你可能感興趣的試題

概述
高山滑雪公司經(jīng)營著滑雪勝地，這些滑雪勝地向客戶提供住宿、餐飲和娛樂。公司的總部在丹佛，公司在北美有10個滑雪勝地，其中3個在加拿大，近期又將在歐洲增開4個滑雪勝地。每個勝地有90到160的用戶。
計劃修改
以下是接下去三個月需要進行的計劃修改：
公司將在維也納開設(shè)分公司，維也納將支持歐洲4個滑雪勝地，和丹佛目前支持北美滑雪勝地的方式一樣；
北美的所有服務(wù)器都會更新成WindowsServer2003。所有的客戶機都將升級成WindowsXP專業(yè)版。當(dāng)WindowsNT4.0域中的成員服務(wù)器和客戶機都升級后，NT域?qū)浦驳紸ctiveDirectory中；一臺新的名為Server1的文件服務(wù)器將安裝并配置，它將運行WindowsServer2003。每個滑雪勝地將為未授權(quán)用戶，比如圣地的顧客，安裝幾個網(wǎng)絡(luò)信息亭。為了在高消費階層具有市場競爭性，公司將給來訪的顧客提供無線Internet接入。
業(yè)務(wù)過程
信息技術(shù)（IT）部門在丹佛，操作著公司的網(wǎng)站、數(shù)據(jù)庫和電子郵件服務(wù)器。IT部門還管理丹佛客戶機，IT員工到北美勝地對那里的服務(wù)器執(zhí)行大型升級、新的安裝和重大故障排除，每處勝地至少有一個桌面支持技術(shù)員來支持客戶機。根據(jù)他們的經(jīng)驗，有些技術(shù)員對他們勝地的服務(wù)器有管理權(quán)利。歐洲勝地有一個財務(wù)部門維持著一個名為hrbenefits.alpineskihouse.com的Web應(yīng)用，這個應(yīng)用給每位員工提供機密個人信息。此
應(yīng)用有以下特征：
使用ASP.NET和ADO.NET
部署在丹佛辦公室的一臺Web服務(wù)器上
員工可以從工作處或家中來訪問這個應(yīng)用
預(yù)訂部門維護著一個名為funski.alpineskihouse.com的公共Web站點。這個Web站點有以下特征：
使用ASP.NET和ADO.NET
能夠在Internet上的任何地方獲得
這個Web站點還包括了每處滑雪勝地的靜態(tài)內(nèi)容
目錄服務(wù)
公司使用北美的一個名為alpineskihouse.com的ActiveDirectory域，丹佛IT部門管理這個域。alpineskihouse.com域?qū)⒈３忠粋€森林根域。歐洲財務(wù)部門有一個名為CONTOSODOM的WindowsNT4.0域。每個歐洲勝地有一臺運行WindowsNTServer4.0的域控制器。所有員工都有ActiveDirectory和WindowsNT4.0域的用戶賬戶。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
現(xiàn)有的位置和連接如下網(wǎng)絡(luò)結(jié)構(gòu)圖所示：

