默认题库 - MCSE(70-299)

单选题

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。网络包括Windows Server 2003的计算机和Windows XP Professional客户计算机。网络也由一个支持智能卡认证的public key infrastructure （PKI）构成。Testking.com的书面安全策略声明了如下的几条的网络管理要求：（1）所有的域控制器必须被储存在一个有限的区域。只有ServerAdministration Staff才被允许访问这个区域。（2）所有的Directory Services Administration职员当他们交互地在域控制器上执行任务时，他们必须使用智能卡。（3）对域控制器的所有远程管理都必须被加密保护。为了遵从书面安全策略，你移动所有的域控制器到一个安全的服务器房间。并且只为Server Administration职员提供对此服务器房间的进入权利。你为每个Server Administration全体职员的每个成员创建了一个附加的帐户。你设置这个新帐户在认证时需要一个智能卡。你需要确保Server Administration全体职员可以管理域控制器。你必须在不违反书面安全策略的前提下达到这个目标，你应该怎么做？（）

A. 在Server Administration全体职员的每个成员的客户计算机上，设置一个智能读卡器。指示Server Administration全体职员利用一个Remote Desktop线路连接到域控制器
B. 在每个域控制器上设置一个智能读卡器。指示Server Administration全体职员：当他们管理域控制器时，使用runas指令来打开一个Telnet session
C. 创建一个自定义Microsoft Management Console （MMC）。包括Directory Services Administration全体职员所需要的所有snap-ins。指示Directory Services Administration全体职员来使用runas指令来打开自定义的MMC
D. 在一个域控制器上安装IIS。包括远程管理成分。设置IIS需要HTTPS连接。指示管理员连接到在IIS服务器上的远程管理Web站点

查看答案

单选题

你是 TestKing.com 的一位安全管理人。网络由两个分开的部分构成。一部分名为TestKing Winery，位于San Francisco。另一部分名为TestKing Vineyard，位于Paris。每部分都通过1.544 Mbps的广域网线路连接到因特网。TestKing Winery由一个名为testkingwinery.com的独立的活动目录森林构成。所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。TestKing Winery有一个Microsoft SQL Server 2000数据库，该数据库包括了客户信息。Microsoft SQL Server 2000数据库的主机是一台名为TestKing1的Windows Server 2003计算机。TestKing Vineyard由一个名为testkingvineyard.com的独立的活动目录森林构成。所有的服务器运行Windows Server 2003 ，而所有的客户计算机运行Windows XPProfessional或Windows NT Workstation。所有的计算机运行最新的服务包。为了启用数据复制，你在testkingvineyard.com森林中设置一台名为TestKing2的新的Windows Server 2003计算机。你在TestKing2上安装SQL Server 2000。你的数据库管理员设置TestKing1上的数据库以在每复制到TestKing2。管理报告：一个竞争者获得了机密的客户数据。你确定你的竞争者在中途截获了数据，当数据从TestKing1上被复制到TestKing2上时。你设计设备驱动程序来使用IPSec，保护客户数据当它们在传输时。你需要设置一个IPSec策略，来保护客户数据当它们在传输时。你应该怎么做？（）

A. 设置 PSec策略使用在传输模式下的带有Kerberos认证的Authentication Header （AH）
B. 设置 PSec策略使用带有在通道模式下的基于证书的认证的Encapsulating Security Payload （ESP）
C. 设置 PSec策略使用带有在传输模式下的基于证书的认证的Authentication Header （AH）
D. 设置 PSec策略使用带有在通道模式下的Kerberos认证的Encapsulating Security Payload （ESP）

查看答案

单选题

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003。TestKing的书面安全策略要求安全补丁必须有管理员手动安装到服务器上。你需要设置网络以遵循这个书面安全策略。你需要利用最少的管理努力来维持（maintain）安全补丁。你应该怎么做？（）

