教委教材样本~54.docVIP

为服务器角色规划、配置和部署安全基线 习题答案 C AB C D AC 恶意的用户可以直接访问域控制器；活动目录数据库和日志存放在默认位置可能被盗取复制；域控制器遇到DOS拒绝服务攻击；干涉目录复制；缓冲区溢出攻击；攻击者获取某个域的管理权限可能会影响到整个森林；社交工程等等。 syskey可以用来保护目录数据库和本地安全帐户SAM避免被复制后用密码破解工具破解，通常可以取三个方式来保护系统： 模式一，在本机上保存启动密码，这是最方便的方式。用户不需要其他操作； 模式二，密码启动，该密码不保存在本地计算机上，用户在系统启动时需要输入密码； 模式三，在软盘上保存启动密码，用户在启动计算机时，需要在软驱里放入这张做好的密码软盘。 需要注意的是，使用模式二和三如果用户遗忘了密码或是遗失了软盘，系统只能通过重新安装来恢复。所以必须保护好密码和软盘 8. 限制DNS区域传输，如果允许任何 DNS 服务器都能执行区域传输，就意味着允许了内部网络信息可被传输到能与您的 DNS 服务器联系的任何主机。 可以按如下方法操作： 1) 打开 DNS。 2) 使用鼠标右键单击一个 DNS 区域，然后单击“属性”。 3) 在“区域传输”选项卡，执行下列操作之一： ? 要禁用区域传输，请清除“允许区域传输”复选框。 ? 要允许区域传输，请选中“允许区域传输”复选框。 4) 如果允许进行区域传输，请执行下列操作之一： ? 要允许向任何服务器进行区域传输，请单击“到所有服务器”。 ? 要只允许向“名称服务器”选项卡上列出的 DNS 服务器进行区域传输，请单击“只有在名称服务器选项卡中列出的服务器”。 ? 要只允许向特定 DNS 服务器进行区域传输，请单击“只允许到下列服务器”，然后添加一个或多个 DNS 服务器的 IP 地址。 9. 共有三种， 数据修改：攻击者可以获取和修改服务器上共享文件中关键的信息 拒绝服务：使用户无法访问文件和打印服务 NetBIOS攻击可能：由于Windows 文件共享必须使用NetBIOS及其端口和服务，所以增加了受攻击的风险。 默认情况下，只有管理员才能够启动、停止和暂停服务，可以在配置打印服务器的安全策略，允许打印机管理员 (Print Operator) 启动、停止和暂停Printer spooler服务。 实验答案 名称 实验7-1：配置 DNS 更新凭据 任务清单 在本练习中，你将以 Administrator 的身份登录并在 上配置 DNS 更新凭据以防止恶意用户覆盖 DNS 记录。 你是组织的安全管理员。由于所有的 DNS 区域都是 Active Directory 集成的，所以你的首席技术官担心恶意用户可能会覆盖组织中重要计算机的 DNS 记录。要防止该类型的攻击，你必须启用一个低权限账户以更新 DNS记录。 课堂练习 配置 DNS 更新凭据 打开“Active Directory 用户和计算机”并创建一个具有复杂密码的名为DNS_UPDATE 的用户账户。 确保该账户不会过期并且用户不必更改密码。 打开 上的DNS。 配置 以使用 DNS_UPDATE 更新和创建 DNS记录。 重启 DNS 服务器服务。 名称 实验7-2：创建组合式文件和打印服务器基线策略 任务清单 在本练习中，你将为文件和打印服务器创建一个新的基线策略。 你是组织的安全管理员。有三家分支机构包含兼作文件和打印服务器的服务器。要确保充分的安全设置，你希望创建一个基线策略以允许文件和打印这两个角色都可以在这些计算机上发挥作用。 步骤 创建组合式文件和打印服务器基线策略 以 Administrator 登录到 ，密码是 P@ssw0rd； 打开“组策略管理”并创建名为 File and Print 的新的 OU； 创建名为 File and Print Baseline Policy 的新 GPO，并将其链接到 File and Print OU； 打开“组策略编辑器”以编辑新创建的 File and Print Baseline Policy GPO； 导航至“\计算机配置\Windows 设置\安全设置”，并导入 Enterprise Client – File Server.inf 模板； 导航至“\计算机配置\Windows 设置\安全设置\系统服务”，然后选择Print Spooler 的属性； 设置 Print Spooler 自动启动； 关闭“组策略编辑器”。 名称 实验 7-3：规划、配置和实现服务器角色的安全基线 任务清单 完成本实验后，将能够： 将额外安全性应用到域控制器和 DNS 服务器 将额外安全性应用到 DHCP 和 WINS 服务器 将额外安全性应用到