网络系统管理和维护期末练习题含答案.doc

网络系统管理与维护期末练习题 中央电大工学院边宇枢 2010年06月24日 浏览数：393 一、填空题1为了保证活动目录环境中各种对象行为的有序与安全，管理员需要制定与现实生活中法律法规相似的各种管理策略，这些管理策略被称为（）策略。组2在设置组策略时，当父容器的组策略设置与子容器的组策略设置发生冲突时，（）容器的组策略设置最终生效。子3在ISA Server中，防火墙的常见部署方案有：（）防火墙、（）防火墙和（）防火墙等。边缘防火墙、三向防火墙和背对背防火墙4ISA Server支持三种客户端：（）客户端、（）客户端和（）客户端。Web代理客户端、防火墙客户端和SecureNAT客户端5（）电源是一种在市电中断时仍然能够为网络设备提供持续、稳定、不间断的电源供应的重要外部设备。UPS6一旦对父容器的某个GPO设置了（），那么，当父容器的这个GPO的组策略设置与子容器的GPO的组策略设置发生冲突时，父容器的这个GPO的组策略设置最终生效。强制7软件限制规则有：（）规则、（）规则、（）规则和（）规则。哈希规则、证书规则、路径规则和Internet区域规则。8在ISA Server上配置发布规则时，内部网络中希望被发布的计算机必须为（）客户端。SecureNAT9（）类故障一般是指由于安装错误、配置错误、病毒、恶意攻击等原因而导致的各种软件或服务的工作异常和故障。逻辑10在活动目录中，计算机账户用来代表域中的（）。计算机11一旦对某个容器设置了（），那么它将不会继承由父容器传递下来的GPO设置，而是仅使用那些链接到本级容器的GPO设置。阻止继承12在ISA Server中，为了控制内部用户访问Internet，管理员需要创建（）规则。访问13如果计算机策略与用户策略发生冲突时，以（）策略优先。计算机14（）型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。复合15（）备份是最完整的备份方式，所有被选定的文件和文件夹都会被备份（无论此时其“存档”属性是否被设置）。正常二、单项选择题1在制定组策略时，可以把组策略对象链接到（）上。A文件夹B文件C组织单位D权限列表2（）允许用户在指定的时间段内以数据包为单位查看指定协议的数据，对这些数据包的原始数据位和字节解码，并能依据其对该数据包所用协议的理解提供综合信息。A协议分析仪B示波器C数字电压表D电缆测试仪3Windows备份工具支持的备份类型主要有：正常备份、（）备份、增量备份、每日备份等。A差别B限量C完整D部分4在活动目录中，所有被管理的资源信息，例如：用户账户、组账户、计算机账户、甚至是域、域树、域森林等，统称为（）A活动目录对象B打印机对象C文件夹对象D管理对象5在安装防火墙客户端时，需要安装（）软件。A防火墙客户端B远程访问C路由器D拨号6在事件查看器中，（）日志用来记录与网络安全有关的事情。例如：用户登录成功或失败、用户访问NTFS资源成功或失败等。A系统B应用程序C安全性D活动目录7如果安装了错误的调制解调器驱动程序，Windows操作系统无法正常启动，那么应该进入（）进行恢复。A启用VGA模式B目录服务恢复模式C调试模式D安全模式8（）是针对OSI模型的第1层设计的，它只能用来测试电缆而不能测试网络的其它设备。A协议分析仪B示波器C数字电压表D电缆测试仪9Windows备份工具支持的备份类型主要有：（）备份、差别备份、增量备份、每日备份等。A正常B限量C完整D部分10在一个Windows域中，更新组策略的命令为：（）AGpupdate.exeBNbtstat.exeCIpconfig.exeDPing.exe11在一个Windows域中，域成员服务器的数量为（）A可有可无B至少2台C至少3台D至少1台12一旦把内部网络中的计算机配置成为Web代理客户端，它们将只能够把本地用户访问Internet的（）对象的请求提交给ISA Server，由ISA Server代为转发。