微軟政府桌面安全管理解決方案模板

DOCPROPERTY"DocumentName"微軟政府桌面安全管了處理方案微軟（中國）TIME\@"yyyy'年'M'月'd'日'"2月21日目錄TOC\o"1-3"\h\z1 綜述 41.1 背景 41.2 安全需求 41.3 設計標準 51.3.1 可管理性 51.3.2 性能和支持能力 51.3.3 系統(tǒng)整合和互用性 61.3.4 參考標準和指導方針 62 安全體系架構建設 82.1 安全體系架構定義 82.2 建立層次化安全防御體系 82.3 安全體系架構建設要素 82.3.1 人-建立安全小組 82.3.2 過程-風險評定 102.3.3 優(yōu)化和完善 152.4 主機層防御-桌面安全管理 152.4.1 桌面安全管理需求分析 152.4.2 微軟桌面安全管理系統(tǒng) 163 桌面安全管理系統(tǒng)詳述 183.1 產品結構 183.2 軟硬件資產搜集 193.3 軟硬件資產報表 193.4 補丁管理 203.5 應用軟件分發(fā) 223.6 遠程訪問 233.7 AD目錄服務集成 243.8 高級管理特點 244 方案優(yōu)勢 264.1 產品優(yōu)勢 264.2 技術優(yōu)勢 264.3 實施優(yōu)勢 275 總結 28綜述實現確保電子政務信息系統(tǒng)安全穩(wěn)定運行，建立電子政務信息系統(tǒng)安全體系，愈加好為中國“以信息化帶動工業(yè)化”基礎國策，為國民生產發(fā)展服務目標。背景電子政務是指政府利用現代電腦和網絡技術，將其負擔公共管理和服務職能轉移到網絡上進行，同時實現政府組織結構和工作步驟重組優(yōu)化，超越時間、空間和部門分隔制約，向社會提供高效優(yōu)質、規(guī)范透明和全方位管理和服務。電子政務實施為政府和組織負擔公共管理和服務實現電子化、網絡化和透明、高效開辟了寬廣空間。然而電子政務信息系統(tǒng)安全問題也變得愈加突出、嚴重，影響電子政務信息系統(tǒng)功效發(fā)揮，甚至對政府部門和社會公眾產生危害，嚴重還將對國家信息安全乃至國家安全產生威脅。認識電子政務信息系統(tǒng)安全威脅，把握系統(tǒng)安全影響原因和要求，建設系統(tǒng)安全保障體系，對確保電子政務有效運行含相關鍵意義。安全需求電子政務信息系統(tǒng)經過政務信息共享、交流、協(xié)作，使電子政務管理活動成為電子政務增值過程：經過該系統(tǒng)實現政府在政治、經濟、社會、生活等領域管理服務職能；實現政府決議信息公布和存取，支持決議活動：實現辦公業(yè)務信息交流和交互式處理，支持政務實施活動，以完成政務活動全過程。然而，電子政務信息系統(tǒng)功效發(fā)揮，是建立在系統(tǒng)安全、有效基礎上，電子政務信息系統(tǒng)安全是實現系統(tǒng)功效關鍵所在。為了滿足安全需求，贏得挑戰(zhàn)，必需建立完善安全體系架構，以適應快速發(fā)展業(yè)務需求和技術要求。安全體系結構設計目標是為了保護電子政務信息機密性、完整性和可用性。機密性：需要保護，不能向非授權用戶公開信息。機密性能夠確保只有授權用戶才能夠訪問這些信息，其具體實現方法是在數據處理每個階段上強制實施必需安全性等級，以預防信息未授權公開。在數據處理各個階段（駐留在系統(tǒng)中時、在傳輸過程中駐留在網絡間層上時，和抵達目標地后）全部應該維護數據機密一致性等級。完整性：必需進行保護，以使其免受未授權修改、意外修改或是無意識修改信息，如調查統(tǒng)計信息、經濟指示器和財務處理數據。數據完整性保護實現方法是對信息正確性和完全性和數據處理方法進行保護，以使其免受未授權修改破壞?？捎眯裕翰糠痔囟ǚ栈蚝胁糠痔囟ㄐ畔ⅲ@些服務或信息全部必需立即提供才能滿足關鍵任務要求或避免造成實際損失。可用性確保網絡和信息系統(tǒng)隨時可用，運行過程中不出現故障，若遇意外打擊能夠盡可能降低損失并立即恢復正常。設計標準實現成功安全體系架構，在進行設計時就需要考慮到計劃、實施、未來發(fā)展等方面關鍵內容，所以，在設計處理方案時還需要考慮以下內容：“可管理性”，“性能”，“支持能力”，“整合”，“互操作性”，“標準和指導方針”。可管理性安全體系結構可管理性是它基礎定義特征。在沒有監(jiān)視機制情況下，極難對不可管理安全體系結構進行保護，還可能在不注意時使?jié)撛诎踩酝{經過。