IT终端安全标准化总体方案

XX用户IT-终端安全标准化-1期总体方案文档目录1.总体概述11.1.项目概述11.2.项目目标11.3.项目范围11.4.项目意义21.5.设计原则22.需求分析33.方案概述33.1.方案介绍33.2.方案优势33.3.总体方案34.详细设计44.1.SCCM 2007设计44.1.1.站点物理设计44.1.2.站点逻辑设计54.1.3.站点代码和站点名称设计64.1.4.站点系统设计74.1.5.功能设计114.1.6.客户端类型设计174.1.7.客户端安装设计184.2.MDT 2008设计194.2.1.部署点物理设计194.2.2.部署点逻辑设计204.2.3.操作系统版本设计204.2.4.操作系统安装格式设计204.2.5.应用程序设计214.2.6.通用镜像设计224.2.7.驱动程序设计234.2.8.部署方式设计234.2.9.自动部署设计234.2.10.数据库导入设计244.2.11.Service Tag流程设计244.2.12.角色流程设计244.2.13.计算机型号流程设计254.2.14.安装标志流程设计254.2.15.磁盘规则设计254.2.16.归库流程设计264.2.17.新旧机器标志流程设计264.3.终端安全设计264.3.1.用户权限设计264.3.2.个人防火墙设计274.3.3.软件更新设计274.3.4.防病毒软件设计274.3.5.屏幕保护设计274.3.6.日志审计设计274.3.7.MBSA设计284.3.8.DCT设计284.3.9.应用程序设计284.4.部署流程设计284.4.1.新装终端流程设计294.4.2.已有终端流程设计294.5.硬件设计304.6.软件设计314.7.权限设计315.项目计划325.1.项目进度325.2.项目人员325.3.文档交付326.培训计划337.技术支持337.1.解决事件347.2.远程诊断与调试347.3.紧急现场服务34IV1. 总体概述1.1. 项目概述随着XX用户人员不断递增，而且业务对安全IT环境的要求也不断提高，这就要求企业的IT基础架构要能满足不断变化的扩展性和安全性的需求。本文是上海xx公司和XX用户在多次交流基础上，上海xx公司根据XX用户现状和以往类似项目经验整理而成。文档参考：XX用户IT-终端安全标准化-1期-标准需求说明书-v2.0。1.2. 项目目标基本目标 终端部署标准化-企业终端集中式部署 终端应用标准化-终端上的应用程序安装标准化 终端安全标准化-按照企业规划的安全配置实现标准化扩展目标 与资产统计做流程整合 与HR人员生命周期做流程整合1.3. 项目范围 在杭州和上海建设终端管理平台 实现终端安全标准化 实现流程自动标准化 指定顾问服务1.4. 项目意义 加强整体环境安全性 提高员工工作效率 增强终端可管理性 减少IT部门重复工作量 提升IT部门服务水平 IT部门投入到更有价值的工作中去 降低公司整体管理成本 促进以ITIL为核心的管理模式的建立1.5. 设计原则先进性采用当前世界先进的软件产品以及模块化的软件设计，从而保证系统在技术上领先。开放性系统保证可以集成不同设备厂商、系统或平台供应商、软件供应商产品。系统的设备管理、系统扩容和业务维护不依赖于单一设备厂商、系统或软件供应商的产品。可靠性系统能够稳定运行，防止单点故障。安全性应该充分考虑整个系统运行的安全策略和机制，可以根据不同的业务要求和应用处理，建立不同的安全措施，保证数据的安全。经济性尽量利旧现有软硬件设备以节约投资。2. 需求分析详见XX用户IT-终端安全标准化-1期-标准需求说明书-v2.0（含xx公司应答）。3. 方案概述3.1. 方案介绍根据对XX用户的需求分析，我们推荐使用微软如下解决方案：System Center Configuration Manager 2007（以下简称SCCM 2007）Microsoft Deployment Toolkit 2008 （以下简称MDT 2008）Desktop Customization Toolkit（以下简称DCT）3.2. 方案优势 市场占有率最高 投资回报率高 微软可以提供全面的解决方案 产品兼容性好 产品扩展性好 管理员上手快 后续支持资源多3.3. 总体方案4. 详细设计4.1. SCCM 2007设计SCCM 2007是大多数企业使用的终端管理平台，通过减少手动任务来提高IT工作效率，从而使企业能够集中在高价值项目上，最大程度地实现了硬件和软件投资。4.1.1. 站点物理设计站点定义管理控制的范围，它使用边界来确定属于该站点的客户端，使用站点有助于站点间的带宽利用率。从物理上分类，SCCM 2007站点分为主站点和辅助站点。注：主站点和辅助站点在安装时决定，安装完成后不能更改。主站点安装的第一个SCCM 2007站点必须是主站点。主站点将其自身及其下所有站点的SCCM 2007数据存储在SQL Server数据库中。这称之为SCCM 2007站点数据库。主站点具有称为SCCM 2007控制台的管理工具，使SCCM 2007管理员可以直接管理站点。辅助站点辅助站点没有SCCM 2007站点数据库。它连接到主站点并向其报告。