(安全生产)LAND终端桌面安全管理通用解决方案

1、LANDesk终端桌面安全管理解决方案简介蓝代斯克（北京）信息技术有限公司2011年 4月LANDesk终端桌面安全管理解决方案1 LANDesk 方案提供商。自 2002 年从 Intel 拆分出来后，保持了 50%以上的高速增长。其产品线以 LANDesk LANDesk 中国分公司于 2003 年初在北京建立，现在在上海，广州有办事机构。到目前为止已经发展成为具有研发，测试，销售，市场等完整架构的营运中 120 前为止，在银行，电信，移动，联通，交通，石化，传媒、政府等领域拥有众多的用户。中国分公司也因为其 100%的高速增长，成为全球继北美，欧洲和日本后新的战略重心。第 2 页 共 1

2、9 页LANDesk终端桌面安全管理解决方案2 在现代企业环境下，一个 IT 的管理部门需要花费大量的人力物力来维护企桌面管理解决方案。LANDesk 管理套件通过以下功能模块实现IT 资产权生命周期的管理：资产管理功能 软硬件资产信息收集，动态掌握全网 IT 资产现状 可定义的资产变更警报，可以全面监控客户端的 IT 资产与配置的变化，例如，客户端的内存、硬盘的变化，以及IP 地址的变化等等，避免企业IT 资产的流失。 自定义资产数据收集，如部门、姓名等非 IT 信息 120 使创建自定义报表更加方便。便于资产统计、盘点。 在工作组或域模式下，都可以对终端的用户和组进行管理。 集成、易用的查

3、询工具 基于 IP 路由器、打印机、IPMI 设备、iAMT 设备等等，并自动分类及报警。特点与优势 全方位的 IT 资产收集，支持DMIWMICIM等多种桌面管理标准，能收集到业界最全面的 IT 软硬件资产信息。 多平台支持，增强企业桌面管理的全面性。 设备管理可按管理员用户自由分组，便于管理员管理。远程支持功能 帮助管理员对被管理设备进行远程支持，减少大量的现场支持及电话支持工作，提高服务支持的响应速度。第 3 页 共 19 页LANDesk终端桌面安全管理解决方案 集成多种桌面支持工具，包括：远程控制、远程对话、远程文件传输、远程执行、远程重启、远程关机、远程桌面画图等等。 可根据网络带

4、宽忧化的远程桌面支持，节省企业远程支持费用。特点与优势 采用证书认证方式，保证远程支持的安全性。 采用客户端授权方式远程支持，保护客户端不受非法控制。 多安全机制及日志完善的远程技术支持 集成性，与其他桌面管理功能相结合组成完整的桌面管理解决方案。软件分发功能 帮助企业进行软件的统一部署、升级、维护。 支持应用软件修复，使用户的业务可持续运行。 支持“推”和“拉”的两种软件分发方式。 支持软件分发的断点续传。 支持任务完成代理，保证任务执行的完整性。 支持软件分发向导，使软件分发更加简单。 自带软件差异打包工具和脚本编辑工具。特点与优势 使用有目标多址广播技术、对等下载技术、动态带宽调整等专利

5、技术，使得在复杂网络环境达到最佳的分发效率和分发的成功率，同时对企业主干网络影响最小。 支持多种软件分发格式，支持MSISWDWISEEXE 等多种软件打包格式。 支持非Windows 平台的软件分发，支持MACLinux 平台的软件分发。 Gartner 的报告指出，蓝代斯克自从 2002 年 9 月从 Intel 公司独立出来之后，就成为桌面软件分发市场中最大的供应商（2005-5-20）软件授权监视功能 可以统计并监控客户端对指定软件的使用进行监控（累计使用次数、累间进行统计分析，为以后更有效的进行软件投资提供参考依据。第 4 页 共 19 页LANDesk终端桌面安全管理解决方案 可以

6、对企业使用的软件许可证数量进行统计，避免企业被罚款的风险。 禁止企业内部不符合企业规范的软件的使用。特点与优势 支持对离线设备记录软件的使用频率、使用时间，在设备连线后自动上传统计数据。 自动统计企业全网软件安装情况，帮助企业内部维护许可证使用情况，可按全网或按部门统计许可证使用情况。 支持给予进程的软件禁用，即使用户修改应用程序名，策略依然有效。操作系统分发和配置迁移功能 /恢复，支持多种操作系统映像分发格式：Ghost、Image、PowerQuest等等。 支持操作系统的配置迁移：从Windows 98/2000 向Windows XP/2003迁移。用户帐户信息；应用程序设置, 模板及

7、关联文件；桌面设置（MyDocs 支持裸机的操作系统分发，可帮助客户为批量裸机快速部署操作系统及应用程序。特点与优势 内建LANDesk 自带的操作系统Image 工具，不需用户额外投资。 支持PXE 代理技术，不需单独的PXE 代理服务器，支持对远程裸机部署操作系统。LANDesk 应用程序虚拟化（插件）使用LANDesk应用程序虚拟化打包工具将要分发的Windows应用软件打包成单一EXEEXE要拷贝打包后得到的单一的EXE文件，就可以直接运行要分发的应用软件。LANDesk应用程序虚拟化，不像其它的解决方案, LANDesk应用应用程序虚何设备上运行，例如本地、 LAN, WAN, U盘

