整个域内的用户共享同一个账户策略而且必须通过内置的Default

如何应用域策略关闭客户机的默认共享组策略里面没有这个选项，但可以写个脚本，放在计算机策略中，即做一个修改默认共享的批处理，让客户端自己运行。

（secedit /refreshpolicy machine_policy命令强制计 /enforce 算机策略生效，而使用secedit /refreshpolicy user_policy /enforce 强制用户策略生效；在XP或2003的计算机使用gpupdate /force就可以使计算机策略和用户策略都进行刷新生效）不知道在什么时候，关闭Windows系统中的C$、D$、IPC$等默认共享成为了最基本的安全防范措施，惊弓之鸟们纷纷响应号召，向默认共享宣战。

然而存在是有理由的，默认共享的存在同样如此。

你可知道盲目地关闭这些默认共享会带来某些非常严重的危害吗？下面就介绍关闭默认共享后可能出现的典型问题以及如何解决这些问题的方法。

默认共享利弊共存默认共享是Windows 2000及其以上操作系统在安装完成后自动打开的共享。

只要我们知道了网络中的一台计算机的管理员账号就可以通过默认共享访问该计算机中的资源。

微软推出默认共享是为了方便管理员管理网络中的计算机，特别是在建立域的网络专门有几个默认共享用于存储用户配置文件。

然而任何事有利就有弊，在开启默认共享方便管理的同时也给计算机带来了安全隐患。

如果知道了管理员账户与密码，那么任何人都能访问别人的计算机。

这也是为什么有点安全常识的人都会将默认共享关闭的原因。

危害：默认共享不能随意关既然微软为我们提供了默认共享的功能，自然有它的作用，就好比我们为房间安装了锁一样，只有拥有了合法的钥匙（管理员权限）才能够打开房间大门。

如果我们将该锁卸掉的话，原本可以正常出入的人员也无法进入了。

因此关闭默认共享的危害与上面提到的例子一样，在防止非法用户进入系统的同时，合法用户的访问也被阻断。

在实际工作中我们可能经常使用“net share 默认共享名/delete”命令将对应的默认共享关闭，或者编辑注册表中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters，将LanmanServer \Parameters子项中的AutoShareServer和AutoShareWks数值配置为1。

10.2 强化练习试题1网络管理的5大功能域是__（1）__.（1）A.配置管理、故障管理、计费管理、性能管理和安全管理B.配置管理、故障管理、计费管理、带宽管理和安全管理C.配置管理、故障管理、成本管理、性能管理和安全管理D.配置管理、用户管理、计费管理、性能管理和安全管理试题2在Windows系统中，默认权限最低的用户组是__（2）__.（2）A.everyone B.administrators C.power users ers试题3与route print具有相同功能的命令是__（3）__.（3）A.ping B.arp-a stat-r D.tracert-d试题4下面的Linux命令中，能关闭系统的命令是__（4）__.（4）A.kill B.shutdown C.exit D.logout试题5在Linux中，更改用户口令的命令是__（5）__.（5）A.pwd B.passwd C.kouling D.password试题6在Linux中，目录"/proc"主要用于存放__（6）__.（6）A.设备文件 B.命令文件 C.配置文件 D.进程和系统信息试题7在Linux中，某文件的访问权限信息为"-rwxr--r--",以下对该文件的说明中，正确的是__（7）__.（7）A.文件所有者有读、写和执行权限，其他用户没有读、写和执行权限B.文件所有者有读、写和执行权限，其他用户只有读权限C.文件所有者和其他用户都有读、写和执行权限D.文件所有者和其他用户都只有读和写权限试题8 下面关于域本地组的说法中，正确的是__（8）__.（8）A.成员可来自森林中的任何域，仅可访问本地域内的资源B.成员可来自森林中的任何域，可访问任何域中的资源C.成员仅可来自本地域，仅可访问本地域内的资源D.成员仅可来自本地域，可访问任何域中的资源试题9在SNMPv3中，把管理站（Manager）和代理（Agent）统一叫__（9）__.（9）A.SNMP实体 B.SNMP引擎 C.命令响应器 D.命令生成器试题10默认情况下，Linux系统中用户登录密码信息存放在__（10）__文件中。

网管经验共享：组策略相关故障排错经验谈对于网络管理员来讲，关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略，为什么它不生效?”。

对于一些比较大的网络环境，组策略可以减轻网管人员的管理工作，但其出问题的几率还是比较大的。

这一方面是由于我们在日常操作时不慎引起的，另一方面是由于策略相互影响而造成最终的结果与设想不一致。

组策略应用要点 这里，笔者给出几点微软不推荐的做法： 1.不要删除两条默认的策略(默认域策略和默认域控制器策略)，很多问题的发生都是由删除这两条默认策略而引起的。

