LANDesk安全解决方案1.docx

1、LANDesk安全解决方案1LANDesk安全套件解决方案蓝代斯克（北京）软件有限公司2005年4月目录1 公司简介 32 解决方案简介 43 产品架构 53.1 单一服务器部署架构 53.1.1 网络拓扑图 53.1.2 管理模式介绍 53.2 多服务器分区模式 73.2.1 网络拓扑图 73.2.2 管理模式介绍 74 产品功能模块详解 84.1 产品架构和通讯机制 84.1.1 资产扫描及非管理设备发现 84.1.2 安全性扫描 104.1.3 软件分发 104.1.4 管理角色划分 144.1.5 系统维护 154.1.6 系统安全 164.2 补丁管理 184.2.1 整体描述 18

2、4.2.2 LANDesk 补丁管理的技术特点 184.3 网络连接控制器 224.4 间谍软件查杀 244.5 安全威胁分析器 274.6 自定义漏洞 294.7 应用阻隔器 314.8 LANDesk更新 321 公司简介LANDesk软件公司是业界领先的桌面设备，服务器和移动设备的管理和安全解决方案提供商。自2002年从Intel拆分出来后，保持了50%以上的高速增长。其产品线以LANDesk管理套件为核心，扩展了安全套件，补丁管理器，系统管理器，服务器管理器，手持设备管理器等多个产品和插件。在企业网络终端设备的管理和安全防护领域提供了全面的解决方案。LANDesk中国分公司于2003年

3、初在北京建立，现在在上海，广州有办事机构。到目前为止已经发展成为具有研发，测试，销售，市场等完整架构的营运中心，员工共100多人，可以为国内市场的用户提供即时高效的服务和支持。到目前为止，在银行，电信，移动，联通，交通，石化，传媒等领域拥有众多的用户。中国分公司也因为其100%的高速增长，成为全球继北美，欧洲和日本后新的战略重心。2 解决方案简介自从2003年冲击波病毒发作以来，安全问题已经成为所有企业和个人用户最为关注的问题。长期以来，IT管理人员都把保证系统的安全作为其关注的焦点，并实施了丰富的解决方案。但是实施的效果并不是非常理想。除了因为影响企业安全的因素比较复杂，要保证从网络，设备，

4、系统到应用层的整体安全之外，更重要的一点是因为以往的安全解决方案大多是构建企业网络边界的安全屏障，而且往往针对某种特定的安全防护技术，针对内部的和全面的攻击方式缺乏前瞻性的预防。统计表明，企业安全威胁大部分来自于内部的攻击，而攻击产生的原因除了少量来自内部蓄意的恶意攻击之外，往往是由于用户对设备和应用使用的不规范性，用户系统本身的安全级别不高造成的。企业所面临严重的安全威胁现实要求，只有对用户的安全行为进行规范，对终端平台的安全性进行整体管理，才可以便被动防御为主动预防，消灭安全威胁的主要来源和传播途径。在这里就必须引入配置安全管理的概念。所谓的配置安全管理，是指使用安全管理工具，通过收集设备

5、终端安全相关的细粒度信息和监控用户的安全行为，并通过远程操作迅速应对安全威胁来实现对终端系统安全的全面监控和保障。LANDesk软件公司于去年底推出了LANDesk安全套件，该套件通过主动的补丁管理，网络连接控制，间谍软件查杀，安全威胁分析，应用阻止/禁用，自定义漏洞的功能提升企业桌面安全水平。该产品也是业界第一款将配置管理和安全管理集成的解决方案。3 产品架构3.1 单一服务器部署架构网络拓扑图管理模式介绍在该种模式下，只有唯一的安全套件核心服务器管理全网所有客户端，管理的客户端规模上限为10,000台。该核心服务器通过连接到internet上的LANDesk安全内容网络服务更新安全内容。该

