企業(yè)網(wǎng)絡(luò)系統(tǒng)搭建方案(包括管理制度方案)

一、網(wǎng)絡(luò)對辦公環(huán)境造成的危害Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危急性、簡單性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)對辦公環(huán)境造成的危害主要表現(xiàn)為：為給用戶電腦供給正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)消耗了信息治理中心人員肯定的精力和時間，同時又難以限制用戶安裝軟件，導(dǎo)致治理人員必需花費(fèi)其50%以上的精力用于維護(hù)PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價值。令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，局部致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播快速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時間處于帶毒運(yùn)行，反復(fù)發(fā)作而維護(hù)人員。名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機(jī)反響緩慢；木馬和病毒，并在安裝過程中用戶不知情的狀況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機(jī)反響緩慢，甚至被遠(yuǎn)程掌握；影響到整個片區(qū)辦公電腦的正常工作；24P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被局部員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計算機(jī)使用治理制度也很難保障企業(yè)中的計算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控力量不強(qiáng)。二、網(wǎng)絡(luò)治理和維護(hù)策略全使用辦公電腦。域效勞器的作用安全集中治理統(tǒng)一安全策略軟件集中治理依據(jù)公司要求限定全部機(jī)器只能運(yùn)行必需的辦公軟件。環(huán)境集中治理利用AD可以統(tǒng)一客戶端桌面,IE,TCP/IP等設(shè)置活動名目是企業(yè)根底架構(gòu)的根本，為公司整體統(tǒng)一治理做根底其它isa,exchange,防病毒效勞器，補(bǔ)丁分發(fā)效勞器，文件效勞器等效勞依靠于域效勞器。建立域治理1，建立域掌握器，并規(guī)定全部辦公電腦必需參加域，承受域掌握器的治理，同時嚴(yán)格掌握用戶的權(quán)限。汕尾發(fā)電廠的員工帳號只有標(biāo)準(zhǔn)user權(quán)限。不允許信息系統(tǒng)治理員泄露域治理員密碼和本地治理員密碼。poweruser權(quán)限，實際上是對公環(huán)境有效的保護(hù)。辦公PC必需嚴(yán)格遵守OU命名規(guī)章，同時實現(xiàn)實名負(fù)責(zé)制。指定員工對該P(yáng)C負(fù)責(zé)，這不但是固定資產(chǎn)治理的要求，也是網(wǎng)絡(luò)安全治理的要求。對PC實施員工實名負(fù)責(zé)是至關(guān)重要的，一旦覺察該員工電腦中毒和在播送病毒包，信息系統(tǒng)治理員能準(zhǔn)確定位，快速做出反響，避開擴(kuò)大影響。2：PC維護(hù)包干到戶。治理員在實際工作中可能存在拿本地治理員權(quán)限作為人情，這其實是一種自殺行為。任何一個具備治理治理員權(quán)限的員工，即使是治理員，使用Administrator權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。為避開這種狀況，對PC維護(hù)人員，實行區(qū)域包干到戶的治理，同時區(qū)域負(fù)責(zé)人的域用戶帳號具備該區(qū)域內(nèi)全部辦公電腦本地治理員的權(quán)限；假設(shè)區(qū)域負(fù)責(zé)人他情愿增加本地電腦治理員權(quán)限，增加的風(fēng)險和工作量將由他自己擔(dān)當(dāng)。全部辦公電腦的本地治理員密碼由域掌握器負(fù)責(zé)人把握、設(shè)定或變更。P2PBT軟件的封鎖。4：接入網(wǎng)絡(luò)的計算機(jī)必需承受信息中心的治理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問Internet，或某些IP組只能連接局域網(wǎng)的應(yīng)用效勞器，對于不遵守OU命名規(guī)章的機(jī)器IP和沒有經(jīng)過信息系統(tǒng)治理員授權(quán)的機(jī)器IP，不允許訪問Internet和Intranet，只能單機(jī)使用。