it终端安全标准化总体方案

XX用户IT终端安全标准化1期总体方案文档目录1总体概述111项目概述112项目目标113项目范围114项目意义215设计原则22需求分析33方案概述331方案介绍332方案优势333总体方案34详细设计441SCCM2007设计4411站点物理设计4412站点逻辑设计5413站点代码和站点名称设计6414站点系统设计7415功能设计11416客户端类型设计17417客户端安装设计1842MDT2008设计19421部署点物理设计19422部署点逻辑设计20423操作系统版本设计20424操作系统安装格式设计20425应用程序设计21426通用镜像设计22427驱动程序设计23428部署方式设计23429自动部署设计234210数据库导入设计244211SERVICETAG流程设计244212角色流程设计244213计算机型号流程设计254214安装标志流程设计254215磁盘规则设计254216归库流程设计264217新旧机器标志流程设计2643终端安全设计26431用户权限设计26432个人防火墙设计27433软件更新设计27434防病毒软件设计27435屏幕保护设计27436日志审计设计27437MBSA设计28438DCT设计28439应用程序设计2844部署流程设计28441新装终端流程设计29442已有终端流程设计2945硬件设计3046软件设计3147权限设计315项目计划3251项目进度3252项目人员3253文档交付326培训计划337技术支持3371解决事件3472远程诊断与调试3473紧急现场服务341总体概述11项目概述随着XX用户人员不断递增，而且业务对安全IT环境的要求也不断提高，这就要求企业的IT基础架构要能满足不断变化的扩展性和安全性的需求。本文是上海XX公司和XX用户在多次交流基础上，上海XX公司根据XX用户现状和以往类似项目经验整理而成。文档参考XX用户IT终端安全标准化1期标准需求说明书V20。12项目目标基本目标终端部署标准化企业终端集中式部署终端应用标准化终端上的应用程序安装标准化终端安全标准化按照企业规划的安全配置实现标准化扩展目标与资产统计做流程整合与HR人员生命周期做流程整合13项目范围在杭州和上海建设终端管理平台实现终端安全标准化实现流程自动标准化指定顾问服务14项目意义加强整体环境安全性提高员工工作效率增强终端可管理性减少IT部门重复工作量提升IT部门服务水平IT部门投入到更有价值的工作中去降低公司整体管理成本促进以ITIL为核心的管理模式的建立15设计原则先进性采用当前世界先进的软件产品以及模块化的软件设计，从而保证系统在技术上领先。开放性系统保证可以集成不同设备厂商、系统或平台供应商、软件供应商产品。系统的设备管理、系统扩容和业务维护不依赖于单一设备厂商、系统或软件供应商的产品。可靠性系统能够稳定运行，防止单点故障。安全性应该充分考虑整个系统运行的安全策略和机制，可以根据不同的业务要求和应用处理，建立不同的安全措施，保证数据的安全。经济性尽量利旧现有软硬件设备以节约投资。2需求分析详见XX用户IT终端安全标准化1期标准需求说明书V20（含XX公司应答）。3方案概述31方案介绍根据对XX用户的需求分析，我们推荐使用微软如下解决方案SYSTEMCENTERCONFIGURATIONMANAGER2007（以下简称SCCM2007）MICROSOFTDEPLOYMENTTOOLKIT2008（以下简称MDT2008）DESKTOPCUSTOMIZATIONTOOLKIT（以下简称DCT）32方案优势市场占有率最高投资回报率高微软可以提供全面的解决方案产品兼容性好产品扩展性好管理员上手快后续支持资源多33总体方案4详细设计41SCCM2007设计SCCM2007是大多数企业使用的终端管理平台，通过减少手动任务来提高IT工作效率，从而使企业能够集中在高价值项目上，最大程度地实现了硬件和软件投资。411站点物理设计站点定义管理控制的范围，它使用边界来确定属于该站点的客户端，使用站点有助于站点间的带宽利用率。从物理上分类，SCCM2007站点分为主站点和辅助站点。注主站点和辅助站点在安装时决定，安装完成后不能更改。主站点安装的第一个SCCM2007站点必须是主站点。主站点将其自身及其下所有站点的SCCM2007数据存储在SQLSERVER数据库中。这称之为SCCM2007站点数据库。主站点具有称为SCCM2007控制台的管理工具，使SCCM2007管理员可以直接管理站点。