公司企业内部局域网软件部署安全策略及准则

1、1XX有限公司企业内部局域网软件部署安全策略及准则(第一版)2014年9月XX有限集团公司xx公司xx有限公司企业内部局域网软件部署安全策略及准则(第一版)为确保公司企业内部局域网安全有效运行，依据xx公司非涉密计算机及网络管理办法及国家相关管理规定，特制定本企业内部局域网软件部署安全策略及准则，本策略为公司局域网软件部署的安全性指导性文件。本安全策略及准则由以下几个部分组成：1、公司MC2.COM局域网概况2、软件使用范围及规则3、公司内部局域网使用安全准则4、电子数据交换安全准则5、病毒防护策略及准则6、MC2.COM域安全策略7、域计算机及域用户登录脚本一、公司MC2.COM局域网概况：

2、公司根据信息化建设规划需要，经数年努力，逐步建成了MC2.COM局域网络，该网络覆盖了102工房、104工房、203工房、205工房、702工房、401大楼等物理区域，为了保障网络的可靠性，整个网络由CISCO核心可管交换机及CISCO主干网络交换机控制，整个网络采用VLAN技术划分为10个网段：(170.16.70、72、74、76、78、80、82、84、86、88)。在硬件层面，MC2.COM局域网中运行服务器11台(含虚拟服务器)、台式计算机498台、笔记本电脑33台、交换机21台、路由器2台；在操作系统OS层面，所有服务器操作系统OS均运行WINDOWS2012R2操作系统，410台

3、计算机运行WINDOWS7X64操作系统，88台计算机运行WINDOWXP-X32操作系统。在软件运用层面，整个网络在AD主域集中控制、CAPP、数字化档案信息系统、MRPII、MES、CAQ、内部邮件系统、文件集约存储系统、财务系统、DNC系统、INTERNET接入及控制、WSUS补丁升级、病毒防护、OA系统等方面均有重要应用，支撑整个企业在信息化模式下快速、有效运维。二、软件使用范围及规则：公司对非涉密计算机及网络软件进行白名单准入制，白名单内的软件在计算机上进行安装使用可不经过审批，采用文件服务器进行统一发布，不在白名单列表内的软件,需由使用人及使用单位写出软件安装使用申请，经主管部门测

4、试审批、公司领导批准后方可安装使用。未经批准擅自安装软件的，按xxxx非涉密计算机及网络管理考核办法相关条款进行考核。xxxx公司非涉密计算机及网络软件白名单：(具体安装位置为：SVMC2F软件发布，SVMC2FUPDATE)ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒体工具DOTNET3.5、DOTNET4.5基础框架IE11、IE8 FOR WINDOWSXP浏览器xx公司集团OA办公软件OFFICE2007办公软件好压、暴风影音、金山词霸2011百度拼音、小鸭五笔输入法微软MSE杀毒软件NERO、ULTRAISO光盘刻录工具AIDA64、3DMAR

5、K硬件检测工具AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64设计软件SOLID_EDGE、UG_NX6_X64三维设计软件相关硬件驱动(芯片组、显卡、打印机等)ORACLE数据库、MS-SQLSERVER数据库KCEJMIS信息系统三、公司内部局域网使用安全准则：1、技术部信息组负责对公司计算机网络及相关设备的调试以及保障其正常运行。各部门领导对本部门的网络及其网络设备的管理工作负责。2、本地计算机、域、OA、数据库的用户名、密码只授予指定员工个人使用，严禁向无关人员透露相关密码，用户应使用数字和字母混用的密码原则，定期更改相关系统密码。 3、在

6、操作完成后，应锁定计算机或是将自己的用户注销，以防止无关人员进入计算机非法操作。4、如未按以上规定执行，由此造成的损失将追究本人责任。5、任何单位和个人，未经许可，不得更换和挪用相关的网络设备、切断相关网络设备的电源、调整或断开网络接口、私自调整网络设置。6、相关管理部门在设备维修过程中，确需切断电源从而影响网络设备使用的，应及时通报技术部信息组。7、技术部信息组负责制订、规划各部门上网的接入点，并应根据实际情况及时进行调整。8、域安全策略：域安全策略由技术部信息组统一规划和实施，并在每次更新域组策略后存档备查。9、计算机使用人员所操作计算机内的资源为公司信息资源，使用人有保护责任，应做好本机

