微軟綜合終端安全解決方案

微軟綜合終端安全解決方案

微軟綜合終端安全解決方案議題企業(yè)信息安全建設(shè)階段企業(yè)內(nèi)控對(duì)IT安全建設(shè)的需求微軟解決方案部署考慮提問&回答議題企業(yè)信息安全建設(shè)階段應(yīng)用系統(tǒng)層企業(yè)信息安全建設(shè)階段基本網(wǎng)絡(luò)接入管理網(wǎng)絡(luò)基礎(chǔ)安全管理基礎(chǔ)網(wǎng)絡(luò)硬件防火墻基礎(chǔ)網(wǎng)絡(luò)入侵檢測初級(jí)階段合理階段優(yōu)化階段高級(jí)階段應(yīng)用層網(wǎng)絡(luò)防火墻管理內(nèi)部網(wǎng)絡(luò)接入安全管理外部網(wǎng)絡(luò)訪問安全管理網(wǎng)絡(luò)層平臺(tái)層集中身份管理集中安全策略管理終端安全加固管理補(bǔ)丁管理資產(chǎn)管理服務(wù)器健康監(jiān)控管理防病毒管理客戶端防病毒管理服務(wù)器端防病毒管理身份生命周期管理客戶端配置標(biāo)準(zhǔn)化管理服務(wù)級(jí)別管理服務(wù)器統(tǒng)一集中管理數(shù)據(jù)層數(shù)據(jù)存儲(chǔ)管理數(shù)據(jù)備份/恢復(fù)管理數(shù)據(jù)安全權(quán)限管理異構(gòu)系統(tǒng)集中身份認(rèn)證基于業(yè)務(wù)的服務(wù)監(jiān)控網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化管理NGN網(wǎng)絡(luò)安全管理應(yīng)用系統(tǒng)權(quán)限安全管理應(yīng)用系統(tǒng)服務(wù)監(jiān)控?cái)?shù)據(jù)加密管理應(yīng)用流程整合管理應(yīng)用開發(fā)安全規(guī)范應(yīng)用系統(tǒng)層企業(yè)信息安全建設(shè)階段基本網(wǎng)絡(luò)接入管理初級(jí)階段合理階企業(yè)內(nèi)控對(duì)IT安全建設(shè)的要求企業(yè)內(nèi)控業(yè)務(wù)內(nèi)控IT內(nèi)控基礎(chǔ)控制應(yīng)用控制企業(yè)內(nèi)控對(duì)IT安全建設(shè)的要求企業(yè)內(nèi)控業(yè)務(wù)內(nèi)控IT內(nèi)控基礎(chǔ)控制IT控制方面和法規(guī)對(duì)應(yīng)關(guān)系ControlCategoriesSOXGLBAHIPAAEUDPDISO17799OrganizationalFrameworkXXXXXITStrategicPlanningXXXXXITResourcePlanningXXXXXDevelopmentandCommunicationofPoliciesandStandardsXXXXXSolutionDevelopmentXXXXITRiskManagementXXXXProjectManagementChangeManagementXXXXServiceLevelManagementXXXXXCapacityandAvailabilityManagementXXXXXSecurityManagementandAdministrationXXXXXFinancialManagementAwarenessandTrainingXXXXConfigurationManagementXXProblemandIncidentManagementXXXXDataManagementXXXXXOperationsManagementXXXXITEffectivenessXXXITAssuranceXXXXITComplianceandGovernanceXXXXXPrivacyManagementXXXXIT控制方面和法規(guī)對(duì)應(yīng)關(guān)系ControlCategorie控制的方面和技術(shù)解決方案對(duì)應(yīng)控制的方面和技術(shù)解決方案對(duì)應(yīng)MOF流程模型

服務(wù)級(jí)別管理財(cái)務(wù)管理服務(wù)延續(xù)性管理可用性管理容量管理*勞動(dòng)力管理

變更管理配置管理發(fā)布管理*系統(tǒng)管理*安全管理*服務(wù)監(jiān)視與控制*任務(wù)自動(dòng)化*網(wǎng)絡(luò)管理*目錄服務(wù)管理*打印/輸出管理*存儲(chǔ)管理

