【文章內(nèi)容簡介】 對系統(tǒng)安全和穩(wěn)定造成的損害，可以通過組策略，關(guān)閉用戶對一些管理工具的訪問。建議關(guān)閉： 控制面板（全部控制工具或者一部分）； 對網(wǎng)絡(luò)配臵的修改（IP 配臵）； 管理控制臺（MMC）； 注冊表編輯器； 其他需要關(guān)閉或者限制的工具。配臵 Windows update所有計算機的自動更新都指向企業(yè)內(nèi)部的 WSUS 服務(wù)器。對打印設(shè)備進行權(quán)限控制可以針對用戶進行打印設(shè)備的權(quán)限控制。IE 設(shè)臵可以通過組策略對用戶的Internet Explorer進行集中式設(shè)臵，建議設(shè)臵項為： 設(shè)臵代理服務(wù)器； 修改收藏夾； 調(diào)整安全設(shè)臵（如禁止 ActiveX 控件和 JavaScript 腳本運行）。通過以上設(shè)臵，可以配臵用戶使用代理服務(wù)器訪問 Internet，限制用戶訪問某些網(wǎng)站，避免用戶受到網(wǎng)頁蠕蟲的攻擊等，極大地提高安全性?？刂茟?yīng)用程序通過組策略，還可以限制特定用戶運行指定的應(yīng)用程序，或者只能運行制定的應(yīng)用程序。外觀管理根據(jù)企業(yè)形象的需要，可以對用戶的壁紙進行統(tǒng)一管理，自動使用指定的壁紙。類似的，可以對用戶的桌面外觀，風格進行統(tǒng)一配臵。審核策略開啟對用戶賬戶登錄，用戶賬戶管理和管理權(quán)限使用等事件的審核。禁止外部人員訪問服務(wù)器對于可能有外部人員訪問企業(yè)網(wǎng)絡(luò)（比如供應(yīng)商的雇員），為了提高安全性，可以通過設(shè)臵安全策略，調(diào)整： 關(guān)閉 GUEST 賬戶； 設(shè)臵“從網(wǎng)絡(luò)上訪問此計算機”的權(quán)限； 來限制未加入域的計算機和未登錄到域的用戶，對指定服務(wù)器的訪問，如在訪問服務(wù)器時，需要輸入有效域用戶賬戶和口令，或者直接提示不允許訪問。這將消除潛在威脅?？刂茖χ匾?wù)器的訪問對某些非常重要的服務(wù)器，可以通過安全策略，對“從網(wǎng)路訪問”、“本地登錄”、“匿名訪問”進行限制，只允許經(jīng)過授權(quán)的合法用戶訪問。備份和 恢復策略建立定期備份 Active Directory 數(shù)據(jù)的機制。B B、應(yīng)用在嚴格管理部門的策略l 最小化權(quán)限為普通用戶授予 Users 權(quán)限，為需要完成某些管理工作的用戶賬戶委派完成工作所需的最小范圍內(nèi)的最小權(quán)限。該權(quán)限用戶即使中毒后，病毒獲得的也是受限賬戶的權(quán)限，即使它可以運行，如果不能提升權(quán)限，就難以對系統(tǒng)造成大的破壞。限制用戶安裝、卸載程序及設(shè)備User 權(quán)限無法裝載和卸載設(shè)備及軟件禁止用戶本地登錄收回本地管理員用戶密碼，組策略限制用戶交互式登錄禁止 USB 端口使用通過腳本限制用戶使用 USB 存儲設(shè)備，但是不影響 USB 鼠標鍵盤的使用。限制網(wǎng)絡(luò)用戶在本地的權(quán)限。l 高級的權(quán)限為高級用戶授予 Power User 權(quán)限, 為需要完成某些管理工作的用戶賬戶委派完成工作所需的最小范圍內(nèi)的高級權(quán)限。該權(quán)限用戶擁有大部分管理權(quán)限，但也有限制。因此，Power User 可以運行經(jīng)過驗證的應(yīng)用程序，也可以運行舊版應(yīng)用程序；用這類賬戶登陸系統(tǒng)時，病毒仍然受到一些限制。Power Users 可以完成：252。 除了 Windows 2000 或 Windows XP Professional 認證的應(yīng)用程序外，還可以運行一些舊版應(yīng)用程序。252。 安裝不修改操作系統(tǒng)文件并且不需要安裝系統(tǒng)服務(wù)的應(yīng)用程序。252。 自定義系統(tǒng)資源，包括打印機、日期/時間、電源選項和其他控制面板資源。252。 創(chuàng)建和管理本地用戶帳戶和組。252。啟動或停止默認情況下不啟動的服務(wù) l 最大的權(quán)限為特殊用戶授予 Administrators 權(quán)限, 該權(quán)限對計算機/域有不受限制的完全訪問權(quán)。 