【導(dǎo)讀】1．為了保證活動(dòng)目錄環(huán)境中各種對(duì)象行為的有序與安全，略，這些管理策略被稱為（組）策略。策略設(shè)置發(fā)生沖突時(shí)，（子）容器的組策略設(shè)置最終生效。火墻、（三向）防火墻和（背對(duì)背）防火墻等?；饓Γ┛蛻舳撕涂蛻舳?。供持續(xù)、穩(wěn)定、不間斷的電源供應(yīng)的重要外部設(shè)備。6．一旦對(duì)父容器的某個(gè)GPO設(shè)置了，那么，徑）規(guī)則和規(guī)則。10．在活動(dòng)目錄中，計(jì)算機(jī)賬戶用來代表域中的（成員）。員需要?jiǎng)?chuàng)建（訪問）規(guī)則。生方式的計(jì)算機(jī)病毒。處理、負(fù)載平衡。換機(jī)、磁帶機(jī)、打印機(jī)等。19．所有配置項(xiàng)的重要信息都存放于配置管理數(shù)據(jù)庫(kù)中。用軟件四部分組成。22．在系統(tǒng)和網(wǎng)絡(luò)管理階段的最大特點(diǎn)就是分層管理.成的服務(wù)管理流程。故障隔離、故障修復(fù)和記錄結(jié)果等幾部分。管理、排錯(cuò)支持工具和檢索／分析故障信息。件夾都會(huì)被備份。型網(wǎng)絡(luò)和環(huán)型網(wǎng)絡(luò)。和狀態(tài)監(jiān)視技術(shù)。性、傳染性、潛伏性和激發(fā)性。這種組網(wǎng)方式是對(duì)等網(wǎng)。從而在大型網(wǎng)絡(luò)中減輕管理員的工作負(fù)擔(dān)。

　　

【正文】 25. 在正常備份與差別備份的組合方案中？分別備份了哪些文件？該組合方案有什么優(yōu)缺點(diǎn)？ 在正常備份與差別備份的組合方案中，正常備份對(duì)所選定的全部文件執(zhí)行了完整的備份；在此之后，每一次的差別備份都備份了正常備份之后到本次差別備份之間所發(fā)生改變的全部文件。 優(yōu)點(diǎn)：如果磁盤數(shù)據(jù)損壞，那么，在還原數(shù)據(jù)時(shí)，只需要使用正常備份的磁帶數(shù)據(jù)和數(shù)據(jù)損壞前最后一次差別備份的磁帶數(shù)據(jù)即可，數(shù)據(jù)還原的工作量較少。 缺點(diǎn)：每次執(zhí)行差別 備份時(shí)，有可能把以前執(zhí)行差別備份的數(shù)據(jù)重復(fù)備份，浪費(fèi)磁盤空間和備份時(shí)間。 26. WSUS服務(wù)的部署方案有哪些 ? A．單服務(wù)器方案 在該方案中，企業(yè)配置了一臺(tái) WSUS 服務(wù)器，直接從微軟的更新網(wǎng)站下載各種補(bǔ)丁，然后負(fù)責(zé)把補(bǔ)丁分發(fā)給企業(yè)網(wǎng)絡(luò)用戶。 B．鏈?zhǔn)椒桨? 在鏈?zhǔn)椒桨钢?，需要部署兩臺(tái) WSUS 服務(wù)器，上游WSUS 服務(wù)器從微軟的更新網(wǎng)站下載各種布丁，而下游WSUS 服務(wù)器只能從上游 WSUS 服務(wù)器下載補(bǔ)丁。 27．簡(jiǎn)述組織單位和組賬戶的區(qū)別。 組織單位和組賬戶都是活動(dòng)目錄對(duì)象，都是基于管理的目的而創(chuàng)建的。但是， 組賬戶中能夠包含的對(duì)象類型比較有限，通常只能包含用戶賬戶和組賬戶；而組織單位中不僅可以包含用戶賬戶、組賬戶，還可以包含計(jì)算機(jī)賬戶、打印機(jī)、共享文件夾等其他活動(dòng)目錄對(duì)象，所以組織單位中可以管理的活動(dòng)目錄資源更多，所起的作用也更大。另一方面，創(chuàng)建組賬戶的目的主要是為用戶賬戶分配資源訪問權(quán)限，但是管理員不能直接對(duì)組賬戶指定管理策略，也就是不能直接控制組賬戶中各對(duì)象的更復(fù)雜行為。但是對(duì)于組織單位而言，管理員可以直接對(duì)其指定各種管理策略（組策略），從而對(duì)組織單位中各對(duì)象的行為進(jìn)行精確控制。