辅助站点辅助站点没有SCCM2007站点数据库。它连接到主站点并向其报告。辅助站点由SCCM2007管理员运行连接到主站点的SCCM2007控制台来管理。辅助站点将它从SCCM2007客户端收集到的信息（如计算机清单数据和SCCM2007系统状态信息）转发到其父站点。然后，主站点将主站点和辅助站点的数据都存储在SCCM2007站点数据库中。使用辅助站点的优点在于，它们不需要额外的SCCM2007服务器许可证，也不会产生维护额外数据库的开销。辅助站点是从它们所连接的主站点进行管理的，因此它们经常用于没有本地管理员的站点。辅助站点的缺点在于它们必须连接到主站点，要移动到其他主站点，必须先删除此站点，然后重新创建。此外，在层次结构中辅助站点之下不再有站点。XX用户总部和分支机构的带宽只有2M，所以必须规划站点物理设计，建议如下站点类型杭州主站点上海辅助站点成都辅助站点412站点逻辑设计从逻辑上分类，站点分为父站点和子站点，其中最上层称为中央站点。父站点父站点是层次结构中连接了一个或多个站点的主站点。只有主站点可以有子站点。辅助站点只能是子站点。父站点包含其较低级别站点的相关信息，如计算机清单数据和SCCM2007系统状态信息，并且可以控制子站点上的很多操作。子站点子站点是连接到层次结构中其上站点的站点。此站点向其父站点报告。子站点可以只有一个父站点。SCCM2007将从子站点收集的所有数据复制到其父站点。子站点可以是主站点，也可以是辅助站点。中央站点中央站点没有父站点。通常，中央站点有子站点和孙站点，并聚合其所有客户端信息以提供集中式管理和报告。没有父站点和子站点的站点仍称为中央站点，也可称为独立站点。由于杭州是主站点，上海和成都是辅助站点，所以站点逻辑设计如下站点层次杭州父站点/中央站点上海子站点成都子站点413站点代码和站点名称设计站点代码和站点名称用于识别和管理SCCM2007层次结构中的站点。在SCCM2007控制台中，站点代码和站点名称以的格式显示。站点代码仅应在SCCM2007层次结构中使用一次。如果为SCCM2007扩展了ACTIVEDRIECTORY，并且站点正在发布数据，则在ACTIVEDIRECTORY林中使用的站点代码必须是唯一的，即使这些站点代码在不同的SCCM2007层次结构中使用。部署SCCM2007层次结构之前，确保仔细规划站点代码和站点名称。在SCCM2007安装过程中，对于每个主站点和辅助站点安装，系统均会提示您提供站点代码和站点名称。站点代码必须唯一标识层次结构中的每个SCCM2007站点。由于某些SCCM2007组件在文件夹名称中使用站点代码，您在SCCM2007安装期间不应将AUX、CON、NUL或PRN之类的MICROSOFTWINDOWS保留名称指定为站点代码。注SCCM2007安装程序不会验证所输入的站点代码是否已不在使用。要在SCCM2007安装期间输入站点的站点代码，您必须输入三个字母数字字符。当指定站点代码时，只允许使用字母A到Z、数字0到9或两者的组合。字母或数字的顺序对站点之间的通信没有影响。例如，没有必要将主站点命名为ABC，而将辅助站点命名为DEF。站点名称是站点的友好名称标识符。在站点名称中仅使用标准字符A到Z、A到Z、0到9以及连字符。注不支持在安装之后更改站点代码或站点名称。可根据XX用户的命名规范设计站点代码和站点名称，建议如下站点代码站点名称杭州PHZXX用户杭州站点上海PSHXX用户上海站点成都PCDXX用户成都站点其中PHZ是ALIPAYHANGZHOU的简写。PSH是ALIPAYSHANGHAI的简写。PCD是ALIPAYCHENGDU的简写。414站点系统设计每个站点包含一个站点服务器和一个或多个站点系统。站点服务器指安装SCCM2007的计算机，而且宿主SCCM2007所需的服务。站点系统指任何运行受支持的MICROSOFTWINDOWS版本的计算机，或宿主一个或多个站点系统角色的共享文件夹。站点系统角色指能够使用SCCM2007或SCCM2007的功能所需的功能。多个站点角色可以在一个站点系统上进行组合，包括在站点服务器上运行所有站点角色，但是这通常仅适用于很小的简单环境。下表简要描述了每个站点系统角色。站点系统角色描述必需站点服务器为其上成功运行了SCCM2007安装程序的服务器分配的角色。是。每个站点必须只有一个站点服务器角色。站点数据库服务器为运行MICROSOFTSQLSERVER并宿主SCCM2007站点数据库的计算机分配的角色。