用驱动程序数字签署保障系统安全(1)
添加时间: 2007-4-1 6:45:55 作者: 微软认证参考 阅读次数:210 来源: http://www.d9soft.com
问题:
you are the administrator for pcjob's network.
tess, who works in financial department, wants to update the printer connected to her windows 2000 professional computer so that she can print graphics at a higher resolution. tess downloads a printer driver from the internet. the then asks for your assistance in installing the driver.
you are unsure of the source of the driver. you want to ensure that the user does not lose production time because of an incompatible driver.
what should you do?
a. display the advanced attributes dialog box for the printer driver file. install the driver if the contents have been secured.
b. run file signature verification to verify that the new driver has a microsoft digital signature. do not install the driver if it does not have the signature.
c. install the driver. logon to the computer. if the computer fails after installing the driver, restart the computer. then use the last known good configuration to recover the original driver.
d. install the driver. logon to the computer. if the computer fails after installing the driver, use the hardware troubleshooter. then use the recovery console to recover the original driver.
题解:
你是pcjob的 网络 管理 员,tess,公司财务部的一名员工,想要升级那台连接到自己的windows 2000 professional计算机的打印机,以便于自已可以用更高的解析率来打印图形,tess从互联网上下载了一个打印机驱动程序,然后请你帮她安装该驱动。但你不能确定这个驱动程序的 安全 性,你不希望因为驱动程序的兼容性问题而耽误用户的工作时间,这样的话,你需要怎么做?
与windows 2000 一起提供的系统文件有一个microsoft数字签署。它能确保特定的文件满足一定的测试级别,并且可以确保该文件不曾被更改,也没有被另一个程序的安装过程覆盖写入过。
有时候,在你的计算机上安装新的软件时,软件安装过程会用一个不兼容的版本覆盖写入系统文件,这就可能导致系统的不稳定性以及不安全性。
如果安装程序试图在系统中添加未经签署的驱动程序,利用下述过程可以控制这种情况的处理方法:
1, 在“my compuer”单击右键
2, 在“hardware”面板下,点击“driver signining”,然后可以选择如下三种选项:
“ignore”--忽略,安装所有设备驱动程序,不管它们是不是有数字签署。
“warn”---警告,当检测到未经数字签署的设备驱动程序时,显示一个警告信息。
“block”---阻止,阻止用户安装未经数字签署的设备驱动程序。
对于标识未经签署的文件,则需要运行如下命令行:
sigverif
单击开始à运行à输入sigverif,然后回车,弹出提示框,点击“开始”开始签证文件签名
正确答案:b
错误答案:cd=瞎掰,a,要按这样 检查 驱动安全性,这个网管怎么被老板炒的鱿鱼都不知道……
具体请见2152a—实现microsoft windows 2000 professional和server 第二章:配置windows 2000环境2.3.3小节:管理驱动程序的数字签署
系统修复:选安全模式还是最后一次正确配置?
问题:
问题:
you have updated the modem driver on your windows 2000 professional computer. you restart your computer. immediately after you log on, you receive a stop error.
you need to start windows 2000. what must you do?
a. restart the computer in safe mode.uninstall the modem driver.
b. restart the computer by using the last known good configuration.
c. restart the computer in recovery console.replace the new modem.inf file with the old modem.inf file.
d. start the computer from the windows 2000 startup floppy disks.repair the registry.
e. start the computer from the windows 2000 startup floppy disks.repair the system files.
select the 1 best answer.
在一台windows 2000 professional操作系统的计算机上升级modem的驱动,然后重新启动计算机,但计算机却在登录后马上停止响应,此时需要如何修复?
