Windows PC端末管理機制透過客製化管理平台，集中化管理 Windows PC 在企業網路中的操作行為

Tony Chiu | Architect

Nov 7, 2013

簡報大綱

• 端末管理機制概述

• 最高權限管理說明

• 資產管理作業說明

• 外接儲存設備管理

• 資訊設備連線管理

• 文件保護管理機制 管理權限

連線管理

資產管理

資訊安全

2 2013/11/19 22

3

端末管理機制概述-需求與架構

3

44

端末管理需求說明

有效的用戶端PC軟、硬體組態管理

用戶端PC使用環境設定保全與標準化管理

確實掌握資訊資產異動與即時運作配置狀態清查

用戶端PC外接儲存設備資料攜出管控

檢核資訊設備在內部網路連線與否的管控機制

重要資料的內容保護與使用授權管理

5

結合資產蒐集管理平台

6

端末管理工作說明-最高管理權限回收及使用管理

6

77

最高管理權限定義:每一台PC中的本機最高權限帳號與最高權限群組中的帳號清單。

管理目標:1. 有效避免使用者端末PC使用環境被破壞。2. 建立端末工作站本機最高權限帳號及本機最高權限群組

成員集中管理機制。3. 建構端末工作站本機最高權限密碼主動回收及使用管理

系統，提供統一及標準化的使用者環境，減少使用者停機，提昇系統服務品質。

4. 整合端末PC密碼變更申請及管理流程。5. 提供PC電腦名稱、網卡資訊變更之集中管理機制。6. 提供操作網頁，讓使用者可以自助進行軟體安裝機制。7. 提供使用者沒有權限執行特定程式時的補償管理措施。

最高權限回收管理目標說明

8

案例:建置網頁管理系統並整合申請流程

8

9

整合AD GPO進行權限回收管理

9

1010

一、最高權限回收管理

二、最高權限帳號密碼管理

三、最高權限管理群組使用管理

最高管理權限回收及使用管理功能說明

四、高權限管理群組成員帳號維護管理

五、PC最高權限帳號密碼申請流程整合

六、PC電腦名稱變更管理

七、使用者自助安裝管理

八、工作站最高權限代理執行程式

11

變更成功報表

密碼申請

分行密碼申請核准

變更失敗報表

申請狀態報表

密碼變更成功

(密碼通知)

