Embed Size (px)
Citation preview
03Windows Vista 安全管理模擬試題
{ 3-2 }
Windows Vista安全管理模擬試題
3-1 關於 IE瀏覽器的封鎖快顯相關設定
您身為一家保全科技公司的電腦支援技術工程師。目前公司網路內所有用戶
端電腦都是安裝與執行 Windows Vista作業系統。為了確保用戶端使用者上網的安
全性問題,因此您必須在不危害用戶端Windows Vista作業系統電腦安全性的情況
下,停用 IE瀏覽器中的所有快顯通知。
想一想此時應該執行以下答案中的哪兩個動作,才能夠達成這一項目標呢?
(請注意!以下每個正確答案都代表解決方案的一部分,請選擇兩個正確的答案。)
A 在 IE瀏覽器的設定中清除 「封鎖快顯時,播放聲音」 核取方塊。
B在 IE瀏覽器的設定中將快顯封鎖程式的篩選層級變更為 「高 : 封鎖所有的快
顯 (CTRL+ALT 覆寫 )」。
C在 IE瀏覽器的設定中加入已遭封鎖之網站的 URL。
D在 IE瀏覽器的設定中選取 「封鎖快顯時,播放聲音」 核取方塊。
E調整 IE在網際網路的安全性等級設定。
F 在 IE瀏覽器的設定中清除 「封鎖快顯時,顯示資訊列」 核取方塊。
A 與 F
解題說明
本題目的解題重點在於:「您必須在不危害用戶端Windows Vista作業系統電腦安
全性的情況下,停用 IE瀏覽器中的所有快顯通知」,因此我們必須能選擇直接關
閉封鎖快顯的功能,只能夠取消其通知快顯的功能設定。
想要完成這一項設定,首先請如圖 3-1-1所示在 IE瀏覽器的「工具」下拉選單中點
選「網際網路選項」繼續。
Windows Vista安全管理模擬試題 03
{ 3-3 }
圖 3-1-1 開啟網際網路選項設定頁面
接著請如圖 3-1-2所示切換到「隱私權」的頁面中點選「設定」按鈕繼續。
圖 3-1-2 IE7.0瀏覽器的隱私權設定
{ 3-4 }
Windows Vista安全管理模擬試題
如圖 3-1-3所示請分別將
「封鎖快顯時,播放聲音」 核取
方塊與「封鎖快顯時,顯示資訊
列」 核取方塊設定清除即可。
A在這一些用戶端使用者的電腦上,將該合作夥伴的網站位址 (URL) 加入至 IE
瀏覽器中的 「受限制的網站」 清單內。
B在 IE瀏覽器的操作中將 「網際網路區域」 安全性變更為 「提示未簽署的
ActiveX 安裝」。
圖 3-1-3 取消兩項封鎖快顯時的通知
3-2 如何針對未簽署的 ActiveX 控制項的存取
您身為一家金融公司資訊部門的電腦支援技術專員。目前在您公司內部網路
上的電腦都是安裝與執行Windows Vista作業系統。然而如今用戶端使用者必須存
取裝載於某一些合作夥伴網站上的應用程式。其中某位使用者無法存取網站上的
新頁面,因此您必須花上一些時間找出可能的原因。經過一段時間的調查之後您
發現了該網站的連線使用未簽署的 ActiveX 控制項在新頁面上執行測試中。
接下來您必須確定該使用者可以存取這個網站的新頁面,而且您的解決方案也
不得影響其他使用者連線存取。
想一想這時候的您應該怎麼做,才能夠解決個網站連線存取上的問題呢?