6、核心服务器上可以连接一个到多个管理控制台进行分级管理，如上图所示。所有的管理数据统一保存在核心服务器后台的数据库中。该种方式的实现特点是架构简单，易于部署和管理。比较适用于企业网络连接比较正规，管理模式比较简单，带宽资源比较丰富的环境。3.2 多服务器分区模式网络拓扑图管理模式介绍在该种模式下，多个安全套件核心服务器分别管理各自区域的客户端，每个核心服务器可以管理多达10，000个客户端。所有核心服务器管理的客户端数据可以通过汇总的方式统一由汇总核心服务器进行集中存储和展现。该种方式还可以在企业网络中架设安全定义更新服务器来统一更新所有核心服务器的安全定义。该种方式的实现特点是管理层次比较清晰

7、，管理规模比较大。适用于网络分布式非常明显，管理机构和部门比较复杂，企业规模比较大的环境。4 产品功能模块详解4.1 产品架构和通讯机制LANDesk安全套件包括主动的补丁管理，网络连接控制，间谍软件查杀，安全威胁分析，应用阻止/禁用，自定义漏洞等功能。这些功能的高效和准确实现基于安全套件统一的后台架构和通讯机制，下面是对这些技术的介绍。资产扫描及非管理设备发现LANDesk安全套件具有强大的资产管理功能，通过该软件客户端的资产扫描功能，所有的软硬件信息都将及时的被扫描并存放在核心数据库中。LANDesk是桌面管理标准（DMI标准）的制定者，同时支持业界所有的与桌面及服务器管理相关的标准，如D

8、MI、CIM、WMI、Wfm、SMBIOS、ASF、IMPI等。通过支持以上的管理标准，LANDesk安全套件能够收集业界目前最全面的计算机软硬件资源信息，如：所辖客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件、存在的安全漏洞等。IT资产管理能够帮助公司了解当前所有计算机的资产信息，弥补固定资产报表的不足，并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。使用不受管的设备搜寻 (UDD) 功能，LANDesk安全套件可以主动的发现网络上所有基于IP的客户端设备包括计算机、网络打印机以及路由器及交换机等设备，分组发现工具能够使用“

9、PING扫描”来发现特定子网设备。UDD 在网络上查找尚未将清单扫描结果提交到 Management Suite 核心数据库的客户端。并可以使用多种方法来查找不受管的客户端。在发现新的未管理设备时，服务器可以以多种方式提交报警事件以供管理员进一步处理。LANDesk安全套件具有完善的报警功能，在任何库存信息发生变化时，都能够以日志及警报的方式及时通知管理人员，同时还支持以邮件、SNMP陷阱等多种方式提供报警，也支持调用运行程序进行自我修复，充分确保服务器及其他设备的运行安全。 LANDesk 安全套件针对安全信息预定义各类型报表，能够随时以报表的方式展示安全事件和信息，并与Crystal re

10、port紧密集成，由用户自定义报表类型。同时，LANDesk支持以WEB方式展示报表内容。IT资产管理是所有管理功能的基础。LANDesk补丁管理基于查询的库存分组功能能够任意组合查询。可以实现以行政机构类型或操作系统类型划分群组，甚至可以以CPU类型或IP段进行分组，从而实施不同的应用策略或管理任务。安全性扫描LANDesk安全套件的安全性扫描独立于资产扫描，该扫描能够通过Web方式从服务器获得相应的安全扫描内容，包括系统漏洞信息，禁用的应用列表，间谍软件列表等等，获取内容的方式是使用HTTP协议，所以不需要80以外的其他端口或windows共享。LANDesk安全性扫描的特点如下： 客户端

