MCSE 网络安全设计

MCSE网络安全设计案例一(30)南桥音像公司南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求CompanyA公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有6个零售店。CompanyA公司位于丹佛。计划改革公司网络架构如下图所示：一台名为VPN1的VPN服务器将被安置在网络设备防护网上，移动用户将使用VPN1来连接公司网络。除了HR部门以外，亚特兰大办公室的所有客户机都将升级成WindowsXP专业版。名为WEB2的Web服务器将被安装到公司内部网供开发和测试使用。业务过程公司有以下几个部门：人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部，Internet用户必须注册成为南桥音像的用户才能在Web站点购买录像。用户信息都存储在一个数据库中，这些用户归类为Web用户，登录信息通过电子邮件形式发送给用户。Web用户连接一个名为Members的虚拟目录。当他们身份验证之后，Web用户能够查看可得到的商品并且通过服务器Web1上运行的一个Web应用程序来订货。当Web用户订货后，请求就提交给CompanyA公司来包装并运送。所有客户活动记录都存储在TRANS共享文件夹中，这个文件夹位于服务器DATA1上。AuthenticatedUsers组分配了对TRANS文件夹的“完全控制”权限。ActiveDirectory（活动目录）此网络包括一个单一ActiveDirectory域，所有服务器都运行WindowsServer2003，所有客户机运行WindowsNTWorkstation4.0或Windows98，所有计算机都运行最新的补丁。组织单元（OU）结构的相关部分如下图所示：LaptopOU包括手提电脑的计算机帐户，DesktopComputersOU包含了桌面电脑的计算机帐户。HR部门的所有用户和计算机帐户都位于LegacyOU中。网络基础架构亚特兰大办公室有一个无线LAN，这个网络上有两台MicrosoftInternet安全与加速（ISA）Server2004计算机，分别是ISA1和ISA2。一个公共的Web站点位于一台运行IIS6.0的服务器WEB1上。CompanyA公司的用户通过南桥音像公司和CompanyA公司之间的一个VPN通道来访问WEB1。HR部门使用一个客户应用系统，此系统只能运行在WindowsNTWorkstation4.0上。客服部把个人信息都存储在一台名为SRV1的文件服务器上，SRV1还被配置为脱机独立根CA。问题描述必须考虑以下业务问题：计划升级之后，HR部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。首席信息官的意见出于Internet连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对Web服务器的攻击，如果公共Web服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的HTML文档。我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。首席安全官（CSO）的观点有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心CompanyA用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。近期，用户从Internet上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。书面安全策略南桥音像公司书面安全策略的相关部分包括以下要求：只有客服部的用户能够连接无线网络；无线网络要求字符串验证；客服部和SRV1之间的通信始终安全并加密；只有客服部的配有手提电脑的成员能够加密数据；客服部必须拥有自己数据恢复代理；财务部门用户必须实行双重身份验证，存储在TRANS文件夹中的信息都加密了并且只能被IT部门的员工访问；和WEB1上的Member虚拟目录的通信都被加密；Web客户能够证实WEB1的身份；所有WindowsServer2003计算机和WindowsXP专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪；只有IT管理员能够远程修改WEB2上注册表信息；所有软件都准许公司使用；VPN1必须支持MS-CHAPv2身份验证。问题1．你需要为南桥音像公司设计一个审核策略。你的方案必须满足公司的业务需求，你该怎么做？A．创建一个新的安全模板，这个模板启用了成功和失败的账户登录事件的审核策略；创建一个新的GPO，并把它和域连接，在新的GPO中导入新的安全模板B．创建一个新的安全模板，这个模板启用了成功和失败的帐户登录事件的审核策略；创建一个新的GPO，并把它和DomainControllersOU连接，在新的GPO中导入新的安全模板C．创建一个新的安全模板，这个模板启用了成功和失败的登录事件的审核策略；创建一个新的GPO，并把它和DomainControllersOU连接，在新的GPO中导入新的安全模板D．创建一个新的安全模板，这个模板启用了成功和失败的登录事件的审核策略；创建一个新的GPO，并把它和域连接，在新的GPO中导入新的安全模板2.你需要为VPN1设计一个安全策略，你的解决方案必须满足业务需求，你该怎么做？A．创建并配置一个新的安全模板；把这个模板导入到默认域策略组策略对象中B．在RAS1上安装Internet身份验证服务（IAS）；配置VPN1成为RAS1的Radiu客户端；在VPN1上配置远程访问策略C．创建并配置一个新的安全模板；把这个模板导入到VPN1的本地策略中D．把VPN1移到VPNServersOU中；在VPN1上配置远程访问策略3.你正在为财务部门设计一个身份验证策略，你的解决方案必须满足业务需求，你该怎么做？