MCSE网络安全设计

1、MCSE网络安全设计案例一 （30）南桥音像公司南桥音像公司是一家音像成品零售商，公司发卖各类片子，记录片和外国片子。 近期南桥音像请求CompanyA公司供给运货办事。南桥音像总公司在亚特兰大年 夜，公司在全部美国有6个零售店。CompanyA公司位于丹佛。筹划改革公司收集架构如下图所示：网络设备防护网内部网lOQtfys以太缎一1 JDATA1DC2RAS1应川服务器一台名为VPN1的VPN办事器将被安顿在收集设备防护网上，移动用户将应用 VPN1来连接公司收集。除了HR部分以外，亚特兰大年夜办公室的所有客户机都 将进级Windows XP专业版。名为WEB2的Web办事器将被安装到公司内

2、部网供 开辟和测试应用。营业过程公司有以下儿个部分：人力资本部（HR）、管帐部、治理部、市场部、客服部和 信息技巧部，Internet用户必须注册成为南桥音像的用户才能在Web站点购买 录像。用户信息都存储在一个数据库中，这些用户归类为Web用户，登录信息经 由过程电子邮件情势发送给用户。Web用户连接一个名为Members的虚拟H次。 当他们身份验证之后，Web用户可以或许查看可获得的商品并且经山过程办事器 Webl上运行的一个Web应用法度榜样来订货。当Web用户订货后，请求就提交 给CompanyA公司来包装并输送。所有客户活动记录都存储在TRANS共享文件夹 中，这个文件夹位于办事器D

3、ATA1上。Authenticated Users组分派了对TRANS 文件夹的“完全控制”权限。Active Directory （活动 H 次）此收集包含一个单一Active Directory域，所有办事器都运行Windows Server 2003,所有客户机运行Windows NT Workstation 4.0 或Windows 98,所有计算机都运行最新的补丁。组织单位(0U)构造的相干部分如下图所示:Windows Server 2003 域Desktop Computer OULaptop OULaptop OU包含手提电脑的计算机帐户，Desktop Computers 0

4、U包含了桌面电 脑的计算机帐户。HR部分的所有效户和计算机帐户都位于Legacy 0U中。收集基本架构亚特兰大年夜办公室有一个无线LAN,这个收集上有两台Microsoft Internet安 然与加快(ISA)Server 2004计算机,分别是ISA1和ISA2。一个公共的Web站点位于一台运行 IIS6. 0的办事器WEB1上。CompanyA公司的用户经由过程南桥音像公司和 CompanyA公司之间的一个VPN通道来拜访WEBlo HR部分应用一个客户应用体 系，此体系只能运行在Windows NTWorkstation4.0上。客服部把小我信息都存 储在一台名为SRV1的文件办事器上

5、，SRV1还被设备为脱机自力根CA。问题描述必须推敲以下营业问题：筹划进级之后，HR部分的用户在登录他们的客户机后将不克不及再修改他们的 口令。当前用户都不拥有证书。治理员没有时光来赞助所有效户处理问题。肖席信息官的看法岀于Inrnet连接在以前儿个月里应用频繁，所以要采取办法不要把额外的工 作量放在这个连接上。我已经浏览过各类各样的缓存溢出对Web办事器的进击，假如公共Web 办事器受到如许一次进击，我欲望可以或许将用户请求重定向到一个包含了司法 后果的HTML文档。我们今朝的补丁治理筹划请求大年夜量的时光和资本，并且 须要优化。我们还欲望可以或许辨认哪个安然补丁被安装到公司的计算机上。首席

6、安然官(CSO)的不雅点 有很多原因须要我们从新设计公司安然治理策略和惯例。我关怀今朝我们的无线 设备使我们收集易受进击，我还关怀CompanyA用户拜访的办事器的安然性。我 想实现一个公司范用的用户证书作为我们新验证策略的第一阶段。我还想应用组 策略对象(GPOs)来治理我们无线收集。近期，用户从Internet髙低载并安装 了未授权软件，导致了公司收集上的儿台计算机停止响应。少量移动用户将连接 公司收集，我们须要确保这些连接的安然性。书面安然策略南桥音像公司书面安然策略的相干部分包含以下请求：只有客服部的用户可以或许连接无线收集；无线收集请求字符串验证；客服部和SRV1之间的通信始终安然并

