你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003 ，而所有的客户计算机运行Windows XP Professional。你正计划一个安全补丁管理的基础构造（infrastructure）。你在一台名为TestKing2的服务器上安装Software Update Services （SUS）。你设置客户计算机来使用TestKing2。所有的客户计算机运行有TestKing.com发展的

第1题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server  2003，而所有的客户计算机运行Windows XP Professional。TestKing.com一些客户计算机是kiosk计算机，并且位于公共位置。TestKing.com的书面安全策略对kiosk计算机的使用提出了以下的要求：  （1）用户必须利用Remote Desktop Connection来连接到应用程序服务器和客户计算机。  （2）用户仅可以运行储存在Windows和Program  Files文件夹里的应用程序。  （3）本地管理可以运行任何应用程序。  你将所有的kiosk客户计算机放置在一个名为Kiosk的OU里。你创建一个名为KioskPolicy的新GPO，并且连接KioskPolicy GPO到Kiosk OU。你在KioskPolicy GPO中创建一个软件限制策略。你需要设置KioskPolicy GPO中的软件策略。你应该采取哪2个行动？（） 

• A、改变默认安全级别为不允许的
• B、改变默认执行策略来允许本地管理员运行任何应用程序
• C、创建一个证书规则，来允许所有的软件被Microsoft签署
• D、创建一个路径规则，来允许Remote Desktop Connection

第2题：

你是 TestKing.com 的一位安全管理人 网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server  2003 ，而 所有的客户计算机运行Windows  2000 Professional。你定期在Windows Server  2003计算机上安装安全补丁。你需要创建一个计划来恢复电脑到他们的原始状态，如果一个安全补丁导致了不想要的结果。你应该首先采取什么行动？（）

• A、在你在安装安全补丁之前，在计算机上创建一个Recovery Console
• B、在你在安装安全补丁之前，在计算机上创建一个mirrored volume（卷）
• C、在你在安装安全补丁之前，在计算机上创建一个RAID 5磁盘
• D、创建一个脚本来运行带有卸载选择的补丁文件

第3题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。TestKing.com有时会经历停工期，因为一些坏有恶意的因特网蠕虫以Microsoft Visual Basic scripting Edition 到来。你检验了几个客户计算机，发现下载VBS文件是利用Microsoft Outlook，或点到点的文件共享程序。你需要阻止用户运行VBS文件，而不管它们是怎样到达客户计算机的。你应该怎么做？（）

• A、使用一种软件限制策略来禁用所有未被授权的脚本
• B、使用一个Administrative Templat来确保Outlook和Internet Explorer在Restricted Sites的安全.区域
• C、使用一种集中注册脚本来重新命名每个计算机上的Wscript.exe文件以包含一个扩展
• D、利用一个文件系统安全策略，来为Wscript.exe文件分配Deny-Execute许可

第4题：

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com活动目录域组成。所有的服务器运行Windows Server 2003。而所有的客户计算机要么运行Windows XP Professional要么运行Windows NTWorkstation 4.0。TestKing的书面安全策略声明：所有的用户在使用任何一台客户计算机之前必须回发一个合法的消息。你需要设置网络以确定所有的客户计算机遵从书面安全策略。你应该采取下面的哪2个行动？（）

• A、创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows XP Professional计算机置于这个OU中
• B、创建一个新GPO并且连接它到一个OU。设置GPO来显示合法的消息。将所有的Windows NT Workstation 4.0计算机置于这个OU中
• C、修改Modify the Default Controllers Policy GPO，通过设置它来显示合法消息
• D、创建一个Config.pol文件来显示合法消息，将这个文件放在SYSVOL的共享文件夹中
• E、创建一个Config.pol文件来显示合法消息，将这个文件放在NETLOGIN的共享文件夹中

第5题：

你是 TestKing.com 的一位安全管理人。 网络由两个活动目录森林组成，他们的名称分别是testking.com 和public.testking.com。所有的服务器运行Windows Server  2003 ，而 所有的客户计算机运行Windows XP Professional。网络由一个IEEE 802.11b的无线局域网构成。职工和外部用户使用WLAN。职工的用户帐户位于testking.com森林，而外部用户的帐户位于public.testking.com森林中。外部用户的计算机没有public.testking.com森林中的计算机帐户。为增强安全，你升级网络硬件以便支持IEEE 802.1x。你设置一个public key infrastructure （PKI），并发行客户认证证书给职员以及被职员们使用的计算机，也给外部用户。你需要设置无线局域网WLAN来对职员和外部用户进行认证。你应该怎么做？（）