辅助站点由SCCM 2007管理员运行连接到主站点的SCCM 2007控制台来管理。 辅助站点将它从SCCM 2007客户端收集到的信息（如计算机清单数据和SCCM 2007系统状态信息）转发到其父站点。然后，主站点将主站点和辅助站点的数据都存储在SCCM 2007站点数据库中。使用辅助站点的优点在于，它们不需要额外的SCCM 2007服务器许可证，也不会产生维护额外数据库的开销。辅助站点是从它们所连接的主站点进行管理的，因此它们经常用于没有本地管理员的站点。辅助站点的缺点在于：它们必须连接到主站点，要移动到其他主站点，必须先删除此站点，然后重新创建。此外，在层次结构中辅助站点之下不再有站点。XX用户总部和分支机构的带宽只有2M，所以必须规划站点物理设计，建议如下：站点类型杭州主站点上海辅助站点成都辅助站点4.1.2. 站点逻辑设计从逻辑上分类，站点分为父站点和子站点，其中最上层称为中央站点。父站点父站点是层次结构中连接了一个或多个站点的主站点。只有主站点可以有子站点。辅助站点只能是子站点。父站点包含其较低级别站点的相关信息，如计算机清单数据和SCCM 2007系统状态信息，并且可以控制子站点上的很多操作。 子站点子站点是连接到层次结构中其上站点的站点。此站点向其父站点报告。子站点可以只有一个父站点。SCCM 2007将从子站点收集的所有数据复制到其父站点。子站点可以是主站点，也可以是辅助站点。中央站点中央站点没有父站点。通常，中央站点有子站点和孙站点，并聚合其所有客户端信息以提供集中式管理和报告。没有父站点和子站点的站点仍称为中央站点，也可称为独立站点。由于杭州是主站点，上海和成都是辅助站点，所以站点逻辑设计如下：站点层次杭州父站点/中央站点上海子站点成都子站点4.1.3. 站点代码和站点名称设计站点代码和站点名称用于识别和管理SCCM 2007层次结构中的站点。在SCCM 2007控制台中，站点代码和站点名称以 - 的格式显示。站点代码仅应在SCCM 2007层次结构中使用一次。如果为SCCM 2007扩展了Active Driectory，并且站点正在发布数据，则在Active Directory林中使用的站点代码必须是唯一的，即使这些站点代码在不同的SCCM 2007层次结构中使用。部署SCCM 2007层次结构之前，确保仔细规划站点代码和站点名称。在SCCM 2007安装过程中，对于每个主站点和辅助站点安装，系统均会提示您提供站点代码和站点名称。站点代码必须唯一标识层次结构中的每个SCCM 2007站点。由于某些SCCM 2007组件在文件夹名称中使用站点代码，您在SCCM 2007安装期间不应将AUX、CON、NUL或PRN之类的Microsoft Windows保留名称指定为站点代码。注：SCCM 2007安装程序不会验证所输入的站点代码是否已不在使用。要在SCCM 2007安装期间输入站点的站点代码，您必须输入三个字母数字字符。当指定站点代码时，只允许使用字母A到Z、数字0到9或两者的组合。字母或数字的顺序对站点之间的通信没有影响。例如，没有必要将主站点命名为 ABC，而将辅助站点命名为DEF。站点名称是站点的友好名称标识符。在站点名称中仅使用标准字符A到Z、a到z、0到9以及连字符(-)。注：不支持在安装之后更改站点代码或站点名称。可根据XX用户的命名规范设计站点代码和站点名称，建议如下：站点代码站点名称杭州PHZXX用户杭州站点上海PSHXX用户上海站点成都PCDXX用户成都站点其中PHZ是AliPay Hangzhou的简写。PSH是AliPay Shanghai的简写。PCD是AliPay Chengdu的简写。4.1.4. 站点系统设计每个站点包含一个站点服务器和一个或多个站点系统。站点服务器指安装SCCM 2007的计算机，而且宿主SCCM 2007所需的服务。站点系统指任何运行受支持的Microsoft Windows版本的计算机，或宿主一个或多个站点系统角色的共享文件夹。站点系统角色指能够使用SCCM 2007或SCCM 2007的功能所需的功能。多个站点角色可以在一个站点系统上进行组合，包括在站点服务器上运行所有站点角色，但是这通常仅适用于很小的简单环境。下表简要描述了每个站点系统角色。站点系统角色描述必需？站点服务器为其上成功运行了SCCM 2007安装程序的服务器分配的角色。是。每个站点必须只有一个站点服务器角色。站点数据库服务器为运行Microsoft SQLServer 并宿主SCCM 2007站点数据库的计算机分配的角色。您只能使用Microsoft SQL Server 2005/2008 的 Standard 或 Enterprise Edition 来宿主站点数据库。SQL Server 2005 Express 不是用于宿主站点数据库的 SQLServer2005 的受支持版本。每个主站点都需要站点数据库服务器角色，但是辅助站点不需要。SCCM 2007控制台运行SCCM 2007控制台的任何计算机。否。安装期间，主站点服务器上会默认自动安装SCCM 2007控制台。您可以在远程计算机（例如SCCM 2007管理员的工作站）上安装其他SCCM 2007控制台。