終端安全管理方案概要課件

1、1.1. 終端管理標準化1.1.1. 何謂標準化通過對終端所面臨的問題和發(fā)展趨勢分析，我們可以逐漸獲得了一個共同的認識，那就是：一方面，終端的使用非常靈活，尤其是終端使用者由于其水平和習慣不同對終端進行了所謂個性化的配置，包括硬件、軟件、系統(tǒng)配置，這些靈活給管理和安全都帶來了很大的問題；另一方面，終端的分布廣和使用量大，直接加劇了使用靈活所帶來的問題，使得整個IT環(huán)境無法控制。因此，為解決這一被動局面，大家紛紛提出了終端標準化的思路，希望通過一系列的標準化來達到治理的目的，包括：· 管理制度流程標準化；· 硬件配置標準化；· 軟件使用標準化；· 系統(tǒng)配置

2、標準化；· 安全防護標準化；· 接入控制標準化；· 等等；1.1.2. 終端標準化技術1.1.2.1. 終端全面安全和主動防御長期以來，應對混合型威脅（混合型病毒）的傳統(tǒng)做法是，一旦混合型病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種方式曾一度相當有效，但近年來特別是近兩年多次影響世界的沖擊波、Slammer、Netsky、熊貓燒香等病毒，已經體現這種基于特征的被動式病毒響應方式效果不佳了。這一方面因為病毒的快速發(fā)展，另一方面更因為傳統(tǒng)防病毒技術采取被動跟蹤的方式來進行病毒防護。為了解決防

3、病毒軟件應對混合威脅型病毒的不足，眾多的防病毒廠商紛紛提出在原有防病毒的基礎上利用其他的防護技術達到主動防御的目的。這些技術包括：· 個人防火墻· 個人IDS/IPS系統(tǒng)· 應用程序控制· 內存防火墻· 補丁分發(fā)· 外設控制等1.1.2.2. 終端策略遵從和準入控制綜合的防護技術的使用確實提高了終端安全的防護級別，但是仍然無法從根本上解決安全問題，用戶逐漸發(fā)現發(fā)現他們的障礙在于所制定安全策略和執(zhí)行實踐之間存在非常大的鴻溝。因此業(yè)內提出了基于策略遵從的準入控制思想首先，制定終端使用策略，對所有接入網絡的終端進行策略完整性檢查，包括：&#

4、183; 病毒策略· 口令策略· 版本補丁策略· 共享策略· 軟件使用策略· 等等然后，對不符合策略的終端進行自動化的修復，使其符合策略；最后，對無法修復的終端采取不同的隔離手段進行隔離修復。終端準入控制的核心思想在于屏蔽一切不安全的設備和人員接入網絡，或者規(guī)范用戶接入網絡的行為，從而鏟除網絡威脅的源頭，避免事后處理的高額成本。1.1.2.3. 終端管理IT and Business Alignment19952000200320052006解決單方面的問題IT 生命周期管理服務導向管理ITIL管理復雜的管理環(huán)境Computing evolut

5、ion timeline2010 +從上圖可得知IT與業(yè)務發(fā)展整合目標下，IT管理經歷了多個階段：從簡單到復雜，從零散到規(guī)范。這個發(fā)展圖示為我們指明了IT管理的發(fā)展方向。終端管理也從單一解決終端某方面問題發(fā)展到全面的解決方案，例如以前有專門的操作系統(tǒng)部署、軟件分發(fā)和遠程控制的軟件，現在都有統(tǒng)一的管理系統(tǒng)和產品來提供，而且基于生命周期、以服務為導向提供全面的終端管理功能，包括：· 資產管理· 操作系統(tǒng)部署和遷移· 軟件和補丁分發(fā)· 備份恢復· 遠程維護· 安全管理· 性能監(jiān)控· 等等1.1.3. Symantec基于

6、生命周期的標準化管理解決方案套件Symantec公司經過多年的實踐與嘗試逐漸完成了終端標準化管理理念-基于終端生命周期的管理概念。同時，Symantec公司利用原有的防病毒產品SAV、終端安全產品SCS、策略遵從和準入控制產品Sygate，并切終端管理產品Altiris，形成終端標準化的解決方案Symantec Endpoint Protection（SEP）。SEP所提供終端標準化管理，經過”獲取”分配” ”運作”淘汰”四個環(huán)節(jié)：1、 獲取(Procurement) 階段：包含了采購、合同等環(huán)節(jié)2、 分配(Staging)階段：包含了安裝部署、分發(fā)等環(huán)節(jié)3、 運作(Production)階段