此外，當(dāng)刪除一個(gè)組賬戶時(shí)，其 所包含的用戶賬戶并不會(huì)隨之刪除。而當(dāng)刪除一個(gè)組織單位時(shí)，其所包含的所有活動(dòng)目錄對(duì)象都將隨之刪除。 28. 簡(jiǎn)述計(jì)算機(jī)病毒的特征 通常，計(jì)算機(jī)病毒的特征為：可執(zhí)行性、隱蔽性、傳染性、潛伏性、破壞性或表現(xiàn)性、可觸發(fā)性。 29．簡(jiǎn)述 “邊緣防火墻 ”的特點(diǎn)。 邊緣防火墻的部署工作比較簡(jiǎn)單，但是存在著一定的不足。對(duì)于一個(gè)企業(yè)而言，往往有些資源是不希望被外部用戶訪問的，如：企業(yè)的員工信息、產(chǎn)品研發(fā)計(jì)劃等；但是，有些資源又是希望被外部用戶訪問的，例如：企業(yè)的郵件服務(wù)器、 Web 網(wǎng)站等。在該部署方案中，由于這兩種資源都被放 置在同一個(gè)內(nèi)部網(wǎng)絡(luò)中，所以為網(wǎng)絡(luò)管理員對(duì)它們進(jìn)行分別管理帶來了很大的困難。此外，該方案僅部署了一層防火墻，只能夠提供單點(diǎn)防護(hù)。一旦邊緣防火墻出現(xiàn)了安全問題，會(huì)直接威脅到內(nèi)部網(wǎng)絡(luò)的安全。 30．簡(jiǎn)述入侵檢測(cè)系統(tǒng)的主要功能。 入侵檢測(cè)的主要功能包括： ①監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；②尋找系統(tǒng)的弱點(diǎn)，提示管理員修補(bǔ)漏洞； ③識(shí)別并反映已知攻擊的活動(dòng)模式，向管理員報(bào)警，并且能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為做出有效反應(yīng)； ④對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析，總結(jié)出入侵行為的規(guī)律，并報(bào)告給管理員； ⑤評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ⑥操作系統(tǒng)的審計(jì)跟蹤管理，識(shí)別用戶違反安全策略的行為。 30．簡(jiǎn)述不間斷電源的用處。 31．在正常備份與增量備份的組合方案中，分別備份了哪些文件？該組合方案有什么優(yōu)缺點(diǎn)？ 在正常備份與增量備份的組合方案中，正常備份對(duì)所選定的全部文件執(zhí)行了完整的備份；在此之后，每一次的增量備份都備份了自上一次增量備份之后到本次增量備份之間所發(fā)生改變的文件。 優(yōu)點(diǎn)：每一次執(zhí)行增量備份時(shí)，僅備份自上一次增量備份之后到本次增量備份之間所發(fā)生改變的文件，備份工作量較少，節(jié)省磁盤空間和備份 時(shí)間。 缺點(diǎn)：如果磁盤數(shù)據(jù)損壞了，那么，在還原數(shù)據(jù)時(shí)，需要使用正常備份的磁帶數(shù)據(jù)和數(shù)據(jù)損壞之前的全部增量備份的磁帶數(shù)據(jù)，數(shù)據(jù)還原的工作量較大。 10 / 15 32．簡(jiǎn)述一個(gè) Windows域中計(jì)算機(jī)的角色有幾種？各有什么特點(diǎn)和用途？ 在一個(gè) Windows 域中計(jì)算機(jī)的角色主要有三種：域控制器、成員服務(wù)器和工作站。 其中，安裝了服務(wù)器級(jí) Windows 操作系統(tǒng)并且存儲(chǔ)了活動(dòng)目錄數(shù)據(jù)庫(kù)的計(jì)算機(jī)被稱為“域控制器”，域管理員通過修改活動(dòng)目錄數(shù)據(jù)庫(kù)實(shí)現(xiàn)對(duì)整個(gè)域的管理工作。