1、（安全生產）LAND終端 桌面安全管理通用解決方20XX年XX月多年的企業咨詢豉問經驗.經過實戰驗證可以落地機行的卓越管理方案，值得您下載擁有LANDesk終端桌面安全管理解決方案簡介藍代斯克（北京）信息技術有限 X公司2011年4月1 X公司簡介LANDeskX公司是業界領先的桌面設備，服務器和移動設備的管理和安全解 決方案提供商。自2002年從Intel拆分出來后，保持了 50%之上的高速增長。 其產品線以LANDesk管理套件為核心，擴展了補丁管理器、桌面安全管理套件、 系統管理器、服務器管理器、手持設備管理器等多個產品和插件。在企業網絡終 端設備的管理和安全防護領域提供了全面的解決方案

2、（見下圖）。LANDesk中國分X公司于2003年初在北京建立，當下在上海，廣州有辦 事機構。到目前為止已經發展成為具有研發，測試，銷售，市場等完整架構的營 運中心，員工共120多人，能夠為國內市場的用戶提供即時高效的服務和支持。 到目前為止，在銀行，電信，移動，聯通，交通，石化，傳媒、政府等領域擁有 眾多的用戶。中國分X公司也因為其100%的高速增長，成為全球繼北美，歐洲 和日本后新的戰略重心。2桌面管理解決方案簡介在現代企業環境下，壹個IT的管理部門需要花費大量的人力物力來維護企業 的計算機運行環境。同時，由于計算機設備的更新和變化，財務部門對企業的計 算機設備的管理和統計經常處于壹種無序

3、及手工統計的狀態，當設備更新頻繁 時，原本的設備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法 及時更新，從而造成設備管理的混亂仍會造成時間的遲滯，影響企業的運行效率,給企業帶來損失。如何解決這些痛苦的管理問題？您需要壹套高效和易于使用的 桌面管理解決方案。LANDesk管理套件通過以下功能模塊實現IT資產權生命周期的管理：資產管理軟硬件資產信息收集，動態掌握全網IT資產現狀可定義的資產變更警報，能夠全面監控客戶端的 IT資產和配置的變化，例如，客戶端的內存、硬盤的變化，以及 IP地址的變化等等，避免企業IT資產的流失。自定義資產數據收集，如部門、姓名等非IT信息全面的資產報告，集成

4、超過120種報表，且使用最新的自定義報告引擎,使創建自定義報表更加方便。便于資產統計、盤點。在工作組或域模式下，都能夠對終端的用戶和組進行管理。集成、易用的查詢工具 基于IP地址的網絡設備發現，能夠發現網絡中的所有設備，包括計算機、路由器、打印機、IPMI設備、iAMT設備等等，且自動分類及報警。特點和優勢全方位的IT資產收集，支持DMI、WMI、CIM等多種桌面管理標準,能收集到業界最全面的IT軟硬件資產信息。多平臺支持，增強企業桌面管理的全面性。設備管理可按管理員用戶自由分組，便于管理員管理。遠程支持幫助管理員對被管理設備進行遠程支持，減少大量的現場支持及電話支持工作，提高服務支持的響應速

5、度。集成多種桌面支持工具，包括：遠程控制、遠程對話、遠程文件傳輸、遠程執行、遠程重啟、遠程關機、遠程桌面畫圖等等?？筛鶕W絡帶寬憂化的遠程桌面支持，節省企業遠程支持費用。特點和優勢采用證書認證方式，保證遠程支持的安全性。采用客戶端授權方式遠程支持，保護客戶端不受非法控制。多安全機制及日志完善的遠程技術支持集成性，和其他桌面管理功能相結合組成完整的桌面管理解決方案。軟件分發向跨網絡的大批客戶端進行軟件（辦公及應用軟件）的遠程安裝或卸載;幫助企業進行軟件的統壹部署、升級、維護。支持應用軟件修復，使用戶的業務可持續運行。支持“推”和“拉”的倆種軟件分發方式。支持軟件分發的斷點續傳。支持任務完成代理，

