桌面终端管理

桌面终端管理（精选九篇）

桌面终端管理 篇1

1998年美国国家安全局制定的《信息保障技术框架》 (Information Assurance Technical Framework, IATF) , 提出了“深度防御策略”。该保护框架将防御分成几个领域, 包括:网络与基础设施防御、网络边界防御、局域计算机环境防御和支撑性基础设施的深度防御。

从国内网络安全建设的实际情况看, 传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂, 随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥, 以往围绕网络部署的安全措施已显得力不从心。

而计算机终端作为信息存储、传输、应用处理的基础设施, 其自身安全性涉及到系统安全、数据安全、网络安全等各个方面, 任何一个节点都有可能影响整个网络的安全。因此, 有越来越多的用户和厂商开始调整安全防护战略, 将着眼点重新回归到桌面终端安全上来, 这使得桌面终端安全成为业界重要的研究课题。

桌面终端安全管理需求中, 安全准入控制由于其独特的技术视角和有效的控制策略, 成为桌面安全最热门需求之一。网络安全准入控制可以从身份/安全鉴别、安全准入控制、自动隔离/修复、集中审计等4个方面为终端安全管理提供帮助, 这也恰好是桌面终端安全管理的最核心问题, 因此, 安全准入控制技术经过短短几年的发展后, 即将成为大型企业用户解决桌面终端管理问题的必备手段之一。

1 安全准入控制

网络安全准入控制最早由思科发起, 后来联合多家厂商参加的一项旨在防止病毒和蠕虫等新兴黑客技术对企业安全造成危害的计划。借助准入控制, 用户可以只允许合法的、值得信任的桌面终端接入网络, 而不允许其他设备接入。网络将按照客户制定的策略实行相应的安全准入控制决策, 即允许、拒绝、隔离或限制。

2 当前主流安全准入控制技术分析

2.1 IEEE802.1x

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。通俗来说, IEEE802.1x是一种基于端口的网络安全准入控制技术, 在LAN设备的物理接入级对接入设备进行认证和控制, 此处的物理接入级指的是LAN Switch设备的端口。连接在该类端口上的用户设备如果能通过认证, 就可以访问LAN内的资源;如果不能通过认证, 则无法访问LAN内的资源, 相当于物理上断开连接。802.1x协议的体系架构如图1所示。

IEEE802.1x的体系结构中包括3个部分:请求者系统、认证系统、认证服务器系统。

请求者发送一个“EAP响应/身份认证”数据包给认证系统, 然后传送至认证服务器。

认证服务器发回一个挑战给认证系统, 认证系统通过IP接收该挑战并将它重组为EAPo L, 然后再发送给申请者。

申请者响应认证系统发送来的挑战, 并将响应传送给认证服务器。认证服务器使用特定认证算法来检验客户身份, 这可以通过数字证书或EAP认证类型实现。

IEEE802.1x协议的实现比较简单。另外, IEEE802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能, 从而可以实现业务与认证的分离。

IEEE802.1x协议是一种基于身份信息的认证技术, 接入设备只有提供有效的身份信息, 才被允许接入网络。这就将以往“先接入, 后判断合法性”的网络安全技术变为“先判断合法性, 后接入”的工作方式, 从而大大增强了网络的安全性。但是, 由于该协议是一种基于端口的认证, 因此, 认证的粒度较粗。对于一个交换机端口上连接多台计算机的情况, 只要其中一台计算机通过认证, 端口便处于打开状态, 这样其他计算机也就获得了网络访问的能力。这也是该认证协议的一个无法克服的缺点。

2.2 其他桌面终端准入技术

Cisco NAC是构建在思科公司领导的行业计划之上的一系列技术和解决方案。实施Cisco NAC的客户仅允许遵守安全策略的可信终端设备 (PC、服务器及PDA等) 访问网络, 并控制不符合策略或不可管理的设备访问网络。

Microsoft NAP为企业提供了一种基于策略的灵活的体系结构, 可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到企业的网络。

可信任网络连接 (Trusted Network Connect, TNC) 是可信计算组织 (Trusted Computing Group, TCG) 推出旨在保证网络的安全性和完整性的一个开放的工业标准。该标准可配合TPM平台 (可信任平台) , 实现对接入终端的身份认证和安全认证。这是继Cisco NAC技术和Microsoft NAP技术之外的第3种网络安全准入控制技术。

2.3 各种技术分析

其实Cisco NAC、NAP和TNC技术的目标和实现技术具有很大的相似性。

首先, 这3种技术的目标都是保证桌面终端的安全接入, 即当桌面终端接入本地网络时, 通过特殊的协议对其进行校验, 除了验证用户名密码、用户证书等用户身份信息外, 还验证终端是否符合管理员制定好的安全策略。在验证终端主机没有安全问题后, 再允许其接入被保护的网络。

其次, 3种技术的实现思路也比较相似, 都分为客户端、策略服务以及安全准入控制3个主要层次。但是, 由于3种技术的发布者自身的背景, 3种技术又存在不同的偏重性, 都不同程度地存在一定的缺陷。也就是说, 这些安全准入控制技术是不全面的, 无法适用于复杂的用户环境。

微软依靠DHCP的代理服务器, 利用对IP地址分配的过程强制执行安全策略的NAP解决方案, 无法对配置静态IP地址的计算机进行控制, 只要计算机设置成静态IP地址, 就可以自由访问网络资源。

思科利用交换机来实现的NAC解决方案, 由于需要思科交换机来支持, 如果企业混合使用不同厂家的路由交换设备, 黑客总是可以找到不能被NAC管理的交换机, 利用MAC地址的欺骗手段, 冒充已经经过认证的计算机, 在网络里进行攻击。

TCG的TNC解决方案, 由于必须依赖TPM模块提供完整性校验, 而目前的计算机绝大多数都不配置该模块, 从而导致其无法使用。

另外, 以上技术方案, 都无法解决不支持802.1x协议的网络设备的问题, 如非智能交换机和HUB设备等, 因而, 对于从这些设备上接入网络的计算机, 是无法得到有效的控制的。

