Текст книги "Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270"

Для создания нового или изменения существующего шаблона безопасности Windows ХР Professional предоставляет специальную оснастку Шаблоны безопасности.

Чтобы запустить эту оснастку, выполните следующие действия:

1. Выполните команду mmc.

2. В меню Консоль открывшегося окна выберите команду Добавить или удалить оснастку.

3. В появившемся диалоговом окне нажмите кнопку Добавить, укажите оснастку Шаблоны безопасности и закройте все диалоговые окна.

Выбрав в иерархическом списке имеющийся шаблон безопасности, можно просматривать и изменять его параметры. Для создания нового шаблона безопасности следует щелкнуть правой кнопкой мыши по папке с шаблонами (по умолчанию отображается только стандартная папка %systemroot% securitytemplates, но можно указать новую папку с шаблонами, если требуется) и выбрать команду Создать шаблон. Все политики в новом шаблоне будут не определены, и потребуется явно установить все параметры.

С помощью оснастки Анализ и настройка безопасности можно выполнять проверку текущих параметров безопасности Windows ХР Professional на соответствие требованиям указанного уровня безопасности и находить уязвимые места.

Выполняемый анализ не изменяет каких бы то ни было настроек системы, а просто указывает различия между имеющимися настройками и настройками шаблона безопасности, используемого для сравнения.

Чтобы произвести анализ параметров безопасности, выполните следующую последовательность действий:

1. Выполните команду mmc.

2. В меню Консоль открывшегося окна выберите команду Добавить или удалить оснастку.

3. В появившемся диалоговом окне нажмите кнопку Добавить, укажите оснастку Анализ и настройка безопасности и закройте все диалоговые окна.

4. Щелкните правой кнопкой мыши по элементу Анализ и настройка безопасности и выберите команду Открыть базу данных.

5. Если база данных еще не существует, введите новое имя и нажмите Открыть.

6. Затем выберите шаблон безопасности, с которым будет производиться сравнение.

7. Щелкните правой кнопкой мыши по элементу Анализ и настройка безопасности и выберите команду Анализ компьютера.

8. В появившемся иерархическом списке или в файле журнала просмотрите результаты анализа. Чтобы открыть файл журнала, щелкните правой кнопкой мыши по элементу Анализ и настройка безопасности и выберите команду Показать файл журнала.

Если необходимо настроить компьютер в соответствии с выбранным шаблоном безопасности, щелкните правой кнопкой мыши по элементу Анализ и настройка безопасности и выберите команду Настроить компьютер.

Функции, предоставляемые оснасткой Анализ и настройка безопасности, могут быть также выполнены с помощью утилиты командной строки Secedit.exe.

Программа Secedit.exe, запускаемая из пакетного файла или с помощью планировщика заданий, может использоваться для автоматического создания и применения шаблонов, а также для анализа системы безопасности.

Secedit.exe можно также использовать в случаях, когда в сети имеется несколько компьютеров, на которых необходимо изучить и настроить систему безопасности в нерабочее время.

Эта утилита предоставляет следующие основные возможности:

□ Secedit /analyze – позволяет произвести анализ параметров безопасности;

□ Secedit /configure – служит для настройки безопасности системы с использованием сохраненного шаблона;

□ Secedit /export – экспортирует сохраненный шаблон из базы данных безопасности в файл шаблона безопасности;

□ seσedit /validate – служит для проверки синтаксиса шаблона безопасности при его импорте в базу данных или применении к системе.

Примечание

Используемая ранее команда secedit /refreshpolicy в Windows ХР Professional заменена командой gpupdate. Эта команда обновляет локальные параметры и параметры групповой политики Active Directory, включая параметры безопасности. Для подробного ознакомления с синтаксисом команд secedit и gpupdate следует обратиться к справочнику по командной строке, включенному в справочную систему Windows ХР Professional.

7.6. Вопросы для подготовки к экзамену

You are the desktop administrator for your company. Sheila, a user on your network, calls to report that files are being deleted from a shared folder on her Windows XP Professional computer. Sheila wants to find out who is deleting the files. What should you do?

A. Enable success auditing of privilege use.

B. Enable success auditing of object access.

C. Enable success auditing of system events.

D. Enable success auditing of directory service access.

Вы системный администратор компании. Шейла, пользователь вашей сети, сообщает, что кто-то удаляет файлы из общей папки на ее компьютере с Windows ХР Professional. Шейла хочет выяснить, кто их удаляет. Что вы должны предпринять?

A. Включить аудит успехов использования привилегий.

B. Включить аудит успехов доступа к объектам.

C. Включить аудит успехов системных событий.

D. Включить аудит успехов доступа к службе каталогов.

Правильный ответ: В.