假如沒有診療手段，要處理安全性問題會愈加困難。基于角色管理-安全角色群集存在能夠確保企業(yè)數據機密性、完整性和可用性。系統(tǒng)管理-對安全管理人員而言，集中管理安全性方法既簡單又直接，因為它將全部風險全部集中到了一塊兒。性能和支持能力安全體系結構性能關鍵取決于實際環(huán)境中實施技術和限制。從某首先說，安全是要犧牲一部分性能，一個系統(tǒng)不能為了達成最高安全而造成不可用，比如把應用系統(tǒng)網絡連接斷掉，鎖在機房里，所以人員不可訪問；也不能把它放置在公共區(qū)域，甚至沒有口令保護，全部些人能夠做任何操作。安全需要掌握安全和性能平衡點。另外，安全體系架構建設應考慮到現在系統(tǒng)支持能力，和未來一段時間業(yè)務發(fā)展所帶來新負載壓力，提供良好擴展能力。系統(tǒng)整合和互用性安全體系架構和其支持網絡和軟件系統(tǒng)體系結構，可能完全不一樣，也可能十分統(tǒng)一。安全體系架構設計和布署能夠促進服務器和網絡設備合并，但在合并時仍需要考慮到數據安全需求，和安全體系結構設計所支持區(qū)域結構現有和未來安全需求。參考標準和指導方針企業(yè)經營對信息技術系統(tǒng)依靠性正在日益增強，所以也更輕易受到這些系統(tǒng)中產生故障影響。為了滿足企業(yè)安全管理需求，IT部門需要滿足更高要求（快速轉變要求、財務限制、安全性和可靠性考慮和連通性要求）。盡管成熟嚴密技術對于滿足相關IT服務可靠性、可用性和安全性是很必需，不過光憑技術是不夠，還必需含有合理過程和優(yōu)異人員（技能、角色和責任）。必需含有對安全體系架構設計和布署最好實踐及指導方法。Microsoft能夠充足了解當今企業(yè)計算環(huán)境所面正確難題，并經過同類最優(yōu)技術和經驗證最好方法指導為企業(yè)提供幫助，經過這些技術和方法能夠有效地設計、發(fā)展、布署、操作和支持以Microsoft技術為基礎多種處理方案。這些知識來自于Microsoft在大規(guī)模軟件開發(fā)和服務操作項目中積累內部IT經驗和操作經驗，來自于其服務顧問在為多種規(guī)模和世界各地機構實施項目時積累經驗，和來自世界范圍內整個IT行業(yè)最好經驗。它們是Microsoft操作框架（MOF）和Microsoft處理方案框架（MSF）。Microsoft操作框架提供指導標準用于計劃、布署和維護IT操作過程，和支持關鍵性服務處理方案。MOF是一個結構化靈活方法，其基礎在于：Microsoft咨詢和支持小組，和她們在和企業(yè)用戶和合作伙伴協(xié)作過程中積累經驗，Microsoft內部IT操作組。IT基礎結構庫(ITIL)，它能夠介紹用來提交關鍵服務處理方案所必需過程和最好方法。來自于InternationalOrganizationforStandardization(ISO)ISO15504（又稱為SPICE），它提供了一個標準方法，用于評定軟件進程成熟性。更深入信息，請訪問下面URL：Microsoft處理方案框架是一個適用性很強軟件開發(fā)和布署方法，經過它能夠在更短時間內成功地交付技術處理方案，而所需人員數量會更少，風險會更低，同時還能帶來更高質量結果。MSF對下述方面進行了說明：調整商業(yè)和技術目標。制訂明確地項目目標、角色和職責。實施迭代式、由里程碑驅動過程。主動風險管理。對改變做出有效地響應。更深入信息，請訪問下面URL：安全體系架構建設安全體系架構定義組織安全體系架構即人員、步驟和技術整合，以確保組織信息資產得到正確使用，且只有取得授權個人能夠使用這些資產。人員、步驟和技術是相互依靠元素，缺乏任何一個全部會增加安全性被攻破潛在可能。建立層次化安全防御體系建立深度防御以使電子政務信息安全得到最大程度保護。深度防御是一個多層方法，它對資源應用多個策略以保護其免受外部和內部威脅。深度防御有時被視為深層安全性或多層安全性，深度防御是描述安全性對策（用于形成一個含有凝聚力安全性環(huán)境）層級術語。深度防御策略布署包含全方位保護性方法，從外部路由器直到組織資源所在位置和二者之間全部位置點。布署多層安全性能夠確保在某個層受到損害時，其它層仍能夠提供所需安全性用于保護企業(yè)信息資源。比如，損壞組織防火墻并不能使攻擊者不受限制地訪問組織最敏感數據。