安全生产LAND终端桌面安全管理通用解决方案.docx
《安全生产LAND终端桌面安全管理通用解决方案.docx》由会员分享,可在线阅读,更多相关《安全生产LAND终端桌面安全管理通用解决方案.docx(21页珍藏版)》请在冰豆网上搜索。
安全生产LAND终端桌面安全管理通用解决方案
LANDesk终端桌面安全
管理解决方案
简介
蓝代斯克(北京)信息技术有限公司
2011年4月
1公司简介
LANDesk公司是业界领先的桌面设备,服务器和移动设备的管理和安全解决方案提供商。
自2002年从Intel拆分出来后,保持了50%以上的高速增长。
其产品线以LANDesk管理套件为核心,扩展了补丁管理器、桌面安全管理套件、系统管理器、服务器管理器、手持设备管理器等多个产品和插件。
在企业网络终端设备的管理和安全防护领域提供了全面的解决方案(见下图)。
LANDesk中国分公司于2003年初在北京建立,现在在上海,广州有办事机构。
到目前为止已经发展成为具有研发,测试,销售,市场等完整架构的营运中心,员工共120多人,可以为国内市场的用户提供即时高效的服务和支持。
到目前为止,在银行,电信,移动,联通,交通,石化,传媒、政府等领域拥有众多的用户。
中国分公司也因为其100%的高速增长,成为全球继北美,欧洲和日本后新的战略重心。
补丁管理
应用阻止
威胁分析
主机防御
防病毒管理
安全审计
间谍软件防护
设备发现
报告
资产管理
软件许可证
管理
软件分发
链接管理
远程控制
电源管理
操作系统迁移
管理网关
2
桌面管理解决方案简介
在现代企业环境下,一个IT的管理部门需要花费大量的人力物力来维护企业的计算机运行环境。
同时,由于计算机设备的更新和变化,财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新,从而造成设备管理的混乱还会造成时间的迟滞,影响企业的运行效率,给企业带来损失。
如何解决这些痛苦的管理问题?
您需要一套高效和易于使用的桌面管理解决方案。
LANDesk管理套件通过以下功能模块实现IT资产权生命周期的管理:
资产管理
功能
●软硬件资产信息收集,动态掌握全网IT资产现状
●可定义的资产变更警报,可以全面监控客户端的IT资产与配置的变化,例如,客户端的内存、硬盘的变化,以及IP地址的变化等等,避免企业IT资产的流失。
●自定义资产数据收集,如部门、姓名等非IT信息
●全面的资产报告,集成超过120种报表,并使用最新的自定义报告引擎,使创建自定义报表更加方便。
便于资产统计、盘点。
●在工作组或域模式下,都可以对终端的用户和组进行管理。
●集成、易用的查询工具
●基于IP地址的网络设备发现,可以发现网络中的所有设备,包括计算机、路由器、打印机、IPMI设备、iAMT设备等等,并自动分类及报警。
特点与优势
●全方位的IT资产收集,支持DMI、WMI、CIM等多种桌面管理标准,能收集到业界最全面的IT软硬件资产信息。
●多平台支持,增强企业桌面管理的全面性。
●设备管理可按管理员用户自由分组,便于管理员管理。
远程支持
功能
●帮助管理员对被管理设备进行远程支持,减少大量的现场支持及电话支持工作,提高服务支持的响应速度。
●集成多种桌面支持工具,包括:
远程控制、远程对话、远程文件传输、远程执行、远程重启、远程关机、远程桌面画图等等。
●可根据网络带宽忧化的远程桌面支持,节省企业远程支持费用。
特点与优势
●采用证书认证方式,保证远程支持的安全性。
●采用客户端授权方式远程支持,保护客户端不受非法控制。
●多安全机制及日志完善的远程技术支持
●集成性,与其他桌面管理功能相结合组成完整的桌面管理解决方案。
软件分发
功能
●向跨网络的大批客户端进行软件(办公及应用软件)的远程安装或卸载;帮助企业进行软件的统一部署、升级、维护。
●支持应用软件修复,使用户的业务可持续运行。
●支持“推”和“拉”的两种软件分发方式。
●支持软件分发的断点续传。
●支持任务完成代理,保证任务执行的完整性。
●支持软件分发向导,使软件分发更加简单。
●自带软件差异打包工具和脚本编辑工具。
特点与优势
●使用有目标多址广播技术、对等下载技术、动态带宽调整等专利技术,使得在复杂网络环境达到最佳的分发效率和分发的成功率,同时对企业主干网络影响最小。
●支持多种软件分发格式,支持MSI、SWD、WISE、EXE等多种软件打包格式。
●支持非Windows平台的软件分发,支持MAC、Linux平台的软件分发。