7、：包含了風險管理、業(yè)務連續(xù)性等環(huán)節(jié)4、 淘汰(Retirement)階段：包含了報廢處理、升級更新等環(huán)節(jié)在這四個環(huán)節(jié)中產生了各個階段的管理工作:”資產定義”合同管理”系統(tǒng)部署”軟件分發(fā)”漏洞掃描/安全管理” ”業(yè)務連續(xù)性” ”監(jiān)視/跟蹤” ”問題解析/管理” ”升級/遷移”。由此形成了一個完整的IT終端生命周期管理模型。如下：1.1.4. 技術產品選擇1.1.4.1. 終端安全模塊-SEP/SNAC11.01.1.4.1.1. 技術層面：主動防御從以上對新的惡意軟件發(fā)展趨勢和傳統(tǒng)的病毒防護產品的特性分析，不難看出，傳統(tǒng)防病毒技術由于采取被動跟蹤的方式來進行病毒防護。一旦病毒爆發(fā)，盡快捕獲樣本，

8、再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種被動的防護方式無法應對新的惡意軟件的發(fā)展。因此，必須從“主動防御”這一觀點出發(fā)，建立一個覆蓋全網的、可伸縮、抗打擊的防病毒體系。相對于被動式病毒響應技術而言，主動式反應技術可在最新的惡意軟件沒有出現之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃臃烙敝饕w現在以下幾個方面：基于應用程序的防火墻技術個人防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協(xié)議進出。利用個人防火墻技術，一方面可以防止病毒利用漏洞滲透進入終端，另一方面，更為重要的是，可以有效地阻斷病毒傳播路徑。以去年大規(guī)模

9、爆發(fā)的Spybot病毒為例，該病毒利用了多個微軟系統(tǒng)漏洞和應用軟件漏洞，企業(yè)可以在終端補丁尚未完全安裝完畢的情況下，通過集中關閉這些存在漏洞的服務端口，阻止病毒進入存在漏洞的終端。再以Arp木馬為例。正常的Arp請求和響應包是由ndisiuo.sys驅動發(fā)出，而arp病毒或者其他arp攻擊通常是利用其他的系統(tǒng)驅動偽造arp數據包發(fā)出。因此，通過在防火墻規(guī)則中設定，只允許ndisiuo.sys對外發(fā)送Arp數據包（協(xié)議號0x806），其他的全部禁止。從而，在沒有最新的病毒定義的前提下對病毒進行阻斷和有效防護。統(tǒng)一部署防火墻不僅可以解決以上這些安全問題，同時可以成為企業(yè)執(zhí)行安全策略的有力工具，實現

10、一些企業(yè)的安全策略的部署，如突發(fā)病毒爆發(fā)時，統(tǒng)一開放關閉防火墻相應端口。具備通用漏洞阻截技術的入侵防護通用漏洞利用阻截技術的思想是：正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進行攻擊。如果對一把鎖的內部鎖齒進行研究，便可以立即了解到能夠打開這把鎖的鑰匙必需具備的特征甚至不需要查看實際的鑰匙。類似地，當新漏洞發(fā)布時，研究人員可以總結該漏洞的“形狀”特征。也就是說，可以描述經過網絡到達漏洞計算機并利用該漏洞實施入侵的數據的特征。對照該“形狀”特征，就可以檢測并阻截具有該明顯“形狀”的任何攻擊（例如蠕蟲）。以沖擊波蠕蟲被阻截為例進行說明。當2003年 7 月 M

11、icrosoft RPC 漏洞被公布時，賽門鐵克運用通用漏洞利用研究技術，制作了該漏洞的通用特征。大約在一個月之后，出現了利用該漏洞進行入侵和蔓延的沖擊波蠕蟲。Symantec由于具備了賽門鐵克編寫的特征在網絡環(huán)境中能夠迅速檢測到沖擊波蠕蟲并立即阻止它。在前文對惡意軟件的發(fā)展趨勢中，我們分析了木馬、流氓軟件的一個最主要的傳播方式是利用IE瀏覽器的漏洞，當用戶瀏覽這些惡意站點時，利用IE的漏洞，攻擊者可以在用戶終端上悄悄安裝木馬、廣告/流氓軟件等。盡管惡意軟件的變種數量龐大，但實際上，惡意軟件安裝過程中利用的IE漏洞種類并不多。賽門鐵克運用通用漏洞利用研究技術，提前制作這些漏洞的通用特征。惡意軟