3 基于IP接入的安全准入控制管理

桌面终端标准化管理系统是国网电力科学研究院提出并设计的一套桌面终端安全管理系统, 作为国家电网公司SG186信息化工程重要项目之一, 该系统从资产管理、软件维护、补丁分发、安全准入控制、安全监控与审计、违规外联、远程维护等方面为用户提供了完整的桌面终端管理解决方案。该系统在桌面终端的安全准入控制方面, 提出了基于IP接入而实现的更为完善的解决方案。

基于IP接入的安全准入控制解决方案, 是一种基于“主动防护”的终端安全管理理念的安全准入控制解决方案。在保护用户现有网络投资的情况下, 提供了适用于大部分网络环境下的终端计算机的安全准入控制能力。与当前其他主流安全准入控制解决方案相比, 弥补了其他安全准入控制方案的漏洞, 又有效地保护了用户现有网络投资, 从而具有较高的性价比。

当用户网络环境不支持基于MAC地址的802.1x认证方式时, 往往在同一个交换机端口下会接入一些“假冒身份”的计算机, 这些计算机混同在合法计算机之中, 也获得了网络接入权限以及网络访问能力。在这种情况下, 会给网络带来很大的安全隐患。为解决这个问题, 系统采用了IP通信控制技术。其根本特点是当非法主机与合法主机进行IP通信时, 合法主机会要求非法主机提供其身份证明, 如果非法主机无法提供有效的身份证明, 合法主机将拒绝与其建立通信联系。合法主机之间由于相互可以验证身份, 因此合法主机之间的IP通信是被允许的。

合法主机之间的通信采用PKI数字证书来标识双方的身份。另外, 当合法主机建立IP通信时, 系统还可以对通信数据进行加密。从而保证了非法主机无法监听和窃取这些通信数据, 进一步保证了网络的安全性。

系统的I P通信控制有2种措施, 一种是身份认证, 另一种是数据加密。系统采用了专有的协议, 该协议负责对IP数据进行封装。封装后的IP数据携带有认证信息, 且IP数据被加密 (见图2) 。

认证头的目的是用来增加IP数据包的安全性。认证头提供无连接的完整性、数据源认证服务;认证头提供IP数据包的完整性和身份认证机制, 但是不提供数据机密性保护。系统验证头提供了2种认证算法:一种是基于对称加密算法 (如DES) ;另一种是基于单向哈希算法 (如MD5或SHA-1) 。系统验证头对上层协议数据 (传输层数据) 和IP头中的固定字段提供认证保护。系统支持基于PKI数字证书的身份认证方式和共享密码的认证方式。前者安全性更高。

加密头用于提高Internet协议 (IP) 的安全性, 它可为IP提供机密性、数据完整性等安全服务功能。其中, 数据机密性是加密头提供的基本功能, 数据完整性检验是可选的。加密头将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。从而保证了IP数据包网络传输的安全性。

系统通过对IP层数据附加认证头和加密头的方式, 将传统的IP协议的开放性变为私有协议。这种协议只能被安装了系统代理程序的计算机所识别。也就是说, 所有安装了系统代理程序的计算机之间都可以进行IP数据通信, 而未安装系统代理程序的计算机则无法与安装代理程序的桌面终端通信。

这种机制, 保证了接入终端的通信控制。如果接入终端是非法的, 可以通过安装认证控制, 保证接入终端无法安装系统代理程序, 因而也就无法与接入网络的合法计算机进行通信, 减少了“假冒身份”计算机给网络带来的安全风险。

系统的部署和实施与其他安全准入控制系统相比, 成本相对较低。在部署和实施本系统前, 用户环境需满足如下条件:

(1) 如果需要启用接入终端的身份认证, 网络设备必须启用802.1x协议支持;

(2) 如果需要启用接入终端自动隔离和修复功能, 网络设备不需启用Guest Vlan支持;

(3) 如果不需要身份认证, 而仅对接入终端的安全性进行检查, 上述条件则可以取消。

可以看到, 系统的部署实施对用户环境的要求相对较低。

系统部署由以下3部分组成:

(1) 系统核心管理服务器:服务器用于满足接入终端的安全策略要求, 并将这些策略分发到安装有系统安全代理的接入终端。策略服务器一般部署在为系统划分的独立区域;

(2) Radius认证服务器:认证服务器用于对安全代理收集的桌面终端身份信息、安全状态进行认证, 并根据认证结果通知安全准入控制点是否允许该计算机接入网络;

(3) 安全代理:该代理程序用于完成接入终端的身份信息收集、安全状态信息收集以及强制启用IP通信控制 (IP数据认证与加密) 。安全代理部署在所有需要访问网络资源的接入终端上。

4 结语

桌面终端标准化管理系统基于IP接入提出桌面终端安全准入控制管理, 与其他技术方案相比, 基于802.1x认证方式之上, 采用IP通信控制技术来解决非法桌面终端通过合法桌面终端进行验证后接入信息内网的问题, 有效地保护了内网信息资源, 从根本上杜绝来自外网的安全威胁, 提高了内网的安全防护能力。但是, 桌面终端的安全准入也是一门长期发展的技术, 随着更多的厂商、企业及用户对安全准入关注度的提升, 相信业内也会有更行之有效的技术来对非法桌面终端进行管控。

摘要：目前多家国内外网络设备制造商或安全厂商在802.1x基础之上, 利用软件或硬件提出带有本身产品特色的各种桌面终端安全准入控制解决方案。但各种主流的安全准入控制技术不同程度地存在漏洞, 无法适用于复杂的不同用户的具体环境。基于IP接入技术, 提出以“主动防护”为终端安全管理理念的安全准入控制解决方案, 具备了适用于大部分网络环境下的终端计算机的安全准入控制能力, 能够有效保护用户现有网络投资, 且弥补其他安全准入控制方案的漏洞, 从而实现较高性价比的终端安全准入控制管理。