APingBSNMPCHTTPDPPTP13域管理员可以使用（）对域中的某一部分对象进行单独的管理。A用户策略B文件夹C组织单位D计算机策略14（）是一种插入到软件中并能对运行中出现的软件错误进行修改的程序编码，往往是在漏洞被发现后由软件开发商开发和发布的。AWINS服务BDNS服务C设备驱动程序D软件补丁15（）是微软公司推出的用于局域网内计算机有关操作系统、应用软件等补丁管理的一种服务器软件，它可以快速、方便地为网络中每台运行Windows操作系统的计算机分发操作系统和应用软件的补丁。APatchLinkBWSUSCHFNetChkProDBigFix三、判断题1在一个组织单位中可以包含多个域。（）错2Web代理客户端不支持DNS转发功能。（）错3CIH病毒是一种危害性很小的病毒。（）错4在一个域上可以同时链接多个GPO。（）对5基本的网络测试命令有：Ping命令、Tracert命令、Show命令和Debug命令等。（）对6如果由于安装了错误的显卡驱动程序或者设置了错误的分辨率而导致无法正常显示的话，则可以选择“启用VGA模式”进行修复。（）对7管理员审批补丁的方式有：手动审批和自动审批。（）对8目录服务恢复模式只能在域控制器上使用。（）对9WSUS服务的部署方案主要有：单服务器方案和链式方案。（）对10在一个组织单位上可以同时链接多个GPO。（）对11在设置组策略时，当父容器的组策略设置与子容器的组策略设置没有冲突时，子容器会继承父容器的组策略设置。（）对12SecureNAT客户端支持身份验证。（）错13在一个Windows域中，可以把链接在一个组织单位上的GPO链接到另一个组织单位上。（）对14Windows自带的备份工具既可以备份本机的系统状态也可以备份远程计算机的系统状态。（）错15防火墙客户端不支持身份验证。（）错四、简答题1简述组织单位和组账户的区别。 组织单位和组账户都是活动目录对象，都是基于管理的目的而创建的。但是，组账户中能够包含的对象类型比较有限，通常只能包含用户账户和组账户；而组织单位中不仅可以包含用户账户、组账户，还可以包含计算机账户、打印机、共享文件夹等其他活动目录对象所以组织单位中可以管理的活动目录资源更多，所起的作用也更大。另一方面，创建组账户的目的主要是为用户账户分配资源访问权限，但是管理员不能直接对组账户指定管理策略，也就是不能直接控制组账户中各对象的更复杂的行为。但是对于组织单位而言，管理员可以直接对其指定各种管理策略(组策略)，从而对组织单位中各对象的行为进行精确控制。此外，当删除一个组账户时，其所包含的用户账户并不会随之删除。而当删除一个组织单位时，其所包含的所有活动目录对象都将随之删除。2简述计算机病毒的特征和危害。计算机病毒的特征为：可执行性、隐蔽性、传染性、潜伏性、破坏性或表现性、可触发性。计算机病毒的危害主要表现为：破坏计算机的数据、占用磁盘空间、抢占系统资源、影响计算机的运行速度、窃取机密信息、不可预见的危害。3简述“边缘防火墙”的特点。作为边缘防火墙，ISA Server是内部网络和Internet之间的主要安全边界。其中，ISA Server计算机具有两个网络接口(例如：两块网卡)，一个网络接口连接内部网络，另一个网络接口连接Internet。内部网络与Internet之间的所有通信均需通过ISA Server。在这个部署方案中，ISA Server既作为一个安全网关来控制用户对Internet资源的访问，也作为一个防火墙来防止外部用户对内部网络资源的非法访问以及阻止恶意内容进入内部网络。边缘防火墙的部署工作比较简单，但是存在着一定的不足。对于一个企业而言，往往有些资源是不希望被外部用户访问的，如：企业的员工信息、产品研发计划等；但是，有些资源又是希望被外部用户访问的，例如：企业的邮件服务器、Web网站等。在该部署方案中，由于这两种资源都被放置在同一个内部网络中，所以为网络管理员对它们进行分别管理带来了很大的困难。此外，该方案仅部署了一层防火墙，只能够提供单点防护。