2025年PT2安全认证SSTP含ACAFSIPEDRAtrust题库【深信服PT2题库第三部分】

A.检查互联网外部PC使用nslookup解析域名，是否能直接解析到web服务器内网地址B.检查代理网关和Web应用的真实IP地址是否联通，若代理网关不能访问则检查网络连通性C.检查代理网关是否能解析web资源的后端服务器域名地址，若不能解析，有可能是跟DNS服务器之间的网络存在故障。D.检查本地PC使用nslookup解析域名，是否能解析到代理网关公网地址正确答案:A解析：在排查Web应用站点无法打开的问题时，互联网外部PC通常应该解析到代理网关的公网地址，以便通过代理网关访问内部Web服务器。直接解析到Web服务器的内网地址是不正确的，因为这会绕过代理网关，可能导致无法访问或安全问题。因此，选项A中的说法是错误的。641.【atrust】客户希望使用我们aTrust产品后，能访问他们B/S应用Notes邮箱，下列配置思路正确的是A.创建用户-创建Notes隧道应用-隧道应用关联给对应用户B.创建用户-创建Notes隧道应用-配置上线准入策略和应用防护策略C.创建用户-创建Notes隧道应用-配置权限基线D.创建用户-创建可信应用只允许Notes邮箱的程序-创建Notes邮箱Web应用-Web应用关联给用户正确答案:B解析：在配置aTrust产品以便客户能访问B/S应用Notes邮箱时，需确保用户、应用及安全策略的正确设置。首先，创建用户是基础步骤，用于在系统中建立用户账户。接着，针对Notes邮箱这一特定应用，需要创建Notes隧道应用，以便实现安全的访问通道。最后，为了保障访问的安全性和合规性，必须配置上线准入策略和应用防护策略。这些策略能够控制用户的访问权限，防止未授权访问，并保护应用免受潜在威胁。因此，正确的配置思路是B选项：创建用户-创建Notes隧道应用-配置上线准入策略和应用防护策略。642.【atrust】关于可信应用，下列说法错误的是?A.只支持隧道应用B.无需开启，只要使用隧道应用，就会进行采集进程C.自定义可信进程时，配置进程名不支持通配符∗D.设置可信进程的hash值，可以用系统自带命令行工具计算：Windows系统：certutil-hashile[拖曳要计算的文件到此处]SHA256例：certutil-hashfiled：\sangfor.exeSHA256Mac系统：openssldgst-sha256[拖曳要计算的文件到此处]例：openssldgst-sha256/System/Application/Calendar.app/Contents/MacOS/Calendar正确答案:C解析：在定义可信应用时，通常可以自定义可信进程，并且配置进程名时支持使用通配符来匹配多个进程，这样可以更灵活地管理可信进程的范围。选项C中提到的“配置进程名不支持通配符*”是不正确的说法。其他选项描述的是可信应用的相关特性或操作方式，均为正确或可能的描述。643.【atrust】下列关于动态令牌认证说法，错误的是()A.raduis动态令牌认证只能作为二次认证，不支持作为主认证B.动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效C.radius令牌认证不支持在增强认证使用D.radius认证服务器地址配置是基于主备认证服务器的概念，第一个地址认证请求超时后，会到第二个地址去请求，如果认证服务器响应后，将会到该认证服务器认证，不会再去下个认证服务器地址请求正确答案:C解析：动态令牌认证是一种安全认证方式，通常用于增强系统的安全性。644.【atrust】客户黄大湿发布了门户网站的TCP/UDP协议的隧道资源，后端地址为，问该门户网站的时候发现无法打开，下列排查方法正确的是?A.在代理网关设备ping一下域名，查看代理网关是否能解析B.检查终端PC上是否生成门户网站内网IP的路由，下一跳为虚拟网卡的IP，若未生成，检查是否有给左大美女的用户分配该应用，或终端环境问题导致，再进一步排查C.在终端PC上检查域名是否正常解析为内网真实IP地址，若不能，更换PC的DNS服务器为内网DNSD.在终端电脑上telnet门户网站的域名，发现无法正常通，说明设备故障了正确答案:A解析：这道题考察的是对网络故障排查的理解。首先，当门户网站无法打开时，我们需要从网络层面进行排查。选项A提到在代理网关设备ping域名，这是一个基本的排查步骤，可以检查代理网关是否能解析域名，从而定位问题是否出在DNS解析上。选项B涉及到检查终端PC的路由配置，虽然这也是排查的一部分，但不是首选步骤，因为问题可能并不在终端。选项C提到检查域名解析，这通常是第二步，先确认网关是否能解析，再检查终端。选项D直接判断设备故障，这是不准确的，因为无法打开网站可能由多种原因造成，设备故障只是其中之一。因此，正确的排查方法是选项A。645.【atrust】客户黄工使用的是AD域对接aTrust，使用AD域中的账号登录，希望登录时可以实现以下需求：1、我们公司都是长沙人在用，非长沙的IP不能接入aTrust2、登录的账号不能是弱密码，若是弱密码则不允许他登录3、登录的时间需要是在早上7点到晚上12点才能登录，非这个时间段登录需要进行短信认证下列实现这些需求说法错误的是?A.需求1可以在上线准入策略中设置允许登录的城市为长沙市实现B.需求2可以在认证策略中的增强认证中勾选用户密码属于弱密码的条件C.需求3可以在认证策略中的增强认证中设置异常时间为晚上12点到早上7点，这个时间段登录的进行短信增强认证D.需求3可以在上线准入策略中设置允许登录时间为早上7点到12点，不在这个时间段的进行灰度处置，灰度处置的补救动作为进行短信认证正确答案:B解析：这道题考察的是对aTrust身份认证和访问控制策略的理解。-对于需求1，确实可以在上线准入策略中设置允许登录的城市，这是基于地理位置的访问控制，所以A选项正确。-对于需求2，虽然aTrust支持增强认证，但通常不会直接提供“用户密码属于弱密码”的条件作为勾选选项。密码强度通常由密码策略在后台进行管理和判断，而不是在认证策略中直接勾选。因此，B选项错误。-对于需求3，可以在认证策略中设置异常时间，并指定在这个时间段登录的用户需要进行额外的认证步骤，如短信认证。所以C选项描述了一种可能的实现方式，是正确的。-另一种实现需求3的方式是在上线准入策略中设置允许登录的时间段，并对不在这个时间段内的登录尝试进行特定的处置，如灰度处置，并要求进行短信认证作为补救动作。因此，D选项也是正确的。综上所述，B选项是错误的，因为它错误地描述了如何在aTrust中实现密码强度的检查。646.【atrust】关于可信应用，下列说法错误的是?A.可信应用的防护策略只能添加到windows、macOS、linux系统中；不支持IOS和Android系统。B.可信应用的进程标签有以下四种：常见攻击工具、孤立进程、未签名进程、未知。C.孤立进程是指访问应用的人数≤10的进程。D.可信应用的黑客工具进程不能在web页面手动自定义添加。正确答案:D解析：首先，我们来分析各个选项的内容：647.【atrust】关于atrust与阿里云做短信认证对接的重要参数中，说法错误的是()A.需要获取到阿里云的SDKAppIDB.需要获取到阿里云的模板CODEC.需要获取到阿里云的AccessKeyIDD.需要获取到阿里云的AccessKeySecret正确答案:A解析：这道题考查atrust与阿里云做短信认证对接的重要参数知识。在实际对接中，B选项的模板CODE、C选项的AccessKeyID和D选项的AccessKeySecret都是必需的。而获取阿里云的SDKAppID并非对接的重要参数，所以A选项说法错误。648.【atrust】关于用户应用授权继承方式中，下列说法错误的是?A.可继承来自组织架构的应用B.可继承来自群组的应用C.可继承来自角色的应用D.针对外部用户目录，用户无法继承来自组织架构的应用正确答案:D解析：在用户应用授权继承方式中，用户可以从多个来源继承应用授权，包括组织架构、群组和角色。