使用windows域维护企业内部网络安全

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

使用windows域维护企业内部网络安全(一)问题前几天,某电力公司的信息主管(一位刚刚上任的朋友)打电话过来问:有没有好一点的网管软件啊?现在机子多了,人手一机,问题也越来越多了,相互猜密码的、丢资料、丢账号、系统成天崩溃的、在工位上玩游戏的、乱用打印机的。总之很乱,也不好管、就算自己看见了,平时关系也不错,也不好意思说,说了也起不倒多大作用。我这个信息主管,有名无实啊。。听完以后十分感慨,微软的桌面称霸中国市场这么久,竟然有这么多人不知道微软的服务才是管理桌面的最强利器。那么今天,我们就来分享一下,我为这位友人出的解决方案:(二)案例一、项目背景I公司简介:某供电局,通过合理的运营和管理,发展迅速,员工人数已有200人左右,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。公司由运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会12个部门组成(涉及保密情况部门内容有所保留)。运行科:负责公司主要的电力运行作业。保护科:负责公司拟定电力运行资料的规划、管理规范,对电力运行资料进行监测监视。变配电科:负责对变电站的高压、低压设备的运行维护。巡检科:负责对公司日常运行的质量安全巡检。人力资源:负责公司各个部门的人力资源配比,人员档案管理、规划,以及相关人才储备。招标办公室:负责公司工程招标工作。对标办公室:负责公司工程指标的同业对标工作。财务办公室:负责工资结算、公司账目管理。工程部:负责公司的工程策划、及工程实施监管工作。抢险办公室:负责公司电力设备的应急工作。工会:负责保障职工生活福利,与有关部门配合,共同办好职工的集体福利事业。局长办公室:负责公司运营管理监督工作。IIIT概况:公司已有一个局域网,运行200台计算机,服务器操作系统是windowsserver2003,客户机的操作系统是windowsxp,工作在工作组模式下,员工一人一机办公。公司从ISP申请了100M专线。采用代理方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。二、需求分析I帐户管理:公司对员工帐户的需求如下:员工一人一个帐户所有帐户集中存储管理按部门管理帐户帐户密码长度不小于8密码不能为简单密码,如12345678等对个别员工试探别人密码的行为要有所防范。员工的权限级别有3种:局长、科长、普通员工,他们在访问网络资源时权限不同。II文件管理:公司对文件和文件夹管理的需求如下:公司所有的常用软件的安装文件共享到一台文件服务器上。员工工作文档需要可靠存储、方便访问。局长可读取和修改全公司文档。科长可读取和修改部门文档。普通员工可读取本部门的文档和修改自己的文档。在文件服务器上对员工空间限制:普通员工最大10GB,科长最大50GB,局长的使用空间不限制。在文件服务器上的重要文档有定期备份。审核员工登陆和访问文档的行为。III打印机管理:公司对打印的需求如下:局长和财务部使用一台打印设备。运行科、保护科、变电配料、巡检科使用一台。招标办公室、工程部、工会使用一台。对标办公室、抢险办公室、人力资源使用一台。局长的优先级高于科长,科长的优先级高于普通员工。IIII访问Internet员工可以上网查资料监控员工上网行为三、项目规划要组建windows办公网络,首先要规划IP地址,然后考虑域环境采用单域还是多域结构。接下来考虑帐户、文件和打印服务等内容。I规划IP地址本项目中IP地址采用192.168.0.0/24网段。计算机的默认网关为192.168.0.1-192.168.0.10之间的IP,客户机占用192.168.0.11以上的IP。具体分配方案见下表。IP地址分配表计算机名IP掩码DNSDC1192.168.0.2255.255.255.0192.168.0.2DC2192.168.0.3255.255.255.0192.168.0.2Filesvr192.168.0.4255.255.255.0192.168.0.2Printsvr1192.168.0.5255.255.255.0192.168.0.2Printsvr2192.168.0.6255.255.255.0192.168.0.2Printsvr3192.168.0.7255.255.255.0192.168.0.2Printsvr4192.168.0.8255.255.255.0192.168.0.2Daili192.168.0.9255.255.255.0192.168.0.2客户机192.168.0.X255.255.255.0192.168.0.2II规划域根据网络规模及集中管理和结构简单原则采用单域结构,域名为Angerfire.cn。与多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位(OU),即创建11个组织单位,分别是运行科,保护科,变/配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会,用于存储和管理各部门的用户帐户、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理。域控制器作为整个域的核心服务器,完成对公司所有员工的帐户管理和安全策略的实施,为保证其可靠性,需要安装2台域控制器。