Windows Hardening

Question 1

Vad är det som kännetecknar en Workgroup?

Answer 1

I en Workgroup är alla datorer peers, d.v.s ingen dator har kontroll över en annan dator.

Varje dator har en egen uppsättning användarkonton och det finns oftast inte så många datorer i varje workgroup.

Question 2

Vad är det som kännetecknar en Microsoft domain?

Answer 2

En eller flera datorer är servrar som bl.a. kontrollerar säkerhet och behörigheter för alla datorer på domänen.

Du kan logga in på valfri dator i domänen med ditt användarkonto.

Oftast ett stort antal enheter inom en domän, jämfört med en Workgroup.

Question 3

Hur fungerar en seriell databuss?

Answer 3

Data packas och skickas sekventiellt över en enda kanal.

Question 4

Hur fungerar en parallell databuss?

Answer 4

Datapaket kan skickas samtidigt via flera kanaler.

Question 5

Windows Server Software Arkitekturen har två olika “modes”.

Vilka är dessa?

Answer 5

User mode & Kernel mode.

Question 6

Du behöver 7 stycken Hyper-V containers.

Vilken version av Windows Server 2019 ska du välja, Standard eller Datacenter?

Answer 6

Datacenter, denna har stöd av ett obegränsat antal medan standard endast har stöd för 2.

Question 7

Server Core är ett minimalt GUI-installationsalternativ.

Vilka är fördelarna med att välja detta?

Answer 7

Minskad servicekostnad
Minskad administrativ kostnad
Minskad resurskostnad
Minskad attackyta på systemet

Question 8

Specifikt endast för Server Core-installationer är detta ett kommandoradstyrt administrativt verktyg som låter dig utföra de grundläggande serveradministrativa uppgifterna.

Vilket verktyg åsyftas?

Answer 8

Sconfig.cmd.

Question 9

Vad är en serverroll?

Answer 9

En roll är serverns primära funktion/funktioner som är en gruppering av funktioner och tjänster som serveradministratören anger.

Exempel på en serverroll inkluderar bl.a. DNS & webbserver.

Question 10

Vad är en serverfeature?

Answer 10

Features är oberoende komponenter som ofta stöder rolltjänster eller stöder servern direkt.

Exempelvis Windows Server Backup är en feature.

Question 11

Vad är en service?

Answer 11

Ett bakgrundsprogram som utför en tjänst.

Exempelvis Print Spooler, som läser in filer i minnet för utskrift.

Question 12

Förklara en Device driver:

Answer 12

En Device Driver (enhetsdrivrutin) är ett litet program som gör att datorn kan kommunicera med en specifik hårdvaruenhet (device).

Question 13

Är det möjligt att installera en osignerad drivrutin i 64-bitars Windows?

Answer 13

Nej, en drivrutin som inte har en giltig digital signatur eller som ändrades efter att den signerades kan inte installeras på 64-bitarsversioner av Windows.

Question 14

Vad är Windows Deployment Services?

Answer 14

Windows Deployment Services är till för automatisk distribution av Windows-operativsystemet. Är ett exempel på en serverroll.

Question 15

Vad har MSConfig.exe för funktion?

Answer 15

Ändra i Windows Server-inställningar och felsöka problem vid uppstarten av systemet. Är ett systemkonfigurations- och hanteringsverktyg.

Question 16

Vad står AD DS för?

Answer 16

Active Directory Domain Services

Question 17

Förklara kort vad AD DS är:

Answer 17

AD DS-databasen är det centrala navet för alla domänobjekt, till exempel användarkonton, datorkonton och grupper.

Question 18

Om du har en samling domäner under samma AD DS, vad kallas då detta?

Answer 18

En forest.

Question 19

Vad finner du i en Domain controller?

Answer 19

En uppsättning av AD DS-databasen.

För de flesta operationer kan varje domänkontrollant bearbeta ändringar och replikera ändringarna till alla andra domänkontrollanter i domänen.

Question 20

Vad är ett schema?

Answer 20

Ett schema är en uppsättning definitioner av objekttyper och attribut som du använder för att skapa objekt i AD DS.

Question 21

Vad är en domän?

Answer 21

En domän definieras som en logisk grupp av nätverksobjekt (ex. datorer, användare, nätverksenheter) som delar samma Active Directory-databas.

Question 22

Vad är en Organisationsenhet OU?

Answer 22

Organisationsenheter (OU) i en AD DS-hanterad domän gör det möjligt att logiskt gruppera objekt, till exempel användarkonton, servicekonton eller dator konton.

Du kan sedan tilldela administratörer till specifika OUs och tillämpa gruppolicies för att implementera aktuella konfigurationsinställningar.

Question 23

Hur fungerar en Read-only domain controller (RODC)?

Answer 23

EN RODC är en skrivskyddad domänkontrollant som innehåller en skrivskyddad AD DS-databaskopia.

Question 24

En RODC använder sig av enkelriktad replikering. Vad innebär detta?

Answer 24

Detta innebär att replikering bara sker från en skrivbar domänkontrollant till RODC. RODC kan inte sprida felinformation till resten av domänen, även om en ändring görs på RODC.

Question 25

Vad står AAA för?

Answer 25

Authentication, Authorization, and Accounting

Question 26

När är det lämpligt att skapa en OU?

Answer 26

När du vill konfigurera objekt genom att tilldela GPOs (Group Policy Objects) eller delegera administrativa rättigheter.

Question 27

Vad är en forest ?

Answer 27

En Forest är en samling Trees som delar en gemensam global katalog, schema, logisk struktur och katalogkonfiguration.

En Forest representerar säkerhetsgränsen inom vilken användare, datorer, grupper och andra objekt är tillgängliga. Inga användare utanför en Forest kan komma åt resurserna på insidan.

Question 28

Vad är Privileged Access Management (PAM)?

Answer 28

PAM lägger till skydd till privilegierade grupper som kontrollerar åtkomsten på många olika domänanslutna datorer och program på dessa datorer.

Detta gör det möjligt för organisationer att se vem deras privilegierade administratörer är och vad de gör.

Question 29

Vad är en Global catalog?

Answer 29

En global katalogserver är en domänkontrollant som lagrar kopior av alla Active Directory-objekt i din forest .

Question 30

På varje domänkontrollant finns det en data store som innehåller AD DS-databasen. AD-informationen finns i en speciell fil med tillhörande loggfiler.

Vad heter denna fil?

Answer 30

Ntds.dit

Question 31

När du ändrar valfritt objekt i en domän så skickar domänkontrollanten ut information om detta till de andra domänkontrollanterna i domänen.

Vad heter den model som tillåter alla domänkontrollanter att göra ändringar i objekt?

Answer 31

Multi-master replication model.

Question 32

Windows Auditing är ett system för att logga händelser i systemet. Vilka typer av händelser kan du logga?

Answer 32

Exempelvis:

Försök att komma åt och logga in på en viss enhet, oavsett om dessa försök är framgångsrika eller inte.

Ändringar i Active Directory-konfigurationer eller användarprofiler.

Klient-serveråtkomst från en fjärrmaskin till en Windows-server.

Question 33

Vad är en viktig begränsning för Containers?

Answer 33

Det är inte möjligt att tillämpa en GPO direkt på en container.

Question 34

Här hamnar nya datorkonton som du skapar i domänen per default:

Answer 34

Computers containern

Question 35

Vad är Microsoft Passport?

Answer 35

Ett nyckelbaserat autentiseringssystem.

Användare loggar in med en PIN-kod eller biometrisk information som är länkad till ett digitalt certifikat eller ett asymmetriskt nyckelpar.

Question 36

Vad heter den funktionen som gör att du kan integrera AD DS lokalt med Azure AD?

Answer 36

Azure AD Connect

Question 37

Är det lämpligt att endast ha en domänkontrollant för AD DS?

Answer 37

Nej, för redundansskäl är det bäst att alltid ha minst två domänkontrollanter.

Question 38

Varje domänkontrollant innehåller en kopia av AD DS-databasen och SYSVOL-mappen.

Vad innehåller SYSVOL-mappen?

Answer 38

SYSVOL-mappen innehåller alla template-inställningar och filer för GPO.

Question 39

Vad heter den open source-autentiseringstjänst som användarkonton och datorkonton använder för inloggningsautentisering?

Answer 39

Kerberos

Question 40

I en AD DS-domän finns det flera roller som är distribuerade över domänkontrollanterna.

Vilka är de 5 FSMO rollerna? (Flexible Single Master Operation)

Answer 40

Schema Master - en per forest

Domain Naming Master - en per forest

Relative ID (RID) Master - en per domän

Primary Domain Controller (PDC) Emulator - en per domän

Infrastructure Master - en per domän

Question 41

Vilket nummer slutar alltid Domänadministratörskontots SID med?

Answer 41

500

Question 42

Vad heter den .exe fil som används för att lägga till eller ta bort en domänkontrollant i din forest?

Answer 42

dcpromo.exe

Question 43

Vilket verktyg använder du för att överta en DC-roll för en maskin som ligger nere?

Answer 43

Kommandoradsverktyget ntdsutil.exe

Question 44

Vad är en Stub Zone?

Answer 44

Stubzoner är som en sekundär zon, men lagrar endast partiell zondata.

Dessa zoner är användbara för att minska zonöverföringar genom att skicka förfrågningarna till auktoritativa servrar. Dessa zoner innehåller endast SOA-, NS- och A-records.

Question 45

När du ska planera din OU-struktur så finns det 4 huvudsakliga “strategier” du kan använda. Vilka är dessa?

Answer 45

Location-based strategy
Resource-based strategy
Multitenancy-based strategy
Organization-based strategy

(Det går även att skapa en egen hybridmodell utefter dessa)

Question 46

För vilka lämpar sig en Multitenancy-baserad OU-strategi?