A．在财务部门的所有计算机上安装无线网卡，选择PEAP身份验证B．在财务部门的所有计算机上安装用户身份验证，配置这些计算机响应IPSec加密请求C．给财务部门的所有用户和计算机发行智能卡和智能卡读取器；要求NTLMv2身份验证D．给财务部门的所有用户和计算机发行智能卡和智能卡读取器；配置财务部门用户使用智能卡登录域4.你需要为WEB1设计一个安全解决方案，你的解决方案必须满足首席信息总监关心的问题，你该怎么做？A．在WEB1上启用“Web分布式创作和版本控制（WebDAV）”组件B．在WEB1上安装并配置URLScanISAPI筛选器C．在WEB1上安装一个计算机证书，并在WEB1上启用服务器（要求安全性）IPSec策略D．在Internet服务管理器控制台的WEB1属性中配置Web站点重定位选项5.你需要给南桥音像公司的员工设计一个软件使用策略，你的策略必须满足业务需求，你该怎么做？A．在默认域策略组策略对象中配置软件限制策略B．使用连接管理员管理工具（CMAK）创建一个新的连接对象，并在所有客户机上安装新的连接对象C．在两台ISA服务器上创建并配置一个本地安全策略D．在默认域策略组策略对象中配置InternetExplorer设置6.你需要为南桥音像公司设计一个补丁管理策略，你的解决方案必须满足业务需求，你该怎么做？A．配置所有客户机使用自动更新从WindowsUpdateWeb站点获得安全补丁，测试并安装所有补丁程序B．配置一个补丁文件来下载每天的安全补丁，使用一个.zap文件和默认域策略组策略对象来分配安全补丁C．部署一台软件更新服务（SUS）服务器，测试所有安全补丁之后批准这些补丁；配置所有客户机自动从服务器上获得更新程序D．配置一个补丁文件下载每天安全补丁，在所有计算机上手动安装安全补丁案例二(30)Woodgrove银行概述Woodgrove银行有一个24小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove银行总部位于洛杉机（LosAngeles），拥有1000名员工。一个地区分行位于丹佛（Denver），拥有800员工。还有100个支行，分部在美国西部的大部分城市，每个支行有10到20位员工。业务处理洛杉机总部对Woodgrove银行进行管理。地区管理位于洛杉机和丹佛，洛杉机总部还管理加利福尼亚（Califonia），俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。丹佛地区分行管理科罗拉多州（Colorado），新墨西哥州（NewMexico），犹他州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。人力资源（HR）部门位于洛杉机，信息技术（IT）部门位于洛杉机和丹佛两个地区，每个地区有一个数据中心，为各自地区提供IT服务，IT部门负责所有网络的管理任务，支行则没有IT人员。目录服务在一个单一的森林中有4个ActiveDirectory域，ActiveDirectory结构如下图所示：所有客户支持人员都在support.corp.woodgrovebank.com域上拥有用户账户，他们通过这些账户负责对内部和外部的客户提供支持，HR部门的所有人员都是LA\HRUsers组的成员，每个支行都对应有一个组织单元（OU），每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元（OU）。网络结构所有服务器运行WindowsServer2003，所有客户机运行WindowsXP专业版。洛杉机和丹佛安装了无线访问点，无线访问点支持IEEE802.11q规格和有线对等私有性（WEP）加密。无线访问点支持证书和Radius身份验证。目前，无线访问点上没有配置加密或身份验证方法。在安全补丁和更新包部署到其他网络之前，必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接Internet，支行不和Internet连接。公共可访问的Web和应用服务器位于一个网络设备防护网上，如下图所示：Web服务器上部署了一个应用系统，此应用系统和丹佛数据中心一台WindowsServer2003计算机上部署的一个客户应用连接。这个Web服务器还部署了一个Web站点，这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为WebKiosk的WindowsServer2003计算机安装在洛杉机数据中心。WebKiosk运行IIS6.0并部署了一个Web站点，每个支行的信息服务台可以访问这个站点。WebKiosk是KioskOU的成员，信息服务台使用一个名为KioskUser的用户帐户和Web站点连接。首席信息总监我关心无线网络对我们网络的安全造成的危害，我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及，如果受到这样的一次危及客户对我们公司的信任将被破坏，并且恢复就时间和金钱来说相当昂贵。IT主管在我们以前的环境下补丁管理昂贵又费时，经常要求IT人员到所有支行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题，就是支行出纳员在他们的计算机上运行未授权应用程序。HR主管我担心未被授权的用户能访问个人信息，这些个人信息只有HR用户需要访问，并非IT员工能访问。组织目的必须考虑以下组织需求：每位客服人员必须在呼叫中心工作6个小时，其中有4个小时随时待命提供服务，这些用户拥有手提电脑并能够高速访问Internet。这些用户希望使用用户终端服务从呼叫中心的WindowsServer2003计算机上运行支持应用系统。Woodgrove银行与外部审核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网，这些用户需要访问丹佛内部网上一台名为Server1服务器