Windows Hardening Flashcards

1
Q

Vad är det som kännetecknar en Workgroup?

A

I en Workgroup är alla datorer peers, d.v.s ingen dator har kontroll över en annan dator.

Varje dator har en egen uppsättning användarkonton och det finns oftast inte så många datorer i varje workgroup.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vad är det som kännetecknar en Microsoft domain?

A

En eller flera datorer är servrar som bl.a. kontrollerar säkerhet och behörigheter för alla datorer på domänen.

Du kan logga in på valfri dator i domänen med ditt användarkonto.

Oftast ett stort antal enheter inom en domän, jämfört med en Workgroup.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Hur fungerar en seriell databuss?

A

Data packas och skickas sekventiellt över en enda kanal.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Hur fungerar en parallell databuss?

A

Datapaket kan skickas samtidigt via flera kanaler.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Windows Server Software Arkitekturen har två olika “modes”.

Vilka är dessa?

A

User mode & Kernel mode.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Du behöver 7 stycken Hyper-V containers.

Vilken version av Windows Server 2019 ska du välja, Standard eller Datacenter?

A

Datacenter, denna har stöd av ett obegränsat antal medan standard endast har stöd för 2.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Server Core är ett minimalt GUI-installationsalternativ.

Vilka är fördelarna med att välja detta?

A

Minskad servicekostnad
Minskad administrativ kostnad
Minskad resurskostnad
Minskad attackyta på systemet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Specifikt endast för Server Core-installationer är detta ett kommandoradstyrt administrativt verktyg som låter dig utföra de grundläggande serveradministrativa uppgifterna.

Vilket verktyg åsyftas?

A

Sconfig.cmd.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Vad är en serverroll?

A

En roll är serverns primära funktion/funktioner som är en gruppering av funktioner och tjänster som serveradministratören anger.

Exempel på en serverroll inkluderar bl.a. DNS & webbserver.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Vad är en serverfeature?

A

Features är oberoende komponenter som ofta stöder rolltjänster eller stöder servern direkt.

Exempelvis Windows Server Backup är en feature.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vad är en service?

A

Ett bakgrundsprogram som utför en tjänst.

Exempelvis Print Spooler, som läser in filer i minnet för utskrift.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Förklara en Device driver:

A

En Device Driver (enhetsdrivrutin) är ett litet program som gör att datorn kan kommunicera med en specifik hårdvaruenhet (device).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Är det möjligt att installera en osignerad drivrutin i 64-bitars Windows?

A

Nej, en drivrutin som inte har en giltig digital signatur eller som ändrades efter att den signerades kan inte installeras på 64-bitarsversioner av Windows.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Vad är Windows Deployment Services?

A

Windows Deployment Services är till för automatisk distribution av Windows-operativsystemet. Är ett exempel på en serverroll.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad har MSConfig.exe för funktion?

A

Ändra i Windows Server-inställningar och felsöka problem vid uppstarten av systemet. Är ett systemkonfigurations- och hanteringsverktyg.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Vad står AD DS för?

A

Active Directory Domain Services

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Förklara kort vad AD DS är:

A

AD DS-databasen är det centrala navet för alla domänobjekt, till exempel användarkonton, datorkonton och grupper.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Om du har en samling domäner under samma AD DS, vad kallas då detta?

A

En forest.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Vad finner du i en Domain controller?

A

En uppsättning av AD DS-databasen.

För de flesta operationer kan varje domänkontrollant bearbeta ändringar och replikera ändringarna till alla andra domänkontrollanter i domänen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Vad är ett schema?

A

Ett schema är en uppsättning definitioner av objekttyper och attribut som du använder för att skapa objekt i AD DS.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Vad är en domän?

A

En domän definieras som en logisk grupp av nätverksobjekt (ex. datorer, användare, nätverksenheter) som delar samma Active Directory-databas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Vad är en Organisationsenhet OU?

A

Organisationsenheter (OU) i en AD DS-hanterad domän gör det möjligt att logiskt gruppera objekt, till exempel användarkonton, servicekonton eller dator konton.

Du kan sedan tilldela administratörer till specifika OUs och tillämpa gruppolicies för att implementera aktuella konfigurationsinställningar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Hur fungerar en Read-only domain controller (RODC)?

A

EN RODC är en skrivskyddad domänkontrollant som innehåller en skrivskyddad AD DS-databaskopia.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

En RODC använder sig av enkelriktad replikering. Vad innebär detta?

A

Detta innebär att replikering bara sker från en skrivbar domänkontrollant till RODC. RODC kan inte sprida felinformation till resten av domänen, även om en ändring görs på RODC.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

Vad står AAA för?

A

Authentication, Authorization, and Accounting

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

När är det lämpligt att skapa en OU?

A

När du vill konfigurera objekt genom att tilldela GPOs (Group Policy Objects) eller delegera administrativa rättigheter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Vad är en forest ?

A

En Forest är en samling Trees som delar en gemensam global katalog, schema, logisk struktur och katalogkonfiguration.

En Forest representerar säkerhetsgränsen inom vilken användare, datorer, grupper och andra objekt är tillgängliga. Inga användare utanför en Forest kan komma åt resurserna på insidan.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

Vad är Privileged Access Management (PAM)?

A

PAM lägger till skydd till privilegierade grupper som kontrollerar åtkomsten på många olika domänanslutna datorer och program på dessa datorer.

Detta gör det möjligt för organisationer att se vem deras privilegierade administratörer är och vad de gör.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

Vad är en Global catalog?

A

En global katalogserver är en domänkontrollant som lagrar kopior av alla Active Directory-objekt i din forest .

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

På varje domänkontrollant finns det en data store som innehåller AD DS-databasen. AD-informationen finns i en speciell fil med tillhörande loggfiler.

Vad heter denna fil?

A

Ntds.dit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

När du ändrar valfritt objekt i en domän så skickar domänkontrollanten ut information om detta till de andra domänkontrollanterna i domänen.

Vad heter den model som tillåter alla domänkontrollanter att göra ändringar i objekt?

A

Multi-master replication model.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

Windows Auditing är ett system för att logga händelser i systemet. Vilka typer av händelser kan du logga?

A

Exempelvis:

Försök att komma åt och logga in på en viss enhet, oavsett om dessa försök är framgångsrika eller inte.

Ändringar i Active Directory-konfigurationer eller användarprofiler.

Klient-serveråtkomst från en fjärrmaskin till en Windows-server.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

Vad är en viktig begränsning för Containers?

A

Det är inte möjligt att tillämpa en GPO direkt på en container.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

Här hamnar nya datorkonton som du skapar i domänen per default:

A

Computers containern

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

Vad är Microsoft Passport?

A

Ett nyckelbaserat autentiseringssystem.

Användare loggar in med en PIN-kod eller biometrisk information som är länkad till ett digitalt certifikat eller ett asymmetriskt nyckelpar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
36
Q

Vad heter den funktionen som gör att du kan integrera AD DS lokalt med Azure AD?

A

Azure AD Connect

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
37
Q

Är det lämpligt att endast ha en domänkontrollant för AD DS?

A

Nej, för redundansskäl är det bäst att alltid ha minst två domänkontrollanter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
38
Q

Varje domänkontrollant innehåller en kopia av AD DS-databasen och SYSVOL-mappen.

Vad innehåller SYSVOL-mappen?

A

SYSVOL-mappen innehåller alla template-inställningar och filer för GPO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
39
Q

Vad heter den open source-autentiseringstjänst som användarkonton och datorkonton använder för inloggningsautentisering?

A

Kerberos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
40
Q

I en AD DS-domän finns det flera roller som är distribuerade över domänkontrollanterna.

Vilka är de 5 FSMO rollerna? (Flexible Single Master Operation)

A

Schema Master - en per forest

Domain Naming Master - en per forest

Relative ID (RID) Master - en per domän

Primary Domain Controller (PDC) Emulator - en per domän

Infrastructure Master - en per domän

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
41
Q

Vilket nummer slutar alltid Domänadministratörskontots SID med?

A

500

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
42
Q

Vad heter den .exe fil som används för att lägga till eller ta bort en domänkontrollant i din forest?

A

dcpromo.exe

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
43
Q

Vilket verktyg använder du för att överta en DC-roll för en maskin som ligger nere?

A

Kommandoradsverktyget ntdsutil.exe

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
44
Q

Vad är en Stub Zone?

A

Stubzoner är som en sekundär zon, men lagrar endast partiell zondata.

Dessa zoner är användbara för att minska zonöverföringar genom att skicka förfrågningarna till auktoritativa servrar. Dessa zoner innehåller endast SOA-, NS- och A-records.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
45
Q

När du ska planera din OU-struktur så finns det 4 huvudsakliga “strategier” du kan använda. Vilka är dessa?

A

Location-based strategy
Resource-based strategy
Multitenancy-based strategy
Organization-based strategy

(Det går även att skapa en egen hybridmodell utefter dessa)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
46
Q

För vilka lämpar sig en Multitenancy-baserad OU-strategi?

A

Exempelvis för organisationer som tillhandahåller Active Directory-infrastrukturen som en tjänst (IaaS) till andra organisationer.

Det kan vara en grupp anslutna organisationer som delar samma domän, outsourcad miljö eller en privat/offentlig molnleverantör.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
47
Q

Vad är viktigt att tänka på när du designar din OU-struktur?