桌面终端管理 篇2

一、什么是远程桌面？

远程桌面是微软公司为了方便网络管理员管理维护服务器而推出的一项服务。从windows 2000 server版本开始引入，网络管理员使用远程桌面连接程序连接到网络任意一台开启了远程桌面控制功能的计算机上，就好比自己操作该计算机一样，运行程序，维护数据库等。远程桌面从某种意义上类似于早期的telnet，他可以将程序运行等工作交给服务器，而返回给远程控制计算机的仅仅是图象，鼠标键盘的运动变化轨迹。

二、什么是终端服务？

终端服务仅仅存在于windows 2000 server版和2003中，其他系统不存在此组件。终端服务默认情况下是不安装在操作系统中的，需要时通过添加删除windows组件来安装。终端服务起到的作用就是方便多用户一起操作网络中开启终端服务的服务器，所有用户对同一台服务器操作，所有操作和运算都放在该服务器上。

三、如何开启远程桌面：

开启远程桌面功能的方法很简单，我们以前也介绍过多次。在windows 2000 server和2003中只要在桌面“我的电脑”上点鼠标右键选择“属性”，在弹出的属性设置窗口中找到“远程”标签，然后在远程桌面处的“容许用户远程连接到此计算机”前打勾即可。（如图1）开启该功能后网络中的其他计算机就可以通过“程序->附件->通讯->远程桌面连接”来控制和访问该服务器了。

图1

四、如何开启终端服务：

上面也提到了终端服务默认是不安装在系统里的，所以我们要手动安装。本篇文章以WINDOWS 2003为例。

第一步：通过任务栏的“开始->控制面板->添

图2 点击看大图

第二步：添加/删除程序窗口左边选择添加删除windows组件。在组件中找到终端服务器和终端服务器授权两项，在安装前系统会给出配置警告提示“IE增强的安全配置将大大限制终端服务器上的用户，是否恢复低安全配置”，我们选“是”即可。因为默认情况下windows 2003浏览器的安全级别设置过高，容易造成终端服务使用者权限被限制。（如图3）

图3 点击看大图

第三步：选择终端服务器和终端服务器授权后就可以直接点“下一步”进行安装了。（如图4）

图4 点击看大图

第四步：下面将出现终端服务器安装程序的介绍，非常重要。内容如下DD此选项安装终端服务器，他可以配置此计算机让多个用户同时运行程序。默认情况下只有本地管理员组才能连接到此终端服务器上。你需要将用户帐户也就是非管理员权限的用户添加到本地远程桌面用户组，用户才能连接到此终端服务器上。如果只需要用管理的远程桌面，请不要安装终端服务器，用于管理的远程桌面已按默认方式起用。授权：要在今天起的120天的宽限期间后继续使用终端服务器，你必须安装一个服务器运行终端服务器授权。（如图5）

图5

第五步：接下来讲师选择终端服务器的运行模式，有两种安全模式提供给我们，“完整安全模式”和“宽松安全模式”。前者可以为终端服务器提供最安全的环境，安全性最好，但是正因为安全所以限制也多了，某些为以前操作平台设计的应用程序可能无法正常运行，

如果你使用了这个安全模式进行终端服务器操作的话，发现实际中限制性太大可以修改为“宽松安全模式”。宽松安全模式相比完整安全模式来说安全级别低了些，但是限制少了很多，用户可以访问关键的注册表和系统文件位置，运行一些为以前版本设计的应用程序时采用此安全模式。具体使用哪种安全模式需要根据实际工作中的需求去选择。（如图6）

图6

第六步：接下来是设置终端服务器安装程序，有三种许可方式提供给我们，一是使用许可证服务器，一般来讲公司都没有专门的许可证服务器。二是使用自动搜索许可证服务器，此项将自动搜索网络中的许可证服务器，对于那种许可证服务器不固定的网络应用比较适合。最后一个是“我将在120天内指定许可证服务器”，这个是我们最常选的，也就是先使用终端服务120，之后在向微软公司购买许可证，建立相应的许可证服务器达到授权的目的。（如图7）

图7

第七步：接着是选择服务器授权模式，在没有向微软公司购买授权许可证前，这些选项都是没有具体意义的，“每设备授权模式”是一个设备一个授权，在使用终端服务时只能在具有授权许可证的设备上。“每用户授权模式”是针对用户来购买许可证的，有多少个用户（帐户）要使用终端服务就要购买多少个用户许可证（CAL）。（如图8）

图8

第八步：然后是设置安装许可证服务器数据库的位置，我们保持默认的windowssystem32lserver即可，当然也可以通过“浏览”按钮换为其他目录。（如图9）

图9

第九步：安装终端服务组件。（如图10）

图10

第十步：复制相应文件到本地硬盘，完成windows 组件安装工作。（如图11）

图11

第十一步：重新启动后我们就可以在桌面“开始->管理工具”看到终端服务管理器，终端服务配置，终端服务器授权等程序了。这说明我们安装终端服务组件成功。（如图12）

图12 点击看大图

五、远程桌面与终端服务的区别和联系：

首先我们来看看相同点，他们都是windows系统的组件，都是由微软公司开发的。通过这两个组件可以实现用户在网络的另一端控制服务器的功能，操作服务器，运行程序就好象操纵自己本地计算机一样简单，速度方面也非常快。

不过这两个组件的区别也是非常明显的DD

（1）远程终端服务允许多个客户端同时登录服务器，不管是设备授权还是用户授权都需要CAL客户访问授权证书，这个证书是需要向微软公司购买的；而远程桌面管理只是提供给操作员和管理员一个图形化远程进入服务器进行管理的界面（从界面上看和远程终端服务一样的），远程桌面是不需要CAL许可证书的。

