工作内容


工作内容


通过工作中调查与实施的项目,其中包含尚未进行开展的项目通过工作中调查与实施的项目

项目流程

手机配发

  1. 邓白氏编码申请
  2. 将邓白氏编码提供给苹果
  3. 将苹果提供的表格完善,盖章回传给苹果
  4. 完成App Store创建
  5. 完成ABM企业账户创建
  6. 与苹果敲定机型与报价
  7. 根据手机S/N绑定ABM完成拆封前部署

穿插 南洋万邦

  1. 与南洋万邦 签订 世纪互联 协议书
  2. 与南洋万邦采购Microsoft intune。
  3. 创建Office365组织与Azure AD。
  4. 将本地AD与Azure链接。
  5. 手机下发给员工后要求安装intune。(域账户作为唯一验证凭证)
  6. 根据需求制定安全策略。

Open license

  1. 创建Office365组织
  2. 创建批量许可中心首次需要采购5套产品。
  3. 根据PC设备资产台账确定需要购买的Windows专业版与Office365数量。
  4. 后续追加可以以单个数量逐个增加。
  5. 替换掉原有零售版Office标准版 与小型企业版。Windows 厂商OEM授权。

用友

  1. 将硬加密改为软加密。

  2. 追加资产管理模块。

  3. 对接AD,实现域用户验证。

  4. 权限设定基于AD用户组。(实现效果:无需单独为用友使用员工单独创建用户账户)

标准桌面规范

  1. 明确标准装机软件
  2. 明确Windows版本
  3. 组策略设定文件夹重定向,将user data重定向到服务器用户配置文件夹。
  4. 禁用本地administrator,删除user/admin等账户。创建统一本地管理员账户。
  5. 周期重新设定本地管理员密码。
  6. PC bios设定HDD 密码
  7. 全员重新安装系统,保证系统的一致性。
  8. 根据员工工作内容酌情添加本地管理员权限。
  9. 基于LDAP和radius预定后续系统统一认证与单点登录的前期调研。

2022年推进

网络安全

  1. 边界防护设备更新。

    1. 深信服AF 下一代防火墙
    2. 飞塔60F
  2. 勒索病毒防护

    1. 深信服EDR
    2. 安恒EDR
  3. 零信任VPN

    1. 基于深信服或者飞塔AF自带的VPN
    2. 字节跳动飞连
    3. 深信服独立VPN设备
    4. 飞塔独立VPN设备

行为管控

  1. 深信服AC网络三层设备
  2. IP guard

无线覆盖

  1. 更换无线设备为华为无线覆盖解决方案
  2. 基于Windows ad 搭建radius
  3. SSID创建内网与Guest,guest独立vlan。内网不可达。
  4. 内网SSID,策略加入radius身份验证。
  5. 隐藏SSID
  6. 开启MAC地址白名单模式。

阿里云相关

  1. 阿里云控制台实名验证
  2. 密保手机确认
  3. 阿里邮箱管理权从琉云转移到实名认证后的阿里云控制台
  4. 公司服务上云前期架构确认(冗余热备,等保合规,还有考虑到其他分公司上云的扩展性)

等保相关

  1. 本地机房只留下备份/三层/二层网络设备。
  2. 明确分公司直接是否需要互通实现共同管理(考虑到扩展性架构)
  3. 本地部署一套等保合规要求的审计设备。如后续分公司统一接管上云,可省下单独过等保的成本。

应急演练

  1. 模拟突发事件导致的断网,服务器崩溃,损坏等各种不可抗力引起的业务中断的处理办法。
  2. 测试数据还原,冗余热备切换等安全部署是否可以快速响应,与正确还原。
  3. 根据事后总结不足,针对性整改,与员工安全意识培训。

ERP调优

  1. 用友与OA对接,直接读取审批完成的报销等数据(读取OA系统数据库对应的表项)
  2. 用友功能定制结合扫码枪或者扫描,通过通配符自动判定扫描的内容,进行扫描分发以及数据拉取,自动将数据填写到财务模块。
  3. 定制资产模块以及其他ERP模块自动化,实现自动读取指定路径下excel,PDF等文件数据,实现自动录入

供应商管理

  1. 创建供应商对应的域账户
  2. 基于统一验证会生成对应的VPN账户
  3. 供应商远程(如用友)使用VPN连接。
  4. 防火墙策略针对不同的供应商创建不同的策略。
  5. 基于零信任VPN策略可设定风险操作,自动断开VPN并冻结。终端安全环境未达标无法连接VPN。
  6. 基于IP guard 可以记录供应商账户在远程时进行了哪些操作,设定。

系统监控

  1. 部署Ubuntu服务器
  2. 部署zabbix监控服务
  3. 针对网络设备开启SNMP协议进行监控。
  4. 针对NAS(群晖DS920+)使用SNMP协议进行监控。
  5. 针对AD,文件,用友等服务器部署agent进行监控。

硬件投资

  1. 深信服AC
  2. 三层交换机(Cisco/华为/H3C)
  3. IPS/IDS
  4. 堡垒机

云计算规划

Cloud Zone

云端拓扑

SET

VPC CONF

SET IP address 10.1.1/24 [^ 设定IP地址范围 10.1.1/24]

Azure AD synchronizes with office365 organizations [^ Azure AD 与office365 组织进行同步]

Share Server Backup to cloud Storage [^ 共享服务器中的数据备份到云存储当中]

Deploy the Zabbix server [^ 部署zabbix服务器]

The firewall is used to connect branches and offices through ipsec VPN[^ 通过防火墙使用ipsec VPN连接各个分公司与办事处 ]

Cloud to connect

整体应用及链路拓扑

目前设定

桌面设定

Active Directory

  1. 组织单元

    1.1 根据公司组织架构创建对应的OU

    1.2 根据公司组织架构创建对应的用户组

    1.3 将加入信任域的PC移动到 对应的OU

  2. 组策略

    2.1 映射磁盘驱动器Private文件夹盘符为‘‘P’’

    2.2 映射磁盘驱动器Share文件夹盘符为‘’Z‘’

    2.3 共享打印机推送

    2.4 文件夹重定向,将用户配置文件夹重定向到服务器

  3. Radius(计划明年要做)

    3.1 作用于无线连接身份认真

    3.2 作用于新部署的零信任VPN账户认证

其他设定

无线控制

  1. 创建主要SSID

    1.1 关闭DHCP

    1.2 不单独划分VLAN

    1.3 不做访问限制

  2. 创建Guess SSID

    2.1 开启DHCP

    2.2 独立VLAN

    2.3 任何局域网不可达

  3. 认证系统(计划明年实施)Radius

防火墙设定

  1. LDAP连接AD

    1.1 VPN账户读取AD 成员

    1.2 防火墙管理员读取 IT group成员

  2. 策略设定

    2.1 IT group VPN 可以访问任何服务端口

    2.2 普通成员 VPN 可以访问共享服务器SMB

    2.3 外包服务商 VPN可以访问对应承接维保服务的RDP 3389(如 用友)

打印机设定

因尚未购买同步服务以及刷卡等模块,不能实现LDAP同步,仅进行扫描的设定

UNC:\\share\Private%username%\Scan

用于扫描写入账户为:printscan

备份设定

  1. backup exec

    1.1 存储设备为NAS

    1.2 每天23:00执行增量备份 保留时长 1星期

    1.3 每周五 23:00执行完全备份,保留时长 2星期

  2. FreeFileSync

    2.1 存储设备为移动硬盘

    2.2 每天执行手动备份

    2.3 备份完成后断开设备连接


文章作者: 李广明
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 李广明 !
评论
  目录