LANDesk管理員操作手冊（安全）(共19頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 LANDesk9.0功能使用手冊標準化管理員操作手冊目錄1 補丁管理1.1補丁下載補丁的下載需要服務器接入到公網(wǎng)中。打開服務器控制臺，進入“工具”“補丁程序和遵從性”，點擊“下載更新”按鈕。在打開的新界面中，左側(cè)為勾選需要的補丁種類，右側(cè)為語言選項。在 “下載修補程序”中，兩個選項的意思分別為：僅針對已檢測的漏洞定義：只下載客戶端缺少的補丁，首次下載的補丁為補丁列表信息，根據(jù)該信息判斷客戶端的補丁情況。針對所有已下載的定義：下載所有補丁，不會判斷是否確實需要這些補丁。點擊“補丁程序位置”標簽頁，檢查客戶訪問修補程序的路徑，建議配置將其中的主機名修改為IP地址。以上配

2、置完成后，點擊下載更新界面下方的“立即更新”或“計劃更新”按鈕，區(qū)別如下：立即更新：點擊后立即開始下載更新。計劃更新：點擊后建立計劃任務下載更新，可設(shè)置周期性運行自動下載更新。下載完成后，可以在下圖中看看到下載的補丁程序信息。1.2 補丁掃描與修復設(shè)置 新建補丁掃描和修復設(shè)置，打開 “修補程序和遵從性”界面，進入“設(shè)置”“我的設(shè)置”“掃描和修復設(shè)置”，在右側(cè)空白出點擊右鍵，選擇“新建”在打開的界面中進行配置。常規(guī)設(shè)置名稱：掃描和修復設(shè)置的名稱，方便記憶顯示進度對話框：客戶端掃描和修復時是否顯示進度，建議選擇“從不”掃描時CPU的使用率：掃描和修復補丁時的CPU占用控制掃描選項類型：選擇需要掃描

3、的補丁程序類型，建議使用默認選項啟用自動修復：對于選擇的補丁程序類型，當發(fā)現(xiàn)需要修復時即開始自動修復，建議勾選修復選項在修復、安裝或卸載修補程序之前：修復補丁時進行提醒的設(shè)置重新啟動已掛起：對于需要重啟設(shè)備才能修復的補丁無需重啟，建議勾選重新啟動選項決定是否重新啟動：補丁修復完成后是否立即重啟，建議選擇“從不重新啟動”1.3 漏洞修復方式1.3.1 自動修復漏洞建議使用自動修復漏洞方式。進入 “修補程序和遵從性”界面，可以查看到所有的補丁及其詳細信息。選擇需要修復的補丁，點擊右鍵選擇“掃描時自動修復”，則所選的補丁會在客戶端執(zhí)行補丁掃描時根據(jù)“掃描和修復配置”安裝補丁。1.3.2 對特定的設(shè)備

4、進行補丁修復該方式適用于單獨對少量設(shè)備的緊急補丁修復。在設(shè)備窗口右鍵點擊所選的設(shè)備，選擇“安全策略修補程序信息”。在彈出的界面中可以查看到該設(shè)備的補丁信息。點擊“所有已檢測到的定義”，右側(cè)界面會顯示這臺設(shè)備缺少的所有補丁。選擇需要修復的補丁，點擊右鍵選擇“修復”。在彈出的界面的中，對修復補丁的方法進行配置。作為計劃任務修復：使用計劃任務的方式來修復補丁，建議勾選。選擇要修復的計算機：可以控制要修復計算機的范圍 不添加任何計算機：不添加計算機到任務對象中，在計劃任務中手動添加，建議選擇 添加全部受影響的計算機：將所有缺少這個補丁的計算機自動加入到任務對象中 只添加選定的和受影響的計算機：將選定的