服務(wù)臺(tái)事件管理問題管理*在ITIL上的擴(kuò)展MOF——MicrosoftOperationFramework，微軟系統(tǒng)運(yùn)維管理架構(gòu)MOF流程模型服務(wù)級(jí)別管理變更管理*系統(tǒng)管理服務(wù)微軟解決方案管理人－確保用戶身份安全認(rèn)證雙因子驗(yàn)證管理設(shè)備－確保終端安全統(tǒng)一終端安全接入統(tǒng)一終端安全管理管理流程－確保流程可以有效實(shí)施借助技術(shù)來支撐新計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)流程跨網(wǎng)段訪問管理終端上網(wǎng)管理微軟解決方案管理人－確保用戶身份安全認(rèn)證管理人－確保用戶認(rèn)證安全

管理人－確保用戶認(rèn)證安全

用戶身份管理和認(rèn)證目錄服務(wù)技術(shù)單因子方案 用戶/密碼雙因子方案RSASecureIDSmartCardUSBKeyVPN短信認(rèn)證用戶身份管理和認(rèn)證目錄服務(wù)技術(shù)兩種管理模式的比較傳統(tǒng)的工作組模式先進(jìn)的域模式兩種管理模式的比較傳統(tǒng)的工作組模式先進(jìn)的域模式部署活動(dòng)目錄的優(yōu)勢解決了企業(yè)對(duì)用戶帳號(hào)集中管理的問題解決了一切桌面管理系統(tǒng)所需要的用戶權(quán)限問題，降低了工作量將原來企業(yè)基于IP地址的方式來管理計(jì)算機(jī)，發(fā)展到基于用戶身份來管理一切的安全策略，終端管理策略、補(bǔ)丁管理策略，軟件分發(fā)策略可以基于用戶角色進(jìn)行定位今后企業(yè)應(yīng)用系統(tǒng)的用戶帳號(hào)基礎(chǔ)，為實(shí)現(xiàn)企業(yè)的用戶帳號(hào)目錄信息的統(tǒng)一奠定基礎(chǔ)部署活動(dòng)目錄的優(yōu)勢解決了企業(yè)對(duì)用戶帳號(hào)集中管理的問題簡化IT管理NTFS文件系統(tǒng)和網(wǎng)絡(luò)共享文件夾網(wǎng)絡(luò)打印機(jī)管理網(wǎng)絡(luò)資源搜索應(yīng)用共享應(yīng)用系統(tǒng)身份認(rèn)證系統(tǒng)基礎(chǔ)應(yīng)用系統(tǒng)用戶目錄舉例簡化IT管理應(yīng)用系統(tǒng)用戶目錄舉例用戶認(rèn)證方式的比較SmartCardUSBKeyRSASecureIDVPN短信認(rèn)證安全機(jī)制證書驗(yàn)證+PIN證書驗(yàn)證+PIN動(dòng)態(tài)密碼+PIN口令＋動(dòng)態(tài)密碼客戶端無(windows缺省有)無(windows缺省有)需要需要客戶端硬件需求SmartCardReader+SmartCardUSBKeyRSA令牌無服務(wù)器端部署PKI+ADPKI+ADRSA+AD動(dòng)態(tài)密碼管理器+AD可靠性高高高較高成本高低高很低適用場景LAN,VPNLANLAN,VPNVPN用戶認(rèn)證方式的比較SmartCardUSBKeyRSA管理設(shè)備－確保終端安全

