微软解决方案 生产环境桌面安全定制化工具

1、微软解决方案-生产环境桌面安全定制化工具 生产环境桌面安全定制化工具-保护企业生产终端的安全、稳定，避免企业信息的非法泄漏n 问题和挑战1、生产桌面环境的复杂多样性增加了维护难度和维护成本企业随着IT建设的发展，不断会有新的业务系统被开发出来。由于开发时间的不同，投产时所使用的桌面系统版本自然也就不同，这样就造成了生产系统环境中桌面环境参差不齐。机器性能高低不一，操作系统多种多样，致使生产环境的桌面系统维护起来非常困难。管理人员需要对各种版本的桌面操作系统都要进行了解，并形成一套维护流程。2、企业缺乏完善的手段应对层出不穷的安全挑战，保证生产桌面环境的安全、稳定运行IT技术发展突飞猛进，对计算

2、机系统的威胁、破坏手段也不断的翻新，破坏的威力也不断的增加。企业缺乏一套行之有效的手段保持、提高生产桌面环境的安全水平。目前维护人员为了保证生产系统全部符合企业的安全要求，需要增加维护措施，有些措施甚至需要进行相应的开发工作才能得以实现。此时由于桌面系统的版本、种类的多样性与易于管理维护之间的矛盾就日益明显。甚至有些时候在某些版本或种类上根本无法满足企业提出的安全要求，使得企业的要求形同虚设。3、企业缺少简单易用的方法降低生产桌面环境的维护技术难度大多数企业生产系统的现场维护人员技术水平都相对较低，因此降低维护技术难度是企业的不变追求。由于生产桌面环境直接和业务人员进行接触，系统出现的问题更加

3、难以判断。如何降低桌面环境出现问题的几率，出现问题后使用何种简单、易用的维护手段解决问题是企业追求的目标。n 解决方案概述微软提出全新的桌面安全解决方案。本解决方案通过各种机制降低现场维护人员的维护强度和对维护人员的技术水平的要求，从而节省企业的维护成本。本解决方案覆盖生产系统桌面安全维护全过程：l 桌面运行时的安全控制解决方案通过关闭所有生产桌面环境中不必要的、易受安全威胁的物理端口、逻辑通道，实现桌面环境与外界接触面的最小化，从而最大限度的降低桌面环境受攻击的几率。同时解决方案通过技术手段确保只开放操作人员所需的软件，隐藏不必要的程序，从而减少了人为误操作所带来的不必要的维护工作量。l 桌

4、面安全的及时更新解决方案提供完善的补丁分发机制，确保必须的桌面系统补丁及时升级到生产桌面环境中，从而保证桌面环境的安全水平持续处于最高状态。l 桌面被破坏后的“一键恢复”解决方案支持高级的磁盘保护功能。维护人员只需执行一次简单的计算机重启操作，就可以轻松实现误操作的快速去除，将桌面环境恢复到最近的稳定状态之上。n 方案优势和业务收益1、最为稳定的生产系统客户端环境通过使用本方案中提供的系统工具配合微软当前最为稳定的桌面操作系统，使得系统更加远离风险因素，从而进一步提高了稳定性。2、最为安全可靠的系统客户端环境本解决方案提供层层安全保护机制，首先通过屏蔽所有不必要的与外界接触的接口，将桌面环境与

5、风险因素的接触机会降到最低。当危险不幸从允许开放的接口进入系统后，本方案又提供了良好的防范和补救措施，从而保障生产桌面环境的稳定和安全。3、运维成本最低的解决方案通过提供快速恢复硬盘初始状态的功能，从而使得桌面系统环境永远处于最理想的状态。不管业务人员在桌面系统上进行了何种改动，都能很快的将系统环境还原到维护人员设定的原始状态上。减少了原来由于生产桌面系统被长时间使用而变得紊乱，从而引起其上运行的生产系统程序出现异常的现象。同样也减少了维护人员重装系统的次数，减少了维护工作量。4、最容易适应企业未来安全需求变化的解决方案微软对桌面操作系统和方案中的系统工具进行着不断的更新，以满足企业不断发展的

6、安全需求。同时解决方案为未来可能出现的新需求，预留了扩展空间，很容易进行功能扩展，来适应未来的需求变化。n 总体架构和主要功能模块特色解决方案总体架构图如下：整个解决方案主要包含客户端和服务器端两个部分：服务器端主要负责为整个生产系统中所有桌面环境进行各种补丁的分发工作。其中所阐述的补丁，不仅是操作系统的补丁，还可以是企业生产系统的补丁，甚至是生产系统自身的安装。客户端主要起到约束作用的是方案中提供的定制化工具，在它的控制之下，可以将桌面环境设定的非常安全。而由于定制化工具支持配置信息的文本化，这样就可以通过服务器端的分发能力，通过将配置脚本进行广泛分发，从而实现中心统一管理桌面系统安全环境的