对于外部用户目录的用户而言，他们同样可以继承来自组织架构的应用授权，因此选项D中的说法“针对外部用户目录，用户无法继承来自组织架构的应用”是错误的。649.【atrust】下列关于radius账号认证说法错误是()A.raidus认证支持的扩展属性有绑定的手机号码、组织架构以及显示名等B.raidus认证支持的字符集有UTF-8和GBKC.radius认证协议支持PAP和CHAPD.radius认证的用户默认支持导入到本地正确答案:D解析：RADIUS（RemoteAuthenticationDial-InUserService）认证是一种网络认证协议，用于提供对远程用户的认证、授权和记账服务。关于RADIUS账号认证的说法：650.【atrust】关于安全基线下列说法错误的是?A.安全基线是用于检测终端环境是否满足访问应用时的条件规则B.安全基线可针对不同的操作系统，指定不同的安全策略C.某基线判定条件只配置Windows系统条件时，那么Mac系统和iOS/Android系统访问该基线的应用将直接被拒绝D.当存在安全基线E.安全基线B和安全基线C时，终端PC访问应用时必须同时满足安全基线F.B、C才能访问正确答案:C解析：这道题考察的是对安全基线概念的理解。安全基线确实用于检测终端环境是否满足访问应用的条件规则，并且可以根据不同的操作系统指定不同的安全策略。然而，说“某基线判定条件只配置Windows系统条件时，Mac系统和iOS/Android系统访问该基线的应用将直接被拒绝”是不准确的。实际上，如果基线只针对Windows系统配置，那么非Windows系统访问时，只是不会应用这些特定的基线规则，而不是直接被拒绝。因此，C选项是错误的。651.【atrust】客户在测试过程中想要测试一个在线的B/S应用(域名)，但客户要求，在测试的过程中不允许影响现网业务，针对该需求下列哪项是错误的?A.可以发布WEB资源，后端访问地址填写业务的真实服务器地址，前端地址填写。并要求客户将域名解析指向代理网关公网地址。B.可以发布WEB资源，后端访问地址填写业务的真实服务器地址，前端地址填写。配置WEB资源的私有DNS解析，实现测试不影响现网业务。C.可以建议客户发布隧道域名资源，并选择HTTP/HTTPS协议服务器地址填写，端口为443D.可以建议客户发布隧道域名资源，并选择TCP/UDP协议，协议选择TCP，服务器地址填写，端口为443正确答案:A解析：在测试过程中，若要求不影响现网业务，关键在于确保测试流量不直接流向现网服务器。选项A中，将前端地址设置为，并要求客户将该域名解析指向代理网关公网地址，这会导致测试时访问请求直接通过代理网关流向现网的真实服务器地址，从而可能影响现网业务的正常运行。而选项B通过配置WEB资源的私有DNS解析，可以确保测试流量在内部环境中流转，不影响现网。选项C和D通过发布隧道域名资源，并选择合适的协议和端口，同样可以实现测试的隔离，避免对现网业务造成影响。因此，选项A是错误的。652.【atrust】下列关于动态令牌技术原理，说法错误的是()A.基于时间同步的令牌，动态令牌和动态口令验证服务器的时间比对，基于时间同步的令牌，一般每60秒产生一个新口令，要求服务器能够十分精确的保持正确的时钟B.基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，通过HASH算法中运算出一致的密码C.基于挑战/应答的令牌，在网站/应答上输入服务端下发的挑战码，动态令牌输入该挑战码，通过内置的算法上生成一个6/8位的随机数字，口令一次有效D.基于用户账号关联的令牌，对应的用户账号使用特定的令牌与动态口令验证服务进行比对，口令一致即可生效正确答案:D解析：首先，我们来了解动态令牌技术的三种主要原理：时间同步、事件同步和挑战/应答。A选项描述了基于时间同步的令牌工作原理。这种技术是通过动态令牌和动态口令验证服务器之间的时间比对来工作的。通常，基于时间同步的令牌会每60秒生成一个新的口令，这就要求服务器能够非常精确地保持正确的时钟，并对令牌的晶振频率有严格的要求。因此，A选项的描述是准确的。B选项描述了基于事件同步的令牌工作原理。这种技术的原理是通过一个特定的事件次序以及相同的种子值作为输入，然后通过HASH算法运算出一致的密码。这也是事件同步令牌的正确工作原理，所以B选项的描述是正确的。C选项描述了基于挑战/应答的令牌工作原理。在这种技术中，用户在网站或应用上输入服务端下发的挑战码，然后动态令牌使用该挑战码，通过内置的算法生成一个6位或8位的随机数字作为口令，这个口令是一次性的。C选项的描述符合挑战/应答令牌的实际工作原理，因此C选项的描述是正确的。D选项描述的“基于用户账号关联的令牌”并不是动态令牌技术的一种常见或标准原理。动态令牌通常不直接与用户账号关联，而是通过时间、事件或挑战/应答机制来生成动态口令。因此，D选项的描述是错误的。综上所述，答案是D，因为D选项关于动态令牌技术原理的描述是错误的。653.【atrust】一天，你到客户黄工处测试aTrust，测试过程中，黄工想详细了解免认证应用功能，下列关于免认证应用说法错误的是?A.免认证应用是一个特殊的web应用，不能授权给某一用户，是全局的，即谁都能访问。B.免认证应用不建议发布非门户类应用，存在安全隐患C.免认证应用可由代理网关可直接代理访问，但需要进行身份鉴别D.发布免认证应用，需要和客户明确应用直接暴露在公网所带来的风险正确答案:C解析：免认证应用作为一种特殊的web应用，其特性是全局可访问，不能特定授权给某一用户。由于这种特性，免认证应用不建议用于发布非门户类应用，因为这可能带来安全隐患。同时，在发布免认证应用时，必须与客户明确应用直接暴露在公网所带来的风险。而对于选项C提到的“免认证应用可由代理网关可直接代理访问，但需要进行身份鉴别”，这与免认证应用的基本定义相悖。免认证应用的核心就是无需身份鉴别即可访问，因此C选项的说法是错误的。654.【atrust】客户黄大湿有自己的LDAP服务器，想要统一使用LDAP服务器中的账号做认证，统一管理，下列需求说法错误的是?A.aTrust设备可以和LDAP服务器对接实现使用LDAP服务器中的账号登录aTrustB.对接LDAP服务器后如果需要精细化的授权，需要把用户或者用户组导入到本地，进行精细化授权C.LDAP认证对接后支持进行短信、Radius令牌、TOTP令牌等二次认证方式组合认证D.设备对接LDAP服务器后，再对接其他业务系统，用户登录aTrust后，访问其他业务系统可以无需配置，输入业务系统的账号密码，实现单点登录正确答案:D解析：在aTrust设备与LDAP服务器对接后，虽然可以实现使用LDAP服务器中的账号登录aTrust，并且支持精细化的授权以及二次认证方式的组合认证，但是对接其他业务系统时，并不能实现用户登录aTrust后无需配置即可访问其他业务系统并进行单点登录。单点登录通常需要通过特定的技术或协议来实现，如SAML、OAuth等，并且需要各个业务系统支持相应的单点登录机制。因此，选项D的说法是错误的。655.【atrust】关于隧道资源和Web资源的异同点，下列说法错误的是?A.隧道资源默认使用的是TCP441端口，Web资源协议使用的是TCP443端口B.隧道资源和Web资源发布后，都支持使用域名在用户不登录的情况，直接访问该业务系统C.访问隧道应用需要安装客户端，访问Web资源若使用私有DNS的功能也需要安装客户端D.Web资源支持URL级别的访问控制，而隧道资源不支持正确答案:B解析：对于隧道资源和Web资源的异同点，我们来逐一分析选项内容：656.【atrust】下列关于aTrust免认证应用说法错误的是A.免认证应用需要域名才能使用B.免认证应用也需要鉴权，认证通过才可访问C.免认证应用一般不推荐使用，适用于发布认证服务器的登录入口地址D.