LANDesk管理員操作手冊（安全）(共19頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 LANDesk9.0功能使用手冊標(biāo)準(zhǔn)化管理員操作手冊目錄1 補(bǔ)丁管理1.1補(bǔ)丁下載補(bǔ)丁的下載需要服務(wù)器接入到公網(wǎng)中。打開服務(wù)器控制臺，進(jìn)入“工具”“補(bǔ)丁程序和遵從性”，點(diǎn)擊“下載更新”按鈕。在打開的新界面中，左側(cè)為勾選需要的補(bǔ)丁種類，右側(cè)為語言選項(xiàng)。在 “下載修補(bǔ)程序”中，兩個選項(xiàng)的意思分別為：僅針對已檢測的漏洞定義：只下載客戶端缺少的補(bǔ)丁，首次下載的補(bǔ)丁為補(bǔ)丁列表信息，根據(jù)該信息判斷客戶端的補(bǔ)丁情況。針對所有已下載的定義：下載所有補(bǔ)丁，不會判斷是否確實(shí)需要這些補(bǔ)丁。點(diǎn)擊“補(bǔ)丁程序位置”標(biāo)簽頁，檢查客戶訪問修補(bǔ)程序的路徑，建議配置將其中的主機(jī)名修改為IP地址。以上配

2、置完成后，點(diǎn)擊下載更新界面下方的“立即更新”或“計(jì)劃更新”按鈕，區(qū)別如下：立即更新：點(diǎn)擊后立即開始下載更新。計(jì)劃更新：點(diǎn)擊后建立計(jì)劃任務(wù)下載更新，可設(shè)置周期性運(yùn)行自動下載更新。下載完成后，可以在下圖中看看到下載的補(bǔ)丁程序信息。1.2 補(bǔ)丁掃描與修復(fù)設(shè)置 新建補(bǔ)丁掃描和修復(fù)設(shè)置，打開 “修補(bǔ)程序和遵從性”界面，進(jìn)入“設(shè)置”“我的設(shè)置”“掃描和修復(fù)設(shè)置”，在右側(cè)空白出點(diǎn)擊右鍵，選擇“新建”在打開的界面中進(jìn)行配置。常規(guī)設(shè)置名稱：掃描和修復(fù)設(shè)置的名稱，方便記憶顯示進(jìn)度對話框：客戶端掃描和修復(fù)時是否顯示進(jìn)度，建議選擇“從不”掃描時CPU的使用率：掃描和修復(fù)補(bǔ)丁時的CPU占用控制掃描選項(xiàng)類型：選擇需要掃描

3、的補(bǔ)丁程序類型，建議使用默認(rèn)選項(xiàng)啟用自動修復(fù)：對于選擇的補(bǔ)丁程序類型，當(dāng)發(fā)現(xiàn)需要修復(fù)時即開始自動修復(fù)，建議勾選修復(fù)選項(xiàng)在修復(fù)、安裝或卸載修補(bǔ)程序之前：修復(fù)補(bǔ)丁時進(jìn)行提醒的設(shè)置重新啟動已掛起：對于需要重啟設(shè)備才能修復(fù)的補(bǔ)丁無需重啟，建議勾選重新啟動選項(xiàng)決定是否重新啟動：補(bǔ)丁修復(fù)完成后是否立即重啟，建議選擇“從不重新啟動”1.3 漏洞修復(fù)方式1.3.1 自動修復(fù)漏洞建議使用自動修復(fù)漏洞方式。進(jìn)入 “修補(bǔ)程序和遵從性”界面，可以查看到所有的補(bǔ)丁及其詳細(xì)信息。選擇需要修復(fù)的補(bǔ)丁，點(diǎn)擊右鍵選擇“掃描時自動修復(fù)”，則所選的補(bǔ)丁會在客戶端執(zhí)行補(bǔ)丁掃描時根據(jù)“掃描和修復(fù)配置”安裝補(bǔ)丁。1.3.2 對特定的設(shè)備

