2025年网络安全防护工具使用培训试卷(含答案)

2025年网络安全防护工具使用培训试卷(含答案)1.单项选择题（每题2分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.1在Windows1124H2中，默认启用且用于阻止凭据转储的内核隔离组件是（）A.CredentialGuardB.DeviceGuardC.HVCID.WindowsSandbox答案：A1.2下列哪条Linuxaudit规则可永久记录对/etc/shadow的写操作并立即生效？（）A.auditctlw/etc/shadowpwakshadow_changeB.echo"w/etc/shadowpwakshadow_change">>/etc/audit/rules.d/audit.rules&&auditctlR/etc/audit/rules.d/audit.rulesC.ausearchf/etc/shadowpwaD.systemctlrestartauditd答案：B1.3企业版EDR在检测到“LSASS异常匿名读取”时，最优先的MITREATT&CK技术编号是（）A.T1003.001B.T1055.012C.T1552.001D.T1218.004答案：A1.4在零信任架构中，用于动态评估终端合规性的协议是（）A.RADIUSB.TACACS+C.PostureAgentviaIFMAPD.GRE答案：C1.52024年发布的TLS1.3扩展中，用于防止跨握手重放攻击的字段是（）A.cookieB.early_dataC.max_early_data_sizeD.record_size_limit答案：B1.6针对容器逃逸，AppArmor的哪种配置文件模式可仅审计不阻止？（）A.enforceB.complainC.killD.unconfined答案：B1.7在AWSKMS中，对CMK执行“ScheduleKeyDeletion”后，默认最短可撤销时间为（）A.7天B.15天C.30天D.立即答案：A1.8利用BloodHound分析AD域时，标记为“HighValueTarget”的默认容器是（）A.DomainComputersB.DomainControllersC.BuiltinD.LostAndFound答案：B1.9在macOSSonoma中，用于限制快速用户切换时令牌泄露的技术是（）A.KeychainSyncB.BootstrapTokenC.SecureTokenD.AppleSecureEnclave答案：C1.102025年1月补丁日，微软修复的SMBoverQUIC远程代码执行漏洞CVE编号为（）A.CVE202521310B.CVE202521311C.CVE202521312D.CVE202521313答案：B1.11下列哪项不是NISTSP800207零信任核心逻辑组件？（）A.PolicyEngineB.PolicyAdministratorC.PolicyEnforcementPointD.SecurityCopilot答案：D1.12在Android14中，限制非特权应用读取设备标识符的权限是（）A.READ_PRIVILEGED_PHONE_STATEB.READ_DEVICE_IDC.READ_IMEID.READ_SERIAL答案：A1.13使用Suricata7.0规则检测DNS隧道，下列哪个关键字用于检查payloadentropy？（）A.dns.query_lengthB.dns.answer_entropyC.dns.query_entropyD.dns.rcode答案：C1.14在Kubernetes1.29中，可限制容器使用特权ESCAPED的准入控制器是（）A.PodSecurityB.LimitRangerC.ResourceQuotaD.AlwaysPullImages答案：A1.15当WAF采用CoreRuleSet4.0时，阻断Log4j2JNDI注入的规则ID是（）A.932100B.932110C.932120D.932130答案：D2.多项选择题（每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1以下哪些属于WindowsDefenderExploitGuard的子模块？（）A.AttackSurfaceReductionB.NetworkProtectionC.ControlledFolderAccessD.ApplicationGuard答案：ABC2.2关于eBPF在Linux安全观测中的优势，正确的有（）A.无需重新编译内核即可动态加载程序B.可在用户空间直接修改系统调用表C.通过Verifier保证程序不会陷入无限循环D.支持在内核返回用户空间前捕获数据包答案：ACD2.3以下哪些HTTP响应头可缓解XSLeaks？（）A.CrossOriginOpenerPolicyB.CrossOriginEmbedderPolicyC.CrossOriginResourcePolicyD.PermissionsPolicy答案：ABC2.4在AzureAD中，可触发“用户风险策略”评估的信号有（）A.匿名IP登录B.不可能旅行C.恶意软件关联IPD.密码喷洒答案：ABCD2.5利用ChaCha20Poly1305进行加密通信时，以下哪些参数必须唯一且不可预测？（）A.96bitnonceB.256bitkeyC.32bitcounter初始值D.AdditionalAuthenticatedData答案：AB2.6以下哪些技术可防止Docker镜像在构建阶段泄露敏感文件？（）A.multistagebuildB.BuildKitsecretsmountC..dockerignoreD.DockerfileENV指令答案：ABC2.7在iOS17中，针对LockdownMode的限制包括（）A.禁用JIT编译B.禁用WebGLC.禁用FaceTime来电D.禁用HomeKit配件自动发现答案：ABD2.8以下哪些属于MITREShield的主动防御技术？（）A.DecoyAccountB.DecoyContentC.IsolationD.ChannelMonitoring答案：ABD2.9以下哪些命令可用于离线分析WindowsMinidump中的Token信息？（）A.mimikatzsekurlsa::minidumpB.volatilitylinux_pslistC.volatilitywindows_dump_tokensD.windbg!token答案：ACD2.10在零信任网络中，基于微分段的策略执行点可部署在（）A.虚拟交换机B.容器Sidecar代理C.主机防火墙D.物理交换机芯片答案：ABCD3.填空题（每空2分，共30分。将答案写在横线上）3.1在Linux内核5.15及以上，用于限制容器进程获取新权限的安全机制是________。