5：建立WSUS效勞器。WSUS是微軟推出的免費(fèi)的Windows更治理效勞，目前最版本除了支持Windows系統(tǒng)〔Windows2022全系列、WindowsXP全系列和Windowsserver2022全系列〕的更SQLServer、Exchange2022/2022、OfficeXP/2022等系統(tǒng)的更治理，并且在以WSUSPC〔比方諾頓〕，通過防病毒準(zhǔn)時更計算機(jī)的病毒庫，增加整體的病毒抵擋力量，準(zhǔn)時消滅網(wǎng)內(nèi)病毒。才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計算機(jī)，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計算機(jī)的安全性，削減了企業(yè)用戶患病蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險。8：主干設(shè)備上做數(shù)據(jù)過濾，屏蔽掉非辦公應(yīng)用的數(shù)據(jù)流。9DameWareNTUtilities軟件進(jìn)展遠(yuǎn)程維護(hù)，實現(xiàn)快速的維護(hù)響應(yīng)。10：借助于入侵檢測防范系統(tǒng)，使得治理員可以依據(jù)記錄進(jìn)展統(tǒng)計分析，覺察有潛在危急的辦公計算機(jī)，可以有針對性地進(jìn)展預(yù)防性檢查。整體規(guī)劃：最上面是單域zhongyu下面創(chuàng)立OU：zydxZydx下面創(chuàng)立以下幾個OUGroups：這里是全部的部門Users：這里是全部用戶Servers：效勞器群，比方病毒效勞器，補(bǔ)丁分發(fā)效勞器，isa效勞器Mobiles：全部的移動電腦Workstations：全部工作站權(quán)限在不同部門分別做策略。用戶及名稱規(guī)劃的用戶名和密碼既可登錄到域效勞器。全部接入電腦必需嚴(yán)格遵守OU命名規(guī)章，即電腦名必需改為部門加工號，比方電腦部易小輝，則其計算機(jī)名為：dnb236294。當(dāng)我們通過一些軟件找到病毒機(jī)器時可以通過電腦名稱快速定位電腦位置，通過工號可以準(zhǔn)時聯(lián)系責(zé)任人進(jìn)展處理。各部門用戶參加各部門的組，便于用戶治理及依據(jù)部門進(jìn)展不同的策略設(shè)置計算機(jī)帳戶中刪除多余用戶，僅保存域用戶及administrator，重命名治理員帳戶，并且強(qiáng)制統(tǒng)一治理員密碼，以便日后維護(hù)。用戶權(quán)限及策略規(guī)劃poweruser能正常訪問本地全部資源，受限安裝軟件，制止用戶修改注冊表，TCP/IP，制止修改計算機(jī)設(shè)置。常用軟件可以用軟件分發(fā)來做，個別用戶的特別軟件可以遠(yuǎn)程安裝。近期使用計算機(jī)指派,文件效勞SMS.具體的實施具體技術(shù)方案包括：1，需求收集。收集各部門工作需要用到的軟件，與工作有關(guān)的網(wǎng)頁，常見的一些機(jī)器故障。2．規(guī)劃。規(guī)劃效勞器，客戶端母盤制作，用戶權(quán)限規(guī)劃。時更為便利。域的構(gòu)造遵循簡潔原則，承受單域模式，人員的組織以部門為組織單位參加域中DNS假設(shè)用戶預(yù)備使用活動名目，則需要首先規(guī)劃名稱空間。當(dāng)DNS域名稱空間可在Windows2022中DNS名稱空間支持它。規(guī)劃用戶的域構(gòu)造最簡潔治理的域構(gòu)造就是單域。規(guī)劃時，用戶從單域開頭，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機(jī)。在一個域中，可以使用組織單元(OU，OrganizationalUnits)來實現(xiàn)這個目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計算機(jī)放在組織單元中。規(guī)劃用戶的權(quán)限我們給用戶那些權(quán)限,user〔最低權(quán)限，不能安裝軟件〕，poweruser〔能完成全部任務(wù)但不能更改治理員設(shè)置〕？poweruser穩(wěn)定后回收權(quán)限。用戶能夠訪問那些資源組策略有以下幾個比較重要的應(yīng)用1，軟件分發(fā)，分發(fā)msi格式軟件，非msi格式可通過工具轉(zhuǎn)換2，軟件限制〔非辦公軟件可以使用軟件策略進(jìn)展限制〕3，文件夾重定向，可以把用戶資料保存到安全位置4，治理設(shè)置,windows組件相關(guān)內(nèi)容，比方開頭菜單顯示的內(nèi)容5，Ie相關(guān)設(shè)置〔信任站點，控件下載，文件下載等〕6，安全設(shè)置〔帳戶策略，系統(tǒng)效勞，注冊表，文件系統(tǒng)〕7，實現(xiàn)一些腳本的功能〔比方分發(fā)一些腳本進(jìn)展MACARP免疫〕文件效勞器的要求1、每個用戶都能存取刪除自己所擁有的文件。