安裝了服務(wù)器級(jí) Windows 操作系統(tǒng)但并不存儲(chǔ) 活動(dòng)目錄數(shù)據(jù)庫(kù)的計(jì)算機(jī)被稱為“成員服務(wù)器”，這些計(jì)算機(jī)往往在域中提供各種重要的服務(wù)。安裝了客戶端 Windows 操作系統(tǒng)的計(jì)算機(jī)稱為“工作站”，用戶使用它們?cè)L問網(wǎng)絡(luò)資源和服務(wù)。 簡(jiǎn)述計(jì)算機(jī)病毒的危害 ①破壞計(jì)算機(jī)的數(shù)據(jù) —— 大部分病毒在發(fā)作時(shí)會(huì)直接破壞計(jì)算機(jī)里的重要信息數(shù)據(jù)。 ②占用磁盤空間 —— 寄生在磁盤上的病毒總要非法占用一部分磁盤空間。 ③搶占系統(tǒng)資源 —— 大部分病毒在運(yùn)行狀態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系 統(tǒng)資源。 ④影響計(jì)算機(jī)的運(yùn)行速度 —— 病毒需要監(jiān)控計(jì)算機(jī)狀態(tài)、對(duì) 自身進(jìn)行加密，這樣， CPU 會(huì)額外執(zhí)行數(shù)千條乃至上萬條指令。 ⑤竊取機(jī)密信息 —— 有些病毒在入侵計(jì)算機(jī)后，會(huì)自動(dòng)開啟通信端口，偵聽黑客指令，竊取機(jī)密信息。 ⑥不可預(yù)見的危害 —— 絕大多數(shù)的計(jì)算機(jī)病毒自身存在著不同程度的錯(cuò)誤，所產(chǎn)生的后 果往往是難以預(yù)料的。 33．簡(jiǎn)述 “背對(duì)背防火墻 ”的特點(diǎn)。 在這種方案中，部署了兩層防火墻。其中，前端防火墻連接了外圍網(wǎng)絡(luò)與 Inter，而后 端防火墻連接了外圍網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)。在外圍網(wǎng)絡(luò)中，仍然放置了希望被外部用戶訪問的資 源，并且通過前端防火墻進(jìn)行適當(dāng)?shù)谋?護(hù)。內(nèi)部網(wǎng)絡(luò)資源則會(huì)受到兩層防火墻的保護(hù)，因此更為安全。當(dāng)然，可能也需要在前端防火墻與后端防火墻上允許內(nèi)部網(wǎng)絡(luò)用戶訪問Inter 資源。背對(duì)背防火墻是非常安全的部署方案，但是部署工作相對(duì)復(fù)雜。 34．簡(jiǎn)述入侵檢測(cè)與防火墻的區(qū)別。 防火墻對(duì)進(jìn)出的數(shù)據(jù)按照預(yù)先設(shè)定的規(guī)則進(jìn)行檢查，符合規(guī)則的就予以放行，起著訪問控制的作用，是網(wǎng)絡(luò)安全的第一道屏障。但是，防火墻的功能也有局限性。它只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件就無能為力。 入侵檢測(cè)系統(tǒng)通過監(jiān)聽的方式實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量，判斷其中是 否含有攻擊的企圖，并通過各種手段向管理員報(bào)警。它不但可以發(fā)現(xiàn)外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。因此，入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的第二道屏障，是防火墻的必要補(bǔ)充，與防火墻一起可構(gòu)成更為完整的網(wǎng)絡(luò)安全解決方案。 35．簡(jiǎn)述什么樣的用戶具有備份文件的權(quán)利 在工作組中，每臺(tái)計(jì)算機(jī)上的 Administrators 組、 Backup Operators 組和 Power Users 組的成員能夠備份本地計(jì)算機(jī)上的數(shù)據(jù)。在域中， Administrators 組、 Backup Operators 組和Server Operators 組的成員能夠備份域中計(jì)算機(jī)上的數(shù)據(jù)。 