网络安全的实现和管理题库

问题编号：1

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testking.com。所有服务器运行WindowsServer2003年。所有客户端计算机上运行

WindowsXP专业版。一些客户端计算机配置为亭电脑，参观者和员工使用。该站的计算机

管理使用的GPO-的GPO执行一个安全的配置。多用户登录到这些电脑每天。您审查结

果的安全审计。你发现，当一些用户登录在安全配置被删除。您必须确保安全配置是被强迫在

任何时候都。您应该做些什么？

A.应用Securews.inf安全模板的小亭电脑。

B.配置的默认用户配置文件的计算机上亭作为一个强制用户配置文件。

C.编辑的GPO管理亭电脑。禁用SecondaryLogon服务。

D.编辑的GPO管理亭电脑。启用环回处理。

答：D

问题号码：2

你是一个安全管理员TestK.该网络由一个单一的ActiveDirectory林命名

。所有服务器运行的WindowsServer2003或Windows2000Server。所有域控

制器的WindowsServer2003。全部客户端计算机上运行WindowsXP专业版。TestK

使用MicrosoftExchangeServer2003计算机。用户的内部网络连接到ExchangeServer2003

使用MicrosoftOutlook»TestK目前没有允许用户交换电子邮件与客户通过互联网。

为了改善与客户的沟通，管理决定允许电子邮件通讯透过互联网。您的公司更新其书面的

安全政策符合下列要求有关安置的ExchangeServer2003计算机:

1。客户在互联网上必须不能直接连接到任何一台电脑对内部网络。

2。数量港口和协议，被允许通过防火墙设备必须减少到最低限度。

您需要将电脑，以满足该公司的书面安全政策。

DragSMTP

RelayAgentDragSKCTP

hereRelayAgent

Iwre

m

Internal

FirewallDrag

ExchangeFirewallDrag

ServtwhereExchange

Serverhere

SMTPRelayAgent

答:SMTPRelayExchange

AgentServer

DragSMTP

RelayAgent

Itere

SMTPRelay

Agent

rng.dDm

咏1r

Internal

FirewallDrag

ExchangeFirewallDrag

Serve;hereExchange

Serverhere

SMTPRelayAgent

问题编号：3

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectoiy域命名

testking.com。所有服务器运行WindowsServer2003年。所有客户端计算机上运行

WindowsXP专业版。终端服务上运行的四个WindowsServer2003计算机。成员一组名

为远程应用需要访问应用的使用终端服务。您指定的远程应用组的适当的NTFS权限的应用程

序文件夹和适当的RDP-TCP连接权限终端服务器。目前还没有用户有权连接到终端服务

器。您需要指定用户的远程应用组的最低权利必要的存取应用。您应该做些什么来配置终端服

务器？A.应用安全模板，指派访问此计算机从网络权到远程应用组。

B.套用安全模板，指定允许在本地登录权远程应用组。C.

套用安全模板，指定作为服务登录的权利远程应用组。

D.应用安全模板，指定允许登录通过终端服务有权远程应用组。

答：D

问题编号：4

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testking.com。该域名包含WindowsServer2003计算机和Windows

