LANDesk IT运维管理平台

《LANDesk IT运维管理平台》由会员分享，可在线阅读，更多相关《LANDesk IT运维管理平台（61页珍藏版）》请在装配图网上搜索。

1、LANDesk终端信息安全管理平台LANDesk 终端信息安全管理平台解决方案蓝代斯克（北京）软件有限公司2010年5月目 录1前言12需求分析32.1层出不穷的安全威胁32.2充分利用现有IT资产42.3提高IT服务水平53LANDesk终端信息安全管理平台73.1设计原则73.1.1产品定位73.1.2高可实施性73.1.3高可管理性73.1.4高灵活性83.1.5高可扩展性83.2LANDesk终端信息安全框架93.3安全框架PDCA模型103.4策略设计103.4.1安全扫描策略113.4.2主机加固策略123.4.3健康性扫描策略133.4.4维护管理策略133.4.5合规性策略14

2、3.5策略运行143.6策略检查153.7策略调整163.8LANDesk产品优势163.8.1公司及产品成熟度163.8.2良好的用户口碑163.8.3高度集成化173.8.4功能全面性173.8.5功能可靠性173.8.6高度安全性173.8.7支持本地化184LANDesk产品介绍194.1设计框架概述194.1.1产品架构194.1.2管理模式介绍194.1.3基于角色的管理204.1.4客户端部署方式204.1.5异构客户端支持204.2LANDesk系统管理解决方案214.2.1IT资产管理214.2.2客户端远程协助244.2.3应用程序授权管理264.2.4应用程序分发264.

3、2.5操作系统部署284.2.6电源管理294.2.7本地账户管理314.3LANDesk系统安全解决方案314.3.1安全统一管理，以“防”为主314.3.2补丁管理324.3.3端点安全的LANDesk防火墙344.3.4端点安全的主机侵入保护系统354.3.5端点安全的设备控制374.3.6端点安全的位置感知策略394.3.7客户端安全威胁分析394.3.8间谍软件检测与防护404.3.9LANDesk AV414.3.10防病毒软件联动414.3.11软件禁用管理424.4LANDesk管理网关解决方案435附件455.1LANDesk公司简介455.2LANDesk软件分发技术说明4

4、75.2.1LANDesk有目标的多址广播475.2.2LANDesk对等下载495.2.3LANDesk动态带宽调整505.3LANDesk安全准入515.3.1设计思想525.3.2实现原理525.3.3主要功能555.3.4技术特点575.3.5术语定义58蓝代斯克（北京）软件有限公司- 58 -1 前言随着企业信息化工作的快速发展及IT技术的日益复杂，企业员工的日常办公越来越离不开email，OA，即时通讯和业务系统，网络应用和移动存储越来越普及，而且随着移动、电信、联通等运营商3G网络的普及，随时随地上网成为现实，企业的信息安全面临越来越大的挑战。经过几年的信息安全的建设，多数企业已

5、经完成了网络边界安全防御，纷纷采购防火墙、入侵防御等设备来堵住来自Internet的不安全因素。然而，Intranet内部的攻击和入侵却依然猖狂。企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在，极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等严重后果。事实证明，公司内部的不安全因素远比外部的危害要恐怖。内网是网络安全最薄弱的环节，绝大多数的安全事件来自内部。就企业网络管理来说，工

6、作量最大的部分是客户端，对网络正常运转最大威胁也来自客户端。大型网络一般结构较为复杂，用户使用水平参差不齐，而网络管理人员编制有限，往往难以面对数量重大的客户端事件。事实证明，只有解决网络内部的安全问题，才可以排除网络中最大的安令隐患。越来越多的用户开始关注企业自身IT环境的安全性、可管理性以及维护的成本，而作为整个IT基础设施中数量最多的客户端，是IT管理部门最为核心的问题。由于计算机设备的更新和变化，IT相关管理部门对计算机设备的管理和统计经常处于一种无序及手工统计的状态，当设备更新频繁时，原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成设备管理的混乱。

7、另一方面，安全漏洞与日俱增，“零日威胁”、木马、后门层出不穷，新的病毒又充斥网络，原有的手工安装和分发升级文件包和补丁需要更多的人力资源，还会造成时间的迟滞，影响本单位的运行效率，给单位带来损失。再者，非合法办公软件及其他软件的使用，不但造成了生产效率的低下，也给单位的形象造成了极差的影响。LANDesk桌面管理体系作为桌面管理软件的先驱以及规范制定者，提供业界最顶尖的桌面管理及安全产品，能够为提高客客户户桌面计算机的高可用管理性提供全面的管理以及安全解决方案。LANDesk IT运维平台解决方案是应用于大中型企业环境下的计算机管理的最佳解决方案。它提供了从IT服务管理、IT资产管理、计算机资

8、产管理、软件分发、软件统计、远程协助、系统部署等方面的众多管理功能，再通过主动的补丁管理、软件控制、硬件控制、间谍软件查杀，安全威胁分析，自定义漏洞、准入控制等强大的功能提升客客户户企业IT服务水平和桌面安全水平。LANDesk是国外电信、制造、金融、保险、证券、政府以及各计算机厂商进行IT管理以及ITIL管理的必备工具。LANDesk IT运维平台目标：提高客客户户终端设备的高管理性以及高安全性，保证终端设备高效、安全、稳定运行！同时获得最大的投资回报！2 需求分析2.1 层出不穷的安全威胁随着信息化工作的普及完善，目前客客户户的IT系统的建设已经具备了相当的规模，网络、服务器、客户端和运行