●Gartner的报告指出,蓝代斯克自从2002年9月从Intel公司独立出来之后,就成为桌面软件分发市场中最大的供应商(2005-5-20)
软件授权监视
功能
●可以统计并监控客户端对指定软件的使用进行监控(累计使用次数、累计使用时间、上次使用时间)。
帮助企业分析该软件的使用频率,使用时间进行统计分析,为以后更有效的进行软件投资提供参考依据。
●可以对企业使用的软件许可证数量进行统计,避免企业被罚款的风险。
●禁止企业内部不符合企业规范的软件的使用。
特点与优势
●支持对离线设备记录软件的使用频率、使用时间,在设备连线后自动上传统计数据。
●自动统计企业全网软件安装情况,帮助企业内部维护许可证使用情况,可按全网或按部门统计许可证使用情况。
●支持给予进程的软件禁用,即使用户修改应用程序名,策略依然有效。
操作系统分发和配置迁移
功能
●对远程客户端进行硬盘映像的捕获或部署,实现硬盘备份/恢复,支持多种操作系统映像分发格式:
Ghost、Image、PowerQuest等等。
●支持操作系统的配置迁移:
从Windows98/2000向WindowsXP/2003迁移。
用户帐户信息;应用程序设置,模板及关联文件;桌面设置(MyDocs;映射的驱动器;打印机;壁纸;屏幕设置等)。
●支持裸机的操作系统分发,可帮助客户为批量裸机快速部署操作系统及应用程序。
特点与优势
●内建LANDesk自带的操作系统Image工具,不需用户额外投资。
●支持PXE代理技术,不需单独的PXE代理服务器,支持对远程裸机部署操作系统。
LANDesk应用程序虚拟化(插件)
使用LANDesk应用程序虚拟化打包工具将要分发的Windows应用软件打包成单一EXE文件,将打包好的EXE文件拷贝或分发到目标设备上。
客户的目标管理机上无需预先安装任何软件,不对目标机器的注册表和文件系统有任何改变,只要拷贝打包后得到的单一的EXE文件,就可以直接运行要分发的应用软件。
LANDesk应用程序虚拟化,不像其它的解决方案,LANDesk应用应用程序虚拟化不需要在客户端或服务器上预先安装任何软件。
虚拟化的应用软件可以从任何设备上运行,例如本地、LAN,WAN,U盘、光盘。
虚拟化的应用软件可以在锁定的PC上完全的user模式下运行,无需安装任何驱动程序,使得管理员可以维护一个安全的、干净的、稳定的桌面系统。
使用应用程序虚拟化,可以实现:
◆应用程序向MicrosoftVista平滑迁移;
◆让每个应用软件运行在各自的环境下,告别软件冲突.
◆能在同一台PC上运行相同应用软件的不同版本
◆将软件运行需要的环境和应用软件一起打包(Eg.NetandJava)
◆在已锁定的PC上在“user”模式下运行应用软件
◆减少软件错误,减少支持成本
◆减少软件错误,提高客户满意度
◆减少软件安装时间,软件不再需要安装
◆简化安装和维护流程,只需从服务器复制一个档
◆加快应用软件部署,简化测试
3
桌面安全解决方案简介
现在的企业网络环境常常处于不安全的网络环境中,网络上病毒层出不穷,“振荡波”病毒余毒未清,新的病毒又接踵而至,而这些病毒的特点又是主要攻击操作系统与应用程序,企业已经部署的企业级防病毒软件与企业防火墙对这种病毒又无能为力,只能通过给操作系统与应用程序打补丁的方式才能解决,而通过手动方式给企业众多的终端打补丁有时一个费时费的过程,并且消耗企业大量的资源,最终结果却不一定能取得满意结果。
通过LANDesk安全套件可以为企业建立一个全面的桌面安全解决方案,保证企业的重要业务正常持续的运转。
补丁管理
功能
●全面的客户端漏洞评估,帮助管理员全面了解客户端操作系统与应用程序的漏洞情况。
⏹支持漏洞定义包括以下操作系统:
ØWindows95/98/ME/NT/2000/XP/2003;
ØIBMAIX;
ØHP-UX;
ØSUNSolaris;
ØAppleMacintosh;
ØRedhatLinux;
ØSUSELinux;
⏹支持漏洞与补丁语言版本:
简体中文、繁体中文、英语、法语、德语、日语等共18种语言版本。
⏹支持产品:
Ø微软公司应用软件:
Office,Access,Word,Excel,PowerPoint,Outlook,Visio,FrontPage,Exchange,IE,IIS,SQLServer,MSDE,WindowsMediaPlayer等
Ø其他操作系统厂商产品:
IBM,HP,SUN,Apple,Redhat,SUSE
Ø第三方软件厂商产品:
Yahoo!
