中小企业电脑集中管理探索 中小企业生产管理软件

提要:本文讨论了当前中心企业电脑管理的比较普遍、尖锐的自由有余,集中管理不足的问题,提出了使用嵌入式技术构筑本地安全系统,结合“云”计算,解决企业安全使用,集中管理的技术方案。


一、“废了武功”的操作系统
不知道港台是不是这样,中国大陆1000台电脑以下的中小企业普遍的烦恼:
1、员工任意拷贝公司电脑数据,难以管理,网络、USB盘在方便数据交流的同时 “好事变坏事”。
2、企业电脑有时成为游戏娱乐机、炒股机,这是不期望的信息化的副作用。
3、电脑操作系统软件故障频繁,安装部署麻烦。
4、操作系统安全性几乎流于形式,防止病毒木马恶意程序管理难。
企业使用Windows操作系统(目前主要是XP Pro,将来可能Windows7逐渐多起来),导致主要问题是,自由有余,而集中管理不足。技术方面原因来说:大陆企业普遍未使用“域”管理,电脑普通员工对电脑以本地管理员权限运行。之所以“域”管理不普遍,“域”对本地资源也管理不是那么有效,用户有本地管理员权限,对于本地资源,比如磁盘文件,USB盘等等的管理往往绕过域的管理,再有“域”还是比较复杂的,这样,效果不咋的,管理还复杂,导致“域”在中小企业中渐行渐远。另外一方面,员工如果不以管理员权限登录,当今最普遍的软件或者多或者少会有些精灵古怪的问题,难以查找,维护人员碰多了钉子的情况之下,只好一放了之。VISTA和WINDOWS搞了一个UAC,想给操作系统多加把锁,饱受诟病,目前看来在企业难以广泛推行。这样一来,操作系统这一层的安全就等于“自行了断”,“废了武功”。比如改注册表使电脑不能使用U盘,但是用户有管理员权限,可以将注册表改回来,网上也有人搞好了现成的,只有鼠标一点就行;又比如使用IE限制上网等也是一样。之如此类,效果可想而知。
杀毒软件,历史证明,只能对付已经知道的风险,不能对付未知的“毒”,从过去“CIH”、“尼姆达”、“熊猫烧香”,“机器狗”等等反复证明了的,现在还有涌现层出不穷的恶意软件,杀软也不能防止拷数据,安装游戏,电脑安全单靠杀毒软件显然不靠谱。
建筑在这种“废了武功”操作系统的安全架构,就好比建立在沙滩上的建筑。

二、嵌入式系统的长短
微软也看到了这个问题,在一些企业推广嵌入式WINDOWS(EMBEDDED),比如日立公司使用8万个XPEmbedded取代桌面系统,北京奥运期间使用了1万多个 XPEmbbedded系统。但是Embedded并不是为桌面设计的,比如微软就规定,不能在XP Embedded运行MSOffice等。而且构建和安装部署也不适合企业普遍采用,上述例子中,电脑硬件是统一定制,OS由XPEmbedded的开发工具编译而成,除非全部淘汰企业中现成五花八门的电脑和硬件,而重新统一购置新硬件,否则部署WES难度很高。但是企业的需求还是明确的,就要要有功能强大,但是又安全、简单类似嵌入式视窗系统的本地操作系统。现在在一下规模较大企业广泛使用的Windows终端,就大部分使用XPEmbedded,说明企业还是有需求的。
WES中EWF和FBWF写过滤按照其官方定义:“EWF provides a means for protecting avolume from writes. This allows the operating system (OS) to bootfrom read-only media such as CD-ROMs, write-protected hard disks,or flashmedia”,也就是微软官方实现类似过去硬盘还原卡的软件方案,但是可以允许操作系统在只读的介质启动和运行,比第三方技术方案的稳定性、兼容性自然是有先天的优势。这个是微软嵌入式系统实现防病毒、免维护的关键模块,下面是其工作原理图:
(图1)