4、進(jìn)行補(bǔ)丁修復(fù)該方式適用于單獨(dú)對少量設(shè)備的緊急補(bǔ)丁修復(fù)。在設(shè)備窗口右鍵點(diǎn)擊所選的設(shè)備，選擇“安全策略修補(bǔ)程序信息”。在彈出的界面中可以查看到該設(shè)備的補(bǔ)丁信息。點(diǎn)擊“所有已檢測到的定義”，右側(cè)界面會顯示這臺設(shè)備缺少的所有補(bǔ)丁。選擇需要修復(fù)的補(bǔ)丁，點(diǎn)擊右鍵選擇“修復(fù)”。在彈出的界面的中，對修復(fù)補(bǔ)丁的方法進(jìn)行配置。作為計(jì)劃任務(wù)修復(fù)：使用計(jì)劃任務(wù)的方式來修復(fù)補(bǔ)丁，建議勾選。選擇要修復(fù)的計(jì)算機(jī)：可以控制要修復(fù)計(jì)算機(jī)的范圍 不添加任何計(jì)算機(jī)：不添加計(jì)算機(jī)到任務(wù)對象中，在計(jì)劃任務(wù)中手動添加，建議選擇 添加全部受影響的計(jì)算機(jī)：將所有缺少這個補(bǔ)丁的計(jì)算機(jī)自動加入到任務(wù)對象中 只添加選定的和受影響的計(jì)算機(jī)：將選定的

5、計(jì)算機(jī)和缺少這個補(bǔ)丁的設(shè)備加入到對象中。掃描和修復(fù)設(shè)置：選擇執(zhí)行這個補(bǔ)丁修復(fù)任務(wù)時的掃描和修復(fù)設(shè)置。1.3.3對特定的補(bǔ)丁執(zhí)行修復(fù)該方法適用于緊急修復(fù)某些特定的補(bǔ)丁。進(jìn)入“修補(bǔ)程序和遵從性”界面，選擇需要立即給計(jì)算機(jī)修復(fù)的補(bǔ)丁，點(diǎn)擊右鍵選擇“修復(fù)”。在彈出的界面中進(jìn)行配置，方法同“1.3.2對特定的設(shè)備進(jìn)行補(bǔ)丁修復(fù)”。2 安全配置安全配置包含5種安全策略，包括：LANDesk Antivirus、Windows防火墻、主機(jī)入侵防護(hù)、LANDesk防火墻、設(shè)備控制。LANDesk Antivirus：LANDesk防病毒模塊Windows防火墻：集中控制Windows自帶防火墻。主機(jī)入侵防護(hù)：基

6、于主機(jī)的入侵防護(hù)模塊，提供防病毒之外的更嚴(yán)格的一層保護(hù)。LANDesk防火墻：功能與專業(yè)個人防火墻相同，可以通過控制臺集中控制策略。設(shè)備控制：計(jì)算機(jī)外設(shè)端口控制，可控制所有種類的計(jì)算機(jī)外設(shè)端口能否使用，對于USB接口的控制粒度更細(xì)，詳見“”。2.1 端點(diǎn)安全端點(diǎn)安全是主機(jī)入侵防護(hù)、LANDesk防火墻、設(shè)備控制3種安全策略的集合，這種做法增加了安全策略使用的靈活性和方便性。要使用端點(diǎn)安全需要先配置主機(jī)入侵防護(hù)、LANDesk防火墻、設(shè)備控制這3種安全策略，然后在端點(diǎn)安全中調(diào)用這些策略。2.1.1 主機(jī)入侵防護(hù)主機(jī)入侵防護(hù)是一種嚴(yán)格根據(jù)定義的策略保護(hù)計(jì)算機(jī)的功能，可實(shí)現(xiàn)基于學(xué)習(xí)的程序白名單、文件

