SC-900_Simulado_01 - Fundamentos de Segurança, Conformidade e Identidade

Prévia do material em texto

SC-900 - Simulado autoral para estudo Página 1
SC-900 - Simulado 01
Fundamentos de Segurança, Conformidade e Identidade
Foco do simulado
Modelo de responsabilidade compartilhada, defesa em profundidade, Zero Trust, criptografia, hashing,
GRC, autenticação, autorização, provedores de identidade, diretórios e federação.
Instruções
Responda às questões sem consultar o gabarito. Cada questão possui quatro alternativas e somente uma
resposta correta. Use o gabarito comentado ao final para revisar os temas que precisam de reforço.
Material autoral para estudo, baseado nos objetivos oficiais do Exam SC-900 - Microsoft Security, Compliance, and Identity
Fundamentals, versão de habilidades medidas em 07/11/2025. Não é dump oficial da prova.
SC-900 - Simulado autoral para estudo Página 2
Questões
1. No modelo de responsabilidade compartilhada em nuvem, qual afirmação está
correta em um ambiente SaaS?
A) O cliente é responsável pelo hardware físico do datacenter.
B) O provedor gerencia mais camadas da infraestrutura, enquanto o cliente ainda gerencia dados,
identidades e acessos.
C) O cliente não possui nenhuma responsabilidade de segurança.
D) O provedor não participa da segurança do ambiente.
2. Qual princípio melhor representa o modelo Zero Trust?
A) Confiar automaticamente em usuários internos.
B) Permitir acesso irrestrito após login inicial.
C) Verificar explicitamente, usar acesso com menor privilégio e assumir violação.
D) Proteger apenas o perímetro da rede corporativa.
3. Em defesa em profundidade, qual é o objetivo principal?
A) Usar apenas um firewall robusto.
B) Criar várias camadas de proteção para reduzir risco caso uma camada falhe.
C) Eliminar a necessidade de autenticação.
D) Substituir políticas por antivírus.
4. Qual é a principal diferença entre autenticação e autorização?
A) Autenticação define o que o usuário pode fazer; autorização confirma quem ele é.
B) Autenticação confirma a identidade; autorização define permissões de acesso.
C) Ambas são sinônimos.
D) Autorização sempre ocorre antes da identificação.
5. Qual tecnologia é mais adequada para proteger senhas armazenadas?
A) Criptografia reversível.
B) Hashing com salt.
C) Texto claro em banco de dados.
D) Codificação Base64.
6. Qual conceito representa a identidade como novo perímetro de segurança?
A) A segurança deve depender apenas do firewall.
B) Controles de acesso são aplicados com base em usuários, dispositivos, contexto e risco.
C) A rede interna é sempre confiável.
D) Apenas servidores precisam de identidade.
7. O que é federação de identidade?
A) Armazenar todas as senhas localmente.
B) Permitir confiança entre provedores de identidade para autenticação entre domínios ou organizações.
C) Bloquear login externo.
D) Trocar senhas periodicamente.
SC-900 - Simulado autoral para estudo Página 3
8. Em GRC, o que significa o componente Compliance?
A) Velocidade de resposta a incidentes.
B) Conformidade com leis, normas, políticas e requisitos regulatórios.
C) Capacidade de backup.
D) Gerenciamento de firewall.
9. Qual exemplo representa autorização?
A) Digitar a senha corretamente.
B) Usar biometria para entrar.
C) Receber permissão para ler um arquivo após autenticar.
D) Validar um token MFA.
10. Qual opção descreve melhor criptografia?
A) Transforma dados para protegê-los contra leitura não autorizada, com possibilidade de reversão usando
chave.
B) Remove permanentemente os dados.
C) Converte senha em valor irreversível sempre igual para qualquer usuário.
D) É usada apenas para compressão.
11. Qual é o papel de um provedor de identidade?
A) Gerenciar exclusivamente backups.
B) Criar túneis VPN.
C) Autenticar identidades e emitir tokens ou declarações de autenticação.
D) Substituir o antivírus.
12. Qual camada de defesa em profundidade está mais associada ao controle de
permissões de usuário?
A) Identidade e acesso.
B) Segurança física.
C) Perímetro.
