网络安全的实现和管理 70299题库.docx

1、网络安全的实现和管理 70299题库Microsoft 70-299 网络安全的实现和管理主题 1,实现、管理和配置安全策略 (总数:52个问题)(3个问题)1. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 的活动目录域组成。所有的服务器运行 Windows Server 2003 ，而所有的客户计算机运行 Windows XP Professional。一些客户计算机被配置成访客和职员使用的 kiosk 计算机。通过使用 GPOs来管理 kiosk 计算机，并且 GPOs 强制实施一个安全设置。很多用户天天登录这些计算机。你需要重新核查这个安全审核的结果。当你发现某些已经登录的

2、用户掉线的时候，你需要确定安全设置一直在运行。你应该做什么?A. 应用 Securews.inf 安全模板到 kiosk 计算机上。B. 在 kiosk 计算机上设置默认的用户配置文件使之成为强制用户配置文件。C. 编辑管理 kiosk 计算机的 GPO，使第二次的登录服务失效。D. 编辑管理 kiosk 计算机的 GPO，并启动回送处理功能。答案：D2. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 的活动目录森林组成。所有的服务器要么运行Windows Server 2003，要么运行Windows 2000 Server。而所有的域控制者运行Windows Server 20

3、03，所有的客户计算机运行Windows XP 专业版。TestK 使用一部Microsoft Exchange Server 2003 的 计算机。 在网络内部的用户利用Microsoft Outlook连接到Exchange Server 2003。TestK目前不支持用户经由Internet与客户交换电子邮件。你的公司根据对Exchange Server 2003计算机的放置要满足下列要求来更新它的书面安全策略：1. 在英特网上的客户不能直接地连接到网络内部的任何一台计算机上。2.允许通过防火墙设备的端口和协议的数目必须被减到最少。现在，你需要根据公司上述的书面安全要求来放置计算机。答案

4、：Generated by Foxit PDF Creator Foxit Software For evaluation only.3. 你是 TestK 的一位安全管理人。 网络由一个独立的名叫 的活动目录域组成。 所有的服务器运行Windows Server 2003 ，而 所有的客户计算机运行Windows XP Professional。终端服务运行在四个Windows Server 2003的计算机上，名叫Remote Application的组的成员需要利用终端服务来获得（access）应用。你给Remote Application组分配对于应用文件夹合适的NTFS许可和在终端服

5、务器上的合适的RDP-Tcp连接许可。目前没有用户有权连接到终端服务器。你需要给Remote Application组的用户分配对获得应用必要的最少的权利。你应该如何来设置终端服务器？A. 应用一个安全模板来分配从网络上访问这台计算机的 权利给 Remote Application 组B. 应用一个安全模板来分配本地登录的许可权利给 Remote Application 组C. 应用一个安全模板来分配将登录当作服务的权利给 Remote Application 组D. 应用一个安全模板来分配通过终端服务器登录的许可权利给 Remote Application 组答案：D第一部分.计划基于计算机

6、角色的安全模板，计算机角色包括：SQLServer，MicrosoftExchangeServer，域控制器，IASServer，IISServer。（9个问题） 1你是TestK的安全系统管理师。网络有名为的单一活动目录域。域包含Windows Server 2003计算机和Windows XP专业版客户端计算机。所有的计算机是域的成员。一台名为TestKing3的Windows Server 2003计算机运行证书服务。TestKing3是一个企业下级CA。一台名为TestKing2的Windows Server 2003计算机运行IIS，TestKing2主管一个关于雇员的人力资源WEB

7、站点，你想确保雇员的个人数据在网络中传输时不被暴露，你决定在TestKing2上使用SSL。当使用SSL连接到WEB站点时你需要确保雇员没有接收到相关证书的安全警报。除非必须这么做，否则你想在不花费钱购买证书的情况下达到这个目的。你应该怎么做？A使用IIS向商业CA提交证书请求。B使用IIS向TestKing3提交证书请求。C使用证书控制台向商业CA提交客户证书请求。D使用证书控制台向TestKing3提交客户证书请求。答案：B2. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 的活动目录域组成。 所有的服务器运行 Windows Server 2003。所有的服务器在一个名叫 S

8、ervers 的OU 中，或在被包含在 Servers OU 里的 OU 中。基于最近的安全报告信息，你想应用来自一个名叫 Messenger.info 的安全模板的设置到所有的服务器上，而 Messenger 服务就是在这些服务器上被启动的。你不想应用在这些设置到那些没有启动 Messenger 服务的服务器上。你同样不想将服务器移到外部的 OU 中去。因此你需要将 Messenger.inf 安全模板应用到合适的服务器上。你应该怎么做？A. 导入 Messenger.info安全模板到一个 GPO,并连接此GPO到服务器OU。在GPO中设置管理Administrative Template