一旦边缘防火墙出现了安全问题，会直接威胁到内部网络的安全。4简述“背对背防火墙”的特点。在这种方案中，部署了两层防火墙。前端防火墙连接了外围网络与Internet，而后端防火墙连接了外围网络与内部网络。在外围网络中，仍然放置了希望被外部用户访问的资源，并且通过前端防火墙进行适当的保护。内部网络资源则会受到两层防火墙的保护，因此更为安全。当然，可能也需要在前端防火墙与后端防火墙上允许内部网络用户访问Internet资源。在上述3种防火墙方案中，背对背防火墙是最安全的部署方案。但是，部署工作相对复杂。5简述入侵检测与防火墙的区别。在功能上，防火端与入侵检测有所区别。防火墙在网络安全中起到大门警卫的作用，对进出的数据按照预先设定的规则进行检查，符合规则的就予以放行，起着访问控制的作用，是网络安全的第一道屏障。但是，防火墙的功能也有局限性。它只能对进出网络的数据进行分析，对网络内部发生的事件就无能为力。同时，由于防火墙处于网关的位置，不可能对进出的攻击做太多的判断，否则会严重影响通信性能。 如果把防火墙比作大门警卫的话，入侵检测系统就是网络中不间断的摄像机。在实际的部署中，入侵检测系统通过监听的方式实时监控网络中的流量，判断其中是否含有攻击的企图并通过各种手段向管理员报警。它不但可以发现外部的攻击，也可以发现内部的恶意行为。因此，入侵检测系统是网络安全的第二道屏障是防火墙的必要补充，与防火墙一起可构成更为完整的网络安全解决方案。 严格地讲，入侵检测系统并不是一个防范工具，并不能阻断攻击。只有防火墙才能限制非授权的访问，在一定程度上防止入侵行为。入侵检测系统主要提供快速响应机制，报告入侵行为入侵检测系统可以与防火墙在功能上实现联动，进行很好的配合。当它检测到入侵行为的发生后，可以立即发出指令给防火墙，防火墙马上关闭通信连接，从而阻断入侵，这将大大提高网络系统的安全。6简述入侵检测系统的主要功能。 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； 寻找系统的弱点，提示管理员修补漏洞； 识别并反映已知攻击的活动模式，向管理员报警，并且能够实时对检测到的入侵行为作出有效反应； 对异常行为模式进行统计分析，总结出入侵行为的规律，并报告给管理员； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，识别用户违反安全策略的行为。7在正常备份与增量备份的组合方案中，分别备份了哪些文件？该组合方案有什么优缺点？周一对所选定的文件执行了正常备份，因此磁带中有全部完整的文件。从周二开始，每一天都只备份了从前一天到当天为止所修改的全部文件。例如：在周四的磁带中备份了从周三到周四为止所修改的全部文件；在周五的磁带中备份了从周四到周五为止所修改的全部文件。因此，通过增量备份与正常备份的组合，就可以不需要每天执行正常备份的任务。 增量备份与正常备份的组合方案在备份时比较节省时间，因为每次在执行增量备份时不会把前面执行增量备份所备份过的文件重复备份。但是，在还原时，由于所需要使用的磁带数量较多，因此还原数据时所耗费的时间较多。8简述一个Windows域中计算机的角色有几种？各有什么特点和用途？域控制器 在一个域中，活动目录数据库必须存储在域中特定的计算机上。这些计算机称为“域控制器(Domain Controller，DC)”，只有安装了服务器级Windows操作系统的计算机才能承担域控制器的角色。在Windows Server 2003产品家族中，必须是Windows Server 2003标准版、企业版和数据中心版的计算机才能承担域控制器的角色，而Windows Server 2003 Web版不能承担域控制器的角色。 一个域中至少需要一台域控制器，也可以有多台域控制器，它们都存储着相同的活动目录。当对任何一台域控制器的活动目录做了更改(例如：添加一个用户账户)，该更改内容会自动复制到其他域控制器的活动目录中，从而保证这些域控制器中活动目录数据的一致性。 