丹佛辦公室的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)如下圖所示：

公司北美所用的服務(wù)器都運行Windows2000Server，歐洲所用的服務(wù)器運行WindowsNTServer4.0。公司所有客戶機都運行Windows2000專業(yè)版。每個滑雪勝地和每個辦公室都有一臺文件服務(wù)器。辦公室和滑雪勝地之間通過Internet的VPN連接。每個滑雪勝地都安裝了無線訪問點供員工使用。
首席信息官（CIO）的意見
保護我們共同的數(shù)據(jù)是至關(guān)重要的。我們把大量的客戶信息保存在一個文件中，這些信息是我們必須保護的；
所有我們使用的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）證書必須受到廣泛的信任，客戶不需要執(zhí)行額外的操作獲得Web站點的訪問；
我們建立了安全策略和日志需求，如果有人破壞這些策略，我需要立即被告知并做出響應(yīng)。
IT部門經(jīng)理的意見
為了避免昂貴復(fù)雜的WAN連接，我們使用VPN連接來代替。然而，我們不想讓用戶直接從Internet上下載更新程序；
我還希望能夠自動進行日常管理任務(wù)，經(jīng)常我們在很忙的時候那些重要的任務(wù)也沒完成，所以IT管理需要通過盡可能少的用手動操作來完成；
我擔(dān)心一些重要的東西可能會丟失。
目前，舊有的應(yīng)用程序用來管理滑雪勝地的業(yè)務(wù)功能，讀取和填寫非管理員不能修改的注冊信息；
如果用戶以管理員身份登錄客戶機來運行應(yīng)用程序，可以正常工作，但是這個破壞了公司的正式書面安全策略。
組織目的
公司必須能夠在辦公室和滑雪勝地之間共享信息，但是客戶個人信息和其他機密數(shù)據(jù)在存儲和傳輸中必須加密。
書面安全策略
公司書面安全策略包括以下需求：
當(dāng)一位管理員做了和安全性相關(guān)的操作并影響到了公司的服務(wù)器時，這個事件必須載入日志，這個日志必須保存。如果可能，第二位管理員必須審核這個事件；只有滑雪勝地的IT員工和桌面支持技術(shù)員對客戶機有管理權(quán)限，并能夠修改其他用戶的配置；
所有客戶機必須進行特定的桌面設(shè)置，這個設(shè)置集名為DesktopSettingsSpecification，包括一個口令保護的屏保；
網(wǎng)絡(luò)信息亭計算機必須用更多受限的桌面設(shè)置來配置，這個設(shè)置集名為KioskDesktopSpecification。只有管理員能夠修改這些設(shè)置；
所有客戶機必須保持微軟最新發(fā)布的重要更新程序和安全補丁。然而，IT部門必須在這些更新程序應(yīng)用之前對他們進行批準(zhǔn)。歐洲IT管理員只能批準(zhǔn)歐洲所在計算機上的更新程序，北美IT管理員只能批準(zhǔn)北美所在計算機的更新程序；
公共Web服務(wù)器不接受InternetTCP/IP連接；
客戶用戶帳戶和員工帳戶不能存儲在相同的ActiveDirectory域；
來自客戶用戶帳戶所在域的管理員帳戶，在任何情況下都不能管理員工帳戶；
hrbenefits.alpineskihouse.comWeb應(yīng)用系統(tǒng)中的所有數(shù)據(jù)在Internet上傳輸時必須加密；
每個員工為了連接hrbenefits.alpineskihouse.com都必須使用一個PKI證書的身份驗證。
客戶需求
客戶對無線訪問和信息亭計算機的要求必須考慮以下幾點：
員工和客戶必須能夠訪問無線網(wǎng)絡(luò)；但是，服務(wù)器只有員工可接近。
信息亭計算機只能用來瀏覽Internet，并將運行WindowsXP專業(yè)版。
用戶必須能夠通過funski.alpineskihouse.com建立帳戶，帳戶信息必須存儲在ActiveDirectory中。所有客戶個人信息在Internet上傳輸時必須被加密。
ActiveDirectory
必須考慮以下對ActiveDirectory的要求：
域必須包括公司每個位置的頂級組織單元（OU），員工帳戶必須位于他們主要工作位置的OU中。所有支持用戶的IT員工必須都是SupportSecurity組的成員，高技術(shù)IT員工還必須是AdvancedSupport安全組的成員。所有位于歐洲的客戶機必須按照桌面安全設(shè)置規(guī)范來配置，即使此時域升級沒有完成。每個滑雪勝地的桌面支持技術(shù)員必須能夠重置當(dāng)?shù)貑T工用戶密碼。
網(wǎng)絡(luò)架構(gòu)
必須考慮以下網(wǎng)絡(luò)架構(gòu)需求：
授權(quán)IT員工必須使用遠程桌面控制（RDP）來管理網(wǎng)絡(luò)設(shè)備防護網(wǎng)上的服務(wù)器。IT員工必須還能夠使用RDP來管理滑雪勝地的服務(wù)器?；﹦俚乇仨毥邮軄碜运麄兯诘貐^(qū)的重要更新程序和安全補丁。每個滑雪勝地必須有一臺或更多的WindowsServer2003計算機，這些計算機配置成用來處理DNS，DHCP和任何VPN連接的基礎(chǔ)結(jié)構(gòu)服務(wù)器。部署完Server1之后，公司所有用戶必須能夠創(chuàng)建和讀取ALL_USERSandServer1共享文件夾中的文件。
只有WebPublishersSecurity組的成員能夠修改公共Web站點，所有修改信息在傳輸時必須加密。

