在工作组中，默认时每台Windows计算机的()能够在本地计算机的SAM数据库中创建并管理本地用户帐户。

概述 高山滑雪公司经营着滑雪胜地，这些滑雪胜地向客户提供住宿、餐饮和娱乐。公司的总部在丹佛，公司在北美有10个滑雪胜地，其中3个在加拿大，近期又将在欧洲增开4个滑雪胜地。每个胜地有90到160的用户。 计划修改 以下是接下去三个月需要进行的计划修改： 公司将在维也纳开设分公司，维也纳将支持欧洲4个滑雪胜地，和丹佛目前支持北美滑雪胜地的方式一样； 北美的所有服务器都会更新成WindowsServer2003。所有的客户机都将升级成WindowsXP专业版。当WindowsNT4.0域中的成员服务器和客户机都升级后，NT域将会移植到ActiveDirectory中；一台新的名为Server1的文件服务器将安装并配置，它将运行WindowsServer2003。每个滑雪胜地将为未授权用户，比如圣地的顾客，安装几个网络信息亭。为了在高消费阶层具有市场竞争性，公司将给来访的顾客提供无线Internet接入。 业务过程 信息技术（IT）部门在丹佛，操作着公司的网站、数据库和电子邮件服务器。IT部门还管理丹佛客户机，IT员工到北美胜地对那里的服务器执行大型升级、新的安装和重大故障排除，每处胜地至少有一个桌面支持技术员来支持客户机。根据他们的经验，有些技术员对他们胜地的服务器有管理权利。欧洲胜地有一个财务部门维持着一个名为hrbenefits.alpineskihouse.com的Web应用，这个应用给每位员工提供机密个人信息。此 应用有以下特征： 使用ASP.NET和ADO.NET 部署在丹佛办公室的一台Web服务器上 员工可以从工作处或家中来访问这个应用 预订部门维护着一个名为funski.alpineskihouse.com的公共Web站点。这个Web站点有以下特征： 使用ASP.NET和ADO.NET 能够在Internet上的任何地方获得 这个Web站点还包括了每处滑雪胜地的静态内容 目录服务 公司使用北美的一个名为alpineskihouse.com的ActiveDirectory域，丹佛IT部门管理这个域。alpineskihouse.com域将保持一个森林根域。欧洲财务部门有一个名为CONTOSODOM的WindowsNT4.0域。每个欧洲胜地有一台运行WindowsNTServer4.0的域控制器。所有员工都有ActiveDirectory和WindowsNT4.0域的用户账户。 网络基础架构 现有的位置和连接如下网络结构图所示： 丹佛办公室的网络基础结构如下图所示： 公司北美所用的服务器都运行Windows2000Server，欧洲所用的服务器运行WindowsNTServer4.0。公司所有客户机都运行Windows2000专业版。每个滑雪胜地和每个办公室都有一台文件服务器。办公室和滑雪胜地之间通过Internet的VPN连接。每个滑雪胜地都安装了无线访问点供员工使用。 首席信息官（CIO）的意见 保护我们共同的数据是至关重要的。我们把大量的客户信息保存在一个文件中，这些信息是我们必须保护的； 所有我们使用的公钥基础结构（PKI）证书必须受到广泛的信任，客户不需要执行额外的操作获得Web站点的访问； 我们建立了安全策略和日志需求，如果有人破坏这些策略，我需要立即被告知并做出响应。 IT部门经理的意见 为了避免昂贵复杂的WAN连接，我们使用VPN连接来代替。然而，我们不想让用户直接从Internet上下载更新程序； 我还希望能够自动进行日常管理任务，经常我们在很忙的时候那些重要的任务也没完成，所以IT管理需要通过尽可能少的用手动操作来完成； 我担心一些重要的东西可能会丢失。 