老克的工作环境和我的差不多,也有客服部,财务这块。人数也许也应该差不多。 我们公司目前 200 多号人,系统管理和网络管理就两个人在做,每天非常轻松,现在我有大 把大把的时间来学习 linux,加强 cisco。我和另外一个人可以在一天上班期间看完一整套教 学视频,中途没有人来打断。但在此之前,我们公司和你老克现在的情况非常像,1、 员工电脑脏;2,网络环境乱;3,内网稳定差;4,人员计算机素质参差不齐
入题:
一、资金,既然总监说了给你支持,也分 2 种情况。
1、 钱多,我的预算在 6.5W 左右
2、 钱少,我的预算在 2.5W 左右
技术,我的技术本身不高,但也能把现在供职的公司内网管理撑起来,相信大家都做 IT 的,多 google,多资料,全部不在话下。
1、 AD 域,Server 2008
2、 H3C、Cisco ——了解 rule 命令即可;实在不行,打厂商售后技术支持;
H3C:400-810-0504
Cisco:根据地域选择吧
3、 WDS 部署 根据实际情况,看视频最后,老克公司有台式机,笔记本。既然是公司且含有客服部,这样的公司 PC 和 Notebook 应该是统一型号或者相差不多。
4、 编写需强制性执行守则文档。
二、设备、 必须:
1、一至两台中低档的服务器,拿来做 AD 域服务器。我们公司用的 DELL 710,我 名下的几台域服务器,也就 2.3W 一台。(只有一台服务器的,就拿来做主域,再 找台配置高点的 PC 或者其他服务器做备份域服务器;两台服务器的就一台主一台 备份)
2、企业版杀毒软件。获得这些杀毒软件的流程请自行 google,正版或者盗版看领 导意思。我个人推荐迈克菲,部署方便是主要,杀毒也是不错的。杀毒软件的服 务器,不必那么高,目前我们公司企业杀毒软件我也只是放在一台 PC 上面。
3、支持 Vlan,Dhcp 的网络设备。这些老克公司应该都有的。Dhcp 服务器可以直接搭建在域服务器上。
这样算下来,一台服务器的话也就在 2.5W 左右,如果有空闲的服务器最好了,连这 笔钱都省了,杀毒软件和操作系统请自行获得。
PS:看视频中的一些人员还有环境猜测,有实力购买全套正版工具的公司也不会出现这 样的问题了,呵呵。仅仅题外话。
可选:
1、 上网行为管理设备。网康或者深信服 北方用网康多些,南方用深信服多些。地域文化的一些差别,呵呵。 如果老克的老总或者一些部门领导希望自己有更多的特权就选择深信服,深信服 更为圆滑一点。
实施步骤:(也不能算的上是实施步骤,我多写点可以解决哪方面的问题吧)
一、 搭建域环境,微软公司明确建议过,局域网中超过 10 台 PC 就最好搭建域环境
1、 操作系统 Server 2008 (也许我可以给你提供一枚 KEY)
2、 搭建域的方法和方式自行 google,51cto 里也有很多文献资料
PS:细节
1、 直接从 AD 域下发禁用 360,360 杀毒,电脑管家,市面上比较流行的计算机优化管理软 件的策略。(具有域工作模式的公司里的 IT 相信都很反感某些计算机优化管理软件吧)
(禁用这些软件可以使通过域管理的计算机更稳定,那些软件很有可能阻碍你的下发策略)
2、 直接在路由中 deny 掉上述软件的官网和任何下载地址
(禁止通过公司网络下载这些软件)
3、 某些部门可以根据实际情况在域服务器上下发禁用 USB 接口
(加强信息安全)
4、 域服务器统一下发本地管理员账号和密码(即加了域的计算机,本地管理员账号和密码 将修改,以防止某些用户登录本机管理员)
(防止员工猜测或者直接破解管理员密码)
二、 员工系统(XP 为主,视频看到)---只要电脑型号不太老,都是支持网卡 PXE 模式的,也就是网络启动。
1、 从网络上 Download Windows XP SP3(安装使用前先 MD5 校验码是否与官方公布相同) 这套系统直接关系到公司内所有电脑的系统一定要保证是干净纯净。
(安全纯净才是王道)
2、 在一台硬件设备都完好的 PC 上,安装 XP XP3,打好官方所放出的所有安全补丁以及系 统补丁,以及常用的办公软件 Office,RAR,PDF
(保证系统的及时可用性。如果公司的电脑设备硬件不同,请收集硬件驱动存在在 C 盘某新 建文件夹中)
3、 封装此系统,切忌只能封装,不要妄想 Ghost,Ghost 出来的系统安全标示符是一模一样 的。在域工作模式下的 PC 中的操作系统,系统安全标示符不能相同。
4、 既然已经中了病毒,就重新安装系统,通过远程网卡安装,100MB 交换机 15 分钟一台。 系统重装,是全体公司员工重装。遥想我当时公司的 400 台电脑啊!哈哈!