12、件若想利用這些漏洞進行安裝，必須具備特定的形狀，而賽門鐵克編寫的特征可以提前檢測到該形狀，從而對其進行阻截，避免了惡意軟件安裝到用戶終端上，從而根本無需捕獲該病毒樣本然后再匆忙響應。應用程序控制技術通過應用程序行為控制，在系統(tǒng)中實時監(jiān)控各種程序行為，一旦出現與預定的惡意行為相同的行為就立即進行阻截。以熊貓燒香為例，如果采用被動防護技術，必須對捕獲每一個變種的樣本，才能編寫適當的病毒定義。但是，該病毒的傳播和發(fā)作具有非常明顯的行為特征。熊貓燒香最主要的傳播方式是通過U盤傳播，其原理是利用操作系統(tǒng)在打開U盤或者移動硬盤時，會根據根目錄下的autorun.inf文件，自動執(zhí)行病毒程序。SEP系統(tǒng)防護

13、技術可以禁止對根目錄下的autorun.inf的讀寫權限，特別的，當已感染病毒的終端試圖往移動設備上寫該文件時，可以終止該病毒進程并報告管理員。再以電子郵件的行為阻截技術應用為例進行說明。首先，我們知道基于電子郵件的蠕蟲的典型操作：典型的電子郵件計算機蠕蟲的工作原理是，新建一封電子郵件，附加上其（蠕蟲）本身的副本，然后將該消息發(fā)送到電子郵件服務器，以便轉發(fā)到其他的目標計算機。那么，當使用了帶行為阻截技術的賽門鐵克防病毒軟件之后，防病毒軟件將監(jiān)視計算機上的所有外發(fā)電子郵件。每當發(fā)送電子郵件時，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，則將對附件進行解碼，并將其代碼與計算機中啟

14、動此次電子郵件傳輸的應用程序相比較。常見的電子郵件程序，如 Outlook，可以發(fā)送文件附件，但絕不會在郵件中附加一份自身程序的可執(zhí)行文件副本！只有蠕蟲才會在電子郵件中發(fā)送自己的副本。因此，如果檢測到電子郵件附件與計算機上的發(fā)送程序非常相似時，防病毒軟件將終止此次傳輸，從而中斷蠕蟲的生命周期。此項技術非常有效，根本無需捕獲蠕蟲樣本然后再匆忙響應，帶此項技術的賽門鐵克防病毒軟件已經成功的在零時間阻截了數十種快速傳播的計算機蠕蟲，包括最近的 Sobig 、Novarg和MyDoom。此外，基于行為的惡意軟件阻截技術，還可以鎖定IE設置、注冊表、系統(tǒng)目錄，當木馬或者流氓軟件試圖更改這些設置時會被禁止

15、。從而，即使用戶下載了未知的惡意軟件，也無法在終端上正常安裝和作用?；谛袨榈姆雷o技術非常有效，根本無需捕獲惡意軟件樣本然后再匆忙響應，利用此項技術可以成功的在零時間阻截主流的蠕蟲病毒，包括熊貓燒香、威金等。由于采用了集中的策略部署和控制，無須最終用戶的干預，因此不需要用戶具備高深的病毒防護技術。同時，基于行為規(guī)則的防護技術非常適合于主機系統(tǒng)環(huán)境，主機系統(tǒng)應用單一并且管理專業(yè)，采用行為規(guī)則的防護是對傳統(tǒng)防病毒技術的一個很好的補充。前瞻性威脅掃描Proactive Threat Scan是一種主動威脅防護技術，可防御利用已知漏洞的多種變種和前所未見的威脅。Proactive Threat Sca

16、n 基于分析系統(tǒng)所運行進程的行為來檢測潛在威脅的啟發(fā)式技術。大多數基于主機的 IPS 僅檢測它們認為的“不良行為”。所以，它們經常會將可接受的應用程序行為識別為威脅并將它們關閉，嚴重影響用戶和技術支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，Proactive Threat Scan 會同時記錄應用程序的正常行為和不良行為，提供更加準確的威脅檢測，可顯著減少誤報的數量。前瞻性地威脅掃描讓企業(yè)能夠檢測到任何基于特征的技術都檢測不到的未知威脅。終端系統(tǒng)加固事實上，確保終端安全的一個必須的基礎條件時終端自身的安全加固，包括補丁安裝、口令強度等。顯然，口令為空、缺少必要的安全補丁的終端，即使有再