A

OU-strukturen ska främst anpassas till administrativa ändamål. Undvik att efterlikna din organisationstruktur, såvida det inte gynnar dig administrativt.

Tänk även på att ge rum för framtida expansion.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
48
Q

Vilken är den första versionen av Windows Server som har funktionen “Protect OUs from Accidental Deletion”?

A

Windows Server 2008

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
49
Q

Vad händer när du flyttar ett objekt från en OU till en annan?

A

Filrättigheter i en disk som tilldelats till objektet förblir intakta.

Objektet kommer att ärva nya behörigheter från sin nya OU och kommer att förlora alla ärvda behörigheter från föregående OU.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
50
Q

När användare loggar in på en Active Directory-domän får de ett “Token”.

Vad innehåller ett token?

A

En lista över SID, användarens individuella konto, historiska konton, om användaren har migrerats och varje grupp användaren tillhör.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
51
Q

Vilken standardgrupp har fullständiga behörigheter till alla objekt i en domän?

A

Domain Administrators.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
52
Q

Vad är ett User Principal Name (UPN)?

A

Ett User Principal Name (UPN) är namnet på en AD systemanvändare i ett e-postadressformat. En UPN (till exempel mario.parada@domain.com) består av användarnamnet, separator (@-symbolen) och domännamnet (UPN-suffix).

Tänk på att detta INTE är en email-adress, det följer bara samma struktur.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
53
Q

Om Mario ska ta tjänstledigt från sin tjänst i 6 månader och inte kommer ha behov av ett användarkonto, vad är då best practice att göra med kontot?

A

Det bästa är att markera Marios konto som “disabled” snarare än att radera det.

Har användaren ett Exchange-mailkonto så raderas även detta om du raderar kontot.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
54
Q

De flesta användare i en viss avdelning eller OU kommer att dela många vanliga attribut som gruppmedlemskap och hemkatalogplats.

Vad är fördelen med att använda User Templates och vad är viktigt att tänka på?

A

User Templates kan minska tiden som krävs för att skapa nya användarkonton. De ökar också säkerheten och minskar risken för fel när du ställer in egenskaper för användare.

Det är viktigt att du inaktiverar mallkontot så att det inte kan användas för att logga in!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
55
Q

I Windows Server 2019 enterprise-nätverk finns det två olika typer av grupper, Distribution och Security.

Vad skiljer dessa två åt?

A

Distributionsgrupper är inte säkerhetsaktiverade (Ej SID). Dessa används endast för email-applikationer.

Säkerhetsgrupper är säkerhetsaktiverade (SID) och du använder dem för att tilldela behörigheter till olika resurser. Security är även defaultinställningen för nya grupper.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
56
Q

Du kan närsomhelst konvertera grupper till och från de två olika grupptyperna.

Vad händer om du konverterar en grupp från Security till Distribution?

A

Distrubutiongruppen tappar ALLA behörigheter den tilldelats, även om ACL:erna fortfarande innehåller SID.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
57
Q

Gruppens “Scope” avgör vem som kan vara medlem i gruppen och var gruppen kan användas. Utöver lokala grupper som endast finns på den lokala datorn så finns det tre olika typer av Group Scopes; gruppomfång.

Vilka är dessa tre ?

A

Domain Local Groups
Global Groups
Universal Groups

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
58
Q

Beskriv en Domain Local Group:

A

Endast synliga i den egna domänen. Av den anledningen kan lokala securitygrupper användas för att bevilja rättigheter och behörigheter endast för resurser som finns i samma domän där den lokala domängruppen finns. Lokala domängrupper kan innehålla Domain Local Groups endast från samma domän, men användare, datorer och alla andra grupptyper från samma domän och betrodda domäner (alla domäner i din forest).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
59
Q

Beskriv en Global Group:

A

Synliga genom hela foresten, men kan bara innehålla konton och globala grupper från SAMMA domän.

Gruppen själv kan vara medlem i Universal- och Local Domain Groups inom vilken domän som helst och Global Groups inom sin egen domän. Global Groups används för att organisera användare som delar samma arbetsuppgifter eller avdelning etc.

Du bör inte tilldela behörigheter direkt till Global Groups, Local Domain Groups är mer lämpliga för det.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
60
Q

Beskriv en Universal Group:

A

Synliga genom hela Foresten och kan innehålla konton, Global Groups och andra Universal Groups från vilken domän som helst i foresten (men de kan inte innehålla lokala domängrupper).

Universal Groups bör användas för att samla ihop Global Groups. Genom att göra det kan gruppen tilldela behörigheter till resurser på flera domäner.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
61
Q

Vad står gruppnestingmodellen IGDLA för?

A

Identities (I); Global Groups (G); Domain Local Groups (DL); Access (A)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
62
Q

Hur fungerar standardgruppen Server Operators?

A

Medlemmar i denna grupp kan utföra maintenance på domänkontrollanter. De har rätt till att logga in lokalt, starta och stoppa tjänster, utföra säkerhetskopiering och återställning, formatera diskar, skapa eller ta bort shares och stänga av domänkontrollanter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
63
Q

Special identity groups kan ge ett effektivt sätt att tilldela åtkomst till resurser i ditt nätverk. Vad kan du huvudsakligen åstadkomma med dessa?

A

Tilldela användarrättigheter till securitygrupper i Active Directory.
Tilldela behörigheter till securitygrupper i syfte att komma åt resurser.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
64
Q

Offline-domänanslutning fungerar med klientdatorer som kör Windows 7 eller senare.

Vad heter kommandoradsverktyget du använder för att ansluta en klientdator till en domän?

A

djoin.exe

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
65
Q

Hur fungerar Local Security Authority (LSA)?

A

LSA ansvarar för att hantera inloggningar till systemet.

När en användare försöker logga in lokalt på systemet genom att ange användarnamn och lösenord anropar LSA Security Accounts Manager (SAM), som hanterar den lagrade kontoinformationen i den lokala SAM-databasen.

SAM jämför användarens uppgifter med kontoinformationen i SAM-databasen för att avgöra om användaren har behörighet att komma åt systemet. Godkänns detta så autentiserar SAM användaren genom att skapa en inloggningssession och returnera SID för användaren och SID:n för globala grupper som användaren är medlem i till LSA.

LSA ger sedan användaren ett token som innehåller användarens individuella- och grupp-SID och deras rättigheter, vilket ger användaren access att komma åt resurser som denne har behörighet för.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
66
Q

Om du raderar en dator från domänen och sedan försöker återansluta den så får den ett nytt SID. Det bästa är att istället återbygga en Secure channel.

Hur återställer du en Secure channel?

A

Reseta datorns konto antingen med Active Directory Users and Computers eller Active Directory Administrative Center.

Du kan även återställa Secure channel på den lokala datorn med PowerShell kommandot: “Test-ComputerSecureChannel -Repair”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
67
Q

PowerShell-cmdletar kan exempelvis användas för att skapa användarkonton.

Vilket kommando kan du använda för att skapa en ny användare som är aktiverad?

A

New‐ADUser “Mario Parada” ‐AccountPassword (Read‐Host ‐AsSecureString “Enter password”)

Om du inte använder parametern -AccountPassword ställs inget lösenord in och användarkontot är inaktiverat.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
68
Q

Du kan använda cmdleten “New-ADGroup” för att skapa grupper. När du skapar grupper med hjälp av denna cmdleten måste du använda parametern GroupScope utöver gruppnamnet.

Hur skriver du för att skapa den globala gruppen SIH20M i OUn IT på domänen sih.com?

A

New ‑ ADGroup ‑Name “SIH20M” - Path “ou = IT, dc = sih, dc = com” ‑GroupScope Global

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
69
Q

Vilka delar innehåller ett Fully Qualified Domain Name (FQDN)?

A

Hostname, Domain och Top level domain.

Exempelvis: mario.sih.com

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
70
Q

När använder du split-DNS?

A

Exempelvis när en server har både en privat IP-adress i ett lokalt nätverk och en publik adress, dvs en adress som kan nås över Internet. Genom att använda split-DNS kan samma namn leda till antingen den privata IP-adressen eller den publika, beroende på vilken klient som skickar förfrågan.

Detta gör det möjligt för lokala klienter att komma åt en server direkt via det lokala nätverket utan att behöva passera via en router.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
71
Q

Vad är Link-local Multicast Name Resolution? (LLMNR)

A

Ett protokoll för namnresolving som inte använder DNS och är anpassat för IPv6. Network discovery måste vara aktiverat för att det ska fungera.

Fungerar endast på Windows Vista/Windows Server
2008 och uppåt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
72
Q

Vid en namnuppslagning, kontaktar klienten en WINS-server eller kontrollerar den NetBIOS name cachen först?

A

Först NetBIOS name cachen sedan WINS-servern.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
73
Q

Vad innehåller en Root hint?

A

En Root hint innehåller IP-adresserna för DNS-rootservrar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
74
Q

Hur skiljer sig Active Directory-integrerade DNS-zoner från ordinarie zoner och vilka är fördelarna med AD-zoner?

A

Zondata lagras i AD DS istället för vanliga zonfiler.

Fördelar:

  • Replikering är snabbare, säkrare och effektivare.
  • Bättre redundans på grund av att zondata kopieras till alla domänkontrollanter.
  • Förbättrad säkerhet om säker dynamisk uppdatering är aktiverad.
  • Inget behov av att schemalägga eller hantera zonöverföringar.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
75
Q

Inget hjälpinnehåll distribueras med PowerShell.

