搭建微軟網絡域管理
搭建微軟網絡域管理環境前的準備工作
爲了提高大型網絡的管理效率與安全性,微軟提出了一個通過域來管理企業局域網的思路。通過域可以實現在一個統一的平臺上對企業網絡採取一些統一的管理策略,這也一直是網絡管理員所追求的目標。不過域對於企業的網絡環境要求比較高。在搭建微軟網絡域管理環境之前所需要做的一些準備工作。
第一項工作:爲域設計一個好名字
若要訪問WINDOWS的域,一般是通過域名進行訪問,而不是通過域控制器的IP地址。所以,在部署微軟的域環境之前,則必須給這個域提個名字。這個名字可不能隨便取,必須符合微軟的域命名規則。
第一項工作:爲域設計一個好名字
若要訪問WINDOWS的域,一般是通過域名進行訪問,而不是通過域控制器的IP地址。所以,在部署微軟的域環境之前,則必須給這個域提個名字。這個名字可不能隨便取,必須符合微軟的域命名規則。
第二項工作:部署DNS服務器
在部署域管理環境的時候,域控制器會將自己登記到DNS服務器中去。如此做的目的,就是讓其他客戶端可以通過我們上面所取的名字訪問到這臺域控制器。所以,在企業的網絡中必須有一臺DNS服務器,否則的話,域控制器在安裝的過程中就會以失敗告終。
一是在安裝域控制器的時候,可以同時安裝DNS服務器。在將某臺服務器升級爲域控制器的時候,如果這臺服務器沒有安裝DSN服務器的時候,則會自動在這臺服務器上安裝微軟的DNS服務器,同時,也會自動在DSN服務器內建立一個以我們上面設計的域名一樣的空間,如A.COM。而且,會自動能啓用安全更新功能,當然,其安全等級選項是“只有安全的”。若採用這種方式部署DNS服務器的,必須先將這臺機器的中DNS服務器地址改過來。在TCP/IP屬性設置框中,除了設置IP地址、默認網關、子網掩碼之外,還可以設置DSN服務器地址。若想在這臺服務器上安裝DNS服務器的話,則必須把這個DNS地址清空,或者指定爲本機的IP地址,否則,會出現一些故障。
二是使用獨立的DNS服務器。在部署域管理環境的時候,我們也可以採用,而且也是積極建議的,使用獨立的DNS服務器。這可以使企業正在使用的,也可以新建一臺DNS服務器。然後,再DNS服務器爲這個域建立一個區域,並啓動自動更新功能。然後在安裝域控制器的時候,把域控制器的DNS地址指向這臺DNS服務器。
域管理的優點
1、權限管理比較集中,管理成本大大下降。
1.1:域環境,所有網絡資源,包括用戶,均是在域控制器上維護,便於集中管理。所有用戶只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網絡的成本大大降低。
1.2:防止公司員工在客戶端亂裝軟件, 能夠增強客戶端安全性、減少客戶端故障,降低維護成本。
2、安全性加強。
2.1有利於企業的一些保密資料的管理,比如說某個盤某個人可以進,但另一個人就不可以進;哪一個文件只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。
2.2可以封掉客戶端的USB端口,防止公司機密資料的外泄。
3、使用漫遊賬戶和文件夾重定向技術,個人賬戶的工作文件及數據等可以存儲在服務器上,統一進行備份、管理,用戶的數據更加安全、有保障。當客戶機故障時,只需使用其他客戶機安裝相應軟件以用戶帳號登錄即可,用戶會發現自己的文件仍然在“原來的位置”(比如,我的文檔),沒有丟失,從而可以更快地進行故障修復。
卷影副本技術可以讓用戶自行找回文件以前的版本或者誤刪除的文件(限保存過的32個版本)。在服務器離線時(故障或其他情況),“脫機文件夾”技術會自動讓用戶使用文件的本地緩存版本繼續工作,並在註銷或登錄系統時與服務器上的文件同步,保證用戶的工作不會被打斷。
