IT終端安全標(biāo)準(zhǔn)化總體方案

1、xx用戶it-終端安全標(biāo)準(zhǔn)化-1期總體方案文檔目錄1.總體概述11.1.項目概述11.2.項目目標(biāo)11.3.項目范圍11.4.項目意義21.5.設(shè)計原則22.需求分析33.方案概述33.1.方案介紹33.2.方案優(yōu)勢33.3.總體方案34.詳細(xì)設(shè)計44.1.sccm 2007設(shè)計44.1.1.站點物理設(shè)計44.1.2.站點邏輯設(shè)計54.1.3.站點代碼和站點名稱設(shè)計64.1.4.站點系統(tǒng)設(shè)計74.1.5.功能設(shè)計114.1.6.客戶端類型設(shè)計174.1.7.客戶端安裝設(shè)計184.2.mdt 2008設(shè)計194.2.1.部署點物理設(shè)計194.2.2.部署點邏輯設(shè)計204.2.3.操作系統(tǒng)版本設(shè)計

2、204.2.4.操作系統(tǒng)安裝格式設(shè)計204.2.5.應(yīng)用程序設(shè)計214.2.6.通用鏡像設(shè)計224.2.7.驅(qū)動程序設(shè)計234.2.8.部署方式設(shè)計234.2.9.自動部署設(shè)計234.2.10.數(shù)據(jù)庫導(dǎo)入設(shè)計244.2.11.service tag流程設(shè)計244.2.12.角色流程設(shè)計244.2.13.計算機(jī)型號流程設(shè)計254.2.14.安裝標(biāo)志流程設(shè)計254.2.15.磁盤規(guī)則設(shè)計254.2.16.歸庫流程設(shè)計264.2.17.新舊機(jī)器標(biāo)志流程設(shè)計264.3.終端安全設(shè)計264.3.1.用戶權(quán)限設(shè)計264.3.2.個人防火墻設(shè)計274.3.3.軟件更新設(shè)計274.3.4.防病毒軟件設(shè)計274

3、.3.5.屏幕保護(hù)設(shè)計274.3.6.日志審計設(shè)計274.3.7.mbsa設(shè)計284.3.8.dct設(shè)計284.3.9.應(yīng)用程序設(shè)計284.4.部署流程設(shè)計284.4.1.新裝終端流程設(shè)計294.4.2.已有終端流程設(shè)計294.5.硬件設(shè)計304.6.軟件設(shè)計314.7.權(quán)限設(shè)計315.項目計劃325.1.項目進(jìn)度325.2.項目人員325.3.文檔交付326.培訓(xùn)計劃337.技術(shù)支持337.1.解決事件347.2.遠(yuǎn)程診斷與調(diào)試347.3.緊急現(xiàn)場服務(wù)341. 總體概述1.1. 項目概述隨著xx用戶人員不斷遞增，而且業(yè)務(wù)對安全it環(huán)境的要求也不斷提高，這就要求企業(yè)的it基礎(chǔ)架構(gòu)要能滿足不斷變

4、化的擴(kuò)展性和安全性的需求。本文是上海xx公司和xx用戶在多次交流基礎(chǔ)上，上海xx公司根據(jù)xx用戶現(xiàn)狀和以往類似項目經(jīng)驗整理而成。文檔參考：xx用戶it-終端安全標(biāo)準(zhǔn)化-1期-標(biāo)準(zhǔn)需求說明書-v2.0。1.2. 項目目標(biāo)基本目標(biāo) 終端部署標(biāo)準(zhǔn)化-企業(yè)終端集中式部署 終端應(yīng)用標(biāo)準(zhǔn)化-終端上的應(yīng)用程序安裝標(biāo)準(zhǔn)化 終端安全標(biāo)準(zhǔn)化-按照企業(yè)規(guī)劃的安全配置實現(xiàn)標(biāo)準(zhǔn)化擴(kuò)展目標(biāo) 與資產(chǎn)統(tǒng)計做流程整合 與hr人員生命周期做流程整合1.3. 項目范圍 在杭州和上海建設(shè)終端管理平臺 實現(xiàn)終端安全標(biāo)準(zhǔn)化 實現(xiàn)流程自動標(biāo)準(zhǔn)化 指定顧問服務(wù)1.4. 項目意義 加強(qiáng)整體環(huán)境安全性 提高員工工作效率 增強(qiáng)終端可管理性 減少i

5、t部門重復(fù)工作量 提升it部門服務(wù)水平 it部門投入到更有價值的工作中去 降低公司整體管理成本 促進(jìn)以itil為核心的管理模式的建立1.5. 設(shè)計原則先進(jìn)性采用當(dāng)前世界先進(jìn)的軟件產(chǎn)品以及模塊化的軟件設(shè)計，從而保證系統(tǒng)在技術(shù)上領(lǐng)先。開放性系統(tǒng)保證可以集成不同設(shè)備廠商、系統(tǒng)或平臺供應(yīng)商、軟件供應(yīng)商產(chǎn)品。系統(tǒng)的設(shè)備管理、系統(tǒng)擴(kuò)容和業(yè)務(wù)維護(hù)不依賴于單一設(shè)備廠商、系統(tǒng)或軟件供應(yīng)商的產(chǎn)品?？煽啃韵到y(tǒng)能夠穩(wěn)定運行，防止單點故障。安全性應(yīng)該充分考慮整個系統(tǒng)運行的安全策略和機(jī)制，可以根據(jù)不同的業(yè)務(wù)要求和應(yīng)用處理，建立不同的安全措施，保證數(shù)據(jù)的安全。經(jīng)濟(jì)性盡量利舊現(xiàn)有軟硬件設(shè)備以節(jié)約投資。2. 需求分析詳見xx用

6、戶it-終端安全標(biāo)準(zhǔn)化-1期-標(biāo)準(zhǔn)需求說明書-v2.0（含xx公司應(yīng)答）。3. 方案概述3.1. 方案介紹根據(jù)對xx用戶的需求分析，我們推薦使用微軟如下解決方案：system center configuration manager 2007（以下簡稱sccm 2007）microsoft deployment toolkit 2008 （以下簡稱mdt 2008）desktop customization toolkit（以下簡稱dct）3.2. 方案優(yōu)勢 市場占有率最高 投資回報率高 微軟可以提供全面的解決方案 產(chǎn)品兼容性好 產(chǎn)品擴(kuò)展性好 管理員上手快 后續(xù)支持資源多3.3. 總體方案4.

