你可能感興趣的試題

概述
高山滑雪公司經(jīng)營(yíng)著滑雪勝地，這些滑雪勝地向客戶提供住宿、餐飲和娛樂(lè)。公司的總部在丹佛，公司在北美有10個(gè)滑雪勝地，其中3個(gè)在加拿大，近期又將在歐洲增開4個(gè)滑雪勝地。每個(gè)勝地有90到160的用戶。
計(jì)劃修改
以下是接下去三個(gè)月需要進(jìn)行的計(jì)劃修改：
公司將在維也納開設(shè)分公司，維也納將支持歐洲4個(gè)滑雪勝地，和丹佛目前支持北美滑雪勝地的方式一樣；
北美的所有服務(wù)器都會(huì)更新成WindowsServer2003。所有的客戶機(jī)都將升級(jí)成WindowsXP專業(yè)版。當(dāng)WindowsNT4.0域中的成員服務(wù)器和客戶機(jī)都升級(jí)后，NT域?qū)?huì)移植到ActiveDirectory中；一臺(tái)新的名為Server1的文件服務(wù)器將安裝并配置，它將運(yùn)行WindowsServer2003。每個(gè)滑雪勝地將為未授權(quán)用戶，比如圣地的顧客，安裝幾個(gè)網(wǎng)絡(luò)信息亭。為了在高消費(fèi)階層具有市場(chǎng)競(jìng)爭(zhēng)性，公司將給來(lái)訪的顧客提供無(wú)線Internet接入。
業(yè)務(wù)過(guò)程
信息技術(shù)（IT）部門在丹佛，操作著公司的網(wǎng)站、數(shù)據(jù)庫(kù)和電子郵件服務(wù)器。IT部門還管理丹佛客戶機(jī)，IT員工到北美勝地對(duì)那里的服務(wù)器執(zhí)行大型升級(jí)、新的安裝和重大故障排除，每處勝地至少有一個(gè)桌面支持技術(shù)員來(lái)支持客戶機(jī)。根據(jù)他們的經(jīng)驗(yàn)，有些技術(shù)員對(duì)他們勝地的服務(wù)器有管理權(quán)利。歐洲勝地有一個(gè)財(cái)務(wù)部門維持著一個(gè)名為hrbenefits.alpineskihouse.com的Web應(yīng)用，這個(gè)應(yīng)用給每位員工提供機(jī)密個(gè)人信息。此
應(yīng)用有以下特征：
使用ASP.NET和ADO.NET
部署在丹佛辦公室的一臺(tái)Web服務(wù)器上
員工可以從工作處或家中來(lái)訪問(wèn)這個(gè)應(yīng)用
預(yù)訂部門維護(hù)著一個(gè)名為funski.alpineskihouse.com的公共Web站點(diǎn)。這個(gè)Web站點(diǎn)有以下特征：
使用ASP.NET和ADO.NET
能夠在Internet上的任何地方獲得
這個(gè)Web站點(diǎn)還包括了每處滑雪勝地的靜態(tài)內(nèi)容
目錄服務(wù)
公司使用北美的一個(gè)名為alpineskihouse.com的ActiveDirectory域，丹佛IT部門管理這個(gè)域。alpineskihouse.com域?qū)⒈３忠粋€(gè)森林根域。歐洲財(cái)務(wù)部門有一個(gè)名為CONTOSODOM的WindowsNT4.0域。每個(gè)歐洲勝地有一臺(tái)運(yùn)行WindowsNTServer4.0的域控制器。所有員工都有ActiveDirectory和WindowsNT4.0域的用戶賬戶。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
現(xiàn)有的位置和連接如下網(wǎng)絡(luò)結(jié)構(gòu)圖所示：

丹佛辦公室的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)如下圖所示：

公司北美所用的服務(wù)器都運(yùn)行Windows2000Server，歐洲所用的服務(wù)器運(yùn)行WindowsNTServer4.0。公司所有客戶機(jī)都運(yùn)行Windows2000專業(yè)版。每個(gè)滑雪勝地和每個(gè)辦公室都有一臺(tái)文件服務(wù)器。辦公室和滑雪勝地之間通過(guò)Internet的VPN連接。每個(gè)滑雪勝地都安裝了無(wú)線訪問(wèn)點(diǎn)供員工使用。