（2）远程桌面是完全免费的，而终端服务只有120天的使用期，超过这个免费使用期就需要购买许可证了。

（3）远程桌面最多只允许两个管理员登陆的进程，而终端服务没有限制，只要你购买了足够的许可证想多少个用户同时登录一台服务器都是可以的。

（4）远程桌面只能容许管理员权限的用户登录，而终端服务则没有这个限制，什么样权限的用户都可以通过终端服务远程控制服务器，只不过登录后权限还是和自己的权限一致而已。

桌面虚拟化让终端不再重要 篇3

“思杰(Citrix)公司的远景目标就是能创建这样的一个世界:在这个世界里人们可以在任何地方、任何时刻工作和娱乐,无论是在家里还是在办公室里或者是在出差到比较偏远的地方。思杰的技术研发和技术进步就是为了实现这个远景目标。”思杰公司总裁兼首席执行官马克•邓普顿这样诠释思杰公司的理想。

马克•邓普顿是在8月17日思杰公司举办的iForum虚拟计算协同峰会上做上述表示的,近千名用户、专家和合作伙伴的代表参加了这次虚拟化领域的一次盛会。这是思杰公司首次在中国举办此类活动,思杰公司上下也给予高度重视,马克•邓普顿带领众多公司高层和技术专家来华督阵,并亲自上台主持了当天上午的大会。

随时随地工作

过去的10年,IT技术得到了快速发展,然而,IT环境却变得越来越复杂,IT的维护和管理成本居高不下,与此同时,企业经营活动却日益依赖IT技术。在这种情况下,可以简化IT部署和管理、降低IT拥有成本的虚拟化技术受到了人们的普遍关注。

“简化IT是思杰公司这些年所着力倡导的。这些年,我们把虚拟化技术应用到数据中心、桌面,使得IT部门可以更好地控制IT资源,这样IT部门的人就可以真正有自己的生活了,同时用户满意度也提高了,因为用户可以随时随地工作。”马克•邓普顿在演讲时表示。

马克•邓普顿在大会上现场演示了思杰的虚拟化技术如何支持他所说的随时随地地工作:他先是通过一台普通的电脑利用桌面虚拟化技术进行3D图形的处理和编辑,这台电脑上并没有安装3D的处理软件,只有一个普通的浏览器,所有的处理实际发生在后台的数据中心。随后,马克•邓普顿又通过iPad和一个智能手机完成了同样的操作,iPad和手机都只是安装了思杰的一个名为“Receiver”的小软件,通过它接入到后台数据中心的服务器上完成真正的操作。

“由于虚拟化技术的存在使得终端不再重要,无论是电脑还是iPad或者是手机都可以成为我们工作的平台。”马克•邓普顿说,“当然,这些设备可以根据各自的特性进行一些分工。”

马克•邓普顿表示,电脑计算能力最强,可以帮助我们完成日常的工作;而智能手机屏幕比较小,方便携带,可以发出一些提醒和警告,比如说有邮件到达;而类似iPad这样中间大小的设备,则可以帮助我们获取PC或者是移动计算机所创造的信息,展示文件、播放音乐、视频应用,并在虚拟桌面上进行使用。

“这就是我们的未来。我们的虚拟计算平台就要支持所有的装置和设备,帮助人们在任何地方工作,包括国际空间站。”他说。

据悉,今年年初国际空间站的一位宇航员从太空通过Twitter给他的太太发了一句话:亲爱的,猜猜我在哪里,当时他用的就是思杰的虚拟化技术。

抢得桌面虚拟化市场先机

在本次iForum大会上,桌面虚拟化是名副其实的主角,不管是在马克•邓普顿上午的演讲中还是在各个嘉宾演讲内容的安排上,都给予桌面虚拟化更多的关照。这在一定程度上也反映了思杰对桌面虚拟化技术的高度重视。

众所周知,桌面虚拟化技术是继服务器虚拟化之后的又一个新的热点。尽管目前才刚刚起步,但未来几年增长势头非常明显,根据Gartner集团的预测,在未来两到三年中,会有40%的企业实现桌面的虚拟化。目前,在桌面虚拟化市场除了思杰外,主要有VMware和微软。由于微软和思杰长期有着非常密切的合作关系,而且微软的产品也并非直接与思杰和VMware构成竞争关系。因而思杰真正的竞争对手只有VMware。

“与服务器虚拟化市场VMware占有绝对垄断地位不同,在桌面虚拟化市场,思杰有着自己的优势,特别是在用户体验上。” 思杰桌面虚拟化产品管理高级总监Aaron Cockerill在接受本报记者专访时表示,今年前3个季度思杰的XenDesktop已经售出了350万个许可证,从这个数字也可以看出XenDesktop很受欢迎。

Aaron Cockerill介绍了思杰桌面虚拟化技术的三个优势:更好的用户体验、更完备的解决方案以及更为开放的平台。

“桌面虚拟化技术中用户体验是最关键的环节,用户体验不佳,这个项目就离失败不远了。”Aaron Cockerill表示,“而在解决方案的功能完备性方面,最近咨询公司Burton出了一份报告,对市场上主流的桌面虚拟化产品进行了52项功能指标的全面评估,思杰公司的XenDesktop拔得了头筹。”

Aaron Cockerill介绍,桌面虚拟化解决方案的完备性不仅体现在解决方案能支持所有类型的终端设备,还体现在同一平台能支持各种桌面虚拟化的工作场景,即不仅支持传统的VDI,还能支持托管式共享桌面、本地流式桌面等,真正实现了马克•邓普顿所说的随时随地工作。这其中的关键技术之一就是思杰的FlexCast技术,它能通过单一解决方案交付各种虚拟桌面。

值得一提的是,今年思杰的桌面虚拟化技术又添了新的成员XenClient。XenClient采用了英特尔虚拟化技术,是一款让虚拟机直接运行在硬件上而不是托管在操作系统中的裸机客户hypervisor。这一技术可以让用户把一台电脑分割成两台相互独立的电脑(一台工作,另一台娱乐)。

