2026年网络安全策略补丁试卷

2026年网络安全策略补丁试卷一、单项选择题（每题2分，共20分）1.2026年3月，某金融单位在补丁日部署了编号为KB5038211的Windows累积更新，随后发现内网大量ATM机出现“0x800703f9”错误。经回溯，根因是补丁引入了新的代码完整性策略，与ATM机中某国密SM4动态库签名哈希不一致。下列哪项措施可在不卸载补丁的前提下最快恢复业务？A.在注册表HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy中新建DWORD值UpgradedSystemSigners=0B.使用signtool.exe对SM4动态库追加微软交叉证书后再执行“cipher/reflush”C.通过组策略“系统加密：使用FIPS兼容的算法”设置为已禁用D.在WDAC策略里新增一条允许SM4库哈希的规则并刷新策略答案：D解析：KB5038211默认启用更严格的WindowsDefenderApplicationControl（WDAC）策略，导致旧签名被阻止。新增哈希规则并刷新策略可在不降低整体安全基线的情况下放行指定库，A项关闭全局签名校验风险过高；B项cipher命令与签名无关；C项FIPS策略不影响代码完整性。2.2026年6月，Linux内核发布CVE-2026-1819，攻击者利用eBPF验证器整数溢出可达成本地提权。红帽随后发布RHSA-2026:2137，其中内核补丁引入了“bpf:verifier:enforce64-bitarithmeticonscalar32”逻辑。若企业在Ubuntu24.04LTS上采用CanonicalLivepatch服务，下列说法正确的是：A.Livepatch可在线替换整个内核镜像，无需重启即可修复该漏洞B.该漏洞涉及bpfsyscall，Livepatch无法热补丁，必须重启生效C.用户需手动将内核升级到5.15.0-101.112版本并关闭bpfJITD.Livepatch热补丁仅对x86_64生效，ARM64仍需重启答案：B解析：CVE-2026-1819修改的是eBPF验证器核心数据结构，涉及全局bpf_prog_aux的字段重排，Livepatch无法安全地在运行期迁移已有验证器状态，必须重启加载新内核。3.2026年8月，某云原生平台使用Istio1.24，安全公告要求升级至1.24.3以修复CVE-2026-2341（JWTbypass）。若集群已启用“revision=1-24-1”的金丝雀升级，下列kubectl命令能确认数据面sidecar已切换到1.24.3？A.kubectlgetpods-ojson|jq'.items[].spec.containers[]|select(.name=="istio-proxy")|.image'B.kubectlexec-itdeploy/sleep-cistio-proxy-pilot-agentversion|grep1.24.3C.istioctlproxy-status|grep“1.24.3”D.kubectlgetistiorevision-oyaml|grep“1.24.3”答案：B解析：sidecar容器内pilot-agent二进制自带版本号，直接exec获取最准确；A项只能看到镜像tag，若tag未变则无法区分；C项proxy-status输出的是istio-proxy与istiod的同步状态，不含版本；D项自定义资源不存在。4.2026年10月，微软发布.NET8.0.12，修复了编号为CVE-2026-3100的远程代码执行漏洞，该漏洞源于BinaryFormatter反序列化。某企业有2000台Win1123H2终端需批量补丁，IT管理员拟使用WindowsUpdateforBusiness（WUFB）部署策略。若希望“仅当用户主动点击检查更新时才安装”，应配置哪组GPO？A.配置自动更新=2，自动维护期间安装=已启用B.配置自动更新=3，计划安装日期=0C.配置自动更新=5，允许自动更新立即安装=已禁用D.删除使用所有Windows更新功能的访问权限=已启用答案：C解析：值5代表“允许本地管理员选择设置”，配合“允许自动更新立即安装=已禁用”可实现用户手动触发；A项会在维护窗口自动装；B项计划安装日期=0表示每天，仍自动；D项会彻底屏蔽更新界面。5.2026年12月，GoogleChrome紧急发布M126稳定版，修复了在野利用的0day（CVE-2026-4133）。该漏洞位于V8引擎的Maglev编译器，错误地将CheckMaps节点下沉到可能改变Map的副作用操作之后。下列缓解措施可在官方补丁发布前最有效地阻断攻击？A.