在域中安装多台域控制器可以提供容错的功能，这是因为：即使一台域控制器出现了故障，仍然能够由其他域控制器继续提供服务。此外，还可以实现负载平衡。例如：如果有大量用户帐户同时登录域，那么由多台域控制器对这些用户信息进行验证显然比仅由一台域控制器执行验证具有更高的效率。成员服务器 在域中，那些安装了服务器级Windows操作系统但并不存储活动目录数据库的计算机被称为“成员服务器”。例如：Windows Server 2003，Windows 2000 Server或Windows NT Server计算机。这些计算机往往在域中提供各种重要的服务，如：文件服务、邮件服务、数据库服务等。一个域中可以有也可以没有成员服务器。如果在成员服务器上安装了活动目录，它们便会升级为域控制器。如果在域控制器上卸载了活动目录，它们便会降级为成员服务器。工作站 在域中，那些安装了客户端Windows操作系统的计算机称为“工作站”，它们主要供用户使用。例如：Windows XP Professional，Windows 2000 Professional或Windows NT Workstation计算机。一个域中可以有也可以没有工作站。工作站无法存储活动目录，因而不可能升级为域控制器。9补丁管理具有什么特点？补丁管理具有的特点：及时性、严密性和持续性。及时性 随着相关技术的不断发展，从一个漏洞被发现到针对该漏洞的攻击代码的实现，已从几个月缩短到现在的几周甚至一天即可完成。由于一个漏洞从发现到被利用所需的时问越来越短，这就要求计算机，尤其是连入Internet的计算机，必须在第一时间安装补丁程序，也就是说：需要考虑补丁安装的及时性。如果补丁管理工作晚于攻击程序的产生，那么计算机就有可能被攻击，造成严重损失。 严密性 为了满足用户的需求，软件开发商往往会尽快发布补丁。因而，补丁的测试次数就会减少测试强度就会减弱，补丁的兼容性就会很容易出现问题。对于那些针对系统底层的补丁而言，一旦出现问题，不仅会导致应用不正常，而且会造成系统无法正常启动，从而造成巨大损失。因此，在大规模推广部署补丁之前，一定要针对具体系统和应用环境进行严密的测试。此外，除了补丁测试需要考虑严密性，补丁的推广同样也需要制定严密的计划。例如：哪些系统需要安装补丁，什么时候开始安装补丁，安装补丁之前需要备份哪些数据，如何制定应急方案等，都需要仔细考虑。 持续性 补丁管理工作不是一蹴而就的，而是长期的、持续性的工作。随着新的漏洞不断被发现，补丁也会持续不断地发布，所以，要时刻跟踪厂商的补丁公告和安全厂商(主要是防病毒软件开发商)的安全公告。10在网卡设置方面一般会出现哪些问题？如何诊断和排错？网卡的驱动程序安装不当 诊断方法：当用户登录后收到“网络适配器无法正常工作”的提示信息，而且在设备管理器中可以看到网卡前有一个黄色的叹号标记，这是因为网卡驱动程序没有正确安装，或者是网卡与主机的其他设备发生中断号的冲突。这时，需要重新安装驱动程序，并且进行正确的配置。 网卡设备有冲突 如果网卡与主机的其他设备发生配置参数的冲突，会导致网卡无法工作。 诊断方法：检查网卡的接口类型、IRQ、IO端I：1地址等参数。若有冲突，只要重新设置这些参数(有些必须调整跳线)，或者更换网卡插槽，让主机重新为其分配系统资源参数，一般都能使网卡恢复正常。 IP地址冲突 诊断方法：如果网卡的IP地址与其他主机的IP地址发生了冲突，将无法访问网络，而且会收到“系统检测到IP地址与网络上的其他系统有冲突”的提示信息。解决这个问题的办法是修改本机网卡的IP地址。但是，这只能暂时解决，因为修改后还可能出现新的冲突。要根本解决这个问题，则可使用MAC地址绑定的办法，将网卡的MAC地址与IP地址绑定。这样，可以规范IP地址的分配，防止IP地址盗用。通常，具有管理功能的交换机都有MAC地址绑定功能。 IP地址不在子网内或者TCPIP选项参数设置有误 解决的方法是配置正确的IP地址和子网掩码，还需要查看TCPIP选项参数是否符合要求，包括：默认网关、DNS参数等。