H3C-iMC-EAD升級(jí)實(shí)施方案

EAD升級(jí)實(shí)施方案技術(shù)文檔H3CiMCEAD系統(tǒng)升級(jí)實(shí)施方案編號(hào)密級(jí)

編號(hào)日期描述版本作者審核發(fā)布日期1234修改記錄

目錄一、 項(xiàng)目概述 41.1項(xiàng)目背景 41.2目標(biāo)及范圍 41.3定義及術(shù)語 51.4項(xiàng)目原則 5二、 項(xiàng)目分析 62.1需求分析 62.2現(xiàn)網(wǎng)架構(gòu) 62.2.1組網(wǎng)架構(gòu) 62.2.2用戶結(jié)構(gòu) 62.2.3認(rèn)證流程 7三、 解決方案 83.1整體方案 83.1.1可選方案 83.1.2推薦方案 83.2總體架構(gòu) 103.2.1系統(tǒng)中間架構(gòu) 103.2.2新系統(tǒng)目標(biāo)架構(gòu) 103.3.3新系統(tǒng)用戶結(jié)構(gòu) 113.2.4新系統(tǒng)的認(rèn)證流程 113.3新系統(tǒng)規(guī)格要求 123.3.1服務(wù)器硬件要求 123.3.2服務(wù)器軟件要求 123.4賬戶遷移 133.5策略遷移 133.6實(shí)施步驟 133.6.1iNode升級(jí) 133.6.2認(rèn)證遷移 14四、 項(xiàng)目實(shí)施組織安排 144.1項(xiàng)目實(shí)施組織結(jié)構(gòu) 144.2技術(shù)支持人員 14五、 實(shí)施步驟 145.1服務(wù)器部署調(diào)試 145.2iNode試點(diǎn) 155.3iNode推廣 155.4認(rèn)證遷移 15六、 功能定義 156.1策略定義 156.2配置規(guī)則 166.2.1系統(tǒng)帳號(hào)分組 166.2.2用戶分組 176.2.3防病毒策略命名 186.2.4防病毒策略命名（與上一項(xiàng)一致） 186.2.5客戶端ACL命名 186.2.6內(nèi)網(wǎng)外聯(lián)審計(jì)策略命名 186.2.7內(nèi)網(wǎng)外聯(lián)策略命名 196.2.8可控軟件組命名 196.2.9安全級(jí)別命名 206.2.10安全策略命名 206.2.11接入策略命名 206.2.12接入服務(wù)命名 216.2.13資產(chǎn)編號(hào)命名 216.2.14資產(chǎn)策略命名 216.2.15資產(chǎn)方案命名 21七、回退方案 227.1認(rèn)證回退 227.2iNode回退 22八、項(xiàng)目驗(yàn)收 228.1. 進(jìn)行驗(yàn)收測試 228.2. 驗(yàn)收 22項(xiàng)目概述1.1項(xiàng)目背景網(wǎng)絡(luò)是園區(qū)的信息傳輸管道，目前園區(qū)的業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)傳輸主要依賴網(wǎng)絡(luò)傳輸。隨著園區(qū)業(yè)務(wù)的不斷增加和調(diào)整、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全面臨著更多的挑戰(zhàn)。傳統(tǒng)的單純認(rèn)證接入已經(jīng)不能滿足日益發(fā)展的網(wǎng)絡(luò)安全需求。如果在認(rèn)證的基礎(chǔ)上，增加準(zhǔn)入機(jī)制，通過對(duì)終端的準(zhǔn)入檢查，提高了網(wǎng)絡(luò)接入的門檻，大大增強(qiáng)了網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)準(zhǔn)入檢查包含了終端的殺毒軟件、可控軟件等桌面應(yīng)用檢查。舊版本V5EAD服務(wù)器在功能上有限，存在功能缺陷，不能滿足園區(qū)安全管理要求。