D) Aplicação apenas.
13. Qual exemplo representa um risco de conformidade?
A) Uma VM com CPU alta.
B) Uso de dados pessoais sem aderência à política de privacidade aplicável.
C) Um usuário alterando a senha.
D) Um firewall em alta disponibilidade.
14. Qual afirmação sobre hashing está correta?
A) Hashing é ideal para recuperar o texto original.
B) Hashing é uma função de sentido único usada para verificar integridade ou proteger senhas.
C) Hashing exige par de chaves pública e privada.
D) Hashing é igual à compactação ZIP.
SC-900 - Simulado autoral para estudo Página 4
15. Em Zero Trust, o acesso com menor privilégio significa:
A) Usuários administradores devem ter acesso permanente.
B) Cada usuário ou serviço deve receber apenas as permissões necessárias pelo tempo necessário.
C) Todos devem usar a mesma conta.
D) Dispositivos internos podem ignorar políticas.
16. Qual alternativa descreve diretório de identidade?
A) Repositório usado para armazenar e organizar identidades e atributos.
B) Ferramenta exclusiva para criptografar discos.
C) Serviço de firewall de camada 7.
D) Banco de dados de logs de antivírus.
17. Qual é a melhor definição de risco em segurança?
A) Qualquer usuário autenticado.
B) Possibilidade de uma ameaça explorar vulnerabilidade e causar impacto.
C) Apenas falha elétrica.
D) Uma política documentada.
18. Qual exemplo está mais alinhado ao princípio de verificar explicitamente?
A) Conceder acesso por localização interna.
B) Avaliar identidade, dispositivo, localização, risco e sensibilidade do recurso a cada acesso.
C) Usar uma senha compartilhada.
D) Desabilitar MFA para executivos.
19. Qual situação é típica de responsabilidade do cliente em IaaS?
A) Segurança física do datacenter.
B) Controle de acesso aos dados e configuração segura do sistema operacional.
C) Manutenção do hardware físico.
D) Fornecimento de energia do datacenter.
20. Qual conceito está relacionado ao alinhamento entre políticas, controles,
auditorias e leis?
A) GRC.
B) SOAR.
C) SIEM.
D) MFA.
SC-900 - Simulado autoral para estudo Página 5
Gabarito comentado
Questã
o
Resposta Comentário
1 B Em SaaS, o provedor assume grande parte da infraestrutura, mas o cliente continua
responsável por dados, identidade, permissões e configurações de acesso.
2 C Zero Trust é baseado em verificação explícita, menor privilégio e pressuposto de
violação.
3 B Defesa em profundidade usa controles em múltiplas camadas: física, identidade,
perímetro, rede, computação, aplicação e dados.
4 B Autenticação valida identidade; autorização determina o que a identidade pode acessar
ou executar.
5 B Senhas devem ser armazenadas como hash com salt, pois o hash não deve ser
reversível.
6 B Em ambientes modernos e cloud, a identidade é central para controle de acesso e
segurança.
7 B Federação permite que um provedor de identidade confiável autentique usuários para
outro serviço ou organização.
8 B Compliance é a aderência a obrigações regulatórias, políticas internas e padrões
aplicáveis.
9 C A permissão de leitura é uma decisão de autorização.
10 A Criptografia protege a confidencialidade e pode ser revertida com a chave correta.
11 C Um IdP autentica usuários/aplicações e emite tokens usados por serviços confiáveis.
12 A A camada de identidade e acesso trata autenticação, autorização, MFA e privilégios.
13 B O tratamento inadequado de dados pessoais pode gerar não conformidade regulatória
e risco organizacional.
14 B Hashing gera um valor fixo e não deve permitir retorno ao conteúdo original.
15 B Menor privilégio reduz impacto de erro, abuso ou comprometimento.
16 A Diretórios armazenam usuários, grupos, dispositivos e atributos usados no controle de
acesso.
17 B Risco combina probabilidade e impacto de eventos indesejados.
18 B Verificação explícita usa contexto e sinais de risco para decidir acesso.
19 B Em IaaS, o cliente gerencia SO, aplicações, dados, identidade e configurações de
segurança.
20 A GRC envolve governança, risco e conformidade.