管理設(shè)備－確保終端安全

統(tǒng)一終端安全接入接入認(rèn)證模式考慮因素接入點(diǎn)位置企業(yè)內(nèi)部局域網(wǎng)接入無線網(wǎng)絡(luò)接入企業(yè)外部通過VPN接入接入網(wǎng)絡(luò)后的終端安全管理先滿足公司安全標(biāo)準(zhǔn)，再接入內(nèi)部網(wǎng)絡(luò)先有條件接入網(wǎng)絡(luò)，然后強(qiáng)制滿足公司標(biāo)準(zhǔn)（沒有絕對(duì)的好壞，只有是否適合）統(tǒng)一終端安全接入接入認(rèn)證模式考慮因素VPN接入認(rèn)證/FirewallRADIUSServer(IAS)統(tǒng)一終端安全接入認(rèn)證LAN訪問

RADIUSProxy(802.1x/NAP)無線訪問公司內(nèi)部網(wǎng)絡(luò)LDAPServer(AD)遠(yuǎn)程訪問

Switch(802.1x/NAP)VPN接入認(rèn)證/FirewallRADIUSServe終端安全接入方式－802.1x終端安全接入方式－802.1x802.1x

技術(shù)802.1x

實(shí)現(xiàn)目標(biāo)：

必須擁有帳號(hào)的用戶才被允許連接入企業(yè)內(nèi)部網(wǎng)絡(luò)(有線/無線)根據(jù)用戶帳號(hào)動(dòng)態(tài)配置交換機(jī)的端口屬性，分配相應(yīng)的網(wǎng)絡(luò)配置參數(shù) 特定的用戶可以被實(shí)施相應(yīng)的通訊安全策略802.1x技術(shù)802.1x實(shí)現(xiàn)目標(biāo)：對(duì)于Cisco交換機(jī)，利用WindowsIAS服務(wù)器分配參數(shù)，例如：

Tunnel-Medium-Type=802啟用802.1x的必須設(shè)置Tunnel-Pvt-Group-ID=VLAN0101交換機(jī)相應(yīng)的VLAN值，具體根據(jù)交換機(jī)設(shè)置而定Tunnel-Type=VLAN基于用戶動(dòng)態(tài)配置交換機(jī)的端口屬性對(duì)于Cisco交換機(jī)，利用WindowsIAS服務(wù)器分VPN接入認(rèn)證VPN接入認(rèn)證VPN接入認(rèn)證VPN接入面臨的問題VPN接入的安全性需要更加安全的用戶驗(yàn)證方式VPN客戶端自身的安全VPN客戶端部署困難解決的方法短信一次性密碼增強(qiáng)接入安全性接入內(nèi)網(wǎng)之前的隔離區(qū)檢查（防病毒軟件、補(bǔ)丁安裝情況等等）Web方式的客戶端部署VPN接入認(rèn)證VPN接入面臨的問題VPN隔離流程(1)VPNClient企業(yè)內(nèi)部網(wǎng)絡(luò)隔離區(qū)資源終端連接1ISA服務(wù)器將終端連接到隔離區(qū)，只允許有限資源的訪問2客戶端腳本檢查終端的配置情況3腳本向ISA服務(wù)器發(fā)送“成功”的通知4ISA服務(wù)器將終端連接到企業(yè)內(nèi)部網(wǎng)絡(luò)5VPN隔離流程(1)VPNClient企業(yè)內(nèi)部網(wǎng)絡(luò)隔離VPN隔離流程(2)VPN客戶端隔離區(qū)資源終端連接1ISA服務(wù)器將終端連接到隔離區(qū)，只允許有限資源的訪問2客戶端腳本檢查終端的配置情況3腳本沒有向ISA服務(wù)器發(fā)送“成功”的通知4ISAServer在超時(shí)后斷開終端連接5VPN隔離流程(2)VPN客戶端隔離區(qū)資源終端連接1IVPN方案認(rèn)證方式SmartCard/USBKey用戶名/口令短信認(rèn)證認(rèn)證協(xié)議MS-CHAPv2通過用戶名/口令EAP-TLS通過智能卡VPN隧道協(xié)議L2TPoverIPSecVPN方案認(rèn)證方式VPN短信認(rèn)證方案認(rèn)證過程用戶體驗(yàn)VPN短信認(rèn)證方案認(rèn)證過程用戶體驗(yàn)VPN短信認(rèn)證方案認(rèn)證過程用戶體驗(yàn)VPN短信認(rèn)證方案認(rèn)證過程用戶體驗(yàn)統(tǒng)一終端安全管理

