessional。
网络由两个叫做和的活动目录林组成。
在和之间配置了一个双向林信任关系。
配置为信任的信任关系被配置为使用选择性身份验证。
在林中的用户报告说他们不能在林中一个叫做shixun3的服务器上的叫做shixunprinter1的打印机上打印。
用户还报告说当他们试图连接shixunprinter1时,提示他们输入用户名和密码。
你检查printer1上的访问控制列表(ACL)。
访问控制列表(ACL)如图所示。
你需要确认公司的用户可以使用shixunprinter1。
你该怎么做?
A.为域中的身份验证过的用户指定对shixunprinter1的允许-打印权限。
B.把域中的用户主体名称(UPN)路由配置为排除后缀。
C.编辑域信任域的信任关系。
把信任关系配置为选择性身份验证。
D.为域中的域用户组分配对shixun3的身份验证的可允许权限。
答案:
D
2.网络拓扑如图
你是的安全管理员。
网络由两个叫做和的活动目录域。
这些域位于相同的活动目录林中。
S活动目录域在一个Windows2000混合模式域功能级别下进行操作。
F活动目录域在一个Windows2000本机域功能级别下进行操作。
一个叫做shixunapp的应用程序运行在四台WindowsServer2003计算机上。
这些计算机是AD域中的域成员服务器。
S和域中的被授权用户要求访问shixunapp。
网络拓扑如图所示。
公司要求你设计一个授权模式来控制用户对shixunapp的访问。
你打算把的用户帐户放在一个叫做shixunappusers的组中,把的用户帐户放在一个叫做fubarappusers的组中。
你打算使用一个叫做
Appresources的组来分配允许访问shixunapp的权限。
你需要选择合适类型的组来执行你的计划。
你应该选择哪三种类型的组?
(每个答案代表了部分解决方法。
选择三个)
A.使用域中叫做shixunappusers的全局组。
B.使用域中叫做shixunappusers的域本地组。
C.使用域中叫做fubarappusers的全局组。
D.使用域中叫做fubarappusers的域本地组。
E.使用包含shixunappusers和fubarappusers的域中叫做appresources的全局组。
F.使用包含shixunappusers和fubarappusers的域中叫做
appresources的全局组。
G.使用包含shixunappusers和fubarappusers的域中叫做appresources的域本地组。
H.使用包含shixunappusers和fubarappusers的域中叫做
appresources的域本地组。
答案:
A,C,G
3.你是shixun的安全管理员。
网络由一个叫做的单一活动目录域组成。
网络包含WindowsXPProfessional客户机和WindowsServer2003计算机。
你安装证书服务,对经过安全e-mail加密和网络站点身份验证过的雇员发行证书。
当雇员离开公司时,你吊销雇员使用的证书。
目前有几千份证书被吊销,同时每天也有大量的吊销发生。
Shixun的e-mail和网络应用程序已经使用高级的证书吊销检查。
你需要缩短客户机占用的时间来找出有关证书吊销和处理证书吊销的信息。
同时还需要限制会在网络性能上发生改变的负面影响。
你该怎么做?
A.在证书颁发机构控制台中,打开被吊销证书的属性对话框。
把Delta证书吊销列表(CRL)发布时间间隔设置为一小时。
B.在证书颁发机构控制台中,打开被吊销证书的属性对话框。
把full证书吊销列表(CRL)发布时间间隔设置为一小时。
C.在证书颁发机构控制台中,突出标记吊销证书,然后在你吊销证书后选择这个选项来发布full证书吊销列表(CRL)。
D.在证书颁发机构控制台中,突出标记吊销证书,然后选择刷新选项。
答案:
A
第六章
1.你是shixun的安全管理员。
网络由一个叫做的单一活动目录域组成。
网络仅包含WindowsXPProfessional客户机和WindowsServer2003计算机。
所有计算机都是域成员。
你需要测试你所在网络的IPSec协同工作能力。
为了做这个测试,你创建了一个叫做ShiXunIPSec的GPO。
在ShiXunIPSecGPO中,你创建了一个叫做shixuntest的IPSec策略。
Shixuntest策略包含一个带有空加密的指定了压缩安全负载(ESP)的规则。
Shixuntest被应用到域中所有服务器上。
在所有测试完成后,你需要确认shixuntest策略不再被网络中的服务器使用。
你该怎么办?
