根据现有的公司环境，以及你以往的管理经验，进行工作总结，并撰写相关的整改方案。知道我最怕的是什么吗？害怕的是该企业一系列平台都已经搭建好，你只要接手维护就可以，其它的不用做，这样的话，你的优势，长处不得以施展。OK，我在这里以企业什么平台都没有，系统为Windows XP环境下，为新手们来撰写出整改方案。不过由你自己决定：(因为时间关系，我只能抽空写，更新会比较慢，请大家耐心等待，以下内容是我写的一部分，待全部写完，我会将WORD版附件发上来，而且里面所涉及的软件等等 也会发上来)

2系统管理

2.1系统的安全防范

系统的安全防范也是整个公司的安全防范。就系统安全防范方面，我将按以下内容进行实施：

2.1.1禁用不必要的服务

注释：禁用系统不必要的服务即可以提供系统安全性，也可以优化系统进程占用率。其禁用系统服务名称列表如下：

2.1.2关闭默认共享及系统优化（见附件）

注释：若没有关闭默认共享，即使本机没有共享任何文件，系统则会默认共享全部硬盘。

2.1.3开启审核功能

注释：当有人尝试进行某种方式***时，都会 被安全审核记录下来。

2.1.4系统设置

2.1.4.1关闭屏幕保护功能

原因：杀毒软件默认会在屏保启用时进行查杀病毒。随后，加载屏保程序，进入桌面后，系统会有些迟缓。

2.1.4.2取消自定义桌面内弹出清理60天未使用的图标提示

2.1.4.3关闭系统还原

2.1.4.4取消远程协助

2.1.4.5根据公司软件系统需求，对系统盘（即C盘）空间进行规划，默认分为20G，并合理分配虚拟内存。

原因：将软件全部安装在C盘，不装在D盘，系统还原后，所有软件也一起恢复，这样就不用再装需求的软件。

注意：若有OA，OUTLOOK，FOXMAIL等必须保留数据的软件系统，请将此软件安装在D盘，或检查该软件数据保存的默认位置，将其更改至D盘或其它盘。

2.1.4.6取消安装声卡驱动

原因：随着声卡驱动未安装后，可以减少员工在线听音乐，看电影的“娱乐气氛”，这样从而避免公司带宽资源浪费。

2.1.4.7IE安全设置

2.1.4.7.1 IE只需安装6.0 SP2之间的补丁，不要升级到IE7以上（包括IE7）的版本。

2.1.4.7.2 进入IE的INTERNET选项中，点击“内容”模块，选择“自动完成”，把里面的复选框全部取消。这是记录IE用户名和密码窗口记录的功能。

第一次用IE在邮箱框内输入帐号和密码，会提示你是否保存用户名和密码，按保存后，双击用户名框，则在登录过的用户名记录中选择刚才保存用户名和密码的用户名，这样就不用输入密码可进入邮箱。这是一个安全隐患，解决它的一种方法就是在框中双击，选择该用户名，然后DEL键，这时会提示你相关信息，你按确定，便可删除。还有一个就是按上面的操作进行解决。

2.1.4.7.3 点击“程序”模块，将“检查Internet Explorer是否为默认浏览器”复选框取消即可。

2.1.4.7.4 点击“高级”，选择“关闭浏览器时清空Internet临时文件夹”

2.1.4.8封闭U口设置及管制

2.1.4.8.1 在禁用不必要的服务列表中，已经禁用了磁盘监控配置的两个服务，这样避免了系统检测到新硬盘或U盘等新存储设备时，自动分配盘符现象出现。再者，计算机管理选项中的磁盘管理工具也会失效，这样只能能过开启这两个服务才能进行手动分配。

2.1.4.8.2 若计算机未安装USB设备（如U口的键盘，鼠标，扫描仪，打印机等），直接进入BIOS，将USB设置全禁用。

2.1.4.8.3 安装禁用USB软件。其作用，可将2.1.4.8.2操作取消，软件可以让管理者自行选择封闭模式，即为封闭所有USB端口和只封闭USB存储设备两种。（软件见附件）

2.1.4.9降低用户权限，即为POWER USER

原因：

1.降低为POWER USER权限后，用户无法在卸载安装软件（部分软件会按忽略后被强制安装）。

2.降低为POWER USER权限后，计算机名及IP地址等网络配置，无权限修改。

3.降低为POWER USER权限后，在管理员权限下安装后的软件均可正常使用，并无影响。

4.降低为POWER USER权限后，用户无法卸载安装新硬件驱动，禁用SERVER后，也无法升级该用户权限为管理员的设置。

5.降低为POWER USER权限后，减少病毒在该用户权限下的***。

总述：首先要注意，降低为POWER USER权限后，在NTFS格式盘操作文档等格式，默认可能会没有权限修改，需要额外的设置。降低权限，并将SERVER服务禁用，这样所谓的双剑合壁启用后，我们会看到哪引起安防效果？

禁用SERVER服务后，则在POWER USER用户下想突破权限来共享文件，访问对方计算机以及提升为管理员权限都没办法。然而也避免了病毒通过共享（135~139）端口进行***感染，别的计算机想通过网上邻居进行访问本机，也无济于事。有的人会说用NET命令打开默认共享，前提是你已经在POWER USER下，且SERVER服务已经禁用，你是没办法办到的。

小常识：若需访问XP，则第一步应先将“我的电脑”—“文件夹选项”—“查看”—“使用简单文件共享”复选框取掉后，将SERVER服务启用，另外若ICP$空连接没被关闭，则访问是正常的。

2.1.5绑定IP与MAC地址

注释：该功能主要用于防止ARP病毒***及员工私自更改IP地址，造成他人正在使用该IP时发生冲突，令他人无法工作。绑定后，即使员工私自更改IP地址造成冲突，原IP使用人仍可使用原IP正常工作，修改IP的员工仍无法使用新IP进行网络通讯。

例如：我正在使用可上网的IP在网络通讯，突然有人把IP更改成和我一样的IP，发生冲突后，我的网络通讯也随着中断。

这需要你所在企业的网络设置，如交换机或路由有这个功能才可以。

小常识：需使用IP和MAC扫描工具，从扫描结果得知IP和MAC绑定情况，以及网络资源的使用。如外来笔记本未通知你就更改IP，你不知道这个IP是在哪台计算机名，一个是用PINA –A IP的方法来解析出计算机名，还有一个就是用这个软件来扫描。

2.1.6系统的备份

系统备份软件建议使用一键还原。

原因：系统破坏时，无法进入操作系统引导驱，则无法在选择操作系统列表中，进行系统恢复。采用一键还原后，会有一个热键，默认为F11，这个热键提示是在显示完BIOS信息后就会出现，也就是在进入系统启动前，这样确保了系统还原的安全性。

一般GHOST都是保存在最后一个盘，可以将此文件夹隐藏或不隐藏，但勿删除或格式化，那GHOST备份文件也会随着丢失。用一键还原，是像品牌机一样，将最后一个盘的容量由你来设置腾出一定的空间，进行隐藏分区处理，备份系统。这样保护了GHOST文件的完整性，隐藏性和安全性。