概述
高山滑雪公司經(jīng)營著滑雪勝地，這些滑雪勝地向客戶提供住宿、餐飲和娛樂。公司的總部在丹佛，公司在北美有10個滑雪勝地，其中3個在加拿大，近期又將在歐洲增開4個滑雪勝地。每個勝地有90到160的用戶。
計劃修改
以下是接下去三個月需要進行的計劃修改：
公司將在維也納開設(shè)分公司，維也納將支持歐洲4個滑雪勝地，和丹佛目前支持北美滑雪勝地的方式一樣；
北美的所有服務(wù)器都會更新成WindowsServer2003。所有的客戶機都將升級成WindowsXP專業(yè)版。當(dāng)WindowsNT4.0域中的成員服務(wù)器和客戶機都升級后，NT域?qū)浦驳紸ctiveDirectory中；一臺新的名為Server1的文件服務(wù)器將安裝并配置，它將運行WindowsServer2003。每個滑雪勝地將為未授權(quán)用戶，比如圣地的顧客，安裝幾個網(wǎng)絡(luò)信息亭。為了在高消費階層具有市場競爭性，公司將給來訪的顧客提供無線Internet接入。
業(yè)務(wù)過程
信息技術(shù)（IT）部門在丹佛，操作著公司的網(wǎng)站、數(shù)據(jù)庫和電子郵件服務(wù)器。IT部門還管理丹佛客戶機，IT員工到北美勝地對那里的服務(wù)器執(zhí)行大型升級、新的安裝和重大故障排除，每處勝地至少有一個桌面支持技術(shù)員來支持客戶機。根據(jù)他們的經(jīng)驗，有些技術(shù)員對他們勝地的服務(wù)器有管理權(quán)利。歐洲勝地有一個財務(wù)部門維持著一個名為hrbenefits.alpineskihouse.com的Web應(yīng)用，這個應(yīng)用給每位員工提供機密個人信息。此
應(yīng)用有以下特征：
使用ASP.NET和ADO.NET
部署在丹佛辦公室的一臺Web服務(wù)器上
員工可以從工作處或家中來訪問這個應(yīng)用
預(yù)訂部門維護著一個名為funski.alpineskihouse.com的公共Web站點。這個Web站點有以下特征：
使用ASP.NET和ADO.NET
能夠在Internet上的任何地方獲得
這個Web站點還包括了每處滑雪勝地的靜態(tài)內(nèi)容
目錄服務(wù)
公司使用北美的一個名為alpineskihouse.com的ActiveDirectory域，丹佛IT部門管理這個域。alpineskihouse.com域?qū)⒈３忠粋€森林根域。歐洲財務(wù)部門有一個名為CONTOSODOM的WindowsNT4.0域。每個歐洲勝地有一臺運行WindowsNTServer4.0的域控制器。所有員工都有ActiveDirectory和WindowsNT4.0域的用戶賬戶。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
現(xiàn)有的位置和連接如下網(wǎng)絡(luò)結(jié)構(gòu)圖所示：