Vilket kommando använder du för att ladda ner det?

A

Update-Help

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
76
Q

Vilka är de fem Execution Policy-lägena i PowerShell och vilket läge är standard?

A
  • Restricted (default)
  • AllSigned
  • RemoteSigned
  • Unrestricted
  • Bypass

(ändras enkelt med Set-ExecutionPolicy)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
77
Q

Vad innebär det att ett GPO är inaktiverat?

A

GPO förhindrar inte åtgärden som det har som uppgift att förhindra. Åtgärden tillåts med andra ord.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
78
Q

En GPO består av två komponenter: Group Policy template och Group Policy container.

Vad är skillnaden mellan dessa?

A

Group Policy container (GPC) är en AD-container som innehåller GPO-egenskaper, till exempel versioninformation och GPO-status.

Group Policy template (GPT) är en filsystemmapp som innehåller policydata, säkerhetsinställningar, skriptfiler bl.a. GPT finns i systemvolymmappen (SysVol) i undermappen: domännamn\Policy.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
79
Q

Vilka grupper ger dig som användare per default rätt att skapa nya GPOs?

A

Domain Admins, Enterprise Admins och Group Policy Creator Owners

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
80
Q

När en GPO länkas till en behållare tillämpas policyn på alla behållarens objekt och nedåt i hierarkin.

Ett GPO kan länkas till vissa behållare men inte till andra. Vilka behållare går det att skapa en GPO-länk till?

A
  • Sites
  • Domains
  • OUs
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
81
Q

Defaulttiden innan en refresh av inställningar sker är 5 minuter på en domänkontrollant. Hur lång är tiden på en klient?

A

90 minuter per default.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
82
Q

Vilket kommando tvingar fram en uppdatering av alla Group Policy settings på ett system?

A

Gpupdate /force

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
83
Q

GPO tillämpas inte samtidigt, utan tillämpas i en logisk ordning på olika nivåer och skriver över alla motstridiga policyinställningar som tillämpades tidigare.

I vilken logisk ordning tillämpas nya GPOs?

A
  1. Local GPOs
  2. Site GPOs
  3. Domain GPOs
  4. OU GPOs
  5. Child OU policies
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
84
Q

Det är möjligt att tillämpa flera GPOs på samma nivå.

Hur styr användaren över prioritetsordningen?

A

Administratören kan tilldela varje GPO ett “preferense value” som styr prioritetsordningen mellan GPOs.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
85
Q

Under installationen av AD DS-rollen så skapas två standard GPO, Default Domain Policy och Default Domain Controllers Policy.

Vad innehåller respektive policy?

A

Default Domain Policy:
Innehåller standardinställningarna för lösenordspolicy, kontoutelåsning och Kerberosprotokoll.

Default Domain Controllers Policy:
Är länkad till domänkontrollantens OU och bör endast påverka domänkontrollanter. Denna policy innehåller granskningsinställningar och användarrättigheter.

Du bör INTE använda dessa för andra ändamål, skapa då ett nytt GPO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
86
Q

Vad är ADMX-filer?

A

ADMX-filer är administrativa mallar, XML-textfiler som beskriver vad du ser under “Computer Configuration \ Policies \ Administrative Templates” och “User Configuration \ Policies \ Administrative Templates” i Group Policy Editor.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
87
Q

När är det lämpligt att använda en Group Policy Central Store?

A

När du är en större organisation och det blir omständigt att manuellt kopiera över ADMX -och ADML-filerna.

Då är det smidigare att ha en central lagringsplats där AD-administratörerna kan hämta filerna ifrån. Olika operativsystem kan även hantera filerna olika, vilket en central lagring ordnar åt klienterna.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
88
Q

Vad är ett annat ord för Perimeter network?

A

DMZ

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
89
Q

Vilka åtgärder är viktiga att ha med i Host computer Security hardening?

A
  • Håll datorer säkra med de senaste säkerhetsuppdateringarna.
  • Konfigurera säkerhetspolicyer, exempelvis lösenordskomplexitet.
  • Konfigurera brandväggen.
  • Installera antivirusprogram.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
90
Q

Vilka är Microsofts rekommenderade “best practices” när det kommer till att öka säkerheten?

A
  1. Tillämpa alla tillgängliga säkerhetsuppdateringar så snabbt som möjligt efter att de släppts.
  2. Följ principen om minst privilegium.
  3. Begränsa inloggningen för administratörskonsolen.
  4. Begränsa fysisk åtkomst.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
91
Q

Som default kör både standardanvändare och administratörer applikationer och åtkomstresurser med samma säkerhetsinställningar som för en standardanvändare.

Vilken funktion fyller UAC?

A

UAC-prompten möjliggör för en användare att höja sin säkerhetsstatus till ett administratörskonto utan att logga ut eller byta användare.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
92
Q

Security auditing lägger till event i Security Event-loggen som du sedan kan granska i Event Viewer.

Vad är fördelarna med detta?

A

Du kan exempelvis se vilken administratör som ändrade inställningar/data på servrar som innehåller mycket konfidentiell data, eller om en specifik användare har varit inne och kollat i kataloger den inte borde kollat i.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
93
Q

Om snabb överföringshastighet är prioriterat, är det då bäst att välja SCSI eller SATA?

A

SCSI standarden har bäst överföringshastighet.

SAS och SSD har ännu högre hastigheter, men är dyrare.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
94
Q

Använder SCSI parallell eller seriel databuss?

A

Parallell

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
95
Q

Vad står SAS för?

A

Serial attached SCSI

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
96
Q

Vilken är generellt sett den snabbaste och mest pålitliga formen av traditionella hårddiskar?

A

SAS, dessa finns i utföranden med 15,000rpm och är designade för att vara igång alltid.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
97
Q

Vad är fördelarna och nackdelarna med att använda DAS? (Direct attached storage)

A

Fördelar: Lagringen är ansluten direkt till servern som använder den, vilket gör DAS till det enklaste och billigaste lagringssystemet att distribuera och underhålla.

Nackdelar: Att lagra data lokalt på DAS försvårar datacentralisering eftersom data ligger på flera servrar. Samtidigt slukar det processorkraft och RAM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
98
Q

iSCSI (internet Small Computer Systems Interface) är ett protokoll för att länka ihop lagring över nätverk. Hur fungerar det kortfattat?

A

Det bär SCSI-kommandon (CDBs) över ett TCP / IP-nätverk.

Är ett SAN-protokoll (Storage Area Network) som möjliggör det att presentera utspridd lagring som en lokalt enhetlig SCSI-skiva/skivor för klienten. Använder handskakning vid etableringen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
99
Q

Vad är en skillnad mellan iSCSI och Fibre Channel?

A

Fibre Channel kräver dedikerade kablar medan iSCSI använder befintliga kablar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
100
Q

Hur fungerar NAS och vad är fördelen med detta?

A

Innehåller en eller flera lagringsenheter, ofta ordnade i logiska, redundanta lagringsbehållare eller RAID.

Nätverksansluten lagring flyttar bort ansvaret för fileserving från andra servrar i nätverket och ger snabbare datatillgång, enklare administration och enkel konfiguration.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
101
Q

Vad är ett Storage Area Network (SAN) ?

A

Ett lagringsnätverk som ger åtkomst till konsoliderad datalagring på blocknivå.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
102
Q

Hur fungerar RAID (Redundant Array of Independent Disks), enkelt beskrivet?

A

Kombinerar flera fysiska lagringsenheter till en logisk enhet för redundansskäl och/eller prestandaskäl.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
103
Q

Är RAID 0 lämpligt om du vill öka säkerheten i din lagring?

A

Nej, RAID 0 använder sig av striping och placerar ut datan över flera diskar. Skulle en disk fallera så blir all data förlorad.

Däremot kan RAID 0 öka prestandan genom att skiva data över flera diskar.

104
Q

RAID 1 använder sig av data mirroring. Vad innebär detta?

A

Datan speglas på en eller flera diskar. Ju fler diskar du speglar desto högre redundans får du.

Samtidigt tar det större resurser av systemet att skriva till många diskar.

105
Q

Hur fungerar RAID 5?

A

RAID 5 kräver 3 diskar eller mer för att fungera. Det använder sig av striping och placerar datan över flera diskar, men använder sig samtidigt utav PARITET. D.v.s. att det placeras en slags checksumma på varje disk som möjliggör det att räkna ut datan på en fallerad disk med hjälp av checksumman från de andra diskarna.

OBS, endast en disk kan fallera. Fallerar fler så försvinner all data.

106
Q

Vad är en av de vanligaste förbisedda farorna med RAID5?

A

Det är att köpa in likadana diskar vid samma tillfälle. När diskarna är lika gamla så tenderar de att fallera ungefär samtidigt.

Det är inte ovanligt att återskapandeprocessen av data vid ett diskhaveri orsakar ett failure i ytterligare en disk, då stora datamängder ska skrivas över till en ny disk. Sker detta så försvinner all data.

107
Q

Vilka brister i RAID 5 kan du undvika med RAID6?

A

Med RAID6 så har du paritetsdata över flera diskar och en disk med endast paritetsdata. Detta gör att två diskar kan fallera samtidigt utan att data försvinner.

Kräver minst 4 diskar.

108
Q

Om du har 5 hårddiskar med en kapacitet på 1 TB vardera och du skapar en RAID 5-volym. Hur mycket data kan lagras i volymen?