免认证应用不支持发布C/S类资源正确答案:B解析：免认证应用通常指的是在某些特定场景下，用户无需进行身份认证即可访问的应用。根据描述：657.【atrust】一天，产品经理彭工拉着你沟通需求，然后打开文档发现客户需求有以下四点，下面需求我们不能实现的是?A.客户有自己的统一认证平台，使用的是Oauth2.0协议，使用的是授权码的模式，aTrust和统一认证对接实现接入aTrust后访问其他业务系统可以单点登录B.客户希望使用下属A分公司使用谷歌动态令牌认证，下属B公司使用腾讯云的短信认证，希望aTrust支持针对不同用户组设置不同认证策略C.客户的统一认证平台有LDAP接口，希望实现统一认证的用户可以导入到aTrust设备中，且aTrust的用户组织架构发生变化时，会同步到统一身份认证平台。D.客户希望统一认证平台未导入到aTrust设备中的用户也能登录aTrust。正确答案:C解析：客户希望统一认证平台未导入到aTrust设备中的用户也能登录aTrust，因此C选项中的内容是不符合要求的，答案是C。658.【atrust】零信任aTrust的应用与用户精细化管控，下面哪种授权方式是错误的?A.基于用户授权B.基于组织架构授权C.基于角色标签授权D.针对外部用户目录，无法基于角色标签授权正确答案:D解析：在aTrust的零信任安全模型中，对于应用与用户的精细化管控，授权方式有多种，包括基于用户授权、基于组织架构授权以及基于角色标签授权。这些授权方式都是为了更灵活、更精确地控制用户对资源的访问权限。针对外部用户目录，同样可以基于角色标签进行授权，以实现统一的访问控制和安全管理。因此，选项D“针对外部用户目录，无法基于角色标签授权”是错误的。659.【atrust】关于隧道应用，下列说法错误的是A.隧道应用支持B/S和C/S的应用发布B.隧道模式发布隧道资源，支持通配符、域名和ip发布C.支持配置https/协议的隧道，实现应用单点登录D.支持私有DNS解析、WEB水印和ip源限制正确答案:D解析：暂无解析660.【atrust】下列关于权限采集功能，说法不正确的是A.权限采集分为三个阶段，采集阶段、试运行阶段和正式运行阶段B.权限采集不支持隧道应用C.权限采集用户访问人数的人数变化更新是每小时更新D.权限采集到正式运行阶段可以导出权限采集报告正确答案:B解析：这道题考查对atrust权限采集功能的了解。在相关技术中，权限采集通常有多个阶段和特定的运行规则。A选项说明了权限采集的阶段；C选项提到了用户访问人数变化的更新频率；D选项指出正式运行阶段可导出报告。而B选项说权限采集不支持隧道应用是不正确的，实际上权限采集是支持隧道应用的。661.【atrust】以下TOTP动态令牌认证适用场景中，说法错误的是()A.使用TOTP动态令牌认证做辅助认证B.使用TOTP动态令牌认证做主认证C.在认证策略中做增强认证和可信终端验证D.在上线准入策略和应用防护策略中做补救动作认证正确答案:B解析：TOTP（Time-basedOne-TimePassword，基于时间的一次性密码）动态令牌认证是一种常用的安全认证方式。它通常被用作辅助认证或增强认证，以增加安全级别，而不是作为主要认证方式。在认证策略中，TOTP动态令牌认证可以与主认证方式结合使用，提供额外的安全保障。同时，它也可以用于可信终端验证，以及在上线准入策略和应用防护策略中作为补救动作的认证方式。因此，选项B“使用TOTP动态令牌认证做主认证”是错误的。662.【atrust】关于atrust与云图做短信对接的参数要求中，说法错误的是()A.根据云图短信接口文档中，的请求方式为GET方式B.根据云图短信接口文档中，请求设置中的请求头部的字段与值对应的指分别为：Content-Type与application/jsonC.根据云图短信接口文档中，请求设置中的请求体需包含{account"："密钥账号"，"password"："密钥密码"，"phone"："手机号参数"，"content"："短信模板参数D.根据云图短信接口文档中，响应设置中的解析格式为json格式，对应的认证成功条件为code相等0正确答案:A解析：在云图短信接口文档中，通常短信接口的请求方式应为HTTPS协议下的POST请求，而非GET方式。HTTPS协议能够保障数据传输的安全性。请求头部中，Content-Type字段通常设置为application/json，表示请求体的数据类型为JSON格式。请求体中需要包含必要的参数，如密钥账号（account）、密钥密码（password）、手机号参数（phone）以及短信模板参数（content）。响应设置中，解析格式通常为JSON格式，认证成功的条件一般是通过判断返回的code字段值是否为0来确定。因此，A选项中的说法“请求方式为GET方式”是错误的。663.【atrust】下列关于SPA功能，说法错误的是?A.2.2.2版本之后SPA功能，客户端与安全码做了分离；用户敲门需使用SPA安全码，安全码的分发需要使用短信进行分发。B.用户未安装客户端或未获取到SPA安全码访问零信任设备，客户端输入用户接入地址，登录失败，被SPA拦截，拦截页面会显示无访问此网站，响应时间超时的错误状态码。C.自2.2.2版本之后，SPA支持使用域名或IP接入，即用户可使用域名或IP地址访问零信任设备，实现SPA敲门校验D.开启SPA功能后，使用端口扫描工具，可以扫描到零信任设备的相关业务端口正确答案:D解析：SPA（SecurePrivateAccess）功能主要用于隐藏发布到互联网的内网业务系统，增强安全性。关于SPA功能的描述：664.【aTrust】下列关于零信任SPA的简单数据流，下列说法错误的是?A.安装客户端后，输入客户端接入地址，会被客户端的地址引流，并解析为/16中的某一个B.用户客户端发出UDP敲门包后，如果敲门成功，控制中心会关闭防火墙C.如果敲门失败了，用户会看到请求访问链接被拒绝D.若多个用户出口共用一个出口IP地址，那么敲门成功后，所有的用户都能扫描到aTrust端口正确答案:B解析：在零信任SPA的数据流中，客户端的安装和接入是关键步骤。安装客户端后，用户输入客户端接入地址，该地址会被引流至客户端的特定IP段（如地址，并解析为/16中的某一个）。为了建立连接，用户客户端会发出UDP敲门包。然而，敲门成功并不意味着控制中心会关闭整个防火墙，而是会允许特定的、经过验证的流量通过。如果敲门失败，用户会看到请求访问链接被拒绝，这是出于安全考虑。此外，若多个用户共用一个出口IP地址，敲门成功后，并不意味着所有用户都能扫描到aTrust端口，因为端口的开放和访问权限是基于用户身份和验证状态的。因此，B选项中的说法是错误的。665.【aTrust】下列关于SPA的说法错误的是A.SPA即单包授权，通过对连接服务器的所有数据包进行认证授权，服务器认证通过之后，才会响应连接请求。以此实现企业业务的网络隐身，从网络上无法连接、无法扫描。B.启用UDP敲门，需同时将要隐藏的服务器端口在公网上做TCP和UDP协议的端口映射，否则将无法访问C.SPA目前支持第三代，即UDP+TCP敲门。其中UDP敲了可实现端口隐藏，TCP敲门是减缓DOS攻击D.用户使用UDP敲门成功后，同一环境下的用户安装一个·普通客户端也能正常接入正确答案:D解析：首先，我们来看SPA的定义和用途。SPA，即单包授权，是一种通过对连接服务器的所有数据包进行认证授权来实现网络安全的技术。当服务器认证通过后，才会响应连接请求，从而达到保护企业业务的目的，实现网络隐身，使网络上无法直接连接和扫描。接下来，我们逐一分析每个选项：A项描述了SPA的基本概念和功能，这与SPA的实际定义和用途是一致的。B项提到启用UDP敲门时需要同时在公网上做TCP和UDP协议的端口映射。这确实是实现UDP敲门功能的必要步骤，因为UDP敲门通常需要TCP和UDP的协同工作来确保服务的可用性和安全性。C项指出SPA目前支持第三代，即UDP+TCP敲门，并解释了UDP敲门和TCP敲门各自的作用。这与SPA技术的发展和应用是一致的。