谈IT要实施桌面标准化

谈IT桌面标准化

企业的IT桌面支持服务是企业IT部门的工作内容之一，其技术含量不高，但工作繁重，长期占用IT人员大量的时间和精力。如何提高质量和效率，是实现高质量IT服务管理的关键任务。

1 引言

企业IT服务管理通常分服务器、网络设备及链路、终端桌面3大块。其中的IT桌面支持是技术含量最低，但未经有效管理的的桌面将引发大量问题，其支持服务的工作量会很大，占用IT部门大量资源，给IT维护人员带来了巨大压力。

2 桌面管理现状

(1)桌面分散部署，难以提供及时有效的现场支持。随着企业扩张，桌面数量不断增加，地理位置分散，抵达现场越来越困难，故障响应时间随之延长。众多分支机构多未配备专职驻场IT工程师，存在管理盲点。

(2)用户用户权限过大，随意修改系统配置项目，任意下载、安装非办公用软件，不利于系统稳定运行。软件之间的依赖／冲突关系复杂，维护人员难以及时分析定位、排除故障，

(3)由于办公桌面环境包含大量的应用程序和参杂着用户的个性化信息数据，使得环境构成各不相同，业务数据的备份与还原难于规范化、自动化。

(4)公司机密信息管控难以管控。员工的终端桌面中往往存有企业商业机密数据。企业沿用传统行政管理手段。如张贴机密信息访问安全守则；禁止员工携带移动存储设备；规定只有特定的终端能够访问机密，敏感信息，使用视频监控等等。这些手段都是被动防护手段，只能在事后追查，却不能及时预防。

(5)用户安全意识淡薄，不安装杀毒软件，或系统补丁、病毒库更新不及时，众多系统漏洞的存在，导致病毒、木马的传播蔓延。

(6)不同时期、不同部门、不同功用的终端，启用时间跨度大，配置差异大，基于手工作业的资产管理繁琐，时效性差，亦给IT资产进一步调配使用造成困难。

3 技术手段

针对现有桌面管理的不足，提高管理水平，业界提出了通过在企业IT基础架构中普及应用桌面标准化技术，是提高IT桌面支持效率的重要技术手段。其主要技术手段有：

(1)权限回收。禁止用户以本地管理员账号身份登录计算机，阻止用户擅自修改系统配置选项和安装非法软件，减少因用户误操作造成的故障。缩小用户实施故意破坏行为的空间。

(2)桌面强制安装标准软件安装列表中的软件。标准软件安装列表是经过验证的、稳定可靠的、办公必须的一组软件。有效避免不必要的软件冲突的出现。对不是标准软件，但确属工作必须的软件，必须先取得授权，然后才能安装，且为非标软件建立档案。

(3)强制安装指定杀毒、防火墙软件，且强制定时更新，有效加固系统。开启Windows自动更新功能，使每个桌面都能及时下载安装最新补丁，及时修补系统漏洞，加固系统。

(4)使用统一规则规范化命名计算机。使计算机名中包含部门、位置、使用者姓名、终端类型(笔记本，台式机／工作站)等信息，便于通过计算机名识别终端所在部门和地理位置。安装资产管理软件客户端，有效识别管理终端硬件。

(5)所有桌面均加入到公司统一的域中，使用活动目录部署分发组策略和管理脚本，定制客户端的配置选项。根据部门规模，适当委派管理权限，提升管理效率。

(6)新建远程管理账户，开启远程桌面，方便IT工程师远程管理维护终端桌面，即使企业外地分支机构的桌面亦可维护。

(7)为外派员工及分支机构员工桌面，统一配置VPN客户端，提高安全性。

4 基本操作

(1）建立标准软件安装及配置列表，包括操作系统、防病毒软件、OA软件、工具软件、IT管理终端软件等。终端桌面只能且必须全部安装标准软件。少数部门工作需要的特殊软件，需要预先申请，取得T1'部许可备案后方可安装。为需出差员工和分支机构桌面安装VPN客户端。

(2)计算机及用户信息采集，形成CMDB(配置管理数据库)。

1)用户信息(帐号、人名、部门、IT应用水平等)。

2)非标软件安装信息。

3)打印机等外设安装配置。

4)电脑资产信息(型号、配置、固定资产编号、SER-VICE TAG等)。

(3)软件安装与配置

1)在用户的配合下，对原来数据及文件进行备份。

2)安装标准列表中的软件及设备驱动程序。

3)统一设置各软件配置选项。如:

①将“我的文档”路径修改到D:\My Documents

②除系统安装的C盘外的其他分区EveryOn。用户为完全控制权限，驱动器分区格式为NTFSa

③把administrato:密码修改成公司标准密码，按命名规范将计算机改名，建立helpdesk账号，加人本地管理员组，使用该账号将计算机加入域，把用户权限修改成Power Users。

④在D盘下创建mail文件夹，修改outlook配置，设置Exchange服务器名，新建outlook个人文件夹文件，指定到D:\mail，并在其下面创建用户，然后把将“新电子邮件投递到下列位置”修改成用户名。

⑤安装打印机、扫描仪等外设。

⑥检查IT管理软件客户端服务是否成功启动，将其生成的计算机配置数据上传至CMDB(配置管理数据库)备案。

(4)在完成了软件安装与配置后，桌面标准化管理系统将转人日常管控维护阶段。随后，一系列的信息安全防护管控措施会随组策略和管理脚本分发，主要包括包括补丁分发策略(操作系统安全更新定期下发)、违规外联阻断策略(内网机上外网阻断网络)、重要软件安装策略(远程自动安装管控软件)等。各种信息管理条例规定将逐步制定并公布下发。

5 占有率较高的软件

以上的操作仅是桌面标准化的初步阶段，为最大化桌面标准化的效益，还应使用专业的桌面标准化管理软件。目前市场上有各种桌面标准化管理软件可供

选择。国外厂商有Microsoft，LANDesk，Symantec等，国内厂商如华为、中软、浪潮通软等。以下介绍市场占有率较高的两款软件:

5.1 Microsoft SCCM

Microsoft SCCM是Microsoft System Center的一部分，必须结合域环境使用，提供资产管理、远程控制和软件使用计量、基于WSUS3.0的补丁管理、桌面虚拟化等功能，但其终端安全管理的功能较弱，需搭配ISA，ForeFront使用。

5.2 LANDesk

LANDesk桌面管理套件是应用于大中型企业环境下的计算机管理以及基于ITIL管理工具结合的最佳解决方案。可脱离域环境使用，支持软件黑白名单禁用、启动项保护、注册表保护、硬件禁用(包括USB分类禁用、USB只读以及加密控制)、间谍软件查杀、安全威胁分析、准人控制、防病毒联动、主机入侵防护等一系列安全功能。

6 结语

桌面标准化的部署完成，为信息安全防范和信息设备的使用规范提供了有效管控手段，将会显著提升IT工程师的工作效率，提高企业的信息化管理水平，标志着信息安全的管理进人一个新的层次和阶段。