普通用戶可以備份自己具有“讀”權(quán)限的數(shù)據(jù)。 數(shù)據(jù)的所有者可以備份自己所擁有的數(shù)據(jù)。 36．簡(jiǎn)述計(jì)算機(jī)病毒的特征和危害。 教材 97頁(yè) 98頁(yè) 37．補(bǔ)丁管理具有什么特點(diǎn)？ 及時(shí)性：由于一個(gè)漏洞從發(fā)現(xiàn)到被利用所需的時(shí)間越來越短，這就要求計(jì)算機(jī)必須在地上一時(shí)間安裝補(bǔ)丁程序。 嚴(yán)密性：在大規(guī)模推廣部署補(bǔ)丁之前，一定要求著對(duì)具體系統(tǒng)和應(yīng)用環(huán)境及性能更嚴(yán)密的測(cè)試。 持續(xù)性：補(bǔ)丁管理工作不是一蹴而就的，而是長(zhǎng)期的、持續(xù)性的工作。 38．在網(wǎng) 卡設(shè)置方面一般會(huì)出現(xiàn)哪些問題？如何診斷和排錯(cuò)？ 下列問題在局域網(wǎng)中屬于常見問題，主要有： A．網(wǎng)卡的驅(qū)動(dòng)程序安裝不當(dāng)，診斷方法：當(dāng)用戶登錄后收到“網(wǎng)絡(luò)適配器無法正常工作”的提示信息，而且在設(shè)備管理器中可以看到網(wǎng)卡前有一個(gè)黃色的嘆號(hào)標(biāo)記，這是因?yàn)榫W(wǎng)卡驅(qū)動(dòng)程序沒有正確安裝，或者是網(wǎng)卡與主機(jī)的其他設(shè)備發(fā)生中斷號(hào)的沖突。這時(shí)，需要重新安裝驅(qū)動(dòng)程序，并且進(jìn)行正確的配置。 B．網(wǎng)卡設(shè)備有沖突，如果其他網(wǎng)卡與主機(jī)的其他設(shè)備發(fā)生配置參數(shù)的沖突，會(huì)導(dǎo)致網(wǎng)卡無法工作。診斷方法：檢查網(wǎng)卡的接口類型、 IRQ、 I/Q 端口地址等參數(shù)。 若有沖突，只要重新設(shè)置這些參數(shù)，或者更換網(wǎng)卡插槽，讓主機(jī)重新為其分配系統(tǒng)資源參數(shù)，一般都能使網(wǎng)卡恢復(fù)正常。 C． IP 地址沖突，診斷方法：如果網(wǎng)卡的 IP 地址與其他主機(jī)的 IP 地址發(fā)生了沖突，將無法訪問網(wǎng)絡(luò)，而且會(huì)收到“系統(tǒng)檢測(cè)到 IP 地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突”的提示信息。解決這個(gè)問題的辦法是修改本機(jī)網(wǎng)卡的 IP 地址。但是，這只能暫時(shí)解決，因?yàn)樾薷暮筮€可能出現(xiàn)新的沖突。要根本解決這個(gè)問題，則可使用 MAC 地址綁定的方法，將網(wǎng)卡的 MAC 地址與 IP 地址綁定。這樣，可以規(guī)范 IP 地址分配，防止 IP 地址盜用。通常，舉手管理功 能的交換機(jī)都有 MAC 地址綁定功能。 D． IP 地址不在子網(wǎng)或者 TCP/IP 選項(xiàng)參數(shù)設(shè)置有誤，解決的辦法是配置正確的 IP 地址和子網(wǎng)掩碼，還需要查看TCP/IP 選項(xiàng)參數(shù)是否符合要求，包括：默認(rèn)網(wǎng)關(guān)、 DNS 參數(shù)等 五、操作題 1．修改 “Default Domain Controllers Policy”GPO中的組策略，使得 Domain Users組中的所有成員都具有在域控制器上登錄到域的權(quán)利。 11 / 15 要求：從答案選項(xiàng)中選擇正確的選項(xiàng)，將其對(duì)應(yīng)的字母填寫在空白的操作步驟中，從而把步驟補(bǔ)充完整。 【操作 步驟】： 步驟 1：?jiǎn)螕?“開始 ”→“ 程序 ”→“ 管理工具 ”→“ 組策略管理 ”。 