奚瑞的博客

域内计算机策略应用顺序

41949147@qq.com(admin) — Wed,25 Aug 2010 21:01:15 +0800

组策略在应用的时候，系统应用顺序应该是：本机策略－站点策略－域策略－ou策略（dc策略），后执行的策略在冲突的情况下，覆盖前面的策略。也就是说，优先级是ou策略最高。因为dc默认在“domain cortroler”ou里面，所以也是后执行的。
参考：mcse2000英文教材2152a modula9 第四页：
“Important: Group Policy settings are applied in the following order:local settings are applied first,followed by site,domain,and then OU settings.”
或者中文教材2152a 第311页
组策略处理和优先级应用于用户（或计算机）的组策略对象 (GPO) 并不是全都具有相同的优先级。后面应用的设置可以覆盖先前应用的设置。

处理设置的顺序
本节提供有关处理用户和计算机组策略设置的顺序的详细信息。有关策略设置处理如何适合计算机启动和用户登录框架的信息，请参阅本主题中启动和登录中的第 3 步和第 8 步。

组策略设置按下列顺序处理：

本地组策略对象 - 每台计算机都只有一个在本地存储的组策略对象。它可用于计算机和用户的组策略处理。
站点 - 然后处理已链接到计算机所属站点的任何 GPO。处理顺序是由管理员在组策略管理控制台 (GPMC) 中站点的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的，因此具有最高的优先级。
域 - 多个链接到域上的 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的，因此具有最高的优先级。
部门 - 最先处理链接到 Active Directory 层次结构中最高层部门的 GPO，然后处理链接到其子部门的 GPO，依此类推。最后处理的是链接到包含该用户或计算机的部门的 GPO。
在 Active Directory 层次结构的每个部门级别中，可以链接一个、多个或不链接 GPO。如果几个 GPO 链接到一个部门上，则它们的处理顺序是由管理员在 GPMC 中该部门的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的，因此具有最高的优先级。

此顺序意味着，先处理本地 GPO，最后处理链接到计算机或用户直接所属的部门的 GPO；如果最后的 GPO 设置与先前的 GPO 设置有冲突，则它覆盖先前 GPO 中的设置。（如果没有冲突，则合并先前和后面的设置即可。）

信息安全教程考试复习题

41949147@qq.com(admin) — Wed,18 Aug 2010 19:12:48 +0800

1	根据IS0 13335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
A 正确 B 错误
2	信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
A 正确 B 错误
3	只要投资充足，技术措施完备，就能够保证百分之百的信息安全。
A 正确 B 错误
4	我国在2006年提出的《2006～2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
A 正确 B 错误
5	2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
A 正确 B 错误
6	在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。
A 正确 B 错误
7	安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。
A 正确 B 错误
8	Windows 2000／xp系统提供了口令安全策略，以对帐户口令安全进行保护。
A 正确 B 错误
9	信息安全等同于网络安全。
A 正确 B 错误
10	GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠定了基础。
A 正确 B 错误
11	口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。
A 正确 B 错误
12	PKI系统所有的安全操作都是通过数字证书来实现的。
A 正确 B 错误
13	PKI系统使用了非对称算法、对称算法和散列算法。
A 正确 B 错误
14	一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。
A 正确 B 错误
15	信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。
A 正确 B 错误
16	实现信息安全的途径要借助两方面的控制措施：技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。
A 正确 B 错误
17	按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。
A 正确 B 错误
18	虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。
A 正确 B 错误
19	一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。
A 正确 B 错误
20	定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。
A 正确 B 错误
21	网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。
A 正确 B 错误
22	网络边统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。
A 正确 B 错误
23	防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。
A 正确 B 错误
24	我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。
A 正确 B 错误
25	信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。
A 正确 B 错误
26	美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。
A 正确 B 错误
27	防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。
A 正确 B 错误
28	通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。
A 正确 B 错误
29	脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。
A 正确 B 错误
30	下列关于信息的说法 ____是错误的。
A 信息是人类社会发展的重要支柱 B 信息本身是无形的 C 信息具有价值，需要保护 D 信息可以以独立形态存在
31	信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。
A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保障阶段
32	信息安全在通信保密阶段对信息安全的关注局限在____安全属性。
A 不可否认性 B 可用性 C 保密性 D 完整性
33	信息安全在通信保密阶段中主要应用于____领域。
A 军事 B 商业 C 科研 D 教育
34	信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
35	安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。
A 策略、保护、响应、恢复 B 加密、认证、保护、检测 C 策略、网络攻防、密码学、备份 D 保护、检测、响应、恢复
36	下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。
A 杀毒软件 B 数字证书认证 C 防火墙 D 数据库加密
37	根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之一。
A 真实性 B 可用性 C 可审计性 D 可靠性
38	为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的____属性。
A 保密性 B 完整性 C 可靠性 D 可用性
39	定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的____属性。
A 真实性 B 完整性 C 不可否认性 D 可用性
40	数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
41	网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
42	PDR安全模型属于____类型。
A 时间模型 B 作用模型 C 结构模型 D 关系模型
43	《信息安全国家学说》是____的信息安全基本纲领性文件。
A 法国 B 美国 C 俄罗斯 D 英国
44	下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A 窃取国家秘密 B 非法侵入计算机信息系统 C 破坏计算机信息系统 D 利用计算机实施金融诈骗
45	我国刑法____规定了非法侵入计算机信息系统罪。
A 第284条 B 第285条 C 第286条 D 第287条
46	信息安全领域内最关键和最薄弱的环节是____。
A 技术 B 策略 C 管理制度 D 人
47	信息安全管理领域权威的标准是____。
A ISO 15408 B ISO 17799／IS0 27001 C IS0 9001 D ISO 14001
48	IS0 17799／IS0 27001最初是由____提出的国家标准。
A 美国 B 澳大利亚 C 英国 D 中国
49	IS0 17799的内容结构按照____进行组织。
A 管理原则 B 管理框架 C 管理域一控制目标一控制措施 D 管理制度
50	____对于信息安全管理负有责任。
A 高级管理层 B 安全管理员 C IT管理员 D 所有与信息系统有关人员
51	对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是____。

