新世紀(jì)出版社有3個(gè)辦公室,物理位置和連接如下圖所示:
出版總社在紐約,分社在丹佛和達(dá)拉斯。出版社的員工和部門(mén)的分配如下表所示:
業(yè)務(wù)過(guò)程
紐約辦公室的 IT 員工使用客戶(hù)機(jī)來(lái)遠(yuǎn)程管理新世紀(jì)出版社所有服務(wù)器和域控制器。員工使用公司客戶(hù)機(jī)通過(guò)訪(fǎng)問(wèn)運(yùn)行 IIS6.0 的內(nèi)部 Web 站點(diǎn)來(lái)獲得存檔已出版書(shū)目和帳目信息。
目錄服務(wù)
公司網(wǎng)絡(luò)包括一個(gè)單一的 Active Directory 域 publishing.com。所有服務(wù)器運(yùn)行企業(yè)版Windows Server 2003。Active Directory 管理都集中在紐約,丹佛和達(dá)拉斯的用戶(hù)和計(jì)算機(jī)帳戶(hù)都位于他們各自的子 OU 中,如下圖所示:
全局用戶(hù)組 NYAdmins(紐約管理員組),ProductionAdmins(生產(chǎn)部管理員組),EditorialAdmins(編輯部管理員組)和 DevelopmentAdmins(開(kāi)發(fā)部管理員組)分別具有對(duì)他們各自 OU 的完全控制權(quán)限。這些全局組位于他們各自的 OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
所有客戶(hù)機(jī)運(yùn)行 Windows XP 專(zhuān)業(yè)版;域包括一個(gè)公鑰基礎(chǔ)結(jié)構(gòu)(PKI),公司使用一個(gè)內(nèi)部子企業(yè)級(jí) CA 給用戶(hù)和計(jì)算機(jī)發(fā)行證書(shū);每個(gè)分社有一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)支持桌面式和手提式客戶(hù)機(jī)。每個(gè)分社的無(wú)線(xiàn)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)包括 Internet 驗(yàn)證服務(wù)和無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn),這些無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)支持 IEEE 802.1.x、Radius和有線(xiàn)等效保密。
問(wèn)題描述
需要考慮以下業(yè)務(wù)問(wèn)題:
未授權(quán)用戶(hù)是 EditorialAdmins 組的成員,可是這個(gè)組的成員應(yīng)當(dāng)被限制要求是授權(quán)用戶(hù);編輯人員連接了成員服務(wù)器 Server5 上一個(gè)名為 Edits 共享文件夾,當(dāng)他們加密 Edits 中的數(shù)據(jù)時(shí),接收一個(gè)錯(cuò)誤消息,該消息聲稱(chēng)不能加密數(shù)據(jù)。編輯人員需要遠(yuǎn)程加密 Server5上的數(shù)據(jù),達(dá)拉斯辦公室的一些用戶(hù)把他們“我的文檔”文件夾放到了服務(wù)器的共享文件夾中,并且沒(méi)有備份“我的文檔”數(shù)據(jù),結(jié)果,這些數(shù)據(jù)丟失了。所以達(dá)拉斯用戶(hù)需要在備份用戶(hù)數(shù)據(jù)之后把“我的文檔”移到服務(wù)器上。達(dá)拉斯辦公室的用戶(hù)以后必須避免對(duì)“我的文檔”文件夾位置的改變。
首席信息官( CIO )的意見(jiàn)
安全性是公司最關(guān)心的問(wèn)題;我們必須實(shí)現(xiàn)一個(gè)安全口令策略來(lái)提高客戶(hù)機(jī),服務(wù)器和域控制器的安全性。我們需要一個(gè)登錄信息告訴用戶(hù):只有授權(quán)用戶(hù)才能訪(fǎng)問(wèn)開(kāi)發(fā)部門(mén)的服務(wù)器。
系統(tǒng)管理員的意見(jiàn)
