(安全生產)LAND終端桌面安全管理通用解決方案

1、LANDesk終端桌面安全管理解決方案簡介藍代斯克（北京）信息技術有限公司2011年 4月LANDesk終端桌面安全管理解決方案1 LANDesk 方案提供商。自 2002 年從 Intel 拆分出來后，保持了 50%以上的高速增長。其產品線以 LANDesk LANDesk 中國分公司于 2003 年初在北京建立，現在在上海，廣州有辦事機構。到目前為止已經發(fā)展成為具有研發(fā)，測試，銷售，市場等完整架構的營運中 120 前為止，在銀行，電信，移動，聯(lián)通，交通，石化，傳媒、政府等領域擁有眾多的用戶。中國分公司也因為其 100%的高速增長，成為全球繼北美，歐洲和日本后新的戰(zhàn)略重心。第 2 頁 共 1

2、9 頁LANDesk終端桌面安全管理解決方案2 在現代企業(yè)環(huán)境下，一個 IT 的管理部門需要花費大量的人力物力來維護企桌面管理解決方案。LANDesk 管理套件通過以下功能模塊實現IT 資產權生命周期的管理：資產管理功能 軟硬件資產信息收集，動態(tài)掌握全網 IT 資產現狀 可定義的資產變更警報，可以全面監(jiān)控客戶端的 IT 資產與配置的變化，例如，客戶端的內存、硬盤的變化，以及IP 地址的變化等等，避免企業(yè)IT 資產的流失。 自定義資產數據收集，如部門、姓名等非 IT 信息 120 使創(chuàng)建自定義報表更加方便。便于資產統(tǒng)計、盤點。 在工作組或域模式下，都可以對終端的用戶和組進行管理。 集成、易用的查

3、詢工具 基于 IP 路由器、打印機、IPMI 設備、iAMT 設備等等，并自動分類及報警。特點與優(yōu)勢 全方位的 IT 資產收集，支持DMIWMICIM等多種桌面管理標準，能收集到業(yè)界最全面的 IT 軟硬件資產信息。 多平臺支持，增強企業(yè)桌面管理的全面性。 設備管理可按管理員用戶自由分組，便于管理員管理。遠程支持功能 幫助管理員對被管理設備進行遠程支持，減少大量的現場支持及電話支持工作，提高服務支持的響應速度。第 3 頁 共 19 頁LANDesk終端桌面安全管理解決方案 集成多種桌面支持工具，包括：遠程控制、遠程對話、遠程文件傳輸、遠程執(zhí)行、遠程重啟、遠程關機、遠程桌面畫圖等等。 可根據網絡帶

4、寬憂化的遠程桌面支持，節(jié)省企業(yè)遠程支持費用。特點與優(yōu)勢 采用證書認證方式，保證遠程支持的安全性。 采用客戶端授權方式遠程支持，保護客戶端不受非法控制。 多安全機制及日志完善的遠程技術支持 集成性，與其他桌面管理功能相結合組成完整的桌面管理解決方案。軟件分發(fā)功能 幫助企業(yè)進行軟件的統(tǒng)一部署、升級、維護。 支持應用軟件修復，使用戶的業(yè)務可持續(xù)運行。 支持“推”和“拉”的兩種軟件分發(fā)方式。 支持軟件分發(fā)的斷點續(xù)傳。 支持任務完成代理，保證任務執(zhí)行的完整性。 支持軟件分發(fā)向導，使軟件分發(fā)更加簡單。 自帶軟件差異打包工具和腳本編輯工具。特點與優(yōu)勢 使用有目標多址廣播技術、對等下載技術、動態(tài)帶寬調整等專利

5、技術，使得在復雜網絡環(huán)境達到最佳的分發(fā)效率和分發(fā)的成功率，同時對企業(yè)主干網絡影響最小。 支持多種軟件分發(fā)格式，支持MSISWDWISEEXE 等多種軟件打包格式。 支持非Windows 平臺的軟件分發(fā)，支持MACLinux 平臺的軟件分發(fā)。 Gartner 的報告指出，藍代斯克自從 2002 年 9 月從 Intel 公司獨立出來之后，就成為桌面軟件分發(fā)市場中最大的供應商（2005-5-20）軟件授權監(jiān)視功能 可以統(tǒng)計并監(jiān)控客戶端對指定軟件的使用進行監(jiān)控（累計使用次數、累間進行統(tǒng)計分析，為以后更有效的進行軟件投資提供參考依據。第 4 頁 共 19 頁LANDesk終端桌面安全管理解決方案 可以