52	《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。
A 国务院令 B 全国人民代表大会令 C 公安部令 D 国家安全部令
53	《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
A 人民法院 B 公安机关 C 工商行政管理部门 D 国家安全部门
54	计算机病毒最本质的特性是____。
A 寄生性 B 潜伏性 C 破坏性 D 攻击性
55	____安全策略是得到大部分需求的支持并同时能够保护企业的利益。
A 有效的 B 合法的 C 实际的 D 成熟的
56	在PDR安全模型中最核心的组件是____。
A 策略 B 保护措施 C 检测措施 D 响应措施
57	制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的____。
A 恢复预算是多少 B 恢复时间是多长 C 恢复人员有几个 D 恢复设备有多少
58	在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为____。
A 可接受使用策略AUP B 安全方针 C 适用性声明 D 操作规范
59	防止静态信息被非授权访问和防止动态信息被截取解密是____。
A 数据完整性 B 数据可用性 C 数据可靠性 D 数据保密性
60	用户身份鉴别是通过____完成的。
A 口令验证 B 审计策略 C 存取控制 D 查询功能
61	故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以____。
A 3年以下有期徒刑或拘役 B 警告或者处以5000元以下的罚款 C 5年以上7年以下有期徒刑 D 警告或者15000元以下的罚款
62	网络数据备份的实现主要需要考虑的问题不包括____。
A 架设高速局域网 B 分析应用环境 C 选择备份硬件设备 D 选择备份管理软件
63	《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在____向当地县级以上人民政府公安机关报告。
A 8小时内 B 12小时内 C 24小时内 D 48小时内
64	公安部网络违法案件举报网站的网址是____。
A www.netpolice.cn B www.gongan.cn C http://www.cyberpolice.cn D www.110.cn
65	对于违反信息安全法律、法规行为的行政处罚中，____是较轻的处罚方式。
A 警告 B 罚款 C 没收违法所得 D 吊销许可证
66	对于违法行为的罚款处罚，属于行政处罚中的____。
A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
67	对于违法行为的通报批评处罚，属于行政处罚中的____。
A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
68	1994年2月国务院发布的《计算机信息系统安全保护条例》赋予____对计算机信息系统的安全保护工作行使监督管理职权。
A 信息产业部 B 全国人大 C 公安机关 D 国家工商总局
69	《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起____日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A 7 B 10 C 15 D 30
70	互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存____天记录备份的功能。
A 10 B 30 C 60 D 90
71	对网络层数据包进行过滤和控制的信息安全技术机制是____。
A 防火墙 B IDS C Sniffer D IPSec
72	下列不属于防火墙核心技术的是____。
A (静态／动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计
73	应用代理防火墙的主要优点是____。
A 加密强度更高 B 安全控制更细化、更灵活 C 安全服务的透明性更好 D 服务对象更广泛
74	安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于____控制措施。
A 管理 B 检测 C 响应 D 运行
75	安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为，属于____控制措施。
A 管理 B 检测 C 响应 D 运行
76	下列选项中不属于人员安全管理措施的是____。
A 行为监控 B 安全培训 C 人员离岗 D 背景／技能审查
77	《计算机病毒防治管理办法》规定，____主管全国的计算机病毒防治管理工作。
A 信息产业部 B 国家病毒防范管理中心 C 公安部公共信息网络安全监察 D 国务院信息化建设领导小组
78	计算机病毒的实时监控属于____类的技术措施。
A 保护 B 检测 C 响应 D 恢复
79	针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。
A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络入侵检测系统
80	下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。
A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络入侵检测系统
81	下列不属于网络蠕虫病毒的是____。
A 冲击波 B SQLSLAMMER C CIH D 振荡波
82	传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。
A 网络带宽 B 数据包 C 防火墙 D LINUX
83	不是计算机病毒所具有的特点____。
A 传染性 B 破坏性 C 潜伏性 D 可预见性
84	关于灾难恢复计划错误的说法是____。
A 应考虑各种意外情况 B 制定详细的应对处理办法 C 建立框架性指导原则，不必关注于细节 D 正式发布前，要进行讨论和评审
85	对于远程访问型VPN来说，____产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。
A IPSec VPN B SSL VPN C MPLS VPN D L2TP VPN
86	1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859—1999，提出将信息系统的安全等级划分为____个等级，并提出每个级别的安全功能要求。
A 7 B 8 C 6 D 5
87	等级保护标准GB l7859主要是参考了____而提出。
A 欧洲ITSEC B 美国TCSEC C CC D BS 7799
88	我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。
A GB 17799 B GB 15408 C GB 17859 D GB 14430
89	信息安全等级保护的5个级别中，____是最高级别，属于关系到国计民生的最关键信息系统的保护。
A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级
90	《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。
A 安全定级 B 安全评估 C 安全规划 D 安全实施
91	____是进行等级确定和等级保护管理的最终对象。
A 业务系统 B 功能模块 C 信息系统 D 网络系统
92	当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由____所确定。
A 业务子系统的安全等级平均值 B 业务子系统的最高安全等级 C 业务子系统的最低安全等级 D 以上说法都错误
93	下列关于风险的说法，____是错误的。
A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威胁 C 导致风险的外因是普遍存在的安全脆弱性 D 风险是指一种可能性
94	下列关于风险的说法，____是正确的。
A 可以采取适当措施，完全清除风险 B 任何措施都无法完全清除风险 C 风险是对安全事件的确定描述 D 风险是固有的，无法被控制
95	风险管理的首要任务是____。
A 风险识别和评估 B 风险转嫁 C 风险控制 D 接受风险
96	关于资产价值的评估，____说法是正确的。
A 资产的价值指采购费用 B 资产的价值无法估计 C 资产价值的定量评估要比定性评估简单容易 D 资产的价值与其重要性密切相关
97	采取适当的安全控制措施，可以对风险起到____作用。
A 促进 B 增加 C 减缓 D 清除
98	当采取了安全控制措施后，剩余风险____可接受风险的时候，说明风险管理是有效的。
A 等于 B 大于 C 小于 D 不等于
99	安全威胁是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素
100	安全脆弱性是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素

101	下列关于用户口令说法错误的是____。
A 口令不能设置为空 B 口令长度越长，安全性越高 C 复杂口令安全性足够高，不需要定期修改 D 口令认证是最常见的认证机制
102	在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列____具有最好的口令复杂度。
A morrison B Wm.$*F2m5@ C 27776394 D wangjingl977
103	按照通常的口令使用策略，口令修改操作的周期应为____天。
A 60 B 90 C 30 D 120
104	对口令进行安全性管理和使用，最终是为了____。
A 口令不被攻击者非法获得 B 防止攻击者非法获得访问和操作权限 C 保证用户帐户的安全性 D 规范用户操作行为
105	人们设计了____，以改善口令认证自身安全性不足的问题。
A 统一身份管理 B 指纹认证 C 数字证书认证 D 动态口令认证机制
106	PKI是____。
A Private Key lnfrastructure B Public Key lnstitute C Public Key lnfrastructure D Private Key lnstitute
107	公钥密码基础设施PKI解决了信息系统中的____问题。
A 身份信任 B 权限管理 C 安全审计 D 加密
108	PKI所管理的基本元素是____。
A 密钥 B 用户身份 C 数字证书 D 数字签名
109	最终提交给普通终端用户，并且要求其签署和遵守的安全策略是____。
A 口令策略 B 保密协议 C 可接受使用策略 D 责任追究制度
110	下列关于信息安全策略维护的说法，____是错误的。
A 安全策略的维护应当由专门的部门完成 B 安全策略制定完成并发布之后，不需要再对其进行修改 C 应当定期对安全策略进行审查和修订 D 维护工作应当周期性进行
111	链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行加密保护，其处理的对象是____。
A 比特流 B IP数据包 C 数据帧 D 应用数据
112	防火墙最主要被部署在____位置。
A 网络边界 B 骨干线路 C 重要服务器 D 桌面终端
113	下列关于防火墙的错误说法是____。
A 防火墙工作在网络层 B 对IP数据包进行分析和过滤 C 重要的边界保护机制 D 部署防火墙，就解决了网络安全问题
114	IPSec协议工作在____层次。
A 数据链路层 B 网络层 C 应用层 D 传输层
115	IPSec协议中涉及到密钥管理的重要协议是____。
A IKE B AH C ESP D SSL
116	信息安全管理中，____负责保证安全管理策略与制度符合更高层法律、法规的要求，不发生矛盾和冲突。
A 组织管理 B 合规性管理 C 人员管理 D 制度管理
117	下列____机制不属于应用层安全。
A 数字签名 B 应用代理 C 主机入侵检测 D 应用审计
118	保证用户和进程完成自己的工作而又没有从事其他操作可能，这样能够使失误出错或蓄意袭击造成的危害降低，这通常被称为____。
A 适度安全原则 B 授权最小化原则 C 分权原则 D 木桶原则
119	入侵检测技术可以分为误用检测和____两大类。
A 病毒检测 B 详细检测 C 异常检测 D 漏洞检测
120	安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于____措施。
A 保护 B 检测 C 响应 D 恢复
121	____不属于必需的灾前预防性措施。
A 防火设施 B 数据备份 C 配置冗余设备 D 不间断电源，至少应给服务器等关键设备配备
122	对于人员管理的描述错误的是____。
A 人员管理是安全管理的重要环节 B 安全授权不是人员管理的手段 C 安全教育是人员管理的有力手段 D 人员管理时，安全审查是必须的
123	根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行____。
A 逻辑隔离 B 物理隔离 C 安装防火墙 D VLAN划分
124	安全评估技术采用____这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
A 安全扫描器 B 安全扫描仪 C 自动扫描器 D 自动扫描仪
125	____最好地描述了数字证书。
A 等同于在网络上证明个人和公司身份的身份证 B 浏览器的一标准特性，它使得黑客不能得知用户的身份 C 网站要求用户使用用户名和密码登陆的安全机制 D 伴随在线交易证明购买的收据
126	根据BS 7799的规定，建立的信息安全管理体系ISMS的最重要特征是____。
A 全面性 B 文档化 C 先进性 D 制度化
127	根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS7799中与此有关的一个重要方面就是____。
A 访问控制 B 业务连续性 C 信息系统获取、开发与维护 D 组织与人员
128	如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的____。
A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
129	如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于____。
A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
130	如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的____。
B 监督保护级 C 指导保护级 D 自主保护级 A 强制保护级
131	如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的____。
A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
132	如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的____。
A 专控保护级 B 监督保护级 C 指导保护级 D 自主保护级
133	GB l7859借鉴了TCSEC标准，这个TCSEC是____国家标准。
A 英国 B 意大利 C 美国 D 俄罗斯
134	关于口令认证机制，下列说法正确的是____。
A 实现代价最低，安全性最高 B 实现代价最低，安全性最低 C 实现代价最高，安全性最高 D 实现代价最高，安全性最低
135	根据BS 7799的规定，访问控制机制在信息安全保障体系中属于____环节。
A 保护 B 检测 C 响应 D 恢复
136	身份认证的含义是____。
A 注册一个用户 B 标识一个用户 C 验证一个用户 D 授权一个用户
137	口令机制通常用于____ 。
A 认证 B 标识 C 注册 D 授权
138	对日志数据进行审计检查，属于____类控制措施。
A 预防 B 检测 C 威慑 D 修正
139	《信息系统安全等级保护测评准则》将测评分为安全控制测评和____测评两方面。
A 系统整体 B 人员 C 组织 D 网络
140	根据风险管理的看法，资产____价值，____脆弱性，被安全威胁____，____风险。
A 存在利用导致具有 B 具有存在利用导致 C 导致存在具有利用 D 利用导致存在具有
141	根据定量风险评估的方法，下列表达式正确的是____。
A SLE=AV x EF B ALE=AV x EF C ALE=SLE x EF D ALE=SLE x AV
142	防火墙能够____。
A 防范恶意的知情者 B 防范通过它的恶意连接 C 防备新的网络安全问题 D 完全防止传送已被病毒感染的软件和文件
143	下列四项中不属于计算机病毒特征的是____。
A 潜伏性 B 传染性 C 免疫性 D 破坏性
144	关于入侵检测技术，下列描述错误的是____。
A 入侵检测系统不对系统或网络造成任何影响 B 审计数据或系统日志信息是入侵检测系统的一项主要信息来源 C 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵 D 基于网络的入侵检测系统无法检查加密的数据流
145	安全扫描可以____。
A 弥补由于认证机制薄弱带来的问题 B 弥补由于协议本身而产生的问题 C 弥补防火墙对内网安全威胁检测不足的问题 D 扫描检测所有的数据包攻击，分析所有的数据流
146	下述关于安全扫描和安全扫描系统的描述错误的是____。
A 安全扫描在企业部署安全策略中处于非常重要的地位 B 安全扫描系统可用于管理和维护信息安全设备的安全 C 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性 D 安全扫描系统是把双刃剑
147	关于安全审计目的描述错误的是____。
A 识别和分析未经授权的动作或攻击 B 记录用户活动和系统管理 C 将动作归结到为其负责的实体 D 实现对安全事件的应急响应
148	安全审计跟踪是____。
A 安全审计系统检测并追踪安全事件的过程 B 安全审计系统收集易于安全审计的数据 C 人利用日志信息进行安全事件分析和追溯的过程 D 对计算机系统中的某种行为的详尽跟踪和观察
149	根据《计算机信息系统国际联网保密管理规定》的规定，凡向国际联网的站点提供或发布信息，必须经过____。
A 内容过滤处理 B 单位领导同意 C 备案制度 D 保密审查批准
150	根据《计算机信息系统国际联网保密管理规定》的规定，上网信息的保密管理坚持____的原则。
A 国家公安部门负责 B 国家保密部门负责 C “谁上网谁负责” D 用户自觉

