使用户所编制的程序与实际使用的物理设备无关，这是由设备管理的( )功能实现的。

概述 Woodgrove 银行有一个 24 小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove 银行总部位于洛杉机（Los Angeles），拥有 1000 名员工。一个地区分行位于丹佛（Denver），拥有800 员工。还有 100 个支行，分部在美国西部的大部分城市，每个支行有 10 到 20 位员工。 业务处理 洛杉机总部对 Woodgrove 银行进行管理。地区管理位于洛杉机和丹佛，洛杉机总部还管理加利福尼亚（Califonia），俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。丹佛地区分行管理科罗拉多州（Colorado），新墨西哥州（New Mexico），犹他州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。 人力资源（HR）部门位于洛杉机，信息技术（IT）部门位于洛杉机和丹佛两个地区，每个地区有一个数据中心，为各自地区提供 IT 服务，IT 部门负责所有网络的管理任务，支行则没有 IT 人员。 目录服务 在一个单一的森林中有 4 个 Active Directory 域，Active Directory 结构如下图所示： 所有客户支持人员都在 support.corp.woodgrovebank.com 域上拥有用户账户，他们通过这些账户负责对内部和外部的客户提供支持，HR 部门的所有人员都是 LA/HRUsers 组的成员，每个支行都对应有一个组织单元（OU），每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元（OU）。 网络结构 所有服务器运行 Windows Server 2003，所有客户机运行 Windows XP 专业版。洛杉机和丹佛安装了无线访问点，无线访问点支持 IEEE 802.11q 规格和有线对等私有性（WEP）加密。无线访问点支持证书和 Radius 身份验证。目前，无线访问点上没有配置加密或身份验证方法。在安全补丁和更新包部署到其他网络之前，必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接 Internet，支行不和 Internet 连接。公共可访问的 Web 和应用服务器位于一个网络设备防护网上，如下图所示： Web 服务器上部署了一个应用系统，此应用系统和丹佛数据中心一台 Windows Server 2003计算机上部署的一个客户应用连接。这个 Web 服务器还部署了一个 Web 站点，这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为 WebKiosk 的 Windows Server 2003 计算机安装在洛杉机数据中心。WebKiosk 运行IIS6.0 并部署了一个 Web 站点，每个支行的信息服务台可以访问这个站点。WebKiosk 是Kiosk OU 的成员，信息服务台使用一个名为 KioskUser 的用户帐户和 Web 站点连接。 首席信息总监 我关心无线网络对我们网络的安全造成的危害，我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及，如果受到这样的一次危及客户对我们公司的信任将被破坏，并且恢复就时间和金钱来说相当昂贵。 IT主管 在我们以前的环境下补丁管理昂贵又费时，经常要求 IT 人员到所有支行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题，就是支行出纳员在他们的计算机上运行未授权应用程序。 HR主管 我担心未被授权的用户能访问个人信息，这些个人信息只有 HR 用户需要访问，并非 IT 员工能访问。 组织目的 必须考虑以下组织需求： 每位客服人员必须在呼叫中心工作 6 个小时，其中有 4 个小时随时待命提供服务，这些用户拥有手提电脑并能够高速访问 Internet。这些用户希望使用用户终端服务从呼叫中心的Windows Server 2003 计算机上运行支持应用系统。 Woodgrove 银行与外部审核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网，这些用户需要访问丹佛内部网上一台名为 Server1 服务器上的文件资源。即使 IT 人员不在自己的位置上，他们也必须能够执行管理任务。所有的 IT 人员都有新的配有无线网卡的手提电脑。 支行出纳员在他们的计算机上只能够运行名为 Bank Teller 2.0 的第三方应用软件。不管最终用户采取什么行动，其他应用软件不能在这些计算机上运行。但是，地区银行的用户能够运行他们所需的应用系统。 安全性 必须考虑以下安全需求： 所有个人数据都存储在 HRSrv1 服务器上，只有 HR 部门的用户可以访问这些数据。然而，IT人员按计划必须能够备份和存储这些数据。IT 人员能够从家里连接网络，所有 IT 人员和网络外部连接必须使用强大有效的加密和身份验证方法。 审核公司的用户只能够和名为 TS-Server1 的 Windows Server 2003 计算机连接。TS-Server1运行终端服务并且位于外部网上。所有内部网资源的访问必须通过 TS-Server1。 客户能够通过公司 Web 站点访问个人账户信息，所有客户都配备了一个智能卡和智能卡读取器。客户使用智能卡作为借记卡来访问个人账户信息。智能卡还包括了 Woodgrove 银行 CA发行的一个用户证书。 客户需求 必须考虑以下客户需求： 合作公司的用户需要访问丹佛内部网上一台 Microsoft SQL Server 2000 计算机上存储的信息。内部网用户也能够使用 Microsoft Access 2000 访问 SQL Server 中的信息。 银行客户能够安全访问他们个人账户信息 客户和潜在客户能够使用运行 Windows XP 专业版的信息服务台来访问银行公有信息。每个支行将会有至少一台的信息服务台。 Active Directory 必须考虑下列对 Active Directory 的要求 企业外部网应用服务器上使用的应用软件需要对 Active Directory 架构进行修改，这些修改不能应用到其他的网络中。 目前所有支行的网络管理都是由洛杉机和丹佛两地的管理员来执行的。IT 部门想要把特定城市的所有支行管理工作分配给独立的一个管理员。这位管理员将会负责支行所有用户、组和资源的管理。 IT技术支持部门的员工要求 在 la.corp.woodgrovebank.com 域和den.corp.woodgrovebank.com 域执行有限的管理任务，这些任务包括重置用户口令和创建支行新用户账户，但不能执行其他管理任务。 网络基础架构 必须考虑以下网络架构需求： 所有帧中继广域网连接需要加密和身份验证。 证书服务必须安装在每个域的至少一台服务器上，CA 的配置必须根据每个域的需求。 一台软件更新服务（SUS）服务器必须安装在每个地区银行的域上。 微软基线安全分析器（MBSA）必须部署到每个域的所有计算机上。 你需要设计一个远程访问认证策略，这个策略将允许 IT 部门的用户远程连接网络，你的解决方案需要满足安全需求，你该怎么做？（）

