你可能感興趣的試題

概述
南橋音像公司是一家音像制品零售商，公司銷售各種電影，記錄片和外國電影。近期南橋音像要求 CompanyA 公司提供運(yùn)貨服務(wù)。南橋音像總公司在亞特蘭大，公司在整個美國有 6 個零售店。CompanyA 公司位于丹佛。
計(jì)劃改革
公司網(wǎng)絡(luò)架構(gòu)如下圖所示：

一臺名為 VPN1 的 VPN 服務(wù)器將被安置在網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上，移動用戶將使用 VPN1 來連接公司網(wǎng)絡(luò)。除了 HR 部門以外，亞特蘭大辦公室的所有客戶機(jī)都將升級成 Windows XP 專業(yè)版。名為 WEB2 的 Web 服務(wù)器將被安裝到公司內(nèi)部網(wǎng)供開發(fā)和測試使用。
業(yè)務(wù)過程
公司有以下幾個部門：
人力資源部（HR）、會計(jì)部、管理部、市場部、客服部和信息技術(shù)部
Internet 用戶必須注冊成為南橋音像的用戶才能在 Web 站點(diǎn)購買錄像。用戶信息都存儲在一個數(shù)據(jù)庫中，這些用戶歸類為 Web 用戶，登錄信息通過電子郵件形式發(fā)送給用戶。Web 用戶連接一個名為 Members 的虛擬目錄。當(dāng)他們身份驗(yàn)證之后，Web 用戶能夠查看可得到的商品并且通過服務(wù)器 Web1 上運(yùn)行的一個 Web 應(yīng)用程序來訂貨。當(dāng) Web 用戶訂貨后，請求就提交給 CompanyA 公司來包裝并運(yùn)送。所有客戶活動記錄都存儲在 TRANS 共享文件夾中，這個文件夾位于服務(wù)器 DATA1 上。Authenticated Users 組分配了對 TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動目錄）
此網(wǎng)絡(luò)包括一個單一 Active Directory 域，所有服務(wù)器都運(yùn)行 Windows Server 2003，所有客戶機(jī)運(yùn)行 Windows NT Workstation 4.0 或 Windows 98，所有計(jì)算機(jī)都運(yùn)行最新的補(bǔ)丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計(jì)算機(jī)帳戶，Desktop Computers OU 包含了桌面電腦的計(jì)算機(jī)帳戶。HR 部門的所有用戶和計(jì)算機(jī)帳戶都位于 Legacy OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
亞特蘭大辦公室有一個無線 LAN，這個網(wǎng)絡(luò)上有兩臺 Microsoft Internet 安全與加速（ISA）Server 2000 計(jì)算機(jī)，分別是 ISA1 和 ISA2。一個公共的 Web 站點(diǎn)位于一臺運(yùn)行 IIS6.0 的服務(wù)器 WEB1 上。CompanyA 公司的用戶通過南橋音像公司和 CompanyA 公司之間的一個 VPN 通道來訪問 WEB1。HR 部門使用一個客戶應(yīng)用系統(tǒng)，此系統(tǒng)只能運(yùn)行在 Windows NT Workstation4.0 上?？头堪褌€人信息都存儲在一臺名為 SRV1 的文件服務(wù)器上，SRV1 還被配置為脫機(jī)獨(dú)立根 CA。
問題描述
必須考慮以下業(yè)務(wù)問題：
計(jì)劃升級之后，HR 部門的用戶在登錄他們的客戶機(jī)后將不能再修改他們的口令。當(dāng)前用戶都不擁有證書。管理員沒有時間來幫助所有用戶處理問題。
首席信息官的意見
出于 Internet 連接在過去幾個月里使用頻繁，所以要采取措施不要把額外的工作量放在這個連接上。我已經(jīng)閱讀過各種各樣的緩存溢出對 Web 服務(wù)器的攻擊，如果公共 Web 服務(wù)器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽埱笾囟ㄏ虻揭粋€包含了法律后果的 HTML 文檔。
我們目前的補(bǔ)丁管理方案要求大量的時間和資源，并且需要優(yōu)化。我們還希望能夠識別哪個安全補(bǔ)丁被安裝到公司的計(jì)算機(jī)上。
首席安全官（ CSO ）的觀點(diǎn)
有很多原因需要我們重新設(shè)計(jì)公司安全管理策略和慣例。我關(guān)心目前我們的無線配置使我們網(wǎng)絡(luò)易受攻擊，我還關(guān)心 CompanyA 用戶訪問的服務(wù)器的安全性。我想實(shí)現(xiàn)一個公司范圍的用戶證書作為我們新驗(yàn)證策略的第一階段。我還想使用組策略對象（GPOs）來管理我們無線網(wǎng)絡(luò)。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導(dǎo)致了公司網(wǎng)絡(luò)上的幾臺計(jì)算機(jī)停止響應(yīng)。少量移動用戶將連接公司網(wǎng)絡(luò)，我們需要確保這些連接的安全性。
書面安全策略
南橋音像公司書面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無線網(wǎng)絡(luò)；
無線網(wǎng)絡(luò)要求字符串驗(yàn)證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復(fù)代理；
財(cái)務(wù)部門用戶必須實(shí)行雙重身份驗(yàn)證，存儲在 TRANS 文件夾中的信息都加密了并且只能被IT 部門的員工訪問；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實(shí) WEB1 的身份；
所有 Windows Server 2003 計(jì)算機(jī)和 Windows XP 專業(yè)版計(jì)算機(jī)的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠(yuǎn)程修改 WEB2 上注冊表信息；
所有軟件都準(zhǔn)許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗(yàn)證。