目前，旧有的应用程序用来管理滑雪胜地的业务功能，读取和填写非管理员不能修改的注册信息； 如果用户以管理员身份登录客户机来运行应用程序，可以正常工作，但是这个破坏了公司的正式书面安全策略。 组织目的 公司必须能够在办公室和滑雪胜地之间共享信息，但是客户个人信息和其他机密数据在存储和传输中必须加密。 书面安全策略 公司书面安全策略包括以下需求： 当一位管理员做了和安全性相关的操作并影响到了公司的服务器时，这个事件必须载入日志，这个日志必须保存。如果可能，第二位管理员必须审核这个事件；只有滑雪胜地的IT员工和桌面支持技术员对客户机有管理权限，并能够修改其他用户的配置； 所有客户机必须进行特定的桌面设置，这个设置集名为DesktopSettingsSpecification，包括一个口令保护的屏保； 网络信息亭计算机必须用更多受限的桌面设置来配置，这个设置集名为KioskDesktopSpecification。只有管理员能够修改这些设置； 所有客户机必须保持微软最新发布的重要更新程序和安全补丁。然而，IT部门必须在这些更新程序应用之前对他们进行批准。欧洲IT管理员只能批准欧洲所在计算机上的更新程序，北美IT管理员只能批准北美所在计算机的更新程序； 公共Web服务器不接受InternetTCP/IP连接； 客户用户帐户和员工帐户不能存储在相同的ActiveDirectory域； 来自客户用户帐户所在域的管理员帐户，在任何情况下都不能管理员工帐户； hrbenefits.alpineskihouse.comWeb应用系统中的所有数据在Internet上传输时必须加密； 每个员工为了连接hrbenefits.alpineskihouse.com都必须使用一个PKI证书的身份验证。 客户需求 客户对无线访问和信息亭计算机的要求必须考虑以下几点： 员工和客户必须能够访问无线网络；但是，服务器只有员工可接近。 信息亭计算机只能用来浏览Internet，并将运行WindowsXP专业版。 用户必须能够通过funski.alpineskihouse.com建立帐户，帐户信息必须存储在ActiveDirectory中。所有客户个人信息在Internet上传输时必须被加密。 ActiveDirectory 必须考虑以下对ActiveDirectory的要求： 域必须包括公司每个位置的顶级组织单元（OU），员工帐户必须位于他们主要工作位置的OU中。所有支持用户的IT员工必须都是SupportSecurity组的成员，高技术IT员工还必须是AdvancedSupport安全组的成员。所有位于欧洲的客户机必须按照桌面安全设置规范来配置，即使此时域升级没有完成。每个滑雪胜地的桌面支持技术员必须能够重置当地员工用户密码。 网络架构 必须考虑以下网络架构需求： 授权IT员工必须使用远程桌面控制（RDP）来管理网络设备防护网上的服务器。IT员工必须还能够使用RDP来管理滑雪胜地的服务器。滑雪胜地必须接受来自他们所在地区的重要更新程序和安全补丁。每个滑雪胜地必须有一台或更多的WindowsServer2003计算机，这些计算机配置成用来处理DNS，DHCP和任何VPN连接的基础结构服务器。部署完Server1之后，公司所有用户必须能够创建和读取ALL_USERSandServer1共享文件夹中的文件。 只有WebPublishersSecurity组的成员能够修改公共Web站点，所有修改信息在传输时必须加密。 一家公司的部分网络逻辑图表如下工作区所示。你正在设计一个软件更新服务组织结构，你需要决定哪里该放 SUS（软件更新服务）服务器。之后，你需要决定每台新的 SUS服务器是否从 Internet 上的微软服务器上或公司内部另一台 SUS 服务器上接收更新程序。你的解决方案必须尽可能使用最少数量的 SUS 服务器。你该怎么做？（）