9、s过滤。B. 导入 Messenger.info安全模板到一个 GPO,并连接此 GPO到服务器OU。配置一个窗口管理器（Windows Management Instrumentation (WMI)）为此 GPO 过滤C. 在一个 GPO 中设置登录脚本, 并连接此 GPO到服务器OU。 设置此脚本运行 gpupdate 指令如果 Messenger 正在运行。D. 编辑 Messenger.info 安全模板 Messenger 服务的启动模式为自动模式，然后运行 secedit /refreshpolicy 指令。答案：B3. 你是 TestK 的一位安全管理人。网络由一个独立的名叫

10、的活动目录域组成。 所有的服务器运行 Windows Server 2003 ，而 所有的客户计算机运行 Windows XP Professional。在这个域中有八个 Windows 2003 的计算机，并且这些计算机被用于储存机密文件。它们被放在一个只有 IT 行政部门的人员才有获取通道的数据中心。你需要限制来自一个名叫 Contractors 的组的成员连接到文件编档服务器电脑上。所有其他的职工需要这些计算机。你应该怎么做？A. 应用一个安全模板到文件编档服务器电脑，这台计算机分配来自网络的电脑的 Access 访问权利给 Domain Users 组B. 应用一个安全模板到文件编档服

11、务器电脑，这台计算机分配对来自网络的电脑的 Deny 访问权利给 Contractors 组C. 应用一个安全模板到文件编档服务器电脑，这台计算机分配本地登录的 Access 访问权利给 Domain Users 组。D. 应用一个安全模板到文件编档服务器电脑，这台计算机分配本地登录的 Deny 访问权利给Contractors 组答案：B4. 你是 TestK 的一位安全管理人。 网络由一个独立的名叫 的活动目录域组成。TestK域包括Windows Server 2003的计算机和Windows XP Professional的客户计算机。所有的计算机都是这个域内的用户。TestK 公司的

12、职员用户帐户是客户计算机上的Administrators当地组的成员。你会偶尔经历管理客户计算机时碰到问题，这是因为一个职员在计算机上从Administration本地组中除去了Domain Admins全局组。你需要组织职员在客户计算机上这样做。你应该怎么做？A. 应用一个安全模板到利用Restricted组s建立Domain Admins全局组使之成为Administrators本地组一员的客户计算机上。B. 应用一个安全模板到利用 Restricted 组 s 建立 Domain Admins 全局组使之成为 Administrators 本地组一员的域控制计算机上。C通过分配 Allo

13、w - Full Control 协议给 Domain Admins 全局组来修改 Domain Admins 全局组D通过分配 Deny-Full Control 协议给 Domain Admins 全局组来修改 Domain Admins 全局组答案：A5. 你是 TestK 的一位安全管理人。 网络由两个活动目录域组成。这些各自包含了独立的活动目录森林。domain 起初被用于支持公司职员。名叫bar.biz的域被用于支持公司客户。所有域的功能层是Windows Server 2003间歇（interim）模式。存在一个单方面的外部信任关系，在这个关系中域信任bar.biz域。一台名叫T

14、estKing3的Windows Server 2003的计算机是bar.biz域中的一员。TestKing3为客户提供对Microsoft SQL Server 2000数据库的访问通路。客户使用的客户帐户存放在TestKing3上的本地帐户数据库中。所有的客户帐户属于一个名叫Customers的本地计算机组中。SQL服务器被设置成使用Windows Integrated认证。TestK拥有附加的存放在三台Windows Server 2003的计算机上的SQL Server 2000数据库。这些计算机是域的成员。TestKing的书面安全策略声明：客户帐户必须存放于bar.biz域的计算机

15、上。你需要设计一个策略来为客户提供对附加数据库的访问。你想用最小量的管理努力来达到这个目标。你应该怎么做？A.为 每个客户在 bar.biz 活动目录域中创建一个新的用户帐户。在 bar.biz 域中创建一个通用组（universal 组）。添加新的客户域用户帐户使成为这个新的通用组的成员。给这个组分配访问数据库的许可。B。为 每个客户在 bar.biz 活动目录域中创建一个新的用户帐户。在 bar.biz 域中创建一个全局组（全局 组）。添加新的客户域用户帐户使成为这个新的全局组的成员。给这个组分配访问数据库的许可。C为 每个客户在 活动目录域中创建一个新的用户帐户。在 域中创建一个全局组（