Answer 46

Exempelvis för organisationer som tillhandahåller Active Directory-infrastrukturen som en tjänst (IaaS) till andra organisationer.

Det kan vara en grupp anslutna organisationer som delar samma domän, outsourcad miljö eller en privat/offentlig molnleverantör.

Question 47

Vad är viktigt att tänka på när du designar din OU-struktur?

Answer 47

OU-strukturen ska främst anpassas till administrativa ändamål. Undvik att efterlikna din organisationstruktur, såvida det inte gynnar dig administrativt.

Tänk även på att ge rum för framtida expansion.

Question 48

Vilken är den första versionen av Windows Server som har funktionen “Protect OUs from Accidental Deletion”?

Answer 48

Windows Server 2008

Question 49

Vad händer när du flyttar ett objekt från en OU till en annan?

Answer 49

Filrättigheter i en disk som tilldelats till objektet förblir intakta.

Objektet kommer att ärva nya behörigheter från sin nya OU och kommer att förlora alla ärvda behörigheter från föregående OU.

Question 50

När användare loggar in på en Active Directory-domän får de ett “Token”.

Vad innehåller ett token?

Answer 50

En lista över SID, användarens individuella konto, historiska konton, om användaren har migrerats och varje grupp användaren tillhör.

Question 51

Vilken standardgrupp har fullständiga behörigheter till alla objekt i en domän?

Answer 51

Domain Administrators.

Question 52

Vad är ett User Principal Name (UPN)?

Answer 52

Ett User Principal Name (UPN) är namnet på en AD systemanvändare i ett e-postadressformat. En UPN (till exempel mario.parada@domain.com) består av användarnamnet, separator (@-symbolen) och domännamnet (UPN-suffix).

Tänk på att detta INTE är en email-adress, det följer bara samma struktur.

Question 53

Om Mario ska ta tjänstledigt från sin tjänst i 6 månader och inte kommer ha behov av ett användarkonto, vad är då best practice att göra med kontot?

Answer 53

Det bästa är att markera Marios konto som “disabled” snarare än att radera det.

Har användaren ett Exchange-mailkonto så raderas även detta om du raderar kontot.

Question 54

De flesta användare i en viss avdelning eller OU kommer att dela många vanliga attribut som gruppmedlemskap och hemkatalogplats.

Vad är fördelen med att använda User Templates och vad är viktigt att tänka på?

Answer 54

User Templates kan minska tiden som krävs för att skapa nya användarkonton. De ökar också säkerheten och minskar risken för fel när du ställer in egenskaper för användare.

Det är viktigt att du inaktiverar mallkontot så att det inte kan användas för att logga in!

Question 55

I Windows Server 2019 enterprise-nätverk finns det två olika typer av grupper, Distribution och Security.

Vad skiljer dessa två åt?

Answer 55

Distributionsgrupper är inte säkerhetsaktiverade (Ej SID). Dessa används endast för email-applikationer.

Säkerhetsgrupper är säkerhetsaktiverade (SID) och du använder dem för att tilldela behörigheter till olika resurser. Security är även defaultinställningen för nya grupper.

Question 56

Du kan närsomhelst konvertera grupper till och från de två olika grupptyperna.

Vad händer om du konverterar en grupp från Security till Distribution?

Answer 56

Distrubutiongruppen tappar ALLA behörigheter den tilldelats, även om ACL:erna fortfarande innehåller SID.

Question 57

Gruppens “Scope” avgör vem som kan vara medlem i gruppen och var gruppen kan användas. Utöver lokala grupper som endast finns på den lokala datorn så finns det tre olika typer av Group Scopes; gruppomfång.

Vilka är dessa tre ?

Answer 57

Domain Local Groups
Global Groups
Universal Groups

Question 58

Beskriv en Domain Local Group:

Answer 58

Endast synliga i den egna domänen. Av den anledningen kan lokala securitygrupper användas för att bevilja rättigheter och behörigheter endast för resurser som finns i samma domän där den lokala domängruppen finns. Lokala domängrupper kan innehålla Domain Local Groups endast från samma domän, men användare, datorer och alla andra grupptyper från samma domän och betrodda domäner (alla domäner i din forest).

Question 59

Beskriv en Global Group:

Answer 59

Synliga genom hela foresten, men kan bara innehålla konton och globala grupper från SAMMA domän.

Gruppen själv kan vara medlem i Universal- och Local Domain Groups inom vilken domän som helst och Global Groups inom sin egen domän. Global Groups används för att organisera användare som delar samma arbetsuppgifter eller avdelning etc.

Du bör inte tilldela behörigheter direkt till Global Groups, Local Domain Groups är mer lämpliga för det.

Question 60

Beskriv en Universal Group:

Answer 60

Synliga genom hela Foresten och kan innehålla konton, Global Groups och andra Universal Groups från vilken domän som helst i foresten (men de kan inte innehålla lokala domängrupper).

Universal Groups bör användas för att samla ihop Global Groups. Genom att göra det kan gruppen tilldela behörigheter till resurser på flera domäner.

Question 61

Vad står gruppnestingmodellen IGDLA för?

Answer 61

Identities (I); Global Groups (G); Domain Local Groups (DL); Access (A)

Question 62

Hur fungerar standardgruppen Server Operators?

Answer 62

Medlemmar i denna grupp kan utföra maintenance på domänkontrollanter. De har rätt till att logga in lokalt, starta och stoppa tjänster, utföra säkerhetskopiering och återställning, formatera diskar, skapa eller ta bort shares och stänga av domänkontrollanter.

Question 63

Special identity groups kan ge ett effektivt sätt att tilldela åtkomst till resurser i ditt nätverk. Vad kan du huvudsakligen åstadkomma med dessa?

Answer 63

Tilldela användarrättigheter till securitygrupper i Active Directory.
Tilldela behörigheter till securitygrupper i syfte att komma åt resurser.

Question 64

Offline-domänanslutning fungerar med klientdatorer som kör Windows 7 eller senare.

Vad heter kommandoradsverktyget du använder för att ansluta en klientdator till en domän?

Answer 64

djoin.exe

Question 65

Hur fungerar Local Security Authority (LSA)?

Answer 65

LSA ansvarar för att hantera inloggningar till systemet.

När en användare försöker logga in lokalt på systemet genom att ange användarnamn och lösenord anropar LSA Security Accounts Manager (SAM), som hanterar den lagrade kontoinformationen i den lokala SAM-databasen.

SAM jämför användarens uppgifter med kontoinformationen i SAM-databasen för att avgöra om användaren har behörighet att komma åt systemet. Godkänns detta så autentiserar SAM användaren genom att skapa en inloggningssession och returnera SID för användaren och SID:n för globala grupper som användaren är medlem i till LSA.

LSA ger sedan användaren ett token som innehåller användarens individuella- och grupp-SID och deras rättigheter, vilket ger användaren access att komma åt resurser som denne har behörighet för.

Question 66

Om du raderar en dator från domänen och sedan försöker återansluta den så får den ett nytt SID. Det bästa är att istället återbygga en Secure channel.

Hur återställer du en Secure channel?

Answer 66

Reseta datorns konto antingen med Active Directory Users and Computers eller Active Directory Administrative Center.

Du kan även återställa Secure channel på den lokala datorn med PowerShell kommandot: “Test-ComputerSecureChannel -Repair”.

Question 67

PowerShell-cmdletar kan exempelvis användas för att skapa användarkonton.

Vilket kommando kan du använda för att skapa en ny användare som är aktiverad?

Answer 67

New‐ADUser “Mario Parada” ‐AccountPassword (Read‐Host ‐AsSecureString “Enter password”)

Om du inte använder parametern -AccountPassword ställs inget lösenord in och användarkontot är inaktiverat.

Question 68

Du kan använda cmdleten “New-ADGroup” för att skapa grupper. När du skapar grupper med hjälp av denna cmdleten måste du använda parametern GroupScope utöver gruppnamnet.

Hur skriver du för att skapa den globala gruppen SIH20M i OUn IT på domänen sih.com?

Answer 68

New ‑ ADGroup ‑Name “SIH20M” - Path “ou = IT, dc = sih, dc = com” ‑GroupScope Global

Question 69

Vilka delar innehåller ett Fully Qualified Domain Name (FQDN)?

Answer 69

Hostname, Domain och Top level domain.

Exempelvis: mario.sih.com

Question 70

När använder du split-DNS?

Answer 70

Exempelvis när en server har både en privat IP-adress i ett lokalt nätverk och en publik adress, dvs en adress som kan nås över Internet. Genom att använda split-DNS kan samma namn leda till antingen den privata IP-adressen eller den publika, beroende på vilken klient som skickar förfrågan.

Detta gör det möjligt för lokala klienter att komma åt en server direkt via det lokala nätverket utan att behöva passera via en router.

Question 71

Vad är Link-local Multicast Name Resolution? (LLMNR)

Answer 71

Ett protokoll för namnresolving som inte använder DNS och är anpassat för IPv6. Network discovery måste vara aktiverat för att det ska fungera.

Fungerar endast på Windows Vista/Windows Server
2008 och uppåt.

Question 72

Vid en namnuppslagning, kontaktar klienten en WINS-server eller kontrollerar den NetBIOS name cachen först?

Answer 72

Först NetBIOS name cachen sedan WINS-servern.

Question 73

Vad innehåller en Root hint?

Answer 73

En Root hint innehåller IP-adresserna för DNS-rootservrar.

Question 74

Hur skiljer sig Active Directory-integrerade DNS-zoner från ordinarie zoner och vilka är fördelarna med AD-zoner?

