网络ee域名

MICROSOFT技术关联学员研究指南考试98-367安全性基础准备MTA认证MICROSOFT技术关联(MTA)学员研究指南98-367安全性基础作者MichaelTeske(WindowsServer管理与安全).
Michael在东北威斯康星技术学院从事网络专家计划的教学工作已达10年,同时他还拥有15年的工程师从业经验.
他对于教学和技术都十分热衷,并乐于帮助人们发现工作中的乐趣.
Mike认为学习技术的过程应当是快乐的,但同时他也意识到网络领域的发展日新月异,即使对于最聪明的学生也充满挑战性.
Mike还担任着东北威斯康星几家小型企业的独立顾问,他非常喜欢将现实世界中的真实经历带到日常的课堂教学中.
在校内,人们称Michael为"微软的那个家伙".
Michael的目标是在未来的很多年里继续以同样的热情教授网络技术,并帮助他的学生领略到他在这个神奇的行业和事业中所发现的乐趣与激情.
Mike是MTA考试复习工具包系列中WindowsServer考试复习工具包的作者.
PatriciaPhillips(主要作者和项目经理).
Patricia在威斯康星州的简斯维尔教授计算机科学20年.
她曾在Microsoft的国家K-12教师顾问委员会任职,并在适用于技术教师的MicrosoftMainFunction网站从事过两年编辑工作.
在过去五年中,她以与K-12课程开发和试点方案(包括ExpressionStudioWeb设计和XNA游戏开发)相关的各种角色与Microsoft合作.
担任作者和编辑时,Patricia编写了有关多个主题(包括计算机科学、Web设计和计算思维)的多篇文章和一本学员练习册.
她目前是计算机科学教师联合会新闻稿(语音)的编辑.
此内容仅供学员个人使用.
在这里描写的某些示例仅为举例说明而提供,均属虚构.
无意进行真实的关联或联系,请勿进行此类推测.

在http://www.
microsoft.
com/about/legal/en/us/IntellectualProperty/Trademarks/EN-US.
aspx(英语)上列出的Microsoft和其他商标是Microsoft公司集团的商标.
所有其他商标均是其各自所有者的财产.
2011年MicrosoftCorporation版权所有.
保留所有权利.
此内容按"原样"提供,Microsoft未做出任何明示或暗示的保证.
目录简介.
v职业规划vi探索职业角色.
viii认证的价值.
x98-367安全性基础第1章第2章了解安全层.
31.
1了解核心安全原则51.
2了解物理安全性.
71.
3了解Internet安全性.
91.
4了解无线安全性.
11了解操作系统安全性.
132.
1A了解用户身份验证152.
1B了解用户身份验证.
172.
2了解权限.
192.
3了解密码策略.
212.
4了解审核策略.
232.
5A了解加密.
252.
5B了解加密.
272.
6了解恶意软件29第3章第4章了解网络安全性313.
1了解专用防火墙.
333.
2了解网络访问保护(NAP)353.
3A了解网络隔离.
373.
3B了解网络隔离393.
4了解协议安全.
41了解安全软件.
434.
1了解客户端保护.
454.
2了解电子邮件保护474.
3了解服务器保护.
49iv目录简介TA验证了构建块技术概念,并帮助学员通过激动人心且卓有成效的方式追求令人兴奋并且回报丰厚的信息技术(IT)职业!
作为Microsoft技术认证系列的第一步,这一新的入门级认证为学员提供了信心、信誉以及卓尔不群的优势.
了解可以选择的IT职业不需要投入很多时间和资源MTA考试可以验证您的核心技术知识,这些知识正是今天全世界的企业都需要的.
无论您希望成为一名网络管理员,还是软件工程师、Web开发人员,或者是数据库分析师,MTA都能帮助您进入正确的门槛.
准备完成在今天的就业市场中,对IT的少量投资即可维持很长一段时间.
获得MTA认证有助于您为准备开展中级技术研究和获得Microsoft认证技术专家(MCTS)认证奠定坚实的基础.
它还可以帮助您在高校录取方面获得竞争优势,并可帮助您启动IT职业规划!
武装自己作为成为MCTS的第一步,MTA将表明您在技术上的努力,同时您还可以加入拥有五百多万名Microsoft认证专家的社区.
只要通过MTA认证,您就可以向他们学习,并向他们展示您的能力!
本MTA学员研究指南可作为帮助学员准备MTA认证考试的学习工具.
本指南针对考试中涉及的每项主要主题向学员提出了现实情况下可能会发生的问题.
虽然成功完成本研究指南中的练习不能确保您通过MTA考试,但这是检验您是否已为参加考试做好准备以及建立考试时的自信心的最佳方式.
祝您在准备开始自己在技术领域的成功职业生涯方面一切顺利!
VictoriaPohtoVictoriaPohtoMTA产品营销经理M简介v职业规划多数基于Microsoft技术构建的IT解决方案或基础结构均要求下列一个或所有产品,它们通常称为"MicrosoftStack".
MicrosoftWindowsServer作为数据中心或开发平台MicrosoftSQLServer作为数据和商业智能(BI)平台MicrosoftVisualStudio作为应用程序生命周期管理工具套件作为Microsoft技术认证的起点,MTA为有抱负的技术人员提供了继续深造和在技术领域成功实现职业发展所必需的基础知识.
通过准备和通过MTA认证,将帮助您了解多种职业道路,而不必在特定职业道路上投入很多时间和资金.
在寻找适合您的道路时,Microsoft学习产品和认证可以指导和帮助您准备更长期的职业规划.
如果您已明确自己要在技术领域开展职业生涯,那么我们建议您采用MTA准备与认证作为您的切入点.
获得MTA认证表明您已经牢牢掌握了基础IT概念方面的工作知识,这对于成功开展中级学习以及取得Microsoft认证技术专家(MCTS)等认证至关重要.
此外,Microsoft认证可以展示个人的自我投入情况和以行业认可的凭证将其知识和技能带到下一级别的信心.
MTA不是雇主判断您"可以就业"的"职业证明",但它是面向这个职业目标的第一步,并且可以帮助您在实习或大学入学时脱颖而出.
当您准备第一个着重技术的职业时,请确保您有MCTS证书–验证Microsoft产品和技术技能的中级证明.
下一页中的MTA认证途径向您介绍了MTA考试,在着手参加Microsoft的某个中级技术认证(如MCTS)之前,建议您参加该考试.
大vi职业规划Microsoft技术关联认证路径vii探索职业角色择职业发展道路是我们人生中的一项重大决策,虽然困难重重,但我们并不孤单!
Microsoft建立了一个职业站点,以帮助学员了解从事IT职业的各种选择和可能性.
此站点还将您与各种学习资源和学员技术迷社区联系起来,为您准备开始技术职业生涯提供了巨大帮助.
要了解Microsoft技术下的职业情况,请访问www.
microsoft.
com/learning/career/en/us/career-org-charts.
aspx(英语).
数据库管理员作为数据库管理员,您需负责跨多种平台和环境的重要数据库.
在快节奏的环境中,您是一名重要的团队成员.
您需要构建能够满足企业需求与安全要求的具有高扩展性的复杂数据库.
您不仅是数据库优化、维护和故障排除方面的专家,而且还是设计存档、数据分布以及高可用性解决方案方面的专家.
服务器管理员作为服务器管理员,您负责实施和管理您的组织中最重要的一些技术,即服务器.
您采用广泛的监视和分析工具来管理网络和调试系统,使其能够达到最佳性能.
您是ActiveDirectory专家,并且您深入了解网络协议,以及文件和目录安全.
客户支持技术人员可以考虑通过成为一名客户支持技术人员来开始您的IT职业生涯.
您无需具备任何正式工作经验,但企业可能会要求您了解如何在具有台式计算机、便携式计算机和打印机的家用网络环境中对操作系统进行安装、管理和故障排除.
作为客户支持技术人员,您还需要处理网络、病毒、恶意软件和硬件支持问题.
您通常会在中小型公司或组织中发现此职位.
选viii探索职业角色探索职业角色Web开发人员作为Web开发人员,您是使用为Web注入活力的动态编程工具和语言方面的专家.
您可以独立工作,或者作为团队成员为内部和公共站点构建和集成交互式网站、应用程序和服务.
您的任务是使它们能够正常运行,即开发Web应用程序并在各种浏览器上进行测试,并根据需要对其进行增强和修改,以确保用户获得最佳体验.
作为Web开发人员,您可能还需要设计网站结构、设计数据驱动的应用程序,以及寻找高效的客户端-服务器解决方案.
您必须对软件开发生命周期有深入的了解,并且能够就项目状态、问题以及解决方案进行沟通.
Windows开发人员作为Windows客户端开发人员,您需要了解如何优化Windows代码和跟踪Bug.
但您还需要了解如何使用MicrosoftVisualStudio和Microsoft.
NET框架来设计、开发、测试和部署可以在企业服务器和台式计算机上运行的基于Windows的应用程序.
您的主要能力包括了解多个Windows应用程序模型和n层应用程序,以及如何使用面向对象的编程、算法、数据结构和多线程技术.
Windows开发人员对软件工程规则、软件生命周期以及安全性准则具有深入认识.
适用于新开发人员的其他在线资源:http://msdn.
microsoft.
com/beginnerhttp://msdn.
microsoft.
com/rampup创新杯ImagineCup是全球重要的学员技术竞赛,在这里,来自全世界的学员可以学习新技能、交到新朋友和改变世界.
竞赛包括软件设计、嵌入式开发、游戏设计、数字媒体和WindowsPhone7.
最聪明的头脑利用技术的强大能力,去解决世界上最困难的问题.
china.
imaginecup.
com(英语)探索职业角色ix认证的价值术在我们生活中的各个方面均扮演着重要的角色.
自Microsoft开始向人们提供其产品和技术认证的20多年来,数百万人获得了相关知识、专业技能和证书,从而在可以想象到的每一个商业和社会部门中提高其职业能力、优化业务解决方案并开展创新.
当前,信息技术(IT)招聘经理通常会使用专业证书(如Microsoft认证)来确定具备所需IT技术的候选人.
认证成为在众多简历中轻松区分出合格候选人的方法.
根据美国劳工部劳工统计局(BLS)的研究报告,IT专业人员的就业前景非常乐观!
BLS指出,对于计算机支持专家、系统工程师、数据库管理员以及计算机软件工程师岗位,"一直到2014年,其增长率均超过所有工作岗位的平均水平".
从这份研究报告得出的一个重要信息是,无论国家/地区、行业或工作职责,信息和通信技术(ICT)技能都是就业市场的入场券.
很明显,信息技术是值得投入时间、资源和教育的领域,而技术认证则是教育过程的一个关键部分,作为学习经历的结果,它可以检验学员对产品和技术的掌握水平.
MicrosoftIT认证可以为全球IT专业人员、开发人员和信息工作者成功执行关键IT功能的能力提供客观的验证尺度.
Microsoft认证代表着丰富、广泛的知识、职业角色和责任.
此外,通过获得特定认证,可以客观地证明候选人成功履行重要IT职能的能力.
Microsoft认证倍受全球行业专业人员推崇,一直是帮助您实现长期职业目标的最有效方式.
技x认证的价值MTA98-367安全性基础1了解安全层本章内容1.
1了解核心安全原则1.
2了解物理安全性1.
3了解Internet安全性1.
4了解无线安全性目标了解安全层1.
1了解核心安全原则情景:BlueYonder航空公司在过去18个月里业务发展迅速,最近他们进行了一次安全审核以确保技术系统的安全性,从中确定了若干需要改进的方面.
公司CIO请求BlueYonder航空公司的安全顾问ToniPoe为一线员工提供一些重要安全培训.
其目标是向员工传授社会工程学方面的知识以及某些基本安全原则,以此将潜在的安全威胁风险降至最低水平.
Toni评估了每位员工与计算机访问和外围访问相关的安全权限.
Toni注意到某些员工具有访问BlueYonder航空公司Intranet网站的提升权限.
他还了解到在其培训中重点讲解"机密性、完整性和可用性"三角概念是非常重要的.
1.
Toni准备实施最小权限原则.
这对员工会有何影响呢a.
员工将保持其当前对所有资源的访问权限b.
员工将获得资源的最小权限集c.
员工将不得不以管理员身份登录以访问其资源2.
下面哪个是与安全培训有关的提供可用性的示例a.
确保开启所有工作站b.
确保所有员工具有完美的出勤率c.
防范分布式拒绝服务攻击3.
下面哪个是社会工程学的示例a.
假扮他人呼叫某位员工以获取可提供敏感信息访问权限的信息b.
在组织内开发安全威胁的社会意识c.
构建社交网站社会工程与社交网络无关.
黑客的最终目标是通过利用安全事务中人的因素尽可能获取更多信息.
了解核心安全原则5提示答案1.
实施最小权限原则意味着:b.
员工将获得资源的最小权限集2.
与安全培训有关的提供可用性意味着:c.
防范分布式拒绝服务攻击3.
社会工程学的示例是:a.
假扮他人呼叫某位员工以获取可提供敏感信息访问权限的信息重要细节CIA(机密性、完整性和可用性)三角这一概念是指确保防止未经授权披露信息、错误修改信息和未经授权保留信息或资源.
最小权限原则要求只对系统中的每个主体授予执行授权任务所需的最有限的权限集(或最低许可).