而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略，用于将来还原。

如果直接通过GPMC删除默认策略时，我们会发现是行不通的，但是，稍有经验的读者知道如何删除它们。

既然是一个不推荐的做法，希望大家不要删除它们。

2.组策略是不能够链接在用户组上的。

有很多初次接触活动目录的管理员，经常设想将组策略生效于某一用户组，这是行不通的。

组策略不是为用户组设定的策略，而是一组策略的集合，只能链接在站点、组织单元和域上面。

3.组策略的生效问题 (1)生效顺序 正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU 策略。

我们使用时，在出现登录对话框前，会有“应用安全策略”的提示，这也就是本地策略生效的过程。

发生冲突时，最新的策略设置会覆盖其他设置。

计算机设置高于用户设置(即使用户设置是后设置的)。

父容器组策略设置与子容器设置发生冲突，子容器中组策略的设置将最终生效。

同一容器的多个策略按照优先权顺序进行生效。

所以，当在一个容器上面链了多个GPO时，不妨仔细看看它们的顺序，很有可能问题是顺序不当引起的。

(2)生效时间 默认情况下，非域控制器的计算机每90分钟刷新一次策略，其中含有随机的30分钟时间偏移量，时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。

域控制器每5分钟刷新一次，保证了紧急更新的组策略设置(安全性设置)能够得到及时执行，可以在 “域控制器组策略重新刷新时间间隔”里面更改(如图1)。

HCNA安全题库H12-7111、客户端A和服务器B之间建立TCP连接，再三次握手中，B往A发送的SYN+ACK（seq=b，ack=a+1），下列说法正确的有：A、该数据包是对序号b的SYN数据包进行确认B、该数据包是对序号a+1的SYN数据包进行确认C、B下一个希望收到的ACK数据包的序号为bD、B下一个希望收到的ACK数据包的序号为a+12、rule permit ip source 192.168.11.35 0.0.0.31表示的地址范围是：A、192.168.11.0-192.168.11.255B、192.168.11.32-192.168.11.63C、192.168.11.31-192.168.11.64D、192.168.11.32-192.168.11.643、下列关于防火墙分片缓存功能，说法正确的有：（多选）A、配置分片报文直接转发功能后，防火墙不对分片报文进行缓存B、配置分片报文直接转发功能后，对于不是首片报文的分片报文，防火墙将根据域间包过滤策略进行转发C、分片报文也会创建会话表，转发时也会查找会话表D、分片报文的非首片报文，由于没有端口号，所以分片报文直接转发功能一般不能用在NAT环境4、下面哪个选项不属于UTM（Unified Treat Management）的功能？A、IPS入侵防御B、上网行为C、终端安全管理D、AV网关防病毒5、终端安全系统主要由以下哪些组件组成：（多选）A、防病毒服务器B、SC控制服务器C、准入控制设备D、SM管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。

Ipsec在业务数据加解密时使用的是对称加密算法。

--------T（true）7、华为USG防火墙VRRP HELLO报文为组播报文，所以要求备份组中的各路由器必须能够实现直接的二层互通。

-----------------T （true）8、在ARP地址解析时，ARP REPLY报文采用广播的方式发送，同一个二层网络上主机都能够收到，并据此学习到IP和MAC地址对应关系。

Windows网络操作系统管理2013—2014学年度第一学期“开放专科”期末复习填空题1. 在工作组中的一台计算机上所创建的用户账户，被称为（本地或本机）用户账户。

2. 如果共享了一个文件夹，那么该文件夹的默认共享权限是：（Everyone）组对该文件夹的访问权限为“读”。

3. 在森林中，第一个域被称为（森林根）域。

4. 通过对打印机设置（优先级），可以让重要的文档优先打印。

5. 一个用户可以使用域用户帐户在域中的计算机上登录到域，他的身份验证由域控制器检查（活动目录）数据库来完成。

6. 在一个TCP/IP网络中，为计算机自动分配IP地址的服务，叫做（DHCP）服务。

7. 为了向用户提供完全合格域名（FQDN）的解析功能，需要在网络中安装并配置（DNS）服务器。

8. 如果一台计算机采用(B)节点，那么当它需要解析目标计算机的NetBIOS名称时，首先检查自己的NetBIOS名称缓存，如果查询不到，则通过本地广播继续进行查询。

9. 在域的活动目录数据库中，管理员可以为用户创建用户帐户，这种用户帐户只存在于域中，所以被称为“(域)用户帐户”。

10. 一台安装了(远程访问)服务的计算机被称为“远程访问服务器”，由它提供对远程访问客户端的支持，接受用户的远程访问。

11．目前常用的服务器端网络操作系统有（Windows Server 2003）。

12．在域的活动目录数据库中，管理员可以为每个用户创建一个用户帐户。

由于这种用户帐户只存在于域中，所以被称为（域用户帐户）。

13．一个域用户帐户最大资源访问范围是（域）。

14．用户使用域用户帐户可以在域中任何一台计算机上登录域，身份验证由（域控制器）检查活动目录完成。

15．在一个域中使用组帐户为用户分配资源访问权限时，建议使用（A-G-DL-P）的原则16.在工作组中，默认时每台Windows计算机的（Administrator帐户）能够在本地计算机的SAM 数据库中创建并管理本地用户帐户。

网络管理与应用_福建师范大学中国大学mooc课后章节答案期末考试题库2023年1.兼容DOS命令的操作系统是？参考答案:Netware2.Active Directory中的通信组不启用安全，这意味着它们不能列在随机访问控制列表中。