但是这个写过滤如果用到桌面上,有严重缺陷:
1、微软的EWF和FBWF是不能阻挡机器狗。有一个 “机器狗测试”,http://d.namipan.com/sd/1501074,解压密码www.ouyaoxiazai.com,解开该文件在管理员权限执行后,在只有EWF过滤生效的XP系统中,c:windowssystem32conime.exe等文件将永久被更改。如果说这个是病毒的话,有一个Strike(http://www.szboot.com/down/strike.rar)程序,可是堂堂皇皇的公开调用CreateFile直接写入,在XP和Windows7下都有效,没有杀毒软件会报毒,ewf和fbwf保护的磁盘瞬间“一命呜呼”,这个也充分反映了EWF和FBWF的应用范围的局限性。
2、WES2009中EWF有DISK模式,并不好用,最近微软发布的WES7中,EWF已经放弃了DISK模式,这样EWF和FBWF都只能使用内存缓冲,大型程序和多程序运行是容易导致内存不足甚至蓝屏死机。
3、EWF实现快速启动要求所有盘读写过滤,并且不能设置虚拟内存,使其仅仅能够局限限在嵌入式系统的使用。
4、EWF和FBWF的设置,使用EWFMGR和FBWFMGR命令,一方面谁都可以执行,导致非授权人员更改系统的安全性问题,再一个,这些命令,只能在管理员权限才能执行,导致存储用户文件等也必须要本地管理员登录,这又是安全上的“大漏斗”。
显然,如果有一个具有嵌入式特性的桌面Windows就是当前比较合适的企业OS。


三、使用嵌入式技术的桌面系统
中小企业电脑集中管理探索 中小企业生产管理软件
有鉴于此,本文探讨实现一个使用桌面操作系统(XP和Windows7)实现“动态”嵌入式管理特性作为本地系统,再结合iSCSI网络存储,应用程序虚拟化,操作系统虚拟化的四位一体综合技术构筑企业安全、免维护集中管理电脑系统。
XP由于时代久,第三方研究透,适度精简、第二次封装、驱动集成都比较成熟,安装起来方便快捷,这样都是Windows7不如的地方,但是Windows7价格先进,有一些先天优势。为了抛砖引玉,本文使用现成的成熟的技术方案做为例。
先顺便说一下版权问题,前几天其听微软产品发布讲座,其资深主讲人凌宁说得十分明确清楚,并不是根据介质来分辨是否盗版的,他的原话是:“如果你购买了微软的(开放)license的,那么你去电脑城(或者地摊)购买的光盘,你使用就不叫盗版”。因此本文介绍的技术你只要有license,就可直接使用,并非盗版。
XP SP3使用深度适当精简版作为母盘,包含了Office2003和office2007兼容包,WinRAR,PDF查看器等常用软件,升级IE8,Mediaplay11,安装“雨林木风集中升级包补丁”,安装微软得iSCSI客户端,安装“自由天空”驱动包9.9,这个基本集中了目前流行电脑绝大部分的驱动,安装“波特尔金盾”使桌面系统达到免维护,然后采用“自由天空”封装,最后使用ghost制作镜像,这样一个系统800MB左右,这个姑且系统称为“老树”系统。企业可以根据自己情况来增减软件。Windows7的驱动目前不如XP的多,估计将来会好起来吧。
使用“老树”系统新安装或者重装一天机器,快捷简单。先将硬盘镜像恢复到硬盘中,一般1分钟左右,让系统从硬盘系统,系统构建一般5分钟完成,包括各种各样的驱动也完全安装好了,如果要使系统处于保护状态,按“使写过滤有效”即可。总共不到10分钟可以搞掂。下图中压缩格式操作系统安装后占用1.02G。
(图2)