D项则声称，用户使用UDP敲门成功后，同一环境下的其他用户只需安装一个普通客户端就能正常接入。这一说法是错误的。因为SPA和UDP敲门都是基于严格的安全认证和授权的机制，不是所有用户都能通过简单的安装普通客户端就接入系统。即使是同一环境下的用户，也需要经过相应的认证和授权过程才能接入。综上所述，选项D关于SPA的说法是错误的，因此答案是D。666.【atrust】小明只配置了一个web应用，其中前端访问地址为客户想要在公网环境能访问该应用，以下为必要的操作是?A.客户端接入地址端口未更改，需要将零信任sdpc的地址加443端口映射到公网B.将零信任proxy的地址加4430端口映射到公网C.将零信任sdpc的地址加4320端口映射到公网D.将零信任proxy的地址加4433端口映射到公网正确答案:A解析：在配置web应用以便在公网环境中访问时，通常需要将应用服务器（在此情境下为零信任sdpc）的地址和相应的端口映射到公网上。443端口是HTTPS服务的标准端口，用于加密的网页通信。因此，若小明希望客户能在公网环境中访问其web应用，且客户端接入地址端口未更改，那么必要的操作是将零信任sdpc的地址加上443端口映射到公网。这样，外部用户就可以通过公网上的地址和443端口来访问该web应用了。667.【atrust】针对零信任aTrust接入场景描述，下列说法错误的是?A.远程办公接入场景是零信任aTrust的主打场景B.远程办公接入场景，可实现隐藏内网业务服务器对外暴露的端口，收缩暴露面C.远程办公接入场景下，同时也是需要客户将内网业务服务器的相关业务端口映射到公网D.远程办公接入场景下，只需要暴露零信任aTrust的相关端口即可正确答案:C解析：在零信任aTrust的远程办公接入场景中，通过aTrust的反向代理功能，可以实现隐藏内网业务服务器对外暴露的端口，从而收缩暴露面并提高系统安全性。此外，采用aTrust时，无需将内网业务服务器的相关业务端口映射到公网，只需暴露零信任aTrust的相关端口，这样减少了因端口暴露带来的潜在安全风险。668.【atrust】零信任aTrust对于资源发布，下列说法错误的是?A.远程办公接入场景，控制中心主要是承担用户认证，鉴权和策略下发的功能B.代理网关主要是承担用户访问内网应用的流量C.用户上线零信任后，控制中心会下载临时路由和用户资源下发给用户终端D.无法发布泛域名资源正确答案:D解析：这道题考查对【atrust】零信任aTrust资源发布的理解。零信任体系中，控制中心有特定功能，代理网关承担相应流量。用户上线后控制中心会有相关操作。而实际上，零信任aTrust是可以发布泛域名资源的，选项D说法错误。669.【atrust】关于认证策略，下列说法错误的是?A.一个用户只能属于一个认证策略，新的认证策略管理用户会覆盖原来的认证策略B.增强认证中的“账号弱密码登录”针对的账号是外部用户账号C.移动端也可以使用自适应认证方式D.如果管理员在1.【认证策略-增强认证】中，开启了”账号首次登录“、“账号在该终端首次登录“和”账号在非常用地点登录的条件“，只会触发“账号首次登录”时，不会触发”账号在该终端首次登录“和”账号在非常用地点登录“正确答案:C解析：在认证策略中，移动端并不支持自适应认证方式，这是由认证系统的设计和安全考虑所决定的。因此，选项C的说法是错误的。670.【atrust】零信任aTrust自适应场景中，若管理员开启了二次认证，同时开启了免二次认证和一键上线，未配置安全规则，下列说法错误的是?A.用户登录时，不论环境是怎样的，都会免除二次认证，并能实现一键免密登录B.用户登录，若终端满足免二次认证的条件，但不满足一键上线的条件，那么用户能实现的效果为登录免二次认证，但无法实现一键免密上线C.用户登录，若终端满足免二次认证的条件和一键上线的条件，那么用户在登录时可只需要输入一次账号密码即可；用户退出客户端/电脑关机/重启后，重新再次打开aTrust客户端可实现一键免密登录D.用户输入主认证后，客户端就会上报终端环境给服务端，服务器根据上报的信息来决定用户是否需要免除二次认证；用户在退出客户端后，客户端会检查终端终端环境，上报服务端，一次来决定用户退出是否需要记住登录信息正确答案:A解析：这道题考查对【atrust】零信任aTrust自适应场景相关规则的理解。在未配置安全规则的情况下，B选项说明了终端满足不同条件的不同登录效果；C选项描述了特定条件下的登录方式；D选项解释了客户端与服务端的交互机制。而A选项中“不论环境怎样都会免除二次认证并一键免密登录”的说法错误。671.【atrust】零信任aTrust自适应场景中，若管理员开启了豁免规则(即免二次认证和一键上线)同时还开启了安全规则，下列说法错误的是?A.用户登录上线，环境满足了豁免规则和安全规的条件，那么用户登录需要进行1次认证B.用户登录上线，环境不满足豁免规则的条件，但满足安全规则的条件，那么用户登录需要进行3次认证C.用户登录上线，环境满足了一键上线的条件和口安全规则的条件；那么首次登录时需要进行2次认证，退出客户端后再次登录aTrust，则不可实现免密上线，这是因为免密上线规则优先与安全规则D.用户登录上线，终端环境不满足豁免规则和安：全规则，那么用户登录需要进行2次认证正确答案:A解析：在aTrust零信任自适应场景中，豁免规则允许用户免二次认证和一键上线，而安全规则则定义了登录时需要满足的安全条件。根据这些规则：A选项错误，因为当环境同时满足豁免规则和安全规则的条件时，由于豁免规则的存在，用户登录应该不需要进行二次认证，即只需要1次认证。但描述中错误地表示需要进行1次认证，实际上应该是“不需要进行二次认证”或“只需进行一次认证即可上线”。B选项正确，描述了当环境不满足豁免规则但满足安全规则时，用户登录需要进行更多次的认证，这是符合安全规则的常规操作。C选项描述了满足一键上线条件和安全规则时的登录行为，指出首次登录后，由于安全规则的优先级，再次登录时不能实现免密上线，这是合理的。D选项正确，指出当终端环境既不满足豁免规则也不满足安全规则时，用户登录需要进行更多次的认证，这也是符合系统安全逻辑的。因此，错误的选项是A。672.【atrust】零信任aTrust替换SSLVPN场景下列说法正确的是A.支持将SSLVPN设备的所有配置导入到零信任aTrust设备B.只允许将SSLVPN的用户、用户组导入零信任aTrust设备C.允许将SSLVPN的用户、用户组、角色、应用和应用组之间的关联关系导入至零信任aTrust设备D.SSLVPN设备导入零信任aTrust设备，不受版本的限制正确答案:C解析：在零信任aTrust替换SSLVPN的场景中，支持将SSLVPN的用户、用户组、角色、应用和应用组之间的关联关系导入至零信任aTrust设备。这一功能确保了替换过程中的数据完整性和连续性，使得原有的用户配置和权限关系得以保留。而关于其他选项，如将所有配置导入、只允许导入用户和用户组、以及不受版本限制等说法，并未得到官方或技术文档的支持。因此，正确答案是C。673.【atrust】客户黄工之前有使用我们的SSLVPN设备，现在了解了零信任后，想使用aTrust替换SSLVPN，你去实施的时候下列操作错误的是?A.客户设备是7.1版本的SSL设备，可以直接将配置文件导入aTrust设备中B.导入SSL的配置可以导入用户、用户组、资源、资源组、角色、认证策略C.导入SSL的配置需要在控制中心和代理网关分别导入D.使用全新的域名和端口或公网IP和端口接入aTrust是替换SSL最容易回退的方案正确答案:D解析：在将SSLVPN替换为aTrust的过程中，需要注意几个关键点。首先，关于配置文件的迁移，通常不同版本或不同类型的设备间直接迁移配置文件可能不兼容，需要具体查看设备文档或进行兼容性测试。但在此题目中，A选项指出7.1版本的SSL设备配置文件可以直接导入aTrust设备中，这一说法虽未明确说明是否经过兼容性测试，但题目本身未否定其可能性，故在此不作为主要错误点。