MCSE网络安全设计案例一(30)南桥音像公司南桥音像公司是一家音像制品零售商,公司销售各种电影,记录片和外国电影。近期南桥音像要求CompanyA公司提供运货服务。南桥音像总公司在亚特兰大,公司在整个美国有6个零售店。CompanyA公司位于丹佛。计划改革公司网络架构如下图所示:一台名为VPN1的VPN服务器将被安置在网络设备防护网上,移动用户将使用VPN1来连接公司网络。除了HR部门以外,亚特兰大办公室的所有客户机都将升级成WindowsXP专业版。名为WEB2的Web服务器将被安装到公司内部网供开发和测试使用。业务过程公司有以下几个部门:人力资源部(HR)、会计部、管理部、市场部、客服部和信息技术部,Internet用户必须注册成为南桥音像的用户才能在Web站点购买录像。用户信息都存储在一个数据库中,这些用户归类为Web用户,登录信息通过电子邮件形式发送给用户。Web用户连接一个名为Members的虚拟目录。当他们身份验证之后,Web用户能够查看可得到的商品并且通过服务器Web1上运行的一个Web应用程序来订货。当Web用户订货后,请求就提交给CompanyA公司来包装并运送。所有客户活动记录都存储在TRANS共享文件夹中,这个文件夹位于服务器DATA1上。AuthenticatedUsers组分配了对TRANS文件夹的“完全控制”权限。ActiveDirectory(活动目录)此网络包括一个单一ActiveDirectory域,所有服务器都运行WindowsServer2003,所有客户机运行WindowsNTWorkstation4.0或Windows98,所有计算机都运行最新的补丁。组织单元(OU)结构的相关部分如下图所示:LaptopOU包括手提电脑的计算机帐户,DesktopComputersOU包含了桌面电脑的计算机帐户。HR部门的所有用户和计算机帐户都位于LegacyOU中。网络基础架构亚特兰大办公室有一个无线LAN,这个网络上有两台MicrosoftInternet安全与加速(ISA)Server2004计算机,分别是ISA1和ISA2。一个公共的Web站点位于一台运行IIS6.0的服务器WEB1上。CompanyA公司的用户通过南桥音像公司和CompanyA公司之间的一个VPN通道来访问WEB1。HR部门使用一个客户应用系统,此系统只能运行在WindowsNTWorkstation4.0上。客服部把个人信息都存储在一台名为SRV1的文件服务器上,SRV1还被配置为脱机独立根CA。问题描述必须考虑以下业务问题:计划升级之后,HR部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。首席信息官的意见出于Internet连接在过去几个月里使用频繁,所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对Web服务器的攻击,如果公共Web服务器受到这样一次攻击,我希望能够将用户请求重定向到一个包含了法律后果的HTML文档。我们目前的补丁管理方案要求大量的时间和资源,并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。首席安全官(CSO)的观点有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击,我还关心CompanyA用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象(GPOs)来管理我们无线网络。近期,用户从Internet上下载并安装了未授权软件,导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络,我们需要确保这些连接的安全性。书面安全策略南桥音像公司书面安全策略的相关部分包括以下要求:只有客服部的用户能够连接无线网络;无线网络要求字符串验证;客服部和SRV1之间的通信始终安全并加密;只有客服部的配有手提电脑的成员能够加密数据;客服部必须拥有自己数据恢复代理;财务部门用户必须实行双重身份验证,存储在TRANS文件夹中的信息都加密了并且只能被IT部门的员工访问;和WEB1上的Member虚拟目录的通信都被加密;Web客户能够证实WEB1的身份;所有WindowsServer2003计算机和WindowsXP专业版计算机的登录,只要涉及到本地用户帐户的都需要被跟踪;只有IT管理员能够远程修改WEB2上注册表信息;所有软件都准许公司使用;VPN1必须支持MS-CHAPv2身份验证。问题1.你需要为南桥音像公司设计一个审核...
