老克的工作環境和我的差不多，也有客服部，財務這塊。人數也許也應該差不多。 我們公司目前 200 多號人，系統管理和網絡管理就兩個人在做，每天非常輕松，現在我有大 把大把的時間來學習 linux，加強 cisco。我和另外一個人可以在一天上班期間看完一整套教 學視頻，中途沒有人來打斷。但在此之前，我們公司和你老克現在的情況非常像，1、 員工電腦臟；2，網絡環境亂；3，內網穩定差；4，人員計算機素質參差不齊

入題：

一、資金，既然總監說了給你支持，也分 2 種情況。

1、 錢多，我的預算在 6.5W 左右

2、 錢少，我的預算在 2.5W 左右

技術，我的技術本身不高，但也能把現在供職的公司內網管理撐起來，相信大家都做 IT 的，多 google，多資料，全部不在話下。

1、 AD 域，Server 2008

2、 H3C、Cisco ——了解 rule 命令即可；實在不行，打廠商售后技術支持；

H3C：400-810-0504

Cisco：根據地域選擇吧

3、 WDS 部署 根據實際情況，看視頻最后，老克公司有臺式機，筆記本。既然是公司且含有客服部，這樣的公司 PC 和 Notebook 應該是統一型號或者相差不多。

4、 編寫需強制性執行守則文檔。

二、設備、 必須：

1、一至兩臺中低檔的服務器，拿來做 AD 域服務器。我們公司用的 DELL 710，我 名下的幾臺域服務器，也就 2.3W 一臺。（只有一臺服務器的，就拿來做主域，再 找臺配置高點的 PC 或者其他服務器做備份域服務器；兩臺服務器的就一臺主一臺 備份）

2、企業版殺毒軟件。獲得這些殺毒軟件的流程請自行 google，正版或者盜版看領 導意思。我個人推薦邁克菲，部署方便是主要，殺毒也是不錯的。殺毒軟件的服 務器，不必那么高，目前我們公司企業殺毒軟件我也只是放在一臺 PC 上面。

3、支持 Vlan，Dhcp 的網絡設備。這些老克公司應該都有的。Dhcp 服務器可以直接搭建在域服務器上。

這樣算下來，一臺服務器的話也就在 2.5W 左右，如果有空閑的服務器最好了，連這 筆錢都省了，殺毒軟件和操作系統請自行獲得。

PS：看視頻中的一些人員還有環境猜測，有實力購買全套正版工具的公司也不會出現這 樣的問題了，呵呵。僅僅題外話。

可選：

1、 上網行為管理設備。網康或者深信服 北方用網康多些，南方用深信服多些。地域文化的一些差別，呵呵。 如果老克的老總或者一些部門領導希望自己有更多的特權就選擇深信服，深信服 更為圓滑一點。

實施步驟：（也不能算的上是實施步驟，我多寫點可以解決哪方面的問題吧）

一、 搭建域環境，微軟公司明確建議過，局域網中超過 10 臺 PC 就最好搭建域環境

1、 操作系統 Server 2008 （也許我可以給你提供一枚 KEY）

2、 搭建域的方法和方式自行 google，51cto 里也有很多文獻資料

PS：細節

1、 直接從 AD 域下發禁用 360，360 殺毒，電腦管家，市面上比較流行的計算機優化管理軟 件的策略。（具有域工作模式的公司里的 IT 相信都很反感某些計算機優化管理軟件吧）

（禁用這些軟件可以使通過域管理的計算機更穩定，那些軟件很有可能阻礙你的下發策略）

2、 直接在路由中 deny 掉上述軟件的官網和任何下載地址

（禁止通過公司網絡下載這些軟件）

3、 某些部門可以根據實際情況在域服務器上下發禁用 USB 接口

（加強信息安全）

4、 域服務器統一下發本地管理員賬號和密碼（即加了域的計算機，本地管理員賬號和密碼 將修改，以防止某些用戶登錄本機管理員）

（防止員工猜測或者直接破解管理員密碼）

二、 員工系統（XP 為主，視頻看到）---只要電腦型號不太老，都是支持網卡 PXE 模式的，也就是網絡啟動。

1、 從網絡上 Download Windows XP SP3（安裝使用前先 MD5 校驗碼是否與官方公布相同） 這套系統直接關系到公司內所有電腦的系統一定要保證是干凈純凈。

（安全純凈才是王道）

2、 在一臺硬件設備都完好的 PC 上，安裝 XP XP3，打好官方所放出的所有安全補丁以及系 統補丁，以及常用的辦公軟件 Office，RAR，PDF

（保證系統的及時可用性。如果公司的電腦設備硬件不同，請收集硬件驅動存在在 C 盤某新 建文件夾中）

3、 封裝此系統，切忌只能封裝，不要妄想 Ghost，Ghost 出來的系統安全標示符是一模一樣 的。在域工作模式下的 PC 中的操作系統，系統安全標示符不能相同。