• A、设置每个无线接入口来转发RADIUS的到一个运行因特网认证服务（IAS）的服务器的请求。一个连接请求策略来转发到合适的域的请求
• B、设置每个无线接入口来转发到一个在testking.com森林中的因特网认证服务（IAS）的服务器的请求。设置testking.com森林中的IAS服务器使用Tunnel-Server-Endpt属性
• C、利用Connection Manager Administration Kit （CMAK），为外部用户设置一个。为职员设置另一个连接profile
• D、在testking.com 森林和public.testking.com 森林之间建立一个森林信任关系

第6题：

你是.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。网络上的服务器运行Windows Server  2003 ，并且所有的服务器都是域的成员。你计划为现有服务器上的Windows Server 2003配置一个新的服务包。你在一个名为TestKing3的服务器上安装Software Update Services （SUS）。你需要配置新的服务包到一个名为TestServers的组中的服务器上，在你将服务配置到所有的服务器上之前。 你应该怎么做？（）

• A、Slipstream服务包到TestServers组里的服务器上的Windows文件夹
• B、复制服务包的可执行文件到TestKing3。仅仅为TestServers组在文件上设置读许可
• C、复制服务包的可执行文件到一个新SUS服务器。在TestServers组里的服务器上设置 AutomaticUpdates来使用新SUS服务器
• D、创建一个新GPO来配置服务包。过滤GPO以便它仅应用于TestServers组

第7题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 服务器要么运行Windows Server  2003 ，要么运行Windows 2000 Server.所有的客户计算机运行Windows 2000 Professional。每个计算机安装了最新的操作系统服务包。30台Windows Server 2003计算机是域中的成员并作为文件服务器。客户计算机利用Server Message Block （SMB）协议，通过网络来访问这些文件服务器上的文件。你关心在SMB的通信过程中可能会发生的以人为中心（man-in-the-middle）的攻击。你需要保证Windows Server 2003文件服务器和客户计算机之间的SMB通信被秘密地标记。如果客户计算机没有标记SMB通信，则文件服务器不能和客户计算机通信。客户计算机必须能够和域中的所有其他计算机进行没有被标记的SMB通信。你应该如何设置文件服务器？（）

• A、应用一个安全模板来启用Microsoft网络服务器：总是数位地标记通信设置
• B、应用一个安全模板来启用Microsoft网络服务器：如果客户同意，则数位地标记通信设置
• C、应用一个安全模板来启用Domain 成员：当可能的时候，数位地标记安全信道数据设置
• D、应用一个安全模板来启用Domain 成员：总是数位地加密或标记安全信道数据设置

第8题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。所有的计算机都是域的成员。Testking有一个主办公室和6个分办公室。每个分办公室利用一个专用的租借线路连接到主办公室。所有的办公室都连接到因特网。每个办公室拥有多个服务器和成百台的客户计算机。你正在计划一个安全补丁管理的基础构造。在主办公室和6个分办公室里都安装一个Software Update Services （SUS）服务器。你设置主办公室的SUS服务器来从本地储存更新。你需要确保所有的客户计算机都自动安装最新的安全补丁。你想使各办公室之间以及办公室与因特网之间的租用线路的网络通信量减到最小。你应该采取哪2个行动？（）

• A、设置分办公室的SUS服务器来维持Microsoft  Windows Update服务器上的更新
• B、在分办公室的SUS服务器上设置Automatic Updates来使用主办公室的SUS服务器
• C、设置分办公室的SUS服务器从主办公室的SUS服务器上获得更新
• D、在客户计算机上设置Automatic Updates使用本地办公室的SUS服务器
• E、在客户计算机上设置Automatic Updates使用主办公室的SUS服务器

第9题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server  2003 ，而 所有的客户计算机运行Windows XP Professional。 终端服务运行在四个Windows Server 2003的计算机上，名叫Remote Application的组的成员需要利用终端服务来获得（access）应用。你给Remote Application组分配对于应用文件夹合适的NTFS许可和在终端服务器上的合适的RDP-Tcp连接许可。目前没有用户有权连接到终端服务器。 你需要给Remote Application组的用户分配对获得应用必要的最少的权利。你应该如何来设置终端服务器？（）

• A、 应用一个安全模板来分配从网络上访问这台计算机的 权利给Remote Application组
• B、 应用一个安全模板来分配本地登录的许可权利给Remote Application组
• C、 应用一个安全模板来分配将登录当作服务的权利给Remote Application组
• D、 应用一个安全模板来分配通过终端服务器登录的许可权利给Remote Application组