在快捷方式添加--js-flags="--no-maglev"B.企业策略中启用“RendererCodeIntegrityEnabled”C.在防火墙阻断域名D.将Chrome回退到M125并禁用WebAssembly答案：A解析：--no-maglev直接关闭Maglev编译器，可阻断利用路径；B项RendererCodeIntegrity仅防止加载未签名dll，与V8漏洞无关；C项域名阻断不影响本地JIT；D项WebAssembly与漏洞无关且回退版本失去其他补丁。6.2026年4月，Kubernetes社区发布CVE-2026-1418，攻击者可通过聚合APIServer实现SSRF。官方补丁在kube-apiserver的request/header_proxy.go中增加对proxyURL的scheme白名单校验。若企业使用红帽OpenShift4.16，应通过哪个Operator推送补丁？A.ClusterVersionOperatorB.MachineConfigOperatorC.KubernetesAPIOperatorD.ClusterNetworkOperator答案：A解析：OpenShift的升级通道由CVO统一管理，CVE补丁随z-stream发布；B项MCO负责节点级配置；C项不存在；D项CNO只负责SDN。7.2026年7月，某单位收到微软安全公告ADV-2026-25，指出ExcelforMicrosoft365AppsVersion2406存在内存破坏漏洞，建议启用“在受保护的视图中打开来自Internet的文件”。该策略对应的注册表键值是：A.HKCU\Software\Microsoft\Office\16.0\Excel\Security\ProtectedView\DisableInternetFilesInPVB.HKCU\Software\Microsoft\Office\16.0\Excel\Security\AccessVBOMC.HKLM\Software\Microsoft\Office\16.0\Excel\Security\FileValidation\EnableOnLoadD.HKCU\Software\Policies\Microsoft\Office\16.0\Excel\Security\ProtectedView\DisableInternetFilesInPV=0答案：A解析：A项键值设为0表示不禁用，即启用受保护视图；D项路径正确但值为0表示策略未启用；B项控制宏；C项控制文件验证。8.2026年9月，ApacheLog4j2.24.1发布，修复了CVE-2026-2819（DoS）。若某SpringBoot3.3项目使用Gradle，需在build.gradle中如何约束版本？A.implementation('org.apache.logging.log4j:log4j-core:2.24.1'){force=true}B.constraints{implementation('org.apache.logging.log4j:log4j-core:2.24.1')}C.implementationplatform('org.apache.logging.log4j:log4j-bom:2.24.1')D.resolutionStrategy.eachDependency{details->if(details.requested.group=='org.apache.logging.log4j'){details.useVersion'2.24.1'}}答案：C解析：使用BOM平台约束可统一管理所有log4j子模块版本；A项仅强制单模块；B项语法错误；D项也能生效但不如BOM简洁。9.2026年11月，苹果发布iOS18.2，修复了CVE-2026-3522，该漏洞使攻击者可通过恶意NFC标签绕过CoreNFC的签名验证。企业使用MDM推送配置“强制延迟OS更新90天”，但安全团队要求立即打补丁。下列哪项MDM指令可绕过延迟窗口？A.ScheduleOSUpdateScanB.AvailableOSUpdatesC.OSUpdateStatusD.ScheduleOSUpdate答案：D解析：ScheduleOSUpdate允许MDM直接指定ProductVersion并强制安装；A项仅触发扫描；B项查询列表；C项获取状态。10.2026年5月，某单位在VMwarevCenter8.0U3c中发现VMSA-2026-0008，补丁需升级至8.0U3d。升级前需备份vCenter，下列哪种方式支持“原位升级后如失败可回退”？A.基于映像的备份使用VAMI中“备份”功能，选择“转储到NFS”B.