網絡搭建

一、網絡對辦公環境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給公司帶來更

高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信息維護人員疲于奔命。網絡對辦公環境

造成的危害主要表現為：

1.為給用戶電腦提供正常的標準的辦公環境，安裝操作系統和應用軟件已經耗費了信息管理中心人

員一定的精力和時間,同時又難以限制用戶安裝軟件，導致管理人員必須花費其50%以上的精力用于維護用

戶的PC系統，無法集中精力去開發信息系統的深層次功能，提升信息系統價值。

2.由于使用者的防范意識普遍偏低,防毒措施往往不到位，一旦發生病毒感染，往往擴散到全網絡，

令網絡陷于癱瘓狀態，部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞，使得木馬、病毒傳播迅速，影

響規模大,導致網絡長時間處于帶毒運行，反復發作而維護人員。

3.部分網站網頁含有惡意代碼，強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域

名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4.個別員工私自安裝從網絡下載安裝的軟件，這些從網絡上下載的軟件安裝包多數附帶各種插件、

木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消

耗，導致計算機反應緩慢,甚至被遠程控制；

5。局域網共享，包括默認共享（無意），文件共享(有意），一些病毒比如ARP通過廣播四處泛濫，

影響到整個片區辦公電腦的正常工作；

6。部分員工使用公司計算機上網聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P

軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發線程多,導致大量帶寬被部分員工占用，

網絡速度緩慢，導致應用軟件系統無法正常開展業務，即便是嚴格的計算機使用管理制度也很難保障企業

中的計算機只用于企業業務本身,PC的業務專注性、管控能力不強。

二、網絡管理和維護策略

針對以上這些因素，我們可以通過域服務器來統一定義客戶端機器的安全策略，規范，引導用戶安

全使用辦公電腦。

域服務器的作用

1。安全集中管理統一安全策略

2.軟件集中管理按照公司要求限定所有機器只能運行必需的辦公軟件。

3。環境集中管理利用AD可以統一客戶端桌面，IE,TCP/IP等設置

4.活動目錄是企業基礎架構的根本，為公司整體統一管理做基礎其它isa,exchange，防病毒服務器,

補丁分發服務器，文件服務器等服務依賴于域服務器。

建立域管理

1,建立域控制器，并規定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權限。

汕尾發電廠的員工帳號只有標準ur權限。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環境中，普通員工只具備標準的power

ur權限，實際上是對公環境有效的保護.

辦公PC必須嚴格遵守OU命名規則，同時實現實名負責制。指定員工對該PC負責,這不但是固定

資產管理的要求，也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的,一旦發現該員工電腦

中毒和在廣播病毒包，信息系統管理員能準確定位，迅速做出反應，避免擴大影響。

2：PC維護包干到戶。

管理員在實際工作中可能存在拿本地管理員權限作為人情,這其實是一種自殺行為.任何一個具備管

理管理員權限的員工，即使是管理員，使用Administrator權限上網，稍有不慎,便掉入網絡陷阱。為避免

這種情況，對PC維護人員，采取區域包干到戶的管理，同時區域負責人的域用戶帳號具備該區域內所有

辦公電腦本地管理員的權限；如果區域負責人他愿意增加本地電腦管理員權限,增加的風險和工作量將由他

自己承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。

3：在防火墻上只開放常用或業務系統需要的端口，如80、25、21、110、443，其它端口一律封鎖，

有效實施對P2P和BT軟件的封鎖。

4：接入網絡的計算機必須接受信息中心的管理。通過在防火墻上設置相關的策略，允許經信息中心

核準的某些IP組可以在本機上直接訪問Internet，或某些IP組只能連接局域網的應用服務器,對于不遵守

OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP，不允許訪問Internet和Intranet，只能