6、保證任務執行的完整性。支持軟件分發向導，使軟件分發更加簡單。自帶軟件差異打包工具和腳本編輯工具。特點和優勢使用有目標多址廣播技術、對等下載技術、動態帶寬調整等專利技術，使得在復雜網絡環境達到最佳的分發效率和分發的成功率，同時對企業主干網絡影響最小。支持多種軟件分發格式，支持 MSI、SWD、WISE、EXE等多種軟件打包 格式。支持非Windows平臺的軟件分發，支持MAC、Linux平臺的軟件分發。Gartner的報告指出，藍代斯克自從 2002年9月從IntelX公司獨立出 來之后，就成為桌面軟件分發市場中最大的供應商（2005-5-20 ）軟件授權監視能夠統計且監控客戶端對指定軟件的使用

7、進行監控（累計使用次數、累計使用時間、上次使用時間）。幫助企業分析該軟件的使用頻率，使用時間進行統計分析，為以后更有效的進行軟件投資提供參考依據 能夠對企業使用的軟件許可證數量進行統計，避免企業被罰款的風險。禁止企業內部不符合企業規范的軟件的使用。特點和優勢支持對離線設備記錄軟件的使用頻率、使用時間，在設備連線后自動上 傳統計數據。自動統計企業全網軟件安裝情況，幫助企業內部維護許可證使用情況，可按全網或按部門統計許可證使用情況。支持給予進程的軟件禁用，即使用戶修改應用程序名，策略依然有效。操作系統分發和配置遷移對遠程客戶端進行硬盤映像的捕獲或部署，實現硬盤備份/恢復，支持多種操作系統映像分發格

8、式： Ghost、Image、PowerQuest等等。支持操作系統的配置遷移：從 Windows98/2000 向WindowsXP/2003遷移。用戶帳戶信息；應用程序設置，模板及關聯文件；桌面設置（MyDocs ;映射的驅動器；打印機；壁紙；屏幕設置等）。支持裸機的操作系統分發，可幫助客戶為批量裸機快速部署操作系統及應用程序。特點和優勢內建LANDesk自帶的操作系統Image工具，不需用戶額外投資。支持PXE代理技術，不需單獨的PXE代理服務器，支持對遠程裸機部署操作系統LANDesk應用程序虛擬化(插件)使用LANDesk應用程序虛擬化打包工具將要分發的 Windows應用軟件打 包

9、成單壹EXE文件，將打包好的EXE文件拷貝或分發到目標設備上?？蛻舻哪?標管理機上無需預先安裝任何軟件，不對目標機器的注冊表和文件系統有任何改 變，只要拷貝打包后得到的單壹的 EXE文件，就能夠直接運行要分發的應用軟件。LANDesk應用程序虛擬化，不像其它的解決方案,LANDesk應用應用程序 虛擬化不需要在客戶端或服務器上預先安裝任何軟件。虛擬化的應用軟件能夠從 任何設備上運行,例如本地、LAN,WAN,U 盤、光盤。虛擬化的應用軟件能夠在鎖定的 PC上完全的user模式下運行，無需安裝任 何驅動程序，使得管理員能夠維護壹個安全的、干凈的、穩定的桌面系統。使用應用程序虛擬化，能夠實現：應用

10、程序向MicrosoftVista 平滑遷移；讓每個應用軟件運行在各自的環境下，告別軟件沖突.能在同壹臺PC上運行相同應用軟件的不同版本將軟件運行需要的環境和應用軟件壹起打包 (Eg.NetandJava)在已鎖定的PC上在“ user ”模式下運行應用軟件減少軟件錯誤，減少支持成本減少軟件錯誤，提高客戶滿意度減少軟件安裝時間，軟件不再需要安裝 簡化安裝和維護流程，只需從服務器復制壹個檔加快應用軟件部署，簡化測試3桌面安全解決方案簡介當下的企業網絡環境常常處于不安全的網絡環境中，網絡上病毒層出不窮，“振蕩波”病毒余毒未滿，新的病毒又接踵而至，而這些病毒的特點又是主要攻擊操 作系統和應用程序，企