7、有关信息、数据的备份工作，具体数据应备份到统一的文件服务器上。 10、公司主域、文件服务器、数据库等数据备份工作由技术部信息组负责。11、OA数据库备份由集团公司信息管理部门完成。12、严禁利用公司计算机网络进行拷贝、发布有关危害国家或企业的信息。13、严禁利用公司计算机网络进行拷贝、发布如游戏、小说等有娱乐形式的软件和数据。14、严禁利用公司计算机网络进行拷贝、发布来历不明或是带病毒的程序和数据。15、公司员工不得在内部网络上传递、发布违反国家法律法规、企业规定以及与本职工作无关的消息和资讯。16、网络违规行为监测，根据服务器端“事件查看器”的跟踪记录为准，按IP地址、计算机名、登录用户进行

8、处罚。17、生产设备控制专用计算机需要联入域网络的，由生产单位提请技术部信息组和设备动力安全部协调解决。18、未经许可，域内计算机不得自行脱离域。19、域内计算机操作系统补丁升级由技术部信息组使用WSUS完成并自动发布四、电子数据交换安全准则:1、电子数据交换主要包括OA、邮件系统、网络传输、U盘使用、光磁介质使用等。2、采购的电子数据交换产品相关驱动程序、应用软件软盘、光盘、说明书、保修卡、许可证协议等设备软硬件资料由技术部信息组统一保管，需要使用时，应办理借阅手续。3、用于公司内部电子数据交换的移动存储介质应建立设备档案，并在设备上做出编号标识。4、电子数据交换时应使用具有档案标识的移动存

9、储介质。5、禁止下载、安装与工作内容无关的软件，经许可安装的应用软件不得随意删除、修改程序或相关参数。6、公司各部门的计算机操作系统统一由技术部信息组进行安装布置。未经许可，任何个人不得自行更换及安装操作系统，或修改系统设置。7、以上禁止行为一经发现，追究个人和单位主管领导的责任。五、病毒防护策略及准则：1、公司涉密计算机及信息系统的防病毒管理工作，按相关保密管理制度要求执行。2、公司在中央服务器上统一安装计算机病毒查杀软件，其他人不得私自卸载或更换防病毒软件。3、使用部门发现病毒应及时通报技术部信息组，按技术部信息组意见及时进行处理，以免危及整个网络。4、对因计算机病毒引起的计算机及信息系统

10、瘫痪、程序和数据严重破坏等重大事故及时向技术部信息组报告，并保护现场。5、任何单位和个人不得在公司计算机上制作计算机病毒。6、任何单位和个人不得在公司计算机上进行病毒传播。7、严禁在公司计算机上安装未经过病毒扫描或未经证实的软件。六、MC2.COM域安全策略：为保证局域网安全，制订xxxx局域网域安全策略，该域安全策略适用于MC2.COM域内入网用户所使用的计算机。以下策略可根据域安全需要及用户反馈加以修订，但修订结果应以书面文件保存。1 服务器常规选项1.1 主域、域控及策略域：MC2.COM域控制器：SVMC2AIP地址：1所有者：MC2Domain Admins默认

11、域策略：GP0 GP0状态：已启用，强制GPO 适用：NT AUTHORITYAuthenticated Users1.2 MC2Domain Admins成员MC2Domain Admins成员具有对整个域内用户及计算机的管理和控制权，其成员如下：登录名实名职务或岗位wuzhi武智总工程师jigang季刚副总工程师maningbo马宁波技术部信息组/主任dongling董玲技术部信息组/系统管理员administrator域控制器本地用户1系统帐户wz域控制器本地用户2备用帐户info域控制器本地用户3内网网页管理帐户1.3 MC2Domain Users 组说明MC2Domain User

12、s成员拥有域用户权，仅对授权对象拥有管理和访问权，原则上按部门分组，为方便管理和对象权限控制，对人员较多部门可按班、组、室细分，同时根据职工人事变动情况（增加或内部调动）调整职工所属部门，对调出人员则删除用户帐户。1.4 委派下述组和用户拥有此 GPO 的指定权限，为保证GP0编辑、修改、删除权的正当行使，下述委派均不可继承。名称允许的权限继承MC2Domain Admins编辑设置，删除、修改安全性否MC2Enterprise Admins编辑设置，删除、修改安全性否NT AUTHORITYAuthenticated Users读取(从安全筛选)否NT AUTHORITYENTERPRISE

