巧用組策略和ISA控制客戶端行為實例
本文以實例介紹如何利用組策略限制客戶端行為,減少病毒傳播可能性。具體內容如下所述。
分公司GM的要求:減少病毒機會,加強客戶端管理,加強上網管理。
當前狀況:
1、所有客戶端均為Windows2000
2、有一臺服務器為Windows2000
3、這是一個偏遠地區(qū)的辦事處,沒有ITSupport,員工的IT技能不強,人員混亂
4、所有的客戶端已經安裝個人版的殺毒軟件
5、上網方式通過ADSL路由上網
需求分析:
從目前的網絡和系統(tǒng)情況看,雖然已經安裝了個人版的殺毒軟件,但是防病毒的效果還是不明顯。病毒總是先發(fā)而后制。同時因為沒有ITSupport的存在,人員過于混雜,使得感染和傳播計算機病毒的機會增加。
客戶端和服務器端已經是Windows2000,可以利用組策略限制客戶端行為,減少病毒傳播可能性。
上網方式為路由方式,不利于上網管理。
建議:
1、利用現在的Windows2000服務器建立Domain
2、把當前的直接從路由上網修改為代理上網
3、購買服務器,安裝ISA,用于上網管理
4、限制客戶端可運行程序
5、限制本地Administrators組成員
6、限制用戶可訪問的網站和服務器
7、限制用戶訪問Internet的端口和協議
8、*關于電子郵件過濾,可以考慮使用ISA的FeaturePack。
9、*上網管理是否限制到用戶級?
操作步驟:
1、發(fā)放《客戶機使用者調查表》、《日常使用軟件調查表》、《日常訪問網站調查表》
2、估計操作時間
3、估計需要配合的人員數目
4、升級Windows2000到DC(操作中發(fā)現該機已經被升為DC)
5、建立新的OU,建立_MW_Manager和_MW_Opt兩個安全組,分別把部門經理和操作員加入不同的組
6、在OU上建立相關策略,限制客戶端可運行程序
7、在新購買的服務器上安裝Windows2000,安裝ISA為Array+集成模式,安裝RASPPPOE
8、配置ISA策略,允許許可協議和網站
9、把ADSL路由下網,在ISA服務器上面配置PPPOE撥號
10、配置新的組策略,分發(fā)ISA客戶端
11、重新啟動客戶端,使FirewallClient生效
12、配置IPPacketFilter,使ISA服務器本身可以上網
安裝完成發(fā)現遺忘部分:
1、當前客戶機網絡地址有些是由以前的ADSL路由其中的DHCP分配的,有些是靜態(tài)IP;
2、當前客戶機不能正確解析DNS名稱;
針對不正確部分:
1、在DC上建立DHCP服務,同時配置區(qū)域
2、查看原DC上面的DNS服務器,發(fā)現Root服務器不能正確訪問。于是在ISA服務器安裝配置第二個DNS服務器替代以前的DNS服務器。同時修改DHCP作用域選項(ISA中關于DNS的部分配置正確)
奇怪之處:
1、如果不斷網就不能重新啟動ISA服務(這個在其他地方都沒有)
2、ISA服務器不能從網上鄰居訪問,導致FirewallClient不能正確分發(fā)(沒有配置正確的事務處理?病毒?)
奇怪之處2:病毒導致IPC$不可用,查找CSDNFAQ,http://community.csdn.net/Expert/FAQ/FAQ_Index.asp?id=195978解決問題。
奇怪之處1:后配置ADSL斷線自動重撥,問題消失。
總結:
1、由于沒有現場勘查,給出的計劃中出現了IP配置錯誤。或者是忘記對客戶機的狀態(tài)進行調查,屬于重大失誤;
2、對于遠距離的客戶端應該加強監(jiān)管,否則病毒的感染和傳播的機率非常的大;
3、這樣的事情做多了就沒有感覺了,就跟殺人殺多了就麻木了。不知道他們如何咬牙切齒呢。
希望本文介紹的巧用組策略和ISA控制客戶端行為的實例能夠對讀者有所幫助。
【編輯推薦】
