客户机标准化配置
针对问题:
目前绝大多数企业都未实现客户机标准化,每台客户机都运行各自的服务;创建各自的共享文件,但是计算机本身并未实行严格的安全策略和审核。
用户可以随意安装各种非正当软件,同时也让一些流氓软件有机可乘,引起系统不稳定;当前用户权限较高,并且未实施密码复杂度等安全策略,因而非法用户容易实施恶意攻击和密码破解等等。由于客户机的非标准化导致企业机密信息泄露,给企业带来巨大的损失。
解决方案:
1、客户机限制只能通过本机登陆域集中帐户验证,收回本地管理员帐户仅做维护备用。域用户登陆本机后,无法修改注册表、系统文件、网络配置、共享本机文件夹和安装软件,但可以使用已安装的软件,创建、修改目录和文件。(域用户添加到本机的Power
User组,可以安装绿色软件和共享文件夹。)
2、客户机加入域后,可以在DC上通过组策略对整个域、站点或OU中全部计算机的注册表集中修改设置,实现客户机配置的统一管理。
组策略支持对计算机的统一设置举例(原理上是注册表的任何键值):
- 软件自动安装、升级、维修和卸载
- Windows设置
启动关机脚本(设置自动操作)
安全设置:帐户策略(密码、锁定等)
审核策略 (跟踪访问)
用户权利指派 *
安全选项 *
软件运行和加载限制 (限制QQ等)
IP加密通信设置 *
Windows组件:
Internet Explorer (设置统一的主页、收藏夹等)
安全中心 *
Windows 资源管理器 (限制USB存储访问)
Windows Update (统一补丁更新)
系统:登陆界面、桌面、开始菜单、任务栏
网络:网络通信细节设置
打印机:发布、定位、连接
* 选项较多根据用户安全需要选定
3、SMS客户端部署后可以将计算机的硬件变动(内存、外设、硬盘等)、安装软件的变动即时以报表的形式反映在SMS服务器上,还可以统计现有的各种信息资产和监控当前状态。
SMS支持自动客户端系统远程系统部署。