新世紀(jì)出版社有3個辦公室，物理位置和連接如下圖所示：

出版總社在紐約，分社在丹佛和達(dá)拉斯。出版社的員工和部門的分配如下表所示：

業(yè)務(wù)過程
紐約辦公室的 IT 員工使用客戶機(jī)來遠(yuǎn)程管理新世紀(jì)出版社所有服務(wù)器和域控制器。員工使用公司客戶機(jī)通過訪問運(yùn)行 IIS6.0 的內(nèi)部 Web 站點(diǎn)來獲得存檔已出版書目和帳目信息。
目錄服務(wù)
公司網(wǎng)絡(luò)包括一個單一的 Active Directory 域 publishing.com。所有服務(wù)器運(yùn)行企業(yè)版Windows Server 2003。Active Directory 管理都集中在紐約，丹佛和達(dá)拉斯的用戶和計(jì)算機(jī)帳戶都位于他們各自的子 OU 中，如下圖所示：

全局用戶組 NYAdmins（紐約管理員組），ProductionAdmins（生產(chǎn)部管理員組），EditorialAdmins（編輯部管理員組）和 DevelopmentAdmins（開發(fā)部管理員組）分別具有對他們各自 OU 的完全控制權(quán)限。這些全局組位于他們各自的 OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
所有客戶機(jī)運(yùn)行 Windows XP 專業(yè)版；域包括一個公鑰基礎(chǔ)結(jié)構(gòu)（PKI），公司使用一個內(nèi)部子企業(yè)級 CA 給用戶和計(jì)算機(jī)發(fā)行證書；每個分社有一個無線網(wǎng)絡(luò)，這個網(wǎng)絡(luò)支持桌面式和手提式客戶機(jī)。每個分社的無線網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)包括 Internet 驗(yàn)證服務(wù)和無線訪問點(diǎn)，這些無線訪問點(diǎn)支持 IEEE 802.1.x、Radius和有線等效保密。
問題描述
需要考慮以下業(yè)務(wù)問題：
未授權(quán)用戶是 EditorialAdmins 組的成員，可是這個組的成員應(yīng)當(dāng)被限制要求是授權(quán)用戶；編輯人員連接了成員服務(wù)器 Server5 上一個名為 Edits 共享文件夾，當(dāng)他們加密 Edits 中的數(shù)據(jù)時，接收一個錯誤消息，該消息聲稱不能加密數(shù)據(jù)。編輯人員需要遠(yuǎn)程加密 Server5上的數(shù)據(jù)，達(dá)拉斯辦公室的一些用戶把他們“我的文檔”文件夾放到了服務(wù)器的共享文件夾中，并且沒有備份“我的文檔”數(shù)據(jù)，結(jié)果，這些數(shù)據(jù)丟失了。所以達(dá)拉斯用戶需要在備份用戶數(shù)據(jù)之后把“我的文檔”移到服務(wù)器上。達(dá)拉斯辦公室的用戶以后必須避免對“我的文檔”文件夾位置的改變。