17、優(yōu)秀的防護技術也不可避免地遭受到攻擊和病毒感染。為了彌補和糾正運行在企業(yè)網絡終端設備的系統(tǒng)軟件、應用軟件的安全漏洞，使整個網絡安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。建議集中管理企業(yè)網絡終端的補丁升級、系統(tǒng)配置策略，可以定義終端補丁下載，補丁升級策略以及增強終端系統(tǒng)安全配置策略并下發(fā)給運行于各終端設備上的代理，代理執(zhí)行這些策略，保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網絡的安全風險，提高企業(yè)網絡整體的補丁升級、安全配置管理效率和效用，使企業(yè)網絡的補丁及

18、安全配置管理策略得到有效的落實?；谔卣鞯牟《痉雷o技術最后，傳統(tǒng)的病毒防護技術僅僅作為主動防御的的一個必要補充，防御已知的病毒，對于已經感染病毒機器進行自動的清除和恢復操作。綜上所述，單純的防病毒產品都僅僅實現了基于特征的病毒防護功能，必須依靠其他的主動防御技術，才能有效地應對當前的惡意代碼威脅。1.1.4.1.2. 管理層面：終端準入控制在管理層面上需要實現兩個目標：“技術管理化”與“管理技術化”。技術管理化要求對以上這些安全技術進行有效的管理，使其真正發(fā)揮作用。通過統(tǒng)一、集中、實時地集中管理，構建堅固的技術保障體系。管理技術化體現在終端的策略和行為約束，把停留在口號階段的“三分技術、七分管

19、理”變成可操作控制程序，這就需要輔以技術手段，通過準入控制等技術把對最終用戶的管理要求真正落實下去。1.1.4.1.2.1. 什么是終端準入控制終端準入控制的核心思想在于屏蔽一切不安全的設備和人員接入網絡，或者規(guī)范用戶接入網絡的行為，從而鏟除網絡威脅的源頭，避免事后處理的高額成本。終端準入控制需要創(chuàng)建一個終端接入的可信尺度。對于來說，典型的策略是強制驗證操作系統(tǒng)補丁是否更新，反病毒軟件是否在運行及病毒庫是否更新，端點防火墻軟件是否在運行及被適當的配置。管理員也可以進一步執(zhí)行更多高級策略，檢查特定安全軟件或特殊安全配置是否存在。一旦策略創(chuàng)建完成，就有了在終端連入網絡時可參照的安全基線。它通過提前

20、的“準入掃描”，來確保終端可信狀態(tài)并授權。基于該基線評估結果，訪問控制（Access Control）授予該連接系統(tǒng)相應級別的訪問權限。例如，一個達標的系統(tǒng)將會獲得全部的網絡訪問權限。不達標的系統(tǒng)或者被徹底阻止，沒有任何的網絡訪問權限；或者為了減少對網絡的威脅（通常也為了修復），將授予該系統(tǒng)某一隔離級別的網絡訪問權限，并幫助恢復達到安全策略的要求。為了使終端準入控制真正有價值，修復過程必須自動化。換句話說，就是不需要求助技術支持小組，系統(tǒng)自動恢復到符合安全策略的要求。一旦系統(tǒng)經過隔離修復處理，被允許連接入網絡，就需要一種監(jiān)控技術確保這些系統(tǒng)保持達標的狀態(tài)，不要出現反常的情況。反常的系統(tǒng)必須被隔

21、離，直到它們被修復。綜上，網絡準入控制解決方案需要如下流程:1. 創(chuàng)建一個中央的安全策略視圖；2. 當一個系統(tǒng)或用戶連接入網時， 對其安全狀態(tài)進行評估；3. 一旦系統(tǒng)連接入網，對其安全狀態(tài)進行連續(xù)監(jiān)控；4. 基于系統(tǒng)狀態(tài)，執(zhí)行網絡訪問和系統(tǒng)修復策略。1.1.4.1.2.2. 終端準入控制的實現方法手動隔離手動隔離雖然不是自動化的隔離技術，但在管理實踐中卻是使用頻率最高的手段之一。通過創(chuàng)建一個隔離組，然后為該組分配特定的隔離策略。當通過人工方式判斷出一個終端處于高風險或者違規(guī)狀態(tài)時，將這個終端手動方式移動到隔離組中，即達到了隔離效果。這種方式下管理員不需要去定位交換機端口，并拔出網線。更加省時，