Messenger,Winamp,AcrobatReader,RealNetworksRealPlayer,FlashPlayer,Firefox
Ø微软公司产品安全隐患(微软公司公布的产品安全隐患,微软仅提供修改的指导意见没有补丁)
Ø第三方安全厂商定义:
SANSTop20
●通过自动化的配置,可实现客户端补丁的自动修复。
●补丁修复历史纪录,是管理员了解客户端补丁的安装与修补状态。
可卸载已安装的补丁。
●强大的自定义漏洞定义接口,使用户可以将自己的应用程序的补丁也可以纳入LANDesk补丁管理器的管理。
●支持补丁的远程修复,实现补丁的全生命周期的管理。
特点与优势
●由LANDesk负责跟踪、测试、发布最新的补丁,验证补丁包和提供可靠的分析及冲突检测。
●完善的安全漏洞信息统计及报表,支持自定义报告
●打补丁方式灵活(计划/策略/自动修复)
●与管理套件完全集成,利用管理套件中的先进的软件分发技术,可以快速的部署分发补丁,保证补丁分发的成功率和效率,同时对企业正常的网络传输影响最小。
(使用应用策略管理、有目标的多址广播和对等下载技术高效的部署补丁)
防病毒软件病毒代码管理
●支持业界主要防病毒软件的病毒定义,包括:
Symentec、TrendMicro、Macfee,Sophos。
●自动扫描客户端的防病毒软件病毒定义代码,可以对没有最新防病毒代码的客户端,自动升级客户端的防病毒代码。
●远程打开防病毒软件实时防护。
桌面防火墙管理
●可以统一管理客户端的桌面防火墙配置,使配置企业的网络应用更加方便。
(WinXP与Windowsserver2003)
●功能:
打开或关闭防火墙;打开指定的端口或程序。
安全威胁分析
●扫描网络中所有客户端可能受到的安全威胁,例如,客户端是否设立空共享、是否弱口令、防火墙状态、管理员组成员等等。
蓝代斯克更新
●更新蓝代斯克客户端程序、控制台程序。
软件禁用
●预定义的软件列表,是管理员方便定义企业的应用程序使用策略,禁止非法软件的使用。
●可扩充的软件定义列表,方便企业定义自己的软件禁用列表。
间谍软件检测和排除
●支持对客户端是否被间谍软件感染进行扫描和检测。
●间谍软件的排除,同时可修复文件和注册表。
●客户端间谍软件排出后,可对该间谍软件免疫。
●实时间谍软件防护。
设备外设控制
●禁用客户端USB端口(可允许USB口键盘、鼠标、打印机、扫描仪、手持设备、或其他特定设备正常使用)
●禁用客户端的光驱、软驱、串/并口、无线、蓝牙、PCMCIA,卷等设备。
●对USB和CD/DVD刻录机设置为只读
●对USB存储设备设置为加密存储
主机入侵防护系统
现在,单单部署防火墙和反病毒解决方案已经不够安全了。
为了积极主动地应对变本加厉地变化着的安全威胁,LANDesk推出主机入侵预防系统,这是一个基于行为的安全监控、警报和纠正解决方案。
与传统的反病毒软件相比,基于主机的入侵预防系统(HIPS)更胜一筹,不仅可以根据系统行为来保护计算机,还能够防范越来越多的零日威胁、rootkit和其他恶意软件。
与许多反病毒及反间谍软件解决方案所采用的基于特征的扫描技术不同,LANDesk主机入侵预防技术并不单纯依赖原先存在的特征和模式文件来识别恶意软件,而是利用了基于规则的技术来分析网络流量和机器行为,从而可以根据由安全及IT管理员设定的预定义规则来识别异常情况和违反安全政策的事件。
同时使用蓝代斯克HIPS可以实现严格且自适应的软件白名单,帮助管理员实现严格的软件管理。
LANDesk客户端信任访问(插件)
●预先定义企业的安全策略,当不符合企业安全策略的客户端尝试访问企业网络时,禁止客户端接入企业网络。
●可设立企业安全策略服务器,当不符合企业安全策略的客户端存在时,可对其进行修复,使其符合企业的安全策略。
●支持CiscoNAC技术实现客户端信任访问,使企业网络更加安全(需要CiscoNAC路由器)。
●支持LDDHCP技术实现客户端信任访问,不需要额外的网络硬件支持。
●基于802.1x的解决方案。
LANDesk802.1x解决方案是基于802.1x的解决方案,需要支持802.1x的设备。
●基于IPSEC的解决方案。
LANDeskIPSec解决方案是纯软件的解决方案,无需硬件支持,也不需要改变客户现有的网络架构。
所有已通过遵从性规则验证的机器将获得正式证书及健康策略,通过IPSec建立信任关系互相可以正常通讯;没有通过遵从性规则验证的机器将获得伪证书及非健康策略,不能和其他设备通讯。