Answer 74

Zondata lagras i AD DS istället för vanliga zonfiler.

Fördelar:

• Replikering är snabbare, säkrare och effektivare.
• Bättre redundans på grund av att zondata kopieras till alla domänkontrollanter.
• Förbättrad säkerhet om säker dynamisk uppdatering är aktiverad.
• Inget behov av att schemalägga eller hantera zonöverföringar.

Question 75

Inget hjälpinnehåll distribueras med PowerShell.

Vilket kommando använder du för att ladda ner det?

Answer 75

Update-Help

Question 76

Vilka är de fem Execution Policy-lägena i PowerShell och vilket läge är standard?

Answer 76

• Restricted (default)
• AllSigned
• RemoteSigned
• Unrestricted
• Bypass

(ändras enkelt med Set-ExecutionPolicy)

Question 77

Vad innebär det att ett GPO är inaktiverat?

Answer 77

GPO förhindrar inte åtgärden som det har som uppgift att förhindra. Åtgärden tillåts med andra ord.

Question 78

En GPO består av två komponenter: Group Policy template och Group Policy container.

Vad är skillnaden mellan dessa?

Answer 78

Group Policy container (GPC) är en AD-container som innehåller GPO-egenskaper, till exempel versioninformation och GPO-status.

Group Policy template (GPT) är en filsystemmapp som innehåller policydata, säkerhetsinställningar, skriptfiler bl.a. GPT finns i systemvolymmappen (SysVol) i undermappen: domännamn\Policy.

Question 79

Vilka grupper ger dig som användare per default rätt att skapa nya GPOs?

Answer 79

Domain Admins, Enterprise Admins och Group Policy Creator Owners

Question 80

När en GPO länkas till en behållare tillämpas policyn på alla behållarens objekt och nedåt i hierarkin.

Ett GPO kan länkas till vissa behållare men inte till andra. Vilka behållare går det att skapa en GPO-länk till?

Answer 80

• Sites
• Domains
• OUs

Question 81

Defaulttiden innan en refresh av inställningar sker är 5 minuter på en domänkontrollant. Hur lång är tiden på en klient?

Answer 81

90 minuter per default.

Question 82

Vilket kommando tvingar fram en uppdatering av alla Group Policy settings på ett system?

Answer 82

Gpupdate /force

Question 83

GPO tillämpas inte samtidigt, utan tillämpas i en logisk ordning på olika nivåer och skriver över alla motstridiga policyinställningar som tillämpades tidigare.

I vilken logisk ordning tillämpas nya GPOs?

Answer 83

1. Local GPOs
2. Site GPOs
3. Domain GPOs
4. OU GPOs
5. Child OU policies

Question 84

Det är möjligt att tillämpa flera GPOs på samma nivå.

Hur styr användaren över prioritetsordningen?

Answer 84

Administratören kan tilldela varje GPO ett “preferense value” som styr prioritetsordningen mellan GPOs.

Question 85

Under installationen av AD DS-rollen så skapas två standard GPO, Default Domain Policy och Default Domain Controllers Policy.

Vad innehåller respektive policy?

Answer 85

Default Domain Policy:
Innehåller standardinställningarna för lösenordspolicy, kontoutelåsning och Kerberosprotokoll.

Default Domain Controllers Policy:
Är länkad till domänkontrollantens OU och bör endast påverka domänkontrollanter. Denna policy innehåller granskningsinställningar och användarrättigheter.

Du bör INTE använda dessa för andra ändamål, skapa då ett nytt GPO.

Question 86

Vad är ADMX-filer?

Answer 86

ADMX-filer är administrativa mallar, XML-textfiler som beskriver vad du ser under “Computer Configuration \ Policies \ Administrative Templates” och “User Configuration \ Policies \ Administrative Templates” i Group Policy Editor.

Question 87

När är det lämpligt att använda en Group Policy Central Store?

Answer 87

När du är en större organisation och det blir omständigt att manuellt kopiera över ADMX -och ADML-filerna.

Då är det smidigare att ha en central lagringsplats där AD-administratörerna kan hämta filerna ifrån. Olika operativsystem kan även hantera filerna olika, vilket en central lagring ordnar åt klienterna.

Question 88

Vad är ett annat ord för Perimeter network?

Answer 88

DMZ

Question 89

Vilka åtgärder är viktiga att ha med i Host computer Security hardening?

Answer 89

• Håll datorer säkra med de senaste säkerhetsuppdateringarna.
• Konfigurera säkerhetspolicyer, exempelvis lösenordskomplexitet.
• Konfigurera brandväggen.
• Installera antivirusprogram.

Question 90

Vilka är Microsofts rekommenderade “best practices” när det kommer till att öka säkerheten?

Answer 90

1. Tillämpa alla tillgängliga säkerhetsuppdateringar så snabbt som möjligt efter att de släppts.
2. Följ principen om minst privilegium.
3. Begränsa inloggningen för administratörskonsolen.
4. Begränsa fysisk åtkomst.

Question 91

Som default kör både standardanvändare och administratörer applikationer och åtkomstresurser med samma säkerhetsinställningar som för en standardanvändare.

Vilken funktion fyller UAC?

Answer 91

UAC-prompten möjliggör för en användare att höja sin säkerhetsstatus till ett administratörskonto utan att logga ut eller byta användare.

Question 92

Security auditing lägger till event i Security Event-loggen som du sedan kan granska i Event Viewer.

Vad är fördelarna med detta?

Answer 92

Du kan exempelvis se vilken administratör som ändrade inställningar/data på servrar som innehåller mycket konfidentiell data, eller om en specifik användare har varit inne och kollat i kataloger den inte borde kollat i.

Question 93

Om snabb överföringshastighet är prioriterat, är det då bäst att välja SCSI eller SATA?

Answer 93

SCSI standarden har bäst överföringshastighet.

SAS och SSD har ännu högre hastigheter, men är dyrare.

Question 94

Använder SCSI parallell eller seriel databuss?

Answer 94

Parallell

Question 95

Vad står SAS för?

Answer 95

Serial attached SCSI

Question 96

Vilken är generellt sett den snabbaste och mest pålitliga formen av traditionella hårddiskar?

Answer 96

SAS, dessa finns i utföranden med 15,000rpm och är designade för att vara igång alltid.

Question 97

Vad är fördelarna och nackdelarna med att använda DAS? (Direct attached storage)

Answer 97

Fördelar: Lagringen är ansluten direkt till servern som använder den, vilket gör DAS till det enklaste och billigaste lagringssystemet att distribuera och underhålla.

Nackdelar: Att lagra data lokalt på DAS försvårar datacentralisering eftersom data ligger på flera servrar. Samtidigt slukar det processorkraft och RAM.

Question 98

iSCSI (internet Small Computer Systems Interface) är ett protokoll för att länka ihop lagring över nätverk. Hur fungerar det kortfattat?

Answer 98

Det bär SCSI-kommandon (CDBs) över ett TCP / IP-nätverk.

Är ett SAN-protokoll (Storage Area Network) som möjliggör det att presentera utspridd lagring som en lokalt enhetlig SCSI-skiva/skivor för klienten. Använder handskakning vid etableringen.

Question 99

Vad är en skillnad mellan iSCSI och Fibre Channel?

Answer 99

Fibre Channel kräver dedikerade kablar medan iSCSI använder befintliga kablar.

Question 100

Hur fungerar NAS och vad är fördelen med detta?

Answer 100

Innehåller en eller flera lagringsenheter, ofta ordnade i logiska, redundanta lagringsbehållare eller RAID.

Nätverksansluten lagring flyttar bort ansvaret för fileserving från andra servrar i nätverket och ger snabbare datatillgång, enklare administration och enkel konfiguration.

Question 101

Vad är ett Storage Area Network (SAN) ?

Answer 101

Ett lagringsnätverk som ger åtkomst till konsoliderad datalagring på blocknivå.

Question 102

Hur fungerar RAID (Redundant Array of Independent Disks), enkelt beskrivet?

Answer 102

Kombinerar flera fysiska lagringsenheter till en logisk enhet för redundansskäl och/eller prestandaskäl.

Question 103

Är RAID 0 lämpligt om du vill öka säkerheten i din lagring?

Answer 103

Nej, RAID 0 använder sig av striping och placerar ut datan över flera diskar. Skulle en disk fallera så blir all data förlorad.

Däremot kan RAID 0 öka prestandan genom att skiva data över flera diskar.

Question 104

RAID 1 använder sig av data mirroring. Vad innebär detta?

Answer 104

Datan speglas på en eller flera diskar. Ju fler diskar du speglar desto högre redundans får du.

Samtidigt tar det större resurser av systemet att skriva till många diskar.

Question 105

Hur fungerar RAID 5?

Answer 105

RAID 5 kräver 3 diskar eller mer för att fungera. Det använder sig av striping och placerar datan över flera diskar, men använder sig samtidigt utav PARITET. D.v.s. att det placeras en slags checksumma på varje disk som möjliggör det att räkna ut datan på en fallerad disk med hjälp av checksumman från de andra diskarna.

OBS, endast en disk kan fallera. Fallerar fler så försvinner all data.

Question 106

Vad är en av de vanligaste förbisedda farorna med RAID5?

Answer 106

Det är att köpa in likadana diskar vid samma tillfälle. När diskarna är lika gamla så tenderar de att fallera ungefär samtidigt.

Det är inte ovanligt att återskapandeprocessen av data vid ett diskhaveri orsakar ett failure i ytterligare en disk, då stora datamängder ska skrivas över till en ny disk. Sker detta så försvinner all data.

Question 107

Vilka brister i RAID 5 kan du undvika med RAID6?

Answer 107

Med RAID6 så har du paritetsdata över flera diskar och en disk med endast paritetsdata. Detta gör att två diskar kan fallera samtidigt utan att data försvinner.