密碼變更申請

密碼變更密碼變更密碼變更

密碼變更失敗

申請工作站清單報表

分行經辦人員 連管科科長分行副理 連管科經辦

分行工作站密碼申請核准覆核

工作站變更清單報表

密碼變更成功清單

分行密碼申請

申請介面

系統流程

報表紀錄

變更失敗紀錄

分行襄理

密碼變更

連管科副科長

密碼變更

密碼變更申請核准

密碼變更申請駁回

分行密碼申請核准

分行碼申請核准覆核

密碼變更申請核准

密碼變更申請駁回

密碼變更申請核准

密碼變更申請駁回 密碼變更

申請核准覆核

密碼變更申請核准覆核

1

2

3

4

5

6

7

8

9

10

11

申請介面核准駁回

11

最高管理權限密碼申請 –範例

12

端末管理工作說明-資訊資產管理

12

1313

管理目標:1. 確實改善帳上採購資訊設備與線上使用資訊資產內容不

一致的問題2. 完整掌握全行所有資訊設備資產去向及使用狀況、PC詳

細軟硬體運作配置狀態，以統計軟體使用狀況並協助問題發生時對環境之確認。

3. 詳細呈現資訊設備運作狀況，含新購撥配、安裝、移出、移入、報廢等作業及狀態異動。

4. 清理非合法軟體及統計管理合法授權軟體。5. 提供軟硬體配置組合查詢報表供評估使用，有助軟硬體

版本提昇規劃。6. 有效掌握資訊設備連線機制，防止非允許之設備進行內

網連線。

管理對象:主體為PC資產再加上其他資訊設備資產。

資訊資產管理目標說明

1414

一、資產維護管理:完整呈現PC生命週期之運作狀況，含新購撥配、使用單位收妥簽收、安裝完成、移出、移入、報廢申請、報廢完成等作業及狀態管理

二、PC軟硬體配置組合查詢報表

資產管理功能說明

三、PC運作狀態查詢報表

四、流程簽核系統之整合

五、合法軟體管理

六、必要軟體安裝檢核

七、分行新增、合併、刪除異動管理

15

新購撥配

(連管科)報廢完成

主辦科 廠商

新購

使用

移出移入

12

11

10

報廢

使用單位

送貨

使用

移出

11

申請報廢

簽收

建置安裝

移入

另一單位

(資管科)庫存

硬碟銷毀

3

45

6

7 8

9

驗收流程

資訊資產管理 –範例

16

端末管理工作說明-外接儲存及通訊設備管理

16

1717

管理目標:1. 嚴格管制用戶端PC內檔案的寫出作業2. 整合AD群組原則，管理端末工作站外接儲存設備及通訊傳輸設備機

制 進行端末工作站的外接儲存與通訊傳輸設備使用管理，對於一些特殊需求或長官

給予開放使用並提供稽核管理 提供管理者管理端末工作站Windows Vista 以上作業系統防火牆的規格，管理進

出連線的IP網段或是通訊埠口 (port)

