LANDesk Security Suite

landesk

LANDesk Security Suite

本文件中含有的資訊為 LANDesk Software, Ltd. 及其附屬公司所有。本文件屬於機

密資訊,事先未經 LANDesk Software Ltd. 及其附屬公司 (以下簡稱「LANDesk」)

書面許可,不得擅自洩漏或複製本文件中的內容。

本文檔中的任何內容都不具任何明示或暗示的保證、擔保或許可。對於此類保證、

擔保和許可,LANDesk 不負擔任何責任,內含但不限於‥適合特定用途、適銷

性、不侵犯任何第三方或 LANDesk 的智慧財產權或其他權利、補償以及其他一切

保證。LANDesk 產品並非專為醫療、挽救或延續生命而設計。忠告讀者‥第三方

可能擁有與本文檔和在此討論的技術有關的智慧財產權;如果發生侵權行為,需要

訴諸法律解決,LANDesk 不負任何責任。

LANDesk 可以隨時變更本文檔以及相關的產品規範和說明,恕不另行知會。

LANDesk 對本文檔的使用不作任何擔保,對文檔中可能出現的錯誤不負任何責

任,也沒有義務要更新此處含有的訊息。

版權所有(C) 2005, LANDesk Software Ltd., 或其附屬公司。保留所有權利。

LANDeskLANDesk Software, Ltd. 或其所控附屬機構在美國和/或其他國家/地區

的註冊商標或商標。

* 其他品牌和名稱是其各自所有者的財產。


內容

LANDesk Security Suite 簡介.......................................................................................... 11

安裝 LANDesk Security Suite.................................................................................. 11

Security Suite 內容訂閱................................................................................... 12

瞭解 Security Suite 工具和功能.............................................................................. 12

其他功能........................................................................................................... 14

從何處取得詳細資訊....................................................................................... 14

使用安全性和 Patch Manager ......................................................................................... 15

安全性和 Patch Manager 概觀 ................................................................................ 16

新的安全性掃描和修補功能........................................................................... 16

安全性內容類型和訂閱................................................................................... 18

支援的裝置平台............................................................................................... 18

用安全性和 Patch Manager 進行以角色為基礎的管理 ................................ 19

瞭解與使用安全性和 Patch Manager 視窗 ............................................................ 20

安全性和修補程式管理工作流程........................................................................... 26

組態裝置進行安全性掃描和修補........................................................................... 27

組態 Windows 裝置進行安全性掃描 ............................................................. 27

代理程式組態中的其他安全性設定值........................................................... 28

組態 Linux 和 UNIX 裝置進行安全性掃描................................................... 29

組態 Mac OS X 裝置進行安全性掃描 ........................................................... 30

管理安全性和修補程式內容................................................................................... 30

瞭解安全性和修補程式內容................................................................................... 31

排程自動化安全性和修補程式內容更新....................................................... 33

檢視安全性和修補程式內容................................................................................... 33

使用篩選自訂項目清單................................................................................... 34

清除未使用的定義................................................................................................... 35

建立自訂定義和偵測規則....................................................................................... 35

建立自訂定義................................................................................................... 36

建立自訂偵測規則........................................................................................... 37

下載修補程式........................................................................................................... 40

下載相關的修補程式....................................................................................... 41

解除安裝修補程式................................................................................................... 41

從核心資料庫移除修補程式........................................................................... 41

使用 LANDesk 信任存取 ................................................................................................ 42

LANDesk 的兩種信任存取解決方案 ............................................................. 42

LANDesk 信任存取概觀 ......................................................................................... 43

符合性安全性原則........................................................................................... 43

瞭解基本的信任存取元件............................................................................... 45

基本元件與過程流程....................................................................................... 46

iii


內容

iv

Security Suite 必要條件................................................................................... 46

符合性掃描的支援裝置平台........................................................................... 46

以角色為基礎的 LANDesk 信任存取管理 .................................................... 47

瞭解兩種解決方案並選擇 LANDesk DHCP 或 Cisco NAC................................. 48

評估 LANDesk DHCP 解決方案..................................................................... 48

評估 Cisco NAC 解決方案.............................................................................. 48

選擇一種 LANDesk 信任存取解決方案 ........................................................ 48

使用 LANDesk DHCP 解決方案............................................................................. 49

設定 LANDesk DHCP 建置的快速入門工作清單......................................... 50

瞭解 LANDesk DHCP 元件與過程工作流程................................................. 51

LANDesk DHCP 信任存取建置的網路拓樸與設計注意事項...................... 57

在裝置上安裝 LANDesk 信任代理程式以啟用符合性掃描 ..................... 57

設定和組態 Posture 驗證伺服器..................................................................... 58

設定和組態修補伺服器................................................................................... 58

設定 LANDesk DHCP 伺服器......................................................................... 58

設定 LANDesk DHCP 建置之後應如何......................................................... 58

設定 LANDesk DHCP 建置的快速入門工作清單................................................. 60

設定 LANDesk DHCP 建置的快速入門工作清單......................................... 60

設定和組態修補伺服器........................................................................................... 63

修補伺服器必要條件....................................................................................... 64

確定伺服器在網路上的位置........................................................................... 64

在修補伺服器上建立 Web 共享目錄 ............................................................. 64

在控制台中組態(新增)修補伺服器........................................................... 65

下一步:向修補伺服器發佈修補基礎結構檔案........................................... 67

設定 LANDesk DHCP 伺服器................................................................................. 67

LANDesk DHCP 伺服器必要條件.................................................................. 68

確定伺服器在網路上的位置........................................................................... 68

在主 DHCP 伺服器上安裝 LANDesk DHCP 外挂程式 ................................ 69

安裝 LANDesk DHCP 伺服器軟體................................................................. 69

LANDesk 憑證檔案複製到 LANDesk DHCP 伺服器 .............................. 70

組態 LANDesk DHCP 伺服器................................................................................. 71

使用 LANDesk DHCP Manager 工具組態設定值與建立範圍 ..................... 71

使用範圍........................................................................................................... 74

新增裝置到態勢排除清單............................................................................... 76

重新啟動 LANDesk DHCP 伺服器................................................................. 77

使用 Cisco NAC 解決方案...................................................................................... 78

設定 Cisco NAC 建置的快速入門工作清單.................................................. 79

瞭解 Cisco NAC 元件與過程工作流程.......................................................... 79

Cisco NAC 建置的網路拓樸及設計注意事項............................................... 83

設定 Cisco 路由器 ........................................................................................... 83

設定 Cisco 安全存取控制伺服器 ................................................................... 83


內容

在裝置上安裝 Cisco 信任代理程式 以啟動符合性掃描 .............................. 84

設定和組態 Posture 驗證伺服器..................................................................... 85

組態 posture 驗證伺服器與 Cisco 安全 ACS 之間的連線 ............................ 85

設定和組態修補伺服器................................................................................... 85

設定 Cisco NAC 建置之後應如何.................................................................. 85

設定 Cisco NAC 建置的快速入門工作清單.......................................................... 86

設定 Cisco NAC 建置的快速入門工作清單.................................................. 86

設定和組態 Posture 驗證伺服器............................................................................. 89

Posture 驗證伺服器必要條件.......................................................................... 89

確定伺服器在網路上的位置........................................................................... 89

執行伺服器安裝程式....................................................................................... 90

在控制台中組態(新增)Posture 驗證伺服器.............................................. 90

下一步:向 Posture 驗證伺服器發佈符合性原則......................................... 92

組態 Posture 驗證伺服器與 Cisco ACS 之間的連線(僅限 Cisco NAC) . 92

組態符合性安全性並發佈信任存取設定值........................................................... 93

在安全性和 Patch Manager 工具中定義符合性安全條件 ............................ 94

定儀健全與非健全態勢................................................................................... 95

發佈信任存取設定值....................................................................................... 96

組態備用使用者憑證....................................................................................... 98

瞭解 HTML 頁面 ............................................................................................. 98

管理符合性安全性................................................................................................. 100

確保已啟用(開啟)信任存取服務............................................................. 100

使用「允許/限制存取全部」選項............................................................. 101

瞭解當安排連線裝置時將執行什麼作業..................................................... 102

檢視受影響的(不符合的)裝置................................................................. 104

修改並更新符合性安全性原則..................................................................... 104

新增不受管理的裝置至「不受管理的裝置探索工具」............................. 104

組態並檢視符合性記錄................................................................................. 105

產生符合性報告............................................................................................. 106

使用連線控制管理員..................................................................................................... 107

使用連線控制組態來限制網路存取..................................................................... 107

如果未連線,則允許連線到未列出的網路................................................. 109

使用裝置控制組態來限制 USB 裝置存取........................................................... 109

瞭解設定檔......................................................................................................111

未授權裝置處理方式......................................................................................111

可移除儲存裝置處理方式............................................................................. 112

組態進階 USB 設定值................................................................................... 113

偵測到未授權裝置/磁碟區時建立自訂訊息............................................. 114

組態在偵測到未經授權的裝置時執行的指令............................................. 115

組態警示................................................................................................................. 115

檢視未授權裝置清單..................................................................................... 115

v


內容

部署組態................................................................................................................. 116

疑難排解......................................................................................................... 116

啟動控制台..................................................................................................................... 117

啟用核心伺服器..................................................................................................... 118

關於核心伺服器啟用公用程式..................................................................... 119

手動啟用核心伺服器或驗證節點數資料..................................................... 120

啟動控制台............................................................................................................. 121

變更核心伺服器的連線......................................................................................... 122

使用控制台..................................................................................................................... 123

控制台概觀............................................................................................................. 123

瞭解網路檢視......................................................................................................... 124

建立群組................................................................................................................. 126

裝置圖示................................................................................................................. 127

檢視所有裝置群組中管理的裝置......................................................................... 129

快顯功能表............................................................................................................. 129

使用欄位集組態網路檢視..................................................................................... 130

建立欄位集..................................................................................................... 131

工具列選項............................................................................................................. 133

使用控制台工具..................................................................................................... 133

可停駐的工具視窗................................................................................................. 134

儲存視窗配置......................................................................................................... 135

尋找欄..................................................................................................................... 135

狀態列..................................................................................................................... 136

檢視裝置屬性......................................................................................................... 136

組態代理程式探索......................................................................................... 137

監視裝置的網路連線............................................................................................. 139

組態裝置監視警示......................................................................................... 139

使用支援 Intel® AMT 的裝置............................................................................... 140

Intel AMT 部署要求....................................................................................... 140

管理 Intel AMT 裝置...................................................................................... 142

Intel AMT 事件日誌....................................................................................... 142

Intel AMT 遠端啟動管理員........................................................................... 144

在 Intel AMT 裝置上強制進行漏洞掃描並停用網路存取.......................... 145

使用以角色為基礎的管理............................................................................................. 146

以角色為基礎的管理概觀‥................................................................................. 146

管理角色範例................................................................................................. 147

管理 LANDesk 使用者 .......................................................................................... 148

建立 LANDesk 使用者 .................................................................................. 148

新增 LANDesk 使用者 .................................................................................. 149

移除 LANDesk 使用者 .................................................................................. 150

管理群組................................................................................................................. 151

vi


內容

使用 Active Directories .................................................................................. 151

瞭解權限................................................................................................................. 152

建立範圍................................................................................................................. 158

建立範圍......................................................................................................... 159

為使用者指派權限和範圍..................................................................................... 160

組態服務......................................................................................................................... 162

利用一般設定值選擇核心伺服器和資料庫......................................................... 162

組態清單服務......................................................................................................... 163

解決在資料庫中重複裝置的資料................................................................. 164

組態 Scheduler 服務............................................................................................... 165

組態自訂作業服務................................................................................................. 167

組態多點傳送服務................................................................................................. 168

組態作業系統部署服務......................................................................................... 170

組態裝置代理程式......................................................................................................... 171

使用代理程式組態‥............................................................................................. 171

Management Suite 8.5+ 中的代理程式組態變更 ......................................... 171

建立代理程式組態......................................................................................... 172

使用進階代理程式......................................................................................... 173

在裝置上更新代理程式喜好設定................................................................. 174

建立獨立代理程式組態套件......................................................................... 174

代理程式安全性和信任憑證................................................................................. 175

多台核心伺服器共享密鑰............................................................................. 176

將信任憑證分發到裝置................................................................................. 176

在核心伺服器之間複製憑證/私密金鑰檔案 ............................................... 177

解除安裝裝置代理程式......................................................................................... 178

LANDesk Server Manager 和 LANDesk System Manager 與 LANDesk

Management Suite 一起使用 ................................................................................. 178

系統需求......................................................................................................... 179

安裝 Linux 伺服器代理程式................................................................................. 179

部署 Linux 代理程式..................................................................................... 180

手動安裝 Linux 代理程式............................................................................. 180

清單掃描程式指令行參數............................................................................. 181

Linux 清單掃描程式檔案.............................................................................. 182

控制台整合..................................................................................................... 182

必要的 RPM (版本 # 或更高版本) ............................................................... 183

使用資料庫查詢............................................................................................................. 186

查詢概觀................................................................................................................. 186

查詢群組................................................................................................................. 186

建立資料庫查詢..................................................................................................... 187

執行資料庫查詢..................................................................................................... 189

匯入和匯出查詢..................................................................................................... 189

vii


內容

使用 LDAP 查詢 ............................................................................................................ 191

關於目錄管理員視窗............................................................................................. 191

目錄窗格......................................................................................................... 191

預覽窗格......................................................................................................... 191

建立 LDAP 目錄查詢 .................................................................................... 192

有關輕型目錄存取協定 (LDAP) 的詳細資訊 ..................................................... 194

管理清單................................................................................................................. 195

清單掃描概觀......................................................................................................... 196

檢視清單資料......................................................................................................... 197

檢視清單摘要................................................................................................. 198

檢視完整清單................................................................................................. 198

檢視屬性的特性............................................................................................. 198

追蹤清單變更......................................................................................................... 199

組態清單變更設定......................................................................................... 199

檢視、列印或匯出清單變更......................................................................... 199

使用報告......................................................................................................................... 201

報告概觀................................................................................................................. 201

瞭解報告和報告群組..................................................................................... 201

執行和檢視報告..................................................................................................... 203

報告檢視器..................................................................................................... 203

發佈報告................................................................................................................. 204

發佈報告......................................................................................................... 205

共享發佈報告................................................................................................. 206

排程發佈報告................................................................................................. 206

透過電子郵件傳送報告................................................................................. 206

建立自訂報告......................................................................................................... 208

使用報告設計器............................................................................................. 208

使用報告範本................................................................................................. 211

匯入和匯出報告..................................................................................................... 212

建立 .CSV 檔案...................................................................................................... 213

使用指令檔和工作......................................................................................................... 214

管理指令檔............................................................................................................. 214

舊版 Management Suite 的使用者指令檔和工作擁有權變更 .................... 215

排程工作................................................................................................................. 215

使用排程工作視窗......................................................................................... 216

為工作指派目標............................................................................................. 218

工作執行時您看到的內容............................................................................. 221

監視工作狀態................................................................................................. 221

檢視工作日誌................................................................................................. 221

使用預設指令檔..................................................................................................... 222

組態本機 Scheduler 指令檔................................................................................... 222

viii


內容

瞭解頻寬選項................................................................................................. 223

使用軟體分發功能......................................................................................................... 224

軟體分發概觀......................................................................................................... 224

瞭解套件類型................................................................................................. 226

瞭解可用的傳送方法..................................................................................... 227

軟體分發核心伺服器元件............................................................................. 228

Management Suite 8.5 之前版本的使用者 ................................................... 228

設定傳送伺服器..................................................................................................... 229

組態用於軟體分發的 IIS 6 Web 伺服器 ...................................................... 231

分發套件................................................................................................................. 231

使用分發所有者和權限................................................................................. 233

關於檔案下載................................................................................................. 233

更新套件雜湊值............................................................................................. 235

在軟體分發中使用定向多點傳送................................................................. 235

關於位元層級檢查點重新啟動和動態頻寬調節功能................................. 237

將軟體分發至 Linux 裝置..................................................................................... 238

疑難排解分發失敗................................................................................................. 239

使用以原則為基礎的分發............................................................................. 239

關於以原則為基礎的管理..................................................................................... 240

組態原則................................................................................................................. 241

向應用程式原則套用範圍............................................................................. 244

使用者在他/她們的裝置上看見什麼 ........................................................... 244

使用不受管理的裝置探索..................................................................................... 245

探索不受管理的裝置..................................................................................................... 246

當 UDD 找到不受管理的裝置後將執行什麼作業...................................... 246

部署到不受管理的裝置................................................................................. 248

還原用戶端記錄............................................................................................. 249

管理本機帳戶................................................................................................................. 250

本機帳戶概觀......................................................................................................... 250

使用核心伺服器的本機帳戶......................................................................... 250

管理本機使用者............................................................................................. 250

管理本機群組................................................................................................. 251

將使用者指派至群組..................................................................................... 253

變更密碼......................................................................................................... 254

重設密碼......................................................................................................... 254

使用警示......................................................................................................................... 255

警示的工作方式..................................................................................................... 255

組態 AMS 警示動作 .............................................................................................. 256

組態警示動作訊息......................................................................................... 256

組態警示動作................................................................................................. 257

組態「訊息方塊」警示動作......................................................................... 258

ix


內容

組態「廣播」警示動作................................................................................. 258

組態「傳送網際網路郵件」警示動作......................................................... 258

組態「執行程式」警示動作......................................................................... 258

組態「寫入事件日誌」警示動作................................................................. 259

組態「載入 NLM」警示動作....................................................................... 259

組態「傳送呼叫訊息」警示動作................................................................. 259

組態「傳送 SNMP 陷阱」警示動作............................................................ 262

處理已組態的警示................................................................................................. 263

測試已組態的警示動作................................................................................. 263

刪除參數的警示............................................................................................. 264

將警示動作匯出到其他裝置......................................................................... 264

檢視 AMS 警示歷史記錄 ...................................................................................... 265

篩選警示歷史記錄顯示清單......................................................................... 266

檢視詳細的警示資訊..................................................................................... 267

刪除警示歷史記錄項目................................................................................. 267

將警示歷史記錄中的內容複製到剪貼簿..................................................... 268

附錄 D:其他安全性掃描器資訊................................................................................. 269

漏洞掃描器指令行參數................................................................................. 270

x


LANDesk Security Suite 簡介

LANDesk Security Suite 提供您在 Windows NT*、Windows* 2000/2003、Macintosh*

和 Linux* 網路上管理及保護裝置和資料所需的工具。

Security Suite 是以 LANDesk Management Suite 主要功能為基礎,讓您組態及管理

網路裝置,並新增與安全性相關的工具,如安全性和 Patch Manager,以及連線控

制管理員。增強的安全性和 Patch Manager 工具可以讓您掃描受管理的裝置,找尋

各種普遍存在的安全性風險,其中包括已知漏洞、Spyware、組態錯誤、未授權或

被禁止的應用程式,以及其他各種潛在危機。新的連線控制管理員工具可以讓您透

過網路連線和 I/O 裝置,監視並限制對受管理裝置的存取。

閱讀本章後,您將瞭解以下內容‥

• 安裝 LANDesk Security Suite

Security Suite 內容訂閱

• 瞭解 Security Suite 工具和功能

安裝 LANDesk Security Suite

LANDesk Security SuiteLANDesk Management Suite 都利用相同的安裝程式,在

您的核心伺服器上安裝必要的元件。與其他 LANDesk 軟體產品 (如 Management

Suite 和 Inventory Manager) 相同,當您以 LANDesk 帳戶資訊啟用核心伺服器以

後,就會在控制台中提供適用的 Security Suite 功能。如果您已取得 Security Suite

授權的帳戶,在登入控制台時,就會看到本指南中所描述的工具和功能。

如 《LANDesk Management Suite 安裝和部署指南》中所描述,要在異質網路中安

裝和部署像 LANDesk 管理軟體這樣全系統的應用程式,在執行安裝程式之前,需

要縝密思索安裝和部署方法,並進行周密的規劃。由於網路考量極其類似,而且產

品使用相同的安裝程式,您應該要參閱該指南,取得有關部署策略和各部署階段逐

步指示的詳細資訊,包括:設定管理網域、準備資料庫、安裝 LANDesk 核心伺服

器,以及組態裝置代理程式。(重要說明‥您必須牢記:該指南中所提及的某些

Management Suite 元件並不適用於 Security Suite 實作,如作業系統部署和彙總核心

伺服器。)

安裝了 LANDesk Security Suite 並以 Security Suite 授權啟用核心伺服器以後,可以

參閱本指南的各章節,取得啟動控制台及使用所提供工具的相關資訊,包括安全性

特定相關工具、安全性和 Patch Manager,以及連線控制管理員。

11


使用者指南

Security Suite 內容訂閱

LANDesk Security Suite 提供掃描和修正支援,用於數種不同類型的安全性風險,

包括所支援裝置平台上已知的作業系統和應用程式漏洞、Spyware、系統組態威

脅、未授權應用程式,以及其他種種。任何一種安全性風險都以其本身的定義檔案

來說明,檔案是由 ID、屬性和偵測規則細節組成 (適用時並加上修補檔案資訊)。

這些定義檔是以安全性和修補程式內容,從「LANDesk 安全性服務」透過下載提

供使用。

若要下載安全性和修補程式內容,必須有適當的 Security Suite 內容訂閱。有關

Security Suite 內容訂閱的詳細資訊,請連絡您的 LANDesk 經銷商,或造訪

LANDesk 網站。

本指南中「安全性和 Patch Manager」一章說明如何下載您有訂閱的內容。

瞭解 Security Suite 工具和功能

Security Suite 的定義工具稱為安全性和 Patch Manager。有關可用安全性內容類型

和所支援裝置平台的資訊,以及如何使用此工具來執行安全性掃描、修補程式維護

及修正、檢視掃描結果,以及持續設定系統安全性,請參閱使用安全性和 Patch

Manager。其他常用 LANDesk 工具也提供基礎裝置組態和管理功能。

LANDesk Management Suite 中的安全性和 Patch Manager 限制:

安全性和 Patch Manager 工具也是預設 LANDesk Management Suite 安裝的一部份,但您只能掃

LANDesk 軟體更新和您自訂的定義。若要掃描並修正其他安全性類型,必須有 Security Suite

內容訂閱。

LANDesk Security Suite 提供您下列工具,顯示在「工具」功能表中。(請注意,

這些工具裡有些在 Security Suite 授權啟動中有某些限制):

代理程式組態

建立自訂代理程式組態,以部署及安裝管理和保護網路裝置所需的必要 LANDesk

代理程式。這些代理程式是標準 LANDesk 代理程式 (其中包括清單掃描器、本機

Scheduler、頻寬偵測,與安全性和修補掃描程式)、軟體分發代理程式,以及軟體

授權監視代理程式 (用於應用程式阻擋)。

不適用於 Security Suite 的代理程式

以下元件/代理程式不適用於 Security Suite‥自訂資料表單、遠端控制,以及作業系統部署和設

定檔移轉。

12


列設定組態

LANDesk Security Suite 使用者指南

在控制台網路檢視中,自訂顯示裝置清單和查詢結果清單的清單資料。

連線控制管理器

透過網路連線和 I/O 裝置監視及限制受管理裝置的存取。您可以限制允許裝置連線

的網路 IP 位址,也可以限制允許存取裝置資料的裝置使用情形,像是連接埠、數

據機、磁碟機、USB 連接埠以及無線連線。

報告

產生並發佈各種各樣專門報告,提供有關受管理裝置的有用資訊,包括數個預先定

義的安全性和 Patch Manager 報告。

(下列報告類別不適用於 Security Suite:所有資產報告、所有 SLM 報告,以及所有

遠端控制報告。)

排定工作

建立和安全性與修補程式管理相關的排程工作,例如安全性掃描與修補工作。組態

工作的目標裝置與排程的時間選項。

(下列排程工作/指令檔類型不適用於 Security Suite:自訂資料表單、自訂指令檔、

掌上型裝置工作,以及 OSD/設定檔移轉指令檔。此外,分發套件與傳送方法工作

選項不能使用 Security Suite 組態。)

安全性和 Patch Manager

下載最新已知漏洞(和其他安全性類型)定義,以及與適當 Security Suite 內容訂

閱相關聯的修補程式。掃描受管理裝置,以及核心伺服器和控制台,進行

LANDesk 軟體更新。組態及執行自訂安全性評估掃描,找尋特定平台已知漏洞、

Spyware、系統組態安全性威脅,以及受阻應用程式。

自行建立自訂安全性定義來掃描裝置,搜尋特定的潛在威脅狀況。研究、訂定優先

順序、下載並部署和安裝修補程式。

建立並執行排程工作和原則,修正已偵測到的安全性威脅。

組態安全性掃描程式是否在掃描及修復處理過程中,於一般使用者裝置上顯示裝置

啟動選項和使用者互動程度。

檢視已掃描裝置詳盡的安全性和修補程式資訊。

產生安全性報告。

13


使用者指南

不受管理的裝置探索

在網路上尋找尚未提交清單掃描到核心資料庫的裝置。

使用者

新增 Security Suite 使用者,並根據使用者在網路中的管理角色,組態使用者對工

具和受管理裝置的存取權。利用以角色為基礎的管理功能,可以 (根據裝置群組、

查詢、LDAP 目錄,或自訂目錄) 指定範圍來決定使用者能檢視和管理的裝置;並

指派權限來決定使用者能執行的工作。Security Suite 提供使用的權限如下:安全性

和 Patch Manager、軟體分發、軟體分發組態、公用查詢管理、不受管理的裝置探

索和報告。

(下列權限不適用於 Security Suite:作業系統部署、遠端控制、資產組態、資產資

料項目,以及軟體授權監視。)

其他功能

除了出現在控制台「工具」功能表中的工具以外,Security Suite 也提供下列常用的

LANDesk 功能:

14

• 自訂控制台配置

• 裝置和查詢的網路檢視

• 裝置和查詢快顯功能表

• 清單

• 警示

• 服務組態

• 附加控制台

LANDesk Security Suite 不支援的自訂資料表單

自訂資料表單不可用於僅有 LANDesk Security Suite 的授權。要使用自訂資料表單功能,您必須

擁有完整的 LANDesk Management Suite 授權。

從何處取得詳細資訊

本指南其餘內容包含上文所述及與特定工具和功能相關的章節,以及有關瞭解及使

用控制台和網路檢視以管理裝置的資訊。請參閱本指南的目錄,尋找並閱讀適當章

節內容,以便更加瞭解這些功能。


使用安全性和 Patch Manager

LANDesk Security Suite 使用者指南

LANDesk 安全性和 Patch Manager 是很完整的整合式安全性解決方案,可協助您保

護受管理的裝置,不受各式各樣普遍盛行的安全性威脅侵犯。

安全性和 Patch Manager 提供您需要的全部工具,可以:從 LANDesk 安全性服務

更新一般常見的安全性和修補程式內容 (如漏洞、Spyware、組態安全性威脅,以

及未授權的應用程式),下載所需的修補程式,並在您的 LANDesk 受管理裝置上

組態及執行安全性掃描。您也可以自行建立自訂的定義。如果偵測到任何安全性威

脅,您可以使用安全性和 Patch Manager 來修補受影響的裝置。您隨時都可以檢視

已掃描裝置的詳細安全性和修補程式資訊,並產生專門的安全性和修補程式報告。

所有這些安全性管理工作都可以很方便地從控制台來執行。

此外,安全性和 Patch Manager 可以讓您掃描受管理裝置、核心伺服器和控制台電

腦,找尋所安裝的 LANDesk 軟體版本,並部署適當的 LANDesk 軟體更新。

關於 LANDesk Security Suite

安全性和 Patch Manager 工具是 LANDesk Security Suite 產品主要的安全性管理元件。Security

Suite 以大部份主要的 LANDesk Management Suite 功能為基礎,以專門的安全性管理工具(例如

安全性和 Patch Manager 及連線控制管理器)為補充。安全性和 Patch Manager 工具在

Management SuiteSecurity Suite 完全相同,本章將詳細說明。有關 Security Suite 產品支援何

種基本 LANDesk 功能的詳細資訊,請參閱使用 LANDesk Security Suite

關於邊界點符合性安全性和新的 LANDesk 信任存取工具

現在您可運用新的 LANDesk 信任存取工具將邊界點符合性安全性用於 LANDesk 網路了。

LANDesk 信任存取與安全性和 Patch Manager 的自訂原則、掃描和修補功能一起使用,可讓您透

過驗證連線裝置的健全性、阻止和/或修補受影響裝置和保護網路免遭惡意入侵,來控制對企業網

路的存取。LANDesk 信任存取為 LANDesk 網路增添另一強大的安全性層級。有關如何設定並使

LANDesk 信任存取解決方案的詳細資訊,請參閱使用 LANDesk 信任存取。

閱讀本章後,您將瞭解以下內容‥

安全性和 Patch Manager 概觀

• 安全性和 Patch Manager 概觀

• 安全性內容類型

• 支援的裝置平台

• 用安全性和 Patch Manager 進行以角色為基礎的管理

• 瞭解與使用安全性和 Patch Manager 視窗

• 安全性和修補程式管理工作流程

• 組態裝置進行安全性掃描和修補

15


使用者指南

組態安全性掃描裝置之後應如何

瞭解了安全性和 Patch Manager 概念、工具介面、一般工作和工作流程,並為裝置

組態了安全性掃描和修補之後,則能隨後執行以下安全性管理工作‥更新和檢視安

全性內容、下載修補程式、建立自訂漏洞定義、掃描受管理裝置的各種安全性風險

(例如作業系統和應用程式漏洞、軟體更新、Spyware、系統組態暴露等等)、修

補受影響的裝置,以及產生安全性警示、登入和報告。有關執行以上工作的資訊,

請參閱管理安全性內容和修補程式以及掃描和修補裝置。

安全性和 Patch Manager 概觀

安全性和 Patch Manager 提供了所需的全部工具,讓您在整個網路中建立強固的系

統安全性。您可以使用安全性和 Patch Manager,將重複的安全性和修補程式內容

維護工作自動化,並組織及檢視該內容。

您可以使用安全性掃描工作和原則,存取受管理的裝置,找尋特定平台的漏洞。您

可以下載及管理修補程式執行檔。最後您還可以部署並安裝必要的修補程式檔案,

修補已偵測到的漏洞,並確認已順利完成修補過程。

此外,您可以建立自訂漏洞定義來掃描受管理的裝置中可能威脅系統的作業和安全

性的特定作業系統和應用程式條件。自訂定義可以組態成僅執行偵測,也可以同時

執行偵測和修補。有關詳細資訊,請參閱建立自訂定義和偵測規則。

新的安全性掃描和修補功能

安全性和 Patch Manager 已新增了數種掃描和修補功能。例如,您現在可以‥

16

• 掃描受管理裝置上是否存在 Spyware。如果在裝置上偵測到 Spyware,可以

排程修復作業,從受影響的裝置移除 Spyware。

• 您也可以經由被阻止的應用程式定義,拒絕在一般使用者裝置上啟動未經授

權或禁止的應用程式。

• 啟動即時 Spyware 監視(偵測和移除)和即時應用程式阻止。

• 您可以掃描受管理裝置本機硬碟上的安全性威脅(Windows 系統組態錯誤

和資料洩漏)。識別出安全性威脅後,您可以在受影響裝置上手動執行必要

的修復。

• 部分可用的安全性威脅定義使您能夠偵測 Windows 防火牆、開啟或關閉

Windows 防火牆和組態防火牆設定值。

• 使用包含有其他安全性威脅定義的自訂變數,以便自訂系統組態並建立企業

範圍的系統組態原則。

• 掃描第三方防毒掃描器、啟動即時病毒掃描和確保最新的防毒模式檔案。


LANDesk Security Suite 使用者指南

• 當安全性掃描在受管理的裝置上偵測到指定的漏洞時,接收警示。您可透過

定義嚴重性組態警示。

• 為嚴重的、對時間敏感的安全性風險(如病毒掃描)建置頻繁的安全性掃

描。

• 使用「符合性」群組和新的 LANDesk 信任存取工具,強制執行邊界點安全

性和符合性安全性原則。

• 在其他漏洞對受管理裝置造成不利影響或在修補受管理裝置之前,使用漏洞

依存關係來識別需要安裝的修補程式。優先性資訊會通知您已被更新版本代

替且不需套用的修補程式。

• 掃描 LANDesk 軟體更新,來驗證受管理裝置、核心伺服器和控制台電腦上

是否安裝最新 LANDesk 軟體。如果偵測到裝置上的版本過時,您可以排程

修復作業進行部署和安裝最新的 LANDesk 軟體更新。

其他功能和好處

您可以使用安全和 Patch Manager 執行下列作業:

• 為網路中不同語言版本的作業系統提供修補程式安全性,目前支援以下語

言‥捷克語、丹麥語、荷蘭語、英語、芬蘭語、法語、德語、義大利語、日

語、挪威語、波蘭語、葡萄牙語、簡體中文、西班牙語、瑞典語和繁體中

文。

• 對安全性定義進行組織和分類,以執行自訂的安全性評估和修補作業。

• 評估漏洞及其他安全性風險,可針對多種支援的裝置平台進行,包括

Windows、Sun Solaris 和 Linux。

• 對已掃描的裝置,檢視安全性和修補程式資訊。

• 排程自動化修補程式管理工作,包括內容更新、裝置掃描和修補程式下載。

• 執行修補,修補工作可作為排程工作或原則執行,也可使用「自動修復」功

能自動執行。

• 下載、部署和安裝修補程式,這些修補程式都已經過研究和確認。

• 追蹤修補程式在已掃描裝置上的部署和安裝情況。

• 使用 LANDesk 的定向多點傳送、對等下載和檢查點重新啟動功能,快速、

有效地部署修補程式。

• 產生並檢視已偵測到的詳盡安全性和修補程式管理專用報告。

17


使用者指南

安全性內容類型和訂閱

現在安裝 LANDesk Management Suite 時,已預設為包含安全性和 Patch Manager 工

具(此工具在先前舊版中是另外附加的元件)。但是若沒有 Security Suite 內容訂

閱,您只能掃描 LANDesk 軟體更新和自訂定義。Security Suite 內容訂閱提供其他

安全性和修補程式內容(定義)類型,可以讓您完全發揮安全性和 Patch Manager

工具的功能。

LANDesk Security Suite 內容類型包括:

18

• 防毒

• 被阻止的應用程式

• 自訂漏洞定義

• 驅動程式更新

LANDesk 軟體更新

• 安全性威脅(系統組態風險和暴露;包括防火牆偵測和組態)

• 軟體更新

• Spyware

• 漏洞(已知平台和應用程式特定漏洞)

有關 Security Suite 內容訂閱的資訊,請連絡您的 LANDesk 經銷商,或造訪

LANDesk 網站。

掃描及修補功能在這些內容類型之間不盡相同。有關詳細資訊,請參閱下面相應章

節的內容。

支援的裝置平台

安全性和 Patch Manager 支援大部份由 LANDesk 管理的標準裝置平台,包括下列

作業系統:

• Windows 98 SE

• Windows NT (4.0 SP6a 版和更高版本)

• Windows 2000 SP4 / 2003 / XP SP1

• Mac OS X 10.2.x 和 10.3.x

• Red Hat Linux 9 版(從控制台掃描,手動進行修補)

• SUSE Linux(從控制台掃描,手動進行修補)

• Sun Solaris(從控制台掃描,手動進行修補)

有關組態受管理裝置以掃描安全性和修補程式的資訊,請參閱本章後面的組態裝置

進行安全性掃描和修補。


LANDesk Security Suite 使用者指南

支援掃描核心伺服器和控制台進行 LANDesk 軟體更新

您也可以掃描 LANDesk 核心伺服器和控制台進行 LANDesk 軟體更新,但必須先行部署標準

LANDesk 代理程式,其中包括執行安全性掃描工作所需的安全性和修補程式掃描器。

用安全性和 Patch Manager 進行以角色為基礎的管理

安全性和 Patch Manager 使用 LANDesk 以角色為基礎的管理,讓使用者可以存取

安全性和 Patch Manager 功能。以角色為基礎的管理是 LANDesk 的存取和安全性

架構,它可以使 LANDesk 管理員限制使用者存取工具和裝置。每個 LANDesk 使

用者都指定了特定的權限和範圍,確定他們可以使用的功能以及可以管理的裝置。

有關以角色為基礎的管理詳細資訊,請參閱使用以角色為基礎的管理。

LANDesk 管理員使用控制台中的「使用者」工具,為其他使用者指派這些權限。

安全性和 Patch Manager 在以角色為基礎的管理中引進一個新角色和相應的權限。

該權限稱為安全性和 Patch Manager,它會出現在「使用者屬性」對話方塊中。

LANDesk 使用者若要查看並使用此工具,必須擁有必要的安全性和 Patch Manager

權限。

安全性和 Patch Manager 權限

安全性和 Patch Manager 是由兩個以角色為基礎的管理權限控制,描述如下‥

安全性和 Patch Manager

• 具備安全性和 Patch Manager 權限的使用者能夠‥

• 讀取和存取「工具」功能表和工具列中的「安全性和 Patch Manager」工具

• 組態受管理的裝置進行安全性評估和修補掃描

• 組態裝置進行即時 spyware 和被阻止的應用程式掃描

• 組態裝置對關鍵的安全性風險進行高頻率掃描

• 下載安全性類型(您已擁有 Security Suite 內容訂閱)的安全性更新(定義

和偵測規則)及相關的修補程式

• 建立可自動下載定義和/或修補程式更新的排程工作

• 建立自訂漏洞定義和自訂偵測規則

• 匯入、 匯出和刪除自訂定義

• 按類型檢視已下載安全性和修補程式內容(包括‥所有類型、被阻止的應用

程式、自訂定義、LANDesk 更新、安全性威脅、Spyware、漏洞、驅動程式

更新和軟體更新)

• 使用自訂變數自訂所選安全性威脅

• 作為排程工作或作為原則在受管理的裝置上組態和執行安全性掃描

• 將排程工作掃描分為準備階段和部署階段

• 建立和組態決定掃描選項的掃描和修復設定值,如‥需掃描的內容類型、掃

描器資訊和進度顯示、裝置重新啟動行為和一般使用者互動數量。然後,將

19


使用者指南

20

掃描和修復設定值套用至安全性掃描工作、修復工作、解除安裝工作和重新

啟動工作

• 檢視詳細掃描結果(已偵測到的安全性資料),檢視方式包括‥「偵測到

的」群組、特定定義、單個裝置或選取裝置群組

• 作為排程工作或作為原則執行修補

• 使用「自動修復」功能自動修補以下已偵測到的安全性類型‥漏洞、

spyware、LANDesk Software 更新和自訂定義(必須是 LANDesk 管理員)

• 追蹤和驗證已掃描裝置上的修補程式部署和安裝狀態(修復歷史記錄)

• 清除未使用的安全性類型定義(必須是 LANDesk 管理員)

• 從已掃描裝置中解除安裝修補程式

• 從核心資料庫移除修補程式

• 組態漏洞警示

• 產生各種特定安全性報告(也需「報告」權限)

• 更多…

安全性和修補程式符合性

具備「安全性和修補程式符合性」權限的使用者能夠‥

• 從「符合性」群組新增或移除安全性定義

• 變更「符合性」群組中所包含的定義狀態

• 編輯自訂定義或安全性威脅的自訂變數

• 不能組態信任存取服務(如新增 Posture 驗證伺服器或修補伺服器),或組

態和發佈符合性原則(必須是 LANDesk 管理員)

瞭解與使用安全性和 Patch Manager 視窗

「安全性和 Patch Manager」視窗和其他所有 LANDesk 工具視窗一樣,都是從「工

具」功能表或「工具列」開啟,並且也可以停駐、浮動和以標籤形式嵌入其他開啟

的工具視窗(請參閱"可停駐視窗")。請注意,在 LANDesk 以角色為基礎的管理

下,LANDesk 使用者必須具備 LANDesk 管理員權限(即全部權限)或特定的安全

性和 Patch Manager 權限,才能檢視及存取安全性和 Patch Manager 工具。有關使

用者權限和範圍的詳細資訊,請參閱使用以角色為基礎的管理。

「安全性和 Patch Manager」視窗含有一個工具列和兩個窗格。左側窗格顯示安全

性類型定義和偵測規則群組的階層樹檢視。您可以根據需要展開或摺疊這些物件。

依左側窗格中所選的群組而定,右側窗格會顯示欄清單,其中包含所選群組的定義

詳細資訊或偵測規則的詳細資訊。

「安全性和 Patch Manager」視窗包含附下列按鈕的工具列:

工具列按鈕


LANDesk Security Suite 使用者指南

• 下載更新:開啟對話方塊,您可以在其中為要更新的內容類型指定平台和

語言,以及要存取的 LANDesk 安全性內容伺服器。您也可以組態是否將定

義置入「未指派」群組中、是否同時下載相關的修補程式、修補程式的下載

位置,以及代理伺服器設定值。

• 建立一個工作‥包含一個下拉式清單,您可在其中選擇需要建立的工作類

型‥安全性掃描工作、重新啟動工作、修復工作,或收集歷史資訊。

• 安全性掃描工作會開啟一個對話方塊,您可以在其中輸入掃描的名

稱、指定掃描是排程工作或原則,並選擇掃描和修復設定值,以決定

是否顯示安全性掃描器、重新啟動和互動行為,以及掃描的內容類

型。

• 重新啟動工作開啟對話方塊,您可以在其中輸入名稱、指定重新啟

動是排程工作或原則,並選擇掃描和修復設定值,以決定顯示和互動

行為。

• 修復工作開啟一個對話方塊,您可在其中將修復組態為排程工作或

原則或兩者皆是、將修復工作劃分為單獨的準備和修復階段、選擇掃

描和修復設定值,並下載修補程式。

• 蒐集記錄資訊工作開啟一個對話方塊,允許您蒐集目前掃描和偵測

計數(特定的天數內),用於報告、或建立並組態執行相同過程的排

程工作。

• 未遵從的電腦‥ 列出以下裝置‥已掃描以檢查與預先定義符合性安全性原

則的符合性的裝置(以「符合性」群組內容和「已組態的信任存取」對話方

塊上的健全性定義為基礎),以及被視為非健全或未遵從的裝置。

• 組態掃描和修復設定值‥ 開啟對話方塊,您可以在其中建立、編輯、套用

及刪除掃描和修復設定值。

• 重新整理‥ 更新選取群組的目錄。

• 建立自訂定義: 開啟空白的「定義屬性」對話方塊,其中包含可編輯欄

位,讓您指定自訂定義是只用於偵測或是也允許修補作業、輸入特定的漏洞

資訊、建立偵測規則,以及辨識適當的修補程式檔案進行修補。

• 匯入自訂定義:允許您匯入含有定義的 XML 檔案。

• 匯出所選的自訂定義:允許您匯出自訂定義,存成 XML 檔案。

• 刪除所選的自訂定義:將所選的自訂定義從核心資料庫移除。

• 清除安全性和修補程式定義‥開啟對話方塊,您可以在其中指定要從核心

資料庫移除的定義之平台和語言。請注意僅 LANDesk 管理員使用者可執行

該作業。

• 發佈信任存取設定值‥開啟發佈信任存取設定值對話方塊,您可指定希望

向 Posture 驗證伺服器和修補伺服器發佈的內容。無論何時變更這些信任存

取設定值,您都必須重新發佈新設定值至 Posture 驗證伺服器。

(註:發佈信任存取內容可將信任存取設定值和符合性規則傳送到 Posture 驗

證伺服器,亦可將所有相關聯的修補程式傳送到修補伺服器。發佈基礎結構

檔案可將安裝和支援檔案,包括安全性用戶端掃描器、信任代理及 HTML

範本頁傳送到修補伺服器。

21


使用者指南

22

• 說明(H)‥開啟「安全性和 Patch Manager 」部份的線上說明。

類型下拉清單

使用類型下拉清單,以決定要顯示在樹檢視中的定義。

類型下拉清單包含下列選項:

• 全部類型

• 防毒

• 被阻止的應用程式

• 自訂定義

• 驅動程式更新

LANDesk 更新

• 安全性威脅

• 軟體更新

• Spyware

• 漏洞

「安全性和 Patch Manager」視窗的左窗格顯示以下項目‥

安全性和 Patch Manager

安全性和 Patch Manager 是安全性和 Patch Manager 樹的根物件,其中包含所有安

全性類型,如漏洞、Spyware、安全性威脅、被阻止的應用程式和自訂定義群組

(適用時,也包含相關的偵測規則群組)。根物件可以根據需要展開或摺疊。

類型名稱(或全部類型)

類型群組包含以下子群組‥

• 偵測到‥列出對該掃描工作中包含的全部裝置進行安全性掃描所偵測到的

全部定義。此群組的內容是根據您在網路上執行的所有安全性掃描累積所組

成。只有在符合以下情況時,才可將定義由此群組中移除:可成功修補、可

從「掃描」群組移除出並再次執行掃描;或是實際由資料庫中移除已感染裝

置。

「偵測到的」清單中含有最近一次掃描中所發現全部偵測到的安全性定義。

「已掃描」欄和「偵測到的」欄都很有用,這兩欄分別顯示掃描了多少裝

置,以及其中有多少台裝置偵測到定義。若要特別查看偵測到定義的裝置,

請用滑鼠右鍵按一下受影響的電腦。

請注意‥在網路檢視中用滑鼠右鍵按一下裝置,然後按一下安全性和修補程

式資訊,也可以檢視特定裝置的資訊。


LANDesk Security Suite 使用者指南

您只能將定義從「偵測到的」群組中移到「未指派」群組或「不掃描」群組

中。

• 掃描:(對「被阻止的應用程式」,此群組稱為阻止)列出在受管理的裝

置上執行安全性掃描時要搜尋的全部安全性定義。換句話說,如果定義包含

在此群組中,則下次進行掃描作業時也會包含這部份;否則就不會成為掃描

的一部份。

在預設情況下,所收集的定義將在內容更新過程中新增到「掃描」群組中。

(重要說明‥但被阻止的應用程式除外,這些程式是按預設加入「未指派」群

組中。)

「掃描」可以視為三種安全性定義可能狀態之一,另兩種狀態分別為「不掃

描」和「未指派」。因此,定義一次只能處於這三種群組狀態之一。定義可

以為「掃描」、「不掃描」或「未指派」,每個狀態都由唯一的圖示表示

(問號 (?) 圖示表示「未指派」、紅色 X 圖示表示「不掃描」,而正常的漏

洞圖示表示「掃描」)。將定義從一個群組移到另一個群組會自動變更狀

態。

您可以將定義移入「掃描」群組中(從另一個群組按一下並拖曳一個或多個

定義,但不能從「偵測到的」群組拖曳),控制下次在目標裝置上進行安全

性掃描的特定性質和大小。

從「掃描」群組移出定義時的注意事項

將定義從「掃描」群組移到「不掃描」群組時,核心資料庫中有關已掃描裝置偵測到定義

的目前資訊將從核心資料庫中移除,而且在項目的「屬性」對話方塊或在裝置的「安全性

和修補程式資訊」對話方塊中都無法再使用。若要還原該安全性評估資訊,必須將定義重

新移回「掃描」群組中,並再次執行相同的安全性掃描。

• 不掃描:(對「被阻止的應用程式」,此群組稱為不要阻止)列出下次在

裝置上執行安全性掃描時要搜尋的全部定義。如上所述,如果定義在此群組

中,則不可能在「掃描」群組或「未指派」群組中。您可以將定義移入此群

組中,暫時不從安全性掃描中移除。

• 未指派:列出不屬於「掃描」和「不掃描」群組的所有定義。「未指派」

群組基本上是所收集定義的儲存區域,會一直保留到您決定是否掃描尋找它

們為止。

您可以(按一下後拖曳一個或多個)將定義從「未指派」群組中移到「掃

描」或「不掃描」群組中 。

在下載更新對話方塊中核取將新定義放入未指派群組選項,也可以在內容更

新過程中自動將新定義新增到「未指派」群組中。

• 全部項目:以平面清單列出所有已選類型的定義,即使您已將定義移入

「未指派」、「掃描」或「不掃描」群組,都會列出。

23


使用者指南

24

• 依產品檢視:按特定產品子群組分類列出所有定義。這些子群組有助您按

相關產品類別找出定義。

偵測規則

您可以使用這些產品子群組,將定義複製到「掃描」群組中,以便專門針對

特定產品進行掃描,也可以將定義複製到自訂群組(見下文),以便一次按

群組修補產品。

定義可以從產品群組複製到「掃描」、「不掃描」或「未指派」群組中,或

是任何使用者定義的自訂群組中。定義可以同時存放於平台、產品和多個自

訂群組中。

註: 偵測規則定義特定的作業系統、應用程式、檔案,或定義檢查的系統登錄表條件,以便在掃

描的裝置上偵測應用程式安全性風險 (漏洞、自訂定義和安全性威脅)。Spyware 和被阻止的應

用程式不適用。

「偵測規則」群組含有以下子群組‥

群組

• 掃描:列出已啟用以供在裝置上作安全性掃描的所有偵測規則。

在預設情況下,與安全性內容類型定義相關聯的任何偵測規則都會在內容更

新時新增到「偵測規則掃描」群組中。同樣地,與自訂定義相關聯的自訂偵

測規則也在建立自訂定義時加入「掃描」群組。

請注意,除啟用定義的偵測規則之外,也必須將相對應修補程式執行檔下載

到網路上的本機修補程式資料檔案庫中(通常為核心伺服器),才能進行修

補工作。「已下載」屬性(工具視窗右側窗格中的一個詳細資訊欄)指出與

該規則相關的修補程式是否已下載。

• 不掃描:列出已在裝置上停用,不執行安全性掃描的所有偵測規則。有些

定義有多個偵測規則。藉由停用偵測規則,可以確保不會用它來掃描表示裝

置上有該定義的狀況。這樣,毋需重新定義狀況,就能讓您簡化安全性掃

描。

• 依產品檢視:列出所有收集定義的偵測規則,組織分成特定產品子群組。

這些子群組有助您,按產品相關類別找出偵測規則。

可以使用這些產品子群組執行群組作業。

包括以下子群組‥

• 自訂群組: 列出您已建立的所有子群組,以及其中所包含的定義。「我的

群組」可讓您按照自己所需的方式來組織安全性定義。使用群組的內容,將

數個定義複製到自訂掃描的「掃描」群組中,或是一次為數個定義漏洞建立

修復作業。


LANDesk Security Suite 使用者指南

您還可以使用自訂群組定義安全性掃描內容。將您要掃描的定義複製到自訂

群組,然後在「掃描和修復設定值」對話方塊的「掃描」選項中選擇該群

組。

要建立自訂群組,請滑鼠右鍵按一下自訂群組(或子群組),然後按一下新

增群組。

若要將定義新增到自訂群組中,只需在其他定義群組中按一下後拖曳一個或

多個定義即可。或者,也可以用滑鼠右鍵按一下自訂群組,然後按一下新增

定義。

• 警示‥列出安全性掃描器下次在裝置上執行時產生警示訊息的所有定義。

如需詳細資訊,請參閱「使用漏洞警示」。

• 符合性‥ 列出用於決定受管理(或行動/訪客)裝置是否健全的所有定

義。該群組由新的 LANDesk 信任存取功能用於拒絕或允許對主要網路的存

取。「符合性」群組中所包含的定義及關聯的修補程式檔案被複製到特殊修

補伺服器中。該伺服器可掃描裝置,決定符合性和非符合性(根據發佈到

Posture 伺服器的符合性規則),並且能夠修補不符合符合性的裝置,以使

其獲得對企業網路的完整存取。

信任存取

信任存取群組包括以下項目‥

• Posture 伺服器日誌‥ 列出原則伺服器日誌。另外,您還可以右鍵按一下此

物件存取「組態」信任存取對話方塊 ,在其中您可以將態勢伺服器和修補

伺服器新增到網路中,組態符合性原則,以及組態符合性日誌。

「安全性和 Patch Manager」視窗的右窗格顯示定義和偵測規則項目的詳細資訊,

分別列在可排序的欄中,如下所示‥

定義詳細資訊

• ID:利用由供應商定義的唯一英數字元代碼來辨識定義。

• 嚴重性‥指示定義的嚴重性層級。可能的嚴重層級內含‥Service Pack、嚴

重、高級、中級、低級、不適用和不明。

• 標題‥以簡短的文字字串描述定義的性質或目標。

• 語言‥指示已受定義影響的作業系統或應用程式的語言。

• 發佈日期‥指示供應商發佈定義的日期。

• 可修復的‥指示是否可以經由修補程式檔案部署和安裝修復定義。可能的

值為‥「可以」、「不可以」、「部份」(表示含有多個偵測規則的定義,

而不是所有偵測到的定義都可以修復), 以及「沒有規則」 (表示沒有包

含任何偵測規則的自訂定義)。

• 無提示安裝‥指示定義的相關修補程式在裝置上安裝時是否為無提示(即

25


使用者指南

26

毋需使用者互動)安裝,其值為「是」或「否」。某些定義可能有多個修補

程式。如果定義的任何一個修補程式不是無提示安裝,則「無提示安裝」屬

性為「否」。若要檢視各個修補程式的安裝方式,請用滑鼠右鍵按一下定

義,然後按一下屬性 | 修補程式。

• 偵測到‥顯示經過掃描偵測到有定義的裝置數量。

• 已掃描‥顯示進行定義掃描的裝置數量。

• 自動修復‥指示為定義啟用或停用「自動修復」功能。

使用定義快顯功能表

您可用滑鼠右鍵按一下項目,選擇屬性選項來檢視更多詳細資訊。

定義的快顯功能表亦允許您執行以下工作(取決於安全性類型)‥

• 檢視受影響的電腦

• 下載相關的修補程式

• 啟用/停用自動修復

• 將定義新增到「符合性」和「警示」群組。

• 清除定義的掃描資訊和修復狀態

• 建立修復作業。

「偵測規則」詳細資訊

• 名稱‥ 顯示偵測規則的名稱(可以為修補程式可執行檔案名稱)。

• ID:顯示與規則相關的定義 ID。

• 可修復的: 指示是否可以經由修補程式檔案部署和安裝修復相關聯定義。

• 無提示安裝‥以「是」或「否」指示與規則相關的修補程式是否以無提示

方式在裝置上安裝(毋需使用者互動)。

• 重新啟動‥指示相關的修補程式檔案是否需要重新啟動系統,才能順利完

成修補作業。

• 自動修復‥指示為定義啟用或停用相關定義的「自動修復」功能。

• 已下載‥指示是否已將與規則相關的修補程式可執行檔案下載到本機資料

檔案庫中。

滑鼠右鍵按一下偵測規則,選擇屬性選項可檢視更多詳細資訊。快顯功能表還使

您可以啟用/停用規則並下載關聯的修補程式。

安全性和修補程式管理工作流程

以下步驟提供摘要大綱,概略敘述在 LANDesk 網路上執行安全性和修補程式管理

所包含的一般過程。

後面章節內容將詳細介紹所有程序。


基本工作流程步驟

LANDesk Security Suite 使用者指南

1. 組態受管理的裝置進行安全性掃描和修補。

2. 從業界/供應商資料來源收集更新的安全性和修補程式資訊。同時也建立自

訂定義。

3. 組織及檢視安全性和修補程式資訊。

4. 建立及組態掃描工作和原則。掃描找尋漏洞、Syware、安全性威脅、被阻止

的應用程式等等。

5. 檢視已掃描裝置的掃描結果。

6. 針對偵測到的漏洞下載修補程式

7. 透過在受影響的裝置上部署及安裝修補程式來修復已偵測到的漏洞

8. 修復其他已偵測到的定義類型。

9. 檢視修補程式的安裝狀態和修復歷史記錄資訊。

組態裝置進行安全性掃描和修補

受管理的裝置上必須先行安裝安全性和修補程式掃描器代理程式,才能進行漏洞、

Syware、安全性威脅和其他安全性類型的掃描,並接收修補程式部署或軟體更新

(預設情況下,該代理程式是使用標準 LANDesk 代理安裝的)。

本節介紹了有關組態 Windows 裝置及 Linux、UNIX 和 Mac 裝置的資訊。

支援掃描核心伺服器和控制台進行 LANDesk 軟體更新

您也可以掃描 LANDesk 核心伺服器和控制台進行 LANDesk 軟體更新,但必須先行部署標準

LANDesk 代理程式,其中包括執行安全性掃描工作所需的安全性和修補程式掃描器。

組態 Windows 裝置進行安全性掃描

若使用 Windows 裝置的舊版本,則漏洞掃描器代理程式必須作為單獨附加的元

件,安裝到現有的裝置代理程式組態中。

但是,現在安全性和修補程式掃描器代理程式已按預設包含在標準的 LANDesk

理程式之中,即使是使用最基本的代理程式組態,也都會安裝在裝置上。換句話

說,以新代理程式組態工具組態的任何 Windows 裝置都已準備就緒,可以執行安

全性和修補程式掃描與修補。

在代理程式組態期間組態 Windows 裝置的掃描和修復選項

27


使用者指南

建立或編輯代理程式組態時,您可以指定一些安全性和修補程式掃描器選項,例

如,在受管理裝置上自動執行掃描器的時間和頻率、掃描器是否在一般使用者裝置

上顯示進度和提示,以及重新啟動裝置和自動修復等修補作業的全域設定值。有關

自訂安全性和修補程式掃描器代理程式行為,作為建立及部署代理程式組態到受管

理的 Windows 裝置作業的一部份,詳細資訊請參閱關於代理程式組態對話方塊的

安全性和修補程式掃描頁。

註:Windows 9x 裝置上必須有 WinSock2 才能執行漏洞掃描器代理程式。

進行代理程式組態之後,就會在裝置的 LANDesk Management 程式群組中加入安

全性和修補程式掃描器的程式圖示,可以用來從裝置直接執行掃描程式 (而不是

登錄機碼啟動、重複執行本機 Scheduler 啟動,或使用控制台的排程工作)。

代理程式組態中的其他安全性設定值

定義裝置代理程式組態時(對於 Windows 裝置),您亦可啟用並組態以下安全性

掃描器設定值‥

28

• 對嚴重安全性風險的頻繁安全性掃描

• 即時應用程式阻止器和 spyware 監視

有關詳細資訊,請參閱以下章節。

關於代理程式組態對話方塊的頻繁安全性掃描頁

使用此頁可以對關鍵的、對時間敏感的安全性風險(例如最近搜尋到的致命病毒及

防火牆組態風險)啟用和組態高頻率掃描。

• 使用頻繁安全性掃描器‥ 根據以下指定的時間和群組內容,使用安全性和

修補程式掃描器啟用高頻率掃描。如果未選取此選項, 根據安全性和修補程

式掃描頁上指定的設定值,使用此代理程式組態進行組態的受管理裝置將仍

可以使用安全性和修補程式掃描器進行掃描(因為安全性和修補程式代理程

式是標準 LANDesk 代理程式的一部份)。

• 僅在使用者登入時掃瞄,間隔‥指定使用者登入受管理裝置時,執行頻繁

安全性掃描的頻率。最小頻率為 30 分鐘。

• 選擇掃描和修復設定值‥ 根據此處選取的自訂群組,決定可由高頻率掃描

進行掃描的安全性類型的定義。高頻率掃描只能由自訂群組內容定義,而不

能由「掃描」、「警示」或「符合性」群組定義。(任何類型的安全性內容

類型都可新增到自訂群組中,如 Spyware、漏洞、自訂定義、 安全性威脅

等)自訂群組在「掃描和修復設定值」對話方塊中選取。從下拉清單中選擇

掃描和修復設定值。只有經過組態用於自訂群組(而不是特定類型)掃描的

掃描和修復設定值將顯示在該清單中。

• 組態‥ 開啟「掃描和修復設定值」對話方塊,在其中選取已指定自訂群組


掃描的掃描和修復設定值。

關於代理程式組態對話方塊的 Spyware/應用程式阻止器頁

LANDesk Security Suite 使用者指南

使用此頁可以對已使用該代理程式組態進行組態的受管理裝置啟用和組態即時應用

程式阻擋和 spyware 偵測和移除。

• 允許應用程式阻擋監視‥根據「掃描」群組(或自訂群組)中所包含的未

授權應用程式(定義)清單,啟用即時應用程式阻擋。

• 當應用程式已被阻止時通知使用者‥ 在一般使用者裝置上顯示一則

訊息,通知他們其試圖啟動的應用程式已被拒絕或阻止。

• 允許即時 spyware 監視‥ 根據「掃描」群組(或自訂群組)中所包含的

Spyware 定義清單,啟用即時 Spyware 偵測和移除。

重要說明‥為了進行即時 Spyware 掃描和偵測,您必須手動啟用自動修復功

能,用於您希望在安全性掃描中包含的已下載 Spyware 定義。預設情況下,

下載的 Spyware 定義不會開啟自動修復功能。

• 當 spyware 已被阻止時通知使用者‥ 在一般使用者裝置上顯示一則

訊息,通知他們偵測到已知 spyware 並已從系統移除。

• 當未知應用程式正在安裝時提示使用者‥在一般使用者裝置上顯示

一則訊息,通知他們未知應用程式正在他們的系統上安裝。

組態 Linux 和 UNIX 裝置進行安全性掃描

安全性和 Patch Manager 也支援在下列平台執行漏洞掃描:

• Red Hat Linux

• SUSE Linux

• Sun Sparc (Solaris 8)