5、計算機和缺少這個補丁的設(shè)備加入到對象中。掃描和修復設(shè)置：選擇執(zhí)行這個補丁修復任務時的掃描和修復設(shè)置。1.3.3對特定的補丁執(zhí)行修復該方法適用于緊急修復某些特定的補丁。進入“修補程序和遵從性”界面，選擇需要立即給計算機修復的補丁，點擊右鍵選擇“修復”。在彈出的界面中進行配置，方法同“1.3.2對特定的設(shè)備進行補丁修復”。2 安全配置安全配置包含5種安全策略，包括：LANDesk Antivirus、Windows防火墻、主機入侵防護、LANDesk防火墻、設(shè)備控制。LANDesk Antivirus：LANDesk防病毒模塊Windows防火墻：集中控制Windows自帶防火墻。主機入侵防護：基

6、于主機的入侵防護模塊，提供防病毒之外的更嚴格的一層保護。LANDesk防火墻：功能與專業(yè)個人防火墻相同，可以通過控制臺集中控制策略。設(shè)備控制：計算機外設(shè)端口控制，可控制所有種類的計算機外設(shè)端口能否使用，對于USB接口的控制粒度更細，詳見“”。2.1 端點安全端點安全是主機入侵防護、LANDesk防火墻、設(shè)備控制3種安全策略的集合，這種做法增加了安全策略使用的靈活性和方便性。要使用端點安全需要先配置主機入侵防護、LANDesk防火墻、設(shè)備控制這3種安全策略，然后在端點安全中調(diào)用這些策略。2.1.1 主機入侵防護主機入侵防護是一種嚴格根據(jù)定義的策略保護計算機的功能，可實現(xiàn)基于學習的程序白名單、文件

7、和文件夾保護等功能，因為保護非常嚴格，所以定義策略時必須非常仔細，否則會造成操作系統(tǒng)的損壞或無法進入。因此這里根據(jù)測試環(huán)境（學習環(huán)境）和實施環(huán)境來分別提出配置方法。強烈建議在實施新的策略是依照范圍從小到大進行，即先在模型設(shè)備上使用，再小范圍使用，再全面推廣。進入“安全配置”“主機入侵防護”，右側(cè)窗口點擊右鍵選擇“新建”。在彈出界面中進行配置：常規(guī)設(shè)置名稱：策略名稱，方便記憶保護設(shè)置： 啟用主機侵入保護：啟用功能(請勿勾選使用緩沖區(qū)溢出保護！) 啟用白名單保護：勾選則啟用程序白名單功能。Wintrust：根據(jù)簽名自動允許相應的程序。執(zhí)行的操作：當發(fā)現(xiàn)違法策略時的處理措施。測試環(huán)境（學習環(huán)境）配置

8、：建議勾選“啟用主機入侵保護”，選擇 “自動允許來自這些供應商的簽名代碼”，其它不做更改。實施環(huán)境配置：除測試環(huán)境中的配置外，勾選“啟用白名單保護”。模式配置保護模式：自動：可以直接阻止未經(jīng)認證的程序運行自動學習期限：啟用后在學習時間內(nèi)的程序都加入認證白名單，超過學習時間后則自動轉(zhuǎn)為不認證新添加的程序，這些程序也不能運行。自動記錄期限：啟用后在選擇時間內(nèi)記錄策略沖突的日志。學習：通過學習來添加程序白名單，啟用后運行的程序自動添加，未運行的程序不添加到白名單中。僅記錄：僅記錄策略沖突日志，不做任何操作動作。阻止：阻止未經(jīng)認證的程序運行，但無日志。安全模型設(shè)備：通過添加安全模型設(shè)備來學習程序白名單

9、。測試環(huán)境（學習環(huán)境）配置：選擇“學習”模式，勾選“白名單（僅學習）”，添加設(shè)備模型，模型應該選擇安裝有典型程序的、必須程序的設(shè)備，且未安裝無關(guān)程序。實施環(huán)境配置：僅選擇“自動”模式，不勾選“自動學習”?？筛鶕?jù)情況選擇添加設(shè)備模型。文件認證經(jīng)過認證的程序列表，可查找那些程序經(jīng)過了認證，也可以手動添加。建議使用基于學習的白名單來自動添加認證文件。文件保護規(guī)則基于程序保護文件和文件夾，可以規(guī)定程序能對文件（文件夾）進行何種操作（修改、執(zhí)行、創(chuàng)建、訪問）。策略手動添加，添加策略應符合逐條添加，逐條驗證，通過后再添加下一條策略。程序在客戶端運行時，依照從上到下的策略順序進行檢測，符合策略則繼續(xù)檢測下一