A. 创建一个新OU来包含所有的服务器计算机。创建一个新GPO并将它连接到这个OU。设置GPO以禁用Automatic Updates。只允许管理员启动Automatic Updates
B. 创建一个新OU来包含所有的服务器计算机。创建一个新GPO并将它连接到这个OU。设置GPO以自动下载更新，并在他们（更新）准备安装时进行通报
C. 创建一个名为Admins的新OU来包含所有的管理员。创建另一个名Servers的OU来包含所有的服务器计算机。创建一个新GPO并将它连接到Admins OU。设置GPO以禁用Automatic Updates
D. 修改Default Domain Policy 组 Policy object （GPO）来禁用Windows Update和AutomaticUpdates。创建一个名为Admins的新OU。将所有的管理员帐户放置于Admins OU中。在Admins OU上阻塞GPO遗传

查看答案

多选题

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。所有的计算机都是域的成员。网络包括10个活动目录站点。每个站点带表公司的一个办公室。这些办公室位于全球各地。每个办公室都有一个到因特网的连接。TestKing在各办公室之间维持专用的租借线路。你正在计划为Microsoft安全补丁设置一个安全补丁管理基础构造（infrastructure）。你在一台名为TestKing2的服务器上安装Software Update Services （SUS）。你需要保证客户计算机和服务器上的Automatic Updates仅仅安装那些被公司核准了的安全补丁。你通过允许每个计算机单个地从因特网上下载安全补丁来限制各办公室之间的专用租借线路的使用。你应该采取哪2个行动？（）

A. 在所有的计算机上设置Automatic Updates以使用Microsoft Windows Update服务器
B. 在所有的计算机上设置Automatic Updates以使用TestKing2上的SUS
C. 从TestKing2上复制Approveditems.txt文件到每个计算机上的Windows文件夹
D. 设置TestKing2以维持Microsoft Windows Update服务器上更新
E. 在所有的计算机上，利用组 Policy来设置SUS服务器地址为Microsoft Windows Update Web 站点的URL
F. 在所有的计算机上，设置注册中的运行码的值为Microsoft Windows Update Web 站点的URL

查看答案

单选题

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003，而所有的客户计算机要么运行Windows XP Professional，要么运行Windows 2000 Professional。你决定利用Software Update Services（SUS）作为你的补丁管理策略的一部分。你需要在测试计算机上测试所有的软件更新，在你将这些更新发放给你们的整个网络之前。你想用最少的管理努力来达到这个目标，同时又保证所有的计算机能在一个规则的基础上接收更新。你应该怎么做？（）

A. 配置一个SUS服务器。在测试计算机上，设置Automatic Updates来安装更新，而不需要用户干涉。在成品计算机上，设置Automatic Updates，在安装更新之前要求用户的同意。当在成品计算机上应用新的更新是安全的时候，发送一个全球性的e-mail给用户
B. 配置一个SUS服务器。在测试计算机和成品计算机上，设置Automatic Updates来安装更新，而不需要用户干涉。根据测试计算机上的测试结果，在成品计算机上使用组 Policy来启动或禁用Automatic Updates
C. 配置两个SUS服务器。设置一个服务器给测试计算机，另一个给成品计算机。设置测试计算机利用测试SUS服务器来更新，而成品计算机利用成品SUS服务器来更新
D. 配置两个SUS服务器。设置一个服务器给测试计算机，另一个给成品计算机。设置测试计算机利用测试SUS服务器来更新，而成品计算机利用成品SUS服务器来更新。根据测试计算机上的测试结果，在成品计算机上使用组 Policy来启动或禁用Automatic Update

查看答案

单选题

你是 TestKing.com 的一位安全管理人。TestKing.com在Toronto有一个主办公室，还有5个分办公室，分别在Boston，New York、Mexico City、Cape Town、和London。网络管理员工作在主办公室和各个分办公室。主办公室的网络管理员会经常会创建一些使共同的管理任务自动化的脚本。你重申每个脚本以确保它没有引进（带来）安全弱点。没有带来安全弱点的脚本被认为是经核准的（被认可的）。有时候，分办公室的管理员修改这些脚本并将修改过的脚本分发给其他分办公室的管理员。分办公室的管理员会经常报告：他们意外地运行了脚本的修改版本。你需要确保分办公室的管理员能够检验哪些脚本是被核准被认可的脚本。你应该怎么做？（）