Windows Vista安全管理模擬試題 03
{ 3-5 }
C透過伺服端使用群組原則,然後在 IE瀏覽器的相關設定中將 「網際網路區
域」 安全性變更為 「提示未簽署的 ActiveX 安裝」。
D透過伺服端使用使用群組原則,然後在 IE瀏覽器的相關設定中將在裝載的伺
服器上將網站 URL 加入至 「信任的網站」 清單。
E 在這一些用戶端使用者的電腦上,將該合作夥伴的網站位址 (URL) 加入至 IE瀏覽器中的 「信任的網站」 清單內。
E
解題說明
想要讓Windows Vista用戶端使用者的 IE瀏覽器連線存取特定網站上的未簽
署的 ActiveX 控制項,必須將該網站的網址,加入到 IE瀏覽器網際網路選項設定
中的「信任的網站」清單中才可以。
想要完成這一項設定首先請如圖 3-2-1所示在 IE瀏覽器的「工具」下拉選單中
點選「網際網路選項」繼續。
圖 3-2-1 開啟網際網路選項設定頁面
{ 3-6 }
Windows Vista安全管理模擬試題
接著請如圖 3-2-2所示切換到「安全性」的頁面中,在選取了「信任的網站」
項目之後點選「網站」按鈕繼續。
圖 3-2-2 安全性設定頁面
如圖 3-2-3所示在此便可以開始進行信任網站位址清單的新增與移除了。
圖 3-2-3 信任的網站清單設定
Windows Vista安全管理模擬試題 03
{ 3-7 }
3-3 防止使用者在電腦上安裝非信任的憑證
您身為一家電光產業科技公司 IT部門的資訊專員。目前在公司內部網路上的
用戶端電腦上都是執行 Windows Vista作業系統。如今由於用戶端電腦安全性的管
理問題,首先您必須防止使用者在自己專用的Windows Vista作業系統電腦上安裝
任何非信任的數位憑證,以便確保使用者連線網路中各種應用服務的安全無慮。
想一想這時候您應該怎麼做才能夠有效防止使用者自行安裝任何非信任的數
位憑證呢?
A在Windows Vista作業系統的操作 IE瀏覽器中,將 「網際網路區域」 設定變
更為 「低」 安全性設定。
B在 Active Directory的管理中設定使用群組原則,將 「網際網路區域」 設定變
更為 「高」 安全性。
C在Windows Vista作業系統的操作 IE瀏覽器中,將 「網際網路區域」 設定變
更為 「高」 安全性設定。
D在Windows Vista作業系統的操作 IE瀏覽器中,將 「信任的網站區域」 設定
變更為 「高」 安全性設定。
E在Windows Vista作業系統的操作 IE瀏覽器中,將 「網際網路區域」 設定變
更為 「中」 安全性設定。
F 在 Active Directory的管理中設定使用 「啟用受信任的發行者鎖定」 的群組原則。
F
解題說明
這個問題的解題關鍵在於:「首先您必須防止使用者在自己專用的Windows
Vista作業系統電腦上安裝任何非信任的數位憑證」。因此便可以透過 Active
Directory群組原則的配置,來設定啟用受信任的發行者鎖定。如此一來這一些被
套用的用戶端Windows Vista的電腦使用者,將無法自行安裝非信任的憑證。
{ 3-8 }
Windows Vista安全管理模擬試題
如圖 3-3-1所示首先請在「群組原則管理編輯器」頁面中,找到「 Internet
Explorer維護」\「安全性」項目節點上,連續點選開啟「 Authenticode設定」項目
內容繼續。
圖 3-3-1 群組原則管理編輯器
接著請如圖 3-3-2所示將「啟用受信任的發行者鎖定」設定勾選即可。
圖 3-3-2 啟用受信任的發行者鎖定
Windows Vista安全管理模擬試題 03
{ 3-9 }
3-4 讓用戶端電腦上無法執行未簽署的指令碼
您身為一家電子公司 IT部門的電腦支援技術專員。目前公司內部網路中的所
有電腦都是安裝與執行 Windows Vista作業系統。所撰寫的 .vbs 登入指令碼檔案
儲存在檔案伺服器上的共用網路資料夾中,並且這些所有指令碼程式也都已經過
核可簽署了。
接下來您必須確定使用者無法在他們自己電腦上執行任何未簽署的指令碼。
此外,最重要的是也不得影響任何其他應用程式的正常執行。您可能需要透過建
立新的 Active Directory群組原則中的軟體限制原則來解決此問題。
想一想接下來應該執行以下哪兩個答案的動作來解決這個問題呢?(請注意!
