毕业设计样文.docx

1、毕业设计样文毕业设计说明书课题名称：利用活动目录实现企业网的安全管理专 业 系：信息系网络专业 班级名称：网络071 学生姓名：刘邵渝 指导老师：谢树新 完成日期：2009年12月毕 业 设 计 任 务 书指导老师： 谢树新一、毕业设计课题名称利用活动目录实现企业网的安全管理二、毕业设计任务1、目的与性质毕业设计的主要目的是培养学生综合运用所学的知识与技能分析与解决问题的能力，并巩固和扩大学生的课堂知识。毕业设计要求学生学会查阅、使用各种专业资料、网上资源，并以严肃认真、深入研究的工作作风完成设计任务，促使学生向综合应用型人才转变。随着信息社会的网络化，网络应用领域不断扩大，提供的服务不断增多

2、，网络安全涉及的领域和技术也越来越复杂。强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。要求学生学会网络操作系统的配置与使用，掌握运用活动目录对企业网的安全进行分析与设计，并实施行之有效的安全管理。2、硬件环境：硬件环境：企、事业单位，机关、学校等单位具备使用中的计算机网络系统LAN（一般要求在LAN上设计、测试和运行）、VLAN、VPN运行环境：Window XP，Window 2K3或以上版本3、软件环境操作系统：Windows Server 2003、Linux网

3、络协议：TCP/IP网络安全相关软、硬件：杀毒软件、防火墙、入侵检测系统等4、设计内容：根据网络安全的不同层次要求，依照模块化的思想，分析企、事业单位，机关、学校等现存信息系统所存在的安全隐患，并提出相应的解决方案。通过运用活动目录使用以下方法增强企业网的安全性： 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设

4、施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。5、毕业设计的主要任务：1 网络安全的现状及其应用情况分析2 安全方案目标 3 安全需求4 风险分析 5 基于AD的企业网安全应用方案的设计5.1活动目录逻辑结构的设计 5.1.1域结构的设计 5.1.2 OU结构的设计 5.1.3域控制器的规划5.1.4服务器、客户机的规划5.2活动目录物理结构的设计 5.2.1站点结构的设计 5.2.2全局编目服务器（GC）的设计 5.2.3活动目录数据库复制的规划5.3安全规划 5.3.1服务器的安全 5

5、.3.2客户机和用户帐号的安全 5.3.3网络的安全5.4活动目录的扩展问题5.5 安全技术的研究发展趋势 三、毕业设计要求完成所有的安全内容的分析与应用，并在指定服务器上现场演示。编写毕业设计说明书（毕业论文）。参加毕业答辩四、毕业设计过程及进度计划毕业设计课题的制定 6月1日6月 5 日布置任务书 6月8日7月 4 日熟悉课题 7月5日8月 31日网络安全服务器的安装与调试 9月1日9月 20日网络安全解决方案 9月21日10月5日网络安全解决方案的应用 10月6日 10月20日运行调试 10月21日11月5日编写毕业设计说明书 11月6日12月10日论文答辩 （时间统一安排）五、毕业设计

6、论文格式要求毕业设计说明书的写作要求毕业设计说明书是对设计进行解释与说明的书面材料，并主要由指导教师及有关专家、技术人员阅读，应规范、简洁，述说流畅清楚，论据充分。应在讲述原理后，以原理指导方案，详述方案具体的技术实现方法，对实现过程所遇问题与解决办法应进行解释，对设计过程须引用的资料（资源）应作说明，对方案的最终实现效果进行评估。设计书的页数应在40页左右（A4纸，标四号字），打印装订成册。结构毕业设计说明书应由以下几部分组成：绪论：由三个内容组成：课题名称；设计目的及意义；设计项目技术发展简介；设计的基本原理及各总模型介绍。目录：毕业设计说明书各部分内容。设计介绍：本方案的数据库结构、数据