4、方便用戶使用各種資源。可由管理員指派登錄腳本映射分佈式文件系統根目錄,統一管理。用戶登錄後就可以像使用本地盤符一樣,使用網絡上的資源,且不需再次輸入密碼,用戶也只需記住一對用戶名/密碼即可。
並且各種資源的訪問、讀取、修改權限均可設置,不同的賬戶可以有不同的訪問權限。即使資源位置改變,用戶也不需任何操作,只需管理員修改鏈接指向並設置相關權限即可,用戶甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺服務器上。
5、SMS(System Management Server)能夠分發應用程序、系統補丁等,用戶可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如Windows Updates),不需每臺客戶端服務器都下載同樣的補丁,從而節省大量網絡帶寬。
企業上網行爲管理解決方案
信息化引發企業對網絡管理需求增長,行爲審計的實際意義
隨着Internet的接入的普及和帶寬的增加,一方面員工上網的條件得到改善,另一方面也給企業帶來更高的網絡使用危險性、複雜性和混亂。在全世界網絡使用情況的調查中發現,非法使用郵件、瀏覽非法Web網站、下載音樂、電影等數字文件,或者在線觀看收聽流媒體的員工正在增加,令網絡管理者頭疼不已。這些員工隨意使用網絡將導致三個問題:(1)工作效率低下、(2)網絡性能惡化、(3)網絡違法行爲。
作爲一個開放的網絡系統,運行狀況愈來愈複雜。IT管理者如何及時瞭解網絡運行基本狀況,並對網絡整體狀況作出基本的分析,發現可能存在的問題(如病毒,***造成的網絡異常)快速的故障定位,這一切都是網信息安全管理的挑戰。
作爲一個開放的網絡系統,運行狀況愈來愈複雜。IT管理者如何及時瞭解網絡運行基本狀況,並對網絡整體狀況作出基本的分析,發現可能存在的問題(如病毒,***造成的網絡異常)快速的故障定位,這一切都是網信息安全管理的挑戰。
網絡資源的不合理使用,並導致工作效率下降
根據IDC最新數據報導,全球企業員工平均每天有超過四分之一的上班時間用來在線聊天,瀏覽娛樂、×××、×××,或處理個人事務;員工從互聯網下載各種信息,而在那些用於下載信息的時間中,62%用於軟件下載,11%的時間用於下載音樂,只有25%用於下載與寫報告和文件相關的資料。
互聯網上的內容太豐富了,對企業員工有太多的誘惑,很多的員工沉溺其中,無法自拔,常常把自己的本職工作放在一邊,導致企業整體工作效率沒有提升反而下降。 調查數據顯示以下爲影響工作效率主要的互聯網行爲,它們與工作無關而且可能導致更多的問題(比如網絡安全等):
·瀏覽×××網站;
·瀏覽遊戲、音樂等娛樂網站,下載大量與工作無關的音樂文件,在線聽音樂,在線看視頻圖像等,不僅耽誤工作,而且佔用大量的網絡帶寬資源,影響其他人員使用公司的資源;
·瀏覽相關財經網站,利用公司的資源在線買賣私人股票或瀏覽相關信息;
·瀏覽“在線”購物和拍賣網站;
·瀏覽×××;
·使用即時信息交流軟件如ICQ、QQ、AOL、MSN、Yahoo;
互聯網上的內容太豐富了,對企業員工有太多的誘惑,很多的員工沉溺其中,無法自拔,常常把自己的本職工作放在一邊,導致企業整體工作效率沒有提升反而下降。 調查數據顯示以下爲影響工作效率主要的互聯網行爲,它們與工作無關而且可能導致更多的問題(比如網絡安全等):
·瀏覽×××網站;
·瀏覽遊戲、音樂等娛樂網站,下載大量與工作無關的音樂文件,在線聽音樂,在線看視頻圖像等,不僅耽誤工作,而且佔用大量的網絡帶寬資源,影響其他人員使用公司的資源;