第10题：

你是TestKing.com的安全系统管理师。网络有名为testking.com的单一活动目录域。testking.com域包含Windows Server 2003计算机和Windows XP专业版客户端计算机。所有的计算机是域的成员。一台名为TestKing3的Windows Server 2003计算机运行证书服务。TestKing3是一个企业下级CA。一台名为TestKing2的Windows Server 2003计算机运行IIS，TestKing2主管一个关于雇员的人力资源WEB站点，你想确保雇员的个人数据在网络中传输时不被暴露，你决定在TestKing2上使用SSL。当使用SSL连接到WEB站点时你需要确保雇员没有接收到相关证书的安全警报。除非必须这么做，否则你想在不花费钱购买证书的情况下达到这个目的。你应该怎么做？（）

• A、使用IIS向商业CA提交证书请求
• B、使用IIS向TestKing3提交证书请求
• C、使用证书控制台向商业CA提交客户证书请求
• D、使用证书控制台向TestKing3提交客户证书请求

第11题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。网络中只有Windows XP Professional的客户计算机和Windows Server 2003计算机。所有的计算机都能访问因特网。你正在计划一个安全补丁管理的基础构造。TestKing的书面安全策略要求所有的计算机必须只安装被TestKing核准的安全补丁。你在一台名为的TestKing3服务器上安装Software Update Services （SUS）。你设置所有的计算机上的Automatic Updates来使用TestKing3。你将某些计算机的计算机帐户放置在一个名为TestKingPatchTest的新组中。在你允许所有的计算机来安装安全补丁之前，你想在TestKingPatchTest组里的计算机上测试最近被核准的安全补丁。你需要保证每次一个新的安全补丁在被核准时，只有TestKingPatchTest组里的计算机能下载和安装这些安全补丁。你应该怎么做？（）

• A、在TestKing3上，为新的安全补丁文件 分配NTFS许可给TestKingPatchTest组
• B、在TestKing3上，为Approveditems.txt text文件 分配NTFS许可给TestKingPatchTest组
• C、在TestKingPatchTest组中的计算机上设置Automatic Updates来利用Microsoft Windows Update服务器。复制一个Approveditems.txt文件到这些计算机上的Windows文件夹
• D、在TestKingPatchTest组中的计算机上设置Automatic Updates来利用另一个名为TestKing4的SUS服务器。在TestKing4上使用一个单独的允许列表

第12题：

第13题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server 2003，而所有的客户计算机要么运行Windows XP Professional，要么运行Windows 2000  Professional。你决定利用Software Update Services（SUS）作为你的补丁管理策略的一部分。你需要在测试计算机上测试所有的软件更新，在你将这些更新发放给你们的整个网络之前。你想用最少的管理努力来达到这个目标，同时又保证所有的计算机能在一个规则的基础上接收更新。你应该怎么做？（）

• A、配置一个SUS服务器。在测试计算机上，设置Automatic Updates来安装更新，而不需要用户干涉。在成品计算机上，设置Automatic Updates，在安装更新之前要求用户的同意。当在成品计算机上应用新的更新是安全的时候，发送一个全球性的e-mail给用户
• B、配置一个SUS服务器。在测试计算机和成品计算机上，设置Automatic Updates来安装更新，而不需要用户干涉。根据测试计算机上的测试结果，在成品计算机上使用组 Policy来启动或禁用Automatic Updates
• C、配置两个SUS服务器。设置一个服务器给测试计算机，另一个给成品计算机。设置测试计算机利用测试SUS服务器来更新，而成品计算机利用成品SUS服务器来更新
• D、配置两个SUS服务器。设置一个服务器给测试计算机，另一个给成品计算机。设置测试计算机利用测试SUS服务器来更新，而成品计算机利用成品SUS服务器来更新。根据测试计算机上的测试结果，在成品计算机上使用组 Policy来启动或禁用Automatic Updates

第14题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server  2003 ，而所有的客户计算机运行Windows XP Professional。一些客户计算机被配置成访客和职员使用的kiosk计算机。通过使用 GPOs来管理kiosk计算机，并且GPOs强制实施一个安全设置。很多用户天天登录这些计算机。你需要重新核查这个安全审核的结果。当你发现某些已经登录的用户掉线的时候，你需要确定安全设置一直在运行。你应该做什么？（）