谈及思杰的桌面虚拟化产品的未来发展,Aaron Cockerill表示,未来工作重点将集中在四个方面:持续改善最终用户的体验;降低总拥有成本;和服务供应商合力推动桌面即服务的自主型服务;支持更多元化的设备,提高可用性。

“在未来一到两年,你会看到我们持续简化我们的产品,实现管理更加的方便,从而降低它的总拥有成本,同时进一步提高终端用户的体验,确保即使在带宽非常有限的情况下,也能为终端用户提供非常完美的体验。”Aaron Cockerill总结说。

链接

惠普携虚拟化解决方案参会

思杰的iForum虚拟计算协同峰会也是一个虚拟化产业链的展示平台。实际上,围绕思杰公司的虚拟化产品已经构成了一条完整的产业链条,其中除了思杰的长期合作伙伴微软和HP之外,还有传统的安全厂商、存储厂商、系统集成商以及瘦客户端产品的供应商等。

惠普携虚拟化解决方案参加了在本次大会。其展台展示了多款最新的多款瘦客户机,包括惠普t5325、惠普t5740瘦客户机,以及惠普4320t移动瘦客户机在内的广受业界好评的客户端应用产品,并与技术专家现场就企业虚拟化进行深入沟通。

其中4320t移动瘦客户机更是引起了不少与会代表的兴趣,该款机型专为行业用户设计,在满足用户在日常办公的安全性、集中管理性及应用控制性方面的严格要求之外,也充分照顾到用户对移动办公的需求。在企业虚拟化环境下,数据储存在中央服务器中,用户可在移动瘦客户机界面调用数据,即使移动瘦客户机丢失或被盗,也不会对数据安全构成威胁。

电力信息化桌面终端管理系统的应用 篇4

1 计算机桌面终端系统的原理

桌面终端系统就是以B/S结构作为系统的基础, 将整个系统植入客户端的程序之中。整个系统可以通过浏览器完成注册和管理, 用户的所有数据都会进行保存和归纳。概而言之, 桌面终端系统包括下述几个内容:

第一, 信息管理库。在使用过程中系统所产生的日志、补丁、参数、系统管理信息、客户信息等都将由信息管理库统一管理。

第二, 中央管理配置平台。中央配置平台作为整个系统的管理中心, 将完成订制系统应用、维护操作系统、完成浏览器工作、运行系统配置参数等工作, 当系统出现问题和危险也由此环节发出警报。

第三, 区域管理器。区域管理器在整个系统中主要完成数据处理的工作, 其可以将信息库中发射出的多种命令的策略通过扫描器和客户端发送出来。

第四, 设备扫描器。其作用主要是完成主机状态扫描的工作。

第五, 客户端程序。整个客户端设备信息的采集、客户端运行状态的检测、审计客户端信息、检测客户端补丁安装情况、进行信息监测等。

第六, 补丁管理中心。此项目主要为了完成补丁安装及远程监测功能, 其可以通过整个系统的实时运行, 对补丁安装状况进行检测, 并且将安装情况上报管理中心。

2 桌面终端系统在电力企业中的应用

2.1 安装客户端软件

在整个电力企业中需要使用企业内部网络的各台计算机终端都必须安装客户端软件, 并严格按照安全管理规范操作。完成客户端软件安装流程后, 各终端需填写、提交服务器的注册信息, 完成注册的终端可以接收服务器统一配置的安全管理方案。安装完成的系统将不会在中途随意卸载, 只有通过安全管理器找到相关的卸载密码方可卸载此系统。

2.2 安全管理服务器管理系统应用策略

在统一管理电力企业内部系统时, 桌面终端管理系统拥有一套完整统一的管理策略模式。分别由本地策略、全局策略、备份策略三个部分负责安全管理, 通过管理员的设置达到安全维护的目的。合理、安全的设置能有效提高计算机安全运行。

第一, 全局策略配置。 (1) 违规外联策略:当计算机出现违规连接互联网的情况时, 此策略将能协助完场监视、防范的作用。其可以利用双网卡、光纤局域网等进行连接。同时, 对计算机网络连接的各种行为进行监控和实时处理; (2) 杀毒软件策略:该策略能够准确的监督计算机终端杀毒软件的安装情况, 对终端内所安装的不同种类杀毒软件进行统一管理和识别, 并且完成整体统计工作。 (3) 补丁检测及分发策略:整个终端系统的安全情况都是由补丁检测策略完成的, 其能及时对用户方终端补丁情况进行检测。当发现问题时将立刻采取补丁修补。

第二, 本地策略设置。 (1) 运行资源监控策略:电力企业中一些比较重要、数据储存量较大的终端主机可以通过此策略进行监控, 此策略可以全面完成对硬盘、CPU、内存等多方面信息监控, 如果终端一旦超过了设定值此策略会立刻报警。此外, 其还有协助网内用户充分深入了解计算机使用情况的功能, 这样就很好地避免了计算机内数据丢失或者系统死机的情况出现。 (2) 终端代理扫描策略:此扫描策略可以在仅开启一台终端计算机的情况下使用。仅需在网段内进行ARP扫描, 就可发现此网段内其余的终端计算机。这种策略避免了受到防火墙限制无法发现其他设备的弊端, 只需对计算机网络系统进行下发测试就能发现并且同步未完成注册的客户端计算机。管理员通过此策略将实现阻断未注册计算机的操作, 被阻断后的计算机也会自动提示IP地址发生冲突。

第三, 特殊策略设置。 (1) 用户密码检测策略:其能够系统的完成审计屏保安全、锁定本地账户等操作, 对系统口令的防护强度进行检测。此外还能将自定义口令添加到其中。当终端桌面没有设置密码, 使用口令强度较弱或者口令遭到病毒感染时, 此策略可以起到系统的防护作用, 同时可以将非法访问人员进行剔除。管理员通过此项策略能够准确的查找到口令较弱的数据信息, 并且给予警告。 (2) 未注册阻断策略:当没有注册桌面终端系统的计算机终端进入电力企业的网络领域, 此策略将阻断其连接网络。其将有效对安全设备、网络设备、服务器进行维护, 防止出现网络通讯不畅的情况。在使用此项策略时, 客户端注册率最好高于95%, 这将对此项策略的下发和部署起到促进作用, 而且能使网络运行安全得到进一步的保障。