9、在上面的应用形成了客客户户业务运行的基础支撑环境，业务系统越来越依赖于IT系统。但是企业IT系统面临的威胁也是越来越多：以前只要安装必要的补丁，保持杀毒软件及时升级就可以保证IT安全，现在随着新的IT安全威胁，企业要面临层出不穷的挑战。安全威胁出现频率：（来源：IDC）而且从2008 年上半年，直接以破坏为目的的安全事件大幅减少。一方面，破坏性的恶意代码越来越隐蔽，另一方面，以偷窃、控制为目的的恶意代码则大幅上升。消费者和IT 管理人员也不得不面对一些日趋增多的安全威胁：l 第三方软件的漏洞。包括各种常见的即时通讯工具、流行个人软件等；l 防病毒软件挟持。让防毒软件失效的恶意代码出现的更多，这

10、些恶意代码并不直接破坏系统，而是为其他的恶意代码打开“破坏或偷窃的大门”。l 恶意代码。恶意代码数据的激增显然对大多数厂商传统的“特征识别”模式提出了调整当病毒产生的速度要远远大于病毒分析的速度时，我们将面临“面对一些恶意代码束手无策”的尴尬境地。l 钓鱼网站。钓鱼网站通常伪装成为银行等重要网站，窃取访问者提交的账号和密码信息。l 广告软件。未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。抵御以上这些安全威胁，不仅需要企业建立牢固的网络边

11、界安全防御，同时要加强内网安全管理，尤其作为整个IT基础设施中数量最多的客户端，是IT管理部门最急需统一管理的部分。客户对终端安全产品的期望：l 多层次的防御：能够有效抵御以上各种安全威胁。l 集成的安全解决方案：用户期待能够使用一个产品，一个管理界面，全面应对当前或以后安全威胁的解决方案，这样解决方案能够全面解决企业安全管理、安全防护以及主动应对不断升级的威胁，最重要的是，用户希望实现这样的解决方案并不需要过于繁琐的配置过程。l 快速实现投资回报：安全解决方案业务收益成为考虑的重点在制定安全相关决策的时候，决策者越来越多地考虑把重点放在业务收益和投资回报上面，用户希望所采用的安全解决方案能够

12、快速带来更为实际的经济效益，并且将产生的效果直观的展现出来。2.2 充分利用现有IT资产随着企业规模的不断扩大，业务的不断发展，企业对IT的依赖度也越来越高，从日常办公离不开电话、email，到与业务紧密相关的ERP系统、业务系统，IT已真正成为促进企业发展的生产力。随着IT技术的更新换代，企业拥有的IT资产数量、种类不断增加，有关IT资产的各种信息也成倍增长，给IT资产管理增加了复杂度；企业对IT的依赖度越来越高，对IT部门提供服务的要求也越来越高；但是IT的预算并没有随之增加，这就要求首席信息官必须要做出更加精确的预算，充分利用现有IT资产，用好每一分钱。尽可能做到“少花钱，多办事”，为企

13、业提高竞争力做出贡献。IT资产管理对企业的IT资产从制定预算、进行规划直至停产封存报废等各个阶段进行着全程控制。通过实施有效的IT资产管理计划，企业可以了解自己企业的每一项资产，从而让他们能够对IT资产进行控制和管理，杜绝浪费和冗余现象，节省企业运营开支，满足越来越严格的政府监管法规的要求。2.3 提高IT服务水平在与企业IT部门接触的过程中，IT部门抱怨的最多一个话题就是，不管IT部门人员多忙多累，提供的服务总是难以让业务部门满意，这一点在与业务部门交流时也多次得到验证。了解下来，业务部门抱怨的主要包括：l 不能对发生的故障做到及时、自动、准确的响应。对于故障的处理，缺乏有效的控制手段；l

14、IT部门和业务部门之间缺乏系统化的沟通途径，造成服务期望与实际效果的差距；l 不能提供可信赖的量化的服务统计分析报告，缺乏监控内部运作、考核员工绩效的依据对于这些抱怨，IT部门自然也有自己的苦衷，但是无论如何，IT部门作为企业的业务支持部门，要为企业提供优质的IT服务。为提高IT服务水平，可以参考ITIL的最佳实践，从三个方面入手：l 设置IT考核指标：秉承“以用户为中心，提高IT服务质量，降低IT服务成本”为目的，与业务部门共同设定IT服务考核指标，用于IT服务水平的评估与持续改进。l 优化IT服务流程：根据设定的IT目标和IT服务考核指标，对现有IT服务流程进行全面梳理，并找出主要的服务流

15、程进行优化。l 应用IT管理工具：通过相应IT的管理工具，实现IT服务管理的数字化，用以达到沟通顺畅、信息共享，协同服务。3 LANDesk终端信息安全管理平台为了实现客客户户终端设备的高管理性以及高安全性，确保客客户户终端信息安全管理平台高效、安全、稳定运行，并依据客客户户以用户需求为导向的管理需求分析，我们推荐采用业界领先的LANDesk终端信息安全管理平台。3.1 设计原则3.1.1 产品定位能够帮助企业最有效的保证所有终端设备的安全性是每一个信息化安全项目的目的，而如何拥有一个好的管理平台是信息安全项目成功的关键。毕竟对企业来讲，管理是主动的，安全是被动的。LANDesk终端信息安全管

16、理平台始终致力于帮助企业搭建一个主动管理的信息安全平台，在考虑到企业内管理者和使用者多方面的需求后，形成的一套完全适用于现代企业的终端信息安全管理平台。3.1.2 高可实施性 对于企业信息安全管理来讲，再好的管理平台如果得不到使用者的支持配合，都无法发挥其管理上的效果。LANDesk终端信息安全管理平台真正做到了从每一个使用者的角度出发设计软件，所有的技术在实现了有效管理的基础上，更多的为终端的使用性能做考虑，从而保证了在不影响终端日常工作的前提下，完成信息安全管理的所有工作。也只有这样，我们才能赢得更多终端使用者对于管理工作的支持和认可，确保信息安全管理工作的有效性。3.1.3 高可管理性