用户帐户可以是域帐户，也可以是（）。

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个策略来确保所有服务器都按照业务要求来维护安全补丁，你该怎么做？（）

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个方法来记录服务器和域控制器的修改，你还需要跟踪管理员对服务器上本地安全帐户管理员对象的修改，你该怎么做？（）

根据《商业银行信用卡业务监督管理办法》，在发放学生信用卡之前，发卡银行必须落实（）还款来源，取得来源方（父母、监护人、或其他管理人等）愿意代为还款的书面担保材料，并确认其身份的真实性。

概述 南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求 CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有 6 个零售店。CompanyA 公司位于丹佛。 计划改革 公司网络架构如下图所示： 一台名为 VPN1 的 VPN 服务器将被安置在网络设备防护网上，移动用户将使用 VPN1 来连接公司网络。除了 HR 部门以外，亚特兰大办公室的所有客户机都将升级成 Windows XP 专业版。名为 WEB2 的 Web 服务器将被安装到公司内部网供开发和测试使用。 业务过程 公司有以下几个部门： 人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部 Internet 用户必须注册成为南桥音像的用户才能在 Web 站点购买录像。用户信息都存储在一个数据库中，这些用户归类为 Web 用户，登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为 Members 的虚拟目录。当他们身份验证之后，Web 用户能够查看可得到的商品并且通过服务器 Web1 上运行的一个 Web 应用程序来订货。当 Web 用户订货后，请求就提交给 CompanyA 公司来包装并运送。所有客户活动记录都存储在 TRANS 共享文件夹中，这个文件夹位于服务器 DATA1 上。Authenticated Users 组分配了对 TRANS 文件夹的“完全控制” 权限。 Active Directory （活动目录） 此网络包括一个单一 Active Directory 域，所有服务器都运行 Windows Server 2003，所有客户机运行 Windows NT Workstation 4.0 或 Windows 98，所有计算机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： Laptop OU 包括手提电脑的计算机帐户，Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于 Legacy OU 中。 网络基础架构 亚特兰大办公室有一个无线 LAN，这个网络上有两台 Microsoft Internet 安全与加速（ISA）Server 2000 计算机，分别是 ISA1 和 ISA2。一个公共的 Web 站点位于一台运行 IIS6.0 的服务器 WEB1 上。CompanyA 公司的用户通过南桥音像公司和 CompanyA 公司之间的一个 VPN 通道来访问 WEB1。HR 部门使用一个客户应用系统，此系统只能运行在 Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为 SRV1 的文件服务器上，SRV1 还被配置为脱机独立根 CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于 Internet 连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对 Web 服务器的攻击，如果公共 Web 服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的 HTML 文档。 我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（ CSO ）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心 CompanyA 用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。 近期，用户从 Internet 上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和 SRV1 之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在 TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问； 和 WEB1 上的 Member 虚拟目录的通信都被加密； Web 客户能够证实 WEB1 的身份； 所有 Windows Server 2003 计算机和 Windows XP 专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪； 只有 IT 管理员能够远程修改 WEB2 上注册表信息； 所有软件都准许公司使用； VPN1 必须支持 MS-CHAP v2 身份验证。 你正在为财务部门设计一个身份验证策略，你的解决方案必须满足业务需求，你该怎么做？（）

新世纪出版社有3个办公室，物理位置和连接如下图所示： 出版总社在纽约，分社在丹佛和达拉斯。出版社的员工和部门的分配如下表所示： 业务过程 纽约办公室的 IT 员工使用客户机来远程管理新世纪出版社所有服务器和域控制器。员工使用公司客户机通过访问运行 IIS6.0 的内部 Web 站点来获得存档已出版书目和帐目信息。 目录服务 公司网络包括一个单一的 Active Directory 域 publishing.com。所有服务器运行企业版Windows Server 2003。Active Directory 管理都集中在纽约，丹佛和达拉斯的用户和计算机帐户都位于他们各自的子 OU 中，如下图所示： 全局用户组 NYAdmins（纽约管理员组），ProductionAdmins（生产部管理员组），EditorialAdmins（编辑部管理员组）和 DevelopmentAdmins（开发部管理员组）分别具有对他们各自 OU 的完全控制权限。这些全局组位于他们各自的 OU 中。 网络基础架构 所有客户机运行 Windows XP 专业版；域包括一个公钥基础结构（PKI），公司使用一个内部子企业级 CA 给用户和计算机发行证书；每个分社有一个无线网络，这个网络支持桌面式和手提式客户机。每个分社的无线网络基础结构包括 Internet 验证服务和无线访问点，这些无线访问点支持 IEEE 802.1.x、Radius和有线等效保密。 问题描述 需要考虑以下业务问题： 未授权用户是 EditorialAdmins 组的成员，可是这个组的成员应当被限制要求是授权用户；编辑人员连接了成员服务器 Server5 上一个名为 Edits 共享文件夹，当他们加密 Edits 中的数据时，接收一个错误消息，该消息声称不能加密数据。编辑人员需要远程加密 Server5上的数据，达拉斯办公室的一些用户把他们“我的文档”文件夹放到了服务器的共享文件夹中，并且没有备份“我的文档”数据，结果，这些数据丢失了。所以达拉斯用户需要在备份用户数据之后把“我的文档”移到服务器上。达拉斯办公室的用户以后必须避免对“我的文档”文件夹位置的改变。 首席信息官（ CIO ）的意见 安全性是公司最关心的问题；我们必须实现一个安全口令策略来提高客户机，服务器和域控制器的安全性。我们需要一个登录信息告诉用户：只有授权用户才能访问开发部门的服务器。 系统管理员的意见 每个部门需要不同的安全补丁，我们需要在部署安全补丁之前对他们进行测试。测试完之后，这些补丁需要自动部署到每个部门的服务器上。当我们部署这些补丁时，我们需要对获取安全补丁的网络带宽进行限制。 首席安全官（ CSO ）的意见 当管理员修改服务器或域控制器上的用户权利，或者当他们修改服务器上本地安全帐户管理员对象时，我们希望能够自动跟踪这些事件。我们必须实现一个最安全的方法对丹佛和达拉斯访问无线网络的用户进行身份验证。我们需要保护无线客户机和无线访问点之间传输的数据。客户机需要自动获取无线网络访问安全设置。 书面安全策略 新世纪出版社的书面安全策略包括下面几个要求： 口令至少必须包含 7 个字符，但是不能包含所有或部分的用户帐户名称。口令必须包括大写和小写的字母和数字。最小口令有效期限是 10 天，最大口令有效期限是 45 天。生产部门服务器上数据的访问必须被记录，安全设置的标准集必须部署到开发部门、编辑部门和生产部门的所有服务器上。这些设置必须进行集中管理。域中的服务器必须进行日常检测，检测是否缺少安全补丁和服务包，并确定是否运行了不必要的服务。域控制器上的服务 必须进行集中控制，诸如哪个服务自动开启，哪个管理员有权停止和启动服务都必须进行集中管理。IIS 服务器必须对是否缺少 IIS 安全补丁进行日常检测。Web 站点的用户和他们下载的文件必须被跟踪记录，文件数据必须存储在 Microsoft SQL Server 数据库中。使用Windows 95 或 Windows98 客户机的供应商和顾问必须安装 Active Directory 客户端扩展软件，能够对公司网络上的域控制器进行验证。 你需要设计一个监控策略，来满足生产部门服务器上业务数据要求，你该怎么做？（）