674.【atrust】零信任aTrust替换SSLVPN场景中，导入出现报错信息："code"：10000000，"message"："pleaseapecifyresourceNodeArea"，可能是因为什么原因?A.上传的SSLVPN配置文件有错误B.零信任aTrust版本不兼容C.零信任aTrust的代理网关区域节点被更改了，但导入时默认选择了默认区域节点，需要使用参数指定区域节点D.可能是因为SSLVPN设备低于7.5版本，同时零信任aTrust设备在导入是输入参数错误，导致的。解决办法就是升级SSLVPN和升级零信任aTrust设备再重新导入。正确答案:C解析：在零信任aTrust替换SSLVPN的场景中，导入时出现的报错信息“pleasespecifyresourceNodeArea”直接指向了问题所在，即需要指定资源节点区域。这通常是因为零信任aTrust的代理网关区域节点已被更改，而在导入过程中却默认选择了默认的区域节点，没有根据实际情况使用参数来指定正确的区域节点。因此，选项C准确描述了这一可能的原因。675.【atrust】关于aTrust与SSLVPN的功能对比，下列说法错误的是A.aTrust应用分为两种，分别是隧道应用和web应用。SSLVPN分为L3VPN/TCP/WEBVPN资源B.SSLVPN支持发布长链接，aTrust支持短连接和长链接的发布C.aTrust发布WEB资源时，可以不安装客户端。SSLVPN发布WEBVPN时可以不需要安装客户端D.aTrust支持发布Web资源免客户端的功能，而SSLVPN接入必须使用客户端正确答案:D解析：aTrust与SSLVPN在功能上有各自的特点。首先，aTrust应用分为隧道应用和web应用，而SSLVPN则分为L3VPN/TCP/WEBVPN资源，这与选项A的描述相符。其次，关于链接的支持情况，SSLVPN主要支持发布长链接，而aTrust则能够支持短连接和长链接的发布，这与选项B的表述一致。再来看选项C，它提到aTrust发布WEB资源时可以不安装客户端，这一点是正确的；同时，SSLVPN在发布WEBVPN时也可以不安装客户端，这与通常的理解可能有所不同，但根据搜索结果，这一描述是准确的。最后，关于选项D，它错误地声称SSLVPN接入必须使用客户端，实际上SSLVPN在发布WEBVPN时是可以不安装客户端的，因此选项D的说法是错误的。676.【atrust】零信任aTrust替换SSLVPN场景中，对于将SSLVPNI设备的配置导入至零信任aTrust设备，说法错误的是?A.零信任aTrust2.2.2版本支持将SSLVPN7.5及以上的版本配配置导入B.若客户SSLVPN的版本低于7.5，为了能将配置导入零信任EaTrust设备，可将设备升级到高于7.5版本(需保证设备没有定制的前提)C.SSLVPN配置导入零信任aTrust设备，导入的配置范围是SSL设备的部署模式、路由等基础信息。D.若客户的SSLVPN设备用户是外部用户，那么首先就需要在aTrust设备完成外部用户的同步，再进入webconsole页面，使用vpn_import工具导入正确答案:C解析：在零信任aTrust替换SSLVPN的场景中，关于配置导入的说法，我们可以根据相关知识进行分析：A选项描述了aTrust的一个版本特性，即支持从特定版本及以上的SSLVPN导入配置，这是合理的。B选项提到，如果SSLVPN版本低于aTrust支持的版本，可以通过升级SSLVPN设备来导入配置，这也是一个可行的解决方案，前提是设备没有定制。C选项声称导入的配置范围仅限于SSL设备的部署模式、路由等基础信息。然而，在实际应用中，配置导入通常涉及更广泛的设置，包括但不限于用户信息、权限、访问策略等。因此，C选项的描述是不准确的。D选项描述了导入配置前的一个必要步骤，即如果SSLVPN设备的用户是外部用户，则需要在aTrust设备上完成外部用户的同步。这是一个合理的预处理步骤，以确保用户信息的一致性和访问的连续性。综上所述，C选项是错误的，因为它错误地限制了配置导入的范围。677.实现个人微信公众号登录后，访问应用A.实现个人微信公众号登录后，访问应用B.新版钉钉场景下，取消了扫码登录appld和appsecret的概念，转而由应用的appkey和appsecret替代C.钉钉对接miniconnect后，无法主动注销D.企业微信，钉钉和飞书，都可将用户目录信息同步至aTrust本地，实现精细化授权正确答案:D解析：在探讨各平台与aTrust的集成及功能时，关键在于理解它们如何协同工作以实现更高效、精细化的权限管理。企业微信、钉钉和飞书作为主流的企业通讯与协作平台，各自拥有完善的用户管理和身份验证机制。当这些平台与aTrust这样的身份认证及访问控制系统集成时，它们能够将自身的用户目录信息同步至aTrust本地。这一同步过程使得aTrust能够获取到详细的用户身份信息，进而根据这些信息执行精细化的授权策略，确保每个用户只能访问其权限范围内的资源。因此，选项D正确描述了这一集成功能。678.【atrust】零信任aTrust对接飞书，以下说法错误的是?A.通过oauth2票据认证对接，可对接飞书，实现用户扫码登录PC端，访问内网应用。B.对接飞书后，可实现用户在手机端登录飞书app，访问H5应用，且不需要再次经过aTrust认证，即可单点访问应用C.对接飞书后，可使用用户在PC端登录飞书软件，访问H5应用，且不需要再次经过aTrust认证，即可单点登录访问D.对接飞书，要求客户必须提供aTrust控制中心的域名和证书，否则会对接失败正确答案:D解析：在aTrust与飞书的对接过程中，并不要求客户必须提供aTrust控制中心的域名和证书。因此，D选项中的说法“对接飞书，要求客户必须提供aTrust控制中心的域名和证书，否则会对接失败”是错误的。其他选项描述的是aTrust与飞书对接后可能实现的功能或认证方式。679.【atrust】关于零信任aTrust对接企业微信和钉钉，下列说法正确的是?A.aTrust对接企业微信，并发布H5微应用客户必须要提供域名，否则不支持B.aTrust对接钉钉，并发布H5微应用客户必须要要提供域名，否则不支持C.企业微信使用H5微应用访问时，需提供域名，域名要指向代理网关公网地址，保证流量能正常引流到aTrust设备代理访问D.aTrust对接钉钉实现miniconnect场景，必须提供域名和证书，否则不支持。miniconnect场景在新的钉钉版本依旧能使用正常正确答案:C解析：在零信任aTrust对接企业微信和钉钉的场景中，关于H5微应用的使用有特定的技术要求。对于企业微信而言，当使用H5微应用进行访问时，需要提供域名，并且这个域名需要指向代理网关的公网地址。这样做是为了确保流量能够正常地被引导到aTrust设备进行代理访问，从而实现安全、有效的通信和数据传输。这一要求是企业微信与aTrust集成时的一个关键配置，确保了系统的正常运行和数据的安全性。680.【atrust】一天，你到客户黄工处测试aTrust，测试过程中，你给黄工介绍了在Windows下的aTrust客户端使用，黄工问你支不支持手机端接入，下列你给客户介绍移动端aTrustAPP说法错误的是?A.移动端APP支持iOS和AndroidB.移动端APP支持无流量自动注销的功能，超时会自动注销移动端APP，下次访问需要重新登录C.手机如果安装了aTrustAPP，可以使用aTrustAPP扫码接入，使用手机的浏览器访问aTrust也可以实现快捷拉起aTrustAPP登录范根D.手机端APP支持SPA、上线准入策略、安全基线等功能，也支持二次认证正确答案:B解析：aTrust是一款提供远程访问和身份认证解决方案的软件。在介绍其移动端APP时，我们需要根据产品的实际功能来回答。A选项提到移动端APP支持iOS和Android，这是大多数企业级应用的标配，因此A选项是正确的。B选项说移动端APP支持无流量自动注销的功能，超时会自动注销移动端APP，下次访问需要重新登录。