社会工程是指可能在有意或无意间帮助攻击者获取用户密码或其他敏感信息的访问权的任何类型的行为.

快捷帮助http://technet.
microsoft.
com/en-us/library/cc875841.
aspx(英语)/36第1章:了解安全层您的成绩关注目标了解安全层1.
2了解物理安全性情景:ErinHagens刚刚晋升为Woodgrove银行的安全主管.
这一职务对于客户资金和信息的安全担负着巨大责任,当然还有银行的信誉.
该职务要求她要密切跟进一长串要求以保护Woodgrove银行的安全.
一家银行业监管机构通知Erin要对其银行进行安全审核以确保其符合行业规定和标准.
Erin清楚这一请求并且必须尽职尽责提供监管者在检查潜在安全漏洞时所需的任何信息.
她最大的担忧是银行系统的物理安全性.

1.
Erin可以怎样做以确保银行台式计算机的物理安全性a.
通过使用组策略禁止使用软盘驱动器或USB驱动器b.
在每个机柜区域设置一个警卫c.
为每个台式计算机采取某种锁定机制,使其无法被搬走2.
Erin担心人们会通过身份验证访问数据中心的服务器.
她可以怎样防止普通用户登录这些系统a.
确保将服务器锁起来b.
拆除所有服务器的键盘c.
创建一个适用于服务器的组策略,针对所有非管理员用户"拒绝本地登录"3.
Erin可以怎样防止在银行中使用击键记录器a.
确保将终端锁定并定期检查系统上的端口b.
没有办法–Erin无法控制其计算机中都会插入什么c.
将所有计算机换成触摸屏显示器对于银行来说,将所有系统都换成触摸屏可能缺乏财务上的可行性或实际的可能性.
了解物理安全性7提示OBJECTIVEUNDERSTANDINGSECURITYLAYERS1.
19答案1.
为确保台式计算机的物理安全性,Erin可以:a.
通过使用组策略禁止使用软盘驱动器或USB驱动器.
多数计算机确实具有某种将锁定装置与桌面相连接的机制,但禁用USB和软盘驱动器可禁防更大的威胁.
2.
要防止普通用户登录系统,Erin可以:c.
创建一个适用于服务器的组策略,针对所有非管理员用户"拒绝本地登录".
一个更大的问题是数据中心的人们可以实际接触服务器.
但是,普通用户应无法以本地方式登录.
3.
要防止在银行中使用击键记录器,Erin必须:a.
确保将终端锁定并定期检查系统上的端口重要细节按键记录(通常称为击键记录)是指记录在键盘上输入的键(一般在用户不知情的情况下)的过程.