A. 保持一个关于对被认可被核准的脚本的最后修改的日期的记录。指示分办公室的管理员来检验这些文件修改日期
B. 对所有的被认可被核准的脚本进行数位标记。指示分办公室的管理员在他们使用这些脚本之前，先来检验这些标记
C. 通过电子邮件来分发所有的被认可被核准的脚本给每个分办公室的管理员
D. 将所有的被认可被核准的脚本放在主办公室的一个文件服务器上。对所有的分办公室管理员，仅仅对那些包含了被核准的脚本的文件夹，他们才被分配Allow–Read许可。指示所有的分办公室管理员从这个文件服务器上复制脚本

查看答案

单选题

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。TestKing.com有时会经历停工期，因为一些坏有恶意的因特网蠕虫以Microsoft Visual Basic scripting Edition 到来。你检验了几个客户计算机，发现下载VBS文件是利用Microsoft Outlook，或点到点的文件共享程序。你需要阻止用户运行VBS文件，而不管它们是怎样到达客户计算机的。你应该怎么做？（）

A. 使用一种软件限制策略来禁用所有未被授权的脚本
B. 使用一个Administrative Templat来确保Outlook和Internet Explorer在Restricted Sites的安全.区域
C. 使用一种集中注册脚本来重新命名每个计算机上的Wscript.exe文件以包含一个扩展
D. 利用一个文件系统安全策略，来为Wscript.exe文件分配Deny-Execute许可

查看答案

单选题

You are a security administrator for your company. The network consists of a single Active Directory domain. All servers run Windows 2003 Server. All client computers run Windows XP Professional. All computers are configured to use Automatic Updates to install updates without user intervention. Updates are scheduled to occur during o peak hours. During a security audit，you notice some client computers are not receiving updates on a regular basis. You verify that Automatic Updates is running on All client computers， and you verify that users cannot modify the Automatic Updates settings. You need to ensure that computers on your network receive all updates. What should you do？（）

A. Enable the No auto-restart for scheduled Automatic Updates installations setting.
B. Disable the Specify intranet Microsoft update service location setting.
C. Enable the Remove access to use all Windows Update features setting.
D. Enable the Reschedule Automatic Updates scheduled installations setting.

查看答案

单选题

You are a security administrator for your company. The network consists of a single Active Directory domain. All servers run Windows Server 2003. All client computers run Windows 2000 Professional. You manage a Windows Server 2003 computer named Server1 that is a domain member server. You use IIS on Server1 to host an Internet Web site. Approximately 4，000 employees of your company connect over the lnternet to access company confidential data on Server1. You control access to data on Server1 by using NTFS file permissions assigned to groups. Different groups are assigned access to different files. Employees must have access only to files that they are assigned access to based on their membership in a group. You enable SSL on Server1 to protect confidential data while it is in transit. You issue each employee an Authenticated Session certificate and store a copy of that certificate with their user account in the Active Directory domain. You need to ensure that Server1 authenticates users based on possession of their certificate. What should you do？（）

A. Request a Web server certificate from a commercial certification authority （CA）.
B. Configure access restrictions based on employee ip address.
C. Enable Digest authentication for Windows domain servers.
D. Configure client certificate mapping.

查看答案

单选题

You are a security administrator for your company. The network consists of a single Active Directory domain. All client computers run Windows XP Professional. All servers run Windows Server 2003. All computers on the network are members of the domain. Traffic on the network is encrypted by IPSec. The domain contains a custom IPSec policy named Lan Security that applies to all computers in the domain. The Lan Security policy does not allow unsecured communication with non-lPSec-aware computers. The company’s written security policy states that the configuration of the domain and the configuration of the Lan Security policy must not be changed. The domain contains a multihomed server named Server1. Server1 isconnected to the company network， and Server1 is also connected to a test network. Currently， the Lan Security IPSec policy applies to network traffic on both network adapters in Server1. You need to configure Server1 so that it communicates on the test network without IPSec security. Server1 must still use the Lan Security policy when it communicates on the company network. How should you configure Server1？（）

A. Configure a packet filter for the network adapter on the test network to block the Internet Key Exchange （IKE） port.
B. Configure the network adapter on the test network to disable IEEE 802.1x authentication.
Configure the network adapter on the test network to enable TCP/IP filtering， and then permit all traffic.
D. Use the netsh command to assign a persistent IPSec policy that permits all traffic on the network adapter on the test.
E. Assign an IPSec policy in the local computer policy that permits all traffic on the network adapter on the test.

查看答案