7、加密；只有客服部的配有手提电脑的成员可以或许加密数据；客服部必须拥有本身数据恢复代理；财务部分用户必须实施双重身份验证，存储在TRANS文件夹中的信息都加密了并 且只能被IT部分的员工拜访；和WEB1上的Member虚拟LI次的通信都被加密；Web客户可以或许证实WEB1的身份；所有Windows Server 2003计算机和Windows XP专业版计算机的登录，只要涉 及到本地用户帐户的都须要被跟踪；只有IT治理员可以或许长途修改WEB2上注册表信息；所有软件都准许公司应用；VPN1必须支撑MS-CHAP v2身份验证。问题1 你须要为南桥音像公司设让一个审核策略。你的筹划必须知足公司的

8、营业需 求，你该怎么做？A创建一个新的安然模板，这个模板启用了成功和掉败的账户登录事宜的审核 策略；创建一个新的GPO,并把它和域连接，在新的GPO中导入新的安然模板B. 创建一个新的安然模板，这个模板启用了成功和掉败的帐户登录事宜的审核 策略；创建一个新的GPO,并把它和Domain Controllers 0U连接，在新的GPO中 导入新的安然模板C创建一个新的安然模板，这个模板启用了成功和掉败的登录事宜的审核策略; 创建一个新的GPO,并把它和Domain Controllers 0U连接，在新的GPO中导入 新的安然模板D.创建一个新的安然模板，这个模板启用了成功和掉败的登录事宜的审核

9、策略; 创建一个新的GPO,并把它和域连接，在新的GPO中导入新的安然模板2. 你须要为VPN1设计一个安然策略，你的解决筹划必须知足营业需求，你该怎 么做？A. 创建并设备一个新的安然模板：把这个模板导入到默认域策略组策略对象中B. 在RAS1上安装Internet身份验证办事(IAS)；设备VPN1成为RAS1的Radiu 客户端；在VPN1上设备长途拜访策略c创建并设备一个新的安然模板；把这个模板导入到VP1的本地策略中D.把VPN1移到VPN Servers OU中；在VPN1上设备长途拜访策略3. 你正在为财务部分设计一个身份验证策略，你的解决筹划必须知足营业需求, 你该怎么做？A.

10、 在财务部分的所有计算机上安装无线网卡，选择PEAP身份验证B. 在财务部分的所有计算机上安装用户身份验证，设备这些计算机响应IPSec 加密请求C. 给财务部分的所有效户和计算机发行智能卡和智能卡读取器:请求NTLMv2身 份验证D. 给财务部分的所有效户和计算机发行智能卡和智能卡读取器；设备财务部分 用户应用智能卡登录域4. 你须要MEB1设il一个安然解决筹划，你的解决筹划必须知足首席信息总监 关怀的问题，你该怎么做？A. 在WEB1上启用“Web分布式创作和版本控制（WebDAV） ”组件B. 在WEB1上安装并设备URLScan ISAPI筛选器C在WEB1上安装一个计算机证书，并在

11、WEB1上启用办事器（请求安然性）IPSec 策略D.在Internet办事治理器控制台的WEB1属性中设备Web站点重定位选项5. 你须要给南桥音像公司的员工设计一个软件应用策略，你的策略必须知足营 业需求，你该怎么做？A. 在默认域策略组策略对象中设备软件限制策略B. 应用连接治理员治理对象（CMAK）创建一个新的连接对象，并在所有客户机 上安装新的连接对象C. 在两台ISA办事器上创建并设备一个本地安然策略D. 在默认域策略组策略对象中设备Internet Explorer设置6. 你须要为南桥音像公司设计一个补丁治理策略，你的解决筹划必须知足营业 需求，你该怎么做？A. 设备所有客户机