統(tǒng)一終端安全管理

終端安全加固管理和桌面管理通過微軟安全終端管理系統(tǒng)實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的終端繼續(xù)進(jìn)行安全加固安全策略加固密碼策略硬件使用策略，禁用某些硬件設(shè)備，例如USB存儲(chǔ)等帳號(hào)封鎖安全配置控制加固指定允許安裝的軟件以及禁止安裝的軟件指定應(yīng)用安全配置，例如IE瀏覽器安全補(bǔ)丁檢查和加固定期進(jìn)行終端補(bǔ)丁檢查，自動(dòng)進(jìn)行補(bǔ)丁安裝加固補(bǔ)丁信息統(tǒng)計(jì)安全配置統(tǒng)計(jì)對(duì)終端安全配置進(jìn)行記錄對(duì)不符合安全配置終端進(jìn)行記錄終端安全加固管理和桌面管理通過微軟安全終端管理系統(tǒng)實(shí)現(xiàn)對(duì)接入終端安全加固管理和桌面管理通過微軟安全終端管理系統(tǒng)實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行資產(chǎn)統(tǒng)計(jì)自動(dòng)統(tǒng)計(jì)網(wǎng)內(nèi)的終端軟硬件資產(chǎn)統(tǒng)計(jì)自動(dòng)進(jìn)行資產(chǎn)變化統(tǒng)計(jì)實(shí)現(xiàn)全面的補(bǔ)丁管理實(shí)現(xiàn)高效的軟件分發(fā)實(shí)現(xiàn)客戶化軟件的補(bǔ)丁管理實(shí)現(xiàn)對(duì)終端安全配置的監(jiān)控和管理遠(yuǎn)程控制支持全面的終端類型WinCE終端的補(bǔ)丁、資產(chǎn)以及軟件分發(fā)管理通過第三方合作伙伴插件實(shí)現(xiàn)對(duì)Linux,Unix終端的補(bǔ)丁、資產(chǎn)以及軟件分發(fā)管理以及身份認(rèn)證管理終端安全加固管理和桌面管理通過微軟安全終端管理系統(tǒng)實(shí)現(xiàn)對(duì)接入補(bǔ)丁管理流程1.評(píng)估準(zhǔn)備更新的環(huán)境周期性任務(wù)A.創(chuàng)建/維護(hù)系統(tǒng)基線B.評(píng)估更新管理架構(gòu)(是否符合期望)C.回顧基礎(chǔ)架構(gòu)/配置進(jìn)行中的任務(wù)A.發(fā)現(xiàn)資產(chǎn)B.客戶端資產(chǎn)清單收集1.評(píng)估2.識(shí)別4.部署3.評(píng)測&規(guī)劃2.識(shí)別新的更新任務(wù)A.識(shí)別新的更新B.判斷更新的適用性

(包括威脅評(píng)估)C.校驗(yàn)更新的真實(shí)性和完整性3.評(píng)測&規(guī)劃更新部署任務(wù)A.批準(zhǔn)分發(fā)更新B.執(zhí)行風(fēng)險(xiǎn)評(píng)估C.規(guī)劃更新發(fā)布流程D.完成更新測試4.部署更新任務(wù)A.分發(fā)安裝更新B.過程報(bào)告C.異常處理D.部署回顧補(bǔ)丁管理流程1.評(píng)估準(zhǔn)備更新的環(huán)境1.評(píng)估2.識(shí)別SMS2003補(bǔ)丁管理防火墻SMS站點(diǎn)服務(wù)器