單機使用。

5：建立WSUS服務器.WSUS是微軟推出的免費的Windows更新管理服務,目前最新版本除了支持

Windows系統（Windows2000全系列、WindowsXP全系列和Windowsrver2003全系列）的更新管

理外，還可以支持SQLServer、Exchange2000/2003、OfficeXP/2003等系統的更新管理,并且在以

后,WSUS將實現微軟全系列產品的更新管理。在域服務器上通過組策略設定客戶端PC的自動更新服務，。

6：建立防病毒服務器(比如諾頓），通過防病毒及時更新計算機的病毒庫，增強整體的病毒抵御能力，

及時消滅網內病毒。

7：啟用組策略。檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機

才允許訪問外部網絡，不具備相應安全條件的用戶計算機，不允許上網。這樣從根本上提高了企業用戶計

算機的安全性，減少了企業用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。

8：主干設備上做數據過濾,屏蔽掉非辦公應用的數據流。

9：使用DameWareNTUtilities軟件進行遠程維護，實現快速的維護響應。

10:借助于入侵檢測防御系統，使得管理員可以根據記錄進行統計分析，發現有潛在危險的辦公計算

機，可以有針對性地進行預防性檢查。

整體規劃:最上面是單域zhongyu。com

下面創建OU：zydx

Zydx下面創建以下幾個OU

Groups:這里是所有的部門

Urs:這里是所有用戶

Servers：服務器群，比如病毒服務器，補丁分發服務器，isa服務器

Mobiles:所有的移動電腦

Workstations：所有工作站

It：特殊組，一些管理員和特殊用戶。

不同部門可以設置不同安全策略，以滿足不同部門的辦公需求,通用策略可以設置在根域上，特殊權

限在不同部門分別做策略.用戶及名稱規劃

所有用戶均用工號及密碼來登錄域環境，域的加入可以做一個加入域的批處理,用戶通過輸入自己的

用戶名和密碼既可登錄到域服務器。

所有接入電腦必須嚴格遵守OU命名規則，即電腦名必須改為部門加工號，比如電腦部易小輝,則其

計算機名為：dnb236294.當我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置,通過工

號可以及時聯系責任人進行處理。

各部門用戶加入各部門的組,便于用戶管理及根據部門進行不同的策略設置

計算機帳戶中刪除多余用戶，僅保留域用戶及administrator，重命名管理員帳戶，并且強制統一管

理員密碼，以便日后維護。

用戶權限及策略規劃

所有用戶初始權限為powerur能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊表，

禁止修改TCP/IP，禁止修改計算機設置。

常用軟件可以用軟件分發來做，個別用戶的特殊軟件可以遠程安裝。近期使用計算機指派,文件服務

器共享等方式，遠期使用SMS.

具體的實施

具體技術方案包括:

1,需求收集。

收集各部門工作需要用到的軟件，與工作有關的網頁，常見的一些機器故障.

2．規劃。規劃服務器,客戶端母盤制作，用戶權限規劃。

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細致的規劃設計，讓用戶和管理員在使用

時更為方便.域的結構遵循簡單原則，采用單域模式，人員的組織以部門為組織單位加入域中

1.規劃DNS

如果用戶準備使用活動目錄，則需要首先規劃名稱空間.當DNS域名稱空間可在Windows2003中正

確執行之前，需要有可用的活動目錄結構。所以，從活動目錄設計著手并用適當的DNS名稱空間支持它。

2。規劃用戶的域結構

最容易管理的域結構就是單域。規劃時，用戶從單域開始，并且只有在單域模式不能滿足用戶的要

求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機.在一

個域中，可以使用組織單元（OU，OrganizationalUnits）來實現這個目標。然后，可以指定組策略設置并

將用戶、組和計算機放在組織單元中。

3。規劃用戶的權限

我們給用戶那些權限,ur（最低權限，不能安裝軟件)，powerur（能完成所有任務但不能更改管

理員設置）？建議初期給powerur穩定后回收權限。

需要限制用戶使用那些軟件

用戶能夠訪問那些資源

組策略有以下幾個比較重要的應用

1，軟件分發，分發msi格式軟件,非msi格式可通過工具轉換

2，軟件限制(非辦公軟件可以使用軟件策略進行限制）

3，文件夾重定向,可以把用戶資料保存到安全位置

4，管理設置,主要設置一些windows組件相關內容，比如開始菜單顯示的內容

5,Ie相關設置（信任站點,控件下載，文件下載等）

6,安全設置（帳戶策略,系統服務，注冊表，文件系統）

7，實現一些腳本的功能（比如分發一些腳本進行MAC地址綁定進行ARP免疫)

文件服務器的要求

1、每個用戶都能存取刪除自己所擁有的文件。

2、每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供管理員查看。

3、保證用戶存放在服務器上的文件不攜帶病毒和其它有危害性的代碼。

4、每個用戶只能在服務器上存放一定大小,類型的文件，而不是無限大的文件，并且當存放文件到特

定警戒線的時候能通知管理員。

4。母盤制作相關問題

A，那些軟件是必須安裝的

B,系統做那些優化

C,安全設置（ie安全設置,共享安全設置等）

D，避免sid問題

3．部署.