首席信息官（CIO）的意見(jiàn)
保護(hù)我們共同的數(shù)據(jù)是至關(guān)重要的。我們把大量的客戶信息保存在一個(gè)文件中，這些信息是我們必須保護(hù)的；
所有我們使用的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）證書必須受到廣泛的信任，客戶不需要執(zhí)行額外的操作獲得Web站點(diǎn)的訪問(wèn)；
我們建立了安全策略和日志需求，如果有人破壞這些策略，我需要立即被告知并做出響應(yīng)。
IT部門經(jīng)理的意見(jiàn)
為了避免昂貴復(fù)雜的WAN連接，我們使用VPN連接來(lái)代替。然而，我們不想讓用戶直接從Internet上下載更新程序；
我還希望能夠自動(dòng)進(jìn)行日常管理任務(wù)，經(jīng)常我們?cè)诤苊Φ臅r(shí)候那些重要的任務(wù)也沒(méi)完成，所以IT管理需要通過(guò)盡可能少的用手動(dòng)操作來(lái)完成；
我擔(dān)心一些重要的東西可能會(huì)丟失。
目前，舊有的應(yīng)用程序用來(lái)管理滑雪勝地的業(yè)務(wù)功能，讀取和填寫非管理員不能修改的注冊(cè)信息；
如果用戶以管理員身份登錄客戶機(jī)來(lái)運(yùn)行應(yīng)用程序，可以正常工作，但是這個(gè)破壞了公司的正式書面安全策略。
組織目的
公司必須能夠在辦公室和滑雪勝地之間共享信息，但是客戶個(gè)人信息和其他機(jī)密數(shù)據(jù)在存儲(chǔ)和傳輸中必須加密。
書面安全策略
公司書面安全策略包括以下需求：
當(dāng)一位管理員做了和安全性相關(guān)的操作并影響到了公司的服務(wù)器時(shí)，這個(gè)事件必須載入日志，這個(gè)日志必須保存。如果可能，第二位管理員必須審核這個(gè)事件；只有滑雪勝地的IT員工和桌面支持技術(shù)員對(duì)客戶機(jī)有管理權(quán)限，并能夠修改其他用戶的配置；
所有客戶機(jī)必須進(jìn)行特定的桌面設(shè)置，這個(gè)設(shè)置集名為DesktopSettingsSpecification，包括一個(gè)口令保護(hù)的屏保；
網(wǎng)絡(luò)信息亭計(jì)算機(jī)必須用更多受限的桌面設(shè)置來(lái)配置，這個(gè)設(shè)置集名為KioskDesktopSpecification。只有管理員能夠修改這些設(shè)置；
所有客戶機(jī)必須保持微軟最新發(fā)布的重要更新程序和安全補(bǔ)丁。然而，IT部門必須在這些更新程序應(yīng)用之前對(duì)他們進(jìn)行批準(zhǔn)。歐洲IT管理員只能批準(zhǔn)歐洲所在計(jì)算機(jī)上的更新程序，北美IT管理員只能批準(zhǔn)北美所在計(jì)算機(jī)的更新程序；
公共Web服務(wù)器不接受InternetTCP/IP連接；
客戶用戶帳戶和員工帳戶不能存儲(chǔ)在相同的ActiveDirectory域；
來(lái)自客戶用戶帳戶所在域的管理員帳戶，在任何情況下都不能管理員工帳戶；
hrbenefits.alpineskihouse.comWeb應(yīng)用系統(tǒng)中的所有數(shù)據(jù)在Internet上傳輸時(shí)必須加密；
每個(gè)員工為了連接hrbenefits.alpineskihouse.com都必須使用一個(gè)PKI證書的身份驗(yàn)證。
客戶需求
客戶對(duì)無(wú)線訪問(wèn)和信息亭計(jì)算機(jī)的要求必須考慮以下幾點(diǎn)：
員工和客戶必須能夠訪問(wèn)無(wú)線網(wǎng)絡(luò)；但是，服務(wù)器只有員工可接近。
信息亭計(jì)算機(jī)只能用來(lái)瀏覽Internet，并將運(yùn)行WindowsXP專業(yè)版。