Kräver minst 4 diskar.

Question 108

Om du har 5 hårddiskar med en kapacitet på 1 TB vardera och du skapar en RAID 5-volym. Hur mycket data kan lagras i volymen?

Answer 108

4 TB.

Question 109

Hur fungerar RAID10?

Answer 109

RAID10 är en kombination av RAID 1 och RAID 0. Du använder både striping och mirroring över flera diskar. Så länge ingen mirror förlorar alla sina diskar är datan säker och åtkomsten snabb.

Används ofta i miljöer där pengar inte är ett problem.

Question 110

Hur fungerar Microsoft Storage Spaces?

Answer 110

En lagringsvirtualiseringsfunktion som du kan använda för att lägga till flera fysiska diskar av olika typ och storlek i en Storage Pool.

Detta används sedan för att skapa virtuella enhetliga diskar.

Question 111

Vad är Distributed File System (DFS)?

Answer 111

En uppsättning klient- och servertjänster som tillåter en organisation som använder Microsoft Windows- servrar att organisera många distribuerade SMB -filresurser i ett distribuerat filsystem.

Question 112

Vad är skillnaden mellan MBR och GPT?

Answer 112

MBR (Master Boot Record) är ett äldre partitionsformat med stöd för max 4 partitioner per disk och med en maxstorlek per disk på 2TB.

GPT (GUID Partition Table) är ett nyare format med max 128 partitioner per disk och en maxstorlek per disk på 18EB.

Question 113

Är det möjligt att konvertera en Dynamic disk till en Basic disk?

Answer 113

Nej, inte utan att förlora all data. Du kan däremot konvertera en Basic till en Dynamic utan att förlora data.

När du konverterar från Basic till Dynamisk så tänk på att göra en backup innan för säkerhets skull.

Default är en disk alltid en Basic disk.

Question 114

Vad är fördelarna med en Dynamic disk kontra en Basic disk?

Answer 114

En Dynamic disk möjliggör det att utföra disk- och volymhantering utan att behöva starta om datorn.

Question 115

Vad är en Spanned volume?

Answer 115

Skapas av ledigt utrymme från flera länkade diskar.

Du kan inte spegla en spanned volume och de är INTE feltoleranta.

Question 116

Vad är några fördelar med att använda ReFS jämfört med NTFS?

Answer 116

Resilient File System (ReFS) har bättre resiliency, vilket innebär bättre datakontroll, felkorrigering och skalbarhet.

Question 117

Vad är den största fördelen med det nyare formatet vhdx jämfört med vdh?

Answer 117

vhdx har support för upp till 64TB stora diskar jämfört med 2 TB för vhd.

Question 118

Vilken TCP-port förknippas med iSCSI?

Answer 118

3260

Question 119

Vad är MPIO och hur fungerar det?

Answer 119

Multipath I/O är feletolerans och prestandaförbättringsteknik som definierar redundanta fysiska vägar mellan CPU: n i ett datorsystem och dess lagringsenheter (exempelvis med iSCSI) genom databussar, controllers och switchar.

Question 120

Det finns 3 olika sorters SMB file share profiles. Vilka är dessa 3?

Answer 120

Quick - grundläggande funktioner.

Advanced - bl.a. stöd för att definiera katalogägare, standarddataklassificering och kvoter

Applications - specialicerad för Hyper-V, databaser och andra serverapplikationer.

Question 121

EFS använder en kombination av symmetrisk nyckel och asymmetriska nycklar för att skydda filer från attacker. Vilket filsystem används EFS till?

Answer 121

NTFS.

Question 122

Vad kallas det inbyggda processorchipet som finns inbyggt i vissa datorer för att lagra nycklar och är ett alternativ till SmartCards?

Answer 122

Trusted Platform Module (TPM).

Question 123

Vad är skillnaden mellan BitLocker och EFS?

Answer 123

EFS har endast stöd för NTFS och krypterar endast filer och kataloger. BitLocker krypterar hela disken och kan även användas för att kryptera en hel AD-databas.

Question 124

Är det möjligt att kombinera BitLocker och EFS?

Answer 124

Ja, det är möjligt att kryptera hela disken och sedan kryptera filer och kataloger med EFS utöver det.

Question 125

Vad är standardinställningen för ärvda filbehörigheter i underliggande kataloger?

Answer 125

Filer och kataloger i underliggande kataloger ärver behörigheterna från den överliggande katalogen per default.

Question 126

Vad är skillnaden mellan List-behörighet och Read-behörighet på en katalog?

Answer 126

List tillåter dig endast att lista katalogens filer och underliggande kataloger. Read låter dig läsa filer också.

Question 127

Behörigheten Traverse Folder gäller endast för mappar. Vad innebär denna behörigheten?

Answer 127

Ger användare rätten att bläddra bland mappar för att nå andra filer eller mappar, även om användaren inte har behörighet för de traverserade mapparna.

Question 128

Vad är ett enkelt sätt att gömma en delad katalog?

Answer 128

Genom att lägga till ett dollartecken i slutet av namnet på katalogen.

Exempelvis: Mariosdeladekatalog$

Question 129

När du skapar en delad katalog, vilken behörighet är då default?

Answer 129

Read-behörigheter för alla (utom ägaren då som har full access).

OBS, detta gäller endast för de som accessar katalogen över ett nätverk, inte för användare på den lokala datorn.

När behörigheter för lokala och delade kataloger kombineras gäller de mest restriktiva behörigheterna, även om den lokala användaren har högre behörigheter.

Question 130

Om en lokal katalog delas på nätverket, vad händer då med de befintliga behörigheterna?

Answer 130

Ingenting, de förblir intakta. Däremot skapas en ny uppsättning behörigheter för användare som får åtkomst till katalogen via nätverket.

Question 131

Windows Server-infrastrukturen använder två typer av ACLer, DACL och SACL.

Vad skiljer dessa två?

Answer 131

En Discretionary Access Control List (DACL) ansvarar för behörigheter.

En System Access Control List (SACL) ansvarar för granskning.

Question 132

Detta kommandoradsverktyg kan användas för att visa, ändra, säkerhetskopiera och återställa ACL-information.

Answer 132

icacls.exe

Question 133

Inom samma NTFS-partition ärver en kopia av en katalog eller fil behörigheterna för målkatalogen du kopierar till.

Vad händer om du kopierar till en annan NTFS-partition?

Answer 133

Samma sak.

Det är endast om du kopierar till ett filsystem som inte är NTFS eller ReFS som katalogen/filen tappar sina behörigheter.

Question 134

Vad är best practice när det kommer till behörigheter på delade kataloger?

Answer 134

1. Ta bort gruppen “Everyone” från behörighetslistorna och ersätt den med gruppen “Authenticated Users”.
2. Använd istället den mest begränsade gruppen som innehåller de användare du vill ge åtkomst.

Question 135

Det finns två typer av Auditing tillgänglig i Windows Server.

Vilka är dessa två?

Answer 135

Basic auditing - som är lämplig för äldre operativsystem.

Advanced auditing - innehåller mer detaljerad och avancerad funktionalitet.

Question 136

Vad innebär Audit-policyn “Audit Detailed File Share” ?

Answer 136

Granskar försök till att få åtkomst till filer och mappar i en delad mapp. Det loggar en händelse varje gång en fil eller mapp nås. Event ID 5145 genereras när en händelse loggas.

Question 137

Om du lägger till en fil i en underkatalog till en katalog som är under audit, vad händer då med filen?

Answer 137

Den kommer per default också under audit. Detta eftersom audits också ärvs på samma sätt som behörigheter.

Question 138

Vad är nackdelen med att använda självsignerade certifikat?

Answer 138

Den största nackdelen är att det självsignerade certifikatet har ett mycket begränsat giltigt omfång, strikt inom själva applikationen.

Question 139

Är det möjligt att använda EFS på ett ReFS-formaterat filsystem?

Answer 139

Nej, EFS stödjer endast NTFS.

Question 140

Vad är FSRM?

File Server Resource Manager

Answer 140

FSRM är en uppsättning verktyg som låter dig bl.a. kontrollera och hantera mängden och typen av data lagrad på dina servrar.

Exempelvis: Övervaka eller sätta begränsningar på mängden eller typen filer på ett lagringsmedia eller en katalog.

Question 141

I FSRM låter Quota Management dig styra mängden diskutrymme som används på en volym eller katalog.

Vad skiljer en hård och mjuk kvot åt?

Answer 141

1. Hård kvot HINDRAR användare från att spara filer efter att ha nått lagringsgränsen och den genererar meddelanden när datamängden når varje förkonfigurerad gräns.
2. Mjuk kvot tillämpar inte kvotgränsen, men den genererar konfigurerade varningsmeddelanden.

Question 142

Vad heter cmdleten som låter dig se kvotinformation om en specifik katalog?

Answer 142

Get-FsrmQuota

Exempel: Get-FsrmQuota -Path “C: \ Data \ …”

Question 143

Vilka typer av File Screen Types finns det i FSRM?

Answer 143

Active och Passive.

Aktive hindrar dig från att lägga till otillåtna filtyper medan Passive endast varnar.

Question 144

Vad är Storage Reports?

Answer 144

Information om filanvändning på en filserver. Exempelvis om det finns dubletter, storleken på filer, vilka filer som öppnades senast o.s.v.

Du kan schemalägga dessa med Report tasks.

Question 145

Du jobbar på ett företag som har en server som många användare sparar dokument på. Några av dessa filer innehåller hemlig text som inte alla ska ha tillgång till.

Vad är ett enkelt sätt att hemligstämpla dessa på automatiskt?

