单选题你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。这个域包含Window  sServer 2003  域控制器、Windows Server 2003成员服务器和Windows XP Professional客户计算机。通常地，所有的职员使用本地管理员帐户来登录到成员服务器和客户计算机。TestKing.com的书面安全策略声明：只有被授权的网络管理员才能被允许使用本地管理帐户来登录，并且密码必须不少于12个字符。并且这个要求必须一直

第1题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server  2003，而所有的客户计算机运行Windows XP Professional。TestKing.com一些客户计算机是kiosk计算机，并且位于公共位置。TestKing.com的书面安全策略对kiosk计算机的使用提出了以下的要求：  （1）用户必须利用Remote Desktop Connection来连接到应用程序服务器和客户计算机。  （2）用户仅可以运行储存在Windows和Program  Files文件夹里的应用程序。  （3）本地管理可以运行任何应用程序。  你将所有的kiosk客户计算机放置在一个名为Kiosk的OU里。你创建一个名为KioskPolicy的新GPO，并且连接KioskPolicy GPO到Kiosk OU。你在KioskPolicy GPO中创建一个软件限制策略。你需要设置KioskPolicy GPO中的软件策略。你应该采取哪2个行动？（） 

• A、改变默认安全级别为不允许的
• B、改变默认执行策略来允许本地管理员运行任何应用程序
• C、创建一个证书规则，来允许所有的软件被Microsoft签署
• D、创建一个路径规则，来允许Remote Desktop Connection

第2题：

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com活动目录域组成。testking.com域包含Windows XP Professional的客户计算机和Windows Server 2003的计算机。域包括三个域控制器，并且三个域控制器都在Domain Controllers OU中。一个新的密码策略已经在一个名叫TestKing.inf的安全模板中被定义了。你需要为域帐户实施新的密码策略。你应该怎么做？（）

• A、将TestKing.inf安全模板输入到Default Domain Policy GPO中
• B、将TestKing.inf安全模板输入到Default Domain Controllers Policy中
• C、在每个域控制器上，输入TestKing.inf安全模板到本地计算机策略
• D、在每个域控制器上，输入TestKing.inf安全模板到Security  Configuration and Analysis然后使用Configure Computer Now指令
• E、在每个域控制器上，运行secedit /import TestKing.inf指令，然后runtsecedit /import TestKing.inf指令

第3题：

第4题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。域的功能层是Windows Server 2003中间（间歇）模式。TestKing.com 的人力资源部门的职员需要修改职工用户帐户的某些属性。你计划使用一个名为HR Users的全局性组来报刊人力资源部门的所有职员的用户帐户。你计划创建一个新组，这个组包括HR Users全局性组作为其成员。你需要选择合适的组类型来实施你的计划。你应该选择哪种组类型？（）

• A、一个域本地安全组
• B、一个域本地分布组
• C、一个通用的安全组
• D、一个通用的分布组

第5题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。公司里有一些用户在家里的办公室工作。这些用户客户计算机，而这些客户计算机被设置成使用VPN连接来登录到共同（corporate）的域。这些计算机也是域的饿成员。你设置这些计算机使用split tunneling，当他们连接到公共网络时。你利用Software Update Services （SUS）来作为你补丁管理策略的一部分。你在TestKing，com公共网络里的一台服务器上安装SUS。你计划重申和核准那些 满足TestKing.com里SUS服务器要求的安全补丁。你设置一个新GPO，并过滤此GPO以便应用于在家庭办公室里被使用的电脑。你需要保证家庭办公室里的电脑拥有最后被核准的安全补丁。你想达到这个目的，同时使公共网络上的传输量最小化并且使用最少的管理费用。你应该怎么做？（）

• A、设置GPO来自动安装来自Windows Update Web站点的安全补丁
• B、设置GPO来禁用自动更新。E-mail来核准安全补丁给家庭办公室里的用户
• C、设置GPO来为SUS服务器下载安全补丁。设置SUS服务器来使客户重新改变路径（redirect）到Windows Update Web站点
• D、设置GPO来为SUS服务器下载安全补丁。设置SUS服务器下载和储存本地安全补丁

第6题：

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com活动目录域组成。所有的服务器运行Windows Server 2003。而所有的客户计算机要么运行Windows XP Professional要么运行Windows NTWorkstation 4.0。TestKing的书面安全策略声明：所有的用户在使用任何一台客户计算机之前必须回发一个合法的消息。你需要设置网络以确定所有的客户计算机遵从书面安全策略。你应该采取下面的哪2个行动？（）