访问控制是指根据用户标识及其在各种预定义安全组中的成员资格将其访问权限限定为特定信息项或特定控制功能的机制.
快捷帮助http://technet.
microsoft.
com/en-us/library/bb457125.
aspx(英语)http://www.
microsoft.
com/smallbusiness/security.
aspx(英语)/38第1章:了解安全层您的成绩关注OBJECTIVEUNDERSTANDINGSECURITYLAYERS1.
20目标了解安全层1.
3了解Internet安全性情景:TerryAdams是TailspinToys公司的桌面管理员.
为紧跟最新的Internet技术,TailspinToys决定将其浏览器升级到InternetExplorer(IE)8.
Terry希望确保能够利用浏览器中内置的许多安全功能,同时还能保持公司Intranet中的功能.
Terry还希望将其用户培养成为优秀的"Internet市民"并进行安全的网上冲浪.
他清楚Internet安全方面的第一道防线就是掌握相关知识与技能的用户.
1.
Terry希望以如下方式配置IE8中的Internet区域功能,即用户可以轻松访问本地Intranet上的内容,同时仍然保持较高的安全级别.
他应当怎么做呢a.
创建一个外围网络,确保Intranet站点位于其中,并将每个部门中单一一台PC指定为Intranet浏览PC(IBPC)b.
转到"Internet选项",选择"安全",并将其Intranet站点添加到"本地Intranet站点"列表中c.
每周打印Intranet站点的内容并通过内部邮件系统进行分发2.
Terry可以告诉其员工通过寻找什么来确保自己位于安全的网站上a.
浏览器右下角的挂锁和地址栏中的https://b.
网站上的联系信息c.
他们无法浏览安全网站,因为您不能信任任何站点3.
受限站点区域中设置的安全级别是什么a.
低;站点受到限制,因此无需担心b.
高;禁用大多数功能,具有最大的安全保护,可防范有害内容c.
中;过严和过宽之间的很好的平衡受限站点区域中的默认级别设置为"高".
了解Internet安全性9提示OBJECTIVEUNDERSTANDINGSECURITYLAYERS1.
21答案1.
要在IE8中配置Internet区域功能并使用户能够轻松浏览本地Intranet,Terry应当:b.
转到"Internet选项",选择"安全",并将其Intranet站点添加到"本地Intranet站点"列表中.
2.
为确保员工位于安全的网站上,他们应当寻找:a.
浏览器右下角的挂锁和地址栏中的https://.
这并不能保证站点是安全的.
但这是一个起点.
3.
受限站点区域中的安全级别是:b.
高;禁用大多数功能,具有最大的安全保护,可防范有害内容.
重要细节Internet区域包含不在您的计算机或本地Intranet上或尚未分配给其他区域的网站.
默认安全级别为"中".
安全站点是指能够提供安全交易的网站,它能保证未经身份验证的用户不能访问信用卡号和其他个人信息.

快捷帮助http://support.
microsoft.
com/kb/174360/310第1章:了解安全层您的成绩关注OBJECTIVEUNDERSTANDINGSECURITYLAYERS1.
22目标了解安全层1.
4了解无线安全性情景:PilarAckerman是FourthCoffee的系统管理员,该公司是一家广受欢迎且盈利颇丰的咖啡厅全国连锁机构.

咖啡厅领域的竞争异常激烈!
为保持竞争优势,FourthCoffee计划在其全部200家咖啡厅中为其客户增添开放式高速无线访问,并为其员工提供安全的无线网络.
Pilar面临着多项安全问题,并且必须确保其业务通信的安全.
除此之外,他还要承担使这一新功能成为一项取胜战略的压力.
1.
为确保对业务相关通信进行加密,Pilar可以实施的最安全的协议是什么a.
有线对等保密(WEP)b.
WiFi安全访问(WPA)2c.
可扩展的身份验证协议(EAP)2.
除了加密业务无线通信以外,Pilar还可以怎样添加另一个安全级别a.
实施访问点隔离并隐藏服务集标识符(SSID)b.
在客户到来时关闭业务访问点c.
启用MAC筛选3.
Pilar希望员工在与他联系之前能够独立排除各自的无线连接故障.
他可以指导员工采取怎样的基本故障排除步骤a.
重新启动计算机b.
关闭然后开启无线访问点c.
右键单击系统托盘中的网络图标并选择"问题故障排除"关闭然后开启访问点会断开其他用户的网络连接.
了解无线安全性11提示OBJECTIVEUNDERSTANDINGSECURITYLAYERS1.
23答案1.
为确保对业务相关通信进行加密,Pilar可以实施的最安全的协议是:b.
WiFi安全访问(WPA)2.
EAP是处理身份验证的安全功能,而WPA比WEP更安全.
2.
Pilar可以通过以下方式添加另一个安全级别:a.
实施访问点隔离并隐藏服务集标识符(SSID).
MAC筛选也是一种选择;但是,MAC地址可能是"假的"或"欺骗性的".
隐藏SSID是一项可以实施的简单安全措施.
3.
Pilar可以指导员工按以下方式进行故障排除:c.
右键单击系统托盘中的网络图标并选择"问题故障排除"重要细节服务集标识符(SSID)是由32个字符构成的唯一标识符,附加在通过WLAN发送的数据包的标头中,当移动设备尝试连接到无线LAN上的通信站时作为密码使用.
Wi-Fi安全访问(WPA)是旨在提高WEP安全功能的Wi-Fi标准.
有线对等保密(WEP)是作为802.
11标准一部分的加密算法系统,由电气和电子工程师协会开发,用来作为保护无线LAN免遭随意性窃听的安全措施.
快捷帮助http://technet.
microsoft.
com/en-us/magazine/2005.
11.
securitywatch.
aspx(英语)http://windows.
microsoft.
com/zh-cn/windows-vista/What-are-the-different-wireless-network-security-methodshttp://www.
windowsnetworking.
com/articles_tutorials/Securing-Wireless-Network-Traffic-Part1.
html(英语)/312第1章:了解安全层您的成绩关注2了解操作系统安全性本章内容2.
1A了解用户身份验证2.
1B了解用户身份验证2.
2了解权限2.
3了解密码策略2.
4了解审核策略2.
5A了解加密2.
5B了解加密2.
6了解恶意软件目标了解操作系统安全性2.
1A了解用户身份验证情景:JimHance是CohoWinery的安全管理员.
在过去的几个月里,各种安全威胁层出不穷,管理问题越来越多.
他们无法承受系统受到危害的后果;他们的客户希望能有一个可靠且安全的网站.
Jim正在检查CohoWinery的安全策略,以确定公司需要在哪里增强安全策略,或者至少更新现有策略和安全措施.
他的第一项任务是确定公司在用户身份验证方面的强度.
1.
Jim知道较强的密码是安全计划中的一个重要因素.
那么一个强密码都包含哪些特征呢a.
包含7个以上字符;不含用户名、真实名称或公司名称b.
包含嵌入在公司名称中的顺序数字c.
包含用户的姓氏和电子邮件地址2.
可以使用哪种协议保护网络上的工作站和计算机身份验证的安全a.
TCP/IPb.
Kerberosc.
轻量目录访问协议3.
Jim可以采取哪种战略来减少用户访问特定资源时所必须进行的身份验证次数a.
双重身份验证b.
数字证书c.
单一登录(SSO)了解用户身份验证15提示减少用户必须进行身份验证的次数可以降低其凭据被捕获的可能性.
答案1.
强密码:a.
包含7个以上字符;不含用户名、真实名称或公司名称2.
要保护网络上的工作站和计算机身份验证的安全,Jim可以使用:b.
Kerberos3.
要减少用户访问特定资源时所必须进行的身份验证次数,Jim可以实施:c.
单一登录(SSO)重要细节身份验证是获取用户的身份凭据(如名称和密码)并根据某个颁发机构对这些凭据进行验证的过程.