XPProfessional的用户端电脑。所有计算机成员的网域。在WindowsServer2003的计算机

名为TestKing3运行证书服务。TestKing3是企业下属的认证机构（CA）。的WindowsServer

2003计算机名为TestKing2运行的IIS。TestKing2主机内部人力资源网站，供员工。你

想，以确保个人资料雇员不暴露在运输过程中的网络。您决定使用关于TestKing2的SSL。

你必须确保雇员没有收到证书有关的安全戒备当他们使用SSL连接到这个网站。要实现这

一目标而不花钱购买此证书，除非有必要这么做。您应该做些什么？

A.使用IIS来提交证书请求一项商业的CA。

B.使用IIS来提交证书请求TestKing3。

C.使用证书控制台提交一份客户端证书请求一项商业的CA。

D.使用证书控制台提交一份客户端证书的要求TestKing3。

答：B

问题编号：5

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

。所有服务器运行WindowsServer2003年。所有的服务器都在欧命名服务器，

或皮内载服务器OU。基于信息在最近的安全公告，要申请设置从安全模板命名

M所有服务器上的信使服务已启动。你不想这些设置适用于服务器上的

Messenger服务未启动。你也不想移动服务器外人群。您需要适用Messenger.inf安全模板到适

当的服务器。您应该做些什么？

A.导入M安全模板到一个GPO,并链接的GPO的服务器OU。配置管理模

板滤波的GPO。

B.汇入M安全模板到—■个GPO,并链接的GPO的服务器OU。配置Windows

管理规范（WMI）过滤器的GPO中。

C.配置登录脚本中的GPO,连结的GPO的服务器OU。配置脚本运行gpupdate命令，如

果Messenger服务正在运行。

D.编辑M安全模板设置启动Messenger服务模式自动，然后运行secedit/

refreshpolicy命令..

答：B

问题编号：6

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testking.com。所有服务器运行WindowsServer2003年。所有客户端计算机上运行

WindowsXP专业版。8Windows2003的计算机成员的网域。这些电脑用于存放机密文

件。他们居住在一个数据中心，只有资讯科技管理人员有身体接触。您需要限制成员的一组名

为承建商连接到文档服务器计算机。所有其他雇员需要对这些电脑。您应该做些什么？

A.应用安全模板的文档服务器计算机指派访问此计算机与网络的连接权域用户组。

B.应用安全模板的文档服务器计算机指定拒绝访问这台电脑从网络权承包组。

C.应用安全模板的文档服务器计算机指定允许登录当地权域用户组。

D.应用安全模板的文档服务器计算机指派拒绝登录当地有权承包组。

答：B

问题编号：7

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testkin.该域名包含WindowsServer2003计算机和Windows