新版本V7EAD服務(wù)器實(shí)現(xiàn)了“可控軟件組”、“支持MAC地址作為資產(chǎn)編號(hào)”、“支持禁用手機(jī)等非標(biāo)準(zhǔn)移動(dòng)設(shè)備”等一系列功能。通過升級(jí)部署H3C公司新版本EAD系統(tǒng)，配合iNode客戶端實(shí)現(xiàn)對(duì)終端的安全訪問控制，為辦公提供更高的安全網(wǎng)絡(luò)保障。1.2目標(biāo)及范圍本次項(xiàng)目實(shí)施針對(duì)園區(qū)辦公環(huán)境，適用于所有用戶群體。本項(xiàng)目是園區(qū)準(zhǔn)入升級(jí)實(shí)施方案，為了保質(zhì)保量如期完成項(xiàng)目實(shí)施工作，為用戶技術(shù)人員提供日后維護(hù)參考依據(jù)。1.3定義及術(shù)語 H3C憑借多年網(wǎng)絡(luò)管理產(chǎn)品的研發(fā)經(jīng)驗(yàn)以及對(duì)網(wǎng)絡(luò)管理的深刻理解，推出了面向下一代的網(wǎng)絡(luò)管理產(chǎn)品：iMC智能管理中心（IntelligentManagementCenter，以下簡稱：iMC）。iMC從根本上顛覆了傳統(tǒng)網(wǎng)絡(luò)管理軟件的設(shè)計(jì)思想，以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心，采用面向服務(wù)架構(gòu)（SOA）的設(shè)計(jì)思想，提供按需裝配的組件化結(jié)構(gòu)，為客戶提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶的融合管理解決方案，幫助客戶實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理。通過iMC可以靈活組織功能組件，形成直接面向客戶需求的業(yè)務(wù)流解決方案，從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。iMCEAD組件是一個(gè)集事前認(rèn)證、事中監(jiān)控、事后審計(jì)和業(yè)務(wù)管理為一體的多業(yè)務(wù)安全接入管理平臺(tái)。該組件能夠滿足不同應(yīng)用場景的身份識(shí)別、權(quán)限控制、安全準(zhǔn)入和桌面管理的需求。iNode是EAD系統(tǒng)配套的客戶端軟件，用于PC等終端認(rèn)證及安全檢查。1.4項(xiàng)目原則根據(jù)園區(qū)建設(shè)項(xiàng)目定位,辦公網(wǎng)EAD準(zhǔn)入項(xiàng)目方案設(shè)計(jì)原則需遵循高安全、易使用、易管理性的設(shè)計(jì)原則，為全園區(qū)網(wǎng)絡(luò)提供一體化的接入管理運(yùn)維平臺(tái)。與此同時(shí)，升級(jí)過程要求平穩(wěn)可控，盡可能避免對(duì)辦公的影響。

項(xiàng)目分析2.1需求分析目前園區(qū)基礎(chǔ)網(wǎng)絡(luò)設(shè)施已經(jīng)具備。現(xiàn)階段計(jì)劃結(jié)合的實(shí)際情況升級(jí)現(xiàn)網(wǎng)準(zhǔn)入系統(tǒng)。目前V5版本主要使用用戶認(rèn)證、加域檢查、防病毒軟件檢查、防內(nèi)網(wǎng)外聯(lián)、可控軟件等方面功能。此外需要V7版本支持“混合可控軟件組”、“支持MAC地址作為資產(chǎn)編號(hào)”、“支持禁用手機(jī)等非標(biāo)準(zhǔn)移動(dòng)設(shè)備”、“支持USB設(shè)備白名單功能”等功能。要求從V5版本平穩(wěn)遷移到V7版本，保持賬戶不變，原有功能不變，架構(gòu)不變，新的資產(chǎn)管理、桌面控制等功能能夠應(yīng)用到現(xiàn)有環(huán)境。