参考答案:正确3.现代管理计算机网络系统基本上有4个部分组成，下列不属于此4个部分的为？参考答案:网关4.在域模式网络中，用户对象由包含用户信息的和用户在网络上的组成。

参考答案:属性；权利5.用户配置文件类型不包含？参考答案:域用户配置文件6.当DNS服务器不能解析用户的域名解析请求时，就按照设置的转发DNS域名解析。

参考答案:转发器7.Windows Server 2012中的本地组用来专门管理的资源，而使用ActiveDirectory组可允许用户访问。

参考答案:单个计算机；网络资源8.协议是Windows平台标准文件共享协议(Linux平台通过Samba来支持)。

参考答案:SMB9.下列属于TCP/IP协议结构的是？参考答案:网络层_网络接口层_应用层10.下列属于OSI模型的是？参考答案:数据链路层_物理层_表示层11.下列属于Windows Server 2012默认有哪些共享文件夹？参考答案:IPC$_C$_Admin$12.域名和IP地址都是表示主机的地址，从域名到IP地址或者从IP地址到域名的转换由域名服务器完成。

参考答案:正确13.Windows Server 2012默认的共享文件夹有C$、Admin$、IPC$。

参考答案:正确14.可以用Ping命令检测TCP/IP的安装及网络连通性。

参考答案:正确15.Windows Server 2012 自动创建若干用户账户，并且赋予其相应的权限，这些用户账户称为内置账户参考答案:正确16.如何将组、用户、资源及权限组合在一起并实现用户对资源访问的管理称为组策略。

参考答案:正确17.用户账户不可以为用户提供登录到计算机以访问计算机资源或网络资源的能力。

⽹络安全基础知识之账号安全　⽤户帐号不适当的安全问题是攻击侵⼊系统的主要⼿段之⼀。

其实⼩⼼的帐号管理员可以避免很多潜在的问题，如选择强固的密码、有效的策略加强通知⽤户的习惯，分配适当的权限等。

所有这些要求⼀定要符合安全结构的尺度。

介于整个过程实施的复杂性，需要多个⽤户共同来完成，⽽当维护⼩的⼊侵时就不需要⿇烦这些所有的⽤户。

整体的安全策略中本地帐号的安全是⾮常重要的。

这节课，我们将探讨⽤不同的⽅法来保护本地帐号的安全。

本章要点： ·描述帐号安全和密码之间的关系 ·在Windows NT和UNIX系统的实现安全帐号的技术 ·在NT下实施密码策略的步骤 ·描述UNIX密码安全及密码⽂件的格式 ·分析UNIX下的安全威胁，拒绝帐号访问和监视帐号 密码的重要性 密码是UNIX和Windows NT安全基础的核⼼。

如果危及到密码，那个基本的安全机制和模式将遭到严重影响。

为了选择强固的密码，你需要在帐号策略⾥设置更多相关的选项。

你还要帮助⽤户选择强壮的密码。

⼀个强固的密码⾄于要有下列四⽅⾯内容的三种： ·⼤写字母 ·⼩写字母 ·数字 ·⾮字母数字的字符，如标点符号 强固的密码还要符合下列的规则 ·不使⽤普通的名字或昵称 ·不使⽤普通的个⼈信息，如⽣⽇⽇期 ·密码⾥不含有重复的字母或数字 ·⾄少使⽤⼋个字符 从⿊客的思想考虑，避免密码容易被猜出或发现（⽐如不要写到纸条上放到抽屉⾥）。

NT下的密码安全 在NT下为了强制使⽤强壮的密码，你可以更改注册表⾥的LSA值来实现，叫passfilt.dll，这个⽂件可以在Windows NT的Service Pack2及以后的版本⾥找到。

在LSA键值下需要添加Notification Packages字串并把值为passfilt.dll加进去。

(精华版)国家开放大学电大专科《Windows网络操作系统管理》判断单选题题库及答案盗传必究一、判断题题目1一个域中可以包含工作组。

选择一项：错题目2一个工作组中可以包含域。

选择一项：错题目3工作组网络也被称为对等式网络。

选择一项：对题目4域属于分散式的管理模式。

选择一项：错题目5在工作组中，存储活动目录数据库的计算机被称为域控制器。

选择一项：错题目6在工作组中，每一台计算机都有一个本地的安全帐户管理器。

选择一项：对题目7在一个物理网络中，可以同时建立多个域。

选择一项：对题目8Server Core 针对私有云和数据中心的托管环境进行了优化，并包含了完整的本地图形管理界面。

选择一项：错题目9Nano Server是一个新的安装选项，Windows Server 2012 和早期版本没有这个安装选项。

选择一项：对题目10服务器管理器是用于管理Windows Server服务器的命令行管理工具。

选择一项：错题目11Windows Server 2016操作系统，默认启用了“远程桌面”功能。

选择一项：错题目12使用密钥管理服务（Key Management Services）服务器能够统一激活网络环境中的Windows操作系统，而不是在每台计算机上逐一完成系统的激活。