Answer 145

Med hjälp av Classification Rules. Med dessa kan du med hjälp av regular expressions eller strängar klassificera filer i olika grad av hemligstämpling.

Question 146

Du jobbar på ett företag där Håkan (43 år och alltid stressad) varje vecka råkar skicka fel Excel-dokument som bilaga till kunder i de e-mail han skriver.

Hur kan du gå tillväga för att undvika att kunderna kan öppna filerna de mottagit om de hamnar hos fel person?

Answer 146

Du kan använda AD Rights Management Services för att lösa detta problem. Då kan endast auktoriserad användare komma åt informationen och Håkan hamnar inte i trubbel med sin chef.

( Du kan använda EFS, men detta är opraktiskt och fungerar inte på alla system. )

Question 147

Vad är en av de största nackdelarna med AD RMS?

Answer 147

Det fungerar endast i Microsoft-miljöer. AD RMS kräver .NET

Question 148

AD RMS (Rights Management Services) är en tjänst som använder flera steg i processen.

Hur ser dessa steg ut?

Answer 148

1. Sändaren lokaliserar AD RMS-servern.
2. Servern utfärdar ett certifikat.
3. Sändaren skapar en fil och definierar villkoren den.
4. Sändar-applikationen krypterar filen med en SYMMETRISK Nyckel.
5. Den symmetriska nyckeln krypteras av serverns ASSYMETRISKA PUBLIKA nyckel.
6. Filen skickas till mottagaren som begär en licens från servern.
7. Servern utfärdar en licens.
8. Servern dekrypterar den symmetriska nyckeln.
9. Servern krypterar den symmetriska nyckeln med mottagarens publika nyckel och sammanfogar detta med licensen.

Mottagaren kan nu använda filen.

Question 149

Förklara Exclusion policies:

Answer 149

Hjälper dig att förhindra användarkonton eller appar från att använda AD RMS.
Låter dig även använda Rights Account Certificate (RAC).

Question 150

Vad är ett Rights Account Certificate (RAC)?

Answer 150

Ett RAC identifierar en specifik användare. Standardgiltighetsperioden för ett RAC är 365 dagar. Utfärdas endast till AD DS-användare som har e-postadresser som är kopplade till deras konton.

Ett RAC utfärdas första gången en användare försöker antingen komma åt AD RMS-skyddat innehåll eller utföra en AD RMS-uppgift, till exempel att skapa ett skyddat dokument.

Question 151

Hur fungerar AD RMS-gruppen Super Users?

Answer 151

Medlemmarna i denna grupp har full kontroll över allt behörighetsskyddat innehåll som hanteras av klustret och beviljas fullständiga ägarrättigheter i alla användningslicenser.

Denna grupp kan dekryptera alla rättighetsskyddade filer och även rädda innehållet i de filer där exempelvis en mall har raderats eller när filens giltighetstid är slut.

Default är denna gruppen inaktiverad, då den ska hanteras varsamt. Medlemmar har tillgång till allt AD RMS-skyddat innehåll.

Question 152

Digitala signaturer är bra för att validera innehållet och mottagaren.

För kryptering däremot så är EFS ett alternativ. Vad är en förutsättning för att EFS-kryptering ska fungera?

Answer 152

För att kunna kryptera en fil med EFS måste du ha fått ett EFS-certifikat utfärdat.

Question 153

Vad är en Global Address List (GAL) och hur fungerar den?

Answer 153

GAL är en skrivskyddad adressbok som delas över nätverket med exempelvis LDAP.

I GAL kan det även finnas certifikat länkade till mottagaren som kan användas av avsändaren för att kryptera meddelandet.

Question 154

Vad är NAP; Network Access Protection ?

Answer 154

NAP är en utdaterad Microsoft-teknik för att styra nätverksåtkomst för en dator, baserat på kravlistor.

Med NAP kan systemadministratörer för en organisation definiera policys för systemkrav, exempelvis om datorn har de senaste uppdateringarna, om datorn har den senaste versionen av antivirusprogrammen eller om brandväggen är aktiverad.

Question 155

CRLs kan bli väldigt stora i storlek och därmed opraktiska, därför används oftast inkrementella listor. Vad är ett annat ord för dessa?

Answer 155

Delta CRLs.

Question 156

Vad använder du när du ska leta upp CRLs under certifikatvalideringsprocessen?

Answer 156

Certificate Revocation List Distribution Points (CDPs).

Dessa visar var du finner CRLs.

Question 157

Vad är Authority Information Access (AIA)?

Answer 157

AIA (Authority Information Access) är ett X.509 v3-certifikat tillägg. Den innehåller en eller två typer av information:

Information om hur man når utfärdaren av det aktuella certifikatet (CA-utfärdaråtkomst).

Adress till OCSP-respondern varifrån återkallande av det specifika certifikatet kan kontrolleras.

Question 158

Vad är en Hardware security module (HSM)?

Answer 158

En fysisk modul som skyddar och hanterar nycklar, utför krypterings och dekryptering för digitala signaturer och andra kryptografiska funktioner.

Dessa moduler är vanligtvis ett PCIe eller en extern enhet som ansluts direkt till en dator eller nätverksserver.

Question 159

Vem signerar certifikatet på en root-CA i ditt eget nätverk?

Answer 159

Detta gör root-CAn själv. Certifikatet är självsignerat.

Question 160

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Network Device Enrollment Service (NDES).

Vad gör denna tjänst?

Answer 160

Med denna komponent kan routrar, switchar och andra nätverksenheter få certifikat från AD CS.

Question 161

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Certificate Enrollment Web Service (CES).

Vad gör denna tjänst?

Answer 161

Fungerar som en proxy mellan Windows-klientdatorer och CA. Det gör det möjligt att ansluta till en CA med en webbläsare för att bl.a:

• Begära, förnya och installera utfärdade certifikat.
• Hämta CRL.
• Ladda ner ett rootcertifikat.
• Registrera sig via internet eller över forests (Endast Windows Server 2008 R2 och över.)

Question 162

AD CS-servern innehåller flera komponenter som kallas rolltjänster. En av dessa tjänster är Certificate Enrollment POLICY Web Service (CEP).

Vad gör denna tjänst?

Answer 162

Möjliggör att användare får information om certifikatregistreringspolicy. Kombinerat med CES möjliggör det policybaserad certifikatregistrering när klientdatorn inte är medlem i en domän eller när en domänmedlem inte är ansluten till domänen.

Question 163

Hur fungerar virtuella SmartCards.

Answer 163

Dessa utnyttjar TPM för multifaktorautentisering.

Question 164

Det finns två typer av CAs, Interna och Externa.

Vad är fördelar och nackdelar med att använda INTERNA CAs?

Answer 164

Interna CAs
Fördelar:
Ger större kontroll över certifikatförvaltning.
Billigare jämfört med en offentlig CA.
Anpassade mallar och automatisk registrering.

Nackdelar:
Är per default inte betrodd av externa klienter (webbläsare och operativsystem).
Kräver större administration.

Question 165

Det finns två typer av CA, Interna och Externa.

Vad är fördelar och nackdelar med att använda EXTERNA CAs?

Answer 165

Externa CAs
Fördelar:
Betrodda av många externa klienter (webbläsare och operativsystem).
Kräver minimal administration.

Nackdelar:
Högre kostnad jämfört med en intern CA, kostnaden baseras per certifikat.
Certifikatupphandling är långsammare.

Question 166

Vad är fördelarna med Cross-Certification när det kommer till certifikat?

Answer 166

Ger interoperabilitet mellan företag och mellan PKI-produkter, då egna certifikat kan certifieras över flera organisationer.

Fungerar med olika PKI.

Antar fullständig trust för en utomstående CA-hierarki.

Question 167

Vad heter den fil du kan använda för att automatisera ytterligare CA-installationer i din hierarki?

Answer 167

CAPolicy.inf

Question 168

Vad är policy-CAs ?

Answer 168

Underordnade certifikatutfärdare som ligger DIREKT under rot-CA i en CA-hierarki.

En policy CA utfärdar ENDAST certifikat till andra certifikatutfärdare.

Question 169

Interna CAs kan delas in i två kategorier, Stand-alone och Enterprise.

Vad är de övergripande skillnaderna mellan dessa två kategorier av CAs?

Answer 169

En Stand-alone CA kan fungera utan AD DS och är inte beroende av det på något sätt.

En Enterprise CA kräver AD DS, men det ger också flera fördelar, till exempel automatisk registrering.

Question 170

Vad är den största nackdelen med att använda en Stand-alone CA när det kommer till den administrativa biten?

Answer 170

En certifikatadministratör måste manuellt godkänna alla förfrågningar, vilket kräver större arbetsresurser.

Question 171

När du har installerat en ny CA på din dator, är det möjligt att ändra domänmedlemsskap och datornamn efteråt?

Answer 171

Nej, då måste du göra om allt från början. Var därför noggrann när du installerar en ny CA.

Question 172

Om en subordinate CA kommer att vara en Enterprise-CA, vilken grupp måste du då vara medlem i för att kunna administrera den?

Answer 172

Domain Admins.

eller en grupp med motsvarande behörigheter

Question 173

Vad används vanligtvis en Subordinate CA till?

Answer 173

1. Specifika användningsområden som Secure Multipurpose Internet Mail Extensions (S/MIME), EFS eller Remote Access Service (RAS).
2. Organisatoriska eller geografiska indelningar.
3. Lastbalansering.
4. För att öka feltoleransen.

Question 174

AD CS ger dig möjligheten att delegera CA-relaterade roller till användare och/eller grupper.

Vilka är några av de vanligaste rollerna du kan fördela?

Answer 174

CA administrator
Certificate manager
Backup operator
Auditor
Enrollees

Question 175

Hur ska du gå tillväga för att utföra en CA-säkerhetskopia?