Kerberos对尝试登录网络的用户的标识进行身份验证并通过密钥加密措施加密其通信.

轻量目录访问协议(LDAP)是设计为在TCP/IP堆栈上工作以提取来自层次结构目录(如X.
500)的信息的网络协议.
远程身份验证拨入用户服务(RADIUS)是一种Internet协议,其中一个身份验证服务器会将授权和身份验证信息提供给用户试图链接的网络服务器.
快捷帮助http://www.
microsoft.
com/windowsserver2008/en/us/ad-main.
asp(英语)http://web.
mit.
edu/Kerberos/#what_is(英语)http://technet.
microsoft.
com/en-us/library/bb463152.
aspx(英语)/316第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
1B了解用户身份验证情景:GraphicDesignInstitute(GDI)拥有超过30,000名学生.
学生个人信息(包括财务数据、地址、家庭联系方式、特殊健康需求和成绩等)的安全是网络管理团队的首要任务.
然而,在过去的几个月里,学生数据曾多次受到威胁.
个人数据出现在社交网站上,这令网络团队倍感难堪.
GDI官员要求网络管理员ToddRowe为学生采取更强的身份验证措施,并杜绝IT员工凭借提升的权限进行登录的现象.
Todd具有多种选择,但他意识到对于咨询台员工,过程需要相对简单.
1.
Todd希望实施双重身份验证.
他可以使用什么呢a.
智能卡和用户密码b.
两个密码c.
两个用户ID及两个密码2.
GDI员工可以采用哪种服务取代使用提升的权限登录a.
远程桌面b.
辅助登录-身份c.
域用户管理器3.
使用生物特征识别的缺点是什么a.
用户必须有手b.
对于很多组织来说成本过高c.
视网膜扫描可以伪造生物特征识别极为安全;但是,支持生物特征的设备成本过于高昂.
了解用户身份验证17提示答案1.
要实施双重身份验证,Todd可以使用:a.
智能卡和用户密码2.
不使用提升的权限登录,员工可以采用:b.
辅助登录-身份3.
使用生物特征识别的缺点是:b.
对于很多组织来说成本过高重要细节证书是在Internet和Intranet上验证用户身份的电子凭据.
公钥基础结构(PKI)是使用密钥对进行加密的一种不对称方案:公钥用于加密数据,对应的私钥用于解密数据.
"运行为"命令允许用户以不同于当前登录所提供权限的权限运行特定工具和程序.

更改密码的步骤:按并选择"更改密码"使用"辅助登录"或"运行为"的步骤.
.
.
右键单击应用程序图标并选择"以管理员身份运行"快捷帮助http://technet.
microsoft.
com/zh-cn/library/cc782756(WS.
10).
aspxhttp://technet.
microsoft.
com/zh-cn/library/cc756862(WS.
10).
aspxhttp://technet.
microsoft.
com/en-us/library/cc261673(office.
12).
aspx(英语)/318第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
2了解权限情景:Fabrikam,Inc.
最近进行了一项基本重组和各种公司变革.
ShawnRichardson是Fabrikam的网络管理员,受命按照新的组织情况安排公司的服务器.
第一步,Shawn完成了公司的MicrosoftWindowsServer2008R2文件服务器的安全审核,并确定需要根据公司重组情况修订文件夹和共享安全性.
Shawn必须将其计划呈报给管理层并指导其团队成员完成该项目.
1.
Shawn注意到文件系统中的某些共享没有安全保护.
创建共享时默认的权限设置是什么a.
每个人都具有读取权限b.
管理员具有完全控制权限c.
每个人都具有完全控制权限2.
为什么Shawn应当在域中强制实施用户帐户控制(UAC)a.
这样他便可以控制用户帐户b.
有助于防止对域中的计算机进行未经授权的更改c.
允许用户使用管理员密码进行身份验证以执行管理任务3.
在重新分配权限时,利用哪种功能(ActiveDirectory对象也可使用此功能)才能不必为每个父文件夹和子文件夹分配权限,从而简化Shawn的工作a.
批处理文件b.
继承c.
员工继承允许将权限或特权从父对象传播至子对象.
可以阻止或删除此功能.
了解权限19提示答案1.
创建共享时,默认权限为:a.
每个人都具有读取权限2.
Shawn应当在域中强制实施用户帐户控制(UAC),因为:b.
有助于防止对域中的计算机进行未经授权的更改3.
在重新分配权限时,利用以下功能可简化Shawn的工作:b.
继承重要细节权限包括"完全控制"、"修改"、"读取和执行"、"列出文件夹目录"、"读取"以及"写入";权限可以应用于文件夹对象和文件对象.
权限还可应用于ActiveDirectory对象.
继承这一概念是指将权限从父对象传播至某个对象.
继承可出现在文件系统权限和ActiveDirectory权限中.
它不适用于共享权限.
新技术文件系统(NTFS)、FAT和FAT32.
NTFS与FAT文件系统之间的主要区别在于为文件系统应用安全性的能力.
您可以在NTFS上授予或拒绝各种权限.
NTFS还支持加密数据的功能.
共享权限和NTFS权限根据资源的访问方式来应用.
共享权限在通过网络访问资源时才会生效,而NTFS权限将始终有效.
当共享权限和NTFS权限应用于同一资源时,将采用最具限定性的权限.
快捷帮助http://technet.
microsoft.
com/zh-cn/library/cc730772.
aspxhttp://technet.
microsoft.
com/zh-cn/library/cc771375.
aspxhttp://technet.
microsoft.
com/zh-cn/library/cc770906(WS.
10).
aspx/320第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
3了解密码策略情景:JayHamlin受命为WingtipToys实施强密码策略,这是一项艰巨任务.
他清楚公司需要最短长度的复杂密码,但在使员工了解整个WingtipToys公司的安全如何依赖于这些耦合要求以及他计划采取的其他一些措施时遇到了困难.
他还必须确定在锁定用户帐户之前用户可以尝试登录的次数,用户必须更改密码的频率,以及用户可以重复使用所喜欢的密码的频率.

他的密码复杂性策略计划包括以下密码条件:不能包含用户的登录名至少包含6个字符或更多必须包含以下四个字符中的三个:大写字母、小写字母、数字和特殊字符1.
如果Jay将密码要求的难度设置得过高,他将面临怎样的困境a.
复杂密码难猜且难记b.
Jay在工作中将不再有朋友c.
用户不会使用密码2.
密码最长使用期限策略是指什么a.
确定用户必须达到多大年龄才能创建密码b.
是指之后必须更改密码的持续使用时间c.
是指密码必须使用多长时间之后才允许用户更改密码3.
将"强制密码历史"的值设置为10将发生什么a.
用户在验证其密码时可以尝试10次b.
密码必须至少使用10天,然后才能更改密码c.
系统会记住最后的10个密码并且不允许用户重复使用前10个密码中的任何密码密码历史记录可防止用户重复使用其密码.
了解密码策略21提示答案1.
难度过高的密码要求会使Jay面临以下困境:a.
复杂密码难猜且难记2.
密码最长使用期限:b.
是指之后必须更改密码的持续使用时间3.
将"强制密码历史"的值设置为10时:c.
系统会记住最后的10个密码并且不允许用户重复使用前10个密码中的任何密码重要细节帐户锁定是Windows中的一项安全功能,根据安全策略锁定设置,当在指定时间内失败的登录尝试达到一定次数时,将锁定用户帐户.
密码攻击是计算机或网络上的一种攻击,是指密码被盗并被破解或被密码字典程序披露.

