桌面终端标准化解决方案

谈IT桌面标准化企业的IT桌面支持服务是企业IT部门的工作内容之一，其技术含量不高，但工作繁重，长期占用IT人员大量的时间和精力。

如何提高质量和效率，是实现高质量IT服务管理的关键任务。

1 引言企业IT服务管理通常分服务器、网络设备及链路、终端桌面3大块。

其中的IT桌面支持是技术含量最低，但未经有效管理的的桌面将引发大量问题，其支持服务的工作量会很大，占用IT部门大量资源，给IT维护人员带来了巨大压力。

2 桌面管理现状(1)桌面分散部署，难以提供及时有效的现场支持。

随着企业扩张，桌面数量不断增加，地理位置分散，抵达现场越来越困难，故障响应时间随之延长。

众多分支机构多未配备专职驻场IT工程师，存在管理盲点。

(2)用户用户权限过大，随意修改系统配置项目，任意下载、安装非办公用软件，不利于系统稳定运行。

软件之间的依赖／冲突关系复杂，维护人员难以及时分析定位、排除故障，(3)由于办公桌面环境包含大量的应用程序和参杂着用户的个性化信息数据，使得环境构成各不相同，业务数据的备份与还原难于规范化、自动化。

(4)公司机密信息管控难以管控。

员工的终端桌面中往往存有企业商业机密数据。

企业沿用传统行政管理手段。

如张贴机密信息访问安全守则；禁止员工携带移动存储设备；规定只有特定的终端能够访问机密，敏感信息，使用视频监控等等。

这些手段都是被动防护手段，只能在事后追查，却不能及时预防。

(5)用户安全意识淡薄，不安装杀毒软件，或系统补丁、病毒库更新不及时，众多系统漏洞的存在，导致病毒、木马的传播蔓延。

(6)不同时期、不同部门、不同功用的终端，启用时间跨度大，配置差异大，基于手工作业的资产管理繁琐，时效性差，亦给IT资产进一步调配使用造成困难。

3 技术手段针对现有桌面管理的不足，提高管理水平，业界提出了通过在企业IT基础架构中普及应用桌面标准化技术，是提高IT桌面支持效率的重要技术手段。

其主要技术手段有：(1)权限回收。

禁止用户以本地管理员账号身份登录计算机，阻止用户擅自修改系统配置选项和安装非法软件，减少因用户误操作造成的故障。

北信源桌面终端标准化治理系统的准进操纵方案一、〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口；认证通过以后，正常的数据能够顺利地通过以太网端口。

网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。

在访咨询操纵流程中，端口访咨询实体包含3局部：认证者--对接进的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证效劳器--依据认证者的信息，对请求访咨询网络资源的用户/设备进行实际认证功能的设备。

二、基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，能够有效落低建网本钞票；借用了在RAS系统中常用的EAP〔扩展认证协议〕，能够提供良好的扩展性和习惯性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能，从而能够实现业务与认证的不离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵，报文直截了当承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；能够使用现有的后台认证系统落低部署的本钞票，并有丰富的支持；能够映射不同的用户认证等级到不同的VLAN；能够使交换端口和无线LAN具有平安的认证接进功能。

三、a.一台安装IAS或者ACS的RADIUS认证效劳器；b.一台安装VRVEDP效劳器；c.一个应用可网管交换机的网络环境；效劳器配置如下：进进添加/删除程序中的添加/删除Windows组件，选择网络效劳中的Internet 验证效劳2.安装IAS后，进进IAS配置界面3．右键点击RADIUS客户端，选择新建RADIUS客户端。