151	根据《计算机信息系统国际联网保密管理规定》的规定，保密审批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批____。
A 领导责任制 B 专人负责制 C 民主集中制 D 职能部门监管责任制
152	网络信息未经授权不能进行改变的特性是____。
A 完整性 B 可用性 C 可靠性 D 保密性
153	确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是____。
A 完整性 B 可用性 C 可靠性 D 保密性
154	确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源的特性是____。
A 完整性 B 可用性 C 可靠性 D 保密性
155	____国务院发布《计算机信息系统安全保护条例》。
A 1990年2月18日 B 1994年2月18日 C 2000年2月18日 D 2004年2月18日
156	在目前的信息网络中，____病毒是最主要的病毒类型。
A 引导型 B 文件型 C 网络蠕虫 D 木马型
157	在ISO／IEC 17799中，防止恶意软件的目的就是为了保护软件和信息的____。
A 安全性 B 完整性 C 稳定性 D 有效性
158	在生成系统帐号时，系统管理员应该分配给合法用户一个____，用户在第一次登录时应更改口令。
A 唯一的口令 B 登录的位置 C 使用的说明 D 系统的规则
159	关于防火墙和VPN的使用，下面说法不正确的是____。
A 配置VPN网关防火墙的一种方法是把它们并行放置，两者独立 B 配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在广域网一侧，VPN在局域网一侧 C 配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在局域网一侧，VPN在广域网一侧 D 配置VPN网关防火墙的一种方法是把它们并行放置，两者要互相依赖
160	环境安全策略应该____。
A 详细而具体 B 复杂而专业 C 深入而清晰 D 简单而全面
161	《计算机信息系统安全保护条例》规定，计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的____的安全。
A 计算机 B 计算机软件系统 C 计算机信息系统 D 计算机操作人员
162	《计算机信息系统安全保护条例》规定，国家对计算机信息系统安全专用产品的销售实行____。
A 许可证制度 B 3C认证 C IS09000认证 D 专卖制度
163	《互联网上网服务营业场所管理条例》规定，互联网上网服务营业场所经营单位____。
A 可以接纳未成年人进入营业场所 B 可以在成年人陪同下，接纳未成年人进入营业场所 C 不得接纳未成年人进入营业场所 D 可以在白天接纳未成年人进入营业场所
164	____是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私有性。
A SET B DDN C VPN D PKIX
165	《计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向____。
A 国家安全机关申报 B 海关申报 C 国家质量检验监督局申报 D 公安机关申报
166	《计算机信息系统安全保护条例》规定，故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以____的罚款、对单位处以____的罚款。
A 5000元以下 15000元以下 B 5000元 15000元 C 2000元以下 10000元以下 D 2000元 10000元
167	计算机犯罪，是指行为人通过____所实施的危害____安全以及其他严重危害社会的并应当处以刑罚的行为。
A 计算机操作计算机信息系统 B 数据库操作计算机信息系统 C 计算机操作应用信息系统 D 数据库操作管理信息系统
168	策略应该清晰，无须借助过多的特殊一通用需求文档描述，并且还要有具体的____。
A 管理支持 C 实施计划 D 补充内容 B 技术细节
169	系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速____。
A 恢复整个系统 B 恢复所有数据 C 恢复全部程序 D 恢复网络设置
170	在一个企业网中，防火墙应该是____的一部分，构建防火墙时首先要考虑其保护的范围。
A 安全技术 B 安全设置 C 局部安全策略 D 全局安全策略
171	信息安全策略的制定和维护中，最重要是要保证其____和相对稳定性。
A 明确性 B 细致性 C 标准性 D 开放性
172	____是企业信息安全的核心。
A 安全教育 B 安全措施 C 安全管理 D 安全设施
173	编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码是____。
A 计算机病毒 B 计算机系统 C 计算机游戏 D 计算机程序
174	许多与PKI相关的协议标准(如PKIX、S／MIME、SSL、TLS、IPSec)等都是在____基础上发展起来的。
A X.500 B X.509 C X.519 D X.505
175	____是PKI体系中最基本的元素，PKI系统所有的安全操作都是通过该机制采实现的。
A SSL B IARA C RA D 数字证书
176	基于密码技术的访问控制是防止____的主要防护手段。
A 数据传输泄密 B 数据传输丢失 C 数据交换失败 D 数据备份失败
177	避免对系统非法访问的主要方法是____。
A 加强管理 B 身份认证 C 访问控制 D 访问分配权限
178	对保护数据来说，功能完善、使用灵活的____必不可少。
A 系统软件 B 备份软件 C 数据库软件 D 网络软件
179	信息安全PDR模型中，如果满足____，说明系统是安全的。
A Pt>Dt+Rt B Dt>Pt+Rt C Dt< font> D Pt < font>
180	在一个信息安全保障体系中，最重要的核心组成部分为____。
A 技术体系 B 安全策略 C 管理体系 D 教育与培训
181	国家信息化领导小组在《关于加强信息安全保障工作的意见》中，针对下一时期的信息安全保障工作提出了____项要求。
A 7 B 6 C 9 D 10
182	《确保网络空间安全的国家战略》是____发布的国家战略。
A 英国 B 法国 C 德国 D 美国
183	《计算机信息系统安全保护条例》规定，____主管全国计算机信息系统安全保护工作。
A 公安部 B 国务院信息办 C 信息产业部 D 国务院
184	下列____不属于物理安全控制措施。
A 门锁 B 警卫 C 口令 D 围墙
185	灾难恢复计划或者业务连续性计划关注的是信息资产的____属性。
A 可用性 B 真实性 C 完整性 D 保密性
186	VPN是____的简称。
A Visual Private Network B Virtual Private NetWork C Virtual Public Network D Visual Public Network
187	部署VPN产品，不能实现对____属性的需求。
A 完整性 B 真实性 C 可用性 D 保密性
188	____是最常用的公钥密码算法。
A RSA B DSA C 椭圆曲线 D 量子密码
189	PKI的主要理论基础是____。
A 对称密码算法 B 公钥密码算法 C 量子密码 D 摘要算法
190	PKI中进行数字证书管理的核心组成模块是____ 。
A 注册中心RA B 证书中心CA C 目录服务器 D 证书作废列表
191	信息安全中的木桶原理，是指____。
A 整体安全水平由安全级别最低的部分所决定 B 整体安全水平由安全级别最高的部分所决定 C 整体安全水平由各组成部分的安全级别平均值所决定 D 以上都不对
192	关于信息安全的说法错误的是____。
A 包括技术和管理两个主要方面 B 策略是信息安全的基础 C 采取充分措施，可以实现绝对安全 D 保密性、完整性和可用性是信息安全的目标
193	PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表____、D代表____、R代表____。
A 保护检测响应 B 策略检测响应 C 策略检测恢复 D 保护检测恢复
194	《计算机信息系统安全保护条例》规定，任何组织或者个人违反条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担____。
A 刑事责任 B 民事责任 C 违约责任 D 其他责任
195	在信息安全管理中进行____，可以有效解决人员安全意识薄弱问题。
A 内容监控 B 责任追查和惩处 C 安全教育和培训 D 访问控制
196	关于信息安全，下列说法中正确的是____。
A 信息安全等同于网络安全 B 信息安全由技术措施实现 C 信息安全应当技术与管理并重 D 管理措施在信息安全中不重要
197	在PPDRR安全模型中，____是属于安全事件发生后的补救措施。
A 保护 B 恢复 C 响应 D 检测
198	根据权限管理的原则，—个计算机操作员不应当具备访问____的权限。
A 操作指南文档 B 计算机控制台 C 应用程序源代码 D 安全指南
199	要实现有效的计算机和网络病毒防治，____应承担责任。
A 高级管理层 B 部门经理 C 系统管理员 D 所有计算机用户
200	统计数据表明，网络和信息系统最大的人为安全威胁来自于____。
A 恶意竞争对手 B 内部人员 C 互联网黑客 D 第三方人员