17、对于企业信息安全的管理者来讲，每天都充斥着许多重要的工作，包括网络维护、终端维护、应用系统维护等等，不可能把全部的精力都放在某一个管理平台上。为了帮助管理者减轻管理上的压力，LANDesk终端信息安全管理平台可实现多种管理方式，让管理员在任何地方都可以管理到企业内的所有终端设备；甚至我们还提供无人值守化的智能化管理，通过各种告警手段及自动化处理流程，使管理员可以更轻松实现对所有终端设备的远程管理，让一切尽在掌握。 3.1.4 高灵活性对于企业信息安全项目实施来讲，每一个企业都不希望改变现有的环境。LANDesk终端信息安全管理平台也充分考虑到了企业这方面的需求，管理平台高度的灵活性不仅可以支持

18、AD和工作组等多种环境的部署；在安全准入方面，我们也为企业定制了多套适用于不同环境的安全准入实施方案。更可贵的是，随着未来业务和应用的变化，LANDesk终端信息安全管理平台可以很方面地调整系统配置，而且配置的调整尽量在服务器端控制，避免在客户端配置。3.1.5 高可扩展性 对于企业来讲，在未来的很长一段时间内，终端的信息安全都将是一个长久不变的主题。为了更好的适应企业内终端不断扩充的现实，为了更好的适应操作系统及应用平台不断发展的变革背景，LANDesk终端信息安全管理平台提供了多种扩展性手段。面对企业今后扩容的需求，无论是采用单点管理中心还是分布式管理中心，LANDesk终端信息安全管理平

19、台支持纵向扩展例如增加CPU,内存，磁盘数量可以增加单台服务器的处理能力，横向扩展例如增加服务器的数量，多台服务器分担系统角色等。面对操作系统及应用平台的变革性发展，LANDesk公司拥有全球众多IT主流厂商长年的合作关系，包括对NAC、AMT、Vista、Windows7 等最新的技术都有着非常强的支持力度，确保能为企业用户提供常年的终端信息安全管理支持。3.2 LANDesk终端信息安全框架l 安全处理n 主要由防病毒软件、防火墙、安全扫描代理、HIP代理、外设管理代理等组成的集成的客户端实现，通过部署的客户端软件实现对被管理设备的安全性扫描、主动安全加固、健康性监测，对常见的安全事件进行

20、处理的引擎，包含对安全事件分析，安全策略执行，企业安全遵从的强制，处于安全框架的顶层。n 客户端所有的安全事件都会向中控中心汇报。n 集成的客户端按照中控中心发布的配置和指令工作。l 中控中心n 处于安全框架的中间层，是业务驱动安全的出发点。安全引擎得到的信息，确定其战略方针及和策略变化。n 接收并汇总客户端的信息，管理员可以通过报告中心展现各类实时和统计报告随时了解客户端的各类安全和管理事件。 n 确立信息安全文档管理体系，定义合规和策略遵从配置，并且通过策略中心发布到客户端。l 安全服务n 中控中心安全策略的指导下，包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理等

21、。并且，安全服务管理与中控中心共享资源与信息，与安全处理紧密联系，融合在业务管理和IT管理体系中3.3 安全框架PDCA模型LANDesk通过终端标准化管理平台的理念使得各安全策略自身可以很好的运转起来，主要是参考PDCA模型，P（Plan）表示设计；D（Do）表示运行；C（Check）表示检查；A（Action）表示调整。利用设计、运行、检查、调整使得策略得以运转。PDCA循环的特点PDCA表明了质量管理活动的四个阶段，每个阶段又分为若干步骤：l 在设计阶段，要通过安全调查、抽样扫描等，确定终端安全的标准或基线，确定安全策略、管理策略、可用性策略和维护策略计划等。l 在运行阶段，将上一阶段所

22、规定的策略发布到客户端执行，如根据安全标准进行策略的设计、试制、试验，其中包括计划执行前的人员培训。l 在检查阶段，主要是在计划运行过程之中或执行之后，检查执行情况，看是否符合计划的预期结果。l 在调整阶段，主要是根据检查结果，采取相应的措施。巩固成绩，把成功的经验尽可能纳入标准，进行标准化，遗留问题则转入下一个PDCA循环去解决。3.4 策略设计管理员可以根据需要在控制台配置安全扫描策略、主机加固策略、健康性扫描策略、维护管理策略、合规性策略等多种管理策略。之后使用策略运行平台将这些管理策略分发到客户端执行。3.4.1 安全扫描策略l 补丁漏洞扫描u 漏洞检测及修复u 问题补丁的回滚u 第三

23、方补丁检测与修复u 跨平台漏洞检测与修复u 自定义漏洞补丁l 间谍软件,木马，恶意软件检测u 间谍软件,木马，恶意软件扫描u 间谍软件,木马，恶意软件删除u 间谍软件,木马，恶意软件免疫l 系统脆弱性分析u 弱口令扫描与修复u 监听策略扫描与修复u 屏保程序扫描与启用u 可用共享扫描与禁用u Guest账户禁用u Autorun扫描与禁用u 第三方系统安全审计l 防病毒扫描u 实时防护u 病毒库检查与更新u Email扫描u 第三方防病毒软件管理l 非法程序扫描u 软件黑名单u 无签名软件阻止l 自定义安全规则l 非法外联控制u 网络访问目的管理u 端口管理u 上网modem管理（USB、PC

24、MCIA、串口等）u WLAN管理u 3G上网卡管理l 网络安全准入l 外设端口管理n 端口（光驱/软驱/1394/USB/火线/蓝牙）开启/禁用n 外设（刻录机/软驱/USB）只读n USB认证/加密存储/拷贝审计/卷影复制3.4.2 主机加固策略l 注册表防护l 启动项防护l IE插件保护l 系统资源屏蔽l 文件及目录保护l 主动防御/报警l 未知操作提示/确认l 程序白名单控制l 主机防火墙n LANDesk防火墙n 第三方防火墙l 主机外设端口保护3.4.3 健康性扫描策略l CPU实时性能查看/分析/报警l 内存实时利用率查看/分析/报警l 硬盘空间使用查看/分析/报警l 主机进程分