客户端地址为验证交换机的治理地址，点击下一步。

4.选择RADIUSStandard，共享机密为交换机中所配置的key。

点击完成。

注：接进层交换机，就需要执行100次步骤3与步骤4的动作，把100个交换机的地址与共享密码填写进往。

Symantec桌面终端标准化管理系统测试方案赛门铁克软件（北京）有限公司2013年05月文档信息属性内容文档名称：Symantec桌面终端标准化管理系统测试方案文档编号：文档版本：版本日期：文档状态：制作人：审阅人：版本变更记录版本修订日期修订人描述目录第1章桌面终端标准化管理系统简介 (1)第2章终端安全测试 (3)2.1测试时间 (3)2.2测试拓扑推荐 (3)2.2.1无防火墙环境的拓扑要求 (3)2.2.2存在防火墙环境的拓扑要求 (4)2.3测试环境要求 (5)2.3.1SEP 管理服务器软硬件配置要求 (5)2.3.2SEP 客户端软硬件配置要求 (6)2.4测试进度 (8)2.5测试双方分工界面 (8)2.6测试内容 (8)2.6.1安装测试 (9)2.6.2内存占用测试 (11)2.6.3管理能力测试 (13)2.6.4防病毒和间谍软件功能测试 (19)2.6.5主动威胁防护功能测试 (21)2.6.6网络威胁防护功能测试 (25)2.6.7升级测试 (27)2.6.8报表和监控 (29)第3章终端管理测试 (31)3.1测试时间 (31)3.2测试拓扑推荐 (31)3.2.1Altiris测试网络拓扑连接图 (31)3.3测试环境要求 (31)3.4测试内容 (33)3.4.1资产管理模块 (33)3.4.2软件分发 (36)3.4.3补丁管理 (38)3.4.4系统管理架构 (40)第4章准入控制测试 (44)4.1测试时间 (44)4.2测试拓扑推荐 (44)4.3测试环境要求 (45)4.4测试内容 (45)4.4.1交换机准入控制 (46)4.4.2网关准入控制 (48)4.4.3DHCP在准入控制 (49)4.5双方签字 (50)附图目录附图1. 桌面终端标准化管理系统的“两个维度，一个基础” (2)附图2. SEP 11.0无防火墙环境的测试拓扑 (3)附图3. SEP 11.0在防火墙环境环境下的测试拓扑 (4)附图4. Altiris测试网络拓扑连接图 (31)附图5. 交换机准入控制的网络拓扑 (44)附图6. 网关准入控制的网络拓扑 (45)表格目录表格1. SEP安装过程测试 (11)表格2. 计算机基本状况说明 (12)表格3. SEP Agent内存占用统计 (12)表格4. 计算机基本状况说明 (13)表格5. SEP Agent内存占用统计 (13)表格6. SEP管理架构及能力测试 (18)表格7. SEP防病毒和间谍软件能力测试 (21)表格8. 主动威胁扫描测试 (21)表格9. 外设控制测试 (22)表格10. 进程控制测试 (23)表格11. 注册表访问控制测试 (25)表格12. 防火墙控制能力测试 (26)表格13. IPS功能测试 (27)表格14. 安全定义和软件版本升级测试 (29)表格15. 报表和全局监控测试 (30)表格16. 资产管理功能测试 (36)表格17. 软件分发功能测试 (38)表格18. 补丁管理功能测试 (40)表格19. 系统管理架构测试 (43)表格20. 交换机准入功能测试 (48)表格21. 网关准入控制功能测试 (49)第1章桌面终端标准化管理系统简介为了提高国家电网信息安全管理水平，规范内部网终端管理流程，保证内部网信息系统的通畅、高效、安全运行，国家电网探索建立一个桌面终端标准化管理系统。