11、業已經部署的企業級防病毒軟件和企業防火墻對這種病毒 又無能為力，只能通過給操作系統和應用程序打補丁的方式才能解決，而通過手 動方式給企業眾多的終端打補丁有時壹個費時費的過程，且且消耗企業大量的資 源，最終結果卻不壹定能取得滿意結果。通過LANDesk安全套件能夠為企業建立壹個全面的桌面安全解決方案，保證企 業的重要業務正常持續的運轉。補丁管理全面的客戶端漏洞評估，幫助管理員全面了解客戶端操作系統和應用程序的漏洞情況。支持漏洞定義包括以下操作系統：? Windows95/98/ME/NT/2000/XP/2003;? IBMAIX;? HP-UX;? SUNSolaris;? AppleMaci

12、ntosh;? RedhatLinux;SUSELinux;支持漏洞和補丁語言版本：簡體中文、繁體中文、英語、法語、德語、 日語等共18種語言版本。支持產品：?微軟 X 公 司 應 用 軟 件：Office,Access,Word,Excel,PowerPoint,Outlook,Visio,FrontPage,Exchange,IE,IIS,SQLServer,MSDE,WindowsMediaPlayer等? 其他操作系統廠商產品：舊M,HP,SUN,Apple,Redhat,SUSE?第三 方 軟 件 廠 商 產 品 ：Yahoo!Messenger,Winamp,AcrobatRead

13、er,RealNetworksRe alPlayer,FlashPlayer,Firefox? 微軟X公司產品安全隱患（微軟X公司公布的產品安全隱患，微 軟僅提供修改的指導意見沒有補?。? 第三方安全廠商定義：SANSTop20通過自動化的配置，可實現客戶端補丁的自動修復。補丁修復歷史紀錄，是管理員了解客戶端補丁的安裝和修補狀態。可卸載已安裝的補丁。強大的自定義漏洞定義接口，使用戶能夠將自己的應用程序的補丁也能夠納入LANDesk補丁管理器的管理。支持補丁的遠程修復，實現補丁的全生命周期的管理。特點和優勢由LANDesk負責跟蹤、測試、發布最新的補丁，驗證補丁包和提供可靠的分析及沖突檢測。完善

14、的安全漏洞信息統計及報表，支持自定義報告打補丁方式靈活（計劃/策略/自動修復）和管理套件完全集成，利用管理套件中的先進的軟件分發技術，能夠快 速的部署分發補丁，保證補丁分發的成功率和效率，同時對企業正常的 網絡傳輸影響最小。（使用應用策略管理、有目標的多址廣播和對等下載 技術高效的部署補?。┓啦《拒浖《敬a管理支持業界主要防病毒軟件的病毒定義，包括： Symentec、TrendMicro、 Macfee , Sophos。自動掃描客戶端的防病毒軟件病毒定義代碼，能夠對沒有最新防病毒代 碼的客戶端，自動升級客戶端的防病毒代碼。遠程打開防病毒軟件實時防護。桌面防火墻管理能夠統壹管理客戶端的桌面

15、防火墻配置，使配置企業的網絡應用更加方便。（WinXP 和 Windowsserver2003 ）功能：打開或關閉防火墻；打開指定的端口或程序。安全威脅分析掃描網絡中所有客戶端可能受到的安全威脅，例如，客戶端是否設立空 共享、是否弱口令、防火墻狀態、管理員組成員等等。藍代斯克更新更新藍代斯克客戶端程序、控制臺程序。軟件禁用預定義的軟件列表，是管理員方便定義企業的應用程序使用策略，禁止非法軟件的使用。可擴充的軟件定義列表，方便企業定義自己的軟件禁用列表。間諜軟件檢測和排除支持對客戶端是否被間諜軟件感染進行掃描和檢測。間諜軟件的排除，同時可修復文件和注冊表?？蛻舳碎g諜軟件排出后，可對該間諜軟件免疫

16、。實時間諜軟件防護。設備外設控制禁用客戶端USB端口（可允許USB 口鍵盤、鼠標、打印機、掃描儀、手持設備、或其他特定設備正常使用）禁用客戶端的光驅、軟驅、用/且口、無線、藍牙、PCMCIA ,卷等設備。對USB和CD/DVD刻錄機設置為只讀對USB存儲設備設置為加密存儲主機入侵防護系統當下，單單部署防火墻和反病毒解決方案已經不夠安全了。為了積極主動地應對變本加厲地變化著的安全威脅，LANDesk推出主機入侵預防系統，這是壹 個基于行為的安全監控、警報和糾正解決方案。和傳統的反病毒軟件相比，基于 主機的入侵預防系統（HIPS）更勝壹籌，不僅能夠根據系統行為來保護計算機， 仍能夠防范越來越多的零