解答:
灾难恢复在 微软 认证系列考试中一直是一个重点,无论作为客户端的计算还是作为server的计算机,当系统出现故障时,第一件需要做的事情就是对其进行灾难恢复,但问题出现的原因有很多很多种,并不是按照一个固定的顺序就一定可以修复的,但通常又有一定的规律,比如这一道题目,显然是在升级设备驱动之后引导致系统无法正常使用,有考生朋友说这道题目的答案a和b都很像正确答案,那我们先来看看何为safe mode( 安全 模式)和last known good configuration(最后一次正确配置):
在安全模式下,您只能访问基本文件和驱动程序(鼠标、监视器、键盘、大容量存储器、基本视频、默认系统服务,并且不连接 网络 )。您可以选择“带网络连接的安全模式”选项,此模式可以安装以上全部文件和驱动程序,以及启动网络的必要服务和驱动程序,或者您可以选择“命令提示符的安全模式”选项,此模式除启动命令行提示代替图形用户界面以外,其他与安全模式完全一致。
选择“最后一次正确的配置”是从问题(如新添加的驱动程序与硬件不相符)中恢复的一种方法。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
好了,现在看一下两者有一个明显的区别,前者可以解决由于驱动程序与硬件不相符之类的故障,但后者却解决不了这个问题,那我们回过头来看这道题目,是由于modem的驱动程序安装之后才启动不了计算机,所以,问题基本可以确定是出在了新添加的驱动程序与硬件不相符造成的。
正确答案:a
启动分区?系统分区?
问题:
the term ____________________ best describes the partition where the windows 2000 operating system files are stored.these files are found in a folder called winnt when the default installation path is used.they are files that windows 2000 uses to complete the startup process and to run windows 2000 after it is started.
a.boot partition
b.root partition
c.active partition
d.system partition
e.operation partition
select the 1 best answer(选择一个最佳答案)
描述存储windows 2000操作系统文件的磁盘分区的最佳术语是什么,它使用默认安装路径,系统文件会在一个名为winnt的文件夹中找到,并且用来完成windows 2000的启动过程以及启动后运行windows 2000。
解答:
术语"系统分区"(system partition):包含加载 windows(例如,ntldr、osloader、boot.ini、ntdetect.com)所需的硬件特定文件的分区。系统分区可以(但不是必须)与启动分区相同。
"启动分区"(boot partition)是安装了windows 2000 server的地方,它包含了操作系统父目录(默认情况下是winnt),system32子目录,windows 2000系统核心,以及所有其他运行操作系统所必需的文件,如果windows 2000 server安装在一个活动分区,那它既是引导分区又是系统分区。
正确答案为a。
系统安全之事件审核
题解:
你是pcjob的 网络 管理 员,tess,公司财务部的一名员工,想要升级那台连接到自己的windows 2000 professional计算机的打印机,以便于自已可以用更高的解析率来打印图形,tess从互联网上下载了一个打印机驱动程序,然后请你帮她安装该驱动。但你不能确定这个驱动程序的 安全 性,你不希望因为驱动程序的兼容性问题而耽误用户的工作时间,这样的话,你需要怎么做?
与windows 2000 一起提供的系统文件有一个microsoft数字签署。它能确保特定的文件满足一定的测试级别,并且可以确保该文件不曾被更改,也没有被另一个程序的安装过程覆盖写入过。
有时候,在你的计算机上安装新的软件时,软件安装过程会用一个不兼容的版本覆盖写入系统文件,这就可能导致系统的不稳定性以及不安全性。
如果安装程序试图在系统中添加未经签署的驱动程序,利用下述过程可以控制这种情况的处理方法:
1, 在“my compuer”单击右键
2, 在“hardware”面板下,点击“driver signining”,然后可以选择如下三种选项:
“ignore”--忽略,安装所有设备驱动程序,不管它们是不是有数字签署。
“warn”---警告,当检测到未经数字签署的设备驱动程序时,显示一个警告信息。
“block”---阻止,阻止用户安装未经数字签署的设备驱动程序。
对于标识未经签署的文件,则需要运行如下命令行:
sigverif
单击开始à运行à输入sigverif,然后回车,弹出提示框,点击“开始”开始签证文件签名
正确答案:b
错误答案:cd=瞎掰,a,要按这样 检查 驱动安全性,这个网管怎么被老板炒的鱿鱼都不知道……
具体请见2152a—实现microsoft windows 2000 professional和server 第二章:配置windows 2000环境2.3.3小节:管理驱动程序的数字签署
系统修复:选安全模式还是最后一次正确配置?