SMS發(fā)布點(diǎn)SMS客戶端SMS客戶端Microsoft

下載中心SMS發(fā)布點(diǎn)掃描從SMS客戶端夫之而來的組件安裝：下載InventoryToolforMicrosoftUpdate運(yùn)行編錄工具安裝程序掃描客戶端；將掃描結(jié)果合并到SMS硬件編錄數(shù)據(jù)中。管理員使用軟件更新發(fā)布向?qū)?duì)更新程序進(jìn)行授權(quán)位于客戶端上的軟件更新安裝代理部署更新程序周期性工作：同步組件以查看是否存在新的更新程序；掃描客戶端；部署必要的更新程序下載更新文件；創(chuàng)建/更新軟件包、程序及通告；復(fù)制軟件包并將相關(guān)程序發(fā)送至SMS客戶端SMSClientsSMS2003補(bǔ)丁管理防火墻SMSSMS發(fā)布點(diǎn)SMS客戶端應(yīng)用軟件的部署

輕松部署應(yīng)用軟件*.exe,*.bat,*.msi高效的部署工具準(zhǔn)確、靈活；輕松、易用；DistributionServerCollectionProgramPackageClientClientClient應(yīng)用軟件的部署

輕松部署應(yīng)用軟件DistributionCo安全配置評(píng)估報(bào)告安全配置評(píng)估報(bào)告安全配置評(píng)估報(bào)告（續(xù)）安全配置評(píng)估報(bào)告（續(xù)）安全配置評(píng)估報(bào)告（續(xù)）安全配置評(píng)估報(bào)告（續(xù)）會(huì)下載由微軟合作伙伴根據(jù)SMS補(bǔ)丁構(gòu)架發(fā)布的補(bǔ)丁庫文件，然后以SMS補(bǔ)丁管理的形式進(jìn)行補(bǔ)丁管理實(shí)現(xiàn)對(duì)第三方軟件的補(bǔ)丁管理-一致的體驗(yàn)會(huì)下載由微軟合作伙伴根據(jù)SMS補(bǔ)丁構(gòu)架發(fā)布的補(bǔ)丁庫文件，然后SMS2003R2能夠讓管理員對(duì)任何應(yīng)用軟件，包括用戶自己的軟件，實(shí)現(xiàn)補(bǔ)丁自動(dòng)發(fā)現(xiàn)和管理實(shí)現(xiàn)客戶化軟件補(bǔ)丁管理SMS2003R2能夠讓管理員對(duì)任何應(yīng)用軟件，包括用戶管理員可以定義發(fā)現(xiàn)軟件版本規(guī)則管理員可以定義發(fā)現(xiàn)軟件版本規(guī)則遠(yuǎn)程管理功能遠(yuǎn)程控制遠(yuǎn)程重啟遠(yuǎn)程chat文件傳輸遠(yuǎn)程執(zhí)行遠(yuǎn)程管理功能遠(yuǎn)程控制微軟綜合終端安全解決方案支持站點(diǎn)層次結(jié)構(gòu)PrimarySite(ChildandParentSite)Secondary

