公司企業(yè)內(nèi)部局域網(wǎng)軟件部署安全策略及準(zhǔn)則

1、1XX有限公司企業(yè)內(nèi)部局域網(wǎng)軟件部署安全策略及準(zhǔn)則(第一版)2014年9月XX有限集團(tuán)公司xx公司xx有限公司企業(yè)內(nèi)部局域網(wǎng)軟件部署安全策略及準(zhǔn)則(第一版)為確保公司企業(yè)內(nèi)部局域網(wǎng)安全有效運(yùn)行，依據(jù)xx公司非涉密計(jì)算機(jī)及網(wǎng)絡(luò)管理辦法及國(guó)家相關(guān)管理規(guī)定，特制定本企業(yè)內(nèi)部局域網(wǎng)軟件部署安全策略及準(zhǔn)則，本策略為公司局域網(wǎng)軟件部署的安全性指導(dǎo)性文件。本安全策略及準(zhǔn)則由以下幾個(gè)部分組成：1、公司MC2.COM局域網(wǎng)概況2、軟件使用范圍及規(guī)則3、公司內(nèi)部局域網(wǎng)使用安全準(zhǔn)則4、電子數(shù)據(jù)交換安全準(zhǔn)則5、病毒防護(hù)策略及準(zhǔn)則6、MC2.COM域安全策略7、域計(jì)算機(jī)及域用戶登錄腳本一、公司MC2.COM局域網(wǎng)概況：

2、公司根據(jù)信息化建設(shè)規(guī)劃需要，經(jīng)數(shù)年努力，逐步建成了MC2.COM局域網(wǎng)絡(luò)，該網(wǎng)絡(luò)覆蓋了102工房、104工房、203工房、205工房、702工房、401大樓等物理區(qū)域，為了保障網(wǎng)絡(luò)的可靠性，整個(gè)網(wǎng)絡(luò)由CISCO核心可管交換機(jī)及CISCO主干網(wǎng)絡(luò)交換機(jī)控制，整個(gè)網(wǎng)絡(luò)采用VLAN技術(shù)劃分為10個(gè)網(wǎng)段：(170.16.70、72、74、76、78、80、82、84、86、88)。在硬件層面，MC2.COM局域網(wǎng)中運(yùn)行服務(wù)器11臺(tái)(含虛擬服務(wù)器)、臺(tái)式計(jì)算機(jī)498臺(tái)、筆記本電腦33臺(tái)、交換機(jī)21臺(tái)、路由器2臺(tái)；在操作系統(tǒng)OS層面，所有服務(wù)器操作系統(tǒng)OS均運(yùn)行WINDOWS2012R2操作系統(tǒng)，410臺(tái)

3、計(jì)算機(jī)運(yùn)行WINDOWS7X64操作系統(tǒng)，88臺(tái)計(jì)算機(jī)運(yùn)行WINDOWXP-X32操作系統(tǒng)。在軟件運(yùn)用層面，整個(gè)網(wǎng)絡(luò)在AD主域集中控制、CAPP、數(shù)字化檔案信息系統(tǒng)、MRPII、MES、CAQ、內(nèi)部郵件系統(tǒng)、文件集約存儲(chǔ)系統(tǒng)、財(cái)務(wù)系統(tǒng)、DNC系統(tǒng)、INTERNET接入及控制、WSUS補(bǔ)丁升級(jí)、病毒防護(hù)、OA系統(tǒng)等方面均有重要應(yīng)用，支撐整個(gè)企業(yè)在信息化模式下快速、有效運(yùn)維。二、軟件使用范圍及規(guī)則：公司對(duì)非涉密計(jì)算機(jī)及網(wǎng)絡(luò)軟件進(jìn)行白名單準(zhǔn)入制，白名單內(nèi)的軟件在計(jì)算機(jī)上進(jìn)行安裝使用可不經(jīng)過(guò)審批，采用文件服務(wù)器進(jìn)行統(tǒng)一發(fā)布，不在白名單列表內(nèi)的軟件,需由使用人及使用單位寫(xiě)出軟件安裝使用申請(qǐng)，經(jīng)主管部門(mén)測(cè)

4、試審批、公司領(lǐng)導(dǎo)批準(zhǔn)后方可安裝使用。未經(jīng)批準(zhǔn)擅自安裝軟件的，按xxxx非涉密計(jì)算機(jī)及網(wǎng)絡(luò)管理考核辦法相關(guān)條款進(jìn)行考核。xxxx公司非涉密計(jì)算機(jī)及網(wǎng)絡(luò)軟件白名單：(具體安裝位置為：SVMC2F軟件發(fā)布，SVMC2FUPDATE)ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒體工具DOTNET3.5、DOTNET4.5基礎(chǔ)框架IE11、IE8 FOR WINDOWSXP瀏覽器xx公司集團(tuán)OA辦公軟件OFFICE2007辦公軟件好壓、暴風(fēng)影音、金山詞霸2011百度拼音、小鴨五筆輸入法微軟MSE殺毒軟件NERO、ULTRAISO光盤(pán)刻錄工具AIDA64、3DMAR

