本文以實(shí)例介紹如何利用組策略限制客戶端行為，減少病毒傳播可能性。具體內(nèi)容如下所述。

分公司GM的要求：減少病毒機(jī)會(huì)，加強(qiáng)客戶端管理，加強(qiáng)上網(wǎng)管理。

當(dāng)前狀況：

1、所有客戶端均為Windows2000

2、有一臺(tái)服務(wù)器為Windows2000

3、這是一個(gè)偏遠(yuǎn)地區(qū)的辦事處，沒(méi)有ITSupport，員工的IT技能不強(qiáng)，人員混亂

4、所有的客戶端已經(jīng)安裝個(gè)人版的殺毒軟件

5、上網(wǎng)方式通過(guò)ADSL路由上網(wǎng)

需求分析：

從目前的網(wǎng)絡(luò)和系統(tǒng)情況看，雖然已經(jīng)安裝了個(gè)人版的殺毒軟件，但是防病毒的效果還是不明顯。病毒總是先發(fā)而后制。同時(shí)因?yàn)闆](méi)有ITSupport的存在，人員過(guò)于混雜，使得感染和傳播計(jì)算機(jī)病毒的機(jī)會(huì)增加。

客戶端和服務(wù)器端已經(jīng)是Windows2000，可以利用組策略限制客戶端行為，減少病毒傳播可能性。

上網(wǎng)方式為路由方式，不利于上網(wǎng)管理。

建議：

1、利用現(xiàn)在的Windows2000服務(wù)器建立Domain

2、把當(dāng)前的直接從路由上網(wǎng)修改為代理上網(wǎng)

3、購(gòu)買服務(wù)器，安裝ISA，用于上網(wǎng)管理

4、限制客戶端可運(yùn)行程序

5、限制本地Administrators組成員

6、限制用戶可訪問(wèn)的網(wǎng)站和服務(wù)器

7、限制用戶訪問(wèn)Internet的端口和協(xié)議

8、*關(guān)于電子郵件過(guò)濾，可以考慮使用ISA的FeaturePack。

9、*上網(wǎng)管理是否限制到用戶級(jí)？

操作步驟：

1、發(fā)放《客戶機(jī)使用者調(diào)查表》、《日常使用軟件調(diào)查表》、《日常訪問(wèn)網(wǎng)站調(diào)查表》

2、估計(jì)操作時(shí)間

3、估計(jì)需要配合的人員數(shù)目

4、升級(jí)Windows2000到DC（操作中發(fā)現(xiàn)該機(jī)已經(jīng)被升為DC）

5、建立新的OU，建立_MW_Manager和_MW_Opt兩個(gè)安全組，分別把部門經(jīng)理和操作員加入不同的組

6、在OU上建立相關(guān)策略，限制客戶端可運(yùn)行程序

7、在新購(gòu)買的服務(wù)器上安裝Windows2000，安裝ISA為Array+集成模式，安裝RASPPPOE

8、配置ISA策略，允許許可協(xié)議和網(wǎng)站

9、把ADSL路由下網(wǎng)，在ISA服務(wù)器上面配置PPPOE撥號(hào)

10、配置新的組策略，分發(fā)ISA客戶端

11、重新啟動(dòng)客戶端，使FirewallClient生效

12、配置IPPacketFilter，使ISA服務(wù)器本身可以上網(wǎng)

安裝完成發(fā)現(xiàn)遺忘部分：

1、當(dāng)前客戶機(jī)網(wǎng)絡(luò)地址有些是由以前的ADSL路由其中的DHCP分配的，有些是靜態(tài)IP；

2、當(dāng)前客戶機(jī)不能正確解析DNS名稱；

針對(duì)不正確部分：

1、在DC上建立DHCP服務(wù)，同時(shí)配置區(qū)域

2、查看原DC上面的DNS服務(wù)器，發(fā)現(xiàn)Root服務(wù)器不能正確訪問(wèn)。于是在ISA服務(wù)器安裝配置第二個(gè)DNS服務(wù)器替代以前的DNS服務(wù)器。同時(shí)修改DHCP作用域選項(xiàng)（ISA中關(guān)于DNS的部分配置正確）

奇怪之處：

1、如果不斷網(wǎng)就不能重新啟動(dòng)ISA服務(wù)（這個(gè)在其他地方都沒(méi)有）

2、ISA服務(wù)器不能從網(wǎng)上鄰居訪問(wèn)，導(dǎo)致FirewallClient不能正確分發(fā)（沒(méi)有配置正確的事務(wù)處理？病毒？）

奇怪之處2：病毒導(dǎo)致IPC$不可用，查找CSDNFAQ，http://community.csdn.net/Expert/FAQ/FAQ_Index.asp?id=195978解決問(wèn)題。

奇怪之處1：后配置ADSL斷線自動(dòng)重?fù)?，?wèn)題消失。

總結(jié)：

1、由于沒(méi)有現(xiàn)場(chǎng)勘查，給出的計(jì)劃中出現(xiàn)了IP配置錯(cuò)誤?；蛘呤峭泴?duì)客戶機(jī)的狀態(tài)進(jìn)行調(diào)查，屬于重大失誤；

2、對(duì)于遠(yuǎn)距離的客戶端應(yīng)該加強(qiáng)監(jiān)管，否則病毒的感染和傳播的機(jī)率非常的大；

3、這樣的事情做多了就沒(méi)有感覺(jué)了，就跟殺人殺多了就麻木了。不知道他們?nèi)绾我а狼旋X呢。

希望本文介紹的巧用組策略和ISA控制客戶端行為的實(shí)例能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 如何使服務(wù)器性能優(yōu)化？
2. 淺析主流網(wǎng)站服務(wù)器配置
3. 虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答
4. 如何安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器？
5. 如何進(jìn)行MS SQL Server 2005網(wǎng)絡(luò)服務(wù)器配置？