使用“Active Directory用户和计算机”进行用户账户管理，可以实现的功能是——。

用户可以使用“计算机管理”可以创建（）。

概述 Woodgrove 银行有一个 24 小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove 银行总部位于洛杉机（Los Angeles），拥有 1000 名员工。一个地区分行位于丹佛（Denver），拥有800 员工。还有 100 个支行，分部在美国西部的大部分城市，每个支行有 10 到 20 位员工。 业务处理 洛杉机总部对 Woodgrove 银行进行管理。地区管理位于洛杉机和丹佛，洛杉机总部还管理加利福尼亚（Califonia），俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。丹佛地区分行管理科罗拉多州（Colorado），新墨西哥州（New Mexico），犹他州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。 人力资源（HR）部门位于洛杉机，信息技术（IT）部门位于洛杉机和丹佛两个地区，每个地区有一个数据中心，为各自地区提供 IT 服务，IT 部门负责所有网络的管理任务，支行则没有 IT 人员。 目录服务 在一个单一的森林中有 4 个 Active Directory 域，Active Directory 结构如下图所示： 所有客户支持人员都在 support.corp.woodgrovebank.com 域上拥有用户账户，他们通过这些账户负责对内部和外部的客户提供支持，HR 部门的所有人员都是 LA/HRUsers 组的成员，每个支行都对应有一个组织单元（OU），每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元（OU）。 网络结构 所有服务器运行 Windows Server 2003，所有客户机运行 Windows XP 专业版。洛杉机和丹佛安装了无线访问点，无线访问点支持 IEEE 802.11q 规格和有线对等私有性（WEP）加密。无线访问点支持证书和 Radius 身份验证。目前，无线访问点上没有配置加密或身份验证方法。在安全补丁和更新包部署到其他网络之前，必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接 Internet，支行不和 Internet 连接。公共可访问的 Web 和应用服务器位于一个网络设备防护网上，如下图所示： Web 服务器上部署了一个应用系统，此应用系统和丹佛数据中心一台 Windows Server 2003计算机上部署的一个客户应用连接。这个 Web 服务器还部署了一个 Web 站点，这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为 WebKiosk 的 Windows Server 2003 计算机安装在洛杉机数据中心。WebKiosk 运行IIS6.0 并部署了一个 Web 站点，每个支行的信息服务台可以访问这个站点。WebKiosk 是Kiosk OU 的成员，信息服务台使用一个名为 KioskUser 的用户帐户和 Web 站点连接。 首席信息总监 我关心无线网络对我们网络的安全造成的危害，我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及，如果受到这样的一次危及客户对我们公司的信任将被破坏，并且恢复就时间和金钱来说相当昂贵。 IT主管 在我们以前的环境下补丁管理昂贵又费时，经常要求 IT 人员到所有支行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题，就是支行出纳员在他们的计算机上运行未授权应用程序。 HR主管 我担心未被授权的用户能访问个人信息，这些个人信息只有 HR 用户需要访问，并非 IT 员工能访问。 