13、 DOMAIN CONTROLLERS读取否NT AUTHORITYSYSTEM编辑设置，删除、修改安全性否2 计算机配置2.1 策略2.1.1 WINDOWS设置 安全设置.1 帐户策略/密码策略策略设置密码必须符合复杂性要求已启用密码最长期限42 天强制密码历史12 个记住的密码用可还原的加密来储存密码已禁用最短密码长度8 个字符最短密码期限2 天.2 帐户策略/帐户锁定策略策略设置在此后重置帐户锁定计数器30 分钟帐户锁定时间30 分钟帐户锁定阈值500 次无效登录.3 帐户策略/Kerberos 策略策略设置服务票证最长寿命600

14、 分钟计算机时钟同步的最大容差5 分钟强制用户登录限制已启用用户票证续订最长寿命7 天用户票证最长寿命10 小时.4 本地策略/审核策略策略设置审核策略更改成功，失败审核登录事件成功，失败审核对象访问成功，失败审核进程跟踪成功，失败审核目录服务访问成功，失败审核特权使用成功，失败审核系统事件成功，失败审核帐户登录事件成功，失败审核帐户管理成功，失败.5 本地策略/用户权限分配策略设置更改时区MC2Domain Admins更改系统时间MC2Domain Admins,MC2Domain Users将工作站添加到域MC2yuyong,MC2yangxiaona,MC2

15、Domain Admins绕过遍历检查BUILTINAdministrators,NT AUTHORITYAuthenticated Users,Everyone.6 本地策略/安全选项.6.1 故障恢复控制台策略设置恢复控制台: 允许软盘复制并访问所有驱动器和所有文件夹已禁用.6.2 关机策略设置关机: 清除虚拟内存页面文件已启用关机: 允许系统在未登录的情况下关闭已启用.6.3 交互式登录策略设置交互式登录: 不显示最后的用户名已启用交互式登录: 试图登录的用户的消息标题您现在即将使用的是xx公司内部局域网，请严格遵守公司保密及相关规

16、定使用本网络。交互式登录: 提示用户在过期之前更改密码7 天交互式登录: 无须按 Ctrl+Alt+Del已禁用.6.4 设备策略设置设备: 将 CD-ROM 的访问权限仅限于本地登录的用户已启用设备: 将软盘驱动器的访问权限仅限于本地登录的用户已启用.6.5 网络安全策略设置网络安全: 在超过登录时间后强制注销已启用.6.6 网络访问策略设置网络访问: 不允许 SAM 帐户的匿名枚举已启用网络访问: 不允许 SAM 帐户和共享的匿名枚举已启用.6.7 域成员策略设置域成员: 计算机帐户密码最长使用期限42 天.6.8 帐户

17、策略设置帐户: 使用空密码的本地帐户只允许进行控制台登录已启用帐户: 重命名来宾帐户GUESTMC.7 事件日志策略设置安全日志大小上限20480 KB系统日志大小上限20480 KB应用程序日志大小最大值20480 KB.8 系统服务Computer Browser： 启动模式: 自动DHCP Client ：启动模式: 自动DNS Client ：启动模式: 自动Windows Firewall： 启动模式: 已禁用Windows Error Reporting Service： 启动模式: 已禁用Windows Update： 启动模式: 自动

18、 公钥策略/加密文件系统证书颁发给颁发者到期日期预期目的ADMINISTRATORADMINISTRATOR2006/3/24 13:12:18文件恢复 公钥策略/受信任的根证书颁发机构策略设置允许用户选择新的根证书授权机构(CA)来信任已启用客户端计算机可以信任下列证书存储第三方根证书授权机构和企业根证书授权机构要根据证书身份验证用户和计算机，CA 必须符合下列条件只在 Active Directory 中注册 高级审核配置登录/注销策略设置审核帐户锁定成功，失败审核注销成功，失败审核登录成功，失败审核其他登录/注销事件成功，失败审核特殊登录成功，失败2.1.2

19、管理模板 Windows 组件/Windows Installer策略设置注释关闭创建系统还原检查点已启用 Windows 组件/Windows Media Center策略设置注释不允许运行 Windows Media Center已启用 Windows 组件/Windows Media Player策略设置注释防止创建“快速启动”工具栏快捷方式已启用防止创建桌面快捷方式已启用 Windows 组件/Windows Messenger策略设置注释不允许运行 Windows Messenger已启用 Windows 组件/W