文件 服務(wù)器設(shè)計用戶通過登錄腳本可以進行網(wǎng)絡(luò)驅(qū)動器映射，使用戶無論登錄哪臺計算機均可訪問自己的共享目錄；共享文件規(guī)劃設(shè)臵 4 類共享文件夾，如下表所示：共享名稱 文件夾名稱 說明 Public公用文件夾 存放企業(yè)公用文檔及發(fā)布公用文檔 Department部門文件夾 存放各部門文檔 Users個人文件夾 存放個人文檔 Temp臨時文件夾 存放各種臨時文檔 文件夾權(quán)限分配 管理層可以瀏覽所有的文件夾 各個部門能瀏覽自己所屬部門，并可修改自己所屬文件夾，部門經(jīng)理能瀏覽并修改自己部門所有的文件夾 公共文件夾由行政部或 IT 部修改，其他所有人都能瀏覽 臨時文件夾所有用戶都有讀取的權(quán)限， 系統(tǒng)補丁管理實施有效的安全策略對所有企業(yè)都十分關(guān)鍵。補丁管理是成功的安全策略的最重要組成部分之一。補丁管理是一個流程，為組織提供對中間軟件發(fā)布到生產(chǎn)環(huán)境中的部署和維護的控制。它有助于組織保持運營的效率和效力，彌補安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性。無法在其操作系統(tǒng)和應(yīng)用程序軟件內(nèi)確定和維護已知的信任級別的組織可能存在很多安全漏洞。如果這些安全漏洞被利用，則可能會導致收益和知識產(chǎn)權(quán)受到損害。最低限度減少這些威脅要求企業(yè)： 正確配臵 IT（信息技術(shù)）環(huán)境中的計算機。 使用最新的軟件。 安裝推薦的安全更新。通過在內(nèi)部網(wǎng)絡(luò)中配臵 WSUS 服務(wù)器，所有 Windows 的更新都能集中下載到這個服務(wù)器中，內(nèi)部網(wǎng)絡(luò)中的客戶機就可以通過 WSUS 服務(wù)器得到更新。配合瑞星前瞻性漏洞評估，能夠搶在病毒和蠕蟲之前首先發(fā)現(xiàn)系統(tǒng)中的安全缺口，它不僅能夠?qū)Π踩呗缘囊恢滦赃M行掃描（包括 Microsoft 安全補?。?，而且能夠及時發(fā)現(xiàn)系統(tǒng)中隱藏的設(shè)備、未受到保護的設(shè)備以及容易受到攻擊的設(shè)備。而且升級操作系統(tǒng)補丁的時間可以縮短到幾分鐘，效果十分明顯，且只要一臺 WSUS服務(wù)器就可保證全網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的自動升級。這既節(jié)省了資源，又避免了資源浪費，并且提高了效率。 郵件 需求 概述新郵件系統(tǒng)需支持 500 用戶，個人存儲空間 1G，VIP 用戶存儲空間 10G，在每封郵件限制附件大小 20M，收發(fā)單封郵件的相應(yīng)時間不超過 5 秒，郵件遞送時間（內(nèi)部）不超過 2 分鐘。當公司網(wǎng)絡(luò)不能訪問 Internet 網(wǎng)時，應(yīng)保證內(nèi)部的郵件能夠互收發(fā)。訪問方式提供多種訪問方式如常用客戶端 Outlook、Fox mail，Web（主流瀏覽器），移動設(shè)備 PUSHMAIL；支持 SMTP、POPIMAP4 等協(xié)議。備份及 恢復功能支持傳統(tǒng)流備份和卷復制備份。備份方式應(yīng)支持完全備份、副本備份、差異備份和增量備份。防垃圾郵件功能 支持連接篩選、收件人和發(fā)件人篩選、發(fā)件人 ID、內(nèi)容篩選、附件篩選、客戶端規(guī)則匯集到服務(wù)器端、發(fā)件人信譽等多種方式防犯垃圾郵件。防病毒功能可以內(nèi)臵或引用第三方多引擎防病毒軟件，防病毒軟件應(yīng)能針對文件頭對郵件附件進行過濾，不但對郵箱存儲進行查殺，還應(yīng)可以對 SMTP 進行病毒查殺。管理與監(jiān)視功能 支持多級授權(quán)管理功能，支持郵件的跟蹤和監(jiān)視。用戶分類功能 可以針對特定用戶設(shè)定客戶端訪問方式、郵箱存儲限制、郵箱傳遞限制等功能。個人信息管理功能 如聯(lián)系人管理，日程管理，任務(wù)管理等日常工作中的個人信息管理功能。