DCST1005 – Storquiz: Eksamen + MOCK 01/02

Disse kan ikke rettes automatisk på samme måte som flervalg. Bruk sjekkboksene som egenkontroll: de viser hva et godt svar typisk bør dekke.

MOCK 01 · B1 – Brukere og tilgangsstyring

Windows Server og on-premises administrasjon · 15 poeng

Kontekst: InfraIT.sec har fått en ny avdeling kalt Prosjekt, og selskapet ønsker at alle ansatte i avdelingen skal ha tilgang til en felles prosjektmappe på filserveren SRV1.

a) Beskriv steg for å klargjøre AD-miljøet for Prosjekt-avdelingen, inkludert nødvendige AD-objekter og tilgang til prosjektmappen på SRV1. Begrunn strukturvalgene. (6 poeng)

b) Forklar hvordan du ville identifisert og håndtert brukerkontoer som ikke har vært i bruk på over 90 dager. Hva er risikoen ved å la dem være aktive? (5 poeng)

c) En helpdesk-ansatt skal kunne tilbakestille passord for brukere i Prosjekt-OU-en, men ikke ha administratorrettigheter utover dette. Forklar løsning i AD. (4 poeng)

Nevner OU-struktur, brukere, grupper og ressursgrupper. Bruker AGDLP eller tilsvarende gruppebasert tilgangsstyring. Skiller NTFS- og Share Permissions, og bruker minste privilegium. Beskriver trygg håndtering av inaktive kontoer: identifisere, deaktivere, flytte, logge og eventuelt slette senere. Forklarer delegering av passord-reset på OU-nivå uten Domain Admin.

MOCK 01 · B2 – Group Policy

GPO · BitLocker · USB · loopback · 15 poeng

a) Beskriv hvordan GPO kan brukes til å konfigurere BitLocker på alle bærbare PC-er, og at krypteringsnøkler skal lagres i AD. (5 poeng)

b) En GPO på domenivå deaktiverer USB-lagring på alle maskiner. IT-drift trenger likevel USB. Beskriv to måter å løse dette på med GPO-mekanismer, med fordeler og ulemper. (6 poeng)

c) Forklar loopback processing og gi eksempel på når det er nyttig. (4 poeng)

Knytter GPO til riktig OU/maskiner og forklarer Computer Configuration. Nevner recovery keys/AD-lagring og kontroll før håndheving. Drøfter sikkerhetsfiltrering, egne OU-er, Block Inheritance eller Enforced der relevant. Forklarer loopback som brukerpolicy basert på maskinen brukeren logger inn på.

MOCK 01 · C1/C2 – Azure og offentlig sky

Hub-spoke · NSG · Firewall · RBAC · Policy · kostnad · 30 poeng

C1 a) Forklar defense in depth i Azure-nettverk og hvordan NSG-er og Azure Firewall kan brukes sammen i hub-spoke. (6 poeng)

C1 b) En VM i et spoke-subnett skal kun kommunisere med én database-VM i samme VNet, og all annen utgående trafikk skal blokkeres. Beskriv NSG-regler og prioritet. (5 poeng)

C1 c) Forklar stateful trafikkinspeksjon og hvorfor det er relevant for toveis kommunikasjon. (4 poeng)

C2 a) En medarbeider skal ha lesetilgang til alle ressurser i ett Azure-abonnement, men ikke kunne opprette/slette. Velg RBAC-rolle og scope. (5 poeng)

C2 b) Forklar Azure Policy og gi eksempel på håndheving av tag, og skill mellom Policy og RBAC. (6 poeng)

C2 c) Azure-kostnader har økt uventet. Beskriv tre konkrete tiltak for å identifisere og redusere kostnader. (4 poeng)

Skiller mellom NSG som subnett/NIC-filter og Azure Firewall som sentral trafikkontroll. Bruker konkrete allow/deny-regler og prioritet fra mest spesifikk til generell deny. Forklarer Reader på subscription-scope. Skiller RBAC: hvem kan gjøre hva, fra Policy: hva er lov/kreves. Nevner Cost Management, budsjetter/alerts, tags, rightsizing, stop/delete ubrukte ressurser.

MOCK 01 · D1 – PowerShell og automatisering

Inaktive brukere · pseudokode · 26 poeng

Kontekst: Scriptet skal kjøres månedlig på DC1. Filen inaktive-brukere.txt inneholder én SamAccountName per linje for brukere som ikke har logget inn på over 90 dager.

a) Skriv PowerShell-pseudokode som leser listen, deaktiverer hver konto, flytter brukeren til OU=Deaktivert,OU=InfraIT,DC=infrait,DC=sec, håndterer feil og gir sporbarhet. (18 poeng)

b) Begrunn tre sentrale valg i scriptutformingen og hvorfor disse gjør scriptet bedre egnet i produksjon. (8 poeng)

Leser filen robust og validerer at fil/OU finnes. Bruker løkke per SamAccountName og sjekker om bruker finnes. Deaktiverer konto og flytter objektet til riktig OU. Bruker try/catch eller tilsvarende feilhåndtering per bruker. Logger resultat: suksess, feil, tidspunkt og bruker.