然而，通常移动端APP的注销机制并不是基于“无流量”这一条件，而是基于时间超时、用户手动注销或其他安全策略。因此，B选项的描述存在误导性，是错误的。C选项描述的是手机安装了aTrustAPP后，可以使用APP扫码接入，或者使用手机的浏览器访问aTrust时，可以快捷地拉起aTrustAPP进行登录。这是现代身份验证解决方案中常见的功能，因此C选项是正确的。D选项提到手机端APP支持SPA（单页应用）、上线准入策略、安全基线等功能，也支持二次认证。这些都是企业级身份验证和访问控制中常见的功能，因此D选项也是正确的。综上所述，错误的选项是B。681.【atrust】以下哪些功能需要安装客户端才能使用A.权限采集B.WEB应用中的私有DNSC.检测访问WEB应用的浏览器类型D.WEB应用水印正确答案:B解析：在atrust的功能中，WEB应用中的私有DNS是一项需要特定客户端支持的功能。这是因为私有DNS通常涉及到对DNS解析过程的特殊处理和加密，需要客户端软件来配合实现。而权限采集、检测访问WEB应用的浏览器类型以及WEB应用水印等功能，则可以在不安装特定客户端的情况下，通过服务器端的技术手段或浏览器自身的功能来实现。682.【aTrust】关于钉钉认证，以下场景无法实现的是?A.钉钉扫码认证登录atrustB.钉钉APPH5微应用单点登录(适用于web应用/隧道应用)C.钉钉APP扫码登录PC端aTrust和访问内网业务(WEB应用)D.钉钉APP拉起MiniConnectAPP单点登录(适用于隧道应用正确答案:B解析：aTrust与钉钉的集成提供了多种认证方式，但并非所有场景都能实现。钉钉APPH5微应用单点登录通常适用于移动端的web应用，而不适用于隧道应用。因此，钉钉APPH5微应用单点登录（适用于web应用/隧道应用）这一说法是不准确的，特别是将其应用于隧道应用时无法实现。其他选项如钉钉扫码认证登录aTrust、钉钉APP扫码登录PC端aTrust和访问内网业务（WEB应用）、以及钉钉APP拉起MiniConnectAPP单点登录（适用于隧道应用）均为aTrust与钉钉集成中可能实现的认证方式。683.【atrust】客户黄工是企业微信的忠实用户，一天销售给黄工推荐了aTrust设备给他做远程办公配合企业微信使用，黄工对我们aTrust有一些疑问，下列疑问和回答说法错误的是？A.Q：我想在登录你们aTrust设备的时候，直接通过企业微信扫码就可以登录，你们可以搞不A：可以的，aTrust设备和企业微信对接后，可以使用企业微信进行扫码认证B.Q：我想把我内网的应用通过你们aTrust设备收缩到内网，你们可以做到加密密吗A：可以的，aTrust设备于企业微信对接后，可以通过aTrust设备访问，我们支持HTTPS协议加密C.Q：用企业微信访问内网业务系统支持手机和电脑版本的企业微信吗A：可以的，PC和手机的企业微信都可以使用D.Q：我要做企业微信对接，并通过企业微信访问内网应用的话，需要我准备十么A：1、咱们设备需要能够上网和企业微信通信2、咱们设备必须需要有域名，且将A记录指向Proxy3、获取企业微信的后台权限，需要在上面创建应用并获取相关参数正确答案:D解析：这道题考察的是对aTrust设备与企业微信配合使用的功能理解。A选项描述的是aTrust设备与企业微信对接后，可以使用企业微信扫码登录，这是正确的功能描述。B选项提到通过aTrust设备访问内网应用时支持HTTPS协议加密，这也是正确的，因为HTTPS协议是用于加密通信的。C选项说明企业微信访问内网业务系统支持手机和电脑版本，这是符合企业微信的使用方式的。D选项中的回答有误。实际上，进行企业微信对接并访问内网应用时，确实需要设备能够上网和企业微信通信，设备需要有域名，并将A记录指向Proxy。但是，获取企业微信的后台权限通常不需要在上面创建应用并获取相关参数，而是需要获取企业微信的API接口权限，以便实现对接。因此，D选项的描述是错误的。684.【atrust】客户黄工之前使用了我们SSLVPN产品，现在市场场给黄工推荐我们的aTrust设备，黄工对我们的钉钉认证非常感兴趣，让你给他介绍一下这个功能，下面你给黄工介绍功能，说法错误的是?A.钉钉认证可以使用钉钉的APP进行扫码登录到aTrust，也可以直接在钉钉中通过aTrust代理访问H5应用B.钉钉认证只支持微应用，不支持小程序C.使用钉钉认证需要把应用发布成隧道应用，然后在钉钉汀应用中访问D.钉钉访问应用不仅支持手机APP，而且也支持电脑端正确答案:C解析：在介绍aTrust设备中的钉钉认证功能时，选项C“使用钉钉认证需要把应用发布成隧道应用，然后在钉钉汀应用中访问”的说法是不正确的。实际上，应用无需发布成隧道应用即可使用钉钉认证功能。选项C表述错误，因此是黄工需要了解的错误说法。685.【atrust】高校场景下，不能实现的场景有?A.通过零信任aTrust代理全校师生访问知网，图书馆等资源，访问这些资源时地址将会被改写。B.可实现师生代理访问内网教务系统，并对接统一身份认证平台CAS，实现访问教务系统内的应用单点登录。C.可通过零信任aTrsut实现内外网用户统一访问，不论用户是在校内还是在校外，不需要经过aTrust接入认证，也能访问相关资源D.客户有访问内网的敏感业务需求，如内网设备运维，财务系统等，可将代理网关的441端口映射至公网，实现用户在家办公运维校内设备。正确答案:C解析：根据题干给出的选项，正确答案为C。因为该题主要讨论高校场景下的零信任aTrust代理的使用情况，选项C描述的是可以统一访问校内外的资源，而没有涉及aTrust接入认证。其他选项中涉及到的场景如访问知网、内网教务系统、内外网用户统一访问等都是aTrust代理可以实现的场景。686.【atrust】高校场景下，用户对接了统一身份认证平台，关于授权相关下列说法错误的是A.aTrust控制中心对接统一身份认证平台的，若认证服务器提供LDAP/AD域这类协议，不需要将LDAP/AD域服务器的用户信息同步到aTrust本地，也能对组织架构和用户做精细化授权。B.aTrust对接统一身份认证平台，客户没有提供用户同步接口，但客户想要对不同的组做授权。那么我们可以在aTrsut控制中心创建一个自定义本地用户目录，登录设置选择<根据认证时解析的组织架构和群组信息获取授权和策略>来实现C.用户没有同步用户的接口，若选择<根据认证时解析的组织架构和群组信息获取授权和策略>来授权，则需要在aTrust本地创建与认证服务器相同的组织架构信息，再对组织架构做授权，那么用户上线后就可以具备组织架构的资源访问权限。D.若客户有特殊的应用想要单独发布和单独授权给特定人员，那么可将该应用发布为web泛域名资源或隧道资源，并授权给用户。正确答案:A解析：根据问题中给出的信息，选项A的说法是错误的。即使认证服务器提供LDAP/AD域这类协议，也需要将LDAP/AD域服务器的用户信息同步到aTrust本地，这样才能对组织架构和用户做精细化授权。其他选项中的说法都是正确的。687.atrust】零信任aTrust高校无端接入场景下，说法错误的是?A.客户必须提前准备好泛域名和证书，若没有证书则无法改写B.需要客户提供泛域名，若客户使用的访问则必须提供证书，若不提供则无法对访问的应用进行改写C.需要客户提供泛域名，若客户访问应用使用的是协议，则可不需要提供证书也能实现应用的改写D.客户提供的泛域名必须能解析到代理网关对外的公网地址正确答案:A解析：这道题考查零信任aTrust高校无端接入场景的相关知识。在这种场景下，并非客户必须提前准备好泛域名和证书，若没有证书就无法改写。B选项说明了特定情况需提供证书。C选项指出特定协议可不提供证书实现改写。D选项强调泛域名的解析要求。综合来看，A选项的说法不符合实际情况。688.【atrust】下列关于移动端应用封装接入说法不正确的是（移动端应用封装题4）A.深信服零信任EMMSDK集成封装场景下，用户的认证方式支持CAS和OAUTH2认证B.