用戶必須能夠通過(guò)funski.alpineskihouse.com建立帳戶，帳戶信息必須存儲(chǔ)在ActiveDirectory中。所有客戶個(gè)人信息在Internet上傳輸時(shí)必須被加密。
ActiveDirectory
必須考慮以下對(duì)ActiveDirectory的要求：
域必須包括公司每個(gè)位置的頂級(jí)組織單元（OU），員工帳戶必須位于他們主要工作位置的OU中。所有支持用戶的IT員工必須都是SupportSecurity組的成員，高技術(shù)IT員工還必須是AdvancedSupport安全組的成員。所有位于歐洲的客戶機(jī)必須按照桌面安全設(shè)置規(guī)范來(lái)配置，即使此時(shí)域升級(jí)沒(méi)有完成。每個(gè)滑雪勝地的桌面支持技術(shù)員必須能夠重置當(dāng)?shù)貑T工用戶密碼。
網(wǎng)絡(luò)架構(gòu)
必須考慮以下網(wǎng)絡(luò)架構(gòu)需求：
授權(quán)IT員工必須使用遠(yuǎn)程桌面控制（RDP）來(lái)管理網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上的服務(wù)器。IT員工必須還能夠使用RDP來(lái)管理滑雪勝地的服務(wù)器?；﹦俚乇仨毥邮軄?lái)自他們所在地區(qū)的重要更新程序和安全補(bǔ)丁。每個(gè)滑雪勝地必須有一臺(tái)或更多的WindowsServer2003計(jì)算機(jī)，這些計(jì)算機(jī)配置成用來(lái)處理DNS，DHCP和任何VPN連接的基礎(chǔ)結(jié)構(gòu)服務(wù)器。部署完Server1之后，公司所有用戶必須能夠創(chuàng)建和讀取ALL_USERSandServer1共享文件夾中的文件。
只有WebPublishersSecurity組的成員能夠修改公共Web站點(diǎn)，所有修改信息在傳輸時(shí)必須加密。

概述
高山滑雪公司經(jīng)營(yíng)著滑雪勝地，這些滑雪勝地向客戶提供住宿、餐飲和娛樂(lè)。公司的總部在丹佛，公司在北美有10個(gè)滑雪勝地，其中3個(gè)在加拿大，近期又將在歐洲增開4個(gè)滑雪勝地。每個(gè)勝地有90到160的用戶。
計(jì)劃修改
以下是接下去三個(gè)月需要進(jìn)行的計(jì)劃修改：
公司將在維也納開設(shè)分公司，維也納將支持歐洲4個(gè)滑雪勝地，和丹佛目前支持北美滑雪勝地的方式一樣；
北美的所有服務(wù)器都會(huì)更新成WindowsServer2003。所有的客戶機(jī)都將升級(jí)成WindowsXP專業(yè)版。當(dāng)WindowsNT4.0域中的成員服務(wù)器和客戶機(jī)都升級(jí)后，NT域?qū)?huì)移植到ActiveDirectory中；一臺(tái)新的名為Server1的文件服務(wù)器將安裝并配置，它將運(yùn)行WindowsServer2003。每個(gè)滑雪勝地將為未授權(quán)用戶，比如圣地的顧客，安裝幾個(gè)網(wǎng)絡(luò)信息亭。為了在高消費(fèi)階層具有市場(chǎng)競(jìng)爭(zhēng)性，公司將給來(lái)訪的顧客提供無(wú)線Internet接入。
業(yè)務(wù)過(guò)程
信息技術(shù)（IT）部門在丹佛，操作著公司的網(wǎng)站、數(shù)據(jù)庫(kù)和電子郵件服務(wù)器。IT部門還管理丹佛客戶機(jī)，IT員工到北美勝地對(duì)那里的服務(wù)器執(zhí)行大型升級(jí)、新的安裝和重大故障排除，每處勝地至少有一個(gè)桌面支持技術(shù)員來(lái)支持客戶機(jī)。根據(jù)他們的經(jīng)驗(yàn)，有些技術(shù)員對(duì)他們勝地的服務(wù)器有管理權(quán)利。歐洲勝地有一個(gè)財(cái)務(wù)部門維持著一個(gè)名為hrbenefits.alpineskihouse.com的Web應(yīng)用，這個(gè)應(yīng)用給每位員工提供機(jī)密個(gè)人信息。此