A

4 TB.

109
Q

Hur fungerar RAID10?

A

RAID10 är en kombination av RAID 1 och RAID 0. Du använder både striping och mirroring över flera diskar. Så länge ingen mirror förlorar alla sina diskar är datan säker och åtkomsten snabb.

Används ofta i miljöer där pengar inte är ett problem.

110
Q

Hur fungerar Microsoft Storage Spaces?

A

En lagringsvirtualiseringsfunktion som du kan använda för att lägga till flera fysiska diskar av olika typ och storlek i en Storage Pool.

Detta används sedan för att skapa virtuella enhetliga diskar.

111
Q

Vad är Distributed File System (DFS)?

A

En uppsättning klient- och servertjänster som tillåter en organisation som använder Microsoft Windows- servrar att organisera många distribuerade SMB -filresurser i ett distribuerat filsystem.

112
Q

Vad är skillnaden mellan MBR och GPT?

A

MBR (Master Boot Record) är ett äldre partitionsformat med stöd för max 4 partitioner per disk och med en maxstorlek per disk på 2TB.

GPT (GUID Partition Table) är ett nyare format med max 128 partitioner per disk och en maxstorlek per disk på 18EB.

113
Q

Är det möjligt att konvertera en Dynamic disk till en Basic disk?

A

Nej, inte utan att förlora all data. Du kan däremot konvertera en Basic till en Dynamic utan att förlora data.

När du konverterar från Basic till Dynamisk så tänk på att göra en backup innan för säkerhets skull.

Default är en disk alltid en Basic disk.

114
Q

Vad är fördelarna med en Dynamic disk kontra en Basic disk?

A

En Dynamic disk möjliggör det att utföra disk- och volymhantering utan att behöva starta om datorn.

115
Q

Vad är en Spanned volume?

A

Skapas av ledigt utrymme från flera länkade diskar.

Du kan inte spegla en spanned volume och de är INTE feltoleranta.

116
Q

Vad är några fördelar med att använda ReFS jämfört med NTFS?

A

Resilient File System (ReFS) har bättre resiliency, vilket innebär bättre datakontroll, felkorrigering och skalbarhet.

117
Q

Vad är den största fördelen med det nyare formatet vhdx jämfört med vdh?

A

vhdx har support för upp till 64TB stora diskar jämfört med 2 TB för vhd.

118
Q

Vilken TCP-port förknippas med iSCSI?

A

3260

119
Q

Vad är MPIO och hur fungerar det?

A

Multipath I/O är feletolerans och prestandaförbättringsteknik som definierar redundanta fysiska vägar mellan CPU: n i ett datorsystem och dess lagringsenheter (exempelvis med iSCSI) genom databussar, controllers och switchar.

120
Q

Det finns 3 olika sorters SMB file share profiles. Vilka är dessa 3?

A

Quick - grundläggande funktioner.

Advanced - bl.a. stöd för att definiera katalogägare, standarddataklassificering och kvoter

Applications - specialicerad för Hyper-V, databaser och andra serverapplikationer.

121
Q

EFS använder en kombination av symmetrisk nyckel och asymmetriska nycklar för att skydda filer från attacker. Vilket filsystem används EFS till?

A

NTFS.

122
Q

Vad kallas det inbyggda processorchipet som finns inbyggt i vissa datorer för att lagra nycklar och är ett alternativ till SmartCards?

A

Trusted Platform Module (TPM).

123
Q

Vad är skillnaden mellan BitLocker och EFS?

A

EFS har endast stöd för NTFS och krypterar endast filer och kataloger. BitLocker krypterar hela disken och kan även användas för att kryptera en hel AD-databas.

124
Q

Är det möjligt att kombinera BitLocker och EFS?

A

Ja, det är möjligt att kryptera hela disken och sedan kryptera filer och kataloger med EFS utöver det.

125
Q

Vad är standardinställningen för ärvda filbehörigheter i underliggande kataloger?

A

Filer och kataloger i underliggande kataloger ärver behörigheterna från den överliggande katalogen per default.

126
Q

Vad är skillnaden mellan List-behörighet och Read-behörighet på en katalog?

A

List tillåter dig endast att lista katalogens filer och underliggande kataloger. Read låter dig läsa filer också.

127
Q

Behörigheten Traverse Folder gäller endast för mappar. Vad innebär denna behörigheten?

A

Ger användare rätten att bläddra bland mappar för att nå andra filer eller mappar, även om användaren inte har behörighet för de traverserade mapparna.

128
Q

Vad är ett enkelt sätt att gömma en delad katalog?

A

Genom att lägga till ett dollartecken i slutet av namnet på katalogen.

Exempelvis: Mariosdeladekatalog$

129
Q

När du skapar en delad katalog, vilken behörighet är då default?

A

Read-behörigheter för alla (utom ägaren då som har full access).

OBS, detta gäller endast för de som accessar katalogen över ett nätverk, inte för användare på den lokala datorn.

När behörigheter för lokala och delade kataloger kombineras gäller de mest restriktiva behörigheterna, även om den lokala användaren har högre behörigheter.

130
Q

Om en lokal katalog delas på nätverket, vad händer då med de befintliga behörigheterna?

A

Ingenting, de förblir intakta. Däremot skapas en ny uppsättning behörigheter för användare som får åtkomst till katalogen via nätverket.

131
Q

Windows Server-infrastrukturen använder två typer av ACLer, DACL och SACL.

Vad skiljer dessa två?

A

En Discretionary Access Control List (DACL) ansvarar för behörigheter.

En System Access Control List (SACL) ansvarar för granskning.

132
Q

Detta kommandoradsverktyg kan användas för att visa, ändra, säkerhetskopiera och återställa ACL-information.

A

icacls.exe

133
Q

Inom samma NTFS-partition ärver en kopia av en katalog eller fil behörigheterna för målkatalogen du kopierar till.

Vad händer om du kopierar till en annan NTFS-partition?

A

Samma sak.

Det är endast om du kopierar till ett filsystem som inte är NTFS eller ReFS som katalogen/filen tappar sina behörigheter.

134
Q

Vad är best practice när det kommer till behörigheter på delade kataloger?

A
  1. Ta bort gruppen “Everyone” från behörighetslistorna och ersätt den med gruppen “Authenticated Users”.
  2. Använd istället den mest begränsade gruppen som innehåller de användare du vill ge åtkomst.
135
Q

Det finns två typer av Auditing tillgänglig i Windows Server.

Vilka är dessa två?

A

Basic auditing - som är lämplig för äldre operativsystem.

Advanced auditing - innehåller mer detaljerad och avancerad funktionalitet.

136
Q

Vad innebär Audit-policyn “Audit Detailed File Share” ?

A

Granskar försök till att få åtkomst till filer och mappar i en delad mapp. Det loggar en händelse varje gång en fil eller mapp nås. Event ID 5145 genereras när en händelse loggas.

137
Q

Om du lägger till en fil i en underkatalog till en katalog som är under audit, vad händer då med filen?

A

Den kommer per default också under audit. Detta eftersom audits också ärvs på samma sätt som behörigheter.

138
Q

Vad är nackdelen med att använda självsignerade certifikat?

A

Den största nackdelen är att det självsignerade certifikatet har ett mycket begränsat giltigt omfång, strikt inom själva applikationen.

139
Q

Är det möjligt att använda EFS på ett ReFS-formaterat filsystem?

A

Nej, EFS stödjer endast NTFS.

140
Q

Vad är FSRM?

File Server Resource Manager

A

FSRM är en uppsättning verktyg som låter dig bl.a. kontrollera och hantera mängden och typen av data lagrad på dina servrar.

Exempelvis: Övervaka eller sätta begränsningar på mängden eller typen filer på ett lagringsmedia eller en katalog.

141
Q

I FSRM låter Quota Management dig styra mängden diskutrymme som används på en volym eller katalog.

Vad skiljer en hård och mjuk kvot åt?

A
  1. Hård kvot HINDRAR användare från att spara filer efter att ha nått lagringsgränsen och den genererar meddelanden när datamängden når varje förkonfigurerad gräns.
  2. Mjuk kvot tillämpar inte kvotgränsen, men den genererar konfigurerade varningsmeddelanden.
142
Q

Vad heter cmdleten som låter dig se kvotinformation om en specifik katalog?

A

Get-FsrmQuota

Exempel: Get-FsrmQuota -Path “C: \ Data \ …”

143
Q

Vilka typer av File Screen Types finns det i FSRM?

A

Active och Passive.

Aktive hindrar dig från att lägga till otillåtna filtyper medan Passive endast varnar.

144
Q

Vad är Storage Reports?

A

Information om filanvändning på en filserver. Exempelvis om det finns dubletter, storleken på filer, vilka filer som öppnades senast o.s.v.

Du kan schemalägga dessa med Report tasks.

145
Q

Du jobbar på ett företag som har en server som många användare sparar dokument på. Några av dessa filer innehåller hemlig text som inte alla ska ha tillgång till.

Vad är ett enkelt sätt att hemligstämpla dessa på automatiskt?

A

Med hjälp av Classification Rules. Med dessa kan du med hjälp av regular expressions eller strängar klassificera filer i olika grad av hemligstämpling.

146
Q

Du jobbar på ett företag där Håkan (43 år och alltid stressad) varje vecka råkar skicka fel Excel-dokument som bilaga till kunder i de e-mail han skriver.

