网络安全设计(for Windows 2003)
(MCP 70-298)
实例 1:高山滑雪公司
概述
高山滑雪公司经营着滑雪胜地,这些滑雪胜地向客户提供住宿、餐饮和娱乐。公司的总部在
丹佛,公司在北美有 10 个滑雪胜地,其中 3 个在加拿大,近期又将在欧洲增开 4 个滑雪胜
地。每个胜地有 90 到 160 的用户。
计划修改
以下是接下去三个月需要进行的计划修改:
公司将在维也纳开设分公司,维也纳将支持欧洲 4 个滑雪胜地,和丹佛目前支持北美滑雪胜
地的方式一样;
北美的所有服务器都会更新成 Windows Server 2003。所有的客户机都将升级成 Windows XP
专业版。当 Windows NT 4.0 域中的成员服务器和客户机都升级后,NT 域将会移植到 Active
Directory 中;
一台新的名为 Server1 的文件服务器将安装并配置,它将运行 Windows Server 2003。每个
滑雪胜地将为未授权用户,比如胜地的顾客,安装几个网络信息亭。为了在高消费阶层具有
市场竞争性,公司将给来访的顾客提供无线 Internet 接入。
业务过程
信息技术(IT)部门在丹佛,操作着公司的网站、数据库和电子邮件服务器。IT 部门还管
理丹佛客户机,IT 员工到北美胜地对那里的服务器执行大型升级、新的安装和重大故障排
除,每处胜地至少有一个桌面支持技术员来支持客户机。根据他们的经验,有些技术员对他
们胜地的服务器有管理权利。欧洲胜地有一个财务部门维持着一个名为
hrbenefits.alpineskihouse.com 的 Web 应用,这个应用给每位员工提供机密个人信息。此
应用有以下特征:
z 使用 ASP.NET 和 ADO.NET
z 部署在丹佛办公室的一台 Web 服务器上
z 员工可以从工作处或家中来访问这个应用
预订部门维护着一个名为 funski.alpineskihouse.com 的公共 Web 站点。这个 Web 站点有以
下特征:
z 使用 ASP.NET 和 ADO.NET
z 能够在 Internet 上的任何地方获得
z 这个 Web 站点还包括了每处滑雪胜地的静态内容
目录服务
公司使用北美的一个名为 alpineskihouse.com 的 Active Directory 域,丹佛 IT 部门管理
这个域。alpineskihouse.com 域将保持一个森林根域。欧洲财务部门有一个名为 CONTOSODOM
的 Windows NT 4.0 域。每个欧洲胜地有一台运行 Windows NT Server 4.0 的域控制器。所
有员工都有 Active Directory 和 Windows NT 4.0 域的用户账户。
网络基础架构
现有的位置和连接如下网络结构图所示:
丹佛办公室的网络基础结构如下图所示:
公司北美所用的服务器都运行 Windows 2000 Server,欧洲所用的服务器运行 Windows NT
Server 4.0。公司所有客户机都运行 Windows 2000 专业版。每个滑雪胜地和每个办公室都
有一台文件服务器。办公室和滑雪胜地之间通过 Internet 的 VPN 连接。每个滑雪胜地都安
装了无线访问点供员工使用。
首席信息官(CIO)的意见
保护我们共同的数据是至关重要的。我们把大量的客户信息保存在一个文件中,这些信息是
我们必须保护的;
所有我们使用的公钥基础结构(PKI)证书必须受到广泛的信任,客户不需要执行额外的操
作获得 Web 站点的访问;
我们建立了安全策略和日志需求,如果有人破坏这些策略,我需要立即被告知并做出响应。
IT 部门经理的意见
为了避免昂贵复杂的 WAN 连接,我们使用 VPN 连接来代替。然而,我们不想让用户直接从
Internet 上下载更新程序;
我还希望能够自动进行日常管理任务,经常我们在很忙的时候那些重要的任务也没完成,所
以 IT 管理需要通过尽可能少的用手动操作来完成;
我担心一些重要的东西可能会丢失。
目前,旧有的应用程序用来管理滑雪胜地的业务功能,读取和填写非管理员不能修改的注册
信息;
如果用户以管理员身份登录客户机来运行应用程序,可以正常工作,但是这个破坏了公司的
正式书面安全策略。
组织目的
公司必须能够在办公室和滑雪胜地之间共享信息,但是客户个人信息和其他机密数据在存储
和传输中必须加密。
书面安全策略
公司书面安全策略包括以下需求:
当一位管理员做了和安全性相关的操作并影响到了公司的服务器时,这个事件必须载入日
志,这个日志必须保存。如果可能,第二位管理员必须审核这个事件;
只有滑雪胜地的 IT 员工和桌面支持技术员对客户机有管理权限,并能够修改其他用户的配
置;
所有客户机必须进行特定的桌面设置,这个设置集名为 Desktop Settings Specification,
包括一个口令保护的屏保;
网络信息亭计算机必须用更多受限的桌面设置来配置,这个设置集名为 Kiosk Desktop
Specification。只有管理员能够修改这些设置;
所有客户机必须保持微软最新发布的重要更新程序和安全补丁。然而,IT 部门必须在这些
更新程序应用之前对他们进行批准。欧洲 IT 管理员只能批准欧洲所在计算机上的更新程序,
北美 IT 管理员只能批准北美所在计算机的更新程序;
公共 Web 服务器不接受 Internet TCP/IP 连接;
客户用户帐户和员工帐户不能存储在相同的 Active Directory 域;
来自客户用户帐户所在域的管理员帐户,在任何情况下都不能管理员工帐户;
hrbenefits.alpineskihouse.com Web 应用系统中的所有数据在 Internet 上传输时必须加
密;
每个员工为了连接 hrbenefits.alpineskihouse.com 都必须使用一个 PKI 证书的身份验证。
客户需求
客户对无线访问和信息亭计算机的要求必须考虑以下几点:
员工和客户必须能够访问无线网络;但是,服务器只有员工可接近。
信息亭计算机只能用来浏览 Internet,并将运行 Windows XP 专业版。
用户必须能够通过 funski.alpineskihouse.com 建立帐户,帐户信息必须存储在 Active