XPProfessional的用户端电脑。所有计算机成员的网域。该雇员的用户帐户中的

TestK公司成员clocal组管理员用户端电脑上。你偶尔的经验问题管理的客户端计

算机，因为一名雇员删除域名管理员全局组从行政本地组的计算机上。您需要防止雇员消除域

管理员全局组从系统管理员本地组的客户端计算机上。您应该做些什么？

A.应用安全模板的用户端电脑，建立了域管理员全局组成员的系统管理员本地组使用限制

论坛的政策。

B.应用安全模板到域控制器的计算机上建立了域管理员全局组成员的管理员域本地组的使

用受限制的组政策。

C.修改域管理员全局组指派允许-完全控制允许域管理员全局组。

D.修改域管理员全局组指派拒绝-完全控制允许域管理员全局组。

答：A

问题编号：8

你是一个安全管理员TestK。该网络由两个ActiveDirectory域。这些领域的每一个

属于不同的ActiveDirectory森林。网域主要用于支持公司的雇员。网域命名

是用来支持公司的客户。功能一级的所有领域是WindowsServer2003过渡模式。单

程外部信任关系中存在的域信任的域。在WindowsServer2003的计算

机名为TestKing3是一个成员领土。TestKing3为客户提供访问微软的SQLServer

2000数据库。用户帐户的客户所采用，居住在当地的帐户数据库关于TestKing3。所有的

客户用户帐户属于本地计算机组命名客户。SQLServer的配置使用Windows集成验证。

TestK了额外的SQLServer2000数据库驻留在三个WindowsServer2003计算机。这

些电脑的成员领土。TestKing的书面安全政策的规定，客户用户帐户必须居住

在计算机上的bar.biz域。你需要的战略计划，为客户提供获得的额外数据库。要实现这一

目标用最低数量的行政工作。您应该做些什么？

A.创建一个新的用户帐户中的ActiveDirectory域为每个客户。创建一个普遍组

域。添加新的客户网域使用者帐户的成员，新的通用组。这组分配权限数据库。

B.创建一个新的用户帐户中的ActiveDirectory域为每个客户。创建一个全局组中

域。添加新的客户域用户帐户作为成员的新的全球性集团。这组分配权限访问数据库。

C.建立一个新的用户帐户中的ActiveDirectory域为每个消费者。创建一个全局

组中域。添加新客户域用户帐户的成员，新的全球性集团。这组分配权限进入

数据库。

D.建立一个新的用户帐户中的ActiveDirectory域为每个消费者。创建一个全局

组中域。添加新客户域用户帐户的成员，新的全球性集团。这组分配权限进入

数据库。

答：B

问题号码：9

你是安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名。四

年的WindowsServer2003计算机运行IIS和充当Web服务器在互联网上。TestKing的书面

安全政策的规定，计算机可从互联网必须强化攻击。程序硬化电脑包括禁用不必要的服务。

您评估服务是必要的使用以下信息的Web服务器：

1。客户和业务合作伙伴访问Web上的内容后，Web服务器他们验证使用用户名和密码。

要访问网站的某些部分中，其中的一些连接使用SSL协议。

1。所有软件安装在本地的Web服务器通过使用可移动媒体，除服务包和安全补丁。

2。Web服务器自动下载服务包和安全补丁内部的计算机运行软件更新服务（SUS）o

3。Web服务器是无法运作的任何其他的作用。

您需要建立一个安全模板的Web服务器禁用不必要的服务，并允许必要的服务运作。您应

该做些什么？要回答，拖动相应的服务启动类型的正确位置工作区。

WorkArea

ServiceStartupPolicy

ApplicationManagement

Placehere

A!romaticUpdatesPlacehere

CertificateServicesPlacehere

DNSServerPlacehere

IISAdminServicePlacehere

InternetAuthentication

Placehere

Service

WorldWideWebPlacehere

PublishingService

答：

解释:

WorkArea

ServiceStartupPolicy

ApplicationManagementDisabied

AlromaticUpdatesAutomatic

CertificateServicesDisabled

DNSServerDisabled

IISAdminServiceAutomatic

InternetAuthenticationDisabled

Service

WorldWideWeb

Automatic

PublishingService

问题号码：10

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testking.com。所有服务器运行WindowsServer2003年。所有客户端计算机上运行