写过滤有效后,增强了EWF功能不怕病毒,免于维护,在“锁定系统盘”的情况下,使用上述穿透软件测试,已经不能破坏系统了,并且,可以集中设置密码,可以设置禁止使用USB存储设备,或者使USB存储设备只读,只要有密码,也不一定要管理员权限就可以设置。也可以锁定整个硬盘为只读。新增电脑除了硬盘外,还可以使用带写保护开关的SSD,或者U盘,或者SD卡安装系统,在必要的时候,以硬件方式锁定系统盘,从而彻底解决系统软件破坏问题,不管是已知还是未知的病毒等软件危害。SSD比硬盘速度快,大容量的但比硬盘贵,不过小容量的价格不贵,并且采用本方案适用,推荐使用。SD卡是最常见具有写保护开关的存储媒体,2GSD卡50元以下,当然可以省些成本,速度虽然不快,但是运行操作系统却可行,微软的微软ReadyBoot就是使用U盘来加速系统。
(图3)



同时系统具有“拼接”磁盘功能,就是使用其他磁盘包括网络的iSCSI盘的空间来来扩大系统盘,可以保障大型程序、多任务运行。这样一个系统有做好了的可以在下载来测试:
http://d.namipan.com/d/459696b4e22a17ef981b23c42bac26ea5b3302dc00189d43(WindowsXP SP3),
http://d.namipan.com/d/03a1a8809c0af1c66a84a35ed959e939e9ca782cef3c4734(Windows7)
更加方便的办法是下载一个2MB的小软件”金盾”( http://www.szboot.com/down/jd.rar),安装在现有的XPSP3或者Windows7系统中,就普通普通的桌面系统有了超越WES2009和WES7的嵌入式特性,并且支持“快速开机”(10秒内启动电脑)和安全快速关机(1秒钟关机),使电脑更好为企业服务。

四、“云”
这么一来,本地系统算是解决问题了。这种情况下,内部网络管理如果配合“域”,那就基本“天衣无缝”了,如果有跨广域网需求,再搞一个SharePoint之类,中小企业的文档管理就基本“齐活”了,原则上可以做到分级管理,各取所需,即不会不方便工作,也不会导致简单的信息拷贝外泄。
下面一个问题立马来了:其他软件安装在那里?解决办法有三个:一是使用iSCSI盘集中安装(也可以叫做磁盘存储虚拟化);二是应用虚拟化;三是系统级虚拟化。
iSCSI盘使用在网吧等行业已经普及,企业也广泛使用,是十分成熟可靠的技术,iSCSI服务器微软也有,收费和免费的很多,个人感觉最简单的是“遥志”,在服务器安装,客户端连接后,就出现本地盘,这个盘可以写,但是不会破坏服务器的数据,将软件集中安装在这个iSCSI服务器中,实现了集中管理,而且,一些软件并不是每台电脑时时用,因此不要购买那么多的license,还可以节省软件授权费用。这种方式,不改变PC环境,可以顺畅运行大型设计软件,完全使用的是本地的CPU,内存,显卡等资源,只是集中存储而已,这些集中存储也可以集中保障企业得数据安全,软件使用也可以集中管理,不是每台电脑各自为政,在最大兼容性同时,可以避免一些“游戏机”,“炒股机”的信息化副作用。下图是iSCSI服务器运行界面。
(图4)




下图中,系统安装在2GSD卡中,通过连接iSCSI服务器,“拼接”网络的iSCSI磁盘,系统由原来的2G,“扩大”为158G。完全满足全功能,运行大型软件的需求,而同时又实现了集中管理。
(图5)