理想情況下，每一層全部應提供不一樣形式安全對策，以阻擋在多個層中使用同一個攻擊方法。關鍵包含有物理層、邊緣層、網絡層、主機層、應用層、數據層防御。安全體系架構建設要素人-建立安全小組建立完備技術支持隊伍對于確保電子政務安全起著至關關鍵作用，安全小組在幾乎全部IT活動中全部發(fā)揮著關鍵作用。一個信息系統(tǒng)假如其安全基礎脆弱話，最終將會受到安全攻擊。依據信息系統(tǒng)和攻擊嚴重程度不一樣，結果可能會有所不一樣，從困難到數據損失，到收入損失乃至使用壽命縮短。安全小組基礎目標在于確保數據保密、數據完整性、數據可用性。安全小組需要不停接收系統(tǒng)，新培訓才能適應新挑戰(zhàn)，擔負起實現電子政務生產安全保障責任。安全小組關鍵責任包含：幫助監(jiān)測對IT資源進行正確操作。檢測入侵行為并預防病毒攻擊。提供對拒絕服務病毒保護。要求數據保留和可靠數據處理策略。進行審查跟蹤和匯報。提供有效網域安全設計和管理。測試并實施戰(zhàn)略安全技術。檢測和評定網絡弱點。提供快速、實時網絡入侵響應。努力滿足PublicKeyInfrastructure（PKI）技術需求。努力滿足InternetProtocol（IP）安全需求。努力滿足身份驗證和訪問方法需求。努力滿足用于策略使用和需求（比如口令策略）。努力滿足外部和物理安全性需求（比如對計算機房使用）。努力滿足可靠消息服務需求。為企業(yè)內部安全計劃提供連續(xù)不停技術支持和相關專題專門知識。安全小組需要關鍵技能包含：對安全策略了解力和審查其完整性能力。對業(yè)務領域和她們處理數據類型了解力，以改善安全性。在多種服務器上建立共享區(qū)域能力。對企業(yè)操作平臺安全模型深入了解。豐富組網知識。了解病毒和抗病毒方法。兼顧安全問題和生產率問題能力，確保二者全部不因安全策略受到很大減弱。為不一樣組用戶建立安全配置文件能力。教育并通知職員，使其了解安全步驟能力。出現安全問題時和其它IT組合作協(xié)商能力。了解保障數據和文件安全方法，比如身份驗證和加密，和實現和改善這些方法產品。和提供安全處理方案供給商合作能力，以評定其提供產品。監(jiān)控職員外出等安全風險能力，幫助維護安全。進行安全檢驗能力。過程-風險評定沒有風險評定，風險管理過程，安全建設無從談起。我們提議采取“安全風險管理標準”指導風險評定工作。資產評定和估價“資產評定和估價”步驟目標是識別那些假如出現問題便會對電子政務造成不利影響資產。資產識別識別資產可能很簡單，也可能很困難，這全部取決于組織中使用后續(xù)采購步驟和資產跟蹤機制。識別資產第一步就是對組織中需要維護數據類型進行分類。比如，硬件設備通常僅包含設備配置數據，這種配置數據只包含一定量數據值。除了包含完全不在同一等級用戶和職員數據值外，主機和設備通常還包含部分類似信息。資產還包含商業(yè)秘密、智能財產和專利，全部這些資產在受到危害后，全部會對組織財產造成顯著影響。資產估價識別資產后，還相關鍵一點，就是要確定以下列術語表示每種資產價值或貨幣價值：物理價值：資產物理價值可經過定義下列信息來確定：硬件成本軟件成本支持成本替換成本業(yè)務價值：數據業(yè)務價值可能基于數據對組織整體財務目標所做出貢獻或對外部人員或組織數據價值。通常說來，這種價值極難量化。按相對價值計算，業(yè)務價值應該提供數據損失所造成影響和其它資產損失所造成影響對比數據。數據價值通常遠遠超出存放該數據硬件價值。另外，此價值還可能包含由資產損失所造成資產替換或資產修復成本。間接價值：間接價值可能是最難量化價值。此價值是指損失資產或資產受到危害時，組織在負擔負面報道、訴訟、業(yè)務流失過程中所損失價值。比如，經過惡意公開用戶私人數據而使組織聲譽或品牌受到破壞。競爭價值：這是對競爭者數據價值，也是極難量化。它應該反應出外部機構愿意為資產中包含實際數據支付多少貨幣價值。資產價值是一個貨幣數字，用于計算資產預期損失。是上述四種價值總和。資產優(yōu)先級識別資產是一個定性過程。確定每層中資產潛在價值時，應謹記組織整體收益業(yè)務目標，這有利于定義每層資產優(yōu)先級(AP)和數據類型，方便于將精力集中在優(yōu)先級最高項目上。需要考慮關鍵原因包含：資產財務價值。構建資產所需成本。保護資產所需成本。支持資產所需成本。恢復資產所需成本。資產競爭價值。