问题:
you are a domain administrator for your windows 2000 network,supporting computers running windows nt4 workstation and windows 2000 professional.your organization is small and has a single windows 2000 server domain controller.there are five other servers running in the server room,a wins server,a dhcp server,a web server,a dns server and a file server.recent security breaches are an issue for your organization so you want to set up auditing for files and folders on ntfs partitions.you have set up auditing in the projects folder on the production server to log all failures fo delete subfolders and files.a failure event has shown up fo delete subfolders and files.what had to be attempted for this audit to occur?
a.someone without the proper access permission tried to view permissions or the file owner for a file or folder.
b.someone without the proper access permission tried to change the attributes of a file or folder.
c.someone without the proper access permission tried to change permissions for a file or folder.
d.someone without the proper access permission tried to delete a file or a folder in a folder.
e.someone without the proper access permission tried to take ownership of a file or folder.
f.someone without the proper access permission tried to delete a file or a folder.
windows启动过程加载程序问题
问题:
during startup,a windows 2000-based computer initializes and then locates the boot portion of the hard disk.this is called the preboot sequence.ntldr loads during system startup and is the last step of the process.after the computer loads ntldr into memory,the boot sequence gathers information about hardware and drivers in prparation for the windows 2000 load phases.the boot sequence uses the following files for a full boot into windows 2000 professional.
a.config.sys
b.ntldr
c.boot.ini
d.ntdetect.com
e.ntconfig.sys
f.ntcoskrnl.exe
select the 4 best answers(选择4个最佳答案)
在启动过程中,基于windows 2000的计算机初始化其后查找硬件中的引导部分,这叫做preboot sequence。系统启动时加载ntldr并且是这一过程的最后一步,之后计算机将ntldr加载到内存,在windows 2000加载阶段准备过程中引导次序收集硬件和驱动信息,preboot sequence使用以上哪些文件完全引导进入windows 2000 professional。
解答:
使用如下文件:ntldr,boot.ini,bootsect.dos(如果使用更早的操作系统版本如window 9x或dos作双启动的选项),ntdetect.com,ntoskrnl.exe
正确答案:bcdf
lession 1:
files used in the windows 2000 boot process
file location boot stage
ntldr system partition root (c: ) preboot and boot
boot.ini system partition root boot
bootsect.dos system partition root boot (optional)
ntdetect.com system partition root boot
ntbootdd.sys system partition root boot (optional)
ntoskrnl.exe systemrootsystem32 kernel load
hal.dll systemrootsystem32 kernel load
system systemrootsystem32config kernel initialization
device drivers (*.sys) systemrootsystem32drivers kernel initialization
看过这个问题,让我想起一些朋友经常给我来信,问我为什么装了双系统有时可以正常引导某一个系统,而有时又不能正常引导,而通过询问得出答案都是一样的:比方说安装windows 2000与windows xp双系统,先安装windows 2000,然后安装windows xp的话,一切都没有什么问题,可以正常引导,但如果先安装windows xp,然后安装windows 2000的话,却无法引导进入windows xp系统。其实这个问题就是与本文所讲到的引导过程所加载的程序有关的,这些程序有个版本高低问题,当先安装低版本的系统,后安装高版本的系统时,由于高版本的系统引导所加载的程序可以识别低版本的系统,自然启动无忧,但如果先高后低的顺序,由于低版本的文件识别不发高版本操作系统,自然也就无法完成引导过程,因此,要避免这个问题的发生,有两个办法可以选择:一是按照正确顺序安装,这个最省心的办法;二是先将高版本系统里的引导加载程序备份,然后完成安装之后,将这些文件放到默认的系统分区下,这个问题也可以得到解决。
select the 1 best answer(选择一个最佳答案)
你是一名windows 2000域 管理 员, 网络 中支持运行windows nt4工作站和windows 2000 professional计算机,你所在的机构很小,而且只有一个单独的windows 2000 server域控制器。在服务器机房里还运行有5台服务器,一台wins服务器,一台dhcp服务器,一台web服务器,一台dns服务器和一台文件服务器。最近你所在的机构出现了 安全 漏洞,所以,你希望在ntfs分区建立审核。你在production服务器上的projects文件夹建立了审核,对所有删除子文件夹和文件的失败操作记录到日志中。有一个删除子文件夹和文件的失败事件出现显示出来,这个审核的发生表示出现发生了什么尝试?
