正在阅读：直面问答 微软基础架构优化模型及解决方案直面问答 微软基础架构优化模型及解决方案

　　在IT政策方面你会看到我们在合理化的时候，我们的标准是能够被强制执行的。当然强制执行并不表示会给员工的生产力带来破坏，反正对他的效率是提高的。

　　接下来我们谈到五个重要的点。第一点谈的是身份和访问管理的方面，微软是怎么做的。大家都知道每个公司里面都有这两个重要的部门。很多时候部门的经理有人员的需求，人力资源需求的时候他就会去找人力资源部。他就需要在线帐号管理工具里面设置。在微软里面我们已经把这个自动化了，如果是部门经理，他可以去到人事资源管理工具里面填一个需求，人力资源部就能够知道他有一个这样的需求。人力资源部考核之后，觉得人力资源需求是合理的，就会由人力资源发用户帐号请求到帐号信息管理组，这才来到IT。来到IT之后我们其实是通过AD活动目录就把它创建起来。这一创建起来刚开始我提到的1800个应用程序就根据他能够加入的SG，就把它加入在里面，新的帐号和密码也很快的设置出来，然后就会通过加密邮件，而不是一个普通的邮件。别人开不了，看不了，只有这个部门经理能够看的。你可以把整个的人力资源流程也简化了。加密的邮件里面是不能转发的，也不能印表。所以部门经理在保障安全的时候也能够有更好的保障。

　　我们在身份管理方面我们应用了“强密码”。在微软里面这些通过活动目录的设置，我们  是能够把这些强密码给强化的。你可以看到，你不能够用常用的词语，也不能够用名字。我还记得有些人用第一方程式塞车，特别喜欢Hamilton，他就会想用Hamilton做密码，我怎么会知道呢？其中一个用户告诉我，非常喜欢赛车手，她是开奥迪的，是一个女生。她用了赛车手的名字，我说你真的用了赛车手的名字吗？她说是。我说不是很容易知道吗，她说不是，她说可以在里面进行改动，把Hamilton的i改称1，把t改称4，她用一种变化多端的方式，我们会给她很多限制，强密码不能够随意设置，他懂得互相交换，那么就有一个很好的强密码。

　　主持人：我们自己每个人都身有体会，每60天要换计算机的密码，每次密码要求非常的高，必须有字母，必须有大写，必须有数字。这其实从某种角度上真的是说，企业现在这种IT信息安全非常的重要，这种密码的作用我自己觉得非常有必要。

　　林伟华：我讲一个小故事。在微软里面刚才我提到有开发人员。这里面其实有一个漏洞，漏洞是什么呢？我们说你不能够重新换你的密码，起初的时候在很多年前，八九年前的时候，我们说你不能够重用你过去8次的密码。你想想看这里面有非常好的天才，他就写了一个程序，自动化的把他的密码刷过一遍，8回，就拿回原本喜欢用的密码。给我们发现到了。我们在AD里面，AD 在 Windows 2003的时候就来了更加强制性的执行，改成24回，因为改8回、16回对他是没有意义的，他是开发人员，对他太容易了。只要写几个口令就能改。改到24回他还是有办法，那我们怎么办呢？我们在AD系统里面让你在同一天内不能改两回。不能改两回的时候，没法刷了，不要紧，如果你尝试改两回会怎么样吗？你的部门经理会知道，自动化。马上就会知道你的部门里面某某人想尝试改这个强密码。做到了。所以你可以看到内部的黑客如果想要搞破坏也没那么容易了。这是活动目录非常优秀的地方。

　　桌面管理的时候，基本上我们的桌面管理是自动化。在以前要打补丁，我们是有一个程序来把它自动化，我们通过SCCM(System Center Configuration Manager)。能够把我们每一台机器给自动化，自动打补丁。所以在任何时刻我们都能知道我们的作业环境里面，会不会受到信息保障安全的隐患，我们都能够很快知道。我们在应用程序虚拟化方面，也让我们的内部用户能够用Terminal Server,还有Application Virtualization，最新的版本让我们登录一些应用程序，所以桌面管理对我们来说是非常的容易，基本上是不需要我们的用户装了很多应用程序在他的机器里面，这对我们的管理非常好。我们能够上线下一个操作系统的时候，这整个生态系统就变得很容易了。所以我们在上Vista的时候，我们大中华区只用了四个月。就是有这样一个桌面管理模式，让我们能够很快的把它做出来。

　　谈到SCCM，软件更新周期。它只是一个技术，如果你没有流程管理的话也不到位。所以流程管理的方面我们就创建了，每个月的软件更新的程序，或者叫流程。这流程是怎么做呢？我们在每一个月的第二个星期二，公司业务比较不忙的，不是在月尾结帐的时候，每个员工需要忙的时候做补丁的，而是在第二周的第二个星期二我们开始流程，把我们的修补层次全部放出去。你可以看到大约在14天内，我们基本上已经达到90%了。为什么这个很重要呢？这个数据给你一个概念，如果能够在这14天内把这个程序给打完之后，你公司的IT作业环境就安全了。所以这是很实在的。因为他已经达到标准了，包括他的防病毒、IE、Office、Windows都做好了，自动化给他了，所以是很安全的。我们在非常紧急的时候，SCCM可以让我们在24小时内强制性的把软件更新。所以这也是让我们的信息安全保障提升了很多。所以对桌面管理是特别有助力的。这只是一个图，我们可以让你看到，它可以非常强制性的，或者让用户有个选择性的时间来打修补层次。基本上不紧迫的层次让用户有个时间，根据他工作的需求，还有他忙不忙的时候，在不忙的时候打也可以的。