A.在域中,删除ShiXunIPSecGPO。
B.在ShiXunIPSecGPO中,不指定shixuntest策略。
C.在所有服务器上,重启IPSec服务。
D.在所有服务器上的IP安全策略中,使用恢复默认策略命令。
E.在所有服务器上,运行Netshipsecdeletepolicyname=*TestKingTest"命令。
答案:
B
2.你是的安全管理员。
S在Toronto有一家总公司,在Boston,NewYork,MexicoCity,CapeTown,和London各自分别有一家分公司。
网络管理员在总公司和分公司工作。
总公司的网络管理员经常创建脚本来管理工作可以自动化。
你检查每个脚本,确认没有带入安全入侵破坏。
没有带入安全入侵的脚本被批准。
有时,分公司管理员修改这些脚本,并把修改过的脚本分配给其他分公司的管理员。
分公司管理员经常报告他们有时会运行一个修改过的脚本版本。
你需要确认分公司管理员可以检测哪些脚本是得到批准的脚本。
你该怎么办?
A.维护被批准脚本的最新修改日期列表。
指导分公司管理员来检测文件修改日期。
B.逐位标记所有被批准的脚本。
指导分公司管理员在使用脚本前检测签名。
C.以e-mail消息的形式把被批准的脚本分配给分公司管理员。
D.把所有批准过的脚本放入总公司的一个文件服务器上。
为分公司管理员分配对包含批准过的脚本的文件夹的允许-读权限。
指导管理员从文件服务器上复制脚本。
答案:
B
3.你是shixun的安全管理员。
网络由一个叫做的单一活动目录域组成。
所有服务器运行WindowsServer2003,客户机运行WindowsXPProfessional。
公司的一千名用户使用一个叫做appl的应用程序。
Appl安装在每个用户的客户机上。
Appl使用一个叫做App1.Config,inf的配置文件。
这个文件存储在每个客户机的Systemroot\ProgramFiles\App1文件夹下。
用户报告,当他们试图对appl做配置更改时,他们有时接收到一个访问被拒绝信息。
你检查客户机上的App1Config.inf文件的属性。
文件配置如图所示。
你需要确认用户可以对appl进行配置更改。
你想用最少的管理精力来实现这个目标。
你该怎么办?
A.在每个客户机上,为SHIXUN\Domain用户组分配对App1Config.inf文件的允许-写权限。
B.修改默认域策略组策略对象(GPO)。
创建一个新的文件系统安全策略,为SHIXUN\Domain用户组分配对App1Config.inf文件的允许-写权限。
C.修改默认域控制器策略组策略对象(GPO)。
创建一个新的文件系统安全策略,为SHIXUN\Domain用户组分配对App1Config.inf文件的允许-写权限。
D.创建一个运行Xcacls.exe命令的登陆脚本。
使用此命令为SHIXUN\Domain用户组分配对App1Config.inf文件的允许-写权限。
把登陆脚本添加到默认域策略组策略对象(GPO)中。
答案:
B
第九章
1.你是shixun的安全管理员。
网络由一个叫做的单一活动目录域组成。
所有服务器运行WindowsServer2003。
所有客户机运行WindowsXPProfessional。
所有计算机都是域成员。
网络包含10个活动目录站点。
每个站点代表一个公司办事处。
这些办事处位于世界各地。
每个办事处都和Internet连接。
Shixun维护办事处之间的精确的租约连线。
你正在为Microsoft安全补丁程序策划一个安全补丁管理架构。
你在一个叫做shixun2的服务器上安装软件更新服务(SUS)。
你需要确认客户机和服务器上的自动更新仅安装公司允许的安全补丁。
你想通过允许每个计算机可以从Internet上下载安全补丁来限制租约连线。
你该执行哪两步措施?
(每个正确答案代表了部分解决方法。
选择两个)
A.配置所有计算机上的自动更新,使其可以使用MicrosoftWindows更新服务器。
B.配置所有计算机上的自动更新,使其可以使用shixun2上的SUS。
C.把shixun2的Approveditems.txt文件复制到所有计算机的Windows文件夹中。
D.配置shixun2,使其可以维护MicrosoftWindows更新服务器上的更新。
E.使用组策略配置SUS服务器定位为所有计算机上的MicrosoftWindows更新网络站点的URL。
F.在所有计算机上,配置注册表的运行密钥值为MicrosoftWindows更新网络站点的URL。
答案:
B,D
2.你是shixun的安全管理员。
网络由一个叫做单一活动目录域组成。
所有服务器运行WindowsServer2003,所有客户机运行WindowsXPProfessional。
所有计算机都是域成员。
Shixun有一个总公司和六个分公司。
每个分公司通过精确的租约基线和总公司连接。
所有公司都和Internet连接。
每个公司包含多个服务器和几百个客户机。
你正在策划一个安全补丁管理架构。
你在总公司和每个分公司安装了软件更新服务(SUS)服务器。
你配置总公司的SUS服务器,用来存储本地更新程序。
你需要确认所有客户机自动安装最新安全补丁。
你想使公司间的租约基线和对Internet的连接上的网络流量最小。
你该执行哪两步措施?
