域服務器部署方案
一、網絡對辦公環境造成的危害
隨着Internet接入的普及和帶寬的增加,一方面員工上網的條件得到改善,另一方面也給公司帶來更高的網絡使用危險性、複雜性和混亂,內部員工的不當操作等使信息維護人員疲於奔命。網絡對辦公環境造成的危害主要表現爲:
1. 爲給用戶電腦提供正常的標準的辦公環境,安裝操作系統和應用軟件已經耗費了信息管理中心人員一定的精力和時間,同時又難以限制用戶安裝軟件,導致管理人員必須花費其50%以上的精力用於維護用戶的PC系統,無法集中精力去開發信息系統的深層次功能,提升信息系統價值。
2. 由於使用者的防範意識普遍偏低,防毒措施往往不到位,一旦發生病毒感染,往往擴散到全網絡,令網絡陷於癱瘓狀態,部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞,使得***、病毒傳播迅速,影響規模大,導致網絡長時間處於帶毒運行,反覆發作而維護人員。
3. 部分網站網頁含有惡意代碼,強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等,增加了辦公電腦大量的資源消耗,導致計算機反應緩慢;
4. 個別員工私自安裝從網絡下載安裝的軟件,這些從網絡上下載的軟件安裝包多數附帶各種插件、***和病毒,並在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上,增加了辦公電腦大量的資源消耗,導致計算機反應緩慢,甚至被遠程控制;
5. 局域網共享,包括默認共享(無意),文件共享(有意),一些病毒比如ARP通過廣播四處氾濫,影響到整個片區辦公電腦的正常工作;
6. 部分員工使用公司計算機上網聊天、聽歌、看電影、打遊戲,部分員工全天24小時啓用P2P軟件下載音樂和影視文件,由於flashget、迅雷和BT等軟件併發線程多,導致大量帶寬被部分員工佔用,網絡速度緩慢,導致應用軟件系統無法正常開展業務,即便是嚴格的計算機使用管理制度也很難保障企業中的計算機只用於企業業務本身,PC的業務專注性、管控能力不強。
二、網絡管理和維護策略
針對以上這些因素,我們可以通過域服務器來統一定義客戶端機器的安全策略,規範,引導用戶安全使用辦公電腦。
域服務器的作用
1.安全集中管理 統一安全策略
2.軟件集中管理 按照公司要求限定所有機器只能運行必需的辦公軟件。
3.環境集中管理 利用AD可以統一客戶端桌面,IE,TCP/IP等設置
4.活動目錄是企業基礎架構的根本,爲公司整體統一管理做基礎 其它isa,exchange,防病毒服務器,補丁分發服務器,文件服務器等服務依賴於域服務器。
建立域管理
1,建立域控制器,並規定所有辦公電腦必須加入域,接受域控制器的管理,同時嚴格控制用戶的權限。汕尾發電廠的員工帳號只有標準user權限。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。
在如今各種流氓插件、廣告插件、***和病毒霸道橫行的網絡環境中,普通員工只具備標準的power user權限,實際上是對公環境有效的保護。
辦公PC必須嚴格遵守OU命名規則,同時實現實名負責制。指定員工對該PC負責,這不但是固定資產管理的要求,也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的,一旦發現該員工電腦中毒和在廣播病毒包,信息系統管理員能準確定位,迅速做出反應,避免擴大影響。
2:PC維護包乾到戶。
管理員在實際工作中可能存在拿本地管理員權限作爲人情,這其實是一種自殺行爲。任何一個具備管理管理員權限的員工,即使是管理員,使用Administrator權限上網,稍有不慎,便掉入網絡陷阱。爲避免這種情況,對PC維護人員,採取區域包乾到戶的管理,同時區域負責人的域用戶帳號具備該區域內所有辦公電腦本地管理員的權限;如果區域負責人他願意增加本地電腦管理員權限,增加的風險和工作量將由他自己承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。
3:在防火牆上只開放常用或業務系統需要的端口,如80、25、21、110、443,其它端口一律封鎖,有效實施對P2P和BT軟件的封鎖。