7、库表的关联关系、功能模块、程序流程图等。正文：毕业设计说明书的核心部分，占据主要篇幅。结束语：对设计中所做的工作进行评价，可对设计的不足或问题作出讨论，或对未来技术及改进发表展望。附录及参考文献：将篇幅较大的表格、附图等材料附于设计说明书末。列出使用的主要参考书及网上资源的网址。六、毕业设计答辩程序及准备要求1、答辩程序（1）介绍毕业设计情况及本人主要完成的设计内容，时间为5分钟；（2）答辩老师提出2-3个问题，由答辩人回答，回答问题时间为10分钟。2、准备要求（1）答辩时必须提供光盘、毕业设计论文或报告；（2）准备好个人讲述提纲，制作PPT。七、毕业设计评分标准序号考核内容考核比例1明确毕业

8、设计课题要求，正确进行功能模块的划分5%2两次分析报告10%3毕业设计期间组织纪律性强，无迟到、早退、缺课现象5%4小组协作精神强，所有的小组成员在规定时间内完成要求的任务。5%5认真书写毕业设计论文，设计方案合理50%6回答问题正确25%合计八、其他1、参考资料2、指导教师的联系方式：E-mail： xesuxn 联系电话：13907338990 QQ：5688609前言在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息，窃取用户的口令、数据

9、库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。所以，计算机网络必须有足够强的安全措施。对于中小企业用户的局域网来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。本文通过介绍活动目录管理方案解决中小型企业网络的安全问题，在活动目录中利用域来实现企业的集中管理以及通过活动目录的一些安全策略来管理企业的人员，服务器，客户端，如：软件限制策略，强密码策略，组策略等，来保障和解决中小型企业的

10、网络安全问题。关键字：中小型企业、活动目录、管理第一章 中小型企业网络现状1.1 中小型企业网络现状根据有关统计资料，我国中小企业约有1100万家，中小企业占到了企业总数的99以上。由于中小企业业务流程大多处于混乱状态，要依靠先进的信息系统在市场竞争中降低运营风险。可以说，信息化是中小企业迎接新经济的挑战，提高企业运作效率、降低经营管理成本、把握新的商业机会的必由之路。虽然一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性面对严峻的网络安全形势，信息安全防护越来越受

11、到企业的重视，众多企业也在投入大量资金进行网络安全产品的采购和部署。目前，国内大中型企业由于信息化起步早、资金和技术力量充足、管理制度较为完善，因此信息安全体系成熟度也相对较高，但众多中小企业的信息安全状况却十分令人担忧。1.2 中小型企业网络安全解决方案目前市场上有很多厂商也提出了众多解决方案，这些方案以硬件防火墙为主体，集成了防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护等领域，能够提供的安全保障较为全面。但从其应用范围来看，这些方案大多数面向的是银行、证券、电信、政府等行业用户和大型企业用户，相比较而言，针对中小企业的安全解决方案寥寥无几，内容也主要是防病毒软件和软件防火墙。大多

12、品质过硬的专业级的硬件防火墙，由于价格高昂，在中小企业应用较少。而本文利用活动目录中的域实现企业的集中管理以及通过活动目录的一些安全策略来管理管理企业的人员，服务器，客户端，如：利用软件限制策略控制计算机上运行的程序保护计算机环境，利用组策略来实现不同用户的不同管理等技术来保障和解决中小型企业的网络安全问题。这种管理方式不仅方便安全而且资金消耗小，很适合在中小型企业当中运用。第二章 活动目录的概述2.1 活动目录的概念活动目录是一个分布式的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。ActiveDirectory目录服务使用结构化的数据存储作为目录信息的逻

13、辑层次结构的基础。2.2 活动目录的特点方便的组织资源：活动目录将目录组织成能够存储大量对象的容器， 因此活动目录能够随着组织机构的扩大而增长。 集中管理和分散管理相结合：利用活动目录工具能够对活动目录中所有的资源进行统一管理，还可以根据不同用户的需要进行分散管理。资源访问的分级管理：通过登录认证和对目录中对象的访问控制，安全性和活动目录紧密地集成在一起。2.3 活动目录的作用信息的安全性大大增强 引入基于策略的管理，使系统的管理更加明朗具有很强的可扩展性和可伸缩性 2.4 活动目录的安装1.活动目录安装前的准备必须保证已经有一台机器安装了windows2000 Server 或者window