11、安全性扫描通过80端口更新Web服务器漏洞数据，更新过程也会进行差异比较，每个安全定义的数据量非常小，平均在几百字节。 扫描的结果需要传输的数据量非常少，对于每个安全内容属性而言，只是取其在客户端测试的结果可以，因而对网络不会有本质的影响。启动方式LANDesk安全性扫描的启动方式有以下几种： 客户端在重新启动后自动运行安全性扫描 客户端用户手动在本机运行安全性扫描 服务器端运行主动的网络安全性扫描带宽占用分析LANDesk安全性扫描缺省也是在客户端启动时运行，每个安全性扫描生成的数据量在1K左右，可以满足大规模客户端并发启动的需求而不会对网络造成明显的影响。软件分发作为桌面设备管理行业的领导

12、厂商, LANDesk的软件分发功能具有高效、安全及全面的特点。针对客户端所具有的操作系统类型不同，LANDesk安全套件可自动针对相应操作系统进行补丁智能安装，无须管理人员及客户的任何参与，同时支持以手动的方式以计划任务或应用策略的模式在服务端直接进行补丁修补作业。在服务器端，管理人员可根据不同类型的补丁针对特定管理群组或机构制定相应的修补策略，以实现灵活完善的补丁管理策略和流程。LANDesk的软件分发支持自动及手动模式，并使用了多项业界领先的专利技术来确保补丁分发任务的高效、完整，并且对系统资源的耗费最小化。这些重要的功能和技术包括：可计划的任务分发、灵活的应用策略管理、有目标的多址分发

13、技术、对等下载、字节级的断点续传技术等。 可计划的任务分发（基于PUSH的分发模式）：LANDesk的软件分发任务可即时或按自定义的计划时间向指定的客户群组进行分发操作并可定义重复的频率及分发任务失败后的重新开始，计划分发还可采用网络唤醒技术在非工作时间唤醒目标设备并进行分发作业，极大的减少对正常业务的影响。 灵活的应用策略管理（基于PULL的分发模式）：LANDesk的应用策略管理可针对特定目标群组制定单独的应用策略，目标群组可以是任何LANDesk群组、LDAP及AD成员组或根据自定义查询结果产生。通过制定不同的应用策略来确保管理实施的高效性和灵活性。 有目标的多址广播技术：LANDesk

14、的核心服务器使用有目标的多址分发技术来自动发现适合作为域或子网代表的客户端，并通过与域代表的点对点传输来下载软件包，并由域代表最终在子网内进行广播分发来实现高效的软件分发。使用TMC技术，可以突破多子网广播的路由壁垒，并且节省子网间有限的带宽以及主机资源。LANDesk TMC（有目标多址广播）技术是业界最领先的软件分发方法，能够极大的降低软件及补丁分发中的带宽消耗，并且降低软件分发的时间。由第三方测试机构做出的测试结果表明，TMC技术比Unicast技术节省75%以上的带宽资源并且有最小的时间消耗。Unicast模式有目标的多址广播LANDesk TMC（有目标多址广播）与Unicast（同

15、类软件）及手动安装性能对比对比实例Windows 2000 SP4客户机数量1200网络带宽100M网络利用率50%安装包大小129M子网数量50手工安装单点传送多址广播每系统安装时间 (Mins)总时间消耗 (Hrs)2006.880.29带宽消耗 (MB)1548001548006450带宽消耗对比手工安装单点传送多址广播手工安装100.00%100.00%2400.00%单点传送100.00%100.00%2400.00%多址广播4.17%4.17%100.00%时间消耗对比手工安装单点传送多址广播手工安装l100.00%2906.98%69767.44%单点传送3.44%100.00%

16、2400.00%多址广播0.14%4.17%100.00% 对等下载：LANDesk的客户端在使用对等下载技术时会主动查询子网其他客户端或缓存，如发现已有下载的软件包，客户端会自动实现本地下载，当子网内无相应数据时，客户端才向核心服务器发起下载请求，能够降低主机资源和带宽耗费。普通应用策略模式对等下载模式 字节级的断点续传技术：LANDesk在实现软件分发任务时，如有任何原因造成的下载中断，客户端再次连接时会自动进行断点续传，从而确保安装任务完成。 动态带宽调整技术：LANDesk的动态带宽调整技术能够确保带宽资源的有效使用性。动态带宽调整功能可自定义软件分发作业最小的带宽占用，并可自动检测当