7、 詳細(xì)設(shè)計4.1. sccm 2007設(shè)計sccm 2007是大多數(shù)企業(yè)使用的終端管理平臺，通過減少手動任務(wù)來提高it工作效率，從而使企業(yè)能夠集中在高價值項目上，最大程度地實現(xiàn)了硬件和軟件投資。4.1.1. 站點物理設(shè)計站點定義管理控制的范圍，它使用邊界來確定屬于該站點的客戶端，使用站點有助于站點間的帶寬利用率。從物理上分類，sccm 2007站點分為主站點和輔助站點。注：主站點和輔助站點在安裝時決定，安裝完成后不能更改。主站點安裝的第一個sccm 2007站點必須是主站點。主站點將其自身及其下所有站點的sccm 2007數(shù)據(jù)存儲在sql server數(shù)據(jù)庫中。這稱之為sccm 2007站點數(shù)

8、據(jù)庫。主站點具有稱為sccm 2007控制臺的管理工具，使sccm 2007管理員可以直接管理站點。輔助站點輔助站點沒有sccm 2007站點數(shù)據(jù)庫。它連接到主站點并向其報告。輔助站點由sccm 2007管理員運行連接到主站點的sccm 2007控制臺來管理。 輔助站點將它從sccm 2007客戶端收集到的信息（如計算機(jī)清單數(shù)據(jù)和sccm 2007系統(tǒng)狀態(tài)信息）轉(zhuǎn)發(fā)到其父站點。然后，主站點將主站點和輔助站點的數(shù)據(jù)都存儲在sccm 2007站點數(shù)據(jù)庫中。使用輔助站點的優(yōu)點在于，它們不需要額外的sccm 2007服務(wù)器許可證，也不會產(chǎn)生維護(hù)額外數(shù)據(jù)庫的開銷。輔助站點是從它們所連接的主站點進(jìn)行管理的

9、，因此它們經(jīng)常用于沒有本地管理員的站點。輔助站點的缺點在于：它們必須連接到主站點，要移動到其他主站點，必須先刪除此站點，然后重新創(chuàng)建。此外，在層次結(jié)構(gòu)中輔助站點之下不再有站點。xx用戶總部和分支機(jī)構(gòu)的帶寬只有2m，所以必須規(guī)劃站點物理設(shè)計，建議如下：站點類型杭州主站點上海輔助站點成都輔助站點4.1.2. 站點邏輯設(shè)計從邏輯上分類，站點分為父站點和子站點，其中最上層稱為中央站點。父站點父站點是層次結(jié)構(gòu)中連接了一個或多個站點的主站點。只有主站點可以有子站點。輔助站點只能是子站點。父站點包含其較低級別站點的相關(guān)信息，如計算機(jī)清單數(shù)據(jù)和sccm 2007系統(tǒng)狀態(tài)信息，并且可以控制子站點上的很多操作。

10、子站點子站點是連接到層次結(jié)構(gòu)中其上站點的站點。此站點向其父站點報告。子站點可以只有一個父站點。sccm 2007將從子站點收集的所有數(shù)據(jù)復(fù)制到其父站點。子站點可以是主站點，也可以是輔助站點。中央站點中央站點沒有父站點。通常，中央站點有子站點和孫站點，并聚合其所有客戶端信息以提供集中式管理和報告。沒有父站點和子站點的站點仍稱為中央站點，也可稱為獨立站點。由于杭州是主站點，上海和成都是輔助站點，所以站點邏輯設(shè)計如下：站點層次杭州父站點/中央站點上海子站點成都子站點4.1.3. 站點代碼和站點名稱設(shè)計站點代碼和站點名稱用于識別和管理sccm 2007層次結(jié)構(gòu)中的站點。在sccm 2007控制臺中，站

11、點代碼和站點名稱以 - 的格式顯示。站點代碼僅應(yīng)在sccm 2007層次結(jié)構(gòu)中使用一次。如果為sccm 2007擴(kuò)展了active driectory，并且站點正在發(fā)布數(shù)據(jù)，則在active directory林中使用的站點代碼必須是唯一的，即使這些站點代碼在不同的sccm 2007層次結(jié)構(gòu)中使用。部署sccm 2007層次結(jié)構(gòu)之前，確保仔細(xì)規(guī)劃站點代碼和站點名稱。在sccm 2007安裝過程中，對于每個主站點和輔助站點安裝，系統(tǒng)均會提示您提供站點代碼和站點名稱。站點代碼必須唯一標(biāo)識層次結(jié)構(gòu)中的每個sccm 2007站點。由于某些sccm 2007組件在文件夾名稱中使用站點代碼，您在sccm

12、2007安裝期間不應(yīng)將aux、con、nul或prn之類的microsoft windows保留名稱指定為站點代碼。注：sccm 2007安裝程序不會驗證所輸入的站點代碼是否已不在使用。要在sccm 2007安裝期間輸入站點的站點代碼，您必須輸入三個字母數(shù)字字符。當(dāng)指定站點代碼時，只允許使用字母a到z、數(shù)字0到9或兩者的組合。字母或數(shù)字的順序?qū)φ军c之間的通信沒有影響。例如，沒有必要將主站點命名為 abc，而將輔助站點命名為def。站點名稱是站點的友好名稱標(biāo)識符。在站點名稱中僅使用標(biāo)準(zhǔn)字符a到z、a到z、0到9以及連字符(-)。注：不支持在安裝之后更改站點代碼或站點名稱?？筛鶕?jù)xx用戶的命名規(guī)范

13、設(shè)計站點代碼和站點名稱，建議如下：站點代碼站點名稱杭州phzxx用戶杭州站點上海pshxx用戶上海站點成都pcdxx用戶成都站點其中phz是alipay hangzhou的簡寫。psh是alipay shanghai的簡寫。pcd是alipay chengdu的簡寫。4.1.4. 站點系統(tǒng)設(shè)計每個站點包含一個站點服務(wù)器和一個或多個站點系統(tǒng)。站點服務(wù)器指安裝sccm 2007的計算機(jī)，而且宿主sccm 2007所需的服務(wù)。站點系統(tǒng)指任何運行受支持的microsoft windows版本的計算機(jī)，或宿主一個或多個站點系統(tǒng)角色的共享文件夾。站點系統(tǒng)角色指能夠使用sccm 2007或sccm 2007