五、操作题1修改“Default Domain Controllers Policy”GPO中的组策略，使得Domain Users组中的所有成员都具有在域控制器上登录到域的权利。要求：从答案选项中选择正确的选项，将其对应的字母填写在空白的操作步骤中，从而把步骤补充完整。【操作步骤】：步骤1：单击“开始”“程序”“管理工具”“组策略管理”。步骤2：B在弹出的窗口中，右击“Default Domain Controllers Policy”在快捷菜单中单击“编辑”，打开“组策略编辑器”。步骤3：C在弹出的窗口中，单击“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限分配”双击“允许本地登录”组策略。步骤4：A在弹出的窗口中，单击【添加用户或组】按钮，选择该域的Domain Users组，然后单击【确定】。步骤5：在域控制器上，运行“gpupdate”命令，使这条组策略立即生效。【答案选项】：A在弹出的窗口中，单击【添加用户或组】按钮，选择该域的Domain Users组，然后单击【确定】。B在弹出的窗口中，右击“Default Domain Controllers Policy”在快捷菜单中单击“编辑”，打开“组策略编辑器”。C在弹出的窗口中，单击“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限分配”双击“允许本地登录”组策略。2在ISA Server上，管理员需要创建发布规则，把内部的Web服务器发布出来，以允许外部用户访问。其中，内部的Web服务器安装在计算机Clint1（IP地址：192.168.1.1）上；ISA Server连接内部的网卡IP地址为：192.168.1.200，连接外部的网卡IP地址为：131.107.1.200。要求：从答案选项中选择正确的选项，将其对应的字母填写在空白的操作步骤中，从而把步骤补充完整。【操作步骤】：步骤1：D在ISA Server的管理控制台中，单击左窗格中的“防火墙策略”，然后单击任务窗格的“任务”选项卡，接着单击“发布网站”。步骤2：在“欢迎使用新建Web发布规则向导”画面中输入发布规则的名称，例如：发布内部Web服务器，然后单击【下一步】。步骤3：B在“规则操作”窗口中，选择“允许”，然后单击【下一步】。步骤4：由于只发布一个Web网站，所以选择“发布单个网站或负载平衡器”，然后单击【下一步】。步骤5：在弹出的窗口中，选择HTTP方式，然后单击【下一步】。步骤6：C在弹出的窗口中输入PC1的IP地址：192.168.1.1。然后，单击【下一步】。步骤7：在弹出的窗口中，在“路径”一项保留为空白，即：发布整个网站。然后，单击【下一步】。步骤8：A在弹出的窗口中的“公用名称”中输入：131.107.1.200，以便让外部用户通过此IP地址来访问内部网站。然后，单击【下一步】。步骤9：在弹出的窗口中选择合适的Web侦听器，以便通过此侦听器来侦听Internet用户的访问请求。步骤10：由于不需要身份验证，因此选择“无委派，客户端无法直接进行身份验证”，然后单击【下一步】。 步骤11：在弹出的窗口中，保留默认的“所有用户”，然后单击【下一步】。步骤12：出现“正在完成新建Web发布规则向导”画面时，单击【完成】按钮。【答案选项】A在弹出的窗口中的“公用名称”中输入：131.107.1.200，以便让外部用户通过此IP地址来访问内部网站。然后，单击【下一步】。B在“规则操作”窗口中，选择“允许”，然后单击【下一步】。C在弹出的窗口中输入PC1的IP地址：192.168.1.1。然后，单击【下一步】。D在ISA Server的管理控制台中，单击左窗格中的“防火墙策略”，然后单击任务窗格的“任务”选项卡，接着单击“发布网站”。3在ISA Server上创建“允许传出的Ping流量”的访问规则，从而允许内部网中的用户可以使用Ping命令去访问外部网中的计算机。