(每个正确答案代表了部分选项。
选择两个)
A.配置分公司的SUS服务器来维护MicrosoftWindows更新服务器上的更新程序。
B.配置分公司SUS服务器上的自动更新程序,使其可以使用总公司的SUS服务器。
C.配置分公司的SUS服务器,来获取总公司SUS服务器上的更新程序。
D.配置客户机上的自动更新程序来使用本地公司的SUS服务器。
E.配置客户机上的自动更新程序来使用总公司的SUS服务器。
答案:
C,D
3.你是shixun的安全管理员。
网络由一个叫做的单一活动目录域组成。
网络仅包含WindowsXPProfessional客户机和WindowsServer2003计算机。
所有计算机都有对Internet的访问权限。
你正在策划安全补丁管理架构。
Shixun的写安全策略规定所有计算机必须只能安装被核准过的shixun安全补丁。
你在一台叫做shixun3的服务器上安装软件更新服务(SUS)。
你配置所有计算机上的自动更新来使用shixun3。
你把一些计算机的帐户放在一个叫做shixunpatchtest的新建的组中。
在你允许所有计算机可以安装安全补丁之前,你想测试shixunpatchtest组中的计算机上的每个新被核准过的安全补丁。
你需要确认在每次新安全补丁被核准过时,只有shixunpatchtest组中计算机可以下载和安装安全补丁。
你该怎么做?
A.在shixun3上,为shixunpatchtest组分配对新安全补丁文件的NTFS权限。
B.在shixun3上,为shixunpatchtest组分配对approveditems.txt文本文件的NTFS权限。
C.配置shixunpatchtest组中计算机上的自动更新程序来使用MicrosoftWindows更新服务器。
把Approveditems.txt文件复制到这些计算机上的Windows文件夹中。
D.配置shixunpatchtest组中计算机上的自动更新程序来使用一个叫做shixun4的新的SUS服务器。
使用shixun4上的单独批准过的列表。
答案:
D
第十章
1.你是shixun的安全管理员。
Shixun网络由两部分组成。
一部分叫做shixunwinery,并且位于SanFrancisco。
另一部分叫做shixunVineyard,位于Paris。
每部分都通过1.544MbpsWAN连接到Internet。
ShixunWinery由一个叫做的单一活动目录林组成。
所有服务器运行WindowsServer2003。
所有客户机运行WindowsXPProfessional。
ShixunWinery有一个MicrosoftSQLServer2000数据库,其包含有客户信息。
MicrosoftSQLServer2000数据库位于一台叫做shixun1的WindowsServer2003计算机中。
ShixunWinery由一个叫做的单一活动目录林组成。
所有服务器运行Windows2000Server。
所有客户机运行Windows2000Professional或WindowsNTWorkstation.所有计算机运行的都是最新服务包。
你在林新配置了一台WindowsServer2003计算机来进行数据复制。
在shixun2上安装了SQLServer2000。
数据库管理员为shixun1配置了数据库,在每夜把数据库中的数据复制到shixun2。
管理者报告说一个竞争者访问机密客户数据。
你决定在把客户数据从shixun1复制到shixun2期间,使竞争者获取客户。
你决定使用IPSec策略来保护复制期间传输的客户数据。
你需要配置IPSec策略来在客户数据复制时保护数据。
你该怎么做?
A.配置IPSec策略来使用传输模式中的身份验证头(AH),其中AH带有Kerberos身份验证。
B.配置IPSec策略来使用封装安全负载(ESP),其中ESP带有隧道模式中基于证书的身份验证。
C.配置IPSec策略来使用身份验证头(AH),其中AH带有传输模式中的基于证书的身份验证。
D.配置IPSec策略来使用封装安全负载(ESP),其中ESP带有隧道模式中的Kerberos身份验证。
答案:
B
2.你是的安全管理员。
网络由一个叫做的单一活动目录域组成。
所有服务器运行WindowsServer2003。
Shixun为用户持有一个安全网络站点。
并且此安全网络站点被建在shixun5计算机中。
想访问此网络站点的用户由企业证书颁发机构(CA)授予证书。
企业CA被配置为用来把用户证书存储在活动目录中。
S的写安全策略包含对shixun5的以下要求:
1.只有拥有颁发的有效证书的用户才允许访问安全网络站点。
2.使用最少的管理精力来维护用户对安全网络站点的访问。
3.安全管理员必须能够审核基于每个用户的访问。
你需要配置shixun5来为用户提供对安全网络站点的访问。
你该怎么做?