您只能使用MICROSOFTSQLSERVER2005/2008的STANDARD或ENTERPRISEEDITION来宿主站点数据库。SQLSERVER2005EXPRESS不是用于宿主站点数据库的SQLSERVER2005的受支持版本。每个主站点都需要站点数据库服务器角色，但是辅助站点不需要。SCCM2007控制台运行SCCM2007控制台的任何计算机。否。安装期间，主站点服务器上会默认自动安装SCCM2007控制台。您可以在远程计算机（例如SCCM2007管理员的工作站）上安装其他SCCM2007控制台。但是，某些组织使用SCCM2007软件开发工具包SDK来编写自己的用户界面，从不使用SCCM2007控制台。SMS提供程序计算机SCCM2007控制台不直接访问数据库，而是使用WINDOWS管理规范WMI作为中间层。SMS提供程序是SCCM2007的WMI提供程序。对主站点来说是的。在安装主站点时，您可以选择将宿主SMS提供程序的计算机，通常是站点服务器或站点数据库服务器。组件服务器宿主要求安装特殊SCCM2007服务的SCCM2007站点角色的任何计算机。不需要安装特殊SCCM2007服务的唯一站点系统角色是分发点。分发点存储客户端要安装的包的站点系统角色。下列功能需要此角色软件分发、软件更新以及操作系统部署中使用的播发任务序列。回退状态点此站点系统角色从无法正确安装、无法分配到SCCM2007站点或无法与其分配的管理点安全通信的客户端收集状况消息。此角色不是必需的，但是对解决客户端问题很有帮助。管理点此站点系统角色在SCCM2007客户端和SCCM2007站点服务器之间充当主要联系点。每个有INTRANET客户端的站点必须有一个默认管理点，但是默认管理点可以是多个配置为管理点的站点系统的群集。PXE服务点此站点系统角色配置为响应那些网络接口卡配置为允许PXE启动请求的计算机，并从其上启动操作系统部署。仅使用PXE启动请求的操作系统部署需要此角色。报表点此站点系统角色宿主报表查看器组件，用于基于WEB的报表功能。仅使用报表功能时需要此角色。报表在诊断客户端问题时通常很有帮助。服务器定位器点此站点系统角色为SCCM2007客户端查找管理点。某些客户端部署方案需要此角色。软件更新点为运行MICROSOFTWINDOWSSERVERUPDATESERVICESWSUS的计算机分配的站点系统角色。仅软件更新功能需要此角色。状态迁移点此站点系统角色在计算机迁移到新的操作系统时存储用户状态数据。当迁移用户状态时，操作系统部署需要此角色。系统健康验证程序点为运行网络策略服务的计算机分配的站点系统角色。仅SCCM2007网络访问保护功能需要此角色。SCCM2007SP1的附加站点系统如果您已升级到SCCM2007SP1，则可能需要下表中所描述的附加站点系统来支持SERVICEPACK中添加的额外功能。站点系统角色描述必需资产智能同步点用于连接到SYSTEMCENTERONLINE以管理资产智能目录信息更新的站点角色。仅当MICROSOFTSA许可证客户将SYSTEMCENTERONLINE与本地资产智能目录同步时需要。带外服务点发现、设置和管理具有管理控制器的台式计算机（例如基于AMT的计算机）的站点系统角色。仅带外管理功能需要此角色。SCCM2007R2的附加站点系统如果您升级到SCCM2007R2，则可能需要下表中所描述的附加站点系统来支持R2版本中添加的额外功能。站点系统角色描述必需REPORTINGSERVICES点分配给运行SQLREPORTINGSERVICES的计算机的站点系统角色。仅当想要使用SQLREPORTINGSERVICES来报告SCCM2007R2数据时需要。将SCCM2007R2报表与SQLREPORTINGSERVICES集成可带来更丰富的报告体验。但是，报表点仍然运行，且不需要SQLREPORTINGSERVICES或REPORTINGSERVICES点。客户端状态报告主机系统尽管客户端状态报告主机系统站点系统角色实际上不是在SCCM2007控制台中配置的站点系统，但可以将它添加到客户端或服务器计算机以向站点服务器返回有关它监视的客户端计算机的报告。仅当使用客户端状态报告功能时需要。根据XX用户需求，站点系统设计如下管理点分发点软件更新点报表点考虑到XX用户客户端总数2000，所以可以将需要启用的角色装在一台PC服务器上。由于站点系统角色可以很方便的通过添加服务器添加，所以扩展也非常方便。415功能设计如果您安装了SCCM2007站点但没有配置任何功能，则此站点基本上无用。