1、密码安全：开始运行gpedit.msc--组策略--计算机设置--安全设置---帐户策略详细如图1；帐户锁定策略如图22、屏幕保护程序：禁止终端更改屏幕保护，具体操作如下：桌面右键：设置如图：电源管理：两个“从不”下一步：开始--运行gpedit.msc--组策略--用户设置--管理模板-控制面板--个性化--阻止更改屏幕保护程序--勾选已启用--确定3、禁用游戏：开始--运行gpedit.msc--组策略--用户配置--管理模板-开始菜单和任务栏--启用从开始菜单中删除“游戏”链接和从开始菜单中删除“最近的项目”菜单两项，确定；4、WORD、EXCEL文档不能显示最近文档，具体操作如下（图为EXCEL,WORD步骤相同）5、安装软件：路径（共享盘:\信息部\2660服务器\台式内网软件）需要手动安装的软件(1)360entlnst(杀毒)(2)电脑锁屏破解版（密码设置为101611）(3)影子系统（全部软件安装然后重启进入“完全影子模式）设置密码（建议修改为admin）：其余均为绿色软件，直接点击图标，发送到桌面快捷方式即可；设置完成后桌面要求如下：开始-运行-gpedit.msc-用户配置-管理模板-系统-可移动存储访问-服务器服务禁用server,内网电脑禁用prinet spooler打印服务，安装电脑键盘锁应用程序：，开始-右击属性-把隐私下面的两个勾去掉，开始程序下的腾讯软件及游戏删除，清空收藏夹网址，打开计算机删除左上角，访问最近访问的位置。

同时删除电脑磁盘下面的，摄像头。

安装：http://192.168.0.88:81/企业版杀毒软件（服务器）行政电脑安装http://192.168.0.254:8090/免费企业版杀毒软件。

电脑终端设置标准化流程目的：✓确保所有安装的软件符合公司安全信息管理规则，降低安全风险✓保证所有硬件、软件工作正常，不影响用户日常办公需要✓规范化流程，统一标准，降低日常维护工作量，预防故障的再次发生检查项目：1 硬件：✓台式机硬件无明显的卡机，死机，重启，蓝屏✓笔记本电脑散热正常，,无明显的卡机，死机，重启，蓝屏✓驱动程序安装正确，显卡驱动，声音，无线工作正常✓重要的、紧急的操作系统补丁安装完整2 软件安装列表：✓OS ( windows 7 32bit / windows 7 64 bit) 操作系统，必须激活✓Outlook 2010 （包括SP2补丁）✓Office 2007/Office 2010 / WPS 2013 办公软件✓Adobe PDF reader PDF阅读器✓用户业务软件（CMS 客服系统/ Live 800 / EBS / 多维）✓RTX 2013✓IE浏览器的版本保证为8.0✓VPN 软件安装（高层）✓安装杀毒软件✓*禁止安装360公司任何软件✓只能安装软件列表内运行安装的软件，不包括在软件列表的软件，必须OA流程申请（7月完成）✓未经过公司安全部门确认的软件不得随意安装3 账号：版本 4.0 制订胡圣✓协助用户激活OA 账号✓协助用户激活AD账号，并将机器加入AD，确认可以正常登陆✓将用的AD账号加入本地的Power Users 组，经理级别以上可以加入Administrator 组✓设置用户Outlook 邮箱，可以正常收发4 网络：✓LAN端口能正常获取IP地址,DNS 工作正常，可以访问OA、Email✓笔记本无线WIFI能访问公司WIFI (VIPS-CORP)，可以访问OA、Email5 手机：(高管用户)✓手机能访问公司无线(VIPS-BYOD)，能正常浏览网页✓手机、或Ipad 设置公司邮件，可以正常收发邮件✓安装公司移动OA，并设置好相关配置6 电话：✓电话线路无杂音、窜线、掉线，通话质量清晰7 打印机：✓正确安装公司了打印机或部门共享打印机✓打印测试页正常8 VPN：(高管用户)✓正确安装公司了VPN软件（windows 或Mac）✓手机安装了Token (IPhone ,Android)✓测试VPN连接正常终端安装、配置标准流程 v1.0GHOST 安装OS 镜像修改计算机名加入AD测试AD 账号能否正常登陆将用户的AD 账号加入Power users组安装用户相关的业务软件后期软件变更或调整C 盘分区必须大于80GB根据业务部门，区分32位或64位系统，目前财务和客服必须为32位系统，否则有些软件无法运行依照用户的OA 名修改计算机名，如用户的OA 账号为：Andy.Hu ，则计算机名为：Andy-Hu使用加域工具加入域，工具位于：\\192.168.78.20\public\VIP_soft\迁移工具 ，如验证请输入用户名：v i p ，密码：123首先查询用户账号是否开通：https://:8443/accountinfo 重置用户密码：https://:8443/seekpass先将用户的AD 账号加入本地的administrator 组，并用用户的账号安装所有的软件，然后再将用户的AD 账号退出本地的administrator 组，并加入Power Users ，否则部分软件安装会有问题用户的相关软件必须先了解清楚，或找他同事，或找他上司了解，所有的软件必须安装测试OK软件安装包位于：\\192.168.78.20\pu b\VIP_soft后期变更软件需要走流程，用户申请的软件必须在软件安装列表清单，禁止安装业务无关软件，需要申请的软件必须走OA 流程硬盘分区。