Hur kan du gå tillväga för att undvika att kunderna kan öppna filerna de mottagit om de hamnar hos fel person?

A

Du kan använda AD Rights Management Services för att lösa detta problem. Då kan endast auktoriserad användare komma åt informationen och Håkan hamnar inte i trubbel med sin chef.

( Du kan använda EFS, men detta är opraktiskt och fungerar inte på alla system. )

147
Q

Vad är en av de största nackdelarna med AD RMS?

A

Det fungerar endast i Microsoft-miljöer. AD RMS kräver .NET

148
Q

AD RMS (Rights Management Services) är en tjänst som använder flera steg i processen.

Hur ser dessa steg ut?

A
  1. Sändaren lokaliserar AD RMS-servern.
  2. Servern utfärdar ett certifikat.
  3. Sändaren skapar en fil och definierar villkoren den.
  4. Sändar-applikationen krypterar filen med en SYMMETRISK Nyckel.
  5. Den symmetriska nyckeln krypteras av serverns ASSYMETRISKA PUBLIKA nyckel.
  6. Filen skickas till mottagaren som begär en licens från servern.
  7. Servern utfärdar en licens.
  8. Servern dekrypterar den symmetriska nyckeln.
  9. Servern krypterar den symmetriska nyckeln med mottagarens publika nyckel och sammanfogar detta med licensen.

Mottagaren kan nu använda filen.

149
Q

Förklara Exclusion policies:

A

Hjälper dig att förhindra användarkonton eller appar från att använda AD RMS.
Låter dig även använda Rights Account Certificate (RAC).

150
Q

Vad är ett Rights Account Certificate (RAC)?

A

Ett RAC identifierar en specifik användare. Standardgiltighetsperioden för ett RAC är 365 dagar. Utfärdas endast till AD DS-användare som har e-postadresser som är kopplade till deras konton.

Ett RAC utfärdas första gången en användare försöker antingen komma åt AD RMS-skyddat innehåll eller utföra en AD RMS-uppgift, till exempel att skapa ett skyddat dokument.

151
Q

Hur fungerar AD RMS-gruppen Super Users?

A

Medlemmarna i denna grupp har full kontroll över allt behörighetsskyddat innehåll som hanteras av klustret och beviljas fullständiga ägarrättigheter i alla användningslicenser.

Denna grupp kan dekryptera alla rättighetsskyddade filer och även rädda innehållet i de filer där exempelvis en mall har raderats eller när filens giltighetstid är slut.

Default är denna gruppen inaktiverad, då den ska hanteras varsamt. Medlemmar har tillgång till allt AD RMS-skyddat innehåll.

152
Q

Digitala signaturer är bra för att validera innehållet och mottagaren.

För kryptering däremot så är EFS ett alternativ. Vad är en förutsättning för att EFS-kryptering ska fungera?

A

För att kunna kryptera en fil med EFS måste du ha fått ett EFS-certifikat utfärdat.

153
Q

Vad är en Global Address List (GAL) och hur fungerar den?

A

GAL är en skrivskyddad adressbok som delas över nätverket med exempelvis LDAP.

I GAL kan det även finnas certifikat länkade till mottagaren som kan användas av avsändaren för att kryptera meddelandet.

154
Q

Vad är NAP; Network Access Protection ?

A

NAP är en utdaterad Microsoft-teknik för att styra nätverksåtkomst för en dator, baserat på kravlistor.

Med NAP kan systemadministratörer för en organisation definiera policys för systemkrav, exempelvis om datorn har de senaste uppdateringarna, om datorn har den senaste versionen av antivirusprogrammen eller om brandväggen är aktiverad.

155
Q

CRLs kan bli väldigt stora i storlek och därmed opraktiska, därför används oftast inkrementella listor. Vad är ett annat ord för dessa?

A

Delta CRLs.

156
Q

Vad använder du när du ska leta upp CRLs under certifikatvalideringsprocessen?

A

Certificate Revocation List Distribution Points (CDPs).

Dessa visar var du finner CRLs.

157
Q

Vad är Authority Information Access (AIA)?

A

AIA (Authority Information Access) är ett X.509 v3-certifikat tillägg. Den innehåller en eller två typer av information:

Information om hur man når utfärdaren av det aktuella certifikatet (CA-utfärdaråtkomst).

Adress till OCSP-respondern varifrån återkallande av det specifika certifikatet kan kontrolleras.

158
Q

Vad är en Hardware security module (HSM)?

A

En fysisk modul som skyddar och hanterar nycklar, utför krypterings och dekryptering för digitala signaturer och andra kryptografiska funktioner.

Dessa moduler är vanligtvis ett PCIe eller en extern enhet som ansluts direkt till en dator eller nätverksserver.

159
Q

Vem signerar certifikatet på en root-CA i ditt eget nätverk?

A

Detta gör root-CAn själv. Certifikatet är självsignerat.

160
Q

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Network Device Enrollment Service (NDES).

Vad gör denna tjänst?

A

Med denna komponent kan routrar, switchar och andra nätverksenheter få certifikat från AD CS.

161
Q

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Certificate Enrollment Web Service (CES).

Vad gör denna tjänst?

A

Fungerar som en proxy mellan Windows-klientdatorer och CA. Det gör det möjligt att ansluta till en CA med en webbläsare för att bl.a:

  • Begära, förnya och installera utfärdade certifikat.
  • Hämta CRL.
  • Ladda ner ett rootcertifikat.
  • Registrera sig via internet eller över forests (Endast Windows Server 2008 R2 och över.)
162
Q

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Certificate Enrollment POLICY Web Service (CEP).

Vad gör denna tjänst?

A

Möjliggör att användare får information om certifikatregistreringspolicy. Kombinerat med CES möjliggör det policybaserad certifikatregistrering när klientdatorn inte är medlem i en domän eller när en domänmedlem inte är ansluten till domänen.

163
Q

Hur fungerar virtuella SmartCards.

A

Dessa utnyttjar TPM för multifaktorautentisering.

164
Q

Det finns två typer av CAs, Interna och Externa.

Vad är fördelar och nackdelar med att använda INTERNA CAs?

A

Interna CAs
Fördelar:
Ger större kontroll över certifikatförvaltning.
Billigare jämfört med en offentlig CA.
Anpassade mallar och automatisk registrering.

Nackdelar:
Är per default inte betrodd av externa klienter (webbläsare och operativsystem).
Kräver större administration.

165
Q

Det finns två typer av CA, Interna och Externa.

Vad är fördelar och nackdelar med att använda EXTERNA CAs?

A

Externa CAs
Fördelar:
Betrodda av många externa klienter (webbläsare och operativsystem).
Kräver minimal administration.

Nackdelar:
Högre kostnad jämfört med en intern CA, kostnaden baseras per certifikat.
Certifikatupphandling är långsammare.

166
Q

Vad är fördelarna med Cross-Certification när det kommer till certifikat?

A

Ger interoperabilitet mellan företag och mellan PKI-produkter, då egna certifikat kan certifieras över flera organisationer.

Fungerar med olika PKI.

Antar fullständig trust för en utomstående CA-hierarki.

167
Q

Vad heter den fil du kan använda för att automatisera ytterligare CA-installationer i din hierarki?

A

CAPolicy.inf

168
Q

Vad är policy-CAs ?

A

Underordnade certifikatutfärdare som ligger DIREKT under rot-CA i en CA-hierarki.

En policy CA utfärdar ENDAST certifikat till andra certifikatutfärdare.

169
Q

Interna CAs kan delas in i två kategorier, Stand-alone och Enterprise.

Vad är de övergripande skillnaderna mellan dessa två kategorier av CAs?

A

En Stand-alone CA kan fungera utan AD DS och är inte beroende av det på något sätt.

En Enterprise CA kräver AD DS, men det ger också flera fördelar, till exempel automatisk registrering.

170
Q

Vad är den största nackdelen med att använda en Stand-alone CA när det kommer till den administrativa biten?

A

En certifikatadministratör måste manuellt godkänna alla förfrågningar, vilket kräver större arbetsresurser.

171
Q

När du har installerat en ny CA på din dator, är det möjligt att ändra domänmedlemsskap och datornamn efteråt?

A

Nej, då måste du göra om allt från början. Var därför noggrann när du installerar en ny CA.

172
Q

Om en subordinate CA kommer att vara en Enterprise-CA, vilken grupp måste du då vara medlem i för att kunna administrera den?

A

Domain Admins.

eller en grupp med motsvarande behörigheter

173
Q

Vad används vanligtvis en Subordinate CA till?

A
  1. Specifika användningsområden som Secure Multipurpose Internet Mail Extensions (S/MIME), EFS eller Remote Access Service (RAS).
  2. Organisatoriska eller geografiska indelningar.
  3. Lastbalansering.
  4. För att öka feltoleransen.
174
Q

AD CS ger dig möjligheten att delegera CA-relaterade roller till användare och/eller grupper.

Vilka är några av de vanligaste rollerna du kan fördela?

A
CA administrator
Certificate manager
Backup operator
Auditor
Enrollees
175
Q

Hur ska du gå tillväga för att utföra en CA-säkerhetskopia?

A
  1. Kopiera namnen på certifikatsmallarna.
  2. Gör en backup i CA-admin konsollen.
  3. Exportera Registry subkey.
  4. Säkerställ att %SystemRoot%-katalogen ligger på samma ställe på målservern du vill göra en kopia till.
176
Q

Vilka versioner av Certificate Template; Certifikatmallar stödjer Windows Server 2019?