选择一项：对题目13一个用户帐户只能被一个人使用，无法被多人同时使用。

选择一项：错题目14一个用户可以同时拥有多个用户帐户。

选择一项：对题目15内置的用户帐户可以被删除。

选择一项：题目16在工作组中，每台计算机分别是一个独立的安全范围，拥有自己的本地用户帐户信息。

选择一项：对题目17Guest（来宾帐户）是供用户临时访问本台计算机所使用的用户帐户。

选择一项：对题目18每一个用户帐户都拥有一个唯一的安全标识符（Security Identifier，简称SID），是在创建用户帐户时由系统管理员手动分配的。

选择一项：错题目19不能删除计算机中内置的组帐户。

(精华版)国家开放大学电大专科《Windows网络操作系统管理》单选多选题题库及答案盗传必究一、单选题题目1（），不仅具有客户端操作系统的全部功能而且拥有强大的网络通信、网络管理等功能。

选择一项：正确答案：服务器操作系统题目2Windows Server 2016操作系统的版本主要包括：Essentials、（）和Datacenter。

选择一项：正确答案：Student题目3Windows网络的管理架构主要有两种：工作组和（）。

选择一项：正确答案：域题目4域内的所有计算机共享一个（）式的数据库（即，活动目录数据库），其中包含整个域内所有用户帐户的相关数据。

选择一项：正确答案：集中题目5Windows Server 2016支持的文件系统，不包含（）。

选择一项：正确答案：VMFS题目6Nano Server适合承载（）。

选择一项：正确答案：DNS服务题目7只能将Windows Server 2016安装到( )格式的磁盘内，其他格式的磁盘可用于存储数据。

选择一项：正确答案：NTFS题目8为了能够实现网络通信，管理员需要为计算机上的网卡等网络设备设置TCP/IP参数，主要包括：IP 地址、（）、默认网关、首选DNS服务器等。

选择一项：正确答案：子网掩码题目9使用命令（），可以打开“Windows 防火墙”配置和查看窗口。

选择一项：正确答案：firewall.cpl题目10管理员可以使用（）工具来查看、禁用和启用计算机上已经安装的硬件设备，也可以针对硬件设备执行调试、更新驱动程序、回滚驱动程序等工作。

选择一项：正确答案：设备管理器题目11Windows操作系统支持两种分区表格式：（）和全局唯一标识分区表。

选择一项：正确答案：MBR题目12基本磁盘可以被划分为（）和扩展分区等。

选择一项：正确答案：简单卷题目13Windows 操作系统可以管理多种类型的磁盘，最常见的磁盘类型有EIDE、SATA、SCSI和（）。

国开期末考试【Windows网络操作系统管理】机考满分试题（第3套）（试卷代号：2448,整套相同,祝同学们取得优异成绩!）一、配伍题（共1题洪10分）1、（请为名词①〜⑤选择表示其含义的描述，将配对好的A-B填写到括号中，每空2分洪10分）n-d-o-w-s- -S-e-r-v-e-r 2016 ;①：（A、能够提供・H-y・p・e・r—V 功能）②-W-i-n-d-o-w-s- -S-e-r-v-e-r 2003，•②（B、不能提供・H・y・p・e・r-V 功能）③-W-i・n-d-o-w-s- -10 •，③（A、能够提供功能）④-L-i-n-u-x-;④（B、不能提供・H・y・p・e・r・・V功能）⑤-W-i-n-d-o-w-s- 7 ;⑤：（B、不能提供・H・y・p・e•2V功能）二、判断题（共9题洪18分）1、域内的所有计算机不会共享一个集中式的数据库（F ）2、一个用户只能拥有一个用户帐户（F）3、在域中，默认只存在一A组织单位（即・D-o-m-a・i-n—C-o-n-t-r-o-l-l-e-r-s-）（ T ）4s・G・P・T・格式支持大于2TB的磁盘（T ）5. -H-y-p-e-r-V服务器需要64位硬件架构平台，而虚拟机中所安装的操作系统可以是32位或64 位（T ）6、通过对打印机设置权限从而限制用户使用打印机（T）7、在工作组的环境中,-D-H-C-P—服务器需要被授权（F）8s -D-N-S-Admins组的成员具有管理-D-N-S -服务器的所有权限（T）9、-V-P-N- （・P-r-i-v-a-t-e- -N-e-t-w-o-r-k■，虚拟专用网络）连接是跨互联网建立的一条临时的、安全的连接,是一条穿越不安全公共网络的可靠的隧道（T）三、单项选择题（共11题，共33分）Is -W-i-n-d-o-w-s-网络的管理架构主要有两种：工作组和（A ）A、域B、对等网C、文件夹D、远程访问服务器2、管理员无法更改（B ）组的成员关系，但是可以为其分配权限和权利B、-E-v-e-r-y-o-n-e-C、-U-s-e-r-s-D、_a-d-m-i-n-i-s-t- F-a-t-O-r-s-3、一个域中至少需要（A ）台域控制器A、一B、二C、三D、四4 （C）文件就是活动目录数据库文件A、-e-d-b-.-1-o-g-B、-s-y-s-v-o-l--n-t-d-s-.-d-i-t-C、_a_pj_5、可以使用服务器管理器（B ）fn-W-i-n-d-o-w-s- -P-o-w-e-r-S-h-e-l-l等工具来创建和管理卷A、任务管理B、磁盘管理C、设备管理D、更新管理6、每个虚拟机最多可以有（B ）个检查点A、25B、50C、32D、647、管理员在对文件夹实施共享之后，必须设置（B ）权限，这样才能保证访问共享文件夹的安全A、-N-T-F-S-B、共享C、打印D、磁盘配额8、打开"网络连接〃窗口的命令是（C）A、-n-e-t-w-o-r-k-B、-c-o-n-t-r-o-l-C、_n-c-p-a-.-c-pT-D、-c-o-n-n-e-c-t-9、一个作用域在必须被（B ）后才能正常工作A、升级B、激活C、授权D、卸载10、常用的-D-N-S-资源记录包括（B ）s -S-O-A-记录s -N-S-记录、-P-T・R-记录和-C-N-A-M-E-记录等A、-S-V-R-记录B、A记录C、X记录D、XM记录11、用户通过（A ）远程访问企业内部网络中的资源时，需要建立-V-P-N-连接A、-I-n-t-e-r-n-e-t-B、-P-S-T-N-C、-I-S-D-N-D、-X-.-2-5-四、多项选择题（共5题，共15分）1、以下关于组帐户描述正确的有（AB ）A、一个组中可以根据需要包含多个用户帐户B、如果给一个组分配了某项权限或权利,那么该组中的所有成员都将继承这些权限或权利C、本地管理员组-a-d-m-i-n-i-s-t-r-a-t-o-r-s-可以被禁用D、新建组中只能包含100个用户帐户2、一个域中的计算机角色有（ABC ）A、域控制器B、成员服务器C、工作站D、远程访问服务器E、站点3、H-y-p-e-r-V提供了三种类型的虚拟交换机（ABE）A、专用B、内部C、-V-P-N-D、环形E、外部4s -D-H-C-P-服务器除了必须给-D-H-C-P-客户端分配IP地址和子网掩码之外，还可以有选择性地分配其它参数，例如（ACD ）,这些可选分配的参数称为选项〃。