4:接入網絡的計算機必須接受信息中心的管理。通過在防火牆上設置相關的策略,允許經信息中心覈准的某些IP組可以在本機上直接訪問Internet,或某些IP組只能連接局域網的應用服務器,對於不遵守OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP,不允許訪問Internet和Intranet,只能單機使用。
5:建立WSUS服務器。WSUS是微軟推出的免費的Windows更新管理服務,目前最新版本除了支持Windows系統(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統的更新管理,並且在以後,WSUS將實現微軟全系列產品的更新管理。在域服務器上通過組策略設定客戶端PC的自動更新服務,。
6:建立防病毒服務器(比如諾頓),通過防病毒及時更新計算機的病毒庫,增強整體的病毒抵禦能力,及時消滅網內病毒。
7:啓用組策略。檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡,不具備相應安全條件的用戶計算機,不允許上網。這樣從根本上提高了企業用戶計算機的安全性,減少了企業用戶遭受蠕蟲、病毒、***以及間諜軟件的風險。
8:主幹設備上做數據過濾,屏蔽掉非辦公應用的數據流。
9:使用DameWare NT Utilities軟件進行遠程維護,實現快速的維護響應。
10:藉助於***檢測防禦系統,使得管理員可以根據記錄進行統計分析,發現有潛在危險的辦公計算機,可以有針對性地進行預防性檢查。
整體規劃:
最上面是單域zhongyu.com
下面創建OU:zydx
Zydx下面創建以下幾個OU
Groups:這裏是所有的部門
Users:這裏是所有用戶
Servers:服務器羣,比如病毒服務器,補丁分發服務器,isa服務器
Mobiles:所有的移動電腦
Workstations:所有工作站
It:特殊組,一些管理員和特殊用戶。
不同部門可以設置不同安全策略,以滿足不同部門的辦公需求,通用策略可以設置在根域上,特殊權限在不同部門分別做策略。
用戶及名稱規劃
所有用戶均用工號及密碼來登錄域環境,域的加入可以做一個加入域的批處理,用戶通過輸入自己的用戶名和密碼既可登錄到域服務器。
所有接入電腦必須嚴格遵守OU命名規則,即電腦名必須改爲部門加工號,比如電腦部易小輝,則其計算機名爲:dnb236294。當我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置,通過工號可以及時聯繫責任人進行處理。
各部門用戶加入各部門的組,便於用戶管理及根據部門進行不同的策略設置
計算機帳戶中刪除多餘用戶,僅保留域用戶及administrator,重命名管理員帳戶,並且強制統一管理員密碼,以便日後維護。
用戶權限及策略規劃
所有用戶初始權限爲power user 能正常訪問本地所有資源,受限安裝軟件,禁止用戶修改註冊表,禁止修改TCP/IP,禁止修改計算機設置。
常用軟件可以用軟件分發來做,個別用戶的特殊軟件可以遠程安裝。近期使用計算機指派,文件服務器共享等方式,遠期使用SMS.
具體的實施
具體技術方案包括:
1,需求收集。
收集各部門工作需要用到的軟件,與工作有關的網頁,常見的一些機器故障。
2.規劃。規劃服務器,客戶端母盤製作,用戶權限規劃。
在安裝活動目錄之前,我們首先要對活動目錄的結構進行細緻的規劃設計,讓用戶和管理員在使用時更爲方便。域的結構遵循簡單原則,採用單域模式,人員的組織以部門爲組織單位加入域中
1.規劃DNS
如果用戶準備使用活動目錄,則需要首先規劃名稱空間。當DNS域名稱空間可在Windows 2003中正確執行之前,需要有可用的活動目錄結構。所以,從活動目錄設計着手並用適當的DNS名稱空間支持它。
2.規劃用戶的域結構
最容易管理的域結構就是單域。規劃時,用戶從單域開始,並且只有在單域模式不能滿足用戶的要求時,才增加其他的域。單域可跨越多個地理站點,並且單個站點可包含屬於多個域的用戶和計算機。在一個域中,可以使用組織單元(OU,Organizational Units)來實現這個目標。然後,可以指定組策略設置並將用戶、組和計算機放在組織單元中。
3.規劃用戶的權限
我們給用戶那些權限,user(最低權限,不能安裝軟件),power user(能完成所有任務但不能更改管理員設置)?建議初期給power user 穩定後回收權限。
需要限制用戶使用那些軟件