丹佛辦公室的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)如下圖所示：

公司北美所用的服務(wù)器都運行Windows2000Server，歐洲所用的服務(wù)器運行WindowsNTServer4.0。公司所有客戶機都運行Windows2000專業(yè)版。每個滑雪勝地和每個辦公室都有一臺文件服務(wù)器。辦公室和滑雪勝地之間通過Internet的VPN連接。每個滑雪勝地都安裝了無線訪問點供員工使用。
首席信息官（CIO）的意見
保護我們共同的數(shù)據(jù)是至關(guān)重要的。我們把大量的客戶信息保存在一個文件中，這些信息是我們必須保護的；
所有我們使用的公鑰基礎(chǔ)結(jié)構(gòu)（PKI）證書必須受到廣泛的信任，客戶不需要執(zhí)行額外的操作獲得Web站點的訪問；
我們建立了安全策略和日志需求，如果有人破壞這些策略，我需要立即被告知并做出響應(yīng)。
IT部門經(jīng)理的意見
為了避免昂貴復(fù)雜的WAN連接，我們使用VPN連接來代替。然而，我們不想讓用戶直接從Internet上下載更新程序；
我還希望能夠自動進行日常管理任務(wù)，經(jīng)常我們在很忙的時候那些重要的任務(wù)也沒完成，所以IT管理需要通過盡可能少的用手動操作來完成；
我擔(dān)心一些重要的東西可能會丟失。
目前，舊有的應(yīng)用程序用來管理滑雪勝地的業(yè)務(wù)功能，讀取和填寫非管理員不能修改的注冊信息；
如果用戶以管理員身份登錄客戶機來運行應(yīng)用程序，可以正常工作，但是這個破壞了公司的正式書面安全策略。
組織目的
公司必須能夠在辦公室和滑雪勝地之間共享信息，但是客戶個人信息和其他機密數(shù)據(jù)在存儲和傳輸中必須加密。
書面安全策略
公司書面安全策略包括以下需求：
當(dāng)一位管理員做了和安全性相關(guān)的操作并影響到了公司的服務(wù)器時，這個事件必須載入日志，這個日志必須保存。如果可能，第二位管理員必須審核這個事件；只有滑雪勝地的IT員工和桌面支持技術(shù)員對客戶機有管理權(quán)限，并能夠修改其他用戶的配置；
所有客戶機必須進行特定的桌面設(shè)置，這個設(shè)置集名為DesktopSettingsSpecification，包括一個口令保護的屏保；
網(wǎng)絡(luò)信息亭計算機必須用更多受限的桌面設(shè)置來配置，這個設(shè)置集名為KioskDesktopSpecification。只有管理員能夠修改這些設(shè)置；
所有客戶機必須保持微軟最新發(fā)布的重要更新程序和安全補丁。然而，IT部門必須在這些更新程序應(yīng)用之前對他們進行批準(zhǔn)。歐洲IT管理員只能批準(zhǔn)歐洲所在計算機上的更新程序，北美IT管理員只能批準(zhǔn)北美所在計算機的更新程序；
公共Web服務(wù)器不接受InternetTCP/IP連接；
客戶用戶帳戶和員工帳戶不能存儲在相同的ActiveDirectory域；
來自客戶用戶帳戶所在域的管理員帳戶，在任何情況下都不能管理員工帳戶；
hrbenefits.alpineskihouse.comWeb應(yīng)用系統(tǒng)中的所有數(shù)據(jù)在Internet上傳輸時必須加密；
每個員工為了連接hrbenefits.alpineskihouse.com都必須使用一個PKI證書的身份驗證。
客戶需求
客戶對無線訪問和信息亭計算機的要求必須考慮以下幾點：
員工和客戶必須能夠訪問無線網(wǎng)絡(luò)；但是，服務(wù)器只有員工可接近。
信息亭計算機只能用來瀏覽Internet，并將運行WindowsXP專業(yè)版。
用戶必須能夠通過funski.alpineskihouse.com建立帳戶，帳戶信息必須存儲在ActiveDirectory中。所有客戶個人信息在Internet上傳輸時必須被加密。
ActiveDirectory
必須考慮以下對ActiveDirectory的要求：
域必須包括公司每個位置的頂級組織單元（OU），員工帳戶必須位于他們主要工作位置的OU中。所有支持用戶的IT員工必須都是SupportSecurity組的成員，高技術(shù)IT員工還必須是AdvancedSupport安全組的成員。所有位于歐洲的客戶機必須按照桌面安全設(shè)置規(guī)范來配置，即使此時域升級沒有完成。每個滑雪勝地的桌面支持技術(shù)員必須能夠重置當(dāng)?shù)貑T工用戶密碼。
網(wǎng)絡(luò)架構(gòu)
必須考慮以下網(wǎng)絡(luò)架構(gòu)需求：
授權(quán)IT員工必須使用遠程桌面控制（RDP）來管理網(wǎng)絡(luò)設(shè)備防護網(wǎng)上的服務(wù)器。IT員工必須還能夠使用RDP來管理滑雪勝地的服務(wù)器?；﹦俚乇仨毥邮軄碜运麄兯诘貐^(qū)的重要更新程序和安全補丁。每個滑雪勝地必須有一臺或更多的WindowsServer2003計算機，這些計算機配置成用來處理DNS，DHCP和任何VPN連接的基礎(chǔ)結(jié)構(gòu)服務(wù)器。部署完Server1之后，公司所有用戶必須能夠創(chuàng)建和讀取ALL_USERSandServer1共享文件夾中的文件。
只有WebPublishersSecurity組的成員能夠修改公共Web站點，所有修改信息在傳輸時必須加密。

你需要為丹佛辦公室的 Web 服務(wù)器設(shè)計 IPSec 策略。你要決定該使用哪個策略設(shè)置，你該怎么做？