上述各個平台的安全性和修補程式內容可以用安全性和 Patch Manager 下載,與

Windows 漏洞完全相同。

Linux 和 UNIX 裝置不能透過控制台的代理程式組態工具,來組態安全性和修補程

式掃描器代理程式。Linux 和 UNIX 裝置組態是手動處理過程。有關設定 Linux 和

UNIX 裝置的詳細資訊,請參閱《安裝和部署指南》,以及位於核心伺服器上

ManagementSuite\LDLogon 底下的平台資料夾的各平台 tar 檔案中所包含之讀我檔

案。

組態之後,這些 Linux 和 UNIX 平台就可以透過控制台的排程工作,掃描找尋漏

洞。如果偵測到漏洞,必須在受影響的裝置上手動執行修補作業。

29


使用者指南

組態 Mac OS X 裝置進行安全性掃描

在 Macintosh OS X 裝置上,安全性和 Patch Manager 現在支援安全性掃描和修補作

業。Macintosh 安全性和修補程式內容可以用安全性和 Patch Manager 下載。

此外,您也可以用「代理程式組態」工具,為 Macintosh 裝置建立及組態代理程式

組態。與 Windows 代理程式組態相同,安全性和修補程式掃描器代理程式是

Macintosh 裝置的預設標準 LANDesk 代理程式的一部份。若要使用安全性和修補

程式掃描器支援,建立及部署 Macintosh 代理程式組態,請參閱使用者指南中的

「使用 Macintosh 裝置」。

組態之後,Macintosh 裝置就可以透過控制台的排程工作,掃描找尋漏洞。如果偵

測到漏洞,必須在受影響的裝置上執行修補作業。

在 Mac 裝置上手動啟動安全性掃描器

30

1. 開啟 Mac OS X 系統喜好設定,然後選擇 LANDesk 用戶端面板。

2. 在概觀標籤上,按一下安全性和 Patch Manager 部份的立即檢查。

被阻止的應用程式類型在法律上不為責任擔保之聲明

LANDesk 為讓一般使用者方便使用,提供資料庫存取權,資料庫中包含可執行檔的特定相關資

訊,一般使用者可以利用此可執行檔,搭配 LANDeskR Security Suite 的應用程式阻止器功

能。 此資訊是以原樣提供使用,不含任何明示、暗示或其他任何保證,包括但不限於適銷性及/

或適合特定用途之暗示保證。 因此,LANDesk 對於此資訊的正確性、完整性或流通性並無保證責

任,一般使用者必須在使用前自行負責檢閱及確認此資訊。 一般使用者必須自行負擔使用此資訊

的任何風險。

管理安全性和修補程式內容

該部份提供有關更新和檢視安全性內容、建立和使用自訂定義及下載和使用修補程

式的資訊。

有關實際掃描受管理裝置各種安全性風險(例如作業系統和應用程式漏洞、軟體更

新、Spyware、系統組態暴露等等)、修補受影響的裝置,及產生安全性警示、登

入和報告的資訊,請參閱掃描和修補裝置。

閱讀本章後,您將瞭解以下內容‥


管理安全性內容

• 瞭解安全性和修補程式內容

• 檢視安全性和修補程式內容

• 使用篩選自訂項目清單

• 清除未使用的定義

管理自訂定義

• 建立自訂定義和偵測規則

• 匯入和匯出自訂定義

• 刪除自訂定義

管理修補程式

• 下載修補程式

• 解除安裝修補程式

• 從核心資料庫移除修補程式

瞭解安全性和修補程式內容

LANDesk Security Suite 使用者指南

您的網路會不斷面臨新的蟲、病毒和 Spyware 帶來的安全性威脅,軟體更新和錯誤

修復等日常維護問題也是網路中必不可少的一環。修補程式會定期發佈,以修復不

可避免的作業系統和應用程式漏洞。安全性和 Patch Manager 讓您經由 LANDesk

管理的資料庫下載內容,加快並簡化了收集最新已知安全性類型的定義和修補程式

的過程。此 LANDesk 安全性服務融匯整合來自多個可信任產業/供應商來源的已知

定義,直接將可靠的資訊傳送給您。

安全性和 Patch Manager 也支援自訂漏洞定義

除了已知的漏洞外,還可以自行建立自訂漏洞定義和相關聯的偵測規則。有關詳細資訊,請參閱本

章後面的建立自訂定義和偵測規則。

藉由建立和維護最新的安全性和修補程式內容,能夠更加瞭解所支援各平台和應用

程式面臨的安全性威脅之性質與程度,判斷哪些漏洞及其他威脅類型與您的環境相

關,從而自訂安全性掃描和修補工作。這種安全性管理策略的第一個步驟是下載目

前最新已知安全性和修補程式內容的清單。

您可以使用安全性和 Patch Manager,同時組態與執行安全性和修補程式內容更

新,或者建立排程更新工作,在設定的時間執行或重複執行工作 (請參閱本章後

面的排程自動化安全性和修補程式內容更新)。

31


使用者指南

在特定核心伺服器(內含附加控制台)上,一次只容許一個 LANDesk 使用者更新

安全性和修補程式內容。如果更新過程已在執行,而使用者試圖更新內容,就會出

現訊息提示,指出有衝突存在。

更新安全性和修補程式內容

32

1. 按一下工具 | 安全性 | 安全性和 Patch Manager。

2. 按一下下載更新工具列按鈕。

3. 在可用的內容伺服器清單中,選取更新來源網站。

4. 選擇您要更新的安全性和修補程式內容之定義類型。您可以在清單中選擇一

個或多個類型(依您的 LANDesk Security Suite 內容訂閱而定)。選擇的類

型越多,更新所需的時間就越長。

5. 選擇要更新內容的指定類型之語言。

某些漏洞和其他定義類型及其任何相關修補程式是語言中性或獨立,也就是

它們能與該定義所涵蓋的作業系統或應用程式的任何語言版本相容。換言

之,您無須用一個某語言專用的唯一修補程式來修補這些漏洞,因為該修補

程式就適用於所有支援的語言。例如,Linux 和 UNIX 平台只使用語言中性

定義/修補程式。但是 Microsoft Windows 和 Apple Macintosh 平台幾乎都是使

用語言專用的漏洞定義和修補程式。

(以適當訂閱)下載任何平台的內容時,所有已選平台的語言中性漏洞定義

都會按預設自動更新。如果您選擇了 Windows 或 Mac 內容類型,就必須同

時選擇要更新定義的特定語言。如果您選擇了 Sun Solaris 或 Linux 平台,則

不必選擇特定的語言,因為它們的內容是語言中性,而系統會自動更新。

6. 如果您要自動將新的內容(安全性和 Patch Manager 樹中任何群組都沒有的

內容)放入「未指派」群組而非預設的「掃描」群組位置,請核取將新定

義放入未指派群組核取方塊。

7. 如果您要自動下載相關聯修補程式可執行檔,請按一下下載修補程式核取

方塊,然後按一下其中一個下載選項:

• 只有用於已偵測到的定義‥ 只下載與上次安全性掃描偵測到的漏

洞、安全性威脅或 LANDesk 更新(也就是,目前存放於「偵測到

的」群組中的定義)相關的修補程式。

• 用於所有下載的定義‥ 下載與目前存放於「掃描」群組中的漏洞、

安全性威脅和 LANDesk 更新相關的所有修補程式。

修補程式將下載到「下載更新」對話方塊的修補程式位置標籤上指定的位

置。

8. 如果網路中有用於(更新安全性和修補程式內容及下載修補程式必需使用

的)外部網際網路傳輸的代理伺服器,就按一下代理設定值標籤,並指定


LANDesk Security Suite 使用者指南

該伺服器的位址、連接埠號碼,以及身份驗證憑證(如果需要登入存取代理

伺服器)。

9. 按一下任一標籤中的套用,隨時儲存設定值。

10. 按一下立即更新執行安全性和修補程式內容更新。正在更新定義對話方塊

會顯示目前的作業和狀態。

11. 更新完畢後,按一下關閉。請注意,如果在更新尚未完成時就按取消,則

只下載當時已處理的安全性和修補程式內容至核心資料庫。您必須重新執行

更新,才能取得其餘所有安全性和修補程內容。

註:執行更新安全性和修補程式的過程中,絕對不要關閉控制台,否則將終止更新過程。但是此規

則並不適用於「下載安全性和修補程式的內容」排程工作,即使在執行時關閉控制台,也會完成排

程工作處理。

組態修補程式下載位置

1. 在下載更新對話方塊中,按一下修補程式位置標籤。

2. 輸入要將修補程式檔案複製到的 UNC 路徑。預設位置為核心伺服器的

\LDLogon\Patch 目錄。

3. 如果前面輸入的 UNC 路徑是核心伺服器以外的位置,則輸入存取該位置時

用於驗證身份的有效使用者名稱和密碼。

4. 輸入裝置可存取部署所用下載修補程式的 Web URL。此 Web URL 應與上述

的 UNC 路徑相符。

5. 您可以按一下測試設定值來檢查能否連線到前面指定的網址。

6. 如果要將 UNC 路徑和網址還原為其預設位置,請按一下還原預設值。預設

儲存位置也是核心伺服器的 \LDLogon\Patch 目錄。

排程自動化安全性和修補程式內容更新

您也可以將安全性和修補程式內容更新組態為排程工作,在將來的規定時間執行或

重複執行工作。若要執行此功能,只需按一下排程下載工具列按鈕,在「排程工

作」視窗中建立「下載安全性和修補程式的內容」工作,然後設定排程選項即可。

所有「下載安全性和修補程式的內容」排程工作都會使用在「下載更新」對話方塊

中的目前設定值。因此,如果要變更特定更新作業的內容類型、平台、語言、修補

程式下載位置或代理伺服器設定值,都必須在排程工作執行之前,事先變更「下載

更新」對話方塊中的這些設定值。

檢視安全性和修補程式內容

LANDesk 安全性服務更新安全性和修補程式內容之後,您可以在「安全性和

Patch Manager」視窗的各相應群組中,檢視定義和偵測規則 (僅適用於漏洞和自

訂定義)。

33


使用者指南

使用類型下拉清單,檢視特定類型或全部類型的內容。您也可以使用篩選控制,

更進一步自訂您想要顯示的內容。

下載安全性和修補程式內容之後,您可以將項目移入不同的狀態群組,或是複製到

您自訂的群組中。有關安全性和 Patch Manager 檢視中不同群組使用方式的資訊,

請參閱本章前面的瞭解安全性和 Patch Manager 視窗。

您也可以用滑鼠右鍵按一下項目並選擇屬性,以檢視已更新各定義和偵測規則的

屬性詳細資訊。此資訊有助您判斷哪些定義與網路支援的平台和應用程式相關、偵

測規則如何檢查定義的存在、可用的修補程式,以及為受影響的裝置組態和執行修

補工作的方式。

自訂定義可以修改

如果選擇下載的產業定義,它的屬性對話方塊其實是僅供資訊檢視。但是如果選擇自訂定義,或者

建立新的自訂定義,那麼屬性對話方塊中的頁和欄位是可以編輯的,您可以定義其定義及偵測規

則。

您也可以用滑鼠右鍵按一下一個或多個選取的裝置,然後按一下安全性和修補程

式資訊,直接在網路檢視中檢視特定掃描裝置的資訊。此對話方塊可以讓您偵

測、安裝及修復歷史記錄,並執行修補程式管理工作。

使用篩選自訂項目清單

篩選下拉清單可讓您建立及套用自訂顯示篩選,以控制顯示在「安全性和 Patch

Manager」視窗右窗格中的項目。篩選可以幫助您精簡大量的安全性和修補程式內

容。您可以依作業系統和嚴重性篩選內容。

篩選控制可以搭配類型控制使用,確切顯示出您想要的安全性和修補程式內容。

建立新的顯示篩選

34

1. 在安全性和 Patch Security Manager 中,按一下篩選下拉清單,然後按一下

管理篩選。

2. 按一下新增。

3. 輸入新的篩選名稱。

4. 如果要按作業系統篩選內容,就按一下核取方塊,然後選擇要顯示的作業系

統。

5. 如果要按定義的嚴重性篩選,就按一下核取方塊,然後選擇要顯示的嚴重

性。

6. 按一下確定。

套用篩選到內容群組的顯示

1. 按一下「安全性和 Patch Manager」視窗左側窗格中的內容群組。

2. 按一下篩選下拉清單,然後從清單中選擇篩選。


清除未使用的定義

LANDesk Security Suite 使用者指南

如果確定與您的環境無關,或者已成功修復而導致資訊過時,那麼就可以從「安全

性和 Patch Manager」視窗(及核心資料庫)中清除未使用的定義。

清除定義時,相關聯的偵測規則資訊也會從樹檢視的「偵測規則」群組中移除。不

過,此過程並不會移除相關修補程式檔案本身。必須從通常位於核心伺服器上的本

機資料檔案庫中手動移除修補程式檔案。

清除未使用的定義

1. 按一下工具 | 安全性 | 安全性和 Patch Manager。

2. 按一下清除未使用的定義工具列按鈕。

3. 選擇要移除定義的平台。可以從清單中選擇一個或多個平台。

如果定義與多個平台相關聯,則必須選擇所有相關聯的平台,才能移除該定

義。

4. 選擇要移除定義的語言(與上面選取的平台相關聯)。

如果在上述過程中選擇了 Windows 或 Macintosh 平台,則應指定要移除定義

的語言。如果選擇的是 UNIX 或 Linux 平台,則必須指定「語言中性」選

項,以移除其獨立於語言外的定義。

5. 按一下移除。

建立自訂定義和偵測規則

除了已知經由 LANDesk 安全性和 Patch Manager 服務更新的漏洞以外,還可以自

行建立自訂(或使用者定義)的定義 —附上自訂的偵測規則、關聯的修補程式檔

案以及其他特殊指令,以確保修補成功。

漏洞定義是由下列項目組成‥唯一的 ID、標題、發佈日期、語言、其他識別資

訊,以及偵測規則 (告知安全性掃描器要在目標裝置上尋找的內容)。偵測規則定義

特定的平台、應用程式、檔案或系統登錄表條件,安全性掃描器會依此條件檢查在

掃描裝置上偵測漏洞(或幾乎任何系統條件或狀態)。

安全性和 Patch Manager 的自訂漏洞定義是強大而靈活的功能,可以讓您在

LANDesk 系統上另外加設一層專用的修補程式安全性。除了增強修補程式安全

性,自訂漏洞還可以用於評估系統組態、檢查特定的檔案和系統登錄表設定值以及

部署應用程式更新,以及其他利用漏洞掃描器的掃描功能的創新使用方法。

35


使用者指南

建立自訂的受阻應用程式定義

您也可以建立自己的受阻應用程式類型自訂定義。請由類型下拉式清單中選擇受阻應用程式,輸入

可執行檔的檔名和該定義的描述名稱,接著按一下確定。

自訂定義不必執行修補動作 (部署和安裝修補程式檔案)。如果自訂定義是以「只有

偵測」偵測規則定義,或是以只能由安全性和 Patch Manager 偵測到的規則定義,

那麼安全性掃描器就會掃描目標裝置,並只向裝置報告發現規則指定條件(即漏

洞)之處。例如,您可以撰寫自訂的「只有偵測」規則,讓安全性掃描器檢查受管

理裝置的以下各項‥

36

• 應用程式的存在

• 檔案的存在

• 檔案的版本

• 檔案的位置

• 檔案的日期

• 系統登錄表設定

• 以及更多...

您可以視需要建立自訂漏洞定義,數目不限,在您的環境中建立並維護最佳修補程

式安全性狀況。

建立自訂定義

建立自訂定義

1. 按一下工具 | 安全性 | 安全性和 Patch Manager。

2. 從類型下拉式清單中,選擇所有類型期或自訂定義。(建立自訂定義工具

列按鈕僅在選取這兩種類型時,或是在想要建立自訂受阻應用程式定義而選

取受阻應用程式類型之時,才可使用。)

3. 按一下建立自訂定義工具列按鈕。開啟可編輯版本的「屬性」對話方塊,

讓您組態漏洞設定值。

4. 為漏洞輸入一個唯一的 ID。(系統產生的 ID 代碼可以編輯。)

5. 類型是「自訂定義」,而且無法修改。

6. 出版日期是當天日期,不能作修改。

7. 為漏洞輸入一個描述性的標題。該標題顯示在漏洞清單。

8. 指定嚴重層級。可用選項內含‥不詳、Service Pack、嚴重、高級、中級、

低級和不適用。

9. 指定漏洞的狀態。可用選項內含‥不掃描、掃描和未指派。指定狀態時,漏

洞是置於安全性和 Patch Manager 樹視圖中相對應的群組中(請參閱本章前

面的安全性和 Patch Manager 檢視)。

10. 使用者定義漏洞的語言設定自動設定為 INTL (國際或語言中性) ,即漏洞可

以套用到作業系統和/或應用程式的任何語言版本。


LANDesk Security Suite 使用者指南

11. 「偵測規則」清單顯示該漏洞使用的所有規則。如果是建立新的自訂漏洞,

應該至少組態一個偵測規則,供安全性掃描器用來掃描裝置,尋找漏洞。要

新增偵測規則,請按一下新增。(逐步的指示說明請參閱下列程序。)

12. 如果要提供該漏洞的其他資訊,請按一下描述標籤,將您的註解鍵入文字

方塊並/或輸入已張貼詳細資訊的有效網址。

與已知供應商的漏洞一樣,自訂漏洞也應該包含一個或多個偵測規則,告知安全性

掃描器在掃描受管理裝置時要尋找的條件。按照以下步驟,為自訂漏洞建立偵測規

則。

建立自訂偵測規則

建立自訂偵測規則

1. 用滑鼠右鍵按一下自訂定義,然後按一下屬性。(或者按兩下漏洞定

義。)

2. 按一下「偵測規則」清單下的新增按鈕。即開啟可編輯版本「規則屬性」

對話方塊的「一般資訊」頁,讓您組態偵測規則。

3. 在「一般資訊」頁上,輸入規則的唯一名稱。這裡不能修改規則的狀態。若

要變更偵測規則的狀態,請用滑鼠右鍵按一下任何清單檢視中的規則,然後

依目前的狀態而定,按一下啟用或停用。這裡也不能修改規則的定義資

訊。但是您可以在「註解」方塊中,輸入所要的任何資訊。

4. 請使用「規則屬性」對話方塊中各頁,在本程序其餘部份如上文所述定義偵

測規則。

5. 開啟「偵測邏輯」頁。

6. 在「受影響的平台」頁上,選擇您要安全性掃描器執行的平台,檢查該偵測

規則的定義。可用平台的清單會經由 LANDesk 安全性和 Patch Manager 服

務所更新的漏洞決定。按一下載入預設平台清單,將可用的平台新增至清

單中。您必須至少選擇一個平台。

7. 在「受影響的產品」頁上,將規則與一個或多個特定軟體應用程式相關聯。

首先按一下編輯,開啟「選取的受影響產品」對話方塊,您可以在其中新

增及移除「受影響的產品」清單中的產品 (您可以按一下對話方塊底部的

核取方塊,視個人需要縮短此清單)。可用產品的清單會經由 LANDesk

全性和 Patch Manager 服務所更新的內容來決定。您不一定需要有與偵測規

則相關聯的產品。關聯產品在安全性掃描過程中是用來作為篩選器。如果在

裝置上發現了指定的關聯產品,掃描就結束。但是,如果發現了產品,或者

沒有指定產品,掃描就繼續檢查檔案。

8. 在「檔案」頁上,組態您要規則掃描的特定檔案條件。按一下新增,讓此

頁上的欄位可以編輯。組態檔案條件的第一步是指定驗證方法。這個標籤上

的欄位視您選擇的驗證方法而異。要儲存檔案條件,請按一下更新。您可

以新增任意數量的檔案條件。有關此選項的詳細說明,請參閱本章後面的偵

37


使用者指南

38

測規則‥檔案頁。

9. 在「系統登錄表設定值」頁上,組態您要規則掃描的特定系統登錄條件。按

一下新增,讓欄位可以編輯。要儲存系統登錄表條件,請按一下更新。您

可以新增任意數量的系統登錄表條件。有關此選項的詳細說明,請參閱本章

後面的偵測規則‥系統登錄表標籤。

10. 您可以在「自訂腳本」頁上,建立自訂 VB 腳本,以協助此偵測規則的偵測

作業。可以用自訂腳本報告其結果之安全性掃描器代理程式的執行時間屬

性:偵測到的、原因、預期的和已找到的。

11. 在「修補程式資訊」頁上,指定與此偵測規則關聯的漏洞是否可以修復,或

是否只能在受管理的裝置上偵測。如果您選擇修復選項,「修補程式下載資

訊」和「修復資訊」欄位變得可以編輯。

12. 如果您可以透過部署修補程式來修復,將 URL 輸入該修補程式欄位,而且

指定是否可以自動下載。

您可以嘗試在此時按一下下載下載關聯的修補程式檔案,或者可以在其他時

間下載。

13. 而且,如果您可以透過部署修補程式來修復,請輸入修補程式檔案的唯一檔

案名稱,並指定是否需要重新啟動修補程式,以完成修補作業,以及修補程

式在修補過程中是否需要使用者輸入資料。

對於內含修補功能的偵測規則,我們極力推薦您,按一下產生 MD5 雜湊值

為修補程式檔案建立雜湊值。必須先下載實際的修補程式檔案才可以建立雜

湊值。有關雜湊值的詳細資訊,請參閱偵測規則‥修補程式資訊頁。

14. 對於允許與漏洞相關聯修補作業的規則,您可以組態其他指令,於修補過程

中在受影響的裝置上執行。若要組態其他修補指令,請按一下「修補程式安

裝指令」頁,然後按一下新增,選擇指令類型,並使指令的引數欄位可以

編輯。其他修補程式安裝指令並不需要。如果不組態特殊指令,修補程式檔

案就按照其正常方式執行。有關此選項的詳細說明,請參閱本章後面的偵測

規則‥修補程式安裝指令頁。

現在既然已經建立自訂漏洞定義,就可以依照產業來源的已知漏洞模式,對它執行

各項作業。您可以將漏洞的狀態設定為「掃描」,或者將其置於下一次安全性掃描

的「掃描」群組中、將其置於「不掃描」或「未指派」群組中、檢視受影響的電

腦、啟用「自動修復」功能、建立修復作業,或者清除掃描/修復狀態。若要選擇

選項,請用滑鼠右鍵按一下自訂漏洞定義,存取其快顯功能表。

使用者定義的定義所特有的兩項作業是匯入/匯出和刪除。


匯入和匯出自訂定義

LANDesk Security Suite 使用者指南

安全性和 Patch Manager 提供您方法,可以匯入和匯出自訂定義及其偵測規則。您

不能匯入及匯出已知的產業漏洞定義。

自訂定義是以 XML 格式的檔案匯出或匯入。

如果您要與其他核心伺服器共享自訂定義,那麼匯入和匯出就很有用。匯出可以讓

您為要從核心伺服器暫時移除的定義儲存備份副本。

還可以使用匯出/匯入功能來匯出定義,將匯出檔案當作範本以手動方式編輯,並

儲存各種不同版本的定義,然後匯入新定義。如果定義很複雜,此程序比在控制台

建立多個定義更快捷、更容易。

匯出自訂定義

1. 從「自訂定義」清單選擇一個或多個自訂定義。

2. 按一下匯出工具列按鈕。(或者用滑鼠右鍵按一下選擇的定義,然後按一

下匯出。)

3. 輸入您要以個別 XML 檔案匯出定義的資料夾路徑。

4. 如果您之前已經將定義匯出到指定的位置,現在想要加以取代,請按一下

覆寫現有定義。

5. 按一下匯出。檢查「匯出狀態」視窗,查看定義是否已成功匯出。

已匯出的定義會繼續留在核心資料庫中,因此仍然會出現在其狀態相關的

「自訂定義」群組中‥未指派、掃描或不掃描。

6. 按一下關閉。

匯入自訂定義

1. 在「安全性和 Patch Manager」視窗中,按一下匯入自訂定義工具列按鈕。

2. 尋找並選擇要匯入的一個或多個定義 (XML 檔案),然後按一下開啟。如果

定義已經在核心資料庫中,就會提示詢問您,是否要覆寫。檢查「狀態」視

窗,查看定義是否已成功匯入。

3. 按一下關閉。匯入的定義(新的和已更新的)是放入「自訂定義未指派」

群組中。

刪除自訂定義

如果不再需要自訂定義,就可以將它刪除。刪除自訂定義會將它的資訊及其相關聯

偵測規則,從核心資料庫及「安全性和 Patch Manager」視窗移除。(匯出不會移

除定義資訊。)

39


使用者指南

與清除已知的漏洞資訊一樣,刪除自訂定義不會移除任何已下載的相關聯修補程式

檔案。修補程式檔案必須手動從修補程式資料檔案庫刪除。

若要刪除自訂定義,請選擇一個或多個自訂定義,然後按一下工具列中的刪除所

選的自訂定義按鈕。

還原已匯出的自訂定義

如果刪除了先前已匯出為 XML 檔案的自訂定義,您可以將它匯入存回安全性和 Patch Manager,

還原該定義。

下載修補程式

若要在受影響的裝置上部署安全性修補程式,必須先將修補程式的可執行檔下載到

網路中的本機修補程式資料檔案庫中。下載修補程式檔案的預設位置是核心伺服器

上的 /LDLogon/Patches 目錄。您可以在「下載更新」對話方塊的「修補程式位

置」標籤上變更此位置。

修補程式下載位置和代理伺服器設定值

下載修補程式時永遠都是使用目前在「下載更新」對話方塊的「修補程式位置」標籤上設定的下載

位置。另請注意,如果您的網路使用代理伺服器存取網際網路,則必須先在「代理伺服器設定值」

標籤上組態代理伺服器的設定值,然後才能下載修補程式檔案。

安全性和 Patch Manager 首先嘗試從 URL(顯示在「修補程式屬性」對話方塊中)

下載修補程式檔案。如果無法建立連線,或者該修補程式由於不明原因無法使用,

則從 LANDesk 安全性服務(即 LANDesk 管理的資料庫,其中包含可信任的產業

來源) 下載修補程式。

可以一次下載一個修補程式,也可以一次同時下載一群組修補程式。

下載修補程式

40

1. 從任何一個「偵測規則」群組中,用滑鼠右鍵按一下偵測規則,然後按一下

下載修補程式。您也可以在建立或編輯自訂定義時,從「偵測規則」對話

方塊下載自訂定義的修補程式。

2. 或者,如果要下載一群組修補程式,請在任意「偵測規則」群組中選擇任意

數量的規則,滑鼠右鍵按一下該規則,然後按一下下載修補程式。

3. 「正在下載修補程式」對話方塊中將顯示下載作業和狀態。可以隨時按一下

取消來停止整個下載過程。

4. 下載完成後,按一下關閉按鈕。


下載相關的修補程式

LANDesk Security Suite 使用者指南

您亦可僅下載與特定漏洞相關聯的那些修補程式(或要求修補程式以進行修補的其

他安全性內容類型定義),或所選漏洞的群組。要執行以上作業,請以滑鼠右鍵按

一下定義,按一下下載相關修補程式,再選取是對於所有相關修補程式或目前修

補程式而言,然後按一下下載。

有關修補程式檔案下載狀態的詳細資訊,請參閱本章前面的瞭解安全性和 Patch

Manager 視窗。

解除安裝修補程式

您可以解除安裝已部署到受管理裝置的修補程式。

例如,您可能要解除安裝與現有組態造成意外衝突的修補程式。解除安裝修補程式

以後,您可以將裝置還原到原來的狀態。

解除安裝修補程式

1. 從任何偵測規則清單中,用滑鼠右鍵按一下一個或多個規則,然後按一下

解除安裝修補程式。

2. 輸入解除安裝工作的名稱。

3. 指定解除安裝是排程工作或以原則為基礎的掃描,或兩者都是。

4. 如果選擇了排程工作,就指定您要從中解除安裝修補程式的裝置。

5. 如果必須存取原始可執行檔(也就是,要使用指令行參數),才能解除安裝

修補程式,而您要使用「定向多點傳送」部署可執行檔,請核取使用多點

傳送核取方塊。要組態多點傳送選項,請按一下多點傳送選項按鈕。有關

詳細資訊,請參閱下面的關於多點傳送選項對話方塊。

6. 如果選擇了原則,而您要根據此解除安裝工作,建立將來可用的新查詢,請

按一下新增查詢核取方塊。

7. 從可用的清單中選擇掃描和修復設定(或建立此掃描的自訂設定),決定掃

描器在一般使用者裝置上的作業方式。

8. 按一下確定。對於排程工作,您現在可以在「排程工作」工具中,新增目

標裝置並組態排程選項。對於原則,新原則會與上面指定的工作名稱一併顯

示在「應用程式原則管理」視窗中。在此可以新增靜態目標(使用者或裝

置)和動態目標(查詢結果),還可以組態原則的類型和頻率。

從核心資料庫移除修補程式

若要永久移除修補程式檔案,必須從通常位於核心伺服器上的修補程式資料檔案庫

中刪除檔案。

41


使用者指南

使用 LANDesk 信任存取

LANDesk 信任存取是 LANDesk Security Suite 全面安全性管理解決方案中的最新產

品。LANDesk 信任存取允許您保護您的電腦免遭未經授權的存取與外部安全性威

脅,例如會感染並破壞您網路的易受攻擊裝置或惡意入侵。

信任存取允許您定義自訂安全性原則、掃描受管理及不受管理裝置的原則符合性、

驗證連線裝置的健全性狀態(或 態勢),並依據裝置與您的安全性原則的符合

性,拒絕或允許存取重要網路資源。健全(或信任)裝置被授予完整的網路存取權

限。但是,如果裝置被確定為不健全,則它將被阻止存取網路並保留在虛擬隔離區

域當中,在此區域內,可使用 LANDesk 安全性與 Patch Manager 修補功能修復裝

置,或允許裝置進行有限的網路存取。

LANDesk 的兩種信任存取解決方案

LANDesk 信任存取透過使用業界標準安全性技術與系統,強制執行邊界點安全

性。LANDesk 提供下列兩套解決方案建置信任存取服務‥

42

• Proprietary LANDesk DHCP 解決方案

• 整合 Cisco NAC 解決方案

本指南提供關於如何設定、組態、啟用並使用這兩種解決方案的詳細資訊。

本介紹性章節提供信任存取技術與服務的基本概觀;說明相關的 Security Suite

決條件與工具;比較兩種 LANDesk 信任存取解決方案;並包含關於設定與使用每

個解決方案相關部份的連結。

重要說明‥設定 LANDesk 信任存取所需的技術性知識與技能

本指南充分介紹了安裝、組態與使用 LANDesk DHCP 與 Cisco NAC 解決方案的 LANDesk 信任存

取服務所需的所有概念與步驟。

請注意‥除了基本的 LANDesk 核心伺服器安裝外,LANDesk 信任存取亦要求其他的硬體與軟體

組態。由於其他設定工作的技術性質,本指南假定您熟悉 Cisco 網路存取控制 (NAC) 與 Cisco 安

全存取控制伺服器 (ACS) 組態及作業、與/或 DHCP 伺服器管理及 DHCP 通訊協定,以及進階網

路基礎結構設計原則與管理。

為了設定 LANDesk 信任存取,您必須認識到可能需要諮詢 LANDesk 技術支援代表與/或附屬的

LANDesk 系統工程師。但是,您應該相信‥只要進行正確組態與建置,LANDesk 信任存取將顯著

增強您企業網路的總體安全性與保護。

閱讀本章後,您將瞭解以下內容‥


LANDesk 信任存取概觀

LANDesk 信任存取服務概觀

• 符合性安全性原則

• 瞭解基本信任存取元件

Security Suite 必要條件

• 符合性掃描的支援裝置平台

• 以角色為基礎的 LANDesk 信任存取管理

• 瞭解兩種解決方案並選擇 LANDesk DHCP 或 Cisco NAC

• 使用 LANDesk DHCP 解決方案(連結各個章節)

• 設定 LANDesk DHCP 建置的快速入門工作清單

• 使用 Cisco NAC 解決方案(連結各個章節)

• 設定 Cisco NAC 建置的快速入門工作清單

LANDesk 信任存取概觀

LANDesk Security Suite 使用者指南

LANDesk 信任存取透過允許您防止易受攻擊或損壞的裝置被網路存取,並保護重

要網路資源不與被損壞的系統連接,為您的網路新增一個額外的保護層。

透過支援普遍的業內標準與方法,例如 Cisco NAC 方案,並提供其自身的 DHCP

標準解決方案,LANDesk 信任存取為您的網路提供建置網路存取控制功能的靈活

性。使用網路存取控制,您可在任何裝置嘗試連接您的網路時,評估該裝置的安全

性憑證(透過將其與自訂安全性原則相比較)、監視已連線裝置的安全性狀態、允

許或拒絕網路存取、隔離不符合安全性原則要求的裝置,並修補易受攻擊的裝置,

以便能重新掃描它們的安全性原則符合性,並在它們被認定為健全時允許網路存

取。

符合性安全性原則

符合性安全性原則由透過檢查以下各項來驗證裝置健全性狀態的規則組成。漏洞

(格式為遺漏或過時的作業系統與應用程式修補程式)、軟體更新、防毒引擎與簽

名檔案、防火牆存在與設定值,及 spyware。有關在控制台中定義安全性與 Patch

Manager 內的符合性安全性原則的詳細資訊,請參閱組態符合性安全性並發佈信任

存取設定值。

以下部份說明 LANDesk 信任存取建置的基本元件、各元件的角色以及它們如何互

相作用。在涵蓋各個特定解決方案的主題中,各自顯示了更為詳細的圖表與過程流

程。有關詳細資訊,請參閱‥

• 使用 LANDesk DHCP 解決方案

• 使用 Cisco NAC 解決方案

43


使用者指南

LANDesk 信任存取好處與功能的摘要

您可透過 LANDesk 信任存取達到以下目的‥

44

• 建立並強制執行自訂符合性安全性原則

• 建置更強大、不間斷的企業安全性

• 存取連線裝置的安全性憑證(健全性狀態)

• 阻止受感染或破壞的系統存取網路

• 隔離安全區域內的非符合裝置

• 修補被感染的裝置以使它們具備符合性

• 減少惡意入侵感染導致的當機

• 保護您的網路、系統、應用程式和資料免受外部威脅的損壞

• 拓展現存安全性技術和標準


瞭解基本的信任存取元件

LANDesk Security Suite 使用者指南

本部份說明 LANDesk 信任存取建置中的基本元件、各元件的角色及其互動作業。

元件 說明(D)

嘗試存取網路的

裝置

網路存取控制裝


包括偶然連線或行動膝上型電腦、造訪的承包商與訪客使用者,以及試圖

存取企業網路的常規網路使用者。

安裝了信任代理程式的裝置(用於 LANDesk DHCP 信任存取的 LANDesk

信任代理程式或 LTA;用於 Cisco NAC 信任存取的 Cisco 信任代理程式或

CTA )可與原則伺服器或 Posture 驗證伺服器通訊,以傳送並接收健全性

憑證資訊,且能在安全性掃描偵測出漏洞的情況下,透過修補伺服器進行

修復。

未安裝信任代理程式,則裝置不能與 posture 驗證伺服器通訊,且不能被

修補。如首次掃描未安裝信任代理程式的裝置,則裝置需要指向有關安裝

相關信任代理程式的連結 Web 頁。有關詳細資訊,請參閱「使用 HTML

模板」頁。(註: Cisco NAC 解決方案不能重新導向到 Web 頁面。但是,

裝置將顯示一個由網路管理員組態的訊息方塊(可用於指定管理員是否以

該方式設定 Web 頁。)