2.2現(xiàn)網(wǎng)架構(gòu)2.2.1組網(wǎng)架構(gòu)本系統(tǒng)認(rèn)證流程主要涉及AD系統(tǒng)、iMC系統(tǒng)、有線接入交換機(jī)、認(rèn)證終端等幾大組成部分。如下圖：2.2.2用戶結(jié)構(gòu)iMC系統(tǒng)用戶功能結(jié)構(gòu)圖如下：用戶：人的名稱，一個(gè)用戶只能屬于一個(gè)用戶分組，一個(gè)用戶可以擁有幾個(gè)帳戶，但是一個(gè)帳戶不能屬于多個(gè)用戶。目前設(shè)計(jì)一個(gè)用戶只有唯一的一個(gè)域賬戶；帳戶：帳戶對(duì)應(yīng)唯一的一個(gè)密碼，iMC不同步AD域賬戶密碼；接入服務(wù)：主要由接入策略和安全策略兩部分組成，一個(gè)用戶服務(wù)只能隸屬唯一業(yè)務(wù)分組。服務(wù)后綴也在用戶服務(wù)中設(shè)置，可以為空；接入策略：主要功能為配置用戶認(rèn)證類型、終端mac等信息綁定、限制終端登錄軟件；安全策略：該處為配置用戶的安全策略，要求終端檢查哪些內(nèi)容，綁定相關(guān)的安全級(jí)別；安全級(jí)別：主要為設(shè)置不合規(guī)項(xiàng)目的處理辦法，對(duì)應(yīng)有下線、隔離、監(jiān)控、提醒等模式。本項(xiàng)目所有內(nèi)容為下線模式；檢查項(xiàng)目：此處涵蓋范圍較廣，包含終端安全軟件、補(bǔ)丁程序、黑白軟件等諸多功能。本項(xiàng)目主要涉及殺毒軟件部分。2.2.3認(rèn)證流程EAD系統(tǒng)功能完善、可靠性高。認(rèn)證流程如下：iMC服務(wù)器為主備兩臺(tái)，如若主服務(wù)器出現(xiàn)故障，則自動(dòng)切換到備服務(wù)器進(jìn)行認(rèn)證。確保認(rèn)證系統(tǒng)的可靠性及業(yè)務(wù)的持續(xù)性。

解決方案3.1整體方案3.1.1可選方案EAD升級(jí)是工作量大的重量工程，要求細(xì)心、嚴(yán)謹(jǐn)方能確保項(xiàng)目平穩(wěn)實(shí)施。升級(jí)方案主要有如下兩種，推薦“借用逃生方案”：升級(jí)方案優(yōu)點(diǎn)缺點(diǎn)直接升級(jí)不需要額外硬件資源；不需要調(diào)整交換機(jī)配置；不需要額外iMC配置；無需遷移license；操作風(fēng)險(xiǎn)大；回退過程復(fù)雜；穩(wěn)定性差全新搭建服務(wù)器遷移操作可控；回退簡單；穩(wěn)定性高；易于維護(hù)需要額外服務(wù)器資源；需要調(diào)整交換機(jī)配置；需要額外導(dǎo)入導(dǎo)出數(shù)據(jù)；需要遷移license；借用逃生方案操作可控；回退簡單；穩(wěn)定性高；易于維護(hù)；占用少量資源；需要調(diào)整交換機(jī)配置；需要額外導(dǎo)入導(dǎo)出數(shù)據(jù)；3、需要遷移license；3.1.2推薦方案借用方案描述：使用一臺(tái)雙核4G配置PC機(jī)作為逃生服務(wù)器，替換備機(jī)并使用備機(jī)IP。該P(yáng)C服務(wù)器同時(shí)也作為新EAD服務(wù)器備機(jī)。原有EAD備機(jī)作為新的EAD主服務(wù)器并使用新IP。將所有用戶逐步切換到新EAD服務(wù)器，直至完成。 將原有EAD服務(wù)器下線并安裝新版本EAD軟件，然后替換逃生PC。 借用方案實(shí)施過程：1、備份原主服務(wù)器安裝程序、授權(quán)、數(shù)據(jù)； 2、測試逃生服務(wù)器可用性； 3、下線原備服務(wù)器（斷開網(wǎng)絡(luò)）； 4、逃生服務(wù)器替換原備服務(wù)器，即更改逃生服務(wù)器IP地址為原備服務(wù)器IP地址； 5、原備服務(wù)器更換新IP地址、格式化重新安裝系統(tǒng)數(shù)據(jù)庫、安裝新版本EAD軟件； 6、通過步驟5，原備服務(wù)器通過安裝軟件成為新EAD主服務(wù)器； 