答案：seccomp3.22024年12月，Google发布的用于检测供应链攻击的框架名称是________。答案：SLSAv1.03.3在Windows事件日志中，Sysmon事件ID25表示________。答案：ProcessTampering3.4当使用Wireshark解密TLS1.3流量时，需要提前导入的密钥日志文件环境变量为________。答案：SSLKEYLOGFILE3.5在KubernetesNetworkPolicy中，默认拒绝所有入站流量的规则字段是________。答案：ingress:[]3.6用于衡量密码破解成本的单位，通常记为“哈希每秒”的缩写是________。答案：H/s3.7在macOS中，负责管理文件系统扩展属性隔离的守护进程是________。答案：kernelmanagerd3.82025年2月，OpenSSL发布的补丁版本号修复了CVE202521648，该版本为________。答案：3.2.23.9在AWSS3Bucket策略中，用于强制客户端使用TLS1.2及以上的条件关键字是________。答案：s3:TlsVersion3.10在Android14中，限制应用使用隐藏API的标志位是________。答案：hidden_api_blacklist3.11用于检测Office文档中VBAstomping的YARA规则关键字通常包含________。答案：VBAstomping3.12在Suricata的EVE日志中，记录TLS握手失败的具体字段为________。答案：tls.alert.description3.13在Windows注册表中，设置WDAC策略路径的键值位于________。答案：HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\CI3.14在Linux中，使用nftables实现限速，需要调用的meter类型为________。答案：quota3.15在零信任架构中，NIST推荐的资源访问授权模型缩写为________。答案：ABAC4.简答题（共40分）4.1（封闭型，8分）简述WindowsDefenderApplicationControl（WDAC）与AppLocker的三点核心区别。答案：1.工作层级：WDAC基于内核模式CodeIntegrity，AppLocker为用户模式DLL注入；2.策略粒度：WDAC支持基于文件哈希、签名者、版本号、文件路径多维度，AppLocker仅支持签名者、路径、哈希；3.适用范围：WDAC可阻止驱动及内核模块，AppLocker无法管理内核代码。4.2（开放型，10分）某企业采用零信任网络，员工通过BYOD访问SaaS。请给出一种兼顾用户体验与安全的终端准入方案，并说明关键技术与风险控制点。答案：方案：基于设备信任度动态评估的ConditionalAccess。关键技术：1.设备注册：利用Intune注册设备，颁发设备证书；2.持续评估：EndpointDetectionAgent上报补丁、杀毒、磁盘加密状态；3.风险聚合：AzureADIdentityProtection结合登录地、行为分析生成风险分；4.动态控制：风险分≥medium强制要求MFA+短期令牌，≥high阻断并引导修复。风险控制：1.防止证书泄露：硬件绑定私钥，TPM加密；2.防止Agent绕过：内核级防护，篡改触发WDAC阻断；3.隐私合规：仅收集安全属性，不采集用户内容，数据留存90天。4.3（封闭型，8分）列出利用eBPF实现Linux系统调用审计的四个必要步骤。答案：1.编写eBPF程序，使用SEC("tracepoint/syscalls/sys_enter_openat")挂载；2.通过clangO2targetbpfcaudit.coaudit.o编译；3.用户空间加载器调用bpf()系统调用，创建map存储PID与文件名；4.使用bpf_printk或perfeventringbuffer向用户空间输出审计日志。4.4（开放型，14分）某云原生应用采用微服务架构，服务间通信使用mTLS。近期出现证书泄露导致横向移动事件。请设计一套自动化证书轮换与泄露响应机制，并给出技术实现细节。答案：机制：1.证书生命周期：采用SPIFFE/SPIRE颁发短期X.509SVID，有效期≤2h；2.自动轮换：SPIREAgent通过NodeAttestation每30min拉取新证书，旧证书立即作废；3.泄露检测：a.控制平面持续扫描公开仓库、Pastebin等泄露源；b.数据平面Envoy通过OCSPStapling实时校验，发现revoked立即断开；4.响应：a.一旦检测到某SPIFFEID泄露，SPIREServer吊销并更新CRL；b.所有Sidecar收到CRL后强制重连，旧连接RST；c.审计中心聚合EnvoyAccessLog，生成事件ticket；5.技术实现：a.SPIREServer运行在独立K8s集群，使用Raft+TLS双重加固；b.Agent以DaemonSet部署，利用HostNetwork避免CNI循环依赖；c.使用OPAGatekeeper验证Pod注解必须携带spire身份，否则拒绝启动；d.通过ArgoCDGitOps管理CRD，确保回滚可追踪。5.应用题（共50分）5.1计算题（15分）某企业部署SIEM，每日接收日志量为500GB，压缩率0.3，保留期400天，采用三副本ErasureCoding（10+4）存储。存储系统单盘8TB，格式化损失7%，请计算最少需要多少块磁盘？（结果向上取整）答案：有效日志量=500GB×400×0.3=60TBEC后总量=60TB×(14/10)=84TB单盘可用=8TB×0.93=7.44TB磁盘数=⌈84/7.44⌉=12块5.2分析题（15分）给出一段Suricata告警日志：{"timestamp":"20250601T14:23:45.123","flow_id":1234,"alert":{"signature_id":2024333,"severity":2,"signature":"ETTROJANCobaltStrikeMalleableC2JQueryProfile"},"http":{"hostname":"","url":"/jquery3.6.0.min.js","http_user_agent":"Mozilla/5.0","status":200},"payload":"TVqQAAMAAAAEAAAA…"}请回答：1.该告警依据的检测方法；2.如何确认是否为误报；3.若确认真实，给出后续取证三步。答案：1.检测方法：规则匹配HTTP响应体中CobaltStrikeMalleableC2特征（如checksum8、伪随机编码）；2.误报确认：a.比对官方jquery3.6.0.min.jsSHA256；b.检查同一源IP后续是否下载beacon.dll；c.查看TLSSNI与证书是否异常；3.取证：a.提取完整PCAP，解密TLS（若有密钥日志）；b.使用volatility