用戶能夠訪問那些資源
組策略有以下幾個比較重要的應用
1, 軟件分發,分發msi格式軟件,非msi格式可通過工具轉換
2, 軟件限制(非辦公軟件可以使用軟件策略進行限制)
3, 文件夾重定向,可以把用戶資料保存到安全位置
4, 管理設置,主要設置一些windows組件相關內容,比如開始菜單顯示的內容
5, Ie相關設置(信任站點,控件下載,文件下載等)
6, 安全設置(帳戶策略,系統服務,註冊表,文件系統)
7, 實現一些腳本的功能(比如分發一些腳本進行MAC地址綁定進行ARP免疫)
文件服務器的要求
1、每個用戶都能存取刪除自己所擁有的文件。
2、每個使用者都要有自己的帳戶,並且對特定文件夾的訪問需要形成日誌保存下來供管理員查看。
3、保證用戶存放在服務器上的文件不攜帶病毒和其它有危害性的代碼。
4、每個用戶只能在服務器上存放一定大小,類型的文件,而不是無限大的文件,並且當存放文件到特定警戒線的時候能通知管理員。
4.母盤製作相關問題
A,那些軟件是必須安裝的
B,系統做那些優化
C,安全設置(ie安全設置,共享安全設置等)
D,避免sid問題
3.部署。
部署客戶端
考慮到ris服務器需要dhcp服務器支持,且對網絡帶寬有較高要求,可以通過分批加入域,分批GHOST
部署域服務器、dns服務器及文件服務器,如果需要做dhcp,需要張工,徐工考慮DHCP的實現方式。後期還要添加WSUS服務器,sms服務器,諾頓防病毒服務器及***服務器,因爲所有客戶機操作系統都爲XP,沒有98或者其他系統,個人認爲wins服務器在域環境下沒有必要。域服務器按規劃做好策略,文件服務器做好權限控制。
4.測試。
部門辦公應用在域環境下能否正常使用,安全性方面能否達到預期效果。
辦公應用:erp系統能否正常登錄,打印;office軟件能否正常運行;bbs能否正常登錄使用;
5.建立各類使用及維護文檔。
幫助大家在域環境下更方便的使用辦公電腦。
6.檢查所有電腦,如果檢測認定安全的直接加入域,如果是HOME版及機器有問題的,重做系統。
7.域的備份
域的備份主要是通過做備份域,以及微軟自帶的備份工具備份帳戶數據等。
效果
最終的客戶端系統桌面如下
運行其他非必須程序提示:
對文件服務器的正常訪問:
瀏覽bbs:
服務器的安全
1、域控制器的安全保證:域控制器主要是管理局域網的用戶和機器,並對用戶的權限進行控制,一旦主域控制器系統損壞,重新安裝系統後就必須重新建立用戶信息,爲了防止系統損壞而影響系統使用,在局域網中又設置一臺備份域服務器,備份域服務器能將主域控制器上的所有用戶信息備份到本機,並在主域控制器失效時自動充當主域控制器的角色,保證系統能正常運行。
2、文件服務器的安全保證:文件服務器主要是保存各種公司私密文件,所以其安全性主要是考慮服務器上保存的文件的安全性,文件服務器本身做磁盤冗餘,這樣即使服務器有一個硬盤損壞也不會導致文件丟失,另外我們還通過異地備份將文件服務器上文件保存一份到其他服務器上,這樣即使文件服務器遭遇災難性的損壞我們的文件也不會丟失。
3、綜合安全優化
1,停掉Guest 帳號
2,修改管理員帳號和創建陷阱帳號:
重命名Administrator賬號,然後新建一個名稱爲Administrator的陷阱帳號“受限制用戶”,把它的權限設置成最低,什麼事也幹不了,並且加上超級複雜密碼
3,刪除默認共享
Windows2003安裝好以後,系統會創建一些隱藏的共享,要禁止或刪除這些共享以確保安全,方法是:首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
可以通過組策略編輯器使客戶機系統開機即執行腳本刪除系統默認的共享。
4,禁用IPC連接
Ipc連接 比如 net use\\ip\ipc$ "password" /user:"usernqme"。可以通過修改註冊表來禁用IPC連接。打開註冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改爲1即可禁用IPC連接。
重新設置遠程可訪問的註冊表路徑
5,設置遠程可訪問的註冊表路徑爲空,這樣可以有效地防止***利用掃描器通過遠程註冊表讀取計算機的系統信息及其它信息。打開組策略編輯器,然後選擇“計算機配置”→“Windows設置”→“安全選項”→“網絡訪問:可遠程訪問的註冊表路徑”及“網絡訪問:可遠程訪問的註冊表”,將設置遠程可訪問的註冊表路徑和子路徑內容設置爲空即可。