组策略处理和优先级此主题尚未评级 - 评价此主题组策略处理和优先级应用于某个用户（或计算机）的组策略对象 (Γ∏O 并非全部具有相同的优先级。

以后应用的设置可以覆盖以前应用的设置。

处理设置的顺序本节提供有关用户和计算机组策略设置处理顺序的详细信息。

有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第 3 步和第 8 步。

组策略设置是按下列顺序进行处理的：1. 本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。

对于计算机或用户策略处理，都会处理该内容。

2. 站点—接下来要处理任何已经链接到计算机所属站点的 Γ∏O。

处理的顺序是由管理员在组策略管理控制台 (Γ∏MX 中该站点的 链接的组策略对象 选项卡内指定的。

链接顺序 最低的 Γ∏O 最后处理，因此具有最高的优先级。

3. 域—多个域链接 Γ∏O 的处理顺序是由管理员在 Γ∏MX 中该域的 链接的组策略对象 选项卡内指定的。

链接顺序 最低的 Γ∏O 最后处理，因此具有最高的优先级。

4. 组织单位—链接到 Aχτιϖε ∆ιρεχτορψ 层次结构中最高层组织单位的 Γ∏O 最先处理，然后是链接到其子组织单位的 Γ∏O，依此类推。

最后处理的是链接到包含该用户或计算机的组织单位的 Γ∏O。

在 Aχτιϖε ∆ιρεχτορψ 层次结构的每一级组织单位中，可以链接一个、多个或不链接Γ∏O。

如果一个组织单位链接了几个 Γ∏O，它们的处理顺序则由管理员在 Γ∏MX中该组织单位的 链接的组策略对象 选项卡内指定。

链接顺序 最低的 Γ∏O 最后处理，因此具有最高的优先级。

该顺序意味着首先会处理本地 Γ∏O，最后处理链接到计算机或用户直接所属的组织单位的 Γ∏O，它会覆盖以前 Γ∏O 中与之冲突的设置。

（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。

）设置默认处理顺序的例外设置的默认处理顺序受下列例外情况的影响：∙GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。