LＡNＤeｓｋ终端桌面安全管理解决方案简介蓝代斯克（北京)信息技术有限公司20１1年４月1 公司简介LＡＮDesk公司是业界领先的桌面设备，服务器和移动设备的管理和安全解决方案提供商。

自200２年从Inｔel拆分出来后,保持了50%以上的高速增长。

其产品线以ＬANDeｓk管理套件为核心,扩展了补丁管理器、桌面安全管理套件、系统管理器、服务器管理器、手持设备管理器等多个产品和插件。

在企业网络终端设备的管理和安全防护领域提供了全面的解决方案(见下图)。

LANＤesｋ中国分公司于2003年初在北京建立，现在在上海，广州有办事机构。

到目前为止已经发展成为具有研发,测试,销售,市场等完整架构的营运中心,员工共1２０多人，可以为国内市场的用户提供即时高效的服务和支持。

到目前为止,在银行，电信，移动，联通，交通,石化,传媒、政府等领域拥有众多的用户。

中国分公司也因为其１00%的高速增长，成为全球继北美，欧洲和日本后新的战略重心。

2 ﻬ桌面管理解决方案简介在现代企业环境下,一个IＴ的管理部门需要花费大量的人力物力来维护企业的计算机运行环境。

同时,由于计算机设备的更新和变化，财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新,从而造成设备管理的混乱还会造成时间的迟滞，影响企业的运行效率，给企业带来损失。

如何解决这些痛苦的管理问题?您需要一套高效和易于使用的桌面管理解决方案。

LAＮＤesk管理套件通过以下功能模块实现ＩT资产权生命周期的管理:资产管理功能●软硬件资产信息收集,动态掌握全网IT资产现状●可定义的资产变更警报，可以全面监控客户端的IT资产与配置的变化,例如,客户端的内存、硬盘的变化,以及ＩＰ地址的变化等等，避免企业IT资产的流失。

●自定义资产数据收集,如部门、姓名等非IT信息●全面的资产报告，集成超过１20种报表,并使用最新的自定义报告引擎，使创建自定义报表更加方便。

附件2：****保险有限公司办公电脑行为安全管控实施方案目录背景说明： (2)风险评估 (2)1、外设管控 (2)2、数据泄漏审计 (2)3、软件和进程标准化 (2)4、终端资产管理 (2)5、远程控制和协助 (3)6、非Windows电脑管理 (3)行业调研 (3)管控目标： (3)终端标准化实施方案 (5)1、硬件标准化 (5)2、AD系统实现基础软件标准化 (5)3、终端标准化工具实现高级标准化控制 (7)4、桌面防病毒标准化 (8)终端标准化管理平台 (9)背景说明：终端标准化是指对公司办公电脑进行统一硬件、统一软件，统一配置。

终端标准化便于终端集中管理和维护，提高终端系统安全，有利于故障的发现和排除，提高员工工作效率，树立企业统一形象。

终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统。

风险评估目前我公司的员工电脑使用WindowsAD域进行集中管理，通过AD域策略的管理已经实现了操作系统和用户的标准化管理，如操作系统标准化、用户终端标准化、账号审计策略等。