200	统计数据表明，网络和信息系统最大的人为安全威胁来自于____。
A 恶意竞争对手 B 内部人员 C 互联网黑客 D 第三方人员
201	双机热备是一种典型的事先预防和保护措施，用于保证关键设备和服务的____属性。
A 保密性 B 可用性 C 完整性 D 真实性
202	在安全评估过程中，采取____手段，可以模拟黑客入侵过程，检测系统安全脆弱。
A 问卷调查 B 人员访谈 C 渗透性测试 D 手工检查
203	我国正式公布了电子签名法，数字签名机制用于实现____需求。
A 抗否认 B 保密性 C 完整性 D 可用性
204	在需要保护的信息资产中，____是最重要的。
A 环境 B 硬件 C 数据 D 软件
205	____手段，可以有效应对较大范围的安全事件的不良影响，保证关键服务和数据的可用性。
A 定期备份 B 异地备份 C 人工备份 D 本地备份
206	____能够有效降低磁盘机械损坏给关键数据造成的损失。
A 热插拔 B SCSI C RAID D FAST-ATA
207	相对于现有杀毒软件在终端系统中提供保护不同，____在内外网络边界处提供更加主动和积极的病毒保护。
A 防火墙 B 病毒网关 C IPS D IDS
208	信息安全评测标准CC是____标准。
A 美国 B 国际 C 英国 D 澳大利亚
209	《信息系统安全等级保护基本要求》中，对不同级别的信息系统应具备的基本安全保护能力进行了要求，共划分为____级。
A 4 B 5 C 6 D 7
210	在互联网上的计算机病毒呈现出的特点是____。
A 与因特网更加紧密地结合，利用一切可以利用的方式进行传播 B 所有的病毒都具有混合型特征，破坏性大大增强 C 因为其扩散极快，不再追求隐蔽性，而更加注重欺骗性 D 利用系统漏洞传播病毒 E 利用软件复制传播病毒
211	全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，利用互联网实施违法行为，尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员，依法给予____或者____。
A 行政处分 B 纪律处分 C 民事处分 D 刑事处分
212	《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动____。
A 故意制作、传播计算机病毒等破坏性程序的 B 未经允许，对计算机信息网络功能进行删除、修改或者增加的 C 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的 D 未经允许，进入计算机信息网络或者使用计算机信息网络资源的
213	用于实时的入侵检测信息分析的技术手段有____。
A 模式匹配 B 完整性分析 C 可靠性分析 D 统计分析 E 可用性分析
214	《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所经营许可审批和服务质量监督。
A 省电信管理机构 B 自治区电信管理机构 C 直辖市电信管理机构 D 自治县电信管理机构 E 省信息安全管理机构
215	《互联网信息服务管理办法》规定，互联网信息服务提供者不得制作、复制、发布、传播的信息内容有____。
A 损害国家荣誉和利益的信息 B 个人通信地址 C 个人文学作品 D 散布淫秽、色情信息 E 侮辱或者诽谤他人，侵害他人合法权益的信息
216	《计算机信息系统安全保护条例》规定，____由公安机关处以警告或者停机整顿。
A 违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的 B 违反计算机信息系统国际联网备案制度的 C 有危害计算机信息系统安全的其他行为的 D 不按照规定时间报告计算机信息系统中发生的案件的 E 接到公安机关要求改进安全状况的通知后，在限期内拒不改进的
217	与计算机有关的违法案件，要____，以界定是属于行政违法案件，还是刑事违法案件。
A 根据违法行为的情节和所造成的后果进行界定 B 根据违法行为的类别进行界定 C 根据违法行为人的身份进行界定 D 根据违法行为所违反的法律规范来界定
218	对于违法行为的行政处罚具有的特点是____。
A 行政处罚的实施主体是公安机关 B 行政处罚的对象是行政违法的公民、法人或其他组织 C 必须有确定的行政违法行为才能进行行政处罚 D 行政处罚具有行政强制性
219	____是行政处罚的主要类别。
A 人身自由罚 C 财产罚 D 资格罚 E 责令作为与不作为罚 B 声誉罚
220	互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括____。
A 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B 重要数据库和系统主要设备的冗灾备份措施 C 记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施 D 法律、法规和规章规定应当落实的其他安全保护技术措施
221	在刑法中，____规定了与信息安全有关的违法行为和处罚依据。
A 第285条 B 第286条 C 第280条 D 第287条
222	____可能给网络和信息系统带来风险，导致安全事件。
A 计算机病毒 B 网络入侵 C 软硬件故障 D 人员误操作 E 不可抗灾难事件
223	____安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。
A 双机热备 B 多机集群 C 磁盘阵列 D 系统和数据备份 E 安全审计
224	典型的数据备份策略包括____。
A 完全备份 B 增量备份 C 选择性备份 D 差异备份 E 手工备份
225	我国信息安全等级保护的内容包括____。
A 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护 B 对信息系统中使用的信息安全产品实行按等级管理 C 对信息安全从业人员实行按等级管理 D 对信息系统中发生的信息安全事件按照等级进行响应和处置 E 对信息安全违反行为实行按等级惩处
226	目前，我国在对信息系统进行安全等级保护时，划分了5个级别，包括____。
A 专控保护级 B 强制保护级 C 监督保护级 D 指导保护级 E 自主保护级
227	下列____因素，会对最终的风险评估结果产生影响。
A 管理制度 B 资产价值 C 威胁 D 脆弱性 E 安全措施
228	下列____因素与资产价值评估有关。
A 购买资产发生的费用 B 软硬件费用 C 运行维护资产所需成本 D 资产被破坏所造成的损失 E 人工费用
229	安全控制措施可以分为____。
A 管理类 B 技术类 C 人员类 D 操作类 E 检测类
230	安全脆弱性，是指安全性漏洞，广泛存在于____。
A 协议设计过程 B 系统实现过程 C 运行维护过程 D 安全评估过程 E 审计检查过程
231	信息安全技术根据信息系统自身的层次化特点，也被划分了不同的层次，这些层次包括____。
A 物理层安全 B 人员安全 C 网络层安全 D 系统层安全 E 应用层安全
232	物理层安全的主要内容包括____。
A 环境安全 B 设备安全 C 线路安全 D 介质安全 E 人员安全
233	根据BS 7799的规定，信息安全管理体系ISMS的建立和维护，也要按照PDCA的管理模型周期性进行，主要包含____环节。
A 策略Policy B 建立Plan C 实施Do D 检查Check E 维护改进Act
234	在BS 7799中，访问控制涉及到信息系统的各个层面，其中主要包括____。
A 物理访问控制 B 网络访问控制 C 人员访问控制 D 系统访问控制 E 应用访问控制
235	英国国家标准BS 7799，经国际标准化组织采纳为国家标准____。
A ISO 17799 B ISO 15408 C ISO 13335 D ISO 27001 E ISO 24088