WindowsXP专业版。所有计算机都配置为使用自动更新来安装更新用户干预。更新定于发

生在非繁忙时段。在安全审计，您会注意到一些客户端计算机没有得到更新定期。您确认自动

更新上运行的所有客户端电脑及你核实，用户不能修改自动更新设置。您必须确保网络上的计算

机接收所有更新。您应该做些什么？

A.没有启用自动重新启动排定的自动更新安装设置。

B.禁用指定的IntranetMicrosoft更新服务位置设置。

C.启用删除访问使用所有的WindowsUpdate功能设置。

D.重新启用自动更新计划安装设置。

答：D

问题号码：11

你是一个安全管理员TestKing。该网络由7主动Directory域。这些域名是在同一Active

Directory林。所有7个ActiveDirectory域运行在WindowsServer2003域功能水平。每个域

包含一个内部网站，用于发布信息TestKing经理。获取信息对这些网站不得仅限于管理人

员。现有的全球集团的每个域包含用户帐户管理中存在的网域。您需要限制进入的内部网站

TestKing经理。您要实现这一目标用最低限度的行政工作。您应该做些什么？

A.创建一个普遍集团之一的ActiveDirectoiy域。购买现有的管理全局组成员的普遍组。只

分配这一普遍组权限的网站。

B.创建一个全球性集团之一的ActiveDirectory域。购买现有的管理全局组的成员，全局组。

分配这个全球唯一组的权限来存取网站。

C.建立域本地组的一个ActiveDirectory域。购买现有的管理全局组的成员，域本地组。

只有这样分配域本地组的权限来存取网站。

D.分配只有全球现有的管理权限来存取网站。

答：A

问题编号：12

你是一个安全管理员TestKing。该网络由两个主动Directory林命名和

。所有服务器运行WindowsServer2003中。所有客户端计算机上运行

WindowsXP专业版。该网络由一个IEEE802.11b无线局域网（WLAN）。员工和外部

用户使用无线局域网。用户帐户的员工都位于森林。用户帐户的外部用户都位

于森林。外部用户的计算机没有计算机帐户森林。为

了提高安全性，您升级网络硬件，以支持IEEE802.1X的。您配置一个公钥基础设施（PKI）。

您问题的客户端身份验证证书的员工，客户端计算机使用的员工，以及外部用户。您需要配

置无线局域网来验证员工和外部用户。您应该做些什么？

A.配置无线接入点，以前瞻性的RADIUS请求一个服务器上运行Internet验证服务（IAS）。

配置IAS服务器使用一个连接请求的政策，提出了请求适当的森林。

B.配置每个无线接入点，以前瞻性的要求互联网认证服务（IAS）服务器森

林。配置IAS服务器在森林使用隧道服务器Endpt属性。

C.使用的连接管理器管理工具包（CMAK）。配置一个连接配置文件的外部用户。配置

第二个方面的个人资料的雇员。

D.建立森林间的信任关系森林和森林。

答：A

问题编号：13

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

。该域名包含WindowsServer2003计算机和WindowsXP

Professional的用户端电脑。所有计算机成员的网域。TestK使用自定义应用程序来跟

踪服务台电话。您收到的安全公告，说明漏洞在客户应用程序。要修复此漏洞，您需要更改的

价值在用户子目录登记处为每个用户。每个用户只有读取权限的注册表关键是必须改变。你

必须确保该注册表值更改为每个用户下一次用户登录到网络。您应该做些什么？A.创建一个

脚本更改注册表值。指派脚本作为登录脚本中域用户帐户的所有用户。B.创建一个脚

本，修改注册表值。指定的脚本作为用户的登录脚本组策略对象（GPO）适用于所有用户。

C.建立一个脚本，改变了注册表值。指派计算机启动脚本中GPO的适用于所有用户端电

脑。

D.添加注册表值的管理模板部分的GPO适用于所有用户。

E.导出的注册表值的注册表文件命名为appfix.rego在启动组每个用户，创建一个快捷方

式Regedit.exe中/s的appfix.reg命令。

答：D

问题编号：14

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名.