• A、 应用 Securews.inf 安全模板到kiosk计算机上
• B、 在kiosk计算机上设置默认的用户配置文件使之成为强制用户配置文件
• C、 编辑管理kiosk计算机的 GPO，使第二次的登录服务失效
• D、 编辑管理kiosk计算机的 GPO，并启动回送处理功能

第15题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。网络中仅有Windows XP  Professional的客户计算机和Windows Server 2003计算机。所有计算机都是这个域的成员。你需要在你的网络上测试IPSec的交互性。为了做这个测试，你创建一个名为TestKingIPSec的新GPO。在TestKingIPSec GPO中，你创建一个名为TestKingTest 的IPSec策略。TestKingTest策略包含了一个详细说明了如何使用没有加密的Encapsulating Security Payload （ESP）的规则。TestKingTest策略应用于所有的域服务器。在所有的测试终止之后，你需要确保TestKingTest策略不再被网络中的服务器使用。你应该怎么做？（）

• A、在域中，删除TestKingIPSec GPO
• B、在TestKingIPSec GPO中，不分派TestKingTest策略
• C、在服务器上，重新启用IPSec services service
• D、在服务器上，在IP Security Policies里使用Restore Default Policies指令
• E、在服务器上，运行Netsh ipsec delete policy name = *TestKingTest"指令

第16题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。域包括Windows Server 2003的服务器计算机。这些服务器中，有12台被设置为Web服务器。你需要产生一个报告以确定哪些Microsoft的安全补丁没有被安装到Web服务器上。你应该怎么做？（）

• A、在Web服务器上，运行Gpresult.exe
• B、在Web服务器上，运行Mbsacli.exe
• C、在Web服务器上，运行Secedit.exe
• D、在Web服务器上，运行Qfecheck.exe
• E、在Web服务器上，运行Qchain.exe

第17题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。公司里有一些用户在家里的办公室工作。这些用户客户计算机，而这些客户计算机被设置成使用VPN连接来登录到共同（corporate）的域。这些计算机也是域的饿成员。你设置这些计算机使用split tunneling，当他们连接到公共网络时。你利用Software Update Services （SUS）来作为你补丁管理策略的一部分。你在TestKing，com公共网络里的一台服务器上安装SUS。你计划重申和核准那些 满足TestKing.com里SUS服务器要求的安全补丁。你设置一个新GPO，并过滤此GPO以便应用于在家庭办公室里被使用的电脑。你需要保证家庭办公室里的电脑拥有最后被核准的安全补丁。你想达到这个目的，同时使公共网络上的传输量最小化并且使用最少的管理费用。你应该怎么做？（）

• A、设置GPO来自动安装来自Windows Update Web站点的安全补丁
• B、设置GPO来禁用自动更新。E-mail来核准安全补丁给家庭办公室里的用户
• C、设置GPO来为SUS服务器下载安全补丁。设置SUS服务器来使客户重新改变路径（redirect）到Windows Update Web站点
• D、设置GPO来为SUS服务器下载安全补丁。设置SUS服务器下载和储存本地安全补丁

第18题：

你是 TestKing.com 的一位安全管理人。 网络由一个独立的名叫 testking.com的活动目录域组成。 所有的服务器运行Windows Server  2003，而所有的客户计算机运行Windows XP Professional。所有的计算机都是域的成员。网络包括10个活动目录站点。每个站点带表公司的一个办公室。这些办公室位于全球各地。每个办公室都有一个到因特网的连接。TestKing在各办公室之间维持专用的租借线路。你正在计划为Microsoft安全补丁设置一个安全补丁管理基础构造（infrastructure）。你在一台名为TestKing2的服务器上安装Software Update Services （SUS）。你需要保证客户计算机和服务器上的Automatic Updates仅仅安装那些被公司核准了的安全补丁。你通过允许每个计算机单个地从因特网上下载安全补丁来限制各办公室之间的专用租借线路的使用。你应该采取哪2个行动？（）

• A、在所有的计算机上设置Automatic Updates以使用Microsoft Windows Update服务器
• B、在所有的计算机上设置Automatic Updates以使用TestKing2上的SUS
• C、从TestKing2上复制Approveditems.txt文件到每个计算机上的Windows文件夹
• D、设置TestKing2以维持Microsoft Windows Update服务器上更新
• E、在所有的计算机上，利用组 Policy来设置SUS服务器地址为Microsoft Windows Update Web 站点的URL
• F、在所有的计算机上，设置注册中的运行码的值为Microsoft Windows Update Web 站点的URL

