概述
高山滑雪公司经营着滑雪胜地,这些滑雪胜地向客户提供住宿、餐饮和娱乐。公司的总部在丹佛,公司在北美有10个滑雪胜地,其中3个在加拿大,近期又将在欧洲增开4个滑雪胜地。每个胜地有90到160的用户。
计划修改
以下是接下去三个月需要进行的计划修改:
公司将在维也纳开设分公司,维也纳将支持欧洲4个滑雪胜地,和丹佛目前支持北美滑雪胜地的方式一样;
北美的所有服务器都会更新成WindowsServer2003。所有的客户机都将升级成WindowsXP专业版。当WindowsNT4.0域中的成员服务器和客户机都升级后,NT域将会移植到ActiveDirectory中;一台新的名为Server1的文件服务器将安装并配置,它将运行WindowsServer2003。每个滑雪胜地将为未授权用户,比如圣地的顾客,安装几个网络信息亭。为了在高消费阶层具有市场竞争性,公司将给来访的顾客提供无线Internet接入。
业务过程
信息技术(IT)部门在丹佛,操作着公司的网站、数据库和电子邮件服务器。IT部门还管理丹佛客户机,IT员工到北美胜地对那里的服务器执行大型升级、新的安装和重大故障排除,每处胜地至少有一个桌面支持技术员来支持客户机。根据他们的经验,有些技术员对他们胜地的服务器有管理权利。欧洲胜地有一个财务部门维持着一个名为hrbenefits.alpineskihouse.com的Web应用,这个应用给每位员工提供机密个人信息。此
应用有以下特征:
使用ASP.NET和ADO.NET
部署在丹佛办公室的一台Web服务器上
员工可以从工作处或家中来访问这个应用
预订部门维护着一个名为funski.alpineskihouse.com的公共Web站点。这个Web站点有以下特征:
使用ASP.NET和ADO.NET
能够在Internet上的任何地方获得
这个Web站点还包括了每处滑雪胜地的静态内容
目录服务
公司使用北美的一个名为alpineskihouse.com的ActiveDirectory域,丹佛IT部门管理这个域。alpineskihouse.com域将保持一个森林根域。欧洲财务部门有一个名为CONTOSODOM的WindowsNT4.0域。每个欧洲胜地有一台运行WindowsNTServer4.0的域控制器。所有员工都有ActiveDirectory和WindowsNT4.0域的用户账户。
网络基础架构
现有的位置和连接如下网络结构图所示:
丹佛办公室的网络基础结构如下图所示:
公司北美所用的服务器都运行Windows2000Server,欧洲所用的服务器运行WindowsNTServer4.0。公司所有客户机都运行Windows2000专业版。每个滑雪胜地和每个办公室都有一台文件服务器。办公室和滑雪胜地之间通过Internet的VPN连接。每个滑雪胜地都安装了无线访问点供员工使用。
首席信息官(CIO)的意见
保护我们共同的数据是至关重要的。我们把大量的客户信息保存在一个文件中,这些信息是我们必须保护的;
所有我们使用的公钥基础结构(PKI)证书必须受到广泛的信任,客户不需要执行额外的操作获得Web站点的访问;
我们建立了安全策略和日志需求,如果有人破坏这些策略,我需要立即被告知并做出响应。
IT部门经理的意见
为了避免昂贵复杂的WAN连接,我们使用VPN连接来代替。然而,我们不想让用户直接从Internet上下载更新程序;
我还希望能够自动进行日常管理任务,经常我们在很忙的时候那些重要的任务也没完成,所以IT管理需要通过尽可能少的用手动操作来完成;
我担心一些重要的东西可能会丢失。
目前,旧有的应用程序用来管理滑雪胜地的业务功能,读取和填写非管理员不能修改的注册信息;
如果用户以管理员身份登录客户机来运行应用程序,可以正常工作,但是这个破坏了公司的正式书面安全策略。
组织目的
公司必须能够在办公室和滑雪胜地之间共享信息,但是客户个人信息和其他机密数据在存储和传输中必须加密。
书面安全策略
公司书面安全策略包括以下需求:
当一位管理员做了和安全性相关的操作并影响到了公司的服务器时,这个事件必须载入日志,这个日志必须保存。如果可能,第二位管理员必须审核这个事件;只有滑雪胜地的IT员工和桌面支持技术员对客户机有管理权限,并能够修改其他用户的配置;
所有客户机必须进行特定的桌面设置,这个设置集名为DesktopSettingsSpecification,包括一个口令保护的屏保;
网络信息亭计算机必须用更多受限的桌面设置来配置,这个设置集名为KioskDesktopSpecification。只有管理员能够修改这些设置;
所有客户机必须保持微软最新发布的重要更新程序和安全补丁。然而,IT部门必须在这些更新程序应用之前对他们进行批准。欧洲IT管理员只能批准欧洲所在计算机上的更新程序,北美IT管理员只能批准北美所在计算机的更新程序;
公共Web服务器不接受InternetTCP/IP连接;
客户用户帐户和员工帐户不能存储在相同的ActiveDirectory域;
来自客户用户帐户所在域的管理员帐户,在任何情况下都不能管理员工帐户;
hrbenefits.alpineskihouse.comWeb应用系统中的所有数据在Internet上传输时必须加密;
每个员工为了连接hrbenefits.alpineskihouse.com都必须使用一个PKI证书的身份验证。
客户需求
客户对无线访问和信息亭计算机的要求必须考虑以下几点:
员工和客户必须能够访问无线网络;但是,服务器只有员工可接近。
信息亭计算机只能用来浏览Internet,并将运行WindowsXP专业版。
用户必须能够通过funski.alpineskihouse.com建立帐户,帐户信息必须存储在ActiveDirectory中。所有客户个人信息在Internet上传输时必须被加密。
ActiveDirectory
必须考虑以下对ActiveDirectory的要求:
域必须包括公司每个位置的顶级组织单元(OU),员工帐户必须位于他们主要工作位置的OU中。所有支持用户的IT员工必须都是SupportSecurity组的成员,高技术IT员工还必须是AdvancedSupport安全组的成员。所有位于欧洲的客户机必须按照桌面安全设置规范来配置,即使此时域升级没有完成。每个滑雪胜地的桌面支持技术员必须能够重置当地员工用户密码。
网络架构
必须考虑以下网络架构需求:
授权IT员工必须使用远程桌面控制(RDP)来管理网络设备防护网上的服务器。IT员工必须还能够使用RDP来管理滑雪胜地的服务器。滑雪胜地必须接受来自他们所在地区的重要更新程序和安全补丁。每个滑雪胜地必须有一台或更多的WindowsServer2003计算机,这些计算机配置成用来处理DNS,DHCP和任何VPN连接的基础结构服务器。部署完Server1之后,公司所有用户必须能够创建和读取ALL_USERSandServer1共享文件夹中的文件。
只有WebPublishersSecurity组的成员能够修改公共Web站点,所有修改信息在传输时必须加密。
你需要为丹佛办公室的 Web 服务器设计 IPSec 策略。你要决定该使用哪个策略设置,你该怎么做?