5、K硬件檢測(cè)工具AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64設(shè)計(jì)軟件SOLID_EDGE、UG_NX6_X64三維設(shè)計(jì)軟件相關(guān)硬件驅(qū)動(dòng)(芯片組、顯卡、打印機(jī)等)ORACLE數(shù)據(jù)庫(kù)、MS-SQLSERVER數(shù)據(jù)庫(kù)KCEJMIS信息系統(tǒng)三、公司內(nèi)部局域網(wǎng)使用安全準(zhǔn)則：1、技術(shù)部信息組負(fù)責(zé)對(duì)公司計(jì)算機(jī)網(wǎng)絡(luò)及相關(guān)設(shè)備的調(diào)試以及保障其正常運(yùn)行。各部門(mén)領(lǐng)導(dǎo)對(duì)本部門(mén)的網(wǎng)絡(luò)及其網(wǎng)絡(luò)設(shè)備的管理工作負(fù)責(zé)。2、本地計(jì)算機(jī)、域、OA、數(shù)據(jù)庫(kù)的用戶名、密碼只授予指定員工個(gè)人使用，嚴(yán)禁向無(wú)關(guān)人員透露相關(guān)密碼，用戶應(yīng)使用數(shù)字和字母混用的密碼原則，定期更改相關(guān)系統(tǒng)密碼。 3、在

6、操作完成后，應(yīng)鎖定計(jì)算機(jī)或是將自己的用戶注銷(xiāo)，以防止無(wú)關(guān)人員進(jìn)入計(jì)算機(jī)非法操作。4、如未按以上規(guī)定執(zhí)行，由此造成的損失將追究本人責(zé)任。5、任何單位和個(gè)人，未經(jīng)許可，不得更換和挪用相關(guān)的網(wǎng)絡(luò)設(shè)備、切斷相關(guān)網(wǎng)絡(luò)設(shè)備的電源、調(diào)整或斷開(kāi)網(wǎng)絡(luò)接口、私自調(diào)整網(wǎng)絡(luò)設(shè)置。6、相關(guān)管理部門(mén)在設(shè)備維修過(guò)程中，確需切斷電源從而影響網(wǎng)絡(luò)設(shè)備使用的，應(yīng)及時(shí)通報(bào)技術(shù)部信息組。7、技術(shù)部信息組負(fù)責(zé)制訂、規(guī)劃各部門(mén)上網(wǎng)的接入點(diǎn)，并應(yīng)根據(jù)實(shí)際情況及時(shí)進(jìn)行調(diào)整。8、域安全策略：域安全策略由技術(shù)部信息組統(tǒng)一規(guī)劃和實(shí)施，并在每次更新域組策略后存檔備查。9、計(jì)算機(jī)使用人員所操作計(jì)算機(jī)內(nèi)的資源為公司信息資源，使用人有保護(hù)責(zé)任，應(yīng)做好本機(jī)

7、有關(guān)信息、數(shù)據(jù)的備份工作，具體數(shù)據(jù)應(yīng)備份到統(tǒng)一的文件服務(wù)器上。 10、公司主域、文件服務(wù)器、數(shù)據(jù)庫(kù)等數(shù)據(jù)備份工作由技術(shù)部信息組負(fù)責(zé)。11、OA數(shù)據(jù)庫(kù)備份由集團(tuán)公司信息管理部門(mén)完成。12、嚴(yán)禁利用公司計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行拷貝、發(fā)布有關(guān)危害國(guó)家或企業(yè)的信息。13、嚴(yán)禁利用公司計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行拷貝、發(fā)布如游戲、小說(shuō)等有娛樂(lè)形式的軟件和數(shù)據(jù)。14、嚴(yán)禁利用公司計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行拷貝、發(fā)布來(lái)歷不明或是帶病毒的程序和數(shù)據(jù)。15、公司員工不得在內(nèi)部網(wǎng)絡(luò)上傳遞、發(fā)布違反國(guó)家法律法規(guī)、企業(yè)規(guī)定以及與本職工作無(wú)關(guān)的消息和資訊。16、網(wǎng)絡(luò)違規(guī)行為監(jiān)測(cè)，根據(jù)服務(wù)器端“事件查看器”的跟蹤記錄為準(zhǔn)，按IP地址、計(jì)算機(jī)名、登錄用戶進(jìn)行

8、處罰。17、生產(chǎn)設(shè)備控制專(zhuān)用計(jì)算機(jī)需要聯(lián)入域網(wǎng)絡(luò)的，由生產(chǎn)單位提請(qǐng)技術(shù)部信息組和設(shè)備動(dòng)力安全部協(xié)調(diào)解決。18、未經(jīng)許可，域內(nèi)計(jì)算機(jī)不得自行脫離域。19、域內(nèi)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁升級(jí)由技術(shù)部信息組使用WSUS完成并自動(dòng)發(fā)布四、電子數(shù)據(jù)交換安全準(zhǔn)則:1、電子數(shù)據(jù)交換主要包括OA、郵件系統(tǒng)、網(wǎng)絡(luò)傳輸、U盤(pán)使用、光磁介質(zhì)使用等。2、采購(gòu)的電子數(shù)據(jù)交換產(chǎn)品相關(guān)驅(qū)動(dòng)程序、應(yīng)用軟件軟盤(pán)、光盤(pán)、說(shuō)明書(shū)、保修卡、許可證協(xié)議等設(shè)備軟硬件資料由技術(shù)部信息組統(tǒng)一保管，需要使用時(shí)，應(yīng)辦理借閱手續(xù)。3、用于公司內(nèi)部電子數(shù)據(jù)交換的移動(dòng)存儲(chǔ)介質(zhì)應(yīng)建立設(shè)備檔案，并在設(shè)備上做出編號(hào)標(biāo)識(shí)。4、電子數(shù)據(jù)交換時(shí)應(yīng)使用具有檔案標(biāo)識(shí)的移動(dòng)存