首席信息官（ CIO ）的意見
安全性是公司最關(guān)心的問題；我們必須實(shí)現(xiàn)一個安全口令策略來提高客戶機(jī)，服務(wù)器和域控制器的安全性。我們需要一個登錄信息告訴用戶：只有授權(quán)用戶才能訪問開發(fā)部門的服務(wù)器。
系統(tǒng)管理員的意見
每個部門需要不同的安全補(bǔ)丁，我們需要在部署安全補(bǔ)丁之前對他們進(jìn)行測試。測試完之后，這些補(bǔ)丁需要自動部署到每個部門的服務(wù)器上。當(dāng)我們部署這些補(bǔ)丁時，我們需要對獲取安全補(bǔ)丁的網(wǎng)絡(luò)帶寬進(jìn)行限制。
首席安全官（ CSO ）的意見
當(dāng)管理員修改服務(wù)器或域控制器上的用戶權(quán)利，或者當(dāng)他們修改服務(wù)器上本地安全帳戶管理員對象時，我們希望能夠自動跟蹤這些事件。我們必須實(shí)現(xiàn)一個最安全的方法對丹佛和達(dá)拉斯訪問無線網(wǎng)絡(luò)的用戶進(jìn)行身份驗(yàn)證。我們需要保護(hù)無線客戶機(jī)和無線訪問點(diǎn)之間傳輸?shù)臄?shù)據(jù)。客戶機(jī)需要自動獲取無線網(wǎng)絡(luò)訪問安全設(shè)置。
書面安全策略
新世紀(jì)出版社的書面安全策略包括下面幾個要求：
口令至少必須包含 7 個字符，但是不能包含所有或部分的用戶帳戶名稱。口令必須包括大寫和小寫的字母和數(shù)字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生產(chǎn)部門服務(wù)器上數(shù)據(jù)的訪問必須被記錄，安全設(shè)置的標(biāo)準(zhǔn)集必須部署到開發(fā)部門、編輯部門和生產(chǎn)部門的所有服務(wù)器上。這些設(shè)置必須進(jìn)行集中管理。域中的服務(wù)器必須進(jìn)行日常檢測，檢測是否缺少安全補(bǔ)丁和服務(wù)包，并確定是否運(yùn)行了不必要的服務(wù)。域控制器上的服務(wù)
必須進(jìn)行集中控制，諸如哪個服務(wù)自動開啟，哪個管理員有權(quán)停止和啟動服務(wù)都必須進(jìn)行集中管理。IIS 服務(wù)器必須對是否缺少 IIS 安全補(bǔ)丁進(jìn)行日常檢測。Web 站點(diǎn)的用戶和他們下載的文件必須被跟蹤記錄，文件數(shù)據(jù)必須存儲在 Microsoft SQL Server 數(shù)據(jù)庫中。使用Windows 95 或 Windows98 客戶機(jī)的供應(yīng)商和顧問必須安裝 Active Directory 客戶端擴(kuò)展軟件，能夠?qū)揪W(wǎng)絡(luò)上的域控制器進(jìn)行驗(yàn)證。