首页 系统网络管理 Windows 客户端安全解决方案 企业网络安全解决方案 企业客户端安全规章下载 计算机系统安全管理 XP客户端安全设置
企业WindowsXP安全解决方案客户端如何进行安全设置?
1 开机直接运行某个程序
2 固定使用某一个屏幕保护、壁纸,并且不能看到“网络邻居”
3 对IE的配置进行统一管理
4 软件限制设置,进行规则的设置
5 必须登录域
6 网络及拨号连接的限制
7 禁止共享盘符(x:)$IPC
8 禁止网络驱动器
9 禁止USB移动设备
10 禁止将数据保存到磁盘
11 退出终端程序后关机行为策略
12 禁止用户进行网络配置修改,防止修改机器的ip/mac等信息
13 禁止非法的机器接入网络,只有认证的机器可接入网络
14 禁止非法外联,对进行的modem拨号、PPPoE等拨号方式进行控制
就上面这些要求,希望高手们不吝赐教,能实现几个就请写出几个步骤
回答:
这些都是企业客户端在安全管理时经常遇到的问题,这些问题组合在一起,再稍加完善,就是一套比较简单的企业客户端安全解决方案。下面是我对这些问题的看法。
1、如果客户端没有加入域,那么可以用本地的计算机启动脚本来做。方法是这样的:
a、Winkey(Windows徽标键)+R,打开运行对话框,输入 gpedit.msc,回车。
b、浏览到 计算机配置,Windows设置,脚本(启动/关机)
c、设置对应的计算机启动脚本。
如果客户端已经加入域了,那么可以建立一个OU,然后将对应的计算机账户移动到这个ou中,然后对此ou设置策略,在策略中指定计算机启动脚本,关于登录脚本的方法请参考
http://gnaw0725.blogbus.com/logs/4888704.html
2、关于如何统一壁纸的问题,请参考 http://gnaw0725.blogbus.com/logs/7068160.html
3、关于如何IE的设置,请参考 http://gnaw0725.blogbus.com/logs/7277405.html
4、关于如何软件限制,请参考 http://gnaw0725.blogbus.com/logs/4888466.html
5、关于如何强制登录到域,请参考 http://gnaw0725.blogbus.com/logs/4888481.html
6、14、都是关于如何限制拨号连接,您可以建立一个拨号服务器,然后将Modem连接在拨号服务器上,对Modem的拨号进行统一管理,设置仅允许哪些账户拨出。同时您也可以在安全策略中作出限制:
用户配置,管理模板,网络,网络及拨号连接,禁止访问网络连接向导
7、关于如何禁止IPC$,首先IPC$并不是漏洞,我不建议您禁止它,尤其在企业网络管理中,它是不可缺少。不过您也可以使用安全策略进行相应的设置。
8、关于如何禁止网络驱动器,如果您的目的是出于控制客户端之间私自共享,那么只要收取本地管理员权限和Power user权限就可以了。如果您确实需要禁止网络驱动器,那么您可以在安全策略中进行设置,它的位置在:
用户配置,管理模版,Windows组件,windows资源管理器,删除“映射网络驱动器”和“断开网络驱动器”
9、关于禁止USB等移动存储,请参考 http://gnaw0725.blogbus.com/logs/4888572.html
http://gnaw0725.blogbus.com/logs/4888480.html
10、关于如何禁止本地磁盘存储,您可以通过安全策略,设置不允许存储的盘符。它的位置在:
用户配置,管理模版,Windows组件,windows资源管理器,防止从“我的电脑”访问驱动器
11、退出终端程序后关机行为策略
12、关于如何禁止用户修改网络配置,请收取所有的本地管理员权限,用户没有管理员权限,自然无法修改,关于收取管理员权限之后遇到的问题,请参考
http://gnaw0725.blogbus.com/logs/4888469.html
13、关于如何禁止非法的机器进入网络,目前通行的一个技术就是NAP(网络访问防护),但这个技术在 Window Vista与Windows Server 2008中才初见完善,目前您可以考虑使用一些第三方的技术,例如Cisco的网络接入防护。
关于更多企业客户端的安全管理,请参考 Windows XP 客户端安全设置
http://www.microsoft.com/china/technet/security/guidance/secmod62.mspx
---gnaw0725
您好,以下是我给您的答复
1 开机直接运行某个程序
你可以修改注册表中的run来达到你这个目的
2 固定使用某一个屏幕保护、壁纸,并且不能看到“网络邻居”
3 对IE的配置进行统一管理
4 软件限制设置,进行规则的设置
5 必须登录域
6 网络及拨号连接的限制
7 禁止共享盘符(x:)$IPC
8 禁止网络驱动器
以上的这些在组策略中都有,你可以直接修改
9 禁止USB移动设备
您可以参考http://www.mcse.org.cn/showtopic-1330.html
10 禁止将数据保存到磁盘
11 退出终端程序后关机行为策略
12 禁止用户进行网络配置修改,防止修改机器的ip/mac等信息
13 禁止非法的机器接入网络,只有认证的机器可接入网络
14 禁止非法外联,对进行的modem拨号、PPPoE等拨号方式进行控制
---洛洛
喜欢这篇文章吗?那就点击 订阅吧
首页|
评论 0 |
引用 0 |
编辑 按下键盘Ctrl+D会有惊喜发生
原文:企业WindowsXP安全解决方案客户端如何进行安全设置
分类:[首页]>>[系统网络管理]
原创: 活动目录SEO博客版权所有。转载时必须注明本声明,本文作者和链接。
作者: gnaw0725
链接:http://gnaw0725.blogbus.com/logs/8040974.html
时间:2007-09-01 12:23
收藏到:
上一篇日志:<< 如何同时两条ADSL线路传输数据
下一篇日志:安装活动目录的作用和意义|微软Windows2000-2003-2008Activedirectory >>
『企业WindowsXP安全解决方案客户端如何进行安全设置 我想说:』 |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus();){kind=logo}