但是，某些组织使用SCCM 2007软件开发工具包 (SDK) 来编写自己的用户界面，从不使用SCCM 2007控制台。SMS 提供程序计算机SCCM 2007控制台不直接访问数据库，而是使用 Windows 管理规范 (WMI) 作为中间层。SMS 提供程序是SCCM 2007的 WMI 提供程序。对主站点来说是的。在安装主站点时，您可以选择将宿主 SMS 提供程序的计算机，通常是站点服务器或站点数据库服务器。组件服务器宿主要求安装特殊SCCM 2007服务的SCCM 2007站点角色的任何计算机。不需要安装特殊SCCM 2007服务的唯一站点系统角色是分发点。分发点存储客户端要安装的包的站点系统角色。下列功能需要此角色：软件分发、软件更新以及操作系统部署中使用的播发任务序列。回退状态点此站点系统角色从无法正确安装、无法分配到SCCM 2007站点或无法与其分配的管理点安全通信的客户端收集状况消息。此角色不是必需的，但是对解决客户端问题很有帮助。管理点此站点系统角色在SCCM 2007客户端和SCCM 2007站点服务器之间充当主要联系点。每个有 Intranet 客户端的站点必须有一个默认管理点，但是默认管理点可以是多个配置为管理点的站点系统的群集。PXE 服务点此站点系统角色配置为响应那些网络接口卡配置为允许 PXE 启动请求的计算机，并从其上启动操作系统部署。仅使用 PXE 启动请求的操作系统部署需要此角色。报表点此站点系统角色宿主报表查看器组件，用于基于 Web 的报表功能。仅使用报表功能时需要此角色。报表在诊断客户端问题时通常很有帮助。服务器定位器点此站点系统角色为SCCM 2007客户端查找管理点。某些客户端部署方案需要此角色。软件更新点为运行Microsoft Windows Server Update Services (WSUS) 的计算机分配的站点系统角色。仅软件更新功能需要此角色。状态迁移点此站点系统角色在计算机迁移到新的操作系统时存储用户状态数据。当迁移用户状态时，操作系统部署需要此角色。系统健康验证程序点为运行网络策略服务的计算机分配的站点系统角色。仅SCCM 2007网络访问保护功能需要此角色。SCCM 2007 SP1 的附加站点系统如果您已升级到SCCM 2007 SP1，则可能需要下表中所描述的附加站点系统来支持Service Pack中添加的额外功能。站点系统角色描述必需？资产智能同步点用于连接到 System Center Online以管理资产智能目录信息更新的站点角色。仅当Microsoft SA许可证客户将System Center Online与本地资产智能目录同步时需要。带外服务点发现、设置和管理具有管理控制器的台式计算机（例如基于AMT的计算机）的站点系统角色。仅带外管理功能需要此角色。SCCM 2007 R2的附加站点系统如果您升级到SCCM 2007 R2，则可能需要下表中所描述的附加站点系统来支持R2版本中添加的额外功能。站点系统角色描述必需？Reporting Services 点分配给运行SQL Reporting Services的计算机的站点系统角色。仅当想要使用SQL Reporting Services来报告SCCM 2007 R2 数据时需要。将SCCM 2007 R2 报表与SQL Reporting Services集成可带来更丰富的报告体验。但是，报表点仍然运行，且不需要SQL Reporting Services或Reporting Services点。客户端状态报告主机系统尽管客户端状态报告主机系统站点系统角色实际上不是在SCCM 2007控制台中配置的站点系统，但可以将它添加到客户端或服务器计算机以向站点服务器返回有关它监视的客户端计算机的报告。仅当使用客户端状态报告功能时需要。根据XX用户需求，站点系统设计如下： 管理点 分发点 软件更新点 报表点考虑到XX用户客户端总数2000，所以可以将需要启用的角色装在一台PC服务器上。由于站点系统角色可以很方便的通过添加服务器添加，所以扩展也非常方便。4.1.5. 功能设计如果您安装了SCCM 2007站点但没有配置任何功能，则此站点基本上无用。功能使SCCM 2007真正发挥作用。您可以只安装一个功能，也可以安装多个功能。一些功能依赖于其他功能，例如，网络访问保护要求首先运行软件更新功能。SCCM 2007中提供下列功能： 管理员控制台 集合 清单 查询 报表 软件分发 软件更新 软件计数 移动设备管理 操作系统部署 所需的配置管理 远程工具 网络访问保护 LAN 唤醒 带外管理 客户端状态报告 SQL Reporting Services管理员控制台SCCM 2007控制台是SCCM 2007管理员使用SCCM 2007最常见的方式，但一些组织也使用软件开发工具包 (SDK) 来构建自定义用户界面，很多管理员则编写脚本来更有效地管理重复性任务。 您可以从站点服务器运行控制台，或者，在桌面或咨询台计算机上安装其他控制台以方便管理。一个控制台可以管理多个站点，多个控制台也可以管理一个站点。SCCM 2007控制台作为Microsoft 管理控制台 (MMC) 管理单元运行，但必须在计算机上运行SCCM 2007安装程序以使管理单元可用。 