12、应用主动更新从Windows Update Web站点获得安然补丁， 测试并安装所有补丁法度榜样B. 设备一个补丁文件来下载天天的安然补丁，应用一个zap文件和默认域策 略组策略对象来分派安然补丁C. 安排一台软件更新办事（SUS）办事器，测试所有安然补丁之后赞成这些补T；设备所有客户机主动从办事器上获得更新法度榜样D. 设备一个补丁文件下载天天安然补丁，在所有计算机上手动安装安然补丁案例二（30）Woodgrove 银行概述Woodgrove银行有一个24小时工作的呼叫中间用来支撑客户和合作伙伴。Woodgrove银行总部位于洛杉机（Los Angeles）,拥有1000名员工。一个地区 分

13、行位于丹佛（Denver）,拥有800员工。还有100个支行，分部在美国西部的 大年夜部分城市，每个支行有10到20位员工。营业处理洛杉机总部对Woodgrove 银行进行治理。地区治理位于洛杉机和丹佛，洛杉机总部还治理加利福尼亚（Cal辻onia）,俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。 丹佛地区分行治理科罗拉多州（Colorado）,新墨西哥州（NewMexico）,犹他 州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自保护 一个客户支撑呼叫中间。人力资本（HR）部分位于洛杉机，信息技巧（IT）部分 位于洛杉机和丹佛两个地区，每

14、个地区有一个数据中间，为各自地区供给IT办 事，IT部分负责所有收集的治理义务，支行则没有IT人员。目次办事在一个单一的丛林中有4个Active Directory域，Active Directory构造如下收集构造所有办事器运行Windows Server 2003,所有客户机运行Windows XP专业版。洛 杉机和丹佛安装了无线拜访点，无线拜访点支撑IEEE 802. llq规格和有线对等私有性（WEP）加密。无线拜访点支撑证书和Radius身份验证。今朝，无线拜访点上没 有设备加密或身份验证办法。在安然补丁和更新包安排到其他收集之前，必须要 经山过程洛杉机数据中间的一个测试收集的检测。

15、洛杉机和丹佛之间用专用广域 网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都 有一个专用连线连接Internet,支行不和Internet连接。公共可拜访的Web和 应用办事器位于一个收集设备防护网上，如下图所示：Web办事器上安排了一个应用体系，此应用体系和丹佛数据中间一台Windows Server 2003计算机上安排的一个客户应用连接。这个Web办事器还安排了一个 Web站点，这个站点包含了客户和公有的公共可拜访信息。这个收集设备防护网 还作为企业外部网供合作公司拜访。一台名为WebKiosk的Windows Server 2003 计算机安装在洛杉机数据中间。W

16、ebKiosk运行IIS6. 0并安排了一个Web站点， 每个支行的信息办事台可以拜访这个站点。WebKiosk是Kiosk 0U的成员，信息 办事台应用一个名为KioskUser的用户帐户和Web站点连接。首席信息总监我关怀无线收集对我们收集的安然造成的伤害，我想确保只有授权用户和授权讣 算机可以或许连接无线收集。我还关怀我们的公钥基本举措措施可能受到的安然 危及，假如受到如许的一次危及客户对我们公司的信赖将被破坏，并且恢复就时 光和金钱来说相当昂贵。IT主管在我们以前的情况下补丁治理昂贵乂费时，经常请求IT人员到所有支行地点地 履行。我想用一个办法使更新法度榜样可以或许主动安排到收集中所有

17、计算机 上。我还关怀支行里的信息办事台危及收集安然并许可未授权拜访公司资本。还 有一个问题，就是支行出纳员在他们的计算机上运行未授权应用法度榜样。HR主管我担心未被授权的用户能拜访小我信息，这些小我信息只有HR用户须要拜访, 并非IT员工能拜访。组织LI标必须推敲以下组织需求：每位客服人员必须在呼叫中间工作6个小时，个中有4个小时随时待命供给办 事，这些用户拥有手提电脑并可以或许高速拜访Interneto这些用户欲望应用用户终端办事从 呼叫中间的Windows Server 2003计算机上运行支撑应用体系。Woodgrove银行与外部审核公司合作向用户供给查帐办事。审核公司的用户能拜 访丹佛