Site(ChildSite)Primary(Central)Site(ParentSite)Primaryor

SecondarySite(ChildSite)SQLSQLSQLSQL支持站點(diǎn)層次結(jié)構(gòu)PrimarySiteSecondary

技術(shù)平臺(tái)的擴(kuò)展系統(tǒng)標(biāo)準(zhǔn)化部署（功能擴(kuò)展包）

——OSDeploymentforBDDProgram移動(dòng)終端設(shè)備的管理（功能擴(kuò)展包）

——SmartDeviceManagement…更多信息請(qǐng)參閱：

/smserver/evaluation/featurepack/default.asp

/smserver/partners/default.asp

技術(shù)平臺(tái)的擴(kuò)展系統(tǒng)標(biāo)準(zhǔn)化部署（功能擴(kuò)展包）

——OSDe管理流程－確保流程可以有效實(shí)施

管理流程－確保流程可以有效實(shí)施

流程計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)流程問題：計(jì)算機(jī)新裝、重裝，非法軟件安裝缺乏控制解決方案：通過接入認(rèn)證，使得新裝，重裝機(jī)器強(qiáng)制納入終端管理范圍，避免終端安全環(huán)節(jié)的薄弱跨VLAN網(wǎng)段訪問管理流程問題：分散的網(wǎng)段互連配置比較復(fù)雜不能基于用戶認(rèn)證缺乏審核機(jī)制解決方案：通過VPN跨VLAN訪問，強(qiáng)制通過用戶認(rèn)證集中控制，集中管理，集中審核流程計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)流程“零接觸”終端系統(tǒng)部署“零接觸”終端系統(tǒng)部署新終端接入流程IT管理員記錄計(jì)算機(jī)信息（MAC地址），分配用戶名和密碼，后臺(tái)制定需要分配的域信息，需要安裝的鏡像和軟件列表終端用戶收到通知，了解自己的用戶名和密碼，將新終端插上網(wǎng)線，啟動(dòng)計(jì)算機(jī)按F12進(jìn)行網(wǎng)絡(luò)啟動(dòng)系統(tǒng)自動(dòng)根據(jù)IT管理員分配的信息，根據(jù)記錄信息自動(dòng)根據(jù)配置的信息進(jìn)行自動(dòng)鏡像網(wǎng)絡(luò)安裝系統(tǒng)自動(dòng)完成操作系統(tǒng)，應(yīng)用軟件的安裝，并且自動(dòng)加入終端管理系統(tǒng)用戶開始使用終端新終端接入流程IT管理員記錄計(jì)算機(jī)信息（MAC地址），分配用終端上網(wǎng)管理問題：無法基于用戶驗(yàn)證控制訪問Internet不能限定訪問時(shí)間，訪問網(wǎng)站缺乏訪問統(tǒng)計(jì)報(bào)表解決方案1.外網(wǎng)訪問：