步驟 2： B 步驟 3： C 步驟 4： A 步驟 5：在域控制器上，運(yùn)行 “gpupdate”命令，使這條組策略立即生效。 【答案選項(xiàng)】： A．在彈出的窗口中，單擊【添加用戶或組】按鈕，選擇該域的 Domain Users組，然后單擊【確定】。 B．在彈出的窗口中，右擊 “Default Domain Controllers Policy”→ 在快捷菜單中單擊 “編輯 ”，打開 “組策略編輯器 ”。 C．在彈出的窗口中，單擊 “計(jì) 算機(jī)配置 ”→“Windows 設(shè)置 ”→“ 安全設(shè)置 ”→“ 本地策略 ”→“ 用戶權(quán)限分配 ”→ 雙擊 “允許本地登錄 ”組策略。 2．在 ISA Server上，管理員需要?jiǎng)?chuàng)建發(fā)布規(guī)則，把內(nèi)部的 Web服務(wù)器發(fā)布出來，以允許外部用戶訪問。其中，內(nèi)部的 Web服務(wù)器安裝在計(jì)算機(jī) Clint1（ IP地址： ）上； ISA Server連接內(nèi)部的網(wǎng)卡 IP地址為： ，連接外部的網(wǎng)卡 IP地址為： 。 要求：從答案選項(xiàng)中選擇正確的選項(xiàng)，將其對(duì)應(yīng)的字母填寫在空白的操作步驟 中，從而把步驟補(bǔ)充完整。 【 操作步驟 】： 步驟 1： D 步驟 2：在 “歡迎使用新建 Web發(fā)布規(guī)則向?qū)?”畫面中輸入發(fā)布規(guī)則的名稱，例如：發(fā)布內(nèi)部 Web服務(wù)器，然后單擊【下一步】。 步驟 3： B 步驟 4：由于只發(fā)布一個(gè) Web網(wǎng)站，所以選擇 “發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器 ”，然后單擊【下一步】。 步驟 5：在彈出的窗口中，選擇 HTTP方式，然后單擊【下一步】。 步驟 6： C 步驟 7：在彈出的窗口中，在 “路徑 ”一項(xiàng)保留為空白，即：發(fā)布整個(gè)網(wǎng)站。然后，單擊【下一步】。 步驟 8： A 步驟 9：在彈出的 窗口中選擇合適的 Web偵聽器，以便通過此偵聽器來偵聽 Inter用戶的訪問請(qǐng)求。 步驟 10：由于不需要身份驗(yàn)證，因此選擇 “無委派，客戶端無法直接進(jìn)行身份驗(yàn)證 ”，然后單擊【下一步】。 步驟 11：在彈出的窗口中，保留默認(rèn)的 “所有用戶 ”，然后單擊【下一步】。 步驟 12：出現(xiàn) “正在完成新建 Web發(fā)布規(guī)則向?qū)?”畫面時(shí)，單擊【完成】按鈕。 【答案選項(xiàng)】 A．在彈出的窗口中的 “公用名稱 ”中輸入： ，以便讓外部用戶通過此 IP地址來訪問內(nèi)部網(wǎng)站。然后，單擊【下一步】。 B． 在 “規(guī)則操作 ”窗口中，選擇 “允許 ”，然后單擊【下一步】。 C．在彈出的窗口中輸入 PC1的 IP地址： 。然后，單擊【下一步】。 D．在 ISA Server的管理控制臺(tái)中，單擊左窗格中的 “防火墻策略 ”，然后單擊任務(wù)窗格的 “任務(wù) ”選項(xiàng)卡，接著單擊 “發(fā)布網(wǎng)站 ”。 3．在 ISA Server上創(chuàng)建 “允許傳出的 Ping流量 ”的訪問規(guī)則，從而允許內(nèi)部網(wǎng)中的用戶可以使用 Ping命令去訪問外部網(wǎng)中的計(jì)算機(jī)。 要求：從答案選項(xiàng)中選擇正確的選項(xiàng)，將其對(duì)應(yīng)的字母填寫在空白的操作步驟中，從而把步驟補(bǔ) 充完整。 【操作步驟】： 步驟 1： C 步驟 2：在 “歡迎使用新建訪問規(guī)則向?qū)?”畫面中輸入訪問規(guī)則的名稱，例如：允許傳出的 Ping流量，然后單擊【下一步】。 步驟 3： A 步驟 4：在 “協(xié)議 ”窗口中，單擊下拉式箭頭，選擇 “所選的協(xié)議 ”