(这里你可以部署一台 FTP 或者直接在一台 PC 上开启全员共享,把他们的个人资料, 工作资料上传到此处,然后把员工电脑全盘格式化。放置员工文件的那台 PC,安装一个 杀毒软件,提示:中毒文件不要删除,隔离掉,以防删除了员工资料)
PS:细节
1、 保证系统纯净不要做任何所谓的优化,一些官方允许的优化你都可以在最后通过域服务 器下发策略来完成。
2、 不要想通过 Ghost 来完成部署。原因不明请 google。
3、 封装的系统最好是能完成最基本的办公操作,什么技术部,财务部的软件不要安装并封 装。
WDS 部署:(通过网络上的教程来操作,一般不会出现什么大问题) 我们之前在实施时,由于网卡驱动在 WDS 中添加的引导文件中不包含,这个问题纠结了 24 小时,后来直接把网卡放在了引导文件中即解决。
WDS 部署前,要确定你的域环境是搭建好的,稳定的。因为你部署完一台电脑就把这台电 脑加入公司域去。让员工使用他们唯一的账号来登录系统。
三、 网络环境
1、 尽可能的划分出部门的 Vlan,至少我们公司是把客服部单独划分出来了,直接禁用了客 服部的网络,只放开几个单一的网站。
2、 在全网中,通过 rule deny 掉一些网站,垃圾网站和一些娱乐网站,一些游戏网站。因为 这些网站是人们大多数喜欢访问的,受到黑客的挂马也是正常的。你直接 deny 掉。
3、 添加 acl 开放一些网站给自己或者其他领导层用
四、部署企业杀毒软件
1、 企业杀毒软件都是与 AD 域想通的,加入域的计算机可以直接在后台安装杀毒软件,通 过杀毒软件服务器设置可以禁止客户机不能关闭杀毒软件。
五、编写强制性的执行守则
这里我想啰嗦一句也吐槽一下,一定一定一定要有强制性的执行守则来保证自己的心血 不白费。
1、 公司员工的素质是参差不齐的,小公司的 IT 不要指望员工都能有多大的素质, 某些员工只要没有明确守则出台,他不会按着你说的做的。只是按自我为中心。 说句不好听的话,我们是系统管理员是网络管理员,但在他们眼中心中,我们就是 网吧的网管,一招手你就要来,你不来直接投诉各种骂。
2、 编写加入公司守则的网络守则,或者针对目前的网络环境更新之前的网络守则。
举几个例子,希望老克也能参考:
① 不要指望,加入了域的 PC 使用者员工,真的不会安装 360 了,不安装其他娱乐软件, 或者不妄想解除域环境,更有甚者想自行重装系统。你只要编写出守则,哪位员工这么做了,就是无视公司纪律,后果叫他们自己承担。 我在公司这么吓唬他们,你可以安装 360,可以安装娱乐软件,可以自行重装系统,可以自己想方设法解除域。但以后计算机出现了问题,开不了机,文件丢失或者哪天上不了网,不要找我,请自行给主管申请带出自己的 PC 到维修点修理,且自费,我还可以 给你介绍几家。
② 人都是有反骨的,有安于现状的。计算机加入域,需要重装系统的,限制某些网站的, 他们都不想的。你把为什么要加入域,为什么要重装系统,为什么禁止某网站什么的原因全部整理出 来一个文档,全员发布。你去给员工计算机加入域要重装的,他们不配合,他们歪理邪说的,直接拿出文档+守 则。看他们是跟你过不去还是跟自己过不去。
③ 与公司的纪律部门配合好,可以给他们优先加入域,给他们讲清楚道理,并对他们热 心点,不管大小问题,都去问问,解决掉。有了这些部门配合,干活事倍功半。
④ 然后就是一些领导层了,也给他们将清楚,让领导真的认识到你这样做对公司的目前状 况的解决和对公司未来发展的好处。领导说一句话,比你说 10 句话好得多。
小建议:
1、 建立一个文件服务器开放共享,放置一些软件,避免员工在网络上通过不同的渠道下载 相同或者不安全的软件。同时避免浪费带宽。
2、 路由上开启 QOS,限制网速,阻止某些协议。