功能使SCCM2007真正发挥作用。您可以只安装一个功能，也可以安装多个功能。一些功能依赖于其他功能，例如，网络访问保护要求首先运行软件更新功能。SCCM2007中提供下列功能管理员控制台集合清单查询报表软件分发软件更新软件计数移动设备管理操作系统部署所需的配置管理远程工具网络访问保护LAN唤醒带外管理客户端状态报告SQLREPORTINGSERVICES管理员控制台SCCM2007控制台是SCCM2007管理员使用SCCM2007最常见的方式，但一些组织也使用软件开发工具包SDK来构建自定义用户界面，很多管理员则编写脚本来更有效地管理重复性任务。您可以从站点服务器运行控制台，或者，在桌面或咨询台计算机上安装其他控制台以方便管理。一个控制台可以管理多个站点，多个控制台也可以管理一个站点。SCCM2007控制台作为MICROSOFT管理控制台MMC管理单元运行，但必须在计算机上运行SCCM2007安装程序以使管理单元可用。集合集合代表一组资源，不仅可以包括计算机，还可以包括MICROSOFTWINDOWS用户和用户组以及其他发现的资源。集合使您可以将资源组织到方便管理的单元、创建组织结构，在逻辑上表示要执行的任务类型。集合还可以充当同时在多个资源上执行SCCM2007操作的目标（例如软件分发或软件更新）。集合的成员身份可以是直接或基于查询的。基于查询的集合功能非常强大，因为它们可以根据条件将任何资源分组到一起。例如，如果您希望仅在具有1GB可用磁盘空间和1GBRAM的计算机上部署MICROSOFTOFFICE2007，则可以创建一个集合，对数据库中的SCCM2007清单信息进行查询。清单您可以配置SCCM2007以在SCCM2007客户端上列出硬件清单和软件清单。硬件清单提供有关每台计算机的系统信息（如可用磁盘空间、处理器类型和操作系统）。您可以通过修改SMS_DEFMOF文件来配置硬件清单返回的信息。软件清单代理为您提供客户端计算机上存在的清单文件类型和版本等信息。软件清单本身只返回文件类型列表，但结合资产智能目录中的软件清单信息，您可以创建有关您环境中使用的应用程序的报表。软件清单还可以收集数据库中文件的副本，但仅建议用于不经常更改的小文件。查询SCCM2007中的查询功能使用WBEM查询语言WQL来查询站点数据库。查询结果在SCCM2007控制台中返回，您可以使用MMC导出列表功能导出查询结果。查询也可用于创建满足查询条件的资源集合。报表报表是对许多其他SCCM2007功能的支持功能。报表将返回到浏览器的网页中。不需要进行编程，但有关创建SQL查询的知识将非常有帮助。使用报表功能，您可以创建显示您已收集的清单或已成功部署的软件更新的报表。您还可以创建仪表板，其中综合了多个不同的信息视图。可使用多个预创建报表以支持常见的报表方案。有关每个功能所提供的报表的详细信息，请参阅功能文档。软件分发软件分发允许您将任何内容传递到客户端计算机。软件分发中的包可以包含部署软件应用程序的源文件以及被称为程序的命令，告诉客户端要运行哪些可执行文件。单个包可以包含多个程序，每个程序均配置为以不同的方式运行。包还可以包含命令行以运行客户端上已经存在的文件，无需实际包含其他源文件。注SCCM2007可以导致在客户端上运行任何可执行文件，但是务必要了解，SCCM2007并不实际打包可执行或源文件。SCCM2007与送货员类似；它将软件或命令传递给客户端，但是命令必须能够独立于SCCM2007在客户端上运行。如果软件或命令没有SCCM2007软件分发就无法运行，则不会使用软件分发运行。SCCM2007使用播发来指定哪些集合接收程序和包。软件更新软件更新功能提供了一组工具和资源，可帮助管理跟踪软件更新并将其应用到企业中的客户端计算机的复杂任务。SCCM2007中的软件更新要求安装WINDOWSSERVERUPDATESERVICESWSUS服务器，并使用其扫描客户端计算机是否有适用的软件更新。管理员查看环境中需要哪些更新，并创建包含这些软件更新的源文件的包和部署。随后，客户端从分发点安装软件更新，并将其状态报告回站点数据库。软件计数软件计数允许您收集和报告软件程序使用数据。这些报表提供的数据可供组织内的很多组使用，如IT部和公司采购部。SCCM2007中的软件计数支持下列情况确定要使用哪些软件应用程序以及使用者。确定指定软件应用程序的并发使用数。确定实际的软件许可证要求。确定冗余的软件应用程序安装。确定可进行重新定位的不使用的软件应用程序。