6、對企業(yè)使用的軟件許可證數量進行統(tǒng)計，避免企業(yè)被罰款的風險。 禁止企業(yè)內部不符合企業(yè)規(guī)范的軟件的使用。特點與優(yōu)勢 支持對離線設備記錄軟件的使用頻率、使用時間，在設備連線后自動上傳統(tǒng)計數據。 自動統(tǒng)計企業(yè)全網軟件安裝情況，幫助企業(yè)內部維護許可證使用情況，可按全網或按部門統(tǒng)計許可證使用情況。 支持給予進程的軟件禁用，即使用戶修改應用程序名，策略依然有效。操作系統(tǒng)分發(fā)和配置遷移功能 /恢復，支持多種操作系統(tǒng)映像分發(fā)格式：Ghost、Image、PowerQuest等等。 支持操作系統(tǒng)的配置遷移：從Windows 98/2000 向Windows XP/2003遷移。用戶帳戶信息；應用程序設置, 模板及

7、關聯(lián)文件；桌面設置（MyDocs 支持裸機的操作系統(tǒng)分發(fā)，可幫助客戶為批量裸機快速部署操作系統(tǒng)及應用程序。特點與優(yōu)勢 內建LANDesk 自帶的操作系統(tǒng)Image 工具，不需用戶額外投資。 支持PXE 代理技術，不需單獨的PXE 代理服務器，支持對遠程裸機部署操作系統(tǒng)。LANDesk 應用程序虛擬化（插件）使用LANDesk應用程序虛擬化打包工具將要分發(fā)的Windows應用軟件打包成單一EXEEXE要拷貝打包后得到的單一的EXE文件，就可以直接運行要分發(fā)的應用軟件。LANDesk應用程序虛擬化，不像其它的解決方案, LANDesk應用應用程序虛何設備上運行，例如本地、 LAN, WAN, U盤

8、、光盤。虛擬化的應用軟件可以在鎖定的PC上完全的 user模式下運行，無需安裝第 5 頁共19 頁LANDesk終端桌面安全管理解決方案任何驅動程序，使得管理員可以維護一個安全的、干凈的、穩(wěn)定的桌面系統(tǒng)。使用應用程序虛擬化，可以實現： 應用程序向 Microsoft Vista平滑遷移； 讓每個應用軟件運行在各自的環(huán)境下，告別軟件沖突. 能在同一臺PC上運行相同應用軟件的不同版本 將軟件運行需要的環(huán)境和應用軟件一起打包 (Eg .Net and Java) 在已鎖定的PC上在“user” 模式下運行應用軟件 減少軟件錯誤，減少支持成本 減少軟件錯誤，提高客戶滿意度 減少軟件安裝時間，軟件不再需

9、要安裝 簡化安裝和維護流程，只需從服務器復制一個檔 加快應用軟件部署，簡化測試第 6 頁共19 頁LANDesk終端桌面安全管理解決方案3 現在的企業(yè)網絡環(huán)境常常處于不安全的網絡環(huán)境中，網絡上病毒層出不窮，的資源，最終結果卻不一定能取得滿意結果。通過 LANDesk 安全套件可以為企業(yè)建立一個全面的桌面安全解決方案，保證企業(yè)的重要業(yè)務正常持續(xù)的運轉。補丁管理功能 全面的客戶端漏洞評估，幫助管理員全面了解客戶端操作系統(tǒng)與應用程序的漏洞情況。 支持漏洞定義包括以下操作系統(tǒng)： Windows 95/98/ME/NT/2000/XP/2003; IBM AIX; HP-UX; SUN Solaris;

10、 Apple Macintosh; Redhat Linux; SUSE Linux; 支持漏洞與補丁語言版本：簡體中文、繁體中文、英語、法語、德語、日語等共 18種語言版本。 支持產品： 微軟公司應用軟件：Office, Access, Word, Excel, PowerPoint,Outlook, Visio, FrontPage, Exchange, IE, IIS, SQL Server,MSDE, Windows Media Player等 其他操作系統(tǒng)廠商產品：IBM, SUN, Apple, Redhat, SUSE 第三方軟件廠商產品： Yahoo! Messenger, W