3、 每个用户的登录密码建议 3 个月修改一次,并出台守则,员工自己不及时修改密码或忘 记密码(快到 3 个月期限时,登录系统会提示密码将要过期)导致进不了系统的,须领 导一层层审批。
4、 无聊的时候就去其他办公环境看看,有没有人上什么闲杂网站,记录一下,事后直接封 掉。
5、 根据视频中的描述,应该是互联网是直接放开的,任何网站都是放开的,
老克可以重新直接关闭所有互联网,哪个部门需要哪些网站就开放哪些网站。
(这个需要慎重考虑,花费时间较长,各个部门需要收集网站)
小总结:
1、 通过重装系统的方式,从根本上解决掉目前残留在系统内网机器中的病毒。
2、 通过域控制模式,阻止某些软件的运行,加快系统运行速度。
3、 通过 WDS 部署方式,以后某台电脑出现了问题,通过光盘 PE 或者其他方式,迁移出C盘下的数据,然后直接开机进行网络安装。
4、 通过路由交换中的 acl ,rule ,禁止掉一些挂马率较高的网站。
5、 通过杀毒软件,以及禁用移动存储的方式清理和截断病毒的来源。
6、 通过出台严厉的网络规范,谁出问题,直接找到责任人。
可选设备中的,上网行为管理
中大型的公司都会考虑一台 上网行为管理 设备。上网行为管理的作用,老克可以去 google 搜索一下。 针对老克公司的状况。由于我也不能了解到你们公司详细情况,所以只能说建议购买。 有一台上网行为管理设备结合域管理,IT 的责任会轻很多很多,这里说的责任不是我们 IT 应该承担的责任,而且某些员工,强加到 IT 头上的责任,莫须有的。 例如,有的员工明明是自己访问了不该访问的网站中毒,然后怪 IT 没有做好防护设置, 又例如,有的员工明明是自己下载安装了某些软件,导致系统崩溃,然后责怪 IT 封装的系 统不稳定。又例如公司的机密被蓄意泄露,领导怪 IT 没有做好信息安全。
这些都可以通过上网行为管理来解决掉。还有之前视频中讲到的员工私自关闭杀毒软件,都 可以通过上网行为管理设备来解决。
针对老克目前所碰到的状况,通过上网行为管理设备可以解决的:
1、 上网行为管理设备中有一个第三方认证上网,
① 只有加入公司域,且用域账号登陆的计算机才能访问网络资源。
② 只有安装了公司要求安装的最低安装软件清单才能访问网络资源,例如公司内部统 一部署迈克菲,有一台电脑没有安装迈克菲,就不能访问网络资源。
2、 上网行为管理设备中有一个地址库,这个地址库涵盖了大多数的恶意钓鱼网站。且实时 更新数据。可以直接调用给内网使用。员工将不能访问这类地址库中的地址,这里就大 部分的阻隔了病毒和木马插件的进入。
3、 设备中可以含有网关杀毒(这个貌似需要购买模块还有其他服务费)用户在访问某网站 时,此网站带毒,上网行为管理设备检测到后,直接在内网外就阻止掉了。
4、 员工上网行为记录,只要这台电脑连入互联网,他通过公司网络资源访问了哪些网站, 下载了哪些数据,上传了哪些数据,QQ 里聊天记录都将一一记录,并最低保存 60 天。
5、 审计功能,一个月可以审计一次,可以总结出这个月内,流量最大的用户,活动最频繁 的用户,等等。
6、 通过这个设备可以禁用很多软件,例如迅雷,BT,PPS 等等。
以前有句很好的话,素质和法则都是没用的,只有技术才能真正解决问题,哈哈。 现在市面上的上网行为管理设备功能都比较强大,因此价钱也比较贵, 这边据我所知的几个数据,400 节点左右,50MB 出口带宽,设备价钱在 5W 左右。 具体的老克可以去查询一下。
搭建域服务器,WDS 部署,网络清理,这 3 件搞定花费时间在 10 天左右,毕竟还需要录入 一些员工信息。
等全部弄完后,在内网建立一个 blog,有些信息有些方法方式,例如连接 FTP 的方法都放上 去,有人问,直接告诉 blog,有些人不能惯着他们。
最后希望 老克 能尽快解决问题,加油。