應(yīng)用有以下特征：
使用ASP.NET和ADO.NET
部署在丹佛辦公室的一臺(tái)Web服務(wù)器上
員工可以從工作處或家中來(lái)訪問(wèn)這個(gè)應(yīng)用
預(yù)訂部門維護(hù)著一個(gè)名為funski.alpineskihouse.com的公共Web站點(diǎn)。這個(gè)Web站點(diǎn)有以下特征：
使用ASP.NET和ADO.NET
能夠在Internet上的任何地方獲得
這個(gè)Web站點(diǎn)還包括了每處滑雪勝地的靜態(tài)內(nèi)容
目錄服務(wù)
公司使用北美的一個(gè)名為alpineskihouse.com的ActiveDirectory域，丹佛IT部門管理這個(gè)域。alpineskihouse.com域?qū)⒈３忠粋€(gè)森林根域。歐洲財(cái)務(wù)部門有一個(gè)名為CONTOSODOM的WindowsNT4.0域。每個(gè)歐洲勝地有一臺(tái)運(yùn)行WindowsNTServer4.0的域控制器。所有員工都有ActiveDirectory和WindowsNT4.0域的用戶賬戶。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
現(xiàn)有的位置和連接如下網(wǎng)絡(luò)結(jié)構(gòu)圖所示：

丹佛辦公室的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)如下圖所示：

公司北美所用的服務(wù)器都運(yùn)行Windows2000Server，歐洲所用的服務(wù)器運(yùn)行WindowsNTServer4.0。公司所有客戶機(jī)都運(yùn)行Windows2000專業(yè)版。每個(gè)滑雪勝地和每個(gè)辦公室都有一臺(tái)文件服務(wù)器。辦公室和滑雪勝地之間通過(guò)Internet的VPN連接。每個(gè)滑雪勝地都安裝了無(wú)線訪問(wèn)點(diǎn)供員工使用。
首席信息官（CIO）的意見(jiàn)
保護(hù)我們共同的數(shù)據(jù)是至關(guān)重要的。我們把大量的客戶信息保存在一個(gè)文件中，這些信息是我們必須保護(hù)的；
所有我們使用的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）證書必須受到廣泛的信任，客戶不需要執(zhí)行額外的操作獲得Web站點(diǎn)的訪問(wèn)；
我們建立了安全策略和日志需求，如果有人破壞這些策略，我需要立即被告知并做出響應(yīng)。
IT部門經(jīng)理的意見(jiàn)
為了避免昂貴復(fù)雜的WAN連接，我們使用VPN連接來(lái)代替。然而，我們不想讓用戶直接從Internet上下載更新程序；
我還希望能夠自動(dòng)進(jìn)行日常管理任務(wù)，經(jīng)常我們?cè)诤苊Φ臅r(shí)候那些重要的任務(wù)也沒(méi)完成，所以IT管理需要通過(guò)盡可能少的用手動(dòng)操作來(lái)完成；
我擔(dān)心一些重要的東西可能會(huì)丟失。
目前，舊有的應(yīng)用程序用來(lái)管理滑雪勝地的業(yè)務(wù)功能，讀取和填寫非管理員不能修改的注冊(cè)信息；
如果用戶以管理員身份登錄客戶機(jī)來(lái)運(yùn)行應(yīng)用程序，可以正常工作，但是這個(gè)破壞了公司的正式書面安全策略。
組織目的
公司必須能夠在辦公室和滑雪勝地之間共享信息，但是客戶個(gè)人信息和其他機(jī)密數(shù)據(jù)在存儲(chǔ)和傳輸中必須加密。
書面安全策略
公司書面安全策略包括以下需求：
當(dāng)一位管理員做了和安全性相關(guān)的操作并影響到了公司的服務(wù)器時(shí)，這個(gè)事件必須載入日志，這個(gè)日志必須保存。如果可能，第二位管理員必須審核這個(gè)事件；只有滑雪勝地的IT員工和桌面支持技術(shù)員對(duì)客戶機(jī)有管理權(quán)限，并能夠修改其他用戶的配置；