密码探查是黑客采用的一种技术,通过截获数据包并在其中搜索密码来捕获密码.

MicrosoftWindowsServer2008允许使用细化的密码策略,即允许在ActiveDirectory中为整个组织指定更灵活的密码策略.
快捷帮助http://technet.
microsoft.
com/zh-cn/library/cc784090(WS.
10).
aspxhttp://technet.
microsoft.
com/en-us/library/cc875814.
asp(英语)/322第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
4了解审核策略情景:Margie'sTravel的网络必须非常安全.
其中的文件包含客户信息,其中包括信用卡号、生日、地址以及护照的复印件.
如果系统被黑客攻入,就真有可能会发生身份盗用事件.
显然,这种风险是Margie'sTravel所不能接受的.
ArleneHuff是Margie'sTravel的系统管理员.
公司要求她跟踪谁试图登录系统以及试图登录的时间.
他们还要求她创建一个系统以跟踪何时以及由谁打开了机密文件.
Arlene很高兴地接受了这项任务,这对她来说并不是一个难题.
1.
Arlene希望在有人以管理员身份登录系统失败时进行记录,但为什么她在他们成功登录时也要记录呢a.
确定是否有人以及何时使用提升的权限成功进行了身份验证b.
确保他们成功登录而没有任何问题c.
监控计算机上的驱动器空间2.
当启用审核时,在何处写入文件审核事件a.
审核事件日志b.
pfirewall.
logc.
安全事件日志3.
适当保护审核日志的安全为什么很重要a.
这样潜在的黑客便无法删除事件日志以掩盖其踪迹b.
这并不重要,没有人会查看审核日志c.
这样只有获得授权的人员才能查看日志文件技艺高超的计算机黑客会在完成信息的获取后修改审核日志,使其看起来从未有黑客光临过.
了解审核策略23提示答案1.
Arlene希望在有人成功登录系统以及登录失败时进行日志记录,目的是:a.
确定是否有人以及何时使用提升的权限成功进行了身份验证.
如果有人失败了四次,然后在第五次取得成功,则可能表明是黑客活动.
2.
启用的文件审核事件写入到:c.
安全事件日志3.
适当保护审核日志的安全很重要a.
这样潜在的黑客便无法删除事件日志以掩盖其踪迹重要细节审核是操作系统用来检测和记录安全相关事件(如试图创建、访问或删除文件和目录等对象)的过程.

审核策略是确定要报告给网络管理员的安全事件的策略.
安全日志可由防火墙或其他安全设备生成,其中会列出可能影响安全性的事件,例如访问尝试或命令,以及所涉及的用户的名称.
快捷帮助http://technet.
microsoft.
com/zh-cn/library/dd408940(WS.
10).
aspxhttp://technet.
microsoft.
com/zh-cn/library/dd349800(WS.
10).
aspx/324第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
5A了解加密情景:AdventureWorks最近扩充了其移动销售员工队伍.
管理团队最近意识到数百台便携式计算机同时分布在数百个未加安全防护的位置所带来的特殊安全问题.
DavidJohnson是负责AdventureWorks移动销售员工队伍的网络管理员.
最近他受到来自管理团队的事关敏感数据的重压,如果其中的任何便携式计算机被盗或放置不当,这些敏感数据就可能会落入竞争对手的手里.
他们必须找到一种解决方案,能够确保移动站上的数据的机密性,它们运行的都是Windows7Enterprise—他们需要尽快获得这一解决方案!
1.
David可以启用哪种功能来确保数据的安全a.
加密文件系统(EFS)b.
密码保护屏幕保护程序c.
BitLocker2.
必须配置哪一项以确保可以回收Bitlocker存储a.
销售人员的个人标识和登录凭据b.
BitLocker以使用数据恢复代理c.
秘密检索代理3.
在决定使用BitLocker时,David必须认真考虑哪些事项a.
销售员工的责任心和自律性b.
硬件的部署,因为BitLocker需要一个系统保留分区c.
这很简单,没有什么重要的考虑事项Bitlocker要求在标准安装过程中创建一个系统保留分区.
了解加密25提示答案1.
为确保数据的安全,David必须启用:c.
BitLocker2.
为确保在Bitlocker保护的存储移动到另一台计算机时能够回收所保护的数据,管理员必须创建并适当存储:b.
BitLocker以使用数据恢复代理3.
使用BitLocker时,管理员必须考虑:b.
硬件的部署,因为BitLocker需要一个系统保留分区重要细节BitLocker(ToGo)驱动器加密是WindowsServer2008R2和某些版本的Windows7中提供的一种数据保护功能.
加密文件系统(EFS)是一项Windows功能,允许您将信息以加密格式存储在硬盘上.
加密是将数据编码以防止未经授权的访问的过程,尤其是在传输过程中.

快捷帮助http://technet.
microsoft.
com/en-us/windows/dd408739.
aspx(英语)http://technet.
microsoft.
com/zh-cn/library/cc732774.
aspxhttp://technet.
microsoft.
com/zh-cn/library/ee706523(WS.
10).
aspxhttp://technet.
microsoft.
com/zh-cn/library/ee706518(WS.
10).
aspx/326第2章:了解操作系统安全性您的成绩关注secure目标了解操作系统安全性2.
5B了解加密情景:SouthridgeVideo的所有者对于她与海岸上下各分支机构经理的密切关系深感自豪.
每周的沟通是维系关系和掌握业务进展情况与所面临困难的关键.
所有者和经理们希望将其周一的电话早间会议取代为公司总部与各分支机构之间的安全的周一视频早间会议.
他们要求WAN管理员JeffWang创建一个经济高效的解决方案.
该解决方案必须能够在远程分支机构之间工作,而在分支机构间建立专用连接会过于昂贵.
因此,最佳解决方案是利用每个分支机构的Internet连接.
1.
怎样才能在非安全网络上创建安全连接a.
虚拟专用网络(VPN)b.
在其路由和远程访问服务器上配置回调功能c.
使用社交网站召开会议2.
Jeff需要在点对点隧道协议(PPTP)与第2层隧道协议(L2TP)之间做出取舍.
哪种协议更安全a.
PPTPb.
L2TPc.
都不安全,它们都会以明文传递信息3.
什么是公用证书a.
为表彰卓越的业务安全策略而颁发的一种奖励b.
一种两部分加密中不与其他各方共享的那部分c.
一种数字签名的声明,通常用于身份验证以及开放网络上的信息私钥证书是两部分加密中驻留在发起计算机上且不共享的那部分.
了解加密27提示答案1.
可以通过以下方式在非安全的网络上创建安全连接:a.
虚拟专用网络(VPN)2.
更安全的协议是:b.
L2TP.
PPTP使用MPPE实现安全性,其安全性不如L2TP,后者使用IPsec作为其加密方法.
3.
公用证书是:c.
一种数字签名的声明,通常用于身份验证以及开放网络上的信息重要细节第2层隧道协议与Internet协议安全(L2TP/IPSec)是使用IPsec进行加密的PPTP与第2层转发(L2F)的组合.
用户将私钥保密并使用它加密数字签名和解密收到的邮件.
用户向公众发布公钥,公众可以使用它加密要发送给用户的消息以及解密用户的数字签名.