16、全局 组）。添加新的客户域用户帐户使成为这个新的全局组的成员。给这个组分配访问数据库的许可。D。.为 每个客户在 活动目录域中创建一个新的用户帐户。在 域中创建一个全局组（全局 组）。添加新的客户域用户帐户使成为这个新的全局组的成员。给这个组分配访问数据库的许可。答案：B6. 你是 TestK 的一位安全管理人。 网络由一个独立的名叫的活动目录域组成。四台Windows Server 2003计算机运行IIS，并且作为Internet上的Web服务器。TestKing的书面安全策略声明那些从Internet上可以接近/访问（accessible ）的计算机必须被加强以免被攻击。加强这些计算机的

17、程序包括使不必要的服务失去（服务）能力。你利用下面的关于Web服务器的信息来评估哪些服务是必要的。（1）客户和商务合伙人获取在Web服务器上的Web内容在他们利用用户名和密码被认证之后。（1）所有的软件都能利用可移除的媒介被本地安装在Web服务器上，除了服务包和安全补丁。（2）Web服务器从运行Software Update Services (SUS)的一台内部计算机上自动下载服务包和安全补丁。（3）Web服务器不运行其他任何作用。你需要为Web服务器创建一个安全模板来摧毁不必要的服务并且允许必要的服务运行。你应该怎么拖动合适的服务启动类型到工作区中正确的位置。答案：7. 你是 TestK

18、的一位安全管理人。 网络由一个独立的名叫 的活动目录域组成。 所有的服务器运行Windows Server 2003 ，而 所有的客户计算机运行Windows XP Professional。所有的计算机被设置成使用Automatic Updates来安装更新而不用用户干涉。更新被预定在非高峰期进行。在一个安全审核中，你发现一些客户计算机在规定的basis中没有接收更新。你检验运行在所有客户计算机上的Automatic Updates，并且你核实用户不能修改Automatic Updates的设置。你需要确定在你们网络上的计算机都能接收到所有的更新。你应该怎么做？A.为预定的 Automati

19、c Updates Installations 设置启动 No auto-restartB. 使 Specify intranet Microsoft 更新服务区域设置有效C.使 Remove 通路使用所有的 Windows Update 的特征设置。D. 使 Reschedule Automatic Updates 被预定安装设置。答案:D8. 你是 TestK 的一位安全管理人。 网络由七个活动目录域组成。这些域在同一个活动目录森林中，所有的这七个活动目录域运行在一个 Windows Server 2003 域的功能层。每个域包含一个向TestKing的经理们公布信息的内部Web网点。对这

20、些在内部Web网点上的信息不允许对经理们加以访问限制。在每个域中的一个现有的全球的组包含了存在于那个域中的管理用户帐户。你需要对 TestKing 的经理们限制对内部 Web 网点的访问。你需要用最小的管理花费来达到这个目标。你应该怎么做？A在 7 个活动目录域中的一个域里创建一个通用组。添加已有的管理全局组使之成为这个通用组的成员。仅仅分配这个通用组许可来访问 Web 网点。B在 7 个活动目录域中的一个域里创建一个全局组。添加已有的组使之成为这个全局组的成员。仅仅分配这个全局组许可来访问 Web 网点C在 7 个活动目录域中的一个域里创建一个 domain local 组。添加已有的管理全

21、局组使之成为这个 domain local 组的成员。仅仅分配这个 domain local 组许可来访问 Web 网点D仅仅分配这个已有的管理全局组许可来访问 Web 网点答案:A9. 你是 TestK 的一位安全管理人。 网络由两个活动目录森林组成，他们的名称分别是 和。所有的服务器运行Windows Server 2003 ，而所有的客户计算机运行Windows XP Professional。网络由一个IEEE 802.11b的无线局域网构成。职工和外部用户使用WLAN。职工的用户帐户位于森林，而外部用户的帐户位于森林中。外部用户的计算机没有森林中的计算机帐户。为增强安全，你升级网络硬

22、件以便支持IEEE 802.1x。你设置一个public key infrastructure(PKI)，并发行客户认证证书给职员以及被职员们使用的计算机，也给外部用户。你需要设置无线局域网WLAN来对职员和外部用户进行认证。你应该怎么做？A设置每个无线接入口来转发RADIUS的到一个运行因特网认证服务(IAS)的服务器的请求。一个连接请求策略来转发到合适的域的请求。B设置每个无线接入口来转发到一个在森林中的因特网认证服务(IAS)的服务器的请求。设置森林中的IAS服务器使用Tunnel-Server-Endpt属性。C利用Connection Manager Administration K