Answer 175

1. Kopiera namnen på certifikatsmallarna.
2. Gör en backup i CA-admin konsollen.
3. Exportera Registry subkey.
4. Säkerställ att %SystemRoot%-katalogen ligger på samma ställe på målservern du vill göra en kopia till.

Question 176

Vilka versioner av Certificate Template; Certifikatmallar stödjer Windows Server 2019?

Answer 176

Template version 1, 2, 3, och 4.

Även Windows Server 2012, 2012 R2 och 2016 stödjer dessa versioner. Har du äldre enheter än Windows Server 2012 i nätverket kommer dessa inte stödja version 4.

Question 177

Associerat med varje certifikatmall är en DACL. Vad gör denna?

Answer 177

Definierar vilka security principals som har behörigheter att läsa och konfigurera mallen och vilka security principals som kan registrera eller använda automatisk registrering för certifikat.

Question 178

Vad är best practice när det kommer till Certificate Templates-behörigheter?

Answer 178

Tilldela endast behörigheter till globala eller universella grupper.

Detta beror på att certifikatmallobjekten lagras i konfigurationens naming context i AD DS. Du bör undvika att tilldela behörigheter för en certifikatmall till enskilda användare eller konton.

Question 179

Certifikat kan vara antingen Single Purpose eller Multiple-Purpose. Vad är syftet med respektive sort?

Answer 179

Single Purpose: Ett enskilt syfte. 
Exempelvis:
Låt användare logga in med en smartkort.
EFS kryptering
IPSec

Multiple-Purpose: Kombinera flera certifikat som har enskilda syften och ofta används tillsammans.

Question 180

Det finns två sätt att uppdatera en certifikatmall, Modifying och Superseding. Vad är skillnaden?

Answer 180

Modifying:
När du ändrar så uppdaterar du endast den befintliga mallen. Lämpligt för enklare förändringar.

Superseding:
När du ersätter en mall så gör du det oftast för att det gamla innehållet inte är tillämpligt längre eller för att du vi slå ihop två andra mallar som gör ungefär samma sak. Vid sammanslagning så börjar den nya mallen automatiskt att användas när de två tidigare utgår.

Question 181

Vad är några av de vanligaste orsakerna till att du behöver återkalla ett certifikat?

Answer 181

Exempelvis att nyckeln har läckt ut, den som certifikatet är utfärdat till slutar på sitt jobb eller att nya ändringar måste göras innan det gamla slutar gälla.

Question 182

Autoenrollment är den vanligaste metoden för att utfärda certifikat. Hur fungerar denna metoden?

Answer 182

1. Certifikatmallen konfigureras med Auto-behörigheter för behöriga användare.
2. CAn konfigureras för att utfärda mallen.
3. Ett GPO för autoenrollment skapas och appliceras på den site/domän/OU som ska använda det.
4. Klienten tar nu emot certifikatet automatiskt vid nästa GPO-refresh.

Question 183

Vad är en Enrollment Agent?

Answer 183

En användare som har behörigheten att hantera certifikat åt en annan användare.

Exempelvis användare på en HR-avdelning är ofta Enrollment Agents, då de behöver behandla andra användares registrering av SmartCards o.s.v.

En Enrollment Agent kan endast BEHANDLA en annan användares begäran.

Question 184

Vad är NDES (Network Device Enrollment Service)?

Answer 184

NDES är Microsofts implementering av Simple Certificate Enrollment Protocol (SCEP).

Ett kommunikationsprotokoll som gör det möjligt för programvara som körs på routrar och switchar att registrera sig för X.509-certifikat från en CA.

Question 185

Vad är Microsoft CryptoAPI?

Answer 185

Ett gränssnitt som bl.a. tillhandahåller tjänster för att göra det möjligt att säkra Windows-applikationer som använder kryptering.

Det finns bland annat ett CryptoAPI som ansvarar för certifikat-återkallanden och statuskontrol av certifikat.

Question 186

CryptoAPIt för certifikatkontroll använder ett antal faser i kontrollprocessen. Vilka är dessa?

Answer 186

Certificate discovery, Path validation och att upptäcka återkallanden.

Question 187

Vad är S/MIME?

Answer 187

Secure/Multipurpose Internet Mail Extensions.

En standard för kryptering av e-post. Den baseras på SSL-liknande certifikat. Varje mottagare av e-post krypterad med S/MIME behöver på detta sätt skaffa ett digitalt certifikat, utfärdat av en CA.

Question 188

Nyckelarkiveringsfunktionen är inte aktiverad som standard. Vilka åtgärder krävs för att denna ska fungera automatiskt?

Answer 188

1. Konfigurera KRA-certifikatmallen (Key Recovery Agent).
2. Konfigurera Certificate Managers. Certificate Manager innehar en privat nyckel för giltiga KRA-certifikat. CA-administratören är per default Certificate Manager för alla användare.
3. Aktivera KRA.
4. Konfigurera användarmallar.

Question 189

Hur går du tillväga för att återskapa en förlorad nyckel till ett certifikat?

Answer 189

Certificate Managern extraherar serienumret för certifikatet och hämtar rätt BLOB från CA-databasen.

Därefter överför Certificate Managern PKCS # 7 BLOB-filen till KRA.

KRA (Key Recovery Agent) återskapar nyckeln. Användaren som förlorat sin nyckel kan sedan importera nyckeln.

Question 190

Vad är ett Private key BLOB?

Answer 190

Ett Binary Large OBject som innehåller ett fullständigt publikt/privat nyckelpar. Private key BLOBs används av administrativa program för att transportera nyckelpar.

Eftersom den privata nyckeldelen av nyckelparet är extremt konfidentiell, hålls dessa BLOBs vanligtvis krypterade med ett symmetriskt chiffer.

Dessa key-BLOBs kan också användas av applikationer där nyckelparen lagras i applikationen snarare än att förlita sig på CSP:s lagringsmekanism.

Question 191

Är det möjligt att använda Active Directory utan DNS?

Answer 191

Nej, DNS krävs för att Active Directory ska fungera.

Question 192

Du har en domänkontrollant som är konfigurerad med en forest functional level Windows Server 2019 och ska nu ändra denna till 2016 för att testa mjukvara.
Hur gör du för att ändra forest functional level till en äldre version?

Answer 192

Det är inte möjligt att göra.

Du måste radera din domänkontrollant helt och installera om den med en ny functional level. Det är endast möjligt att uppgradera, inte nedgradera.

Question 193

Vilken funktion fyller LDAP (Lightweight Directory Access Protocol) I AD-sammanhang?

Answer 193

LDAP möjliggör dataöverföring mellan AD-tjänster och applikationerna som nyttjar dessa.

Question 194

Du vill installera ytterligare en domänkontrollant i din domän. Vad är tre viktiga steg du måste göra?

Answer 194

Du måste välja var Sysvol och log-katalogerna är placerade.

Du måste specificera domännamnet som domänkontrollanten ligger under och specificera och lösenordet till AD SRM (Services Restore Mode).

Question 195

I vilken ordning läses och appliceras gruppolicy?

Answer 195

1. Local
2. Sites
3. Domain
4. OUs

Question 196

Om du flyttar en delad katalog från en server till en annan, vad händer då med de filbehörigheterna som var knutna till katalogen på ursprungsplatsen.

Answer 196

De försvinner.

Den delade katalogen kommer per default tilldelas de filbehörigheterna som finns på den nya destinationen. Du kan alltså behöva ändra konfigurationerna igen på den nya destinationen.

Question 197

Vad påverkas av Default Domain Policy GPOn ?

Answer 197

Alla användare och datorer på SAMMA domän som GPOn.

Question 198

När en fil eller katalog skapas av operativsystemet, vilket objekt blir ägaren till denna?

Answer 198

Gruppen “Administrators”.

Question 199

Mario är kassör för Windowsutbildarna i Sverige och har fulla behörigheter för OUn “Ekonomi”. Mario vill ändra så att användarkontona under “Ekonomi” ska ha en ny Account Lockout Policy GPO och länkar denna till “Ekonomi”.

Trots att Mario har fulla behörigheter så fungerar inte de nya inställningarna. Varför?

Answer 199

Account Lockout Policies som länkas till en OU fungerar inte. Account Lockout Policies måste länkas direkt till en domän.

Default Domain Policyn styr detta och det är denna som Mario måste ändra.

Question 200

Vilka är Standard NTFS-behörigheterna?

Answer 200

Read (R)
Write (W)
List Folder Contents (L)
Read & Execute (RX)
Modify (M)
Full Control (FC)

Question 201

Vad kan du använda för att hindra att ett GPO påverkar en OU längre ner i hierarkin.

Answer 201

Du kan applicera Block Policy Inheritance på OUn du inte vill ska påverkas av GPOt.

(OBS, detta fungerar tillexempel inte på Account Lockout Policies)

Question 202

Vad skiljer strategerna Traditional Security och Assume Breach åt?

Answer 202

Traditional Security förutsätter att datan inte har attackerats och att hoten är externa.

Assume Breach antager att angriparna redan har utnyttjat svagheter i systemet för att komma åt datat.

Question 203

Vad skiljer en phishing och en spearphishing-attack åt?

Answer 203

Spear-phishing riktar sig mot en specifik individ, medan en ordinarie phishing-attack inte är riktad mot en specifik individ.

Question 204

Vad är en incident response strategy?

Answer 204

En tillvägagångsplan om ett intrång upptäcks.

Exempelvis att polisanmäla, gå ut med information till berörda parter, vilka åtgärder som behövs för att det inte ska hända igen o.s.v. I EU/EES regleras delar av detta i GDPR.

Question 205

Vad heter Microsofts IDS?