Cisco NAC 環境中的 Cisco 路由器(與 Cisco 安全 ACS 一起使用)。

LANDesk DHCP 環境中的 LANDesk DHCP 伺服器(利用代表擁有隔離子

網路與主子網路的虛擬路由器的「範圍」組態。

網路存取裝置可充當開始 Posture 驗證與驗證過程的裝置景深中的「第一

躍點」網路裝置。

原則伺服器 專用後端伺服器亦稱為 Posture 驗證伺服器,用於依據從 LANDesk 核心

伺服器向伺服器發佈的符合性規則(安全性原則),評估請求存取裝置的

態勢憑證(狀態)。經由網路存取控制裝置傳送驗證回應(健全、不健全

等等)。

LANDesk DHCP 與 Cisco NAC 信任存取建置都使用 Posture 驗證伺服

器。

企業網路 LANDesk 信任存取保護不受不健全、被感染或易受攻擊的裝置連線的重要

網路區域與資源。

隔離 VLAN 保護非符合裝置,並且可修補、重新掃描並授予對企業網路的完整存取,

或保留限制存取如網際網路等網路資源的虛擬安全網路區域。

45


使用者指南

基本元件與過程流程

嘗試網路存取的

裝置‥

(受管理和不受

管理的定期使用

者和/或訪問者

裝置)

46

網路存取控制裝

置‥

原則

伺服器‥

(路由器) (評估和強制執行符

合性安全性原則的

Posture 驗證伺服

器)

隔離 VLAN‥

(保護

和/或修補

非符合、非健全裝置的安全區域)

Security Suite 必要條件

企業

網路‥

(授予

符合性、健全性裝置的網路存

取)

要使用 LANDesk 信任存取功能,您必須具備有效 Security Suite 授權(由核心伺服

器產生)。信任存取不僅要求安全性和 Patch Manager 工具具備掃描和修補功能,

還必須包含 Security Suite 內容訂閱,以便下載漏洞、spyware、系統組態威脅,和

其他用於建立自訂符合性條件與規則或安全性原則的病毒定義。

新群組稱為「符合性」群組,並被新增至安全性和 Patch Manager 的樹視圖。擁有

安全性和 Patch Compliance 權限的使用者,可將安全性類型定義新增至「符合性」

群組或從「符合性」群組內移除。「符合性」群組包含的安全性定義組成了符合性

安全性原則,並在連線裝置上被掃描,以確定它們的健全性狀態。

關於 Security Suite 內容訂閱的詳細資訊,請參閱使用安全性和 Patch Manager。

符合性掃描的支援裝置平台

如同其相關安全性和 Patch Manager 工具,LANDesk 信任存取服務支援大多數標準

LANDesk Management Suite 裝置平台,包括下列作業系統:


• Windows NT (4.0 SP6a 版和更高版本)

• Windows 2000 SP4 / 2003 / XP SP1

LANDesk Security Suite 使用者指南

有關組態受管理裝置符合性掃描的資訊(安裝相關的信任代理程式,以允許與路由

裝置及 Posture 驗證伺服器進行通訊),請參閱相應的 LANDesk DHCP 與 Cisco

NAC 部份。

• 在裝置上安裝 LANDesk 信任代理程式以啟用符合性掃描

• 在裝置上安裝 Cisco 信任代理程式以啟用符合性掃描

以角色為基礎的 LANDesk 信任存取管理

LANDesk 信任存取視乎以下兩個安全性和 Patch Manager 權限和 LANDesk 管理員

權限。

安全性和 Patch Manager 權限

檢視和存取安全性和 Patch Manager 工具,並下載定義符合性規則所需的安全性內

容更新時需要此權限。

安全性和修補程式符合性權限

從「符合性」群組中新增或移除安全性定義時需要該權限。

LANDesk 管理員權限

使用信任代理程式組態符合性掃描裝置,並在控制台中組態信任存取服務時需要該

權限。

註:ANDesk 管理員權限隱含所有其他權限,包括上述兩個與安全性相關權限。

47


使用者指南

瞭解兩種解決方案並選擇 LANDesk DHCP 或

Cisco NAC

以下部份說明 LANDesk 信任存取的 LANDesk DHCP 解決方案和 Cisco NAC 解決

方案的優勢和劣勢。

評估 LANDesk DHCP 解決方案

優勢‥

48

• 使用 DHCP 篩選

• 無特定的硬體要求

• 更經濟

劣勢‥

• 安全性較低

• 僅 Windows 信任代理程式

• 需要適用於 LANDesk DHCP 伺服器的專用機器

• 需要變更網路基礎結構

評估 Cisco NAC 解決方案

優勢‥

• 強大安全性

• 包含 Cisco 支援

劣勢‥

• 較為昂貴(特別是您還未擁有適當的 Cisco 硬體時)

• 需要特定供應商提供硬體

• 僅 Windows 信任代理程式

• 可能需要進行重大網路組態變更

• 可能不適合小型企業

選擇一種 LANDesk 信任存取解決方案

按一下以下連結,瞭解如何設定、組態並使用每個 LANDesk 信任存取解決方案‥


• 使用 LANDesk DHCP 解決方案

• 設定 LANDesk DHCP 建置的快速入門工作清單

• 使用 Cisco NAC 解決方案

• 設定 Cisco NAC 建置的快速入門工作清單

使用 LANDesk DHCP 解決方案

LANDesk Security Suite 使用者指南

本部份說明如何計劃、設定、組態和啟用 LANDesk 信任存取的 LANDesk DHCP

建置。

若擁有 LANDesk DHCP 解決方案,DHCP 伺服器可用於 IP 位址篩選與路由。

LANDesk DHCP 伺服器與主 DHCP 伺服器一起用於將 IP 位址指派給嘗試存取網路

的裝置,並與 Posture 驗證伺服器進行通訊,以驗證嘗試存取網路的裝置的健全性

或態勢。(下圖顯示 LANDesk DHCP 信任存取建置的元件與過程工作流程。)在

LANDesk DHCP 建置中,LANDesk DHCP 伺服器實際上用作網路存取裝置,以依

據裝置的健全性憑證允許或拒絕存取裝置。

另外,使用 LANDesk DHCP 解決方案,如果您不希望裝置完全進行態勢驗證過

程,並希望允許它們立即存取企業網路,可將指定裝置新增至排除清單(經由其電

腦或 MAC 位址識別)。

除特定的 LANDesk DHCP 伺服器元件外,您還必須設定一個 posture 驗證伺服器與

修補伺服器,以建置 LANDesk 信任存取。

重要說明‥設定 LANDesk 信任存取所需的技術知識與技能

請注意,LANDesk 信任存取除需要基本的 LANDesk 核心伺服器安裝之外,亦要求其他的硬體與

軟體組態。由於其他設定工作的技術性質,本指南假定您熟悉 Cisco 網路存取控制 (NAC) 與 Cisco

安全存取控制伺服器 (ACS) 組態及作業、與/或 DHCP 伺服器管理及 DHCP 通訊協定,以及進階

網路基礎結構設計原則與管理。

閱讀本章後,您將瞭解以下內容‥

設定 LANDesk DHCP 信任存取建置

• 設定 LANDesk DHCP 建置的快速入門工作清單

• 瞭解 LANDesk DHCP 元件及過程工作流程

LANDesk DHCP 建置的網路拓樸及設計注意事項

• 在裝置上安裝 LANDesk 信任代理程式以啟用符合性掃描

• 設定和組態 Posture 驗證伺服器

• 設定和組態修補伺服器

• 設定 LANDesk DHCP 伺服器

設定 LANDesk DHCP 建置之後應如何

49


使用者指南

完成以上列示的設定工作之後,建置 LANDesk 信任存取的下一步驟為‥定義您的

符合性安全性原則,並向 Posture 驗證伺服器與修補伺服器發佈信任存取設定值。

這些工作是一樣的,且套用於 LANDesk DHCP 與 Cisco NAC 解決方案。有關執行

這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。

此外,要瞭解其他不間斷信任存取管理工作的詳細資訊,例如‥確保啟用(開啟)

了信任存取服務、使用「允許/限制存取全部」選項、瞭解安排連線裝置時所執行

的作業、更新符合性安全性規則和原則並重新發佈到 Posture 驗證伺服器和修補伺

服器、將不受管理的裝置新增到「不受管理裝置探索」工具、檢視受影響的裝置、

組態登入和產生報告,請參閱管理符合性安全性。

設定 LANDesk DHCP 建置的快速入門工作清單

使用此工作檢查清單幫助保持跟蹤設定 LANDesk DHCP 解決方案所需步驟。使用

設定 LANDesk DHCP 建置的快速入門工作清單。

50


瞭解 LANDesk DHCP 元件與過程工作流程

LANDesk Security Suite 使用者指南

此部份說明了組成 LANDesk DHCP 解決方案的元件。此外,該部份亦說明了裝置

於啟用 LANDesk 信任存取時,嘗試存取或連線至企業網路時將執行什麼作業。以

下圖示與過程工作流程介紹了裝置上安裝或未安裝「LANDesk 信任代理程式」

(LTA) 的方案。

LANDesk DHCP 為基礎的信任存取服務需要以下元件‥

所需元件

元件 說明(D)

LANDesk 核心伺服器 提供用於以下用途的安全性和 Patch Manager 工具‥下載安全性內

容(例如作業系統與應用程式漏洞定義、spyware 定義、系統組態、

系統組態安全性威脅、防毒與防火牆組態定義等等)、 定義符合性

條件、組態 Posture 驗證伺服器與修補伺服器,並組態與發佈信任存

取設定值(包括符合性安全性規則,或掃描並修復裝置的原則及修補

資源)。

企業 DHCP 伺服器 提供永久性的 IP 位址給態勢驗證為健全的裝置。經由安裝在主

DHCP 伺服器上的軟體外掛程式與 LANDesk DHCP 伺服器進行通

訊。

Posture 驗證伺服器 依據以下兩個因素,確定連線裝置是否擁有健全或非健全態勢‥符合

性安全性原則(安全性和 Patch Manager 工具中的符合性群組的內

容)與組態信任存取對話方塊中健全性定義設定內指定的健全掃描的

小時數。Posture 驗證伺服器為驗證過程中的原則決策點。

修補伺服器 包含必要的設定與支援檔案(安全性用戶端、安全性類型定義與所需

的修補程式,以及 HTML 範本頁),用於掃描裝置上由安全性原則

識別的漏洞,並修補(修復)所有偵測到的漏洞,以便裝置能被掃描

為健全或符合,且能存取網路。

LANDesk DHCP 伺服


充當網路存取裝置,強制執行符合性安全性原則。與嘗試存取的連線

裝置與 Posture 認證伺服器進行通訊,以評估邊界點裝置的態勢憑

證。 將臨時 IP 位址指派給搜尋網路存取的裝置,直到裝置符合符合

性安全性條件,並能被給予來自主 DHCP 伺服器的永久 IP 位址。換

而言之,在 LANDesk DHCP 環境中,DHCP 伺服器為網路的原則強

制執行點,並能授予或拒絕存取特權。

路由器 充當網路存取裝置,強制執行符合性安全性原則。與嘗試存取的連線

裝置與 LANDesk DHCP 伺服器進行通訊,以評估邊界點裝置的態勢

憑證。 在 LANDesk DHCP 伺服器環境中,需要將路由器/交換器

組態為支援 BOOTP/DHCP 轉送功能。

裝置 嘗試存取企業網路的行動或訪客使用者以及常規網路使用者裝置。典

型的邊界點裝置包含桌上型電腦與膝上型電腦,但亦可能為"無用戶

端"裝置,例如印表機等。LANDesk 信任存取允許您評估這些連線裝

置的健全性狀態,並依據這些連線裝置的態勢認證控制網路存取。

下圖顯示了上述元件的典型組態,以及那些元件之間的態勢驗證過程或工作流程。

51


使用者指南

LANDesk DHCP 元件

下圖顯示特定 LANDesk DHCP 元件‥

52


未安裝 LTA 的裝置的態勢驗證過程

LANDesk Security Suite 使用者指南

下圖顯示了嘗試存取網路的裝置在未安裝 LANDesk 信任代理 (LTA) 時,LANDesk

DHCP 環境中各種元件之間的工作流程或通訊流量。插圖編號表示過程的每一階

段,以下步驟清單將做出說明。

過程工作流程‥

1. 未使用 LANDesk 信任代理程式 (LTA) 組態的裝置經由 LANDesk DHCP 伺

服器初次嘗試存取企業網路,並要求 IP 位址。

2. LANDesk DHCP 伺服器經由檢視選項 60 確定其是否為受支援的平台。如果

是受支援的平台,LANDesk DHCP 伺服器將確定該裝置的健全性狀態是否

已知/已快取(或該裝置是否被包含在「例外清單」中)。

3. LANDesk DHCP 伺服器將隔離 VLAN IP 位址返回到裝置(來自於 IP 位址集

區)。如該裝置不是受支援的平台,或如果它被包含於「例外清單」中,則

將向主企業 DHCP 伺服器轉送請求。

4. 此時,裝置可以安裝 LANDesk 信任代理程式並(從 unhealthyLDDHCP.html

頁面)執行安全性用戶端,以便掃描並修補任何現存的漏洞,並變為健全或

符合企業安全性原則,以及獲取對網路的存取權限。或者,視乎由網路管理

員在路由器上定義的存取控制規則 (ACL),裝置可以仍保留在隔離 VLAN

上,僅擁有有限的網路存取權限。

53


使用者指南

安裝 LTA 的裝置的態勢驗證過程

下圖顯示了嘗試存取網路的裝置在安裝了 LANDesk 信任代理程式 (LTA) 時,

LANDesk DHCP 環境中各種元件之間的工作流程或通訊流量。插圖編號表示過程

的每一階段,如下說明。

LANDesk DHCP 態勢驗證過程分為三個階段。

階段 1‥初次存取嘗試(已指派的臨時/隔離 IP 位址;提供的修補)

首次存取嘗試的過程工作流程‥

54

1. 使用 LANDesk 信任代理程式 (LTA) 組態的裝置經由 LANDesk DHCP 伺服

器初次嘗試存取企業網路,並要求 IP 位址。

2. LANDesk DHCP 伺服器經由檢視選項 60 確定其是否為受支援的平台。如果

是受支援的平台,LANDesk DHCP 伺服器將確定該裝置的健全性狀態是否

已知/已快取(或該裝置是否被包含在「例外清單」中)。

3. LANDesk DHCP 伺服器將隔離 VLAN IP 位址返回到裝置(來自於 IP 位址集

區)。如該裝置不是受支援的平台,或如果它被包含於「例外清單」中,則

將向主企業 DHCP 伺服器轉送請求。

4. 由於裝置上安裝了信任代理程式,所以瀏覽器能啟動並重新導向到核心伺服

器應已向修補伺服器發佈的「安裝」頁。該頁所包含連結,允許您安裝代理

程式並執行安全性掃描器,以掃描符合性並執行必需的修補。

5. 執行安全性用戶端(掃描器)以便掃描並修補任何現存漏洞和符合性安全性


LANDesk Security Suite 使用者指南

原則中定義的其他安全性風險。成功的修補將幫助裝置成為符合或健全裝

置,以便裝置能繼續 LANDesk DHCP 態勢驗證過程的下一個步驟。

階段 2‥已修補裝置存取嘗試(已重新指派的 IP 位址;已請求的態勢狀況)

第二次存取嘗試的過程工作流程‥

6. 修補後的裝置嘗試經由 LANDesk DHCP 伺服器再次存取網路並要求 IP 位

址。

7. LANDesk DHCP 伺服器將裝置視為依然處於隔離狀態,因此...

8. LANDesk DHCP 伺服器將相同的隔離 VLAN IP 位址返回到裝置,並立即查

詢裝置上 LTA 的健全態勢陳述式。

55


使用者指南

階段 3‥裝置態勢驗證(已指派永久性 IP 地址到正常裝置; 已授予網路存取)

態勢驗證和網路存取的過程工作流程‥

56

9. 裝置將其態勢陳述式(健全性狀態)返回至 LANDesk DHCP 伺服器。

10. LANDesk DHCP 伺服器將裝置態勢陳述式轉送至 Posture 驗證伺服器。

11. Posture 驗證伺服器向 LANDesk DHCP 伺服器傳送態勢回覆。(注意,就是

Posture 驗證伺服器充當網路存取控制過程中的決策點,這就意味著它確定

尋找網路存取的裝置的態勢或健全狀態。)

12. LANDesk DHCP 伺服器與將態勢回覆裝置傳送至裝置。

13. 如果裝置被視為不健全(或不符合),則它仍舊保留於隔離 VLAN 中。如

果裝置被視為健全(或符合),則裝置將再次請求來自 LANDesk DHCP 伺

服器的 IP 位址。

14. 此時,LANDesk DHCP 伺服器將裝置識別為健全,並將 IP 位址請求傳遞到

主企業 DHCP 伺服器上。

15. 主企業 DHCP 伺服器通知 LANDesk DHCP 伺服器已指派一個永久性 IP 位址

到健全裝置,並且...

16. 主 DHCP 伺服器將永久性位址返回到健全性裝置,並且授予裝置存取企業

網路的權限。


LANDesk Security Suite 使用者指南

LANDesk DHCP 信任存取建置的網路拓樸與設計注意事項

設計 LANDesk DHCP 信任存取建置時,您必須牢記以下問題‥

• 隔離網路不能檢視到 LANDesk 核心伺服器。

LANDesk DHCP 伺服器需要位於用戶端路由器/交換器的另一側。

• 路由器須支援路由器用戶端一側的主子網路與次子網路。

• 路由器需要組態,以轉送廣播的 BOOTP/DHCP 請求至 LANDesk DHCP 伺

服器(轉送代理程式或 IP 幫手)。

• 主 DHCP 伺服器須與 LANDesk DHCP 伺服器一樣,位於路由器的同一側。

LANDesk DHCP 伺服器能服務數個隔離子網路,因此僅需要一個 LANDesk

DHCP 伺服器。

• 不要將 LANDesk DHCP 伺服器與主 DHCP 伺服器放置於同一機殼內;它們

不能使用同一連接埠。

• 修補伺服器與 Posture 驗證伺服器可與 LANDesk DHCP 伺服器電腦被安裝於

同一機殼內,但如果出現效能或延展性問題,則可將它們移至它們自己的伺

服器電腦。

• 路由器必須組態為使用真實子網路作為主子網路,將隔離子網路作為次子網

路。

• 次子網路應限制為僅能看到修補伺服器。

在裝置上安裝 LANDesk 信任代理程式以啟用符合性掃描

必須為裝置安裝 LANDesk 信任代理程式 (LTA),以便與 LANDesk DHCP 伺服器和

Posture 驗證伺服器進行通訊,並評估它的健全性態勢。

請記住,為了提供附加的裝置管理功能,即使您正在使用 Cisco NAC 解決方案,

亦可在受管理裝置上安裝 LTA(包括清單掃描器和本機排程器)。即,裝置上可

以安裝兩種信任代理程式。然而,如果您正在使用 LANDesk DHCP 解決方案,則

不可在受管理裝置上安裝 CTA。

安裝完全標準的 LANDesk 代理程式的重要附註‥ 您必須在裝置安裝完全標準的 LANDesk 代理程

式,以防止自動離開網路的健全裝置在下次連線您的網路時,被授權存取沒有經過安全性符合性掃

描的網路(這樣將妨礙態勢驗證過程)。

如果某裝置僅安裝了適用信任代理程式(CTA 或 LTA),則它將被視為健全的,且不經態勢驗證就

能返回網路。

要防止以上情況發生,請儘量在您的裝置上安裝完全標準的 LANDesk 代理程式。

要在受管理的僱員裝置上安裝 LANDesk 信任代理程式

• 如果裝置已有標準 LANDesk 代理程式,則使用新裝置代理程式組態安裝

LTA

57


使用者指南

58

• 或者,如果裝置沒有標準 LANDesk 代理程式,則使用首次代理程式組態安

裝 LTA

• 或者,使用代理程式組態為 UDD 中的裝置安裝 LTA

要在不受管理的僱員裝置上安裝 LANDesk 信任代理程式

• 透過「拉」標準 LANDesk 代理程式 (wscfg32.exe) 來安裝 LTA

• 或者使用自己的代理程式組態

要在新的一般使用者裝置(僱員或訪問者)上安裝 LANDesk 信任代理程式

• 使用 UNC 或 URL 路徑手動安裝 LTA(使用修補 Web 共享目錄上的

unhealthyLDDHCP.html 頁面)

設定和組態 Posture 驗證伺服器

這是普通元件,因此對於 LANDesk DHCP 與 Cisco NAC 信任存取解決方案來說都

是普通工作。

有關詳細資訊與逐步說明,請參閱設定和組態 Posture 驗證伺服器。

設定和組態修補伺服器

這是普通元件,因此對於 LANDesk DHCP 與 Cisco NAC 信任存取解決方案來說都

是普通工作。

有關詳細資訊與逐步說明,請參閱設定修補伺服器。

設定 LANDesk DHCP 伺服器

這是 LANDesk DHCP 解決方案的唯一程式。有關詳細資訊(包括為 LANDesk

DHCP 解決方案組態路由器/交換器),請參閱設定 LANDesk DHCP 伺服器。

設定 LANDesk DHCP 建置之後應如何

完成以上列示的設定工作之後,建置 LANDesk 信任存取的下一步驟為‥定義您的

符合性安全性原則,並向 Posture 驗證伺服器與修補伺服器發佈信任存取設定值。

這些工作是一樣的,且套用於 LANDesk DHCP 與 Cisco NAC 解決方案。有關執行

這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。


LANDesk Security Suite 使用者指南

此外,要瞭解其他不間斷信任存取管理工作的詳細資訊,例如‥確保啟用(開啟)

了信任存取服務、使用「允許/限制存取全部」選項、瞭解安排連線裝置時所執行

的作業、更新符合性安全性規則和原則並重新發佈到 Posture 驗證伺服器和修補伺

服器、將不受管理的裝置新增到「不受管理裝置探索」工具、檢視受影響的裝置、

組態登入和產生報告,請參閱管理符合性安全性。

59


使用者指南

設定 LANDesk DHCP 建置的快速入門工作清單

使用此快速入門工作清單完成必需的規劃、安裝及組態工作,以使 LANDesk

DHCP 建置 LANDesk 信任存取並在您的網路上執行。

您可列印本工作清單作為參考,以追蹤建置過程每個步驟。若線上檢視本工作清

單,則可按一下有關詳細資訊連結以檢視有關該特定工作的詳細資訊及說明。

設定單個信任存取伺服器

就該快速入門工作清單而言,Posture 驗證伺服器、修補伺服器和 LANDesk DHCP 伺服器都安裝

並組態在稱為信任存取伺服器的相同機器上。如果該組態在技術上可行,並且將建立一個功能

LANDesk DHCP 信任存取環境,請牢記它可能不是您企業網路最合適的組合。

設定 LANDesk DHCP 建置的快速入門工作清單

完成

(D)

60

工作(K) 有關詳細資訊,到

必要條件: LANDesk Management Suite 8.6 核心伺服

器必須在您的網路上安裝並執行,並使用 LANDesk

Security Suite 授權和安全性內容訂閱啟用‥

• 安裝核心伺服器

• 使用 Security Suite 授權啟用核心伺服器

• 作為管理員使用者登入,或作為擁有「安全性

和修補程式管理」及「安全性和修補程式符合

性」權限的使用者登入(允許下載安全性和修

補程式內容,並將其複製到「符合性」群組)

在裝置上安裝 LANDesk 信任代理程式 (LTA) 以啟用符

合性掃描‥

• 對於受管理的僱員裝置‥

如果已安裝標準 LANDesk 代理程式,則使用新

裝置代理程式組態安裝 LTA

如果未安裝標準 LANDesk 代理程式,則使用首

次代理程式組態安裝 LTA

或使用代理程式組態為 UDD 中的裝置安裝 LTA

• 對於不受管理的僱員裝置‥

透過「拉」標準 LANDesk 代理程式

(wscfg32.exe) 來安裝 LTA

或者使用自己的代理程式組態來安裝

• 對於新的一般使用者裝置(僱員或訪問者)‥

使用 UNC 或 URL 路徑手動安裝 LTA(使用修

使用安全性和 Patch Manager

有關 LANDesk DHCP 元件和

過程工作流程(包括圖示)的

資訊,請參閱瞭解 LANDesk

DHCP 元件和過程工作流程。

有關 LANDesk DHCP 信任存

取建置的網路拓樸及設計注意

事項,請參閱 LANDesk DHCP

建置的網路拓樸及設計注意事

項。

在裝置上安裝 LANDesk 信任

代理程式以啟用符合性掃描


補 Web 共享目錄上的 unhealthyLDDHCP.html

頁面)

確定並組態符合以下系統需求的單個信任存取伺服器‥

• 使用 .NET Framework 1.1 的 Windows 2000

或更高版本

• 安裝並執行 Web 伺服器 (IIS)

• 靜態 IP 位址

• 伺服器必須位於路由器/交換器上與連線裝置

相對一側

• 不能為當前 DHCP 伺服器

• 不能為 PXE 代表電腦

• 不能為核心伺服器

安裝 Posture 驗證伺服器‥

• 在信任存取伺服器上(參見上文),

• 執行位於以下地址的安裝程式‥

\LDMain\Install\TrustedAccess\P

ostureServer

LANDesk Security Suite 使用者指南

設定和組態 Posture 驗證伺服


安裝修補伺服器‥

設定和組態修補伺服器

• 在信任存取伺服器上,

• 建立一個名為 LDLogon 的 Web 共享目錄(一

般位於‥c:\inetpub\wwwroot\LDLogon)

• 使用 IIS 工具可以‥為 .lrd 檔案新增一個 MIME

類型並將其設定為應用程式/octet-stream,並

啟用 LDLogon 共享目錄讀取和瀏覽權限的匿名

存取權。

使用安全性和 Patch Manager 工具定義符合性安全性‥

• 在控制台的安全性和 Patch Manager 工具中,

• 下載安全性內容定義和修補程式

• 將安全性定義新增到「符合性」群組以定義您

的符合性安全性原則。

• 請確保下載了相關聯的修補程式

組態 Posture 驗證伺服器‥

• 在安全性和 Patch Manager 中,用滑鼠右鍵按

一下「信任存取」群組,再按一下「組態信任

存取」

• 輸入 Posture 驗證伺服器名稱,按一下「新

增」將其新增到清單,再按一下「確定」。

組態修補伺服器‥

• 在安全性和 Patch Manager 中,用滑鼠右鍵按

一下「信任存取」群組,再按一下「組態修補

在安全性和 Patch Manager 工

具中定義符合性安全性條件

設定和組態 Posture 驗證伺服


設定和組態修補伺服器

61


使用者指南

62

伺服器」,然後按一下「新增」

• 輸入修補伺服器 IP 位址、您在發佈檔案所在的

修補伺服器上建立的 LDLogon Web 共享目錄

的 UNC 路徑和使用者存取憑證,然後按一下

「確定」

將所有信任存取設定值發佈到相關伺服器‥

• 在安全性和 Patch Manager 中,用滑鼠右鍵按

一下「信任存取」群組,再按一下「發佈信任

存取設定值」,然後選擇「全部」

• 首次發佈過程必須包括所有信任存取設定值;

以後的發佈可僅包括符合性內容

發佈信任存取設定值

在主 DHCP 伺服器上安裝 LANDesk DHCP 外挂程式‥ 設定 LANDesk DHCP 伺服器

• 從核心伺服器的

LDMain\Install\TrustedAccess\LDDHCP\Micros

oftDHCP 將 LDDHCPPlugin.dll 和

LDDHCPPlugin.reg 複製到主 Microsoft DHCP

伺服器上的任何本機資料夾

• 編輯 LDDHCPPlugin.reg 檔案的正確路徑和

LANDesk DHCP 伺服器的 IP 位址

• 將 LDDHCPPlugin.reg 檔案匯入登錄

• 重新啟動 Microsoft DHCP 服務

安裝並組態 LANDesk DHCP 伺服器‥

• 在信任存取伺服器上,

• 執行位於以下地址的安裝程式‥

\LDMain\Install\TrustedAccess\L

DDHCP

(若不能存取核心伺服器則將安裝程式複製到

磁碟)

• 將憑證和鑰匙檔案從核心伺服器的 Program

Files\LANDesk\Shared Files\Keys 資料夾複製

LANDesk DHCP 伺服器上相同的檔案路

徑。

• 使用桌面上的捷徑圖示可存取的 LDDHCP 組態

工具來組態 LANDesk DHCP 伺服器設定值

- 核取「允許存取全部」選項

- 輸入 Posture 驗證伺服器資訊

• 建立每個子網路的 VLAN 位址集區範圍(請確

保至少為路由器閘道定義了範圍選項 003)

• 離開組態工具以啟用 LANDesk DHCP 服務

組態 LANDesk DHCP 信任存取的路由器‥

• 路由器必須位於 LANDesk DHCP 伺服器和連

線裝置之間

設定 LANDesk DHCP 伺服器

LANDesk DHCP 伺服器先決條

件‥網路和路由器組態需求


• 路由器必須開啟了 DHCP 轉送功能

• 新增 VLAN 子網路至路由器上的用戶端介面

(隔離子網路)

• 變更用戶端介面上的 IP 位址助手(轉送代理程

式)以指向 LANDesk DHCP 伺服器

• 在路由器上新增 ACL 規則以限制來自 VLAN 的

流量,以便裝置僅可到達修補伺服器

請確保態勢驗證過程正常工作‥

• 透過發行和更新受管理裝置的 IP 位址,對您剛

設定的 LANDesk DHCP 信任存取網路進行一

次簡單測試。

執行不間斷符合性安全性管理工作:

• 確保信任存取服務已啟用(開啟)

• 使用「允許/限制存取全部」選項

• 瞭解當安排連線裝置時將執行什麼作業

• 檢視受影響的(非符合)裝置

• 修改並更新符合性安全性原則

• 新增不受管理的裝置

• 組態並檢視符合性登入

• 產生符合性報告

LANDesk Security Suite 使用者指南

管理符合性安全性

欲返回 LANDesk DHCP 信任存取的主要說明主題,請參閱使用 LANDesk DHCP 解決方案。

設定和組態修補伺服器

兩種 LANDesk 信任存取解決方案(LANDesk DHCP 和 Cisco NAC)都需要使用修

補伺服器來修復易受攻擊或受影響的裝置。修補伺服器是當裝置狀況被確定為「不

健全」時送交修補(修復)的地方,以使裝置符合您所組態的「健全」狀態符合性

規則。

您可在修補伺服器內發佈修補資源,例如‥安全性用戶端(在裝置上掃描漏洞和其

他安全性風險)、修補程式檔案和顯示在裝置上並提供修補或限制網路存取選項的

HTML 頁面。要瞭解修補伺服器如何與其他信任存取元件及連線裝置互動,請參

閱使用 LANDesk DHCP 解決方案及使用 Cisco NAC 解決方案中的相關元件和過程

圖。

閱讀本章後,您將瞭解以下內容‥

63


使用者指南

設定和組態修補伺服器

64

• 修補伺服器必要條件

• 確定伺服器在網路上的位置

• 在修補伺服器上建立 Web 共享目錄

• 在控制台中組態(新增)修補伺服器

• 下一步:向修補伺服器發佈基礎結構檔案

修補伺服器必要條件

您要設定作為修補伺服器的電腦必須符合以下系統需求:

• 修補伺服器可以是任何類型的 Web 伺服器。例如‥Windows 上的 IIS,或

Linux 上的 Apache。

• 您必須在擁有已啟用讀取和瀏覽權限的匿名存取權的修補伺服器上建立

Web 共享目錄。請參閱以下在修補伺服器上建立 Web 共享目錄以獲取說

明。

• 註:如果在 Linux 上使用 Apache Web 伺服器,則您所建立的共享目錄必須

為 Samba 共享目錄。

確定伺服器在網路上的位置

修補伺服器可以放置在路由器的任意一側。

放置在路由器的用戶端一側較為安全,這是因為您無需在您的路由器規則中設定任

何例外,但是每次您變更修補檔案時,需要將其手動寫入電腦。

若修補伺服器放置在路由器的另一側,由於隔離電腦可以存取您網路上的電腦,所

以存在潛在安全性風險,但是您可以直接將修補檔案置入電腦而無需手動寫入。

必須能從修補 VLAN 上看到修補伺服器。

網路上可以有一個以上的修補伺服器。

您可以在每個 LANDesk 信任存取解決方案各自的概觀部份檢視它們的元件位置和

過程工作流程圖示。請參閱使用 LANDesk DHCP 解決方案和使用 Cisco NAC 解決

方案。

在修補伺服器上建立 Web 共享目錄

您在修補伺服器上建立的 Web 共享目錄充當修補程式可執行檔案的儲存區域,修

補程式可執行檔案用於修補受影響裝置上的漏洞。當您從核心伺服器發佈基礎結構

檔案或修補資源(例如‥安全性用戶端、修補程式檔案和 HTML 檔案)時,這些

方案將複製到您建立的 Web 共享目錄。


LANDesk Security Suite 使用者指南

Web 共享目錄的名稱必須為 LDLogon。您可在 Web 伺服器任何位置建立該共享目

錄。典型路徑為‥C:\Inetpub\wwwroot\LDLogon。但是,只要組態了 URL 重新導

向以下位置,您可在任何路徑建立共享目錄‥http://servername/LDLogon。

建立 Web 共享目錄之後,在控制台內組態修補伺服器時,指定共享目錄的路徑

(請參閱下面的「在控制台內組態修補伺服器」)。這樣可確保核心伺服器能將修

補資源發佈到修補伺服器的正確位置。

要在修補伺服器上建立和組態 Web 共享目錄

1. 在修補 Web 伺服器上,在您需要發佈修補資源的地方建立一個名為

LDLogon 的 Web 共享目錄。您可選擇 Web 伺服器上的任何位置,但 URL

重新導向必須前往‥http://servername/LDLogon。

2. 用滑鼠右鍵按一下剛建立的共享目錄,再按一下屬性。

3. 按一下 Web 共享標籤,再按一下共享此資料夾選項。顯示編輯別名對話方

塊。

4. 請確保在存取權限區域中核取(選擇)了「讀取」、「寫入」和「目錄瀏

覽」權限。保留其他選項的預設值,再按一下確定。如果看到了警告提

示,請再按一下確定。這時,別名清單中將顯示資料夾。

5. 請確保您選擇了共享目錄位置欄位中的預設網站,再按一下確定儲存設定

值並關閉對話方塊。

6. (可選)如果 Web 伺服器位於 Windows 2003 伺服器上,則需要為 .lrd 檔案

新增一個 MIME 類型,並將其設定為應用程式/octet-stream(或應用程式

/二進位)。

註:亦可使用 Microsoft IIS 工具組態 LDLogon 共享目錄的存取權限和 MIME 類型。

現在可以在控制台中組態(新增)修補伺服器了。

在控制台中組態(新增)修補伺服器

設定修補伺服器後,您必須將其組態並新增至控制台中組態修補伺服器對話方塊

的有效修補伺服器清單。這樣,網路就能夠識別修補伺服器,並使之與其他信任存

取元件建立正確通訊。

要在控制台中組態並新增修補伺服器,請

1. 從控制台中的安全性和 Patch Manager 工具中(工具|安全性|安全性和 Patch

Manager),使用滑鼠右鍵按一下信任存取群組,按一下組態修補伺服器,

然後按一下新增。修補伺服器名稱和憑證對話方塊顯示。

2. 輸入修補伺服器的 IP 位址。

3. 輸入您希望發佈符合性檔案的 Web 共享目錄的路徑(在您設定為修補伺服

器的 Web 伺服器上)。該 Web 共享目錄必須名為 LDLogon。符合性檔案是

65


使用者指南

66

定義您的符合性安全性原則的安全性定義檔案(例如「安全性和 Patch

Manager」中符合性群組的內容),以及修補偵測到的漏洞所需的修補程式

檔案。

您可以輸入 UNC 路徑或映射磁碟機路徑。UNC 路徑是最可靠的方法,因為

磁碟機映射可能變更(請參閱以下附註)。 您可按一下「瀏覽」按鈕,以

在修補伺服器上瀏覽您希望發佈符合性檔案的共享目錄。

重要說明‥若您在「複製符合性檔案的位置」欄位中輸入本機路徑或映射

磁碟機,則檔案將發佈至本機電腦,或發佈動作初始化的電腦上指定的映射

磁碟機上。為確保將符合性檔案發佈至網路上各修補伺服器的相同位置,建

議您使用網路共享目錄的 UNC 路徑。

4. 輸入有效使用者名稱和密碼以存取修補伺服器。

5. 按一下確定新增該修補伺服器至清單。

現在您可以將修補基礎結構檔案發佈到伺服器了(只要您亦組態了 Posture 驗證伺

服器和使用者憑證)。

關於修補伺服器名稱和憑證對話方塊

使用該對話方塊識別修補伺服器和修補伺服器上的 Web 共享目錄路徑,修補資源

(安全性用戶端、修補程式檔案和 HTML 頁面)就是發佈於該修補伺服器上。

• 修補伺服器名稱‥ 根據 IP 位址或主機名稱識別修補伺服器。

• 複製符合性檔案的位置‥指定 Web 共享目錄在修補伺服器上位置的完整路

徑,從核心伺服器上將符合性檔案發佈到這裡。Web 共享目錄的名稱必須

為 LDLogon。路徑可以是 UNC 路徑或映射磁碟機路徑(或本機路徑)。建

議您使用 UNC 路徑(請參閱以上「重要附註」)。

• 瀏覽‥開啟本機「Windows 檔案總管」視窗,從該視窗您可以瀏覽至修補

伺服器的 LDLGON 共享目錄。

• 使用者名稱‥使用修補伺服器上 Web 共享目錄的存取憑證識別有效使用

者。

• 密碼‥識別使用者密碼。

• 確認密碼‥驗證使用者密碼。

• 確定‥ 儲存修補伺服器設定值,並將其新增到組態修補伺服器對話方塊中

的清單上。

• 取消‥ 關閉對話方塊,但不儲存設定值,且不將其新增到修補伺服器的清

單上。


下一步:向修補伺服器發佈修補基礎結構檔案

LANDesk Security Suite 使用者指南

設定和組態修補伺服器的下個步驟即為使用核心伺服器的主要修補基礎結構資源來

發佈或部署修補伺服器。修補基礎結構資源包括‥

• 安全性用戶端(漏洞掃描器公用程式)

• 「符合性」群組內與漏洞相關聯的修補程式。

• 提供以下連結的 HTML 頁面‥安裝信任代理程式、執行符合性安全性掃

描,並修補偵測到的漏洞與其他安全性風險。

向伺服器進行發佈之前,您必須首先定義安全性和 Patch Manager 工具中的符合性

安全性條件。

有關這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。

設定 LANDesk DHCP 伺服器

LANDesk DHCP 伺服器對於 LANDesk DHCP 解決方案是必需的;但在基於 Cisco

的 NAC 建置中則不是必需的。

LANDesk DHCP 伺服器將為請求的裝置提供一個臨時 IP 位址 (隔離 IP 位址)。裝置

可透過此臨時 IP 位址與執行安全用戶端(一種特殊版本的安全性和修補程式掃描

器或者漏洞掃描器)的修補伺服器建立通訊。掃描器可掃描「符合性」群組中包含

的安全性定義,若偵測到漏洞,修補伺服器將透過部署必要的修補程式檔案或者移

除偵測到的 spyware 等方法執行修補。修補漏洞後,裝置會重新向 LANDesk

DHCP 伺服器請求一個 IP 位址。如果裝置健全(依據符合性規則),LANDesk

DHCP 伺服器將裝置轉送至主要企業 DHCP 伺服器,以接受一個有效網路 IP 位

址。

重要說明‥設定 LANDesk 信任存取所需的技術知識與技能

請注意,LANDesk 信任存取除需要基本的 LANDesk 核心伺服器安裝之外,亦要求其他的硬體與

軟體組態。由於其他設定工作的技術性質,本指南假定您熟悉 Cisco 網路存取控制 (NAC) 與 Cisco

安全存取控制伺服器 (ACS) 組態及作業、與/或 DHCP 伺服器管理及 DHCP 通訊協定,以及進階

網路基礎結構設計原則與管理。

閱讀本章後,您將瞭解以下內容‥

設定 LANDesk DHCP 伺服器

LANDesk DHCP 伺服器必要條件

• 確定伺服器在網路上的位置

• 在主 DHCP 伺服器上安裝 LANDesk DHCP 外挂程式

• 安裝 LANDesk DHCP 伺服器軟體

67


使用者指南

68

• 將 LANDesk 憑證檔案複製到 LANDesk DHCP 伺服器

• 組態 LANDesk DHCP 伺服器

• 使用 LANDesk DHCP Manager 工具組態 DHCP 設定值並建立範圍

• 重新啟動 LANDesk DHCP 伺服器

LANDesk DHCP 伺服器必要條件

您必須確保網路和路由器組態符合以下條件,以便使 LANDesk DHCP 信任存取可

正常工作‥

網路和路由器組態要求

LANDesk 核心伺服器在隔離網路上應該是看不到的

• 路由器必須位於 LANDesk DHCP 伺服器和連線裝置之間

• 路由器必須開啟 DHCP 傳送功能

• 新增 VLAN 子網路至路由器上的用戶端介面

• 變更用戶端介面上的 IP 位址說明程式(轉接代理程式),以指向 LANDesk DHCP 伺服器

而不是主 DHCP 伺服器

• 從 VLAN 新增路由器上的 ACL 規則以限制流量,使裝置只能存取修補伺服

器或子網代表

您還需要確保要設定為 LANDesk DHCP 伺服器的伺服器電腦符合以下要求‥

LANDesk DHCP 伺服器的特別注意事項和要求

• 必須為 Windows 2000 或以上版本,裝有 .NET Framework 1.1

• 必須位於路由器上連線裝置的反面

• 必須具有靜態 IP 位址(透過 Windows 網路組態進行組態)

• 不能為當前 DHCP 伺服器

• 不能為 PXE 代表電腦

• 不能安裝在核心伺服器上

確定伺服器在網路上的位置

如上所述,LANDesk DHCP 伺服器必須位於路由器上連線裝置的反面,與主

DHCP 伺服器位於路由器的同一面。

您可以在每個 LANDesk 信任存取解決方案各自的概觀部份檢視它們的元件位置和

過程工作流程圖示。請參閱使用 LANDesk DHCP 解決方案和使用 Cisco NAC 解決

方案。


在主 DHCP 伺服器上安裝 LANDesk DHCP 外挂程式

LANDesk Security Suite 使用者指南

外挂程式通知 LANDesk DHCP 伺服器分發至設備的 IP 位址。然後 LANDesk

DHCP 伺服器便能夠與裝置進行通訊,以確保裝置的健全狀態沒有變更。若健全狀

態已經變更,LANDesk DHCP 伺服器可強制裝置更新其 IP 位址並獲取新 IP 位址。

以下是將 LANDesk DHCP 外挂程式安裝至 Microsoft DHCP 伺服器(在 Windows

2000 伺服器或 2003 上執行)的步驟。

要將 LANDesk DHCP 外挂程式安裝至主 Microsoft DHCP 伺服器

1. 將 LDDHCPPlugin.dll 和 LDDHCPPlugin.reg 從核心伺服器上的

LDMain\Install\TrustedAccess\LDDHCP\MicrosoftDHCP 複製到主 Microsoft

DHCP 伺服器上的任意本機資料夾中。

2. 編輯 LDDHCPPlugin.reg 檔案以獲取到 LANDesk DHCP 伺服器的正確路徑

和 IP 位址。

3. 將 LDDHCPPlugin.reg 檔案匯入到系統登錄表。

4. 重新啟動 Microsoft DHCP 服務。

Linux DHCP 伺服器外挂程式

若您的網路上有 Linux DHCP 伺服器,您亦可安裝一個 LANDesk DHCP 外挂程式。有關該外挂程

式的安裝說明,請參閱讀我檔案(位於 LDMain\Install\TrustedAccess\LDDHCP\Linux DHCP)。

安裝 LANDesk DHCP 伺服器軟體

要安裝和設定 LANDesk DHCP 伺服器

1. 從要設定為 LANDesk DHCP 伺服器的電腦上,將磁碟機映射到核心伺服器

上的 LDMain\Install\TrustedAccess\LDDHCP 資料夾。

2. 啟動 LDDHCP.EXE 安裝程式。

3. 選擇要安裝的語言版本,然後按一下確定。

4. 在「歡迎使用」螢幕上,按一下下一步。

5. 接受授權合約,然後按一下下一步。

6. 要複製必要的檔案,按一下安裝。

7. 複製過程完成後,按一下完成。

注意‥LANDesk DHCP 伺服器尚未執行。您必須先複製憑證檔案,組態 LANDesk DHCP 伺服

器,然後才能啟動服務。

69


使用者指南

LANDesk 憑證檔案複製到 LANDesk DHCP 伺服器

要使 LANDesk DHCP 伺服器與受管理裝置進行通訊,您必須將您的 LANDesk

證檔案複製至 LANDesk DHCP 伺服器電腦。

要複製 LANDesk 憑證檔案,

70

1. 從 LANDesk DHCP 伺服器電腦上,映射網路磁碟機以存取核心伺服器的管

理共享目錄。使用以下指令語法‥

\\computername\c$

(注意‥您必須具有管理員等同權限的憑證,才能存取核心伺服器上的共

享目錄。)

2. 將 *.CRT 與 *.KEY 檔案從核心伺服器的 C:\Program Files\LANDesk\Shared

Files\keys 資料夾複製到 LANDesk DHCP 伺服器上的相同資料夾中(該資料

夾由安裝程式自動建立)。


組態 LANDesk DHCP 伺服器

LANDesk Security Suite 使用者指南

您已經成功安裝 LANDesk DHCP 伺服器軟體。但是 LANDesk DHCP 服務尚未執

行。設定 LANDesk DHCP 伺服器並啟動服務的下一步是透過安裝程式執行已安裝

在該電腦上的 LANDesk DHCP Manager 工具,以便組態 DHCP 伺服器設定值、組

態 Posture 驗證伺服器設定值、建立和管理範圍以及新增裝置到態勢排除清單。

開啟防火牆連接埠的重要說明

在繼續設定 LANDesk DHCP 伺服器之前,應停用 Windows Firewall(若已啟用)。若要將

Windows Firewall 保留為啟用,您必須確保以下 UDP 連接埠全部開啟:67、68、12576 及

12577。

使用 LANDesk DHCP Manager 工具組態設定值與建立範圍

LANDesk DHCP 伺服器組態工具的名稱是 LANDesk DHCP Manager。您可以從

「開始」功能表中(開始 | 程式 | LANDesk | LANDesk DHCP 伺服器 | LDDHCP

組態),或者按兩下 LDDHCP 組態圖示(此時該圖示應顯示在伺服器的桌面上)

啟動該工具。

LANDesk DHCP Manager 工具可讓您‥

• 組態 LANDesk DHCP 伺服器設定值

• 組態 Posture 驗證伺服器設定值

• 建立和管理範圍(名稱、租約時間、位址範圍、轉接位址、排除範圍和範圍

選項)

• 新增裝置到態勢排除清單

• 啟用/停用允許所有人存取設定值(伺服器層級)

• 停止並重新啟動 LANDesk DHCP 服務

要組態 LANDesk DHCP 伺服器設定值

1. 在已安裝的 LANDesk DHCP 伺服器上,按一下桌面上的 LANDesk DHCP 組

態程式圖示。(或者按一下開始 | 程式 | LANDesk | LANDesk DHCP 伺服器

| LDDHCP 組態)

2. 用滑鼠右鍵按一下 LANDesk DHCP 伺服器物件,然後按一下屬性。將會顯

示組態 LANDesk DHCP 設定值對話方塊。

3. 輸入 LANDesk DHCP 伺服器的 IP 位址。此欄位預設為伺服器中主 NIC 的

IP 位址。

4. 輸入網路上主 DHCP 伺服器的 IP 位址。

5. 指定位址集區備份頻率(分鐘)。此設定值將控制 LANDesk DHCP 伺服器

儲存 IP 位址集區資訊的頻率。該資訊會儲存在 DHCP 伺服器上的 XML 檔

案中。

71


使用者指南

72

6. 透過從下拉清單中選擇一個選項來指定最低記錄層級。可用記錄層級包括‥

資訊、警告、錯誤、嚴重錯誤和除錯。不同記錄層級決定寫到日誌檔案中的

資訊量。

7. 如果想要所有連線裝置均可存取網路(根據符合性安全性條件決定其態勢狀

態是否健全),按一下允許存取全部核取方塊。該設定在 DHCP 服務器層

級執行,並且該設定值將套用於 LANDesk DHCP 伺服器中組態的所有範

圍。啟用此選項將強制所有連線裝置不要執行 Posture 驗證伺服器過程。

(請參閱以下附註。)

8. 按一下確定儲存設定值,並離開「組態 LANDesk DHCP 設定值」對話方

塊。

使用「允許存取全部」選項

可使用該選項,以允許您有時間完成信任存取網路和符合性安全性原則的組態、允許定期安全性和

Patch Management 過程使大部份受管理裝置具備符合性要求、觀察各種信任存取日誌和報告,以

及選擇開始強制執行符合性安全性原則並限制網路存取的合適時間。如果大部份受管理裝置是符合

性裝置,或者您是網路管理員並認為應在此時進行時,請取消核取該選項,以在網路上啟用信任存

取並阻止裝置對發現為非符合性的裝置進行存取。

LANDesk DHCP 伺服器的基本設定值進行組態後,您可以組態 Posture 驗證伺服

器並建立範圍。

關於組態 LANDesk DHCP 設定值對話方塊

使用對話方塊組態基本 LANDesk DHCP 伺服器設定值‥

LANDesk DHCP 伺服器‥識別您正在組態 LANDesk DHCP 伺服器的 IP 位

址。此欄位預設為伺服器中主 NIC 的 IP 位址。

• 主要 DHCP 伺服器‥識別網路上主(實)DHCP 的 IP 位址。LANDesk

DHCP 伺服器與主 DHCP 伺服器進行通訊,以便在態勢驗證過程中指派一

個永久 IP 位址給健全的連線裝置。

• 位址集區備份頻率(分鐘)‥ 指定 LANDesk DHCP 伺服器儲存 IP 位址集

區資訊的頻率。該資訊會儲存在 DHCP 伺服器上的 XML 檔案中。

• 最低記錄層級‥指定寫到日誌檔案中的資訊量。可用記錄層級包含‥資

訊、警告、錯誤、嚴重錯誤和除錯。

• 允許存取全部:允許所有人存取網路,無論他們的態勢確定為健全或不健

全。預設情況下,此選項是核取的。若使用 LANDesk DHCP 信任存取建置

並希望允許所有人存取網路,請使用該選項。(請參閱以上附註。)

要組態 Posture 驗證伺服器設定值

1. 在 LANDesk DHCP Manager 工具中,用滑鼠右鍵按一下 Posture 驗證伺服

器物件,然後按一下屬性。將會顯示 Posture 驗證伺服器對話方塊。

2. 輸入 Posture 驗證伺服器的 IP 位址。(注意‥每個 LANDesk DHCP 伺服器只


LANDesk Security Suite 使用者指南

應有一個 Posture 驗證伺服器。)

3. 輸入連接埠編號。預設連接埠為‥ 12576.

4. 輸入「健全」狀態頁面的 URL。該 HTML 檔案的名稱為‥healthy.html。您

應輸入檔案的完整路徑,包括 http:// protocol identifier。該 HTML 頁面應已

從核心伺服器發佈到修補伺服器,因此完整路徑一般為‥

http://remediation servername/LDLogon/healthy.html。

(注意‥該頁面會通知連線裝置的一般使用者,他們的裝置經過掃描,通過

了符合性安全性條件,確認為健全,並將被賦予對企業網路的完整存取權

限。HTML 頁面只是範本,可以對其進行編輯以滿足您的特定信任存取安

全性需要和要求。)

5. 輸入「不健全」狀態頁的 URL。該 HTML 檔案的名稱為‥

unhealthyLDDHCP.html。您應輸入檔案的完整路徑,包括 http:// protocol

identifier。與健全狀態頁一樣,該 HTML 頁面應已從核心伺服器發佈到修補

伺服器,因此完整路徑一般為‥

http://remediation servername/LDLogon/unhealthyLDDHCP.html

(注意‥該頁面會通知連線裝置的一般使用者,他們的裝置經過掃描,未

滿足符合性安全性條件,確認為不健全,並已被拒絕存取網路。該頁面還提

供允許使用者僅被授予存取網際網路的連結,或允許他們下載並安裝修補所

需軟體的連結,這樣可修補、重新掃描他們的裝置並允許對網路的完整存

取。HTML 頁面只是範本,可以對其進行編輯以滿足您的特定信任存取安

全性需要和要求。)

6. 按一下確定儲存設定值,並離開 Posture 驗證伺服器對話方塊。

關於 Posture 驗證伺服器對話方塊

使用此對話方塊可以組態 Posture 驗證伺服器,使之可以與 LANDesk DHCP 伺服器

進行通訊,並且 Posture 驗證伺服器還會知道健全和不健全 HTML 頁面在修補 Web

共享目錄上的位址,以服務於連線裝置。

• Posture 驗證伺服器:識別 Posture 驗證伺服器的 IP 位址。(注意‥每個

LANDesk DHCP 伺服器只應有一個 Posture 驗證伺服器。)

• 連接埠‥識別 Posture 驗證伺服器上的連接埠,以便與 DHCP 伺服器進行通

訊。預設連接埠為‥ 12576.

• 健全的 URL:指定健全 HTML 頁面的完整路徑,包括 http:// protocol

identifier。該 HTML 頁面應已從核心伺服器發佈到修補伺服器,因此完整路

徑一般為‥

http://remediation servername/LDLogon/healthy.html。

(注意‥該頁面會通知連線裝置的一般使用者,他們的裝置經過掃描,通過

了符合性安全性條件,確認為健全,並將被賦予對企業網路的完整存取權

限。HTML 頁面只是範本,可以對其進行編輯以滿足您的特定信任存取安

全性需要和要求。)

73


使用者指南

74

• 非健全的 URL:指定「不健全」HTML 頁面的完整路徑。該 HTML 頁面檔

案應已從核心伺服器發佈到修補伺服器,因此完整路徑一般為‥

http://remediation servername/LDLogon/unhealthyLDDHCP.html

(注意‥該頁面會通知連線裝置的一般使用者,他們的裝置經過掃描,未

滿足符合性安全性條件,確認為不健全,並已被拒絕存取網路。該頁面還提

供允許使用者僅被授予存取網際網路的連結,或允許他們下載並安裝修補所

需軟體的連結,這樣可修補、重新掃描他們的裝置並允許對網路的完整存

取。HTML 頁面只是範本,可以對其進行編輯以滿足您的特定信任存取安

全性需要和要求。)

使用範圍

要使 LANDesk DHCP 伺服器租用連線裝置的臨時(或隔離)IP 位址,您必須先建

立並啟動範圍。範圍是指網路或子網路上可能的 IP 位址之範圍。

LANDesk DHCP 伺服器上建立範圍的指導原則

• 您應對網路上每個子網路(路由器)建立一個範圍

• 每個範圍應採用兩個閘道組態‥一個用於主子網路,另一個用於隔離子網路

• 每個範圍應有一個唯一的轉接伺服器位址(IP 說明程式或轉接代理程式)

• 沒有兩個路由器能有相同的隔離子網路 IP 範圍

• 建立範圍後,您必須組態範圍選項(重要說明‥001 和 003 選項是必需的)

• 建議您在使用 LANDesk DHCP Mnager 工具建立範圍後,不要對其重新命

名。

要建立和組態範圍

1. 在 LANDesk DHCP Manager 工具中,用滑鼠右鍵按一下 LANDesk DHCP

伺服器物件,然後按一下新增範圍。將會顯示範圍屬性對話方塊。或者,

要編輯現有範圍,請在 LANDesk DHCP 伺服器樹中用滑鼠右鍵按一下範圍

物件,然後按一下屬性。

2. 在名稱標籤中,輸入該範圍的名稱和說明。每個範圍必須有一個唯一的名

稱。

3. 在租約時間標籤中,輸入 LANDesk DHCP 伺服器將 IP 位址指派給連線裝置

的持續時間。持續時間應等於裝置連線至網路的時間量。

4. 在位址範圍標籤中,輸入 IP 位址的範圍(開始和結束 IP 位址),該範圍可

分發給連線裝置。確保指定的範圍可為網路裝置提供足夠的 IP 位址。

(注意‥您不能輸入屬於同一子網路的 IP 位址作為主 DHCP 伺服器的範

圍。)

5. 此外,在地址範圍標籤中,輸入子網路遮罩。您可以輸入一個 IP 位址或長

度。子網路遮罩決定用於網路/子網路 ID 的 IP 位址之位元數量,以及用於

主機 IP 的 IP 位址之位元數量。


LANDesk Security Suite 使用者指南

6. 在轉接位址標籤中,輸入 DHCP 轉接的 IP 位址。這通常是路由器用戶端接

觸介面上的 IP 位址。轉接位址決定從哪個隔離網路/子網路返回 IP 位址到連

線裝置。

7. 按一下完成。

現在您可以組態範圍選項。

要組態範圍選項

1. 在要組態的範圍下,用滑鼠右鍵按一下範圍選項物件,然後按一下屬性。

2. 您必須至少對以下範圍選項進行組態,以便範圍能正常工作‥

003 選項(路由器閘道)

3. 要組態選項,請在可用選項清單中選取選項,在下列資料項目區段中填寫

要求的欄位,核取選項的核取方塊將其啟用,然後按一下確定。

關於範圍屬性對話方塊

使用此對話方塊建立、組態並修改 LANDesk DHCP 伺服器上的範圍。

範圍屬性對話方塊包含以下標籤‥

關於名稱標籤

• 名稱‥用唯一的說明名稱來識別 DHCP 伺服器上的範圍(IP 位址租用範

圍)。

• 說明‥幫助您記住該範圍的目的。

關於租約時間標籤

• 租約時間限制為‥指定 LANDesk DHCP 伺服器將 IP 位址指派給連線裝置的

持續時間。持續時間應等於裝置連線至網路的時間量。

關於位址範圍標籤

• 起始 IP 位址:識別該範圍的位址範圍內首個可能的 IP 位址。

• 結束 IP 位址:識別該範圍的位址範圍內最後一個可能的 IP 位址。確保指定

的範圍可為網路裝置提供足夠的 IP 位址。

• 子網路遮罩‥識別子網路屬於哪個 IP 位址。

關於轉接位址標籤

• 轉接位址:識別 DHCP 轉接的 IP 位址。這通常是路由器用戶端接觸介面上

的 IP 位址。轉接位址決定從哪個隔離網路/子網路返回 IP 位址到連線裝置。

75


使用者指南

關於「子網路」(位址集區屬性)對話方塊

使用此對話方塊可修改範圍的 IP 位址範圍或集區。在要修改的範圍下,用滑鼠右

鍵按一下位址集區物件,然後按一下屬性,即可存取該對話方塊。

76

• 起始 IP 位址:識別該範圍的位址範圍內首個可能的 IP 位址。

• 結束 IP 位址:識別該範圍的位址範圍內最後一個可能的 IP 位址。確保指定

的範圍可為網路裝置提供足夠的 IP 位址。

• 子網路遮罩‥識別子網路屬於哪個 IP 位址。

關於排除範圍對話方塊

使用此對話方塊組態並排除範圍。排除範圍是 DHCP 伺服器不會租用給裝置的 IP

位址組。建立範圍後,您應確定網路上的任何裝置(如 DNS 伺服器)是否需要使

用靜態 IP 位址。如有裝置需要使用靜態 IP 位址,建立一個排除範圍,以便為所有

靜態組態裝置指派一個來自排除範圍中的 IP 位址。

要建立一個 IP 位址以便從範圍的租約集區中排除,請輸入一個起始 IP 位址,並將

結束 IP 位址欄位留空。

• 起始 IP 位址:識別此排除範圍中首個可能的 IP 位址。

• 結束 IP 位址:識別此排除範圍中最後一個可能的 IP 位址。

關於組態範圍選項對話方塊

使用此對話方塊組態不同的範圍選項。在指定所需選項之前,不要啟動範圍。範圍

選項對適用範圍內的所有裝置繼承預設值。

• 可用選項:列出您可以組態的範圍選項。選擇要組態的選項,以顯示以下

資料欄位。

• 說明‥指出所選範圍選項的功能。

• 資料輸入:指定組態範圍選項時必須填寫的資訊。從以上可用範圍選項清

單中選擇一個選項後,將會顯示此區域。填寫欄位,然後按一下確定。

新增裝置到態勢排除清單

要新增裝置到態勢排除清單

1. 用滑鼠右鍵按一下 AC 排除物件,然後按一下屬性。

2. 輸入完全不要執行態勢驗證過程之裝置的 MAC(電腦)位址,然後按一下

新增。

3. 需要時,您可以輸入任意數量的裝置 MAC 位址。


關於 MAC 位址排除對話方塊

使用該對話方塊新增您不要執行態勢驗證過程的裝置。

• MAC 位址:指出不要執行態勢驗證過程之裝置的電腦位址。

• 新增‥新增裝置至清單。

• 移除‥從清單中移除裝置。

匯入和匯出 MAC 位址排除

LANDesk Security Suite 使用者指南

要匯入位址排除,請以滑鼠右鍵按一下 MAC 排除物件,按一下匯入,然後瀏覽並

選擇 CSV 檔案(包含您不要執行態勢驗證過程的裝置的 MAC 位址)。

要匯出您清單中的位址排除,請以滑鼠右鍵按一下 MAC 排除物件,按一下匯出,

然後儲存 CSV 檔案。

重新啟動 LANDesk DHCP 伺服器

無論何時變更 LANDesk DHCP 伺服器設定值或者範圍設定值,您都必須重新啟動

LANDesk DHCP 伺服器,以便使變更生效。

您可以從檔案功能表中重新啟動 LANDesk DHCP 伺服器,或者用滑鼠右鍵按一下

LANDesk DHCP 伺服器物件,然後按一下重新啟動來重新啟動。

77


使用者指南

使用 Cisco NAC 解決方案

本部份說明如何計劃、設定、組態和啟用 LANDesk 信任存取的 Cisco NAC 建置。

使用 Cisco NAC 解決方案,您可利用現存的 Cisco 硬體、軟體、代理程式、通訊協

定,以及可能已是網路基礎結構一部份的態勢 評估過程。有關 Cisco 路由器、伺

服器與 NAC 技術的詳細資訊,請參閱 Cisco 的正式說明文件。

使用者不為責任擔保之聲明和前提條件

"安裝 CIsco NAC 的目標使用者包括負責 CIsco NAC 建置的系統工程師和網路管理員。本文假定

您十分熟悉 Microsoft Windows 作業系統和用戶端電腦以及 Cisco Secure ACS 的組態和作業。亦

假定您瞭解如何組態 Cisco IOS 裝置,並且十分熟悉憑證授權和由數位憑證提供的信任模式。"

以上附註是從正式發佈的 Cisco 文件「建置網路許可控制階段 1 組態與部署」中提取的。

除特定的 Cisco 元件外,您亦須設定 Posture 驗證伺服器與修補伺服器以建置

LANDesk 信任存取。

閱讀本章後,您將瞭解以下內容‥

設定 Cisco NAC 信任存取建置

78

• 設定 Cisco NAC 建置的快速入門工作清單

• 瞭解 Cisco NAC 元件及過程工作流程

• Cisco NAC 建置的網路拓樸及設計注意事項

• 設定 Cisco 路由器

• 設定 Cisco 安全存取控制伺服器 (ACS)