18、地区分行的外部网，这些用户须要拜访丹佛内部网上一台名为Serverl办 事器上的文件资本。即使IT人员不在本身的地位上，他们也必须可以或许履行治理义务。所有的IT 人员都有新的配有无线网卡的手提电脑。支行出纳员在他们的讣算机上只可以或许运行名为Bank Teller 2. 0的第三方应 用软件。不管最终用户采取什么行动，其他应用软件不克不及在这些计算机上运 行。然则，地区银行的用户可以或许运行他们所需的应用体系。安然性必须推敲以下安然需求：所有小我数据都存储在HRSrvl办事器上，只有HR部分的用户可以拜访这些数 据。然而，IT人员按筹划必须可以或许备份和存储这些数据。IT人员可以或许从家里连

19、接收 集，所有IT人员和收集外部连接必须应用强大年夜有效的加密和身份验证办法。 审核公司的用户只可以或许和名为TS-Serverl的Windows Server 2003计算机 连接。TS-Serverl运行终端办事并且位于外部网上。所有内部网资本的拜访必须 经由过程TS-Server 1。客户可以或许经由过程公司Web站点拜访小我账户信息，所有客户都配备了一个 智能卡和智能卡读取器。客户应用智能卡作为借记卡来拜访小我账户信息。智能 卡还包含了Woodgrove银行CA发行的一个用户证书。客户需求必须推敲以下客户需求：合作公司的用户须要拜访丹佛内部网上一台Microsoft SQL Serve

20、r 2000计算机 上存储的信息。内部网用户也可以或许应用Microsoft Access 2000拜访SQL Server中的信息。银行客户可以或许安然拜访他们小我账户信息客户和潜在客户可以或许应用运行Windows XP专业版的信息办事台来拜访银行 公有信息。每个支行将会有至少一台的信息办事台。Active Directory必须推敲下列对Active Directory的请求企业外部网应用办事器上应用的应用软件须要对Active Directory架构进行修 改，这些修改不克不及应用到其他的收集中。今朝所有支行的收集治理都是山洛杉机和丹佛两地的治理员来履行的。IT部分 想要把特定城市的所

21、有支行治理工作分派给自力的一个治理员。这位治理员将会 负责支行所有效户、组和资本的治理。收集基本架构必须推敲以下收集架构需求：所有帧中继广域网连接须要加密和身份验证。证书办事必须安装在每个域的至少一台办事器上，CA的设备必须根据每个域的 需求。一台软件更新办事（SUS）办事器必须安装在每个地区银行的域上。 微软基线安然分析器（MBSA）必须安排到每个域的所有计算机上。问题7. 当客户支撑员工在家里工作时，你须要为他们设计一个长途拜访策略。你的 解决筹划必须知足安然需求，你该怎么做？A. 在每个呼叫中间安排一台L2TP/IP VPN办事器，设备手提电脑作为L2TP VPN 客户机B. 在客户支撑

22、用户家中和公司的面向Internet路山器之间创建IPSec地道模 式连接C. 在公司面向Internet路山器上创建IP包筛选，许可应用长途桌面协定（RDP）:在终端办事器上创建IPSec筛选，使其只许可应用RDP连接D. 在公司面向Internet路山器上创建IF包筛选，使其许可IPSec协定：给终 端办事器分派安然办事器（请求安然性）IPSec策略，给手提电脑分派客户机（只 响应）IPSec策略8. 你须要对位于企业外部网上的合感化户以及内部用户应用的资本设计一个拜 访控制策略，你的解决筹划必须知足营业和安然需求，你该怎么做？9. 你须要设计一个长途拜访认证策略，这个策略将许可IT部分的用户长途连接 收集，你的解决筹划须要知足安然需求，你该怎么做？B.在丹佛外部网上的一台自力式计算机上安装Internet认证办事（IAS）:在 IAS办事器上创建IT人员的本地用户账户；设备VPN办事器作为Radius客户机 D.在每台VPN办事器上创建一个长途拜访策略；在VPN办事器上创建IT人员 的本地用户账户；设备这个策略应用VPN办事器的本地账户数据库来验证用户； 设备这个策略请求L2TP来建立一个连接10. 你须要为客户信息设计一个拜访控制筹划，你的筹划须要知足安然需求，你 该怎么做？A. 设备We