服务器运行的WindowsServer2003或Windows2000Server»所有客户端计算机上运行

WindowsXP专业版。TestKing的书面安全政策的规定，用户帐户必须被锁定，如果未经授

权的用户尝试猜测用户的口令。经常帐的政策锁定了一个用户后，两个密码无效尝试五分钟。用户

仍保持锁定，直到该帐户是由重置管理员。用户经常要求服务台将其账户锁定。吁请有关帐户锁

定构成百分之二十五服务台电话。你需要减少帮助台呼叫数目有关帐户锁定。您应该做些什么？

A.修改默认域控制器策略组策略对象（GPO）o提高最高寿命为服务车票。

B.修改默认域策略组策略对象（GPO）。配置帐户锁定阈值为10。

C.修改默认域控制器策略组策略对象（GPO）。禁用执行用户登录的限制。

D.修改默认域策略组策略对象（GPO）。提高最高密码岁。

答：B

问题编号：15

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

testking.com。所有服务器运行WindowsServer2003年。所有客户端计算机上运行

WindowsXP专业版或WindowsNTWorkstation4.0的。TestK的书面安全政策规定,

所有用户都必须承认一个法律邮件之前，使用任何客户端计算机。您需要配置网络，以确保所有

客户端计算机遵守书面安全政策。这两项行动你应该执行？（每个正确答案提出的一部分解

决方案。选择2）

A.创建一个新的GPO并连结到一个OU中。配置的GPO,以显示法律讯息。将所有的

WindowsXPProfessional的计算机的OU。

B.创建一个新的GPO并连结到一个OU中。配置的GPO,以显示法律讯息。将所有的

WindowsNTWorkstation4.0的计算机的OU。

C.修改默认控制器策略GPO中配置它，以显示法律讯息。

D.建立一Config.pol文件，显示法律的讯息。广场中的档案的SYSVOL共享文件夹。

E.Config.pol创建一个文件，显示法律的讯息。广场中的档案NETLOGIN共享文件夹。

答：A,E

问题：16

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

。该网络包含几个WindowsServer2003计算机配置为FTP服务器。

TestKing.com的书面安全政策规定，安全管理员必须保持的纪录什么时候用户登录到

FTP服务器。您创建一个新的安全模板强制执行的书面安全政策。你需要配置的模板，以符合

书面安全政策。您应该做些什么？

答：

Policysetting

PolicyPolicysetting,placehere

Selectfromthese

Policysetting

PolicyPolicysetting,placehere

Selectfromthese

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

.该域名包含WindowsServer2003计算机和WindowsXP

Professional的用户端电脑。一些服务器在该公司的文件服务器。该文件包含共享服务器文

件中的用户销售和营销部门使用。文件服务器是在一个欧命名FileServers。该TestK

的书面安全政策的规定，日期和时间，用户成功地建立了一个会议，文件服务器必须记录。

书面安全政策还规定，日期和时间成功和不成功的企图修改文件的文件服务器必须记录。您

创建一个新的GPO,并链接到FileServers地带。审计政策节该GPO显示展览。您需要配

置审核策略，以满足要求的书面安全政策。您必须实现这一目标用最低数量的审计设置。您

应该做些什么

答：

PolicyPolicysetting,placehere

题Audeaccouni*1neverts.■L■NotDefined_____

幽…二001'“n。工Qm

掰Audtdrectoryserviceaccess

30AudebooneventsNotDefined

酸)AudtobjectaccessNotDefined

S()Aud<pokychangeNotDefined

4*lAudtoriyiieaeuseNotDefined

阖蹄荒曾曲炉舞VW吸A一

[PolicyPolicysetting,placehere

-SOAutMevents^|L■NotDefined____

题…二tr工Qm

g)Audtdrectoryserviceaccess

题AudtIDQOOevents

题AuckobjectaccessSuccess,Failure

期AudtpokychangeNotDefined

XhAudtorJMfceaeuseNotDefined

Success

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名。

所有服务器运行WindowsServer2003年。所有客户端计算机运行Windows2000专业版。

TestKing的书面安全政策规定符合下列要求：

1。所有查阅档案必须进行审计。

2。文件服务器必须能够记录所有的安全事件。

您创建一个新的组策略对象（GPO）和过滤器它不仅适用于档案服务器。您设定了审计政

策，以审计文件和文件夹的文件服务器。您配置系统访问控制列表（SACL）,以适当的