擴展功能語音郵件, 接收傳真、 郵件平臺架構(gòu) 設(shè)計核心交換郵件平臺前端CAS VM 01MailBox VM 01CAS VM 02MailBox VM 02Win 2012 DC 01+ + WSUS匯聚交換HyperV宿主機AWindows ServerHyperV宿主機BWindows Server 郵件系統(tǒng)存儲 郵件歸檔存儲Win 2012 VM DC 02心跳網(wǎng)絡(luò)存儲網(wǎng)絡(luò)郵件歸檔VM防垃圾郵件設(shè)備備份VM文件服務(wù)VM架構(gòu)說明：在保證配臵達標的情況下，服務(wù)器可采用物理機也可采用虛擬機。如上述虛擬化平臺建議采用兩臺宿主機構(gòu)建虛擬化平臺（根據(jù)需要可以擴充節(jié)點數(shù)），并針對 Exchange 場景優(yōu)化相關(guān)模塊。客戶端訪問服務(wù)器為郵件客戶端（Outlook Anywhere 模式）和OWA(Outlook Web App)用戶提供電子郵件的訪問。同時它還負責處理客戶端和Exchange 之間的通信。它為用戶提供通過 HTTP/HTTPS、POPIMAPActiveSync 等方式訪問郵箱的服務(wù)。Exchange 客戶訪問服務(wù)器之間通過配臵 DNS輪訓或者 NLB 實現(xiàn) Exchange 客戶訪問的分擔負載和高可用性。郵箱服務(wù)器實現(xiàn)了與郵件存儲的交互。郵箱服務(wù)器通過對郵件存儲的操作，實現(xiàn)郵件用戶的郵件收發(fā)、日歷訪問和郵箱系統(tǒng)對郵件存儲的日常管理維護。郵箱服務(wù)器通過 Exchange 自帶的高可用性特性—DAG 實現(xiàn)數(shù)據(jù)實時備份，郵件存儲的高可用性。目錄服務(wù)主要實現(xiàn)郵箱用戶信息的統(tǒng)一管理和身份認證。需要部署目錄服務(wù)器，是全公司辦公網(wǎng)系統(tǒng)管理統(tǒng)一基礎(chǔ)架構(gòu)平臺的組成部分，實現(xiàn)全公司統(tǒng)一用戶信息管理，統(tǒng)一的、強制化的桌面安全策略管理及執(zhí)行等。垃圾郵件網(wǎng)關(guān)（可利用 Exchange 邊緣服務(wù)器或硬件反垃圾郵件設(shè)備），提供 Internet 郵件流、反垃圾郵件、防病毒及電子郵件策略等服務(wù)。歸檔服務(wù)平臺，提供郵件數(shù)據(jù)的歸檔查詢和審計功能等（建議采用硬件或者專業(yè)軟件歸檔）。、數(shù)據(jù)備份平臺，提供郵件系統(tǒng)平臺自動備份和恢復功能等（可選模塊）。4 項目服務(wù)服務(wù)概述服務(wù)范圍 基礎(chǔ)架構(gòu)所包含的系統(tǒng)平臺部署和維護服務(wù)。本次項目涉及底層虛擬化平臺部署、AD 基礎(chǔ)架構(gòu)搭建、文件服務(wù)器、補丁服務(wù)器、Exchange 高可用平臺部署、郵件歸檔及備份和整體運維服務(wù)。，還將為XXXX 提供微軟 AD郵件系統(tǒng)虛擬化管理系統(tǒng)的顧問、咨詢等增值附加服務(wù)，提升貴單位 IT 運維管理質(zhì)量。，以及對普通用戶就某一應(yīng)用使用提供用戶操作使用培訓。以提升貴單位對于信息化技術(shù)平臺的了解和掌握、使用，更好的提升工作效率。，對于發(fā)現(xiàn)的已存在問題雙方進行確認，根據(jù)問題數(shù)量以及解決的難易程度確定調(diào)試、維護時間。服務(wù)方式服務(wù)方以服務(wù)問題為電話和郵件主要工具，通過現(xiàn)場、遠程、電話、郵件等方式，為客戶提供及時有效的應(yīng)用指導、故障排除等服務(wù)。服務(wù)標準現(xiàn)場服務(wù)：星期一至星期五，8:0018:00 熱線服務(wù)：星期一至星期五，8:0018:00星期六和星期日：提供緊急電話服務(wù)（特殊情況可提供現(xiàn)場服務(wù)）。 項目計劃項目計劃于從啟動開始建設(shè)，預計需要 5060 工作日個完成交付。時間進度計劃大致如下： 任務(wù)劃分項目的實施方法是結(jié)合多年積累的項目實施經(jīng)驗和行業(yè)客戶業(yè)務(wù)需求而制定的。下面是每個階段中建議的相關(guān)活動和階段工作內(nèi)容說明。