解答:
给出的题目中讲到,在product文件夹上作的审核,审核的是该文件夹下子目录及其目录中的文件的删除尝试操作,因此,当出现失败事件时,极有可能是没有相应权限的人在对该目录进行删除操作的尝试,可能是目录本身,也可能是其下的子目录,也有可能是目录下的文件。
正确答案:d
貌似简单的启动盘制作
问题:
if they were needed because the cd-rom drive is not bootable,how would you create the bootable floppy disks for a windows 2000 installation?
a.download the makeboot.exe program from the microsoft website.
b.winnt /ox can be used to create setup boot disks from the command line.
c.winnt /ox and winnt32 /ox can both used to create setup boot disks from the command line.
d.run the makeboot.exe program.
select the 1 best answer(选择一个最佳答案)
假设cd-rom不能够启动,需要怎样为windows 2000的安装创建一个启动盘?
解答:
要创建安装盘,需要从另一台正在运行windows 2000的计算机上运行makeboot.exe程序。makeboot.exe位于windows 2000组件磁盘的bootdisk文件夹下。要创建一个安装盘,点击"开始"-->"运行",然后在打开的对话框中输入makeboot a:,然后点击"确定"。
windows xp professional安装启动盘只能够从microsoft站点下载。
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b310994
正确答案:d
参考资料:
mcse training kit----appendix b -- creating setup boot disks
unless your computer supports booting from a cd-rom drive, you must have the four windows 2000 professional setup disks to complete the installation of microsoft windows 2000 professional. to create these setup disks, complete the following procedure.
label the four 1.44 mb disks with the appropriate product name, as follows:
windows 2000 professional setup boot disk
windows 2000 professional setup disk #2
windows 2000 professional setup disk #3
windows 2000 professional setup disk #4
insert the microsoft windows 2000 professional cd-rom into the cd-rom drive.
if the windows 2000 cd-rom dialog box appears prompting you to upgrade to windows 2000, click no.
open a command prompt window.
at the command prompt, change to your cd-rom drive. for example, if your cd-rom drive letter is e, type e: and press enter.
at the command prompt, change to the bootdisk folder by typing cd bootdisk and pressing enter.
with bootdisk as the active folder, type makeboot a: (where a: is the floppy disk drive) and then press enter.
windows 2000 displays a message indicating that this script creates the four windows 2000 setup disks for installing from a cd-rom. it also indicates that four blank formatted floppy disks are required.
press any key to continue.
windows 2000 displays a message prompting you to insert the disk labeled disk 1. (this is the disk you labeled windows 2000 professional setup boot disk.)
insert the blank formatted disk labeled windows 2000 professional setup boot disk into drive a, and then press any key to continue.
after windows 2000 creates the disk image, it displays a message prompting you to insert the disk labeled disk 2.
remove disk 1, insert the blank formatted disk labeled windows 2000 professional setup disk #2 into drive a, and then press any key to continue.
after windows 2000 creates the disk image, it displays a message prompting you to insert the disk labeled disk 3.
remove disk #2, insert the blank formatted disk labeled windows 2000 professional setup disk #3 into drive a, and then press any key to continue.
after windows 2000 creates the disk image, it displays a message prompting you to insert the disk labeled disk 4.
remove disk 3, insert the blank formatted disk labeled windows 2000 professional setup disk #4 into drive a, and then press any key to continue.
after windows 2000 creates the disk image, it displays a message indicating that the imaging process is done.
at the command prompt, type exit and then press enter.
remove the disk from drive a and the cd-rom from the cd-rom drive.