14、的功能所需的功能。多個站點角色可以在一個站點系統(tǒng)上進(jìn)行組合，包括在站點服務(wù)器上運行所有站點角色，但是這通常僅適用于很小的簡單環(huán)境。下表簡要描述了每個站點系統(tǒng)角色。站點系統(tǒng)角色描述必需？站點服務(wù)器為其上成功運行了sccm 2007安裝程序的服務(wù)器分配的角色。是。每個站點必須只有一個站點服務(wù)器角色。站點數(shù)據(jù)庫服務(wù)器為運行microsoft sqlserver 并宿主sccm 2007站點數(shù)據(jù)庫的計算機(jī)分配的角色。您只能使用microsoft sql server 2005/2008 的 standard 或 enterprise edition 來宿主站點數(shù)據(jù)庫。sql server 2005 e

15、xpress 不是用于宿主站點數(shù)據(jù)庫的 sqlserver2005 的受支持版本。每個主站點都需要站點數(shù)據(jù)庫服務(wù)器角色，但是輔助站點不需要。sccm 2007控制臺運行sccm 2007控制臺的任何計算機(jī)。否。安裝期間，主站點服務(wù)器上會默認(rèn)自動安裝sccm 2007控制臺。您可以在遠(yuǎn)程計算機(jī)（例如sccm 2007管理員的工作站）上安裝其他sccm 2007控制臺。但是，某些組織使用sccm 2007軟件開發(fā)工具包 (sdk) 來編寫自己的用戶界面，從不使用sccm 2007控制臺。sms 提供程序計算機(jī)sccm 2007控制臺不直接訪問數(shù)據(jù)庫，而是使用 windows 管理規(guī)范 (wmi)

16、作為中間層。sms 提供程序是sccm 2007的 wmi 提供程序。對主站點來說是的。在安裝主站點時，您可以選擇將宿主 sms 提供程序的計算機(jī)，通常是站點服務(wù)器或站點數(shù)據(jù)庫服務(wù)器。組件服務(wù)器宿主要求安裝特殊sccm 2007服務(wù)的sccm 2007站點角色的任何計算機(jī)。不需要安裝特殊sccm 2007服務(wù)的唯一站點系統(tǒng)角色是分發(fā)點。分發(fā)點存儲客戶端要安裝的包的站點系統(tǒng)角色。下列功能需要此角色：軟件分發(fā)、軟件更新以及操作系統(tǒng)部署中使用的播發(fā)任務(wù)序列?；赝藸顟B(tài)點此站點系統(tǒng)角色從無法正確安裝、無法分配到sccm 2007站點或無法與其分配的管理點安全通信的客戶端收集狀況消息。此角色不是必需的，但

17、是對解決客戶端問題很有幫助。管理點此站點系統(tǒng)角色在sccm 2007客戶端和sccm 2007站點服務(wù)器之間充當(dāng)主要聯(lián)系點。每個有 intranet 客戶端的站點必須有一個默認(rèn)管理點，但是默認(rèn)管理點可以是多個配置為管理點的站點系統(tǒng)的群集。pxe 服務(wù)點此站點系統(tǒng)角色配置為響應(yīng)那些網(wǎng)絡(luò)接口卡配置為允許 pxe 啟動請求的計算機(jī)，并從其上啟動操作系統(tǒng)部署。僅使用 pxe 啟動請求的操作系統(tǒng)部署需要此角色。報表點此站點系統(tǒng)角色宿主報表查看器組件，用于基于 web 的報表功能。僅使用報表功能時需要此角色。報表在診斷客戶端問題時通常很有幫助。服務(wù)器定位器點此站點系統(tǒng)角色為sccm 2007客戶端查找管理

18、點。某些客戶端部署方案需要此角色。軟件更新點為運行microsoft windows server update services (wsus) 的計算機(jī)分配的站點系統(tǒng)角色。僅軟件更新功能需要此角色。狀態(tài)遷移點此站點系統(tǒng)角色在計算機(jī)遷移到新的操作系統(tǒng)時存儲用戶狀態(tài)數(shù)據(jù)。當(dāng)遷移用戶狀態(tài)時，操作系統(tǒng)部署需要此角色。系統(tǒng)健康驗證程序點為運行網(wǎng)絡(luò)策略服務(wù)的計算機(jī)分配的站點系統(tǒng)角色。僅sccm 2007網(wǎng)絡(luò)訪問保護(hù)功能需要此角色。sccm 2007 sp1 的附加站點系統(tǒng)如果您已升級到sccm 2007 sp1，則可能需要下表中所描述的附加站點系統(tǒng)來支持service pack中添加的額外功能。站點系統(tǒng)

19、角色描述必需？資產(chǎn)智能同步點用于連接到 system center online以管理資產(chǎn)智能目錄信息更新的站點角色。僅當(dāng)microsoft sa許可證客戶將system center online與本地資產(chǎn)智能目錄同步時需要。帶外服務(wù)點發(fā)現(xiàn)、設(shè)置和管理具有管理控制器的臺式計算機(jī)（例如基于amt的計算機(jī)）的站點系統(tǒng)角色。僅帶外管理功能需要此角色。sccm 2007 r2的附加站點系統(tǒng)如果您升級到sccm 2007 r2，則可能需要下表中所描述的附加站點系統(tǒng)來支持r2版本中添加的額外功能。站點系統(tǒng)角色描述必需？reporting services 點分配給運行sql reporting serv

20、ices的計算機(jī)的站點系統(tǒng)角色。僅當(dāng)想要使用sql reporting services來報告sccm 2007 r2 數(shù)據(jù)時需要。將sccm 2007 r2 報表與sql reporting services集成可帶來更豐富的報告體驗。但是，報表點仍然運行，且不需要sql reporting services或reporting services點?？蛻舳藸顟B(tài)報告主機(jī)系統(tǒng)盡管客戶端狀態(tài)報告主機(jī)系統(tǒng)站點系統(tǒng)角色實際上不是在sccm 2007控制臺中配置的站點系統(tǒng)，但可以將它添加到客戶端或服務(wù)器計算機(jī)以向站點服務(wù)器返回有關(guān)它監(jiān)視的客戶端計算機(jī)的報告。僅當(dāng)使用客戶端狀態(tài)報告功能時需要。根據(jù)xx用戶