17、前网络带宽使用情况，当发现有带宽空闲时，动态带宽调整功能会缓慢的提高分发任务的带宽占用比例直至基本全部占用，当发现有其他任务需要占用网络资源时，动态带宽调整功能会迅速释放所有带宽，并下降及维持基本的自定义带宽占用直至下次有空闲资源为止。动态带宽调整技术减少了管理对网络资源的压力并确保用户必须的业务功能不受影响。LANDesk安全套件提供完善的报表功能，能够按特定漏洞类型来提供用户即时或历史记录报表，也可按用户定义的物理位置等多种条件来提供用户已修补或查询到的安全漏洞报表。管理角色划分基于角色的管理是 LANDesk管理软件中一个强大的功能。管理员（具有 LANDesk 管理员权限的用户）通过单

18、击“工具”菜单或工具栏中的用户即可访问基于角色的管理工具。通过基于角色的管理，可将用户添加到 Management Suite 系统中，然后根据这些用户的权限和范围给他们分配特殊的管理角色。权限决定用户可以看到和利用的 Management Suite 工具和功能范围决定用户可以看到和管理的设备范围您可以根据用户的职责、您希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为他们创建角色。您可以将用户能访问的设备限定在某个地理位置，例如国家、地区、州（省）、城市甚至一个办公室或部门。也可以将访问限定为特定的客户端平台、处理器类型或某些其他设备硬件或软件属性。通过使用基于角色的管理，您可

19、以全权掌握要创建多少个不同的角色，哪些用户可以充当这些角色，他们的设备访问范围应该有多大或多小。例如，您可以指定一个或多个用户充当软件分发管理员，指定另一个用户负责远程控制操作，再指定一个用户负责运行报告，等等。 要贯彻实施基于角色的管理，只需将当前的 NT 用户指定为 Management Suite用户，或创建新的 NT 用户并将其添加为 Management Suite 用户，然后给他们分配必要的权限（以利用 Management Suite 功能）和范围即可。下表列出了一些您可能要实施的 Management Suite 管理角色、用户要执行的常见任务，以及用户要有效行使该角色的职责所

20、需的权限。角色 任务 所需的权限 管理员 配置核心服务器，安装附加控制台，执行数据库汇总，管理用户，配置警报等功能 LANDesk 管理员（意味着拥有所有权限） 资产管理员 搜寻设备、配置客户端、运行清单扫描器、创建和分发自定义数据表单、启用清单历史记录跟踪等。 “不受管的设备搜寻” 和“公共查询管理” 补丁及安全管理员安全漏洞更新、补丁的下载及分发、使用定向多播和对等下载、启用应用程序策略管理等 补丁管理 报告管理员 运行预定义的报告、创建自定义报告、打印报告、导入和导出报告、测试用户报告等 报告（所有报告都必需）以上只是角色示例。基于角色的管理非常灵活，因此，您可以根据自己的需要创建任意多

21、个自定义角色。您可以给不同的用户分配一些相同的权限，但将他们的访问权限限制为范围较窄的一组设备。甚至可以用范围来限制管理员，使他们实质上只是某地理区域或某类受管设备的管理员。如何利用基于角色的管理取决于您的网络、人力资源以及您的具体需要。系统维护LANDesk安全套件支持多种模式的客户端安装方式，无论是在工作组模式或域管理模式下，LANDesk安全套件均可方便的向Windows 2000及以上平台进行基于推送的直接客户端安装。同时支持以Web或网络共享模式的安装，安装方式非常简单。LANDesk安全套件提供两种控制台访问方式，即WIN32控制台和WEB控制台模式，能够方便的支持各种管理需求。W

