LANDesk9.02LANDesk端点安全使用端点安全概述端点安全是一组工具和设置的组合,这些组件包括:›位置感知›主机侵入保护(HIPS)›LANDesk防火墙›设备控制(限制对存储、设备、接口的访问)这些功能都不能单独部署到客户端,需要通过端点安全设置将它们组合起来,统一部署到指定客户端。端点安全介绍1、配置端点安全设置选项›设置位置感知配置›设置主机侵入保护配置›设置LANDesk防火墙配置›设置设备控制配置2、针对受保护的目标终端设备,部署端点安全保护配置。›a、将包含端点安全的代理部署到目标设备›b、使用端点安全中安装或更改配置的计划任务,将端点安全配置推送到指定客户端。3、在客户端执行相应的策略。4、客户端安全活动上报及配置变更的上传/下载途径:›a、代理配置中设有更新策略,客户端会定时上传或自动更新。›b、在客户端执行安全扫描时,会自动上传或更新配置。›c、在控制台上使用计划任务,可以立即推送变更的配置。5、在控制台上可查看受保护设备的安全活动。端点安全工作流程端点安全设置在控制台中,点击“工具箱--安全和遵从性--安全配置”,进入安全配置窗口右击“端点安全”,然后单击“新建”,进入端点安全设置窗口。可去掉所有选项,设置一个空配置,单击保存。部署:›未安装通过“安装或更新”任务下发重新配置代理程序,替换目标终端的代理。›已安装可通过“更改设置”任务来部署到目标设备上也可出发客户端的安全扫描,将最新设置部署到客户端等待客户端定期自动到服务器下载最新设置配置部署端点安全设置名称:用唯一的名称来标识设置。使用位置感知:可以配置两套端点安全设置,以自动适应不同的使用环境。允许Windows服务控制管理器停止端点安全服务:允许最终用户停止客户端上的端点安全服务。管理员密码:对于配置为采用此“端点安全”设置的设备,指定所需的管理员密码,以便在受保护的设备上执行特定操作。显示通知区域图标:如果发生禁用操作,则会在最终用户设备上显示一则消息。显示冲突气球提示:如果发生禁用操作,则会在最终用户设备上显示一则消息。注:此消息在一定时间内只出现一次。LANDesk管理组中显示开始菜单快捷方式:在客户端的开始菜单的LANDesk组中,显示端点安全的快捷方式。设置为默认值:将此设置指定为使用端点安全的任务的默认设置。保存:保存所作的更改,并关闭该对话框。“常规设置”位于信任位置之内时:设备连接到信任网络时,要对其应用的组件设置。位于信任位置之外时:设备没有连接到信任位置时,要对其应用的组件设置。注:在您第一次使用部署端点安全时,此页面可先不选。在后面详细讲解每个功能时,逐个启用。例如配置完主机侵入保护配置后,在此选中“主机侵入保护”(如右下图示),并将其更新到客户端上。安全策略信任的位置:列出设置的信任位置。›导入:单击以导入核心服务器的子网范围。›添加:用于将信任的位置添加到列表。›编辑:用于修改选定的现有信任位置。›删除:删除选定的信任位置。验证网络中是否存在核心服务器:此选项为限制网络访问提供了额外的安全措施。›添加:用于将核心服务器添加到列表。›删除:删除选定的核心服务器。注意:如果您确信访问列表中的网络地址值得信任,或者希望不向核心服务器发送ping命令以减少网络流量,则可以清除此选项。信任位置客户端接口和用户操作›端点安全部署到受管设备后,可以通过开始菜单或系统任务栏图标访问客户端界面。›管理员密码保护:端点安全设置中可启用密码保护,可通过密码使用特定的客户端功能。系统任务栏图标:最终用户可以右击该图标,通过快捷菜单并选择以下功能:›打开:打开客户端界面。›选项:在控制台显示由管理员配置的选项(只读)。›安装软件:打开文件浏览器窗口,最终用户可以在此选择要运行的安装程序。›卸载:允许最终用户卸载其机器上的客户端。最终用户操作:客户端显示在一个包含以下元素的窗口中:›查看活动日志›查看控制台上由管理员配置的选项(只读)›在状态页上:查看端点安全状态信息、当前的运行模式以及客户端上发生的活动。更改运行模式(自动模式、学习模式、阻止)。›在程序页面上:查看正在运行的应用程序及其授权。›在启动页面上:查看并编辑系统启动项的内容。›在保护页上:查看程序的访问权限和文件夹保护。›在认证页上:查看具有特殊文件认证的程序。添加和删除文件认证。客户端上执行的操作主机侵入保护功能HIPS主动安全功能›提供内核级保护,阻止尝试修改机器上的二进制文件(或任何指定文件)或运行进程的应用程序内存的程序。