7、新EAD系統(tǒng)與舊EAD系統(tǒng)共用逃生服務(wù)器； 8、將認(rèn)證用戶逐步遷移到新EAD系統(tǒng)直至完成； 9、觀察新EAD穩(wěn)定一周后，下線舊EAD主服務(wù)器；10、離線環(huán)境下，格式化重裝操作系統(tǒng)數(shù)據(jù)庫、安裝新版本EAD軟件、設(shè)置IP為逃生IP； 11、通過10步驟，原EAD主服務(wù)器成為新EAD服務(wù)器備機(jī)； 12、備份新EAD服務(wù)器數(shù)據(jù)庫并手工導(dǎo)入新備EAD服務(wù)器； 13、下線逃生服務(wù)器； 14、上線新備EAD服務(wù)器并驗(yàn)證； 15、實(shí)施工作完畢；注：實(shí)施過程建議非工作時(shí)間完成，需要申請(qǐng)臨時(shí)EADlicense配合遷移。

3.2總體架構(gòu)3.2.1系統(tǒng)中間架構(gòu)本系統(tǒng)認(rèn)證流程主要涉及LDAP系統(tǒng)、EAD系統(tǒng)、有線接入交換機(jī)、認(rèn)證終端等幾大組成部分。遷移中的中間架構(gòu)如下：注：該新EAD服務(wù)器為原備EAD服務(wù)器3.2.2新系統(tǒng)目標(biāo)架構(gòu)EAD系統(tǒng)升級(jí)實(shí)施完畢后，如下圖：3.3.3新系統(tǒng)用戶結(jié)構(gòu)新系統(tǒng)整體用戶結(jié)構(gòu)保持不變。其中變化地方如下：接入規(guī)則改名為接入策略；接入服務(wù)和安全策略從原有業(yè)務(wù)欄調(diào)整到用戶一欄；EAD新系統(tǒng)用戶功能結(jié)構(gòu)圖如下：用戶：人的名稱，一個(gè)用戶只能屬于一個(gè)用戶分組，一個(gè)用戶可以擁有幾個(gè)帳戶，但是一個(gè)帳戶不能屬于多個(gè)用戶。帳戶：帳戶對(duì)應(yīng)唯一的一個(gè)密碼，一個(gè)帳戶的所有功能特性都是有用戶服務(wù)決定。用戶服務(wù)：主要由接入規(guī)則和安全策略兩部分組成，一個(gè)用戶服務(wù)只能隸屬唯一業(yè)務(wù)分組。服務(wù)后綴也在用戶服務(wù)中設(shè)置，可以為空。接入策略：主要功能為配置用戶認(rèn)證類型、下發(fā)vlan、終端mac等信息綁定、限制終端登錄軟件。安全策略：該處為配置用戶的安全策略，要求終端檢查哪些內(nèi)容，綁定相關(guān)的安全級(jí)別。安全級(jí)別：主要為設(shè)置不合規(guī)項(xiàng)目的處理辦法，對(duì)應(yīng)有下線、隔離、監(jiān)控、提醒等模式。本項(xiàng)目所有內(nèi)容為下線模式。檢查項(xiàng)目：此處涵蓋范圍較廣，包含終端安全軟件、補(bǔ)丁程序、黑白軟件等諸多功能。本項(xiàng)目主要涉及殺毒軟件部分。3.2.4新系統(tǒng)的認(rèn)證流程EAD系統(tǒng)功能完善、可靠性高。升級(jí)后的流程不變，上中心保持一致。詳細(xì)如下：iMC服務(wù)器為主備兩臺(tái)，如若主服務(wù)器出現(xiàn)故障，則自動(dòng)切換到備服務(wù)器進(jìn)行認(rèn)證。確保認(rèn)證系統(tǒng)的可靠性及業(yè)務(wù)的持續(xù)性。3.3新系統(tǒng)規(guī)格要求3.3.1服務(wù)器硬件要求每天最大在線人數(shù)不超過10000人的情況下，現(xiàn)有用戶數(shù)xxx人，推薦配置如下：1、服務(wù)器兩臺(tái)（支持虛擬機(jī)，推薦實(shí)機(jī)）；2、服務(wù)器CPU推薦≥兩個(gè)CPU、雙核、主頻大于2.0GHZ；3、服務(wù)器內(nèi)存推薦≥64GB；4、服務(wù)器硬盤空間推薦C盤≥100GB，D盤≥500GB；3.3.2服務(wù)器軟件要求1、2008系列操作系統(tǒng)推薦WindowsServer2008R2withServicePack1(64bit)；數(shù)據(jù)庫推薦SQLServer2008R2SP2；2、2012系列操作系統(tǒng)推薦WindowsServer2012R2；數(shù)據(jù)庫推薦SQLServer2012SP2；注：以上安裝完畢后建議打上最新補(bǔ)丁，然后取消DNS配置。