移动设备管理支持移动设备作为SCCM2007客户端。针对文档用途，移动客户端被视为单独的功能。移动客户端可运行SCCM2007功能的子集（如清单和软件分发），但不能通过远程控制来管理，也不能象桌面客户端那样接收操作系统部署。操作系统部署操作系统部署允许您在计算机上安装新的操作系统和软件。您可以使用操作系统部署将操作系统映像安装到全新或现有的计算机，以及没有连接到SCCM2007站点的计算机。通过使用任务序列和驱动程序目录，操作系统部署使您可以使用一个可安装在各种类型计算机和配置上的动态映像来安装软件，从而简化了新计算机的安装。操作系统部署为将操作系统映像部署到计算机提供下列解决方案提供安全的操作系统部署环境。通过允许一个映像工作在不同计算机硬件配置下，协助管理部署映像的成本。协助统一部署策略，以帮助为将来的操作系统部署方法提供稳固的部署基础。所需的配置管理所需的配置管理允许您定义配置标准和策略，审核整个企业对已定义配置的符合性。MICROSOFT和其他供应商提供的最佳方案配置可以MICROSOFTSCCM2007配置包的形式使用。随后，可对这些配置包进行改进以满足自定义的业务需要。此外，所需的配置管理支持自定义配置的创作环境。此功能旨在为组织内的多个组提供数据，包括IT部和公司安全部。所需的配置管理支持下列情况检测生产服务器配置漂移并确认设置的服务器是否满足预期的构建要求。为咨询台提供可能的原因信息，缩短事件的解决时间TTR并针对问题提供可能的原因分析报告与法规策略和内部安全策略的符合性提供更改验证并跟踪远程工具SCCM2007中的远程工具包括的远程控制功能允许具有足够访问权限的操作员远程管理SCCM2007站点层次结构中的客户端计算机。您可以使用远程控制来解决客户端计算机上的问题，并在需要访问用户计算机时提供远程咨询台支持。网络访问保护网络访问保护NAP是WINDOWSXPSP3、WINDOWSVISTA和WINDOWSSERVER2008操作系统内置的策略强制平台，帮助您通过强制符合系统健康要求来更好地保护网络资产。您可以配置DHCP强制、VPN强制、8021X强制、IPSEC强制或所有的四种强制，具体取决于您的网络需求。SCCM2007中的网络访问保护可与WINDOWSSERVER2008上的WINDOWS网络策略服务器NPS配合使用，通过客户端修正来强制软件更新符合性。网络策略允许您限制对客户端的网络访问，直到它们具有您指定为必需的软件更新。注网络访问保护不是设计用于保护网络免受恶意用户的攻击。而是旨在帮助管理员保持网络中的计算机的健康，反过来帮助维护网络的整体完整性。网络访问保护不会防止授权用户使用符合的计算机将恶意程序上载到网络或执行其他不适当的行为。LAN唤醒LAN唤醒功能有助于达到更高的SCCM2007活动成功率，减少工作时间内的关联网络流量，不要求计算机在工作时间外保持开机，从而有助于组织节省电源。SCCM2007中的LAN唤醒支持下列情况在配置的软件更新部署截止时间之前发送唤醒传输。在配置必需播发（可以是面向软件分发的，也可以是面向任务序列的）计划之前发送唤醒传输。带外管理仅适用于SCCM2007SP1。SCCM2007SP1中的带外管理功能为具有INTELVPRO芯片组和INTEL主动管理技术INTELAMT固件版本321或更高版本的计算机提供功能强大的管理控制。带外管理需要MICROSOFT公钥基础结构PKI并支持下列方案打开一台或多台计算机的电源（例如，在工作时间以外对计算机进行维护）。关闭一台或多台计算机的电源（例如，操作系统停止响应）。重新启动未正常运行的计算机，或从本地连接的设备或已知正常的启动映像文件来启动计算机。通过从位于网络上的启动映像文件启动或使用PXE服务器来重新镜像计算机。重新配置选定计算机上的BIOS设置，绕过BIOS密码（如果BIOS制造商支持）。启动到基于命令的操作系统，以运行命令、修复实用程序或诊断应用程序（例如，升级固件或运行磁盘修复实用程序）。配置计划的软件更新部署和播发以在运行前先唤醒计算机。客户端状态报告SCCM2007R2中的客户端状态报告提供有关SCCM2007层次结构中客户端状态的最新信息。客户端状态报告在无法使用客户端诊断标准方法时有用。SQLREPORTINGSERVICESSCCM2007R2中的SQLREPORTINGSERVICES提供了一套工具和资源，可帮助您从SCCM2007控制台使用SQLREPORTINGSERVICES的高级报告功能。