4、 既然已經中了病毒，就重新安裝系統，通過遠程網卡安裝，100MB 交換機 15 分鐘一臺。 系統重裝，是全體公司員工重裝。遙想我當時公司的 400 臺電腦啊！哈哈！

（這里你可以部署一臺 FTP 或者直接在一臺 PC 上開啟全員共享，把他們的個人資料， 工作資料上傳到此處，然后把員工電腦全盤格式化。放置員工文件的那臺 PC，安裝一個 殺毒軟件，提示：中毒文件不要刪除，隔離掉，以防刪除了員工資料）

PS：細節

1、 保證系統純凈不要做任何所謂的優化，一些官方允許的優化你都可以在最后通過域服務 器下發策略來完成。

2、 不要想通過 Ghost 來完成部署。原因不明請 google。

3、 封裝的系統最好是能完成最基本的辦公操作，什么技術部，財務部的軟件不要安裝并封 裝。

WDS 部署：（通過網絡上的教程來操作，一般不會出現什么大問題） 我們之前在實施時，由于網卡驅動在 WDS 中添加的引導文件中不包含，這個問題糾結了 24 小時，后來直接把網卡放在了引導文件中即解決。

WDS 部署前，要確定你的域環境是搭建好的，穩定的。因為你部署完一臺電腦就把這臺電 腦加入公司域去。讓員工使用他們唯一的賬號來登錄系統。

三、 網絡環境

1、 盡可能的劃分出部門的 Vlan，至少我們公司是把客服部單獨劃分出來了，直接禁用了客 服部的網絡，只放開幾個單一的網站。

2、 在全網中，通過 rule deny 掉一些網站，垃圾網站和一些娛樂網站，一些游戲網站。因為 這些網站是人們大多數喜歡訪問的，受到黑客的掛馬也是正常的。你直接 deny 掉。

3、 添加 acl 開放一些網站給自己或者其他領導層用

四、部署企業殺毒軟件

1、 企業殺毒軟件都是與 AD 域想通的，加入域的計算機可以直接在后臺安裝殺毒軟件，通 過殺毒軟件服務器設置可以禁止客戶機不能關閉殺毒軟件。

五、編寫強制性的執行守則

這里我想啰嗦一句也吐槽一下，一定一定一定要有強制性的執行守則來保證自己的心血 不白費。

1、 公司員工的素質是參差不齊的，小公司的 IT 不要指望員工都能有多大的素質， 某些員工只要沒有明確守則出臺，他不會按著你說的做的。只是按自我為中心。 說句不好聽的話，我們是系統管理員是網絡管理員，但在他們眼中心中，我們就是 網吧的網管，一招手你就要來，你不來直接投訴各種罵。

2、 編寫加入公司守則的網絡守則，或者針對目前的網絡環境更新之前的網絡守則。

舉幾個例子，希望老克也能參考：

① 不要指望，加入了域的 PC 使用者員工，真的不會安裝 360 了，不安裝其他娛樂軟件， 或者不妄想解除域環境，更有甚者想自行重裝系統。你只要編寫出守則，哪位員工這么做了，就是無視公司紀律，后果叫他們自己承擔。 我在公司這么嚇唬他們，你可以安裝 360，可以安裝娛樂軟件，可以自行重裝系統，可以自己想方設法解除域。但以后計算機出現了問題，開不了機，文件丟失或者哪天上不了網，不要找我，請自行給主管申請帶出自己的 PC 到維修點修理，且自費，我還可以 給你介紹幾家。

② 人都是有反骨的，有安于現狀的。計算機加入域，需要重裝系統的，限制某些網站的， 他們都不想的。你把為什么要加入域，為什么要重裝系統，為什么禁止某網站什么的原因全部整理出 來一個文檔，全員發布。你去給員工計算機加入域要重裝的，他們不配合，他們歪理邪說的，直接拿出文檔+守 則。看他們是跟你過不去還是跟自己過不去。

③ 與公司的紀律部門配合好，可以給他們優先加入域，給他們講清楚道理，并對他們熱 心點，不管大小問題，都去問問，解決掉。有了這些部門配合，干活事倍功半。

④ 然后就是一些領導層了，也給他們將清楚，讓領導真的認識到你這樣做對公司的目前狀 況的解決和對公司未來發展的好處。領導說一句話，比你說 10 句話好得多。

小建議：

1、 建立一個文件服務器開放共享，放置一些軟件，避免員工在網絡上通過不同的渠道下載 相同或者不安全的軟件。同時避免浪費帶寬。

2、 路由上開啟 QOS，限制網速，阻止某些協議。

3、 每個用戶的登錄密碼建議 3 個月修改一次，并出臺守則，員工自己不及時修改密碼或忘 記密碼（快到 3 個月期限時，登錄系統會提示密碼將要過期）導致進不了系統的，須領 導一層層審批。