• 在裝置上安裝 Cisco 信任代理程式以啟用符合性掃描

• 設定和組態 Posture 驗證伺服器

• 組態 Posture 驗證伺服器與 Cisco ACS 之間的連線

• 設定和組態修補伺服器

設定 Cisco NAC 建置之後應如何

完成以上列示的設定工作之後,建置 LANDesk 信任存取的下一步驟為‥定義您的

符合性安全性原則,並向 Posture 驗證伺服器與修補伺服器發佈信任存取設定值。

這些工作是一樣的,且套用於 LANDesk DHCP 與 Cisco NAC 解決方案。有關執行

這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。

此外,要瞭解其他不間斷信任存取管理工作的詳細資訊,例如‥確保啟用(開啟)

了信任存取服務、使用「允許/限制存取全部」選項、瞭解安排連線裝置時所執行

的作業、更新符合性安全性規則和原則並重新發佈到 Posture 驗證伺服器和修補伺

服器、將不受管理的裝置新增到「不受管理裝置探索」工具、檢視受影響的裝置、

組態登入和產生報告,請參閱管理符合性安全性。


設定 Cisco NAC 建置的快速入門工作清單

LANDesk Security Suite 使用者指南

使用此工作檢查清單幫助跟蹤設定 Cisco NAC 解決方案所需步驟:設定 Cisco

NAC 建置的快速入門工作清單。

瞭解 Cisco NAC 元件與過程工作流程

此部份說明了組成 Cisco NAC 解決方案的元件。此外,該部份亦說明了裝置於啟

LANDesk 信任存取時,嘗試存取或連線至企業網路時將執行什麼作業。以下圖

示與過程工作流程介紹了裝置上安裝或未安裝 Cisco 信任代理程式 (CTA) 的方案。

以 Cisco NAC 為基礎的 LANDesk 信任存取服務需要以下元件‥

所需元件

元件 說明(D)

LANDesk 核心伺服器 提供用於以下用途的安全性和 Patch Manager 工具‥下載安全性內

容(例如作業系統與應用程式漏洞定義、spyware 定義、系統組態、

系統組態安全性威脅、防毒與防火牆組態定義等等)、 定義符合性

條件、組態 Posture 驗證伺服器與修補伺服器,並組態與發佈信任存

取設定值(包括符合性安全性規則,或掃描並修復裝置的原則及修補

資源)。

企業 DHCP 伺服器 向裝置提供永久性 IP 位址。

Posture 驗證伺服器 依據以下兩個因素,確定連線裝置是否擁有健全或非健全態勢‥符合

性安全性原則(安全性和 Patch Manager 工具中的符合性群組的內

容)與組態信任存取對話方塊中健全性定義設定內指定的健全掃描的

小時數。Posture 驗證伺服器為驗證過程中的原則決策點。

修補伺服器 包含必要的設定與支援檔案(安全性用戶端、安全性類型定義與所需

的修補程式,以及 HTML 範本頁),用於掃描裝置上由安全性原則

識別的漏洞,並修補(修復)所有偵測到的漏洞,以便裝置能被掃描

為健全或符合,且能存取網路。

Cisco 路由器 充當網路存取裝置,強制執行符合性安全性原則。與嘗試存取的連線

裝置及 Cisco 安全 ACS 進行通訊,以評估邊界點裝置的態勢憑證。

換而言之,在 Cisco NAC 環境中,路由器為網路的原則強制執行

點,並能授予或拒絕存取特權。

Cisco 安全 ACS Cisco 特定的硬體裝置,在 Cisco NAC 環境中充當主 Posture 驗證

伺服器。包含定義態勢強制執行規則的 ACL(存取控制清單)。使

LANDesk 信任存取,組態 Cisco 安全 ACS,將態勢決策委派至您

在網路上設定並組態的 Posture 驗證伺服器(或伺服器)。

裝置 嘗試存取企業網路的行動或訪客使用者以及常規網路使用者裝置。典

型的邊界點裝置包含桌上型電腦與膝上型電腦,但亦可能為"無用戶

端"裝置,例如印表機等。LANDesk 信任存取允許您評估這些連線裝

置的健全性狀態,並依據這些連線裝置的態勢認證控制網路存取。

下圖顯示了上述元件的典型組態,以及那些元件之間的態勢驗證過程或工作流程。

79


使用者指南

Cisco NAC 元件

下圖顯示了特定 Cisco NAC 元件。

80


未安裝 CTA 的裝置的態勢驗證過程

LANDesk Security Suite 使用者指南

下圖顯示了嘗試存取未安裝 Cisco 信任代理程式的網路時,Cisco NAC 環境中各種

元件之間的工作流程或通訊流量。插圖編號表示過程的每一階段,以下步驟清單將

做出說明。

過程工作流程‥

1. 未組態 Cisco 信任代理程式 (CTA) 的裝置經由 Cisco 路由器初次嘗試登入企

業網路。

2. 路由器將裝置存取請求轉寄給 Cisco 安全存取控制伺服器 (ACS),該伺服器

包含管理員定義的確定每一態勢或健全狀態存取權限的存取控制清單

(ACL)。

3. 由於裝置上未安裝信任代理程式 (CTA),Cisco ACS 不能確定態勢或健全狀

態,也無法將裝置存取請求轉寄給 Posture 驗證伺服器。

4. Cisco ACS 自動拒絕"無用戶端"存取嘗試,並將適當的 ACL 轉寄給路由器。

5. 根據 ACL(如管理員定義),這種情況下的裝置通常受限於隔離 VLAN,

無法在此點上存取企業網路。使用者可以選擇是否保持隔離 VLAN,還是

採取必要步驟說明對網路安全性原則的符合性,並獲得完整網路存取權限。

要獲得網路存取權限,首先必須手動安裝 CTA(經由 UNC 路徑或 URL 到

CTA 設定程式),然後裝置必須存取修補伺服器以便安裝執行漏洞評估掃

描和修補的 LANDesk 安全性用戶端。裝置修復完畢之後,網路存取過程重

複,健全(即符合)裝置被授予存取企業網路的權限。

81


使用者指南

安裝了 CTA 的裝置的態勢驗證過程

下圖顯示了嘗試存取網路的裝置在安裝 Cisco 信任代理程式時 Cisco NAC 環境中各

種元件之間的工作流程或通訊流量。插圖編號表示過程的每一階段,如下說明。

過程工作流程‥

82

1. 組態 Cisco 信任代理程式 (CTA) 的裝置經由 Cisco 路由器初次嘗試登入企業

網路。

2. 路由器將裝置存取請求轉寄給 Cisco 安全存取控制伺服器 (ACS),該伺服器

包含管理員定義的確定每一態勢或健全狀態存取權限的存取控制清單

(ACL)。

3. 由於信任代理程式安裝於裝置上(並已組態 Posture 驗證伺服器和 Cisco

ACS 之間的連線),Cisco ACS 可以將裝置存取請求轉寄給 Posture 驗證伺

服器。

4. Posture 驗證伺服器根據安全性原則(由 LANDesk 管理員使用安全性和

Patch Manager 工具預先定義的符合性規則或憑證組成)確定裝置的健全狀

態或"態勢"。這些符合性規則從核心伺服器發佈到 Posture 驗證伺服器。

(注意,就是 Posture 驗證伺服器充當網路存取控制過程中的決策點,這就

意味著它確定尋找網路存取的裝置的態勢或健全狀態。)

5. Posture 驗證伺服器發送特定裝置的態勢狀況(或標示)返回到 Cisco ACS。

6. Cisco ACS 將適當的 ACL(取決於態勢狀況)轉寄給路由器。

7. 態勢狀況通訊返回到隔離區域中的裝置之上的信任代理程式。如果裝置被視

為健全(或符合),則會被授予存取企業網路的權限。


LANDesk Security Suite 使用者指南

8. 但是,如果裝置被視為不健全(或不符合),則它仍舊保留於隔離 VLAN

中。訊息對話方塊顯示,通知使用者如何連絡修補伺服器以便安裝執行漏洞

評估掃描和修補的 LANDesk 安全性用戶端。使用者可以選擇是否保持隔離

VLAN,還是採取必要步驟說明對網路安全性原則的符合性,並獲得完整網

路存取權限。

9. 透過修補伺服器對漏洞和其他安全性風險(以上所述符合性規則)進行掃

描,並安裝任何所需修補程式,修補即可執行完畢。裝置修復完畢之後,網

路存取過程重複,健全(即符合)裝置被授予存取企業網路的權限。

Cisco NAC 建置的網路拓樸及設計注意事項

設計 Cisco NAC 信任存取建置時,您必須牢記以下問題‥

• 隔離網路不能檢視到 LANDesk 核心伺服器。

• 修補伺服器與 Posture 驗證伺服器(和 Cisco ACS)可安裝於同一電腦內,

但如果出現效能或延展性問題,則可將它們移至它們自己的伺服器電腦。

• 路由器須支援路由器用戶端一側的主子網路與次子網路。

• 路由器必須組態為使用真實子網路作為主子網路,將隔離子網路作為次子網

路。

• 次子網路應限制為僅能看到修補伺服器。

設定 Cisco 路由器

Cisco NAC 信任存取解決方案假定您網路上有一個 Cisco 路由器。

若您還未在網路上安裝 Cisco 路由器但又希望使用 Cisco NAC 解決方案,

LANDesk 會在其支援網站上提供一些路由器安裝資訊。

有關安裝 Cisco 路由器的詳細資訊

您可在 LANDesk Software 支援網站檢視用於 Cisco NAC 信任存取環境的典型 Cisco 路由器的詳

細安裝說明。

我們亦強烈建議您參閱 Cisco 路由器說明文件,以獲取有關安裝路由器的詳細說明。

設定 Cisco 安全存取控制伺服器

Cisco NAC 信任存取解決方案亦假定您網路上有一個 Cisco 安全存取控制伺服器

(ACS)。您可在 Cisco ACS 中定義態勢憑證並組態外部資料庫(例如 Posture 驗證

伺服器),以在態勢驗證過程中進行通訊並解決裝置態勢狀態。

若您還未在網路上安裝 Cisco 安全 ACS 但又希望使用 Cisco NAC 解決方案,

LANDesk 會在其支援網站上提供一些 Cisco 安全 ACS 安裝資訊。

83


使用者指南

有關安裝 Cisco 安全存取控制伺服器 (ACS) 的詳細資訊

您可在 LANDesk Software 支援網站檢視用於 Cisco NAC 信任存取環境的 Cisco 安全 ACS 路由器

的詳細安裝說明。

我們亦強烈建議您參閱 Cisco 路由器說明文件,以獲取有關安裝路由器的詳細說明。

在裝置上安裝 Cisco 信任代理程式 以啟動符合性掃描

為了與 Cisco 安全 ACS 通訊並評估它的健全性態勢,裝置必須已安裝「Cisco 信任

代理程式」 (CTA)。

手動安裝 Cisco 信任代理 (CTA)

對於 Cisco NAC,必須使用 UNC 或 URL 路徑從核心伺服器在受管理與不受管理的

裝置上,手動安裝信任代理程式 (CTA)。您可使用位於修補 Web 共享目錄上的

unhealthyCisco.html 檔案來安裝 CTA。

請記住,為了提供附加的裝置管理功能,即使您正在使用 Cisco NAC 解決方案,

亦可在受管理裝置上安裝 LTA(包括清單掃描器和本機排程器)。即,裝置上可

以安裝兩種信任代理程式。然而,如果您正在使用 LANDesk DHCP 解決方案,則

不可在受管理裝置上安裝 CTA。

安裝完全標準的 LANDesk 代理程式的重要附註‥ 您必須在裝置安裝完全標準的 LANDesk 代理程

式,以防止自動離開網路的健全裝置在下次連線您的網路時,被授權存取沒有經過安全性符合性掃

描的網路(這樣將妨礙態勢驗證過程)。

如果某裝置僅安裝了適用信任代理程式(CTA 或 LTA),則它將被視為健全的,且不經態勢驗證就

能返回網路。

要防止以上情況發生,請儘量在您的裝置上安裝完全標準的 LANDesk 代理程式。

在受管理與不受管理的裝置上安裝 Cisco 信任代理程式

84

1. 在裝置上建立 UNC 映射 unhealthyCisco.html 檔案的位置。此 HTML 頁面應

已複製至修補伺服器上的 Web 共享目錄。(這是您於複製符合性檔案的位

置欄位組態修補伺服器時所指定的位置。)

2. 或者,開啟裝置的瀏覽器並輸入修補伺服器上 unhealthyCisco.html 檔案的

URL。

3. 請遵循所顯示頁面上的說明。

4. 安裝 CTA 後,您可按一下連結以掃描您電腦的符合性,並遵循說明,僅獲

取網際網路存取,或經由安裝所需的安全性用戶端,獲取對企業網路的完整

存取。


設定和組態 Posture 驗證伺服器

LANDesk Security Suite 使用者指南

這是普通元件,因此對於 LANDesk DHCP 與 Cisco NAC 信任存取解決方案來說都

是普通工作。

有關詳細資訊與逐步說明,請參閱設定和組態 Posture 驗證伺服器。

組態 posture 驗證伺服器與 Cisco 安全 ACS 之間的連線

這是 Cisco NAC 解決方案的唯一程式。

有關詳細資訊與逐步說明,請參閱「設定 Posture 驗證伺服器與 Cisco 安全 ACS 之

間的通訊」。

設定和組態修補伺服器

這是普通元件,因此對於 LANDesk DHCP 與 Cisco NAC 信任存取解決方案來說都

是普通工作。

有關詳細資訊與逐步說明,請參閱設定和組態修補伺服器。

設定 Cisco NAC 建置之後應如何

完成以上列示的設定工作之後,建置 LANDesk 信任存取的下一步驟為‥定義您的

符合性安全性原則,並向 Posture 驗證伺服器與修補伺服器發佈信任存取設定值。

這些工作是一樣的,且套用於 LANDesk DHCP 與 Cisco NAC 解決方案。有關執行

這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。

此外,要瞭解其他不間斷信任存取管理工作的詳細資訊,例如‥確保啟用(開啟)

了信任存取服務、使用「允許/限制存取全部」選項、瞭解安排連線裝置時所執行

的作業、更新符合性安全性規則和原則並重新發佈到 Posture 驗證伺服器和修補伺

服器、將不受管理的裝置新增到「不受管理裝置探索」工具、檢視受影響的裝置、

組態登入和產生報告,請參閱管理符合性安全性。

85


使用者指南

設定 Cisco NAC 建置的快速入門工作清單

使用此工作清單完成必需的規劃、安裝及組態工作,以在您的 LANDesk 網路上建

置 Cisco NAC 信任存取解決方案。

您可列印本工作清單作為參考,以追蹤建置過程每個步驟。若線上檢視本工作清

單,則可按一下有關詳細資訊連結以檢視有關該特定工作的詳細資訊。

設定 Cisco NAC 建置的快速入門工作清單

完成(D) 工作(K) 有關詳細資訊,到

必要條件: LANDesk Management Suite 8.6 核心伺

服器必須在您的網路上安裝並執行,並使用 LANDesk

Security Suite 授權和安全性內容訂閱啟用‥

• 安裝核心伺服器

• 使用 Security Suite 授權啟用核心伺服器

• 作為管理員使用者登入,或作為擁有「安全性

和修補程式管理」及「安全性和修補程式符合

性」權限的使用者登入(允許下載安全性和修

補程式內容,並將其複製到「符合性」群組)

86

使用安全性和 Patch Manager

有關 Cisco NAC 元件和過程工

作流程(包括圖示)的資訊,

請參閱瞭解 Cisco NAC 元件和

過程工作流程。

有關 Cisco NAC 信任存取建置

的網路拓樸及設計注意事項,

請參閱 Cisco NAC 建置的網路

拓樸及設計注意事項。

設定 Cisco 路由器‥

設定 Cisco 路由器

• 如果還未設定路由器,建議您存取 LANDesk

支援網站以獲取基本說明,並參閱 Cisco 說明

文件。

設定 Cisco 安全存取控制伺服器 (ACS)‥

• 如果還未設定 Cisco 安全 ACS,建議您存取

LANDesk 支援網站以獲取基本說明,並參閱

Cisco 說明文件。

在裝置上安裝 Cisco 信任代理程式 (CTA) 以啟用符合

性掃描‥

• 對於所有裝置,包括受管理的、不受管理的和

新裝置‥使用 UNC 或 URL 路徑手動安裝

CTA(使用修補 Web 共享目錄上的

unhealthyCisco.html)

設定 Cisco 安全存取控制伺服

器 (ACS)

在裝置上安裝 Cisco 信任代理

程式以啟用符合性掃描


安裝 Posture 驗證伺服器‥

• 在單獨的伺服器電腦上,

• 使用 .NET Framework 1.1 的 Windows 2000

或更高版本

• 靜態 IP 位址

• 執行位於以下地址的安裝程式‥

\LDMain\Install\TrustedAccess\

PostureServer

組態 Posture 驗證伺服器與 Cisco 安全 ACS 之間的連

線‥

• 該步驟僅適用於 Cisco NAC 解決方案,右側

的參考主題提供了逐步說明。

安裝修補伺服器‥

• 在單獨的伺服器電腦上,

• 使用 .NET Framework 1.1 的 Windows 2000

或更高版本

• 安裝並執行 Web 伺服器 (IIS)

• 建立一個名為 LDLogon 的 Web 共享目錄

(一般位於‥c:\inetpub\wwwroot\LDLogon)

• 使用 IIS 工具可以‥為 .lrd 檔案新增一個

MIME 類型並將其設定為應用程式/octetstream,並啟用

LDLogon 共享目錄讀取和瀏

覽權限的匿名存取權。

使用安全性和 Patch Manager 工具定義符合性安全

性‥

• 在控制台的安全性和 Patch Manager 工具

中,

• 下載安全性內容定義和修補程式

• 將安全性定義新增到「符合性」群組以定義您

的符合性安全性原則。

• 請確保下載了相關聯的修補程式

• 在控制台的信任存取對話方塊中定義健全和非

健全態勢

LANDesk Security Suite 使用者指南

設定和組態 Posture 驗證伺服


組態 Posture 驗證伺服器與

Cisco 安全 ACS 之間的連線

設定和組態修補伺服器

在安全性和 Patch Manager 工

具中定義符合性安全性條件

87


使用者指南

組態 Posture 驗證伺服器‥

• 在安全性和 Patch Manager 中,用滑鼠右鍵

按一下「信任存取」群組,再按一下「組態信

任存取」

• 輸入 Posture 驗證伺服器名稱,按一下「新

增」將其新增到清單,再按一下「確定」。

88

設定和組態 Posture 驗證伺服


組態修補伺服器‥

設定和組態修補伺服器

• 在安全性和 Patch Manager 中,用滑鼠右鍵

按一下「信任存取」群組,再按一下「組態修

補伺服器」,然後按一下「新增」

• 輸入修補伺服器 IP 位址、您在發佈檔案所在

的修補伺服器上建立的 LDLogon Web 共享目

錄的 UNC 路徑和使用者存取憑證,然後按一

下「確定」

將所有信任存取設定值發佈到相關伺服器‥

發佈信任存取設定值

• 在安全性和 Patch Manager 中,用滑鼠右鍵

按一下「信任存取」群組,再按一下「發佈信

任存取設定值」,然後選擇「全部」

• 首次發佈過程必須包括所有信任存取設定值;

以後的發佈可僅包括符合性內容

請確保態勢驗證過程正常工作‥

• 透過使某裝置連線網路,使用您剛建立的

Cisco NAC 信任存取網路進行一次簡單測試。

執行不間斷符合性安全性管理工作:

• 確保信任存取服務已啟用(開啟)

• 使用「允許/限制存取全部」選項

• 瞭解當安排連線裝置時將執行什麼作業

• 檢視受影響的(非符合)裝置

• 修改並更新符合性安全性原則

• 新增不受管理的裝置

• 組態並檢視符合性登入

• 產生符合性報告

管理符合性安全性

欲返回 Cisco NAC 信任存取的主要說明主題,請參閱使用 Cisco NAC 解決方案。


設定和組態 Posture 驗證伺服器

LANDesk Security Suite 使用者指南

Posture 驗證伺服器需使用兩種 LANDesk 信任存取解決方案‥LANDesk DHCP 和

Cisco NAC。

Posture 驗證伺服器依據控制台中安全性與 Patch Manager 工具所定義的符合性安全

性原則評估裝置的健全性狀況陳述式,然後根據您所建置的信任存取解決方案,透

過路由器或 LANDesk DHCP 伺服器將健全性狀況返回至裝置。

LANDesk DHCP 信任存取環境下,Posture 驗證伺服器經由 LANDesk DHCP 伺

服器與態勢狀況通訊。在 Cisco NAC 信任存取環境下,Posture 驗證伺服器經由

Cisco 安全存取控制伺服器 (ACS) 與裝置的態勢狀況(或健全性狀態)通訊。請參

閱使用 LANDesk DHCP 解決方案和使用 Cisco NAC 解決方案中的相關元件及過程

圖。

網路上可以有多個 posture 驗證伺服器。

閱讀本章後,您將瞭解以下內容‥

設定和組態 Posture 驗證伺服器

• Posture 驗證伺服器必要條件

• 確定伺服器在網路上的位置

• 執行伺服器安裝程式

• 在控制台中組態(新增) Posture 驗證伺服器

• 下一步:向 Posture 驗證伺服器發佈符合性規則

• 組態 Posture 驗證伺服器與 Cisco ACS 之間的連線(僅限 Cisco NAC)

Posture 驗證伺服器必要條件

您設定作為 Posture 驗證伺服器的電腦必須符合以下系統需求:

• Windows 2000 伺服器、Windows 2003 伺服器、Windows XP

• 已安裝 .NET Framework(版本 1.1)

• 該 Posture 驗證伺服器可與其他電腦結合使用,如 LDMS 核心伺服器或

LANDesk DHCP 伺服器。

確定伺服器在網路上的位置

可在 LDMS 核心伺服器、LANDesk DHCP 伺服器或主 DHCP 伺服器上安裝 Posture

驗證伺服器。但是,若您對效能或延展性存在任何問題,則應安裝在單獨的伺服器

電腦上。

建議您使用 IP 位址識別 Posture 驗證伺服器。

89


使用者指南

如果將 Posture 驗證伺服器安裝在專用電腦上,則 LANDesk 核心伺服器和

LANDesk DHCP 伺服器或 Cisco 安全 ACS 伺服器可以存取它。

每個 LANDesk DHCP 伺服器僅能安裝一個 Posture 驗證伺服器(僅限 LANDesk

DHCP 解決方案)。

您可以在每個 LANDesk 信任存取解決方案各自的概觀部份檢視它們的元件位置和

過程工作流程圖示。請參閱使用 LANDesk DHCP 解決方案和使用 Cisco NAC 解決

方案。

執行伺服器安裝程式

該 Posture 驗證伺服器安裝檔案會在主要安裝過程中複製到 LANDesk 核心伺服

器。您可使用該安裝檔案安裝 Posture 驗證伺服器。

要設定 Posture 驗證伺服器

90

1. 將一個磁碟機從您要設定為 Posture 驗證伺服器的電腦上映射到您核心伺服

器上的 LDMain 資料夾。瀏覽 \Install\TrustedAccess\PostureServer 資料夾。

2. 執行 postureserversetup.exe 程式。

3. 在歡迎使用螢幕上,按一下下一步。

4. 接受授權合約,然後按一下下一步。

5. 要複製必要的檔案,按一下安裝。

6. 複製過程完成後,按一下完成。

Posture 伺服器安裝程式複製檔案,啟動 Posture 伺服器服務,並監聽來自 TCP 連

接埠 4444 和 12576 (預設連接埠)的請求。必須確保開啟了防火牆。

現在可以在控制台中組態 Posture 驗證伺服器了。

僅適用於 Cisco NAC 的重要附加工作

對於 Cisco NAC 建置,您亦需組態 posture 驗證伺服器與 Cisco 安全 ACS 之間的連線。該連線允

許 Posture 驗證伺服器發送態勢陳述式到裝置的 ACS,以嘗試存取基於安全性符合性條件的網

路。有關詳細資訊,請參閱下面的組態 Posture 驗證伺服器與 Cisco ACS(之間的連線僅限 Cisco

NAC)。

對於 LANDesk DHCP 建置,此程序不相關,因為 Posture 驗證伺服器透過 LANDesk DHCP 伺服

器與連線裝置進行通訊。

在控制台中組態(新增)Posture 驗證伺服器

設定 posture 驗證伺服器後,您必須將其新增至控制台中組態信任存取對話方塊的

有效 Posture 驗證伺服器清單。這樣,核心伺服器可以組態 Posture 驗證伺服器並與

其進行通訊(發佈符合性原則)了。


在控制台中新增 Posture 驗證伺服器

LANDesk Security Suite 使用者指南

1. 在「安全性和 Patch Manager」工具視窗中,使用滑鼠右鍵按一下信任存取

群組,然後按一下組態信任存取。

2. 要將 Posture 驗證伺服器新增到您的網路,請在所提供欄位中輸入 Posture 驗

證伺服器的 IP 位址,然後按一下新增。

3. 按一下確定。

現在您可以將信任存取內容發佈到伺服器了(只要您亦組態了修補伺服器和使用者

憑證)。

關於「組態信任存取」對話方塊

使用該對話方塊定義健全和非健全態勢、組態登入、新增 Posture 驗證伺服器以及

將信任存取設定值發佈到網路上的 Posture 驗證伺服器。

註:在使用此對話方塊新增這些元件之前,您必須首先進行設定。

• 健全定義‥指示距離上次沒有在已掃描裝置上偵測到任何漏洞的符合性安

全性掃描的小時數(如安全性和 Patch Manager 中的符合性群組內容所定

義)。

• 非健全定義‥指示確定已掃描裝置是否不健全的預設不健全態勢。預設態

勢由 Cisco NAC 建置中的存取控制清單定義。

• 最低記錄層級‥指示 Posture 驗證伺服器日誌檔案的記錄層級。

• Posture 驗證伺服器名稱‥在此欄位輸入名稱,然後按一下新增將 Posture

驗證伺服器新增到您的網路。關於設定 Posture 伺服器的資訊,請參閱設定

Posture 驗證伺服器。發佈信任存取設定值時,它們會發佈到該清單中的所

有伺服器。

• 僅審核報告(僅限 Cisco)‥允許所有人存取網路,無論他們的態勢確定為

健全或不健全。預設情況下,此選項是核取的。若使用 Cisco NAC 信任存

取建置並希望允許所有人存取網路,請使用該選項。該選項不適用於

LANDesk DHCP 信任存取。

(註:可使用該選項,以允許您有時間完成信任存取網路和符合性安全性原

則的組態、允許定期安全性和 Patch Management 過程使大部份受管理裝置

具備符合性要求、觀察各種信任存取日誌和報告,以及選擇開始強制執行符

合性安全性原則並限制網路存取的合適時間。如果大部份受管理裝置是符合

性裝置,或者您是網路管理員並認為應在此時進行時,請取消核取該選項,

以在網路上啟用信任存取並阻止裝置對發現為非符合性的裝置進行存取。

• 發佈‥開啟發佈信任存取設定值對話方塊,您可指定希望向 Posture 驗證伺

服器和修補伺服器發佈的內容。無論何時變更這些信任存取設定值,您都必

須重新發佈新設定值至 Posture 驗證伺服器。

(註:發佈信任存取內容可將信任存取設定值和符合性規則傳送到 Posture 驗

91


使用者指南

92

證伺服器,亦可將所有相關聯的修補程式傳送到修補伺服器。發佈基礎結構

檔案可將安裝和支援檔案,包括安全性用戶端掃描器、信任代理及 HTML

範本頁傳送到修補伺服器。

下一步:向 Posture 驗證伺服器發佈符合性原則

設定和組態 Posture 驗證伺服器的下一步驟是將符合性原則(信任存取設定值)發

佈到 Posture 驗證伺服器。向伺服器進行發佈之前,您必須首先定義安全性和 Patch

Manager 工具中的符合性安全性條件。

有關這些工作的資訊,請參閱組態符合性安全性並發佈信任存取設定值。

組態 Posture 驗證伺服器與 Cisco ACS 之間的連線(僅限 Cisco

NAC)

此工作僅適用於 LANDesk 信任存取的 Cisco NAC 建置。

對於 Cisco NAC,決定裝置嘗試連線網路的態勢或健全性狀態時,您必須組態

Posture 驗證伺服器和 Cisco ACS 之間的連線,以便它們能在態勢驗證過程中進行

通訊。如上所述,如果您使用的是 LANDesk DHCP 解決方案,該過程則並不相

關。

要組態 Posture 驗證伺服器與 Cisco 安全 ACS 之間的連線

1. 複製名為 landeskattributes.txt 的檔案(位於您的 Cisco 安全 ACS 內 C:\ 磁碟

機的 C:\ProgramFiles\LANDesk\ManagementSuite\Install\TrustedAccess\Cisco

資料夾中。

2. 在 Cisco 安全 ACS 上,開啟 CMD.exe 視窗並執行以下指令‥

C:\ProgramFiles\CiscoSecure ACS v3.3\Utils\csutil -addAVP

c:\landeskattributes.txt

3. 停止並重新啟動 Cisco ACS 上的以下服務‥

- csauth

- csadmin

- csutil

4. 「可用憑證」清單中將顯示 LANDesk 屬性。

5. 啟動 Cisco 安全 ACS 控制台。

6. 按一下外部使用者資料庫 | 資料庫組態 | 網路許可控制 | 新建組態。

7. 輸入新組態的名稱,然後按一下提交。

8. 在外部使用者資料庫組態方塊中,按一下組態。

9. 在強制憑證類型方塊中,按一下編輯清單。

10. 若您執行上述批次檔案,則可用憑證清單應顯示 Landesk.LDSS 憑證。將該

物件移動到已選取憑證清單,然後按一下提交。

11. 在憑證驗證規則原則方塊中,按一下外部原則 | 新外部原則。


LANDesk Security Suite 使用者指南

12. 輸入名稱:PVS1

13. 輸入說明。

14. 輸入 URL:http://


使用者指南

其他符合性安全性管理工作

要瞭解符合性掃描與其他信任存取管理工作的詳細資訊,例如‥更新 Posture 驗證

伺服器上的符合性安全性規則與原則、更新修補伺服器上的修補資源、新增不受管

理的裝置至「不受管理的裝置探索」工具、檢視受影響的裝置、組態登入並產生報

告,請參閱管理符合性安全性。

在安全性和 Patch Manager 工具中定義符合性安全條件

以下兩個因素定義符合性安全性條件‥

94

• 您於控制台的安全性和 Patch Manager 工具中,新增至符合性群組的漏洞定

義與其他安全性類型定義

• 和在控制台的組態信任存取設定值對話方塊中,您定義健全與非健全裝置

狀況的方式。

請參閱以下每一工作的相應步驟清單。

關於 Securitiy Suite 訂閱

您必需具備 LANDesk Security Suite 內容訂閱以便下載各種"類型"的安全性內容,

如應用程式和作業系統漏洞定義(和所需修補程式)、spyware 定義、受阻應用程

式定義、病毒定義、 系統組態安全性威脅定義等。

如果沒有 Security Suite 授權(或使用 Security Suite 授權啟動的核心伺服器),則

您無法存取 LANDesk Security Suite 服務,且不能使用這些安全性定義來定義符合

性安全。

下載安全性類型定義

使用安全性和 Patch Manager 工具下載不同的安全性類型定義,如漏洞、spyware、

防毒和安全性威脅定義。「安全性和 Patch Manager」一章完整說明了該工作。有

關使用安全性和 Patch Manager 下載功能的詳細資訊,請參閱更新安全性和修補程

式內容。

使用符合性群組定義符合性安全性原則

如上說明, 「符合性」群組內的內容確定您的符合性安全性原則。您可以具備由

少量漏洞和安全性威脅定義構成的最少符合性安全性,或可建立複雜、嚴格的且由

若干安全性定義組成的安全性原則。您亦可以只需透過從符合性群組新增和移除定

義來隨時修改符合性安全性原則。


LANDesk Security Suite 使用者指南

使用「符合性」群組需要以角色為基礎的管理權限

只有具備「安全性和修補程式符合性」權限的 LANDesk 管理員或使用者才可從「符合性」群組新

增或移除定義。

以下安全性內容類型可新增至「符合性」群組以定義符合性安全性原則‥

• 防毒定義

• 自訂定義

• 驅動程式更新定義

LANDesk 軟體更新定義

• 安全性威脅定義(包含防火牆定義)