它还可阻止对注册表某些区域的更改,并可以检测到rootkit进程。›采用内存保护,防止缓冲区溢出和堆溢出漏洞。›执行保护机制,防止攻击者在数据段内生成并执行代码。›监视未授权的或异常的文件访问。›提供计算机实时保护,而不依赖于病毒码数据库。LANDeskHIPS提供以下系统级安全性:›基于规则的内核级文件系统保护›注册表保护›启动控制›检测隐藏的rootkit›网络过滤›进程与文件/应用程序认证›限制可执行文件对特定文件所能执行的操作的文件保护规则HIPS概述支持以下操作系统:Windows2000SP2以上、Windows2003、Windows2008、WindowsXPSP1以上、WindowsVista、Windows7等。防病毒兼容:对杀毒软件兼容表示不会干扰防病毒进程,例如扫描、实时保护等。支持列表:›LANDeskAntivirus›Symantec*Antivirus(versions7,8,9,10.1,10.2)›McAfeeVirusScan(versions7.0,8.0,8.5i)›TrendMicro*PC-cillin(versions2005,2006)›TrendMicroOfficeScan(versions6.5,7.3)›TrendMicroServerProtect(version5.58)›CAeTrustInoculateIT(version6.0)›CAeTrust*Antivirus(versions7.0,7.1,8.0,8.1)›ESETNOD32*(version2.7)›目前新版还支持其它几款杀毒软件,具体可参考相关文档。LANDeskHIPS不受核心服务器或汇总核心服务器的支持,不应将LANDeskHIPS安装/部署到核心服务器或汇总核心服务器上。可将LANDeskHIPS部署到其他控制台中。支持的设备平台及要求在安全配置工具窗口中,右击主机侵入保护,然后单击新建。在“常规设置”页面中,输入HIPS设置的名称,然后指定常规要求和操作。在“模式配置”页面中,选择是实施HIPS自动阻止保护模式还是学习模式。在“文件认证”页面中,添加、修改或删除文件认证。在“文件保护规则”页面中,可添加、修改、删除文件保护规则或设置其优先级。HIPS包含了一组预定义(默认)的保护规则。在任何设置页面中,可随时单击保存来保存HIPS设置的配置选项,或单击取消在不保存设置的情况下退出该对话框。配置完成后,就可以在端点安全配置中直接选用这个HIPS配置,通过操作更新客户端的端点安全配置。创建HIPS设置常规设置常规设置名称:用唯一的名称来标识HIPS设置。保护设置:有两种类型的保护——HIPS和白名单。›启用HIPS:启用HIPS保护。允许所有程序根据预定义的保护规则运行(除非该程序的操作会威胁系统安全)›启用白名单保护:启用白名单保护。这意味着只有其文件认证启用了允许执行选项的应用程序才能运行。WinTrust:确定向经过数字签名的软件授权的方式。设置分为i不检查签名代码、自动允许签名代码、自动允许来自这些供应商的签名代码。执行的操作:确定当程序添加到设备的启动文件夹时执行的操作。此选项可为系统启动文件夹中的进程授权提供另一层防护。分为:警报和操作提示、仅在报告中记录但不发出警报、从启动删除、不报警。设置为默认值:将此设置指定为使用HIPS设置的任务的默认设置。ID:标识此特定设置。此信息存储在数据库中,并且可用于追踪每个设置。保存:保存所作的更改,并关闭该对话框。取消:关闭此对话框而不保存更改。模式配置主机侵入保护模式:指定受管设备上出现违反安全性的行为时的保护行为。›自动模式:自动禁用所有违反安全的行为(软件和系统修改)。换言之,您为特定文件创建的所有文件认证规则都将予以实施。使用学习/监视期限:在该期限内,将会学习/记录应用程序行为。注意:这两个时间期限选项会相继执行。换句话说,如果两个都选中,则首先运行自动学习期限,当其过期后会使用监视期限。›学习模式:允许所有违反安全的行为,但会记录并学习应用程序行为。›监视模式:记录但不禁用安全冲突。›禁用模式:阻止但不记录安全冲突。白名单模式:此栏的设置方法与主机侵入保护模式的设置相同。此项设置将限定终端可使用的应用程序名单。模式配置受信任文件列表谢谢!选择LANDesk,简化您的IT生活