6,關閉不需要的端口
7,關閉不需要的服務
服務提供了核心操作系統功能,如Web 服務、事件日誌記錄、文件服務、幫助和支持、打印、加密和錯誤報告,並不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用,來釋放系統資源。
8,鎖住註冊表
9,運行防病毒軟件
10,備份
3、監視服務器性能:
通過實時和日誌方式來監視服務器性能;
監視服務器內存性能;
監視服務器處理器性能;
監視服務器磁盤性能;
監視網絡性能。
4、建立完備的管理制度
爲能跟上整改後的計算機網絡的管理與使用,需要逐步完善各類相應的管理制度,包括:
《計算機網絡管理辦法》
主要針對用戶對計算機的操作使用,管理及保護等進行闡述,明文規定不得進行哪些相關的操作及網絡訪問等;
《核心網絡設置管理辦法》
針對網絡設備、服務器等設置及管理做的詳細闡述;
《IT管理員工作手冊》
崗位說明書,規範IT管理人員的日常必要維護事項及操作方法,包括設備盤點登記表、設備健康卡,日常維護記錄表、工作日誌、設備申購表、報廢表等;
《計算機維護指南》
主要針對分機構計算機用戶的自我計算機維護操作指南,主要包括:常用操作系統的安裝說明、常用病毒及網絡安全設置步驟、病毒
一、網絡對辦公環境造成的危害
隨着Internet接入的普及和帶寬的增加,一方面員工上網的條件得到改善,另一方面也給公司帶來更高的網絡使用危險性、複雜性和混亂,內部員工的不當操作等使信息維護人員疲於奔命。網絡對辦公環境造成的危害主要表現爲:
1. 爲給用戶電腦提供正常的標準的辦公環境,安裝操作系統和應用軟件已經耗費了信息管理中心人員一定的精力和時間,同時又難以限制用戶安裝軟件,導致管理人員必須花費其50%以上的精力用於維護用戶的PC系統,無法集中精力去開發信息系統的深層次功能,提升信息系統價值。
2. 由於使用者的防範意識普遍偏低,防毒措施往往不到位,一旦發生病毒感染,往往擴散到全網絡,令網絡陷於癱瘓狀態,部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞,使得***、病毒傳播迅速,影響規模大,導致網絡長時間處於帶毒運行,反覆發作而維護人員。
3. 部分網站網頁含有惡意代碼,強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等,增加了辦公電腦大量的資源消耗,導致計算機反應緩慢;
4. 個別員工私自安裝從網絡下載安裝的軟件,這些從網絡上下載的軟件安裝包多數附帶各種插件、***和病毒,並在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上,增加了辦公電腦大量的資源消耗,導致計算機反應緩慢,甚至被遠程控制;
5. 局域網共享,包括默認共享(無意),文件共享(有意),一些病毒比如ARP通過廣播四處氾濫,影響到整個片區辦公電腦的正常工作;
6. 部分員工使用公司計算機上網聊天、聽歌、看電影、打遊戲,部分員工全天24小時啓用P2P軟件下載音樂和影視文件,由於flashget、迅雷和BT等軟件併發線程多,導致大量帶寬被部分員工佔用,網絡速度緩慢,導致應用軟件系統無法正常開展業務,即便是嚴格的計算機使用管理制度也很難保障企業中的計算機只用於企業業務本身,PC的業務專注性、管控能力不強。
二、網絡管理和維護策略
針對以上這些因素,我們可以通過域服務器來統一定義客戶端機器的安全策略,規範,引導用戶安全使用辦公電腦。
域服務器的作用
1.安全集中管理 統一安全策略
2.軟件集中管理 按照公司要求限定所有機器只能運行必需的辦公軟件。
3.環境集中管理 利用AD可以統一客戶端桌面,IE,TCP/IP等設置
4.活動目錄是企業基礎架構的根本,爲公司整體統一管理做基礎 其它isa,exchange,防病毒服務器,補丁分發服務器,文件服務器等服務依賴於域服務器。
建立域管理
1,建立域控制器,並規定所有辦公電腦必須加入域,接受域控制器的管理,同時嚴格控制用戶的權限。汕尾發電廠的員工帳號只有標準user權限。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。
在如今各種流氓插件、廣告插件、***和病毒霸道橫行的網絡環境中,普通員工只具備標準的power user權限,實際上是對公環境有效的保護。