9、儲(chǔ)介質(zhì)。5、禁止下載、安裝與工作內(nèi)容無(wú)關(guān)的軟件，經(jīng)許可安裝的應(yīng)用軟件不得隨意刪除、修改程序或相關(guān)參數(shù)。6、公司各部門(mén)的計(jì)算機(jī)操作系統(tǒng)統(tǒng)一由技術(shù)部信息組進(jìn)行安裝布置。未經(jīng)許可，任何個(gè)人不得自行更換及安裝操作系統(tǒng)，或修改系統(tǒng)設(shè)置。7、以上禁止行為一經(jīng)發(fā)現(xiàn)，追究個(gè)人和單位主管領(lǐng)導(dǎo)的責(zé)任。五、病毒防護(hù)策略及準(zhǔn)則：1、公司涉密計(jì)算機(jī)及信息系統(tǒng)的防病毒管理工作，按相關(guān)保密管理制度要求執(zhí)行。2、公司在中央服務(wù)器上統(tǒng)一安裝計(jì)算機(jī)病毒查殺軟件，其他人不得私自卸載或更換防病毒軟件。3、使用部門(mén)發(fā)現(xiàn)病毒應(yīng)及時(shí)通報(bào)技術(shù)部信息組，按技術(shù)部信息組意見(jiàn)及時(shí)進(jìn)行處理，以免危及整個(gè)網(wǎng)絡(luò)。4、對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)及信息系統(tǒng)

10、癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)向技術(shù)部信息組報(bào)告，并保護(hù)現(xiàn)場(chǎng)。5、任何單位和個(gè)人不得在公司計(jì)算機(jī)上制作計(jì)算機(jī)病毒。6、任何單位和個(gè)人不得在公司計(jì)算機(jī)上進(jìn)行病毒傳播。7、嚴(yán)禁在公司計(jì)算機(jī)上安裝未經(jīng)過(guò)病毒掃描或未經(jīng)證實(shí)的軟件。六、MC2.COM域安全策略：為保證局域網(wǎng)安全，制訂xxxx局域網(wǎng)域安全策略，該域安全策略適用于MC2.COM域內(nèi)入網(wǎng)用戶所使用的計(jì)算機(jī)。以下策略可根據(jù)域安全需要及用戶反饋加以修訂，但修訂結(jié)果應(yīng)以書(shū)面文件保存。1 服務(wù)器常規(guī)選項(xiàng)1.1 主域、域控及策略域：MC2.COM域控制器：SVMC2AIP地址：1所有者：MC2Domain Admins默認(rèn)

11、域策略：GP0 GP0狀態(tài)：已啟用，強(qiáng)制GPO 適用：NT AUTHORITYAuthenticated Users1.2 MC2Domain Admins成員MC2Domain Admins成員具有對(duì)整個(gè)域內(nèi)用戶及計(jì)算機(jī)的管理和控制權(quán)，其成員如下：登錄名實(shí)名職務(wù)或崗位wuzhi武智總工程師jigang季剛副總工程師maningbo馬寧波技術(shù)部信息組/主任dongling董玲技術(shù)部信息組/系統(tǒng)管理員administrator域控制器本地用戶1系統(tǒng)帳戶wz域控制器本地用戶2備用帳戶info域控制器本地用戶3內(nèi)網(wǎng)網(wǎng)頁(yè)管理帳戶1.3 MC2Domain Users 組說(shuō)明MC2Domain User

12、s成員擁有域用戶權(quán)，僅對(duì)授權(quán)對(duì)象擁有管理和訪問(wèn)權(quán)，原則上按部門(mén)分組，為方便管理和對(duì)象權(quán)限控制，對(duì)人員較多部門(mén)可按班、組、室細(xì)分，同時(shí)根據(jù)職工人事變動(dòng)情況（增加或內(nèi)部調(diào)動(dòng)）調(diào)整職工所屬部門(mén)，對(duì)調(diào)出人員則刪除用戶帳戶。1.4 委派下述組和用戶擁有此 GPO 的指定權(quán)限，為保證GP0編輯、修改、刪除權(quán)的正當(dāng)行使，下述委派均不可繼承。名稱允許的權(quán)限繼承MC2Domain Admins編輯設(shè)置，刪除、修改安全性否MC2Enterprise Admins編輯設(shè)置，刪除、修改安全性否NT AUTHORITYAuthenticated Users讀取(從安全篩選)否NT AUTHORITYENTERPRISE