每個(gè)部門(mén)需要不同的安全補(bǔ)丁,我們需要在部署安全補(bǔ)丁之前對(duì)他們進(jìn)行測(cè)試。測(cè)試完之后,這些補(bǔ)丁需要自動(dòng)部署到每個(gè)部門(mén)的服務(wù)器上。當(dāng)我們部署這些補(bǔ)丁時(shí),我們需要對(duì)獲取安全補(bǔ)丁的網(wǎng)絡(luò)帶寬進(jìn)行限制。
首席安全官( CSO )的意見(jiàn)
當(dāng)管理員修改服務(wù)器或域控制器上的用戶(hù)權(quán)利,或者當(dāng)他們修改服務(wù)器上本地安全帳戶(hù)管理員對(duì)象時(shí),我們希望能夠自動(dòng)跟蹤這些事件。我們必須實(shí)現(xiàn)一個(gè)最安全的方法對(duì)丹佛和達(dá)拉斯訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)的用戶(hù)進(jìn)行身份驗(yàn)證。我們需要保護(hù)無(wú)線(xiàn)客戶(hù)機(jī)和無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)之間傳輸?shù)臄?shù)據(jù)??蛻?hù)機(jī)需要自動(dòng)獲取無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)安全設(shè)置。
書(shū)面安全策略
新世紀(jì)出版社的書(shū)面安全策略包括下面幾個(gè)要求:
口令至少必須包含 7 個(gè)字符,但是不能包含所有或部分的用戶(hù)帳戶(hù)名稱(chēng)??诹畋仨毎ù髮?xiě)和小寫(xiě)的字母和數(shù)字。最小口令有效期限是 10 天,最大口令有效期限是 45 天。生產(chǎn)部門(mén)服務(wù)器上數(shù)據(jù)的訪(fǎng)問(wèn)必須被記錄,安全設(shè)置的標(biāo)準(zhǔn)集必須部署到開(kāi)發(fā)部門(mén)、編輯部門(mén)和生產(chǎn)部門(mén)的所有服務(wù)器上。這些設(shè)置必須進(jìn)行集中管理。域中的服務(wù)器必須進(jìn)行日常檢測(cè),檢測(cè)是否缺少安全補(bǔ)丁和服務(wù)包,并確定是否運(yùn)行了不必要的服務(wù)。域控制器上的服務(wù)
必須進(jìn)行集中控制,諸如哪個(gè)服務(wù)自動(dòng)開(kāi)啟,哪個(gè)管理員有權(quán)停止和啟動(dòng)服務(wù)都必須進(jìn)行集中管理。IIS 服務(wù)器必須對(duì)是否缺少 IIS 安全補(bǔ)丁進(jìn)行日常檢測(cè)。Web 站點(diǎn)的用戶(hù)和他們下載的文件必須被跟蹤記錄,文件數(shù)據(jù)必須存儲(chǔ)在 Microsoft SQL Server 數(shù)據(jù)庫(kù)中。使用Windows 95 或 Windows98 客戶(hù)機(jī)的供應(yīng)商和顧問(wèn)必須安裝 Active Directory 客戶(hù)端擴(kuò)展軟件,能夠?qū)揪W(wǎng)絡(luò)上的域控制器進(jìn)行驗(yàn)證。
A.使用微軟基線(xiàn)安全分析器(MBSA)來(lái)瀏覽生產(chǎn)部門(mén)所有服務(wù)器的Windows攻擊
B.運(yùn)行安全與配置分析器來(lái)分析生產(chǎn)部門(mén)所有服務(wù)器的安全設(shè)置
C.對(duì)生產(chǎn)部門(mén)所有服務(wù)器啟用數(shù)據(jù)審核,在生產(chǎn)部門(mén)所有服務(wù)器上運(yùn)行系統(tǒng)監(jiān)控程序,創(chuàng)建一個(gè)性能對(duì)象活動(dòng)性跟蹤的計(jì)數(shù)器日志
D.創(chuàng)建一個(gè)組策略對(duì)象(GPO),這個(gè)GPO啟用了對(duì)象訪(fǎng)問(wèn)審核并把GPO和生產(chǎn)部門(mén)的ServersOU連接;對(duì)生產(chǎn)部門(mén)所有服務(wù)器啟用數(shù)據(jù)審核