22、而且避免誤操作。本地隔離利用主機防火墻規(guī)則和智能切換的能力實現本地隔離。這種方式最易實現，不需要和網絡中其他強制服務器發(fā)生任何關系. 如果系統(tǒng)沒有通過主機完整性檢測, 將自動切換到一套隔離策略以阻斷網絡通訊然后開始執(zhí)行完整性恢復操作；局域網準入與隔離局域網的網絡準入控制系統(tǒng)可以和支持802.1X功能的交換機完成對用戶的接入認證；當用戶沒有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是安全檢查不合格時，局域網的網絡準入控制系統(tǒng)可以通知交換機將該用戶連接的交換機端口關閉，或者通知交換機將該用戶的端口VLAN切換到修復VLAN，強迫用戶完成安全修復后才將用戶切換回正常VLAN。邊界準入與隔離在用

23、戶通過IPSec VPN或、SSL VPN甚至是無線AP試圖連接到企業(yè)內網時，又或者是從企業(yè)的一個內部子網試圖訪問另外一個內部子網時，Symantec強制網關實時檢查這些用戶的安全性。只有安全性達標的用戶才能訪問強制網關后的局域網；當用戶透過強制網關設備進行網絡互訪時，用戶的訪問方式（應用，受訪資源等）也受到嚴格管理，非標準訪問方式被禁止使用；當對用戶的安全檢查不合格時，強制網關對這些用戶進行隔離操作，只容許訪問強制網關后的個別IP地址，用以提供對修復資源的下載訪問。同時客戶端根據策略配置要求對這些用戶終端作安全修復操作，直到強制網關確認合格后才予以放行。代理通知功能。對于那些連接到企業(yè)網絡又

24、沒有安裝Symantec客戶端軟件的用戶, 管理員可以使用Windows彈出消息通知他們需要安裝Symantec客戶端軟件；可以在進行邊界準入與隔離時首先允許所有用戶的通訊通過，但是記錄是否有用戶不符合的安全策略；當客戶端完全部署好之后, 就可以按照的安全策略來允許或阻止不符合策略用戶對內部網絡的訪問；當用戶試圖通過邊界網絡準入控制系統(tǒng)的認證時，如果邊界網絡準入控制系統(tǒng)檢查出用戶端沒有安裝安全客戶端軟件或者是用戶端的主機完整性檢測不合格，會把用戶的訪問請求重定向到一個企業(yè)內部指定的URL。管理員可以配置這個URL為企業(yè)的修復服務器網站或者是其他通告的網站。可以對指定IP地址的用戶作安全檢查，也

25、可以對指定IP地址的用戶進行放行，完全不檢查；DHCP IP獲取準入當非企業(yè)員工，或者是企業(yè)員工試圖通過有線局域網（如以太網），或者是無線網絡（802.11a、802.11b、802.11g）連接到局域網并試圖自動獲取IP地址時，網絡準入控制系統(tǒng)會首先檢查這些用戶的安全狀態(tài)，檢查合格者分配其一個正常地址范圍內的IP地址；不合格的用戶分配另外一個修復區(qū)域子網的IP地址，用戶此時只能去修復服務器執(zhí)行自己的主機安全修復操作，其余網絡訪問均受到限制。當修復操作全部完成之后，網絡準入控制系統(tǒng)才將該用戶當前的修復區(qū)域IP地址釋放掉，同時分配給其一個正常范圍內的IP地址，用戶此時的網絡訪問請求才被放行。1.

26、1.4.1.2.3. 終端準入控制的流程終端準入控制策略勾勒企業(yè)終端接入的安全基線，對于未安裝終端代理軟件或已安裝終端代理軟件但不符合安全策略要求(防病毒軟件、病毒特征庫升級、補丁、系統(tǒng)安全設置、違規(guī)軟件等)的終端，可以禁止其訪問網絡，或進行網絡隔離。終端準入控制流程包括：檢查基準安全策略、隔離控制與自動修復。檢查基準安全策略是根據進程、文件、注冊表等設置的檢查結果來判斷：l 用戶身份是否合法l 機器身份是否合法l 主機防火墻是否安裝并運行l(wèi) 防病毒軟件是否安裝并運行，病毒特征庫是否及時更新l 其他指定安全工具是否運行、及時更新l 操作系統(tǒng)關鍵安全補丁是否安裝l 操作系統(tǒng)安全配置是否妥當l 桌