11、inamp, AcrobatReader, RealNetworks RealPlayer, Flash Player, Firefox 第 7 頁 共 19 頁LANDesk終端桌面安全管理解決方案提供修改的指導意見沒有補?。?第三方安全廠商定義：SANS Top 20 通過自動化的配置，可實現客戶端補丁的自動修復。 補丁修復歷史紀錄，是管理員了解客戶端補丁的安裝與修補狀態(tài)。可卸載已安裝的補丁。 強大的自定義漏洞定義接口，使用戶可以將自己的應用程序的補丁也可以納入 LANDesk補丁管理器的管理。 支持補丁的遠程修復，實現補丁的全生命周期的管理。特點與優(yōu)勢 由 LANDesk 負責跟蹤、測試

12、、發(fā)布最新的補丁，驗證補丁包和提供可靠的分析及沖突檢測。 完善的安全漏洞信息統(tǒng)計及報表，支持自定義報告 打補丁方式靈活（計劃/策略/自動修復） 與管理套件完全集成，利用管理套件中的先進的軟件分發(fā)技術，可以快速的部署分發(fā)補丁，保證補丁分發(fā)的成功率和效率，同時對企業(yè)正常的技術高效的部署補?。┓啦《拒浖《敬a管理 SymentecTrend 、Macfee，Sophos。 自動掃描客戶端的防病毒軟件病毒定義代碼，可以對沒有最新防病毒代碼的客戶端，自動升級客戶端的防病毒代碼。 遠程打開防病毒軟件實時防護。桌面防火墻管理 可以統(tǒng)一管理客戶端的桌面防火墻配置，使配置企業(yè)的網絡應用更加方Win XP 與W

13、indows server 2003） 功能：打開或關閉防火墻；打開指定的端口或程序。安全威脅分析 掃描網絡中所有客戶端可能受到的安全威脅，例如，客戶端是否設立空共享、是否弱口令、防火墻狀態(tài)、管理員組成員等等。第 8 頁 共 19 頁LANDesk終端桌面安全管理解決方案藍代斯克更新 更新藍代斯克客戶端程序、控制臺程序。軟件禁用 預定義的軟件列表，是管理員方便定義企業(yè)的應用程序使用策略，禁止非法軟件的使用。 可擴充的軟件定義列表，方便企業(yè)定義自己的軟件禁用列表。間諜軟件檢測和排除 支持對客戶端是否被間諜軟件感染進行掃描和檢測。 間諜軟件的排除，同時可修復文件和注冊表。 客戶端間諜軟件排出后，可

14、對該間諜軟件免疫。 實時間諜軟件防護。設備外設控制 禁用客戶端 USB 端口（可允許 USB 口鍵盤、鼠標、打印機、掃描儀、手持設備、或其他特定設備正常使用） 禁用客戶端的光驅、軟驅、串/并口、無線、藍牙、PCMCIA，卷等設備。 對 USB 和 CD/DVD刻錄機設置為只讀 對 USB 存儲設備設置為加密存儲主機入侵防護系統(tǒng)現在，單單部署防火墻和反病毒解決方案已經不夠安全了。為了積極主動地應對變本加厲地變化著的安全威脅，LANDesk 推出主機入侵預防系統(tǒng)，這是一HIPS）更勝一籌，不僅可以根據系統(tǒng)行為來保護計算機，還能夠防范越來越多的零日威脅、rootkit 諜軟件解決方案所采用的基于特征

15、的掃描技術不同，LANDesk 主機入侵預防技則的技術來分析網絡流量和機器行為，從而可以根據由安全及 IT 管理員設定的第 9 頁 共 19 頁LANDesk終端桌面安全管理解決方案 HIPS可以實現嚴格且自適應的軟件白名單，幫助管理員實現嚴格的軟件管理。LANDesk客戶端信任訪問（插件） 預先定義企業(yè)的安全策略，當不符合企業(yè)安全策略的客戶端嘗試訪問企業(yè)網絡時，禁止客戶端接入企業(yè)網絡。 可設立企業(yè)安全策略服務器，當不符合企業(yè)安全策略的客戶端存在時，可對其進行修復，使其符合企業(yè)的安全策略。 支持 Cisco NAC技術實現客戶端信任訪問，使企業(yè)網絡更加安全（需要Cisco NAC 支持 LDD