20、indows Update策略设置注释对计划的安装再次提示重新启动已启用在再次提示计划重新启动前等待的时间(分钟): 20策略设置注释对于有已登录用户的计算机，计划的自动更新安装不执行重新启动已启用配置自动更新已启用配置自动更新: 4 - 自动下载并计划安装下列设置仅在选中 4 时需要和适用。计划安装日期: 0 - 每天计划安装时间: 09:00策略设置注释启用 Windows Update 电源管理以自动唤醒系统来安装计划的更新已启用允许非管理员接收更新通知已启用允许自动更新立即安装已启用指定 Intranet Microsoft 更新服务位置已启用设置检测更新的 Intranet 更新服务

21、: HTTP:/SVMC2B设置 Intranet 统计服务器: HTTP:/SVMC2B(例如: http:/IntranetUpd01)策略设置注释重新计划自动更新计划的安装已启用等待系统启动(分钟): 5策略设置注释自动更新检测频率已启用检查下列更新的间隔(小时): Windows 组件/Windows 错误报告策略设置注释不发送额外的数据已启用禁用 Windows 错误报告已启用 Windows 组件/Windows 登录选项策略设置注释在用户登录期间报告登录服务器何时不可用已启用 Windows 组件/备份/客户端策略设置注释关闭还原功

22、能已启用 Windows 组件/录音机策略设置注释不允许运行录音机程序已启用0 Windows 组件/事件日志服务/安全策略设置注释最大日志大小 (KB)已启用最大日志大小 (KB)409601 Windows 组件/事件日志服务/安装程序策略设置注释最大日志大小 (KB)已启用最大日志大小 (KB)4092 Windows 组件/事件日志服务/系统策略设置注释最大日志大小 (KB)已启用最大日志大小 (KB)4093 Windows 组件/事件日志服务/应用程序策略设置注释最大日志大小 (KB)已启用最大日志大小 (K

23、B)4094 Windows 组件/网络投影仪策略设置注释关闭“连接到网络投影仪”已启用5 Windows 组件/游戏浏览器策略设置注释关闭跟踪“游戏”文件夹中的上次游戏时间已启用关闭下载游戏信息已启用关闭游戏更新已启用6 Windows 组件/桌面小工具策略设置注释关闭用户安装的桌面小工具已禁用关闭桌面小工具已禁用7 Windows 组件/自动播放策略策略设置注释关闭自动播放已启用关闭自动播放: CD-ROM 和可移动介质驱动器8 系统/Windows 时间服务策略设置注释全局配置设置已启用时钟规则参数Frequency

24、CorrectRate4HoldPeriod5LargePhaseOffset50000000MaxAllowedPhaseOffset300MaxNegPhaseCorrection172800MaxPosPhaseCorrection172800PhaseCorrectRate1PollAdjustFactor5SpikeWatchPeriod900UpdateInterval100常规参数AnnounceFlags10EventLogFlags2LocalClockDispersion10MaxPollInterval10MinPollInterval6ChainEntryTimeout

25、16ChainMaxEntries128ChainMaxHostEntries4ChainDisable0ChainLoggingRate309 系统/Windows 时间服务/时间提供程序策略设置注释启用 Windows NTP 服务器已启用0 系统/登录策略设置注释登录时不显示欢迎屏幕已启用分配默认登录域已启用默认登录域: MC2.COM输入域的名称策略设置注释总是用经典登录已启用1 系统/服务器管理器策略设置注释在登录时不自动显示服务器管理器已启用2 系统/可移动存储访问策略设置注释可移动磁盘: 拒绝执行权限已启用软盘驱动器: 拒绝

26、读取权限已启用软盘驱动器: 拒绝写入权限已启用软盘驱动器: 拒绝执行权限已启用3 系统/驱动程序安装策略设置注释关闭 Windows Update 设备驱动程序搜索提示已启用4 系统/系统还原策略设置注释关闭系统还原已启用5 特别的注册表设置设置状态SoftwarePoliciesMicrosoftWindowsMovieMakerMovieMaker12.2 用户配置(已启用)2.2.1 Windows 设置2.2.2 远程安装服务客户端安装向导选项策略设置工具已禁用重新启动安装已禁用自定义安装已禁用2.2.3 脚本登录对于此 GPO，脚本顺序: 未

27、配置名称参数SVMC2AGP_POLICYBOOTW.BAT2.2.4 Internet Explorer 维护 连接/自动浏览器配置策略设置自动检测配置已启用自动浏览器配置未配置 URL/重要 URL名称URL主页 URLHTTP:/SVMC2WEB搜索栏 URL未配置联机支持页的 URL未配置2.3 管理模板2.3.1 “开始”菜单和任务栏策略设置注释不搜索 Internet已启用不搜索通信已启用从“开始”菜单中删除“TV 录像”链接已启用从“开始”菜单中删除“家庭组”链接已启用从“开始”菜单中删除“视频”链接已启用从“开始”菜单中删除“下载”链接已启用从开始菜