根据XX用户项目1期的需求，目前主要实现清单（也称为资产收集）、软件更新（也称为补丁分发）、远程工具和自定义报表。由于XX用户客户端总数2000，所以清单每天收集一次。软件更新每天300同步一次，当有新的软件更新需要分发时，建议先在小范围内（例如IT部门）作测试，测试时间1周，确定对现有环境没有影响后再大批量分发。软件更新包括安全更新、关键更新、更新程序集和SERVICEPACK。注软件更新不会验证WINDOWS和OFFICE是否为正版。远程工具主要启用远程协助。远程协助无需对方管理员密码，而且两人看到的界面是一样的。报表将根据XX用户实际需求自定义，自定义内容包括计算机名、IP地址、MAC地址，是否登录到域、登录帐号、计算机名和登录帐号是否匹配、中文名、部门、是台式机还是便携机、CPU（包括CPU核数）、内存大小、硬盘大小、硬盘个数、剩余空间、操作系统和SERVICEPACK、安装什么软件等，也可以与资产系统作整合。另外，可以给指定的用户看指定的报表。416客户端类型设计必须在要管理的客户端上安装SCCM2007客户端软件。注SCCM2007仅支持基于WINDOWS的平台。对非WINDOWS平台（如MACINTOSH和UNIX平台）的支持可由其他软件供应商作为附加产品向SCCM2007提供。您可以在台式计算机和便携式计算机（通常看作“客户端计算机”）上安装SCCM2007客户端软件。此外，您可以在服务器计算机上安装SCCM2007客户端软件并将它们作为SCCM2007的客户端进行管理。虽然服务器通常具有特定操作要求，例如允许您重新启动服务器计算机的时间与台式计算机相比可能具有更多限制，但是SCCM2007使服务器与客户端计算机之间没有功能区别。在整篇文档中，术语“客户端计算机”可以表示服务器机房中的服务器或用户桌面上的计算机。通过直接连接至网络或使用VPN或拨号访问，客户端计算机通常直接连接至组织网络。在SCCM2007中，客户端计算机还可以由SCCM2007站点管理（如果它们已连接至INTERNET但从未直接连接至组织网络）。例如，在家工作的工作人员无需拨号连接到公司网络就可由SCCM2007管理。这些客户端称为基于INTERNET的客户端，并且它们需要附加基础结构支持。SCCM2007还支持在移动设备上安装客户端组件，例如运行WINDOWSMOBILE或WINDOWSCE的设备。移动设备客户端支持许多（但不是所有）标准客户端支持的功能。例如，您可以将软件部署到客户端移动电话，但是不能使用远程控制来为移动电话用户提供疑难解答帮助。MICROSOFT支持在非传统台式计算机、便携式计算机或服务器计算机的设备上运行WINDOWS的嵌入式版本。例如，可以将WINDOWSXPEMBEDDED安装在自动取款机或医疗设备上。SCCM2007组件可以由制造商与其他嵌入式操作系统一起安装在这些设备上。设备支持许多（但不是所有）标准客户端支持的功能。本次项目只针对XX用户内网的WINDOWSXPSP2以上客户端，不管理基于INTERNET的WINDOWSXPSP2以上客户端，也不管理服务器和移动设备。417客户端安装设计SCCM2007提供了许多用于安装客户端软件的选项。下表列出了客户端计算机安装方法。客户端计算机安装方法描述软件更新点安装使用客户端的自动更新配置将客户端计算机定向到配置为SCCM2007软件更新点的WSUS计算机。客户端计算机将安装SCCM2007客户端软件，即使它是软件更新也是如此。客户端请求安装使用具有管理权限的帐户访问客户端计算机并安装SCCM2007客户端软件。此方法要求在客户端计算机上启用文件和打印共享以及相关端口。手动客户端安装具有管理权限的用户可以通过在客户端计算机上运行CCMSETUP来安装客户端软件。多种开关可修改安装选项。组策略安装使用组策略软件安装来安装CCMSETUPMSI。映像可以将客户端软件添加到映像，包括使用SCCM2007操作系统部署创建和部署的映像。软件分发可以使用SCCM2007软件分发升级或重新部署现有客户端。由于软件更新点安装只需要80出口，所以建议为首选安装方法，可根据实际需要使用其它各种方法组合。注根据实际经验，软件更新点安装会强制重启计算机而且不能取消，强制重启发生在000，如果用户下班后关机或用户即使没关机但允许重启则没有影响。另外，不管使用哪种安装方法，有些第三方软件会对安装造成影响，例如有些MCAFEE杀毒软件版本会导致SCCM客户端安装失败，有些瑞星杀毒软件版本和360安全卫士版本会导致SCCM客户端进程不能启用。