虚拟专用网络(VPN)是穿越公用网络(如Internet)的受保护隧道,其中使用加密技术以防止数据被未经授权的用户截获和了解.
快捷帮助http://technet.
microsoft.
com/en-us/library/cc700805.
aspx(英语)/328第2章:了解操作系统安全性您的成绩关注目标了解操作系统安全性2.
6了解恶意软件情景:ConsolidatedMessenger为很多领域的商家处理客户反馈.
每天他们都会收到来自满意或不满意客户的数千封电子邮件,并将其分发至其客户公司的相应个人.
MaryKayAnderson是ConsolidatedMessenger的系统管理员.
该公司的网络上曾出现过几次病毒,似乎是通过电子邮件传播的.
他们要求MaryKay主持一个"午餐学习会",为ConsolidatedMessenger员工讲解一些有关恶意软件和电子邮件的知识.
MaryKay还受命寻找一种可以更好地保护系统的解决方案.
1.
当员工收到来自客户或同事的包含嵌入的超链接的可疑电子邮件时应怎样做a.
删除电子邮件,然后与MaryKay以及该客户或同事联系b.
立即单击超链接,看看会发生什么,以便对威胁做出评估c.
将电子邮件转发给其他同事,警告他们该电子邮件不合法2.
MaryKay可以怎样防止可疑电子邮件进入其网络a.
安装MicrosoftForefront和ThreatManagementGateway并将其配置为阻止恶意电子邮件b.
禁用Internet电子邮件c.
警告同事如果他们再转发任何电子邮件就将其开除3.
MaryKay可以下载哪种工具来删除恶意软件a.
远程服务器管理工具(RSAT)b.
MicrosoftWindowsMaliciousSoftwareRemovalToolc.
任何网上宣传的安全软件工具—它们都是一样的恶意软件删除工具包含在Windows更新中.
了解恶意软件29提示答案1.
当员工收到包含嵌入的超链接的可疑电子邮件时,他们应当:a.
删除电子邮件,然后与MaryKay以及该客户或同事联系.
绝不要转发包含可疑内容的电子邮件.
如果电子邮件带有或链接,请与发件人联系并确认对方是否发送了该邮件.
2.
要防止可疑电子邮件进入网络,MaryKay可以:a.
安装MicrosoftForefront和ThreatManagementGateway并将其配置为阻止任何恶意电子邮件.
ExchangeServer具有若干垃圾邮件筛选工具.
Forefront和TMG是附加安全措施,可以更好地保护系统.
3.
要删除恶意软件,MaryKay可以下载:b.
MicrosoftWindowsMaliciousSoftwareRemovalTool重要细节Bot是可在网络上执行某种任务的程序,尤其是重复性或耗时的任务.
Rootkit是黑客可用来获取未经授权的远程计算机访问权限并启动附加攻击的软件程序的集合.

间谍软件有时也称为spybot或跟踪软件.
间谍软件使用其他形式的欺骗性软件和程序在计算机上执行特定活动,而无需获取用户的适当许可.
特洛伊木马是一种看似有用或无害的程序,实际上包含隐藏代码,意图操控或损害运行该木马的系统.
蠕虫使用自我传播的恶意代码,可以自动通过网络连接将自身从一台计算机分发到另一台计算机.
快捷帮助http://www.
microsoft.
com/downloads/details.
aspxFamilyId=F24A8CE3-63A4-45A1-97B6-3FEF52F63ABB&displaylang=en(英语)http://support.
microsoft.
com/kb/889741/330第2章:了解操作系统安全性您的成绩关注3了解网络安全性本章内容3.
1了解专用防火墙3.
2了解网络访问保护(NAP)3.
3A了解网络隔离3.
3B了解网络隔离3.
4了解协议安全32CHAPTER2:UnderstandingOperatingSystemSecurityBETACOURSEWAREEXPIRESNOVEMBER26,2010目标了解网络安全性3.
1了解专用防火墙情景:MattBerg已经获得了多个Microsoft证书,现在他是一名独立安全顾问,自己给自己当老板.
TreyResearch聘请他提供服务,执行其网络的安全评估.
TreyResearch具有多台暴露于Internet的服务器,他们担心自己的内部网络可能容易受到攻击.
他们有一个外围防火墙,但他们不清楚这是否足够.
Matt的工作就是对状况进行评估并给出TreyResearch可以如何保护其数据的建议.
1.
对于暴露于Internet的服务器,Matt应为TreyResearch提供什么建议a.
创建一个外围网络,将这些服务器与内部网络隔离开b.
外包关联的服务c.
无需采取任何措施—服务器放在内部网络中就很好2.
单个外围防火墙对于TreyResearch是否足够a.
是–单个防火墙在任何环境中都可提供足够的保护b.
否–TreyResearch的担心是有道理的.
他们应当采用多种安全工具,为其组织提供"深入防范",并启用工作站软件防火墙和防病毒软件c.
否–他们还应创建一个DMZ3.
有状态数据包检验和无状态数据包检验哪个可提供更好的安全性a.
无状态数据包检验,因为它更高效且可停止更多数据包b.
两者都不行–它们不会提供任何类型的安全保护c.
有状态数据包检验,因为它会在数据包通过连接传递时检验数据包无状态数据包检验是一种速度更快的安全类型,需要的内存较少,但并非完全可靠.
了解专用防火墙33提示答案1.
Matt应当建议TreyResearch:a.
创建一个外围网络,将这些服务器与内部网络隔离开.
暴露于Internet的服务器和设备不应驻留在内部网络上.
应当将它们划分或隔离到网络的一个受保护的部分中.
2.
单个外围防火墙对于TreyResearch是否足够b.
否–TreyResearch的担心是有道理的.
他们应当采用多种安全工具,为其组织提供"深入防范",并启用工作站软件防火墙和防病毒软件.
没有任何一种解决方案能够完全保护网络的安全;不过,提供多层安全保护可以降低公司的风险.
3.
更好的数据包检验选择是:c.
有状态数据包检验,因为它会在数据包通过连接传递时检验数据包重要细节防火墙是用于保护组织网络免受来自其他网络(例如Internet)的外部威胁(例如黑客)的安全系统.
数据包筛选是根据IP地址控制网络访问的过程.
防火墙通常会集成筛选器,用于允许或拒绝用户进入或离开局域网(LAN)的功能.
代理服务器是管理Internet与局域网之间的往来通信并可提供其他功能(例如文档缓存和访问控制)的安全工具.
快捷帮助http://www.
microsoft.
com/windowsxp/using/security/internet/sp2_wfintro.
mspx(英语)http://technet.
microsoft.
com/zh-cn/library/cc700828.
aspxhttp://technet.
microsoft.
com/en-us/library/cc700820.
aspx(英语)/334第3章:了解网络安全性您的成绩关注目标了解网络安全性3.
2了解网络访问保护(NAP)情景:AdventureWorks是美国最大的高端运动器材供应商之一.
二十五位AdventureWorks销售顾问在国内到处旅行,向零售商推销运动器材.
他们每周五携带自己的便携式计算机返回公司总部参加会议和培训.

