IO 功能: 桌上型電腦、裝置與伺服器管理 - 基本至標準化層級
本頁內容
.gif){kind=icon}
簡介
需求: 自動化修補程式發佈至桌上型電腦及膝上型電腦
檢查點: 自動化修補程式發佈至桌上型電腦及膝上型電腦
需求: 定義桌上型電腦及膝上型電腦的標準映像
檢查點: 定義桌上型電腦及膝上型電腦的標準映像
需求: 集中化管理行動裝置
檢查點: 集中化管理行動裝置
需求: 行動裝置的身分驗證、資料保護和資料備份
檢查點: 行動裝置的身分驗證、資料保護和資料備份檢查點
需求: 將桌上型電腦映像整合至兩個作業系統版本
檢查點: 將桌上型電腦映像整合至兩個作業系統版本
簡介
桌上型電腦、裝置與伺服器管理是第二個核心基礎結構最佳化功能。下表說明在桌上型電腦、裝置與伺服器管理中移至標準化層級的高層級挑戰、適用解決方案,以及優點。
挑戰 |
解決方案 |
優點 |
|---|---|---|
業務挑戰 未經授權存取行動裝置上敏感資料的風險 組織或單位無法定義行動原則 裝置設定的原則不同 缺乏集中化的企業標準以管理或強制執行裝置原則 IT 挑戰 沒有硬體、作業系統及應用程式的標準 桌上型電腦未集中化管理,導致作業及軟體發佈成本提高 不一致的修補程式管理導致更多安全性弱點 高度反應性 IT,浪費資源處理非預期的問題 無法遠端移除遺失或遭竊裝置上的資料 |
專案 部署自動化的集中式修補程式管理解決方案 實作標準化的精簡映像型部署解決方案 實作管理解決方案以監視關鍵伺服器 實作行動裝置佈建解決方案,內含安全性原則佈建、遠端清除以及原則強制執行 |
業務效益 具備企業網路與裝置之間的直接連線能力,使行動工作者能持續保持更新 使用系統管理工具可降低每部電腦的管理成本 IT 優勢 監視服務有助於簡化識別問題、快速判斷造成問題的原因,並有效的還原服務以避免潛在的 IT 問題 以更快速且更低廉的價格部署電腦 降低支援工程師與作業成本 系統管理員能確認資料受到完善保護,並遵循企業的安全性原則,包括設定密碼原則及遠端移除裝置資料的能力 |
基礎結構最佳化模型中的標準化層級,所討論的是管理上的關鍵領域,包括:
自動化修補程式發佈至桌上型電腦及膝上型電腦
定義桌上型電腦及膝上型電腦的標準映像
將桌上型電腦映像整合至兩個作業系統版本
集中化管理行動裝置
行動裝置的身分驗證、資料保護和資料備份
最佳化的標準化層級要求貴組織必須具備程序和工具,以自動化發佈修補程式、管理及整合標準桌上型電腦映像,以及集中化管理連線的行動裝置。
需求: 自動化修補程式發佈至桌上型電腦及膝上型電腦
對象
如果您沒有對 80% 以上的桌上型電腦及膝上型電腦採用自動化的修補程式發佈程序,請閱讀本章節。
概觀
現今的 IT 專業人員在實作高效軟體更新管理策略時,面臨艱鉅的挑戰: 現在有更多裝置和行動使用者都在存取企業網路、軟硬體供應商提供一致的安全性更新資料流、系統與應用程式的使用量持續擴充、幾乎每天都會出現新的安全性威脅,以及駭客的技術日新月異。
階段 1: 評估
「評估」階段是修補程式管理程序中的第一個主要步驟。這個程序一開始要執行的是評估,因為您需要判斷生產環境的狀況、可能面臨的安全性威脅與弱點,以及貴組織是否已準備好回應新的作業系統或應用程式軟體更新。
以理想的情況來說,評估是一個持續性的程序,您應該遵循此程序以隨時瞭解自身所擁有的電腦資產、如何保護這些資產,以及如何確保軟體發佈架構可以支援修補程式管理。
持續性評估的關鍵範圍包括:
清查/找出現有的運算資產。
評估安全性威脅和弱點。
判斷軟體更新相關資訊的最佳來源。
軟體版本控制,以維持標準應用程式版本。
評估現有的軟體發佈基礎結構。
評估操作效益。
Microsoft 提供幾項工具、公用程式及產品,協助修補程式管理的「評估」階段。其中包括:
本章節最後提供這些工具的比較。Microsoft 合作夥伴及其他協力廠商提供其他可用於「評估」階段的產品及工具。
階段 2: 識別
「識別」階段的目標在於:
使用可靠的方法找到新軟體更新。
判斷軟體更新是否適合您的生產環境。
取得軟體更新來源檔案並確認它們是安全而且能夠順利安裝。
判斷軟體更新是否應視為緊急情況。
通知是找到新軟體更新的第一步,您可以透過訂閱可靠的來源以提供掃描和報告活動,或其他可靠的通知機制取得通知。下列是最常使用的通知機制:
電子郵件通知: https://www.microsoft.com/technet/security/bulletin/notify.mspx (英文)。
檢視 Windows Server Update Service (WSUS) 主控台工具列中的更新。
SMS 2003 Inventory Tool for Microsoft Updates (ITMU): https://www.microsoft.com/technet/downloads/sms/2003/tools/msupdates.mspx (英文)。
弱點掃描工具,例如 MBSA,以掃描遺漏的更新。
您可以使用下列方法篩選,以判斷軟體更新是否適用於您的 IT 基礎結構:
閱讀資訊安全佈告欄及知識庫文件。
檢閱個別的軟體更新。
取得更新後,應透過下列活動加以驗證:
識別並驗證軟體更新擁有者。
檢閱所有附帶的文件。
確保軟體更新不帶有病毒。
階段 3: 評估與規劃
「評估與規劃」階段的目標是決定是否部署軟體更新、判斷部署更新所需的資源,以及在類似生產的環境中測試軟體更新,以確保不會危害到業務關鍵系統和應用程式。
評估與規劃的關鍵需求為:
決定適當的回應。
規劃軟體更新的發行。
建置該發行版本。
進行發行版本的接受度測試。
若要判斷對於可用更新的適當回應,您應該:
排列要求的優先順序並加以分類。
取得部署軟體更新的授權。
發行規劃是決定要如何將軟體更新發行到生產環境的程序。下列是規劃發行新軟體更新的主要考量:
決定需要修補的項目。
識別主要的問題和限制。
建置發行計劃。
若要建置發行版本,您必須開發指令碼、工具和程序,讓系統管理員用來將軟體更新部署至生產環境。
不論軟體更新被視為是一般更新或是業務關鍵性更新,都應執行測試,其結果如下:
完成軟體更新安裝後,電腦應重新啟動且操作正常。
若要發行至網路連線速度緩慢或不可靠的電腦,軟體更新可以從這些連結下載,下載完畢後可順利安裝。
軟體更新附帶一個解除安裝常式,可以用來順利移除軟體更新。
業務關鍵系統及服務在安裝軟體更新後仍持續執行,且如有必要也已重新啟動電腦。
最佳作法是具備測試與驗證基礎結構,在進入生產階段前測試軟體更新。有關建置測試與模擬環境的指南,請參閱 Windows Server System 參考架構的虛擬環境部署與測試 (英文)。
Microsoft Virtual Server 2005 R2 和 Microsoft Virtual PC 2004 SP1 (英文) 是免費下載軟體,可使用於測試與驗證基礎結構中。
階段 4: 部署
「部署」階段的目標是成功地將核准的軟體更新部署至生產環境,如此您便得以達成當時任何的部署服務等級協定 (SLA) 需求。
軟體更新的部署應包含以下活動:
準備部署。
將軟體更新部署至用戶端電腦。
成立部署後續檢視。
生產環境必須針對每一個新版本進行準備。準備部署軟體更新所需的步驟應包括下列項目:
與組織溝通軟體更新的上市排程。
在發佈點執行更新。
在生產階段部署軟體更新的步驟,應包含下列項目:
通告用戶端電腦有關軟體更新的資訊。
監控和報告部署進度。
處理失敗的部署。
實作後續審核通常應該在版本部署後的一至四個星期進行,以便識別修補程式管理程序所應進行的改進。審核的一般議程包括:
確定弱點已加入至弱點掃描報告和安全性原則標準,如此就不會再次遭受攻擊。
確定您的組建映像已經更新,內容已包括部署後最新的軟體更新。
討論預期的結果相較於實際結果。
討論該發行軟體的相關風險。
檢討組織在整個事件中的效能。藉這個機會改進回應計畫,並附上這次所得到的經驗。
討論服務時間的變更。
作業
修補程式管理程序是一個持續且不斷重覆的循環。雖然在基礎結構最佳化模型中,「作業」並不是修補程式管理階段,但 IT 作業必須定義最符合貴組織需求與安全性目標的修補頻率。貴組織應定義一套系統,以判斷發佈修補程式的重要性質,且每一個修補程式發行層級都要具備已定義的服務層級。
可用的工具
有些工具和產品可自動化軟體更新的遞送和安裝。如同最佳作法修補中所述,必須手動控制要將哪些修補程式安裝至受管理的電腦。允許自動更新或 Microsoft Update 未經檢查即執行並不符合組織的修補程式管理最佳作法,但是,有時候當專門的 IT 人員人手有限時,或使用者在遠端且不受管理時,就可以使用這些技術。
建議用於管理軟體更新的選項是 Systems Management Server 2003 (SMS 2003) 及 Windows Server Update Services (WSUS)。除了這些選項外,許多 Microsoft 合作夥伴及其他協力廠商也都有其他產品可輔助修補程式管理。
下表列出由 Microsoft 提供用於安裝軟體更新的軟體工具。
功能 |
|||
|---|---|---|---|
支援的內容類型 |
所有軟體更新、驅動程式更新、Service Pack (SP) 和 Feature Pack (FP) |
和 MU 一樣,只有關鍵驅動程式更新 |
適用任何 Windows 軟體的所有更新、SP、FP、支援更新與應用程式 |
適用性 |
個別使用者 |
中小型企業 |
企業客戶 |
修補程序中的工具範圍
下表列出修補程序中主要的工具相關功能:
產品或工具 |
軟硬體清查 |
掃描更新的目標 |
識別新的更新 |
管理控制安裝 |
自動化部署 |
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.gif)
本表格列出 Application Compatibility Toolkit (英文),因為其內含功能可判斷用戶端電腦的硬體規格及應用程式清查。另外還包括更新對應用程式的影響分析與報告功能。
確定安裝所有想要的軟體更新及 Service Pack,是管理標準設定的重要步驟。本表格列出 Systems Management Server 2003 Desired Configuration Monitoring (DCM) (英文),因為它會監視已知設定狀態是否遵循規定,並於要求的更新或 Service Pack 不在受管理的電腦上時通知系統管理員。
未來的《基礎結構最佳化實作人員資源指南》系列中的修補程式管理指南,將介紹伺服器及行動裝置的更新管理工具與程序。
詳細資訊
如需修補程式管理的詳細資訊,請造訪 Microsoft TechNet,並搜尋「修補程式管理」,或造訪 TechNet Update Management Solution Center (英文)。
若要查看 Microsoft 如何處理修補程式管理,請造訪 https://www.microsoft.com/technet/itshowcase/content/dtpatchmgmt.mspx (英文)。
檢查點: 自動化修補程式發佈至桌上型電腦及膝上型電腦
|
需求 |
|---|---|
|
實作程序和工具以清查軟硬體資產。 |
|
實作程序和工具以掃描用戶端電腦,找出軟體更新。 |
|
建立程序以自動識別可用的修補程式。 |
|
建立適用於每個修補程式的標準測試。 |
|
實作修補程式發佈軟體。 |
如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「自動化修補程式發佈」標準化層級的最低要求。建議您遵循其他最佳作法資源的指示,以監視及管理設定,確保用戶端修補層級維持在已知的標準之內。
移至下一個自我評估問題。
需求: 定義桌上型電腦及膝上型電腦的標準映像
對象
如果您 80% 以上的桌上型電腦沒有一套已定義的基本映像,請閱讀本章節。
概觀
若要成功部署作業系統,組織必須使用可用的最佳技術和業務程序,以及能使這些技術達到最佳成效的最佳作法。組織在開發運算環境的基準後,就具備明確且固定的部署設定,可降低支援、疑難排解及其他作業的成本。透過映像處理,標準的建置包含可用於部署工作站的核心應用程式、作業系統,以及任何其他組織需求。本文件列出可使用的工具及應採取的步驟,以自動化及建立標準桌上型電腦映像。標準映像的部署將於後續的文件中說明。
階段 1: 評估
大部分的 IT 實作人員都有相同的目標: 根據組織中每一個作業系統版本的一般映像,建立一個企業標準的桌上型電腦設定。IT 實作人員要隨時將一般映像套用至任何地點的任何電腦,並迅速自訂該映像以提供使用者服務。
實際上,大部份組織都要建置及維護多個映像,有時多達 100 個不同的映像。有些組織因減少技術與支援、採取原則化的硬體採購,以及使用進階指令碼技術,將維護的映像數目降低至只有幾個。這些組織通常具備複雜的軟體發佈基礎結構,用以 (通常在初次使用前) 部署應用程式,並維持更新狀態。
在「評估階段」,必須清查您的工作站並判斷環境中正在使用的作業系統與應用程式數目。建議您使用工具以自動化清查程序,例如 Systems Management Server (SMS) 2003 (英文)、Application Compatibility Toolkit (英文) 或 Windows Vista Hardware Assessment。
階段 2: 識別
在這個階段,您必須列出貴組織目前使用的磁碟映像處理技術與標準映像,並識別您所要實作的映像方向、工具及技術。由於桌上型電腦映像技術的進步,使用者會考慮是否應更新老舊的映像工具與作法。
有些工具可以用來擷取桌上型電腦映像。映像處理工具可以是以區段式的,且套用於目標電腦時會造成破壞,也有些是檔案式的工具且不會造成破壞。使用檔案式的映像技術,可以將新的映像安裝在部署目標電腦的不同分割區中,以允許進階移轉。
Microsoft 提供一套免費的命令列工具,可進行磁碟映像處理。名為 ImageX 的映像處理公用程式,使用 Microsoft Windows Imaging Format (WIM) 的映像格式。WIM 映像格式不是採用區段式映像格式,而是檔案式格式,且不具破壞性。SMS 2003 Operating System Deployment Feature Pack (英文) 也利用 ImageX 技術和 WIM 檔案格式,以建立和部署桌上型電腦映像。
Solution Accelerator for Business Desktop Deployment (BDD) 2007 (英文) 中也有其他工具,可整合定義和部署桌上型電腦映像所需的一些步驟。Deployment Workbench 是 BDD 2007 中內含的工具,會建立發佈共用並開發磁碟映像。未來的實作人員資源指南中,自動化的部署主題將進一步探討 BDD 2007 和 Deployment Workbench。
階段 3: 評估與規劃
在「評估與規劃」階段,您要討論貴組織可用於實作標準化桌上型電腦映像處理策略的方法。您應該衡量每一種映像處理技術與映像類型的成本與優勢,以開發最適合貴組織需求的策略。影響與建置、維護和部署磁碟映像相關成本的因素,包括開發成本、測試成本、儲存成本以及網路成本。
隨著映像檔案的大小變大,成本也隨著提高。大型的映像具有較多相關聯的更新、測試、發佈、網路及儲存成本。即使您更新小部分的映像,映像管理員也必須將整個檔案發佈至用戶端電腦。
三項主要的標準映像策略包括:
大型映像
小型映像
混合映像
大型映像
大型映像內含作業系統、應用程式,及其他企業標準檔案。大型映像的優勢是簡單,部署只有一個步驟,因為所有檔案都在一次部署完成。此外,初次執行時就可使用應用程式。缺點是維護、儲存和網路成本昂貴。大型映像也會限制彈性。不是所有電腦 (不論是否需要) 都會收到所有應用程式,就是必須開發及維護許多不同的大型映像。使用大型映像是一般的傳統方法。
小型映像
小型映像內含極少數應用程式 (如果有的話)。小型映像有很多好處。建置、維護和測試的成本低廉。網路及儲存成本降低。彈性更大。但是,彈性卻會提高部署和網路的成本。
混合映像
混合映像是大型和小型映像的結合。混合映像中,磁碟映像是設定為在初次執行時安裝應用程式,因此會令人以為是大型映像,但卻是從網路來源安裝應用程式。混合映像具有小型映像的大部分優勢,但開發卻更簡單,而且不需要軟體發佈基礎結構。安裝時間較長,因此會提高初始部署成本。
替代方案是開始先使用經過測試的小型映像,並在上面建置大型映像。盡可能減少大型映像的測試,因為映像處理程序基本上和定期部署一樣。
另一個替代方法是加入非常少量的核心應用程式至小型映像中。這些應用程式可能包含企業裡所有電腦所需的防毒軟體以及特定業務 (LOB) 應用程式。
開發
開發桌上型電腦映像的建議指南請參閱 Solution Accelerator for Business Desktop Deployment (BDD) 2007 (英文) 以及電腦映像處理系統功能團隊指南 (英文)。BDD 2007 探討 Microsoft 所提供的映像處理技術,以及如何用於自訂、建置、擷取和部署 Windows XP SP2 和 Windows Vista™ 桌上型電腦作業系統的磁碟映像。
測試計劃
開發階段另一個重要的項目,就是建立測試計劃。您要判斷磁碟映像必須運作的所有設定情況。這些設定包括用戶端電腦支援的硬體及業務程序。錯誤報告及追蹤機制,對於確保解決測試所引發的所有問題十分重要。
穩定
「開發」階段所建立的映像和部署程序,必須經過完整的測試及穩定,才能部署至企業中。您必須謹慎的遵循「規劃」階段所建立的測試計畫。使用錯誤報告系統,以記錄並追蹤所有發生的問題。解決了所有錯誤後,最終的映像就可以部署至用戶端電腦。
階段 4: 部署
映像處理的「部署階段」也會在 BDD 2007 中的部署功能團隊指南 (英文) 中討論。基礎結構最佳化的標準化層級建議您,利用標準磁碟映像的精簡安裝 (LTI) 功能。
BDD 2007 精簡安裝只要求最基本的基礎結構。您可以使用共用的資料夾透過網路部署目標作業系統,或使用卸除式儲存裝置進行本機部署,例如 CD、DVD、USB 硬碟或其他裝置。每一部個別電腦的組態設定通常是在部署程序期間以手動方式提供。如需更多詳細資訊,請參閱 BDD 2007 部署功能團隊指南 (英文)。
作業
維護最終映像的工作是一個持續性的程序。作業系統、裝置驅動程式及應用程式的更新,必須加以分析是否適用於貴企業。這些更新若不是必須整合至現有映像中,就是必須建置全新的映像。然後您必須測試及驗證最終映像,才能部署至用戶端電腦。
可用的工具
Microsoft 技術
產品、工具或公用程式 |
用途 |
|---|---|
整體映像建立、擷取和部署的方法及工具。使用 Deployment Workbench 以整合此表格中所列的許多工具和公用程式。 |
|
Windows AIK 是一組支援最新版本 Windows 的部署工具,包含部署 Windows 的方法、工具及需求。 |
|
Windows AIK 的一部分。Windows PE 是 Microsoft 所提供的開機工具,提供作業系統功能以執行安裝、疑難排解和修復。 |
|
Windows 系統映像管理員 (Windows SIM) |
Windows AIK 的一部分。Windows SIM 可建立回應檔案 (Unattend.xml) 及網路共用,或修改設定集合中所含的檔案。 |
Windows AIK 的一部分。Sysprep 可協助建立映像,並準備將映像部署至多部用戶端電腦中。 |
|
Windows AIK 的一部分。這是一個命令列工具,可擷取、修改和套用安裝映像以進行部署。 |
|
Windows 映像 |
一個單一壓縮檔,內含檔案和資料夾的集合,可複製磁碟區上的 Windows 安裝。Windows 映像會建立成 WIM 檔案,而且可以使用 ImageX 或 Systems Management Server 2003 Operating System Deployment Feature Pack (英文) 加以建立。 |
其他可用的產品
產品 |
廠商 |
|---|---|
Ghost |
|
PowerQuest |
檢查點: 定義桌上型電腦及膝上型電腦的標準映像
|
需求 |
|---|---|
|
使用工具以擷取標準映像。 |
|
定義標準映像的策略。 |
|
定義一套適用於所有硬體類型的標準磁碟映像 (OS 和應用程式)。 |
|
建立部署工具以進行網路式安裝或離線映像安裝。 |
如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「在桌上型電腦、裝置與伺服器管理中定義桌上型電腦及膝上型電腦的標準映像」功能標準化層級的最低要求。建議您遵循 BDD 2007 (英文) 中電腦映像處理系統功能團隊指南 (英文) 中其他的最佳作法。
移至下一個自我評估問題。
需求: 集中化管理行動裝置
對象
如果您沒有用於追蹤、管理和升級行動裝置的集中式解決方案,請閱讀本章節。
概觀
全世界的組織都在使用行動裝置以加速業務的循環、提高生產力、降低作業成本,以及擴充基礎結構。由於對行動裝置的依賴度越來越高,系統管理員必須瞭解所處的行動環境,以確保使用者設定安全的企業存取權,以及運用現有的基礎結構投資提供新的業務功能。
行動裝置管理是一個相對之下較為新穎的概念,Microsoft 與合作夥伴目前提供以輔助用戶端與伺服器裝置管理的產品有限。
階段 1: 評估
在「評估階段」,必須清查連接至您的基礎結構的行動裝置,以及行動裝置目前的使用概況。組織需要追蹤和管理各種領域的行動裝置用途。若要從基本層級移至標準化層級,您需要集中管理下列項目:
探索及追蹤行動硬體。
追蹤、發佈及更新行動軟體。
資料同步處理。
主動和被動的資料安全性。
定義解除委任老舊行動裝置的程序。
本章節提供有關處理相關領域的工具及程序資訊。以下章節探討 Microsoft 提供用於管理行動裝置的工具。
階段 2: 識別
在「識別階段」,貴組織需要開發及實作解決方案,以持續性的方式找出連接至您的網路的行動裝置,並以符合您需求的方式判斷行動裝置的管理方向。視您的業務及資料安全性的需求,使用者可能會使用控制不嚴謹的個人裝置或受管理的公司裝置,連接至您的網路。您可以利用使用者提供的資訊,手動識別已連線的裝置,也可以使用工具探索網路連線裝置。
階段 3: 評估與規劃
在「評估與規劃階段」時,貴組織應考量哪些工具或技術可用於協助管理行動裝置。Microsoft 目前所提供的主要產品有 Microsoft® Exchange Server with ActiveSync®、Direct Push、Remote Wipe 以及 Systems Management Server (SMS) 2003 Device Management Feature Pack。管理行動裝置的其他產品由 Microsoft 合作夥伴及軟體廠商提供,例如 Odyssey Software (英文)、Bluefire (英文) 及 iAnywhere (英文)。
Exchange Server 2003 及 Exchange Server 2007
Microsoft 首先推出的 Exchange Server 2003 及後續的 Exchange Server 2007,都引進新的功能以管理 Windows 行動裝置。Exchange Server 2003 及 Exchange Server 2007 中的行動裝置技術為 ActiveSync、「遠端強制執行裝置安全性原則」和「遠端裝置資料抹除」。
使用內建的 Exchange ActiveSync 無線同步處理 Microsoft® Windows Mobile® 裝置時,您的傳訊基礎結構中至少要有一部伺服器執行 Exchange Server。請注意,Exchange 2003 和 Exchange 2007 都不需要完整部署在貴組織的整個環境中,就可以使用這項功能。
如需設定所需之 Exchange Server 2003 元件的資訊,請參閱 Exchange Server 2003 部署指南 (特別是第 8 章): https://www.microsoft.com/technet/prodtechnol/exchange/2003/library/depguide.mspx。
另請參閱 Exchange Server 2003 ActiveSync Architecture 白皮書: https://www.microsoft.com/exchange/techinfo/administration/mobiledevices.asp (英文)。
請注意,舊版的 Exchange Server 並不提供內建的同步處理功能。您必須使用 Exchange Server 2003 或 Exchange Server 2007,使用者才能無線同步處理 Windows Mobile 裝置。
Active Directory
若要讓 ActiveSync 正常運作,您的基礎結構必須包含 Active Directory 網域控制站。您也必須確認 Exchange Server 2003 伺服器是 Windows Active Directory 的網域成員。
Active Directory 網域控制器必須在 Windows 2000 Server SP3 或 Windows Server 2003 上執行。建議使用 Windows Server 2003 以達到最佳效能。
管理 Exchange ActiveSync
根據預設,在 Exchange 2007 伺服器上安裝了 Client Access server role 後,就已啟用 Exchange ActiveSync。使用者只需要將行動裝置設定為與 Exchange Server 電腦同步,即可使用 Exchange ActiveSync。系統管理員可以使用 Exchange ActiveSync 執行多種管理工具。包括設定 Exchange ActiveSync 信箱原則,以及設定驗證以提高安全性。您可以在 Exchange 管理主控台中執行以上部份工作,以及在 Exchange 管理命令介面中執行以上所有工作。
管理 Exchange ActiveSync 使用者
根據預設,如果 Client Access server role 安裝在執行 Exchange Server 2007 的 Microsoft Exchange 組織中,所有使用者均可以使用 Exchange ActiveSync。您可以對單一使用者或使用者群組停用 Exchange ActiveSync,同時管理 Exchange ActiveSync 使用者的各項設定。
若要簡化 Exchange ActiveSync 使用者的管理,您可以建立 Exchange ActiveSync 信箱原則。這些原則可協助您將特定的設定套用至單一使用者或使用者群組。可用的設定包括如下:
需要密碼。
需要英數字元密碼。
允許附件下載至裝置。
允許存取 Microsoft Windows SharePoint® Services 文件。
啟用裝置加密。
如需有關 Exchange ActiveSync 信箱原則的詳細資訊,請造訪使用原則管理 Exchange ActiveSync。
如需使用 Exchange 管理主控台以管理 Exchange ActiveSync 使用者的詳細資訊,請參閱下列主題:
遠端強制執行裝置安全性原則
Exchange Server 2003 SP2 及 Exchange Server 2007 可協助您設定及管理中央原則,此原則要求所有行動裝置使用者使用密碼存取 Exchange 伺服器,以保護其裝置。此外,您也可以指定密碼的長度、要求使用字元或符號,以及指定裝置維持閒置多久後要提示使用者再次輸入密碼。
額外的設定「嘗試失敗後清除裝置」可讓您在使用者重複輸入錯誤的密碼達特定次數後,刪除該裝置上的所有資料。使用者會看到警示對話方塊,警告可能會清除資料,並提供剩下可嘗試的次數。
另一項設定可讓您指定不符合規定的裝置是否可以同步處理。如果裝置不支援您所指定的安全性原則,就會被視為不符合規定的裝置。在大部分的情況下,不符合規定的裝置是指未設定 Exchange Server Messaging and Security Feature Pack 的裝置。
遠端裝置資料抹除
遠端清除功能可協助您管理遠端清除遺失、遭竊,或遭入侵的行動裝置資料的程序。如果裝置是使用 Direct Push 技術連線,則清除程序會立即啟動並在幾秒後進行。如果您強制執行鎖定安全性原則,則裝置會受到密碼和本機清除的保護,因此除了接收遠端清除通知並報告已執行清除外,裝置無法執行任何操作。
裝置安全性原則的管理,是從 Exchange 系統管理員行動裝置屬性視窗執行的。您可以在此執行下列動作:
檢視任何使用者正在使用的所有裝置清單。
選取或取消選取要遠端清除的裝置。
檢視每一部裝置暫停遠端清除要求的狀態。
檢視交易記錄,指出哪些系統管理員曾發出遠端清除命令,以及接收這些命令的裝置。
以憑證為基礎的驗證
如果安全通訊端層 (SSL) 基本驗證不符合您的安全性需求,且您已有公開金鑰基礎結構 (PKI) 使用 Microsoft Certificate Server,您可以使用 Exchange ActiveSync 中以憑證為基礎的驗證功能。如果您使用這項功能搭配本文件中提及的其他功能,例如本機裝置資料抹除和強制使用開機密碼,就可以將行動裝置轉變成一張智慧卡。用戶端驗證的私密金鑰及憑證儲存在裝置內的記憶體中。但是,如果未經授權的使用者嘗試暴力攻擊以取得裝置的開機密碼,則所有使用者資料都會被清除,包括憑證和私密金鑰。
Microsoft 已建立一項用於部署 Exchange ActiveSync 憑證式驗證的工具。若要從 Microsoft 下載中心下載工具及文件,請造訪 https://go.microsoft.com/fwlink/?LinkId=63271 (英文)。
S/MIME 加密傳輸
Messaging and Security Feature Pack for Windows Mobile 5.0 提供數位簽署的加密傳輸原生的支援。部署了採用 Secure/Multipurpose Internet Mail Extension (S/MIME) 的加密後,使用者就可以從行動裝置檢視及傳送以 S/MIME 加密的訊息。
S/MIME 控制:
使用 PKI 分享金鑰以提高電子郵件訊息安全性的標準。
使用數位簽章提供寄件人驗證。
可以加密以保護隱私。
可與任何符合標準的電子郵件用戶端搭配使用。
如需使用 Exchange Server 2003 SP2 實作 S/MIME 控制的指引,請參閱 Exchange Server 訊息安全性指南,網址:https://go.microsoft.com/fwlink/?LinkId=63272。
SMS 2003 Device Management Feature Pack
Systems Management Server 2003 Device Management Feature Pack (DMFP) (英文) 提供 SMS 2003 功能,以管理執行特定工具的行動裝置,包括 Microsoft Windows® CE (3.0 或更新版本) 及 Microsoft Pocket PC (2002 或更新版本) 的 Windows Mobile 軟體,以及 Windows Mobile 5.0 和 Windows Mobile Pocket PC Phone Edition 5.0。IT 系統管理員可以使用 DMFP 擷取行動裝置的資產特性、組態設定,以及安全性原則,並以最不干擾使用者的方式更新或部署新的應用程式,大幅降低部署及管理裝置的成本。
使用 DMFP,您可以執行下列動作:
對執行 Windows CE 4.2 或適用於 Pocket PC and Pocket PC Phone Edition 的 Windows Mobile 2003 軟體,以及 Windows Mobile 5.0 及 Windows Mobile Pocket PC Phone Edition 5.0 的行動裝置及企業內部用戶端,探索並收集清查資訊。
透過合作夥伴所提供的補充功能產品,對執行 Windows CE 3.0、Pocket PC 2002 軟體、Windows Mobile 5.0 及 Windows Mobile Pocket PC Phone Edition 5.0 以及 Windows Mobile 軟體 (包括智慧電話) 的行動裝置用戶端與企業內部用戶端,探索並收集清查資訊。
將軟體更新以及應用程式發佈至這些裝置。
支援地區性漫遊,將用戶端指向本機發佈點以下載 SMS 封包。
強制這些裝置採用安全密碼,以實作密碼原則。
使用連接至 SMS 進階用戶端電腦的 ActiveSync 連線,將 SMS 用戶端軟體部署至裝置。
使用 HTTP 或安全 HTTP (HTTPS),與 SMS 伺服器基礎結構通訊。
使用這些技術,您就可以使用控制 Microsoft 作業系統及軟體的行動裝置。至少必須具備 Exchange Server 的裝置管理功能,才能達到基礎結構最佳化模型中的標準化層級。
階段 4: 部署
「部署階段」的目標在於實作支援您的裝置管理策略所需的選定技術或功能。因為企業網路設定及安全性原則不同,所以每一個行動傳訊系統安裝的部署程序也會不同。部署的程序包括必要及建議的步驟,以部署使用 Exchange Server 2003 SP2 及 Windows Mobile 5.0 裝置的行動傳訊解決方案。
如需使用 Microsoft Exchange Server 部署安全行動傳訊的詳細指引,請參閱:逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置。
作業
持續性作業的目標,在於確保安全且可用性高的行動傳訊環境供使用者使用。請造訪 Microsoft TechNet 的 Windows Mobile Center (英文),以尋求維護您的行動傳訊環境 (英文) 的指引。
詳細資訊
如需管理行動裝置的詳細資訊,請造訪 Microsoft TechNet (英文),並搜尋 "mobile device management"。
如需 Microsoft 如何處理行動裝置管理的資訊,請造訪 https://www.microsoft.com/technet/itshowcase/content/mobmess_tcs.mspx (英文)。
檢查點: 集中化管理行動裝置
|
需求 |
|---|---|
|
安裝軟體以探索和追蹤貴組織中的行動裝置。 |
|
實作以密碼控制的存取。 |
|
建立集中化的資料與軟體同步處理。 |
|
確保解除委任的裝置已不含公司資訊。 |
如果您已經完成上列步驟,則貴組織就已達到「集中化追蹤、管理和升級行動裝置」標準化層級的最低要求。建議您遵循 Microsoft TechNet 的 Windows Mobile Center 中,對行動裝置管理的其他最佳作法。
移至下一個自我評估問題。
需求: 行動裝置的身分驗證、資料保護和資料備份
對象
如果您沒有行動裝置的使用者識別驗證與資料保護和備份的功能,請閱讀本章節。
概觀
遺失或遭竊的行動裝置會洩露敏感性的企業資訊,且允許存取企業網路。您必須實作完善的原則及軟體以保護這些資源。在本章節中,我們將探討您可以就哪些領域採取步驟,以保護組織的企業資訊與網路的安全。其中包括:
使用者存取
密碼
裝置鎖定
憑證
資料存取
資料加密
遠端裝置資料抹除
如需 Microsoft 行動裝置安全性的詳細資訊,請造訪 https://www.microsoft.com/windowsmobile/business/5/default.mspx (英文)。
階段 1: 評估
「評估階段」的主要目標在於判斷使用者存取資料的方式,並收集企業需求,以確保行動裝置的安全存取及資料保護。這些原則大部分都在本指南中<集中化管理行動裝置>一節的規劃與部署階段中討論過了。這項功能在基礎結構最佳化模型中,加強了資料安全性與受控制使用者存取的重要性。
階段 2: 識別
在「識別階段」,您要識別技術選項以及開發需求,以符合貴組織的使用者存取、資料安全性和資料備份需求。請參閱本指南的<需求: 集中化管理行動裝置>一節,以取得 Microsoft Exchange Server 2003、Microsoft Exchange Server 2007 和 Systems Management Server 2003 中有關技術與功能的詳細資訊。
另請造訪 Microsoft TechNet 的 Windows Mobile Center (英文),以取得詳細資訊。
階段 3: 評估與規劃
「評估與規劃階段」的目標在於開發詳細的策略,以確保受管理行動裝置的使用者存取、資料安全性以及資料保護的安全。本節將說明這些目標的高層級考量。
使用者存取
防止未經授權存取行動裝置資訊的第一道防線,就是利用密碼或憑證進行使用者身分識別與驗證。
密碼
存取貴組織的每一部行動裝置都需要密碼。密碼可以簡單 (數字) 或複雜 (包含字母、數字和特殊字元),按照貴公司的密碼原則所指定的方式。
裝置鎖定
如果使用者不斷輸入錯誤的密碼達預定的次數後 (通常是三到五次),行動裝置就會進入鎖定狀態,之後就必須以管理權限重設才能再次存取。
憑證
公開金鑰憑證通常簡稱為「憑證」,這是一個數位簽署的聲明,一般用於驗證及確保公開網路的資訊安全。憑證會將公開金鑰繫結在具有對應私密金鑰的實體上。發行憑證授權 (CA) 會以數位的方式簽署憑證,並將憑證發給使用者、電腦或服務。您必須採取程序,在行動裝置遺失或遭竊時撤銷憑證。
資料存取
當行動裝置離開組織的實體安全性範圍時,盜用運算裝置和內含的資料就成為一大問題。如果裝置遭竊,則原本只是資料遺失的問題就可能擴大成透過遠端撥號或無線網路未經授權侵入網路。由於設計因素,行動電腦和許多新型的行動裝置,失竊的風險都比一般非行動裝置更高。這些裝置通常都內含重要的公司資料,失竊時就會造成安全性風險。
資料加密
您可以使用行動裝置上的加密檔案系統將硬碟中的資料加密,讓不具有適當憑證的人員無法使用資訊。 這麼做可以保護資料,不受任何取得遺失或遭竊裝置的人員存取。
遠端裝置資料抹除
Exchange Server 遠端裝置資料抹除功能讓系統管理員或授權使用者可以遠端清除行動裝置上的所有資訊,有效地將裝置復原成初始的預設狀態。
若採取消極的方式,可以使用遠端清除功能防止未經授權存取遺失或遭竊的行動裝置資料, 如果您認為無法使用其他存取方法,例如密碼或憑證,或這些方法已遭洩漏,就可以使用遠端清除。在這個情況下,就可以從伺服器傳送清除裝置的命令。
若採取積極的方式,則可以使用遠端清除並搭配使用者驗證和資料加密,以確保在行動裝置遺失或遭竊時,阻止存取企業資料和公司網路。此時,裝置會根據內嵌的安全性原則執行自我清除。
資料備份
敏感性傳訊、行事曆和公司通訊錄清單的資料備份,是行動裝置上資料備份的第一重大步驟。同步處理傳訊、通訊錄清單以及行事曆資訊的資料備份,是由 Exchange Server 基礎結構透過標準伺服器備份和修復程序所執行。請參閱本指南中,標準化層級基礎結構最佳化關鍵伺服器的備份與還原服務章節,以取得詳細資訊。此外,Microsoft 合作夥伴也有提供軟體,可執行非同步處理資料的裝置層級備份。
階段 4: 部署
「部署階段」的目標在於實作貴組織選取的策略,以管理使用者存取、資料安全性以及資料備份。如需部署本指南所概述之技術的詳細指引,請造訪:逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置。
作業
持續性作業的目標在於確保行動傳訊環境中使用者存取、資料安全性以及資料備份的安全。請造訪 Microsoft TechNet 的 Windows Mobile Center (英文),以尋求維護您的行動傳訊環境 (英文) 的指引。
詳細資訊
如需遠端清除的詳細資訊,請造訪
https://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/7b2cb90a-67f5-45d5-8c7a-26309faa7d9e.mspx?mfr=true。
檢查點: 行動裝置的身分驗證、資料保護和資料備份檢查點
|
需求 |
|---|---|
|
建立並強制執行密碼存取原則,或使用公用金鑰憑證以進行使用者識別。 |
|
加密所有傳輸至行動裝置的資料發佈,和傳輸自行動裝置的資料備份。 |
|
在行動裝置上實作裝置鎖定。 |
|
確保在行動裝置遺失或遭竊時,能以遠端清除方式移除公司資訊。 |
如果您已經完成上列步驟,則貴組織就已達到「行動裝置的身分驗證、資料保護和資料備份」標準化層級的最低要求。建議您遵循 Microsoft TechNet 的 Windows Mobile Center (英文) 中對行動裝置管理的其他最佳作法。
移至下一個自我評估問題。
需求: 將桌上型電腦映像整合至兩個作業系統版本
對象
如果您的桌上型電腦環境中,需要管理的作業系統超過兩種,請閱讀本章節。
概觀
在企業中部署多個作業系統時,有一些考量。其中包括:
維護多個標準映像。
修補程式及更新的可用性。
延伸維護合約的成本。
使用者生產力。
應用程式相容性。
本指南著重探討在將您的桌上型電腦映像整合成兩種作業系統時的高層級考量。
階段 1: 評估
映像整合的「評估階段」目標,在於判斷貴組織目前所管理的作業系統數目。建議您使用工具以自動化清查程序,例如 Systems Management Server (SMS) 2003 (英文)、Application Compatibility Toolkit (英文) 或 Windows Vista Hardware Assessment。
階段 2: 識別
在「識別階段」中,您要開始判斷使用清查功能所找到的作業系統相依性,以及與使用的應用程式和硬體規格之間的關聯。
階段 3: 評估與規劃
「評估與規劃階段」的目的,在於討論用於將桌上型電腦映像整合成兩個標準映像的選項。其中包括使用者升級的管理優勢、業務優勢以及優先順序。本章節簡介在評估桌上型電腦映像整合時的多種考量。
多重標準映像
本文件稍早的<定義桌上型電腦及膝上型電腦的標準映像>主題,說明建立及維護標準桌上型電腦作業系統映像的優勢,以及大型、小型和混合映像的優缺點。建立與維護多個大型與混合映像,以及伴隨而來的花費,會因貴組織必須支援的每一種作業系統而提高。若要從基礎結構最佳化模型中的基本層級移轉至標準化層級,您應該將組織中必須支援的作業系統數目限制為不超過兩種 (不過限制為一種版本所帶來的效益更顯著,也更適合)。
修補程式及更新
作業系統與應用程式的修補程式及更新必須經過測試,才能發佈給使用者。執行應用程式的每一個作業系統會提高測試應用程式的時間和花費。光是追蹤所有可用的修補程式和更新,就可以花上很長的時間和極高的費用。
維護合約
如果貴組織採購作業系統和應用程式的維護合約,則成本會隨著支援的軟體類型數目增加而提高。特別是老舊的作業系統,以及廠商已淘汰的應用程式和軟體。
使用者生產力
當使用者從一個作業系統移轉至不同的作業系統時,學習使用的階段會影響生產力。使用者必須停下來思考如何執行工作,若是使用原本的作業系統,使用者可能操作流暢。
應用程式相容性
當應用程式和作業系統升級時,這些應用程式所執行的資料檔不一定會和新版本相容。在一或兩種作業系統及相容的應用程式上執行標準化,可以將發生資料檔相容性問題的風險降至最低。
例外狀況
並非所有情況或組織需求都適合只使用一或兩種作業系統。使用的行動裝置增加;其作業系統將和桌上型電腦和膝上型電腦的作業系統不同。有些使用者,例如圖形設計師或工程師、連線至您的網路的遠端使用者或廠商,其電腦可能使用和組織標準不同的作業系統。IT 部門的責任就是處理這些例外狀況,修改本指南的建議事項以配合這些狀況。
其他例外狀況可能超出 IT 部門的責任範圍。軟體開發組織必須確認所開發的軟體可以在多種作業系統上執行。評估新作業系統和升級的測試單位,不在本文件的討論範圍。
階段 4: 部署
決定映像整合策略後,在「部署階段」您要考慮如何建置、部署和維護映像。請參閱 BDD 2007 中的電腦映像處理系統功能團隊指南 (英文),或參閱需求: 定義桌上型電腦及膝上型電腦的標準映像資源指南。
作業
順利完成作業系統整合方案後,必須瞭解新桌上型電腦作業系統產品與技術的發行,需要十分謹慎的考量。準備新的作業系統通常代表應該要在兩種使用中的作業系統中淘汰舊版作業系統,同時加入新作業系統的映像。這麼做可確保維護兩種作業系統映像的優勢不受影響。
檢查點: 將桌上型電腦映像整合至兩個作業系統版本
|
需求 |
|---|---|
|
實作映像整合策略。 |
|
將生產作業系統數目減少至兩個以內。 |
如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「桌上型電腦、裝置與伺服器管理中將桌上型電腦映像整合至兩個作業系統版本」功能標準化層級的最低要求。建議您遵循 BDD 2007 (英文) 中電腦映像處理系統功能團隊指南 (英文) 中其他映像整合與管理最佳作法。
移至下一個自我評估問題。