13、 DOMAIN CONTROLLERS讀取否NT AUTHORITYSYSTEM編輯設(shè)置，刪除、修改安全性否2 計(jì)算機(jī)配置2.1 策略2.1.1 WINDOWS設(shè)置 安全設(shè)置.1 帳戶策略/密碼策略策略設(shè)置密碼必須符合復(fù)雜性要求已啟用密碼最長(zhǎng)期限42 天強(qiáng)制密碼歷史12 個(gè)記住的密碼用可還原的加密來(lái)儲(chǔ)存密碼已禁用最短密碼長(zhǎng)度8 個(gè)字符最短密碼期限2 天.2 帳戶策略/帳戶鎖定策略策略設(shè)置在此后重置帳戶鎖定計(jì)數(shù)器30 分鐘帳戶鎖定時(shí)間30 分鐘帳戶鎖定閾值500 次無(wú)效登錄.3 帳戶策略/Kerberos 策略策略設(shè)置服務(wù)票證最長(zhǎng)壽命600

14、 分鐘計(jì)算機(jī)時(shí)鐘同步的最大容差5 分鐘強(qiáng)制用戶登錄限制已啟用用戶票證續(xù)訂最長(zhǎng)壽命7 天用戶票證最長(zhǎng)壽命10 小時(shí).4 本地策略/審核策略策略設(shè)置審核策略更改成功，失敗審核登錄事件成功，失敗審核對(duì)象訪問(wèn)成功，失敗審核進(jìn)程跟蹤成功，失敗審核目錄服務(wù)訪問(wèn)成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗審核帳戶登錄事件成功，失敗審核帳戶管理成功，失敗.5 本地策略/用戶權(quán)限分配策略設(shè)置更改時(shí)區(qū)MC2Domain Admins更改系統(tǒng)時(shí)間MC2Domain Admins,MC2Domain Users將工作站添加到域MC2yuyong,MC2yangxiaona,MC2

15、Domain Admins繞過(guò)遍歷檢查BUILTINAdministrators,NT AUTHORITYAuthenticated Users,Everyone.6 本地策略/安全選項(xiàng).6.1 故障恢復(fù)控制臺(tái)策略設(shè)置恢復(fù)控制臺(tái): 允許軟盤(pán)復(fù)制并訪問(wèn)所有驅(qū)動(dòng)器和所有文件夾已禁用.6.2 關(guān)機(jī)策略設(shè)置關(guān)機(jī): 清除虛擬內(nèi)存頁(yè)面文件已啟用關(guān)機(jī): 允許系統(tǒng)在未登錄的情況下關(guān)閉已啟用.6.3 交互式登錄策略設(shè)置交互式登錄: 不顯示最后的用戶名已啟用交互式登錄: 試圖登錄的用戶的消息標(biāo)題"您現(xiàn)在即將使用的是xx公司內(nèi)部局域網(wǎng)，請(qǐng)嚴(yán)格遵守公司

16、保密及相關(guān)規(guī)定使用本網(wǎng)絡(luò)。"交互式登錄: 提示用戶在過(guò)期之前更改密碼7 天交互式登錄: 無(wú)須按 Ctrl+Alt+Del已禁用.6.4 設(shè)備策略設(shè)置設(shè)備: 將 CD-ROM 的訪問(wèn)權(quán)限僅限于本地登錄的用戶已啟用設(shè)備: 將軟盤(pán)驅(qū)動(dòng)器的訪問(wèn)權(quán)限僅限于本地登錄的用戶已啟用.6.5 網(wǎng)絡(luò)安全策略設(shè)置網(wǎng)絡(luò)安全: 在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)已啟用.6.6 網(wǎng)絡(luò)訪問(wèn)策略設(shè)置網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶的匿名枚舉已啟用網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶和共享的匿名枚舉已啟用.6.7 域成員策略設(shè)置域成員: 計(jì)算機(jī)帳戶密碼最長(zhǎng)使用期限42 天2.

17、.8 帳戶策略設(shè)置帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄已啟用帳戶: 重命名來(lái)賓帳戶"GUESTMC2".7 事件日志策略設(shè)置安全日志大小上限20480 KB系統(tǒng)日志大小上限20480 KB應(yīng)用程序日志大小最大值20480 KB.8 系統(tǒng)服務(wù)Computer Browser： 啟動(dòng)模式: 自動(dòng)DHCP Client ：?jiǎn)?dòng)模式: 自動(dòng)DNS Client ：?jiǎn)?dòng)模式: 自動(dòng)Windows Firewall： 啟動(dòng)模式: 已禁用Windows Error Reporting Service： 啟動(dòng)模式: 已禁用Windows

18、 Update： 啟動(dòng)模式: 自動(dòng) 公鑰策略/加密文件系統(tǒng)證書(shū)頒發(fā)給頒發(fā)者到期日期預(yù)期目的ADMINISTRATORADMINISTRATOR2006/3/24 13:12:18文件恢復(fù) 公鑰策略/受信任的根證書(shū)頒發(fā)機(jī)構(gòu)策略設(shè)置允許用戶選擇新的根證書(shū)授權(quán)機(jī)構(gòu)(CA)來(lái)信任已啟用客戶端計(jì)算機(jī)可以信任下列證書(shū)存儲(chǔ)第三方根證書(shū)授權(quán)機(jī)構(gòu)和企業(yè)根證書(shū)授權(quán)機(jī)構(gòu)要根據(jù)證書(shū)身份驗(yàn)證用戶和計(jì)算機(jī)，CA 必須符合下列條件只在 Active Directory 中注冊(cè) 高級(jí)審核配置登錄/注銷(xiāo)策略設(shè)置審核帳戶鎖定成功，失敗審核注銷(xiāo)成功，失敗審核登錄成功，失敗審核其他登錄/注銷(xiāo)