В этой ситуации вы должны включить аудит доступа к объектам. Этот тип аудита позволяет отслеживать события доступа к файлу, папке, разделу реестра, принтеру и т. п. Кроме того, хотя это и не указано в вариантах ответа, вы должны включить аудит в двух местах: в настройках политики аудита и в свойствах папки, к которой предоставлен общий доступ, так как включение аудита только в групповой политике не инициирует отслеживание конкретных объектов. Правильный ответ В.

Использование аудита доступа к службе каталогов неверно, так как определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory. Этот тип аудита схож с аудитом доступа к объектам, с тем различием, что отслеживает доступ объектов в каталоге Active Directory, а не локальной файловой системы и реестра. Ответ D неправильный.

Использование аудита системных событий позволяет отслеживать события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Ответ С неправильный.

Включение аудита успехов использования привилегий позволит отслеживать каждую попытку пользователя воспользоваться предоставленным ему правом, например, правом на создание журнала безопасности или правом на архивирование файлов и каталогов. К удалению файлов из общей папки привилегии не имеют отношения. Ответ А неправильный.

You are the desktop administrator for your company. The company's network contains 500 Windows XP Professional computers. The information security department releases a new security template name NewSecinf. You import NewSecinf into a security database named NewSecsdb. You analyze the result, and you review the changes that the template makes. You examine the security policies that are defined in NewSecinf. You discover that the settings in the NewSecinf have not been implemented on your computer. You need to ensure that the settings in NewSecinf overwrite the settings in your computers local security policy. What are two possible ways to achieve this goal? (Each correct answer presents a complete solution. Choose two.)

A. Run the Secedit /configure /db C:NewSec.sdb command.

B. Run the Secedit /ref reshpolicy machine_policy command.

C. Copy the NewSecinf to the C:WindowsInf folder.

D. Copy the NewSecsdb to the C:WindowsSystem32MicrosoftProtect folder.

E. Use the Security Configuration and Analysis console to open NewSecsdb and then perform a Configure option.

F. Use the Security Configuration and Analysis console to export NewSecsdb to the Defltwkinf security template.

Вы системный администратор компании. Сеть компании включает 500 компьютеров под управлением Windows ХР Professional. Отдел информационной безопасности разрабатывает новый шаблон безопасности, названный NewSecinf. Вы импортируете этот шаблон в базу данных безопасности, названную NewSecsdb. Вы анализируете результат, чтобы выяснить, какие изменения происходят при использовании этого шаблона безопасности. Вы проверяете параметры безопасности, определенные в NewSecinf, и обнаруживаете, что эти настройки не применились к вашему компьютеру. Вы должны сделать так, чтобы параметры, представленные в шаблоне NewSecinf, перекрывали параметры безопасности, определенные в локальной политике вашего компьютера. Какими двумя способами можно этого добиться? (Выберите два. Каждый ответ является законченным решением.)

A. Выполнить команду Secedit /configure /db C:NewSec.sdb.

B. Выполнить команду Secedit /refreshpolicy machine_policy.

C. Скопировать файл NewSecinf в папку C:WindowsInf.

D. Скопировать файл NewSecsdb в папку C:WindowsSystem32MicrosoftProtect.

E. С помощью оснастки Анализ и настройка безопасности открыть NewSecsdb и выполнить команду Настроить.

F. С помощью оснастки Анализ и настройка безопасности выполнить экспорт NewSecsdb в шаблон безопасности Defltwkinf.

Правильные ответы: А, Е.

В описанной ситуации новый шаблон безопасности был только проанализирован. Чтобы применить этот шаблон безопасности, можно воспользоваться как оснасткой Анализ и настройка безопасности, так и утилитой secedit. Если использовать оснастку, нужно открыть нужную базу данных безопасности и воспользоваться командой Настроить, как предлагается в варианте Е.

Если использовать утилиту secedit, нужно выполнить ее с ключом /configure; этот ключ служит для настройки безопасности системы с использованием сохраненной базы данных. Этот вариант действий предлагается в ответе А.

Вариант В предлагает воспользоваться неиспользуемой больше командой secedit /refreshpolicy. Варианты С и D предлагают решить проблему простым копированием файлов в определенные папки. Такое решение не является правильным. Экспорт базы данных безопасности в шаблон безопасности не изменит настроек системы. Вариант F неправильный.