22、EB控制台支持功能如下：清单 自定义查询 - 构建并运行查询，以检索有关计算机的清单数据。 报告 - 查看或打印网络中所有计算机的一览表和图表。 管理 客户机配置 - 创建基本自解压缩程序客户机配置软件包。 客户表单 - 创建用户处收集信息并将该信息添加到核心数据库中的表单。 首选项 定制控制台和报告选项。 资产管理器 跟踪并检测固定资产、合同及财务资产完整的生命周期。LANDesk安全套件是业界最易用的桌面管理解决方案。提供基于WIN32和WEB控制台， WIN32控制台支持自定义的视图用户界面极为良好。LANDesk管理软件具有包括中文在内的七种语言版本，支持在线帮助。系统安全蓝代斯克安全

23、套件提供了增强的基于证书的安全加密模式以防止未授权的控制台远程访问客户端，软件传输以及其他远程操作。LANDesk安全套件充分考虑到数据的安全性特征。为确保数据传输安全，核心服务器与客户端之间采用了高达2048位的加密数据通道，由客户端到核心服务器之间采用了1024位的HTTPS下载模式，为确保传输过程中文件不被非法篡改，所有传输文件均采用MD5算法计算HASH值。此外，对资产数据的传输均采用压缩传输，有效的避免通讯链路上可能存在的通讯包泄密行为。4.2 补丁管理整体描述LANDesk在全球承诺48小时内提供标准的最新的补丁漏洞信息及补丁数据更新服务。并提供第三方的补丁安全性检测以及补丁依赖性

24、及冲突性检测。LANDesk补丁管理支持用户自定义时间的安全漏洞信息自动更新及补丁程序自动下载，通过核心服务器的自定义时间安全漏洞信息更新与客户端扫描，可以及时的将最新的安全补丁修补至目标设备。LANDesk补丁管理的客户端扫描非常灵活，可以按客户的需要扫描辖内所有设备或部分指定设备的补丁安全状态并针对特定设备进行安全漏洞修补。补丁更新及修补均采用增量更新，避免了网络上不必要的数据流量。LANDesk 补丁管理的技术特点1、 支持混合环境a) 支持客户端平台语言：丹麦语、荷兰语、英语、芬兰语、法语、德语、意大利语、日语、挪威语、葡萄牙语、简体中文、西班牙语、瑞典语、繁体中文b) 支持的客户端平

25、台： Windows 98 SE Windows NT（4.0 SP6a 版和更高版本） Windows 2000 SP4 / 2003 / XP SP1 Mac OS X 10.2.x 和 10.3.x Red Hat Linux，版本 9（从控制台扫描，手动修补） SUSE Linux（从控制台扫描，手动修补） Sun Solaris（从控制台扫描，手动修补）c) 支持对Solaris，Mac，Linux设备的安全漏洞检测。2、 高效的分发机制a) 有目标多址广播技术、对等下载技术能够实现业界最高效的补丁分发以及对网络带宽的最小占用。3、 额外的安全验证a) 由第三方提供的补丁依赖性以及补

26、丁冲突性检测，对企业环境的补丁安全提供了基础保障4、 多数据源保证a) LANDesk提供备份补丁数据源，以确保在厂商数据源出现问题的及时补充b) 在客户无法实现与Internet连接情况下，LANDesk提供以定期数据光盘和重要漏洞即时更新形式进行安全数据交换，以确保企业环境的完全。5、 灵活的卸载选项a) 可以针对某个补丁进行远程卸载。b) 卸载修补程序可以自动添加所有安装了该修补程序的设备或者对指定的设备进行卸载。c) 对于必须使用命令行参数对原始安装程序进行访问的卸载程序，可以使用多播来减少网络带宽占用。6、 完整的客户端控制选项a) 可以配置安全扫描在客户端运行时界面的显示状况。b)