计算机系统与网络安全技术_电子科技大学中国大学mooc课后章节答案期末考试题库2023年1.以下关于TCP/IP协议族的说法不正确的是（）答案:TCP/IP协议族中的TCP协议在设计之初考虑到了安全问题2.以下关于跨站点脚本攻击（Cross-Site Scripting Attack）的说法不正确的是（）答案:如果用户输入不能用来生成静态内容，则跨站点脚本攻击无法实现3.整数29的欧拉函数等于（）答案:284.下列关于RSA加密算法正确的说法是（）RSA是非对称加密算法5.下列关于网络地址转换（NAT）正确的说法是（）答案:NAT和防火墙能协同工作6.以下关于蜜罐（Honeypot）说法不正确的是（）答案:蜜罐技术可以用来阻止网络攻击的发生7.以下关于Windows NT操作系统中安全标识SID（security identification）的说法正确的是（）答案:SID可以作为用户或群组拥有访问权限的标志8.以下关于Windows操作系统注册表的说法正确的是（）程序和系统的配置参数一般都存放在注册表中9.关于病毒和蠕虫的说法正确的是（）答案:病毒需要依附于驻留文件来进行复制，而蠕虫不使用驻留文件也可在系统之间进行自我复制10.NP问题的含义是（）答案:非确定性图灵机上能够在多项式时间内得到处理的问题11.下面关于TCP协议的说法中，不正确的是（）答案:TCP是非面向连接的协议12.以下关于身份认证的说法不正确的有（）答案:身份认证有单向和双向认证之分，且可以简单地重复两次单向认证来实现双向认证13.以下关于链路加密的说法不正确的是（）答案:链路加密中每个用户可以选择自己的加密密钥14.按照加密和解密密钥是否相同，密码算法可分为（）答案:对称密码算法和非对称密码算法15.后三位数字是（）答案:40116.以下关于IPSec说法正确的是（）答案:IPSec属于网络层的安全解决方案17.以下关于入侵检测系统（IDS）的说法正确的是（）答案:入侵检测系统可分为主机入侵检测系统和网络入侵检测系统18.以下不属于ISO 7498-2和ITU-T X.800规定的安全服务的有（）答案:加密（Encryption）19.以下关于UDP协议的说法不正确的是（）答案:UDP是面向连接的协议20.以下关于安全漏洞的说法不正确的有（）答案:软件是产生安全漏洞的唯一原因21.下列哪项不是动态路由选择协议（）答案:CDP22.OSI关于7层通信协议模型从下到上依次为（）答案:应用层表示层会话层传输层网络层链路层物理层23.按照每次处理数据块的长度不同，密码算法可分为（）答案:分组密码算法和序列密码算法24.下列关于DES加密算法的说法中正确的是（）答案:DES的中文意思是数据加密标准25.下列哪些方法可以防止重放攻击（）答案:时戳机制26.下列关于数字签名说法正确的是（）答案:数字签名不可改变27.已知明文攻击是指（）答案:攻击者Oscar拥有具有明文串x和相应的密文y28.为了使用RSA加密算法，Alice选择了两个素数：pa＝17，pb＝11，以及随机数ea＝7作为自己的公钥，则Alice的私钥是（）答案:2329.RFC 1321中以下关于MD5的说法正确的有（）答案:MD5的输入可以为任意长，但是其输出是128位30.美国国家标准学会（ANSI）制订的FIPS PUB 180和180-1中关于SHA-1说法正确的有（）答案:SHA-1的输入不能为任意长，但其输出是160位31.以下关于IPSec中的密钥管理说法正确的有（）答案:互联网络安全关联和密钥管理协议（IAKMP）是IPSec密钥管理的框架32.以下关于入侵检测系统的说法正确的是（）答案:入侵检测系统分为主机入侵检测和网络入侵检测33.以下关于计算机犯罪（Computer Crime）说法最正确的是（）答案:行为人通过计算机操作所实施的危害计算机信息系统（包括内存数据及程序）安全以及其他严重危害社会的并应当处以刑罚的行为34.目前，得到许多国家认可的信息安全管理标准是（）答案:BS779935.MD5常用与数据（）保护答案:机密36.拒绝服务攻击的后果是（）答案:以上都是37.下列设备中属于物理层的设备是（）答案:中继器38.ARP的功能是（）答案:由目标的IP地址求目标的MAC地址39.以下哪项不是公钥密码体制的特点（）答案:保密通信双方需共享密钥40.包过滤发生在哪一层（）答案:网络层41.屏蔽子网结构过滤防火墙中，堡垒主机位于（）答案:周边网络42.在某单位的网络安全方案中，采用隔离网闸实现物理隔离其中，网络物理隔离的基本思想是（）答案:内外网隔开，但分时对一存储设备进行写和读，间接实现信息交换43.NAT(网络地址转换)的功能是什么（）答案:实现私有IP地址与公共IP地址的相互转换44.在网络中分配IP地址可以采用静态地址或动态地址方案。

W i n d o w s网络操作系统管理试题（切记：不求高分，只求及格）一、选择题（空号里是答案）1.管理员可以在DHCP客户机上手工对IP地址租约进行更新，操作命令为(A、ipconfig/renew)。

2.在Internet上，广泛使用(D、完全合格城名)来标识计算机.3一个域中无论有多少台计算机，一个用户只要拥有（A、1）个域用户帐户，便可以访问域中所有计算机上允许访问的资源.4.在一个域中，用户帐户的最大资源访问范围是(C、域)。