25、析/报警l 主机服务状态查看/分析/报警l 主机日志分析l 性能计数器l 实时报警l 客户端推送l 客户端完整性保护l 客户端自动升级/在线变更l 基于IPMI的实时健康性监控（风扇、温度、电压）3.4.4 维护管理策略l 主机配置管理n 资产统计管理n 资产查询n 资产报告n 资产变更记录及报警n 自定义清单n 自定义报表l 软件分发管理n 软件打包工具n 软件推送，后台安装n 可选软件自助安装中心l 快捷方式管理l 链接管理l 消息通知l 远程维护n 远程控制（KVM）n 远程文件传输n 远程开/关机/重启n 远程绘图n 远程文字对话n 远程执行l 远程恢复n 操作系统恢复n 用户/数据/

26、配置文件 备份/迁移n 系统及文件备份n 通用镜像管理l 电源管理n 定时开/关机n 基于日程的节能管理n 基于性能/进程的节能管理3.4.5 合规性策略l 终端安全标准化n 终端安全策略集合n 环境感知策略自动切换l 软件合规管理n 软件许可证管理n 软件使用统计n 软件许可证遵从性统计/报警l 流程合规性n 补丁验证n 补丁流程管理3.5 策略运行在运行阶段，将上一阶段所规定的策略发布到客户端执行，如根据安全标准进行策略的设计、试制、试验，其中包括计划执行前的人员培训。l 策略分发n 策略批量下发n 策略分组下发n 对公网客户端策略分发l 脱机策略有效l 策略自适应3.6 策略检查在检查阶

27、段，主要是在计划运行过程之中或执行之后，检查执行情况，看是否符合计划的预期结果。管理员可以通过安全活动视图、安全报告、实时安全事件、健康仪表盘、资产报告、自定义报告等各类报告查看客户端的安全事件及各种分类统计情况。另外管理员还可以通过安全服务管理，统计各类服务事件、问题、服务请求等更全面的了解整个企业的IT服务现状，根据需要调整各类策略。3.7 策略调整在调整阶段，主要是根据检查结果，采取相应的措施。巩固成绩，把成功的经验尽可能纳入标准，进行标准化，遗留问题则转入下一个PDCA循环去解决。3.8 LANDesk产品优势3.8.1 公司及产品成熟度LANDesk公司（及其前身）有20多年管理领域

28、的经验，是桌面管理标准的制订者及终端安全管理系统的领导厂商。其产品也有十余年的历史，Intel和LANDesk先后投资5亿美金到该产品的研发中，其产品后台有2，500，000行代码，在全球累计发售了250，000，000个客户端许可。该产品已经被证明为业界最佳的终端系统和安全管理产品。3.8.2 良好的用户口碑LANDesk产品在全球及国内拥有广泛的用户群，用户口碑非常好。以下为LANDesk中国区部分典型客户：政府：国家劳动部/国家财政部/国家质监总局金融：中国建设银行（全行）/中国人民银行（全行）/深圳发展银行（总部）电信：中国联通/中国电信/中国移动能源：中国石化/胜利油田.电力：宁波电

29、力、北京电力、上海电力、吉林电力传媒：中央电视台/北京电视台/人民日报/解放日报/中国青年报制造：可口可乐 / 东芝 / 安利 / 佳能（中国）/威胜电子保险：友邦保险/中英人寿3.8.3 高度集成化单一控制平台实现高效准确的终端桌面的系统管理、安全管理,提高维护效率，降低维护成本，并将“绿色IT”变成现实。产品架构简单，软硬件投资少,实现最快速的软件部署大大缩短项目周期，降低软件项目的实施成本，控制软件项目的实施风险。3.8.4 功能全面性全面覆盖系统生命周期管理，提供了需求分析、项目准备、资产分配与部署、省级和维护、重新分配及废弃处置等整个IT资产生命周期管理的管理,降低企业IT系统生命周

30、期管理的成本。从技术的资产收集,软件分法,到高级的补丁管理,主动入侵防御,无不体现用户3.8.5 功能可靠性业界领先的技术,对用户环境影响小,用户使用将无后顾之忧丰富的用户经验,提供桌面安全管理的最佳实践,3.8.6 高度安全性补丁管理、间谍软件阻止、安全威胁检查、第三方防病毒软件联动、个人防火墙、主机入侵防御系统（HIPS）、设备控制管理器、安全活动管理器、环境感知策略等多层次防护简单的安全策略配置,集成的安全按扫描器, 不增加客户端 的负载和管理员 的工作量3.8.7 支持本地化提供国内原厂的研发,售后支持,是用户使用产品的最佳保障产品完全中文化,中文产品发布与国际同步4 LANDesk产

31、品介绍4.1 设计框架概述4.1.1 产品架构4.1.2 管理模式介绍单服务器管理模式 在该种模式下，只有唯一的管理套件核心服务器管理全网所有客户端，管理的客户端规模上限为10,000台。该核心服务器通过连接到Internet上的LANDesk安全内容网络服务更新安全内容。该核心服务器上可以连接一个到多个管理控制台进行分级管理，如上图所示。所有的管理数据统一保存在核心服务器后台的数据库中。该种方式的实现特点是架构简单，易于部署和管理。比较适用于企业网络连接比较正规，管理模式比较简单，带宽资源比较丰富的环境。4.1.3 基于角色的管理现代大型企业一般都有多个IT管理员且分工明确，比如有超级管理员

32、，有只负责资产统计的管理员、只负责桌面安全的管理员、只负责分支机构的管理员等到。LANDesk基于角色的管理员授权管理可以很好的适应这种职责分工。LANDesk管理员可以通过对域账户或LANDesk本地账户进行详细的功能和范围授权及配置，无缝集成现有网络目录和本地对象。通过角色管理可以使用管理套件控制台直接查看AD架构，而无须在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU (organization units)，在分配权限时支持继承的概念。4.1.4 客户端部署方式LANDesk的客户端有多种部署方式，包括直接通过连接到服务器共享安装，通过Web共享安装，域登录脚本安装和从