创建快照后克隆vCenter虚拟机C.使用PowerCLI备份vDS配置D.导出vCenter清单到CSV答案：A解析：VAMI备份含数据库、证书、插件，官方支持回退；B项快照在升级后可能因磁盘格式变化无法回滚；C、D项仅配置不含数据。二、多项选择题（每题3分，共15分）11.2026年2月，GitLab17.8.2修复了CVE-2026-1199，该漏洞允许维护者通过恶意CI变量读取任意文件。下列哪些措施可在不升级版本的前提下临时缓解？A.在gitlab.rb中设置gitlab_rails['ci_secure_files']=falseB.使用WAF拦截包含“../”的CI变量值C.禁用所有公共项目的CID.在nginx前置层添加规则过滤$http_x_gitlab_ci变量答案：A、B解析：A项直接关闭安全文件功能；B项可阻断路径遍历；C项过度；D项变量名错误。12.2026年6月，NVIDIA发布GPU驱动552.44，修复了CVE-2026-2055（内核级越界写入）。下列哪些场景需优先打补丁？A.公有云GPU节点运行多租户AI训练B.内部VDI使用vGPU17.4C.离线渲染农场物理机D.游戏本独显直连模式答案：A、B解析：多租户与vGPU存在虚拟机逃逸风险；C、D为单用户，风险较低。13.2026年9，ApacheFlink1.20.0修复了CVE-2026-2991，该漏洞通过RESTAPI上传恶意jar包实现RCE。下列哪些配置可阻断攻击？A.rest.bind-address=B.security.ssl.rest.enabled=trueC.web.upload.enable=falseD.jobmanager.archive.fs.dir=file:///tmp/flink-archive答案：A、C解析：A项限制监听本地；C项关闭上传；B项仅加密；D项无关。14.2026年11，AtlassianConfluence9.2.1修复了CVE-2026-3398，该漏洞通过模板注入实现RCE。下列哪些临时缓解可被官方认可？A.在setenv.sh中添加-Dconfluence.disable.velocity.template=trueB.使用Servlet过滤器拦截.vm请求B.使用Servlet过滤器拦截.vm请求C.在xwork.xml中移除所有velocity结果类型D.通过防火墙限制/confluence/template/路径答案：A、C解析：A项官方KB给出；C项可阻断velocity渲染；B项过滤器无法解析模板语法；D项路径不存在。15.2026年12，PHP8.3.14修复了CVE-2026-3722，该漏洞使filter_var函数在FILTER_VALIDATE_URL模式下可被绕过。下列哪些代码片段在补丁前存在风险？A.if(!filter_var($url,FILTER_VALIDATE_URL))die("error");B.if(parse_url($url,PHP_URL_SCHEME)!=='https')die("error");C.if(!preg_match('#^https://#i',$url))die("error");D.if(strpos($url,"javascript:")!==false)die("error");答案：A解析：FILTER_VALIDATE_URL可被构造“\n@”绕过；B、C、D均额外校验。三、判断题（每题1分，共10分）16.2026年3月，微软发布KB5038211后，若企业使用WSUS且未勾选“升级和补丁的取代”，则旧补丁会被自动拒绝。（×）解析：取代关系由元数据决定，与WSUS勾选无关。17.2026年5月，Linux内核引入“nf_conntrack_max”动态缩放，无需重启即可在线调整。（√）解析：5.19+已支持通过sysctl动态调整。18.2026年7月，ChromeM126启用“V8Sandbox”，即使出现RendererRCE也无法突破沙箱访问本地文件。（×）解析：M126仅部分站点试用，未全量启用。19.2026年9月，OpenSSL3.3.2修复了CVE-2026-2989，该漏洞仅影响使用RSA-PSS的TLS1.3服务端。（√）解析：公告明确PSS填充验证错误。20.2026年11月，VMwareESXi8.0U3d补丁支持使用vSphereLifecycleManager在线修复，无需维护模式。（×）解析：内核补丁仍需进入维护模式。21.2026年1月，微软宣布Windows1022H2延长支持至2026年10月，之后需付费ESU才能接收安全补丁。（√）解析：官方路线图已公布。