A

Template version 1, 2, 3, och 4.

Även Windows Server 2012, 2012 R2 och 2016 stödjer dessa versioner. Har du äldre enheter än Windows Server 2012 i nätverket kommer dessa inte stödja version 4.

177
Q

Associerat med varje certifikatmall är en DACL. Vad gör denna?

A

Definierar vilka security principals som har behörigheter att läsa och konfigurera mallen och vilka security principals som kan registrera eller använda automatisk registrering för certifikat.

178
Q

Vad är best practice när det kommer till Certificate Templates-behörigheter?

A

Tilldela endast behörigheter till globala eller universella grupper.

Detta beror på att certifikatmallobjekten lagras i konfigurationens naming context i AD DS. Du bör undvika att tilldela behörigheter för en certifikatmall till enskilda användare eller konton.

179
Q

Certifikat kan vara antingen Single Purpose eller Multiple-Purpose. Vad är syftet med respektive sort?

A
Single Purpose: Ett enskilt syfte. 
Exempelvis:
Låt användare logga in med en smartkort.
EFS kryptering
IPSec

Multiple-Purpose: Kombinera flera certifikat som har enskilda syften och ofta används tillsammans.

180
Q

Det finns två sätt att uppdatera en certifikatmall, Modifying och Superseding. Vad är skillnaden?

A

Modifying:
När du ändrar så uppdaterar du endast den befintliga mallen. Lämpligt för enklare förändringar.

Superseding:
När du ersätter en mall så gör du det oftast för att det gamla innehållet inte är tillämpligt längre eller för att du vi slå ihop två andra mallar som gör ungefär samma sak. Vid sammanslagning så börjar den nya mallen automatiskt att användas när de två tidigare utgår.

181
Q

Vad är några av de vanligaste orsakerna till att du behöver återkalla ett certifikat?

A

Exempelvis att nyckeln har läckt ut, den som certifikatet är utfärdat till slutar på sitt jobb eller att nya ändringar måste göras innan det gamla slutar gälla.

182
Q

Autoenrollment är den vanligaste metoden för att utfärda certifikat. Hur fungerar denna metoden?

A
  1. Certifikatmallen konfigureras med Auto-behörigheter för behöriga användare.
  2. CAn konfigureras för att utfärda mallen.
  3. Ett GPO för autoenrollment skapas och appliceras på den site/domän/OU som ska använda det.
  4. Klienten tar nu emot certifikatet automatiskt vid nästa GPO-refresh.
183
Q

Vad är en Enrollment Agent?

A

En användare som har behörigheten att hantera certifikat åt en annan användare.

Exempelvis användare på en HR-avdelning är ofta Enrollment Agents, då de behöver behandla andra användares registrering av SmartCards o.s.v.

En Enrollment Agent kan endast BEHANDLA en annan användares begäran.

184
Q

Vad är NDES (Network Device Enrollment Service)?

A

NDES är Microsofts implementering av Simple Certificate Enrollment Protocol (SCEP).

Ett kommunikationsprotokoll som gör det möjligt för programvara som körs på routrar och switchar att registrera sig för X.509-certifikat från en CA.

185
Q

Vad är Microsoft CryptoAPI?

A

Ett gränssnitt som bl.a. tillhandahåller tjänster för att göra det möjligt att säkra Windows-applikationer som använder kryptering.

Det finns bland annat ett CryptoAPI som ansvarar för certifikat-återkallanden och statuskontrol av certifikat.

186
Q

CryptoAPIt för certifikatkontroll använder ett antal faser i kontrollprocessen. Vilka är dessa?

A

Certificate discovery, Path validation och att upptäcka återkallanden.

187
Q

Vad är S/MIME?

A

Secure/Multipurpose Internet Mail Extensions.

En standard för kryptering av e-post. Den baseras på SSL-liknande certifikat. Varje mottagare av e-post krypterad med S/MIME behöver på detta sätt skaffa ett digitalt certifikat, utfärdat av en CA.

188
Q

Nyckelarkiveringsfunktionen är inte aktiverad som standard. Vilka åtgärder krävs för att denna ska fungera automatiskt?

A
  1. Konfigurera KRA-certifikatmallen (Key Recovery Agent).
  2. Konfigurera Certificate Managers. Certificate Manager innehar en privat nyckel för giltiga KRA-certifikat. CA-administratören är per default Certificate Manager för alla användare.
  3. Aktivera KRA.
  4. Konfigurera användarmallar.
189
Q

Hur går du tillväga för att återskapa en förlorad nyckel till ett certifikat?

A

Certificate Managern extraherar serienumret för certifikatet och hämtar rätt BLOB från CA-databasen.

Därefter överför Certificate Managern PKCS # 7 BLOB-filen till KRA.

KRA (Key Recovery Agent) återskapar nyckeln. Användaren som förlorat sin nyckel kan sedan importera nyckeln.

190
Q

Vad är ett Private key BLOB?

A

Ett Binary Large OBject som innehåller ett fullständigt publikt/privat nyckelpar. Private key BLOBs används av administrativa program för att transportera nyckelpar.

Eftersom den privata nyckeldelen av nyckelparet är extremt konfidentiell, hålls dessa BLOBs vanligtvis krypterade med ett symmetriskt chiffer.

Dessa key-BLOBs kan också användas av applikationer där nyckelparen lagras i applikationen snarare än att förlita sig på CSP:s lagringsmekanism.

191
Q

Är det möjligt att använda Active Directory utan DNS?

A

Nej, DNS krävs för att Active Directory ska fungera.

192
Q

Du har en domänkontrollant som är konfigurerad med en forest functional level Windows Server 2019 och ska nu ändra denna till 2016 för att testa mjukvara.
Hur gör du för att ändra forest functional level till en äldre version?

A

Det är inte möjligt att göra.

Du måste radera din domänkontrollant helt och installera om den med en ny functional level. Det är endast möjligt att uppgradera, inte nedgradera.

193
Q

Vilken funktion fyller LDAP (Lightweight Directory Access Protocol) I AD-sammanhang?

A

LDAP möjliggör dataöverföring mellan AD-tjänster och applikationerna som nyttjar dessa.

194
Q

Du vill installera ytterligare en domänkontrollant i din domän. Vad är tre viktiga steg du måste göra?

A

Du måste välja var Sysvol och log-katalogerna är placerade.

Du måste specificera domännamnet som domänkontrollanten ligger under och specificera och lösenordet till AD SRM (Services Restore Mode).

195
Q

I vilken ordning läses och appliceras gruppolicy?

A
  1. Local
  2. Sites
  3. Domain
  4. OUs
196
Q

Om du flyttar en delad katalog från en server till en annan, vad händer då med de filbehörigheterna som var knutna till katalogen på ursprungsplatsen.

A

De försvinner.

Den delade katalogen kommer per default tilldelas de filbehörigheterna som finns på den nya destinationen. Du kan alltså behöva ändra konfigurationerna igen på den nya destinationen.

197
Q

Vad påverkas av Default Domain Policy GPOn ?

A

Alla användare och datorer på SAMMA domän som GPOn.

198
Q

När en fil eller katalog skapas av operativsystemet, vilket objekt blir ägaren till denna?

A

Gruppen “Administrators”.

199
Q

Mario är kassör för Windowsutbildarna i Sverige och har fulla behörigheter för OUn “Ekonomi”. Mario vill ändra så att användarkontona under “Ekonomi” ska ha en ny Account Lockout Policy GPO och länkar denna till “Ekonomi”.

Trots att Mario har fulla behörigheter så fungerar inte de nya inställningarna. Varför?

A

Account Lockout Policies som länkas till en OU fungerar inte. Account Lockout Policies måste länkas direkt till en domän.

Default Domain Policyn styr detta och det är denna som Mario måste ändra.

200
Q

Vilka är Standard NTFS-behörigheterna?

A
Read (R)
Write (W)
List Folder Contents (L)
Read & Execute (RX)
Modify (M)
Full Control (FC)
201
Q

Vad kan du använda för att hindra att ett GPO påverkar en OU längre ner i hierarkin.

A

Du kan applicera Block Policy Inheritance på OUn du inte vill ska påverkas av GPOt.

(OBS, detta fungerar tillexempel inte på Account Lockout Policies)

202
Q

Vad skiljer strategerna Traditional Security och Assume Breach åt?

A

Traditional Security förutsätter att datan inte har attackerats och att hoten är externa.

Assume Breach antager att angriparna redan har utnyttjat svagheter i systemet för att komma åt datat.

203
Q

Vad skiljer en phishing och en spearphishing-attack åt?

A

Spear-phishing riktar sig mot en specifik individ, medan en ordinarie phishing-attack inte är riktad mot en specifik individ.

204
Q

Vad är en incident response strategy?

A

En tillvägagångsplan om ett intrång upptäcks.

Exempelvis att polisanmäla, gå ut med information till berörda parter, vilka åtgärder som behövs för att det inte ska hända igen o.s.v. I EU/EES regleras delar av detta i GDPR.

205
Q

Vad heter Microsofts IDS?

A

Microsoft’s Advanced Threat Analytics.

Sysinternals tools kan även vara ett verktyg du kan använda vid ett intrång.

