你可能感興趣的試題

概述
南橋音像公司是一家音像制品零售商，公司銷售各種電影，記錄片和外國電影。近期南橋音像要求 CompanyA 公司提供運貨服務。南橋音像總公司在亞特蘭大，公司在整個美國有 6 個零售店。CompanyA 公司位于丹佛。
計劃改革
公司網(wǎng)絡架構(gòu)如下圖所示：

一臺名為 VPN1 的 VPN 服務器將被安置在網(wǎng)絡設備防護網(wǎng)上，移動用戶將使用 VPN1 來連接公司網(wǎng)絡。除了 HR 部門以外，亞特蘭大辦公室的所有客戶機都將升級成 Windows XP 專業(yè)版。名為 WEB2 的 Web 服務器將被安裝到公司內(nèi)部網(wǎng)供開發(fā)和測試使用。
業(yè)務過程
公司有以下幾個部門：
人力資源部（HR）、會計部、管理部、市場部、客服部和信息技術(shù)部
Internet 用戶必須注冊成為南橋音像的用戶才能在 Web 站點購買錄像。用戶信息都存儲在一個數(shù)據(jù)庫中，這些用戶歸類為 Web 用戶，登錄信息通過電子郵件形式發(fā)送給用戶。Web 用戶連接一個名為 Members 的虛擬目錄。當他們身份驗證之后，Web 用戶能夠查看可得到的商品并且通過服務器 Web1 上運行的一個 Web 應用程序來訂貨。當 Web 用戶訂貨后，請求就提交給 CompanyA 公司來包裝并運送。所有客戶活動記錄都存儲在 TRANS 共享文件夾中，這個文件夾位于服務器 DATA1 上。Authenticated Users 組分配了對 TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動目錄）
此網(wǎng)絡包括一個單一 Active Directory 域，所有服務器都運行 Windows Server 2003，所有客戶機運行 Windows NT Workstation 4.0 或 Windows 98，所有計算機都運行最新的補丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計算機帳戶，Desktop Computers OU 包含了桌面電腦的計算機帳戶。HR 部門的所有用戶和計算機帳戶都位于 Legacy OU 中。
網(wǎng)絡基礎架構(gòu)
亞特蘭大辦公室有一個無線 LAN，這個網(wǎng)絡上有兩臺 Microsoft Internet 安全與加速（ISA）Server 2000 計算機，分別是 ISA1 和 ISA2。一個公共的 Web 站點位于一臺運行 IIS6.0 的服務器 WEB1 上。CompanyA 公司的用戶通過南橋音像公司和 CompanyA 公司之間的一個 VPN 通道來訪問 WEB1。HR 部門使用一個客戶應用系統(tǒng)，此系統(tǒng)只能運行在 Windows NT Workstation4.0 上。客服部把個人信息都存儲在一臺名為 SRV1 的文件服務器上，SRV1 還被配置為脫機獨立根 CA。
問題描述
必須考慮以下業(yè)務問題：
計劃升級之后，HR 部門的用戶在登錄他們的客戶機后將不能再修改他們的口令。當前用戶都不擁有證書。管理員沒有時間來幫助所有用戶處理問題。
首席信息官的意見
出于 Internet 連接在過去幾個月里使用頻繁，所以要采取措施不要把額外的工作量放在這個連接上。我已經(jīng)閱讀過各種各樣的緩存溢出對 Web 服務器的攻擊，如果公共 Web 服務器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽埱笾囟ㄏ虻揭粋€包含了法律后果的 HTML 文檔。
我們目前的補丁管理方案要求大量的時間和資源，并且需要優(yōu)化。我們還希望能夠識別哪個安全補丁被安裝到公司的計算機上。
首席安全官（ CSO ）的觀點
有很多原因需要我們重新設計公司安全管理策略和慣例。我關(guān)心目前我們的無線配置使我們網(wǎng)絡易受攻擊，我還關(guān)心 CompanyA 用戶訪問的服務器的安全性。我想實現(xiàn)一個公司范圍的用戶證書作為我們新驗證策略的第一階段。我還想使用組策略對象（GPOs）來管理我們無線網(wǎng)絡。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導致了公司網(wǎng)絡上的幾臺計算機停止響應。少量移動用戶將連接公司網(wǎng)絡，我們需要確保這些連接的安全性。
書面安全策略
南橋音像公司書面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無線網(wǎng)絡；
無線網(wǎng)絡要求字符串驗證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復代理；
財務部門用戶必須實行雙重身份驗證，存儲在 TRANS 文件夾中的信息都加密了并且只能被IT 部門的員工訪問；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實 WEB1 的身份；
所有 Windows Server 2003 計算機和 Windows XP 專業(yè)版計算機的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠程修改 WEB2 上注冊表信息；
所有軟件都準許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗證。