33、控制台进行的后台远程推送安装。除此之外，LANDesk提供了高级客户端安装功能，该功能允许首先发送一个基本的MSI代理到客户端（大小仅为完整客户端的几十分之一），然后通过基本代理逐渐将完整客户端下载到本地安装。该方式的优点是可以支持低速带宽的分发并且可以利用域分发策略对MSI包直接分发。4.1.5 异构客户端支持LANDesk管理的客户端不仅包含从Windows 9x到Windows 2003全系列的Windows平台，而且包含部分Linux/Unix平台。在windows平台上LANDesk支持本文当中描述的完整的功能集。在Linux/Unix支持上包括常用的平台和功能。平台支持功能支持Wi

34、ndows9x (95/98)MeNT (server/workstation)2000 (server/workstation)XP (home/professional)2003 (standard/advanced/enterprise)Vista/7/2008资产扫描软件分发远程控制软件授权监控操作系统分发自动客户端部署Linux/Unix/MacRed hat 9SuSe 9MandrakeHP Uno 11.x通用基本代理资产扫描RPM包分发自动客户端部署4.2 LANDesk系统管理解决方案4.2.1 IT资产管理LANDesk软硬件资产管理系统为客客户户的信息管理员带来最全面的

35、企业客户端资产收集！但是收集不意味着简单获取资产！ LANDesk不但能够收集超过1800种资产，同时考虑用户的工作细节，仅需要懂的您的母语，而无需了解任何SQL语法知识，任何资产管理相关人员都可以在几分钟时间内形成任何多种资产的混合查询，并生成报表!同时,查询出来的结果能够分组，意味这您可以形成超级域架构，而且对分出来的组可以实现比微软域的计算机更多更全面的操作！4.2.1.1 方便快捷的IT硬件资产维护客客户户内终端设备的维护保修始终是IT管理人员非常头疼的事情，按照传统的管理思路，要在事先做好所有终端设备的维护保修记录及维护保修期限的统计表格，并且在维护期间，还要去问询每一台品牌电脑的维

36、护序列号，才能正常地进入维护流程。LANDesk终端信息安全管理平台可以帮助管理人员彻底打破原有的繁琐工作，通过LANDesk的资产管理器，我们会自动地收集所有品牌电脑的维护序列号，来方便管理人员随时随地能取得维护信息；还可以通过自定义表格的统计方式，在软件平台里记录下每一台终端的维护保修期限，方便管理人员来统计维护保修期限快到期的终端设备；再加之我们可以把终端设备每一次的维护情况进行记录，来为同类电脑或者该电脑下次的维护保修提供更多的历史依据。4.2.1.2 清晰直观的IT资产变更告警对于IT管理人员来讲，如何有效的保护企业的IT资产，如何确保企业的IT资产不发生意外流失或者变更，这都是降低

37、企业IT运维成本的重要因素所在。LANDesk终端信息安全管理平台具有完善的报警功能，在任何库存(所有IT资产信息,手工登记资产信息)信息发生变化时，都能够以日志及警报的方式及时通知管理人员，同时还支持以邮件、SNMP陷阱等多种方式提供报警，也支持调用运行程序进行自我修复。4.2.1.3 丰富灵活的IT资产报告每一位企业的IT管理人员在年末的时候都会面临报表众多，无从下手的局面，不是没有报表所需要的数据，就是没有办法把这些数据很好的整合在一起。LANDesk终端信息安全管理平台可根据用户需要生成自定义的各种资产报表，报表的字体以及风格可由用户设定，体现企业风格；更重要的是，针对许多需要符合上市

38、公司Sarbanse法案的公司，LANDesk终端信息安全管理平台提供了符合Oxley、BS7799/ISO 17799 、ITIL标准的各种报表模版。4.2.1.4 细致入微的后台带宽考虑虽然现在企业内使用的终端设备配置越来越高，但系统资源毕竟是有限的，伴随着将来各种大型应用系统的启用，对于终端信息安全管理客户端资源的占用率也会考虑的越来越多。LANDesk终端信息安全管理平台采用多种后台带宽控制技术，已经在全球各类大行业用户内得以认可，是网络资源和用户性能影响最小客户端软件。4.2.1.5 LANDesk与域的结合应用现代企业内，域控制器的使用已经成为一个非常普遍的现象，作为一个业界领先的

39、终端信息安全管理平台，能够和域管理平台很好的结合，也是非常重要和实用的。LANDesk终端信息安全管理平台可以做到：1、利用LANDesk与域的接口，能够通过导入LADP数据库在LANDesk实现对LDAP数据库的查询（只读），而无需登录域服务器，避免对域的误操作。2、利用LANDesk与域的接口，能把域的账号直接和LANDesk管理账号进行结合，实现使用域账号对LANDesk进行管理。3、利用LANDesk与域的接口，域的基本信息可作为LANDesk的资产信息，便于统计形成报表。4.2.1.6 强大的非IT资产管理作为企业的IT管理人员，您希望建立ITIL服务台里面的给类知识库吗？您希望建立

40、完整的物资消耗记录吗？LANDesk终端信息安全管理平台是一个能让用户自由思维并协助用户实现管理观念的软件，通过LANDesk终端信息安全管理平台，您可以感觉到管理的自由以及细腻！作为LANDesk资产管理的扩展，把所有的非IT资产，例如：机房：交换机，路由器，机架，磁盘柜耗材：打印机墨盒，打印纸，文具合同：财务合同，项目合同，工程管理合同协议：买卖协议，维护协议，管理协议任何用户可以相象出来需要统计的内容均可建立模板进行输入统计。您可以从网络上进行数据的填写，以便日后的统计！分析！我们能够为客客户户实现，每月的会议都能分析当月的工作细节，保留企业的维护经验！甚至更多4.2.2 客户端远程协助