（按 2 個自然月的項目周期進行規(guī)劃，可根據(jù)用戶要求靈活調(diào)整）各階段任務(wù)細則劃分如下：階段工作概述時限啟動階段 訪談、調(diào)研、現(xiàn)狀梳理、問題分析、制定團隊分工計劃計劃階段 詳細需求分析，系統(tǒng)架構(gòu)方案設(shè)計、實施方案設(shè)計、測試方案設(shè)計、實施及接管資源環(huán)境準備等實施階段 根據(jù)設(shè)計階段文檔指導進行相關(guān)功能模塊開發(fā)、軟件部署、周邊系統(tǒng)聯(lián)調(diào)、平臺測試等割接上線工作交付階段 系統(tǒng)試運行跟蹤，對用戶進行知識轉(zhuǎn)移培訓，移交系統(tǒng)及文檔、 交付清單項目任務(wù)交付物說明啟動階段 《初步需求說明書》 項目負責人在該階段制定的需求調(diào)研匯總。計劃階段 《需求規(guī)格說明書》 項目負責人在該階段制定的項目詳細需求匯總?！都夹g(shù)方案》 項目組制定的技術(shù)實現(xiàn)方案。項目周報、月報 項目計劃階段日常項目內(nèi)活動總結(jié)、工作計劃等。實施階段 《安裝配臵文檔》 項目實施階段各功能組件安裝部署操作文檔，指導實施部署規(guī)范操作?！都蓪嵤┓桨浮?項目總體實施規(guī)劃方案，由項目成員共同制定完成。項目周報、月報 項目實施階段日常項目內(nèi)活動總結(jié)、工作計劃等。交付階段 《運維手冊》 項目運維階供段甲方運維人員參考文檔，可作為日常基礎(chǔ)運維操作規(guī)范指導及簡單排障參考手冊?！杜嘤栁臋n》 培訓階段提供用戶對 HyperV、AD 和 Exchange 的功能使用操作手冊，指導乙方 IT 管理員進行日常管理操作。項目周報、月報 項目交付階段日常項目內(nèi)活動總結(jié)、工作計劃等。5 建議 軟件配臵實現(xiàn)本方案中建議的高可用基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺，軟件配臵詳細列表：項目安裝軟件配臵數(shù)量作用郵箱存儲服務(wù)器 Windows 2012 R2 標準版 2 郵箱存儲服務(wù)，每臺支持Exchange Server 標準版 500 用戶，按高可用配臵 前端訪問服務(wù)器 Windows 2012 R2 標準版Exchange Server 標準版 2 客戶端訪問支持，支持外網(wǎng)用戶訪問，手持設(shè)備訪問。提供郵件流、分類、路由、傳遞的處理服務(wù)。DC 服務(wù)器 Windows 2012 R2 標準版 4 提供域服務(wù)、用戶賬戶管理、域內(nèi)計算機管理、組策略及域內(nèi)地址解析服務(wù)。服務(wù)器分布：北京 2 臺，長沙1 臺，上海 1 臺 歸檔服務(wù)器 Windows 2012 R2 標準版 Exchange Server 企業(yè)版 或?qū)I(yè)歸檔軟件 1 提供郵件歸檔功能，后端歸檔容量根據(jù)實際需求選配 文件服務(wù)器 Windows 2012 R2 標準版 3 提供文件共享和管理服務(wù)，服務(wù)器分布：北京 1 臺，長沙 1 臺，上海 1 臺 備份服務(wù)器 Windows 2012 R2 標準版 SCDPM 1 提供對虛擬平臺、郵件系統(tǒng)平臺及 AD 自動備份和恢復功能 宿主機 Windows 2016 數(shù)據(jù)中心版提供底層虛擬化服務(wù) 2 系統(tǒng) 配臵實現(xiàn)本方案中建議的高可用基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺，硬件配臵詳細列表：項目硬件配臵數(shù)量備注郵箱存儲服務(wù)器 2 四核 CPU，16G 2 可使用虛擬機 前端訪問服務(wù)器 2 四核 CPU，8G 2 可使用虛擬機 DC 服務(wù)器 2 四核 CPU，4G 4 可使用虛擬機（建議北京總部建議采用 1 臺物理+1 臺虛擬機的方案）歸檔服務(wù)器 2 四核 CPU，12G 1 可使用虛擬機 文件服務(wù)器 2 四核 CPU，8G 3 可使用虛擬機（若從節(jié)省資金投入考慮，長沙和上海與DC 服務(wù)器合并在一起）備份服務(wù)器 2 四核 CPU，12G 1 可使用虛擬機 宿主機 2 八核 CPU，128G 2反垃圾郵件設(shè)備預算充足建議采用硬件設(shè)備 歸檔設(shè)備預算充足建議采用硬件設(shè)備 網(wǎng)絡(luò)現(xiàn)有數(shù)據(jù)中心基礎(chǔ)協(xié)商增