21、需求，站點系統(tǒng)設(shè)計如下： 管理點 分發(fā)點 軟件更新點 報表點考慮到xx用戶客戶端總數(shù)2000，所以可以將需要啟用的角色裝在一臺pc服務(wù)器上。由于站點系統(tǒng)角色可以很方便的通過添加服務(wù)器添加，所以擴(kuò)展也非常方便。4.1.5. 功能設(shè)計如果您安裝了sccm 2007站點但沒有配置任何功能，則此站點基本上無用。功能使sccm 2007真正發(fā)揮作用。您可以只安裝一個功能，也可以安裝多個功能。一些功能依賴于其他功能，例如，網(wǎng)絡(luò)訪問保護(hù)要求首先運行軟件更新功能。sccm 2007中提供下列功能： 管理員控制臺 集合 清單 查詢 報表 軟件分發(fā) 軟件更新 軟件計數(shù) 移動設(shè)備管理 操作系統(tǒng)部署 所需的配置管理

22、遠(yuǎn)程工具 網(wǎng)絡(luò)訪問保護(hù) lan 喚醒 帶外管理 客戶端狀態(tài)報告 sql reporting services管理員控制臺sccm 2007控制臺是sccm 2007管理員使用sccm 2007最常見的方式，但一些組織也使用軟件開發(fā)工具包 (sdk) 來構(gòu)建自定義用戶界面，很多管理員則編寫腳本來更有效地管理重復(fù)性任務(wù)。 您可以從站點服務(wù)器運行控制臺，或者，在桌面或咨詢臺計算機(jī)上安裝其他控制臺以方便管理。一個控制臺可以管理多個站點，多個控制臺也可以管理一個站點。sccm 2007控制臺作為microsoft 管理控制臺 (mmc) 管理單元運行，但必須在計算機(jī)上運行sccm 2007安裝程序以使管

23、理單元可用。 集合集合代表一組資源，不僅可以包括計算機(jī)，還可以包括microsoft windows 用戶和用戶組以及其他發(fā)現(xiàn)的資源。集合使您可以將資源組織到方便管理的單元、創(chuàng)建組織結(jié)構(gòu)，在邏輯上表示要執(zhí)行的任務(wù)類型。集合還可以充當(dāng)同時在多個資源上執(zhí)行sccm 2007操作的目標(biāo)（例如軟件分發(fā)或軟件更新）。集合的成員身份可以是直接或基于查詢的?；诓樵兊募瞎δ芊浅?qiáng)大，因為它們可以根據(jù)條件將任何資源分組到一起。例如，如果您希望僅在具有 1 gb 可用磁盤空間和 1 gb ram 的計算機(jī)上部署microsoft office 2007，則可以創(chuàng)建一個集合，對數(shù)據(jù)庫中的sccm 2007清單信

24、息進(jìn)行查詢。 清單您可以配置sccm 2007以在sccm 2007客戶端上列出硬件清單和軟件清單。硬件清單提供有關(guān)每臺計算機(jī)的系統(tǒng)信息（如可用磁盤空間、處理器類型和操作系統(tǒng)）。您可以通過修改 sms_def.mof 文件來配置硬件清單返回的信息。軟件清單代理為您提供客戶端計算機(jī)上存在的清單文件類型和版本等信息。軟件清單本身只返回文件類型列表，但結(jié)合資產(chǎn)智能目錄中的軟件清單信息，您可以創(chuàng)建有關(guān)您環(huán)境中使用的應(yīng)用程序的報表。軟件清單還可以收集數(shù)據(jù)庫中文件的副本，但僅建議用于不經(jīng)常更改的小文件。 查詢sccm 2007中的查詢功能使用 wbem 查詢語言 (wql) 來查詢站點數(shù)據(jù)庫。查詢結(jié)果在s

25、ccm 2007控制臺中返回，您可以使用 mmc 導(dǎo)出列表功能導(dǎo)出查詢結(jié)果。查詢也可用于創(chuàng)建滿足查詢條件的資源集合。 報表報表是對許多其他sccm 2007功能的支持功能。報表將返回到瀏覽器的網(wǎng)頁中。不需要進(jìn)行編程，但有關(guān)創(chuàng)建 sql 查詢的知識將非常有幫助。使用報表功能，您可以創(chuàng)建顯示您已收集的清單或已成功部署的軟件更新的報表。您還可以創(chuàng)建儀表板，其中綜合了多個不同的信息視圖?？墒褂枚鄠€預(yù)創(chuàng)建報表以支持常見的報表方案。有關(guān)每個功能所提供的報表的詳細(xì)信息，請參閱功能文檔。 軟件分發(fā)軟件分發(fā)允許您將任何內(nèi)容傳遞到客戶端計算機(jī)。軟件分發(fā)中的包可以包含部署軟件應(yīng)用程序的源文件以及被稱為程序的命令，告

26、訴客戶端要運行哪些可執(zhí)行文件。單個包可以包含多個程序，每個程序均配置為以不同的方式運行。包還可以包含命令行以運行客戶端上已經(jīng)存在的文件，無需實際包含其他源文件。注：sccm 2007可以導(dǎo)致在客戶端上運行任何可執(zhí)行文件，但是務(wù)必要了解，sccm 2007并不實際打包可執(zhí)行或源文件。sccm 2007與送貨員類似；它將軟件或命令傳遞給客戶端，但是命令必須能夠獨立于sccm 2007在客戶端上運行。如果軟件或命令沒有sccm 2007軟件分發(fā)就無法運行，則不會使用軟件分發(fā)運行。sccm 2007使用播發(fā)來指定哪些集合接收程序和包。 軟件更新軟件更新功能提供了一組工具和資源，可幫助管理跟蹤軟件更新并

27、將其應(yīng)用到企業(yè)中的客戶端計算機(jī)的復(fù)雜任務(wù)。sccm 2007中的軟件更新要求安裝 windows server update services (wsus) 服務(wù)器，并使用其掃描客戶端計算機(jī)是否有適用的軟件更新。管理員查看環(huán)境中需要哪些更新，并創(chuàng)建包含這些軟件更新的源文件的包和部署。隨后，客戶端從分發(fā)點安裝軟件更新，并將其狀態(tài)報告回站點數(shù)據(jù)庫。 軟件計數(shù)軟件計數(shù)允許您收集和報告軟件程序使用數(shù)據(jù)。這些報表提供的數(shù)據(jù)可供組織內(nèi)的很多組使用，如 it 部和公司采購部。sccm 2007中的軟件計數(shù)支持下列情況： 確定要使用哪些軟件應(yīng)用程序以及使用者。 確定指定軟件應(yīng)用程序的并發(fā)使用數(shù)。 確定實際的軟