可以按照用戶對(duì)訪問進(jìn)行限制

可以按照IP地址對(duì)訪問進(jìn)行限制

打開和關(guān)閉內(nèi)網(wǎng)的某個(gè)端口2.訪問時(shí)間：對(duì)用戶，機(jī)器，IP可以定義允許或者禁止的時(shí)間對(duì)協(xié)議可以定義允許或者禁止的時(shí)間對(duì)訪問的形式，比如TELNET,FTP等協(xié)議可以定義訪問時(shí)間終端上網(wǎng)管理問題：終端上網(wǎng)管理(續(xù)）3訪問內(nèi)容：建立在以定義的訪問時(shí)間，訪問的機(jī)器，訪問的IP等基礎(chǔ)上，可以在定義訪問內(nèi)容允許或者禁止訪問的協(xié)議允許或者禁止訪問的URL允許或者禁止文件類型，比如EXE,BMP,JPG等4事件記錄：按照用戶記錄所有的訪問的URL按照訪問量記錄用戶按照協(xié)議記錄訪問的用戶終端上網(wǎng)管理(續(xù)）3訪問內(nèi)容：不同網(wǎng)絡(luò)之間的接入認(rèn)證流程不同網(wǎng)絡(luò)之間的接入認(rèn)證流程部署考慮服務(wù)器端部署客戶端部署部署考慮服務(wù)器端部署服務(wù)器端總體架構(gòu)服務(wù)器端總體架構(gòu)選項(xiàng)1：集中式管理選項(xiàng)1：集中式管理選項(xiàng)2：分布式管理選項(xiàng)2：分布式管理VPN短信認(rèn)證架構(gòu)VPN短信認(rèn)證架構(gòu)客戶端部署：通過活動(dòng)目錄自動(dòng)部署通過其他方式，半自動(dòng)或者手動(dòng)部署客戶端部署：部署活動(dòng)目錄的工作量評(píng)估新機(jī)器客戶端需要完成的工作：手工方式：點(diǎn)擊“我的電腦”修改屬性，輸入域名彈出用戶名，密碼重啟計(jì)算機(jī)自動(dòng)方式：網(wǎng)站下載加入域的腳本執(zhí)行腳本，輸入用戶名，密碼重啟計(jì)算機(jī)SMSBDD方式：網(wǎng)卡插上網(wǎng)線，開機(jī)自動(dòng)裝完即是加入域的計(jì)算機(jī)部署活動(dòng)目錄的工作量評(píng)估新機(jī)器客戶端需要完成的工作：部署活動(dòng)目錄的工作量評(píng)估老計(jì)算機(jī)加入域的考慮：手工方式：點(diǎn)擊“我的電腦”修改屬性，輸入域名彈出用戶名，密碼重啟計(jì)算機(jī)自動(dòng)方式：網(wǎng)站下載加入域的腳本執(zhí)行腳本，輸入用戶名，密碼重啟計(jì)算機(jī)需要額外增加的工作：唯一的變化是用戶的Profile文件，包括桌面的圖標(biāo)、profile相關(guān)的文件夾執(zhí)行一個(gè)腳本，將老用戶原來的profile環(huán)境作重定向此腳本，可以用戶自行完成，也可以管理員幫助完成部署活動(dòng)目錄的工作量評(píng)估老計(jì)算機(jī)加入域的考慮：客戶端部署的考慮SMS客戶端部署的方式：AD登陸腳本實(shí)現(xiàn)在AD的環(huán)境下，由SMS服務(wù)器自上而下下發(fā)手工安裝，基于MSI的安裝，1分鐘完成部署AD以后，SMS客戶端的部署將成為幾乎零工作量的部署沒有AD，所有的桌面系統(tǒng)管理軟件都存在客戶端軟件安裝用戶帳號(hào)的問題，一般做法：收集所有客戶端的用戶名，密碼到服務(wù)器上手工到客戶端安裝工作量非常大，如果收集用戶名，密碼，工作量和安全性的問題都存在客戶端部署的考慮SMS客戶端部署的方式：客戶端部署結(jié)合AD的優(yōu)勢解決一切和用戶帳號(hào)權(quán)限有關(guān)的問題：客戶端軟件的自動(dòng)化安裝軟件分發(fā)安裝的帳號(hào)問題基于用戶帳號(hào)的安全策略基于用戶類型的分類，以及SMS管理的對(duì)象定位實(shí)現(xiàn)基于AD對(duì)象的發(fā)現(xiàn)基于AD的管理對(duì)象的分類管理AD站點(diǎn)、AD組織單位SMS內(nèi)置集成AD架構(gòu)客戶端部署結(jié)合AD的優(yōu)勢解決一切和用戶帳號(hào)權(quán)限有關(guān)的問題：微軟在系統(tǒng)管理方面的優(yōu)勢實(shí)踐、實(shí)踐、再實(shí)踐！最大的全球?qū)嶋H部署，200,000+臺(tái)PC、9,000+服務(wù)器；完善的系統(tǒng)安全管理方法論：微軟運(yùn)維管理架構(gòu)——MOF;微軟解決方法體系——MSF;安全風(fēng)險(xiǎn)管理準(zhǔn)則——SRMD;完善的技術(shù)支持服務(wù)體系：TechnicalSpecialist;MCS;PSS/GTSC;KB,TechNet,TSCommunityonMicrosoft,…技術(shù)前瞻性，研發(fā)上的大力投入；完善靈活的部署構(gòu)架微軟在系統(tǒng)管理方面的優(yōu)勢實(shí)踐、實(shí)踐、再實(shí)踐！在中國的成功案例

政府/Gov.

中國海關(guān)(ChinaCustoms)

國務(wù)院機(jī)關(guān)事務(wù)管理局中華人民共和國教育部中華人民共和國人事部國管局－國家環(huán)?？偩纸K省政府四川省人民政府辦公廳青島市政府深圳市人民政府江蘇省工商行政管理局河南省工商行政管理局金融/FSI

中國人民銀行(PBOC)

中國工商銀行