5.在域树中.父域和子域之间自动被双向的、可传递的(C.信任关系)联系在一起.使得两个城中的用户帐户均具有访问对方域中资源的能力。

6.最简单的域树中只包含(A.1)个域。

7.当DNS服务器收到DNS客户机查询IP地址的请求后，如果自己无法解析，那么会把这个请求送给(B、Internet上的根DNS服务器)，继续进行查询。

8.在域中，可以使用（A.组织单位）对域中的特定对象进行单独的管理.9.当用户希望通过(C.Internet)进行远程访问时，需要建立VPN连接。

10.在多个网络中实现DHCP服务的方法有(A.设置RFC1542路由器)。

1.如果一个DHCP客户机找不到DHCP服务器，那么它会给自己临时分配一个网络ID号为(A.的IP地址。

2.用户可以利用(C.Ping)命令检侧用户计算机是否能够正确地与网络中的其它计算机通信。

8.在一个域中使用组帐户为用户分配资源访问权限时，建议使用（D.A-G-DL-P）的原则。

1.用户(A.可以)在一台计算机上安装多套Windows操作系统。

3在一台Windows计算机上.输入（C.ipconfig/all）命令来查看网卡MAC地址。

4.实现NetBIOS名称解析的方法主要有（A、WINS服务）。

5.目前常用的服务器端网络操作系统有（A.WindowsServer2003）。

1.在同一台DHCP服务器上.针对同一个网络ID号能够建立（A.1）个作用域.2.如果希望局域网1中的DHCP服务器为局域网2中的DHCP客户机分配IP地址，则需要在局域网2中配置（B.DHCP中继代理）。

域详解.txt求而不得，舍而不能，得而不惜，这是人最大的悲哀。

付出真心才能得到真心，却也可能伤得彻底。

保持距离也就能保护自己，却也注定永远寂寞。

有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。

在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。

理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负哈）。

闲话少说，书归正传。

按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。

现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory用户和计算机”。

截图如下：在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组策略。

现在你就会看到默认域策略——Default Domain Policy，截图如下：单击编辑按钮就可以打开组策略编辑器。

更改其中的选项就会对所有加入域中的用户和计算机产生影响。

这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。

不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。

呵呵，留条出迷宫的路，是所有操作前的必修课。

默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。

注意这里我提到了层次模式，组策略是可以按层次逐级继承的。

这不但可以使策略设置简洁明了，出了问题还便于排查错误。

国家开放大学电大《Windows网络操作系统管理》机考2套标准试题及答案盗传必究第一套试卷总分：100 答题时间：60分钟客观题一、配伍题（共1题，共10分）1. （请为名词①~⑤选择表示其含义的描述，将配对好的a~b填写到括号中，每空2分，共10分）① Windows Server 2016② Windows Server 2003③ Windows 10④ Linux⑤ Windows 7a 能够提供Hyper-V功能b 不能提供Hyper-V功能①：a ②：b③：a ④：b ⑤：b二、判断题（共9题，共18分）1. 一个域中可以包含工作组。

（）T √F ×2. 一个用户帐户可以同时被多个用户使用。

（）T √F ×3. 一个域中不可以有多台域控制器。

（）T √F ×4. MBR 格式的磁盘，最多支持4个主分区。

（）T √F ×5. 第二代虚拟机使用不同的硬件型号，并全面支持第一代虚拟机的所有旧设备。

（）T √F ×6. 共享文件夹权限只对用户通过网络访问这个文件夹时起到约束作用，如果用户在这个文件夹所在的计算机上以交互式方式访问它时，则不会受到共享文件夹权限的限制。

（）7. 在安装DHCP服务器角色之前，应该为DHCP服务器本机配置静态IP地址。

（）T √F ×8. 在互联网上，所有维护根域“.”的DNS服务器被称作“根DNS服务器”，这些服务器是由13个完全限定域名（FQDN）来表示。

（）T √F ×9. 部署VPN解决方案的人员，需要具有本机Power Users组的成员身份。

（）T √F ×三、单选题（共11题，共33分）1. 为了能够实现网络通信，管理员需要为计算机上的网卡等网络设备设置TCP/IP参数，主要包括：IP 地址、（）、默认网关、首选DNS服务器等A 端口B NetBIOS名称C 电话号码D 子网掩码2. 在工作组中，每台计算机把自己的资源信息、用户帐户信息和安全信息存放在本地的（）中A 活动目录数据库B 防火墙C 文件夹D SAM数据库3. 使用（）工具，可以从 Active Directory 回收站恢复已删除的对象A Active Directory站点和服务B Active Directory 用户和计算机C Active Directory 域和信任关系D Active Directory 管理中心4. （）,提供对 AD DS 对象及属性的定义，通常不会经常查看或变更它们A 组织单位5. 基本磁盘可以被划分为（）和扩展分区等A RAID 1卷B 主分区C 简单卷D 镜像卷6. 在Windows Server 2016中可以使用命令（），来验证物理服务器是否满足安装Hyper-V服务的要求A ncpa.cplB systeminfo.exeC hyperinfo.exeD info32.exe7. NTFS权限通常可分为：（）和特殊权限A 打印权限B 管理员权限C 访问权限D 标准权限8. DHCP客户端可以从四个级别分配到所需的DHCP选项，这四个级别为：（）、作用域级别、类级别和保留级别A 服务器级别B 计算机级别C 网络级别D 域级别9. 在一台DHCP服务器上，针对同一个网络地址只能建立（）个作用域A 1个B 2个C 3个D 没有限制10. 将DNS客户机请求的IP地址解析为对应的完全限定域名的过程称为（）查询A 递归11. Windows Server 2016支持的VPN协议有：（）、L2TP/IPSec、SSTP和IKEv2A SLIPB PPTPC TCP/IPD NWLink四、多选题（共5题，共15分）1. 以下关于组帐户描述正确的有（）。