集合集合代表一组资源，不仅可以包括计算机，还可以包括Microsoft Windows 用户和用户组以及其他发现的资源。集合使您可以将资源组织到方便管理的单元、创建组织结构，在逻辑上表示要执行的任务类型。集合还可以充当同时在多个资源上执行SCCM 2007操作的目标（例如软件分发或软件更新）。集合的成员身份可以是直接或基于查询的。基于查询的集合功能非常强大，因为它们可以根据条件将任何资源分组到一起。例如，如果您希望仅在具有 1 GB 可用磁盘空间和 1 GB RAM 的计算机上部署Microsoft Office 2007，则可以创建一个集合，对数据库中的SCCM 2007清单信息进行查询。 清单您可以配置SCCM 2007以在SCCM 2007客户端上列出硬件清单和软件清单。硬件清单提供有关每台计算机的系统信息（如可用磁盘空间、处理器类型和操作系统）。您可以通过修改 SMS_def.mof 文件来配置硬件清单返回的信息。软件清单代理为您提供客户端计算机上存在的清单文件类型和版本等信息。软件清单本身只返回文件类型列表，但结合资产智能目录中的软件清单信息，您可以创建有关您环境中使用的应用程序的报表。软件清单还可以收集数据库中文件的副本，但仅建议用于不经常更改的小文件。 查询SCCM 2007中的查询功能使用 WBEM 查询语言 (WQL) 来查询站点数据库。查询结果在SCCM 2007控制台中返回，您可以使用 MMC 导出列表功能导出查询结果。查询也可用于创建满足查询条件的资源集合。 报表报表是对许多其他SCCM 2007功能的支持功能。报表将返回到浏览器的网页中。不需要进行编程，但有关创建 SQL 查询的知识将非常有帮助。使用报表功能，您可以创建显示您已收集的清单或已成功部署的软件更新的报表。您还可以创建仪表板，其中综合了多个不同的信息视图。可使用多个预创建报表以支持常见的报表方案。有关每个功能所提供的报表的详细信息，请参阅功能文档。 软件分发软件分发允许您将任何内容传递到客户端计算机。软件分发中的包可以包含部署软件应用程序的源文件以及被称为程序的命令，告诉客户端要运行哪些可执行文件。单个包可以包含多个程序，每个程序均配置为以不同的方式运行。包还可以包含命令行以运行客户端上已经存在的文件，无需实际包含其他源文件。注：SCCM 2007可以导致在客户端上运行任何可执行文件，但是务必要了解，SCCM 2007并不实际打包可执行或源文件。SCCM 2007与送货员类似；它将软件或命令传递给客户端，但是命令必须能够独立于SCCM 2007在客户端上运行。如果软件或命令没有SCCM 2007软件分发就无法运行，则不会使用软件分发运行。SCCM 2007使用播发来指定哪些集合接收程序和包。 软件更新软件更新功能提供了一组工具和资源，可帮助管理跟踪软件更新并将其应用到企业中的客户端计算机的复杂任务。SCCM 2007中的软件更新要求安装 Windows Server Update Services (WSUS) 服务器，并使用其扫描客户端计算机是否有适用的软件更新。管理员查看环境中需要哪些更新，并创建包含这些软件更新的源文件的包和部署。随后，客户端从分发点安装软件更新，并将其状态报告回站点数据库。 软件计数软件计数允许您收集和报告软件程序使用数据。这些报表提供的数据可供组织内的很多组使用，如 IT 部和公司采购部。SCCM 2007中的软件计数支持下列情况： 确定要使用哪些软件应用程序以及使用者。 确定指定软件应用程序的并发使用数。 确定实际的软件许可证要求。 确定冗余的软件应用程序安装。 确定可进行重新定位的不使用的软件应用程序。移动设备管理支持移动设备作为SCCM 2007客户端。针对文档用途，移动客户端被视为单独的功能。移动客户端可运行SCCM 2007功能的子集（如清单和软件分发），但不能通过远程控制来管理，也不能象桌面客户端那样接收操作系统部署。 操作系统部署操作系统部署允许您在计算机上安装新的操作系统和软件。您可以使用操作系统部署将操作系统映像安装到全新或现有的计算机，以及没有连接到SCCM 2007站点的计算机。通过使用任务序列和驱动程序目录，操作系统部署使您可以使用一个可安装在各种类型计算机和配置上的动态映像来安装软件，从而简化了新计算机的安装。操作系统部署为将操作系统映像部署到计算机提供下列解决方案： 提供安全的操作系统部署环境。 通过允许一个映像工作在不同计算机硬件配置下，协助管理部署映像的成本。 协助统一部署策略，以帮助为将来的操作系统部署方法提供稳固的部署基础。所需的配置管理所需的配置管理允许您定义配置标准和策略，审核整个企业对已定义配置的符合性。Microsoft 和其他供应商提供的最佳方案配置可以MicrosoftSCCM 2007配置包的形式使用。随后，可对这些配置包进行改进以满足自定义的业务需要。此外，所需的配置管理支持自定义配置的创作环境。此功能旨在为组织内的多个组提供数据，包括 IT 部和公司安全部。所需的配置管理支持下列情况： 检测生产服务器配置漂移并确认设置的服务器是否满足预期的构建要求。 