3 结语

在电力企业中计算机终端管理和信息网络管理时一项非常重要的工作, 关系到整个电力企业系统运行的安全。随着近些年计算机安全管理工作的不断深入, 电力企业信息网络管理工作逐渐完善, 桌面终端管理系统的使用在电力企业计算机安全管理工作中发挥了巨大的作用, 保障电力企业信息安全。

参考文献

[1]王广飞, 鲁叶茂, 孙彪.构建终端安全闭环控制, 实现网络安全纵深防御[A].中国电机工程学会电力信息化专业委员会.电力行业信息化优秀论文集2013[C].中国电机工程学会电力信息化专业委员会, 2013:6.

[2]季辉.解决内忧抵御外患江苏省人民检察院IT终端设备规范化管理[J].信息网络安全, 2006, 10:62-64.

[3]刘国波.Mc Wi LL宽带无线接入系统在智能电网建设中的研究及应用[D].西安电子科技大学, 2012.

桌面图标分类管理神器 篇5

Fences使用效果

Fences好用到什么程度，可以说几乎所有用过它的人都对其称赞不已：“仅仅在安装试用了5分钟之后，我就知道 Fences 将会伴随我以后整个电脑使用生涯了！”当然，它也是我一直都在使用的工具。如果你用过它之后，你就会发现你的桌面真的再也离不开它。无论作为提高效率或者美化桌面，它都是一款称职的好软件，它是如此方便、优雅地帮你将桌面变得整洁、干净，并且高效率，对于喜欢随便丢图标到桌面的同学来说，Fences绝对是一款必备的神器。Fences的效果非常赞，自动整理后桌面瞬间就井然有序了（如图1）。

文件夹快捷入口

除了整理图标之外，你还可以在桌面新建一个 Folder Portal（如图2），它相当于一个文件夹的快捷方式入口，可以将电脑上任意位置的文件夹映射到桌面上来。譬如可以将 Dropbox 或者你日常工作所用的目录放在桌面，但它们实际上是在D盘或E盘的某个目录，非常便于你随手使用。每个栅栏“收纳盒”的大小和位置均可随意调整，并且可以放置任意数量的图标。除了分类整理图标外，还提供了一个有趣的功能：双击桌面可以隐藏或显示所有图标。

多页面支持

另一个功能就是多屏幕切换，如果你是一位比较重度的使用者，那么可能你会发现，即便图标已经分组管理了，但桌面还是太小太拥挤了。现在你在桌面屏幕的左右边缘拖放就能切换到下一个页面。因此你可以将不那么常用的图标组放到第二页或第三页去，这样不仅能非常完美地解决图标太多的问题，而且也能保持首屏图标更少更高效。

关于 Fences

Fences 完美支持Windows XP直到Windows 8的几乎全部版本的系统，可以支持32与64位（XP只支持32位）。它是由 Stardock 公司出品的，该公司还有很多好用的软件，譬如 Start 8 开始菜单、Decor 8 等等。Fences 并不是免费的软件，不过你可以很轻易地获取免费试用。

在第一次使用的时候，会弹出欢迎界面（如图3），选择“Try Fences”，然后等待响应。过一会儿会弹出“Acivate your Fences Trial”的页面（如图4），复制对话框中的链接或者直接点击“Open this link”打开网站，在打开的网页中复制对话框中的文本到图4的空白处，然后选择“Unlock Trial”即可开启30天的免费试用了。

云桌面替换传统终端的解决方案 篇6

使用传统终端的单位在采用云桌面替换传统终端时面临着总成本上升, 培训难度大, 依赖网络环境等问题, 需要不断研究如何更好的利用好云桌面系统代替传统终端, 以达到云桌面成本低、使用方便等优势。

一、现有传统桌面换成云桌面的方案

云桌面运行的基础是用户通过主机服务器部署相关虚拟桌面或者应用, 用户可以通过固定或移动客户端连接到云桌面, 完成操作过程。

现有电脑可以作为基础中心设施或者终端登录设备, 对云桌面进行支持或者访问。利用云桌面替换传统终端无需对现有的网络进行改变, 只需要在网络中心添加一台或者多台云服务器, 实现双机方式访问内外网的效果。两台云终端设备可以共用一套显示器、键盘和鼠标, 从而节约费用。同时, 两台云终端可以各自连接到相应的云端服务器, 分属于内网和外网, 其安全性得到了进一步的加强。

(一) 基础中心设施

根据云桌面服务平台的基本要求, 以Windows系统、Apache服务器、My SQL数据库和PHP脚本语言为基本载体, 搭建云桌面系统的基础中心设施。

硬件配置为CPU:2.3GHz硬盘容量:40G。软件配置:安装一款虚拟计算机软件VMware Workstation, 该款软件的优势在于可以在单一的桌面上运行不同的操作系统。虚拟机中的操作系统与主机之间不发生冲突, 独立运行。

(二) 虚拟机创建及管理

首先, 确定虚拟机的名称, CPU相关参数, 内存以及硬盘分配的大小, 网络适配模式, 确立好相关参数, 创建安装虚拟机系统。其次, 将虚拟系统安装文件存于系统中, 选择对应的信息, 完成系统安装工作。第三, 进行内容页面的搭建, 其前台页面设置要求较为简洁, 只对客户开放静态登录窗口。

(三) 数据库表单

云桌面需要搭建相应的数据库, 确保信息储存在不同的数据库表中, 相互之间通联, 保证数据应用的灵活性。打开云桌面系统后, 系统会自动链接数据库, 从而获取相关信息。