27、面設置是否妥當l 是否感染特定病毒實體l 是否安裝重大違規(guī)軟件等隔離控制根據上述檢查結果，強制服務器和網絡設備以及客戶端聯動來決定：l 拒絕終端/用戶接入l 容許終端/用戶接入l 隔離終端/用戶（主機ACL隔離， VLAN隔離，授予隔離IP地址）l 限制終端/用戶訪問權限l 應用程序，遠程主機，時間，協(xié)議類型，端口等使用權限l 關鍵網段接入權限l 交換機接入權限l 無線網絡接入權限l 動態(tài)IP地址獲取權限l 互聯網訪問權限l 遠程網絡（VPN）接入權限l 域名解析權限l Web應用登錄權限（website，web mail，web OA，web CRM，web ERP etc）自動修復是在隔離

28、或限制接入的情況下，還可以通過自動修復來換回正常的網絡訪問權限。修復的內容包括：l 自動開啟IE，連接內部安全網站上相關的提示頁面l 自動分發(fā)病毒專殺工具l 自動升級病毒特征庫l 自動分發(fā)操作系統(tǒng)關鍵補丁l 自動糾正錯誤的系統(tǒng)配置l 分發(fā)并運行特定腳本l 終止指定進程l 停止或啟用指定服務l 遠程關機/重啟等1.1.4.2. 終端管理模塊-Altiris1.1.4.2.1. 資產信息管理模塊對于擁有大量客戶端的用戶，如何進行客戶端設備的資產管理，是用戶首先面臨的問題。用戶希望對所有的設備進行及時、準確的統(tǒng)計，并且盡可能準確了解所有客戶端設備的硬件配置以及軟件信息，以及時掌握資產的變化。當用戶需

29、要統(tǒng)一升級操作系統(tǒng)或應用系統(tǒng)時，希望能夠提供資產狀況報告，為升級費用提供科學的依據，如哪些設備需要增加硬盤，哪些設備需要增加內存，哪些不需要變化，哪些需要淘汰等等。Symantec的資產管理解決方案（Inventory Solution）可以幫您解決這些問題。Symantec Inventory Solution 設計用于滿足當前各種網絡環(huán)境的需要。它從任何實際地運行 Windows 32 位操作系統(tǒng)的計算機上收集全面的軟件和硬件數據。各種部署和數據集合選項確保 Inventory Solution 在任何環(huán)境下均可工作。為幫助您獲得最大投資收益，Inventory Solution 不僅限于

30、簡單的數據收集。通過提供基于 Web 的管理控制臺、針對關鍵信息發(fā)出警報的策略，以及專業(yè)質量的 Web 報表，Inventory Solution 包括了用于將清單數據轉變成有用信息的各種工具。Inventory Solution 提供 Windows 計算機中的全面清單，包括序列號、硬件清單、軟件審核清單、虛擬機，以及用戶/ 聯系人信息（通過 Exchange 配置文件）。Inventory Solution給用戶帶來的好處：· 資產準確統(tǒng)計，清楚了解公司資產配置· 資產監(jiān)控，自動、及時反映資產變化· 資產評估，為系統(tǒng)升級提供科學依據，節(jié)約升級費用·

31、提高了技術支持能力：當客戶端設備的使用者需要技術支持時，不再需要詢問具體的硬件配置和操作系統(tǒng)配置等信息，提高服務響應速度和解決問題的速度。· 提高IT管理水平：使用了Symantec解決方案，企業(yè)可以節(jié)約IT管理費用，并且使I T管理員從日常的軟件安裝、配置管理、系統(tǒng)安裝等繁雜的工作中解脫出來，從而可以將精力放在IT的高層管理方面。1.1.4.2.2. 系統(tǒng)部署、遷移管理模塊當企業(yè)購置新的客戶端時，IT管理人員會面臨大量客戶端的操作系統(tǒng)、應用軟件部署問題，這對于IT管理人員是一個相當大的工作量，需要花費相當長的時間。當企業(yè)對現有客戶端進行升級時，如果快速地把原有系統(tǒng)的所有信息遷移到新

32、的客戶端？當客戶端的操作系統(tǒng)進行升級時，如何快速地把原來的所有個性化設置進行遷移，保持用戶的使用習慣？針對這些問題，Symantec提供了非常有針對性的部署模塊(Deployment Solution)。Deployment Solution 集成了基于 Windows 的 Deployment Server 系統(tǒng)與基于Web 的 Symantec 解決方案與服務。針對特定站點或指定子網的 Deployment Server 系統(tǒng)包括用于本地計算機資源日常管理的 Windows 應用程序、工具和實用程序，還為您提供了Deployment Web Console，讓您能夠從 Web 瀏覽器執(zhí)行管