为咨询台提供可能的原因信息，缩短事件的解决时间 (TTR) 并针对问题提供可能的原因分析 报告与法规策略和内部安全策略的符合性 提供更改验证并跟踪远程工具SCCM 2007中的远程工具包括的远程控制功能允许具有足够访问权限的操作员远程管理SCCM 2007站点层次结构中的客户端计算机。您可以使用远程控制来解决客户端计算机上的问题，并在需要访问用户计算机时提供远程咨询台支持。网络访问保护网络访问保护 (NAP) 是 Windows XP SP3、Windows Vista 和 Windows Server 2008 操作系统内置的策略强制平台，帮助您通过强制符合系统健康要求来更好地保护网络资产。您可以配置 DHCP 强制、VPN 强制、802.1X 强制、IPSec 强制或所有的四种强制，具体取决于您的网络需求。SCCM 2007中的网络访问保护可与 Windows Server 2008 上的 Windows 网络策略服务器 (NPS) 配合使用，通过客户端修正来强制软件更新符合性。网络策略允许您限制对客户端的网络访问，直到它们具有您指定为必需的软件更新。注：网络访问保护不是设计用于保护网络免受恶意用户的攻击。而是旨在帮助管理员保持网络中的计算机的健康，反过来帮助维护网络的整体完整性。网络访问保护不会防止授权用户使用符合的计算机将恶意程序上载到网络或执行其他不适当的行为。LAN 唤醒LAN 唤醒功能有助于达到更高的SCCM 2007活动成功率，减少工作时间内的关联网络流量，不要求计算机在工作时间外保持开机，从而有助于组织节省电源。SCCM 2007中的 LAN 唤醒支持下列情况： 在配置的软件更新部署截止时间之前发送唤醒传输。 在配置必需播发（可以是面向软件分发的，也可以是面向任务序列的）计划之前发送唤醒传输。带外管理仅适用于SCCM 2007 SP1。SCCM 2007 SP1 中的带外管理功能为具有 Intel vPro 芯片组和 Intel 主动管理技术 (Intel AMT) 固件版本 3.2.1 或更高版本的计算机提供功能强大的管理控制。 带外管理需要Microsoft 公钥基础结构 (PKI) 并支持下列方案： 打开一台或多台计算机的电源（例如，在工作时间以外对计算机进行维护）。 关闭一台或多台计算机的电源（例如，操作系统停止响应）。 重新启动未正常运行的计算机，或从本地连接的设备或已知正常的启动映像文件来启动计算机。 通过从位于网络上的启动映像文件启动或使用 PXE 服务器来重新镜像计算机。 重新配置选定计算机上的 BIOS 设置，绕过 BIOS 密码（如果 BIOS 制造商支持）。 启动到基于命令的操作系统，以运行命令、修复实用程序或诊断应用程序（例如，升级固件或运行磁盘修复实用程序）。 配置计划的软件更新部署和播发以在运行前先唤醒计算机。客户端状态报告SCCM 2007 R2 中的客户端状态报告提供有关SCCM 2007层次结构中客户端状态的最新信息。客户端状态报告在无法使用客户端诊断标准方法时有用。SQL Reporting ServicesSCCM 2007 R2 中的 SQL Reporting Services 提供了一套工具和资源，可帮助您从SCCM 2007控制台使用 SQL Reporting Services 的高级报告功能。根据XX用户项目1期的需求，目前主要实现清单（也称为资产收集）、软件更新（也称为补丁分发）、远程工具和自定义报表。由于XX用户客户端总数2000，所以清单每天收集一次。软件更新每天3:00同步一次，当有新的软件更新需要分发时，建议先在小范围内（例如IT部门）作测试，测试时间1周，确定对现有环境没有影响后再大批量分发。软件更新包括安全更新、关键更新、更新程序集和Service Pack。注：软件更新不会验证Windows和Office是否为正版。远程工具主要启用远程协助。远程协助无需对方管理员密码，而且两人看到的界面是一样的。报表将根据XX用户实际需求自定义，自定义内容包括：计算机名、IP地址、MAC地址，是否登录到域、登录帐号、计算机名和登录帐号是否匹配、中文名、部门、是台式机还是便携机、CPU（包括CPU核数）、内存大小、硬盘大小、硬盘个数、剩余空间、操作系统和Service Pack、安装什么软件等，也可以与资产系统作整合。另外，可以给指定的用户看指定的报表。4.1.6. 客户端类型设计必须在要管理的客户端上安装SCCM 2007客户端软件。注：SCCM 2007仅支持基于 Windows 的平台。对非 Windows 平台（如 Macintosh 和 Unix 平台）的支持可由其他软件供应商作为附加产品向SCCM 2007提供。您可以在台式计算机和便携式计算机（通常看作“客户端计算机”）上安装SCCM 2007客户端软件。此外，您可以在服务器计算机上安装SCCM 2007客户端软件并将它们作为SCCM 2007的客户端进行管理。虽然服务器通常具有特定操作要求，例如允许您重新启动服务器计算机的时间与台式计算机相比可能具有更多限制，但是SCCM 2007使服务器与客户端计算机之间没有功能区别。在整篇文档中，术语“客户端计算机”可以表示服务器机房中的服务器或用户桌面上的计算机。 通过直接连接至网络或使用 VPN 或拨号访问，客户端计算机通常直接连接至组织网络。