巧用组策略和ISA控制客户端行为实例

系统 Windows
本文介绍了利用组策略和ISA控制客户端行为,减少病毒传播,提高网络安全性的方法。

本文以实例介绍如何利用组策略限制客户端行为,减少病毒传播可能性。具体内容如下所述。

分公司GM的要求:减少病毒机会,加强客户端管理,加强上网管理。

当前状况:

1、所有客户端均为Windows2000

2、有一台服务器为Windows2000

3、这是一个偏远地区的办事处,没有ITSupport,员工的IT技能不强,人员混乱

4、所有的客户端已经安装个人版的杀毒软件

5、上网方式通过ADSL路由上网

需求分析:

从目前的网络和系统情况看,虽然已经安装了个人版的杀毒软件,但是防病毒的效果还是不明显。病毒总是先发而后制。同时因为没有ITSupport的存在,人员过于混杂,使得感染和传播计算机病毒的机会增加。

客户端和服务器端已经是Windows2000,可以利用组策略限制客户端行为,减少病毒传播可能性。

上网方式为路由方式,不利于上网管理。

建议:

1、利用现在的Windows2000服务器建立Domain

2、把当前的直接从路由上网修改为代理上网

3、购买服务器,安装ISA,用于上网管理

4、限制客户端可运行程序

5、限制本地Administrators组成员

6、限制用户可访问的网站和服务器

7、限制用户访问Internet的端口和协议

8、*关于电子邮件过滤,可以考虑使用ISA的FeaturePack。

9、*上网管理是否限制到用户级?

操作步骤:

1、发放《客户机使用者调查表》、《日常使用软件调查表》、《日常访问网站调查表》

2、估计操作时间

3、估计需要配合的人员数目

4、升级Windows2000到DC(操作中发现该机已经被升为DC)

5、建立新的OU,建立_MW_Manager和_MW_Opt两个安全组,分别把部门经理和操作员加入不同的组

6、在OU上建立相关策略,限制客户端可运行程序

7、在新购买的服务器上安装Windows2000,安装ISA为Array+集成模式,安装RASPPPOE

8、配置ISA策略,允许许可协议和网站

9、把ADSL路由下网,在ISA服务器上面配置PPPOE拨号

10、配置新的组策略,分发ISA客户端

11、重新启动客户端,使FirewallClient生效

12、配置IPPacketFilter,使ISA服务器本身可以上网

安装完成发现遗忘部分:

1、当前客户机网络地址有些是由以前的ADSL路由其中的DHCP分配的,有些是静态IP;

2、当前客户机不能正确解析DNS名称;

针对不正确部分:

1、在DC上建立DHCP服务,同时配置区域

2、查看原DC上面的DNS服务器,发现Root服务器不能正确访问。于是在ISA服务器安装配置第二个DNS服务器替代以前的DNS服务器。同时修改DHCP作用域选项(ISA中关于DNS的部分配置正确)

奇怪之处:

1、如果不断网就不能重新启动ISA服务(这个在其他地方都没有)

2、ISA服务器不能从网上邻居访问,导致FirewallClient不能正确分发(没有配置正确的事务处理?病毒?)

奇怪之处2:病毒导致IPC$不可用,查找CSDNFAQ,http://community.csdn.net/Expert/FAQ/FAQ_Index.asp?id=195978解决问题。

奇怪之处1:后配置ADSL断线自动重拨,问题消失。

总结:

1、由于没有现场勘查,给出的计划中出现了IP配置错误。或者是忘记对客户机的状态进行调查,属于重大失误;

2、对于远距离的客户端应该加强监管,否则病毒的感染和传播的机率非常的大;

3、这样的事情做多了就没有感觉了,就跟杀人杀多了就麻木了。不知道他们如何咬牙切齿呢。

希望本文介绍的巧用组策略和ISA控制客户端行为的实例能够对读者有所帮助。

【编辑推荐】

  1. 如何使服务器性能优化?
  2. 浅析主流网站服务器配置
  3. 虚拟专用网络服务器VPN疑难解答
  4. 如何安装和配置虚拟专用网络服务器?
  5. 如何进行MS SQL Server 2005网络服务器配置?
责任编辑:韩亚珊 来源: 博客转载
相关推荐

2013-11-27 10:21:44

远程控制软件

2011-08-04 13:32:11

组策略

2011-07-25 18:03:12

组策略

2011-07-27 14:15:45

组策略软件广告

2011-07-21 08:51:15

2011-09-08 15:05:50

WindowsXPISA防火墙客户端

2010-08-30 14:40:42

2011-07-26 10:32:44

windows7组策略

2009-02-10 09:55:00

2011-12-15 11:03:21

JavaNIO

2011-07-21 13:52:43

组策略网络打印机

2009-05-07 15:52:26

SQL ServerSET选项客户端管理

2021-09-22 15:46:29

虚拟桌面瘦客户端胖客户端

2011-07-25 16:25:47

2020-12-24 17:10:54

DockerLinux微信

2011-07-19 14:35:10

组策略安全

2010-02-22 09:03:22

零客户端瘦客户端VDI终端

2010-05-21 17:28:50

组策略

2011-07-27 13:59:04

2011-08-04 09:56:04

TMG ISA新浪微博
点赞
收藏

51CTO技术栈公众号