• A、创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows XP Professional计算机置于这个OU中
• B、创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows NT Workstation 4.0计算机置于这个OU中
• C、修改Modify the Default Controllers Policy GPO，通过设置它来显示合法消息
• D、创建一个Config.pol文件来显示合法消息，将这个文件放在SYSVOL的共享文件夹中
• E、创建一个Config.pol文件来显示合法消息，将这个文件放在NETLOGIN的共享文件夹中

第7题：

你是 TestKing.com 的一位安全管理人。网络由两个名字分别为 testking.com和de.testking.com的活动目录域组成。这些域在相同的活动目录森林中。两个域都运行在Windows 2000混合模式功能层。一个名为TestKing7的Windows Server 2003计算机为TestKing公司的用户和计算机发行证书。TestKing7是testking.com活动目录域的一个成员。你计划使用TestKing7来配置证书到de.testking.com活动目录域中的被授权的计算机上。你需要创建一个访问控制方案，来限制到被授权的计算机上的证书注册。你想用最少的管理努力来达到这个目的。你应该怎么做？（）

• A、添加被授权计算机的帐户到de.testking.com域中的一个全局组
• B、添加被授权计算机的帐户到de.testking.com域中的一个通用组
• C、添加被授权计算机的帐户到testking.com域中的一个全局组
• D、添加被授权计算机的帐户到testking.com域中的一个通用组

第8题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。网络中有Windows XP  Professional的客户计算机和Windows Server 2003计算机。你发现一个域中的用户可以获得另一个域中的 一列用户的帐户名称。这种能力允许未经授权的用户来猜测密码并且访问机密数据。你需要确保帐户名称只能被帐户存在的那个域的用户获得。你应该在域控制器上采取哪2个行动？（）

• A、应用一个安全模板来摧毁（disables ）Network访问：允许匿名SID/Name传输设置
• B、应用一个安全模板来摧毁（disables ）Network访问：不允许匿名SAM帐户设置的列举
• C、应用一个安全模板来摧毁（disables ）Network安全：在下次的密码改变设置上不存储局域网管理员的哈希（hash）值
• D、应用一个安全模板来设定域控制器：LDAP server signing requirements setting to Require signing

第9题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 服务器要么运行Windows Server  2003 ，要么运行Windows 2000 Server.所有的客户计算机运行Windows 2000 Professional。每个计算机安装了最新的操作系统服务包。30台Windows Server 2003计算机是域中的成员并作为文件服务器。客户计算机利用Server Message Block （SMB）协议，通过网络来访问这些文件服务器上的文件。你关心在SMB的通信过程中可能会发生的以人为中心（man-in-the-middle）的攻击。你需要保证Windows Server 2003文件服务器和客户计算机之间的SMB通信被秘密地标记。如果客户计算机没有标记SMB通信，则文件服务器不能和客户计算机通信。客户计算机必须能够和域中的所有其他计算机进行没有被标记的SMB通信。你应该如何设置文件服务器？（）

• A、应用一个安全模板来启用Microsoft网络服务器：总是数位地标记通信设置
• B、应用一个安全模板来启用Microsoft网络服务器：如果客户同意，则数位地标记通信设置
• C、应用一个安全模板来启用Domain 成员：当可能的时候，数位地标记安全信道数据设置
• D、应用一个安全模板来启用Domain 成员：总是数位地加密或标记安全信道数据设置

第10题：

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com活动目录域组成。所有的服务器要么运行Windows Server  2003，要么运行Windows 2000 Server。而所有的客户计算机运行Windows XP Professional。TestKing的书面安全策略声明：当一个未被授权的用户企图猜测用户的密码时用户的帐户必须被锁定。当前的帐户策略使得当一个用户在5分钟之内两次输入无效的密码之后将不能再进入了（被关在外面）。直到这个帐户被管理员重新设置了，否则这个用户将会保持“被关在外面” 的状态。用户频繁地调用帮助桌面，来使得他们的帐户不被锁。与帐户被锁的桌面调用（Calls）占到了帮助桌面调用的25%。你需要降低与帐户被锁有关的帮助桌面调用的总数量，你应该怎么做？（）

• A、修改Default Domain Controllers Policy 组 Policy object （GPO），增加每个服务的tickets的最大有效时间
• B、修改Default Domain Controllers Policy 组 Policy object （GPO），设置被锁帐户极限为10
• C、修改Default Domain Controllers Policy 组 Policy object （GPO），使用户登录限制的执行失效
• D、修改Default Domain Controllers Policy 组 Policy object （GPO），增加密码的最长生命时间