2025年AWS认证DirectoryService的常见安全威胁与防护措施专题试卷及解析.pdf

2025年AWS认证DIRECTORYSERVICE的常见安全威胁与防护措施专题试卷及解析1

2025年AWS认证DirectoryService的常见安全威胁与

防护措施专题试卷及解析

2025年AWS认证DirectoryService的常见安全威胁与防护措施专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSManagedMicrosoftAD中，以下哪项是防止未授权访问的最有效措施？

A、启用简单密码策略

B、使用AWSIAM策略限制管理访问

C、禁用所有组策略对象

D、允许匿名LDAP查询

【答案】B

【解析】正确答案是B。AWSIAM策略是控制对DirectoryService管理访问的主要

机制，通过最小权限原则可有效防止未授权访问。A选项简单密码策略会降低安全性；

C选项禁用所有GPO会影响正常功能；D选项允许匿名查询会暴露目录信息。知识点：

AWSIAM与DirectoryService集成。易错点：混淆IAM策略与AD内部权限控制。

2、AWSDirectoryService中，哪种部署模式最适合需要与本地AD集成的场景？

A、SimpleAD

B、ADConnector

C、AWSManagedMicrosoftAD

D、CloudDirectory

【答案】B

【解析】正确答案是B。ADConnector专门用于代理到本地AD的目录请求，无需

在AWS中托管AD。A选项SimpleAD不支持信任关系；C选项ManagedAD是独

立托管服务；D选项CloudDirectory不兼容MicrosoftAD。知识点：DirectoryService

部署模式选择。易错点：误认为ManagedAD是唯一集成方案。

3、以下哪项是AWSDirectoryService默认启用的安全功能？

A、多因素认证(MFA)

B、传输中TLS加密

C、静态数据加密

D、IP白名单

【答案】B

【解析】正确答案是B。AWSDirectoryService默认对所有通信启用TLS加密。A

选项MFA需要额外配置；C选项静态加密仅在特定服务中提供；D选项IP白名单需

手动设置。知识点：DirectoryService默认安全配置。易错点：混淆默认功能与可选功

能。

2025年AWS认证DIRECTORYSERVICE的常见安全威胁与防护措施专题试卷及解析2

4、在检测到可疑AD活动时，AWS建议的首要响应措施是？

A、立即删除目录

B、启用CloudTrail日志分析

C、重置所有用户密码

D、禁用网络访问

【答案】B

【解析】正确答案是B。CloudTrail提供API调用审计，是安全事件调查的基础。A

选项过于激进；C选项可能影响业务；D选项应作为后续措施。知识点：安全事件响应

流程。易错点：忽视日志分析的重要性。

5、AWSDirectoryService中，以下哪种攻击最可能通过LDAP注入实现？

A、密码暴力破解

B、未授权数据查询

C、Kerberos票据伪造

D、DNS欺骗

【答案】B

【解析】正确答案是B。LDAP注入攻击可绕过验证直接查询目录数据。A选项属

于认证攻击；C选项涉及Kerberos协议；D选项是网络层攻击。知识点：LDAP注入

原理。易错点：混淆不同攻击向量。

6、启用AWSManagedMicrosoftAD的审计日志时，必须配置哪个服务？

A、AmazonS3

B、AmazonCloudWatch

C、AWSConfig

D、AmazonKinesis

【答案】B

【解析】正确答案是B。审计日志必须发送到CloudWatchLogs。A选项S3用于

存储；C选项Config记录配置变更；D选项Kinesis用于流处理。知识点：Directory

Service日志集成。易错点：混淆不同AWS