当用户关联了任意移动应用中心中的自动封装应用、SDK生态应用、H5应用或普通应用时，其aTrustapp界面的应用中心将不会显示，取而代之的是工作台C.设备封装应用时，需要访问互联网的封装服务器（地址:60330），须放通相关网络权限https://ew.sangD.做封装应用时，建议使用客户提供的企业签名证书，设备内置的iOS证书存在容易被封的风险，且只有90天试用期，过试用期后，应用界面会弹证书过期的告警正确答案:A解析：移动端应用封装题2题4及其相似，注意辨别选项689.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A.工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，即工作空间进程只能通过零信任网关访问该空间和用户关联的隧道应用，其他请求会被拦截B.工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，WEB应用也受影响，只能在个人空间或者工作空间进行访问。C.程序运行限制功能是说当开启程序运行限制功能后，则将禁止所有程序运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行以D.程序仓库是为工作空间的“程序运行限制”这一功能服务的在工作空间开启程序运行限制后，默认禁止任何进程运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行正确答案:B解析：UEM沙箱办公接入场景主要涉及到工作空间进程和个人空间进程在访问网络资源时的隔离与权限控制。首先，我们分析选项A，它提到工作空间进程只能通过零信任网关访问该空间和用户关联的隧道应用，其他请求会被拦截。这个说法虽然在一定程度上反映了工作空间的安全性，但它没有涉及到WEB应用的工作空间和个人空间的访问限制，因此不是最全面的描述。接下来看选项B，它明确指出工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，且WEB应用也受到这种隔离的影响，只能在个人空间或者工作空间进行访问。这个描述既涵盖了进程间的隔离，也提到了WEB应用在这种隔离环境下的访问限制，与UEM沙箱办公接入场景的实际需求相符合。再来看选项C和D，它们主要描述了程序运行限制功能的相关内容。虽然这些描述在程序运行限制方面是准确的，但它们并没有直接回答题目中关于UEM沙箱办公接入场景的问题，因此不是正确答案。综上所述，选项B最全面地描述了UEM沙箱办公接入场景的特点和要求，因此是正确答案。690.【atrust】下列关于UEM沙箱功能，说法错误的是?A.沙箱功能支持Win7、Win8、Win10和MacOS系统B.开启沙箱功能后，访问隧道应用只能在沙箱内访问C.开启沙箱功能后，访问Web应用无影响。D.开启沙箱功能后，PC安装UEM组件后必须要重启计算机才能正常使用正确答案:B解析：UEM沙箱功能具有特定的系统支持范围，并且对其开启后的应用访问行为有明确的规定。针对选项内容，逐一分析如下：A选项提到沙箱功能支持的系统，这是正确的，因为UEM沙箱支持Win7、Win8、Win10和MacOS系统；C选项说明开启沙箱后访问Web应用无影响，这也是正确的描述；D选项指出开启沙箱功能后，PC安装UEM组件需要重启计算机，这同样是准确的。而B选项错误地表述了开启沙箱功能后，访问隧道应用只能在沙箱内访问，实际上，开启沙箱功能后，访问隧道应用并不限于在沙箱内，因此B选项的说法是错误的。691.【atrust】以下认证功能，哪些不是属于aTrust支持的功能A.CAS票据认证B.OAuth2票据认证C.SAML票据认证D.HTTP(S)验证码认证正确答案:C解析：这道题考查对aTrust支持的认证功能的了解。在常见的认证技术中，aTrust通常支持多种认证方式。CAS票据认证、OAuth2票据认证和HTTP(S)验证码认证是其常见支持的功能。而SAML票据认证不属于aTrust支持的功能。692.【atrust】下列关于CAS票据认证，说法不正确的是?A.需要把代理网关的地址注册到CAS的白名单中，不然会提示应用未注册B.若同时配置了CAS票据认证和Oauth2认证，用户打开aTrust页面会重定向到CAS认证服务器上C.配置CAS票据认证，接受字段只支持XML和Json的格式，不支持字符串的格式D.CAS对接后，访问aTrust的客户端接入地址，不用额外配置，会自动重定向到CAS系统到登录页面认证正确答案:D解析：在CAS对接后，访问aTrust的客户端接入地址，需要进行额外配置，CAS系统会自动重定向到登录页面认证。因此选项D是错误的。693.【atrust】关于Workspace办公接入场景的方案，哪个场景不是该方案主推的体现?A.零信任SDP的安全接入场景B.SPA服务隐身场景C.UEM沙箱的数据安全加密场景D.桌面云VDI的数据不落地场景正确答案:B解析：根据【atrust】Workspace办公接入场景的方案，主推的是零信任SDP的安全接入、UEM沙箱的数据安全加密以及桌面云VDI的数据不落地这三个场景。而SPA服务隐身场景并不在该方案的主推体现之中。694.【atrust】关于Workspace办公接入场景核心需求，以下选项错误的是?A.安全可信B.极简运维C.良好体验D.追踪溯源正确答案:D解析：Workspace办公接入场景的核心需求通常包括安全可信、极简运维和良好体验。安全可信指的是确保接入过程和数据传输的安全性，保护企业信息资产不受侵害；极简运维则强调简化运维流程，降低管理成本，提高工作效率；良好体验则关注用户的使用感受，确保接入过程顺畅、便捷。而追踪溯源虽然在一些场景下可能是一个有用的功能，但它并不是Workspace办公接入场景的核心需求。695.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A.开启工作空间后，需安装UEM组件，并设定安装磁盘，重启电脑生效B.工作空间的审计功能，需配合外置数据中心一起使用，需保证两个设备之间的网络通信正常C.工作空间支持多沙箱，每个用户最多支持8个沙箱空间D.工作空间启用后，用户访问隧道应用必须安装工作空间组件才可访问正确答案:A解析：aTrust没有启用UEM功能，安装atrust客户端是不需要重启电脑；如果安装的aTrust客户端包含UEM或者需要更新UEM功能那就需要重启电脑，安装后会提示“重启电脑”，可以先取消，稍后手动重启生效（注意：此时没有重启电脑UEM功能是不会生效）；696.【atrust】零信任aTrust内外网统一办公接入场景中，针对PPT中介绍的内容，内网办公人员，外网办公人员和研发办公人员，我们给出的解决方案是怎样的呢，下列说法正确的是?A.针对内网办公人员，我们的解决方案是，将内网接入的wifi和有线网络，配置网络策略，只允许用户接入后访问零信任aTrust和互联网。B.针对外网办公人员，我们的解决方案是，所有外网办公人员都只能通过公网或者直接内网的方式接入零信任aTrust，再接入内网进行办公C.针对研发人员我们给出的解决方案是，研发人员在公司办公接入内网后，只允许访问零信任aTrust和互联网，用户需接入零信任aTrust后，再接入桌面云访问内网业务D.针对研发人员，进一步的安全接入方案为，研发用户公司内网办公，接入零信任aTrust后，访问桌面云VDI，进入桌面云虚拟机后，需再拨入零信任aTrust才可访问内网资源正确答案:B解析：这道题考察的是对零信任aTrust解决方案的理解。在零信任架构下，不同办公场景的人员接入方式有所不同。A选项描述的内网办公人员解决方案，虽然提到了网络策略，但通常内网办公人员可以直接访问内网资源，而不仅仅是零信任aTrust和互联网，因此A选项描述不准确。