(四) 远程登录服务

远程登录服务是基于搭建云桌面系统服务器和客户服务端建立的ICA协议的服务组件安装。其中, 传递客户端输入输出操作的数据有多个虚拟通道, 用户在客户终端上基于主服务器进行存储操作。CR接入软件用于客户端的接入工作, 可以将虚拟端和服务器端进行连接, 实现某些特性和功能, 建立起直接服务关系。

(五) 身份验证设置

针对云桌面系统的用户身份验证问题, 主要采用的控制器配置优化的方式实现统一管理。区域内的计算机访问和交互受到服务器的限制, 需要严格控制防范。在同一区域内的每台服务器之间相互共享, 普通的计算机网络环境下, 网络的访问可以加设密码, 同时服务器对访客访问权限进行验证工作, 也就是域控制器[1]。

(六) 应用部署

应用部署是为了实现云桌面的使用功能模块的重要步骤, 用户可以按照使用的需求选择相应的服务和程序, 启用及配置相应的环境, 发布应用程序, 添加网络信息, 实现对云桌面系统页面的访问。

(七) 终端登录访问

现有电脑及移动终端都可以通过登录浏览器或者客户端的方式登录云桌面, 打开任意浏览器, 输入云桌面的IP地址, 便出现云桌面的登录页面, 输入预先设置好的账户和密码, 就可以显示登录成功。

二、原有电脑怎么利用

采用云桌面后, 内外网应用系统之间的数据交换需求会大量增加, 用户的工作环境要求高, 网络的依赖程度不断加深。目前所有单位重视云桌面的模式推广和关键技术的使用, 但是, 云桌面系统存在管理难度高, 系统安全性不足和运营维护复杂的状况。因此原有的电脑设备不能停止使用, 需要将传统计算机环境和云桌面系统进行结合。

云桌面系统使得原有电脑可以在内外网应用系统间实现快速切换, 用户可以方便快捷地进行内网业务处理和外网检索发布, 实现内网应用系统保护的同时可以与外网应用系统数据交换。原有的电脑终端维护的成本不断降低, 仅仅需要很少的人力投资, 管理更加科学有效, 节约时间。IT部门的管理员的日常工作是对虚拟应用或者虚拟桌面服务器的管理, 明确使用者的应用权限, 对整个系统进行宏观控制。

此外, 远程移动办公也可以在原有的电脑上进行, 固定办公地点的用户可以采用原有局域网的OA系统, 与云桌面并不发生冲突, 实现了在不同地点和不同设备之间的信息共用, 提高了项目的连续化作业。同时, 也可以采用分批替换传统PC的方式, 此时原有的电脑也应该发挥作用, 优先对财务、法规管理等体系应用云桌面, 提高信息的安全保障等级, 满足传统的办公需求的同时, 不断推广普及云桌面的使用, 原有电脑也成了最好的普及和使用工具。

三、结语

在进行云桌面建设时需要结合本单位现有的网络基础环境, 在保障云桌面的服务质量的前提下, 分批替换传统的PC, 利用好原有的电脑作为主要的终端设备和后勤保障资源, 降低替换成本, 减轻单位的经济压力。通过不同形式的分批和逐步替换, 使得单位不再采购传统的电脑设备, 而是采用云桌面作为主要的办公设备。

参考文献

桌面终端管理 篇7

优派美洲地区总裁杰夫,沃尔普表示:“众所周知,台式计算机的占用空间正在缩小,而用户也开始转向体验更佳的智能手机和平板电脑,所以,优派在专注于用户桌面计算机应用体验的同时,更是希望利用优派在显示和计算领域的领先科技,以体验更佳的虚拟化桌面终端满足用户的需求”

优派全新的瘦客户端和零客户端产品功能强大,而体积更是仅有0.6 L,通过安装支架,可轻松连接和安装到任何符合VESA标准的显示器上,极大的为用户节省了桌面空间,非常适合办公室、讲台等环境下使用。

而在技术上,优派全新的瘦客户端和零客户端产品均得到了微软RemoteFX认证,允许用户在远程Windows Aero环境下工作、观看视频和Silverlight动画,流畅运行3D应用程序。同时,新品还得到了思杰ICA/HDX和VMware PCoIP技术的优化,在虚拟环境下用户将享受到部署便捷、简化的管理、极强的安全性以及更好的可访问性。此外,新品全部配备的双DVI视频接口,可支持1080p全高清输出,可链接多台显示器使用,而耗电量可节省高达80%以上。而且,优派还为这两款产品配备了Kensington安全锁,以防止设备丢失后资料给人盗取。真正具有灵活多用、功能强大和低成本等众多优势。

优派液晶显示器和PC产品市场营销总监埃里克?威利表示:“对于企业来讲,优派全新推出的VDI客户端新品将使公司可以轻松支持BYOD (自带设备办公)模式,并可获得一个精简,且易于管理的办公设备管理方式。并最终让员工可以以更轻松、快乐、高效的方式全面提升工作效率。”

瘦客户端SC T35和SC T45

优派SC-T35是基于ARM Linux操作系统的瘦客户端,内置德州仪器DM8148 ARM CPU具有较强的成本效益并且解决方案灵活多变,可很好的满足客户对虚拟桌面计算的使用需求。而优派SC-T45则是基于Windows操作系统的瘦客户端,它采用了功能强大的英特尔凌动N2800双核四线程处理器,处理性能可与真正的PC相媲美,使其非常适合于处理密集的二维/三维图形应用程序。搭配优派(ViewSonic)的设备管理软件(VDM),IT管理员可获得一个客户端管理界面,从而更加易于部署和管理。