Answer 205

Microsoft’s Advanced Threat Analytics.

Sysinternals tools kan även vara ett verktyg du kan använda vid ett intrång.

Question 206

Vad är viktiga åtgärder när det kommer till eventloggar på systemet?

Answer 206

Konfigurera systemet så att alla viktiga event ur säkerhetssynpunkt loggas.

Se till att kopiera över loggarna till en extern server kontinuerligt, då angriparen kan försöka radera loggarna för att sopa igen spåren efter sig.

Se även till att arkivera loggar så att du kan gå tillbaka i tiden om ett angrepp upptäcks senare.

Question 207

Hur kan en angripare använda Task Scheduler?

Answer 207

Till exempel exfiltrera data genom att konfigurera en schemalagd uppgift som utlöser ett skript, som i sin tur laddar upp exfiltrerade data till en remoteserver på internet varje dag.

Ett annat exempel kan vara ett skript som skapar ett nytt privilegierat lokalt konto som utlöses som en schemalagd uppgift varje gång datorn startar om.

Question 208

Vad är Sysinternals-tools?

Answer 208

Diagnostiska verktyg för att felsöka problem och undersöka säkerhetsöverträdelser i Windows-system.

Verktygen kan delas in i följande kategorier:

• Fil- och diskar
• Nätverk
• Process
• Säkerhet
• Systeminformation
• Diverse

Question 209

System Monitor, eller Sysmon, används för att övervaka systemet. Vad är de olika Event-ID som skrivs till loggen?

Answer 209

Event-ID 1. Skapande av en ny process
Event-ID 2. Skapande av en ny fil
Event-ID 3. Ny nätverksanslutning upptäckt
Event-ID 5. Processen avslutad
Event-ID 6. Drivrutin laddad
Event-ID 7. Bild laddad
Event-ID 8. Fjärrtrådsskapande upptäcktes

Question 210

AccessChk är ett verktyg för att verifiera att korrekta behörigheter är satta och inte har ändrats.

Vad kan du kontrollera behörigheter för ?

Answer 210

Filer
Kataloger
Registreringsnycklar
Globala objekt
Windows-tjänster

Question 211

Vilket verktyg kan du använda för att se vilka applikationer som är konfigurerade att automatiskt starta vid uppstart av systemet eller när en användare loggar in?

Answer 211

Autoruns

Question 212

Vilket verktyg kan du använda för att visa alla aktiva inloggningssessioner och se vilka processer som körs i varje aktiv session?

Answer 212

LogonSessions

Question 213

Vad skiljer verktygen Process Explorer och Process Monitor åt?

Answer 213

Process Explorer är en mer avancerad version av Aktivitetshanteraren.

Process Monitor ger dig information i realtid om filsystem, register-, process- och trådaktivitet m.m. Kan användas för avancerad loggning.

Question 214

Du misstänker att angripare har mixtrat med en fil på ditt system. Vilket verktyg kan du använda för att kontrollera filens legitimitet?

Answer 214

Sigcheck.

Du kan använda Sigcheck för följande:

• Versionsnummer för fil
• Filinformation om tidsstämpel
• Registrera information om digital signatur, inklusive certifikatkedjor
• Kontrollera filens status med VirusTotal

Question 215

För rent administrativa arbeten med systemet bör du ha en dedikerad dator, en Privileged Access Workstation.

Hur bör en sådan konfigureras?

Answer 215

• Endast behöriga användare ska kunna logga in på den.
• Programkörning är begränsad till betrodda applikationer som används för att utföra administrativa uppgifter med Device Guard och AppLocker-policyer.
• Se till att Credential Guard och BitLocker är aktiverat.
• Blockera remote access till datorn.

Question 216

Vad är en Jump server och hur fungerar den?

Answer 216

En server som användare ansluter till med hjälp av Remote Desktop när de vill utföra administrativa uppgifter.

Jump servern fungerar som en slags säker brygga mellan två olika säkerhetszoner i nätverket.

Question 217

Microsoft Local Administrator Password Solution (LAPS) är en lösenordshanterare som använder Active Directory för att hantera och automatiskt byta ut lösenord för lokala administratörskonton.

Hur fungerar detta?

Answer 217

LAPS kräver att varje lokalt administratörskonto har ett unikt lösenord. Lokala administratörskonton finns på varje dator i systemet och kan tillexempel användas om anslutningen till domänen skulle förloras. I en stor organisation med tusentals klienter blir detta svårhanterat och LAPS kan underlätta.

LAPS gör så att lösenorden är randomiserade och bytas ut automatiskt med jämna mellanrum.

Kräver en AD-domänfunktionsnivå som är Windows Server 2003 eller högre. Du installerar LAPS på klienten med en MSI-fil.

Question 218

LAPS kan automatiskt byta lösenord på lokala administratörskonton.

Hur tar administratören reda på det nya lösenordet om LAPS har ändrat det automatiskt?

Answer 218

Antingen i LAPS UI-applikationen, AD Users and Computers eller genom PowerShell.

Question 219

Det finns två olika IPSec-modes, Transport & Tunnel.

Vad skiljer dessa två åt?

Answer 219

Transport mode:
Är default-läget. Payloaden är krypterad, men headern är inte det. Används för end-to-end kommunikation mellan två hostar som är IPSec-kompatibla.

Tunnel mode: Hela originalpaketet krypteras och omsluts av ett nytt paket med en AH- eller ESP-header. Används för överföring där hostarna inte är IPSec-kompatibla. Används för exempelvis Server-to-server eller Gateway-to-gateway.

Question 220

IPSec konfigureras ofta med brandväggs-policys, men det är även möjligt att göra detta med GPO.

Vilka är de fördefinierade IPSec-policyerna om du använder GPOs?

Answer 220

Client (Respond Only):
Klienter förhandlar bara om säkerhets- och autentiseringsmetoder på begäran.

Server (Request Security):
Datorn begär alltid säkerhet med Kerberos V.5 för IP-trafik, men tillåter kommunikation utan säkerhet.

Secure Server (Require Security):
Datorn kräver alltid en säker anslutning för all IP-trafik och för att blockera icke pålitliga datorer. Använder endast Kerberos-autentisering som standard.

Question 221

Vad skiljer grupperna Domain Admins och Enterprise Admins åt när det kommer till administration av DNS?

Answer 221

Domain Admins har fullständiga behörigheter för DNS-servern i sin hemdomän.

Enterprise Admins har fullständiga behörigheter för alla DNS-servrar alla domäner i foresten.

Question 222

Vilken grupp ska du lägga till en användare i om du vill att denne ska kunna administrera inställningar och konfigurationer för DNS i den egna domänen?

Answer 222

DNS Admins

Question 223

Om du har en DNS-zon som en AD-integrerad zon, hur gör du då enklast en backup?

Answer 223

Gör en backup av ntds.dit (AD-databasen), denna fil inkluderar även din DNS-zon.

Question 224

Hur fungerar Netmask Ordering på en DNS-server?

Answer 224

Adresser till hostar som finns i samma subnät som den begärande klienten kommer att ha en högre prioritet i DNS-svaret till klienten.

Om flera A-records är associerade med samma DNS-namn och varje A-record finns på ett annorlunda subnät, returnerar Netmask Ordering ett A-record som finns på samma subnät som klienten som gjorde begäran.

Question 225

Vad är en DNS socket pool?

Answer 225

Möjliggör för en DNS server att använda source port randomization när den hanterar DNS-förfrågningar.

DNS-servern väljer ett slumpmässigt portnummer som den väljer från poolen, istället för ett fast portnummer.

Question 226

Vad är NRPT (Name Resolution Policy Table) ?

Answer 226

En sorts regelbok för hur DNS-klienten skickar och tar emot DNS-förfrågningar.

Question 227

Vad är Response Rate Limiting (RRL) och hur fungerar det?

Answer 227

RRL hjälper till att förhindra attacker mot Windows DNS-servrar genom att skydda mot DNS amplification attacker.

Default är RRL inaktiverat på Windows DNS-server. Aktivera med kommandot: Set-DNSServerRRL.

Question 228

Vad är DANE och hur fungerar det?

DNS-based Authentication of Named Entities

Answer 228

Ett protokoll för att binda X.509-certifikat till DNS-namn. Använder DNSSEC för att säkerställa att rätt CA svarar.

Ett verktyg för att motverka man-in-the-middle-attacker.

Question 229

Både Windows-loggar and Applications & Services-Loggar kan delas in i tre huvudsakliga nivåer.

Vilka är dessa tre?

Answer 229

Information:
Grundläggande status och händelser i systemet.

Error:
Allvarliga problem som administratörer bör meddelas om och adressera omedelbart, exempelvis prestandaproblem eller hårdvarufel.

Warning:
Indikerar ett tillstånd som för närvarande är acceptabelt men som kan bli kritiskt om det inte adresseras.

Question 230

Performance counters används för att mäta hur väl väl operativsystemet eller en applikation/tjänst fungerar.

Vad är exempel på Performance counters?

Answer 230

Exempelvis:

Primary Processor Counters - Interrupts per sekund, Queue Length och kapacitet.

Memory Counters - Överföring av data mellan disk (Virtuellt minne) och fysiskt minne.

Primary Disk Counters - Average Disk Queue Length.

Primary Network Counters - Anslutningar, överföring m.m.

Question 231

Vad är Data Collector Sets?

Answer 231

Helt enkelt en samling enskilda mätpunkter av systemet du sedan kan använda för att studera i exempelvis Performance Monitor.

Question 232

Windows Servers startprocess kan delas upp i 4 huvudsakliga delar.

Vilka är dessa fyra delar?