41、LANDesk客户端远程协助为客客户户的信息管理员带来最容易被用户接受的协助、最准确的定位、最安全的连接、最快速的控制功能。作为ITIL管理环节中的专业工具，LANDesk让客客户户的信息中心为员工故障计算机的维护随时随地进行，提升管理效率，提高客户满意度！一个普通远程维护工具能够实现的，LANDesk能够更好地实现！一个普通远程维护工具所不能够实现的例如考虑到使用者的情绪的，LANDesk能够很好地实现。4.2.2.1 迅速定位机器位置，随时随地进行远程维护企业IT管理人员常常为客客户户X的各分支机构相隔相对远，经常会将时间浪费在赶赴现场的路途上而烦恼；以及如何在第一时间找到需要维护的机器，

42、并通过部门、姓名等各种与人相关的信息来进行快速定位，是每一个IT管理人员都希望做到的事情。使用LANDesk终端信息安全管理平台，在终端出现问题时，管理员可以迅速打开服务器上保存的该终端的软硬件资产数据，了解该终端的详情并对问题进行预判。通过自定义表单的信息（部门、姓名、分级号码、楼层号、员工号、职位等）马上定位机器的位置然后在客户端使用者同意的情况下远程登陆迅速地检查问题所在。条件许可的情况下，管理人员可以查阅到所有该机器以前的维护记录用来作为此次维护的参考依据，并记录下本次维护的过程以方便以后的维护人员。4.2.2.2 人性化的远程维护相应机制，完善的安全机制对于终端用户来讲，远程控制永远

43、是个可怕的名词，他们总担心有人会监控他们所做的一切，担心自己没有任何隐私可言。为了解决所有使用者的顾虑，LANDesk终端信息安全管理平台设计的远程协助功能在整个远程协助过程客户端使用者是可见的，远程控制必须得到客户端使用者的允许，登录过程有日志记录，不会导致客户端使用者对远程维护工作的安全性产生安全误解的同时有能够及时地节省人力地解决客户端问题；同时LANDesk终端信息安全管理平台支持基于输入用户名及密码、需经用户同意、只读等多种控制方式，以及可进行证书传输验证的安全机制、全面的远程控制日志跟踪，加强安全审计，预防管理员权利过大。4.2.2.3 唯一基于显卡驱动的控制技术，最低带宽占用几乎

44、有大多数人都使用过类似于PC anywhere、远程桌面等远程管理工具，但普遍反应都是感觉延迟比较大，多个终端同时管理难度很大。这其中主要原因就是以上工具采用的都是视频技术，远程管理的数据传输量大，会对网络带宽占用产生比较大的影响。LANDesk终端信息安全管理平台的远程协助工具采用的是基于底层显卡驱动上的技术，支持控制分辨率调整技术，保证对低带宽用户的控制时，只占用最低的带宽。在这种技术的保证下，实现多个终端同时管理的梦想也就变得易如反掌。4.2.3 应用程序授权管理LANDesk应用程序授权管理为客客户户的信息管理员带来软件快速地定位、统计以及控制。您可以知道企业中有什么软件在运作，是否超

45、出了您的控制范围？应该如何把握？LANDesk应用程序授权管理能够协助您处理！4.2.3.1 轻松统计软件使用情况及数量，降低企业软件购买成本对于企业IT管理人员来讲，统计某个软件的安装数量，评估某个软件是否有必要提供给某个部门使用，都是非常重要的工作。LANDesk终端信息安全管理平台，可以帮助客客户户的IT管理员避免因不正常地使用软件而导致可能的法律问题的风险。使用LANDesk终端信息安全管理平台，管理员能够轻易判断软件是否应该安装在某一个部门以及某一个员工计算机系统中，有效避免用户因为暂时试用而导致企业需要为其购买正版的资金浪费，有效统计出真是需要购买的软件数目，大量减少因为猜测统计的

46、数目大于真实需要购买的数目而造成企业在购买软件上的资金浪费。该功能帮助企业随时了解本企业各类软件的安装情况及使用情况，便于企业快速应对审计检查。4.2.3.2 快速跟踪及禁止非法软件的使用 随着各类软件的出现，企业内也会逐渐发现各类聊天、游戏软件的存在和使用，并且随着软件的发展，聊天、游戏类软件做得越来越难于寻找，甚至采用绿色软件，如何发现并禁止此类与工作无关的软件的使用，是IT管理部门可以帮助企业提升工作效率的最佳途径。LANDesk终端信息安全管理平台不仅仅可以找到所有的绿色软件，还可以通过跟踪、禁用等方式来真正实现对于那些影响企业工作的非合法软件的清除，着实帮助企业提高工作效率。4.2.

47、4 应用程序分发LANDesk应用程序分发为客客户户的信息管理员带来应用程序快速地分发、安装、卸载而无需任何用户参与以及可进行忙时分发！当您获知到用户需要软件安装的时候，只需要点击立即分发软件。该软件立即从当前网络一台性能最好的计算机中传输到需求安装软件的计算机并自动静默安装，这就是LANDesk的专利传输技术加上为用户考虑的细节功能。4.2.4.1 灵活实用的安装方式，一切从对使用者不造成影响出发考虑作为企业的IT管理员，您是否担心软件分发的时候会在客户端弹出安装界面？您是否担心有的软件在安装后客户端会自动重起？这是否又会使您产生对软件分发这个功能的多种疑虑？为了让客户端不受任何影响，为了避

