史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-20, 06:28 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 給區域網路客戶打修正檔

群組原則的出現使得很多原來需要通過修改註冊表才能實現的修改一下變得簡單起來,關於什麼是群組原則,我想不用多作說明了,大家執行「GPEDIT.MSC」就會知道。此外,群組原則在網路中的套用很廣泛,例如當你需要給網路的客戶端機安裝一個軟體或修改一個設定,用群組原則都能幫你輕鬆搞定但前提是你的網路伺服器已昇級為域伺服器。只需在域伺服器中設定好群組原則,就能套用到這個域的所有客戶端機中,本文的域名是「AD.EXAMPLE.MICROSOFT.COM」。

域伺服器設定

在域伺服器上執行「DSA.MSC」開啟「Active Directory用戶和電腦」視窗,在域名「AD.EXAMPLE.MICROSOFT.COM」上按下右鍵,選項 「內容」,在彈出的對話視窗中點擊「群組原則」選擇項(如圖1所顯示),列表中顯示的就是已經設定好的原則,你可以在這些原則上修改,也可以新增一個。點擊「新增」,然後修改好名字如「install」,選這個群組原則按「編輯」按鈕,這時就進入到我們熟悉的群組原則設定視窗,這個群組原則的設定跟單機上的群組原則完全一樣,由於是給客戶端機安裝軟體,那麼現在就需要用到群組原則中的登入指令碼來實現。不過在設定群組原則之前,需要把指令碼文件準備好,開啟記事本,輸入「start/wait \\192.168.0.1\hotfix\chaqq.exe」,儲存為「C:\ADFILE \INSTALL.BAT」,然後將程序chaqq.exe也複製到C:\ADFILE資料夾中,如果需要安裝多個程序,在批次處理文件INSTALL.BAT中追加即可,但要注意不要把「/wait」去掉,不然這些程序就會同時安裝,加上這個參數目的是讓程序一個接一個地安裝。



http://www.dvbbs.net/ShowImg.asp?p=/...9326667147.jpg

圖1建立好批次處理文件後,把「C:\ADFILE」資料夾設為共享,共享名不用修改。返回到群組原則設定視窗,展開「用戶設定→Windows設定→指令碼-(登入/註銷)」,在右邊視窗中雙按「登入」,在彈出的對話視窗中按「增加→瀏覽」選項「INSTALL.BAT」文件,在這裡選項批次處理文件需要一些技巧,你不能直接進入「C:\ADFILE」資料夾選項,而是要通過網路芳鄰來選項這個批次處理文件,原因是客戶端機是通過網路訪問這個文件的,因此要將這個批次處理文件所在的路徑改為網路路徑,你可以這樣來選項這個文件,在瀏覽項中輸入\\192.168.0.1(假如域伺服器的IP是192.168.0.1),然後進入「ADFILE」資料夾點選「INSTALL.BAT」,最後的路徑如圖2所顯示,按「確定」按鈕完成群組原則的設定。(點擊檢視更多軟體使用技巧)


http://www.dvbbs.net/ShowImg.asp?p=/...576f151e97.jpg


圖2客戶端機設定

如果客戶端機還沒有加入域中,請按照以下方法增加。

開啟「我的電腦」的內容框,在「網路標幟」選擇項中按「內容」按鈕,然後在「隸屬於」下點選「域」單選項。這時文本框就會被啟動,在這個文本項中填入你的網路所在的域(本文的域是「AD.EXAMPLE.MICROSOFT.COM」),然後按「確定」。如果網路卡內容的「DNS位址」已設定成域伺服器的IP,這時就會彈出一個框讓你輸入登入域的用戶名和密碼,你在這裡填寫的用戶名必須先在域伺服器上建立好並且將其加到「Account Operators」組中。另外,不要忘記在域伺服器上新增一個電腦賬戶,只有這樣才可以用這個用戶名把客戶端機增加到域中。把用戶名和密碼都填好,點擊「確定」,當彈出 「歡迎加入到域」的提示訊息,說明這台客戶端機已經是域成員了。