以下每個正確答案都僅代表解決方案的一部分而已,因此請選擇兩個正確答案。)
A Active Directory群組原則中的軟體限制原則管理下,將 「不允許」 選項設定
為預設安全性層級。
B Active Directory群組原則中的軟體限制原則管理下,建立路徑規則並且加入
所有常用的應用程式,然後將安全性層級設定為 「沒有限制」選項。
C Active Directory群組原則中的軟體限制原則管理下,建立路徑規則,將 *.vbs 檔加入至共用網路資料夾,然後將安全性層級設定為 「不允許」 選項。
D Active Directory群組原則中的軟體限制原則管理下,建立路徑規則並且加入
*.vbs 檔,然後將安全性層級設定為 「沒有限制」 選項。
E Active Directory群組原則中的軟體限制原則管理下,建立憑證規則並將安全性層級設定為 「沒有限制」 選項。
F Active Directory群組原則中的軟體限制原則管理下,建立路徑規則並且加入
*.vbs 檔,然後將安全性層級設定為 「不允許」 選項。
C 與 E
解題說明
如圖 3-4-1所示首先請在「群組原則管理編輯器」頁面中,找到「安全性設
定」\「軟體限制原則」項目下,按下滑鼠右鍵點選「新軟體限制原則」繼續。
{ 3-10 }
Windows Vista安全管理模擬試題
圖 3-4-1 新增軟體限制原則
接下來請在「其他原則」的項目上,如圖 3-4-2所示按下滑鼠右鍵點選「新增
路徑規則」繼續。
圖 3-4-2 新增路徑規則
Windows Vista安全管理模擬試題 03
{ 3-11 }
如果您是新增憑證規則,那麼
所開啟的會是如圖 3-4-3所示的設
定頁面,必須點選瀏覽按鈕來載入
憑證。
圖 3-4-3 新增憑證規則
3-5 針對Windows Vista自訂安全性範本的管理
您身為一家保險公司 IT部門的電腦支援技術專員。目前公司網路內所有已安
裝的 Windows Vista 作業系統電腦,都已經套用了 IT部門所自訂好的安全性範本
檔案。接下來您必須確認所有 Windows Vista 電腦都能夠遵循這個自訂安全性範本
檔案。
想一想這時候的您應該搭配執行以下答案中的哪個可執行程式呢?
A使用內建在Windows Vista 作業系統的 secinit.exe命令工具
B使用內建在Windows Vista 作業系統的 bcdedit.exe命令工具
C 使用內建在Windows Vista 作業系統的 secedit.exe命令工具
D使用內建在Windows Vista 作業系統的 gpupdate.exe命令工具
E使用內建在Windows Vista 作業系統的 shutdown.exe命令工具
C
{ 3-12 }
Windows Vista安全管理模擬試題
解題說明
如圖 3-5-1所示您可以透過下達 secedit.exe命令來得知相關可用的參數。
圖 3-5-1 查看 secedit.exe命令參數用法
3-6 安全性設定及分析工具的使用
您身為一家網路公司資訊部門的電腦支援技術專員。目前公司網路內的所有
用戶端電腦都是執行 Windows Vista作業系統。而在您的公司組織架構中已設有主
要總公司辦公室與分公司辦公室。由於職務調動的因素現在您需要管理分公司辦
公室網路中的電腦,而在總公司主要辦公室的 IT 管理員已經提供您一份自訂的安
全性範本檔案。
接下來您必須比較分公司辦公室電腦的目前安全性原則與自訂安全性範本。
想一想這時候的您應該怎麼做才能夠達成這一項需求呢?
A在Windows Vista的操作中執行 secedit /validate /cfg,然後後面接著自訂安全
性範本的檔案名稱。
B在Windows Vista的操作中儲存自訂安全性範本,並且在記錄模式中執行原
則結果組工具。
C 在Windows Vista的操作中,執行安全性設定及分析工具來建立新的資料庫並分析電腦。
Windows Vista安全管理模擬試題 03
{ 3-13 }
D在Windows Vista的操作中儲存自訂安全性範本,並且執行 gpupdate /force /
target:computer來完成本機原則的更新設定。
E在每一部電腦中皆安裝兩台硬式磁碟機並且劃分不同的磁碟分割區。
C
解題說明
根據本題目的要求,首先您必須先執行安全性設定及分析工具來建立新的資料
庫。然後再來和主要辦公室 IT所提供的自訂安全性範本來進行比較。
3-7 如何讓特定路徑下的指令碼可以正常執行
您身為一家電子公司資訊部門的電腦支援技術專員。目前您在公司網路中一
部電腦上的 D 磁碟機的根目錄中建立一個名稱為 VBScripts 的資料夾,並且也建
立了相關的 VBS 指令碼並將該 VBS 指令碼程式儲存至這個 VBScripts 資料夾中。
然而緊接著問題來了因為就當您執行指令碼程式時,畫面上顯示無法成功執行
的錯誤訊息。
接下來您的工作是必須確定指令碼可以順利成功執行。想一想這時候的您應
該怎麼做才能夠解決這個問題呢?