我们会根据以往项目经验自定义一张SCCM客户端未安装和SCCM客户端未启用的报表。42MDT2008设计MDT2008是微软最新的解决方案加速器，它利用最先进的WIM镜像技术，再结合数据库的强大配置功能，可以实现大型企业的全自动部署。MDT2008是免费的，而且源代码也是公开的，企业可以自己的需要进行扩展。MICROSOFTDEPLOYMENTTOOLKIT2008SOURCECODEHTTP/WWWMICROSOFTCOM/DOWNLOADS/DETAILSASPXFAMILYIDF30F96EE0C69410CA0F828A2B4DE6E11DISPLAYLANGEN421部署点物理设计XX用户总部与分支机构网络带宽只有2M，想利用这2M带宽通过网络安装操作系统和应用程序显然不大可能，所以需要在总部和分支机构本地建立部署点，设计如下部署点位置杭州杭州部署点上海上海部署点成都成都部署点部署点只要添加一台服务器的共享目录即可使用，所以扩展非常方便。422部署点逻辑设计为了统一集中式管理部署点，分支机构部署点将作为总部部署点镜像点，设计如下部署点位置杭州杭州部署点上海杭州部署点镜像点成都杭州部署点镜像点考虑到总部与分支机构带宽只有2M，所以需要考虑带宽利用率问题。分支机构部署点建议初期需要同步总部部署点的操作系统和应用程序，此时同步数据量非常大，这些同步是一次性，所以建议分批在非工作时间同步，例如2200600。平时运维时只同步变化的部分，而不是整个部署点。423操作系统版本设计XX用户大多数终端操作系统版本是WINDOWSXPSP2简体中文专业版，本次操作系统使用WINDOWSXPSP3简体中文专业版。424操作系统安装格式设计操作系统安装格式分为三类，分别为源文件WIM镜像WDS镜像源文件就是平常使用的光盘安装，虽然兼容性最好，但效率最低，不适合XX用户的快速部署需求。WIM镜像就是将安装好的操作系统（含安全设置和应用程序）做成WIM镜像，以后通过WIM镜像进行快速部署。WIM技术也是微软最新的镜像技术，广泛应用于WINDOWSVISTA、WINDOWS2008和WINDOWS7中。WDS镜像也是一种镜像技术，对于XX用户不适用。所以XX用户使用WIM镜像格式。425应用程序设计应用程序分为公用应用程序和非公用应用程序。公用应用程序每台终端都安装的应用程序（以下名单由XX用户提供，可能有变更）用途随新机部署预装软件微软拼音搜狗拼音输入法谷歌拼音输入法输入法极品五笔V67IE60SP1浏览器傲游旺旺（淘宝版）LIVEMSN即时通讯旺旺（贸易通）安全控件XX用户控件PDF阅读ADOBEREADER90压缩软件WINRAR37OFFICE2007（看注释）OFFICE相关OFFICEVISIO2007安全软件SYMANTECSEP110字典谷歌金山词霸合用版软电话SOFTPHONE（非所有部门）电子银行招行专业版WEB控件VPNCLIENT公司VPNCLIENT媒体播放暴风影音、MEDIAPLAYER非公用应用程序例如资金部软件只要在资金部安装就行了。非公用应用程序必须支持无人值守安装，否则整个部署就不能全自动完成。一般的应用程序都提供无人值守安装，个别应用程序不能无人值守安装则可以通过专业打包软件完成。注本次项目只安装商业免费软件和正版软件。426通用镜像设计正如前面所述，操作系统使用WIM镜像格式，但如果一种机型一种镜像则会对IT部门带来非常大的工作量，所以必须设计成通用镜像，至少在80以上机型可以安装使用。这个镜像还应该被设计成最安全的，所以启用如下策略启用一些安全策略安装DCT以便以后做更细微的策略控制安装WINDOWSXPSP3以后所有的软件更新启用WINDOWSXP自带防火墙安装防病毒并升级到最新病毒库由于每台终端都要安装公用的应用程序，所以把公用的应用程序直接打包在通用镜像中。注如果公用的应用程序版本变更非常频繁，则不建议将该程序打包在通用镜像中。本次项目POC时用3台不同型号的台式机和3台不同型号的便携机来测试通用镜像。427驱动程序设计XX用户现在有10多种机型，以后还会不断增多，如果每增加一种机型就需要修改通用镜像特别费时费力，所以需要把驱动程序从通用镜像中独立出来，以后只要维护驱动程序就可以了。