LANDeskAV(插件)
与在安全套件中的LANDesk防病毒检测联动功能不同,LANDesk还专为企业级用户设计了具有与其他LANDesk管理工具紧密集成的独立的防毒产品解决方案,作为LANDesk管理套件与LANDesk安全套件的功能插件形式,核心技术采用的是业界领先的防病毒厂商“卡巴斯基”杀毒引擎,为用户提供一个可集中控制的安全病毒检测、防护平台。
采用LANDesk防病毒软件的优势:
●世界领先的防病毒技术支持
●具有单一控制台、单一客户端,与LANDesk解决方案高度集成。
●保护企业关键数据及业务应用,为企业及员工提供更安全的办公生产环境,降低病毒爆发带来的安全风险。
●采取网络型集中控制式的防病毒管理模式,管理员在中心控制台统一配置防护策略,防止因为最终用户随意更改策略带来的安全隐患。
●为企业节省大量的时间,自动化的防病毒体系的建立。
●和LANDesk其他解决方案联动带来的额外价值,比如安全准入技术可防止中病毒的终端进行自动网络隔离等。
4
产品架构
单一服务器部署架构
网络拓扑图
节点说明
●核心服务器:
管理域的中心。
补丁管理器的所有重要文件和服务都位于核心服务器中。
一个管理域只有一个核心服务器。
●控制台:
主要的LANDesk管理套件控制界面。
●核心数据库:
对于每台核心服务器,补丁管理器都需要一个数据库;如果有多台核心服务器,则可以使用一个核心汇总数据库来汇总这些核心服务器的数据。
●客户端:
所在网络中装有LANDesk代理的台式机、服务器、笔记本电脑或手持设备。
一台核心服务器能管理多达10000个客户端。
大型网络往往需要多台核心服务器。
支持客户端包括:
ØWindows95/98/ME/NT/2000/XP/2003/Vista;
ØIBMAIX;
ØHP-UX;
ØSUNSolaris;
ØAppleMacintosh;
ØRedhatLinux;
ØSUSELinux;
管理模式介绍
在该种模式下,只有唯一的核心服务器管理全网所有客户端,管理的客户端规模上限为10,000台。
该核心服务器通过连接到internet上的LANDesk安全内容网络服务更新安全内容。
该核心服务器上可以连接一个到多个管理控制台进行分级管理,如上图所示。
所有的管理数据统一保存在核心服务器后台的数据库中。
该种方式的实现特点是架构简单,易于部署和管理。
比较适用于企业网络连接比较正规,管理模式比较简单,带宽资源比较丰富的环境。
管理角色划分
基于角色的管理是LANDesk管理软件中一个强大的功能。
管理员(具有LANDesk管理员权限的用户)可以创建多个操作员,并且为操作员设立管理权限和管理范围,实现分级的管理
下表列出了一些管理角色、用户要执行的常见任务,以及用户要有效行使该角色的职责所需的权限。
角色
任务
所需的权限
管理员
配置核心服务器,安装附加控制台,执行数据库汇总,管理用户,配置警报等功能
LANDesk管理员(意味着拥有所有权限)
资产管理员
搜寻设备、配置客户端、运行清单扫描器、创建和分发自定义数据表单、启用清单历史记录跟踪等。
“不受管的设备搜寻”和“公共查询管理”
补丁及安全管理员
安全漏洞更新、补丁的下载及分发、使用定向多播和对等下载、启用应用程序策略管理等
补丁管理
报告管理员
运行预定义的报告、创建自定义报告、打印报告、导入和导出报告、测试用户报告等
报告(所有报告都必需)
系统维护
LANDesk桌面管理软件支持多种模式的客户端安装方式,无论是在工作组模式或域管理模式下,LANDesk桌面管理软件均可方便的向Windows2000及以上平台进行基于推送的直接客户端安装。
同时支持以Web或网络共享模式的安装,安装方式非常简单。
系统安全
蓝代斯克补丁管理器桌面管理软件提供了增强的基于证书的安全加密模式以防止未授权的控制台远程访问客户端,软件传输以及其他远程操作。
LANDesk补丁管理功能充分考虑到数据的安全性特征。
为确保数据传输安全,核心服务器与客户端之间采用了高达2048位的加密数据通道,由客户端到核心服务器之间采用了1024位的HTTPS下载模式,为确保传输过程中文件不被非法篡改,所有传输文件均采用MD5算法计算HASH值。
此外,对资产数据的传输均采用压缩传输,有效的避免通讯链路上可能存在的通讯包泄密行为。
附
核心服务器硬件推荐配置:
环境硬件平台建议配置:
●CPU:
P4双核3.0以上
●内存:
4G以上
●硬盘空间:
10GB以上,NTFS分区
插入安装光盘,或运行安装目录下的Autorun.exe。
出现安装界面:
选择要安装的产品,例如选择:
管理套件+安全套件
安装程序自动检查先决条件,需要满足先决条件之后才能继续安装。
检查条件如下:
●操作系统
MicrosoftWindows2003StandardServer
MicrosoftWindows2003EnterpriseServer
MicrosoftWindows2008R264位
●ServicePack
MicrosoftWindows2003:
ServicePack2
●.NETFramework
.NETFramework1.1
●域控制器
核心服务器不能安装在域控制器上
●浏览器
MicrosoftInternetExplorer6.0SP1或更高版本
●数据库连接
MicrosoftDataAccessComponents(MDAC)2.8或更高版本
●磁盘空间
在系统驱动器上有2G的可用空间
至少在一个驱动器上有900MB的可用空间
●凭证
管理员特权
●Web服务器
InternetInformationServices
●ASP.NET
IIS对ASP.NETv1.1脚本的支持
●LANDesk代理
一定不能安装旧版本的LANDesk代理
部分案例
●政府:
国家劳动部(总部)/国家财政部(总部)/国家质监总局
●金融:
中国建设银行(全国)/中国人民银行(全国)/友邦保险
●电信:
中国联通(四川)/中国电信(陕西)/中国移动(黑龙江)
●能源:
中国石化(总部)/胜利油田
●传媒:
中央电视台/北京电视台/人民日报/解放日报/中国青年报
●制造:
可口可乐(中国)/东芝(中国)
软件分发技术
有目标的多址广播
有目标的多址广播技术™:
LANDesk的核心服务器使用有目标的多址分发技术来自动发现适合作为域或子网代表的客户端,并通过与域代表的点对点传输来下载软件包,并由域代表最终在子网内进行广播分发来实现高效的软件分发。
使用TMC技术,可以突破多子网广播的路由壁垒,并且节省子网间有限的带宽以及主机资源。
LANDeskTMC(有目标多址广播™)技术是业界最领先的软件分发方法,能够极大的降低软件及补丁分发中的带宽消耗,并且降低软件分发的时间。
由第三方测试机构做出的测试结果表明,TMC技术比Unicast技术节省75%以上的带宽资源并且有最小的时间消耗。
Unicast模式
有目标的多址广播™
LANDeskTMC(有目标多址广播™)与Unicast(同类软件)及手动安装性能对比
对比实例
Windows2000SP4
客户机数量
1200
网络带宽
100M
网络利用率
50%
安装包大小
129M
子网数量
50
手工安装
单点传送
多址广播
每系统安装时间(Mins)
总时间消耗(Hrs)
200
6.88
0.29
带宽消耗(MB)
154800
154800
6450
带宽消耗对比
手工安装
单点传送
多址广播
手工安装
100.00%
100.00%
2400.00%
单点传送
100.00%
100.00%
2400.00%
多址广播
4.17%
4.17%
100.00%
时间消耗对比
手工安装
单点传送
多址广播
手工安装l
100.00%
2906.98%
69767.44%
单点传送
3.44%
100.00%
2400.00%
多址广播
0.14%
4.17%
100.00%
对等下载
对等下载™:
LANDesk的客户端在使用对等下载技术时会主动查询子网其他客户端或缓存,如发现已有下载的软件包,客户端会自动实现本地下载,当子网内无相应数据时,客户端才向核心服务器发起下载请求,能够降低主机资源和带宽耗费。
普通应用策略模式
对等下载™模式
字节级的断点续传技术
字节级的断点续传技术:
LANDesk在实现软件分发任务时,如有任何原因造成的下载中断,客户端再次连接时会自动进行断点续传,从而确保安装任务完成。
动态带宽调整技术
动态带宽调整技术:
LANDesk的动态带宽调整技术能够确保带宽资源的有效使用性。
动态带宽调整功能可自定义软件分发作业最小的带宽占用,并可自动检测当前网络带宽使用情况,当发现有带宽空闲时,动态带宽调整功能会缓慢的提高分发任务的带宽占用比例直
升级会员 