组织目的 必须考虑以下组织需求： 每位客服人员必须在呼叫中心工作 6 个小时，其中有 4 个小时随时待命提供服务，这些用户拥有手提电脑并能够高速访问 Internet。这些用户希望使用用户终端服务从呼叫中心的Windows Server 2003 计算机上运行支持应用系统。 Woodgrove 银行与外部审核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网，这些用户需要访问丹佛内部网上一台名为 Server1 服务器上的文件资源。即使 IT 人员不在自己的位置上，他们也必须能够执行管理任务。所有的 IT 人员都有新的配有无线网卡的手提电脑。 支行出纳员在他们的计算机上只能够运行名为 Bank Teller 2.0 的第三方应用软件。不管最终用户采取什么行动，其他应用软件不能在这些计算机上运行。但是，地区银行的用户能够运行他们所需的应用系统。 安全性 必须考虑以下安全需求： 所有个人数据都存储在 HRSrv1 服务器上，只有 HR 部门的用户可以访问这些数据。然而，IT人员按计划必须能够备份和存储这些数据。IT 人员能够从家里连接网络，所有 IT 人员和网络外部连接必须使用强大有效的加密和身份验证方法。 审核公司的用户只能够和名为 TS-Server1 的 Windows Server 2003 计算机连接。TS-Server1运行终端服务并且位于外部网上。所有内部网资源的访问必须通过 TS-Server1。 客户能够通过公司 Web 站点访问个人账户信息，所有客户都配备了一个智能卡和智能卡读取器。客户使用智能卡作为借记卡来访问个人账户信息。智能卡还包括了 Woodgrove 银行 CA发行的一个用户证书。 客户需求 必须考虑以下客户需求： 合作公司的用户需要访问丹佛内部网上一台 Microsoft SQL Server 2000 计算机上存储的信息。内部网用户也能够使用 Microsoft Access 2000 访问 SQL Server 中的信息。 银行客户能够安全访问他们个人账户信息 客户和潜在客户能够使用运行 Windows XP 专业版的信息服务台来访问银行公有信息。每个支行将会有至少一台的信息服务台。 Active Directory 必须考虑下列对 Active Directory 的要求 企业外部网应用服务器上使用的应用软件需要对 Active Directory 架构进行修改，这些修改不能应用到其他的网络中。 目前所有支行的网络管理都是由洛杉机和丹佛两地的管理员来执行的。IT 部门想要把特定城市的所有支行管理工作分配给独立的一个管理员。这位管理员将会负责支行所有用户、组和资源的管理。 IT技术支持部门的员工要求 在 la.corp.woodgrovebank.com 域和den.corp.woodgrovebank.com 域执行有限的管理任务，这些任务包括重置用户口令和创建支行新用户账户，但不能执行其他管理任务。 网络基础架构 必须考虑以下网络架构需求： 所有帧中继广域网连接需要加密和身份验证。 证书服务必须安装在每个域的至少一台服务器上，CA 的配置必须根据每个域的需求。 一台软件更新服务（SUS）服务器必须安装在每个地区银行的域上。 微软基线安全分析器（MBSA）必须部署到每个域的所有计算机上。 你需要设计一个安全策略，这个策略将确保未授权用户不能访问员工数据。你的解决方案必须遵守安全需求和公司新的管理模式，你该怎么做？（）

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个策略来确保所有服务器都按照业务要求来维护安全补丁，你该怎么做？（）

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个方法来记录服务器和域控制器的修改，你还需要跟踪管理员对服务器上本地安全帐户管理员对象的修改，你该怎么做？（）