14、s2003 Server，且至少有一个NTFS分区， 而且已经为TCP/IP 配置了DNS协议，并且DNS服务支持SRV记录和动态更新协议。其次是要规划好整个系统的域结构验证操作系统的版本信息：选择“开始”菜单或按 Ctrl+Alt+Del 组合键验证用户权限：要执行活动目录的安装必须对计算机具有管理权限， 一般来说都是由管理员组的用户账号来执行活动目录的安装。按 ctrl+Alt+Del 组合键可以查看当前登录的用户身份。验证计算机的磁盘分区及剩余空间情况：在“计算机管理”控制台下单击“磁盘管理”TCPIP 协议及 DNS 的配置：在“Internet 协议(TCPIP)属性”对话框中为计算

15、机设置 IP 地址、子网掩码及DNS 服务器地址，如果该域的 DNS 服务器不是本机， 那么在此应该把 DNS 服务器的地址指向网络中维护该区域的 DNS 服务器。 如果网络中没有其他的 DNS 服务器，想让这台计算机既作为DC 又充当DNS 服务器，那么此处可以把DNS 指向自己或者什么都不做，活动目录安装向导会提示如何来做。2. 下面是一台装有Windows Server 2003 的计算机上安装活动目录的过程：1)在“运行”框中输入dcpromo2)显示“域控制器类型”对话框，指定该服务器要担当的角色。选择“新域的域控制器”单选按钮。3)显示“创建一个新域”对话框，选择要创建的域的类型，

16、选择“在新林中的域”单选按钮。4)打开“新的域名”对话框，在文本框中输入新建域的DNS全名。5)显示“数据库和日志文件夹”对话框。在指定放置 Active Directory数据库和日志文件的位置， 可以通过单击“浏览”按钮来选择合适的位置（基于最佳性能和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上）。6)显示“目录服务还原模式的管理密码”对话框，输入还原模式密码。（还原模式密码是在 Active Directory 出现故障进行恢复时需要验证的密码）7)安装后 Active Directory需要重新启动计算机才能生效8)要删除活动目录，在“运行”框中输入dcpromo，然

17、后单击“确定”按钮，打开“Active Directory安装向导”对话框，并根据向导进行删除。第三章 基于AD企业网安全物理结构的设计3.1 站点结构的设计天一玩具股份有限公司全体员工人数是150人，因为整个公司的资源对象不多，所以采用单站点结构实现了整个公司的IT架构管理。在DC1上打开 “Active Directory 站点和服务”可以查看到tianyi的站点。如图3-1所示图 3-13.2 全局编目服务器（GC）的设计当下是单域环境，为了保证用户登录和查找活动目录的速度，除了域控制器作为缺省的GC使用外，额外域控制器DC2也要指定为GC。3.3 活动目录数据库复制的规划更改通知的方式

18、:如果A1上创建了一个帐号test，则它会15秒后通知A2,然后3秒后通知A3、再3秒后通知A4。如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。紧急复制:如密码修改、帐户锁定策略等。修改后就马上联系复制伙伴。没有时间延迟每隔1小时复制:检查是否有数据复制遗漏。第四章 基于AD企业网安全逻辑结构的设计4.1 域结构的设计1.背景分析根据网络规模以及集中管理和结构简单,我们采用单域的结构，域名为。与多域结构相比，实现了网络资源的集中管理。并保证了管理上的简单性和低成本。在域内部按照部门名称划分ou，即创建4个组织单元，分别是：行政部，人事部，工程部，财务部，用与存储和管理各个部门的用

19、户帐户，组，以及打印机。整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。为保证可靠性，需要安装2台域控制器。如图4-1所示：图 4-12. 创建Windows域在dc1上执行命令”dcpromo”安装AD，提升为域控制器。为该公司创建一个新域。域名为。在安装AD的过程中安装DNS服务。保障域名解析服务正常运行。为了保证域的可靠性，和高效性。需要安装第二台域控制器。安装完域控制器之后，分别将其他的计算机加入该域。4.2 OU结构的设计1.为了匹配公司的管理模型，在域内按照部门名称划分组织单位（ou）,即创建4个组织单位，分别是：行政部、人事部、工程部、财务部。将来创建各个部门的用户帐户

