行业landesk管理解决方案

期货行业LANDesk安全管理

解决方案上海缔诚信息技术有限公司

随着信息化及网络技术的不断发展，计算机业务终端数量也在不断增加，由于计算机终端的违规操作，移动存储介质的违规使用等行为，导致计算机终端甚至整个网络里病毒、蠕虫泛滥，网络瘫痪，机密信息泄露的信息安全事件常有发生。行业背景LANDesk终端安全管理方案可以帮您单一控制台集中管理，在任何地方对系统进行管理从而降低成本及其复杂性。全面保障您所部署的系统的安全。自动完成并控制您的IT流程。集成您的服务台及系统管理功能。解决方案即时帮助公司管理IT软硬件资产主动收集资产及其变更报警，通过多种灵活的控制方式，从底层硬件到软件内部信息一千多种资源进行灵活地统计、查询、分析和报警。并能把所有资源通过查询形成多种格式报表，同时可以实现报表的定制，并能通过邮件发送到相关领导；形成IT资产标准化报告。高效地安装和维护用户公司各类应用软件通过多种方式进行文件的打包，程序包安装和卸载过程实现完全不需要与客户端交互。在分发的过程中实现静默安装或卸载，无需客户端使用者的参与，不影响当前客户端使用者的任何操作。同时由于使用软件的专利多播工具，使得分发软件占用的带宽非常少；形成软件部署标准化。LANDesk方案特点减少公司IT支持费用并提高远程支持的安全性。对于物理位置不在管理员身边的机器能及时通过远程桌面处理，远程操作流畅，能同时处理多部机器而不影响操作速度，达到收到客户保障即可处理故障的目的，使得故障处理过程时间大为减少；实现IT维护形式多花样，提升IT维护效率。提高公司终端安全性保证客户端趋势防病毒的部署率及病毒定义的及时性，定期审核客户端安全性，对不满足安全需求的终端进行修复；同时严格控制USB存储等外设的合法使用，并且对客户端的网络连接进行有效控制。LANDesk方案特点掌控局面了解资产的当前位置和用途,并可对其进行配置管理,掌握主动减少风险

保障终端的合法使用,加固终端安全，保障企业数据安全，通过端点安全模块对重点部门终端进行了行为控制，实现终端的标准化控制。降低成本降低IT维护成本,提高IT资产利用率，降低资产闲置率

明确责任配备有效的规章制度和管理流程,做出合理的IT决策提高绩效提高IT服务水平及用户满意度，提升IT整体服务管理水平管理目标

终端管理四个阶段第四阶段第三阶段第二阶段第一阶段标准化管理主动式管理统一控制台单独的工具混乱规范置后主动最终使IT成为业务系统

商业价值的体现案例分析

典型客户：

上海期货信息技术有限公司，用于运维中心所有运维终端的管理和控制。用户需求管控运维操作终端的可移动存储介质，只能使用经过公司授权的可移动存储介质，可移动存储介质数据的拷贝有记录，当使用非授权可移动介质时发出告警。管控运维操作终端应用程序使用，只能安装使用经过公司授权的应用程序，记录并拒绝不符合公司策略的应用程序使用。管控运维操作终端系统补丁更新，定期自动检测终端上补丁安装情况，及时地将最新安全补丁修复到目标设备，提供第三方的补丁安全性检测以及补丁依赖性及冲突性检测，支持问题补丁快速回退。用户需求管控运维操作终端安全脆弱性，定期自动扫描终端弱口令、匿名账户、Autorun程序、病毒、木马、服务等，并出具相应分析报告及修复方案管控运维操作终端外设使用，未经公司授权不得在运维终端上使用3G上网卡、光驱、软驱、1394、USB、火线、蓝牙等外设接口及设备，记录并拒绝非授权使用。管控运维操作终端基线配置，包括注册表修改防护、启动项防护、端口防护、文件及目录防护等。用户需求点解决桌面标准化：

上海期货信息技术有限公司主要使用了LANDesk来实现运维终端桌面标准化的管理和控制监控机和操作机。根据不同的客户端下发不同的策略：例如监控机相对操作机的策略就会相对较严格。实现桌面标准化后开机的界面：

这样可以配合LANDesk的一个LaunchPad来很好、很有效的管理客户端。把允许或是客户端只能运行的软件放到LaunchPad中。LANDesk服务器那边可以把LaunchPad设置成开机启动。又可以针对不同组的客户端电脑给LaunchPad中加入不同的软件。用户需求点解决用户需求点解决例如LaunchPad中可以加入一些工作时必用的软件，而其他的软件不加进去即可。