III规划用户帐户和组在各部门的OU中分别为该部门员工创建唯一的域用户帐户,帐户名为员工姓名的拼音,例如songyang。初始密码为123.com,并设置策略为域用户帐户在首次登陆时更改密码。密码最小长度为8,并且必须符合复杂性要求。为每个部门创建全局组,命名见下表用户组规划表部门全局组运行科Yunxing保护科Baohu变配电科Bianpeidianliao巡检科Xunjian人力资源Renliziyuan招标办公室Zhaobiao对标办公室Duibiao财务办公室Caiwu工程部Gongcheng抢险办公室Qiangxian工会Gonghui局长办公室Juzhang并将同部门的员工帐户分别加入各部门的全局组。IIII规划文件服务器通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10G(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个文件夹software存放公共文件,如常用软件、规章制度等。另一个文件夹share,存放部门和员工的工作文档。在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹。配置共享权限和NTFS权限,保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则。避免直接为用户授权,除非该文件夹只有一个员工访问。文件服务器权限设置见下表。文件夹权限设置文件夹名共享权限NTFS权限D:\softwareEveryone读取Everyone读取D:\shareEveryone完全控制Everyone列出文件夹目录,总经理完全控制D:\share\运行科无全局组yunxing读取、本部门经理和总经理完全控制D:\share\保护科无全局组baohu读取、本部门经理和总经理完全控制D:\share\变配电科无全局组bianpeidianliao读取、本部门经理和总经理完全控制D:\share\巡检科无全局组xunjian读取、本部门经理和总经理完全控制D:\share\人力资源无全局组renliziyuan读取、本部门经理和总经理完全控制D:\share\招标办公室无全局组zhaobiao读取、本部门经理和总经理完全控制D:\share\对标办公室无全局组duibiao读取、本部门经理和总经理完全控制D:\share\财务办公室无全局组caiwu读取、本部门经理和总经理完全控制D:\share\工程部无全局组gongcheng读取、本部门经理和总经理完全控制D:\share\抢险办公室无全局组qiangxian读取、本部门经理和总经理完全控制D:\share\工会无全局组gonghui读取、本部门经理和总经理完全控制D:\share\局长办公室无全局组juzhang读取、本部门经理和总经理完全控制在文件服务器上,普通员工最大使用空间为10GB,部门经理最大使用空间为100GB,总经理的使用空间不限制。在文件上传类型上限制只允许上传.doc.xls.ppt.wps.txt.rar这些办公文件类型。对于重要的文件夹要制定备份策略,可以采用常规备份+差异备份的策略,按任务计划自动执行。IIIII规划打印系统根据公司需求,需要采购4台打印设备(HPlaserjet1020)。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4上,printsrv1供局长办公室和财务办公室使用,printsrv2供,printsrv3供招标办公室、工程部、工会使用,printsrv4供对标办公室、抢险办公室、人力资源使用。局长、科长和普通员工的优先级分别规划为90、50和1。还要规划逻辑打印机的权限,见下表。打印机权限服务器名打印机共享名优先级打印权限printsrv1HP1020_1_190局长打印printsrv1HP1020_1_250科长打印printsrv1HP1020_1_31全局组caiwu打印printsrv2HP1020_2_150科长打印printsrv2HP1020_2_21全局组yunxing、baohu、biandianpeiliao、xunjian打印printsrv3HP1020_3_150科长打印printsrv3HP1020_3_21全局组zhaobiao、gongcheng、gonghui打印printsrv4HP1020_4_150科长打印printsrv4HP1020_4_21全局组duibiao、qiangxian、renliziyuan打印IIIIII规划上网方式公司租用一条100M专线上网。采用代理服务器软件使公司局域网接入Internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接的IP为192.168.0.1,公共连接与100M专线连通,IP地址从ISP动态获得。启用代理协议是HTTP。使用域策略完成客户端的统一配置,实现共享上网。并启用防火墙策略对用户上网行为进行监控并阻绝一切不使用的网络通信。(三)分析通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的microsoft产品中---windows域。在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》

1 / 7
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功