20、和组属于各个部门ou。使用AD活动目录里的【Active Directory 用户和计算机】工具创建部门ou。结果如图4-2所示图 4-2 2.创建用户账户和组使用【Active Directory 用户和计算机】工具在各个部门的ou中分别为该部门员工创建唯一的域用户账户，帐户名为员工的姓名的拼音。域用户帐户在下次登录时更改密码。为每个部门创建全局组，将同部门的员工帐户分别加入各个部门的全局组。4.3 域控制器的规划域控制器的数量:在天一架设两台域控制器（假定的名字为tianyi1和tianyi2）操作主机的角色:在tianyi上保留架构操作主机、域命名操作主机、PDC模拟器、RID Mast

21、er、结构操作主机转移到tianyi2上。4.4 客户机的规划在各部门的OU中分别为该部门员工创建唯一的域用户账户，账户名为员工姓名的拼音，所有客户端计算机都加入到域中。在一般情况下，所有用户都使用域用户帐号登录，用户以前使用本地帐号时的配置文件要保留。第五章 安全规划5.1服务器的安全5.1.1 配置文件服务器1)通过一台专用的文件服务器存储公共文件以及员工的工作文档 2)配置共享权限和NTFS权限 3)权限的配置应遵循AGDLP规则4)启用磁盘配额5)制定备份策略，按任务计划自动执行6)通过一台专用的文件服务器存储公共文件以及员工的文档。7)文件服务器的c:盘容量为10G安装操作系统和软件

22、。D:盘容量大于1T，并采用ntfs文件系统，在d:盘的一个文件夹“software“存放公共的文件。常用的软件和公司的规章制度。另一个文件夹”share“存放部门和员工的工作文档。8)在d:”share”文件夹下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并通过网络映射，映射到每个帐户的机器上，配置共享权限和ntfs权限。保障文件只被授权的用户访问。9)权限的设置应该遵循AGDLP(用户加入到安全全局组，再将相应的全局组加入到本地组，然后给本地组赋予权限)。避免直接给用户授权。具体：文件夹名共享权限NTFS权限D:softwareEveryone读取Everyone读取D:sha

23、reEveryone完全控制Everyone列出文件夹目录，总经理完全控制D:share行政部无全局组行政读取、本部门经理和总经理完全控制D:share人事部无全局组人事读取、本部门经理和总经理完全控制D:share工程部无全局组工程读取、本部门经理和总经理完全控制D:share销售部无全局组销售读取、本部门经理和总经理完全控制D:share财务部无全局组财务读取、本部门经理和总经理完全控制D:share行政部某员工文件夹无全局组行政读取、员工自己、本部门经理和总经理完全控制在文件服务器上，普通员工最大的使用空间为100MB，部门经理最大的使用权限为1000MB，总经理的使用空间不限制。5.1

24、.2 配置打印服务器在打印服务器Printsvr1上添加本地打印机a、b、c并共享 在打印服务器Printsvr2上添加本地打印机a、b并共享配置优先级和适当的打印权限 在其他计算机上完成打印客户端配置（添加网络打印机）具体：服务器名打印机共享名优先级打印权限Printsvr1a90总经理打印Printsvr1b50财务部经理打印Printsvr1c全局组财务打印Printsvr2a50部门经理打印Printsvr2b1Everyone打印5.1.3 配置代理服务器代理服务器的专用连接的IP设置为192.168.10.8,公共连接与ADSL线路连通，IP地址从ISP动态获得,在isa上安装代理