在SCCM 2007中，客户端计算机还可以由SCCM 2007站点管理（如果它们已连接至 Internet 但从未直接连接至组织网络）。例如，在家工作的工作人员无需拨号连接到公司网络就可由SCCM 2007管理。这些客户端称为基于 Internet 的客户端，并且它们需要附加基础结构支持。SCCM 2007还支持在移动设备上安装客户端组件，例如运行 Windows Mobile 或 Windows CE 的设备。移动设备客户端支持许多（但不是所有）标准客户端支持的功能。例如，您可以将软件部署到客户端移动电话，但是不能使用远程控制来为移动电话用户提供疑难解答帮助。Microsoft 支持在非传统台式计算机、便携式计算机或服务器计算机的设备上运行 Windows 的嵌入式版本。例如，可以将 Windows XP Embedded 安装在自动取款机或医疗设备上。SCCM 2007组件可以由制造商与其他嵌入式操作系统一起安装在这些设备上。设备支持许多（但不是所有）标准客户端支持的功能。本次项目只针对XX用户内网的Windows XP SP2以上客户端，不管理基于Internet的Windows XP SP2以上客户端，也不管理服务器和移动设备。4.1.7. 客户端安装设计SCCM 2007提供了许多用于安装客户端软件的选项。下表列出了客户端计算机安装方法。客户端计算机安装方法描述软件更新点安装使用客户端的自动更新配置将客户端计算机定向到配置为SCCM 2007软件更新点的 WSUS 计算机。客户端计算机将安装SCCM 2007客户端软件，即使它是软件更新也是如此。客户端请求安装使用具有管理权限的帐户访问客户端计算机并安装SCCM 2007客户端软件。此方法要求在客户端计算机上启用文件和打印共享以及相关端口。手动客户端安装具有管理权限的用户可以通过在客户端计算机上运行 CCMSetup 来安装客户端软件。多种开关可修改安装选项。组策略安装使用组策略软件安装来安装 CCMSetup.msi。映像可以将客户端软件添加到映像，包括使用SCCM 2007操作系统部署创建和部署的映像。软件分发可以使用SCCM 2007软件分发升级或重新部署现有客户端。由于软件更新点安装只需要80出口，所以建议为首选安装方法，可根据实际需要使用其它各种方法组合。注：根据实际经验，软件更新点安装会强制重启计算机而且不能取消，强制重启发生在0:00，如果用户下班后关机或用户即使没关机但允许重启则没有影响。另外，不管使用哪种安装方法，有些第三方软件会对安装造成影响，例如：有些mcafee杀毒软件版本会导致SCCM客户端安装失败，有些瑞星杀毒软件版本和360安全卫士版本会导致SCCM客户端进程不能启用。我们会根据以往项目经验自定义一张SCCM客户端未安装和SCCM客户端未启用的报表。4.2. MDT 2008设计MDT 2008是微软最新的解决方案加速器，它利用最先进的WIM镜像技术，再结合数据库的强大配置功能，可以实现大型企业的全自动部署。MDT 2008是免费的，而且源代码也是公开的，企业可以自己的需要进行扩展。Microsoft Deployment Toolkit 2008 Source Code4.2.1. 部署点物理设计XX用户总部与分支机构网络带宽只有2M，想利用这2M带宽通过网络安装操作系统和应用程序显然不大可能，所以需要在总部和分支机构本地建立部署点，设计如下：部署点位置杭州杭州部署点上海上海部署点成都成都部署点部署点只要添加一台服务器的共享目录即可使用，所以扩展非常方便。4.2.2. 部署点逻辑设计为了统一集中式管理部署点，分支机构部署点将作为总部部署点镜像点，设计如下：部署点位置杭州杭州部署点上海杭州部署点镜像点成都杭州部署点镜像点考虑到总部与分支机构带宽只有2M，所以需要考虑带宽利用率问题。分支机构部署点建议初期需要同步总部部署点的操作系统和应用程序，此时同步数据量非常大，这些同步是一次性，所以建议分批在非工作时间同步，例如22:00-6:00。平时运维时只同步变化的部分，而不是整个部署点。4.2.3. 操作系统版本设计XX用户大多数终端操作系统版本是Windows XP SP2简体中文专业版，本次操作系统使用Windows XP SP3简体中文专业版。4.2.4. 操作系统安装格式设计操作系统安装格式分为三类，分别为： 源文件 WIM镜像 WDS镜像源文件就是平常使用的光盘安装，虽然兼容性最好，但效率最低，不适合XX用户的快速部署需求。WIM镜像就是将安装好的操作系统（含安全设置和应用程序）做成WIM镜像，以后通过WIM镜像进行快速部署。WIM技术也是微软最新的镜像技术，广泛应用于Windows Vista、Windows 2008和Windows 7中。WDS镜像也是一种镜像技术，对于XX用户不适用。所以XX用户使用WIM镜像格式。4.2.5. 应用程序设计应用程序分为公用应用程序和非公用应用程序。