安全風險識別“安全風險識別”步驟包含搜集可用威脅知識、創(chuàng)建目前攻擊方法和攻擊技術列表，分析可能會被攻擊者利用而對組織資產造成破壞系統(tǒng)漏洞和策略漏洞?！鞍踩L險識別”步驟目標是識別可能受到危害組織資產、這些資產所面正確威脅、威脅對資產造成破壞可能性，和威脅破壞對資產所造成影響。此步驟中使用下列術語：威脅：潛在危險，通常指可能對資產造成破壞人員、物品或事件。威脅代理：威脅形式，如電腦黑客、入侵者或自然事件，如颶風。漏洞：被威脅發(fā)覺為潛在攻擊點軟/硬件缺點或程序缺點，其中包含攻擊成功可能性。攻擊腳本：威脅代理用于攻擊漏洞方法。風險：資產、威脅、漏洞和攻擊腳本組合可量度表現形式。它是指該組合對組織含有潛在影響。安全風險陳說判定安全風險陳說是對組織現有安全性狀態(tài)和潛在未實現安全性威脅所造成后果之間關系一個表示。安全風險陳說第一部分被稱為“風險條件”，該部分對可能造成傷損壞出現現有情況或潛在威脅進行了描述。風險陳說第二部分被稱為“風險結果”，該部分描述了大家不期望出現，由風險條件而造成資產機密性、完整性和可用性損失。安全風險陳說判定是一個為了便于將資產風險進行優(yōu)先級劃分而將風險陳說用更正確陳說來表示過程。下圖說明了這一過程。以下步驟提供了上圖所述過程中每一部分具體信息：以一個風險陳說開始，在前面解釋中，風險陳說被定義為“風險陳說判定”一部分。根據前面具體介紹“威脅分析”過程，使用0到100尺度為威脅分配一個威脅概率(TP)，其中0%表示威脅概率最低，100%表示威脅概率最高。威脅概率是潛在威脅代理入侵您環(huán)境概率。使用1到10尺度分配一個臨界因子(CF)，其中1代表最低，10代表最高。臨界因子是對資產組成威脅潛在攻擊腳本等級。使用1到10尺度為投入力度(E)分級，其中1代表最低等級，10代表最高等級。投入力度是指攻擊者使用一個特殊攻擊代碼所需專業(yè)技術水平。確定風險因子(RF)。風險因子是臨界因子除以投入力度所得值。使用公式(TP×RF)來確定威脅頻率等級。使用1到10尺度為漏洞因子(CF)分配等級，其中1代表最低等級，10代表最高等級。漏洞因子(VF)是對特殊形式攻擊感染能力一個度量。按SRMD過程“資產評定和估價”步驟中所定義內容確定資產優(yōu)先級(AP)。使用公式(VF×AP)來確定影響因子(IF)。使用公式（威脅頻率等級×影響因子/1,000)來確定曝光因子(EF)。曝光因子以百分比形式表示。安全風險分析定義好組織中風險后，將對這些風險進行分析，以確定應針對哪種威脅對哪種資產加以保護。安全風險概率此輸入是指安全風險陳說中風險條件所描述情況實際發(fā)生概率。在對風險劃分等級時最好使用數值來表示，因為數值能夠提供一個以連續(xù)形式表示風險方法。假如安全風險概率為0，那么威脅將不會形成安全風險。假如概率為100%，那么威脅肯定組成了安全風險，而且可能是一個已知問題。安全風險影響安全風險影響是對資產負面影響所造成損失嚴重性估量，或是對資產失去機密性、完整性或可用性而造成損失量估量。安全風險暴露安全風險暴露是一個單一數值估量，用于測量資產整體安全風險，其中包含相關實際損失可能性和潛在損失量信息。安全小組使用風險暴露量來對安全性問題進行等級劃分。在最簡單量化風險分析方法中，將風險概率和風險影響相乘來計算風險暴露。安全風險補救和開發(fā)安全風險對策和操作過程開發(fā)對于組織安全策略來說至關關鍵。經過技術加固過程或經過開發(fā)組織范圍內策略，能夠前攝管理安全風險。安全策略開發(fā)過程還包含開發(fā)系統(tǒng)、策略過程，和跟蹤和匯報未發(fā)生安全風險過程。這些機制能夠幫助組織確保技術基礎設施中預防性方法能夠正常工作，并確保新安全策略和過程有效。優(yōu)化和完善安全系統(tǒng)建立非一日之功，是一個長久連續(xù)建設過程。企業(yè)業(yè)務需求隨市場改變而改變，新技術出現，新系統(tǒng)投產，新安全問題、漏洞、攻擊手段出現，全部要求我們不停學習、調整、優(yōu)化安全系統(tǒng)，定制新安全防范方法。我們可使用循環(huán)而且結構化五階段步驟來實施風險管理，這五個階段是：識別、分析、計劃、跟蹤和控制。主機層防御-桌面安全管理深度防御安全體系架構各層面包含不一樣內容安全防御手段和技術，這里不做過多贅述，本文關鍵就微軟桌面安全管了處理方案做出介紹。