7、和文件夾保護(hù)等功能，因?yàn)楸Ｗo(hù)非常嚴(yán)格，所以定義策略時必須非常仔細(xì)，否則會造成操作系統(tǒng)的損壞或無法進(jìn)入。因此這里根據(jù)測試環(huán)境（學(xué)習(xí)環(huán)境）和實(shí)施環(huán)境來分別提出配置方法。強(qiáng)烈建議在實(shí)施新的策略是依照范圍從小到大進(jìn)行，即先在模型設(shè)備上使用，再小范圍使用，再全面推廣。進(jìn)入“安全配置”“主機(jī)入侵防護(hù)”，右側(cè)窗口點(diǎn)擊右鍵選擇“新建”。在彈出界面中進(jìn)行配置：常規(guī)設(shè)置名稱：策略名稱，方便記憶保護(hù)設(shè)置： 啟用主機(jī)侵入保護(hù)：啟用功能(請勿勾選使用緩沖區(qū)溢出保護(hù)！) 啟用白名單保護(hù)：勾選則啟用程序白名單功能。Wintrust：根據(jù)簽名自動允許相應(yīng)的程序。執(zhí)行的操作：當(dāng)發(fā)現(xiàn)違法策略時的處理措施。測試環(huán)境（學(xué)習(xí)環(huán)境）配置

8、：建議勾選“啟用主機(jī)入侵保護(hù)”，選擇 “自動允許來自這些供應(yīng)商的簽名代碼”，其它不做更改。實(shí)施環(huán)境配置：除測試環(huán)境中的配置外，勾選“啟用白名單保護(hù)”。模式配置保護(hù)模式：自動：可以直接阻止未經(jīng)認(rèn)證的程序運(yùn)行自動學(xué)習(xí)期限：啟用后在學(xué)習(xí)時間內(nèi)的程序都加入認(rèn)證白名單，超過學(xué)習(xí)時間后則自動轉(zhuǎn)為不認(rèn)證新添加的程序，這些程序也不能運(yùn)行。自動記錄期限：啟用后在選擇時間內(nèi)記錄策略沖突的日志。學(xué)習(xí)：通過學(xué)習(xí)來添加程序白名單，啟用后運(yùn)行的程序自動添加，未運(yùn)行的程序不添加到白名單中。僅記錄：僅記錄策略沖突日志，不做任何操作動作。阻止：阻止未經(jīng)認(rèn)證的程序運(yùn)行，但無日志。安全模型設(shè)備：通過添加安全模型設(shè)備來學(xué)習(xí)程序白名單

9、。測試環(huán)境（學(xué)習(xí)環(huán)境）配置：選擇“學(xué)習(xí)”模式，勾選“白名單（僅學(xué)習(xí)）”，添加設(shè)備模型，模型應(yīng)該選擇安裝有典型程序的、必須程序的設(shè)備，且未安裝無關(guān)程序。實(shí)施環(huán)境配置：僅選擇“自動”模式，不勾選“自動學(xué)習(xí)”?？筛鶕?jù)情況選擇添加設(shè)備模型。文件認(rèn)證經(jīng)過認(rèn)證的程序列表，可查找那些程序經(jīng)過了認(rèn)證，也可以手動添加。建議使用基于學(xué)習(xí)的白名單來自動添加認(rèn)證文件。文件保護(hù)規(guī)則基于程序保護(hù)文件和文件夾，可以規(guī)定程序能對文件（文件夾）進(jìn)行何種操作（修改、執(zhí)行、創(chuàng)建、訪問）。策略手動添加，添加策略應(yīng)符合逐條添加，逐條驗(yàn)證，通過后再添加下一條策略。程序在客戶端運(yùn)行時，依照從上到下的策略順序進(jìn)行檢測，符合策略則繼續(xù)檢測下一