·瀏覽相關財經網站,利用公司的資源在線買賣私人股票或瀏覽相關信息;
·瀏覽“在線”購物和拍賣網站;
·瀏覽×××;
·使用即時信息交流軟件如ICQ、QQ、AOL、MSN、Yahoo;
網絡資源的不公平使用,帶來嚴重的帶寬問題
許多上網人員不停地下載大容量的文件,比如大量的MP3音樂文件;或者在線聽音樂、看視頻電影、新聞等行爲,嚴重佔用網絡帶寬,造成網絡堵塞,上網速度下降,影響其他員工的正常上網行爲。
管理人員奇怪企業大量投資的專線接入速度一天比一天慢;IT部門經常遭到抱怨,要求提升上網的帶寬;而有趣的是抱怨的人中包括那些下載音樂文件或看視頻電影的員工。
管理人員奇怪企業大量投資的專線接入速度一天比一天慢;IT部門經常遭到抱怨,要求提升上網的帶寬;而有趣的是抱怨的人中包括那些下載音樂文件或看視頻電影的員工。
上網給企業帶來的泄密或信息系統破壞等安全問題
任何企業都擔心自己內部的機密信息流露出去,而互聯網偏偏又方便信息的交流和傳遞。通過互聯網,任何數字文件都可以方便地發送出企業的內部網,正因爲如此國外很多公司都對企業內部的電子郵件系統實施定期的檢查。但郵件的檢查並不全面,因爲有很多免費的郵件系統可以利用,它們的使用只要用瀏覽器就可以;此外即時信息交流軟件也可以使用戶繞過電子郵件系統而直接發送信息到企業外部。
不受限制的上網行爲將帶來更多的安全問題,比如下載的文件中帶有病毒或其它有破壞性的程序;ICQ、OICQ等軟件的使用有可能招到網絡***的襲擊,硬盤裏的資料和數據被竊取或破壞。
不受限制的上網行爲將帶來更多的安全問題,比如下載的文件中帶有病毒或其它有破壞性的程序;ICQ、OICQ等軟件的使用有可能招到網絡***的襲擊,硬盤裏的資料和數據被竊取或破壞。
網絡資源的非法使用,使企業有可能陷入法律糾紛
在國內,法律規定了很多網站是非法的,比如有×××內容的、與反動政治相關的、與迷信和犯罪相關的等等。使用專線接入互聯網後,企業內部網某種程度上成了一種“公共”上網場所,很多與法律相違背的行爲都有可能發生在內部網中。事實上,這是很多企業要加強網絡行爲管理的最初的原因。另外一個日漸顯露出來的問題是網絡***利用企業專線入網的條件,實施非法的網絡***,發送病毒文件等,這都給企業上網帶來了很多可能引起法律糾紛的隱患。 企業目前缺乏有效的工具在相關事情發生後提供數字化證據。
企業缺乏對網絡資源使用進行量化的標準和工具
網絡資源作爲一種電子化的資源,在是通過企業內部的局域網共享的,網絡中的每個登錄用戶都能使用。專線上網後,到底是哪些人在使用該資源,使用的程度如何,如果要進行相關的成本覈算,並把專線接入的成本劃到企業內部的每個成本中心,怎樣做纔是最有效呢?
互聯網或者說信息技術確實是一個“神奇”的東西,在不同的人、不同的組織、不同的企業環境中,它帶來的影響是充滿矛盾的,能提高企業的工作效率、增加企業的競爭力、降低企業運營成本;另一方面,它卻能降低企業的工作效率、給企業帶來很多威脅和安全隱患。那麼,到底要不要用它?答案其實很簡單,肯定要用,但是必須對它實施有效的管理,就象管理其它的企業資源一樣。
互聯網或者說信息技術確實是一個“神奇”的東西,在不同的人、不同的組織、不同的企業環境中,它帶來的影響是充滿矛盾的,能提高企業的工作效率、增加企業的競爭力、降低企業運營成本;另一方面,它卻能降低企業的工作效率、給企業帶來很多威脅和安全隱患。那麼,到底要不要用它?答案其實很簡單,肯定要用,但是必須對它實施有效的管理,就象管理其它的企業資源一樣。
金盾上網行爲管理系統的主要功能
一. 多重身份認證
·支持本地認證、LDAP服務器、RADIUS服務器、 AD、802.1X等多種認證體系