48、免客户端的意外重起所引起工作上的不必要麻烦，LANDesk终端信息安全管理平台能兼容软件安装包的静默安装、不重起安装等多种参数配置，在方便管理员的同时，也确保了客户端使用的一切正常。4.2.4.2 多样性的分发包制作，有条件有范围的软件安装在同一个企业内，可能各个不同的部门需要安装不同的应用软件，照传统的习惯，IT管理员要带上所有软件的光盘，为客户端一台台进行安装。LANDesk终端信息安全管理平台的到来彻底改变了原有的传统方式。我们所提供的增强型程序包不仅可以把多个软件打包成一个软件进行安装分发，还能够锁定有条件安装的客户端，自动进行预处理和后处理，并和现有架构集成。真正做到了IT管理员只要

49、坐在办公室就能满足企业所有人员不同的软件安装需求。4.2.4.3 三项专利技术，保证软件分发的效率和成功率对于企业来讲，特别是对于一个人员众多的企业来讲，每天都会有大量的软件分发任务，在有限的带宽条件下，如何保证每个软件都迅速地发到每一个客户端；对于企业内有可能存在不开机的机器，如何保证这些机器也会在未来开机的时候也同样得到该分发给它的软件；面对这样一些问题，很多IT管理者迷茫了。LANDesk终端信息安全管理平台采用了三项专利技术：有目标多址广播、对等下载、动态带宽调整，充分发挥了我们高效、安全、全面的特点，其使用了以往只能在路由器上面使用的组播系统，在进行软件分发以及补丁分发的时候有效调动

50、二层交换机资源，极大减少在软件分发以及补丁分发过程中核心交换机的负载。同时软件包的安装过程完全不需要客户端用户参与，不影响客户端当前工作，不会因为安装软件重新启动电脑，通过计划任务安装，确保全部机器均安装此软件。通过使用LANDesk软件分发功能，客客户户的信息管理员进行的客户端应用软件安装以及升级均能随时开始，不需要考虑当前的交换机工作状态，不需要考虑客户端当前的工作状态，使得客客户户信息中心所有软件更新能在第一时间部署在客户端桌面电脑，大量减少信息中心在客户端电脑软件部署所消耗的时间以及极大提高软件的分发效率。由于每个客户端应用软件均能够在最短的时间内升级，客客户户企业的客户将能够在最短的

51、时间内体会企业在服务质量上的改进，提高客户满意度。4.2.5 操作系统部署LANDesk操作系统部署为客客户户的信息管理员带来操作系统的快速分发；不需要为一次性购买回来的大批量裸机系统计算机需要安装操作系统而烦恼，LANDesk能够为您服务！4.2.5.1 唯一可行的操作系统裸机部署方案，提升IT部门工作效率作为一个企业的IT管理人员，您是否在为每年大量的终端设备操作系统安装而烦恼？LANDesk终端信息安全管理平台主要是为了方便客客户户的网络管理人员的新购机器统一系统部署以及应急恢复系统工作，提高工作效率通过此功能，客客户户的IT管理人员无须再花费大量的时间在给客户端计算机安装操作系统的简单

52、工作上，也实现了更加全面的管理。通过远程的镜像克隆，无需远程到达远端保存系统镜像，在出现严重系统问题的时候我们可以通过远程系统部署为故障计算机恢复操作系统；LANDesk操作系统部署，极大提高故障恢复时间，节省大量重新安装系统带来的时间消耗，在最短的时间内把最严重的系统问题进行最完善的处理。4.2.5.2 化繁为简的利器：蓝代斯克硬件无关性镜像解决方案传统的镜像工具做出的镜像都是和样本机的硬件对应的，所以联想PC的镜像不能给DELL的PC用，台式机的镜像不能给笔记本电脑用，最基本的原因是找不到所需要的驱动程序。蓝代斯克推出的硬件无关性镜像解决方案突破了这个限制。管理员只需要事先配置好驱动程序库

53、和PC配置库即可实现通用镜像的梦想，只需要维护一个硬盘镜像就可以支持所有品牌，所有型号的台式机和笔记本电脑。l 驱动程序库：汇集企业环境中所有PC需要的主板、存储、网卡、显卡等驱动程序。l PC配置库：针对企业环境中的各类PC，按品牌、型号等编辑对应的驱动程序。l 标准镜像：从样本PC捕获的硬盘镜像文件。向目标PC分发镜像时，先引导目标PC进入WinPE环境，之后分发标准镜像到目标PC，然后根据目标PC的BIOS中记录的设备品牌和型号等信息，自动匹配、自动注入所需的核心硬件及存储设备驱动程序，自动发现每台设备所需的即插即用设备并注入驱动程序。从而实现使用单一、标准映像，应用于所有终端。而且，蓝

54、代斯克硬件无关性镜像解决方案可支持多种镜像工具，不论您使用的是Ghost，还是Image，或是PQ, xImage做的镜像文件，蓝代斯克都支持。4.2.6 电源管理在客客户户庞大的网络中，管理分散的设备的耗电是一个艰巨的任务。由于电源管理策略可能给最终用户生产力造成的影响必须谨慎地加以考虑，因此这项任务变得更加困难。LANDesk电源管理模块是专为解决这些问题而设计的。它使IT管理人员可以配置电源管理策略并将这些策略分配给一个异构的计算机集合。它还使管理人员可以分析拟定的PC电源管理策略的预期财务影响，使策略的成本/收益能够在策略实际部署前被清晰理解。LANDesk电源管理包括一个集成的电源管

55、理模块和一个报表模块：电源管理模块用于配置和部署电源管理策略；报表模块用于生成详细的执行电源管理策略结果的报告。LANDesk电源管理解决方案提供对桌面终端耗电的每一层面-从移动设备到PC-前所未有的可见性和控制力。从而可以实现减少用户计算机的电量使用，规范计算机的电源使用，使它成为一种用于问题预测和解决、规划和遵从性管理的工具，实现绿色IT。同时启用了电源管理的客户端还可以追踪并记录实际的电源节省情况，管理员可以根据实际的历史数据生成实际节约电力和费用的报告，体现绿色IT带来的好处。l 使用LANDesk电源管理模块可以制定电源管理策略并发布到客户端，实现在规定的时间内，只要计算机空闲一段时