206
Q

Vad är viktiga åtgärder när det kommer till eventloggar på systemet?

A

Konfigurera systemet så att alla viktiga event ur säkerhetssynpunkt loggas.

Se till att kopiera över loggarna till en extern server kontinuerligt, då angriparen kan försöka radera loggarna för att sopa igen spåren efter sig.

Se även till att arkivera loggar så att du kan gå tillbaka i tiden om ett angrepp upptäcks senare.

207
Q

Hur kan en angripare använda Task Scheduler?

A

Till exempel exfiltrera data genom att konfigurera en schemalagd uppgift som utlöser ett skript, som i sin tur laddar upp exfiltrerade data till en remoteserver på internet varje dag.

Ett annat exempel kan vara ett skript som skapar ett nytt privilegierat lokalt konto som utlöses som en schemalagd uppgift varje gång datorn startar om.

208
Q

Vad är Sysinternals-tools?

A

Diagnostiska verktyg för att felsöka problem och undersöka säkerhetsöverträdelser i Windows-system.

Verktygen kan delas in i följande kategorier:

  • Fil- och diskar
  • Nätverk
  • Process
  • Säkerhet
  • Systeminformation
  • Diverse
209
Q

System Monitor, eller Sysmon, används för att övervaka systemet. Vad är de olika Event-ID som skrivs till loggen?

A

Event-ID 1. Skapande av en ny process
Event-ID 2. Skapande av en ny fil
Event-ID 3. Ny nätverksanslutning upptäckt
Event-ID 5. Processen avslutad
Event-ID 6. Drivrutin laddad
Event-ID 7. Bild laddad
Event-ID 8. Fjärrtrådsskapande upptäcktes

210
Q

AccessChk är ett verktyg för att verifiera att korrekta behörigheter är satta och inte har ändrats.

Vad kan du kontrollera behörigheter för ?

A
Filer
Kataloger
Registreringsnycklar
Globala objekt
Windows-tjänster
211
Q

Vilket verktyg kan du använda för att se vilka applikationer som är konfigurerade att automatiskt starta vid uppstart av systemet eller när en användare loggar in?

A

Autoruns

212
Q

Vilket verktyg kan du använda för att visa alla aktiva inloggningssessioner och se vilka processer som körs i varje aktiv session?

A

LogonSessions

213
Q

Vad skiljer verktygen Process Explorer och Process Monitor åt?

A

Process Explorer är en mer avancerad version av Aktivitetshanteraren.

Process Monitor ger dig information i realtid om filsystem, register-, process- och trådaktivitet m.m. Kan användas för avancerad loggning.

214
Q

Du misstänker att angripare har mixtrat med en fil på ditt system. Vilket verktyg kan du använda för att kontrollera filens legitimitet?

A

Sigcheck.

Du kan använda Sigcheck för följande:

  • Versionsnummer för fil
  • Filinformation om tidsstämpel
  • Registrera information om digital signatur, inklusive certifikatkedjor
  • Kontrollera filens status med VirusTotal
215
Q

För rent administrativa arbeten med systemet bör du ha en dedikerad dator, en Privileged Access Workstation.

Hur bör en sådan konfigureras?

A
  • Endast behöriga användare ska kunna logga in på den.
  • Programkörning är begränsad till betrodda applikationer som används för att utföra administrativa uppgifter med Device Guard och AppLocker-policyer.
  • Se till att Credential Guard och BitLocker är aktiverat.
  • Blockera remote access till datorn.
216
Q

Vad är en Jump server och hur fungerar den?

A

En server som användare ansluter till med hjälp av Remote Desktop när de vill utföra administrativa uppgifter.

Jump servern fungerar som en slags säker brygga mellan två olika säkerhetszoner i nätverket.

217
Q

Microsoft Local Administrator Password Solution (LAPS) är en lösenordshanterare som använder Active Directory för att hantera och automatiskt byta ut lösenord för lokala administratörskonton.

Hur fungerar detta?

A

LAPS kräver att varje lokalt administratörskonto har ett unikt lösenord. Lokala administratörskonton finns på varje dator i systemet och kan tillexempel användas om anslutningen till domänen skulle förloras. I en stor organisation med tusentals klienter blir detta svårhanterat och LAPS kan underlätta.

LAPS gör så att lösenorden är randomiserade och bytas ut automatiskt med jämna mellanrum.

Kräver en AD-domänfunktionsnivå som är Windows Server 2003 eller högre. Du installerar LAPS på klienten med en MSI-fil.

218
Q

LAPS kan automatiskt byta lösenord på lokala administratörskonton.

Hur tar administratören reda på det nya lösenordet om LAPS har ändrat det automatiskt?

A

Antingen i LAPS UI-applikationen, AD Users and Computers eller genom PowerShell.

219
Q

Det finns två olika IPSec-modes, Transport & Tunnel.

Vad skiljer dessa två åt?

A

Transport mode:
Är default-läget. Payloaden är krypterad, men headern är inte det. Används för end-to-end kommunikation mellan två hostar som är IPSec-kompatibla.

Tunnel mode: Hela originalpaketet krypteras och omsluts av ett nytt paket med en AH- eller ESP-header. Används för överföring där hostarna inte är IPSec-kompatibla. Används för exempelvis Server-to-server eller Gateway-to-gateway.

220
Q

IPSec konfigureras ofta med brandväggs-policys, men det är även möjligt att göra detta med GPO.

Vilka är de fördefinierade IPSec-policyerna om du använder GPOs?

A

Client (Respond Only):
Klienter förhandlar bara om säkerhets- och autentiseringsmetoder på begäran.

Server (Request Security):
Datorn begär alltid säkerhet med Kerberos V.5 för IP-trafik, men tillåter kommunikation utan säkerhet.

Secure Server (Require Security):
Datorn kräver alltid en säker anslutning för all IP-trafik och för att blockera icke pålitliga datorer. Använder endast Kerberos-autentisering som standard.
221
Q

Vad skiljer grupperna Domain Admins och Enterprise Admins åt när det kommer till administration av DNS?

A

Domain Admins har fullständiga behörigheter för DNS-servern i sin hemdomän.

Enterprise Admins har fullständiga behörigheter för alla DNS-servrar alla domäner i foresten.

222
Q

Vilken grupp ska du lägga till en användare i om du vill att denne ska kunna administrera inställningar och konfigurationer för DNS i den egna domänen?

A

DNS Admins

223
Q

Om du har en DNS-zon som en AD-integrerad zon, hur gör du då enklast en backup?

A

Gör en backup av ntds.dit (AD-databasen), denna fil inkluderar även din DNS-zon.

224
Q

Hur fungerar Netmask Ordering på en DNS-server?

A

Adresser till hostar som finns i samma subnät som den begärande klienten kommer att ha en högre prioritet i DNS-svaret till klienten.

Om flera A-records är associerade med samma DNS-namn och varje A-record finns på ett annorlunda subnät, returnerar Netmask Ordering ett A-record som finns på samma subnät som klienten som gjorde begäran.

225
Q

Vad är en DNS socket pool?

A

Möjliggör för en DNS server att använda source port randomization när den hanterar DNS-förfrågningar.

DNS-servern väljer ett slumpmässigt portnummer som den väljer från poolen, istället för ett fast portnummer.

226
Q

Vad är NRPT (Name Resolution Policy Table) ?

A

En sorts regelbok för hur DNS-klienten skickar och tar emot DNS-förfrågningar.

227
Q

Vad är Response Rate Limiting (RRL) och hur fungerar det?

A

RRL hjälper till att förhindra attacker mot Windows DNS-servrar genom att skydda mot DNS amplification attacker.

Default är RRL inaktiverat på Windows DNS-server. Aktivera med kommandot: Set-DNSServerRRL.

228
Q

Vad är DANE och hur fungerar det?

DNS-based Authentication of Named Entities

A

Ett protokoll för att binda X.509-certifikat till DNS-namn. Använder DNSSEC för att säkerställa att rätt CA svarar.

Ett verktyg för att motverka man-in-the-middle-attacker.

229
Q

Både Windows-loggar and Applications & Services-Loggar kan delas in i tre huvudsakliga nivåer.

Vilka är dessa tre?

A

Information:
Grundläggande status och händelser i systemet.

Error:
Allvarliga problem som administratörer bör meddelas om och adressera omedelbart, exempelvis prestandaproblem eller hårdvarufel.

Warning:
Indikerar ett tillstånd som för närvarande är acceptabelt men som kan bli kritiskt om det inte adresseras.

230
Q

Performance counters används för att mäta hur väl väl operativsystemet eller en applikation/tjänst fungerar.

Vad är exempel på Performance counters?

A

Exempelvis:

Primary Processor Counters - Interrupts per sekund, Queue Length och kapacitet.

Memory Counters - Överföring av data mellan disk (Virtuellt minne) och fysiskt minne.

Primary Disk Counters - Average Disk Queue Length.

Primary Network Counters - Anslutningar, överföring m.m.

231
Q

Vad är Data Collector Sets?

A

Helt enkelt en samling enskilda mätpunkter av systemet du sedan kan använda för att studera i exempelvis Performance Monitor.

232
Q

Windows Servers startprocess kan delas upp i 4 huvudsakliga delar.

Vilka är dessa fyra delar?

A
  1. BIOS/EFI or UEFI initialization
  2. OS Loader
  3. Main Startup Cycle
  4. Post-Startup
233
Q

Vad gör WinLoad.exe under startprocessen av ett system?