33、理功能。deployment solution的優(yōu)勢：· 減少新系統(tǒng)和應用的部署時間：當客戶擁有大量的客戶端設備，而且分布在不同的地域，在安裝操作系統(tǒng)和應用時，可以不用到每臺計算機上去工作，就能完所有計算機的部署。· 節(jié)約部署的費用：由于不需要出差到每個分支機構進行安裝和部署，因此可以節(jié)約費用。 · 減少系統(tǒng)和應用的升級和遷移的部署成本和時間· 提高IT管理水平：使用了Symantec解決方案，可以節(jié)約IT管理費用，并且使IT管理員從日常的軟件安裝、配置管理、系統(tǒng)安裝等繁雜的工作中解脫出來，從而可以將精力放在IT的高層管理方面。1.1.4.2.3. 軟件

34、分發(fā)和管理模塊Symantec Software Delivery Solution 為整個組織內的應用程序和更新提供了安全而節(jié)省帶寬的分布方式。Software Delivery Solution 支持來自單一基礎架構的 LAN、WAN 及遠程和移動客戶端，并提供高級的應用程序管理功能（例如應用程序自修復、沖突分析和其它正在開發(fā)的軟件管理功能）。Symantec Software Delivery Solution for Windows 允許您在運行 Windows 9x/Me/NT/2000/XP/2003 操作系統(tǒng)的計算機上定義軟件包、分發(fā)軟件包和運行程序。Software Deliv

35、ery 具有以下功能： 可根據從計算機收集到的數據來確定要對其執(zhí)行 Software Delivery 的計算機。根據硬件、軟件或最終用戶詳細資料，您可以很容易地指定接收 Software Delivery 作業(yè)的計算機組。 可以將 Software Delivery 任務（下載并部署軟件包）指定為必要或可選任務。您可以允許或禁止用戶運行 Software Delivery 任務。您也可以指定程序的到期時間，從而在指定日期之后不再部署。 網絡帶寬節(jié)流有助于將網絡沖突降到最低。這對遠程用戶特別有用。 在下載中斷的情況下，可以使用檢查點恢復功能恢復 Symantec Agent 計算機的軟件包下載

36、。這對遠程/ 撥號用戶特別有用。 Symantec Agent 客戶計算機中的無干擾性操作。 全面支持鎖定的 Windows NT/2000/XP/2003 環(huán)境，這意味著即時當前登錄用戶不具有計算機管理員的權限，Software Delivery 也可以在該臺計算機上安裝軟件。 本地支持 SMS 軟件包、集合、通告和狀態(tài)報告。 多種報表有助于分析和制定能動管理決策。通過Software Delivery Solution給用戶帶來的好處：· 簡化軟件安裝管理：altitiris解決方案中，系統(tǒng)管理員可以不用到每臺計算機上去工作，就能完成遠端計算機的軟件安裝。· 支持遠程軟

37、件分發(fā)，軟件安裝周期極大縮短：由于不需要出差進行軟件安裝，因此不再需要出差到每個分支機構，從而使軟件部署的時間縮短。· 支持遠程軟件分發(fā)，軟件升級非常方便 · 提高IT管理水平：使用了Symantec軟件分發(fā)解決方案，企業(yè)可以節(jié)約IT管理費用，并且使IT管理員從日常的軟件安裝、配置管理、系統(tǒng)安裝等繁雜的工作中解脫出來，從而可以將精力放在IT的高層管理方面。1.1.4.2.4. 補丁分發(fā)和管理模塊當今世界蠕蟲、病毒和特洛伊木馬越來越猖獗，每天都有大量的病毒產生和發(fā)作，您的企業(yè)是否有相應的應對措施？很大一部分蠕蟲、病毒和特洛伊木馬都是針對微軟的操作系統(tǒng)的漏洞實施攻擊，微軟幾乎每

38、5天就要發(fā)布一次安全補丁，您公司的計算機是否可以相應的快速實施安裝？您如何確認您的公司的每一臺計算機分別需要哪一些相應的補??？當您的企業(yè)擁有大量的計算機時，為每一臺機器安裝相應的補丁，是一個多么巨大的挑戰(zhàn)，您有什么好的解決方案嗎？Symantec Patch Management Solution解決方案提供針對上面問題的解決方案。Patch Management Solution 可以幫助您掃描計算機的安全漏洞，報告所發(fā)現的漏洞，并能夠自動下載和分發(fā)需要安裝的 Microsoft 安全修補程序。此解決方案能夠從 Microsoft檢查和下載特定修補程序，創(chuàng)建需要安裝特定修補程序的計算機集合，