根据保监会《保险机构信息化监管规定》，再进一步推动办公终端的安全防护时，如数据防泄漏、介质管理、安全审计功能，通过AD域策略已经无法解决这些问题：1、外设管控为防止U盘泄露公司数据，2017年通过AD策略封闭公司计算机的USB端口。

但由于AD策略无法针对特定类型的设备进行控制，导致目前因外接打印机、扫描仪、银行U 盾等需求必须开通USB端口。

目前公司已经超过300个用户开通了USB端口，但缺少对通过U盘拷贝资料的审计工具，存在较大的安全管控风险。

2、数据泄漏审计目前公司内很多领导和员工的日常沟通使用微信、QQ等即时通信工具。

目前公司仅部署了上网行为管理，能够对用户能否使用即时通信工具进行控制，但不能审计到即时通信工具的聊天记录和文件传输。

如果公司机密信息通过QQ、微信泄露，将无法追查和审计，存在合规风险。

3、软件和进程标准化由于AD策略无法针对特定软件进行限制安装、远程卸载等功能。

第1篇摘要：随着信息技术的飞速发展，企业对办公效率和信息安全的重视程度日益提高。

桌面基础架构作为企业信息化的核心组成部分，其稳定性和安全性直接影响到企业的日常运营。

本文旨在分析当前桌面基础架构面临的挑战，并提出一套综合的解决方案，以帮助企业构建高效、安全、灵活的桌面环境。

一、引言桌面基础架构是企业信息化建设的重要组成部分，它涵盖了企业内部所有桌面终端的硬件、软件、网络、数据等多个层面。

随着云计算、大数据、移动办公等新技术的兴起，传统桌面基础架构面临着诸多挑战，如桌面运维成本高、安全性不足、用户个性化需求难以满足等。

因此，构建一套高效、安全、灵活的桌面基础架构成为企业信息化建设的迫切需求。

二、桌面基础架构面临的挑战1. 运维成本高传统的桌面基础架构采用物理机部署，需要大量硬件设备和软件许可，同时运维人员需要投入大量时间和精力进行日常维护，导致运维成本居高不下。