You are the desktop administrator for your company. The company has an Active Directory domain that includes 15 Microsoft Windows NT Workstation 4.0 computers and 20 new Windows XP Professional computers. Domain users of Windows NT Workstation 4.0 computers can run an older application on their computers. However, domain users of Windows XP Professional computers cannot run the same legacy application on their computers. You need to enable all users of Windows XP Professional computers to run this application. Your solution must not give the users administrative control of their computers. You create an Organizational unit name Pro and a Group Policy Object name Legacy. How should you reconfigure the Windows XP Professional computers?

A. Add the domain user accounts to the Pro OU. Import the Basicwkinf security template to the Legacy GPO.

B. Add the domain user accounts to the Pro OU. Import the Compatwsinf security template to the Legacy GPO.

C. Add the computer accounts to the Pro OU. Import the Basicwkinf security template to the Legacy GPO.

D. Add the computer accounts to the Pro OU. Import the Compatwsinf security template to the Legacy GPO.

Вы системный администратор компании. Компания имеет домен Active Directory, в который входят 15 компьютеров, работающих под управлением Windows NT Workstation 4.0 и 20 новых компьютеров с Windows XP Professional. Пользователи домена, работающие на компьютерах с Windows NT Workstation 4.0, могут запускать старые приложения, а пользователи Windows ХР Professional запускать эти устаревшие приложения не могут. Бы должны предоставить всем пользователям Windows ХР Professional возможность работать с устаревшими приложениями. Ваше решение не должно предоставлять пользователям администраторских полномочий. Вы создаете подразделение, названное Pro, и объект групповой политики, названный Legacy. Как вы должны настроить компьютеры с Windows ХР Professional?

A. Добавить учетные записи пользователей домена в подразделение Pro. Импортировать шаблон безопасности Basicwkinf в объект групповой политики Legacy.

B. Добавить учетные записи пользователей домена в подразделение Pro. Импортировать шаблон безопасности Compatwsinf в объект групповой политики Legacy.

C. Добавить учетные записи компьютеров в подразделение Pro. Импортировать шаблон безопасности Basicwkinf в объект групповой политики Legacy.

D. Добавить учетные записи компьютеров в подразделение Pro. Импортировать шаблон безопасности Compatwsinf в объект групповой политики Legacy.

Правильный ответ: D.

Шаблон безопасности Basicwkinf используется для установки настроек безопасности по умолчанию в Windows 2000 Professional. В Windows ХР Professional этот шаблон безопасности не используется вообще. Отбрасываем ответы А и С. Для обеспечения работы с устаревшими приложениями членам группы Пользователи в Windows ХР Professional служит шаблон безопасности Compatwsinf. Чтобы позволить использовать на компьютерах с Windows ХР Professional устаревшие приложения, нужно объединить учетные записи этих компьютеров в отдельную организационную единицу и назначить ей шаблон безопасности Совместимый (Compatwsinf). Правильный ответ D.

You are the administrator of your company's network, which includes an Active Directory domain. Your company hires Eric to help deploy Windows XP Professional to 200 new computers. You create a new domain user account for Eric and add it to the Domain Users group. Eric is able to perform the Windows XP Professional installation on the new computers, but he is unable to add the computers to the Active Directory domain. He verifies that the computers are connected to the network and that they are receiving IP configuration information from your company's DHCP server. You need to ensure that Eric can add the new computers to the Active Directory domain. You also need to ensure that Eric does not have any unnecessary security privileges on the network. What should you do?

A. Add Eric's domain use account to the Server Operators domain user group.

B. Use the Delegation of Control Wizard to grant Eric's domain user account the right to create new objects in the Computers container.

C. On a domain controller, use the Local Computer Policy MMC to add Eric's domain user account to the add workstations to domain user right policy.

D. Install the Active Directory Users and Computers MMC on Eric's Windows XP Professional computer. Add Eric's domain user account to the Domain Administrators domain user group.

Вы администрируете сеть вашей компании, которая включает домен Active Directory. Ваша компания приглашает на работу Эрика, чтобы он помог в развертывании Windows XP Professional на двухстах новых компьютерах. Вы создаете для Эрика новую учетную запись пользователя домена и добавляете ее в группу Пользователи домена. Эрик может выполнить установку Windows XP Professional на новые компьютеры, но он не может присоединить компьютер к домену Active Directory. Все компьютеры подключены к сети вашей компании и получают настройки IP от DHCP-сервера вашей компании. Вы должны обеспечить Эрику возможность добавлять новые компьютеры в домен. При этом Эрик не должен иметь каких-либо лишних привилегий безопасности в вашей сети. Что вы должны сделать?

A. Добавить учетную запись Эрика в группу домена Операторы сервера.

B. Использовать Мастер делегирования управления, чтобы предоставить учетной записи Эрика право создавать новые объекты в контейнере Компьютеры.