3. 管理USB檔案攜出管理機制 提供端末工作站申請USB可常態寫出的維護管理功能。 提供員工為業務需求，以申請的方式進行檔案攜出，該員工經過主管審查核准後

才可以將檔案複製至USB

4. 使用者資料備份及資料回復管理機制 提供使用者執行個人檔案備份的申請，備份後的檔案會以加密的方式打包，檔案

備份申請的員工無法得知該密碼 提供員工備份檔案回復功能並讓使用者事先查詢該備份檔案裡的檔案名稱

外接儲存設備及通訊傳輸設備定義:USB、軟碟機、CD R/W與DVD R/W等可攜式設備管理，以及藍芽、遠紅外線、無線網路、WIFI等周邊通訊設備管理。

外接儲存設備及通訊管理目標說明

1818

一、外接儲存及通訊傳輸設備使用管理

二、外接儲存及通訊傳輸設備開放比例查詢

三、外接儲存及通訊傳輸設備開放工作站管理

外接儲存及通訊傳輸設備使用管理功能說明

四、檔案攜出管理

五、檔案攜出申請記錄之查詢與報表功能

六、資料備份管理

七、備份資料檔案管理

19

7

攜出檔案申請成功報表

檔案攜出申請

攜出檔案申請核准

攜出檔案申請失敗報表

申請狀態報表

確認攜出檔案的內

容

分行人員 分行核准主管

申請攜出的檔案置放本機特定位置

申請介面

系統流程

檔案處理

報表紀錄

1

2

3

檔案攜出申請紀錄

4

攜出檔案申請拒絕

開啟開放USB工作站

的USB

9

攜出檔案的檔案名稱報表

檔案儲存至允許開放USB的工作站特定位置

攜出的檔案只允許讀取的權限

檔案複製到允許開放工作站

的USB

檔案複製完成後關閉USB，通知分行人員取

出USB

13

通知

5

6

通知

8

1110

19

申請核准後解除

RMS保護

12

外接儲存設備檔案攜出申請 –範例

20

端末管理工作說明-資訊設備連線管理

20

2121

管理目標:1. 嚴格限制未經授權的設備與使用者存取內部網路2. 整合資訊資產管理系統或網域資訊，管理員工設備對內

網連線檢核機制3. 整合資訊資產管理系統或網域資訊，管理其他端末資訊

設備對內網連線檢核機制4. 管理廠商、訪客與服務台電腦對內網連線檢核機制5. 管理其他子公司員工電腦對內網連線檢核機制

合法設備定義:舉凡資訊資產管理系統或網域中所涵蓋的資訊設備與經過申請、已被核准可以連線到內網的特定廠商、訪客、其他子公司員工之資訊設備。

資訊設備連線管理目標說明

2222

一、員工合法設備連線管理

二、廠商、訪客設備合法連線管理

資訊設備連線管理功能說明

六、整合與維護功能

五、合法連線設備申請流程整合理

四、其他端末資訊設備合法連線管理

三、其他員工設備合法連線管理

要進內網使用者

802.1X轉換

AD Server

未通過AD帳號驗證者，直接

reject

通過AD驗證者1. 比對合法設備名單2. 比對安裝軟體白名單

未加入AD網域設備，導向OA科加退網域申請網頁

Network Policy Server(NPS Radius)

隔離區檢核項目對應伺服器

3

2

完成登入身分與設備查核

未通過設備資料比對者 -

- Reject

4

1

N

可以執行一般行內操作

N

通過AD驗證的員工

已加入AD網域設備，繼續進行檢核

N Y

Y

Y

Baseline檢核- 防毒強迫安裝- Patch強迫安裝- SCCM Agent &其他..

企業內網使用者及分行端

資訊設備連線管理架構圖

24

端末管理工作說明-文件保護管理

24

2525

1. 文件保護機制可結合企業文件機密分級並整合Portal文件庫的使用權限管理機制，文件上傳到Portal文件庫時的提供文件庫授權管理、但是文件下載時會再度套用文件保護。

2. 文件下載後的保護權限會提供下載者有個人讀或寫權限。3. 文件保護的管理方式需配合作業系統以及Microsoft Office版

本進行配套管理。4. 文件攜出解密申請作業必須整合流程簽核系統。5. 透過E-MAIL外寄對外進行文件交換時，可提供API由email攔截、

先進行條件判斷或審查流程後進行加解密保護機制。6. 透過E-MAIL外寄對外進行文件交換時，可先進行條件判斷套用

禁止轉寄與列印等規則。

文件保護管理目標說明

26

1.系統在不改變始用者習慣，不需要犧牲電腦或網路功能下，

將受保護之Microsoft Office 2003以上檔案，經連線驗

證後才能使用

2.檔案一旦離開連線即無法讀取。文件可依類別及人員做權

限的設定，只允許經過授權的檢視或列印動作

3.文件上傳至文件庫後，應可自動套用預設之檔案文件存取

者與對應可用之權限。

4.對特定檔案無權限之員工出差員工/合作廠商等有可能需

要攜帶到企業外部進行展示的文件，可經審核流程申請使

用。管理者可設定有效使用期限，是否提供列印等功能。

5.，可經審核流程申請使用

6.對需要攜出企業外部的文件，提供檔案加、解密，並且可

以結合自動解壓縮機制。

文件保護管理功能

27

7. 文件保護、加解密至少應能處理 Microsoft Office,

Adobe Pdf等檔案。

8.文件加密須整合AD帳號認證。

9.加密文件經轉寄到公司外部後限制不可開啟。

文件保護管理功能

28

7

檔案解密外寄申請成功報表

檔案解密外寄申請

解密外寄申請核准

檔案解密外寄申請失敗報表申請處理報表

確認解密外寄檔案的內容

分行人員 分行核准主管

外寄的檔案置放本機特定位置

申請介面

系統流程

檔案處理

報表記錄

1

3

檔案解密外寄申請記錄

4

解密外寄申請拒絕

將檔案依申請內容寄送給收件人

9

檔案解密外寄的檔案資訊報表

外寄的檔案儲存至[允許開放USB]工作站的

特定位置

外寄的檔案只允許系統存取的權限

檔案解除保護並以密碼進行壓縮處理

轉寄信件給分行人員(不含檔案)並附密碼內容

通知5

6

通知

輸入收件人,主旨,本文及外寄檔案資訊

10

2

8

刪除寄件備份之附件檔案

12

11

28

文件保護解密外寄申請 –範例

Question time

Thank you for participating