3.4賬戶遷移帳號(hào)類型認(rèn)證方式存放位置遷移方式用戶LDAP認(rèn)證AD重新配置LDAP策略并同步賬戶外部駐場用戶EAD本地認(rèn)證EAD從原有系統(tǒng)導(dǎo)出并導(dǎo)入新系統(tǒng)啞終端EAD本地認(rèn)證EAD從原有系統(tǒng)導(dǎo)出并導(dǎo)入新系統(tǒng)交換機(jī)mac綁定不涉及從原有系統(tǒng)導(dǎo)出并導(dǎo)入新系統(tǒng)訪客EAD本地認(rèn)證EAD從原有系統(tǒng)導(dǎo)出并導(dǎo)入新系統(tǒng)外部訪客EAD本地認(rèn)證EAD從原有系統(tǒng)導(dǎo)出并導(dǎo)入新系統(tǒng)注：帳號(hào)導(dǎo)入導(dǎo)出需要使用管理員帳號(hào)，主要針對(duì)本地賬戶。LDAP賬戶無需導(dǎo)出。綁定mac地址和在線用戶策略及密碼可以導(dǎo)出。但防病毒等策略建議不導(dǎo)出而在新系統(tǒng)統(tǒng)一創(chuàng)建。3.5策略遷移 策略上按照實(shí)施工藝重新配置并更新。 注意：資產(chǎn)管理策略需要事先整理原有用戶策略，確保平滑無感知遷移。3.6實(shí)施步驟 在3.1–3.6屬于前期準(zhǔn)備工作，部分工作可并行完成。實(shí)施步驟如下：3.6.1iNode升級(jí) iNode客戶端建議分批次升級(jí)并預(yù)留解決問題時(shí)間。小批量升級(jí)試點(diǎn)建議50個(gè)終端。在實(shí)施過程中，由于瘦客戶機(jī)的特殊限制，本次iNode版本推廣需要手工安裝。終端類型部署方式普通PCiMC在線升級(jí)瘦客戶機(jī)手工安裝3.6.2認(rèn)證遷移按照批次逐步調(diào)整交換機(jī)認(rèn)證配置，使之逐步切換到新服務(wù)器上進(jìn)行認(rèn)證。切換過程中注意按照100、200、400這類數(shù)量級(jí)逐漸切換，直至所有用戶切換到新的EAD服務(wù)器并完成license遷移，老EAD服務(wù)器下線，升級(jí)項(xiàng)目工作整體完成。項(xiàng)目實(shí)施組織安排4.1項(xiàng)目實(shí)施組織結(jié)構(gòu)職位姓名地區(qū)電話Email職責(zé)項(xiàng)目經(jīng)理技術(shù)經(jīng)理工程師注：項(xiàng)目實(shí)施過程中需要交換機(jī)維護(hù)人員配合。4.2廠商技術(shù)支持人員職務(wù)姓名電話Email支持方式實(shí)施步驟5.1服務(wù)器部署調(diào)試 使用新的兩臺(tái)服務(wù)器部署新版本EAD。數(shù)據(jù)庫部署可參考文檔“SQLServer2008R2安裝配置指導(dǎo)書.pdf”和“SQLServer2012安裝配置指導(dǎo)書.pdf”。V7版本EAD軟件部署可參考“園區(qū)EAD安裝指導(dǎo)v1.1.pdf”。策略配置方法可參考“園區(qū)EAD配置指導(dǎo)v1.1.pdf”。策略配置原則可參考“園區(qū)EAD升級(jí)實(shí)施工藝v1.0.pdf”搭建兩臺(tái)EAD服務(wù)器全新策略配置導(dǎo)入新賬戶。5.2iNode試點(diǎn)iNode試點(diǎn)工作：安排約50個(gè)典型場景的終端做試點(diǎn)終端；試運(yùn)行約一周，如有問題現(xiàn)場解決；5.3iNode推廣 根據(jù)現(xiàn)場情況，先推送員工iNode客戶端升級(jí)，以部門為單位推送iNode更新。 待員工實(shí)施完畢后，安排iNode部署工程師對(duì)于瘦客戶機(jī)iNode客戶端進(jìn)行手工部署。