PC桌面管理解决方案
一．需求分析
目前，围绕PC桌面管理，管理需求主要体现为如下几大部分：
补丁管理能提供全自动为终端PC安装补丁程序得功能，能提供直接与微软补丁更新网站的即时更新功能，并自动将网内PC缺少的补丁自动下载地服务器，并将最新补丁最快速在网络内得到部署，保证PC桌面的免疫力。

资产管理能查询和统计计算机的基本硬件配置以及应用软件安装情况；随时了解硬件基本配置变动及软件安装和卸载情况。

报警管理能对网内PC出现的各种异常事件进行及时的报警，并能够通过默认设置的策略，将有网络异常的PC最快速隔离，保证整个网络环境的安全性。

桌面进程管理能定义并部署PC应用程序管理策略，使PC的内在行为得到有效的管理，避免由于使用者的非授权操作或误操作导致系统故障。

远程维护可以跨地域解决PC常见的问题，同时通过严格授权，为系统管理员提供不同PC不同权限的系统功能
网络访问管理定义并部署PC网络端口访问策略，规范PC访问互联网及局域网内部应用服务资源的行为，同时通过策略，指定网络资源访问时段及可以访问的网络类型。

同时对于非法接入或非法外联有具体的策略可以限制。

外设管理能够使USB、串口、并口、光驱及软驱等设备按照IT总体管理要求使用，通过定义具体的接口或某些设备类型的策略，规范外设使用。

桌面设置管理能提供批量更改桌面设置的功能，对ＩＰ／ＭＡＣ进行绑定。

接入安全管理提供对非法接入PC、卸载关键软件等进行阻断或重定向等管理手段
通过以上各层面的管理，能够使计算机应用环境最大程度地保持稳定性，并根据管理需求发挥最大效力，同时提高计算机资源管理的主动性，不要让计算机内部运行环境
成为管理的黑匣子或盲点，尽可能避免由于系统故障给工作带来不利影响。

二．系统解决方案
针对需求，我们提出如下解决方案，并形成补丁管理、资产管理、进程管理、远程维护、网络端口管理、外设管理、桌面设置管理、网络预警等一体化的解决方案，并通过这一方案，能够满足贵单位桌面安全和提高管理效率的管理要求。

2.1 资产管理
PC机软、硬件报表统计
自动收集被管理的PC机IP地址、MAC地址、计算机名、品牌、厂商、计算机型号、CPU型号及主频、内存大小、硬盘型号及大小、光驱、显卡、声卡、软驱、等硬件信息以EXCEL报表形式显示并下载保存。

自动收集PC机安装的各种应用软件，并根据需要动态导出。

并进一步对网络内应用软件的部署情况有充分的了解，提高对PC桌面管理的透明度。

PC机软、硬件变动跟踪
将任何一台终端发生的有关硬件配置的变化、最近安装了什么软件以及卸载了什么软件及时反映出来，使管理人员及时了解计算机发生的变化，如果是恶意操作，则第一时间进行处理。

并通过及时发觉软硬件变化，进一步阻止或调整，使其可能带来的损失降低到最小。

2.2 进程管理
可以自动汇总网络内的应用程序进程，实时查询PC正在运行的进程。

并通过白名单或黑名单策略，统一管理桌面应用程序的运行，如发现可疑进程，或者是一些非法进程(比如上班时间不需要使用聊天工具，使用BT，flashget等下载工具影响了网络速度，上班时间玩游戏，看电影等)，那么，可以随时随地的杀死这些进程；并且，利用进程管理中特有的黑白名单设置，进行永久性的进程封堵(假设上班时间不允许看电影，把电影软件进程加入，则永久性的无法启动这个程序，除非再次解除进程管理策略)。

利用这样的特性，IT人员将可以全局性地控制网络内可以运行的程序，确保内部网络的最高可利用性和安全性。

2.3全网络补丁自动无人值守安装
补丁管理功能模快能够控制服务器自行连接微软的补丁更新网站，检查并下载内部网络所缺少的所有补丁，并以服务器为中心，进行补丁的推送安装，确保内部网络所有PC能够在最短的时间里打上最完全的补丁，减少黑客或病毒攻击的机率。

具体功能如下
●自动连接微软补丁更新网站进行补丁的下载
●自动扫描网络内PC缺少的补丁，并能够自动为客户端更新补丁
●可以设定时段执行补丁安装程序
●可以设置更新和下载模式
●支持手工的补丁程序批量分发
●Windows Installer MSI程序包分发
●同时可以批量分发应用软件和数据
2.4 网络访问管理
通过该功能对客户端访问服务器端口进行设置，且可按照不同的时间段进行自定义策略。

做到客户端可控访问服务器各类服务端口，控制如HTTP、FTP、POP3、SMTP 等端口并且可以按不同时间段定义不同策略，达到相应的管理目的。

●目标主机的端口控制
●访问时段设置
●可以定义PC对外禁止访问的网站地址的策略
●可以定义PC对外允许访问的网站地址策略
●可以将策略进行组合
●策略动态部署，即时启动和停止
●针对于物理隔离的网络，或者是保密机构，当发现本不允许上网的电脑非法外
联的时候，或者发现有外部数据进入内部网络的时候，则进行阻断。

最大限度
的保护内部网络的安全性和可靠性。

2.5 远程桌面管理
由于跨楼层跨地域的PC分布，为了提高管理效率，需要有一种安全、方便、快捷的方式指导使用者进行操作维护。

远程桌面管理提供直接以远程接管、远程查看等方式，将被管理PC桌面同步到本地PC，对远端PC直接维护，有助于管理人员进行远程的故障诊断和排除。

具体功能如下：
●远程接管PC桌面
●强制管理模式
●非强制管理模式，请求并且得到对方同意后方可管理
●连接时限的设置
●可以分级授权，授予不同管理员对不同的PC有
●提供查看和可操作模式
●通过IE进行远程支持
2.6 外设管理
针对日常使用的外设，定义相应策略，禁止或允许：U盘等USB的存储设备，USB接口的扫描仪、刻录机，打印机，摄像机，禁止或允许光驱、软驱、MODEM、串口设备、并口设备等的使用。

2.7桌面设置能力
通过网络基本设置管理进行网络维护，针对于远程PC进行设置，包括:
●统一规划分配IP地址，防止IP被非法使用，通过IP地址与PC绑定功能，
有效的控制网络内PC的网络行为
2.8 预警系统
●实时的了解各PC的系统状态，比如CPU使用率，内存使用率，系统盘的使
用情况等等。

有效掌握网络数据，有充分的力量来应付可能的突发事件。

●可以定义异常事件，如果发生，及时向管理员进行警告。

●可以监控到CPU，内存长时间超标，网络带宽长时间超标。

●监控外设、串口，并口流量事件。

监控运行非法软件事件。

2.9 接入安全管理
●新接入网或非法PC
１：阻断其网络通信２：例外放行３：重定向ＵＲＬ
●合法ＰＣ但未安装ＩＰＤ客户端
１：阻断其网络通信２：例外放行３：重定向ＵＲＬ
●合法ＰＣ其ＩＰ地址变更
１：阻断其网络通信２：例外放行３：重定向ＵＲＬ
●未安装规定软件时
１：阻断其网络通信２：例外放行３：重定向ＵＲＬ
●安装非法软件时
１：阻断其网络通信２：例外放行３：重定向ＵＲＬ对这些异常事件有效的进行系统即时处理，避免事件的进一步恶化。