4、 無聊的時候就去其他辦公環境看看，有沒有人上什么閑雜網站，記錄一下，事后直接封 掉。

5、 根據視頻中的描述，應該是互聯網是直接放開的，任何網站都是放開的，

老克可以重新直接關閉所有互聯網，哪個部門需要哪些網站就開放哪些網站。

（這個需要慎重考慮，花費時間較長，各個部門需要收集網站）

小總結：

1、 通過重裝系統的方式，從根本上解決掉目前殘留在系統內網機器中的病毒。

2、 通過域控制模式，阻止某些軟件的運行，加快系統運行速度。

3、 通過 WDS 部署方式，以后某臺電腦出現了問題，通過光盤 PE 或者其他方式，遷移出C盤下的數據，然后直接開機進行網絡安裝。

4、 通過路由交換中的 acl ，rule ，禁止掉一些掛馬率較高的網站。

5、 通過殺毒軟件，以及禁用移動存儲的方式清理和截斷病毒的來源。

6、 通過出臺嚴厲的網絡規范，誰出問題，直接找到責任人。

可選設備中的，上網行為管理

中大型的公司都會考慮一臺 上網行為管理 設備。上網行為管理的作用，老克可以去 google 搜索一下。 針對老克公司的狀況。由于我也不能了解到你們公司詳細情況，所以只能說建議購買。 有一臺上網行為管理設備結合域管理，IT 的責任會輕很多很多，這里說的責任不是我們 IT 應該承擔的責任，而且某些員工，強加到 IT 頭上的責任，莫須有的。 例如，有的員工明明是自己訪問了不該訪問的網站中毒，然后怪 IT 沒有做好防護設置， 又例如，有的員工明明是自己下載安裝了某些軟件，導致系統崩潰，然后責怪 IT 封裝的系 統不穩定。又例如公司的機密被蓄意泄露，領導怪 IT 沒有做好信息安全。

這些都可以通過上網行為管理來解決掉。還有之前視頻中講到的員工私自關閉殺毒軟件，都 可以通過上網行為管理設備來解決。

針對老克目前所碰到的狀況，通過上網行為管理設備可以解決的：

1、 上網行為管理設備中有一個第三方認證上網，

① 只有加入公司域，且用域賬號登陸的計算機才能訪問網絡資源。

② 只有安裝了公司要求安裝的最低安裝軟件清單才能訪問網絡資源，例如公司內部統 一部署邁克菲，有一臺電腦沒有安裝邁克菲，就不能訪問網絡資源。

2、 上網行為管理設備中有一個地址庫，這個地址庫涵蓋了大多數的惡意釣魚網站。且實時 更新數據。可以直接調用給內網使用。員工將不能訪問這類地址庫中的地址，這里就大 部分的阻隔了病毒和木馬插件的進入。

3、 設備中可以含有網關殺毒（這個貌似需要購買模塊還有其他服務費）用戶在訪問某網站 時，此網站帶毒，上網行為管理設備檢測到后，直接在內網外就阻止掉了。

4、 員工上網行為記錄，只要這臺電腦連入互聯網，他通過公司網絡資源訪問了哪些網站， 下載了哪些數據，上傳了哪些數據，QQ 里聊天記錄都將一一記錄，并最低保存 60 天。

5、 審計功能，一個月可以審計一次，可以總結出這個月內，流量最大的用戶，活動最頻繁 的用戶，等等。

6、 通過這個設備可以禁用很多軟件，例如迅雷,BT，PPS 等等。

以前有句很好的話，素質和法則都是沒用的，只有技術才能真正解決問題，哈哈。 現在市面上的上網行為管理設備功能都比較強大，因此價錢也比較貴， 這邊據我所知的幾個數據，400 節點左右，50MB 出口帶寬，設備價錢在 5W 左右。 具體的老克可以去查詢一下。

搭建域服務器，WDS 部署，網絡清理，這 3 件搞定花費時間在 10 天左右，畢竟還需要錄入 一些員工信息。

等全部弄完后，在內網建立一個 blog，有些信息有些方法方式，例如連接 FTP 的方法都放上 去，有人問，直接告訴 blog，有些人不能慣著他們。

最后希望 老克 能盡快解決問題，加油。