8、、光盘。虚拟化的应用软件可以在锁定的PC上完全的 user模式下运行，无需安装第 5 页共19 页LANDesk终端桌面安全管理解决方案任何驱动程序，使得管理员可以维护一个安全的、干净的、稳定的桌面系统。使用应用程序虚拟化，可以实现： 应用程序向 Microsoft Vista平滑迁移； 让每个应用软件运行在各自的环境下，告别软件冲突. 能在同一台PC上运行相同应用软件的不同版本 将软件运行需要的环境和应用软件一起打包 (Eg .Net and Java) 在已锁定的PC上在“user” 模式下运行应用软件 减少软件错误，减少支持成本 减少软件错误，提高客户满意度 减少软件安装时间，软件不再需

9、要安装 简化安装和维护流程，只需从服务器复制一个档 加快应用软件部署，简化测试第 6 页共19 页LANDesk终端桌面安全管理解决方案3 现在的企业网络环境常常处于不安全的网络环境中，网络上病毒层出不穷，的资源，最终结果却不一定能取得满意结果。通过 LANDesk 安全套件可以为企业建立一个全面的桌面安全解决方案，保证企业的重要业务正常持续的运转。补丁管理功能 全面的客户端漏洞评估，帮助管理员全面了解客户端操作系统与应用程序的漏洞情况。 支持漏洞定义包括以下操作系统： Windows 95/98/ME/NT/2000/XP/2003; IBM AIX; HP-UX; SUN Solaris;

10、 Apple Macintosh; Redhat Linux; SUSE Linux; 支持漏洞与补丁语言版本：简体中文、繁体中文、英语、法语、德语、日语等共 18种语言版本。 支持产品： 微软公司应用软件：Office, Access, Word, Excel, PowerPoint,Outlook, Visio, FrontPage, Exchange, IE, IIS, SQL Server,MSDE, Windows Media Player等 其他操作系统厂商产品：IBM, SUN, Apple, Redhat, SUSE 第三方软件厂商产品： Yahoo! Messenger, W

11、inamp, AcrobatReader, RealNetworks RealPlayer, Flash Player, Firefox 第 7 页 共 19 页LANDesk终端桌面安全管理解决方案提供修改的指导意见没有补丁） 第三方安全厂商定义：SANS Top 20 通过自动化的配置，可实现客户端补丁的自动修复。 补丁修复历史纪录，是管理员了解客户端补丁的安装与修补状态。可卸载已安装的补丁。 强大的自定义漏洞定义接口，使用户可以将自己的应用程序的补丁也可以纳入 LANDesk补丁管理器的管理。 支持补丁的远程修复，实现补丁的全生命周期的管理。特点与优势 由 LANDesk 负责跟踪、测试

12、、发布最新的补丁，验证补丁包和提供可靠的分析及冲突检测。 完善的安全漏洞信息统计及报表，支持自定义报告 打补丁方式灵活（计划/策略/自动修复） 与管理套件完全集成，利用管理套件中的先进的软件分发技术，可以快速的部署分发补丁，保证补丁分发的成功率和效率，同时对企业正常的技术高效的部署补丁）防病毒软件病毒代码管理 SymentecTrend 、Macfee，Sophos。 自动扫描客户端的防病毒软件病毒定义代码，可以对没有最新防病毒代码的客户端，自动升级客户端的防病毒代码。 远程打开防病毒软件实时防护。桌面防火墙管理 可以统一管理客户端的桌面防火墙配置，使配置企业的网络应用更加方Win XP 与W

13、indows server 2003） 功能：打开或关闭防火墙；打开指定的端口或程序。安全威胁分析 扫描网络中所有客户端可能受到的安全威胁，例如，客户端是否设立空共享、是否弱口令、防火墙状态、管理员组成员等等。第 8 页 共 19 页LANDesk终端桌面安全管理解决方案蓝代斯克更新 更新蓝代斯克客户端程序、控制台程序。软件禁用 预定义的软件列表，是管理员方便定义企业的应用程序使用策略，禁止非法软件的使用。 可扩充的软件定义列表，方便企业定义自己的软件禁用列表。间谍软件检测和排除 支持对客户端是否被间谍软件感染进行扫描和检测。 间谍软件的排除，同时可修复文件和注册表。 客户端间谍软件排出后，可

14、对该间谍软件免疫。 实时间谍软件防护。设备外设控制 禁用客户端 USB 端口（可允许 USB 口键盘、鼠标、打印机、扫描仪、手持设备、或其他特定设备正常使用） 禁用客户端的光驱、软驱、串/并口、无线、蓝牙、PCMCIA，卷等设备。 对 USB 和 CD/DVD刻录机设置为只读 对 USB 存储设备设置为加密存储主机入侵防护系统现在，单单部署防火墙和反病毒解决方案已经不够安全了。为了积极主动地应对变本加厉地变化着的安全威胁，LANDesk 推出主机入侵预防系统，这是一HIPS）更胜一筹，不仅可以根据系统行为来保护计算机，还能够防范越来越多的零日威胁、rootkit 谍软件解决方案所采用的基于特征