辦公PC必須嚴格遵守OU命名規則,同時實現實名負責制。指定員工對該PC負責,這不但是固定資產管理的要求,也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的,一旦發現該員工電腦中毒和在廣播病毒包,信息系統管理員能準確定位,迅速做出反應,避免擴大影響。
2:PC維護包乾到戶。
管理員在實際工作中可能存在拿本地管理員權限作爲人情,這其實是一種自殺行爲。任何一個具備管理管理員權限的員工,即使是管理員,使用Administrator權限上網,稍有不慎,便掉入網絡陷阱。爲避免這種情況,對PC維護人員,採取區域包乾到戶的管理,同時區域負責人的域用戶帳號具備該區域內所有辦公電腦本地管理員的權限;如果區域負責人他願意增加本地電腦管理員權限,增加的風險和工作量將由他自己承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。
3:在防火牆上只開放常用或業務系統需要的端口,如80、25、21、110、443,其它端口一律封鎖,有效實施對P2P和BT軟件的封鎖。
4:接入網絡的計算機必須接受信息中心的管理。通過在防火牆上設置相關的策略,允許經信息中心覈准的某些IP組可以在本機上直接訪問Internet,或某些IP組只能連接局域網的應用服務器,對於不遵守OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP,不允許訪問Internet和Intranet,只能單機使用。
5:建立WSUS服務器。WSUS是微軟推出的免費的Windows更新管理服務,目前最新版本除了支持Windows系統(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統的更新管理,並且在以後,WSUS將實現微軟全系列產品的更新管理。在域服務器上通過組策略設定客戶端PC的自動更新服務,。
6:建立防病毒服務器(比如諾頓),通過防病毒及時更新計算機的病毒庫,增強整體的病毒抵禦能力,及時消滅網內病毒。
7:啓用組策略。檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡,不具備相應安全條件的用戶計算機,不允許上網。這樣從根本上提高了企業用戶計算機的安全性,減少了企業用戶遭受蠕蟲、病毒、***以及間諜軟件的風險。
8:主幹設備上做數據過濾,屏蔽掉非辦公應用的數據流。
9:使用DameWare NT Utilities軟件進行遠程維護,實現快速的維護響應。
10:藉助於***檢測防禦系統,使得管理員可以根據記錄進行統計分析,發現有潛在危險的辦公計算機,可以有針對性地進行預防性檢查。
整體規劃:
最上面是單域zhongyu.com
下面創建OU:zydx
Zydx下面創建以下幾個OU
Groups:這裏是所有的部門
Users:這裏是所有用戶
Servers:服務器羣,比如病毒服務器,補丁分發服務器,isa服務器
Mobiles:所有的移動電腦
Workstations:所有工作站
It:特殊組,一些管理員和特殊用戶。
不同部門可以設置不同安全策略,以滿足不同部門的辦公需求,通用策略可以設置在根域上,特殊權限在不同部門分別做策略。
用戶及名稱規劃
所有用戶均用工號及密碼來登錄域環境,域的加入可以做一個加入域的批處理,用戶通過輸入自己的用戶名和密碼既可登錄到域服務器。
所有接入電腦必須嚴格遵守OU命名規則,即電腦名必須改爲部門加工號,比如電腦部易小輝,則其計算機名爲:dnb236294。當我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置,通過工號可以及時聯繫責任人進行處理。
各部門用戶加入各部門的組,便於用戶管理及根據部門進行不同的策略設置
計算機帳戶中刪除多餘用戶,僅保留域用戶及administrator,重命名管理員帳戶,並且強制統一管理員密碼,以便日後維護。
用戶權限及策略規劃
所有用戶初始權限爲power user 能正常訪問本地所有資源,受限安裝軟件,禁止用戶修改註冊表,禁止修改TCP/IP,禁止修改計算機設置。
常用軟件可以用軟件分發來做,個別用戶的特殊軟件可以遠程安裝。近期使用計算機指派,文件服務器共享等方式,遠期使用SMS.