19、事件成功，失敗審核特殊登錄成功，失敗2.1.2 管理模板 Windows 組件/Windows Installer策略設(shè)置注釋關(guān)閉創(chuàng)建系統(tǒng)還原檢查點(diǎn)已啟用 Windows 組件/Windows Media Center策略設(shè)置注釋不允許運(yùn)行 Windows Media Center已啟用 Windows 組件/Windows Media Player策略設(shè)置注釋防止創(chuàng)建“快速啟動(dòng)”工具欄快捷方式已啟用防止創(chuàng)建桌面快捷方式已啟用 Windows 組件/Windows Messenger策略設(shè)置注釋不允許運(yùn)行 Windows Messenge

20、r已啟用 Windows 組件/Windows Update策略設(shè)置注釋對(duì)計(jì)劃的安裝再次提示重新啟動(dòng)已啟用在再次提示計(jì)劃重新啟動(dòng)前等待的時(shí)間(分鐘): 20策略設(shè)置注釋對(duì)于有已登錄用戶的計(jì)算機(jī)，計(jì)劃的自動(dòng)更新安裝不執(zhí)行重新啟動(dòng)已啟用配置自動(dòng)更新已啟用配置自動(dòng)更新: 4 - 自動(dòng)下載并計(jì)劃安裝下列設(shè)置僅在選中 4 時(shí)需要和適用。計(jì)劃安裝日期: 0 - 每天計(jì)劃安裝時(shí)間: 09:00策略設(shè)置注釋啟用 Windows Update 電源管理以自動(dòng)喚醒系統(tǒng)來(lái)安裝計(jì)劃的更新已啟用允許非管理員接收更新通知已啟用允許自動(dòng)更新立即安裝已啟用指定 Intranet Microsoft 更新服務(wù)位置

21、已啟用設(shè)置檢測(cè)更新的 Intranet 更新服務(wù): HTTP:/SVMC2B設(shè)置 Intranet 統(tǒng)計(jì)服務(wù)器: HTTP:/SVMC2B(例如: http:/IntranetUpd01)策略設(shè)置注釋重新計(jì)劃自動(dòng)更新計(jì)劃的安裝已啟用等待系統(tǒng)啟動(dòng)(分鐘): 5策略設(shè)置注釋自動(dòng)更新檢測(cè)頻率已啟用檢查下列更新的間隔(小時(shí)): Windows 組件/Windows 錯(cuò)誤報(bào)告策略設(shè)置注釋不發(fā)送額外的數(shù)據(jù)已啟用禁用 Windows 錯(cuò)誤報(bào)告已啟用 Windows 組件/Windows 登錄選項(xiàng)策略設(shè)置注釋在用戶登錄期間報(bào)告登錄服務(wù)器何時(shí)不可用已啟用 Wind

22、ows 組件/備份/客戶端策略設(shè)置注釋關(guān)閉還原功能已啟用 Windows 組件/錄音機(jī)策略設(shè)置注釋不允許運(yùn)行錄音機(jī)程序已啟用0 Windows 組件/事件日志服務(wù)/安全策略設(shè)置注釋最大日志大小 (KB)已啟用最大日志大小 (KB)409601 Windows 組件/事件日志服務(wù)/安裝程序策略設(shè)置注釋最大日志大小 (KB)已啟用最大日志大小 (KB)4092 Windows 組件/事件日志服務(wù)/系統(tǒng)策略設(shè)置注釋最大日志大小 (KB)已啟用最大日志大小 (KB)4093 Windows 組件/事件日志服務(wù)/應(yīng)用程序策略設(shè)置注

23、釋最大日志大小 (KB)已啟用最大日志大小 (KB)4094 Windows 組件/網(wǎng)絡(luò)投影儀策略設(shè)置注釋關(guān)閉“連接到網(wǎng)絡(luò)投影儀”已啟用5 Windows 組件/游戲?yàn)g覽器策略設(shè)置注釋關(guān)閉跟蹤“游戲”文件夾中的上次游戲時(shí)間已啟用關(guān)閉下載游戲信息已啟用關(guān)閉游戲更新已啟用6 Windows 組件/桌面小工具策略設(shè)置注釋關(guān)閉用戶安裝的桌面小工具已禁用關(guān)閉桌面小工具已禁用7 Windows 組件/自動(dòng)播放策略策略設(shè)置注釋關(guān)閉自動(dòng)播放已啟用關(guān)閉自動(dòng)播放: CD-ROM 和可移動(dòng)介質(zhì)驅(qū)動(dòng)器8 系統(tǒng)/Windows 時(shí)間服務(wù)策略設(shè)置注釋