远程访问 安全 协议的选择
问题:
you are creating a dial-up connection on your windows 2000 portable computer to connect to your customers dial-up server. you are not sure which type of server your customer is using for dial-upconnections. you want to ensure that your dial-up connection authentication is secure and that yourlogon information is not sent in plain text. you view the advanced security settings dialog box as shownin the exhibit.
which option or options should you disable in the advanced security settings dialog box? (choose all that apply)
a. unencrypted password (pap)
b. shiva password authentication protocol (spap)
c. challenge handshake authentication protocol (chap)
d. microsoft chap (ms-chap)
e. microsoft chap version 2 (ms-chap v2)
f. for microsoft chap based protocols.
你要在自己的windows 2000 移动计算机(通常为笔记本电脑)上建立一个拨号连接来连接到你客户的拨号服务器上,但你不敢确定你的客户方使用何种类型的拨入服务器,你希望确保你的拨号连接的验证方式能够保障自己的登录信息的 安全 性而不是以明文方式发送,在图中的高级安全设置对话框中进行选择,禁用哪几个选项,也就是让考生选择出不安全的选项。
这道题的适用范围包括:70-210,70-215,70-216,适用教程:153a,实现 网络 基础结构。
需要说明的是, 微软 的考试并不是以考试科目与课程单独对座,而是每一科核心考试都会涉及到其他几门核心考试的内容,因此,这个题目可以适用于这三门核心考试。
题解:
这道题目很明显的用意就是在于考查考生对于远程访问服务器的 安全 协议设置的了解程度,下面就这几个协议进行简单分析
pap:低安全性,中文翻译为“密码身份验证协议”,使用明文密码,如果密码匹配,服务器就给远程访问客户机授予访问权。这个协议对于防止未经授权的访问来说,没有什么保护功能。
spap:中安全性,中文翻译为“shiva密码身份验证协议”,它是一种双向可逆加密机制,由公司开发的,这对于客户机与服务器之间发送的密码数据进行加密,比pap安全。
chap:高安全性,中文翻译为“盘问沟通身份验证协议”,也叫做md5-chap,消息分类。它是一个查问---响应身份验证协议。chap采用业内标准的md5单向加密机制(不明白md5的自己查),来加密响应,因此提供了高等级的保护,以防止未经授权的访问。
ms-chap:高安全性,名字跟前面的基本一样,只是加了“m$”而已(不明白m$什么意思的考生就不要再考 微软 的试了。它是一个单向的、加密的密码身份验证协议。它可以采用“microsoft点对点加密”(mppe)来加密那些发往客户机或服务器的数据。在2000服务器上,它是被默认选择的。
ms-chap v2:高安全性,它是前一个的新版本,这个新的协议为发送和接收提供了相互的身份验证、更强的初始数据密钥,以及不同的密钥。
vpn连接,2000svr在提供ms-chap之前提供ms-chapv2,2000拨号连接和vpn连接可以采用ms-chapv2,运行nt4.0和98的计算机只能使用ms-chap2身份验证。
再看这些协议的使用环境:
pap:客户机和服务器不能利用更安全的验证形式进行协商时
spap:连接到时,或者当shiva客户机连接到基于windows 2000的远程访问服务器时。
chap:某些客户机运行的不是m$操作系统时
ms-chap:有些客户机运行win 2000、win nt4.0、win95或更新版本时
ms-chapv2:有些运行win2000的拨号客户机、运行nt4.0或98的vpn客户机时。
ms-chapv2是最安全的身份验形式。
you want to ensure that your dial-up connection authentication is secure and that your logon information is not sent in plain text.
这是这道题的目的,只要符合安全性,密码传送不使用明文加密就可以,因此,选a,另外会有人问为什么没有f的选项,其实f就是d和e的综述,基于微软的协议,很明显,就是d和e都包含在内了,因此,f也是安全的选项,只有a,它是不安全的。
上一篇文章: 70-059TCP/IP 4.0试题回顾(15) 下一篇文章: 70-059TCP/IP 4.0试题回顾(14)(1)
相关文章: