fdcc管理方法及强势.pptxVIP

fdcc管理方法及强势会计学美国空军 SDC 简史第1页/共29页向 Microsoft 咨询服务 (MCS) 部门提供了一份为期五年的合约标准桌面配置 (SDC) SDC 进入为期 10 个月的试验性测试SDC 在两年内全面投入使用美国空军减少了 30% 的现场支持人员，成本节约很大程度上归功于 SDC最后，美国空军更加快速地转向 Vista 和网络访问保护美国空军如何构建 SDC第2页/共29页每季度集中购置硬件协作式决策：先对 XP 再对 Vista 运行标准设置检查 (SSR)MCS 根据 SSR 决策构建单个映像；覆盖 70 多个模型MCS SMS 团队从映像构建文件获取脚本，用于构建 SMS 升级数据包培训会议来自司令部的持续反馈第3页/共29页USAF 如何为 SDC 做准备打开桌面防火墙（入站）获取最常见的例外情况并提前将它们填充到 GPO 中管理代理：SMS、Tivoli、Altiris、MOM、WSUS 等 解除本地用户权限在此之前，对帮助中心、本地支持人员和开发人员进行第 1、2、3 层应用程序兼容性工具方面的培训将安全设置推送到桌面SDC 成就了今天的美国空军第4页/共29页已准备好在他们的机构中启用 Vista已在数千个桌面上完成试验性测试仅剩不足 200 个不安全的应用程序强劲的早期采用者：Systems Center Configuration Mgr (SCCM)网络访问保护 (NAP)Server 2008 (Longhorn)通过标准化节约大量成本对美国空军转向集中化提供强有力的帮助更安全的机构FDCC 简介第5页/共29页在美国空军成功部署 SDC 后，美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录：采用 Windows XP/Vista 的标准配置限制用户的登录权限根据美国空军 SDC 实施 FDCC 中定义的安全标准FDCC 益处第6页/共29页政府开发人员有了明确的目标按季度修订对安全性和配置进行标准化削减成本简化部署注重审核引导供应商的开发决策提高安全性定义和术语第7页/共29页映像 – 位复制或文件复制格式，它用主配置“擦除并加载”分区或磁盘，包括操作系统、应用程序、设置以及默认配置文件。配置 – 在指南中指定的和/或在脚本或组策略中设置以供实施的特定设置、注册表更改和文件权限虚拟 PC – Microsoft 的虚拟化软件允许在 XP 或 Vista 桌面内部运行完整的“虚拟机”FDCC 的发展史第8页/共29页起源于美国空军的设置在 435,000 个桌面上执行了测试从 Microsoft XP 和 Vista 安全指南、NSA 对于 IE7 的指示中得出设置代表 NIST、NSA、DISA 和 Microsoft 之间的共识美国空军安全与运营人员的决策介于以下二者之间：企业配置 (EC) 专用安全限制功能 (SSLF)美国空军还纳入了许多其他设置FDCC 的发展史第9页/共29页NIST 审查美国空军的设置，并做出必要的调整：做更改以适应更广的范围规范化 XP 和 Vista 设置（一致性）加快安全内容身份验证计划 (SCAP) 以制定 FDCC请求并融入 NSA、DISA 和 USAF 的反馈意见委派美国国土安全部处理威胁信息和修补信息第10页/共29页成果由 NIST 提供联邦桌面核心配置 (FDCC)FDCC 如今的成果第11页/共29页虚拟 PC，用于应用程序兼容性和开发测试为什么不是映像？硬件和许可组策略对象，用于实施以及域设置应用SCAP 文件，用于衡量合规性支持文档供将来维护：从 Microsoft 批量许可协议 (MVLA) 站点下载 FDCC ISOMicrosoft 安全更新 (MSU)第12页/共29页配置详细信息联邦桌面核心配置 (FDCC)第13页/共29页关键要点普通用户必须以用户非超级用户，非管理员防火墙（入站）打开本地管理员不能 编辑防火墙设置文件和打印共享关闭IE7 保护模式打开（仅适用于 Vista）密码长度设置为 12 个字符“质询”设置FIPS 140-2 打开驱动程序签名打开（仅适用于 XP）第14页/共29页可能引发担忧的事项普通用户无法加载 ActiveX 控件但 Vista 有 ActiveX 安装服务第15页/共29页测试明确责任联邦桌面核心配置 (FDCC)检查和平衡第16页/共29页SCAP 数据安全扫描程序A安全扫描程序A安全扫描程序B安全扫描程序B基线基线第17页/共29页手动检查发现“假阳性”和“假阴性”NIST、DISA 和 NSA 参与有机会审查实际决策并根据需要重新考虑第18页/共29页将 SCAP 扩展到现场机构最后的构建步骤：确认设置未经更改安全审核员可使用相同的 SCAP 数据来重复确