236	计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是____。
A 安全策略 B 安全法规 C 安全技术 D 安全管理
237	为了正确获得口令并对其进行妥善保护，应认真考虑的原则和方法有____。
A 口令／帐号加密 B 定期更换口令 C 限制对口令文件的访问 D 设置复杂的、具有一定位数的口令
238	关于入侵检测和入侵检测系统，下述正确的选项是____。
A 入侵检测收集信息应在网络的不同关键点进行 B 入侵检测的信息分析具有实时性 C 基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高 D 分布式入侵检测系统既能检测网络的入侵行为，又能检测主机的入侵行为 E 入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理
239	目前广泛使用的主要安全技术包括____。
A 防火墙 B 入侵检测 C PKI D VPN E 病毒查杀
240	《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得制作、复制、发布、传播的信息内容有____。
A 损害国家荣誉和利益的信息 B 个人通信地址 C 个人文学作品 D 淫秽、色情信息 E 侮辱或者诽谤他人，侵害他人合法权益的信息
241	基于角色对用户组进行访问控制的方式有以下作用：____。
A 使用户分类化 B 用户的可管理性得到加强 C 简化了权限管理，避免直接在用户和数据之间进行授权和取消 D 有利于合理划分职责 E 防止权力滥用
242	在网络中身份认证时可以采用的鉴别方法有____。
A 采用用户本身特征进行鉴别 B 采用用户所知道的事进行鉴别 C 采用第三方介绍方法进行鉴别 D 使用用户拥有的物品进行鉴别 E 使用第三方拥有的物品进行鉴别
243	在ISO／IECl7799标准中，信息安全特指保护____。
A 信息的保密性 B 信息的完整性 C 信息的流动性 D 信息的可用性
244	PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的____的总和。
A 硬件 B 软件 C 人员 D 策略 E 规程
245	SSL主要提供三方面的服务，即____。
A 数字签名 B 认证用户和服务器 C 网络传输 D 加密数据以隐藏被传送的数据 E 维护数据的完整性
246	经典密码学主要包括两个既对立又统一的分支，即____。
A 密码编码学 B 密钥密码学 C 密码分析学 D 序列密码 E 古典密码
247	全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，为了维护社会主义市场经济秩序和社会管理秩序，____行为，构成犯罪的，依照刑法有关规定追究刑事责任。
A 利用互联网销售伪劣产品或者对商品、服务作虚假宣传 B 利用互联网侵犯他人知识产权 C 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息 D 利用互联网损害他人商业信誉和商品声誉 E 在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片
248	有多种情况能够泄漏口令，这些途径包括____。
A 猜测和发现口令 B 口令设置过于复杂 C 将口令告诉别人 D 电子监控 E 访问口令文件
249	信息系统常见的危险有____。
A 软硬件设计故障导致网络瘫痪 B 黑客入侵 D 信息删除 E 电子邮件发送 C 敏感信息泄露
250	对于计算机系统，由环境因素所产生的安全隐患包括____。
A 恶劣的温度、湿度、灰尘、地震、风灾、火灾等 B 强电、磁场等 C 雷电 D 人为的破坏
251	在局域网中计算机病毒的防范策略有____。
A 仅保护工作站 B 保护通信系统 C 保护打印机 D 仅保护服务器 E 完全保护工作站和服务器
252	一个安全的网络系统具有的特点是____。
A 保持各种数据的机密 B 保持所有信息、数据及系统中各种程序的完整性和准确性 C 保证合法访问者的访问和接受正常的服务 D 保证网络在任何时刻都有很高的传输速度 E 保证各方面的工作符合法律、规则、许可证、合同等标准
253	任何信息安全系统中都存在脆弱点，它可以存在于____。
A 使用过程中 B 网络中 C 管理过程中 D 计算机系统中 E 计算机操作系统中
254	____是建立有效的计算机病毒防御体系所需要的技术措施。
A 杀毒软件 B 补丁管理系统 C 防火墙 D 网络入侵检测 E 漏洞扫描
255	信息系统安全保护法律规范的作用主要有____。
A 教育作用 B 指引作用 C 评价作用 D 预测作用 E 强制作用
256	根据采用的技术，入侵检测系统有以下分类：____。
A 正常检测 B 异常检测 C 特征检测 D 固定检测 E 重点检测
257	在安全评估过程中，安全威胁的来源包括____。
A 外部黑客 B 内部人员 C 信息技术本身 D 物理环境 E 自然界
258	安全评估过程中，经常采用的评估方法包括____。
A 调查问卷 B 人员访谈 C 工具检测 D 手工审核 E 渗透性测试
259	根据IS0定义，信息安全的保护对象是信息资产，典型的信息资产包括____。
A 硬件 B 软件 C 人员 D 数据 E 环境
260	根据IS0定义，信息安全的目标就是保证信息资产的三个基本安全属性，包括____。
A 不可否认性 B 保密性 C 完整性 D 可用性 E 可靠性
261	治安管理处罚法规定，____行为，处5日以下拘留；情节较重的，处5日以上10日以下拘留。
A 违反国家规定，侵入计算机信息系统，造成危害的 B 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的 C 违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的 D 故意制作、传播计算机病毒等破坏性程序，影口向计算机信息系统正常运行的
262	网络蠕虫病毒越来越多地借助网络作为传播途径，包括____。
A 互联网浏览 B 文件下载 C 电子邮件 D 实时聊天工具 E 局域网文件共享
263	在信息安全管理中进行安全教育与培训，应当区分培训对象的层次和培训内容，主要包括____。
A 高级管理层 B 关键技术岗位人员 C 第三方人员 D 外部人员 E 普通计算机用户
264	网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在____。
A 关键服务器主机 B 网络交换机的监听端口 C 内网和外网的边界 D 桌面系统 E 以上都正确
265	IPSec是网络层典型的安全协议，能够为IP数据包提供____安全服务。
A 保密性 B 完整性 C 不可否认性 D 可审计性 E 真实性
266	信息安全策略必须具备____属性。
A 确定性 B 正确性 C 全面性 D 细致性 E 有效性
267	涉密安全管理包括____。
A 涉密设备管理 B 涉密信息管理 C 涉密人员管理 D 涉密场所管理 E 涉密媒体管理