零客户端SC Z55

优派SC-Z55零客户端是为金融、医疗保健和政府机构等企业级用户量身定制,可提供无缝桌面的卓越体验。通过VMware提供的解决方案,可降低复杂性以更加灵活、敏捷地交付服务来提高IT效率,并且具备极强的可靠性和安全性。优派SC-Z55基于一个超快的Teradici 2321万亿次处理器,支持硬件加速PCoIP技术,无需本地内存和移动硬件支持,是真正的零客户端设备,可提供最佳的节能效果和可靠性。同时,优派SC-Z55在还搭配了最高性能的VDI解决方案,组织了一个更加安全、可扩展性和效率更高的虚拟桌面平台,以满足更多用户的使用需求。

桌面终端管理 篇8

9月25日,湖南省科技厅组织专家对湖南湘邮科技股份有限公司承担的省承接国家科技重大专项成果转化专项“基于国产‘麒麟’操作系统的卫星定位智能终端和桌面终端产业化”项目进行了综合验收,项目实施取得了较好的经济和社会效益。

项目运用“国产‘麒麟’嵌入式操作系统、桌面操作系统以及国产北斗卫星导航技术”,实现了基于国产“麒麟”操作系统的卫星定位智能终端和桌面终端的产业化,解决了终端产品应用国外操作系统和卫星定位技术所存在的安全隐患,建立了完善的生产和检验平台、技术开发体系和生产制造体系。通过该项目的建设,已具备年产2万台卫星定位智能终端和2万台桌面终端的产能,研制生产的智能卫星定位终端产品已成功应用于中国邮政集团公司邮运车辆;研制生产的桌面终端已成功应用于中国邮政营业网点、客户服务中心、业务管理等场所。

桌面终端管理 篇9

随着信息化技术的快速发展,基于云服务平台的“云教室、PAD、手机、互联网电视、PC”等多终端融合教学环境的构建已迫在眉睫。

桌面云可以将所有终端设备配置、管理工作集中在数据中心进行,管理员可以在数据中心对所有终端设备及其应用进行统一配置,这样不但可以简化维护工作量并保证数据安全,还可以提高教育质量,改善学习者的学习体验,提升教师的教学方式,实现学、测、考、控一体化,促进优质教育资源共享,促进现代科技与教育的深度融合。

2 桌面云的概念

云计算(Cloud Computing),是一种互联网上的资源利用新方式,可为大众用户依托互联网上异构、自治的服务进行按需即取的计算。云计算的资源不但是动态易扩展,而且是虚拟化的,通过互联网统一提供。

桌面云是云计算的一种应用形态。桌面云,即桌面虚拟化,是一种以服务器为中心的计算模式。它将客户端的桌面操作系统/应用/数据转移到数据中心进行保存和运行,客户端仅保留基本的通信和图像处理能力。

3 解决方案

3.1 桌面云计算体系架构整体解决方案

桌面云计算体系架构解决方案如图1所示。

通过桌面云计算体系架构解决方案,数据中心可以对客户端的桌面操作系统、应用和数据进行统一管理,不但简化了维护工作量,也降低了安全风险,保证了数据安全。而客户在使用虚拟桌面时,客户体验也非常良好。针对多终端融合教学环境构建的宗旨,需要设计两个管理平台,分别是云服务器管理平台和云终端管理平台。除此之外,还需要设计相应的网络结构来维护网络安全。

3.2 云服务器管理平台

云服务器管理平台需要有几大模块:用户权限管理,镜像管理,计算机管理,学生机管理和监控及日志管理。

1)用户权限管理:提供用户名、密码给管理员,使用云服务器管理系统。在保证系统安全的前提下,充分发挥管理系统的优势。

2)镜像管理:镜像管理是指管理员对学生机镜像的管理,支持学生机镜像的导入、导出、启动、停止、挂起、删除功能。启动学生机后,管理人员可以安装与学校课程相关的教学软件、课程资料等,通过此镜像创建学生机,达到一键轻松部署所有机器的目的。导入和导出是为了管理人员更简便的操作和备份相关的重要镜像。

3)计算机管理:支持学生机的创建、删除、启动、关闭、重构等;支持学生机的各种状态的过滤。重构简化了管理人员的操作,特别是在安装新软件、操作系统等情况下。并且,系统为每位学生分配相关的数据存储区,供其保存相关资料。

4)学生机管理:一分钟内可以创建多台学生机,学生机里面的内容与镜像中安装的软件、资料一样。安装新的软件、操作系统等都可以通过重构,实现所有学生机的升级。

5)监控和日志管理:服务器的CPU、内存、磁盘等实时信息监控;提供清除数据功能,可以一键清理系统垃圾信息,也可以手动清理文件数据。

3.3 云终端系统

云终端系统人机界面友好,操作简单,上课时只要打开主机电源就可以立即投入使用。另外,管理方便,安全可靠,没有软驱、光驱和硬盘设备,从根本上防止了病毒从内部对系统的侵害。

3.4 网络结构

针对教室的网络结构,主要是实现内外网隔离,防止病毒的感染与传播,避免了整个校园网络发出网络攻击对内部网络造成的影响,保证局域网内部网络的畅通。其次,为所有云终端及要与云终端通讯的网络设备创建单独的IP网络段,隔离广播。此外,服务器使用千兆网卡,提高云终端与服务器之间的数据交换速度。云终端网络拓扑图如图2所示。

4 结论

限于篇幅,本文仅从多终端教学环境下桌面云建设思路进行了简单分析,但实际搭建桌面云还有很多技术细节需要进一步探讨。但总体上,这个专为教育行业的基础IT系统设计的基于云计算架构的终端系统平台,将桌面操作系统、应用和数据向数据中心迁移,并通过网络为用户交付虚拟桌面和应用的云服务,不但可以高效安全的管理终端,而且可以有效地降低学校IT系统的TCO和能耗。

摘要：为了构建一个多终端融合教学环境,该文针对桌面云建设的系统架构关键要点进行研究和分析,设计两个管理平台:云服务器管理平台和云终端管理平台,并设计了相应网络结构,可以有效简化维护工作量和保证数据安全,提高教育质量,促进现代科技与教育深度融合。