A改將這一些 VBS 指令碼程式檔案儲存在 System32 資料夾路徑中,並在 Active
Directory群組原則中的軟體限制原則管理下建立指令碼的新雜湊規則。
B在 Active Directory群組原則管理中,將 Microsoft Windows 防火牆設定為允許
所有 VBS 指令碼程式檔案的執行。
C改以系統管理員的身分登入這部Windows Vista作業系統電腦並執行 VBS指
令碼程式。
D 在 Active Directory群組原則中的軟體限制原則管理下,建立指令碼的新路徑規則。
E在 Active Directory群組原則中的軟體限制原則管理下,建立指令碼程式的憑
證規則。
{ 3-14 }
Windows Vista安全管理模擬試題
D
解題說明
首先請在「群組原則管理編輯器」頁面中,找到「安全性設定」\「軟體限制
原則」項目下,按下滑鼠右鍵點選「新軟體限制原則」繼續。接下來請在「其他原
則」的項目上,如圖 3-7-1所示按下滑鼠右鍵點選「新增路徑規則」繼續。
圖 3-7-1 新增路徑規則
如圖 3-7-2所示接下來便
可以開始設定路徑與安全性等
級,來決定是否允許該指令碼
程式的執行。
圖 3-7-2 新增路徑規則設定
Windows Vista安全管理模擬試題 03
{ 3-15 }
3-8 連線到網路投影機與本機防火牆的管理問題
您身為一家網路公司資訊部門的電腦支援技術專員。目前公司的電腦都是在
單一的 Active Directory網域環境中執行 Windows Vista作業系統。然而由於這一
些Windows Vista的用戶端電腦,都是使用預設的 Microsoft Windows防火牆組態
設定來部署通訊的安全性,因此目前有許多用戶端使用者遭遇了無法連接至網路
投影機。
接下來您的工作是必須讓所有用戶端使用者的電腦都可以連接至網路投影機,
而且您所提出與使用的解決方案也不得危害目前電腦網路的安全性,也就是說您
不能夠選擇將Windows防火牆關閉。
想一想這時候的您應該怎麼做才能夠將這個問題與需求完成呢?
A在Windows Vista作業系統的操作中,將在 「Windows 防火牆」 中選取 「電腦
對電腦同步」 選項設定為例外。
B在Windows Vista作業系統的操作中,將在 「Windows 防火牆」 中選取 「遠端
桌面」 選項設定為例外。
C在Windows Vista作業系統的操作中,將在 「Windows 防火牆」 中選取 「遠端
管理」 選項設定為例外。
D在Windows Vista作業系統的操作中,將在 「Windows 防火牆」 中選取 「網路
總管」 選項設定為例外。
E 在Windows Vista作業系統的操作中,將在 「Windows 防火牆」 中選取 「連線到網路投影機」 選項設定為例外。
E
解題說明
本題目前的解題關鍵在於:「然而由於這一些Windows Vista的用戶端電腦,
都是使用預設的 Microsoft Windows防火牆組態設定來部署通訊的安全性」,由於
在Windows防火牆預設的狀態下,並沒有開放對於網路投影機的連線,因此必須
在Windows防火牆中來特別設定。
{ 3-16 }
Windows Vista安全管理模擬試題
首先請如圖 3-8-1所示在「控制台」頁面中點選開啟「Windows防火牆」繼續。
圖 3-8-1 控制台傳統檢視頁面
接著請如圖 3-8-2所示在Windows防火牆頁面中點選「允許程式通過
Windows防火牆」的連結。
圖 3-8-2 Windows防火牆管理頁面
