本文以实例介绍如何利用组策略限制客户端行为,减少病毒传播可能性。具体内容如下所述。
分公司GM的要求:减少病毒机会,加强客户端管理,加强上网管理。
当前状况:
1、所有客户端均为Windows2000
2、有一台服务器为Windows2000
3、这是一个偏远地区的办事处,没有ITSupport,员工的IT技能不强,人员混乱
4、所有的客户端已经安装个人版的杀毒软件
5、上网方式通过ADSL路由上网
需求分析:
从目前的网络和系统情况看,虽然已经安装了个人版的杀毒软件,但是防病毒的效果还是不明显。病毒总是先发而后制。同时因为没有ITSupport的存在,人员过于混杂,使得感染和传播计算机病毒的机会增加。
客户端和服务器端已经是Windows2000,可以利用组策略限制客户端行为,减少病毒传播可能性。
上网方式为路由方式,不利于上网管理。
建议:
1、利用现在的Windows2000服务器建立Domain
2、把当前的直接从路由上网修改为代理上网
3、购买服务器,安装ISA,用于上网管理
4、限制客户端可运行程序
5、限制本地Administrators组成员
6、限制用户可访问的网站和服务器
7、限制用户访问Internet的端口和协议
8、*关于电子邮件过滤,可以考虑使用ISA的FeaturePack。
9、*上网管理是否限制到用户级?
操作步骤:
1、发放《客户机使用者调查表》、《日常使用软件调查表》、《日常访问网站调查表》
2、估计操作时间
3、估计需要配合的人员数目
4、升级Windows2000到DC(操作中发现该机已经被升为DC)
5、建立新的OU,建立_MW_Manager和_MW_Opt两个安全组,分别把部门经理和操作员加入不同的组
6、在OU上建立相关策略,限制客户端可运行程序
7、在新购买的服务器上安装Windows2000,安装ISA为Array+集成模式,安装RASPPPOE
8、配置ISA策略,允许许可协议和网站
9、把ADSL路由下网,在ISA服务器上面配置PPPOE拨号
10、配置新的组策略,分发ISA客户端
11、重新启动客户端,使FirewallClient生效
12、配置IPPacketFilter,使ISA服务器本身可以上网
安装完成发现遗忘部分:
1、当前客户机网络地址有些是由以前的ADSL路由其中的DHCP分配的,有些是静态IP;
2、当前客户机不能正确解析DNS名称;
针对不正确部分:
1、在DC上建立DHCP服务,同时配置区域
2、查看原DC上面的DNS服务器,发现Root服务器不能正确访问。于是在ISA服务器安装配置第二个DNS服务器替代以前的DNS服务器。同时修改DHCP作用域选项(ISA中关于DNS的部分配置正确)
奇怪之处:
1、如果不断网就不能重新启动ISA服务(这个在其他地方都没有)
2、ISA服务器不能从网上邻居访问,导致FirewallClient不能正确分发(没有配置正确的事务处理?病毒?)
奇怪之处2:病毒导致IPC$不可用,查找CSDNFAQ,http://community.csdn.net/Expert/FAQ/FAQ_Index.asp?id=195978解决问题。
奇怪之处1:后配置ADSL断线自动重拨,问题消失。
总结:
1、由于没有现场勘查,给出的计划中出现了IP配置错误。或者是忘记对客户机的状态进行调查,属于重大失误;
2、对于远距离的客户端应该加强监管,否则病毒的感染和传播的机率非常的大;
3、这样的事情做多了就没有感觉了,就跟杀人杀多了就麻木了。不知道他们如何咬牙切齿呢。
希望本文介绍的巧用组策略和ISA控制客户端行为的实例能够对读者有所帮助。
【编辑推荐】