公用应用程序每台终端都安装的应用程序（以下名单由XX用户提供，可能有变更）：用途随新机部署预装软件输入法微软拼音搜狗拼音输入法谷歌拼音输入法极品五笔 v6.7浏览器IE 6.0 + SP1傲游即时通讯旺旺（淘宝版）Live MSN旺旺（贸易通）安全控件XX用户控件PDF阅读Adobe Reader 9.0压缩软件WinRAR 3.7Office 相关Office 2007（看注释）Office Visio 2007安全软件Symantec SEP 11.0字典谷歌金山词霸合用版软电话Softphone（非所有部门）电子银行招行专业版 + Web控件VPN Client公司VPN Client媒体播放暴风影音、MediaPlayer非公用应用程序例如资金部软件只要在资金部安装就行了。非公用应用程序必须支持无人值守安装，否则整个部署就不能全自动完成。一般的应用程序都提供无人值守安装，个别应用程序不能无人值守安装则可以通过专业打包软件完成。注：本次项目只安装商业免费软件和正版软件。4.2.6. 通用镜像设计正如前面所述，操作系统使用WIM镜像格式，但如果一种机型一种镜像则会对IT部门带来非常大的工作量，所以必须设计成通用镜像，至少在80%以上机型可以安装使用。这个镜像还应该被设计成最安全的，所以启用如下策略： 启用一些安全策略 安装DCT以便以后做更细微的策略控制 安装Windows XP SP3以后所有的软件更新 启用Windows XP自带防火墙 安装防病毒并升级到最新病毒库由于每台终端都要安装公用的应用程序，所以把公用的应用程序直接打包在通用镜像中。注：如果公用的应用程序版本变更非常频繁，则不建议将该程序打包在通用镜像中。本次项目POC时用3台不同型号的台式机和3台不同型号的便携机来测试通用镜像。4.2.7. 驱动程序设计XX用户现在有10多种机型，以后还会不断增多，如果每增加一种机型就需要修改通用镜像特别费时费力，所以需要把驱动程序从通用镜像中独立出来，以后只要维护驱动程序就可以了。4.2.8. 部署方式设计部署方式支持如下方式： 网络启动网络部署 CD光盘启动网络部署 CD/DVD部署 U盘/移动硬盘部署 本次项目只设计网络启动网络部署4.2.9. 自动部署设计自动部署尽量减少手工操作，本次自动部署有两步需要手工操作： 按F12确认从网络启动 输入用户名和密码确认是合法的用户 以后的过程全部自动完成，包括： 自动格式化C盘 自动将通用镜像安装在C盘 自动安装驱动程序 自动根据角色安装非公用程序 自动加入域指定OU 根据需要是否将域用户提升为本机管理员4.2.10. 数据库导入设计正常安装操作系统时要输入机器名，Windows Key等各种参数，为了实现全自动部署，这些参数事先要全部录入到数据库。MDT 2008提供了图形界面录入方法，但这种方式录入效率非常低，所以需要提供一种批量导入的方法。管理员事先将一些数据整理到Excel，这些数据可以从已有的系统导出，例如机器名、Service Tag、域内OU、使用人、域帐号，部门、角色等，然后统一导入到MDT数据库。4.2.11. Service Tag流程设计每台计算机都有一个Service Tag（如果没有则需要厂家刷BIOS）而且是唯一的，部署时根据Service Tag作为唯一标识。如果部署时Service Tag没在数据库则部署过程终止并弹出对话框通知管理员。4.2.12. 角色流程设计不同的角色安装不同的应用程序集列表。例如资金部安装资金部相关的软件，开发部安装开发部相关的软件。4.2.13. 计算机型号流程设计计算机更新非常快，难免会出现新购计算机的驱动程序未及时导入到MDT驱动库。如果部署时没有该型号的驱动程序，则弹出对话框通知管理员，然后部署继续，一旦部署完成后由管理员手工安装驱动程序，管理员确认驱动没有问题后再导入到MDT驱动库。4.2.14. 安装标志流程设计用户自助部署时需向IT部门提交申请，管理员确认后会修改安装标志，只有安装标志允许的计算机才允许部署，否则自动部署过程终止并弹出对话框通知管理员。成功部署完成后自动重置安装标志为否。注：重置安装标志需要对数据库写操作，可能造成安全隐患，所以通过调用webservice完成。4.2.15. 磁盘规则设计旧机磁盘规则 一个硬盘 两个以上分区 第一个主分区大于20G新机磁盘规则 一个硬盘 删除所有分区（含出厂自定义分区） 第一个主分区20G 其它扩展分区 第一个逻辑分区30G 其它作为第二个逻辑分区4.2.16. 归库流程设计员工将计算机归还时称为归库。归还时计算机上可能留有重要数据，这些数据并不希望下一位使用者/借用者看到，所以需要归库处理。归库时，管理员设置归库标志，部署时计算机根据新机磁盘规则格式化，格式化完成后部署过程正常结束。成功归库完成后自动重置归库标志为否。注：重置安装标志需要对数据库写操作，可能造成安全隐患，所以通过调用webservice完成。4.2.17. 新旧机器标志流程设计新旧机器标志由管理员手工维护。部署时发现新机器标志时，按照新机磁盘规则处理，然后全自动部署。部署完成后自动重置新旧机器标志为旧。部署时发现旧机器标志时，按照旧机磁盘规则处理，如果符合则全自动部署，否则部署过程终止并弹出对话框通知管理员4.3. 终端安全设计4.3.1. 用户权限设计根据最小权限最大安全原则，设计如下： 尽量只给Domain Users组权限 定期重置本机管理员密码 定期禁用本机guest帐号 根据用户分类定期权限受限，例如使用受限组4.3.2. 