C. С помощью оснастки Политика «Локальный компьютер» на контроллере домена предоставить Эрику право добавлять рабочие станции в домен.

D. Установить консоль ММС Пользователи и компьютеры Active Directory на

компьютер с Windows XP Professional, с которым работает Эрик. Добавить учетную запись Эрика в группу Администраторы домена.

Правильный ответ: В.

Добавлять Эрика в группу Операторы сервера или, тем более, в группу Администраторы домена вовсе не требуется. Во-первых, в задании явно сказано, что Эрик не должен иметь никаких лишних привилегий, а во-вторых, даже если бы это не было сказано в задании, все равно предоставлять лишние права не следует. Ответы А и D неправильные. Если с помощью локальной политики на контроллере домена предоставить Эрику право добавлять рабочие станции в домен, эта политика, скорее всего, будет перекрыта политикой домена по умолчанию. К тому же контроллером домена не может быть компьютер под управлением Windows ХР Professional, а так как экзамен все-таки по этой операционной системе, то почему мы должны рассматривать другие операционные системы? А вот разбираться в принципах действия групповой политики все-таки нужно. И нужно знать, что можно делегировать полномочия, в том числе и право создавать новые объекты, представляющие компьютеры. Правильный ответ В.

You are the desktop administrator for your company's sales department. The IT manager for the sales department creates a custom policy that will apply to a custom application that is loaded on the departmenfs Windows XP Professional computers. He deploys this policy by using Group Policy. When you inspect the sales departmenfs computers, you find out that the application has not been modified by the policy. You want to examine Windows XP Professional to find out whether the custom policy is affecting the correct location in the Registry. Which command should you run?

A. Msinfo32.exe

B. Gpresult.exe

C. Gpedit.msc

D. Rsop.msc

Вы системный администратор отдела продаж вашей компании. Начальник информационного отдела создает новую политику, которая будет применяться к определенному приложению, которое загружается на компьютерах с Windows XP Professional в отделе продаж. Эта политика применяется с помощью групповой политики. Когда вы проверяете компьютеры отдела продаж, оказывается, что эта политика не влияет на нужное приложение. Вы хотите выяснить, задействует ли применяемая политика необходимые ключи реестра на компьютерах с Windows XP Professional. Какой командой вы должны воспользоваться?

A. Msinfo32.exe

B. Gpresult.exe

C. Gpedit.msc

D. Rsop.msc

Правильный ответ: В.

Чтобы выяснить, какие ключи реестра задействованы групповой политикой, следует воспользоваться командой Gpresult.exe. Правильный ответ B.

Команда Msinfo32.exe запускает утилиту Сведения о системе, которая никак не может помочь в работе с групповой политикой. Ответ А неверен. Использование оснастки Групповая политика, которая запускается командой Gpedit.exe, не поможет выяснить задействованные ключи реестра, как и использование оснастки Результирующая политика (RSoP.msc). Ответы С и D неправильные.

You are the desktop administrator for your company. You want to issue a command on your Windows XP Professional machine to monitor a remote Windows XP Professional workstation and run the execute.bat file in your C:bin directory whenever an event with event ID 4133 occurs with an error in the remote machine's System event log. The remote XP system's name is Ridcully, and it's a member of the same domain as your Windows XP Professional system. Your account has Domain Administrator access. Which of the following commands should you run?

A. trigger /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

B. logscan /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

C. logfind /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

D. eventtriggers /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

Вопрос 6

Вы системный администратор компании. Вы хотите с вашего компьютера, работающего под управлением Windows XP Professional, наблюдать за удаленной рабочей станцией, тоже работающей под управлением Windows XP Professional. Вы хотите составить команду, которая запускала бы файл execute.bat, находящийся в папке C:bin вашего компьютера, каждый раз, когда на удаленном компьютере происходит событие, имеющее ID 4133. Удаленный компьютер состоит в том же домене, что и ваша система. Имя удаленного компьютера – Ridcully. Ваша учетная запись входит в группу Администраторы домена. Какую из перечисленных команд вы должны выполнить?

A. trigger /create /s ridcully /tr «execute» /eid 4133 /1 system / t error /tk c:binexecute.bat

B. logscan /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

C. logfind /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

D. eventtriggers /create /s ridcully /tr «execute» /eid 4133 /1 system /t error /tk c:binexecute.bat

Правильный ответ: D.

He вдаваясь в подробности синтаксиса каждой команды, можно сразу найти правильный ответ, так как из предлагаемых команд (trigger, logscan, logfing и eventtriggers) действительной является только одна – eventtriggers. Все остальные команды просто не существуют. Правильный ответ D.