28、件許可證要求。 確定冗余的軟件應(yīng)用程序安裝。 確定可進(jìn)行重新定位的不使用的軟件應(yīng)用程序。移動設(shè)備管理支持移動設(shè)備作為sccm 2007客戶端。針對文檔用途，移動客戶端被視為單獨的功能。移動客戶端可運行sccm 2007功能的子集（如清單和軟件分發(fā)），但不能通過遠(yuǎn)程控制來管理，也不能象桌面客戶端那樣接收操作系統(tǒng)部署。 操作系統(tǒng)部署操作系統(tǒng)部署允許您在計算機(jī)上安裝新的操作系統(tǒng)和軟件。您可以使用操作系統(tǒng)部署將操作系統(tǒng)映像安裝到全新或現(xiàn)有的計算機(jī)，以及沒有連接到sccm 2007站點的計算機(jī)。通過使用任務(wù)序列和驅(qū)動程序目錄，操作系統(tǒng)部署使您可以使用一個可安裝在各種類型計算機(jī)和配置上的動態(tài)映像來安裝軟件

29、，從而簡化了新計算機(jī)的安裝。操作系統(tǒng)部署為將操作系統(tǒng)映像部署到計算機(jī)提供下列解決方案： 提供安全的操作系統(tǒng)部署環(huán)境。 通過允許一個映像工作在不同計算機(jī)硬件配置下，協(xié)助管理部署映像的成本。 協(xié)助統(tǒng)一部署策略，以幫助為將來的操作系統(tǒng)部署方法提供穩(wěn)固的部署基礎(chǔ)。所需的配置管理所需的配置管理允許您定義配置標(biāo)準(zhǔn)和策略，審核整個企業(yè)對已定義配置的符合性。microsoft 和其他供應(yīng)商提供的最佳方案配置可以microsoftsccm 2007配置包的形式使用。隨后，可對這些配置包進(jìn)行改進(jìn)以滿足自定義的業(yè)務(wù)需要。此外，所需的配置管理支持自定義配置的創(chuàng)作環(huán)境。此功能旨在為組織內(nèi)的多個組提供數(shù)據(jù)，包括 it 部

30、和公司安全部。所需的配置管理支持下列情況： 檢測生產(chǎn)服務(wù)器配置漂移并確認(rèn)設(shè)置的服務(wù)器是否滿足預(yù)期的構(gòu)建要求。 為咨詢臺提供可能的原因信息，縮短事件的解決時間 (ttr) 并針對問題提供可能的原因分析 報告與法規(guī)策略和內(nèi)部安全策略的符合性 提供更改驗證并跟蹤遠(yuǎn)程工具sccm 2007中的遠(yuǎn)程工具包括的遠(yuǎn)程控制功能允許具有足夠訪問權(quán)限的操作員遠(yuǎn)程管理sccm 2007站點層次結(jié)構(gòu)中的客戶端計算機(jī)。您可以使用遠(yuǎn)程控制來解決客戶端計算機(jī)上的問題，并在需要訪問用戶計算機(jī)時提供遠(yuǎn)程咨詢臺支持。網(wǎng)絡(luò)訪問保護(hù)網(wǎng)絡(luò)訪問保護(hù) (nap) 是 windows xp sp3、windows vista 和 windo

31、ws server 2008 操作系統(tǒng)內(nèi)置的策略強(qiáng)制平臺，幫助您通過強(qiáng)制符合系統(tǒng)健康要求來更好地保護(hù)網(wǎng)絡(luò)資產(chǎn)。您可以配置 dhcp 強(qiáng)制、vpn 強(qiáng)制、802.1x 強(qiáng)制、ipsec 強(qiáng)制或所有的四種強(qiáng)制，具體取決于您的網(wǎng)絡(luò)需求。sccm 2007中的網(wǎng)絡(luò)訪問保護(hù)可與 windows server 2008 上的 windows 網(wǎng)絡(luò)策略服務(wù)器 (nps) 配合使用，通過客戶端修正來強(qiáng)制軟件更新符合性。網(wǎng)絡(luò)策略允許您限制對客戶端的網(wǎng)絡(luò)訪問，直到它們具有您指定為必需的軟件更新。注：網(wǎng)絡(luò)訪問保護(hù)不是設(shè)計用于保護(hù)網(wǎng)絡(luò)免受惡意用戶的攻擊。而是旨在幫助管理員保持網(wǎng)絡(luò)中的計算機(jī)的健康，反過來幫助維護(hù)網(wǎng)絡(luò)的

32、整體完整性。網(wǎng)絡(luò)訪問保護(hù)不會防止授權(quán)用戶使用符合的計算機(jī)將惡意程序上載到網(wǎng)絡(luò)或執(zhí)行其他不適當(dāng)?shù)男袨?。lan 喚醒lan 喚醒功能有助于達(dá)到更高的sccm 2007活動成功率，減少工作時間內(nèi)的關(guān)聯(lián)網(wǎng)絡(luò)流量，不要求計算機(jī)在工作時間外保持開機(jī)，從而有助于組織節(jié)省電源。sccm 2007中的 lan 喚醒支持下列情況： 在配置的軟件更新部署截止時間之前發(fā)送喚醒傳輸。 在配置必需播發(fā)（可以是面向軟件分發(fā)的，也可以是面向任務(wù)序列的）計劃之前發(fā)送喚醒傳輸。帶外管理僅適用于sccm 2007 sp1。sccm 2007 sp1 中的帶外管理功能為具有 intel vpro 芯片組和 intel 主動管理技術(shù)

33、(intel amt) 固件版本 3.2.1 或更高版本的計算機(jī)提供功能強(qiáng)大的管理控制。 帶外管理需要microsoft 公鑰基礎(chǔ)結(jié)構(gòu) (pki) 并支持下列方案： 打開一臺或多臺計算機(jī)的電源（例如，在工作時間以外對計算機(jī)進(jìn)行維護(hù)）。 關(guān)閉一臺或多臺計算機(jī)的電源（例如，操作系統(tǒng)停止響應(yīng)）。 重新啟動未正常運行的計算機(jī)，或從本地連接的設(shè)備或已知正常的啟動映像文件來啟動計算機(jī)。 通過從位于網(wǎng)絡(luò)上的啟動映像文件啟動或使用 pxe 服務(wù)器來重新鏡像計算機(jī)。 重新配置選定計算機(jī)上的 bios 設(shè)置，繞過 bios 密碼（如果 bios 制造商支持）。 啟動到基于命令的操作系統(tǒng)，以運行命令、修復(fù)實用程序或