17、日威脅、rootkit和其他惡意軟件。和許多反病毒及反問諜軟件解決方案所采用的基于特征的掃描技術不同，LANDesk主機入侵預防技術且不單純依賴原先存在的特征和模式文件來識別惡意軟件，而是利用了基于規則的技術來分析網絡流量和機器行為，從而能夠根據由安全及IT管理員設定的預 定義規則來識別異常情況和違反安全政策的事件。同時使用藍代斯克 HIPS能夠 實現嚴格且自適應的軟件白名單，幫助管理員實現嚴格的軟件管理。LANDesk客戶端信任訪問（插件）預先定義企業的安全策略，當不符合企業安全策略的客戶端嘗試訪問企業網絡時，禁止客戶端接入企業網絡?？稍O立企業安全策略服務器，當不符合企業安全策略的客戶端存在

18、時，可對其進行修復，使其符合企業的安全策略。支持CiscoNAC技術實現客戶端信任訪問，使企業網絡更加安全（需要CiscoNAC 路由器）。支持LDDHCP技術實現客戶端信任訪問，不需要額外的網絡硬件支持?；?02.1x的解決方案。LANDesk802.1x 解決方案是基于802.1x的解決方案，需要支持802.1x的設備?；贗PSEC的解決方案。LANDeskIPSec解決方案是純軟件的解決方案， 無需硬件支持，也不需要改變客戶現有的網絡架構。所有已通過遵從性 規則驗證的機器將獲得正式證書及健康策略，通過IPSec建立信任關系互相能夠正常通訊；沒有通過遵從性規則驗證的機器將獲得偽證書及非

19、 健康策略，不能和其他設備通訊。LANDeskAV （插件）和在安全套件中的LANDesk防病毒檢測聯動功能不同，LANDesk仍專為 企業級用戶設計了具有和其他 LANDesk管理工具緊密集成的獨立的防毒產品解 決方案，作為LANDesk管理套件和LANDesk安全套件的功能插件形式，核心 技術采用的是業界領先的防病毒廠商“卡巴斯基”殺毒引擎，為用戶提供壹個可 集中控制的安全病毒檢測、防護平臺。采用LANDesk防病毒軟件的優勢：世界領先的防病毒技術支持具有單壹控制臺、單壹客戶端，和 LANDesk解決方案高度集成。保護企業關鍵數據及業務應用，為企業及員工提供更安全的辦公生產環境，降低病毒爆

20、發帶來的安全風險。采取網絡型集中控制式的防病毒管理模式，管理員在中心控制臺統壹配 置防護策略，防止因為最終用戶隨意更改策略帶來的安全隱患。為企業節省大量的時間，自動化的防病毒體系的建立。和LANDesk其他解決方案聯動帶來的額外價值，比如安全準入技術可 防止中病毒的終端進行自動網絡隔離等。4產品架構單壹服務器部署架構網絡拓撲圖節點說明核心服務器：管理域的中心。補丁管理器的所有重要文件和服務都位于核心服務器中。壹個管理域只有壹個核心服務器。控制臺：主要的LANDesk管理套件控制界面。核心數據庫：對于每臺核心服務器，補丁管理器都需要壹個數據庫；如果 有多臺核心服務器，則能夠使用壹個核心匯總數據庫

21、來匯總這些核心服務 器的數據?？蛻舳耍核诰W絡中裝有LANDesk代理的臺式機、服務器、筆記本電腦 或手持設備。壹臺核心服務器能管理多達10000個客戶端。大型網絡往往 需要多臺核心服務器。支持客戶端包括：? Windows95/98/ME/NT/2000/XP/2003/Vista;? IBMAIX;? HP-UX;? SUNSolaris;? AppleMacintosh;? RedhatLinux;? SUSELinux;管理模式介紹在該種模式下，只有唯壹的核心服務器管理全網所有客戶端，管理的客戶端規模上限為10,000臺。該核心服務器通過連接到internet上的LANDesk安全 內