·支持多種認證方式:WEB認證,專用客戶端、PPPOE認證、802.1X、用戶名+口令、用戶名+口令+計算機特徵、用戶名+口+IP+MAC、用戶名+口令+IP+MAC+計算機特徵、支持動態令牌身份認證(可選)
·支持強制用戶下線
·認證頁面和認證後首頁可定製重定向
·可定製用戶自動過期,註銷時間
·認證客戶端可自動升級,認證客戶端可自動升級
·支持多種認證方式:WEB認證,專用客戶端、PPPOE認證、802.1X、用戶名+口令、用戶名+口令+計算機特徵、用戶名+口+IP+MAC、用戶名+口令+IP+MAC+計算機特徵、支持動態令牌身份認證(可選)
·支持強制用戶下線
·認證頁面和認證後首頁可定製重定向
·可定製用戶自動過期,註銷時間
·認證客戶端可自動升級,認證客戶端可自動升級
二. 全面行爲審計
能夠審計企業員工的在線上網行爲或本機應用程序使用行爲,記錄每個員工所有的上網行爲諸如網絡連接、頁面訪問、收發電子郵件、即時通信、下載軟件、BT工具等;並能妥善有效保存記錄,以供管理人員隨時查看。
·內容審計和回放:對FTP、郵件、聊天、WEB訪問內容、WEB提交(BBS\Webmail)、MSN、ICQ、 YAHOO聊天、TELNET內容能記錄並進行回放;管理員可以對所有用戶增加及取消內容記錄。
·內容全文檢索:可根據關鍵字對郵件以及附件進行關鍵字全文檢索。
·靈活彈性搜索:按任意條件組合搜索功能,支持海量(上億條鏈接)檢索。
·內容審計和回放:對FTP、郵件、聊天、WEB訪問內容、WEB提交(BBS\Webmail)、MSN、ICQ、 YAHOO聊天、TELNET內容能記錄並進行回放;管理員可以對所有用戶增加及取消內容記錄。
·內容全文檢索:可根據關鍵字對郵件以及附件進行關鍵字全文檢索。
·靈活彈性搜索:按任意條件組合搜索功能,支持海量(上億條鏈接)檢索。
三. 詳細報告分析
通過各種報表,管理人員對內部每個員工使用互聯網的情況瞭如指掌,針對上述網絡資源管理中的每個問題都能得到數據依據,做相關決策時更準確。
四. 上網權限管理
可以按照個人、部門、系統、策略組、地址段等進行互聯網訪問控制。
·可以設置允許訪問互聯網的時間段:工作時間,節假日以及自定義的任何時間。
·可以對訪問互聯網的每日總時間量和總流量進行限制。
·十個級別的過濾覆蓋服務、內容和人員屬性。
·採用增強的身份驗證機制使控制管理更加精確。
·增強的桌面應用過濾功能更加強大。
·可以設置允許訪問互聯網的時間段:工作時間,節假日以及自定義的任何時間。
·可以對訪問互聯網的每日總時間量和總流量進行限制。
·十個級別的過濾覆蓋服務、內容和人員屬性。
·採用增強的身份驗證機制使控制管理更加精確。
·增強的桌面應用過濾功能更加強大。
五. 服務過濾
IM的管理:可控制管理多種流行IM軟件(QQ、MSN、Yahoo通、AIM(ICQ)、Skype、網易泡泡、新浪、UC、淘寶旺旺、飛信、IRC等支持對MSN、Yahoo通聊天內容的監控)
P2P管理:可控制管理多種P2P軟件(BT、eMule/eDonkey、迅雷(以及web方式)、PP點點通、Kugoo、KaZaA(Fast Track)、Gnutella、Vagaa、 WinMX、Winny、Rayfile、未知P2P應用(UDP)等)
網絡娛樂:控制管理多種主流的網絡娛樂(流行網絡遊戲、流行網絡電視、流行流媒體等)
炒股軟件:大智慧、指南針、同花順、證券之星、錢龍。。。
WEB過濾:強大的互聯網上的信息資源非常豐富,您可以根據業務需要制定精細化Web訪問策略,將非業務信息擋在門外。