34、診斷應(yīng)用程序（例如，升級固件或運行磁盤修復(fù)實用程序）。 配置計劃的軟件更新部署和播發(fā)以在運行前先喚醒計算機(jī)?？蛻舳藸顟B(tài)報告sccm 2007 r2 中的客戶端狀態(tài)報告提供有關(guān)sccm 2007層次結(jié)構(gòu)中客戶端狀態(tài)的最新信息?？蛻舳藸顟B(tài)報告在無法使用客戶端診斷標(biāo)準(zhǔn)方法時有用。sql reporting servicessccm 2007 r2 中的 sql reporting services 提供了一套工具和資源，可幫助您從sccm 2007控制臺使用 sql reporting services 的高級報告功能。根據(jù)xx用戶項目1期的需求，目前主要實現(xiàn)清單（也稱為資產(chǎn)收集）、軟件更新（也稱為

35、補(bǔ)丁分發(fā)）、遠(yuǎn)程工具和自定義報表。由于xx用戶客戶端總數(shù)2000，所以清單每天收集一次。軟件更新每天3:00同步一次，當(dāng)有新的軟件更新需要分發(fā)時，建議先在小范圍內(nèi)（例如it部門）作測試，測試時間1周，確定對現(xiàn)有環(huán)境沒有影響后再大批量分發(fā)。軟件更新包括安全更新、關(guān)鍵更新、更新程序集和service pack。注：軟件更新不會驗證windows和office是否為正版。遠(yuǎn)程工具主要啟用遠(yuǎn)程協(xié)助。遠(yuǎn)程協(xié)助無需對方管理員密碼，而且兩人看到的界面是一樣的。報表將根據(jù)xx用戶實際需求自定義，自定義內(nèi)容包括：計算機(jī)名、ip地址、mac地址，是否登錄到域、登錄帳號、計算機(jī)名和登錄帳號是否匹配、中文名、部門、是

36、臺式機(jī)還是便攜機(jī)、cpu（包括cpu核數(shù)）、內(nèi)存大小、硬盤大小、硬盤個數(shù)、剩余空間、操作系統(tǒng)和service pack、安裝什么軟件等，也可以與資產(chǎn)系統(tǒng)作整合。另外，可以給指定的用戶看指定的報表。4.1.6. 客戶端類型設(shè)計必須在要管理的客戶端上安裝sccm 2007客戶端軟件。注：sccm 2007僅支持基于 windows 的平臺。對非 windows 平臺（如 macintosh 和 unix 平臺）的支持可由其他軟件供應(yīng)商作為附加產(chǎn)品向sccm 2007提供。您可以在臺式計算機(jī)和便攜式計算機(jī)（通常看作“客戶端計算機(jī)”）上安裝sccm 2007客戶端軟件。此外，您可以在服務(wù)器計算機(jī)上安裝

37、sccm 2007客戶端軟件并將它們作為sccm 2007的客戶端進(jìn)行管理。雖然服務(wù)器通常具有特定操作要求，例如允許您重新啟動服務(wù)器計算機(jī)的時間與臺式計算機(jī)相比可能具有更多限制，但是sccm 2007使服務(wù)器與客戶端計算機(jī)之間沒有功能區(qū)別。在整篇文檔中，術(shù)語“客戶端計算機(jī)”可以表示服務(wù)器機(jī)房中的服務(wù)器或用戶桌面上的計算機(jī)。 通過直接連接至網(wǎng)絡(luò)或使用 vpn 或撥號訪問，客戶端計算機(jī)通常直接連接至組織網(wǎng)絡(luò)。在sccm 2007中，客戶端計算機(jī)還可以由sccm 2007站點管理（如果它們已連接至 internet 但從未直接連接至組織網(wǎng)絡(luò)）。例如，在家工作的工作人員無需撥號連接到公司網(wǎng)絡(luò)就可由sc

38、cm 2007管理。這些客戶端稱為基于 internet 的客戶端，并且它們需要附加基礎(chǔ)結(jié)構(gòu)支持。sccm 2007還支持在移動設(shè)備上安裝客戶端組件，例如運行 windows mobile 或 windows ce 的設(shè)備。移動設(shè)備客戶端支持許多（但不是所有）標(biāo)準(zhǔn)客戶端支持的功能。例如，您可以將軟件部署到客戶端移動電話，但是不能使用遠(yuǎn)程控制來為移動電話用戶提供疑難解答幫助。microsoft 支持在非傳統(tǒng)臺式計算機(jī)、便攜式計算機(jī)或服務(wù)器計算機(jī)的設(shè)備上運行 windows 的嵌入式版本。例如，可以將 windows xp embedded 安裝在自動取款機(jī)或醫(yī)療設(shè)備上。sccm 2007組件可以

39、由制造商與其他嵌入式操作系統(tǒng)一起安裝在這些設(shè)備上。設(shè)備支持許多（但不是所有）標(biāo)準(zhǔn)客戶端支持的功能。本次項目只針對xx用戶內(nèi)網(wǎng)的windows xp sp2以上客戶端，不管理基于internet的windows xp sp2以上客戶端，也不管理服務(wù)器和移動設(shè)備。4.1.7. 客戶端安裝設(shè)計sccm 2007提供了許多用于安裝客戶端軟件的選項。下表列出了客戶端計算機(jī)安裝方法?？蛻舳擞嬎銠C(jī)安裝方法描述軟件更新點安裝使用客戶端的自動更新配置將客戶端計算機(jī)定向到配置為sccm 2007軟件更新點的 wsus 計算機(jī)。客戶端計算機(jī)將安裝sccm 2007客戶端軟件，即使它是軟件更新也是如此?？蛻舳苏埱蟀惭b

40、使用具有管理權(quán)限的帳戶訪問客戶端計算機(jī)并安裝sccm 2007客戶端軟件。此方法要求在客戶端計算機(jī)上啟用文件和打印共享以及相關(guān)端口。手動客戶端安裝具有管理權(quán)限的用戶可以通過在客戶端計算機(jī)上運行 ccmsetup 來安裝客戶端軟件。多種開關(guān)可修改安裝選項。組策略安裝使用組策略軟件安裝來安裝 ccmsetup.msi。映像可以將客戶端軟件添加到映像，包括使用sccm 2007操作系統(tǒng)部署創(chuàng)建和部署的映像。軟件分發(fā)可以使用sccm 2007軟件分發(fā)升級或重新部署現(xiàn)有客戶端。由于軟件更新點安裝只需要80出口，所以建議為首選安裝方法，可根據(jù)實際需要使用其它各種方法組合。注：根據(jù)實際經(jīng)驗，軟件更新點安裝會