桌面安全管理需求分析資產和風險管理建設電子政務安全體系架構安全要素中，資產統(tǒng)計和漏洞分析起到基礎作用。沒有正確資產統(tǒng)計和漏洞分析數據，對于數量龐大桌面系統(tǒng)，絕大多數使用操作系統(tǒng)為Windows系列操作系統(tǒng)，安全管理無從談起。集中弱點管理自動軟件資產到弱點對比-對比資產細節(jié)，同時用一個有效弱點數據庫正確地列出影響資產弱點。自動進行繁重手工過程，節(jié)省時間和成本，消除人為錯誤可能性。自動發(fā)覺/自動資產庫存和清單-確定資產，從版本到Hotfix等級，對運行在資產上面應用進行正確盤存。自動跟蹤資產和應用。另外，它還提供用于弱點管理實時正確盤存，支持對新威脅實時反應。動態(tài)代碼和內容更新-根據用戶確定更新時間安排，動態(tài)地更新資產和漏洞特征數據庫。提供立即數據，降低維護應用成本，反應愈加快。統(tǒng)計分析各資產安全補丁更新狀態(tài)；各嚴重程度等級漏洞數量分布；各嚴重程度等級漏洞在各類型資產中分布；各嚴重程度等級漏洞在各資產中分布；每個月新發(fā)覺漏洞數、消除漏洞數、殘留漏洞數等等。軟件正版化管理中國政府越來越重視知識產權保護問題，各級政府部門正在進行或已完成軟件正版化工作。在這種情況下，確保電子政務系統(tǒng)滿足正版化要求，也成為桌面安全管理關鍵內容。同時，經過限制各類非正版軟件安裝使用，也避免了更多系統(tǒng)漏洞出現和病毒攻擊條件。自動軟件資產統(tǒng)計-自動進行軟件信息搜集、匯總和統(tǒng)計，包含操作系統(tǒng)和各類應用軟件；軟件計量-進行軟件使用統(tǒng)計，計量License。系統(tǒng)加固電子政務系統(tǒng)中數量龐大桌面系統(tǒng)，絕大多數使用操作系統(tǒng)為Windows系列操作系統(tǒng)，很輕易受到多種針對微軟產品病毒攻擊，而且危害大、傳輸速度快、隱蔽性強、暴發(fā)頻繁已經成為新型病毒四大特點。打補丁是預防病毒利用系統(tǒng)漏洞實施攻擊最好防護方法，同時能夠預防黑客利用漏洞實施入侵。自動補丁下載/安裝-立即更新系統(tǒng)及應用補丁，預防網絡安全威脅。微軟桌面安全管理系統(tǒng)基于微軟系統(tǒng)管理服務器SystemManagementServer(SMS)構建，SystemsManagementServer（SMS）為基于MicrosoftWindows?桌面計算機和服務器系統(tǒng)提供了極具成本效益、可伸縮性資產和補丁管理。SystemsManagementServer和MicrosoftSQLServer?和WindowsServer和WindowsServer操作系統(tǒng)完全集成--使其在任何規(guī)模網絡中全部輕易安裝、配置和維護。關鍵提供功效包含：對計算機軟硬件資產自動掃描發(fā)覺統(tǒng)計分析系統(tǒng)存在漏洞自動下載最新補丁包并依據各系統(tǒng)基于MBSA掃描結果安全漏洞進行更新安裝可自動分發(fā)安裝其它應用程序可支持斷點續(xù)傳及管理節(jié)點冗余對用戶端進行遠程診療管理定制生成資產及軟件或補丁分發(fā)管理報表桌面安全管理系統(tǒng)詳述SystemsManagementServer提供了集中式變更和配置管了處理方案，以幫助IT管理人員大大簡化對基于Windows操作系統(tǒng)PC設備進行自動化管理，分發(fā)最新軟件、立即更新系統(tǒng)和應用補丁、遠程技術支持、軟硬件資產跟蹤統(tǒng)計等。產品結構SMS完全能夠適于管理各級部門分布于不一樣網絡內大量桌面系統(tǒng)，它使用了一個許可本身超越當今已知規(guī)模最大用戶環(huán)境實現擴展分布式、層級化體系結構。因為SystemsManagementServer早期產品版本就已被成功用來對由數十萬基于Windows平臺之PC系統(tǒng)組成環(huán)境實施管理，所以，這種體系結構可謂“久經考驗”。站點層級模型在大規(guī)模環(huán)境下，IT部門可配置多個SMS站點，方便使體系結構適應不一樣網絡結構。SMS基礎構建模塊是站點服務器。每個SMS環(huán)境最少需要一臺站點服務器，而管理人員則可依據實際需要配置多臺站點服務器。這就許可為節(jié)省帶寬資源、分散工作負載并提供冗余支持而對站點服務器實施戰(zhàn)略布署。