个人防火墙设计Windows XP SP2以上的个人防火墙基于Windows内核，安全性非常高，一般没有必要安装第三方防火墙。建议如下： 启用Windows XP自带防火墙，开启防火墙日志 强制开启共享目录，但只有指定服务器列表才能访问。如果用户需要交换资料，建议通过邮件、服务器中转站，旺旺传输等实现4.3.3. 软件更新设计通过SCCM实现。4.3.4. 防病毒软件设计对于没有安装防病毒软件的列表，通过SCCM自动分发防病毒软件。4.3.5. 屏幕保护设计有些用户临时走开不习惯锁定计算机，这可能会泄漏企业敏感信息，建议启用屏幕保护，设计如下：高层领导：屏保30分钟普通员工：屏保10分钟资金部：屏保3分钟4.3.6. 日志审计设计开启每台终端的日志审计，特别是安全事件审计，审核成功与失败，时间保留三个月。4.3.7. MBSA设计通过MBSA定期扫描域内所有终端，根据MBSA报表改进安全性。4.3.8. DCT设计DCT是组策略的增强，特别适用安全性非常高的终端，例如对于资金部的终端，通过配置DCT设计如下： 不能看到C盘，更不能操作C盘 只能操作指定数据盘，例如只对D盘有读写权限 不能使用移动存储 只能使用白名单程序 通过IE只能访问白名单列表4.3.9. 应用程序设计很多终端安全问题是由第三方应用程序引起的，所以需要合理规范应用程序名单。应用程序分类如下： 白名单：企业授权可以安装的软件 黑名单：企业明确禁用的应用软件 灰名单：企业可以忽略的应用软件设计如下： 白名单：通过MDT新机部署时安装，或通过SCCM软件分发实现。 黑名单：通过SCCM定期执行删除操作，或通过域策略执行限制操作 灰名单：不操作，列入SCCM报表以便分析4.4. 部署流程设计4.4.1. 新装终端流程设计4.4.2. 已有终端流程设计4.5. 硬件设计杭州的SCCM服务器由于安装SQL数据库，所以需要考虑内存。杭州的MDT服务器主要存放操作系统、应用程序和驱动程序，所以需要考虑磁盘空间。上海和成都的SCCM服务器由于没有数据库，只起到代理的作用，所以标准PC服务器配置就可以了。上海和成都的MDT服务器只是一个部署点，相当于文件服务器，所以需要考虑磁盘空间。XX用户分支机构都200，所以分支机构的SCCM服务器和MDT服务器可以合二为一。综上所述，硬件设计如下：PC服务器参考配置备注杭州SCCMCPU 3.16*8核/8G/300G*2 RAID 1杭州MDTCPU 3.0*8核/4G/300G*3 RAID 5上海SCCM+MDTCPU 3.0*4核/4G/300G*3 RAID 5如果利旧，可用磁盘空间大于40G成都SCCM+MDTCPU 3.0*4核/4G/300G*3 RAID 54.6. 软件设计杭州SCCM由于安装SQL数据库且配置8G内存，所以安装x64版本。Windows 2008比Windows 2003更安全稳定，建议都安装Windows 2008。SQL 2008比SQL 2005更安全稳定，建议安装SQL 2008。综上所述，软件设计如下：软件参考配置备注杭州SCCMWindow 2008 x64简体中文标准版SQL 2008 x64简体中文标准版SCCM 2007 SP1 x64/x86简体中文版杭州MDTWindows 2008 x64简体中文标准版MDT 2008 Update 1 x64（英文版）上海SCCM+MDTWindows 2008 x64简体中文标准版如果利旧，Windows 2003 SP2以上成都SCCM+MDTWindows 2008 x64简体中文标准版4.7. 权限设计根据最小权限最大安全原则，权限设计如下： SCCM服务器和MDT服务器使用的管理员帐号都是普通域用户和本机管理员权限 报表权限精确到只能普通域用户权限，而且只开放指定报表 部署时对数据库只读权限5. 项目计划5.1. 项目进度5.2. 项目人员上海xx公司项目经理：俞海华项目成员（杭州）：李炳峰，李渊项目成员（上海）：翁廷国，赵斌XX用户项目经理：安之泉项目成员：辛浩，冯磊5.3. 文档交付总体方案测试方案部署手册运维手册试运行报告验收报告6. 培训计划培训意义在大型系统集成项目的实施过程中，技术培训的完成情况将直接影响到系统的使用情况，同时全面的技术培训对于提高用户对系统的管理和维护水平，保障用户应用的稳定运行将会起着重要作用，因此技术培训是整个项目中极为重要的一环。培训内容 项目介绍 项目部署 项目运维 AD优化建议 VBScript基础与技巧培训时间与用户方商定。培训地点由用户方指定。7. 技术支持7.1. 解决事件XX用户可以每周5天，每天8小时通过电话找到xx公司的支持工程师来解决本项目范围内的技术问题。7.2. 远程诊断与调试基于XX用户的请求，xx公司可以远程拨入XX用户的系统帮助分析问题。这项服务只在XX用户许可的情况下进行，并且xx公司的工程师只能访问被许可的系统。7.3. 紧急现场服务在紧急情况下，XX用户可以请求紧急现场服务。如服务内容超出本项目范围，根据所需完成的任务基于当时的情况、环境和对业务的影响，由双方共同商定。支付宝IT-终端安全标准化-1期-总体方案第32页上海xx公司软件有限公司