7、能力。客户端通过在微软目前最先进的客户端操作系统Windows XP Professional进行相应的定制操作，从而满足企业对生产系统的安全普遍要求。具体功能特色如下：1、最大限度的减少操作系统与外界的接触面l 提供最大化终止系统服务的能力系统工具将提供一个定制化界面，它能够列举所有运行在Windows XP操作系统之上的系统服务。维护人员可以通过对列举出来的服务进行设置，以确定哪些服务需要运行，哪些服务需要停止。l 关闭所有不必要的协议、端口系统工具通过界面的设定可以很方便的控制TCP和UDP上的数据的双向流动。通过系统工具维护人员可以指定哪些TCP或UDP端口允许单向或双向打开，而且还可

8、以设定允许访问的IP网段。这样可以达到只允许指定应用程序进行数据沟通，其它信息全部被禁止的效果，从而减少了桌面环境与外界的接触面。l 对所有可能外设端口进行禁用象CD-ROM、串口、并口、USB口、1394端口和网卡端口等，都可能成为恶意代码进入操作系统的入口，为了最大限度的保证系统的安全性，系统工具提供禁用外设端口的功能。同时对于那些企业生产系统特有的设备，系统工具能够让维护人员对其进行定制化管理控制。2、能够约束用户操作行为l 用户管理系统工具可以为用户帐户添加或删除一个用户配置文件，详细说明每个用户配置文件存储在计算机硬盘中的位置（C盘受保护或D盘不受保护）。用户始终拥有可以在不受保护的

9、分区上做任意的修改的权限，并拥有每次重新启动时刷新受保护的分区的权限。l 系统访问权限此功能可以比以往更加细致的设置每个用户对Windows XP中各项权限。 限制本地用户配置文件访问系统资源或使用特殊的Windows功能 控制计算机上任何可运行程序的访问（包括外部媒体播放器） 限制未授权软件的运行 控制Microsoft Office系统权限（比如，不能应用macros和Visual Basic） 限制开始菜单，用户只能看到需要使用的程序和图标3、能够防止恶意代码对桌面系统的破坏对于生产环境的桌面系统而言，关键硬件和关键应用是最容易被修改和破坏的。系统工具中通过对磁盘进行保护可以大大提升磁盘

10、的防御能力，从而实现防止恶意代码对桌面系统的破坏。其主要功能有：l 帮助保护windows操作系统分区不被随意修改l 每次重新启动时，根据近期默认设置清除被保护分区的内容l 桌面系统管理员可以随时存储对被保护分区的修改l 能够将系统更新和新病毒库签名自动保存到受保护的分区中系统维护人员在安装好一台生产系统的桌面环境后，通过磁盘保护功能，将安装有操作系统和应用程序的分区进行防御保护设置。不同权限帐号登录的桌面运行环境中，任何程序、人员无法对设定为保护的分区进行内容修改。这样就可以保证恶意代码不会破坏桌面系统环境。4、应该具有快速恢复的能力即使当桌面系统不慎被用户人为或应用系统自动进行了修改。很多

11、企业希望能够通过一种很方便的方式将改乱的桌面系统快速恢复成最先安装好的状态。本解决方案可以实现上述要求。通过系统工具的相应设置，可以实现：l 每次重新启动时，根据近期默认设置清除被保护分区的新增内容l 每个用户session结束之后系统会自动还原下列各项： 对桌面的修改（包括工具栏，开始菜单或桌面壁纸） 保存在配置文档中的文件 对Internet历史记录，我的收藏夹或密码的修改 对程序的个性化修改5、确保生产信息在未经授权的情况下无法从桌面操作系统上流失系统工具能够将个人电脑上所有可以输出数据的端口列举出来，维护人员可以通过在界面上进行设置，确定哪些端口应该被完全禁用或禁止其输出数据的能力。这

12、样在此桌面系统中停留的生产信息就无法从电脑中拷贝出来。工具为维护人员提供快速设定的手段。如全部完全禁用；除了选择的端口外其它端口全部禁止数据输出功能等。同时工具提供手段让维护人员手工将未被识别为输出数据端口的系统设备设置成为输出数据端口，以便加入到是否屏蔽的管理范畴中。6、提供便利的手段对制定好的安全约束进行大规模布置本系统工具提供将配置信息形成定制化脚本的功能。这样当维护人员在一台样机上完成安全配置后，系统工具可以将维护人员设定好的信息以XML的方式保存成为一个配置脚本。解决方案利用上述特性，在微软SMS系统将系统工具和定制好的配置脚本自动分发的各生产桌面环境，然后通过SMS的自动运行脚本功能将大批量客户端操作系统配置成符合企业安全要求的生产桌面环境。n 解决方案微软产品实现方案中各种产品的功能特色如下：支撑方案的微软产品主要用途和特点建议数量单价Windows XP Pro微软当前最为安全可靠的桌面操作系统，可以为企业提供最为稳定、可靠、高效的桌面环境。100Desktop Customiza