所有客戶機(jī)必須進(jìn)行特定的桌面設(shè)置，這個(gè)設(shè)置集名為DesktopSettingsSpecification，包括一個(gè)口令保護(hù)的屏保；
網(wǎng)絡(luò)信息亭計(jì)算機(jī)必須用更多受限的桌面設(shè)置來(lái)配置，這個(gè)設(shè)置集名為KioskDesktopSpecification。只有管理員能夠修改這些設(shè)置；
所有客戶機(jī)必須保持微軟最新發(fā)布的重要更新程序和安全補(bǔ)丁。然而，IT部門必須在這些更新程序應(yīng)用之前對(duì)他們進(jìn)行批準(zhǔn)。歐洲IT管理員只能批準(zhǔn)歐洲所在計(jì)算機(jī)上的更新程序，北美IT管理員只能批準(zhǔn)北美所在計(jì)算機(jī)的更新程序；
公共Web服務(wù)器不接受InternetTCP/IP連接；
客戶用戶帳戶和員工帳戶不能存儲(chǔ)在相同的ActiveDirectory域；
來(lái)自客戶用戶帳戶所在域的管理員帳戶，在任何情況下都不能管理員工帳戶；
hrbenefits.alpineskihouse.comWeb應(yīng)用系統(tǒng)中的所有數(shù)據(jù)在Internet上傳輸時(shí)必須加密；
每個(gè)員工為了連接hrbenefits.alpineskihouse.com都必須使用一個(gè)PKI證書的身份驗(yàn)證。
客戶需求
客戶對(duì)無(wú)線訪問(wèn)和信息亭計(jì)算機(jī)的要求必須考慮以下幾點(diǎn)：
員工和客戶必須能夠訪問(wèn)無(wú)線網(wǎng)絡(luò)；但是，服務(wù)器只有員工可接近。
信息亭計(jì)算機(jī)只能用來(lái)瀏覽Internet，并將運(yùn)行WindowsXP專業(yè)版。
用戶必須能夠通過(guò)funski.alpineskihouse.com建立帳戶，帳戶信息必須存儲(chǔ)在ActiveDirectory中。所有客戶個(gè)人信息在Internet上傳輸時(shí)必須被加密。
ActiveDirectory
必須考慮以下對(duì)ActiveDirectory的要求：
域必須包括公司每個(gè)位置的頂級(jí)組織單元（OU），員工帳戶必須位于他們主要工作位置的OU中。所有支持用戶的IT員工必須都是SupportSecurity組的成員，高技術(shù)IT員工還必須是AdvancedSupport安全組的成員。所有位于歐洲的客戶機(jī)必須按照桌面安全設(shè)置規(guī)范來(lái)配置，即使此時(shí)域升級(jí)沒(méi)有完成。每個(gè)滑雪勝地的桌面支持技術(shù)員必須能夠重置當(dāng)?shù)貑T工用戶密碼。
網(wǎng)絡(luò)架構(gòu)
必須考慮以下網(wǎng)絡(luò)架構(gòu)需求：
授權(quán)IT員工必須使用遠(yuǎn)程桌面控制（RDP）來(lái)管理網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上的服務(wù)器。IT員工必須還能夠使用RDP來(lái)管理滑雪勝地的服務(wù)器?；﹦俚乇仨毥邮軄?lái)自他們所在地區(qū)的重要更新程序和安全補(bǔ)丁。每個(gè)滑雪勝地必須有一臺(tái)或更多的WindowsServer2003計(jì)算機(jī)，這些計(jì)算機(jī)配置成用來(lái)處理DNS，DHCP和任何VPN連接的基礎(chǔ)結(jié)構(gòu)服務(wù)器。部署完Server1之后，公司所有用戶必須能夠創(chuàng)建和讀取ALL_USERSandServer1共享文件夾中的文件。
只有WebPublishersSecurity組的成員能夠修改公共Web站點(diǎn)，所有修改信息在傳輸時(shí)必須加密。

你需要為丹佛辦公室的 Web 服務(wù)器設(shè)計(jì) IPSec 策略。你要決定該使用哪個(gè)策略設(shè)置，你該怎么做？