24、全局配置設(shè)置已啟用時(shí)鐘規(guī)則參數(shù)FrequencyCorrectRate4HoldPeriod5LargePhaseOffset50000000MaxAllowedPhaseOffset300MaxNegPhaseCorrection172800MaxPosPhaseCorrection172800PhaseCorrectRate1PollAdjustFactor5SpikeWatchPeriod900UpdateInterval100常規(guī)參數(shù)AnnounceFlags10EventLogFlags2LocalClockDispersion10MaxPollInterval10MinPollIn

25、terval6ChainEntryTimeout16ChainMaxEntries128ChainMaxHostEntries4ChainDisable0ChainLoggingRate309 系統(tǒng)/Windows 時(shí)間服務(wù)/時(shí)間提供程序策略設(shè)置注釋啟用 Windows NTP 服務(wù)器已啟用0 系統(tǒng)/登錄策略設(shè)置注釋登錄時(shí)不顯示歡迎屏幕已啟用分配默認(rèn)登錄域已啟用默認(rèn)登錄域: MC2.COM輸入域的名稱策略設(shè)置注釋總是用經(jīng)典登錄已啟用1 系統(tǒng)/服務(wù)器管理器策略設(shè)置注釋在登錄時(shí)不自動(dòng)顯示服務(wù)器管理器已啟用2 系統(tǒng)/可移動(dòng)存儲(chǔ)訪問(wèn)策略設(shè)置注釋可

26、移動(dòng)磁盤(pán): 拒絕執(zhí)行權(quán)限已啟用軟盤(pán)驅(qū)動(dòng)器: 拒絕讀取權(quán)限已啟用軟盤(pán)驅(qū)動(dòng)器: 拒絕寫(xiě)入權(quán)限已啟用軟盤(pán)驅(qū)動(dòng)器: 拒絕執(zhí)行權(quán)限已啟用3 系統(tǒng)/驅(qū)動(dòng)程序安裝策略設(shè)置注釋關(guān)閉 Windows Update 設(shè)備驅(qū)動(dòng)程序搜索提示已啟用4 系統(tǒng)/系統(tǒng)還原策略設(shè)置注釋關(guān)閉系統(tǒng)還原已啟用5 特別的注冊(cè)表設(shè)置設(shè)置狀態(tài)SoftwarePoliciesMicrosoftWindowsMovieMakerMovieMaker12.2 用戶配置(已啟用)2.2.1 Windows 設(shè)置2.2.2 遠(yuǎn)程安裝服務(wù)客戶端安裝向?qū)нx項(xiàng)策略設(shè)置工具已禁用重新啟動(dòng)安裝已禁用自定義安裝已禁用2

27、.2.3 腳本登錄對(duì)于此 GPO，腳本順序: 未配置名稱參數(shù)SVMC2AGP_POLICYBOOTW.BAT2.2.4 Internet Explorer 維護(hù) 連接/自動(dòng)瀏覽器配置策略設(shè)置自動(dòng)檢測(cè)配置已啟用自動(dòng)瀏覽器配置未配置 URL/重要 URL名稱URL主頁(yè) URLHTTP:/SVMC2WEB搜索欄 URL未配置聯(lián)機(jī)支持頁(yè)的 URL未配置2.3 管理模板2.3.1 “開(kāi)始”菜單和任務(wù)欄策略設(shè)置注釋不搜索 Internet已啟用不搜索通信已啟用從“開(kāi)始”菜單中刪除“TV 錄像”鏈接已啟用從“開(kāi)始”菜單中刪除“家庭組”鏈接已啟用從“開(kāi)始”菜單中刪除“視頻”鏈接已啟

28、用從“開(kāi)始”菜單中刪除“下載”鏈接已啟用從開(kāi)始菜單中刪除“默認(rèn)程序”鏈接。已啟用從開(kāi)始菜單中刪除“收藏夾”菜單已啟用從開(kāi)始菜單中刪除“圖片”圖標(biāo)已啟用從開(kāi)始菜單中刪除“網(wǎng)絡(luò)”圖標(biāo)已啟用從開(kāi)始菜單中刪除“網(wǎng)絡(luò)連接”已啟用從開(kāi)始菜單中刪除“文檔”圖標(biāo)已啟用從開(kāi)始菜單中刪除“移除 PC”按鈕已啟用從開(kāi)始菜單中刪除“音樂(lè)”圖標(biāo)已啟用從開(kāi)始菜單中刪除“游戲”鏈接已啟用關(guān)閉個(gè)性化菜單已啟用灰顯不可用的 Windows Installer 程序開(kāi)始菜單快捷方式已啟用將“搜索 Internet”鏈接添加到“開(kāi)始”菜單已禁用將“運(yùn)行”命令添加到開(kāi)始菜單已啟用將“注銷(xiāo)”添加到開(kāi)始菜單已啟用強(qiáng)制經(jīng)典開(kāi)始菜單已啟用刪

