网络安全考证中文资料.pdf

网络安全基础和网络安全配置 070-214 考试 版本：V11 翻译 注：临时发布，其他在整理中…… 南阳理工学院软件学院 2005-12-26 日 南阳理工学院软件学院 1 问题:1 你是 Certkiller 公司的网络管理员，这个网络是由两台 Win2000 服务器和 1,500 台Windows 2000 Professonal 客户端组成的 AD 域。 Certkiller 公司由三个部门组 成：科研部、销售部和管理部门.每个部门都是一个独立的包含其部门所有用户 和组的 OU 。 Certkiller 策略在这些 OUs 上配置为强制组策略继承，你用 MBSA 查看域控制器,并得到下列信息： 这个计算机限制匿名为 0(anonymous=0)，这一级別的策略阻止用户基本的用户 帐户列举、用户策略和系统信息。配置限制匿名2(anonymous=2) 来保证最大安 全。你的经理告诉你用一个安全模板在域控制器上应用MBSA推荐设置。 你不允许在域上修改其他计算机的配置，你这个域控制上又创建了另外一个安全 模板，接下来你还要怎么做？ A:在这个模板上配置附加的匿名访问策略来禁止无显式匿名权限的访问，并把这 个模板导入域控制器安全策略之中。 B:在这个模板上配置工作站服务为手工启动并拒绝匿名登录组写入权限。并把该 模板导入域控制器安全策略之中。 C:在这个模板上配置附加的匿名访问策略，并且不允许用户密码和共享的猜测或 列举。然后把这个安全模板导入域控制器策略中。 D:在这个模板上配置工作站服务为手工启动和拒绝匿名登录组读取权限，并把该 模板导入域控制器安全策略中 答案：A 解释：MBSA 说明计算机是用限制匿名 0(Restrict Anonymous=0) 。限制匿名访问 编号符合下列设置： 0 None.信赖默认许可 1 不允许 SAM 帐号和共享的枚举 2 只有显式匿名才有访问权，限制匿名 0 配置是一个安全风险并且它允许黑客从 互联网上探测用户密码清单和共享文件。 我们把这更改为配置 2 ，即 MBSA 所 推荐的： 如下图(略) ， 然后配置策略，使其只有显式匿名才有访问权限。 注释：MBSA(Microsoft Baseline Security Analyzer)探测 Windows 、IIS 、IE 、 南阳理工学院软件学院 2 MS-Office 和 SQL 服务器的故障和脆弱性 不正确答案： B 、D 手工配置工作站服务会使用户出现问题:，如果没有该服务他们将不能浏 览工作站 C、这个选项能增加安全，但是它的安全性远不如我们选择 A 项，（只有显式匿 名权限才可访问，取代显式帐户密码和共享，这也是 MBSA 所推荐的设置。） 问题:2 你是 Windows 2000 网络的管理员。这个网络由名为 C 的 Win 2000 域组成。这个域由 Win 2000 Server 和 Win 2000 Professional 客户机组成。这些客 户机在 OU 中称为Clients 。你使用组策略来管理并配置这些客户机。为了增加客 户端的安全性，你想确保用户无论什么时候手动修改，这些设置总是正确的。你 应该怎么做呢？ A ．在客户机上配置任务列表来周期的运行计算机恢复策略和用户策略。 B ．配置默认的域组策略启用计算机组策略更新间隔和用户组策略更新间隔。 C ．创建 GPO 并将它连接到域控制器 OU 中，配置这个组策略启用用户组策略 由回环进程模式变为合并模式。 D ．创建 GPO 并将它连接到客户端 OU 中，并配置这个组策略启用这个设置来 处理策略即使 GPOs 没改变。 E ．创建GPO 并将它连接到客户端 OU 中，并配置这个组策略仅能查看策略。 答案：D 问题:3 你是 Certkiller 网络的管理员。网络中包含了一个Windows 2000 的活动目录域。 域中包含了两个名叫 Manufacturing 和 Sales 的OU 。这个网络包含了两台配置为 域控制器的 Windows 2000 Server 的计算机和 1500 台Windows 2000 Pro