在域中管理用户和组

41949147@qq.com(admin) — Wed,07 Jul 2010 19:15:29 +0800

本章要点：
Ø 用户帐号和组概述
Ø 创建和管理用户帐号
Ø 在域中使用组的策略

3．1 用户帐号和组概述
活动目录是一种保存和维护网络资源所需的数据的目录服务数据库。域用户帐号在AD中创建一次，就能在域中的工作站上登录访问网络资源。组通常是用户帐号的集合，可以用来高效管理域资源的访问。
管理对 Active Directory 目录服务拥有管理权限的用户和组是网络系统保护的重要组成部分。获得 Active Directory 域控制器管理权限的怀有恶意的人可以破坏网络系统的安全。这些人可能是未经授权的用户，他们已经得到管理密码；或者可能是合法的管理员，但被胁迫或心怀不满。此外，并不是所有的问题都与恶意的企图有关。被授予管理权限的用户也可能因错误了解配置更改的细节而在不经意间造成一些问题。因此，仔细管理具有域控制器管理控制权的用户和组是非常重要的。

3.1.1 管理员可以创建的三类用户帐号
管理员可以创建三种类型的用户账号，每种用户账号都有特定的功能：
1、本地用户账号。本地用户帐号驻留于创建它的计算机上的安全帐号管理器（SAM）中，用户可以利用它登录到一台特定的计算机上以访问该计算机上的资源。
2、域用户账号。域用于帐号驻留于活动目录（AD）中，用户可以利用它登录到域以访问网络资源。
3、内置的用户账号。用户可以利用它执行管理任务或可以临时访问网络资源。如需要将一个普通用户的权限进行提升，可以将这个用户添加到相应的具有管理权限的内置组中。

3.1.2 用户登录名
在活动目录中，每一个用户帐户都有一个用户登录名，以及一个低于Windows 2000版本的Windows用户登录名。用户帐户信息用来验证和授权目录林中任何地方的用户，在创建用户帐户时，需要确保用户帐户遵循唯一性原则。
一个用户登录名有两部分：用户主名前缀和用户主名后缀。为了在活动目录域和信任关系中添加一个新的后缀，管理员必须是预先确定的企业管理组的成员。
在Windows 2000/2003网络中，用户可以用一个用户主名或者一个用户登录名来登录。域控制器可以用这些登录名中的任何一个来验证登录请求。

用户主名
用户主名（User Principal Name）的格式同E-mail地址，例如，john@esstest.com，john称为用户主名前缀，esstest.com称为用户主名后缀，一般为根域的域名。主用户名只能用登录Windows 2000的网络。
使用用户主名的优点如下：
1、当将一个用户账号移动到不同的域中时用户主名不变，因为这个名字在活动目录中是唯一的。
2、用户主名和用户的E-mail地址名一样，可以实现一个用户主名通行Windows 2000网络，并可与将来的Exchange邮件系统集成在一起，因为它具有和标准的E-mail地址一样的格式。

图 3-1 采用用户主名登录

用户登录名（Windows 2000以前版本）
用户登录名可用于Pre-Windows 2000的环境或Windows 2000；登录时需要提供用户登录名和域名。

图 3-2 采用用户登录名登录

用户登录名的唯一性原则
在活动目录中域用户帐户用户登录名必须遵循唯一性原则。当创建用户登录名时，要考虑如下的唯一性原则：
1、全名在所属的容器内惟一。
2、用户登录名（Windows 2000以前版本）在所属的域内惟一。
3、用户主名在整个森林内惟一。
3.1.3 活动目录中组的分类
组是可包含用户、联系人、计算机和其他组的Active Directory或本机对象。使用组可以简化管理。

从组的类型分类
从组的类型对活动目录中的组进行划分，可以分为安全组和分布组。而这两种组都支持全局组、域本地组、域通用组三种组范围中的一种。
安全组用来为用户和计算机分配权限。它的主要特点如下：
1、安全组实现与安全性有关的工作和功能，属于Windows 2000的安全主体。
2、通过给安全组赋予访问资源的权限来限制安全组成员对域中资源的访问。
3、每一个安全组都有一个唯一的SID，在AD中不会重复。
4、安全组也具有分发组的某些功能。
分布组没有SID，该组无安全功能，不能被赋予访问资源的权限。它的主要特点如下：
1、分布组实际上是一个用户账号的列表。
2、可以组织其成员的 E-mail地址形成E-mail列表。
3、只能与电子邮件应用程序一起使用以便将邮件发送到用户集。

从组的作用域范围进行分类
从组的作用域范围进行划分，活动目录中的组可分为全局组、域本地组和域通用组。
可以使用全局组来管理那些进行相同工作任务并有类似网络访问需求的用户。因为全局组具有目录林范围的可见性，不应特地为域资源访问而创建它们。它主要用于组织用户或用户组。

图 3-3 全局组的特点
全局组的特点如图3-3所示。图中描述了全局组的成员资格、成员范围、作用域范围以及权限范围。
可以使用域本地组为位于在其中创建域本地组的域中的资源分配访问权限。图3-4描述了域本地组的成员资格、成员范围、作用域范围以及权限范围。

图 3-4 域本地组的特点
可使用通用组来嵌套全局组，以便为多个域中的相关资源分配权限。一个Windows 2000域必须处于本机模式才能使用通用组。
图3-5描述了通用组的成员资格、成员范围、作用域范围以及权限范围。

图 3-5 域通用组的特点
通用组一般用于多域的情况，通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员，而使用全局组作为通用组的成员。

3．2 创建和管理用户帐号
每一个在域中活动的用户都在活动目录中有一个用户帐号。用户帐号信息用来验证和授权目录林中任何地方的用户，保证了单一性。

3.2.1 创建用户主名后缀
当在活动目录用户和计算机中创建一个帐号时，需要选择一个用户主名的后缀。如果活动目录用户和计算机中不存在需要的后缀，可以以企业管理员组成员的身份登录进行添加。通过给所有的用户提供唯一的用户主名后缀，简化了管理和用户登录过程。
可以按以下步骤来添加一个新的后缀：
1、选择【管理工具】 => 【Active Directory域和信任】，右【Active Directory域和信任】，然后选择【属性】菜单。
2、在【UPN后缀】标签上，为域键入一个可供选择的UPN后缀（如我们可以创建一个contoso.msft域名后缀），然后单击【添加】按钮，即可完成添加。

3.2.2 创建单用户帐号
可以一次只创建一个用户帐号，也可一次创建多个用户帐号，在本小节中，我们首先介绍一次只创建一个用户帐号的方法。
可按下列步骤完成单用户帐号的创建：
1、选择【管理工具】 => 【Active Directory用户和计算机】，然后展开【Active Directory用户和计算机】，右击Users，选择【新建】 => 【用户】。如图3-6所示。

图 3-6 采用用户登录名登录
2、在【新建对象-用户】对话框中，输入用户的相关信息。如用户登录名，并选择一个用户主名后缀，然后单击【下一步】按钮。如图3-7所示。
3、为用户帐号设置相应的口令，然后按向导默认选项完成一个新用户的创建。

图 3-7 输入用户信息

3.2.3 创建多用户帐号
采用批量导入的方法，通过从一个文本文件导入数据来配置用户帐户的属性，可以在活动目录中一次创建多个用户。
为了批量创建多用户，您可以使用LDIFDE（LDIF Data Interchange Format Directory Exchange，轻型目录访问协议互换格式目录交换）工具实现这一操作，也可以使用VBScript开发系统编写简单程序实现这一操作。使用这些工具，您可以导入、导出及修改诸如用户、通讯录、组、服务器、打印机及共享文件夹的对象。
本单元将重点介绍如何LDIFDE以及CSVDE（Comma Separated Value Directory Exchange，逗号分离值目录交换）来进行批量创建多用户帐户的方法。