A.配置shixun5,要求所有通信都必须请求SSL。
B.配置shixun5,使用一对一证书映射。
C.配置shixun5,使用多对一证书映射。
D.配置shixun5,使用Windows目录服务映射。
答案:
D
3.你是的安全管理员。
网络由一个叫做的单一活动目录域组成。
所有服务器运行WindowsServer2003。
所有客户机运行WindowsXPProfessional。
网络包含一个企业证书颁发机构(CA)。
其中所有计算机都信任CA。
Shixun网络的一部分连接到一台设备上,并且执行网络地址转换(NAT),同时作为一个测试网络来使用。
网络其余部分是产品网络。
测试网络中的计算机不是域成员。
但是产品网络中的计算机是域成员。
NAT设备支持TCP和UDP地址转换。
允许测试网络的用户连接到产品网络上的服务器。
你需要确认从测试网络的计算机到产品网络的FTP和mail服务器的FTP和e-mail通信是加密的。
为了可以监测到错误原因所在,其他网络与这些服务器的通信没必要加密。
你该怎么做?
A.使用传输模式中的封装安全负载(ESP)规则来执行IPSec策略。
B.使用隧道模式中的封装安全负载(ESP)规则来执行IPSec策略。
C.仅使用IPSec身份验证头(AH)来执行IPSec策略。
D.使用Kerberos身份验证来执行IPSec策略。
答案:
A
第十五章
1.你是的网络管理员,网络包含一个叫做ISA1的ISAServer2004的计算机,网络其他相关部分如图所示。
你使用边缘防火墙网络模板配置ISA1。
你创建了访问规则,为网络中的用户分配Internet访问权限。
网络中的用户报告说,他们不能访问Internet。
你需要配置网络中的客户机,允许他们对Internet的访问。
你该执行哪两步措施?
(每个正确答案代表部分解决方法,选择两个)
A.配置BuildingA中的客户机的默认网关IP地址为172.16.100.1.
B.配置BuildingB中的客户机的默认网关IP地址为172.16.100.1.
C.配置BuildingA中的客户机的默认网关IP地址为10.10.10.1.
D.配置BuildingB中的客户机的默认网关IP地址为172.16.100.1.
E.配置BuildingA中的客户机的默认网关IP地址为172.16.30.1.
F.配置BuildingB中的客户机的默认网关IP地址为10.10.10.1
答案:
B,E
2.你是的网络管理员,shixun有一个总公司和三个分公司。
网络包含一个叫做ISA1的ISAServer2004计算机,他位于总公司。
你打算为三个分公司配置新的ISAServer2004计算机。
你把其中一个新计算机命名为ISA2,并且执行以下任务:
1把在ISA1上的ISAServer2004的配置输出到一个叫做SASETUPCONFIG.XML的文件中。
2编辑SASETUPCONFIG.XML文件,使它包含一个有效的外部IP地址。
3在ISA2上创建一个叫做C:
\Msisaund.ini的文件。
在.ISA2上使用一个自动安装程序来安装ISAServer2004。
当安装完成时,你发现ISA1上的ISAServer2004配置没有复制到ISA2上。
你需要使用ISA1中的配置,来配置分公司的ISAServer2004计算机。
你想通过最小的管理精力来实现这个目标。
你该怎么做?
A.把ISA1中的系统策略规则输出到另一个叫做ISA1SystemPolicy.xml的文件中。
把以下几行加入到ISA2的C:
\Msisaund.ini文件中,
IMPORTISACONFIG=1
IMPORT_CONFIG=ISASETUPCONFIG.XML
IMPORT_CONFIG=ISA1SystemPolicy.xml
使用每个新ISAServer2004计算机中的Msisaund.ini文件来运行一个自动安装程序。
B.备份ISA1中的阵列配置,把文件保存为C:
\Msisaunattended.xml.
运行ISAServer2004安装程序中的以下命令:
setup.exe/unattended:
ISASETUPCONFIG.XMLC:
\Msisaund.ini
C.为每个分公司中的ISAServer2004计算机创建一个ISASETUPCONFIG.XML文件。
编辑每个ISASETUPCONFIG.XML文件,使它可以包含各自分公司中的内部网络地址。
通过增加以下一行命令来编辑ISA2中的Msisaund.ini文件
IMPORT_CONFIG_FILE=ISASETUPCONFIG.XML
使用每个新ISAServer2004计算机中ISA2上的Msisaund.ini文件来自动运行安装程序。
A.创建一个叫做Msisaunattend.txt的文件。
它包含以下几行:
UNATTENDED=1
EXPORT_ISACONFIG=0
FILEPATH=ISASETUPCONFIG.XML
使用每个新ISAServer2004计算机中的Msisaunattend.txt文件来自动运行安装程序。
答案:
C
第十八章
1.你是的网络管理员。
网络包含两台分别叫做ISA1和ISA2的ISAServer2004计算机。
网络相关部分如图:
Shixun的写安全策略规
升级会员 