41、強(qiáng)制重啟計算機(jī)而且不能取消，強(qiáng)制重啟發(fā)生在0:00，如果用戶下班后關(guān)機(jī)或用戶即使沒關(guān)機(jī)但允許重啟則沒有影響。另外，不管使用哪種安裝方法，有些第三方軟件會對安裝造成影響，例如：有些mcafee殺毒軟件版本會導(dǎo)致sccm客戶端安裝失敗，有些瑞星殺毒軟件版本和360安全衛(wèi)士版本會導(dǎo)致sccm客戶端進(jìn)程不能啟用。我們會根據(jù)以往項目經(jīng)驗自定義一張sccm客戶端未安裝和sccm客戶端未啟用的報表。4.2. mdt 2008設(shè)計mdt 2008是微軟最新的解決方案加速器，它利用最先進(jìn)的wim鏡像技術(shù)，再結(jié)合數(shù)據(jù)庫的強(qiáng)大配置功能，可以實現(xiàn)大型企業(yè)的全自動部署。mdt 2008是免費的，而且源代碼也是公開的，企

42、業(yè)可以自己的需要進(jìn)行擴(kuò)展。microsoft deployment toolkit 2008 source code4.2.1. 部署點物理設(shè)計xx用戶總部與分支機(jī)構(gòu)網(wǎng)絡(luò)帶寬只有2m，想利用這2m帶寬通過網(wǎng)絡(luò)安裝操作系統(tǒng)和應(yīng)用程序顯然不大可能，所以需要在總部和分支機(jī)構(gòu)本地建立部署點，設(shè)計如下：部署點位置杭州杭州部署點上海上海部署點成都成都部署點部署點只要添加一臺服務(wù)器的共享目錄即可使用，所以擴(kuò)展非常方便。4.2.2. 部署點邏輯設(shè)計為了統(tǒng)一集中式管理部署點，分支機(jī)構(gòu)部署點將作為總部部署點鏡像點，設(shè)計如下：部署點位置杭州杭州部署點上海杭州部署點鏡像點成都杭州部署點鏡像點考慮到總部與分支機(jī)構(gòu)帶寬只

43、有2m，所以需要考慮帶寬利用率問題。分支機(jī)構(gòu)部署點建議初期需要同步總部部署點的操作系統(tǒng)和應(yīng)用程序，此時同步數(shù)據(jù)量非常大，這些同步是一次性，所以建議分批在非工作時間同步，例如22:00-6:00。平時運維時只同步變化的部分，而不是整個部署點。4.2.3. 操作系統(tǒng)版本設(shè)計xx用戶大多數(shù)終端操作系統(tǒng)版本是windows xp sp2簡體中文專業(yè)版，本次操作系統(tǒng)使用windows xp sp3簡體中文專業(yè)版。4.2.4. 操作系統(tǒng)安裝格式設(shè)計操作系統(tǒng)安裝格式分為三類，分別為： 源文件 wim鏡像 wds鏡像源文件就是平常使用的光盤安裝，雖然兼容性最好，但效率最低，不適合xx用戶的快速部署需求。wim

44、鏡像就是將安裝好的操作系統(tǒng)（含安全設(shè)置和應(yīng)用程序）做成wim鏡像，以后通過wim鏡像進(jìn)行快速部署。wim技術(shù)也是微軟最新的鏡像技術(shù)，廣泛應(yīng)用于windows vista、windows 2008和windows 7中。wds鏡像也是一種鏡像技術(shù)，對于xx用戶不適用。所以xx用戶使用wim鏡像格式。4.2.5. 應(yīng)用程序設(shè)計應(yīng)用程序分為公用應(yīng)用程序和非公用應(yīng)用程序。公用應(yīng)用程序每臺終端都安裝的應(yīng)用程序（以下名單由xx用戶提供，可能有變更）：用途隨新機(jī)部署預(yù)裝軟件輸入法微軟拼音搜狗拼音輸入法谷歌拼音輸入法極品五筆 v6.7瀏覽器ie 6.0 + sp1傲游即時通訊旺旺（淘寶版）live msn旺旺

45、（貿(mào)易通）安全控件xx用戶控件pdf閱讀adobe reader 9.0壓縮軟件winrar 3.7office 相關(guān)office 2007（看注釋）office visio 2007安全軟件symantec sep 11.0字典谷歌金山詞霸合用版軟電話softphone（非所有部門）電子銀行招行專業(yè)版 + web控件vpn client公司vpn client媒體播放暴風(fēng)影音、mediaplayer非公用應(yīng)用程序例如資金部軟件只要在資金部安裝就行了。非公用應(yīng)用程序必須支持無人值守安裝，否則整個部署就不能全自動完成。一般的應(yīng)用程序都提供無人值守安裝，個別應(yīng)用程序不能無人值守安裝則可以通過專業(yè)打

46、包軟件完成。注：本次項目只安裝商業(yè)免費軟件和正版軟件。4.2.6. 通用鏡像設(shè)計正如前面所述，操作系統(tǒng)使用wim鏡像格式，但如果一種機(jī)型一種鏡像則會對it部門帶來非常大的工作量，所以必須設(shè)計成通用鏡像，至少在80%以上機(jī)型可以安裝使用。這個鏡像還應(yīng)該被設(shè)計成最安全的，所以啟用如下策略： 啟用一些安全策略 安裝dct以便以后做更細(xì)微的策略控制 安裝windows xp sp3以后所有的軟件更新 啟用windows xp自帶防火墻 安裝防病毒并升級到最新病毒庫由于每臺終端都要安裝公用的應(yīng)用程序，所以把公用的應(yīng)用程序直接打包在通用鏡像中。注：如果公用的應(yīng)用程序版本變更非常頻繁，則不建議將該程序打包在

47、通用鏡像中。本次項目poc時用3臺不同型號的臺式機(jī)和3臺不同型號的便攜機(jī)來測試通用鏡像。4.2.7. 驅(qū)動程序設(shè)計xx用戶現(xiàn)在有10多種機(jī)型，以后還會不斷增多，如果每增加一種機(jī)型就需要修改通用鏡像特別費時費力，所以需要把驅(qū)動程序從通用鏡像中獨立出來，以后只要維護(hù)驅(qū)動程序就可以了。4.2.8. 部署方式設(shè)計部署方式支持如下方式： 網(wǎng)絡(luò)啟動網(wǎng)絡(luò)部署 cd光盤啟動網(wǎng)絡(luò)部署 cd/dvd部署 u盤/移動硬盤部署 本次項目只設(shè)計網(wǎng)絡(luò)啟動網(wǎng)絡(luò)部署4.2.9. 自動部署設(shè)計自動部署盡量減少手工操作，本次自動部署有兩步需要手工操作： 按f12確認(rèn)從網(wǎng)絡(luò)啟動 輸入用戶名和密碼確認(rèn)是合法的用戶 以后的過程全部自動

