DOCPROPERTY"DocumentName"微軟政府桌面安全管理解決方案微軟（中國）有限公司TIME\@"yyyy'年'M'月'd'日'"2005年2月21日目錄TOC\o"1-3"\h\z1 綜述 41.1 背景 41.2 安全需求 41.3 設計原則 51.3.1 可管理性 51.3.2 性能與支持能力 51.3.3 系統整合與互用性 61.3.4 參照標準和指導方針 62 安全體系架構建設 82.1 安全體系架構定義 82.2 建立層次化安全防御體系 82.3 安全體系架構建設要素 82.3.1 人-建立安全小組 82.3.2 過程-風險評估 102.3.3 優化與完善 152.4 主機層防御-桌面安全管理 152.4.1 桌面安全管理需求分析 152.4.2 微軟桌面安全管理系統 163 桌面安全管理系統詳述 183.1 產品結構 183.2 軟硬件資產收集 193.3 軟硬件資產報表 193.4 補丁管理 203.5 應用軟件分發 223.6 遠程訪問 233.7 AD目錄服務集成 243.8 高級管理特點 244 方案優勢 264.1 產品優勢 264.2 技術優勢 264.3 實施優勢 275 總結 28綜述實現確保電子政務信息系統的安全穩定運行，建立電子政務信息系統安全體系，更好的為我國“以信息化帶動工業化”的基本國策，為國民生產發展服務的目標。背景電子政務是指政府運用現代電腦和網絡技術，將其承擔的公共管理和服務職能轉移到網絡上進行，同時實現政府組織結構和工作流程的重組優化，超越時間、空間和部門分隔的制約，向社會提供高效優質、規范透明和全方位的管理與服務。電子政務的實施為政府和組織承擔的公共管理和服務實現電子化、網絡化和透明、高效開辟了廣闊的空間。然而電子政務信息系統的安全問題也變得更加突出、嚴重，影響電子政務信息系統功能的發揮，甚至對政府部門和社會公眾產生危害，嚴重的還將對國家信息安全乃至國家安全產生威脅。認識電子政務信息系統安全的威脅，把握系統安全的影響因素和要求，建設系統安全保障體系，對保證電子政務的有效運行具有重要意義。安全需求電子政務信息系統通過政務信息的共享、交流、協作，使電子政務的管理活動成為電子政務的增值過程：通過該系統實現政府在政治、經濟、社會、生活等領域的管理服務職能；實現政府決策信息的發布與存取，支持決策活動：實現辦公業務信息交流和交互式處理，支持政務執行活動，以完成政務活動的全過程。然而，電子政務信息系統功能的發揮，是建立在系統安全、有效的基礎上的，電子政務信息系統的安全是實現系統功能的關鍵所在。為了滿足安全需求，贏得挑戰，必須建立完善的安全體系架構，以適應迅速發展的業務需求與技術要求。安全體系結構的設計目標是為了保護電子政務信息的機密性、完整性和可用性。機密性：需要保護，不能向非授權用戶公開的信息。機密性可以確保只有授權用戶才可以訪問這些信息，其具體的實現方法是在數據處理的每個階段上強制執行必要的安全性級別，以防止信息的未授權公開。在數據處理的各個階段（駐留在系統中時、在傳輸過程中駐留在網絡間層上時，以及到達目的地后）都應該維護數據機密的一致性級別。完整性：必須進行保護，以使其免受未授權修改、意外修改或是無意識修改的信息，如調查統計信息、經濟指示器和財務處理數據。數據完整性保護的實現方法是對信息的準確性和完全性以及數據的處理方法進行保護，以使其免受未授權修改的破壞。可用性：一些特定服務或具有一些特定信息，這些服務或信息都必須及時提供才能滿足關鍵任務的要求或避免造成實際損失。可用性保證網絡和信息系統隨時可用，運行過程中不出現故障，若遇意外打擊能夠盡量減少損失并盡快恢復正常。設計原則實現成功的安全體系架構，在進行設計時就需要考慮到規劃、實施、未來發展等方面的關鍵內容，因此，在設計解決方案時還需要考慮以下內容：“可管理性”，“性能”，“支持能力”，“整合”，“互操作性”，“標準和指導方針”。可管理性安全體系結構的可管理性是它的基本定義特征。在沒有監視機制的情況下，很難對不可管理的安全體系結構進行保護，還可能在不注意時使潛在的安全性威脅通過。如果沒有診斷手段，要解決安全性問題會更加困難。基于角色的管理-安全角色群集的存在可以確保企業數據的機密性、完整性和可用性。