B选项指出外网办公人员只能通过公网或内网方式接入零信任aTrust，再接入内网办公，这符合零信任架构下外网办公人员的常见接入方式，因此B选项正确。C选项描述的研发人员解决方案中，提到研发人员在公司办公接入内网后，只允许访问零信任aTrust和互联网，这与实际情况不符，因为研发人员通常需要访问更多的内网资源，因此C选项错误。D选项描述的进一步安全接入方案，提到研发用户需要多次拨入零信任aTrust，这在实际操作中是不必要的，也不符合零信任架构的简化访问原则，因此D选项错误。综上所述，正确答案是B。697.【atrust】零信任aTrust内外网统一办公接入场景中，针对网络改造方面，下列说法不正确的是?A.客户要求零信任aTrust设备要区分内外网，那么可设置WAN口和lan口，WAN口对外，lan对内。若组集群，则wan口组集群要求集群IP地址与设备接口IP地址同网段，lan口组集群要求集群IP地址与设备的接口IP地址不同网段，以此来达到集群组建要求B.管理员在近server端(即近服务器端)下发安全策略，设定业务服务器只允许零信任aTrsut设备和必要的组件访问，其余的不允许访问，强控server的数据互联，提高安全性C.客户存在多个业务区域，区域间通过防火墙AF进行隔离。为了确保客户业务的安全性和敏感性，我们可在不同的网络区域内部署多套代理网关设备，防火墙只需放通代理网关的有限端口访问即可，提高客户业务的安全性D.客户的网络改造，优先使用旁路部署，可以在最小的影响范围内上线正确答案:A解析：这道题考察的是对零信任aTrust内外网统一办公接入场景中网络改造的理解。A选项描述中，关于集群IP地址与设备接口IP地址的关系存在误导。实际上，无论是WAN口还是LAN口组集群，集群IP地址都应与设备接口IP地址处于不同网段，以避免IP冲突和路由问题。因此，A选项的说法是不正确的。B选项描述的是管理员在服务器端下发安全策略，只允许零信任aTrust设备和必要组件访问业务服务器，这是一种常见的安全做法，可以提高服务器的安全性。C选项描述了在多个业务区域间通过防火墙进行隔离，并在不同网络区域内部署多套代理网关设备的情况。这种做法可以确保业务的安全性和敏感性，同时提高整体的安全性。D选项提到在网络改造中优先使用旁路部署，这可以在最小的影响范围内上线，是一种合理的网络改造策略。综上所述，A选项的说法是不正确的，因此答案是A。698.【atrust】内外网统一访问的改造，下列说法不正确的是?A.控制中心用户接入地址，建议使用域名。域名可配合AD实现内网流量解析为内网IP，外网流量访问解析为公网IP，实现用户在内外网切换的过程中达到无感知接入，提高用户体验B.用户内外网统一访问改造的过程中，为了更好的推进零信任aTrust，可在上线之初就将客户原有的SSLVPN下线，强制要求用户使用零信任aTrust接入。C.零信任aTrust配合桌面云VDI，可实现单点登录的效果即用户登录aTrust的同时，即可拉起桌面云的访问D.内外网统一接入场景中，若客户进行了统一身份认证改造，没有部署零信任aTrust时就已经实现了应用的单点登录，那么上线了零信任aTrust也能实现单点登录。正确答案:B解析：在用户内外网统一访问改造的过程中，直接在上线之初就将客户原有的SSLVPN下线，并强制要求用户使用零信任aTrust接入，这种做法可能会对用户造成较大的影响，包括接入的中断和用户体验的下降。因为用户可能需要时间来适应新的接入方式，并且在过渡期间可能会遇到各种问题。因此，更好的做法是在保证用户体验和接入连续性的前提下，逐步推进零信任aTrust的部署和接入。699.【atrust】下列关于安全加固场景关于三防护说法不正确的是A.安全加固场景中账号安全是要从多因素认证+密码安全防护+防爆破+行为安全(基于终端、地点、时间)多个方面来进行防护B.终端安全是从基础终端安全(准入/桌管/杀毒)+进程安全+网络隔离+终端数据防泄露多个方面来进行防护。C.SDP设备安全是从端口安全(端口隐藏)+中间件/框架安全(越少、越简单就越安全，防漏洞)+认证接口安全(防绕过)+API接口参数安全(参数防渗透)+API暴露面安全(最小化白名单，防攻击)+API逻辑安全(防越权)+源码安全(SDL审计)多个方面来提升D.访问安全是从访问控制+权限控制+增强认证(基于访问、权限控制及处置)多方面进行安全加固正确答案:D解析：在探讨安全加固场景中的三防护时，我们需要考虑账号安全、终端安全和设备安全（如SDP）。选项A描述了账号安全的多方面防护，包括多因素认证、密码安全防护等，这是正确的。选项B关于终端安全的描述，涵盖了基础终端安全、进程安全等方面，也是准确的。选项C详细说明了SDP设备安全的多重防护手段，如端口安全、中间件/框架安全等，这也是正确的。而选项D将“访问安全”描述为包括访问控制、权限控制和增强认证，但实际上这些更接近于账号安全和终端安全的一部分，并不全面代表“访问安全”的专属加固手段，特别是将“增强认证”归类于访问安全是不准确的，它更多地关联于账号安全。因此，选项D是不正确的说法。700.【atrust】下列关于安全加固场景的不属于终端安全配置的是?A.可信应用的防护策略只能添加到windows、macOS、linux系统中；不支持IOS和Android系统。B.EDR联动阻断C.UEMPC端沙箱D.SPA业务隐身正确答案:D解析：在分析安全加固场景时，我们需要明确哪些配置属于终端安全配置。A选项提到的可信应用的防护策略添加到特定操作系统中，是终端安全的一个重要环节，涉及对应用程序的访问控制和安全策略的实施。B选项的EDR联动阻断，指的是端点检测与响应（EDR）系统与其他安全机制联动，实现威胁的及时阻断，同样属于终端安全配置的范畴。C选项的UEMPC端沙箱，是一种在终端上创建隔离环境的技术，用于保护敏感数据和应用程序不受外部威胁，也是终端安全配置的一部分。而D选项的SPA业务隐身，通常指的是在业务层面进行的安全处理，如隐藏业务逻辑、敏感信息保护等，它并不直接关联到终端的安全配置，而是更多地在应用层或业务层进行安全设计。因此，不属于终端安全配置的是D选项SPA业务隐身。701.【atrust】下列关于安全加固场景关于4个闭环能力说法去不正确的是A.事前-安全加固：主要包括管理员安全配置检测用户安全配置检测，设备自身巡检不在安全加固范围内，属于日常运维。B.事中-持续运营：查看账号变更，异常登录，风险进程识别和攻击IP的巡检信息展示，根据展示的信息和处理建议对其进程持续的安全运营，保障设备安全检C.事后-攻击溯源：攻击溯源，FW，态势感知和安全运营平台等方式式进行联动，配合零信任跨设备查询日志的高级功能，进行检索筛选，获取关键数据进行分析。同时配合零信任可信应用采集功能，识别攻击进程/木马/攻击路径等D.事后-快速补丁更新：快速推出补丁、紧急补丁推送正确答案:A解析：这道题考察的是对安全加固场景中四个闭环能力的理解。A选项提到设备自身巡检不属于安全加固范围，这是不正确的。在安全加固的事前阶段，设备自身的巡检是重要的一环，它有助于发现并修复潜在的安全隐患，因此属于安全加固的范围。B选项描述了事中-持续运营阶段的活动，包括查看账号变更、异常登录等信息，并根据这些信息进行持续的安全运营，这是正确的。C选项描述了事后-攻击溯源阶段的活动，包括使用多种方式进行联动，配合零信任的功能进行日志查询和分析，以及识别攻击进程等，这也是正确的。D选项描述了事后-快速补丁更新阶段的活动，即快速推出和推送补丁，这是应对安全事件的重要措施，因此也是正确的。综上所述，A选项的说法是不正确的。702.【atrust】零信任aTrust对于用户策略中的的功能描述，下列说法错误的是?A.当我们在用户策略配置了DNS解析功能，客户端登录时，优先使用配置的DNS服务器进行域名解析，客户端未登录或离线时，本地计算机的DNS服务器配置将恢复原状。B.在用户策略配置了终端着陆页，可以实现用户登入完直接跳转到指定的URL，适用于APP登入。C.在用户策略配置了账号超时注销，可以加强账号的安全性，但启用工作空间后