A

WinLoad.exe laddar in operativsystemets nödvändiga delar i minnet.

234
Q

Servrar kan utsättas för attacker under startprocessen, även före operativsystemet är laddat. Det gör att skadlig programvara kan potentiellt köras oupptäckt i kerneln.

Vad är de inbyggda verktygen för att motverka detta?

A

Secure Boot - ser till att firmware är digitalt signerad och inte har förändrats.

Early Launch Anti Malware (ELAM) - Anti-malware som undersöker startdrivrutinerna.

Measured Boot - Rootkit-skydd som kontrollerar varje startkomponent inkl. firmware hela vägen upp till startdrivrutinerna. Denna information lagras sedan i en Trusted Platform Module (TPM).

Varje uppstart kontrolleras sedan mot informationen i TPM.

235
Q

Under Windows startprocess kan flera fel inträffa.

Vad är några av de verktyg du kan använda för att felsöka startprocessen?

A

Safe Mode - startar med bara de nödvändigaste drivrutinerna och kan möjliggöra felsökning i detta läge. Finns i kommandotolk-, GUI- eller Nätverksläge.

Last Known Good Configuration - Systemets konfiguration körs i det tillstånd det var i slutet av den senaste framgångsrika starten och inloggningen.

236
Q

Under Windows startprocess kan flera fel inträffa.

Vad heter det läge du kan starta en dator som är domänkontrollant i för att felsöka utan att domänkontrollant-tjänsten är aktiv?

A

Directory Services Restore Mode.

237
Q

Vid uppstart av systemet ser du meddelanden som “Ogiltig partitionstabell”, “Fel vid inläsning av operativsystem” eller “Operativsystem saknas”.

Vad kan då vara felet och hur löser du det?

A

Systemets Master Boot Record (MBR) kan vara skadat/saknas på grund av hårddiskfel, korruption eller förstört av malware.

Kör kommandot bootrec / fixmbr, annars gäller det att ersätta disken eller installera om från backup.

238
Q

Vid uppstart av systemet ser du meddelandet “Windows kunde inte starta eftersom följande fil saknas eller är korrupt”.

Vad kan då vara felet och hur löser du det?

A

Volymen som en systemfil ligger på är skadad eller så är filen skadad/raderad.

Kör chkdsk-kommandot, vilket försöker reparera volymkorruptionen.

OBS, ReFS har automatisk detektion och reparation, därför är chkdsk till för NTFS.

239
Q

Vad innebär Failover Clustering?

A

En grupp servrar (noder) arbetar tillsammans för att tillhandahålla en uppsättning applikationer eller tjänster.

Skulle en eller flera noder falla bort så kan tjänsten fortfarande fungera efter att enheterna röstar om resurserna som är kvar räcker för att driva tjänsten. Gör de inte det går tjänsten ner. Varje nod har en LUN kopplad till sig. En LUN är en Logical unit number, en logisk disk.

Kallas även High-availability cluster.

240
Q

Hur fungerar Network Load Balancing (NLB) ?

A

I en NLB-konfiguration körs flera servrar oberoende och delar inte några resurser.

Klientförfrågningar distribueras mellan servrarna, NLB distribuerar belastningen till en annan server om en misslyckas. NLB kan öka prestanda och tillgänglighet.

241
Q

När du ska räkna ut Availability, brukar du vanligtvis inkludera tid för planerade avbrott för uppgifter som underhåll, Service Pack-uppdateringar m.m. ?

A

Nej, vanligtvis brukar Availability beräknas utefter oplanerade avbrott endast.

242
Q

Vad är den övre begränsningen av storleken på ett Failover Cluster som kör Windows Server 2019?

A

64 fysiska noder och 8000 virtuella maskiner per kluster.

243
Q

Vad är Cluster-Aware Updating (CAU) ?

A

Automatisk uppdatering av noder i klustret med Windows Update Hotfix genom att hålla klustret online och därmed minimera downtime.

I äldre versioner är detta inte möjligt.

244
Q

Vad innebär Dynamic Quorum när det kommer till Failover Clustering?

A

Gör det möjligt för ett kluster att räkna fram nya beslut för att återupprätta fungerande klusterroller om en nod skulle fallera.

245
Q

Vad innebär rollen “Witness” i ett Failover Cluster?

A

En fileshare eller disk som används för att upprätthålla kvorumet (beslutsmässigheten).

Vittnets roll är att tillhandahålla en ytterligare kvorumröst (en Casting Vote) när det behövs för att säkerställa att ett kluster fortsätter att fungera i händelse av ett avbrott.

Måste vara tillgängligt för alla noder i klustret.

246
Q

Förklara Cluster Shared Volumes (CSV):

A

En delad klustervolym är en delad disk som innehåller en NTFS- eller ReFS-volym som noder kan läsa och skriva till. CSV möjliggör att flera noder kan dela en enda LUN samtidigt.

En LUN är en Logical unit number, en logisk disk.

(Tekniskt sett är ett LUN ID-numret för en logisk disk, men har nu blivit synonymt med disken själv)

247
Q

High-availability/Failover cluster kan konfigureras med huvudsakligen 4 olika typer av “valsystem”.

Vilka är dessa system?

A

Node Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Endast noder har rösträtt.

Node and Disk Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett disk-vittne kan kallas in som har en Casting Vote om det blir oavgjort.

Node and File Share Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett File Share-vittne kan kallas in som har en Casting Vote om det blir oavgjort.

No Majority (diktatur):
Endast en delad disk har ensam bestämmanderätt över alla enheter. Är disken offline är klustret offline.
248
Q

Hur fungerar ForceQuorum Resiliency?

A

Säg att du har fem noder i ett kluster, tre i Malmö och två i Kvistofta. Om förbindelsen mellan dessa platser skulle brytas skulle klustret delas upp i två delar där Malmöklustert fortsätter fungera (3/5) och det i Kvistofta stänger ner (2/5). Då skapas ett “Split Brain Syndrome Cluster”.

När internetförbindelsen återupprättas så har du två noder som är auktoritativa och du kommer ha två kluster som inte samarbetar. ForceQuorum Resiliency är en funktion som utser en ny auktoritativ nod som de andra automatiskt kommer ansluta till och originalklustret återställs.

249
Q

I tidigare versioner av Windows Server stannar båda sidorna av klustret om två platser har lika många noder och ett Witness fallerar.

Hur löses detta i nyare versioner av Windows Server?

A

Med funktionen “Tie Breaker for 50% Node Split”. Denna funktion ser till att manipulera röstlängden så att det alltid finns ett udda antal röster.

Detta gör att en nod får två röster i detta fallet så att klustret kan fortsätta fungera.

250
Q

Vad är viktigt att tänka på när det kommer till nätverket när du ska koppla ihop ett High-availability/Failover cluster?

A

Det bästa är om du har både ett privat nätverk som klustret kan kommunicera på internt och ett publikt nätverk som användare kan använda för att komma åt tjänsten som klustret tillhandahåller. Därför har varje nod oftast flera nätverkskort.

Det är möjligt att ha all kommunikation på ett Public-and-private network, men det har inte lika hög prestanda, tillförlitlighet och säkerhet.

iSCSI bör alltid ha ett dedikerat nät.

251
Q

Vad är de huvudsakliga delarna av ett system som kräver uppdatering?

A
  • Operativsystemets kärnfiler och Dynamic-link library (DLL); delade programbibliotek.
  • Drivrutiner
  • Applikationer
252
Q

Vad är Windows Server Update Services (WSUS)?

A

Ett verktyg för nätverksadministratörer som förenklar uppdateringar på alla datorer i nätverket. Utan denna funktion måste varje dator uppdateras manuellt.

Du kan organisera datorer i grupper för specifika uppdateringsregler.

Istället för att varje dator laddar ner samma uppdateringsfiler oberoende av varandra, hämtar endast WSUS-servern filerna från Windows Update-servrarna. Detta sparar mycket bandbredd om du har många enheter i nätverket.

253
Q

Vad är de viktigaste delarna när det kommer till troubleshooting?

A

Bedömning av inverkan - Hur allvarligt är det som har hänt? Vilka system är påverkade? Bästa tillvägagångssätt för att åtgärda problemet?

Kommunikation - Informera berörda parter om felsökningsprocessens framsteg, tidsberäkningar m.m.

Dokumentation - Dokumentera allt om hur du går tillväga, detta gör att det blir enklare att gå tillbaks om du har missat något.

254
Q

Vilka är de 8 stadierna i troubleshooting-processen?

A
  1. Define
  2. Gather
  3. Determine
  4. Develop
  5. Implement
  6. Test
  7. Results

Är resultatet det önskvärda avslutas processen (8.), annars återgår den till Develop och fortsätter därifrån.

255
Q

Vad är några av de vanligaste verktygen för troubleshooting i Windows Server?

A

Exempelvis:

Event Viewer
Task Manager
Resource Monitor
Reliability Monitor
Performance Monitor
Command-Line Tools och Windows PowerShell

Externa resurser (som exempelvis Microsoft Knowledge Base Articles)

256
Q

Vad är iLO?

A

Integrated Lights-Out. Är en proprietär HP-teknik som tillåter serveradministration out-of-band.

Detta gör det möjligt att remoteansluta på ett separat nätverk som har en egen dedikerad ethernet-port på HP-enheten.

Andra tillverkare har liknande lösningar.