當客戶端機在下次登入系統的時候,會發現登入項中多了域的選項,在這個選項中選項一個域(本文是「AD.EXAMPLE.MICROSOFT.COM」),然後在用戶名和密碼項中分別輸入相應的用戶名和密碼(如圖3)。驗證通過後,客戶端機就會根據批次處理文件中指定的程序清單給系統安裝相應的程序。當然,在安裝這些程序的程序中還是需要用戶選項安裝路徑等相關操作。




http://www.dvbbs.net/ShowImg.asp?p=/...67fc31a72c.jpg
圖3客戶端機都安裝完這些程序後,不要忘了在域伺服器中把這個群組原則移除,否則當客戶端機下次登入時又會自動使用這些安裝程序。以上只是套用了群組原則中的「登入指令碼」原則,但是你要知道一點就是,只需在群組原則中把要修改的原則都設定好,凡是登入這個域的客戶端機都能套用到這些原則。

如果用本文的方法給客戶端機安裝系統修正檔,那麼客戶端機登入到域的那個賬戶還需要具有管理員權限才可以安裝。

提示:本文的操作都是以管理員身份登入,域伺服器的作業系統是Windows Server 2003,客戶端機的作業系統是Windows 2000 Professional。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-05-23, 02:02 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

幾乎所有企業對於網路安全的重視程度一下子提高了,紛紛採購防火牆等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。

  大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網路的核心局內網還是非常脆弱的。企業也對內部網路實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網路防火牆、入侵檢測軟體等,並希望以此實現局內網與Internet的安全隔離,然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網路卡等方式上網,而這些機器通常又置於企業局內網中,這種情況的存在給企業網路帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在,極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網路,從而造成敏感資料洩密、傳播病毒等嚴重後果。實踐證明,很多成功防範企業網邊界安全的技術對保護企業局內網卻沒有效用。於是網路維護者開始大規模致力於增強局內網的防衛能力。

  下面指出了應對企業局內網安全挑戰的10種原則。這10種原則即是局內網的防禦原則,同時也是一個提高大型企業網路安全的原則。

1、注意局內網安全與網路邊界安全的不同

  局內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網路伺服器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入網際網路、寫程序就可訪問企業網的幾率。局內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制區域網路絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強局內網防範原則。

2、限制VPN的訪問

  虛擬專用網(VPN)用戶的訪問對局內網的安全造成了巨大的威脅。因為它們將弱化的桌面作業系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業局內網的。因此要避免給每一位VPN用戶訪問局內網的全部權限。這樣可以利用登入控制權限列表來限制VPN用戶的登入權限的等級,即只需賦予他們所需要的訪問權限等級即可,如訪問郵件伺服器或其他可選項的網路資源的權限。

3、為合作企業網建立局內網型的邊界防護

  合作企業網也是造成局內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入局內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控制合作者的網路安全原則和活動,那麼就應該為每一個合作企業新增一個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對局內網其他資源的訪問。

4、自動跟蹤的安全原則

  智能的自動執行既時跟蹤的安全原則是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全原則的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全原則也必須與相適應。例如既時跟蹤企業員工的僱傭和解雇、既時跟蹤網路利用情況並記錄與該電腦對話的文件伺服器。總之,要做到確保每天的所有的活動都遵循安全原則。

5、關掉無用的網路伺服器

  大型企業網可能同時支持四到五個伺服器傳送e-mail,有的企業網還會出現幾十個其他伺服器監視SMTP連接阜的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在執行但是又不具有文件伺服器作用的,關掉該檔案的共享傳輸協定。

6、首先保護重要資源

  若一個局內網上連了千萬台(例如30000台)電腦,那麼要期望保持每一台主機都處於鎖定狀態和修正檔狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對伺服器做效益分析評估,然後對局內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如既時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在局內網的定位和權限限制工作。

7、建立可靠的無線訪問

  審查網路,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網路訪問的強制性和可利用性,並提供安全的無線訪問接頭。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。

8、建立安全過客訪問

  對於過客不必給予其公開訪問局內網的權限。許多安全技術人員執行的「內部無Internet訪問」的原則,使得員工給客戶一些非法的訪問權限,導致了局內網既時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網路塊。

9、新增虛擬邊界防護

  主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊局內網方面努力。於是必須解決企業網路的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶端機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立網際網路與局內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

10、可靠的安全決策

  網路用戶也存在著安全隱患。有的用戶或許對網路安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網路閘道和分組過濾防火牆之間的不同等等,但是他們作為公司的合作者,也是網路的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能啟始他們自動的回應網路安全原則。

  另外,在技術上,採用安全交換機、重要資料的制作備份、使用代理網路閘道、確保作業系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:52 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1