一、填空题1.（A．专用网络）通常用来承载群集节点内部通信。

群集节点使用这个网络交换检测信号并检查其他节点。

A．专用网络B．公共网络C．存储网络D．虚拟机网络2.（B．.PFX）格式的证书文件包含私有密钥。

A．.CER B．.PFX C．.P7B D．SST3.（B.Guest ）是“内置的本地用户帐户”。

（单选）A．Administrators B.Guest C.Power Users D．Domain Admins操作系统会自动创建四个本地用户帐户：Administrator、Guest、DefaultAccount、WDAGUtilityAccount)4.（B．Hyper-V ）是微软公司提供的虚拟化平台，能够在服务器上创建并运行虚拟机。

A．Intel VT B．Hyper-V C．AMD-V D．AMD x645.（A．条件转发器）能够将不同域名的查询转发给不同的转发器A．条件转发器B．根提示C．转发器D．辅助区域6.（AAAA记录）用来将主机的FQDN 解析为IPv4地址。

A．AAAA记录B．MX记录C．A记录D．PTR记录7.（B．心跳）是群集的一种健康检查机制，通过一个专用网络向群集所有节点发送UDP数据包，以检查群集中的所有节点是否在线。

A．资源B．心跳C．存储D．角色8.（C．iisstart.html）是IIS的默认站点中的默认文档。

A．Default.htm B．Default.aspx C．iisstart.html D．index.asp9.Hyper-V提供了三种虚拟网络：（A．专用）网络、内部网络和外部网络。

A．专用B．并联C．串联D．环形10.IIS默认站点的根目录位于（A．C:\inetpub\wwwroot）。

A．C:\inetpub\wwwroot B．C:\inetpub\custerr C．C:\inetpub\logs D．C:\inetpub\web11.MBR分区表格式只支持最大为（B．2TB ）的磁盘。

Default Domain Policy和Default Domain Controllers Policy是Windows域中的两个内置组策略对象。

1. Default Domain Policy：此GPO是域的默认策略，应用于整个域内的所有用户和计算机。

它包含的组策略设置会在域中的计算机和用户登录时应用。

这些设置可以包括软件安装、脚本执行、登录/注销脚本、用户和计算机配置文件等。

2. Default Domain Controllers Policy：此GPO是域控制器的默认策略，应用于域控制器内的所有用户和计算机。

与Default Domain Policy类似，它包含的组策略设置会在用户和计算机登录到域控制器时应用。

这些设置可以包括软件安装、脚本执行、登录/注销脚本、用户和计算机配置文件等。

通过调整这些GPO，管理员可以控制域中用户和计算机的行为和环境。

【内⽹信息收集】之搜集本机信息为什么要进⾏内⽹本机信息收集：在内⽹渗透测试环境中，有很多的设备和防护软件。

通过收集⽬标内⽹信息，洞察内⽹⽹络拓扑结构，找到内⽹中最薄弱的环节。

渗透⼈员进⼊内⽹后，需要先对当前的⽹络环境进⾏判断，所处的内⽹结构是什么样的、其⾓⾊是什么、使⽤这台机器的⼈的⾓⾊是什么、以及这台机器上装了什么杀毒软件等，都需要进⾏信息收集。

正如某⼤佬所说：渗透的本质就是信息收集。

⼿动信息收集：本机信息包括操作系统、权限、内⽹IP地址段杀毒软件、端⼝、服务、补丁更新频率、⽹络连接、共享、会话等。

如果是域内主机，操作系统、应⽤软件、补丁、服务、杀毒软件⼀般都是批量安装的。

通过本机的相关信息，可以进⼀步了解整个域的操作系统版本、软件及补丁安装情况、⽤户命名⽅式。

查询⽹络配置信息：命令： ipconfig/all查询操作系统及软件信息：查询操作系统和版本系统：命令： systeminfo | findstr /B /C:"OS Name" /C:"OS Version"如果为中⽂版系统则执⾏命令： systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"查看系统体系结构：命令： echo %PROCESSOR_ARCHITECTURE%查看安装的软件及版本、路径等：利⽤ wmic 命令，将结果输出到⽂本⽂件： wmic product get name,version利⽤PowerShell命令，收集软件的版本信息： powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"查询本机服务信息：命令： wmic service list brief查询进程列表：查看当前进程列表和进程⽤户，分析软件、邮件客户端、VPN和杀毒软件等进程命令： tasklist查看进程信息命令： wmic process list brief查看启动程序信息：命令： wmic startup get command,caption查看计划任务：命令： schtasks /query /fo LIST /V如果在执⾏时报错，⽆法加载列资源，可以使⽤chcp命令将编码暂时设置为英⽂。