MOCK 02 · B1 – Active Directory og sikkerhet

Minste privilegium · passordpolicy · stale accounts · 15 poeng

a) Forklar minste privilegium i AD og hvordan du ville gitt en ny IT-administrator nødvendige rettigheter uten Domain Admin. Gi konkrete eksempler. (6 poeng)

b) Krav: passord minimum 12 tegn, kompleksitet og bytte hver 90. dag. Beskriv to måter dette kan håndheves i AD, og forklar fordelen med den ene i miljøer med ulike krav per avdeling. (5 poeng)

c) Forklar stale computer account, sikkerhetsrisiko og opprydding. (4 poeng)

Skiller daglig drift fra Domain Admin og bruker delegering/rollebasert tilgang. Nevner OU-delegering, gruppebaserte rettigheter og logging. Sammenligner Default Domain Policy med Fine-Grained Password Policies. Forklarer stale computer accounts som maskinkontoer som ikke lenger er aktive/kontrollert.

MOCK 02 · B2 – Group Policy

Software Installation · feilsøking · WMI-filter · 15 poeng

a) Beskriv Software Installation via GPO for alle maskiner i Salg-avdelingen, hvilken innstillingstype som brukes, og krav til programpakke. (5 poeng)

b) En GPO skal hindre programvareinstallasjon, men brukerne kan fortsatt installere. Beskriv systematisk feilsøking og minst tre mulige årsaker. (6 poeng)

c) Forklar WMI-filtre og når de er nyttige fremfor separate OU-er. (4 poeng)

Nevner MSI/UNC-share, Computer Configuration og riktig OU/link. Bruker gpupdate/gpresult/RSoP/Event Viewer i feilsøkingen. Sjekker OU-plassering, sikkerhetsfiltrering, arv, link enabled, konflikter og lokale adminrettigheter. Forklarer WMI-filter som dynamisk målretting basert på maskinegenskaper.

MOCK 02 · C1/C2 – Hybrid sky og Azure-sikkerhet

P2S VPN · Azure File Sync · IP · Defender · Key Vault · segmentering · 30 poeng

C1 a) Forklar Point-to-Site VPN og scenario der det er mer hensiktsmessig enn Site-to-Site VPN. (5 poeng)

C1 b) Forklar tjeneste for filsynk mellom on-prem filserver og Azure, overordnet virkemåte og én begrensning. (5 poeng)

C1 c) Forklar privat vs offentlig IP for Azure-VM, og hvorfor offentlige IP-er direkte på VM-er normalt bør unngås i produksjon. (5 poeng)

C2 a) Beskriv Defender for Cloud og to sikkerhetsproblemer det kan identifisere. (5 poeng)

C2 b) VM skal lese secrets fra Key Vault uten lagret legitimasjon. Forklar mekanisme og oppsett. (6 poeng)

C2 c) Forklar network segmentation i Azure og hvorfor produksjonsmiljø bør segmenteres. (4 poeng)

Skiller P2S for enkeltklienter fra S2S for nettverk-til-nettverk. Identifiserer Azure File Sync og beskriver agent/sync group/cloud endpoint/server endpoint. Begrunner privat IP, Bastion/VPN/Firewall og mindre eksponering. Nevner managed identity + Key Vault access policy/RBAC. Forklarer segmentering med subnett, NSG, UDR og separate soner.

MOCK 02 · D1 – PowerShell og automatisering

Grupperapport · pseudokode · 26 poeng

Kontekst: Scriptet skal lage en månedlig rapport over medlemmer i sikkerhetsgruppene GG-Økonomi, GG-Salg og GG-IT-drift, og lagre dette som grupperrapport.txt.

a) Skriv PowerShell-pseudokode som henter medlemmer, håndterer grupper som ikke finnes eller er tomme, og gir sporbarhet. (18 poeng)

b) Begrunn tre sentrale valg som gjør scriptet egnet for produksjon. (8 poeng)

Definerer gruppeliste og outputfil tydelig. Bruker løkke per gruppe og skriver overskrift for hver gruppe. Henter gruppemedlemmer og håndterer tom gruppe. Håndterer feil hvis gruppe ikke finnes. Logger/sporer kjøring og bruker robust filskriving.

Eksamenstrening 2023–2025 + MOCK 01/02

📚 Innhold

Ingen flervalgsoppgaver

📊 Resultat – 2023

📊 Resultat – 2024

📊 Resultat – 2025

📊 Resultat – MOCK 01

📊 Resultat – MOCK 02

🏁 Totalresultat

Langsvarsoppgaver som øvingskort

MOCK 01 · B1 – Brukere og tilgangsstyring

MOCK 01 · B2 – Group Policy

MOCK 01 · C1/C2 – Azure og offentlig sky

MOCK 01 · D1 – PowerShell og automatisering

MOCK 02 · B1 – Active Directory og sikkerhet

MOCK 02 · B2 – Group Policy

MOCK 02 · C1/C2 – Hybrid sky og Azure-sikkerhet

MOCK 02 · D1 – PowerShell og automatisering