Answer 232

1. BIOS/EFI or UEFI initialization
2. OS Loader
3. Main Startup Cycle
4. Post-Startup

Question 233

Vad gör WinLoad.exe under startprocessen av ett system?

Answer 233

WinLoad.exe laddar in operativsystemets nödvändiga delar i minnet.

Question 234

Servrar kan utsättas för attacker under startprocessen, även före operativsystemet är laddat. Det gör att skadlig programvara kan potentiellt köras oupptäckt i kerneln.

Vad är de inbyggda verktygen för att motverka detta?

Answer 234

Secure Boot - ser till att firmware är digitalt signerad och inte har förändrats.

Early Launch Anti Malware (ELAM) - Anti-malware som undersöker startdrivrutinerna.

Measured Boot - Rootkit-skydd som kontrollerar varje startkomponent inkl. firmware hela vägen upp till startdrivrutinerna. Denna information lagras sedan i en Trusted Platform Module (TPM).

Varje uppstart kontrolleras sedan mot informationen i TPM.

Question 235

Under Windows startprocess kan flera fel inträffa.

Vad är några av de verktyg du kan använda för att felsöka startprocessen?

Answer 235

Safe Mode - startar med bara de nödvändigaste drivrutinerna och kan möjliggöra felsökning i detta läge. Finns i kommandotolk-, GUI- eller Nätverksläge.

Last Known Good Configuration - Systemets konfiguration körs i det tillstånd det var i slutet av den senaste framgångsrika starten och inloggningen.

Question 236

Under Windows startprocess kan flera fel inträffa.

Vad heter det läge du kan starta en dator som är domänkontrollant i för att felsöka utan att domänkontrollant-tjänsten är aktiv?

Answer 236

Directory Services Restore Mode.

Question 237

Vid uppstart av systemet ser du meddelanden som “Ogiltig partitionstabell”, “Fel vid inläsning av operativsystem” eller “Operativsystem saknas”.

Vad kan då vara felet och hur löser du det?

Answer 237

Systemets Master Boot Record (MBR) kan vara skadat/saknas på grund av hårddiskfel, korruption eller förstört av malware.

Kör kommandot bootrec / fixmbr, annars gäller det att ersätta disken eller installera om från backup.

Question 238

Vid uppstart av systemet ser du meddelandet “Windows kunde inte starta eftersom följande fil saknas eller är korrupt”.

Vad kan då vara felet och hur löser du det?

Answer 238

Volymen som en systemfil ligger på är skadad eller så är filen skadad/raderad.

Kör chkdsk-kommandot, vilket försöker reparera volymkorruptionen.

OBS, ReFS har automatisk detektion och reparation, därför är chkdsk till för NTFS.

Question 239

Vad innebär Failover Clustering?

Answer 239

En grupp servrar (noder) arbetar tillsammans för att tillhandahålla en uppsättning applikationer eller tjänster.

Skulle en eller flera noder falla bort så kan tjänsten fortfarande fungera efter att enheterna röstar om resurserna som är kvar räcker för att driva tjänsten. Gör de inte det går tjänsten ner. Varje nod har en LUN kopplad till sig. En LUN är en Logical unit number, en logisk disk.

Kallas även High-availability cluster.

Question 240

Hur fungerar Network Load Balancing (NLB) ?

Answer 240

I en NLB-konfiguration körs flera servrar oberoende och delar inte några resurser.

Klientförfrågningar distribueras mellan servrarna, NLB distribuerar belastningen till en annan server om en misslyckas. NLB kan öka prestanda och tillgänglighet.

Question 241

När du ska räkna ut Availability, brukar du vanligtvis inkludera tid för planerade avbrott för uppgifter som underhåll, Service Pack-uppdateringar m.m. ?

Answer 241

Nej, vanligtvis brukar Availability beräknas utefter oplanerade avbrott endast.

Question 242

Vad är den övre begränsningen av storleken på ett Failover Cluster som kör Windows Server 2019?

Answer 242

64 fysiska noder och 8000 virtuella maskiner per kluster.

Question 243

Vad är Cluster-Aware Updating (CAU) ?

Answer 243

Automatisk uppdatering av noder i klustret med Windows Update Hotfix genom att hålla klustret online och därmed minimera downtime.

I äldre versioner är detta inte möjligt.

Question 244

Vad innebär Dynamic Quorum när det kommer till Failover Clustering?

Answer 244

Gör det möjligt för ett kluster att räkna fram nya beslut för att återupprätta fungerande klusterroller om en nod skulle fallera.

Question 245

Vad innebär rollen “Witness” i ett Failover Cluster?

Answer 245

En fileshare eller disk som används för att upprätthålla kvorumet (beslutsmässigheten).

Vittnets roll är att tillhandahålla en ytterligare kvorumröst (en Casting Vote) när det behövs för att säkerställa att ett kluster fortsätter att fungera i händelse av ett avbrott.

Måste vara tillgängligt för alla noder i klustret.

Question 246

Förklara Cluster Shared Volumes (CSV):

Answer 246

En delad klustervolym är en delad disk som innehåller en NTFS- eller ReFS-volym som noder kan läsa och skriva till. CSV möjliggör att flera noder kan dela en enda LUN samtidigt.

En LUN är en Logical unit number, en logisk disk.

(Tekniskt sett är ett LUN ID-numret för en logisk disk, men har nu blivit synonymt med disken själv)

Question 247

High-availability/Failover cluster kan konfigureras med huvudsakligen 4 olika typer av “valsystem”.

Vilka är dessa system?

Answer 247

Node Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Endast noder har rösträtt.

Node and Disk Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett disk-vittne kan kallas in som har en Casting Vote om det blir oavgjort.

Node and File Share Majority:
Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett File Share-vittne kan kallas in som har en Casting Vote om det blir oavgjort.

No Majority (diktatur):
Endast en delad disk har ensam bestämmanderätt över alla enheter. Är disken offline är klustret offline.

Question 248

Hur fungerar ForceQuorum Resiliency?

Answer 248

Säg att du har fem noder i ett kluster, tre i Malmö och två i Kvistofta. Om förbindelsen mellan dessa platser skulle brytas skulle klustret delas upp i två delar där Malmöklustert fortsätter fungera (3/5) och det i Kvistofta stänger ner (2/5). Då skapas ett “Split Brain Syndrome Cluster”.

När internetförbindelsen återupprättas så har du två noder som är auktoritativa och du kommer ha två kluster som inte samarbetar. ForceQuorum Resiliency är en funktion som utser en ny auktoritativ nod som de andra automatiskt kommer ansluta till och originalklustret återställs.

Question 249

I tidigare versioner av Windows Server stannar båda sidorna av klustret om två platser har lika många noder och ett Witness fallerar.

Hur löses detta i nyare versioner av Windows Server?

Answer 249

Med funktionen “Tie Breaker for 50% Node Split”. Denna funktion ser till att manipulera röstlängden så att det alltid finns ett udda antal röster.

Detta gör att en nod får två röster i detta fallet så att klustret kan fortsätta fungera.

Question 250

Vad är viktigt att tänka på när det kommer till nätverket när du ska koppla ihop ett High-availability/Failover cluster?

Answer 250

Det bästa är om du har både ett privat nätverk som klustret kan kommunicera på internt och ett publikt nätverk som användare kan använda för att komma åt tjänsten som klustret tillhandahåller. Därför har varje nod oftast flera nätverkskort.

Det är möjligt att ha all kommunikation på ett Public-and-private network, men det har inte lika hög prestanda, tillförlitlighet och säkerhet.

iSCSI bör alltid ha ett dedikerat nät.

Question 251

Vad är de huvudsakliga delarna av ett system som kräver uppdatering?

Answer 251

• Operativsystemets kärnfiler och Dynamic-link library (DLL); delade programbibliotek.
• Drivrutiner
• Applikationer

Question 252

Vad är Windows Server Update Services (WSUS)?

Answer 252

Ett verktyg för nätverksadministratörer som förenklar uppdateringar på alla datorer i nätverket. Utan denna funktion måste varje dator uppdateras manuellt.

Du kan organisera datorer i grupper för specifika uppdateringsregler.

Istället för att varje dator laddar ner samma uppdateringsfiler oberoende av varandra, hämtar endast WSUS-servern filerna från Windows Update-servrarna. Detta sparar mycket bandbredd om du har många enheter i nätverket.

Question 253

Vad är de viktigaste delarna när det kommer till troubleshooting?

Answer 253

Bedömning av inverkan - Hur allvarligt är det som har hänt? Vilka system är påverkade? Bästa tillvägagångssätt för att åtgärda problemet?

Kommunikation - Informera berörda parter om felsökningsprocessens framsteg, tidsberäkningar m.m.

Dokumentation - Dokumentera allt om hur du går tillväga, detta gör att det blir enklare att gå tillbaks om du har missat något.

Question 254

Vilka är de 8 stadierna i troubleshooting-processen?

Answer 254

1. Define
2. Gather
3. Determine
4. Develop
5. Implement
6. Test
7. Results

Är resultatet det önskvärda avslutas processen (8.), annars återgår den till Develop och fortsätter därifrån.

Question 255

Vad är några av de vanligaste verktygen för troubleshooting i Windows Server?

Answer 255

Exempelvis:

Event Viewer
Task Manager
Resource Monitor
Reliability Monitor
Performance Monitor
Command-Line Tools och Windows PowerShell

Externa resurser (som exempelvis Microsoft Knowledge Base Articles)

Question 256

Vad är iLO?

Answer 256

Integrated Lights-Out. Är en proprietär HP-teknik som tillåter serveradministration out-of-band.

Detta gör det möjligt att remoteansluta på ett separat nätverk som har en egen dedikerad ethernet-port på HP-enheten.

Andra tillverkare har liknande lösningar.