如何在保证SMS功能实现的同时也保证客户端的信息安全

公司里在评估SMS 2003，但是在小范围的部署活动中碰到了一些问题？其中之一就是用户比较担心自己电脑上的隐私或者机密文件会不会不安全，所以有时候会有一些抵触情绪。
我的理解中如果要SMS能在用户的计算机上正常的工作，必须要有这台PC的管理员权限，同时要能连通必要的一些端口，其中就包括139，445这些端口。感觉的确可登录到SMS服务器后连接到用户端的PC上做很多事情。
不知道我的这种理解有没有问题?也希望各位已经实施了SMS的朋友们能谈谈你们那里是如何同时保证SMS功能实现和客户端安全的 ^_^

---

139，445这些端口并没有错，限制这些端口只能让你的SMS不正常。在你的客户端还不了解反弹端口，插入进程等木马病毒技术的时候，该技术都已经显的比较过时了。

另外做为IT技术人员你自己必须清楚：没有任何软件能保证客户端的绝对安全。只有在可落实的安全制度为基础，技术为支撑的环境下才有相对的安全。制度越完善，落实的情况越好也就越接近绝对的安全。这个观念你要想办法给让你领导知道。

---

强烈同意楼上观点,如果你是AD管理员,你可以限定用户登陆计算机如果你的环境中已经有AD了同样可以连接到客户端,为什么部署SMS就开始抵触了?
我接触过很多的客户当然也有你说的这样的人,他们往往所谓的机密文件都是一些个人文件而已.而不希望企业里面知道他的计算机有这些东西!
作为一个企业如果想管理好这个企业的IT永远是制度为先技术做后盾

---

十分感谢楼上两位的回复！也十分赞同“制度为先技术做后盾”的观点。
不知道两位公司里是如何做的，会不会有人提出害怕网管从自己PC上拷走或者看到比较机密的东西？
我这里现在最大的困扰就是用户问类似的问题？

---

他们可以选用一些加密的第三方软件来解决，即使管理员拿到文件了但没有密钥这些文件也只不过是一堆乱码．
　　我个人是很赞成企业统一管理的，当初我们公司闹病毒闹的厉害．最终以防止私人文件内携带的病毒影响整个公司的网络运转为理由，老总同意并开始落实了严格的客户端管理制度．最显著的不仅是病毒的减少而是上班时间胆敢随便下载与工作无关东西的人次．连老总都说原来公司的网速还是挺快的嘛．
　　安全性和方便性必须要有一个平衡点，ＩＴ维护人员为员工服务没错的，但是服务的目的是提高生产效率而不是让客户端在电脑盲的基础上为所欲为．客户端合理的要求应该满足但是过分的要求一定要有制度明确的限制住．否则ＩＴ维护人员将不肯能有精力做更重要的事情，整个企业的ＩＴ资源利用率也会大打折扣．

---

因为我们公司是微软合作伙伴，所以我们的网络建设使用微软产品比较多~
在每个新员工入职的时候公司明确告诉新员工公司发给你的计算机仅用作工作使用禁止存放个人文件，如果发生丢失该不负责。
并且我们通过SMS来检查所有计算机中的存放文件是否符合公司要求，并且我们有安全制度来监督这件事情。
公司推荐每位员工对机密文档使用RMS进行加密。并且我们每个人的帐户仅能够登陆自己的计算机。权限过高的帐户已经和管理员邦定并且签订帐户保密协议。
至于最高权限如何使用还是看企业是否对自己的管理员新人与否

---

签订帐户保密协议是个不错的方法，但不知道有没有相应的比较好的审计方式，来保证公司的规章制度落到实处？

另外，我觉得IT管理还是深受企业文化的影响。我们公司里除了上下班考勤制度能比较严格的实施之外，其他制度基本形同虚设，管理感觉上是较为松散的。在这种环境里做IT管理，甚至IT资产管理都会有很大的难度。十分赞同DNSFANS兄关于安全和易用平衡性的观点。觉得适应环境往往比改变环境更加可行，目前只能是在这样的环境里摸索了。