5.4認(rèn)證遷移 以部門為單位，逐步遷移交換機(jī)上的認(rèn)證用戶到新的V7EAD服務(wù)器。功能定義6.1策略定義用戶類型策略大類策略明細(xì)普通域用戶接入策略1.僅限iNode客戶端2.計(jì)算機(jī)綁定域3.用戶必須登錄到域4.服務(wù)后綴為dms安全策略1.檢查防病毒軟件McAfee2.可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY，必須安裝SCCM、TSM、DSM防內(nèi)網(wǎng)外聯(lián)啟用外員用戶（臺(tái)式機(jī)）接入策略僅限iNode客戶端安全策略1.必須安裝McAfee軟件2.可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY防內(nèi)網(wǎng)外聯(lián)啟用外員用戶（瘦客戶機(jī)）接入策略1.綁定用戶MAC地址2.僅限iNode客戶端安全策略可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY防內(nèi)網(wǎng)外聯(lián)啟用員工瘦客戶機(jī)接入策略僅限iNode客戶端安全策略可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY防內(nèi)網(wǎng)外聯(lián)啟用服務(wù)器接入策略1.綁定用戶MAC地址2.僅限iNode客戶端安全策略1.可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY2.必須安裝McAfee軟件防內(nèi)網(wǎng)外聯(lián)啟用啞終端接入策略綁定終端mac地址公用賬戶接入策略僅限iNode客戶端安全策略1.可控軟件組：禁FeiQ、QQ、暴風(fēng)影音、YY2.必須安裝McAfee軟件防內(nèi)網(wǎng)外聯(lián)啟用6.2配置規(guī)則6.2.1系統(tǒng)帳號(hào)分組分組類別模塊權(quán)限員工管理員全部權(quán)限管理人員維護(hù)員一般權(quán)限系統(tǒng)工程師查看員查看權(quán)限普通員工6.2.2用戶分組（1）賬號(hào)分組按照AD命名 配置時(shí)嵌套關(guān)系，例如：“園區(qū)-外員-瘦客戶機(jī)”人員類型部門內(nèi)部員工（2）外部帳號(hào)分組 員工類型部門外部員工（3）特殊終端分組 地區(qū)部門特殊終端（4）訪客分組 //是否涉及訪客需要單獨(dú)分組？？？6.2.3防病毒策略命名 適用人群命名規(guī)則除瘦客戶機(jī)外所有人群園區(qū)McAfee檢查6.2.4防病毒策略命名（與上一項(xiàng)一致） 適用人群命名規(guī)則園區(qū)園區(qū)McAfee檢查6.2.5客戶端ACL命名 適用人群命名規(guī)則園區(qū)防內(nèi)網(wǎng)外聯(lián)在線ACL防內(nèi)網(wǎng)外聯(lián)離線ACL6.2.6內(nèi)網(wǎng)外聯(lián)審計(jì)策略命名 適用人群命名規(guī)則園區(qū)防內(nèi)網(wǎng)外聯(lián)審計(jì)內(nèi)網(wǎng)外聯(lián)審計(jì)6.2.7內(nèi)網(wǎng)外聯(lián)策略命名 適用人群命名規(guī)則園區(qū)防內(nèi)網(wǎng)外聯(lián)內(nèi)網(wǎng)外聯(lián)6.2.8可控軟件組命名 適用人群命名規(guī)則園區(qū)AnyOffice(PC)HUAWEISuiteSCCMVMwareWorkstation騰訊QQYY飛秋暴風(fēng)影音 軟件名稱控制策略管控方式騰訊QQ禁止安裝進(jìn)程YY禁止安裝進(jìn)程飛秋禁止安裝進(jìn)程暴風(fēng)影音禁止安裝進(jìn)程AnyOffice(PC)必須安裝（用戶）軟件HUAWEISuite必須安裝（用戶）軟件SCCM必須安裝（用戶）進(jìn)程VMwareWorkstation必須安