428部署方式设计部署方式支持如下方式网络启动网络部署CD光盘启动网络部署CD/DVD部署U盘/移动硬盘部署本次项目只设计网络启动网络部署429自动部署设计自动部署尽量减少手工操作，本次自动部署有两步需要手工操作按F12确认从网络启动输入用户名和密码确认是合法的用户以后的过程全部自动完成，包括自动格式化C盘自动将通用镜像安装在C盘自动安装驱动程序自动根据角色安装非公用程序自动加入域指定OU根据需要是否将域用户提升为本机管理员4210数据库导入设计正常安装操作系统时要输入机器名，WINDOWSKEY等各种参数，为了实现全自动部署，这些参数事先要全部录入到数据库。MDT2008提供了图形界面录入方法，但这种方式录入效率非常低，所以需要提供一种批量导入的方法。管理员事先将一些数据整理到EXCEL，这些数据可以从已有的系统导出，例如机器名、SERVICETAG、域内OU、使用人、域帐号，部门、角色等，然后统一导入到MDT数据库。4211SERVICETAG流程设计每台计算机都有一个SERVICETAG（如果没有则需要厂家刷BIOS）而且是唯一的，部署时根据SERVICETAG作为唯一标识。如果部署时SERVICETAG没在数据库则部署过程终止并弹出对话框通知管理员。4212角色流程设计不同的角色安装不同的应用程序集列表。例如资金部安装资金部相关的软件，开发部安装开发部相关的软件。4213计算机型号流程设计计算机更新非常快，难免会出现新购计算机的驱动程序未及时导入到MDT驱动库。如果部署时没有该型号的驱动程序，则弹出对话框通知管理员，然后部署继续，一旦部署完成后由管理员手工安装驱动程序，管理员确认驱动没有问题后再导入到MDT驱动库。4214安装标志流程设计用户自助部署时需向IT部门提交申请，管理员确认后会修改安装标志，只有安装标志允许的计算机才允许部署，否则自动部署过程终止并弹出对话框通知管理员。成功部署完成后自动重置安装标志为否。注重置安装标志需要对数据库写操作，可能造成安全隐患，所以通过调用WEBSERVICE完成。4215磁盘规则设计旧机磁盘规则一个硬盘两个以上分区第一个主分区大于20G新机磁盘规则一个硬盘删除所有分区（含出厂自定义分区）第一个主分区20G其它扩展分区第一个逻辑分区30G其它作为第二个逻辑分区4216归库流程设计员工将计算机归还时称为归库。归还时计算机上可能留有重要数据，这些数据并不希望下一位使用者/借用者看到，所以需要归库处理。归库时，管理员设置归库标志，部署时计算机根据新机磁盘规则格式化，格式化完成后部署过程正常结束。成功归库完成后自动重置归库标志为否。注重置安装标志需要对数据库写操作，可能造成安全隐患，所以通过调用WEBSERVICE完成。4217新旧机器标志流程设计新旧机器标志由管理员手工维护。部署时发现新机器标志时，按照新机磁盘规则处理，然后全自动部署。部署完成后自动重置新旧机器标志为旧。部署时发现旧机器标志时，按照旧机磁盘规则处理，如果符合则全自动部署，否则部署过程终止并弹出对话框通知管理员43终端安全设计431用户权限设计根据最小权限最大安全原则，设计如下尽量只给DOMAINUSERS组权限定期重置本机管理员密码定期禁用本机GUEST帐号根据用户分类定期权限受限，例如使用受限组432个人防火墙设计WINDOWSXPSP2以上的个人防火墙基于WINDOWS内核，安全性非常高，一般没有必要安装第三方防火墙。建议如下启用WINDOWSXP自带防火墙，开启防火墙日志强制开启共享目录，但只有指定服务器列表才能访问。如果用户需要交换资料，建议通过邮件、服务器中转站，旺旺传输等实现433软件更新设计通过SCCM实现。434防病毒软件设计对于没有安装防病毒软件的列表，通过SCCM自动分发防病毒软件。435屏幕保护设计有些用户临时走开不习惯锁定计算机，这可能会泄漏企业敏感信息，建议启用屏幕保护，设计如下高层领导屏保30分钟普通员工屏保10分钟资金部屏保3分钟436日志审计设计开启每台终端的日志审计，特别是安全事件审计，审核成功与失败，时间保留三个月。437MBSA设计通过MBSA定期扫描域内所有终端，根据MBSA报表改进安全性。438DCT设计DCT是组策略的增强，特别适用安全性非常高的终端，例如对于资金部的终端，通过配置DCT设计如下不能看到C盘，更不能操作C盘只能操作指定数据盘，例如只对D盘有读写权限不能使用移动存储只能使用白名单程序通过IE只能访问白名单列表439应用程序设计很多终端安全问题是由第三方应用程序引起的，所以需要合理规范应用程序名单。应用程序分类如下白名单企业授权可以安装的软件黑名单企业明确禁用的应用软件灰名单企业可以忽略的应用软件设计如下白名单通过MDT新机部署时安装，或通过SCCM软件分发实现。黑名单通过SCCM定期执行删