审计文件。您需要确保的GPO强制执行的书面安全政策。这两个额外的行动应在执行设定

的GPO?（每个正确答案提出解决办法的一部分。选择二）

A.设定手册保留方法安全日志。

B.设置安全日志保留的项目7天。

C.设置的最大安全日志大小所允许的最大尺寸。

D.配置的GPO关闭计算机的是无法记录安全审核。

E.确保用户谁负责审查审计日志数据被授予权管理安全日志。

答：A,D

问题编号：19

展览

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

。该域名包含50WindowsServer2003计算机配置为Web服务器。

这些Web服务器主机公共网站的客户TestKin。用户访问这些网站的库存。在每周一

次的审查TestKin的安全事件日志，您发现一个大一些发生的事件中显示的展览。你

必须防止未经授权的登录尝试从互联网上。你想实现这一目标用最低限度的行政工作。您应

该做些什么？

A创建一个新的安全模板，使用IPSec策略来过滤所有的HTTP流量除外。使用一个GPO

适用于新的安全模板，所有的Web服务器计算机。

B,创建一个新的安全模板，重新命名系统管理员帐户。使用GPO的应用新的安全模板的所

有Web服务器计算机。

C.建立一个新的安全模板配置LANManager身份验证级别只接受NTLMv2验证。使用一个

GPO适用于新的安全模板所有Web服务器计算机。

D.建立一个新的安全模板配置LANManager身份验证级别只接受NTLMv2验证。使用

secedit命令适用于新的安全模板的所有Web服务器计算机。

答：A

问题编号：20

你是一个安全管理员TestK0所有域控制器运行WindowsServer2003中。所有客户

端计算机上运行WindowsXP专业版。TestKing它的办公室设在柏林，波恩，斯图加特和

法兰克福。该网络是一个单独的ActiveDirectory林，其中包含四个领域。该域名被命名为

,,stuttgart.testking,com和frankfurt.testking,组

件。每个城市配置为ActiveDirectory站点。每个网站包含文件服务器和用户端电脑从各个

领土。要遵守当地的法律，TestKing.com的书面安全政策规定，安全事件的文件服务器必

须保持作为如下表所示：

CityPresentation

Berlin14days

Bonn28days

Stuttgart10days

Frankfurt31days

您需要配置网络，以符合书面安全政策。您要实现这一目标用最低限度的行政工作。您应该做

些什么？

A.在每个网域，建立一个区的每个其他领域。创建一个新的GPO和链接到每一个OU中。

每个GPO配置，以满足要求的书面安全政策。

B.创建一个GPO中的每个城市，每个GPO链接到相应的网站。每个GPO配置符合要求

的书面安全政策。

C.修改默认域策略GPO中的每个域。配置的GPO,以满足要求的书面安全政策。

D.修改默认域控制器策略GPO中的每个域。配置GPO中，以满足要求的书面安全政策。

答：B

问题号码：21

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory林，其中包含三个领

域。该网络包含WindowsXP专业版的客户端计算机和WindowsServer2003计算机。那个

WindowsServer2003计算机，最近从Windows2000升级服务器。一个域名在您的森林功能

的森林根域。森林域只包含帐户的系统管理员使用。管理员可以使用这些帐户只有当决策森林

全配置的变化。T的书面安全政策的规定，安全管理员时，必须记录用户登录

到任何一台电脑上使用的是林根域的帐户。您修改了默认域控制器策略GPO中。审计政策

节的GPO显示的工作领域。你需要配置的审计政策，以符合要求的书面安全政策。您必须

实现这一目标用最低数量的审计设置。您应该做些什么？

答：

PolicySettings

g.c现oUudmtaccourtbgonevents

^TestKin

logoceverr^

SQAudtobject

SQAUMpdcychange

nrrHeoeuie

解释:

PolicySettings

g.c现oUdmaccourtb90neventsNotDefined

匐Auitxtourttwv>gemert?NotDefined

FailurejTANotDefined

90Audilo9coevert.

SQAudeobjectaccessNotDefined

SQAcdipokychangeNotDefined

NotDefined

artAtas

问题号码：22

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域。该网络包含

WindowsXP专业版客户端电脑和WindowsServer2003计算机。在WindowsServer2003电

脑是最近升级从Windows2000Server。T的书面安全政策的规定，所有的变化,

并试图改变安全校长在ActiveDirectory中必须记录。您修改了默认域控制器策略GPO中。

审计政策节的GPO显示的工作领域。你需要配置的审计政策，以符合要求的书面安全政策。

您必须实现这一目标用最低数量的审计事件。您应该做些什么？

答:

PolicySettings

初Uudtaccourtb90neventsNotDefined

g•融一Success,Failure

々^drectory£^»NotDefminecd

工祭的n乐丽i

3QA(Alogonfined

垓|Audt砌稣accessNotDefined

寓AudipokychangeSuccess

StlAuitarfb4eaeuteNotDefined

PolicySettings

现UW1090nevents

NotDefined

SOAurtt41ccourttn9MjcenfrtNotDefined

颜A^d^drectorYyVV.「^NOottDDsfeinfinoedd

UestKind^j

90Aideob)ectecce^sNotDefined

初AuitpokychangeNotDefined

271Audiore^ieaemeNotDefined

问题号码：23

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名。

该网络包含的WindowsXP专业客户端计算机和WindowsServer2003计算机。TestK

书面安全政策的需要，成功地备份和恢复所有的档案的重要文件服务器必须进行审计。您创建

一个新的邮政总局和筛选，适用于文件服务器。您设定的GPO，使审计：审计使用备份和还原

特权安全的选择。您执行系统备份文件服务器。您检查事件日志和发现，没有审计信息被记录

下来。你需要配置的审计政策，以符合要求的书面安全政策。要实现这一目标用最低的审计设置。

您应该做些什么？

拖放

PolicySettings

accourtlogoneventsNotDefined

初AuritxcouftnMMgemeneNotDefined

NotDefined

soA壬|jd^d11rte疑ctory的.n螭No翩tDefined

med

现Audtob)e<taccessNotDefined

SOAudipcicychangeNotDefined

SStAcdtor^4enemeNotDefined

答：

解释:

PolicySettings

ourtlogoneventsNotDefined

蜀Au4t4ccourtnMiMgemertNotDefined

Failure7^drectory；乍、》才NNoottDDoenfnineecd

珈jelogscrevetrttKind^finied

蜀Auckob)eaaccessNotDefined

SQAUMpokychangeNotDefined

SSIAudiorMeoeuseSuccess

问题：24

你是一个安全管理员TestKing。该网络由单一ActiveDirectory域命名。所有

服务器运行WindowsServer2003年。所有客户端计算机上运行WindowsXP专业版。您管理

客户计算机通过使用组策略。有些管理员TestKing负责管理网络连接和TCP/IP协议。这

些管理员被称为基础设施工程师和成员的一个全球性集团命名Infra_Engineers。那个基础

设施的工程师必须能够配置和解决TCP/IP设置关于服务器和客户端计算机。您需要重新受

限组的政策，确保只有基础设施的工程师正在该网络的成员。配置操作员本地组的所有用户端

电脑。要实现这一目标没有给予不必要的权限的基础设施的工程师。您应该做些什么？要回答，

拖动相应的集团或团体的正确列出清单，或在对话框中的工作领域。

答：

解释:

GroupsWorkArea

ServerOperators

Administrators

问题编号：25

你是一个安全管理员TestK。该网络由一个单一的ActiveDirectory域命名

,所有服务器运行WindowsServer2003年。TestK提供远程访问公司

网络域名的用户在家工作。用户创建VPN连接到远程访问服务器命名TestKing4。

TestKing4是一个成员服务器中的网域。验证供应商的远程访问服务器是Windows身份验证。

为了尽量减少这种危险的字典攻击的用户密码，则实施了网域帐户锁定策略在Active

Directory中。您还配置遥控器访问帐户锁定在TestKing4。该帐户锁定阈值的域和最大数量

的尝试失败的TestKing4都设定为4无效的登录尝试。该帐户锁定计数器的域名后重置一小

时之久。该帐户锁定计数器TestKing4被重置后两小时。您收到报告说，一些用户在网域无

法登录到TestK网络，因为远程访问无效登录尝试锁定域用户帐户。您需要确保远

程访问无效的登录尝试没有造成域用户帐户锁定了。你不想禁用域帐户锁定政策。您应该做

些什么？

A.配置远程访问服务TestKing4不接受MS-CHAP第验证方法。

B.配置的最大数量上失败的尝试TestKing4三个无效登录尝试。

C.配置帐户锁定策略中的GPO是与欧比载TestKing4。使用帐户锁定阈值3。

D.购买TestKing4计算机帐户的Windows授权访问组安全组。

答：B

问题编号：26

你是一个安全管理员TestKing。TestKing设有办事处，在纽约，旧金山和多伦多。该网络

由一个单一的活动目录网域命名。每个办公室配置为ActiveDirectory站点。所

有服务器运行WindowsServer2003。所有客户端计算机上运行WindowsXP操作系统专业。

用户在多伦多办公室工作的研究部门。用户对象的用户谁工作中的研究部门都储存在一个组

织单位（OU）命名多伦多。用户在其他办公室经常前往多伦多办事处会议和培训。

TestKing的书面安全政策的要求，下面的设置上强制执行计算机在多伦多办公室：

1。警告讯息，提醒用户保护TestKing资料必须在显示用户登录。

2o域控制器的认证时，需要用户打开客户端计算机。

3。最高级别的认证必须使用网络上的所有倍。

您创建一个新的组策略对象（GPO）命名TorontoSecurity,以满足要求的书面安全政策。

用户谁前往多伦多办公室报告说，他们没有提出警告讯息，他们屏幕保护程序并不需要密码才

能解除。你必须确保书面安全的政策是强制执行的其他用户只当他们前往多伦多办事处。要实

现这一目标用最低数额的行政工作。您应该做些什么？

A..连结TorontoSecurityGPO的多伦多区。

B.TorontoSecurity链接的GPO到域。

C.配置登录脚本适用于自订的安全模板，当用户前往多伦多办事处。

D.连结TorontoSecurity的GPO多伦多的网站。

答：D

问题编号：27

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名。

该网络包含的WindowsXP专业客户端计算机和WindowsServer2003计算机。该域包含三

个域控制器。所有域控制器中

域控制器OU中。一种新的密码策略是指在一个安全模板命名TestKing.inf。您需要执行新

的密码政策的域帐户。您应该做些什么？

A.导入TestKing.inf安全模板的默认域策略GPO中。

B.汇入TestKing.inf安全模板的默认域控制器策略GPO中。

C.在每个域控制器，进口TestKing.inf安全模板到本地电脑的政策。

D.在每个域控制器，进口TestKing.inf安全模板到安全配置和分析，然后使用立即配置计

算机命令。

E.On的每个域控制器，运行secedit/进口TestKing.inf命令，然后侏儒secedit/configure命

令。

答:A

问题编号：28

你是一个安全管理员TestKing。该网络由一个单一的ActiveDirectory域命名。

所有域控制器运行WindowsServer2003中。所有域控制器在同一ActiveDirectory站点。要

实施一项新的审计政策的域控制器。您还要委派的管理审核和安全日志的网域控制器一个群

体的成员任命审计。您创建一个新的安全模板命名TestKing.inf。该TestKing.inf安全模板

包含新的审计策略设置和用户权限设置授予的管理审核和安全日志。在域控制器命名

TestKing5,您汇入TestKing.inf安全模板到安全配置和分析，然后使用立即配置计算机命

令。最后，您使用的计算机分析现在的命令，以确认新的设定适用于TestKing5。第二天，

成员的审计组的报告，新的审计政策设置和用户权限设置不生效的两个域控制器。你必须确

保新的审计政策和用户权限设置配置在所有域控制器。您应该做些什么？

A.每个域控制器，使用立即配置计算机命令适用TestKing.inf安全模板。

B.关于TestKing5后，您使用的计算机分析现在的命令，运行repadmin.exe/复制/force命

令。

C.在TestKing5后，您使用的计算机分析现在的命令，运行gpudate.exe/force命令。

D.在每个域控制器，进口TestKing.inf安全模板到本地电脑的政策。

E.On的TestKing5,进口TestKing.inf安全模板的默认域控制器的GPO。

答：E

问题编号：29

展览，营销的GPO

rre描DisabbmdchK¥&changesNotDefined

SXjOamammember:rwhneaccourtpassword8cNotDefned

桢rrember:Requirestrong(Wndows2GOOoriater)sr幺…NotDefned

S3InteractivebgcnDonotdsplaylastuseroameNotDefned

^Interactivelogon：OonotrequireCTRL+ALT+DCLNotDefned

InterdctrvebgonMessagetextforusersattem凶ptogonThscomputerisreservedfoeusersnt

镯Interactwebgcr»：MesjagebttefeeusersMtemptngtologonlegdNote©

Intera