27、 可以设置用户下载时占用的最大带宽比例。c) 可以配置修复过程是否有客户端提示界面，修复行为是否需要客户端交互。d) 可以配置修复/卸载后的重启选项，是否重启以及重启过程的用户交互选项。7、 其他特点a) 基于角色的权限管理可以严格限制参与补丁管理的人员及管理范围b) 补丁安装的实时状态记录及反馈。c) 对已安全的补丁的检测并确保不会重复修补。d) 安全漏洞数据更新采用增量模式更新，极大的减少网络数据流量LANDesk补丁管理中的自定义漏洞功能可以任意扩展对安全漏洞的定义，管理员可以自定义分析客户端环境条件，如注册表或者文件夹等，将已封装好的可执行文件作为修补程序。当漏洞扫描器发现客户端出现相

28、应的漏洞时，系统可自动或手动的应用相关的修补程序，以确保客户端的安全状态或其他应用程序的应用更新。LANDesk补丁管理提供全面的日志功能，能够根据用户需求自行定义日志记录的内容，完全满足系统安全审计的需要，LANDesk补丁管理在系统管理时使用的日志包括： 用户的操作系统应用事件日志 蓝代斯克补丁管理核心服务器事件日志 报警事件的服务器事件日志系统日志能够记录所有系统及用户定义的管理记录，并且能够防止任何用户修改完整的审核踪迹。LANDesk补丁管理的报警事件基于AMS协议，因此可以很方便的将报警事件发送到其他支持AMS的应用系统（如Unicenter）及其他LANDesk服务器进行日志的异

29、地备份及保存。使用SNMP陷阱，还可以将报警事件发送到其他的支持SNMP服务的计算机上。LANDesk补丁管理的预定义报告类型如下： 检测到的漏洞 按计算机列出的检测到的漏洞 按检测日期列出的检测到的漏洞 按位置列出的检测到的漏洞 未执行漏洞扫描的设备 无法修补的设备 从未出现漏洞的设备 已修补的漏洞 按计算机列出的已修补漏洞 按日期列出的已修补漏洞 按位置列出的已修补漏洞4.3 网络连接控制器网络连接控制器通过网络连接和 I/O 设备来监控和限制对受管设备的访问。可以对允许设备连接的网络 IP 地址进行限制，也可以对那些允许访问设备数据的设备（如端口、调制解调器、驱动器、USB 端口和无线连

30、接）的使用进行限制。支持的客户端系统包括windows2000/xp和windows2003。1) 网络访问限制规则网络访问限制规则应用于对受管理设备的网络访问，该规则分为两类 黑名单限制该限制禁止在列表中的地址范围访问网络，除了该地址范围内的其他地址都可以访问网络。 白名单限制该限制只允许在列表中的地址范围访问网络，在该地址范围之外的设备都无法访问网络。可以进一步验证，即指定必须验证网络中有核心服务器时才可以访问，而没有找到核心服务器的客户端（即使在白名单内）一律禁止访问网络。2) 设备端口访问限制规则除了对本地网络连接进行限制外，还可以限制系统I/O接口。包括： USB端口 调制解调器 驱

31、动器（软盘驱动器、CD/DVD、可移动设备、磁带机） 端口（串行、并行、红外线、firewire） 无线连接（802.11x、蓝牙）对于USB端口设备的禁用，可以显式排除USB键盘和鼠标。每当该设备初始化网络连接或更改网络连接时，连接控制管理器可执行文件就会运行应用配置规则。这些规则包括中断不允许的连接并向核心服务器发送警报。4.4 间谍软件查杀间谍软件与病毒和黑客攻击相比是一种比较新型的安全威胁手段，主要通过HTTP协议和IE浏览器入侵用户系统，间谍软件与垃圾邮件，恶意软件一起，成为目前影响客户安全的主要手段之一。间谍软件实际上可以细分为以下几个类别： 间谍软件（Spyware）：一种可以秘密地收集有关你计算机信息的软件，并