第19题：

你是 TestKing.com 的一位安全管理人。网络由两个分开的部分构成。一部分名为TestKing Winery，位于San Francisco。另一部分名为TestKing Vineyard，位于Paris。每部分都通过1.544 Mbps的广域网线路连接到因特网。TestKing Winery由一个名为testkingwinery.com的独立的活动目录森林构成。所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。TestKing Winery有一个Microsoft SQL Server 2000数据库，该数据库包括了客户信息。Microsoft SQL Server 2000数据库的主机是一台名为TestKing1的Windows Server  2003计算机。TestKing Vineyard由一个名为testkingvineyard.com的独立的活动目录森林构成。所有的服务器运行Windows Server 2003 ，而所有的客户计算机运行Windows XPProfessional或Windows NT Workstation。所有的计算机运行最新的服务包。为了启用数据复制，你在testkingvineyard.com森林中设置一台名为TestKing2的新的Windows Server 2003计算机。你在TestKing2上安装SQL Server 2000。你的数据库管理员设置TestKing1上的数据库以在每复制到TestKing2。管理报告：一个竞争者获得了机密的客户数据。你确定你的竞争者在中途截获了数据，当数据从TestKing1上被复制到TestKing2上时。你设计设备驱动程序来使用IPSec，保护客户数据当它们在传输时。你需要设置一个IPSec策略，来保护客户数据当它们在传输时。你应该怎么做？（）

• A、设置 PSec策略使用在传输模式下的带有Kerberos认证的Authentication Header （AH）
• B、设置 PSec策略使用带有在通道模式下的基于证书的认证的Encapsulating Security Payload （ESP）
• C、设置 PSec策略使用带有在传输模式下的基于证书的认证的Authentication Header （AH）
• D、设置 PSec策略使用带有在通道模式下的Kerberos认证的Encapsulating Security Payload （ESP）

第20题：

你是.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server  2003 ，而 所有的客户计算机运行Windows XP Professional。TestKing有一个主办公室和遍布美国和加拿大的150个分办公室。公司不使用磁盘成像（disk-imaging）软件。过去，在你应用所有的安全补丁之前，最近安装的客户计算机总是被怀有恶意的因特网蠕虫所侵占。你需要加固和配置那些总是拥有最少的服务包、更新和安全补丁的的客户计算机。你想用最少的管理费用来达到这个目的。你应该怎么做？（）

• A、利用原始安装介质来计算机上安装操作系统。安装之后立即使用Windows Update来应用更新和安全补丁
• B、利用原始安装介质来计算机上安装操作系统。设置Automatic Updates来立即安装更新和安全补丁
• C、创建带有最新服务包的slipstream 安装包。从slipstream安装包上安装操作系统。实施Software Update Services （SUS）服务器在客户计算机上安装被认可的更新和安全补丁
• D、创建带有最新服务包和MBSA的的slipstream （滑溜）安装介质。从slipstream （滑溜）安装介质上安装操作系统。安装操作系统之后立即运行MBSA

第21题：

你是 TestKing.com 的一位安全管理人。网络由一个独立的名叫 testking.com的活动目录域组成。所有的服务器运行Windows Server 2003，而所有的客户计算机运行Windows XP Professional。所有的计算机被设置成使用Automatic Updates来安装更新而不用用户干涉。更新被预定在非高峰期进行。在一个安全审核中，你发现一些客户计算机在规定的basis中没有接收更新。你检验运行在所有客户计算机上的Automatic Updates，并且你核实用户不能修改Automatic Updates的设置。你需要确定在你们网络上的计算机都能接收到所有的更新。你应该怎么做？（）

• A、为预定的Automatic Updates Installations设置启动No auto-restart
• B、使Specify intranet Microsoft更新服务区域设置有效
• C、使Remove通路使用所有的Windows Update的特征设置
• D、使Reschedule Automatic Updates被预定安装设置

第22题：

你是活动目录域dm.com的管理员。网络中只有一个域，所有服务器安装Windows Server 2003系统。所有的客户计算机安装Windows XP Professional。所有的客户计算机对象存储在Client组织单位中。客户计算机从Microsoft的网站下载安全补丁。你在一台名为Server1的Windows Server 2003计算机上安装了软件更新服务（SUS）。你想要所有的客户计算机从Server1下载更新。你打开Client组织单位的组策略对象，应当配置哪一个设置？（）

• A、计算机配置/软件设置/软件安装
• B、用户配置/软件配置/软件安装
• C、计算机配置/管理模板/Windows Components/Windows Installer
• D、用户配置/管理模板/Windows Components/Windows Installer
• E、计算机配置/管理模板/Windows Components/Windows Update

第23题：