29、除開(kāi)始菜單項(xiàng)目上的“氣球提示”已啟用阻止用戶將任務(wù)欄移動(dòng)到另一個(gè)屏幕?？课恢靡褑⒂?.3.2 Windows 組件/Windows Media Center策略設(shè)置注釋不允許運(yùn)行 Windows Media Center已啟用2.3.3 Windows 組件/Windows 錯(cuò)誤報(bào)告策略設(shè)置注釋不發(fā)送額外的數(shù)據(jù)已啟用禁用 Windows 錯(cuò)誤報(bào)告已啟用2.3.4 Windows 組件/Windows 資源管理器策略設(shè)置注釋啟用經(jīng)典外觀已禁用有鼠標(biāo)雙擊變單擊問(wèn)題, 請(qǐng)勿啟用. - 馬寧波 2011-08-12刪除文件時(shí)顯示確認(rèn)對(duì)話框已啟用在用戶登錄時(shí)不顯示“歡迎中心”已啟用2.3.5 Windo

30、ws 組件/備份/客戶端策略設(shè)置注釋關(guān)閉還原功能已啟用2.3.6 Windows 組件/錄音機(jī)策略設(shè)置注釋不允許運(yùn)行錄音機(jī)程序已啟用2.3.7 Windows 組件/網(wǎng)絡(luò)投影儀策略設(shè)置注釋關(guān)閉“連接到網(wǎng)絡(luò)投影儀”已啟用2.3.8 Windows 組件/自動(dòng)播放策略策略設(shè)置注釋關(guān)閉自動(dòng)播放已啟用關(guān)閉自動(dòng)播放: CD-ROM 和可移動(dòng)介質(zhì)驅(qū)動(dòng)器2.3.9 控制面板策略設(shè)置注釋在打開(kāi)“控制面板”時(shí)始終打開(kāi)所有控制面板項(xiàng)已啟用2.3.10 控制面板/程序策略設(shè)置注釋隱藏“Windows 市場(chǎng)”已啟用2.3.11 控制面板/個(gè)性化策略設(shè)置注釋啟用屏幕保護(hù)程序已啟用強(qiáng)制使用特定的視覺(jué)樣式文件或強(qiáng)制使用 W

31、indows 經(jīng)典已啟用策略設(shè)置注釋阻止更改配色方案已啟用阻止更改桌面背景已啟用2.3.12 系統(tǒng)/可移動(dòng)存儲(chǔ)訪問(wèn)策略設(shè)置注釋軟盤(pán)驅(qū)動(dòng)器: 拒絕讀取權(quán)限已啟用軟盤(pán)驅(qū)動(dòng)器: 拒絕寫(xiě)入權(quán)限已啟用2.3.13 系統(tǒng)/驅(qū)動(dòng)程序安裝策略設(shè)置注釋關(guān)閉 Windows Update 設(shè)備驅(qū)動(dòng)程序搜索提示已啟用2.3.14 桌面策略設(shè)置注釋刪除清理桌面向?qū)б褑⒂脛h除桌面上的“我的文檔”圖標(biāo)已啟用隱藏桌面上的 Internet Explorer 圖標(biāo)已啟用2.3.15 特別的注冊(cè)表設(shè)置設(shè)置狀態(tài)SoftwarePoliciesMicrosoftWindowsMovieMakerMovieMaker12.4 首選項(xiàng)

32、2.4.1 控制面板設(shè)置 Internet 設(shè)置.1 Internet Explorer 5 和 6: Internet Explorer 5 and 6 (順序: 1).1.1 常規(guī)歷史記錄 網(wǎng)頁(yè)保存在歷史記錄中的天數(shù)20 天.1.2 安全安全級(jí)別 Internet中等本地 Intranet中等受信任的中等受限的中等.1.3 連接撥號(hào)設(shè)置 連接行為從不進(jìn)行撥號(hào)連接.1.4 常用選項(xiàng) 如果此項(xiàng)目發(fā)生錯(cuò)誤，則停止在此擴(kuò)展上處理這些項(xiàng)目否在登錄用戶的安全上下文中運(yùn)行(用戶策略選項(xiàng))否當(dāng)不再應(yīng)用項(xiàng)目時(shí)刪除此項(xiàng)目否應(yīng)用

33、一次且不重新應(yīng)用否.2 Internet Explorer 8: Internet Explorer 8 (順序: 2).2.1 連接撥號(hào)設(shè)置 連接行為從不進(jìn)行撥號(hào)連接.2.2 常用選項(xiàng) 如果此項(xiàng)目發(fā)生錯(cuò)誤，則停止在此擴(kuò)展上處理這些項(xiàng)目否在登錄用戶的安全上下文中運(yùn)行(用戶策略選項(xiàng))否當(dāng)不再應(yīng)用項(xiàng)目時(shí)刪除此項(xiàng)目否應(yīng)用一次且不重新應(yīng)用否.3 Internet Explorer 7: Internet Explorer 7 (順序: 3).3.1 連接撥號(hào)設(shè)置 連接行為從不進(jìn)行撥號(hào)連接.3.2 常用選項(xiàng) 如果此項(xiàng)目發(fā)

34、生錯(cuò)誤，則停止在此擴(kuò)展上處理這些項(xiàng)目否在登錄用戶的安全上下文中運(yùn)行(用戶策略選項(xiàng))否當(dāng)不再應(yīng)用項(xiàng)目時(shí)刪除此項(xiàng)目否應(yīng)用一次且不重新應(yīng)用否七、登錄腳本BOOTW.BAT內(nèi)容： REM =(開(kāi)啟系統(tǒng)默認(rèn)共享設(shè)置)=NET SHARE IPC$NET SHARE ADMIN$NET SHARE PRINT$NET SHARE C$NET SHARE D$NET SHARE E$NET SHARE F$REM =(設(shè)置全局變量)=SETLOCAL ENABLEEXTENSIONSSETLOCAL ENABLEDELAYEDEXPANSIONREM =(刪除WINDOWS的USB等硬件安裝記錄文件)=DE