28、单中删除“默认程序”链接。已启用从开始菜单中删除“收藏夹”菜单已启用从开始菜单中删除“图片”图标已启用从开始菜单中删除“网络”图标已启用从开始菜单中删除“网络连接”已启用从开始菜单中删除“文档”图标已启用从开始菜单中删除“移除 PC”按钮已启用从开始菜单中删除“音乐”图标已启用从开始菜单中删除“游戏”链接已启用关闭个性化菜单已启用灰显不可用的 Windows Installer 程序开始菜单快捷方式已启用将“搜索 Internet”链接添加到“开始”菜单已禁用将“运行”命令添加到开始菜单已启用将“注销”添加到开始菜单已启用强制经典开始菜单已启用删除开始菜单项目上的“气球提示”已启用阻止用户将任

29、务栏移动到另一个屏幕停靠位置已启用2.3.2 Windows 组件/Windows Media Center策略设置注释不允许运行 Windows Media Center已启用2.3.3 Windows 组件/Windows 错误报告策略设置注释不发送额外的数据已启用禁用 Windows 错误报告已启用2.3.4 Windows 组件/Windows 资源管理器策略设置注释启用经典外观已禁用有鼠标双击变单击问题, 请勿启用. - 马宁波 2011-08-12删除文件时显示确认对话框已启用在用户登录时不显示“欢迎中心”已启用2.3.5 Windows 组件/备份/客户端策略设置注释关闭还原功能

30、已启用2.3.6 Windows 组件/录音机策略设置注释不允许运行录音机程序已启用2.3.7 Windows 组件/网络投影仪策略设置注释关闭“连接到网络投影仪”已启用2.3.8 Windows 组件/自动播放策略策略设置注释关闭自动播放已启用关闭自动播放: CD-ROM 和可移动介质驱动器2.3.9 控制面板策略设置注释在打开“控制面板”时始终打开所有控制面板项已启用2.3.10 控制面板/程序策略设置注释隐藏“Windows 市场”已启用2.3.11 控制面板/个性化策略设置注释启用屏幕保护程序已启用强制使用特定的视觉样式文件或强制使用 Windows 经典已启用策略设置注释阻止更改配色

31、方案已启用阻止更改桌面背景已启用2.3.12 系统/可移动存储访问策略设置注释软盘驱动器: 拒绝读取权限已启用软盘驱动器: 拒绝写入权限已启用2.3.13 系统/驱动程序安装策略设置注释关闭 Windows Update 设备驱动程序搜索提示已启用2.3.14 桌面策略设置注释删除清理桌面向导已启用删除桌面上的“我的文档”图标已启用隐藏桌面上的 Internet Explorer 图标已启用2.3.15 特别的注册表设置设置状态SoftwarePoliciesMicrosoftWindowsMovieMakerMovieMaker12.4 首选项2.4.1 控制面板设置 Inte

32、rnet 设置.1 Internet Explorer 5 和 6: Internet Explorer 5 and 6 (顺序: 1).1.1 常规历史记录 网页保存在历史记录中的天数20 天.1.2 安全安全级别 Internet中等本地 Intranet中等受信任的中等受限的中等.1.3 连接拨号设置 连接行为从不进行拨号连接.1.4 常用选项 如果此项目发生错误，则停止在此扩展上处理这些项目否在登录用户的安全上下文中运行(用户策略选项)否当不再应用项目时删除此项目否应用一次且不重新应用否.2 Inter

33、net Explorer 8: Internet Explorer 8 (顺序: 2).2.1 连接拨号设置 连接行为从不进行拨号连接.2.2 常用选项 如果此项目发生错误，则停止在此扩展上处理这些项目否在登录用户的安全上下文中运行(用户策略选项)否当不再应用项目时删除此项目否应用一次且不重新应用否.3 Internet Explorer 7: Internet Explorer 7 (顺序: 3).3.1 连接拨号设置 连接行为从不进行拨号连接.3.2 常用选项 如果此项目发生错误，则停止在此扩展上处理这些项目否在登录用户