应用程序虚拟化最简单的(但是不恰当)就是将应用程序变为“绿色软件”,集中放在网络上,让工作站执行,可以结合iSCSI盘。微软收购了SoftGrid的软件整合后,推出了ApplicationVirtualization解决方案,秉承微软的一贯传统,大而全,复杂,有软件授权控制,分发,增量升级、负载平衡等等,个人认为,对于中小企业还是比较复杂的。Vmware有一个ThinAPP,赛门铁克也有一套方案,没有看到在国内推,国人也搞了“云端”等类似方案,不过最简单的是NOVELL的ZENworks_Application_Virtualization,将一个应用程序作出一个单EXE可以执行的文件,比如office2007、IE6.0,adobeCS3等等,拷在网上,大家执行。企业可以根据自己情况选用。
系统级虚拟化,最有名的就是RDP和ICA,这就是原来的所谓的“瘦终端”。当然现在windows7和windows2008R2,RDP有脱胎换骨的感觉,就是支持DirectX加速。原来“终端”一说起来就“气短”:“用户体验稍差,不能看电影,打游戏,绘图!”,不看电影、不打游戏企业可以不管,用户体验稍差可以将就,图形设计可是是很多企业的命根子。现在因为支持本地加速,以后终端也可以看电影、打游戏,3D绘图。但是这个要求客户端是Windows7,由于本地运行,CPU、显示卡等硬件也必须强大,而且必须是DirectX11所支持的软件,那么,将来就不能叫“瘦终端”,应当叫做“胖终端”,当然也导致Linux等第三方OS不再适合作为WBT操作系统。不过这个实现了最彻底的集中管理,这个可能是将来的发展方向,但是,离不开强大的本地系统支持,现在探讨的这些技术还是必要的。
为什么不选择无盘?首先,由于无盘启动时依赖广播,所以在严格的网络管理环境下不适应,有些城市,如深圳明文规定,发牌网吧不能采用无盘,不能实行严格的网络管理,这对企业也是难以接受的。其次,目前电脑硬件发展,瓶颈往往在硬盘,每个电脑一个硬盘都是瓶颈,何况将几十台电脑来共享硬盘,特别是,操作系统的文件,往往使用内存映射等,作为内存来读写,导致极大的网络负载。这个系统级别的物理限制,不是软件优化可以克服的。
这个使用桌面操作系统实现“动态”嵌入式管理特性作为本地系统,再结合iSCSI网络存储,应用程序虚拟化,操作系统虚拟化的四位一体综合技术的解决方案,现在有了一个时髦而简单的名字:“云“。

  

爱华网本文地址 » http://www.413yy.cn/a/25101011/94799.html

更多阅读

内网管理软件 手机局域网控制软件

内网管理软件一般能够监控QQ软件、MSN软件,可以在不安装客户端的情况下轻松封堵屏蔽这些聊天软件的使用。可以监控到每台电脑实时的上行流量,下行流量;同时可以监控到公司整个网络的带宽流量大小。可以监控到下面电脑的屏幕和电脑里的

斯玛沐足桑拿专业管理软件 至尊桑拿沐足保健中心

本系统引进香港大型桑拿沐足中心的先进管理方法,并结合当今世界最新的电脑科技,历时一年开发而成,成为中国大陆第一套面向沐足行业的电脑管理软件。自1997年推出市场以来,已在沐足行业发达的广东省东莞市取得超过60家用户的佳绩。在多

烘焙生产ERP管理软件食品厂版 食品厂烘焙师怎么样

作者:用心做软件 出自:中国特色连锁店管理 浏览/评论:142/0 日期:2011年7月2日 15:06烘焙生产ERP管理软件(食品厂版)系统介绍烘焙生产ERP管理软件是一套针对烘焙食品工厂行业的一体化管理解决方案,从销售订单、发票管理、工厂采购、生产配

集团公司资金集中管理暂行办法 以现金结算的股份支付

集团公司资金集中管理暂行办法(通财[2007]319号) 来源: 未知 作者: 资产财务部 发布时间: 2008-6-19第一章 总 则第一条 为加强集团资金管理,根据国务院办公厅《关于转发国家经贸委〈国有大中型企业建立现代企业制度和加强管理基本规范

声明:《中小企业电脑集中管理探索 中小企业生产管理软件》为网友绝非偶然分享!如侵犯到您的合法权益请联系我们删除