系統管理-對安全管理人員而言，集中管理安全性的方法既簡單又直接，因為它將所有風險都集中到了一塊兒。性能與支持能力安全體系結構的性能主要取決于實際環境中實施的技術與限制。從某一方面說，安全是要犧牲一部分性能的，一個系統不能為了達到最高安全而導致不可用，例如把應用系統的網絡連接斷掉，鎖在機房里，所以人員不可訪問；也不能把它放置在公共區域，甚至沒有口令保護，所有人可以做任何操作。安全需要掌握安全與性能的平衡點。另外，安全體系架構的建設應考慮到目前系統的支持能力，以及未來一段時間的業務發展所帶來新的負載壓力，提供良好的擴展能力。系統整合與互用性安全體系架構與其支持的網絡和軟件系統體系結構，可能完全不同，也可能十分統一。安全體系架構的設計與部署可以促進服務器和網絡設備的合并，但在合并時仍需要考慮到數據的安全需求，以及安全體系結構設計所支持的區域結構的現有和未來安全需求。參照標準和指導方針企業經營對信息技術系統的依賴性正在日益增強，因此也更容易受到這些系統中產生的故障的影響。為了滿足企業安全管理需求，IT部門需要滿足更高的要求（迅速轉變的要求、財務限制、安全性和可靠性的考慮以及連通性的要求）。盡管成熟嚴密的技術對于滿足有關IT服務的可靠性、可用性和安全性是非常必要的，但是光憑技術是不夠的，還必須具備合理的過程和優秀的人員（技能、角色和責任）。必須具備對安全體系架構設計和部署的最佳實踐及指導方法。Microsoft能夠充分理解當今企業計算環境所面對的難題，并通過同類最優技術和經驗證的最佳方法指導為企業提供幫助，通過這些技術和方法能夠有效地設計、發展、部署、操作和支持以Microsoft技術為基礎的各種解決方案。這些知識來自于Microsoft在大規模軟件開發和服務操作項目中的積累的內部IT經驗和操作經驗，來自于其服務顧問在為各種規模和世界各地的機構實施項目時積累的經驗，以及來自世界范圍內的整個IT行業的最佳經驗。它們是Microsoft操作框架（MOF）和Microsoft解決方案框架（MSF）。Microsoft操作框架提供的指導原則用于規劃、部署和維護IT操作過程，以及支持關鍵性服務的解決方案。MOF是一種結構化的靈活的方法，其基礎在于：Microsoft的咨詢和支持小組，以及他們在與企業客戶和合作伙伴協作的過程中積累的經驗，Microsoft的內部IT操作組。IT基礎結構庫(ITIL)，它可以介紹用來提交關鍵服務解決方案所必須的過程和最佳方法。來自于InternationalOrganizationforStandardization(ISO)的ISO15504（又稱為SPICE），它提供了一種標準的方法，用于評估軟件進程的成熟性。更進一步的信息，請訪問下面的URL：/mofMicrosoft解決方案框架是一種適用性很強的軟件開發和部署方法，通過它能夠在更短的時間內成功地交付技術解決方案，而所需的人員數量會更少，風險會更低，同時還能帶來更高的質量結果。MSF對下述方面進行了說明：調整商業和技術目標。制定明確地項目目標、角色和職責。執行迭代式的、由里程碑驅動的過程。主動的風險管理。對變化做出有效地響應。更進一步的信息，請訪問下面的URL：/msf安全體系架構建設安全體系架構定義組織安全體系架構即人員、流程和技術的整合，以確保組織信息資產得到正確使用，且只有獲得授權的個人能夠使用這些資產。人員、流程和技術是相互依賴的元素，缺少任何一種都會增加安全性被攻破的潛在可能。建立層次化安全防御體系建立深度防御以使電子政務信息安全得到最大程度保護。深度防御是一種多層方法，它對資源應用多種策略以保護其免受外部和內部威脅。深度防御有時被視為深層安全性或多層安全性，深度防御是描述安全性對策（用于形成一個具有凝聚力的安全性環境）層級的術語。深度防御策略部署包括全方位的保護性措施，從外部路由器直到組織資源的所在位置以及兩者之間的所有位置點。部署多層安全性可以保證在某個層受到損害時，其他的層仍能夠提供所需的安全性用于保護企業信息資源。例如，損壞組織的防火墻并不能使攻擊者不受限制地訪問組織最敏感的數據。理想情況下，每一層都應提供不同形式的安全對策，以阻擋在多個層中使用的同一種攻擊方法。主要包括有物理層、邊緣層、網絡層、主機層、應用層、數據層防御。安全體系架構建設要素人-建立安全小組建立完備的技術支持隊伍對于保證電子政務安全起著至關重要的作用，安全小組在幾乎所有的IT活動中都發揮著重要的作用。一個信息系統如果其安全基礎脆弱的話，最終將會受到安全攻擊。根據信息系統和攻擊嚴重程度的不同，結果可能會有所不同，從困難到數據損失，到收入的損失乃至使用壽命的縮短。安全小組的基本目的在于確保數據的保密、數據的完整性、數據的可用性。安全小組需要不斷接受系統的，新的培訓才能適應新的挑戰，擔負起實現電子政務生產安全保障的責任。安全小組的主要責任包括：幫助監測對IT資源進行正確的操作。檢測入侵行為并預防病毒攻擊。提供對拒絕服務病毒的保護。規定數據保留和可靠數據處理的策略。進行審查跟蹤和報告。提供有效的網域安全設計和管理。測試并實施戰略安全技術。檢測和評估網絡弱點。提供快速、實時的網絡入侵響應。努力滿足PublicKeyInfrastructure（PKI）技術需求。努力滿足InternetProtocol（IP）安全需求。努力滿足身份驗證和訪問方法的需求。努力滿足用于策略使用和需求（例如口令策略）。努力滿足外部和物理安全性的需求（例如對計算機房的使用）。努力滿足可靠的消息服務需求。為公司內部的安全計劃提供持續不斷的技術支持和有關主題的專門知識。安全小組需要的主要技能包括：對安全策略的理解力和審查其完整性的能力。對業務領域和他們處理的數據類型的理解力，以改善安全性。在各種服務器上建立共享區域的能力。對公司的操作平臺的安全模型深入的理解。豐富的組網知識。了解病毒和抗病毒方法。兼顧安全問題和生產率問題的能力，確保二者都不因安全策略受到很大削弱。為不同組的用戶建立安全配置文件的能力。教育并通知員工，使其了解安全流程的能力。出現安全問題時與其他IT組合作協商的能力。了解保障數據和文件安全的方法，例如身份驗證和加密，以及實現和改善這些方法的產品。與提供安全解決方案的供應商合作的能力，以評估其提供的產品。監控員工外出等安全風險的能力，幫助維護安全。進行安全檢查的能力。過程-風險評估沒有風險評估，風險管理的過程，安全建設無從談起。我們建議采用“安全風險管理原則”指導風險評估工作。資產評估和估價“資產評估和估價”步驟的目的是識別那些如果出現問題便會對電子政務造成不利影響的資產。資產識別識別資產可能很簡單，也可能很困難，這都取決于組織中使用的后續采購流程和資產跟蹤機制。識別資產的第一步就是對組織中需要維護的數據類型進行分類。例如，硬件設備通常僅包含設備的配置數據，這種配置數據只包含一定量的數據值。除了包含完全不在同一級別的客戶和員工數據值外，主機和設備通常還包含一些類似的信息。資產還包括商業秘密、智能財產和專利，所有這些資產在受到危害后，都會對組織的財產造成顯著的影響。資產估價識別資產后，還有重要的一點，就是要確定以下列術語表示的每種資產的價值或貨幣價值：物理價值：資產物理價值可通過定義下列信息來確定：硬件成本軟件成本支持成本替換成本業務價值：數據的業務價值可能基于數據對組織的整體財務目標所做出的貢獻或對外部人員或組織數據的價值。一般說來，這種價值很難量化。按相對價值計算，業務價值應當提供數據損失所造成的影響與其他資產損失所造成的影響的對比數據。數據的價值通常遠遠超過存儲該數據的硬件的價值。另外，此價值還可能包括由資產損失所導致的資產替換或資產修復成本。間接價值：間接價值可能是最難量化的價值。此價值是指損失資產或資產受到危害時，組織在承擔負面報道、訴訟、業務流失過程中所損失的價值。例如，通過惡意公開客戶私人數據而使組織聲譽或品牌受到破壞。競爭價值：這是對競爭者的數據價值，也是很難量化的。它應當反映出外部機構愿意為資產中包含的實際數據支付多少的貨幣價值。資產價值是一個貨幣數字，用于計算資產的預期損失。是上述四種價值的總和。資產優先級識別資產是一個定性的過程。確定每層中資產的潛在價值時，應謹記組織的整體收益業務目標，這有助于定義每層的資產優先級(AP)和數據類型，以便于將精力集中在優先級最高的項目上。需要考慮的主要因素包括：資產的財務價值。構建資產所需成本。保護資產所需成本。支持資產所需成本。恢復資產所需成本。資產競爭的價值。安全風險識別“安全風險識別”步驟包括收集可用的威脅知識、創建當前攻擊方法和攻擊技術的列表，分析可能會被攻擊者利用而對組織資產造成破壞的系統漏洞和策略漏洞。“安全風險識別”步驟的目的是識別可能受到危害的組織資產、這些資產所面對的威脅、威脅對資產造成破壞的可能性，以及威脅破壞對資產所造成的影響。此步驟中使用下列術語：威脅：潛在的危險，通常指可能對資產造成破壞的人員、物品或事件。威脅代理：威脅的形式，如電腦黑客、入侵者或自然事件，如颶風。漏洞：被威脅發現為潛在攻擊點的軟/硬件缺陷或程序缺陷，其中包括攻擊成功的可能性。攻擊腳本：威脅代理用于攻擊漏洞的方法。風險：資產、威脅、漏洞和攻擊腳本組合的可量度表現形式。它是指該組合對組織具有的潛在影響。安全風險陳述鑒定安全風險陳述是對組織的現有安全性狀態與潛在未實現的安全性威脅所造成的后果之間關系的一種表達。安全風險陳述的第一部分被稱為“風險條件”，該部分對可能導致傷損壞出現的現有狀況或潛在威脅進行了描述。風險陳述的第二部分被稱為“風險結果”，該部分描述了人們不希望出現的，由風險條件而導致的資產機密性、完整性和可用性損失。安全風險陳述鑒定是一個為了便于將資產風險進行優先級劃分而將風險陳述用更精確的陳述來表達的過程。下圖說明了這一過程。以下步驟提供了上圖所述過程中每一部分的詳細信息：以一個風險陳述開始，在前面的解釋中，風險陳述被定義為“風險陳述鑒定”的一部分。按照前面詳細介紹的“威脅分析”過程，使用0到100的尺度為威脅分配一個威脅概率(TP)，其中0%表示威脅概率最低，100%表示威脅概率最高。威脅概率是潛在的威脅代理入侵您環境的概率。使用1到10的尺度分配一個臨界因子(CF)，其中1代表最低，10代表最高。臨界因子是對資產構成威脅的潛在攻擊腳本的級別。使用1到10的尺度為投入力度(E)分級，其中1代表最低級別，10代表最高級別。投入力度是指攻擊者使用一個特殊的攻擊代碼所需的專業技術水平。確定風險因子(RF)。風險因子是臨界因子除以投入力度所得的值。使用公式(TP×RF)來確定威脅頻率級別。使用1到10的尺度為漏洞因子(CF)分配級別，其中1代表最低級別，10代表最高級別。漏洞因子(VF)是對特殊形式攻擊感染能力的一種度量。按SRMD過程的“資產評估和估價”步驟中所定義的內容確定資產優先級(AP)。使用公式(VF×AP)來確定影響因子(IF)。使用公式（威脅頻率級別×影響因子/1,000)來確定曝光因子(EF)。曝光因子以百分比形式表示。安全風險分析定義好組織中的風險后，將對這些風險進行分析，以確定應針對哪種威脅對哪種資產加以保護。安全風險概率此輸入是指安全風險陳述中風險條件所描述的情況實際發生的概率。在對風險劃分等級時最好使用數值來表示，因為數值可以提供一種以連續的形式表達風險的方法。如果安全風險概率為0，那么威脅將不會形成安全風險。如果概率為100%，那么威脅肯定構成了安全風險，而且可能是一個已知問題。安全風險影響安全風險影響是對資產負面影響所導致損失的嚴重性的估計，或是對資產失去機密性、完整性或可用性而導致的損失量的估計。安全風險暴露安全風險暴露是一種單一的數值估計，用于測量資產的整體安全風險，其中包括關于實際損失可能性和潛在損失量的信息。安全小組使用風險暴露量來對安全性問題進行等級劃分。在最簡單的量化風險分析方法中，將風險概率與風險影響相乘來計算風險暴露。安全風險補救和開發安全風險對策和操作過程的開發對于組織的安全策略來說至關重要。通過技術加固過程或通過開發組織范圍內的策略，可以前攝管理安全風險。安全策略開發過程還包括開發系統、策略的過程，以及跟蹤和報告未發生的安全風險的過程。這些機制可以幫助組織確保技術基礎設施中的預防性措施能夠正常工作，并確保新的安全策略和過程有效。優化與完善安全系統的建立非一日之功，是一個長久持續的建設過程。企業業務需求隨市場的變化而變化，新的技術的出現，新的系統的投產，新的安全問題、漏洞、攻擊手段的出現，都要求我們不斷學習、調整、優化安全系統，定制新的安全防范措施。我們可使用循環并且結構化的五階段流程來實施風險管理，這五個階段是：識別、分析、計劃、跟蹤和控制。主機層防御-桌面安全管理深度防御安全體系架構的各層面涉及不同內容的安全防御手段和技術，這里不做過多贅述，本文主要就微軟桌面安全管理解決方案做出介紹。桌面安全管理需求分析資產與風險管理建設電子政務安全體系架構的安全要素中，資產統計和漏洞分析起到基礎作用。沒有準確的資產統計和漏洞分析數據，對于數量龐大的桌面系統，絕大多數使用的操作系統為Windows系列操作系統，安全管理無從談起。集中的弱點管理自動的軟件資產到弱點對比-對比資產細節，同時用一個有效的弱點數據庫準確地列出影響資產的弱點。自動進行繁重的手工過程，節約時間和成本，消除人為錯誤的可能性。自動發現/自動資產庫存和清單-確定資產，從版本到Hotfix級別，對運行在資產上面的應用進行精確的盤存。自動跟蹤資產和應用。另外，它還提供用于弱點管理的實時的精確盤存，支持對新的威脅的實時反應。動態的代碼和內容更新-按照客戶確定的更新時間安排，動態地更新資產和漏洞的特征數據庫。提供及時的數據，降低維護應用的成本，反應更快。統計分析各資產安全補丁更新狀態；各嚴重程度級別的漏洞數量分布；各嚴重程度級別的漏洞在各類型資產中的分布；各嚴重程度級別的漏洞在各資產中的分布；每個月新發現的漏洞數、消除的漏洞數、殘留的漏洞數等等。軟件正版化管理我國政府越來越重視知識產權保護問題，各級政府部門正在進行或已完成軟件正版化工作。在這種情況下，保證電子政務系統滿足正版化要求，也成為桌面安全管理的重要內容。同時，通過限制各類非正版軟件的安裝使用，也避免了更多的系統漏洞出現和病毒攻擊的條件。自動軟件資產統計-自動進行軟件信息收集、匯總和統計，包括操作系統和各類應用軟件；軟件計量-進行軟件使用統計，計量License。系統加固電子政務系統中數量龐大的桌面系統，絕大多數使用的操作系統為Windows系列操作系統，很容易受到各種針對微軟產品的病毒攻擊，而且危害大、傳播速度快、隱蔽性強、暴發頻繁已經成為新型病毒的四大特點。打補丁是防止病毒利用系統漏洞實施攻擊的最好防護措施，同時可以防止黑客利用漏洞實施入侵。自動補丁下載/安裝-及時更新系統及應用補丁，防止網絡安全威脅。微軟桌面安全管理系統基于微軟的系統管理服務器SystemManagementServer2003(SMS2003)構建，SystemsManagementServer（SMS）為基于MicrosoftWindows?的桌面計算機和服務器系統提供了極具成本效益的、可伸縮性的資產與補丁管理。SystemsManagementServer與MicrosoftSQLServer?和Windows2000Server以及Windows2003Server操作系統完全集成--使其在任何規模的網絡中都容易安裝、配置和維護。主要提供功能包括：對計算機軟硬件資產自動掃描發現統計分析系統存在漏洞自動下載最新補丁包并根據各系統基于MBSA掃描結果的安全漏洞進行更新安裝可自動分發安裝其它應用程序可支持斷點續傳及管理節點冗余對客戶端進行遠程診斷管理定制生成資產及軟件或補丁分發管理報表桌面安全管理系統詳述SystemsManagementServer2003提供了集中式變更與配置管理解決方案，以幫助IT管理人員大大簡化對基于Windows操作系統的PC設備進行自動化管理，分發最新軟件、及時更新系統和應用補丁、遠程技術支持、軟硬件資產跟蹤統計等。產品結構SMS完全可以適于管理各級部門分布于不同網絡內大量桌面系統，它使用了一種允許自身超越當今已知規模最大的客戶環境實現擴展的分布式、層級化體系結構。由于SystemsManagementServer的早期產品版本就已被成功用來對由數十萬基于Windows平臺之PC系統構成的環境實施管理，因此，這種體系結構可謂“久經考驗”。站點層級模型在大規模環境下，IT部門可配置多個SMS站點，以便使體系結構適應不同網絡結構。SMS的基本構建模塊是站點服務器。每個SMS環境至少需要一臺站點服務器，而管理人員則可根據實際需要配置多臺站點服務器。這就允許為節省帶寬資源、分散工作負載并提供冗余支持而對站點服務器實施戰略部署。至少有一臺站點服務器應被指定為主控服務器，并配備用來存儲配置與操作數據的SQLServer數據庫。除此之外的附加站點既可以是主控站點服務器，又可以是輔助站點服務器；所不同的是，輔助站點服務器無需配備SQLServer數據庫和本地管理支持。軟硬件資產收集SMS可以收集基于Windows的桌面系統所有軟件和硬件信息，如操作系統版本、安裝的Office、SAP軟件、內存、CPU、網卡信息等。各種各樣的報告將基于結果數據生成，以幫助組織機構制定軟件升級計劃，跟蹤計算機與軟件資產，或檢查軟件許可證的有效性。舉例來說，在部署某個新軟件包之前，管理人員可能需要編制一份報告，以便顯示具備足以為相關應用提供支持的內存與磁盤空間的目標PC設備數量。這就允許那些不符合要求的系統在部署開始前得到升級，從而，確保實現較高的項目整體成功率。從Windows98開始就已被內建于Windows操作系統的Windows管理規范（WMI）提供了組成擴展使用情況的信息。SMS借助WMI提供內容盡可能豐富的系統數據集（包含BIOS、主板和封裝數據）。軟硬件資產報表SMS提供了包含120多種預建報告模板在內的Web報告服務，以及在管理人員控制下利用自定義報告對上述預建報告進行擴展的選擇。已經提供的標準報告涉及多種目錄、軟件使用活動和SMS操作選項。SMSWeb報告服務還提供了深層挖掘特性，用戶只需在自己感興趣的報告中點擊某一行，即可進一步調閱底層報告。每個底層報告均可為管理人員提供更多詳細信息，直到關于單個計算機或用戶的完整目錄信息被全部顯示出來。SMS提供靈活的查詢報告方式，可以檢查所有客戶端的補丁安裝情況，也可以就某一安全補丁查詢所有客戶端安裝情況，同時還可以根據自定義的分類來靈活查詢。補丁管理SMS的安全修補程序管理特性將參照記錄著已發布重要更新的Microsoft網上在線數據庫對所有受控系統上的已安裝軟件進行檢驗，并就每臺受控計算機所需安全修補程序做出報告。管理人員可借助一個向導程序自動下載最新修補程序，并將其部署至需要它們的目標系統，從而，實現根據實際需要安排部署計劃、定位部署對象，提高補丁安裝成功率。建立保障系統安全運行的補丁分發體系，對于保障電子政務網絡安全具有重要意義，可以最大限度的減少由于系統漏洞導致的病毒攻擊或黑客入侵。獲得最新補丁發布的消息/獲取補丁來源為了及時了解補丁發布情況，補丁管理員應該參考完成下列工作：在/security/security_bulletins/alerts2.asp訂閱安全公告的電子郵件通知（你可以選擇中文電子郵件通知）；定期查閱最新的安全公告，及時查閱微軟安全服務信息，進行補丁分發工作；如果SMS服務器不能連接Internet，需要定期下載最新的安全補丁列表/download/xml/security/1.0/nt5/en-us/mssecure.cab并復制到SMS服務器上；當有新的安全公告發布后，評估它對企業內部環境的影響并決定是否安裝該安全補丁；若決定安裝該安全補丁，下載該安全補丁(若該補丁對不同的操作系統有不同的文件，則不同操作系統的補丁都要下載)并先在測試實驗室中的計算機上部署；該安全補丁通過測試后，正式部署到企業中所有計算機；檢查安全補丁分發結果，定期生成報表。補丁分發機制/自動識別版本通過網絡管理員對不同系統集合的管理和定制，結合補丁分析MicrosoftBaselineSecurityAnalyzer即Microsoft基準安全分析器MBSA（以下簡稱MBSA工具）的掃描，可以讓系統自動識別軟件的版本情況。MBSA可以通過引用Microsoft不斷更新和發布的可擴展標記語言XML文件（mssecure.xml），來確定將哪些關鍵安全更新應用于系統。該XML文件包含哪些安全更新可用于特定的MIcrosoft產品的信息。該文件包含安全公告名稱和標題以及有關特定產品安全更新的詳細數據，其中包括：每個更新程序包中的文件及其各個版本和校驗和、更新安裝程序包所應用的注冊表項、有關哪些更新可代替其他更新的信息以及Microsoft知識庫中相關文章的編號等等。新機器或長時間關機的機器自動補丁升級對于新機器和一些很久沒有連入網絡的機器而言，通過網絡發現后，使用軟件安全策略，在發現這些機器不符合企業網絡的安全要求時，網絡補丁服務器將自動把補丁發到這些機器上，并且在這些機器安裝完補丁前，將禁止這些機器在網絡中的權限和使用。在普遍連接實現之前，商務旅行者仍將繼續利用緩慢的、不可預知的網絡連接來開展他們的業務。SMS同樣可以管理以確保對關鍵的業務應用程序的訪問并保持最新的安全配置，同時還向IT人員提供應用程序配置、狀態和使用情況等方面的信息。補丁分級發送對于復雜網絡架構，由于網絡帶寬和管理策略的要求，可能需要建立補丁的分級分發模式，SMS在建立多級架構時，可以在各級分發服務器自動完成補丁的分發同步操作，優化網絡帶寬使用。應用軟件分發SMS特性集的一項關鍵優勢一直是該產品針對基于Windows操作系統之桌面計算機、筆記本電腦和服務器的強大而靈活的軟件部署支持。管理人員可基于中央控制臺在將軟件包部署至遍布網絡系統的目標計算機時對它們執行封裝、復制、定位、推薦和跟蹤。軟件包還可在允許最終用戶干預或無需最終用戶干預的情況下實現部署，而任何IT支持人員均不必親身前往目標系統。無論軟件產品是像WindowsXPProfessional這樣的操作系統、像MicrosoftOffice這樣的完整應用套件，還是由第三方廠商提供或自行編寫的日常商務應用，亦或較為重要的Windows系統更新，SMS均可借助簡單易用的界面、向導以及與操作系統服務之間的高度集成大幅降低確保軟件處于即時更新狀態所需付出的工作量。舉例來說，管理人員可借助SMS將一個新的服務軟件包部署至公司范圍內基于WindowsNT操作系統的所有服務器。安裝服務軟件包所必需的源文件被首先復制到遍布全球的SMS站點，這有可能借助非高峰時段內的網絡WAN鏈接得以實現。而軟件包的實際安裝則可被安排在非高峰時段分別針對全球范圍內的每個辦公機構執行。每臺計算機均可利用網絡系統上距離最近的拷貝執行服務軟件包安裝操作，并將由此產生的網絡流量控制在最低水平。在各級網絡以本地方式部署SMS并配備多種帶寬管理特性的分布式體系結構允許在不會導致網絡超負荷運轉、關鍵業務通訊中斷或為用戶帶來不便的前提下輕而易舉地將軟件部署至規模極大的應用環境。狀態報告允許管理人員在任何安裝問題發生的第一時間對它們做出突出標識，并在此基礎上迅速采取補救措施避免出現類似故障，從而，為大規模部署方式提供更高水平的援助支持。遠程訪問管理員日常工作中有大量工作是對桌面系統的使用問題或故障提供技術支持，SMS提供了一系列的信息技術支持工具讓管理員進行遠程訪問，提高支持效率，降低工作負擔。這些工具包括：遠程啟動——當管理員為一個遠程客戶端提供支持的時候，他們可能需要重新啟動客戶端來測試啟動過程中作出的改變，或者調入一個新的配置，或者在一個客戶端計算機由于硬件或軟件的誤操作而被鎖住以后而重新啟動。通過使用遠程啟動工具，管理員可以重新啟動客戶端計算機。遠程對話——通過遠程對話工具，管理員可以和任意客戶端計算機的用戶進行對話。當一個管理員啟動一個會話進程時，在SystemsManagementServerAdministrator計算機和被選中的客戶端計算機上都將出現遠程對話窗口。當管理員或者客戶端上的用戶在自己的窗口中鍵入文字時，在對方的窗口中將出現相同的內容。文件傳輸——使用文件傳輸工具，管理員可以在基于SystemsManagementServer的控制臺計算機和被選中的客戶端計算機之間傳輸文件。遠程執行——遠程執行功能能夠讓管理員在遠程基于Windows的客戶端計算機上運行應用程序或者批處理文件。當管理員用遠程執行而不是遠程控制工具時，用戶看不見被執行的命令行，而且命令的執行也更加迅速。AD目錄服務集成SMS支持與ActiveDirectory之間的高度集成將允許管理人員根據組織單位成員資格、用戶組、計算機組乃至MicrosoftExchange2000分發列表等非安全對象進行軟件部署定位。這種ActiveDirectory支持的實現途徑為：發現與目錄附帶之所有用戶和計算機相對應的對象成員資格，并將這些成員資格作為屬性添加到由SMS數據庫存儲的目錄數據當中。管理人員將可通過與硬件或軟件目錄屬性使用方法完全相同的途徑借助這些ActiveDirectory屬性創建目標集合。管理人員可對ActiveDirectory搜索進程實施定制化處理，選擇不同日程計劃，并將所需執行搜索的ActiveDirectory層級組成部分納入定位范圍。這種粒度控制將確保目錄整體性能不會受到搜索進程的重大影響。SMS還可借助ActiveDirectory面向網絡系統上的客戶端發布特定SMS服務與服務器所處位置。SMS能夠將ActiveDirectory用作定位服務，并在此基礎上簡化客戶端操作，并盡可能降低客戶端服務搜索期間產生的網絡流量。此外，SMS站點界限可在邏輯上與ActiveDirectory站點定義相對應。ActiveDirectory站點定義特性允許管理人員使用子網通配符定義站點邊界，這就允許將覆蓋面較大的IP地址輕松集成到SMS站點界限集合當中。提供高級安全模式，提高SMS安全保障自動桌面系統發現及SMS客戶端安裝，節省時間，避免網絡發現壓力高級管理特點支持補丁和應用分發斷點續傳SMS使用BITS（后臺智能傳輸服務），對于檢查點/重啟的情況均可處理。一度被中斷的客戶端文件下載進程將可隨網絡連接的重建實現斷點續傳。BITS可提高文件傳輸的速度，改進恢復功能并減少網絡帶寬損耗。BITS在客戶端和服務器之間傳輸文件，并向客戶端返回文件上載和下載操作的進度信息。BITS并發前臺傳輸使用全部帶寬來支持多個作業的文件的傳輸，而只使用空閑帶寬來支持后臺傳輸。如果文件傳輸過程被中斷，BITS可以準確地從中斷點恢復文件傳輸，而不是重新傳輸整個文件。由于BITS可以準確地從中斷點重新開始傳輸，因此在發生諸如網絡中斷和計算機重啟等故障時，可以有效地恢復所有傳輸。BITS提供以下功能：執行并發前臺下載。支持遠程名稱的服務器消息塊(SMB)協議。支持文件范圍下載。它是一種可更改文件傳輸源的程序。減少客戶端帶寬消耗。網絡帶寬感知自動檢測客戶端網絡連接的容量并有效地調整傳輸速率，使傳統臺式機和移動PC都能以一種帶寬感知的方式下載軟件。在其他服務開始使用共享鏈接時，下載速度將得到動態的調整。還可以配置為不在連接時安裝應用程序和更新，而是下載整個程序包，在以后運行安裝程序，即使當時網絡已不可訪問，也不受影響。SMS高級客戶端借助后臺智能傳輸服務（BITS）技術自動檢測客戶端網絡連接帶寬，并以高效方式對傳輸速率進行調整。當使用共享鏈接的其它服務啟動時，下載速率會以動態方式接受調節，以便將SMS網絡流量降至后臺水平。避免業務數據傳輸受到影響。增量內容復制當一個應用軟件出現升級版本時，可能只是更新其中的某個文件，如果需要重傳整個軟件包，會對網絡利用形成極大浪費。SMS提供了增量軟件包復制的特性，增量軟件包復制特性可在無需重傳送整個更新軟件包映象的前提下，在站點間對軟件包修改內容進行復制。方案優勢產品優勢多年來，IT管理人員一直成功運用Microsoft?SystemsManagementServer對組織機構內部基于Windows?操作系統的桌面計算機和服務器實施管理。近年來，隨著企業機構中WindowsPC部署數量的大幅增長，SMS已幫助IT管理人員在支持PC和應用部署規模持續擴張的同時，有效控制分布程度如此之高的系統管理成本，并將總體擁有成本保持在較低水平。當然，隨著新技術不斷得到采用和PC應用配置的日趨復雜化，基于Windows操作系統的PC設備部署環境也處在持續變化之中，SMS專門設計用來對這些發生在PC領域內的變化趨勢進行追蹤并提供支持，同時，面向新興應用情境和技術手段提供支持。技術優勢SMS為處理和解決企業桌面安全管理需求提供了一款綜合解決方案。簡單高效的部署模式-SMS特別適用于大型企業、機構部署的實施，項目困難和成本可能會隨企業規模而增加，SMS支持多層次的企業架構，上、下級系統的數據可根據系統管理的需求進行匯聚；并可在中心節點（主站點）實施全網的統一配置、管理策略。有效的管理-SMS是MicrosoftCorporation針對Windows系統變更和配置管理的策略性解決方案。隨著硬件和軟件資產成為IT預算的一個大的組成部分，在持續交付重要業務功能的同時，組織也在愈發努力地尋找降低這些成本的方式。SMS通過降低管理和部署軟件的整體操作成本實現了這一目標。了解軟件資產-隨著各級組織對降低成本的日益關注以及正版化管理的要求，準確跟蹤軟件的生命周期和保持符合供應商的許可策略已成為組織必須具備的能力。SMS提供