一个用Windows 2003改造局域网安全方案实例.docVIP

一个用Windows 2003改造局域网安全方案实例 　　[摘 要]本文通过探讨某公司现有的网络系统用Windows2003进行改造所采用的安全方案实例，进而阐述如何做才能使一个基于域的局域网更安全、更便于管理。 　　[关键词]集中管理 安全 方案 组策略 　　 　　随着一些企事业局域网的规模日趋扩大、作用日趋重要的同时，网络环境也日趋复杂，管理难度在上升、而安全程度在下降，当初网络系统单一数据共享的简单应用已难满足企业发展运作的需求，一些企事业网络系统的改造势在必行。下面谈一下某公司网络系统改造方案。 　　 　　一、某公司现有的网络和系统现状 　　 　　120台PC分布于4个办公楼层，每个楼层都有一条100MB的链路连接到机房，PC网络以工作组方式共享文件、打印机等设备。公司中的PC分桌面PC和笔记本电脑，系统一般为Windows 2000和XP为主。通往Internet的链路为一根2MB的ADSL线路。 　　 　　二、某公司对于整个网络系统的安全应用要求和需要解决的问题 　　 　　问题一：员工把公司文件和个人文件都存储在个人的PC中，如果PC瘫痪，需要花费很多的时间修复PC获得其中的文件。需要指定相应的方案，防止或减少此类问题的出现。 　　问题二：公司网络中病毒泛滥，经常导致公司资料丢失。整个公司使用的杀毒软件也不统一，对于杀毒软件的更新会消耗桌面支持较大的工作。 　　问题三：员工在上班时间经常上一些与工作无关的网络，下载可能带有病毒的文件，私自安装游戏，影响到工作。对于普通员工，希能设置Internet内容访问的控制，下载文件的控制，对于主管和经理级的用户，因业务的需要，需要设置较大的权限与安全等级。 　　问题四：各个部门的共享文件内文件的安全，如果访问密码泄露，会导致公司无法估计的损失。需要定制安全的密码和访问机制。 　　问题五：公司的网站及内部的BBS论坛并不安全，时有麻烦出现，希能提高稳定性。 　　问题六：对于主要应用Windows的PC系统来说，系统和安全补丁的安装消耗了桌面支持人员很大的工作时间，希望得到改善。 　　问题七：现在的4层办公区域，需要至少4个桌面支持进行对于120台PC的桌面支持，在空闲的时候，可能只需要1到2个桌面支持，但在繁忙或大规模病毒发作的时候，4个桌面支持根本忙不过来。如果公司的规模进一步的发展，希望在以尽量少的桌面支持来维护整体公司的网络系统。 　　问题八：其它安全方面。 　　 　　三、解决方案与思路 　　 　　实际上该公司网络所存在的问题是具有普遍性的，一个网络系统如果缺少有效的集中管理模式与安全机制，则必存在着很大的安全漏洞与难以克服的混乱及低效率运作，该公司网络改造方案的思路就是建立起有效的集中管理模式与安全机制。将该公司的网络升级为一个基于域的局域网系统，统筹建立集中管理模式与安全机制。 　　 　　四、具体实施步骤 　　 　　1．在域建好后，问题一可通过将员工把公司文件重定向到安全性增强的某个服务器来解决，步骤如下： 　　在服务器上建立一个共享文件夹，以下是这个文件夹的网络访问配置和本地安全配置。文件名可为“user_data” 　　将Everyone 组的共享权限设置为完全控制。 　　在Active Directory 用户和计算机中新建一个OU，把你所需要定义文件夹重定向的用户移动到这个OU，之后编辑这个OU的组策略。在组策略管理器中选择用户配置（Windows设置）文件夹重定向，在这里，Windows提供了Application Data，桌面，我的文档和开始菜单的配置功能，Application Data的设定，其中Application Data存放的是用户软件配置信息，桌面、我的文档、开始菜单直接映射用户的桌面文件、桌面、我的文档、开始菜单。需要注意的是在设定“开始菜单”的时候，在根路径最后需要加上%username%，这样，用户的开始菜单数据才会写入这个用户的文件夹中，不然，文件会写入user data目录中。 　　2．使用统一的企业级杀毒软件Symantec AntiVirus，可较好解决问题二。简述如下： 　　首先分别在服务器和客户端安装好Symantec AntiVirus企业版及Symantec AntiVirus客户端，接着配置Symantec AntiVirus企业版： 选择组→新建组→把服务器下的客户端放入组中→配置组。其中调度扫描是定义这个组中客户端扫描病毒的时间，点击新建可以配置新的扫描时间和周期。病毒定义管理器：可以定义客户端升级病毒定义更新程序的方式。隔离区选项：这里如果安装的隔离中心，可以把在客户端扫描发现带有病毒的文件隔离到服务器，在客户端做彻底删除。配置历史记录：可以配置