概述
南橋音像公司是一家音像制品零售商，公司銷售各種電影，記錄片和外國電影。近期南橋音像要求 CompanyA 公司提供運貨服務。南橋音像總公司在亞特蘭大，公司在整個美國有 6 個零售店。CompanyA 公司位于丹佛。
計劃改革
公司網(wǎng)絡架構(gòu)如下圖所示：

一臺名為 VPN1 的 VPN 服務器將被安置在網(wǎng)絡設備防護網(wǎng)上，移動用戶將使用 VPN1 來連接公司網(wǎng)絡。除了 HR 部門以外，亞特蘭大辦公室的所有客戶機都將升級成 Windows XP 專業(yè)版。名為 WEB2 的 Web 服務器將被安裝到公司內(nèi)部網(wǎng)供開發(fā)和測試使用。
業(yè)務過程
公司有以下幾個部門：
人力資源部（HR）、會計部、管理部、市場部、客服部和信息技術(shù)部
Internet 用戶必須注冊成為南橋音像的用戶才能在 Web 站點購買錄像。用戶信息都存儲在一個數(shù)據(jù)庫中，這些用戶歸類為 Web 用戶，登錄信息通過電子郵件形式發(fā)送給用戶。Web 用戶連接一個名為 Members 的虛擬目錄。當他們身份驗證之后，Web 用戶能夠查看可得到的商品并且通過服務器 Web1 上運行的一個 Web 應用程序來訂貨。當 Web 用戶訂貨后，請求就提交給 CompanyA 公司來包裝并運送。所有客戶活動記錄都存儲在 TRANS 共享文件夾中，這個文件夾位于服務器 DATA1 上。Authenticated Users 組分配了對 TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動目錄）
此網(wǎng)絡包括一個單一 Active Directory 域，所有服務器都運行 Windows Server 2003，所有客戶機運行 Windows NT Workstation 4.0 或 Windows 98，所有計算機都運行最新的補丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計算機帳戶，Desktop Computers OU 包含了桌面電腦的計算機帳戶。HR 部門的所有用戶和計算機帳戶都位于 Legacy OU 中。
網(wǎng)絡基礎架構(gòu)
亞特蘭大辦公室有一個無線 LAN，這個網(wǎng)絡上有兩臺 Microsoft Internet 安全與加速（ISA）Server 2000 計算機，分別是 ISA1 和 ISA2。一個公共的 Web 站點位于一臺運行 IIS6.0 的服務器 WEB1 上。CompanyA 公司的用戶通過南橋音像公司和 CompanyA 公司之間的一個 VPN 通道來訪問 WEB1。HR 部門使用一個客戶應用系統(tǒng)，此系統(tǒng)只能運行在 Windows NT Workstation4.0 上?？头堪褌€人信息都存儲在一臺名為 SRV1 的文件服務器上，SRV1 還被配置為脫機獨立根 CA。
問題描述
必須考慮以下業(yè)務問題：
計劃升級之后，HR 部門的用戶在登錄他們的客戶機后將不能再修改他們的口令。當前用戶都不擁有證書。管理員沒有時間來幫助所有用戶處理問題。
首席信息官的意見
出于 Internet 連接在過去幾個月里使用頻繁，所以要采取措施不要把額外的工作量放在這個連接上。我已經(jīng)閱讀過各種各樣的緩存溢出對 Web 服務器的攻擊，如果公共 Web 服務器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽埱笾囟ㄏ虻揭粋€包含了法律后果的 HTML 文檔。
我們目前的補丁管理方案要求大量的時間和資源，并且需要優(yōu)化。我們還希望能夠識別哪個安全補丁被安裝到公司的計算機上。
首席安全官（ CSO ）的觀點
有很多原因需要我們重新設計公司安全管理策略和慣例。我關(guān)心目前我們的無線配置使我們網(wǎng)絡易受攻擊，我還關(guān)心 CompanyA 用戶訪問的服務器的安全性。我想實現(xiàn)一個公司范圍的用戶證書作為我們新驗證策略的第一階段。我還想使用組策略對象（GPOs）來管理我們無線網(wǎng)絡。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導致了公司網(wǎng)絡上的幾臺計算機停止響應。少量移動用戶將連接公司網(wǎng)絡，我們需要確保這些連接的安全性。
書面安全策略
南橋音像公司書面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無線網(wǎng)絡；
無線網(wǎng)絡要求字符串驗證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復代理；
財務部門用戶必須實行雙重身份驗證，存儲在 TRANS 文件夾中的信息都加密了并且只能被IT 部門的員工訪問；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實 WEB1 的身份；
所有 Windows Server 2003 計算機和 Windows XP 專業(yè)版計算機的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠程修改 WEB2 上注冊表信息；
所有軟件都準許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗證。