概述 南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求 CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有 6 个零售店。CompanyA 公司位于丹佛。 计划改革 公司网络架构如下图所示： 一台名为 VPN1 的 VPN 服务器将被安置在网络设备防护网上，移动用户将使用 VPN1 来连接公司网络。除了 HR 部门以外，亚特兰大办公室的所有客户机都将升级成 Windows XP 专业版。名为 WEB2 的 Web 服务器将被安装到公司内部网供开发和测试使用。 业务过程 公司有以下几个部门： 人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部 Internet 用户必须注册成为南桥音像的用户才能在 Web 站点购买录像。用户信息都存储在一个数据库中，这些用户归类为 Web 用户，登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为 Members 的虚拟目录。当他们身份验证之后，Web 用户能够查看可得到的商品并且通过服务器 Web1 上运行的一个 Web 应用程序来订货。当 Web 用户订货后，请求就提交给 CompanyA 公司来包装并运送。所有客户活动记录都存储在 TRANS 共享文件夹中，这个文件夹位于服务器 DATA1 上。Authenticated Users 组分配了对 TRANS 文件夹的“完全控制” 权限。 Active Directory （活动目录） 此网络包括一个单一 Active Directory 域，所有服务器都运行 Windows Server 2003，所有客户机运行 Windows NT Workstation 4.0 或 Windows 98，所有计算机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： Laptop OU 包括手提电脑的计算机帐户，Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于 Legacy OU 中。 网络基础架构 亚特兰大办公室有一个无线 LAN，这个网络上有两台 Microsoft Internet 安全与加速（ISA）Server 2000 计算机，分别是 ISA1 和 ISA2。一个公共的 Web 站点位于一台运行 IIS6.0 的服务器 WEB1 上。CompanyA 公司的用户通过南桥音像公司和 CompanyA 公司之间的一个 VPN 通道来访问 WEB1。HR 部门使用一个客户应用系统，此系统只能运行在 Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为 SRV1 的文件服务器上，SRV1 还被配置为脱机独立根 CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于 Internet 连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对 Web 服务器的攻击，如果公共 Web 服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的 HTML 文档。 我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（ CSO ）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心 CompanyA 用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。 近期，用户从 Internet 上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和 SRV1 之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在 TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问； 和 WEB1 上的 Member 虚拟目录的通信都被加密； Web 客户能够证实 WEB1 的身份； 所有 Windows Server 2003 计算机和 Windows XP 专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪； 只有 IT 管理员能够远程修改 WEB2 上注册表信息； 所有软件都准许公司使用； VPN1 必须支持 MS-CHAP v2 身份验证。 你正在为财务部门设计一个身份验证策略，你的解决方案必须满足业务需求，你该怎么做？（）

会计电算化环境下的财务分工实现的基础是会计软件的用户管理功能与（ ）。

会计电算化环境下的财务分工实现的基础是会计软件的用户管理功能与（ ）。

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个监控策略，来满足生产部门服务器上业务数据要求，你该怎么做？（）

概述 南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求 CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有 6 个零售店。CompanyA 公司位于丹佛。 计划改革 公司网络架构如下图所示： 一台名为 VPN1 的 VPN 服务器将被安置在网络设备防护网上，移动用户将使用 VPN1 来连接公司网络。除了 HR 部门以外，亚特兰大办公室的所有客户机都将升级成 Windows XP 专业版。名为 WEB2 的 Web 服务器将被安装到公司内部网供开发和测试使用。 业务过程 公司有以下几个部门： 人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部 Internet 用户必须注册成为南桥音像的用户才能在 Web 站点购买录像。用户信息都存储在一个数据库中，这些用户归类为 Web 用户，登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为 Members 的虚拟目录。当他们身份验证之后，Web 用户能够查看可得到的商品并且通过服务器 Web1 上运行的一个 Web 应用程序来订货。当 Web 用户订货后，请求就提交给 CompanyA 公司来包装并运送。所有客户活动记录都存储在 TRANS 共享文件夹中，这个文件夹位于服务器 DATA1 上。Authenticated Users 组分配了对 TRANS 文件夹的“完全控制” 权限。 Active Directory （活动目录） 此网络包括一个单一 Active Directory 域，所有服务器都运行 Windows Server 2003，所有客户机运行 Windows NT Workstation 4.0 或 Windows 98，所有计算机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： Laptop OU 包括手提电脑的计算机帐户，Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于 Legacy OU 中。 网络基础架构 亚特兰大办公室有一个无线 LAN，这个网络上有两台 Microsoft Internet 安全与加速（ISA）Server 2000 计算机，分别是 ISA1 和 ISA2。一个公共的 Web 站点位于一台运行 IIS6.0 的服务器 WEB1 上。CompanyA 公司的用户通过南桥音像公司和 CompanyA 公司之间的一个 VPN 通道来访问 WEB1。HR 部门使用一个客户应用系统，此系统只能运行在 Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为 SRV1 的文件服务器上，SRV1 还被配置为脱机独立根 CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于 Internet 连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对 Web 服务器的攻击，如果公共 Web 服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的 HTML 文档。 我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（ CSO ）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心 CompanyA 用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。 近期，用户从 Internet 上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和 SRV1 之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在 TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问； 和 WEB1 上的 Member 虚拟目录的通信都被加密； Web 客户能够证实 WEB1 的身份； 所有 Windows Server 2003 计算机和 Windows XP 专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪； 只有 IT 管理员能够远程修改 WEB2 上注册表信息； 所有软件都准许公司使用； VPN1 必须支持 MS-CHAP v2 身份验证。 你需要为 WEB1 设计一个安全解决方案，你的解决方案必须满足首席信息总监关心的问题，你该怎么做？（）