CSVDE和LDIFDE文件中包含的信息
创建多用户帐户时，在CSVDE或LDIFDE文件中应包含下列的信息：
1、必须包含指向活动目录中的用户帐号、用户帐户本身的对象类型以及用户登录名（Windows 2000以前版本）的路径。
2、应该包含用户主名。主要用于登录到Windows 2000/2003的网络。
3、可以包含用户个人信息，如电话号码或家庭地址等。
4、不可以包含密码。批量导入应为用户帐户保留空密码。缺省情况下，用户在第一次登录时必须修改密码。
5、可包含用户是启用还是禁用的信息。如果不指定一个值，用户帐户是禁用的。

使用CSVDE工具完成批量创建用户帐户操作
CSVDE格式只能用来向活动目录中添加用户对象和对象的其它类型。在导入一个CSVDE文件前，必须确入要导入的文件格式正确，以便使导入成功。通常可以采用记事本、Excel或Word等程序来编辑和格式化一个文本文件。
CSVDE文件格式如图3-8所示，格式文件的第一行为属性行，指明了要为用户帐户定义的每个属性的名字，不同属性间用逗号隔开。格式文件的第二行及以后的行为用户帐户行，包含了说明属性行中每个属性的相应值，注意应于属性行一一对应。在用户帐号行中，可包含用户帐号的启用或禁用信息，如值512表示启用用户帐户，值514表示禁用用户帐户。

图 3-8 CSVDE文件的格式
在将文件正确格式化后，可以使用CSVDE命令导入文件以在活动目录中创建多用户帐户。导入命令如下：
csvde –I –f filename （其中-I 表示要文件导入；-f表示下一个参数是要导入的文件名）

使用LDIFDE工具完成批量创建用户帐户操作
LDIF（LDAP数据交换格式）是一种文件格式的Internet标准草案，该文件格式可以用于在符合LDAP标准的目录上完成批量操作。LDIF可以用于导入和导出数据，并允许在活动目录中完成添加、修改及删除等批量操作。Windows 2000/2003操作系统中包含一个名为LDIFDE的工具，该工具可以支持基于LDIF标准的批量操作。

图 3-9 LDIFDE文件格式
LDIFDE文件格式如图3-9所示，格式文件包含了一个由一系列描述活动目录中的每个用户帐户的条目行，或者一系列描述活动目录中的用户帐户的改变的行所组成的一个记录。用户帐户条目指定了为每个新用户帐户定义的的每个属性的名字。
要注意的是：在格式文件中，任何以“#”开始的行是注释行，运行时将被忽略。而如果一个值没有属性，则必须将其表示为：AttributeDescription”:”FILL SEP。
在将文件正确格式化后，可以使用LDIFDE命令导入文件以在活动目录中创建多用户帐户。导入命令如下：
ldifde –I –f filename （其中-I 表示要文件导入；-f表示下一个参数是要导入的文件名）

3.2.4 用户帐号的基本管理
当活动目录中的用户创建后，管理员还必须继续完成一些管理任务以确保用户的环境以及对他们所享有资源的合法。
实现用户帐户的基本管理主要是对用户进行登录时间、登录的工作站、用户密码等进行管理。如图3-10、3-11所示。

图 3-10 设置用户帐户的过期时间

图 3-11 设置用户可以登录的工作站
在基本管理中，还有一些公共的管理任务，如重设密码、解除锁定用户、重命名、禁用、启用以及删除用户帐户和在一个域内移动用户帐户等。因为可能有大量的用户，还可用活动目录自带的查找工具来查询一个特定的用户帐户。如图3-12所示。

图 3-12 执行公共的管理任务

3.2.5 用户配置文件
在Windows 2000中，用户的工作环境主要由用户配置文件定义的。为了安全性的目的，Windows 2000要求每一个访问系统的用户账号都有一个用户配置文件。用户配置文件包含所有必要的设置值，这些设置值包括显示器、区域设置、鼠标和声音设置等，除此之外还包括网络和打印机连接。

用户配置文件的类型
用户配置文件有以下四种类型：
1、默认的用户配置文件（Default User Profile）。用于生成一个新用户的工作环境，所有对用户配置文件的修改都在默认的用户配置文件上开始进行。该文件保存在Windows安装卷上的\Documents and Settings\ Default User文件夹下。当用户第一次登录计算机时，其用户配置文件的内容由Default User文件夹中的内容和All Users文件夹中的内容组成。
2、本地用户配置文件（Local User Profile）。在用户第一次登录到计算机时创建，并被存储在本地计算机中。每个计算机上可以有多个这样的配置文件。本地用户的配置文件的名字以用户命名。
3、漫游用户配置文件（Roaming User Profile）。由系统管理员创建，并存储在某个服务器上。在任何时候，用户登录到网络中的任何计算机时，这一配置文件都是可用的。如果某个用户修改了他的桌面设置值，在该用户撤销登录时，这一用户配置文件即在服务器上更新。
4、强制性用户配置文件(Mandatory User Profile)。由管理员创建，用于为某个或某些用户指定特定的设置值。强制性用户配置文件可以是本地的或是漫游的用户配置文件。它不保存对用户桌面设置值的任何修改，用户可以修改他所登录的计算机的桌面设置值，但是当他们退出登录时，这些修改不被保存。

创建漫游配置文件
一般情况下，当通过Windows 2000操作系统的管理工具建立起用户帐号后，这些用户的默认都是设置成非漫游性用户帐号。即如没有经过特别的设置，这些用户帐户都拥有相同的操作环境。当你为用户设置了漫游配文件之后，不论用户通过你的企业中的哪一台Windows 2000工作站登录，都会拥有相同的操作环境，且在任一台工作站上做的更改都会保留下来。
Windows 2000操作系统采用共享文件夹方式存储漫游型用户的设置文件，所以在设置用户的漫游配置文件前，首先要在网络中某个服务器上（如计算机ESS-DC-11）创建一个共享的文件夹（如Profile），并为用户提供对于该文件夹的“完全控制”的权限。接下来，你必须继续将用户帐户转换为漫游型用户帐户。转换步骤如下：
1、在域用户账号（如user1）的属性对话框中，点击【配置文件】选项卡，在【配置文件路径】文本框中输入相应的路径信息，用以指定共享文件夹。在输入路径时，可以采用变量%user_name%，而不键入具体的用户名称，此时，Windows 2000将自动用漫游用户配置文件的用户账号名称替代%user_name%。设置完毕后按【确定】按钮完成配置。如图3-13所示。

图 3-13 设置用户配置文件路径
2、右击配置好的用户帐户user1，在属性菜单中选择【复制】，可以创建其它的用户帐户，同时会自动将用户配置文件路径及其它一些公用信息进行复制。
3、用户user1在域中一台工作站A上登录，然后在桌面上创建一个文件，并可在“我的文档”以及开始菜单中作一些个性的修改，完成后注销。
4、用户user1在域中的另一台工作站B上登录，可以看到他在工作站A上作的修改在工作站B上仍然有效。

创建强制型配置文件
可以通过为用户配置强制型配置文件，使其在域中任一中工作站上作的个性设置在注销后失效。配置的方法是将用户配置文件中的Ntuser.dat重命名为Ntuser.man。这样做将使配置文件成为只读的，并因此而成为强制性的。

3．3 在域中使用组的策略
为了高效的使用组，需要一个为使用不同组作用域范围而定的策略。在域中使用组的策略有：
1、使用A-G-DL-P策略；
2、使用A-G-G-DL-P策略；
3、使用A-G-U-DL-P策略。
这里，A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。如A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。其余类推。

AGGDLP策略
AGGDLP策略适用于单域结构中。图3-14描述了AGGDLP策略的实现的过程。

图 3-14 AGGDLP策略

AGGUDLP策略
AGGUDLP策略适用于目录林结构即多域结构中。图3-15描述了AGGUDLP策略的实现的过程。

图 3-15 ADDUDLP策略

电脑右下角不显示赛门铁克的图标解决办法

41949147@qq.com(admin) — Fri,18 Jun 2010 07:44:18 +0800

电脑右下角不显示赛门铁克的图标解决办法主要是修改注册表，这种方法我百试不爽啊，现在就介绍一下。

         注册表的路径为：HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\General

          选择ShowVPIcon，双击后把值改为1，1为显示，0为不显示。

如何进行手工更新SEP11的病毒定义

41949147@qq.com(admin) — Fri,18 Jun 2010 07:30:16 +0800

如果用户网络跟INTERNET隔离，服务器是不能访问LIVEUpdate服务器，请参考下面步骤如何进行手工更新SEPM。在管理服务器手动更新后，SEPM自动更新SEP客户端。目前据我测试只能更新病毒定义码，其他更新譬如主动威胁防护、HIPS等等还不能得到更新。有更好的方法我找到再告诉大家。