明细访问策略（防火墙策略）：上海期货信息技术有限公司使用了LANDesk防火墙策略来限制运维终端的网络访问：它主要实现仅允许某个或这某些运维终端访问特殊的IP段，甚至可以强化管理到只允许与某个或者某段IP的某个端口通信。这样做极大程度上提升了自己内部网络的安全。用户需求点解决运维终端软件白名单：只允许在白名单列表内的软件运行，除白名单外的软件，运维终端连安装都不行。还有不在白名单内的软件即使是一些绿色软件，LANDesk也可以有效的管理到，同样不能运行。而白名单这个列表的设置也不会花费大量时间，可以先把策略下发到各个运维终端上，先使用学习模式在运维终端上运行，在学习模式期间运维终端上运行过的软件会自动添加到服务器上的这样管理者只需检查列表内的软件是否都是与工作相关的软件。而学习模式的时间按照具体情况可以自己来设定。用户需求点解决设备管理：由于考虑到期货行业的资料安全性，不能随意的使用U盘拷进、出资料，所以管理好外接设备是相当重要的。可以针对是禁掉USB存储卷（也就是最常见的U盘、移动硬盘等），下发过策略的客户端上若是插上U盘LANDesk管理器会报出警告，这个U盘是不可用的。不过这里考虑到要是U盘都不能用的话，有些情况还是需要拷资料的，这里LANDesk服务器那可以通过添加U盘的序列号为例外，这样那个U盘就可以作为安全U盘使用了。用户需求点解决LANDesk其他功能点介绍18公司现状：终端数量多、分布广；对终端资产的统计缺少足够技术手段，同时IT人员无法迅速精确定位故障终端，影响了可疑事件的定位精度和响应速度。帮助了解当前所有计算机的资产信息，弥补固定资产报表的不足，并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。通过自定义表单管理员可以把人员信息和对应的IT资产数据关联起来，比如姓名、部门、工号、联系方式等，方便问题的快速定位终端资产管理效果展示：终端实名登记对终端进行设备、人员、部门及位置的统计、关联及定位对终端的软、硬件信息进行全面、及时地收集；诸如CPU,内存，硬盘空间、网卡等。效果展示：

终端资产审计21掌握企业某个应用软件的使用数量，可以知道当前软件的使用趋势，确保企业的软件使用符合许可。同时，针对例如聊天软件或游戏等影响企业工作的非合法软件，也可以通过应用程序拒绝来限制使用应用软件的使用，从而控制应用软件的非法使用；减少可能给企业带来的损失，强化企业制度，提高企业劳动生产率。软件应用管理公司现状：缺少对终端安装软件快速定位、统计以及控制的手段；对牵涉到敏感问题的软件许可无法通过技术手段进行监督。效果展示：非法软件部署情况对企业中部署的非法软件出具详尽报告；同时具体定位到人员、时间、软件信息。23公司现状：终端缺少统一手段进行补丁管理，各自终端各自管理，部分终端甚至即不进行补丁修复也不安装任何安全软件，处于“裸奔”状态，严重威胁到公司内部的其它终端。为企业终端提供最新的Windows补丁漏洞信息及补丁数据更新服务。并提供第三方的补丁安全性检测以及补丁依赖性及冲突性检测。定时自动对终端进行安全漏洞检测及补丁程序修复。由于终端应用比较复杂，不排除个别补丁程序可能会有冲突，通过LANDesk管理平台可以自动批量对这些已修复的补丁进行卸载。补丁更新及修补均采用专利流量控制技术，避免了对企业网络流量不必要的占用。终端补丁管理24LANDesk补丁管理器251.获取最新安全漏洞库2.本地安全威胁评估3.发送安全状态报告4.下载/验证补丁5.自动修补系统LANDesk补丁管理流程终端防病毒管理公司现状：企业使用防病毒系统；终端病毒、木马、广告软件等问题依然存在，威胁到终端的使用安全及数据安全；大量终端设备的管理员账户弱密码等安全隐患，会导致许多病毒及木马程序轻易破解、入侵。通过终端安全管理平台，对终端进行安全性分析；如检测终端弱密码，当用户登陆系统时提示用户设置密码，对终端账户进行安全加固。对终端进行防病毒软件汇总，了解哪些终端没有安装防病毒软件，通过平台自动为这些终端推送安装防病毒软件；同时为这些终端自动升级最新的防病毒定义对终端进行间谍软件（spyware）和广告软件（Adware）查杀，并提供免疫机制，进一步提高终端安全性，将终端安全的被动防御改为主动防御。27通过检验排出潜在的安全威胁：管理员组成员可用共享

来宾账号状态

Internet连接防火墙状态本地帐号密码

密码有效期

阻止匿名用户

InternetExplorer安全设置更多…安全威胁分析定期收集终端设备上防病毒软件的安装情况，以及病毒库的更新情况效果展示：

防病毒软件信息管理效果展示：终端安全加固检测终端安全隐患：如图检测管理员账户为空密码终端，并通过强制方式提醒用户设置密码；同时要求密码设置长度需要超过6位。30通过LANDesk环境感知功能，自动识别所在网络，当终端切换到非信任区域时自动采用相应策略，防止终端网络连接安全通过LANDesk防火墙功能自动防止终端对外网的非法连接。终端非法外联现状：需要防止用户随意切换网络连接，设置非法IP地址，使用3G网卡连接网络等行为。31网络信任/非信任区域

信任区域策略规则

外设策略

防火墙策略

主机行为策略非信任区域策略规则外设策略

防火墙策略

主机行为策略禁止通过3G上网卡外联禁止通过切换IP地址外联信任及非信任网络策略切换非法外联审计记录

客户挑战:非法外联环境感知非法外联控制

New!32LANDesk的解决方案

自动的桌面数据备份，你可以在映像部署后快速的恢复用户环境配置文件用户和应用程序设置用户数据制作及恢复镜像文件，镜像无关性保证你可以任何标准工具制作镜像并分发部署（GHOST，POWERQUEST等）PXE代理技术允许快速的裸机介质安装而不需要在每个子网内的专用服务器、启动盘或网络重配置操作系统部署向导引导IT管理人员完成整个操作系统部署和迁移流程驱动程序镜像无关性

其它：操作系统部署33其它：电源管理低碳