22.2026年4月，ApacheStruts6.4.0默认开启“强制OGNL表达式沙箱”，可阻断历史S2-xxx系列漏洞。（√）解析：6.4.0引入沙箱模式。23.2026年6月，iOS18.2新增“LockdownMode”可一键关闭NFC、FaceTime、HomeKit等攻击面。（√）解析：18.2扩展了Lockdown范围。24.2026年8月，GitHubActions弃用Node16运行器，所有工作流必须升级至Node20，否则无法接收安全补丁。（√）解析：官方公告2026-08-01起强制。25.2026年10月，OracleJDK21.0.3采用FIPS140-3模块，需替换libcrypt.so才能启用。（×）解析：JDK自带SunPKCS11，无需替换系统库。四、填空题（每空2分，共20分）26.2026年2月，微软发布Windows1124H2，默认启用________安全功能，可阻断无驱动内核攻击。答案：VBS与CredentialGuard27.2026年5月，Linux内核补丁引入________机制，可对eBPF程序运行期进行内存配额限制。答案：BPFmemoryaccounting28.2026年7月，ApacheHTTPServer2.4.63修复了CVE-2026-2102，该漏洞位于mod_proxy________模块。答案：ajp29.2026年9月，Kubernetes1.32在kubelet中新增________准入控制器，可阻断特权容器创建。答案：PodSecurity30.2026年11月，NVIDIAvGPU18.2驱动支持________技术，可实现GPU补丁零停机热迁移。答案：vGPUlivemigration31.2026年3月，Google发布Android16，默认采用________加密分区，阻断物理镜像提取。答案：File-BasedEncryption+MetadataEncryption32.2026年6月，OpenSSH9.8默认关闭________算法，以防范量子前向保密攻击。答案：ssh-rsa33.2026年8月，微软Edge126支持________API，可阻止零日漏洞利用堆喷射。答案：HeapProtection34.2026年10月，ApacheLog4j2.24.1引入________属性，可全局禁用MessageLookups。答案：log4j2.formatMsgNoLookups35.2026年12月，PHP8.3.14新增________函数，可安全解析URL并返回components数组。答案：php_parse_url_safe五、简答题（每题10分，共30分）36.2026年4月，某央企使用WindowsServer2025Core作为域控，补丁日需安装KB5038899，但服务器位于分支机构，带宽仅2Mbps，下载1.2GB的累积更新耗时过长。请给出三种官方支持的“减少下载量”方案，并比较优缺点。答案：1)采用Express更新：WSUS支持Express，客户端仅下载差异包约200MB，节省80%流量，但需WSUS2025+且客户端需Windows1124H2以上。2)启用DeliveryOptimization（DO）：将总部已下载缓存通过P2P共享给分支，利用LAN对等传输，减少出口带宽，但需开放UDP7680并配置GroupID。3)使用MicrosoftConnectedCache（MCC）边缘节点：在分支部署MCC虚拟机，缓存BITS下载内容，后续客户端直接本地获取，命中率>90%，但需额外硬件资源。37.2026年8月，某互联网公司在Kubernetes1.32集群中运行ApacheFlink1.20作业，因CVE-2026-2991需升级至1.20.1。请描述零停机升级步骤，含镜像替换、检查点、状态兼容性验证。答案：1)备份：使用“kubectlexecflink-jobmanager-flinksavepoint”触发保存点，输出路径为pvc:///flink/savepoint/s1。2)构建新镜像：将FROMflink:1.20.1并加入补丁jar，推送到内部Harbor。3)修改FlinkDeploymentCR，将image字段指向新镜像，并增加upgradeMode:savepoint。4)应用CR后，operator先停止旧作业，从s1恢复状态，验证checkpoint_id连续且无failedTask。5)通过FlinkWebUI查看指标，确认backpressure正常，完成零停机。38.2026年10月，某高校使用Ubuntu24.04LTS运行NVIDIAA100GPU节点，驱动550.90存在CVE-2026-2055