1. 首先从Symantec官方网站下载给SEP 11.0专用的后缀名为.jdb的intelligent updater 升级包，下载地址为http://www.symantec.com/avcenter/download/pages/CS-SAVCE.html。



然后将该jdb文件放到SPM的目录下：C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming即可。



2.等待一段时间，查看SEP管理服务器和SEP客户端的安全定义状态是否更新。

远程桌面修改2003密码

41949147@qq.com(admin) — Sun,06 Jun 2010 20:55:21 +0800

ctrl+alt+end

本地组策略与安全策略的自动导入

41949147@qq.com(admin) — Mon,24 May 2010 09:34:14 +0800

首先，提取出需要部署的策略中能通过组策略或安全策略实施的项如表所示（部分演示）：

序号要求
1 “密码必须符合复杂性要求”选择“已启动”

2 “密码最长存留期”设置为“90天”

3 “账户锁定阀值”设置为小于或等于 6次

4 “从远端系统强制关机”设置为“只指派给Administrtors组”

5 “关闭系统”设置为“只指派给Administrators组”

6 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”

7 审核登录事件，设置为成功和失败都审核。

8 “审核策略更改”设置为“成功” 和“失败”都要审核

9 “审核对象访问”设置为“成功”和“失败”都要审核

10 “审核目录服务器访问”设置为“成功” 和“失败”都要审核

11 “审核目录服务器访问”设置为“成功” 和“失败”都要审核

12 “审核系统事件”设置为“成功” 和“失败”都要审核

13 “审核账户管理”设置为“成功” 和“失败”都要审核

14 “审核过程追踪”设置为 “失败”需要审核

15 “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

16 启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

17 所有驱动器均“关闭自动播放”

    上表中前15项属于安全策略，第16项属于组策略中的计算机配置策略，第17项属于用户配置策略。下面仅对Windows 2003平台的操作进行了分析与测试。

    一、对于安全策略，可以用以下步骤进行应用部署：
::在测试用机上，先使用gpedit.msc手工更改策略（如表中前15面），再用以下命令导出当前策略

secedit /export /cfg sec.inf

::用文本编辑器编辑sec.inf文件，去除不需要调整的内容，仅保留要定制策略

表中15条策略对应的inf文件内容如下：

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[System Access]
MaximumPasswordAge = 90
PasswordComplexity = 1
LockoutBadCount = 6
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 3
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 2
AuditDSAccess = 3
[Registry Values]
machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15
[Privilege Rights]
seremoteshutdownprivilege = *S-1-5-32-544
seshutdownprivilege = *S-1-5-32-544
setakeownershipprivilege = *S-1-5-32-544

::用命令生成一个sdb文件

secedit /import /db  sec.sdb  /cfg sec.inf /overwrite

::用命令把定制策略更新到目标服务器，不能用/overwrite参数，否则除定制策略外的其它策略丢失

secedit /configure /db sec.sdb

::刷新组策略

gpupdate /force

    二、其他组策略的应用
    以前曾经研究过利用gpcvreg与gpscript命令行程序来应用组策略，并且写了autoit3脚本的UDF，这次正好可以利用。
     使用gpedit.msc在测试机修改16\17两条策略，在不关闭gpedit.msc的同时用regedit查看HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects下，分析得到相应设置并存成Reg文件

machine.reg, 禁用所有驱动器自动播放

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

user.reg，定制屏幕保护设置

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]
"ScreenSaverIsSecure"="1"
"ScreenSaveActive"="1"
"ScreenSaveTimeOut"="300"
"SCRNSAVE.EXE"="scrnsave.scr"

    三、批量应用脚本
    有了sec.sdb、machine.reg及user.reg文件，然后利用以前写的poledit.au3 UDF ，只需要以下脚本就可以进行前文所列出的策略的自动应用了。

#NoTrayIcon#include "PolEdit.au3" If FileExists("sec.sdb") Then  RunWait(@ComSpec & " /c " & "secedit /configure /db sec.sdb", @ScriptDir, @SW_HIDE) _RegWriteToPol("machine.reg", "MACHINE", 1) _RegWriteToPol("user.reg") _gpupdate()

导出组策略

41949147@qq.com(admin) — Mon,24 May 2010 08:32:47 +0800

导出组策略

在使用组策略编辑器更改过“计算机配置”和“用户配置”中的相应设置项后，Windows XP便会分别在“C:\Windows\System32\ GroupPolicy\Machine”或“C:\Windows\System32\ GroupPolicy\User”目录中，生成一个名为“Registry.pol”的文件。

    进入到该目录，然后使用记事本程序打开“Registry.pol”文件。现在，你看到了什么？所有秘密全在这里了，经过修改的组策略项目，其在注册表中的相应位置均罗列其中（如图4）。比如之前设置的“开始”菜单中删除‘运行’菜单”项，便可根据这里所记录的注册表位置，来依次展开“HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer”分支，删除其中的“NoRun”键值即可。

要想恢复组策略的设置，最简单的方法无非是逐一查看策略项目。在默认情况下，策略项目的“状态”显示应为“未被配置”（如图1）。如果被他人进行了更改，则会显示“已启用”或“已禁用”的提示。不过组策略中的设置项“多如牛毛”，想要在众多项中找到被修改的位置，显然太过费时费力，这时不妨试试简单易用的rsop.msc工具。

GPResult命令行术

    其实，组策略设置的基本原理，就是修改注册表中相应的配置项目，从而达到配置系统的目的。也就

是说，知道了注册表中的改动，也就等同于获得了组策略的修改位置。那么如何了解到组策略修改的注册

表项目呢？这时，老鸟会用到一个名为GPResult.exe的小工具。

    使用Windows XP自带的GPResult.exe命令行工具可以显示详细的策略结果。其使用方法也比较简单。

比如要显示当前系统的组策略结果并输出到一个文本文件（gpr.txt）中，可以打开“命令提示符”窗口

，在其中执行“gpresult/z >gpr.txt”命令，之后打开该命令所创建的“notepad gpr.txt”文件即可。

    如果对组策略进行了相应设置，那么在打开的文本文件中，可看到已修改过的注册表项（如图3）。

接下来只要打开注册表编辑器，依次展开这些项目（通常“计算机配置”的内容保存在

HKEY_LOCAL_MACHINE根目录中，“用户配置”的内容保存在HKEY_CURRENT_USER根目录中），修改其中数

值名称数据，比如这里的“NoRun”表示从“开始”菜单中删除“运行”菜单，删除该数值即可。

组策略恢复办法！

41949147@qq.com(admin) — Sun,16 May 2010 08:46:00 +0800

组策略恢复办法！
删除c:\windows\system32\GroupPolicy文件夹
然后运行 gpupdate /force 组策略恢复正常！

还有很多朋友问是如何把组策略提取出来的其实很简单。组策略设置完了都会保存到 c:\windows\system32\GroupPolicy里
只要第一次修改好了组策略然后把c:\windows\system32\GroupPolicy复制出来保存起来下次再做母盘的时候再复制进c:\windows\system32\里就可以了。！

护照、签证这种证件照的RGB是多少

41949147@qq.com(admin) — Sat,15 May 2010 20:41:23 +0800

背景要求：统一为蓝色，输出蓝色色值（RGB或GMYK）：R51 G143 B178, C80 M13 Y20 K3

其它证件照，背景色数值(RGB)：

纯白底:255 255 255

蓝底：88 160 201

红底：255 0 0

奚瑞 的博客

域内计算机策略应用顺序

信息安全教程考试复习题

在域中管理用户和组

电脑右下角不显示赛门铁克的图标解决办法

如何进行手工更新SEP11的病毒定义

远程桌面修改2003密码

本地组策略与安全策略的自动导入

导出组策略

组策略恢复办法！

护照、签证这种证件照的RGB是多少

奚瑞的博客