10、條，不符合則根據(jù)規(guī)則阻止程序的操作。點擊“添加”可以新增一條文件保護規(guī)則，下面舉例說明：要求只有兩個程序zlhis+.exe和zlserstudio.exe能夠?qū):APPSOFT文件夾進行操作，其它的任何程序都不能進行操作。分析要求，可以發(fā)現(xiàn)需要兩條策略來實現(xiàn)：第一條， zlhis+.exe和zlserstudio.exe對d:APPSOFT文件夾有所有權(quán)限第二條， 其它全部程序?qū):APPSOFT文件夾沒有權(quán)限2.1.2 設(shè)備控制點擊“設(shè)備控制”，在右側(cè)窗口右鍵選擇“新建”。彈出的新窗口中，填寫名稱，勾選“啟用設(shè)備控制”。存儲卷：存儲卷：針對可存儲的卷做控制，可以選擇4種權(quán)限。對應每種權(quán)限

11、控制也可以做例外。CD/DVD驅(qū)動器：針對CD/DVD驅(qū)動器做權(quán)限控制。也可添加例外。加密選項：可以各家需要配置U盤的加密大小。通知最終用戶：可以是客戶端在禁用未授權(quán)設(shè)備時顯示一條消息。點擊“例外”，新彈出窗口可以根據(jù)多種條件添加例外設(shè)備。選擇 “總線類型”點擊“瀏覽”。硬件ID和卷序列兩個選項的使用在下一章節(jié)詳述。勾選選擇需要例外的總線類型，確定保存退出。接口設(shè)備：根據(jù)設(shè)備類型來統(tǒng)一設(shè)置訪問權(quán)限。接口：根據(jù)接口類型來統(tǒng)一設(shè)置訪問權(quán)限。例外：對以上兩種選項進行例外控制。卷影復制啟用后，當復制文件至U盤時，可以選擇“記錄下文件名”和“保存文件到本地緩存”。僅記錄事件：將復制文件的名字上傳到服務器

12、中，可以在“安全活動”中查看到。本地緩存：可以選擇將復制的文件另外復制到一個目錄中，以及對該目錄進行大小控制。被復制到本地緩存的文件，名字和后綴均被改動，需要結(jié)合“安全活動”中的信息查看。2.1.3 端點安全點擊“端點安全”，右側(cè)點擊右鍵選擇“新建”。在彈出窗口中進行配置。常規(guī)配置名稱：填寫名稱，方便記憶。使用位置感知：啟用后多出一個新的位置感知標簽頁，該功能能夠根據(jù)兩個不同的網(wǎng)絡(luò)環(huán)境判斷使用兩種不同的策略。管理員密碼：啟用后可以根據(jù)管理員密碼來控制客戶端相關(guān)功能的改變。安全策略啟用位置感知后會出現(xiàn)“位于信任位置之內(nèi)時”和“位于信任位置之外時”兩種情況分別配置不同的策略。在任何一種情況中，勾選需要啟用的功能，選擇之前配置的策略即可。信任位置用于配置信任位置的判斷條件，點擊“添加”可以添加網(wǎng)絡(luò)條件。 “驗證網(wǎng)絡(luò)中是否存在核心服務器”也可以是判斷條件之一。2.2 安全策略分發(fā)2.2.1 隨客戶端安裝包安裝在制造代理配置時，進入“安全和遵從性”“端點安全”，選擇需要分發(fā)給客戶端的端點安全配置。2.2.2 從服務器分發(fā)在“安全配置”界