48、完成，包括： 自動格式化c盤 自動將通用鏡像安裝在c盤 自動安裝驅(qū)動程序 自動根據(jù)角色安裝非公用程序 自動加入域指定ou 根據(jù)需要是否將域用戶提升為本機(jī)管理員4.2.10. 數(shù)據(jù)庫導(dǎo)入設(shè)計正常安裝操作系統(tǒng)時要輸入機(jī)器名，windows key等各種參數(shù)，為了實現(xiàn)全自動部署，這些參數(shù)事先要全部錄入到數(shù)據(jù)庫。mdt 2008提供了圖形界面錄入方法，但這種方式錄入效率非常低，所以需要提供一種批量導(dǎo)入的方法。管理員事先將一些數(shù)據(jù)整理到excel，這些數(shù)據(jù)可以從已有的系統(tǒng)導(dǎo)出，例如機(jī)器名、service tag、域內(nèi)ou、使用人、域帳號，部門、角色等，然后統(tǒng)一導(dǎo)入到mdt數(shù)據(jù)庫。4.2.11. serv

49、ice tag流程設(shè)計每臺計算機(jī)都有一個service tag（如果沒有則需要廠家刷bios）而且是唯一的，部署時根據(jù)service tag作為唯一標(biāo)識。如果部署時service tag沒在數(shù)據(jù)庫則部署過程終止并彈出對話框通知管理員。4.2.12. 角色流程設(shè)計不同的角色安裝不同的應(yīng)用程序集列表。例如資金部安裝資金部相關(guān)的軟件，開發(fā)部安裝開發(fā)部相關(guān)的軟件。4.2.13. 計算機(jī)型號流程設(shè)計計算機(jī)更新非?？?，難免會出現(xiàn)新購計算機(jī)的驅(qū)動程序未及時導(dǎo)入到mdt驅(qū)動庫。如果部署時沒有該型號的驅(qū)動程序，則彈出對話框通知管理員，然后部署繼續(xù)，一旦部署完成后由管理員手工安裝驅(qū)動程序，管理員確認(rèn)驅(qū)動沒有問題后

50、再導(dǎo)入到mdt驅(qū)動庫。4.2.14. 安裝標(biāo)志流程設(shè)計用戶自助部署時需向it部門提交申請，管理員確認(rèn)后會修改安裝標(biāo)志，只有安裝標(biāo)志允許的計算機(jī)才允許部署，否則自動部署過程終止并彈出對話框通知管理員。成功部署完成后自動重置安裝標(biāo)志為否。注：重置安裝標(biāo)志需要對數(shù)據(jù)庫寫操作，可能造成安全隱患，所以通過調(diào)用webservice完成。4.2.15. 磁盤規(guī)則設(shè)計舊機(jī)磁盤規(guī)則 一個硬盤 兩個以上分區(qū) 第一個主分區(qū)大于20g新機(jī)磁盤規(guī)則 一個硬盤 刪除所有分區(qū)（含出廠自定義分區(qū)） 第一個主分區(qū)20g 其它擴(kuò)展分區(qū) 第一個邏輯分區(qū)30g 其它作為第二個邏輯分區(qū)4.2.16. 歸庫流程設(shè)計員工將計算機(jī)歸還時稱為

51、歸庫。歸還時計算機(jī)上可能留有重要數(shù)據(jù)，這些數(shù)據(jù)并不希望下一位使用者/借用者看到，所以需要歸庫處理。歸庫時，管理員設(shè)置歸庫標(biāo)志，部署時計算機(jī)根據(jù)新機(jī)磁盤規(guī)則格式化，格式化完成后部署過程正常結(jié)束。成功歸庫完成后自動重置歸庫標(biāo)志為否。注：重置安裝標(biāo)志需要對數(shù)據(jù)庫寫操作，可能造成安全隱患，所以通過調(diào)用webservice完成。4.2.17. 新舊機(jī)器標(biāo)志流程設(shè)計新舊機(jī)器標(biāo)志由管理員手工維護(hù)。部署時發(fā)現(xiàn)新機(jī)器標(biāo)志時，按照新機(jī)磁盤規(guī)則處理，然后全自動部署。部署完成后自動重置新舊機(jī)器標(biāo)志為舊。部署時發(fā)現(xiàn)舊機(jī)器標(biāo)志時，按照舊機(jī)磁盤規(guī)則處理，如果符合則全自動部署，否則部署過程終止并彈出對話框通知管理員4.3.

52、終端安全設(shè)計4.3.1. 用戶權(quán)限設(shè)計根據(jù)最小權(quán)限最大安全原則，設(shè)計如下： 盡量只給domain users組權(quán)限 定期重置本機(jī)管理員密碼 定期禁用本機(jī)guest帳號 根據(jù)用戶分類定期權(quán)限受限，例如使用受限組4.3.2. 個人防火墻設(shè)計windows xp sp2以上的個人防火墻基于windows內(nèi)核，安全性非常高，一般沒有必要安裝第三方防火墻。建議如下： 啟用windows xp自帶防火墻，開啟防火墻日志 強(qiáng)制開啟共享目錄，但只有指定服務(wù)器列表才能訪問。如果用戶需要交換資料，建議通過郵件、服務(wù)器中轉(zhuǎn)站，旺旺傳輸?shù)葘崿F(xiàn)4.3.3. 軟件更新設(shè)計通過sccm實現(xiàn)。4.3.4. 防病毒軟件設(shè)計對于沒有安裝防病毒軟件的列表，通過sccm自動分發(fā)防病毒軟件。4.3.5. 屏幕保護(hù)設(shè)計有些用戶臨時走開不習(xí)慣鎖定計算機(jī)，這可能會泄漏企業(yè)敏感信息，建議啟用屏幕保護(hù)，設(shè)計如下：高層領(lǐng)導(dǎo)：屏保30分鐘普通員工：屏保10分鐘資金部：屏保3分鐘4.3.6. 日志審計設(shè)計開啟每臺終端的日志審計，特別是安全事件審計，審核成功與失敗，時間保留三個月。4.3.7. mbsa設(shè)計通過mbsa定期掃描域內(nèi)所有終端，根據(jù)mbsa報表改進(jìn)安全性