具體的實施
具體技術方案包括:
1,需求收集。
收集各部門工作需要用到的軟件,與工作有關的網頁,常見的一些機器故障。
2.規劃。規劃服務器,客戶端母盤製作,用戶權限規劃。
在安裝活動目錄之前,我們首先要對活動目錄的結構進行細緻的規劃設計,讓用戶和管理員在使用時更爲方便。域的結構遵循簡單原則,採用單域模式,人員的組織以部門爲組織單位加入域中
1.規劃DNS
如果用戶準備使用活動目錄,則需要首先規劃名稱空間。當DNS域名稱空間可在Windows 2003中正確執行之前,需要有可用的活動目錄結構。所以,從活動目錄設計着手並用適當的DNS名稱空間支持它。
2.規劃用戶的域結構
最容易管理的域結構就是單域。規劃時,用戶從單域開始,並且只有在單域模式不能滿足用戶的要求時,才增加其他的域。單域可跨越多個地理站點,並且單個站點可包含屬於多個域的用戶和計算機。在一個域中,可以使用組織單元(OU,Organizational Units)來實現這個目標。然後,可以指定組策略設置並將用戶、組和計算機放在組織單元中。
3.規劃用戶的權限
我們給用戶那些權限,user(最低權限,不能安裝軟件),power user(能完成所有任務但不能更改管理員設置)?建議初期給power user 穩定後回收權限。
需要限制用戶使用那些軟件
用戶能夠訪問那些資源
組策略有以下幾個比較重要的應用
1, 軟件分發,分發msi格式軟件,非msi格式可通過工具轉換
2, 軟件限制(非辦公軟件可以使用軟件策略進行限制)
3, 文件夾重定向,可以把用戶資料保存到安全位置
4, 管理設置,主要設置一些windows組件相關內容,比如開始菜單顯示的內容
5, Ie相關設置(信任站點,控件下載,文件下載等)
6, 安全設置(帳戶策略,系統服務,註冊表,文件系統)
7, 實現一些腳本的功能(比如分發一些腳本進行MAC地址綁定進行ARP免疫)
文件服務器的要求
1、每個用戶都能存取刪除自己所擁有的文件。
2、每個使用者都要有自己的帳戶,並且對特定文件夾的訪問需要形成日誌保存下來供管理員查看。
3、保證用戶存放在服務器上的文件不攜帶病毒和其它有危害性的代碼。
4、每個用戶只能在服務器上存放一定大小,類型的文件,而不是無限大的文件,並且當存放文件到特定警戒線的時候能通知管理員。
4.母盤製作相關問題
A,那些軟件是必須安裝的
B,系統做那些優化
C,安全設置(ie安全設置,共享安全設置等)
D,避免sid問題
3.部署。
部署客戶端
考慮到ris服務器需要dhcp服務器支持,且對網絡帶寬有較高要求,可以通過分批加入域,分批GHOST
部署域服務器、dns服務器及文件服務器,如果需要做dhcp,需要張工,徐工考慮DHCP的實現方式。後期還要添加WSUS服務器,sms服務器,諾頓防病毒服務器及***服務器,因爲所有客戶機操作系統都爲XP,沒有98或者其他系統,個人認爲wins服務器在域環境下沒有必要。域服務器按規劃做好策略,文件服務器做好權限控制。
4.測試。
部門辦公應用在域環境下能否正常使用,安全性方面能否達到預期效果。
辦公應用:erp系統能否正常登錄,打印;office軟件能否正常運行;bbs能否正常登錄使用;
5.建立各類使用及維護文檔。
幫助大家在域環境下更方便的使用辦公電腦。
6.檢查所有電腦,如果檢測認定安全的直接加入域,如果是HOME版及機器有問題的,重做系統。
7.域的備份
域的備份主要是通過做備份域,以及微軟自帶的備份工具備份帳戶數據等。
效果
最終的客戶端系統桌面如下