最少有一臺站點服務器應被指定為主控服務器，并配置用來存放配置和操作數據SQLServer數據庫。除此之外附加站點既能夠是主控站點服務器，又能夠是輔助站點服務器；所不一樣是，輔助站點服務器無需配置SQLServer數據庫和當地管理支持。軟硬件資產搜集SMS能夠搜集基于Windows桌面系統(tǒng)全部軟件和硬件信息，如操作系統(tǒng)版本、安裝Office、SAP軟件、內存、CPU、網卡信息等。多種多樣匯報將基于結果數據生成，以幫助組織機構制訂軟件升級計劃，跟蹤計算機和軟件資產，或檢驗軟件許可證有效性。舉例來說，在布署某個新軟件包之前，管理人員可能需要編制一份匯報，方便顯示含有足認為相關應用提供支持內存和磁盤空間目標PC設備數量。這就許可那些不符合要求系統(tǒng)在布署開始前得到升級，從而，確保實現較高項目整體成功率。從Windows98開始就已被內建于Windows操作系統(tǒng)Windows管理規(guī)范（WMI）提供了組成擴展使用情況信息。SMS借助WMI提供內容盡可能豐富系統(tǒng)數據集（包含BIOS、主板和封裝數據）。軟硬件資產報表SMS提供了包含120多個預建匯報模板在內Web匯報服務，和在管理人員控制下利用自定義匯報對上述預建匯報進行擴展選擇。已經提供標準匯報包含多個目錄、軟件使用活動和SMS操作選項。SMSWeb匯報服務還提供了深層挖掘特征，用戶只需在自己感愛好匯報中點擊某一行，即可深入調閱底層匯報。每個底層匯報均可為管理人員提供更多具體信息，直到相關單個計算機或用戶完整目錄信息被全部顯示出來。SMS提供靈活查詢匯報方法，能夠檢驗全部用戶端補丁安裝情況，也能夠就某一安全補丁查詢全部用戶端安裝情況，同時還能夠依據自定義分類來靈活查詢。補丁管理SMS安全修補程序管理特征將參考統(tǒng)計著已公布關鍵更新Microsoft網上在線數據庫對全部受控系統(tǒng)上已安裝軟件進行檢驗，并就每臺受控計算機所需安全修補程序做出匯報。管理人員可借助一個向導程序自動下載最新修補程序，并將其布署至需要它們目標系統(tǒng)，從而，實現依據實際需要安排布署計劃、定位布署對象，提升補丁安裝成功率。建立保障系統(tǒng)安全運行補丁分發(fā)體系，對于保障電子政務網絡安全含相關鍵意義，能夠最大程度降低因為系統(tǒng)漏洞造成病毒攻擊或黑客入侵。取得最新補丁公布消息/獲取補丁起源為了立即了解補丁公布情況，補丁管理員應該參考完成下列工作：在訂閱安全公告電子郵件通知（你能夠選擇漢字電子郵件通知）；定時查閱最新安全公告，立即查閱微軟安全服務信息，進行補丁分發(fā)工作；假如SMS服務器不能連接Internet，需要定時下載最新安全補丁列表服務器上；當有新安全公告公布后，評定它對企業(yè)內部環(huán)境影響并決定是否安裝該安全補丁；若決定安裝該安全補丁，下載該安全補丁(若該補丁對不一樣操作系統(tǒng)有不一樣文件，則不一樣操作系統(tǒng)補丁全部要下載)并先在測試試驗室中計算機上布署；該安全補丁經過測試后，正式布署到企業(yè)中全部計算機；檢驗安全補丁分發(fā)結果，定時生成報表。補丁分發(fā)機制/自動識別版本經過網絡管理員對不一樣系統(tǒng)集合管理和定制，結合補丁分析MicrosoftBaselineSecurityAnalyzer即Microsoft基準安全分析器MBSA（以下簡稱MBSA工具）掃描，能夠讓系統(tǒng)自動識別軟件版本情況。MBSA能夠經過引用Microsoft不停更新和公布可擴展標識語言XML文件（mssecure.xml），來確定將哪些關鍵安全更新應用于系統(tǒng)。該XML文件包含哪些安全更新可用于特定MIcrosoft產品信息。該文件包含安全公告名稱和標題和相關特定產品安全更新具體數據，其中包含：每個更新程序包中文件及其各個版本和校驗和、更新安裝程序包所應用注冊表項、相關哪些更新可替換其它更新信息和Microsoft知識庫中相關文章編號等等。新機器或長時間關機機器自動補丁升級對于新機器和部分很久沒有連入網絡機器而言，經過網絡發(fā)覺后，使用軟件安全策略，在發(fā)覺這些機器不符合企業(yè)網絡安全要求時，網絡補丁服務器將自動把補丁發(fā)到這些機器上，而且在這些機器安裝完補丁前，將嚴禁這些機器在網絡中權限和使用。在普遍連接實現之前，商務旅行者仍將繼續(xù)利用緩慢、不可預知網絡連接來開展她們業(yè)務。