35、L C:WINDOWSINFSETUPAPI.APP.LOG /QDEL C:WINDOWSINFSETUPAPI.DEV.LOG /QREM =(設(shè)置本機(jī)ADMINISTRATOR系統(tǒng)管理員密碼為KCEJINFO,1234)=NET USER GUESTKFB KCEJINFO,1234REM =(用BGINFO軟件部署MC2.COM域的統(tǒng)一桌面)=SVMC2AGP_POLICYBGINFO.EXE /NOLICPROMPT SVMC2AGP_POLICYHARDINFO.BGI /TIMER:00REM =(設(shè)置所有機(jī)器的CMD命令以ADMIN權(quán)限運(yùn)行,同時(shí)設(shè)置IE主頁(yè)為HTTP:/OA.

36、KSEC.CN)=REGEDIT /S SVMC2AGP_POLICYBOOTW.REGREM =(RDIX的本機(jī)系統(tǒng)策略,設(shè)置RDIX_的IE主頁(yè),IE局域網(wǎng)代理為:808)=REM =(KCEJIX本機(jī)系統(tǒng)策略,設(shè)置KCEJIX的IE主頁(yè),IE局域網(wǎng)代理為:808)=IF %COMPUTERNAME%=RDI0 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI1 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI2 SVMC2AGP_POLICYRDIX.BATIF %

37、COMPUTERNAME%=RDI3 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI4 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI5 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=KCEJI0 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI1 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI2 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME

38、%=KCEJI3 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI4 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI5 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI6 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI7 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI8 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME

39、%=KCEJI9 SVMC2AGP_POLICYKCEJIX.BATREM =(開(kāi)啟COMPUTER_BROWSER服務(wù),域策略狀態(tài)為:)=SC CONFIG BROWSER START= AUTOSC START BROWSERREM =(關(guān)閉SECURITY_CENTER安全中心服務(wù),域策略狀態(tài)為:)=SC STOP WSCSVCSC CONFIG WSCSVC START= DISABLEDREM =(關(guān)閉WINDOWS_BACKUP系統(tǒng)備份服務(wù),域策略狀態(tài)為:)=SC STOP SDRSVCSC CONFIG SDRSVC START= DISABLEDREM =(開(kāi)啟WINDOWS_

40、UPDATE自動(dòng)更新服務(wù),域策略狀態(tài)為:)=SC CONFIG WUAUSERV START= AUTOSC START WUAUSERVREM =(關(guān)閉WINDOWS_ERROR_REPORTING錯(cuò)誤報(bào)告服務(wù),域策略狀態(tài)為:)=SC STOP WERSVCSC CONFIG WERSVC START= DISABLEDREM =(開(kāi)啟WINDOWS_FIREWALL防火墻服務(wù))=SC CONFIG MPSSVC START= AUTOSC START MPSSVCSC CONFIG SHAREACCESS START= AUTOSC START SHAREACCESSREM =(設(shè)置所有計(jì)

41、算機(jī)本地時(shí)間與MC2.COM域時(shí)間同步)= NET TIME /DOMAIN:MC2.COM /SET /YESREM =(強(qiáng)制關(guān)閉系統(tǒng)還原)=POWERCFG -H OFFREM =(提取計(jì)算機(jī)基本信息數(shù)據(jù))=SVMC2AGP_POLICYKCEJCOMPUTERINFO.EXE /QUIETREM =(強(qiáng)制貫徹MC2.COM域策略,強(qiáng)制與SVMC2B服務(wù)器進(jìn)行補(bǔ)丁同步更新)=GPUPDATE /FORCEWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWIF /

42、I %USERDOMAIN%=MC2 GOTO ISMC2IF /I %USERDOMAIN%=MC2.COM GOTO ISMC2GOTO END_UD:ISMC2SET STR3=%USERNAME:0,1%ECHO %STR3%REM =(設(shè)置桌面SVMC2F個(gè)人文件夾快捷方式,映射到本機(jī)Z盤(pán))=WHOAMI /FQDN > "%TEMP%UD1.TXT"FOR /f "tokens=1 delims=," %a IN (%TEMP%UD1.TXT) do FOR /f "tokens=2 delims=" %c IN (

43、"%a") do set var1=%cREM if exist "%USERPROFILE%desktop%var1%在F上.lnk" GOTO END_UDecho Set ws=WScript.CreateObject("wscript.shell")>"%TEMP%MyShortCut.vbs"echo strdesktop=ws.SpecialFolders("DeskTop")>>"%TEMP%MyShortCut.vbs"echo Set path=ws.CreateShortcut(strdesktop & "%var1%在F上.lnk")>>"%TEMP%MyShortCut.vbs"echo path.targetpath="SVMC2F個(gè)人區(qū)域%STR3%var1%&