要求：从答案选项中选择正确的选项，将其对应的字母填写在空白的操作步骤中，从而把步骤补充完整。【操作步骤】：步骤1：C在ISA Server的管理控制台中，单击左窗格中的“防火墙策略”，然后单击任务窗格的“任务”选项卡，接着单击“创建访问规则”。步骤2：在“欢迎使用新建访问规则向导”画面中输入访问规则的名称，例如：允许传出的Ping流量，然后单击【下一步】。步骤3：A在“规则操作”窗口中，选择“允许”，然后单击【下一步】。步骤4：在“协议”窗口中，单击下拉式箭头，选择“所选的协议”。步骤5：B单击【添加】按钮来添加协议，单击“通用协议”，从中选择“PING”，然后单击【添加】按钮。接着，单击【下一步】。步骤6：E在“访问规则源”的画面中，单击“网络”，从中选择“内部”，然后单击【添加】按钮。接着，单击【下一步】。步骤7：D在“访问规则目标”的画面中，单击“网络”，从中选择“外部”，然后单击【添加】按钮。接着，在左图中单击【下一步】。步骤8：在“用户集”的画面中，选择“所有用户”。接着，单击【下一步】。步骤9：在“正在完成新建访问规则向导”画面中，单击【完成】。步骤10 ：在弹出的警告窗口中，单击【应用】按钮，使该访问规则生效。【答案选项】A在“规则操作”窗口中，选择“允许”，然后单击【下一步】。B单击【添加】按钮来添加协议，单击“通用协议”，从中选择“PING”，然后单击【添加】按钮。接着，单击【下一步】。C在ISA Server的管理控制台中，单击左窗格中的“防火墙策略”，然后单击任务窗格的“任务”选项卡，接着单击“创建访问规则”。D在“访问规则目标”的画面中，单击“网络”，从中选择“外部”，然后单击【添加】按钮。接着，在左图中单击【下一步】。E在“访问规则源”的画面中，单击“网络”，从中选择“内部”，然后单击【添加】按钮。接着，单击【下一步】。4备份计算机上C:music文件夹中的内容，备份类型为：正常备份，备份文件存储在：C: music_bk.bkf。要求：从答案选项中选择正确的选项，将其对应的字母填写在空白的步骤中，从而把步骤补充完整。【操作步骤】：步骤1：单击“开始”“程序”“附件”“系统工具”“备份”。步骤2：在图中，清除“总是以向导模式启动”复选框，然后单击“高级模式”。步骤3：在弹出的对话框中，单击【备份向导（高级）】按钮，然后在弹出的“欢迎使用备份向导”窗口中单击【下一步】。步骤4：C在弹出的对话框中，选择“备份选定的文件、驱动器或网络数据”，然后单击【下一步】。步骤5：D在弹出的窗口中，选择要备份的C: music文件夹，然后单击【下一步】。步骤6：在弹出的窗口中，单击【浏览】按钮，设置备份文件的名称和存储地点。步骤7：B在弹出的对话框中，选择存储地点，然后指定备份文件名称。在这里，把文件备份到C: music_bk.bkf文件中。然后，单击【保存】。步骤8：在弹出的窗口中，可以看到备份文件的名称和存储地点。如果没有问题，单击【下一步】。步骤9：在弹出的窗口，单击【高级】按钮。步骤10：A在“选择要备份的类型”处，单击下拉式箭头，选择备份类型。在这里，选择“正常”备份。然后，单击【下一步】。步骤11：为了保证备份数据的可靠性，可以选中“备份后验证数据”。然后，单击【下一步】。步骤12：在这里，选择“替换现有备份”。然后，单击【下一步】。步骤13：在这里，选择“现在”。然后，单击【下一步】。步骤14：在“完成向导”画面中，如果确认没有问题，则单击【完成】按钮。【答案选项】：A在“选择要备份的类型”处，单击下拉式箭头，选择备份类型。在这里，选择“正常”备份。然后，单击【下一步】。B在弹出的对话框中，选择存储地点，然后指定备份文件名称。在这里，把文件备份到C: music_bk.bkf文件中。然后，单击【保存】。C在弹出的对话框中，选择“备份选定的文件、驱动器或网络数据”，然后单击【下一步】。D在弹出的窗口中，选择要备份的C: music文件夹，然后单击【下一步】。