P2P管理:可控制管理多種P2P軟件(BT、eMule/eDonkey、迅雷(以及web方式)、PP點點通、Kugoo、KaZaA(Fast Track)、Gnutella、Vagaa、 WinMX、Winny、Rayfile、未知P2P應用(UDP)等)
網絡娛樂:控制管理多種主流的網絡娛樂(流行網絡遊戲、流行網絡電視、流行流媒體等)
炒股軟件:大智慧、指南針、同花順、證券之星、錢龍。。。
WEB過濾:強大的互聯網上的信息資源非常豐富,您可以根據業務需要制定精細化Web訪問策略,將非業務信息擋在門外。
六. 帶寬管理
帶寬(QOS)管理:根據不同的部門、人和服務分配不同的帶寬通道,使他們得到不同的帶寬速度或保證,可以有效地阻止某些人濫用網絡資源而影響其他上網。支持基於用戶、時間段、應用協議的帶寬分配策略 支持自定義帶寬通道,以及對應的優先級、速率上限和下限的設定支持對用戶/用戶組設置總帶寬支持對用戶組成員設置平均帶寬 支持對應用協議設置總帶寬。
金盾上網行爲管理系統實施效果
一. 實現對網絡身份的管理
金盾GNM可以有效無逢地對接他們已經部署的驗證系統或者本身提供身份驗證機制,這樣實現網絡身份的同步,做到身份的透明和管理。
金盾還支持多種認證方式:WEB認證,專用客戶端、PPPOE認證、802.1X、用戶名+口令、用戶名+口令+計算機特徵、用戶名+口令+IP+MAC、用戶名+口令+IP+MAC+計算機特徵、支持動態令牌身份認證(可選),可以有效識別用戶和行爲,真正做到對人的管理而不是機器的管理。
金盾還支持多種認證方式:WEB認證,專用客戶端、PPPOE認證、802.1X、用戶名+口令、用戶名+口令+計算機特徵、用戶名+口令+IP+MAC、用戶名+口令+IP+MAC+計算機特徵、支持動態令牌身份認證(可選),可以有效識別用戶和行爲,真正做到對人的管理而不是機器的管理。
二. 有效優化了網絡帶寬,內網及外網的速度穩定性大大提高
通過對網絡帶寬的重新分配,有效解決了P2P,流媒體、網絡電視等佔用大量帶寬的情況,從而保證了正常部門快速上網。
金盾還支持很多網絡管理功能,比如連接數的管理、上網時間的管理等,這些都大大增強了網絡的可用性,通過這些措施,保證了正常網絡訪問的速度。使防火牆佔用率大大降低,高丟包率的問題也根本解決。
金盾還支持很多網絡管理功能,比如連接數的管理、上網時間的管理等,這些都大大增強了網絡的可用性,通過這些措施,保證了正常網絡訪問的速度。使防火牆佔用率大大降低,高丟包率的問題也根本解決。
三. 防止網絡泄密, 信息管理的規範性和可控性大大提高
金盾GNM支持對外發信息的全面審查,對含有敏感信息的外發行爲進行阻斷和報警。並可以根據保留的數據流信息,取證用戶的網絡訪問行爲,避免因用戶網絡行爲帶來的道德、法律風險。通過控制IM軟件傳送文件,可以降低通過QQ、MSN等IM軟件傳播病毒和***的可能。通過郵件訪問控制,避免政府重要資料、私密資料通過郵件泄密。實現了上網監控與管理。
系統提供強大的高級查詢功能,日誌保存默認是保存60天,用戶可以自定義保存時間,最長是無限期,同時日誌可以具備導入、導出的功能,讓用戶可永久保留、查詢歷史資料。
系統提供強大的高級查詢功能,日誌保存默認是保存60天,用戶可以自定義保存時間,最長是無限期,同時日誌可以具備導入、導出的功能,讓用戶可永久保留、查詢歷史資料。
四. 上網的工作效率大大提高
金盾網絡管理系統提供多層次、使用簡單的立體化過濾功能,過濾覆蓋了網絡七層結構的各個層次:從最基礎的服務來接到內容審計,並且在每一個層次中我們都提供靈活的策略和選項,比如時間元素、動作、訪問來源等。考慮管理的實際需要,金盾支持多個級別的過濾,可以對不同級別指定不同的策略。比如對不同部門或不同級別的員工或者學生採用不同級別的限制。