16、HCP技術實現客戶端信任訪問，不需要額外的網絡硬件支持。 基于 802.1x 的解決方案。LANDesk 802.1x 解決方案是基于 802.1x 的解決方案，需要支持 802.1x 的設備。 基于 IPSEC 的解決方案。LANDesk IPSec 解決方案是純軟件的解決方案，無需硬件支持，也不需要改變客戶現有的網絡架構。所有已通過遵從性規(guī)則驗證的機器將獲得正式證書及健康策略，通過 IPSec 建立信任關系互相可以正常通訊；沒有通過遵從性規(guī)則驗證的機器將獲得偽證書及非健康策略，不能和其他設備通訊。LANDesk （插件）與在安全套件中的 LANDesk 還專為企業(yè)級用戶設計了具有與其他 L

17、ANDesk 管理工具緊密集成的獨立的防毒產品解決方 LANDesk 管理套件與 LANDesk 的安全病毒檢測、防護平臺。采用 LANDesk 防病毒軟件的優(yōu)勢： 世界領先的防病毒技術支持 具有單一控制臺、單一客戶端，與 LANDesk 解決方案高度集成。第 10 頁 共 19 頁LANDesk終端桌面安全管理解決方案 境，降低病毒爆發(fā)帶來的安全風險。 采取網絡型集中控制式的防病毒管理模式，管理員在中心控制臺統(tǒng)一配置防護策略，防止因為最終用戶隨意更改策略帶來的安全隱患。 為企業(yè)節(jié)省大量的時間，自動化的防病毒體系的建立。 和 LANDesk 其他解決方案聯(lián)動帶來的額外價值，比如安全準入技術可防

18、止中病毒的終端進行自動網絡隔離等。第 11 頁 共 19 頁LANDesk終端桌面安全管理解決方案4 單一服務器部署架構網絡拓撲圖補丁管理器核心服務器LANDesk客戶端PSTN路由器PCPCLAPTOPPC額外控制臺額外控制臺節(jié)點說明 的所有重要文件和服務都位于核心服務器中。一個管理域只有一個核心服務器。 控制臺：主要的LANDesk管理套件控制界面。第 12 頁 共19 頁LANDesk終端桌面安全管理解決方案 核心數據庫：對于每臺核心服務器，補丁管理器都需要一個數據庫；如果有多臺核心服務器，則可以使用一個核心匯總數據庫來匯總這些核心服務器的數據。 LANDesk 代理的臺式機、服務器、筆

19、記本電腦或手持設備。一臺核心服務器能管理多達10000 個客戶端。大型網絡往往需要多臺核心服務器。支持客戶端包括： Windows 95/98/ME/NT/2000/XP/2003/Vista; IBM AIX; HP-UX; SUN Solaris; Apple Macintosh; Redhat Linux; SUSE Linux;管理模式介紹在該種模式下，只有唯一的核心服務器管理全網所有客戶端，管理的客戶端規(guī)模上限為10,000internet上的LANDesk安全內較正規(guī)，管理模式比較簡單，帶寬資源比較豐富的環(huán)境。管理角色劃分基于角色的管理是 LANDesk 管理軟件中一個強大的功能。

20、管理員（具有LANDesk 管理員權限的用戶）可以創(chuàng)建多個操作員，并且為操作員設立管理權限和管理范圍，實現分級的管理下表列出了一些管理角色、用戶要執(zhí)行的常見任務，以及用戶要有效行使該角色的職責所需的權限。角色任務所需的權限第 13 頁 共19 頁LANDesk終端桌面安全管理解決方案“ ” 和“ 系統(tǒng)維護LANDesk 桌面管理軟件支持多種模式的客戶端安裝方式，無論是在工作組模式或域管理模式下，LANDesk桌面管理軟件均可方便的向Windows 2000 及以上平臺進行基于推送的直接客戶端安裝。同時支持以 Web 或網絡共享模式的安裝，安裝方式非常簡單。系統(tǒng)安全藍代斯克補丁管理器桌面管理軟件提供了增強的基于證書的安全加密模式LANDesk與客戶端之間采用了高達 2048位的加密數據通道，由客戶端到核心服務器之間采用了 1024 位的 HTTPS 下載模式，為確保傳輸過程中文件不被非法篡改，所有傳輸文件均采用 MD5算法計算 HASH值。此外，對資產數據的傳輸均采用壓縮傳輸，有效的避免通訊鏈路上可能存在的通訊包泄密行為。附第 14 頁 共 19 頁LANDesk終端桌面安全管理解決方案核心服務器硬件推薦配置： 第 15 頁 共 19 頁LANDesk終