2. 安全性不足物理机部署的桌面基础架构存在较大的安全隐患，如数据泄露、病毒感染、恶意攻击等，给企业带来巨大的安全风险。

3. 用户个性化需求难以满足传统桌面基础架构难以满足不同用户对软件、硬件配置的个性化需求，导致用户满意度不高。

4. 移动办公需求随着移动办公的普及，传统桌面基础架构难以满足用户在外地办公的需求，限制了企业办公的灵活性。

三、桌面基础架构解决方案1. 虚拟化技术虚拟化技术是构建高效桌面基础架构的关键，它可以将物理机上的多个桌面操作系统虚拟化，实现资源的高效利用。

以下是虚拟化技术的具体实施方案：（1）采用虚拟化软件，如VMware、Citrix等，实现桌面虚拟化。

（2）建立虚拟桌面池，将桌面操作系统部署在虚拟机中，供用户访问。

（3）利用虚拟化技术实现桌面快速部署、迁移和扩展，降低运维成本。

2. 云计算技术云计算技术可以为企业提供灵活、可扩展的桌面服务，以下是云计算技术的具体实施方案：（1）采用云计算平台，如阿里云、腾讯云等，构建企业桌面云。

企业桌面虚拟标准化的解决方法企业随着自身IT建设的不断发展壮大，使得企业的业务竞争力得到了显著的提升。

通过业务数据的信息化和数据分析系统的投入使用，企业决策者能够比以往更加快速制定经营策略。

员工通过使用各种业务系统，加快了企业内部协同工作的效率，使得企业如一个紧密的整体，高效的协同运转，从而更好的抵抗市场传导来的瞬息万变的竞争、压力。

但随着IT环境的不断壮大，随之也带来了新的挑战。

本篇文章对企业中面临的一类挑战进行进一步的分析—办公桌面管理。

快速发展的IT建设，面临新的挑战企业办公桌面环境是让员工提高工作效率的技术手段，其上运行的各种公司办公软件、应用系统是让员工协同工作的良好工具。

但由于企业IT的不断普及，几乎大多数员工都拥有使用的电脑，这也带来了相应的管理维护上的挑战。

办公桌面管理琐碎、困难办公桌面分布在每个员工的面前，公司规模越大，办公桌面的物理分布就越广。

一旦用户使用过程中办公桌面出现问题，维护起来就会很困难。

首先由于办公桌面和不同的用户进行互动，而每个用户的使用习惯、了解IT的知识水平都不同，所以出现的问题就会千奇百怪，并且办公桌面上的应用众多，使得维护人员难以定位问题所在，维护工作非常困难。

而且办公桌面数量众多、分布有广，维护周期就会更长。

每个企业中管理维护数据中心的难度都不会比维护办公环境的大。

这一点让很多公司的IT部门头疼。

用户办公桌面长时间无法恢复使用，抱怨很多当用户使用办公环境过程中经常会因为各种原因使得办公桌面不能够正常工作。

如：病毒、误删除应用系统文件、误操作等。

而由于办公桌面环境包含大量的应用程序和参杂着用户自身的个性化信息，使得环境构成各不相同，这都为IT维护人员及时定位问题的原因，带来了艰巨的困难。

更何况使用者大多数对IT知识比较缺乏，甚至连问题都有可能无法描述清楚，这种情况下办公环境也许只有重装是解决问题的唯一手段。

但对于用户来说，他们可能只是认为出的问题解决起来非常简单，维修结果的冗长必然超过了他们的期望值，同时也严重阻碍了用户的办公效率。

桌面解决方案：为现代办公带来便利与效率随着现代科技的迅猛发展，办公场所的工作方式也在不断转变，特别是在信息技术领域。

传统的已经不再满足人们对于高效办公的需求。

在这个快节奏的时代，人们需要更加灵活、便捷、安全的解决方案来提高工作效率和减少不必要的困扰。

一、云: 跨时空的便利在以往，我们依赖于固定的硬件设备来进行办公，无论何时何地，都需要使用特定的电脑来处理工作。

然而，云的出现改变了这一现状。

云桌面是基于云计算技术，将桌面环境和应用程序的运行从个人设备转移到云端服务器上，使用户能够通过互联网随时随地访问自己的工作桌面。

这种方式打破了时空的限制，为人们提供了更大的灵活性。

云不仅可以在不同设备上同步工作，还可以帮助我们避免数据丢失和设备损坏的风险。

因为所有数据都存储在云端，即使设备出现问题，我们仍然可以通过其他设备继续工作，而不会受到太大的影响。

此外，云还可以提供更好的数据安全性，通过不同的身份验证和数据加密机制，保护用户的隐私和机密信息。

二、虚拟: 释放硬件资源的巧妙方式虚拟是指将多个虚拟桌面环境运行在一台物理计算机上的技术。

在传统的办公环境中，每个员工都需要配备一台独立的电脑，这不仅占用了大量的硬件资源，还增加了IT管理的复杂性和成本。

而虚拟可以将多个员工的桌面环境运行在同一台服务器上，通过网络将虚拟桌面传输到各个终端设备上，从而减少了硬件设备的使用和维护成本。

虚拟不仅提高了硬件资源的利用率，还提供了更好的软件和数据管理。

通过集中管理和监控，IT管理员可以更加方便地对虚拟桌面进行部署、更新和维护，减少了员工个人设备上的一些常见问题，比如病毒感染和软件冲突。

此外，虚拟也为员工提供了更好的办公体验，因为他们可以随时随地在不同设备上访问自己的工作环境，而不会受到设备性能的限制。

三、移动: 助力移动办公的未来移动办公已经成为现代企业不可忽视的趋势，而移动可以将这一趋势发挥到极致。

移动是指将完整的桌面环境和应用程序运行在移动设备上的技术。