SMS一樣能夠管理以確保對關鍵業(yè)務應用程序訪問并保持最新安全配置，同時還向IT人員提供給用程序配置、狀態(tài)和使用情況等方面信息。補丁分級發(fā)送對于復雜網絡架構，因為網絡帶寬和管理策略要求，可能需要建立補丁分級分發(fā)模式，SMS在建立多級架構時，能夠在各級分發(fā)服務器自動完成補丁分發(fā)同時操作，優(yōu)化網絡帶寬使用。應用軟件分發(fā)SMS特征集一項關鍵優(yōu)勢一直是該產品針對基于Windows操作系統(tǒng)之桌面計算機、筆記本電腦和服務器強大而靈活軟件布署支持。管理人員可基于中央控制臺在將軟件包布署至遍布網絡系統(tǒng)目標計算機時對它們實施封裝、復制、定位、推薦和跟蹤。軟件包還可在許可最終用戶干預或無需最終用戶干預情況下實現布署，而任何IT支持人員均無須親身前往目標系統(tǒng)。不管軟件產品是像WindowsXPProfessional這么操作系統(tǒng)、像MicrosoftOffice這么完整應用套件，還是由第三方廠商提供或自行編寫日常商務應用，亦或較為關鍵Windows系統(tǒng)更新，SMS均可借助簡單易用界面、向導和和操作系統(tǒng)服務之間高度集成大幅降低確保軟件處于即時更新狀態(tài)所需付出工作量。舉例來說，管理人員可借助SMS將一個新服務軟件包布署至企業(yè)范圍內基于WindowsNT操作系統(tǒng)全部服務器。安裝服務軟件包所必需源文件被首先復制到遍布全球SMS站點，這有可能借助非高峰時段內網絡WAN鏈接得以實現。而軟件包實際安裝則可被安排在非高峰時段分別針對全球范圍內每個辦公機構實施。每臺計算機均可利用網絡系統(tǒng)上距離最近拷貝實施服務軟件包安裝操作，并將由此產生網絡流量控制在最低水平。在各級網絡以當地方法布署SMS并配置多個帶寬管理特征分布式體系結構許可在不會造成網絡超負荷運轉、關鍵業(yè)務通訊中止或為用戶帶來不便前提下輕而易舉地將軟件布署至規(guī)模極大應用環(huán)境。狀態(tài)匯報許可管理人員在任何安裝問題發(fā)生第一時間對它們做出突出標識，并在此基礎上快速采取補救方法避免出現類似故障，從而，為大規(guī)模布署方法提供更高水平援助支持。遠程訪問管理員日常工作中有大量工作是對桌面系統(tǒng)使用問題或故障提供技術支持，SMS提供了一系列信息技術支持工具讓管理員進行遠程訪問，提升支持效率，降低工作負擔。這些工具包含：遠程開啟——當管理員為一個遠程用戶端提供支持時候，她們可能需要重新開啟用戶端來測試開啟過程中作出改變，或調入一個新配置，或在一個用戶端計算機因為硬件或軟件誤操作而被鎖住以后而重新開啟。經過使用遠程開啟工具，管理員能夠重新開啟用戶端計算機。遠程對話——經過遠程對話工具，管理員能夠和任意用戶端計算機用戶進行對話。當一個管理員開啟一個會話進程時，在SystemsManagementServerAdministrator計算機和被選中用戶端計算機上全部將出現遠程對話窗口。當管理員或用戶端上用戶在自己窗口中鍵入文字時，在對方窗口中將出現相同內容。文件傳輸——使用文件傳輸工具，管理員能夠在基于SystemsManagementServer控制臺計算機和被選中用戶端計算機之間傳輸文件。遠程實施——遠程實施功效能夠讓管理員在遠程基于Windows用戶端計算機上運行應用程序或批處理文件。當管理員用遠程實施而不是遠程控制工具時，用戶看不見被實施命令行，而且命令實施也愈加快速。AD目錄服務集成SMS支持和ActiveDirectory之間高度集成將許可管理人員依據組織單位組員資格、用戶組、計算機組乃至MicrosoftExchange分發(fā)列表等非安全對象進行軟件布署定位。這種ActiveDirectory支持實現路徑為：發(fā)覺和目錄附帶之全部用戶和計算機相對應對象組員資格，并將這些組員資格作為屬性添加到由SMS數據庫存放目錄數據當中。管理人員將可經過和硬件或軟件目錄屬性使用方法完全相同路徑借助這些ActiveDirectory屬性創(chuàng)建目標集合。管理人員可對ActiveDirectory搜索進程實施定制化處理，選擇不一樣日程計劃，并將所需實施搜索ActiveDirectory層級組成部分納入定位范圍。這種粒度控制將確保目錄整體性能不會受到搜索進程重大影響。