34、的安全上下文中运行(用户策略选项)否当不再应用项目时删除此项目否应用一次且不重新应用否七、登录脚本BOOTW.BAT内容： REM =(开启系统默认共享设置)=NET SHARE IPC$NET SHARE ADMIN$NET SHARE PRINT$NET SHARE C$NET SHARE D$NET SHARE E$NET SHARE F$REM =(设置全局变量)=SETLOCAL ENABLEEXTENSIONSSETLOCAL ENABLEDELAYEDEXPANSIONREM =(删除WINDOWS的USB等硬件安装记录文件)=DEL C:WINDOWSINFSETUPAPI.A

35、PP.LOG /QDEL C:WINDOWSINFSETUPAPI.DEV.LOG /QREM =(设置本机ADMINISTRATOR系统管理员密码为KCEJINFO,1234)=NET USER GUESTKFB KCEJINFO,1234REM =(用BGINFO软件部署MC2.COM域的统一桌面)=SVMC2AGP_POLICYBGINFO.EXE /NOLICPROMPT SVMC2AGP_POLICYHARDINFO.BGI /TIMER:00REM =(设置所有机器的CMD命令以ADMIN权限运行,同时设置IE主页为HTTP:/OA.KSEC.CN)=REGEDIT /S SVMC

36、2AGP_POLICYBOOTW.REGREM =(RDIX的本机系统策略,设置RDIX_的IE主页,IE局域网代理为:808)=REM =(KCEJIX本机系统策略,设置KCEJIX的IE主页,IE局域网代理为:808)=IF %COMPUTERNAME%=RDI0 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI1 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI2 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI3 SVMC2

37、AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI4 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=RDI5 SVMC2AGP_POLICYRDIX.BATIF %COMPUTERNAME%=KCEJI0 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI1 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI2 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI3 SVMC2AGP_POLICY

38、KCEJIX.BATIF %COMPUTERNAME%=KCEJI4 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI5 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI6 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI7 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI8 SVMC2AGP_POLICYKCEJIX.BATIF %COMPUTERNAME%=KCEJI9 SVMC2AGP_POLICY

39、KCEJIX.BATREM =(开启COMPUTER_BROWSER服务,域策略状态为:)=SC CONFIG BROWSER START= AUTOSC START BROWSERREM =(关闭SECURITY_CENTER安全中心服务,域策略状态为:)=SC STOP WSCSVCSC CONFIG WSCSVC START= DISABLEDREM =(关闭WINDOWS_BACKUP系统备份服务,域策略状态为:)=SC STOP SDRSVCSC CONFIG SDRSVC START= DISABLEDREM =(开启WINDOWS_UPDATE自动更新服务,域策略状态为:)=SC

40、 CONFIG WUAUSERV START= AUTOSC START WUAUSERVREM =(关闭WINDOWS_ERROR_REPORTING错误报告服务,域策略状态为:)=SC STOP WERSVCSC CONFIG WERSVC START= DISABLEDREM =(开启WINDOWS_FIREWALL防火墙服务)=SC CONFIG MPSSVC START= AUTOSC START MPSSVCSC CONFIG SHAREACCESS START= AUTOSC START SHAREACCESSREM =(设置所有计算机本地时间与MC2.COM域时间同步)= NE

41、T TIME /DOMAIN:MC2.COM /SET /YESREM =(强制关闭系统还原)=POWERCFG -H OFFREM =(提取计算机基本信息数据)=SVMC2AGP_POLICYKCEJCOMPUTERINFO.EXE /QUIETREM =(强制贯彻MC2.COM域策略,强制与SVMC2B服务器进行补丁同步更新)=GPUPDATE /FORCEWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWWUAUCLT /DETECTNOWIF /I %USERDOMAIN%=MC2 GOTO

42、ISMC2IF /I %USERDOMAIN%=MC2.COM GOTO ISMC2GOTO END_UD:ISMC2SET STR3=%USERNAME:0,1%ECHO %STR3%REM =(设置桌面SVMC2F个人文件夹快捷方式,映射到本机Z盘)=WHOAMI /FQDN %TEMP%UD1.TXTFOR /f tokens=1 delims=, %a IN (%TEMP%UD1.TXT) do FOR /f tokens=2 delims= %c IN (%a) do set var1=%cREM if exist %USERPROFILE%desktop%var1%在F上.lnk GOTO END_UDecho Set ws=WScript.CreateObject(wscript.shell)%TEMP%MyShortCut.vbsecho strdesktop=ws.SpecialFolders(DeskTop)%TEMP%MyShortCut.vb