25、服务器软件isa server并激活HTTP代理，端口为默认值80,在其他计算机上的IE浏览器中配置代理服务器客户端. 实现共享上网5.2 客户机和用户帐号的安全1.限制用户能登录的计算机在域环境下，一个域用户帐户默认是可以登录到域中任意一台计算机的（DC除外），这样为用户提供了方便。因为假设用户正在使用的计算机出现故障了，需要维修，那么该用户可以用他自己的域用户帐户在其它计算机上登录域，继续完成自己未完成的工作，继续使用域中的资源而不会受到影响，但工作组却没有提供这样的方便。但是如果要限制用户只能使用某些计算机来登录域，可以通过设置用户帐户的属性来实现。打开要进行限制的用户帐户的属性，找到“

26、帐户”选项卡，点击“登录到”按钮。如图5-1所示。图 5-1在打开的“登录工作站”对话框中，可以看到默认的设置是用户可以登录到“所有计算机”，要进行限制，选择“下列计算机”单选按钮，并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。如果有必要，可以添加多台计算机。完成后，该用户只能在指定的计算机上登录，而不能在未指定的计算机上登录到域。2. 公司对员工的帐户需求员工一人一个帐户所有帐户集中存储管理按部门管理帐户密码不能为简单密码，如12345678等对个别员工试探别人密码的行为要有所防范员工的权限级别有3种：总经理、部门经理、普通员工，他们在访问网络资源时权限不同3

27、. 强密码策略在这里提供的密码策略和帐户锁定策略对于我们保障帐户的安全性起到了非常大的作用。密码必须符合复杂性要求，这一项要求一般受到策略影响的主机上创建帐户的时候，或者修改帐户密码的时候就会受到这个策略的限制，它的密码必须满足以下的策略，这样才能加强密码的安全性。密码策略：长度至少有8个字符不包含用户名、姓名或公司姓名不包含完整字典词汇与先前密码大不相同包含全部四组类型字符：az、AZ、09、非字母特殊字符5.3 设置漫游配置文件1.漫游配置文件的优点：漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中（文件服务器），当用户登录时，系统会自动去寻找该服务器，并找到属于该用户的

28、配置文件，然后加载。这时，无论用户在什么地方登录，该用户都可以使用同一个配置文件，在任何一台计算机登录所获得的工作环境都是一样的。同时，由于所有用户的配置文件集中保存在同一台服务器中，所以也方便了管理员进行集中的备份，保证数据的安全。2.为用户设置漫游配置文件：首先要找一台专用的文件服务器，在该服务器中建立一个文件夹并共享，共享权限设置everyone写入权限。然后选择一个用户，打开属性对话框，找到“配置文件”选项卡。在“配置文件路径”中填入上面建立的共享文件夹的UNC路径，并在该路径后跟该用户的用户名，以便于把该用户的配置文件存放在以用户名命名的子文件夹里。这时该用户在域中任一台计算机上登录

29、，该用户的工作环境都是一样的。如图5-4所示。图 5-45.4 限制用户使用非法软件1.软件限制策略的管理目的：软件限制策略可以控制计算机上运行的程序，以使保护计算机环境不会受到不可信代码的攻击。阻止任何文件在本地计算机、组织单元、站点或域中运行。在多用户计算机上，仅允许用户运行特定的文件确定谁可以向计算机中添加受信任的发布服务器。控制软件限制策略是影响计算机上的所有用户，还是只影响一些用户2. 在“组策略编辑器”中依次打开“计算机配置”“Windows设置”“安全设置”，右击“软件限制策略”，选择“创建软件限制策略”命令。然后选中“软件限制策略”，可以看到如图5-5所示图 5-55.5 应用组策略部署防火墙软件1. 软件部署阶段、软件维护阶段、软件删除阶段软件部署阶段：软件准备好了以后，就可以利用组策略来设置软件部署点，并指定软件部署的方式，使计算机启动或用户激活应用程序时进行软件安装。软件维护阶段：软件也可能需要经常打补丁或升级。利用组策略来维护软件可以实现在不通知用户的情况下自动完成软件的升级等操作。软件删除阶段：通过设置组策略可以把那些不需要继续使用的软件删除掉，也不必通知用户。2. 应用组策略部署防火墙在Windows2003客户机（具有管理员权限）