23、it (CMAK)，为外部用户设置一个。为职员设置另一个连接profile。、D在 森林 和 森林之间建立一个森林信任关系。答案:A第二部分：配置安全模板（2个问题）1. 你是 TestK 的一位安全管理人。 网络由一个独立的名叫 的活动目录域组成。TestK域包括Windows Server 2003的计算机和Windows XP Professional的客户计算机。所有的计算机都是这个域内的成员。TestK利用一个惯用的应用来跟踪服务桌面调用。你收到一个描述了客户应用中的弱点（易受攻击点）安全公告。为了修复这个弱点，你需要为每个用户改变他们的注册子树中的一个值。每个用户只需要在注册表键值

24、上的那些必须要被改变的许可。你需要确定对每个用户来讲，当他们下次登录到网站时他们的注册表值已经改变了。你应该怎么做？A创建一个脚本来改变注册表值。指定这个脚本作为所有域用户帐户的注册脚本。B创建一个脚本来改变注册表值。在一个应用于所有用户的组 Policy Object (GPO)中指定这个计算机启动脚本作为用户登录脚本。C创建一个脚本来改变注册表值。在一个应用于所有客户计算机的GPO中指定这个计算机启动脚本作为用户登录脚本。D添加注册表值到一个应用于所有用户的组 Policy Object (GPO)的管理模板部分。E输出注册表值到一个名叫appfix.reg的注册表文件中。在为每个用户的S

25、tartup组中，创建一个到注册表编辑器（regedit.exe） 或 appfix.reg 指令的快捷方式。答案:D2. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 活动目录域组成。所有的服务器要么运行Windows Server 2003，要么运行Windows 2000 Server。而所有的客户计算机运行Windows XP Professional。TestKing的书面安全策略声明：当一个未被授权的用户企图猜测用户的密码时用户的帐户必须被锁定。当前的帐户策略使得当一个用户在5分钟之内两次输入无效的密码之后将不能再进入了（被关在外面）。直到这个帐户被管理员重新设置了，否

26、则这个用户将会保持“被关在外面” 的状态。用户频繁地调用帮助桌面，来使得他们的帐户不被锁。与帐户被锁的桌面调用（Calls）占到了帮助桌面调用的25%。你需要降低与帐户被锁有关的帮助桌面调用的总数量，你应该怎么做？A修改Default Domain Controllers Policy 组 Policy object (GPO)，增加每个服务的tickets的最大有效时间。B修改Default Domain Controllers Policy 组 Policy object (GPO)，设置被锁帐户极限为10。C修改Default Domain Controllers Policy 组 Po

27、licy object (GPO)，使用户登录限制的执行失效。D修改Default Domain Controllers Policy 组 Policy object (GPO)，增加密码的最长生命时间。答案:B子部分，配置.pl文件（1个问题）1. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 活动目录域组成。所有的服务器运行Windows Server 2003。而所有的客户计算机要么运行WindowsXP Professional要么运行Windows NTWorkstation 4.0。TestKing的书面安全策略声明：所有的用户在使用任何一台客户计算机之前必须回发一个合

28、法的消息。你需要设置网络以确定所有的客户计算机遵从书面安全策略。你应该采取下面的哪2个行动？（每个答案只解决方案的一部分，你需要选择2个答案）A创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows XP Professional计算机置于这个OU中。B创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows NT Workstation 4.0计算机置于这个OU中。C修改Modify the Default Controllers Policy GPO，通过设置它来显示合法消息。D创建一个Config.pol文件来显示合法消息

29、，将这个文件放在SYSVOL的共享文件夹中。E创建一个Config.pol文件来显示合法消息，将这个文件放在NETLOGIN的共享文件夹中。答案: A, E子部分，配置审核策略（7个问题）1. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 活动目录域组成。这个网络里包含几台被设置成的Windows Server 2003计算机。TestK的书面安全策略声明：安全管理员必须保持一个用户何时登录到FTP服务器的记录。你创建一个新的安全模板来强迫执行书面安全策略。你需要设置模板来遵从书面安全策略，你应该怎么做？答案：2. 你是 TestK 的一位安全管理人。网络由一个独立的名叫 活动目录域组成。 域包含 Windows Server 2003 的计算机和 Windows XP Professional 的客户计算机。公司里的一些服务器是文件服务器。这些文件服务器包含了在销售和市场部门用户的共享文件。这些文