10、條，不符合則根據(jù)規(guī)則阻止程序的操作。點(diǎn)擊“添加”可以新增一條文件保護(hù)規(guī)則，下面舉例說明：要求只有兩個程序zlhis+.exe和zlserstudio.exe能夠?qū):APPSOFT文件夾進(jìn)行操作，其它的任何程序都不能進(jìn)行操作。分析要求，可以發(fā)現(xiàn)需要兩條策略來實(shí)現(xiàn)：第一條， zlhis+.exe和zlserstudio.exe對d:APPSOFT文件夾有所有權(quán)限第二條， 其它全部程序?qū):APPSOFT文件夾沒有權(quán)限2.1.2 設(shè)備控制點(diǎn)擊“設(shè)備控制”，在右側(cè)窗口右鍵選擇“新建”。彈出的新窗口中，填寫名稱，勾選“啟用設(shè)備控制”。存儲卷：存儲卷：針對可存儲的卷做控制，可以選擇4種權(quán)限。對應(yīng)每種權(quán)限

11、控制也可以做例外。CD/DVD驅(qū)動器：針對CD/DVD驅(qū)動器做權(quán)限控制。也可添加例外。加密選項(xiàng)：可以各家需要配置U盤的加密大小。通知最終用戶：可以是客戶端在禁用未授權(quán)設(shè)備時顯示一條消息。點(diǎn)擊“例外”，新彈出窗口可以根據(jù)多種條件添加例外設(shè)備。選擇 “總線類型”點(diǎn)擊“瀏覽”。硬件ID和卷序列兩個選項(xiàng)的使用在下一章節(jié)詳述。勾選選擇需要例外的總線類型，確定保存退出。接口設(shè)備：根據(jù)設(shè)備類型來統(tǒng)一設(shè)置訪問權(quán)限。接口：根據(jù)接口類型來統(tǒng)一設(shè)置訪問權(quán)限。例外：對以上兩種選項(xiàng)進(jìn)行例外控制。卷影復(fù)制啟用后，當(dāng)復(fù)制文件至U盤時，可以選擇“記錄下文件名”和“保存文件到本地緩存”。僅記錄事件：將復(fù)制文件的名字上傳到服務(wù)器

12、中，可以在“安全活動”中查看到。本地緩存：可以選擇將復(fù)制的文件另外復(fù)制到一個目錄中，以及對該目錄進(jìn)行大小控制。被復(fù)制到本地緩存的文件，名字和后綴均被改動，需要結(jié)合“安全活動”中的信息查看。2.1.3 端點(diǎn)安全點(diǎn)擊“端點(diǎn)安全”，右側(cè)點(diǎn)擊右鍵選擇“新建”。在彈出窗口中進(jìn)行配置。常規(guī)配置名稱：填寫名稱，方便記憶。使用位置感知：啟用后多出一個新的位置感知標(biāo)簽頁，該功能能夠根據(jù)兩個不同的網(wǎng)絡(luò)環(huán)境判斷使用兩種不同的策略。管理員密碼：啟用后可以根據(jù)管理員密碼來控制客戶端相關(guān)功能的改變。安全策略啟用位置感知后會出現(xiàn)“位于信任位置之內(nèi)時”和“位于信任位置之外時”兩種情況分別配置不同的策略。在任何一種情況中，勾選需要啟用的功能，選擇之前配置的策略即可。信任位置用于配置信任位置的判斷條件，點(diǎn)擊“添加”可以添加網(wǎng)絡(luò)條件。 “驗(yàn)證網(wǎng)絡(luò)中是否存在核心服務(wù)器”也可以是判斷條件之一。2.2 安全策略分發(fā)2.2.1 隨客戶端安裝包安裝在制造代理配置時，進(jìn)入“安全和遵從性”“端點(diǎn)安全”，選擇需要分發(fā)給客戶端的端點(diǎn)安全配置。2.2.2 從服務(wù)器分發(fā)在“安全配置”界