15、的扫描技术不同，LANDesk 主机入侵预防技则的技术来分析网络流量和机器行为，从而可以根据由安全及 IT 管理员设定的第 9 页 共 19 页LANDesk终端桌面安全管理解决方案 HIPS可以实现严格且自适应的软件白名单，帮助管理员实现严格的软件管理。LANDesk客户端信任访问（插件） 预先定义企业的安全策略，当不符合企业安全策略的客户端尝试访问企业网络时，禁止客户端接入企业网络。 可设立企业安全策略服务器，当不符合企业安全策略的客户端存在时，可对其进行修复，使其符合企业的安全策略。 支持 Cisco NAC技术实现客户端信任访问，使企业网络更加安全（需要Cisco NAC 支持 LDD

16、HCP技术实现客户端信任访问，不需要额外的网络硬件支持。 基于 802.1x 的解决方案。LANDesk 802.1x 解决方案是基于 802.1x 的解决方案，需要支持 802.1x 的设备。 基于 IPSEC 的解决方案。LANDesk IPSec 解决方案是纯软件的解决方案，无需硬件支持，也不需要改变客户现有的网络架构。所有已通过遵从性规则验证的机器将获得正式证书及健康策略，通过 IPSec 建立信任关系互相可以正常通讯；没有通过遵从性规则验证的机器将获得伪证书及非健康策略，不能和其他设备通讯。LANDesk （插件）与在安全套件中的 LANDesk 还专为企业级用户设计了具有与其他 L

17、ANDesk 管理工具紧密集成的独立的防毒产品解决方 LANDesk 管理套件与 LANDesk 的安全病毒检测、防护平台。采用 LANDesk 防病毒软件的优势： 世界领先的防病毒技术支持 具有单一控制台、单一客户端，与 LANDesk 解决方案高度集成。第 10 页 共 19 页LANDesk终端桌面安全管理解决方案 境，降低病毒爆发带来的安全风险。 采取网络型集中控制式的防病毒管理模式，管理员在中心控制台统一配置防护策略，防止因为最终用户随意更改策略带来的安全隐患。 为企业节省大量的时间，自动化的防病毒体系的建立。 和 LANDesk 其他解决方案联动带来的额外价值，比如安全准入技术可防

18、止中病毒的终端进行自动网络隔离等。第 11 页 共 19 页LANDesk终端桌面安全管理解决方案4 单一服务器部署架构网络拓扑图补丁管理器核心服务器LANDesk客户端PSTN路由器PCPCLAPTOPPC额外控制台额外控制台节点说明 的所有重要文件和服务都位于核心服务器中。一个管理域只有一个核心服务器。 控制台：主要的LANDesk管理套件控制界面。第 12 页 共19 页LANDesk终端桌面安全管理解决方案 核心数据库：对于每台核心服务器，补丁管理器都需要一个数据库；如果有多台核心服务器，则可以使用一个核心汇总数据库来汇总这些核心服务器的数据。 LANDesk 代理的台式机、服务器、笔

19、记本电脑或手持设备。一台核心服务器能管理多达10000 个客户端。大型网络往往需要多台核心服务器。支持客户端包括： Windows 95/98/ME/NT/2000/XP/2003/Vista; IBM AIX; HP-UX; SUN Solaris; Apple Macintosh; Redhat Linux; SUSE Linux;管理模式介绍在该种模式下，只有唯一的核心服务器管理全网所有客户端，管理的客户端规模上限为10,000internet上的LANDesk安全内较正规，管理模式比较简单，带宽资源比较丰富的环境。管理角色划分基于角色的管理是 LANDesk 管理软件中一个强大的功能。

20、管理员（具有LANDesk 管理员权限的用户）可以创建多个操作员，并且为操作员设立管理权限和管理范围，实现分级的管理下表列出了一些管理角色、用户要执行的常见任务，以及用户要有效行使该角色的职责所需的权限。角色任务所需的权限第 13 页 共19 页LANDesk终端桌面安全管理解决方案“ ” 和“ 系统维护LANDesk 桌面管理软件支持多种模式的客户端安装方式，无论是在工作组模式或域管理模式下，LANDesk桌面管理软件均可方便的向Windows 2000 及以上平台进行基于推送的直接客户端安装。同时支持以 Web 或网络共享模式的安装，安装方式非常简单。系统安全蓝代斯克补丁管理器桌面管理软件提供了增强的基于证书的安全加密模式LANDesk与客户端之间采用了高达 2048位的加密数据通道，由客户端到核心服务器之间采用了 1024 位的 HTTPS 下载模式，为确保传输过程中文件不被非法篡改，所有传输文件均采用 MD5算法计算 HASH值。此外，对资产数据的传输均采用压缩传输，有效的避免通讯链路上可能存在的通讯包泄密行为。附第 14 页 共 19 页LANDesk终端桌面安全管理解决方案核心服务器硬件推荐配置： 第 15 页 共 19 页LANDesk终