運行其他非必須程序提示:
對文件服務器的正常訪問:
瀏覽bbs:
服務器的安全
1、域控制器的安全保證:域控制器主要是管理局域網的用戶和機器,並對用戶的權限進行控制,一旦主域控制器系統損壞,重新安裝系統後就必須重新建立用戶信息,爲了防止系統損壞而影響系統使用,在局域網中又設置一臺備份域服務器,備份域服務器能將主域控制器上的所有用戶信息備份到本機,並在主域控制器失效時自動充當主域控制器的角色,保證系統能正常運行。
2、文件服務器的安全保證:文件服務器主要是保存各種公司私密文件,所以其安全性主要是考慮服務器上保存的文件的安全性,文件服務器本身做磁盤冗餘,這樣即使服務器有一個硬盤損壞也不會導致文件丟失,另外我們還通過異地備份將文件服務器上文件保存一份到其他服務器上,這樣即使文件服務器遭遇災難性的損壞我們的文件也不會丟失。
3、綜合安全優化
1,停掉Guest 帳號
2,修改管理員帳號和創建陷阱帳號:
重命名Administrator賬號,然後新建一個名稱爲Administrator的陷阱帳號“受限制用戶”,把它的權限設置成最低,什麼事也幹不了,並且加上超級複雜密碼
3,刪除默認共享
Windows2003安裝好以後,系統會創建一些隱藏的共享,要禁止或刪除這些共享以確保安全,方法是:首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
可以通過組策略編輯器使客戶機系統開機即執行腳本刪除系統默認的共享。
4,禁用IPC連接
Ipc連接 比如 net use\\ip\ipc$ "password" /user:"usernqme"。可以通過修改註冊表來禁用IPC連接。打開註冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改爲1即可禁用IPC連接。
重新設置遠程可訪問的註冊表路徑
5,設置遠程可訪問的註冊表路徑爲空,這樣可以有效地防止***利用掃描器通過遠程註冊表讀取計算機的系統信息及其它信息。打開組策略編輯器,然後選擇“計算機配置”→“Windows設置”→“安全選項”→“網絡訪問:可遠程訪問的註冊表路徑”及“網絡訪問:可遠程訪問的註冊表”,將設置遠程可訪問的註冊表路徑和子路徑內容設置爲空即可。
6,關閉不需要的端口
7,關閉不需要的服務
服務提供了核心操作系統功能,如Web 服務、事件日誌記錄、文件服務、幫助和支持、打印、加密和錯誤報告,並不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用,來釋放系統資源。
8,鎖住註冊表
9,運行防病毒軟件
10,備份
3、監視服務器性能:
通過實時和日誌方式來監視服務器性能;
監視服務器內存性能;
監視服務器處理器性能;
監視服務器磁盤性能;
監視網絡性能。
4、建立完備的管理制度
爲能跟上整改後的計算機網絡的管理與使用,需要逐步完善各類相應的管理制度,包括:
《計算機網絡管理辦法》
主要針對用戶對計算機的操作使用,管理及保護等進行闡述,明文規定不得進行哪些相關的操作及網絡訪問等;
《核心網絡設置管理辦法》
針對網絡設備、服務器等設置及管理做的詳細闡述;
《IT管理員工作手冊》
崗位說明書,規範IT管理人員的日常必要維護事項及操作方法,包括設備盤點登記表、設備健康卡,日常維護記錄表、工作日誌、設備申購表、報廢表等;
《計算機維護指南》
主要針對分機構計算機用戶的自我計算機維護操作指南,主要包括:常用操作系統的安裝說明、常用病毒及網絡安全設置步驟、病毒