部署客戶端

考慮到ris服務器需要dhcp服務器支持，且對網絡帶寬有較高要求,可以通過分批加入域，分批

GHOST

部署域服務器、dns服務器及文件服務器，如果需要做dhcp，需要張工，徐工考慮DHCP的實現方

式。后期還要添加WSUS服務器，sms服務器，諾頓防病毒服務器及vpn服務器，因為所有客戶機操作

系統都為XP，沒有98或者其他系統，個人認為wins服務器在域環境下沒有必要。域服務器按規劃做好

策略，文件服務器做好權限控制。

4．測試.

部門辦公應用在域環境下能否正常使用，安全性方面能否達到預期效果。

辦公應用:erp系統能否正常登錄，打印；office軟件能否正常運行；bbs能否正常登錄使用；

5．建立各類使用及維護文檔。

幫助大家在域環境下更方便的使用辦公電腦。

6．檢查所有電腦，如果檢測認定安全的直接加入域，如果是HOME版及機器有問題的，重做系統.

7．域的備份

域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數據等。

效果

最終的客戶端系統桌面如下運行其他非必須程序提示:

對文件服務器的正常訪問：瀏覽bbs：服務器的安全

1、域控制器的安全保證：域控制器主要是管理局域網的用戶和機器，并對用戶的權限進行控制，一

旦主域控制器系統損壞，重新安裝系統后就必須重新建立用戶信息，為了防止系統損壞而影響系統使用，

在局域網中又設置一臺備份域服務器，備份域服務器能將主域控制器上的所有用戶信息備份到本機，并在

主域控制器失效時自動充當主域控制器的角色,保證系統能正常運行。

2、文件服務器的安全保證：文件服務器主要是保存各種公司私密文件，所以其安全性主要是考慮服

務器上保存的文件的安全性,文件服務器本身做磁盤冗余，這樣即使服務器有一個硬盤損壞也不會導致文件

丟失,另外我們還通過異地備份將文件服務器上文件保存一份到其他服務器上，這樣即使文件服務器遭遇災

難性的損壞我們的文件也不會丟失。

3、綜合安全優化

1,停掉Guest帳號

2,修改管理員帳號和創建陷阱帳號：

重命名Administrator賬號，然后新建一個名稱為Administrator的陷阱帳號“受限制用戶”,把它的權限

設置成最低，什么事也干不了,并且加上超級復雜密碼

3，刪除默認共享

Windows2003安裝好以后,系統會創建一些隱藏的共享，要禁止或刪除這些共享以確保安全，方法是：

首先編寫如下內容的批處理文件：

＠echooff

netshareC＄/del

netshareD＄/del

netshareE$/del

netshareF$/del

netshareadmin$/del

可以通過組策略編輯器使客戶機系統開機即執行腳本刪除系統默認的共享。

4，禁用IPC連接

Ipc連接比如netuipipc$”password"/ur:"urnqme”.可以通過修改注冊表來禁用IPC連接。

打開注冊表編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的

restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

重新設置遠程可訪問的注冊表路徑

5，設置遠程可訪問的注冊表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計

算機的系統信息及其它信息。打開組策略編輯器，然后選擇“計算機配置”→“Windows設置"→“安全選

項”→“網絡訪問：可遠程訪問的注冊表路徑”及“網絡訪問：可遠程訪問的注冊表"，將設置遠程可訪問的注

冊表路徑和子路徑內容設置為空即可.

6,關閉不需要的端口

7，關閉不需要的服務

服務提供了核心操作系統功能，如Web服務、事件日志記錄、文件服務、幫助和支持、打印、加密

和錯誤報告，并不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用,來釋放系統資源.

8，鎖住注冊表

9，運行防病毒軟件

10,備份3、監視服務器性能：

通過實時和日志方式來監視服務器性能;

監視服務器內存性能；

監視服務器處理器性能;

監視服務器磁盤性能；

監視網絡性能.

4、建立完備的管理制度

為能跟上整改后的計算機網絡的管理與使用，需要逐步完善各類相應的管理制度，包括：

《計算機網絡管理辦法》

主要針對用戶對計算機的操作使用,管理及保護等進行闡述，明文規定不得進行哪些相關的操作及網

絡訪問等；

《核心網絡設置管理辦法》

針對網絡設備、服務器等設置及管理做的詳細闡述;

《IT管理員工作手冊》

崗位說明書，規范IT管理人員的日常必要維護事項及操作方法，包括設備盤點登記表、設備健康卡，

日常維護記錄表、工作日志、設備申購表、報廢表等；

《計算機維護指南》

主要針對分機構計算機用戶的自我計算機維護操作指南，主要包括：常用操作系統的安裝說明、常

用病毒及網絡安全設置步驟、病毒－－－－