56、间后，计算机进入关机或待机状态，达到减少用电的目的。 l 可创建并保存多个电源管理策略（休眠、待机、开机、关机、屏保等）分配给不同的被管理客户端。l 可创建灵活的电源管理策略并发送给客户端，让客户端根据工作日/非工作日，工作时间/非工作时间自动执行不同的策略。l 电源管理模块可以实现减少用户计算机的电量使用，规范计算机的电源使用，节约用电量，实现绿色IT。l 可识别特定的安全扫描，系统清理等任务，当发现被管理设备正在执行上述任务时，将自动延迟执行电源策略，避免影响关键业务。l 可根据电源管理策略生成电力和费用的预期节约报告（按设备组、按日、月、年统计）。l 可跟踪统计实际的电源使用情况，生成电

57、力和费用的实际节约报告（按设备组、按日、月、年统计）。4.2.7 本地账户管理LANDesk管理套件可以对受管理客户端的账户做全面管理，通过远程访问客户端本地的用户和组对象，管理员可以方便的对客户端本地账户进行添加，删除，修改等操作。同时，管理员可以方便的修改客户端的用户密码，无论是修改某台指定客户端的密码还是批量修改客户端密码，使用该功能，管理员可以回收客户端超户的密码并强制客户端使用受限身份登录系统。4.3 LANDesk系统安全解决方案LANDesk9.0之后，LANDesk整合LANDesk主机侵入保护、LANDesk防火墙、LANDesk设备控制，为客户提供更为系统化、集成化的全方位

58、解决方案。4.3.1 安全统一管理，以“防”为主安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，所针对的都是系统中各种各样的安全缺陷。因此来自管理方面的需求也迫切地需要一个安全统一管理平台。从安全的角度来看，网络中的终端设备是组成网络的最基本、数量最庞大的元素之一，同时也是变数最多的环节，因此网络安全的主要工作还是在终端。在一个大型的网络中，对于分布在不同网段、不同地理位置的终端设备管理会消耗管理员大量的精力。而企业的网络环境往往会部署在异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时

59、间和精力。安全统一管理自动整合来自终端的入侵检测、防病毒、防火墙等安全产品的事件数据，为管理员提供跨平台的管理、监视、报警等用户活动信息，并将其存储在管理数据库中以便方便地进行访问和编写报表。有了这些信息为依据，系统管理员可以在出现可能对业务系统造成负面影响的袭击和问题之前，立即做出预防的处理。为保证企业富有竞争力，保持业务运行的顺畅、高效，以及遵纪守法和维护组织的良好形象，终端的安全及可用性是至关重要的。很多业务系统在设计时，没有考虑到终端的安全问题。通过技术手段获得安全保障有很多局限性，必须通过以严格的管理手段和相适应的技术限制才能得到真正的安全保障，同时保证业务系统的顺畅运行。确定需要使

60、用什么控制措施需要周密计划，并对细节问题加以注意。安全防范并不是越严越好，当然严格的限制对安全无疑是最根本的保证，但同时也会为业务系统的运行带来不必要的繁琐和麻烦。这就像传染病防疫，普通大众只要普及防疫重点即可，但对医院要进行严格的隔离限制。在业务系统中，针对普通员工限制可以少一些，对于类似柜台终端、工控终端等采取严格的限制。如果在制定安全需求规范和通过技术手段采取了相适应的控制措施，那么信息安全控制的成本会很低，并更有效率，在不影响业务系统的正常运转的同时，最大限度的保证了系统的安全稳定。4.3.2 补丁管理LANDesk补丁管理功能为企业的客户端带来最基础的安全保障!有些客户经常会问为什么

61、不使用微软提供的免费地补丁管理系统呢？其实是因为LANDesk在补丁修补领域的过人之处决定了这一切：最全面包含全部微软软件补丁以及众多第三方的补丁程序包；最方便用户可以在任意时间对任意部门任意员工进行管理员设定的自动或人工补丁修补，可以不要求用户参与；高效率低占用可以在不影响业务系统带宽使用的同时分发补丁，可以限制修复时终端CPU的占用率；无需多次重启安装所有补丁只需重启一次，修补过程可以不需要重启，可以不弹出要求重启并倒数的对话框；快速回滚打错了某一个安全应用补丁，可以通过LANDesk找出并快速卸载，无需卸载工具或提供命令行参数；补丁版本检测会对已安装的补丁版本进行检测，从而能够保证用户安

62、装的是软件厂商提供的最新补丁版本。智能化漏洞评估，全面地补丁修补作为企业的IT管理员，您是否在为漏打补丁或者打错补丁而烦恼？您是否在为该先打哪些补丁，后打哪些补丁而犯愁？为了帮助企业全面地解决系统补丁及应用层补丁的漏洞修复，LANDesk终端信息安全管理平台提供高效、自动地对企业进行漏洞评估，修补以及进行即时的补丁管理。自动地与已知漏洞的标准数据库对比、评估当前状态，并定位和向每台存在漏洞的计算机分发合适的补丁，补丁的内容涵盖微软所有出现安全漏洞的系统补丁以及涉及安全漏洞的应用程序补丁，而不仅仅是系统级别的补丁修补。实现无人值守化的补丁修复工作，大大减轻IT管理员压力随着企业终端设备的发展，移动设备逐渐增多，对于IT管理员来说，按照传统的做法，在大面积漏洞修补的时候总会有漏网之鱼；面对着越来越多带着外出的移动终端设备，如何保证其在接回内网的第一时刻就能得到补丁漏洞的修复，是IT管理员在做全网系统安全管理时考虑的首要因素。LANDesk终端信息安全管理平台能提供在整个网络中建立不间断的修补程序及安全机制所需的全部程序。使用LA