SMS還可借助ActiveDirectory面向網絡系統(tǒng)上用戶端公布特定SMS服務和服務器所處位置。SMS能夠將ActiveDirectory用作定位服務，并在此基礎上簡化用戶端操作，并盡可能降低用戶端服務搜索期間產生網絡流量。另外，SMS站點界限可在邏輯上和ActiveDirectory站點定義相對應。ActiveDirectory站點定義特征許可管理人員使用子網通配符定義站點邊界，這就許可將覆蓋面較大IP地址輕松集成到SMS站點界限集合當中。提供高級安全模式，提升SMS安全保障自動桌面系統(tǒng)發(fā)覺及SMS用戶端安裝，節(jié)省時間，避免網絡發(fā)覺壓力高級管理特點支持補丁和應用分發(fā)斷點續(xù)傳SMS使用BITS（后臺智能傳輸服務），對于檢驗點/重啟情況均可處理。一度被中止用戶端文件下載進程將可隨網絡連接重建實現斷點續(xù)傳。BITS可提升文件傳輸速度，改善恢復功效并降低網絡帶寬損耗。BITS在用戶端和服務器之間傳輸文件，并向用戶端返回文件上載和下載操作進度信息。BITS并發(fā)前臺傳輸使用全部帶寬來支持多個作業(yè)文件傳輸，而只使用空閑帶寬來支持后臺傳輸。假如文件傳輸過程被中止，BITS能夠正確地從中止點恢復文件傳輸，而不是重新傳輸整個文件。因為BITS能夠正確地從中止點重新開始傳輸，所以在發(fā)生諸如網絡中止和計算機重啟等故障時，能夠有效地恢復全部傳輸。BITS提供以下功效：實施并發(fā)前臺下載。支持遠程名稱服務器消息塊(SMB)協(xié)議。支持文件范圍下載。它是一個可更改文件傳輸源程序。降低用戶端帶寬消耗。網絡帶寬感知自動檢測用戶端網絡連接容量并有效地調整傳輸速率，使傳統(tǒng)臺式機和移動PC全部能以一個帶寬感知方法下載軟件。在其它服務開始使用共享鏈接時，下載速度將得到動態(tài)調整。還能夠配置為不在連接時安裝應用程序和更新，而是下載整個程序包，在以后運行安裝程序，即使當初網絡已不可訪問，也不受影響。SMS高級用戶端借助后臺智能傳輸服務（BITS）技術自動檢測用戶端網絡連接帶寬，并以高效方法對傳輸速率進行調整。當使用共享鏈接其它服務開啟時，下載速率會以動態(tài)方法接收調整，方便將SMS網絡流量降至后臺水平。避免業(yè)務數據傳輸受到影響。增量內容復制當一個應用軟件出現升級版本時，可能只是更新其中某個文件，假如需要重傳整個軟件包，會對網絡利用形成極大浪費。SMS提供了增量軟件包復制特征，增量軟件包復制特征可在無需重傳送整個更新軟件包映象前提下，在站點間對軟件包修改內容進行復制。方案優(yōu)勢產品優(yōu)勢多年來，IT管理人員一直成功利用Microsoft?SystemsManagementServer對組織機構內部基于Windows?操作系統(tǒng)桌面計算機和服務器實施管理。多年來，伴隨企業(yè)機構中WindowsPC布署數量大幅增加，SMS已幫助IT管理人員在支持PC和應用布署規(guī)模連續(xù)擴張同時，有效控制分布程度如此之高系統(tǒng)管理成本，并將總體擁有成本保持在較低水平。當然，伴隨新技術不停得到采取和PC應用配置日趨復雜化，基于Windows操作系統(tǒng)PC設備布署環(huán)境也處于連續(xù)改變之中，SMS專門設計用來對這些發(fā)生在PC領域內改變趨勢進行追蹤并提供支持，同時，面向新興應用情境和技術手段提供支持。技術優(yōu)勢SMS為處理和處理企業(yè)桌面安全管理需求提供了一款綜合處理方案。簡單高效布署模式-SMS尤其適適用于大型企業(yè)、機構布署實施，項目困難和成本可能會隨企業(yè)規(guī)模而增加，SMS支持多層次企業(yè)架構，上、下級系統(tǒng)數據可依據系統(tǒng)管理需求進行匯聚；并可在中心節(jié)點（主站點）實施全網統(tǒng)一配置、管理策略。有效管理-SMS是MicrosoftCorporation針對Windows系統(tǒng)變更和配置管理策略性處理方案。伴隨硬件和軟件資產成為IT預算一個大組成部分，在連續(xù)交付關鍵業(yè)務功效同時，組織也在愈發(fā)努力地尋求降低這些成本方法。SMS經過降低管理和布署軟件整體操作成本實現了這一目標。了解軟件資產-伴隨各級組織對降低成本日益關注和正版化管理要求，正確跟蹤軟件生命周期和保持符合供給商許可策略已成為組織必需含有能力。SMS提供了一個集成方