概述 南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求 CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有 6 个零售店。CompanyA 公司位于丹佛。 计划改革 公司网络架构如下图所示： 一台名为 VPN1 的 VPN 服务器将被安置在网络设备防护网上，移动用户将使用 VPN1 来连接公司网络。除了 HR 部门以外，亚特兰大办公室的所有客户机都将升级成 Windows XP 专业版。名为 WEB2 的 Web 服务器将被安装到公司内部网供开发和测试使用。 业务过程 公司有以下几个部门： 人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部 Internet 用户必须注册成为南桥音像的用户才能在 Web 站点购买录像。用户信息都存储在一个数据库中，这些用户归类为 Web 用户，登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为 Members 的虚拟目录。当他们身份验证之后，Web 用户能够查看可得到的商品并且通过服务器 Web1 上运行的一个 Web 应用程序来订货。当 Web 用户订货后，请求就提交给 CompanyA 公司来包装并运送。所有客户活动记录都存储在 TRANS 共享文件夹中，这个文件夹位于服务器 DATA1 上。Authenticated Users 组分配了对 TRANS 文件夹的“完全控制” 权限。 Active Directory （活动目录） 此网络包括一个单一 Active Directory 域，所有服务器都运行 Windows Server 2003，所有客户机运行 Windows NT Workstation 4.0 或 Windows 98，所有计算机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： Laptop OU 包括手提电脑的计算机帐户，Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于 Legacy OU 中。 网络基础架构 亚特兰大办公室有一个无线 LAN，这个网络上有两台 Microsoft Internet 安全与加速（ISA）Server 2000 计算机，分别是 ISA1 和 ISA2。一个公共的 Web 站点位于一台运行 IIS6.0 的服务器 WEB1 上。CompanyA 公司的用户通过南桥音像公司和 CompanyA 公司之间的一个 VPN 通道来访问 WEB1。HR 部门使用一个客户应用系统，此系统只能运行在 Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为 SRV1 的文件服务器上，SRV1 还被配置为脱机独立根 CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于 Internet 连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对 Web 服务器的攻击，如果公共 Web 服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的 HTML 文档。 我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（ CSO ）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心 CompanyA 用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。 近期，用户从 Internet 上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和 SRV1 之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在 TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问； 和 WEB1 上的 Member 虚拟目录的通信都被加密； Web 客户能够证实 WEB1 的身份； 所有 Windows Server 2003 计算机和 Windows XP 专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪； 只有 IT 管理员能够远程修改 WEB2 上注册表信息； 所有软件都准许公司使用； VPN1 必须支持 MS-CHAP v2 身份验证。 你需要为 WEB1 设计一个安全解决方案，你的解决方案必须满足首席信息总监关心的问题，你该怎么做？（）

用例从用户角度描述系统的行为。用例之间可以存在一定的关系。在“某图书馆管理系统”用例模型中，所有用户使用系统之前必须通过“身份验证”。“身份验证”可以有“密码验证”和“智能卡验证”两种方式，则“身份验证”与“密码验证”和“智能卡验证之间是(32)关系。

________的FTP服务器不要求用户在访问它们时提供用户帐户和密码。

在安装DHCP服务器之前，必须保证这台计算机具有________。