2、每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供治理員查看。3、保證用戶存放在效勞器上的文件不攜帶病毒和其它有危害性的代碼。定戒備線的時候能通知治理員。母盤制作相關(guān)問題A，那些軟件是必需安裝的B，系統(tǒng)做那些優(yōu)化C，安全設(shè)置〔ie安全設(shè)置，共享安全設(shè)置等〕Dsid問題部署。risdhcp效勞器支持，且對網(wǎng)絡(luò)帶寬有較高要求，可以通過分批參加域，分批GHOST部署域效勞器、dns效勞器及文件效勞器，假設(shè)需要做dhcp，需要張工，徐工考慮DHCP的實現(xiàn)方WSUS效勞器，smsvpn效勞器，由于全部客戶機(jī)操作XP98wins效勞器在域環(huán)境下沒有必要。域效勞器按規(guī)劃做好策略，文件效勞器做好權(quán)限掌握。測試。部門辦公應(yīng)用在域環(huán)境下能否正常使用，安全性方面能否到達(dá)預(yù)期效果。辦公應(yīng)用：erp系統(tǒng)能否正常登錄，打印；office軟件能否正常運(yùn)行；bbs能否正常登錄使用；建立各類使用及維護(hù)文檔。幫助大家在域環(huán)境下更便利的使用辦公電腦。HOME版及機(jī)器有問題的，重做系統(tǒng)。域的備份域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數(shù)據(jù)等。效果bbs：效勞器的安全1、域掌握器的安全保證：域掌握器主要是治理局域網(wǎng)的用戶和機(jī)器，并對用戶的權(quán)限進(jìn)展掌握，一旦主域掌握器系統(tǒng)損壞，重安裝系統(tǒng)后就必需重建立用戶信息，為了防止系統(tǒng)損壞而影響系統(tǒng)使用，在局域網(wǎng)中又設(shè)置一臺備份域效勞器，備份域效勞器能將主域掌握器上的全部用戶信息備份到本機(jī)，并在主域掌握器失效時自動充當(dāng)主域掌握器的角色，保證系統(tǒng)能正常運(yùn)行。2、文件效勞器的安全保證：文件效勞器主要是保存各種公司私密文件，所以其安全性主要是考慮效勞器上保存的文件的安全性，文件效勞器本身做磁盤冗余，這樣即使效勞器有一個硬盤損壞也不會導(dǎo)致文件喪失，另外我們還通過異地備份將文件效勞器上文件保存一份到其他效勞器上，這樣即使文件效勞器患病災(zāi)難性的損壞我們的文件也不會喪失。3、綜合安全優(yōu)化1Guest帳號2，修改治理員帳號和創(chuàng)立陷阱帳號：重命名Administrator賬號，然后建一個名稱為Administrator的陷阱帳號“受限制用戶”，把它的權(quán)限設(shè)置成最低，什么事也干不了，并且加上超級簡單密碼3，刪除默認(rèn)共享Windows2022安裝好以后，系統(tǒng)會創(chuàng)立一些隱蔽的共享，要制止或刪除這些共享以確保安全，方法是：首先編寫如下內(nèi)容的批處理文件：@echooffnetshareD$/delnetshareE$/delnetshareF$/delnetshareadmin$/del可以通過組策略編輯器使客戶機(jī)系統(tǒng)開機(jī)即執(zhí)行腳本刪除系統(tǒng)默認(rèn)的共享。4IPC連接Ipc連接比方netuse\\ip\ipc$“password“/user:“usernqme“IPC連接。翻開注冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous1IPC連接。重設(shè)置遠(yuǎn)程可訪問的注冊表路徑5，設(shè)置遠(yuǎn)程可訪問的注冊表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠(yuǎn)程注冊表讀取計算機(jī)的系統(tǒng)信息及其它信息。翻開組策略編輯器，然后選擇“”→“Windows設(shè)置”→“安全選項”→“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”及“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表”，將設(shè)置遠(yuǎn)程可訪問的注冊表路徑和子路徑內(nèi)容設(shè)置為空即可。6，關(guān)閉不需要的端口7，關(guān)閉不需要的效勞效勞供給了核心操作系統(tǒng)功能，如Web效勞、大事日志記錄、文件效勞、幫助和支持、打印、加密和錯誤報告，并不是全部默認(rèn)效勞都是我們需要的。我們