39、并根據需要在相應計算機上安裝修補程序。Patch Management Solution 在分析、收集和分發(fā)操作系統(tǒng)和應用程序更新方面進行了功能改進。它包括一個集中式的可擴展軟件庫（用以存放各種操作系統(tǒng)、硬件和軟件供應商的修補程序）以及改進的安裝清單和特定軟件分發(fā)選項，并且與其他 Symantec 產品（如恢復解決方案）進行了集成。以下列出了一些重要功能： 擴展支持 提供對英語、德語、西班牙語、日語、中文及法語操作系統(tǒng)和應用程序的支持。 信息庫 提供每個軟件公告上的詳細信息（例如技術詳情、安全級別和可執(zhí)行文件的數目）。 軟件庫 無需管理員的介入，即可在分發(fā)軟件之前自動從供應商站點下載軟件。 修

40、補程序清單 用于確定受支持操作系統(tǒng)、應用程序及相關服務包的級別，以及是否已安裝某個修補程序。 改進的分發(fā)向導和定位功能 可以自動確定修補程序的安裝要求，并根據要求分配Notification Server 集合。 對安裝過程的全面控制 與 Qchain 集成，提供重新啟動控制以及方便的命令行選項選擇功能。1.1.4.2.5. 遠程控制和維護管理模塊用戶擁有的計算機數量越來越多，管理維護工作量大，服務水平和響應速度不能令人滿意，面臨的具體管理問題如下： · 辦公地點分散，系統(tǒng)管理員進行系統(tǒng)維護時往往需要花大量時間在路程上，不能及時響應服務請求。· 因為計算機操作者對業(yè)務軟件操

41、作不熟練或遇到技術問題，不能電話解決問題，需要上門服務。· 技術支持成本居高不下。· 技術培訓困難，工作量大。為解決如上問題，用戶通常需要聘用大量的IT維護人員，即便如此，在管理和維護上仍然是疲于奔命。而且因為通常是低水平、重復性工作，IT管理員也感覺到非常疲倦、枯燥。如何高效率、高質量、低成本提供技術支持及幫助，是客戶面臨的挑戰(zhàn)。Symantec carbon copy solution解決方案并不是一般的遠程控制應用程序，它可以通過Web瀏覽器進行遠程控制,而且其強大的管理特性為企業(yè)提供了一個遠程管理的工具。IT管理員利用Carbon Copy® 解決方案不用

42、到需要幫助的計算機設備前，就可以為計算機使用者提供培訓、故障判斷及解決、操作幫助等服務。1.1.4.2.6. 應用管理和測量Symantec應用管理模塊收集被Windows Installer (MSI)安裝的軟件信息，并且向Altiris Notification Server 報告。Windows Installer 代理幫助您為MSI軟件管理源路徑，定期（應用程序等）健康檢查，自動修復文件丟失損壞、文件非法改變或者注冊表出錯等故障。ü Windows Installer Agent 管理Windows Installer (MSI)軟件包的源路徑，自動獲取相關MSI應用軟件的詳

43、細配置信息，定期自動對MSI應用做健康檢查，自動修復文件丟失、文件非法改變、注冊表等故障！ü 注冊表設置 創(chuàng)建注冊表基線，運行依從性檢查，診斷注冊表非法設置。ü 檢查系統(tǒng)的正確性 為新的系統(tǒng)配置做快照，運行依從性檢查。ü 警報策略 如果系統(tǒng)依從性檢查失敗，將自動通知系統(tǒng)管理員或桌面支持人員。應用測量管理和控制軟件的使用情況和授權證書。與IT資產模塊一起使用，顯示軟件安裝在哪里，哪些軟件真正被使用及其使用頻率，利用該數據您可以收回沒有被使用的軟件授權證書,限制沒有價值的軟件的使用,確保環(huán)境的標準化,提高資源利用率,減少系統(tǒng)維護難度。ü 為用戶測定某軟件將來需要授權證書的真實數量ü 部署和配置變得更加容易ü 減少升級系統(tǒng)的硬件需求ü WEB報表，全面獲取有用數據ü 對于非法使用某關鍵應用軟件提供及時警報ü 拒絕使用某軟件：拒絕企業(yè)某些用戶使用某軟件，不