AllieBellew是AdventureWorks的网络管理员,她希望采取一种方法,以确保移动设备在周五的会议中访问公司网络时处于良好的"健康"安全状态.
1.
Allie可以采取哪种控制或策略来确保"健康"的安全性a.
网络访问保护,它将验证每个移动设备的完整性b.
每次销售顾问登录时进行病毒扫描c.
在连接到网络之前重新建立每台便携式计算机的映像2.
除了防范感染便携式计算机的病毒外,NAP还可以做些什么a.
防止丢失数据b.
没有别的了—病毒扫描已经很完美c.
通过检查设备是否具有最近的软件更新或配置更改验证其完整性3.
对于与NAP不兼容的计算机,Allie可以采取什么办法a.
升级不兼容的计算机b.
在NAP中为不兼容的设备定义例外c.
禁止这些设备使用网络对于"任务所需"的系统可以定义例外,直到可以对其进行升级.
了解网络访问保护(NAP)35提示答案1.
Allie可以采取:a.
网络访问保护,它将验证每个移动设备的完整性2.
除了防范感染便携式计算机的病毒外,NAP还可以:c.
通过检查设备是否具有最近的软件更新或配置更改验证其完整性.
尚未收到更新的系统可能会与受到恶意软件感染的系统一样容易出现问题.
3.
对于与NAP不兼容的计算机,Allie应当:b.
在NAP中为不兼容的设备定义例外重要细节网络访问保护(NAP)是一个新的平台和解决方案,可基于客户端计算机的标识并遵循公司治理策略控制对网络资源的访问.
NAP强制点是使用NAP或可以与NAP结合使用以要求评估NAP客户端的健康状况并提供受限网络访问或通信的计算机或网络访问设备.
快捷帮助http://technet.
microsoft.
com/en-us/network/cc984252.
aspx(英语)http://technet.
microsoft.
com/en-us/network/bb545879.
aspx(英语)http://www.
microsoft.
com/windowsserver2008/en/us/nap-faq.
aspx(英语)/336第3章:了解网络安全性您的成绩关注目标了解网络安全性3.
3A了解网络隔离情景:CohoWinery从事葡萄酒酿造业务已有三代.
他们仍在使用相同的葡萄园和相同的酒窖生产高品质的葡萄酒.

甚至他们的多数业务组织也在几十年里保持如故.
现在是时候采用与其数据保留基础结构有关的新技术对Coho的企业方面进行更新了.
KarenBerg受命评估CohoWinery的网络基础结构并根据其下列特定需求提供相应建议:多数员工需要Internet访问.
葡萄酒厂内的计算机被隔离,并且不需要Internet访问.
"在家工作"的员工应具有使用IP安全的虚拟专用网络访问.
1.
Karen可以怎样防止葡萄酒厂的计算机能够访问Interneta.
创建一个不允许Internet访问、而是中继到主网络的VLANb.
手动配置每台计算机,使其没有网关c.
从计算机中删除InternetExplorer2.
Karen必须采取哪项技术以允许办公室员工访问Internet且不会将其暴露于Interneta.
设置一台具有公共IP地址的Walk-Up计算机,以便它可以访问Internetb.
为每个办公室用户提供一个拨号调制解调器以建立Internet连接c.
设置一个路由器以执行网络地址转换,从而允许多个专用地址加入到公用网络中3.
哪个MicrosoftWindowsServer2008R2功能可以同时完成Internet访问和VPN解决方案a.
DHCPb.
远程桌面服务c.
路由和远程访问服务多数服务器操作系统都具有某种形式的路由技术.
最低要求包括具有多个网络接口卡(NIC).
了解网络隔离37提示答案1.
为防止葡萄酒厂的计算机能够访问Internet,Karen可以:a.
创建一个不允许Internet访问、而是中继到主网络的VLAN2.
要允许办公室员工访问Internet且不会将其暴露于Internet,Karen可以:c.
设置一个路由器以执行网络地址转换,从而允许多个专用地址加入到公用网络中.
多数零售无线路由器可执行网络地址转换或端口地址转换,从而使家庭网络设备(Xbox、便携式计算机等)能够访问Internet.
3.
MicrosoftWindowsServer2008R2可以通过以下功能同时完成Internet访问和VPN解决方案:c.
路由和远程访问服务(RRAS).
RRAS可以同时充当VPN和Internet网关.
可以使用多种安全协议(包括IP安全(IPsec))为VPN访问提供安全保护.
重要细节网络地址转换(NAT)是在Intranet或其他专用网络内使用的IP地址与InternetIP地址之间的转换过程.
路由是将网络之间的数据包从源转发到目标的过程.
虚拟LAN(VLAN)是一组具有共同要求的主机,其通信方式就好像它们都连接到相同的广播域,而不管其物理位置如何.
快捷帮助http://technet.
microsoft.
com/en-us/network/bb531150.
aspx(英语)http://technet.
microsoft.
com/en-us/network/bb545655.
aspx(英语)http://www.
microsoft.
com/downloads/en/details.
aspxFamilyID=7E973087-3D2D-4CAC-ABDF-CC7BDE298847&displaylang=en(英语)http://en.
wikipedia.
org/wiki/Virtual_LAN(英语)/338第3章:了解网络安全性您的成绩关注目标了解网络安全性3.
3B了解网络隔离情景:ArleneHuff是Margie'sTravel的系统管理员,最近几周她为保护公司和客户数据的安全而非常忙碌.
网络上出现了可疑活动,幸亏Arlene跟踪网络用户的措施保护了系统.
但保护机密数据的安全仍是一项充满挑战性的长期任务.
公司的所有者Margie希望其远程旅行代理能够访问公司网络,这样他们便可以查收电子邮件并发布当日预定的约会.

Margie决定允许旅行代理使用其家庭计算机,但必须确保信息安全.
客户信息的安全是其首要任务.

1.
适合Margie'sTravel的最佳常规解决方案是什么a.
设置一台VPN服务器以允许旅行代理远程访问b.
设置一个调制解调器库并让旅行代理为其家庭计算机购买调制解调器,以便可以向办公室拨号c.
没有Margie想要的那种解决方案2.
让旅行代理使用其家庭计算机进行VPN访问的潜在风险是什么a.
没有风险–VPN可处理一切并加密数据b.
旅行代理可能会忘记断开连接,从而使VPN连接保持打开状态并禁止他人进行连接c.
仅靠VPN无法防范家庭计算机上的潜在病毒和恶意软件感染网络3.
Arlene担心攻击者会渗透到VPN中.
她可以怎样设置以"引诱"攻击者,从而更好地了解对手的方法a.
外围网络之外的一个蜜罐,它是一个伪造的程序,可模拟VPN或服务b.
一个声称"这里什么都没有"的诱惑性网站c.
一个永远不会应答的假VPN蜜罐遍布于Internet上,用于发现攻击者可能用来侵害系统的方法.
了解网络隔离39提示答案1.
适合Margie'sTravel的最佳常规解决方案是:a.
设置一台VPN服务器以允许旅行代理远程访问.
她可以配置VPN以使用多种加密方法.
2.
让旅行代理使用其家庭计算机进行VPN访问的风险是:c.
仅靠VPN无法防范家庭计算机上的潜在病毒和恶意软件感染网络.
Arlene可以使用"直接访问",这是Windows7和WindowsServer2008R2中的新功能,有助于缓解潜在风险.
3.
要"引诱"攻击者以更好地了解其方法,Arlene可以创建:a.
外围网络之外的一个蜜罐,它是一个伪造的程序,可模拟VPN或服务重要细节外围网络(也称为DMZ,非军事区和屏蔽子网)是一个物理或逻辑网络,其中包含组织的外部服务并将其公开给更大的非信任网络,通常是Internet.
Internet协议安全(IPsec)是一个Internet协议安全标准,该标准提供一个常规的基于策略的IP层安全机制,该机制非常适合提供逐个主机式的身份验证.
IPsec策略定义为具有控制入站数据流的安全规则和设置.
虚拟专用网络(VPN)公用网络(如Internet)上的节点使用加密技术相互通信,以此防止未经授权的用户截获和了解其消息,就像这些节点是通过专用线路连接的一样.
快捷帮助http://technet.
microsoft.
com/en-us/network/dd420463.
aspx(英语)/340第3章:了解网络安全性您的成绩关注目标了解网络安全性3.
4了解协议安全情景:自从GraphicDesignInstitute的网络管理员ToddRowe采取强化安全措施保护学生数据以来,所报告的泄露事件次数已降低至零!
行政管理部门对此很高兴,但Todd知道防止数据遭受攻击是一场持久战.
Todd的朋友NeilBlack是专用数据存储攻击方法方面的专家.
Todd请求Neil为行政管理部门和办公室员工就网络安全、协议安全措施、攻击方法和防范手段做一次演示报告.
Todd深知,掌握相关知识的员工是防范和截获攻击这一整个战略中的重要组成部分.