22、容網絡服務更新安全內容。該核心服務器上能夠連接壹個到多個管理控制臺進 行分級管理，如上圖所示。所有的管理數據統壹保存在核心服務器后臺的數據庫 中。該種方式的實現特點是架構簡單，易于部署和管理。比較適用于企業網絡連 接比較正規，管理模式比較簡單，帶寬資源比較豐富的環境。管理角色劃分基于角色的管理是 LANDesk管理軟件中壹個強大的功能。管理員（具有 LANDesk管理員權限的用戶）能夠創建多個操作員，且且為操作員設立管理權 限和管理范圍，實現分級的管理下表列出了壹些管理角色、用戶要執行的常見任務，以及用戶要有效行使該角色的職責所需的權限。角色任務所需的權限管理員配置核心服務器，安裝附加控制臺，

23、執行數據庫匯總，管理用戶，配置警報等功能LANDesk管理員（意味著擁有所有權限）資產管理員搜尋設備、配置客戶端、運行清單掃描器、創建和分發自定義數據表單、啟用清單歷史記錄跟蹤“不受管的設備搜尋”和“公共查詢等。管理”補丁及安全管理員安全漏洞更新、補丁的下載及分發、使用定向多播和對等下載、啟用應用程序策略管理等補丁管理報告管理員運行預定義的報告、 創建自定義報告、 打印報告、導入和導出報告、測試用戶報告等報告（所有報告都必需）系統維護LANDesk桌面管理軟件支持多種模式的客戶端安裝方式， 無論是在工作組模 式或域管理模式下，LANDesk桌面管理軟件均可方便的向 Windows2000 及之

24、 上平臺進行基于推送的直接客戶端安裝。同時支持以 Web或網絡共享模式的安 裝，安裝方式非常簡單。系統安全藍代斯克補丁管理器桌面管理軟件提供了增強的基于證書的安全加密模式以 防止未授權的控制臺遠程訪問客戶端，軟件傳輸以及其他遠程操作。LANDesk補丁管理功能充分考慮到數據的安全性特征。為確保數據傳輸安全，核心服務器 和客戶端之間采用了高達2048位的加密數據通道，由客戶端到核心服務器之間 采用了 1024位的HTTPS下載模式，為確保傳輸過程中文件不被非法篡改，所 有傳輸文件均采用MD5算法計算HASH值。止匕外，對資產數據的傳輸均采用壓縮傳輸，有效的避免通訊鏈路上可能存在 的通訊包泄密行為

25、核心服務器硬件推薦配置：環境硬件平臺建議配置：CPU : P4雙核3.0之上內存：4G之上硬盤空間：10GB之上，NTFS分區插入安裝光盤，或運行安裝目錄下的 Autorun.exe 。出現安裝界面:選擇要安裝的產品，例如選擇：管理套件+安全套件安裝程序自動檢查先決條件，需要滿足先決條件之后才能繼續安裝。檢查條件如下：操作系統MicrosoftWindows2003StandardServerMicrosoftWindows2003EnterpriseServerMicrosoftWindows2008R264 位ServicePackMicrosoftWindows2003:ServiceP

26、ack2.NETFramework.NETFramework1.1域控制器核心服務器不能安裝在域控制器上瀏覽器MicrosoftInternetExplorer6.0SP1或更高版本數據庫連接MicrosoftDataAccessComponents（MDAC ） 2.8或更高版本磁盤空間在系統驅動器上有 2G的可用空間至少在壹個驅動器上有 900MB的可用空間憑證管理員特權Web服務器InternetInformationServicesASP.NETIIS對ASP.NETvI.1腳本的支持LANDesk 代理壹定不能安裝舊版本的 LANDesk代理部分案例政府：國家勞動部（總部）/國家財政部（總部）/國家質監總局金融：中國建設銀行（全國）/中國人民銀行（全國）/友邦保險 電信：中國聯通（四川）/中國電信（陜西）/中國移動（黑龍江） 能源：中國石化（總部）/勝利油田傳媒：中央電視臺/北京電視臺/人民日報/解放日報/中國青年報制造：可口可樂（中國）/東芝（中國）軟件分發技術有目標的多址廣播技術LAN Desk的核心服務器使用有目標的多址分發有目標的多址廣播技術來自動發現適合作為域或子網代表的客戶端，且通過和域代表的點對點傳輸 來下載軟件包，且由域代表最