1.
哪种类型的攻击可通过使用IP地址或物理地址将一台计算机配置为看似是受信任网络上的另一台计算机a.
身份欺骗b.
计算机伪造c.
应用程序层攻击2.
哪种安全协议可帮助防止未经授权修改、破坏或访问数据a.
DNSSECb.
IP安全(IPsec)c.
NetBIOS3.
哪种类型的攻击会危害网络或计算机,使系统表现为无法使用a.
中间人攻击b.
密码攻击c.
拒绝服务(DOS)攻击有多种形式的分布式拒绝服务(DOS)攻击,它们可妨碍计算机、服务器或应用程序的正常运行.
了解协议安全41提示答案1.
可将一台计算机配置为看似是受信任网络上的另一台计算机的攻击是:a.
身份欺骗2.
可帮助防止未经授权修改、破坏或访问数据的安全协议是:b.
IP安全(IPsec).
Ipsec不仅可用于VPN安全,还可用于局域网通信.
80%的安全攻击来自组织内部.
如果认为位于外围防火墙之内的数据是安全的,那么这一假定会很危险.

3.
会危害网络或计算机,使系统表现为无法使用的攻击是:c.
拒绝服务(DOS)攻击重要细节探查是指监控网络通信以获取数据(如明文密码或配置信息)的行为.
身份欺骗(IP地址欺骗)是指攻击者未经授权使用网络、计算机或网络组件的IP地址.
Internet协议安全(IPsec)支持网络级别的数据完整性、数据机密性、数据源身份验证和重播保护.

由于IPsec集成在Internet层(第3层)中,因而它可以为TCP/IP套件中的几乎所有协议提供安全保护.
域名系统(DNS)是包含名称与其他信息(如IP地址)之间的映射的一个分层分布式数据库.
DNS允许用户通过将友好可读的名称(如www.
microsoft.
com)转换为计算机可连接到的IP地址找到网络上的资源.
快捷帮助http://technet.
microsoft.
com/en-us/library/cc959354.
aspx(英语)http://technet.
microsoft.
com/en-us/library/ee649205(WS.
10).
aspx(英语)/342第3章:了解网络安全性您的成绩关注4了解安全软件本章内容4.
1了解客户端保护4.
2了解电子邮件保护4.
3了解服务器保护44CHAPTER4:UnderstandingSecuritySoftware目标了解安全软件4.
1了解客户端保护情景:JeffHay是TailspinToys公司的网络管理员.
在玩具销售淡季,Tailspin技术员工仍然忙于维护和升级各种系统,准备应对繁忙的假日销售高峰.
Jeff希望在此时间对所有计算机进行维护并更新软件.
他担心公司员工会安装来自Internet的软件.
Jeff意识到使用享有盛誉的防病毒软件也只能做那么多.
其公司网络由WindowsXP、Windows7和WindowsServer2008R2混合组成.
1.
Jeff可以怎样做以确保计算机具有最新的安全更新a.
采用Windows软件更新服务控制所使用的操作系统和任何Microsoft产品的所有Microsoft更新b.
每周一早些上班并在每台计算机上运行"Windows更新"c.
向公司员工发送电子邮件,指导他们在午休时间执行"Windows更新"2.
Jeff可以怎样防止公司员工从Internet上下载并安装软件a.
在所有Windows7计算机上启用"用户帐户控制"并配置软件限制策略b.
向所有用户发送附有"Internet使用政策"的措辞强硬的电子邮件c.
禁止所有用户访问Internet3.
Jeff应使用哪种方法标识软件限制策略中的Internet软件a.
哈希规则b.
路径规则c.
区域规则哈希规则会基于可执行文件创建一个哈希校验和.
路径规则会限制位于特定路径中的软件.
了解客户端保护45提示答案1.
要确保计算机具有最新的安全更新,Jeff可以:a.
采用Windows软件更新服务控制所使用的操作系统和任何Microsoft产品的所有Microsoft更新2.
要防止公司员工从Internet上下载并安装软件,Jeff可以:a.
在所有Windows7计算机上启用"用户帐户控制"并配置软件限制策略3.
要标识软件限制策略中的Internet软件,Jeff可以使用:c.
区域规则重要细节防病毒软件是一种计算机程序,可扫描计算机内存和大容量存储以识别、隔离和清除病毒,还可在计算机接收传入文件时对其进行病毒检查.
用户帐户控制(UAC)有助于防止恶意程序(恶意软件)损害计算机,并可帮助组织进行更完善的桌面管理部署.
使用UAC,应用程序和任务将始终在非管理员帐户的安全上下文中运行,除非管理员专门授权对系统进行管理员级别的访问.
快捷帮助http://www.
microsoft.
com/security_essentials/market.
aspx(英语)http://technet.
microsoft.
com/en-us/library/bb457141.
aspx(英语)http://technet.
microsoft.
com/en-us/library/bb456987.
aspx(英语)http://windows.
microsoft.
com/zh-cn/windows7/what-is-user-account-control/346第4章:了解安全软件您的成绩关注目标了解安全软件4.
2了解电子邮件保护情景:最近CohoWinery遇到一系列垃圾邮件问题;有些员工甚至由于仿冒欺诈邮件而遭遇身份被盗用.
JohnKane是CohoWinery的系统管理员,解决这些问题的任务就直接落在了他的头上.
经过一番研究之后,他想出了一些解决方案.
John希望通过采取各种安全措施解决这些问题,其中最重要的是提供一些迫切需要的与使用电子邮件的最佳实践有关的公司培训.

1.
John可以怎样做以帮助减少到达其MicrosoftExchangeServer的垃圾邮件数量a.
至少在SMTP虚拟服务器上启用反向DNS查找b.
禁用Internet电子邮件c.
更改域名2.
当Coho用户收到来自他们所知道的公司的电子邮件并且其中要求单击链接以"验证其帐户信息"时,他们应当怎样做a.
删除该电子邮件b.
将其转发给公司其他人员并警告大家不要单击链接c.
单击链接,因为他们根据公司名称"知道"这是一封合法电子邮件3.
除了启用反向DNS查找之外,John还可以怎样保护其ExchangeServer的安全a.
启用自动发现b.
添加发送方策略框架(SPF)c.
更新防病毒软件电子邮件服务器上的防病毒软件不会防范垃圾邮件.
了解电子邮件保护47提示答案1.
要帮助减少到达其MicrosoftExchangeServer的垃圾邮件数量,John可以:a.
至少在SMTP虚拟服务器上启用反向DNS查找.
将系统配置为进行反向DNS查找可使用PTR记录交叉检查域名,该记录是与该域名相关联的IP地址.
如果IP地址与域名的关联记录不匹配,则不会传递它.
2.
当用户收到来自他们所知道的公司的电子邮件并且其中要求"验证其帐户信息"时,他们应当:a.
删除该电子邮件.
如今,公司不会通过电子邮件请求帐户信息.
用户在收到这类电子邮件时应小心.

他们还可以致电公司,警告他们注意防范该邮件.
3.
除了启用反向DNS查找之外,John还可以:b.
添加发送方策略框架(SPF).
SPF允许管理员配置服务器以明确谁可以从其域中发送电子邮件.
重要细节垃圾邮件是收件人与之没有个人或业务关系的某人未经请求发送的无用的电子邮件.

仿冒和网址嫁接是用来欺骗计算机用户披露个人或财务信息的技术.
SPF记录是SMTP协议的扩展,可通过验证对于发件人的域,SMTP接收头中的IP地址是否获准发送电子邮件来防止垃圾邮件发送者伪造电子邮件中的"发件人"字段.