• 軟體更新定義

• Spyware 定義

• 漏洞(作業系統與應用程式)定義

註‥不能將受阻的應用程式定義新增至「符合性」群組來定義符合性安全性原則。

要新增安全性定義至「符合性」群組

1. 在安全性和 Patch Manager 中,從類型下拉清單中選擇您想要新增到符合性

安全性原則中的安全性內容之類型,然後將定儀從項目清單中拖曳到符合

性群組中。

2. 或者您可以用滑鼠右鍵按一下單個定儀或所選群組定儀,然後按一下新增

至符合性群組。

3. 在您發佈信任存取內容至 Posture 驗證伺服器和修補伺服器之前,確保下載

任何必要的關聯修補程式。您可用滑鼠右鍵按一下定儀、所選群組定儀,或

符合性 群組自身,然後按一下 下載相關修補程式以 下載修補受影響裝置所

需的修補程式。

定儀健全與非健全態勢

符合性安全性原則也是由您在控制台中組態的健全與非健全態勢定儀所組成的。

要定儀健全與非健全態勢

1. 必要條件:對於 LANDesk DHCP 解決方案,確保您已設定 Posture 驗證伺服

器、修補伺服器和 LANDesk DHCP 伺服器至少各一個。對於 Cisco NAC 解

決方案,確保您已設定 Cisco 路由器、Cisco 安全 ACS、Posture 驗證伺服器

(連接至 Cisco 安全 ACS)和修補伺服器。

2. 確保您已使用安全性和 Patch Manager 工具下載要包含於安全符合性原則中

的安全性定義(spyware、漏洞和安全性威脅等)和修補程式,並將這些定

義新增到符合性群組。

95


使用者指南

96

3. 在安全性和 Patch Manager 中,用滑鼠右鍵按一下信任存取群組,然後按一

下組態信任存取。

4. 要定義嘗試存取企業網路的裝置的健全態勢(或狀態),請從下拉清單中選

擇距離上次符合性安全性掃描的小時數。預設值是 96 小時。

(註‥此設定套用於 ANDesk DHCP 和 Cisco NAC 環境與 Posture 驗證過

程)。

5. 要定義不健全態勢(或狀態), 請從下拉清單中選擇不健全態勢(可能的

非健全值包含‥隔離、檢查和被感染)。這些預設態勢應該已經在 Cisco 安

全 ACS 上的存取控制清單 (ACL) 中預先定義。

(註‥實際上,此設定只套用於 Cisco NAC 信任存取。有了 LANDesk DHCP

信任存取,一個裝置要麼是健全的,要麼是非健全的,這取決於符合性群組

里的安全性定儀和健全態勢定儀。如果此裝置不符合這些條件,那麼此裝置

就是非健全的)

發佈信任存取設定值

發佈信任存取設定值將必需的資訊傳送至 Posture 驗證伺服器與修補伺服器,以便

執行 Posture 驗證程式并實施符合性安全性。發佈信任存取設定值套用於 LANDesk

DHCP 與 Cisco NAC 解決方案。

為從控制台發佈信任存取設定值,您必須至少組態一個 Posture 驗證伺服器、一個

修補伺服器和使用者憑證。

最初的發佈必須包括所有的設定值。

當您第一次發佈信任存取設定值至 Posture 驗證伺服器和修補伺服器時,您必須發佈所有的信任存

取設定值,包括‥信任存取內容和基礎結構檔案(有關這些檔案的詳情,請見以下內容)。後續發

佈可能只包括信任存取內容或符合性規則。通常只需將基礎結構檔案發佈到修補伺服器上一次。

要發布信任存取設定值

1. 您可從安全性和 Patch Manager 工具中的几個位置存取發佈信任存取設定值

對話方塊(并發佈設定值)。例如,您可用滑鼠右鍵按一下信任存取物件或

「符合性」群組,然後按一下發佈。您也可在組態信任存取與組態修補伺

服器對話方塊上找到發佈按鈕。此外,您可按一下「安全性和 Patch

Manager」視窗中的發佈信任存取設定值工具列按鈕。

2. 要把包括信任存取內容與基礎結構檔案在內的所有信任存取設定值立即發佈

至您的所有 Posture 驗證伺服器和修補伺服器,請選擇全部 核取方塊并按一

下確定。

3. 如果您只需把信任存取內容(安全性定儀、信任存取設定值或符合性規則與

相關修補程式)發佈至 Posture 驗證伺服器和修補伺服器,請核取信任存取

內容 核取方塊,并按一下確定。

4. 如果您只需把基礎結構檔案(安全性用戶端掃描程式、信任代理安裝程式與

HTML 頁面)發佈至修補伺服器,請核取基礎結構核取方塊,然後按一下


LANDesk Security Suite 使用者指南

確定。(通常,您只需把基礎結構檔案發佈到修補伺服器上一次。)

關於發佈信任存取設定對話方塊

使用此對話方塊將信任存取設定值發佈到 Posture 驗證伺服器,並將修補設定值

(資源)發佈到您的信任存取網路上的修補伺服器上。

• 全部‥將信任存取內容和基礎結構檔案發佈到適當的伺服器上。

• 信任存取內容‥ 將您在安全性和 Patch Manager 工具中定儀的信任存取內容

與設定值發佈到網路中新增的所有 Posture 驗證伺服器與修補伺服器。

重要說明‥您的網路上至少應具備一個 Posture 驗證伺服器以發佈信任存取

內容。

• 信任存取內容代表了目前存在於安全性和 Patch Manager 工具內符合

性群組中的漏洞和其他安全性內容類型定儀、及在組態信任存取設

定值對話方塊中定儀的信任存取設定值,例如健全與非健全態勢設

定值、記錄層級等。安全性定儀、健全與非健全態勢設定值和記錄層

級應發佈到 Posture 驗證伺服器,而相關修補程式檔案應發佈到修補

伺服器(取決於您發佈時,「符合性」群組的內容)。

(註‥(如果您變更了符合性群組中的內容,或者變更了組態信任存

取對話方塊上的信任存取設定值,您必須重新發佈這些資料至您的

伺服器)。

• 基礎結構將以下修補資源發佈到已新增到您網路的所有修補伺服器上。

• 設定與支援檔案‥ 設定與支援檔案表示安全性用戶端掃描程式與信

任代理安裝程式。安全性用戶端掃描程式在裝置上執行安全性掃描和

修補。目前有四個安全性用戶端版本:NAC、用於 NT4 用戶端的

NAC、DHCP、用於 NT4 用戶端的 DHCP。此安全性用戶端掃描程

式亦包括一個最低 LANDesk 標準的代理程式。信任代理安裝程式可

讓一般使用者將 LTA 和 CTA 從 Web URL 安裝到他們的裝置上。

• HTML 頁面‥表示由修補伺服器提供給已安裝信任代理程式並試圖

存取企業網路的裝置的範本 HTML 頁面。這些頁面告知一般使用者

如何採取行動獲得對網路的限制存取權限,或如何修補電腦以符合安

全性原則,並獲得對企業網路的完整存取權限。這些 HTML 頁面是

可以修改的範本。

(註‥ 通常只需把基礎結構檔案發佈到修補伺服器上一次。與信任存

取內容(符合性條件)不同的是,您不必在每次變更符合性安全性原

則時重新發佈這些檔案。

97


使用者指南

組態備用使用者憑證

如果連線裝置(正試圖存取網路)沒有以當地管理員權限登入,LANDesk 信任存

取將使用此備用使用者憑證清單以獲取此裝置的管理權限。否則,安全性用戶端掃

描程式無法執行,用戶需要在註銷後再返回,以管理權限(例如供應商或訪客)重

試。LANDesk 信任存取將使用這些憑證嘗試存取裝置,以進行漏洞掃描,並部署

和安裝修補程式進行修補。

要組態備用使用者憑證

98

1. 在安全性和 Patch Manager 中,用滑鼠右鍵按一下信任存取群組,然後按一

下組態憑證。

2. 輸入具有管理權限之使用者的名稱。

3. 輸入使用者密碼兩次。

4. 按一下新增,將使用者憑證新增至右邊的清單。

5. 如果連線裝置的一般使用者沒有以管理權限登入,這些使用者憑證將按其所

列順序而使用。

關於組態憑證對話方塊

使用此對話方塊識別對一般使用者進行管理存取的備用使用者憑證,以進行安全性

掃描與修補,以防止登入的一般使用者不具備管理存取權限的情況。

• 使用者名稱:輸入您網路上 LANDesk 管理員使用者通常使用的使用者名

稱。

• 密碼‥輸入該使用者的密碼‥

• 確認密碼‥再次輸入密碼‥

• 新增‥在右側的清單中新增使用者憑證。

• 移除‥從「使用者名稱」清單中移除選取的使用者。

• 確定‥儲存所作的變更,並離開該對話方塊。

• 取消‥離開該對話方塊,且不儲存變更。

瞭解 HTML 頁面

HTML 頁面是透過使用控制台中的發佈信任存取設定值工具發佈到修補伺服器上

的。HTML 頁面是修補基礎結構檔案的一部份。

HTML 頁面是範本檔案。

HTML 頁面不過是範本,您應修改他們以符合您自己的信任存取網路的需要和要求。

安裝 LANDesk Management Suite 之後,這些檔案將位於核心伺服器的以下資料夾

中‥ManagementSuite\Install\TrustedAccess\RemediationServer


通常只需將這些檔案發佈到修補伺服器上一次。

以下部分說明每一 HTML 頁面的目的。

「健全」狀態頁

LANDesk Security Suite 使用者指南

該 HTML 頁面應用於通知連線裝置的使用者,該裝置已依據符合性安全性憑證確

定為健全,且該裝置已被授予對企業網路的完整存取權限。

此 HTML 頁面的名稱是‥healthy.html

僅當裝置從非健全狀態轉換到健全狀態時,才會出現此健全狀態頁面。并不是每當

裝置處於健全狀態時,就會顯示健全狀態頁面。

組態 Posture 驗證伺服器時,須在健全 URL 欄位中輸入該頁面在修補伺服器上的

URL。

非健全 ANDesk DHCP 頁面

該 HTML 頁面應用於告知試圖存取您網路的裝置使用者,該裝置已被掃描且不符

合符合性安全性憑證,被視為不健全,且已被拒絕存取網路。

此頁面的名稱是‥unhealthyLDDHCP.html

該頁面提供允許使用者僅被授予存取網際網路的連結,或允許他們下載並安裝信任

代理和修補所需軟體的連結,這樣可修補、重新掃描他們的裝置並允許對網路的完

整存取。

組態 Posture 驗證伺服器時,須在不健全 URL 欄位中輸入該頁面在修補伺服器上

的 URL。

非健全 Cisco NAC 頁面

該 HTML 頁面應用於告知試圖存取您網路的裝置使用者,該裝置已被掃描且不符

合符合性安全性憑證,被視為不健全,且已被拒絕存取網路。

此頁面的名稱是‥unhealthyCisco.html

該頁面提供允許使用者僅被授予存取網際網路的連結,或允許他們下載並安裝信任

代理和修補所需軟體的連結,這樣可修補、重新掃描他們的裝置並允許對網路的完

整存取。

組態 Posture 驗證伺服器時,須在不健全 URL 欄位中輸入該頁面在修補伺服器上

的 URL。

99


使用者指南

管理符合性安全性

一旦建立 LANDesk DHCP 或 Cisco NAC 信任存取環境,則本章說明的後續不間斷

符合性安全性管理工作套用於兩個解決方案。

閱讀本章後,您將瞭解以下內容‥

管理符合性安全性

100

• 確保信任存取服務已啟用(開啟)

• 使用「允許/限制存取全部」選項

• 瞭解當安排連線裝置時將執行什麼作業

• 檢視受影響的(非符合)裝置

• 修改並更新符合性安全性原則

• 新增不受管理的裝置至「不受管理的裝置探索工具」

• 組態並檢視符合性登入

• 產生符合性報告

確保已啟用(開啟)信任存取服務

所有下列情況存在時,則基本上啟用(或開啟)了 LANDesk 信任存取服務:

• 在執行所需服務的情況下,正確設定并組態網路控制裝置。對於 Cisco NAC

來說,此網路控制裝置就是路由器和 Cisco Secure ACS。而對於 LANDesk

DHCP 來說,則指您的網路路由器/交換器和 LANDesk DHCP 伺服器(在主

DHCP 伺服器上安裝有外挂程式)。

• 擁有所需權限的使用者可在控制台上存取安全性與 Patch Manager 工具,

並且有效的 Security Suite 內容訂閱允許您下載一些或所有安全性內容類型

(定義以及所需的修補程式)。

• 「安全性與 Patch Manager」工具的「符合性」群組內至少包括一項安全性

內容定義。視乎您的安全性需求與目標,以及現時面臨的問題,可使用任

意多的定義來定義您目前的符合性安全性原則。「符合性」群組的內容是定

義符合性安全性原則的主要因素,可包括 OS 與應用程式漏洞、spyware、

防毒、軟體更新、自訂定義與包含防火牆組態在內的系統組態安全性威脅,

以及在任意指定時間對於保護網路都非常關鍵的任何內容。 因此,切記在

「符合性」群組內必須至少有一個定義,以便實施信任存取並執行 Posture

驗證過程。如果「符合性」群組為空,則沒有可檢查的安全性憑證,不能執

行 Posture 驗證,信任存取亦無法實施。


LANDesk Security Suite 使用者指南

• 正確設定並組態至少一個 Posture 驗證伺服器,且須從核心伺服器向該伺服

器發佈安全性符合性規則(例如,定義健全性與非健全性態勢的信任存取設

定值,與「符合性」群組內容資訊)。在 Cisco NAC 建置當中,必須將

posture 驗證伺服器組態為與 Cisco 安全 ACS 進行通訊。

• 正確設定並組態至少一個修補伺服器且須從核心伺服器向該伺服器發佈修

補資源(例如,安全性用戶端、漏洞掃描程式共用程式或與「符合性」群組

內所包含漏洞相關連的修補程式,及提供以下連結的 HTML 頁面‥安裝信

任代理程式、執行符合性安全性掃描,並修補偵測到的漏洞與其他問題)。

• 確保已停用允許存取全部。也就是說,當已停用此選項時,網路存取則由

連線裝置的健全性狀態來決定,而連線裝置的健全性狀態則取決於符合性原

則和態勢驗證過程。如果您啟用了此選項,信任存取(態勢驗證過程)將即

時關閉,此時,任何健全或非健全的裝置都能存取網路。有關使用該選項的

更多資訊,請參閱以下章節。

建立您自己所需的邊界點符合性安全性層級。

如果符合上述所有情況,則網路上正在執行信任存取服務。

當然,該服務非常靈活,並且您可自訂信任存取使用諸如「排除清單」與「允許任

何人開啟」此類選項來處理裝置的方式。亦能透過您於「符合性」群組內所放置安

全性內容定義的數目與準確內容來控制安全性層級,以及在連線裝置上自動執行符

合性安全性掃描之前指定的小時數。

透過調整這些選項及原則條件,您可定義十分嚴格、複雜的安全性原則或簡單、不

嚴格的安全性原則,或介於中間的任何層級。換而言之,您可自訂難易程度,擁有

該難易程度的連線裝置可遵守您指定的安全性條件。

最重要的是,您可隨時變更符合性安全性原則的性質,以符合不斷變更的情況與要

求。謹記您變更符合性安全性條件時(例如,「安全性和 Patch Manager」內符合

性群組的內容,或組態信任存取對話方塊上的信任存取設定值),您需要重新發

佈信任存取設定值到您的 Posture 驗證伺服器和修補伺服器。

使用「允許/限制存取全部」選項

對於兩種 LANDesk 信任存取解決方案來說,您可使用各解決方案的允許/限制存

取選項為您的網路隨意開啟和關閉整個態勢驗證過程。

可使用該選項,以允許您有時間完成信任存取網路和符合性安全性原則的組態、允

許定期安全性和 Patch Management 過程使大部份受管理裝置具備符合性要求、觀

察各種信任存取日誌和報告,以及選擇開始強制執行符合性安全性原則並限制網路

存取的合適時間。如果大部份受管理裝置是符合性裝置,或者您是網路管理員並認

為應在此時進行時,請啟用該選項,以在網路上啟用信任存取並阻止裝置對發現為

非符合性的裝置進行存取。

101


使用者指南

要允許存取全部(停用態勢驗證過程)

如果您啟用了此選項,信任存取(態勢驗證過程)將即時關閉,此時,任何健全或

非健全的裝置都能存取網絡。

對於 LANDesk DHCP

102

1. 開啟 LANDesk DHCP 組態公用程式(位於 LDDHCP 伺服器上)

2. 請使用滑鼠右鍵按一下 LANDesk DHCP 伺服器物件,然後按一下「允許存

取全部」。此設定值將套用至 LANDesk DHCP 伺服器上組態的所有範圍。

3. 除非變更此設定值,健全和非健全裝置都將可以連線到您的網絡上。

對於 Cisco NAC

1. 在「安全性和 Patch Manager」工具視窗中,使用滑鼠右鍵按一下信任存取

群組,然後按一下組態信任存取設定直。

2. 在對話方塊的底部,請核取僅審核報告核取方塊。

3. 除非變更此設定值,健全和非健全裝置都將可以連線到您的網絡上。

瞭解當安排連線裝置時將執行什麼作業

此章節簡述了在什麼條件下能透過態勢驗證過程檢查裝置的符合性,以及當配置好

裝置時會發生什麼情況。

檢視兩個信任存取解決方案的態勢驗證過程圖示

您也可在兩種 LANDesk 信任存取環境里檢視帶有或不帶有信任代理程式的態勢驗

證過程。請參閱以下兩個部分的圖示‥

• 瞭解 LANDesk DHCP 元件及過程工作流程

• 瞭解 Cisco NAC 元件與過程工作流程。

LANDesk DHCP 信任存取環境里

在下列情況下,強制配置接線裝置‥

• 獲取 IP 位址

• 變更 IP 位址 (發行/更新)

• 更新 IP 位址

當配置未安裝 LTA 的連線裝置時‥

• 裝置放在隔離網路內,不會發出警告或通知。


• 此裝置可能在隔離網路具有有限的網路資源

• 日誌檔案報告記錄有無用戶端狀態事件

配置安裝有 LTA 的連線裝置并發現為非健全或不符合時‥

LANDesk Security Suite 使用者指南

• 此裝置會自動顯示非健全的 URL

• 日誌檔案報告記錄有非健全狀態事件

• 一般使用者可按一下合適的連結以掃描此裝置(NT4 電腦使用不同的連

結)

• 必要時掃描和修補裝置

• 顯示健全的 URL

• 日誌檔案報告記錄有健全狀態事件

• 健全的裝置可以存取網路

• 或者,一般使用者可選擇瀏覽網路而不必進行掃描(如果網路管理員已作了

這樣的設定)

配置安裝有 LTA 的連線裝置并發現其為健全或符合時‥

• 可連接此裝置至網路而不受任何干擾

• 日誌檔案報告記錄有健全狀態事件

在 Cisco NAC 信任存取環境

在下列情況下,強制配置接線裝置‥

• 試圖連線至受 Cisco NAC 保護的網段

• 定期出現可組態的間隔

配置未安裝 CTA 的連線裝置時‥

• 此裝置應按無用戶端處理,應遵循為 Cisco Secure ACS 內無用戶端使用者設

定的規則

配置安裝有 CTA 的連線裝置并發現其為非健全或不符合時‥

• 此裝置顯示訊息方塊(健全狀況),可在 ACS 里設定此訊息方塊以指示修

補的下一操作

• ACS 日誌檔案記錄有某一狀態(健全、受感染、檢查、隔離和未知)

• 一般使用者必須手動瀏覽修補頁面。Cisco ACS 訊息方塊(健全狀態)的組

態最好應能顯示 URL

• 一般使用者可按一下合適的連結以掃描此裝置(NT4 電腦使用不同

的連結)

• 掃描和修補此裝置

103


使用者指南

104

• 顯示健全的 URL

• 記錄健全狀態事件

• 此裝置可以存取網路

• 或者,一般使用者可選擇瀏覽網路而不必進行掃描

配置安裝有 CTA 的連線裝置并發現其為健全的或符合時‥

• 可連接此裝置至網路而不受任何干擾

• 記錄健全狀態事件

檢視受影響的(不符合的)裝置

如果您想要查看哪些裝置已被配置好并發現其為非健全或不符合,

1. 在「安全性和 Patch Manager」工具中,按一下不符合的電腦工具列按鈕。

2. 或者,滑鼠右鍵按一下符合性群組,然後按一下受影響的電腦。

3. 顯示列有不符合裝置的對話方塊。

4. 您可在此清單選擇裝置,檢視此裝置易受攻擊或不符合的安全性定儀(在下

列清單)。

修改並更新符合性安全性原則

您可隨時修改并更新您的符合性安全性原則。

為此,您可透過在安全性和 Patch Manager 變更符合性群組的內容,也可透過在控

制台組態信任存取設定值對話方塊變更信任存取設定值(例如,健全與非健全態

勢定義及記錄層級)。

您必須重新發佈信任存取內容到 Posture 驗證伺服器和修補伺服器。謹記,發佈信

任存取內容將傳送信任存取設定值和符合性規則至 posture 驗證伺服器,并傳送任

何相關修補程式至修補伺服器;而發佈基礎結構檔案將傳送設定與支援檔案(包括

安全性用戶端掃描程式、信任代理安裝程式和 HTML 範本頁面)至修補伺服器。

(註: 通常,基礎結構檔案僅需被發佈到修補伺服器上一次。與信任存取內容不

同,您不必在每次變更符合性安全性原則後重新發佈這些檔案。

詳情請參閱在安全性和 Patch Manager 工具中定義符合性安全條件。

新增不受管理的裝置至「不受管理的裝置探索工具」

如果您想要新增不受管理的裝置至「不受管理的裝置探索」工具,以便用

LANDesk 代理程式組態這些不受管理的裝置并對其進行符合性掃描和修補,請遵

循以下步驟‥

1. 在「安全性和 Patch Manager」中,使用滑鼠右鍵按一下信任存取群組,然


LANDesk Security Suite 使用者指南

後按一下新增不受管理的裝置。(註: 為了新增不受管理的裝置,您必須在

控制台里至少設定和組態一個 posture 驗證伺服器。

2. 按一下 工具 | 組態 | 不受管理的裝置探索以開啟工具,然後按一下電腦 群

組。您可能需要重新整理,以便查看新增的裝置。

組態並檢視符合性記錄

LANDesk 信任存取能夠為不同的態勢驗證過程組態和產生多個日誌檔案。您可自

訂這些日誌的記錄層級(寫入日誌檔案的資訊數量)分析特定過程或排解疑難時,

日誌檔案非常有用。

關於 posture 驗證伺服器日誌

此日誌檔案位於 posture 驗證伺服器上的以下位置‥

C:\Program Files\LANDesk\PostureServer\PostureServer.log

posture 驗證伺服器日誌顯示

• 已記錄的所有態勢事件(健全、非健全、未知)。

• 非健全和未知事件原因

組態 posture 驗證伺服器日誌的記錄層次。

1. 在「安全性和 Patch Manager」中,使用滑鼠右鍵按一下信任存取群組,然

後按一下組態信任存取。

2. 從下拉清單中選擇最低記錄層級。可用的記錄層級包括‥資訊、警告、錯

誤、嚴重錯誤和除錯。

3. 您指定的記錄層級套用至清單內的所有 posture 驗證伺服器。

檢視 posture 驗證伺服器日誌

您可在上述路徑的 posture 驗證伺服器直接檢視日誌檔案。

或者,更方便的方法是‥從控制台的「安全性 Patch Manager」工具存取 posture 驗

證伺服器日誌。您只需開啟「安全性和 Patch Manager」樹視圖中的信任存取物

件,然後按兩下您想要進行線上檢視的日誌檔案。

關於 LANDesk DHCP 服務日誌

當然,此日誌檔案僅套用至 LANDesk DHCP 解決方案。

此日誌檔案位於 LANDesk DHCP 伺服器上,路徑為‥

C:\Program Files\LANDesk\LDDHCP\DHCPService.log

LANDesk DHCP 服務日誌顯示‥

105


使用者指南

106

• LDDHCP 服務上記錄的所有 DHCP 事件。

• 需 DHCP 租用 IP 位址的裝置態勢狀態。

您可在 LDDHCPSettings.xml 檔案組態 LANDesk DHCP 日誌的記錄層級。

關於 Cisco ACS 日誌

當然,此日誌檔案僅套用至 Cisco NAC 解決方案。

此日誌檔案位於 Cisco 安全 ACS 電腦上。您可從失敗身份驗證日誌下的 Cisco 安全

ACS 公用程式存取此日誌檔案。

產生符合性報告

LANDesk 信任存取在「報告」工具顯示為多個新的信任存取和符合性相關報告。

這些報告為您的信任存取網路提供了各種有用的資訊,這些資訊是關於信任存取嘗

試、不受管理的裝置探索、健全和非健全的裝置態勢、符合性趨勢、符合性安全性

原則和符合性狀態。信任存取和符合性報告的資料來自於伺服器日誌檔案(如上所

述)。

例如,部分信任存取和符合性報告包括‥

• 全部日誌條目

• 裝置/使用者日誌條目

• 搜尋到的裝置

• 健壯性日誌條目

• 摘要

• 非健壯性日誌條目

要存取「報告」工具、產生和檢視報告,LANDesk 使用者必須具有 LANDesk 管理

員權限(即完整權限)或特定的「報告」權限。

LANDesk 信任存取報告與「軟體授權監視」群組里的報告遵循相同規則,內含是

否可從「我的報告」和「使用者報告」群組中複製、移除和匯出這些報告等等。

執行和發佈報告

您可以從「報告」視窗執行任何報告。從「報告」視窗中,滑鼠右鍵按一下要執行

的報告,然後按一下執行(或者按一下執行工具列按鈕)。「報告檢視」中將顯

示報告資料。

您也可以發佈報告到安全的檔案共享目錄,在其中供您已授予適當存取憑證的任何

使用者檢視。


LANDesk Security Suite 使用者指南

有關使用「報告」工具以及信任存取和符合性報告(及說明)的更多資訊,請參閱

「管理報告」。

使用連線控制管理員

連線控制管理員監視及限制 I/O 裝置與網路連線。您可以限制允許裝置連線的網路

IP 位址,也可以限制允許存取裝置資料的一些裝置的使用,像是連接埠、數據

機、磁碟機以及無線連線。

為使連線控制管理員能在裝置上運作,該裝置必須部署本機 scheduler 代理程式以

及標準的 LANDesk 代理程式。每一次裝置啟動網路/裝置連線或變更網路/裝置

連線時,連線控制管理員代理程式會套用組態規則。這些規則包括終止不允許的連

線以及傳送警示給核心伺服器。

使用連線控制組態管理網路連線。您可以使用兩種一般的方式組態網路限制:指

定允許的網路位址,或指定阻擋的網路位址。

使用裝置控制組態管理 USB、PCMCIA 與藍芽連線。您可以藉由阻擋所有類別的

USB 裝置,例如儲存裝置,或使用進階設定來組態 USB 限制,從而限制某些以您

指定的資訊為基礎的 USB 裝置。

您定義的每個連線控制組態都會加以儲存,而且可以套用至您指定的受管理裝置。

您可以儲存多個組態,並依需要將它們套用至不同的裝置。當您建立組態時,必須

將其部署到裝置,以使其生效。連線控制管理員支援執行 Windows 2000、

Windows Server 2003 和 Windows XP 的裝置。

註:連線控制管理員是 LANDesk Security Suite 的一部份。連線控制管理員僅在您擁有 Security

Suite 授權合約的情況下才可用。

閱讀本章後,您將瞭解以下內容‥

• 使用連線控制組態來限制網路存取

• 使用裝置控制組態來限制 USB 裝置存取

• 組態進階 USB 設定值

• 部署組態

使用連線控制組態來限制網路存取

使用連線控制組態來幫助限制對授權網路或 IP 位址的網路存取,或阻擋與特定網

路的通訊。

您可以定義包含的網路限制或排除的網路限制規則:

• 包含的規則僅指定允許的網路位址(僅和所列出的網路連線);不允許任

107


使用者指南

108

何不在指定 IP 位址範圍內的連線。

• 排除的規則指定不允許的網路位址(阻擋所列出的網路連線);允許除了

那些指定排除以外的所有網路連線。

例如,為了替裝置維護一個「乾淨的網路」環境,您要選擇僅和所列出的網路連

線,並輸入允許的 IP 位址範圍。從該裝置存取任何其他 IP 位址的嘗試均會被阻

擋。

另一個範例是允許存取除了限制位址範圍以外的 IP 位址 (例如一個受限制的企業網

路)。在這種情況下,請選擇阻擋所列出的網路連線,並指定不能存取的 IP 位址範

圍。

建立連線控制組態

1. 按一下工具 | 安全性 | 連線控制管理員。

2. 在下方窗格中,按一下連線控制組態。

3. 輸入組態名稱。

4. 核取僅和所列出的網路連線並列出允許的網路地址。如果裝置可以在未連

線至限制的網路地址時連線至其他網路,請核取未連線時允許未列出的網

路。


核取阻擋所列出的網路連線並列出不容許的網路地址。

5. 輸入某個範圍的 IP 位址,然後按一下新增。根據需要重複此步驟。如果要

移除某個範圍的 IP 位址,請選擇它,然後按一下移除。

6. 要驗證核心伺服器是否在裝置所連線的網路上執行,請核取驗證網路上是

否有核心伺服器。此選項僅適用於選擇了僅和所列出的網路連線時。

某一範圍的 IP 位址有時候可以由一個以上的網路使用。由於限制的網路存取中所

新增的安全性,讓您可以確認在允許裝置連線至某個網路前,核心伺服器正在該網

路上執行。

核取驗證網路上是否有核心伺服器方塊來實施這個新增的安全性。如果在要存取

的網路上找不到核心伺服器,將會停用此連線。

如果您確信存取清單中的網路位址值得信任,或者,如果您希望不要傳送 Ping 給

核心伺服器以減少網路流量,可以選擇不核取此方塊。

關於「連線控制組態」對話方塊

「連線控制組態」對話方塊包括以下選項‥

• 組態名稱‥此組態的名稱。名稱會顯示在主連線控制管理員視窗中。


LANDesk Security Suite 使用者指南

• 限制與未列出的網路連線‥僅允許與列出的 IP 位址範圍進行連線。

• 如果未連線,則允許連線到未列出的網路:允許連線到未列出的網

路,但僅限於裝置未連線到列出的網路時。

• 阻止與列出網路連線‥阻止與列出的 IP 位址範圍進行連線。

• 起始 IP 位址‥您希望控制的起始 IP 位址範圍。

• 結束 IP 位址‥您希望控制的結束 IP 位址範圍。

• 新增‥新增有效的 IP 位址到受控清單中。

• 移除‥從受控清單中移除所選的 IP 位址範圍。

• 在網路中驗證核心伺服器存在‥ 某一範圍的 IP 位址有時候可以由一個以上

的網路使用。由於限制的網路存取中所新增的安全性,讓您可以確認在允許

裝置連線至某個網路前,核心伺服器正在該網路上執行。選擇此核取方塊建

置此新增的安全性。如果在要存取的網路上找不到核心伺服器,將會停用此

連線。

如果未連線,則允許連線到未列出的網路

如果您允許裝置(如筆記型電腦)在未連線至限制清單上的網路時連線至未列出的

網路,請核取如果未連線,則允許連線到未列出的網路方塊。連線控制管理員可

確保裝置僅連線至列出的網路或未列出的網路,但並非同時連線至兩者。當裝置連

線至未列出的網路後,會通知核心伺服器已連線至列出的 IP 位址以外的範圍。

若該裝置未連線至網路,而後嘗試連線至未列出的 IP 位址,它將可以進行連線,

同時會將一個警示排入佇列。下次裝置連線到執行核心伺服器的網路時,就會從裝

置傳送該警示給核心伺服器,通知它已連線至列出的 IP 位址以外的範圍。

如果未核取此方塊,裝置只能連線至已列出的網路位址。

使用裝置控制組態來限制 USB 裝置存取

連線控制管理員組態可包含兩部分。首要部分是連線控制組態,您可以在此處限制

網路存取。次要部份是裝置控制組態,為可選組態。裝置控制組態服務 usbmon 在

受管理的裝置上執行,在此處它監視與限制 USB 連線。組態是獨立的,並且您可

以在不部署連線控制組態的情況下部署裝置控制組態。

預設情況下,裝置控制組態可以限制以下裝置類型。您可以使用進階 USB 設定限

制您指定的任何 USB 裝置或裝置類別。

• Pocket PCs*

• 存儲

• 鍵盤和滑鼠

• 印表機

• 掃描器

• 網路磁碟區

109


使用者指南

110

• 藍牙*個人區域網路

• PCMCIA* 裝置

• Palm* 裝置

usbmon 服務能夠‥

• 阻止他人擅自使用 USB 和 PCMCIA 裝置。

• 阻止他人擅自使用可移除儲存裝置。

• 偵測未授權裝置時可以觸發外部程式或指令檔。

建立裝置控制組態

1. 按一下工具 | 安全性 | 連線控制管理員。

2. 在下方窗格中,按一下裝置控制組態。

3. 輸入組態名稱。

4. 選擇您希望將設定套用至目前使用者還是電腦上的所有使用者。有關詳細

資訊,請參閱瞭解設定檔。

5. 選擇您希望該設定檔合並還是取代現有設定檔。

6. 自訂您想要的選項。有關詳細資訊,請參閱下一部分。

7. 按一下建立以儲存設定檔。

連線控制管理員將裝置控制組態儲存在核心伺服器的 LDLogon\usbmon 資料夾中。

裝置控制組態是以您指定的組態名稱而命名的 .INI 檔案。

關於「裝置控制組態」對話方塊

「裝置控制組態」對話方塊包括以下選項‥

• 組態名稱‥此組態的名稱。名稱會顯示在主連線控制管理員視窗中。

• 將組態套用至‥

• 使用者‥僅將組態套用於在部署時已登入的使用者。 有關詳細資

訊,請參閱瞭解設定檔。

• 電腦‥將組態套用於裝置上的所有使用者。有關詳細資訊,請參閱

瞭解設定檔。

• 阻擋 USB 裝置,允許‥

• 鍵盤和滑鼠‥選擇此核取方塊將允許 USB 鍵盤和滑鼠,並在 USB 規

則清單中加入 Service=hidusb。有關規則清單的詳細資訊,請參閱組

態進階 USB 設定值。

• Pocket PC‥選擇此核取方塊將允許裝置與掌上型 Pocket PC 同步,

並在 USB 規則清單中加入 Service=wceusbsh。

• 存儲‥選擇此核取方塊將允許 USB 存儲裝置,並在 USB 規則清單中

加入 Service=usbstor。


LANDesk Security Suite 使用者指南

• 印表機‥選擇此核取方塊將允許 USB 印表機,並在 USB 規則清單中

加入 Service=usbprint。

• Palm 裝置‥選擇此核取方塊將允許裝置與 Palm 掌上型裝置同步,

並在 USB 規則清單中加入 Service=PalmUSBD。

• 掃描器‥選擇此核取方塊將允許 USB 掃描器,並在 USB 規則清單中

加入 Service=usbscan。

• 在偵測到未經授權的 USB 裝置時通知使用者:當使用者連線至未經授權的

USB 裝置時,選擇此核取方塊將顯示一個訊息方塊。有關詳細資訊,請參

閱建立自訂訊息。

• 進階 USB 設定‥顯示裝置控制進階設定對話方塊,您可以在此檢視被阻擋

的裝置並建立您的不阻擋裝置規則。有關詳細資訊,請參閱組態進階 USB

設定。

• 阻擋所有不明磁碟區‥阻止存取在安裝裝置控制組態時沒有出現的任何磁

碟區。請注意‥如果安裝組態時連接了包含磁碟區的裝置,usbmon 服務將

允許裝置在未來執行,即使它可能被移除。

• 偵測到未經授權的磁碟區時,請通知使用者: usbmon 服務偵測到一個未經

授權的儲存磁碟區時,選擇此核取方塊將顯示一個訊息方塊。有關詳細資

訊,請參閱建立自訂訊息。

• 阻擋藍芽個人區域網路 (PAN)‥阻止存取藍芽網路。

• 阻擋 PCMCIA 裝置,允許‥

• 網路卡‥選擇此核取方塊允許使用 PCMCIA 網路卡。

• 存儲‥選擇此核取方塊允許使用 PCMCIA 存儲卡。

• 指令‥允許您組態在偵測到未經授權的裝置時執行的指令。有關詳細資

訊,請參閱組態在偵測到未經授權的裝置時執行的指令。

瞭解設定檔

「裝置控制組態」對話方塊包含將組態套用至和部署選項。這些選項是互動的,

並且,切記瞭解您選擇每個選項時會出現的結果。下表說明了選項的互動‥

使用者 電腦

合併 目前的組態將套用到已登入的

使用者。對其他使用者與裝置

以前的所有組態將保留原樣。

已登入的使用者將得到目前組

態。

未授權裝置處理方式

沒有專用使用者組態的所有使用者將得到該目前

組態。如果某特定使用者已有組態,則以前的組

態仍然有效。

裝置控制組態使用受管理裝置上的 usbmon 服務。usbmon 服務收到作業系統通

知,提示已插入新 USB 或 PCMCIA 裝置時, usbmon 服務將套用各種自訂的定義

規則以決定是否允許該裝置。您可以設定簡單規則僅允許特定類型的裝置,如鍵盤

111


使用者指南

和滑鼠、印表機和掃描器。較複雜的規則可能僅允許特定製造商的安全儲存裝置,

或排除特定製造商的裝置。

偵測到未授權裝置時,usbmon 服務將‥

112

• 移除「Windows 裝置管理員」中的裝置,使 Windows 再也不會看到它。保

持安裝裝置的所有驅動程式。

• 如果是未授權的 USB 裝置或磁碟區,將選擇性地向使用者顯示可組態訊息

(請參閱自訂訊息)。

• 選擇性載入外部程式(有關詳細資訊,請參閱組態指令)。例如,外部程式

可能是發送警示到中央控制台的指令檔。

• 傳送「停用已啟用的裝置」AMS 警示到核心伺服器。 警示訊息包括裝置名

稱。

可移除儲存裝置處理方式

Usbmon 是在受管理裝置上限制 USB 連線的服務。安裝新磁區時,usbmon 服務收

到作業系統的通知。然後,Usbmon 服務會使用 GetDriveType() API 呼叫檢查已安

裝的磁碟機類型。如果作業系統將磁碟機描述為「可移除」或「固定磁碟機」,

usbmon 服務將採取動作。Usbmon 服務在啟動時也會檢查可移除磁區。如果在啟

動時發現未授權磁區,則磁區隨後安裝時將採取相同行動。

被視為可移除的磁碟機包含(但不限於)USB 儲存裝置。CD 磁碟機(唯讀或讀/

寫)不會被視為可移除儲存裝置。

作業系統不會認為硬碟機可移除。GetDriveType() 呼叫將它們描述為"固定磁碟機

",即使它們是透過 USB 或其他外部連接埠相連。要允許可移除硬碟機的處理方式

與其他可移除儲存裝置相同,usbmon 服務在安裝服務時應記錄硬碟機清單。例

如,如果某裝置擁有兩個硬碟機(C:和 D‥)安裝 usbmon 服務時,usbmon 服務

將認為這兩個硬碟機是固定的,而不會去檢查。但如果隨後發現磁碟機代號為 E

的硬碟機‥usbmon 服務將會把它視為可移除裝置。

usbmon 服務將「固定磁碟機」清單存放在登錄表

HKLM\Software\LANDesk\usbmon\FixedDrives 中。該清單在服務安裝時已建立。

阻擋所有不明的磁碟區選項阻擋存取在安裝裝置控制組態時沒有出現的任何磁碟

區。請注意‥如果安裝組態時連接了包含磁碟區的裝置,usbmon 服務將允許裝置

在未來執行,即使它可能被移除。

偵測到可移除儲存裝置時,usbmon 服務將‥

• 鎖定磁區。嘗試存取磁區的使用者將收到"拒絕存取"錯誤。

• 選擇性向使用者顯示組態訊息。

• 選擇性載入外部程式。例如,外部程式可能是發送警示到中央控制台的指令

檔。


LANDesk Security Suite 使用者指南

• 傳送「停用已啟用的裝置」AMS 警示到核心伺服器。 警示顯示磁碟區已啟

用,但關於該磁碟區的其他資訊不可用。

如果支援人員需要使用 USB 記憶棒該怎麼辦?

如果您是 IT 支援人員,希望在使用者電腦上使用 USB 儲存裝置,則需執行以下操

作‥

1. 以管理員權限登入,暫時停用 usbmon 服務。

2. 以管理員權限登入,執行 usbmon GUI,並向未授權磁區清單新增裝置。

3. 使用設定檔。不允許一般使用者使用的裝置在您使用支援帳戶登入同一電腦時可

能獲得允許,因為您擁有不同的 usbmon 設定檔。

組態進階 USB 設定值

一旦連線控制管理員被安裝於裝置上,代理程式將儲存關於其阻擋存取的最近十個

USB 裝置的資訊。 清單掃描器會將此資訊發送至核心資料庫。有關這些被阻擋裝

置的資訊會出現在進階 USB 設定值對話方塊中。您可以使用此資訊建立允許或阻

擋特定 USB 裝置的進階規則。這些進階規則允許您控制您在裝置控制組態對話方

塊中看到的基本裝置類別之外的類別。

在進階 USB 設定值對話方塊中六欄的任一欄作為規則的基礎。使用滑鼠右鍵按一

下欄中的量值,然後按一下允許建立允許以該屬性為基礎的裝置規則。每欄可建

立的關鍵字如下所示‥

DeviceDesc

HardwareID

Service

Mfg

LocationInformation

Class

這與登錄表 HKLM\System\CurrentControlSet\Enum\USB key 下使用的名稱相同。

以規則為基礎的最有用欄位通常是服務。這與 Windows 驅動程式相對應。例如,

連線到 Windows CE PDA 的 USB ActiveSync 的驅動程式稱為 wceusbsh(請參見

HKLM\CurrentControlSet\Services\wceusbsh)。但是,六欄中的任何一欄都可作為

規則基礎。您可以自行決定何種規則對您目前情況有用。

萬用字元

您可以在規則中使用萬用字元,例如,下列允許任何在其裝置說明中含有"磁片"字

串的裝置‥

DeviceDesc=*磁片*

白清單與黑清單規則

113


使用者指南

目前說明的所有規則都是白清單規則,在此處裝置被禁止,除非它們滿足至少一條

規則。usbmon 服務也支援黑清單規則。減號為前綴的規則是黑清單規則。例如‥

Service=usbstor

-DeviceDesc=*磁片*

第一個規則允許 USB 儲存裝置。第二規則將在其裝置說明中含有"磁片"字串的裝

置列為黑清單。

如果同時定義黑清單和白清單規則, usbmon 服務首先根據白清單規則檢查裝置。

如果不存在允許裝置的白清單規則,則裝置被禁止。如果至少存在一條允許裝置的

白清單規則,則 usbmon 服務根據黑清單規則檢查裝置。如果裝置未滿足任何一條

黑清單規則,則還是被允許。否則將被禁止。

如果僅存在白清單規則,則裝置被禁止,除非它滿足一條白清單規則。如果僅存在

黑清單規則,則裝置被允許,除非它滿足一條黑清單規則。

複合規則

目前說明的所有規則都是簡單規則,該規則下僅單一欄位被測試。Usbmon 也支援

複合規則,如以下範例所示‥

Service=wceusbsh,DeviceDesc=*iPAQ*

該規則僅允許在其裝置說明中含有字串 IPAQ 的 Windows CE 裝置。

也可能存在複合黑清單規則。範例‥

Service=wceusbsh

-Service=wceusbsh,Mfg=*iPAQ*

以上兩行允許 Windows CE 裝置,除了在其製造商欄位含有字串 IPAQ 的裝置。以

上所列行等於以下一行‥

Service=wceusbsh,-Mfg=*iPAQ*

偵測到未授權裝置/磁碟區時建立自訂訊息

在裝置控制組態對話方塊中,您可自訂當偵測到未授權裝置/磁碟區時使用者看

到的訊息文字。在訊息文字中,您可以使用這些保留位置顯示關於未授權裝置或磁

碟區的資訊。

114

• %vol%:磁碟區序號

• %desc%:說明

• %service%:服務

• %hwid%:硬體 ID

• %mfg%:製造商

• %loc%:位置

• %class%:類別


組態在偵測到未經授權的裝置時執行的指令

LANDesk Security Suite 使用者指南

當 usbmon 服務偵測到未授權的磁碟區或裝置,它可以執行外部程式。您可在指令

中包含一兩個保留位置‥

• %1: 將被"磁碟區"或"裝置"取代,視乎偵測到未授權的磁碟區還是未授權的

USB 裝置。

• %2: 將被未授權磁碟區的磁碟區序號或未授權 USB 裝置的識別字串取代。

例如以下一列‥

wscript myscript.vbs %1 %2

可能將啟動以下指令‥

wscript myscript.vbs volume "1234ABCD"

wscript myscript.vbs device "Y-E Data USB Floppy:Vid_057b&Pid_0000"

Usbmon 僅保證將同時執行指令檔的一個例項。

組態指令

1. 在裝置控制組態中按一下指令。

2. 輸入您需要的指令。

3. 按一下確定。

組態警示

連線控制管理員組態使用警示管理系統發出警示(工具 | 警示設定 | 連線控制管理

員)。有關警示的詳細資訊,請參閱使用警示。連線控制管理員可以觸發以下事

件的警示‥

• 組態錯誤

• 停用已啟用的裝置

• 已嘗試受限制的網路連線

• 已嘗試未列出的網路連線

• 已偵測到未列出的網路階段

檢視未授權裝置清單

在每台電腦上,連線控制管理員可儲存十個最近的連線未授權裝置。您可以按一下

裝置快顯功能表上的清單,從網路檢視中檢視該資訊。然後按一下 LANDesk

Management | 連線控制管理員 | Usbmon 警示。

115


使用者指南

部署組態

一旦您建立了連線控制組態或裝置控制組態,則必須在其啟用之前部署給受管理裝

置。

部署組態

116

1. 在已儲存組態的快顯功能表中,按一下排程。

2. 此組態會新增到排程工作視窗。在此視窗中,將裝置拖曳到組態圖示。

3. 新增所有裝置後,在工作的快顯功能表中按一下屬性。按一下樹視圖中的

排程工作並組態排程選項。

有關排程的詳細資訊,請參見使用指令檔和工作。

當排程部署的裝置控制組態時,連線控制管理員執行以下作業‥

• 建立可執行分發套件,該套件依據來源裝置控制組態命名。套件的主檔案是

usbmon.exe。其他檔案是 usbmon.reg、devactalert.exe、netres.mrl 以及.ini。

• 如果您將使用者作為裝置控制組態工作的目標,連線控制管理員將使用名為

「Usbmon 提取傳送」的以公共原則為基礎的傳送方法。如果此傳送方法不

存在,則連線控制管理員會建立傳送方法。 當工作目標是使用者時,連線

控制管理員必須使用以原則為基礎的傳送方法,以確保正確的使用者獲得組

態。 當目標使用者登入時, 以原則為基礎的傳送方法啟用並安裝組態。

• 如果您將電腦作為裝置控制組態工作的目標,連線控制管理員將使用名為

「Usbmon 推送傳送」、支援公共原則的推送傳送方法如果此傳送方法不存

在,則連線控制管理員會建立傳送方法。 由於組態以裝置為目標,因此任

何登入該裝置的使用者都將獲得該裝置控制組態;組態安裝後是誰登入都無

關緊要。您可以使用電腦的推送或原則傳送方法。

連線控制管理員建立 usbmon 原則或支援原則的推送傳送方法後,您可以對它們進

行自訂。只要方法名稱沒有變更, 連線控制管理員將仍舊使用修改後的傳送方

法。

有關在受管理電腦上建立本機裝置控制組態並手動部署這些組態的詳細資訊,請檢

視核心伺服器 LDMain 共享目錄中的 usbmon 說明檔案 usbmon.chm。

疑難排解

• 每一個新的連線控制組態都會在下列資料夾中,儲存成一個組態檔和一個指

令檔檔:

ldmain\ccmgr\name.cfg

ldmain\scripts\name.ini


LANDesk Security Suite 使用者指南

• 如果您為組態指定的名稱和現有的指令檔或組態名稱相同,系統會提示您覆

寫現有的指令檔或組態。這樣會導致有相同名稱但不相關的分發指令檔被覆

寫。

• 輸入網路限制的 IP 範圍時,請勿限制對核心伺服器所在網路範圍的存取。

如果用戶端存取限制的網路,而連線控制管理員停用了網路存取,則只能透

過與核心伺服器通訊才能還原網路存取。如果用戶端因為限制而無法與核心

伺服器通訊,則無法還原網路存取。

• 在限制對 I/O 裝置的存取時,請勿限制主控網路配接卡的 I/O 裝置。如果限

制對主控網路配接卡 I/O 裝置的存取,該用戶端將無法再存取網路。例如,

限制 USB 存取會使任何 USB 網路配接卡無法作用。如果沒有網路存取,您

將無法更新該用戶端的限制設定。

• 如果您在連線控制管理員選擇以下選項,並且核心伺服器在所列出的網路上

不可用,則用戶端將在該網路上具有不受限制的 I/O 裝置存取。

• 限制與未列出的網路連線

• 如果未連線到近端網路,則允許連線到其他網路

• 在網路中驗證核心伺服器存在

如果已核取"如果未連線到近端網路,則允許連線到其他網路",代理程式未

在所列出的網路上找到核心伺服器,則表明網路未列出。此時,非計劃存取

可能被授予本機 I/O 裝置。這可能建立安全性風險。確保核心伺服器可用以

阻止這種情況發生。

啟動控制台

本章提供關於使用有效 LANDesk 軟體授權啟用核心伺服器,並啟動控制台以存取

和利用所有 LANDesk 工具的資訊。

閱讀本章後,您將瞭解以下內容‥

• 啟用核心伺服器

• 啟動控制台

• 變更核心伺服器的連線

117


使用者指南

啟用核心伺服器

LANDesk 使用中央授權伺服器幫助您管理核心伺服器的產品和節點授權。要使用

LANDesk 產品,您必須獲得一個將使用授權憑證啟用核心伺服器的使用者名稱和

密碼。必須在每個核心伺服器上啟用,才能在該伺服器上使用 LANDesk 產品。您

可以藉由網際網路自動啟用每個核心伺服器,或藉由電子郵件手動啟用每個核心伺

服器。如果您對一個核心伺服器的硬體組態進行了較大變更,可能需要重新啟用該

核心伺服器。

每個核心伺服器上的啟用元件會定期產生以下相關資料‥

118

• 您在使用的精確節點數

• 非個人加密硬體組態

• 您正在使用的特定 LANDesk 程式 (總稱「"節點"數資料」)

啟用元件不收集或產生任何其他資料。硬體金鑰代碼是使用非個人硬體組態因素在

核心伺服器上產生的,例如硬碟機的大小、電腦的處理速度等。硬體金鑰代碼以加

密格式傳送到 LANDesk,該加密的私密金鑰只有駐留在核心伺服器上。然後,硬

體金鑰代碼用於建立授權憑證的一部分。

安裝核心伺服器之後,請使用核心伺服器啟用公用程式 (開始 | 所有程式

|LANDesk | 核心伺服器啟用) 使用與您購買的授權或 45 天評估授權相關聯的

LANDesk 帳戶啟用它。45 天評估授權是用於 100 個節點的。有兩種類型的授權,

裝置授權和伺服器授權。任何時候您在伺服器作業系統 (例如 Windows 2000 Server

或 Windows 2003 Server) 上安裝 LANDesk 代理程式時,該安裝對每個伺服器對話

方塊花費一個授權。彙總核心伺服器不需要啟用。

您可以在任何時間藉由執行核心伺服器啟用公用程式並輸入您的 LANDesk 使用者

名稱和密碼而將 45 天評估授權轉換為付款授權。

每次核心伺服器上的啟用軟體產生節點數資料時,您需要將該節點數資料自動藉由

網際網路 或手動藉由電子郵件傳送到 LANDesk。如果您在初始節點數驗證嘗試之

後 30 天寬限期內未能提供節點數資料,核心伺服器可能會不可作業,直到您向

LANDesk 提供了節點數資料。一旦您傳送了該節點數資料,LANDesk 將向您提供

一個將容許核心伺服器重新正常執行的授權憑證。

啟用核心伺服器以後,使用產品授權對話方塊 (組態 | 產品授權) 檢視這些產品以及

核心伺服器驗證帳戶所購買的授權節點數。您也可以看到核心伺服器將在中央授權

伺服器驗證節點數資料的日期。核心伺服器不限制您購買的授權節點數。


關於核心伺服器啟用公用程式

使用核心伺服器啟用公用程式‥

• 第一次啟用新的伺服器

• 更新現有的核心伺服器或從試用授權轉換為完全使用授權

• 啟用具有 45 天試用授權的新伺服器

LANDesk Security Suite 使用者指南

按一下開始 | 所有程式 | LANDesk | 核心伺服器啟動開始該公用程式。如果您的核

心伺服器沒有網際網路連線,請參閱本節後面的手動啟用核心伺服器或驗證節點數

資料。

每個核心伺服器必須有一個唯一的授權憑證。多台核心伺服器不能共享同一授權憑

證,儘管它們可以向同一 LANDesk 帳戶驗證節點數。

核心伺服器會定期在「\Program Files\LANDesk\Authorization

Files\LANDesk.usage」檔案中建立節點數驗證資訊。此檔案會定期傳送到

LANDesk 授權伺服器。此檔案是 XML 格式的,並被數位簽名和加密。任何對此

檔案進行的手動變更都將使其內容和下一次向 LANDesk 授權伺服器傳送的使用情

況報告無效。

核心伺服器經由 HTTP 與 LANDesk 授權伺服器通訊。如果您使用代理伺服器,請

按一下該公用程式的代理標籤並輸入您的代理資訊。如果您的核心資料庫有網際

網路連線,則與授權伺服器之間的通訊是自動的,並且不要求您進行任何干預。

請注意核心伺服器啟用公用程式將不會自動啟動撥接網際網路連線,但是如果您手

動啟動了撥接連線並執行啟用公用程式,該公用程式可以使用該撥接連線報告使用

情況資料。

如果您的核心伺服器沒有網際網路連線,您可以如本節中後面所述,手動驗證和傳

送節點數。

使用 LANDesk 帳戶啟用伺服器

在可以使用完全使用授權啟用新的伺服器之前,您必須在 LANDesk 設定一個帳

戶,授權您使用所購買的 LANDesk 產品和節點數。要啟用您的伺服器,您將需要

帳戶資訊 (連絡名稱和密碼) 。如果您沒有此資訊,請連絡您的 LANDesk 銷售代

表。

要啟用伺服器,請:

1. 按一下開始 | 所有程式 | LANDesk | 核心伺服器啟用。

2. 按一下使用您的 LANDesk 連絡名稱和密碼啟用此核心伺服器。

3. 輸入您想要核心伺服器使用的連絡名稱和密碼。

119


使用者指南

120

4. 按一下啟用。

以試用授權啟用伺服器

您可以使用 45 天試用授權向 LANDesk 授權伺服器啟用您的伺服器。一旦 45 天評

估期過去,您就無法登入核心伺服器,並且它會停止接受清單掃描,但是您不會遺

失軟體或資料庫中任何現有的資料。在 45 天試用授權期間或之後,您可以重新執

行核心伺服器啟用公用程式並轉換為使用 LANDesk 帳戶的完全啟用。如果試用授

權過期,轉換為完全使用授權將重新啟用核心資料庫。

要啟用 45 天評估,請:

1. 按一下開始 | 所有程式 | LANDesk | 核心伺服器啟用。

2. 按一下啟用此核心伺服器以進行 45 天評估。

3. 按一下啟用。

更新現有帳戶

更新選項將使用情況資訊傳送到 LANDesk 授權伺服器。如果您有網際網路連線,

使用情況資料會自動傳送,所以您通常不需要使用此選項傳送節點數驗證。您還可

以使用此選項變更核心伺服器所屬的 LANDesk 帳戶。此選項也可將一個核心伺服

器從試用授權轉換為完全使用授權。

要更新現有帳戶,請:

1. 按一下開始 | 所有程式 | LANDesk | 核心伺服器啟用。

2. 按一下使用您的 LANDesk 連絡名稱和密碼更新此核心伺服器。

3. 輸入您想要核心伺服器使用的連絡名稱和密碼。如果您輸入了與原來啟用

核心伺服器的使用者名稱和密碼不同的使用者名稱和密碼,這會將該核心伺

服器轉換到新的帳戶。

4. 按一下啟用。

手動啟用核心伺服器或驗證節點數資料

如果核心伺服器沒有網際網路連線,核心伺服器啟用公用程式將無法傳送節點數資

料。然後,您將看到一條訊息,提示您經由電子郵件手動傳送啟用和節點數驗證資

料。電子郵件啟用是一個快捷的過程。當您在核心伺服器上看到手動啟用訊息時,

或如果您使用核心伺服器啟用公用程式並看到手動啟用訊息,請執行以下步驟。

手動啟用核心伺服器或驗證節點數資料

1. 1. 核心伺服器提示您手動驗證節點數資料時,將在「\Program

Files\LANDesk\Authorization Files」資料夾中建立一個叫作 {languagecode}-


LANDesk Security Suite 使用者指南

activate.{datestring}.txt 的資料檔案。請將此檔案附加到電子郵件訊息中,然

後將它傳送到 licensing@landesk.com。訊息主旨和內文無關緊要。

2. LANDesk 將對該訊息附件進行處理後回覆到您傳送該訊息的郵件地址。

LANDesk 訊息會提供說明和新附加的授權檔案。

3. 將附加的授權檔案儲存到「\Program Files\LANDesk\Authorization Files」資

料夾。核心伺服器會立即處理該檔案並更新其啟用狀態。

如果手動啟用失敗或核心伺服器不能處理附加的啟用檔案,則您複製的授權檔案會

使用 .rejected 副檔名更名,並且該公用程式會在 Windows 事件檢視器的應用程式

日誌中記錄一個具有更多詳細資訊的事件。

啟動控制台

要啟動控制台,請:

1. 按一下開始 | 程式集 | LANDesk | LANDesk Management Suite。(實際的程

式名稱可能會因您所安裝的 LANDesk 產品以及用來啟用核心伺服器的授權

而不同。)

2. 輸入有效的使用者名稱和密碼。

如果要連線到遠端核心伺服器,請遵循一般 Windows 遠端登入規則 (也就

是,如果使用者是核心伺服器的本機使用者,只需輸入使用者名稱;如果使

用者是網域使用者,則輸入網域名稱\使用者名稱)。

3. 選擇要連線的核心伺服器。使用者必須有該核心伺服器的正確身份驗證認

證。

4. 按一下確定。

控制台就以使用者上次登出時所用的配置 (大小、位置、開啟的工具視窗等) 開

啟。

對於其他控制台,用於登入 Management Suite 憑證必須與用於您已映射到核心伺

服器所有磁碟機的憑證相符。否則,您可能看到控制台登入對話方塊中出現「多個

連線」錯誤。

如果您執行其他控制台且擁有映射到核心伺服器的磁碟機,您必須

關於登入對話方塊

使用此對話方塊啟動控制台,並連線到核心伺服器。

• 使用者名稱‥識別 LANDesk 使用者。使用者可以是管理員使用者,或是已

限定權限的其他類型使用者 (請參閱使用以角色為基礎的管理) 。這個使用

121


使用者指南

122

者必須是核心伺服器的 LANDesk Management Suite 群組中的成員。請遵循

一般 Windows NT 遠端登入規則 (也就是,如果使用者是核心伺服器的本機

使用者,則只需輸入使用者名稱;如果使用者是網域使用者,則輸入網域名

稱\使用者名稱) 。

• 密碼‥使用者的密碼。

註:如果 LANDesk 管理員變更了另一個使用者 (另一個控制台使用者) 的密

碼,必須在此使用者重新啟動控制台後,新的密碼才會生效。此時,這個使

用者需輸入其新的密碼才能登入到控制台。

• 核心伺服器‥指定要連線的核心伺服器。此下拉式清單與控制台工具列上

的核心伺服器下拉式清單相同。

變更核心伺服器的連線

您可以透過控制台檢視及管理資料庫內容,只要能在網路上與核心伺服器連線相關

聯的任何資料庫都可以。這樣一來,您就可以為不同的網站、組織單位或邏輯內部

網路建立資料庫。

一次只能連接一台核心伺服器。

要變更核心伺服器連線,請:

1. 從位於控制台工具列上的核心伺服器下拉式清單中選擇一台核心伺服器。

或者,在文字方塊中輸入核心伺服器的名稱,然後按 Enter 鍵。

在網路中尋找該伺服器。如果找到該伺服器,系統會顯示標準的「登入」對

話方塊提示您登入。

2. 輸入有效的使用者名稱和密碼。

請遵循一般 Windows NT 遠端登入規則 (也就是,如果使用者是核心伺服器的

本機使用者,則只需輸入使用者名稱;如果使用者是網域使用者,則輸入網

域名稱\使用者名稱) 。

一旦連線到某核心伺服器之後,該伺服器的名稱會自動新增到工具列中的核心伺

服器下拉式清單中。


使用控制台

LANDesk Security Suite 使用者指南

LANDesk Management Suite 提供各種系統管理工具,可用來檢視、組態、管理和

保護網路上的裝置。這些工作都可以藉由一個控制台執行。本章將介紹控制台介面

和說明如何組態以及瀏覽控制台的網路檢視和工具視窗。

閱讀本章後,您將瞭解以下內容‥

• 控制台概觀

• 瞭解網路視圖

• 建立群組

• 裝置圖示

• 檢視「所有裝置」群組中管理的裝置

• 快顯功能表

• 使用欄位集組態網路視圖

• 工具列選項

• 使用控制台工具

• 可固定視窗

• 自動隱藏

• 儲存視窗配置

• 尋找欄

• 狀態列

• 檢視裝置屬性

• 組態代理程式探索

• 監視裝置的網路連線

控制台概觀

控制台擁有強大的功能,可以從單一便利位置執行所有重要的網路管理功能,毋需

到各個受管理裝置去執行日常維護或疑難排解工作。您可以從單一控制台分發並更

新軟體或組態設定、診斷硬體和軟體問題、部署作業系統影像並移轉使用者設定

檔、使用以角色為基礎的管理來控制使用者存取功能和裝置、使用遠端控制功能來

培訓一般使用者或解決問題。

您可以使用多個核心伺服器和資料庫來滿足特定的網路管理需要。有關安裝核心伺

服器和控制台、附加控制台、Web 控制台以及管理多個核心伺服器和資料庫的資

訊,請參閱《安裝和部署指南》 (該指南為可列印的 PDF 說明文件)。

繼續閱讀本章,就會瞭解到如何瀏覽和使用新的控制台來檢視和組織裝置以及存取

各種管理工具。(每一個工具,例如軟體分發、遠端控制、安全性和 Patch Manager

等都將在此指南的後續章節有深入的說明。)

123


使用者指南

瞭解網路檢視

網路檢視是控制台的主要視窗,也是執行絕大多數功能的起始點。在此可檢視裝置

的清單資料、建立查詢來搜尋裝置並對裝置進行分組、選擇要遠端控制的裝置等等

工作。

網路檢視視窗永遠是開啟的,其中包含兩個窗格。左窗格中顯示目前連線的核心伺

服器/資料庫及其裝置群組、查詢群組和組態群組的層次結構樹視圖。您可以根據

需要展開或摺疊這些樹物件。網路檢視的右窗格中詳細列出了所選群組中的裝置項

目、查詢項目或組態項目,具體情況取決於所選群組的類型。

群組圖示

以下圖示用來表示網路檢視中的不同群組類型‥

124

• 藍色資料夾‥指公用與私人群組。

• 雙黃資料夾‥指包含由特定類型項目詳盡清單的公用群組,例如所有裝

置。

您可以調整網路檢視視窗及其窗格和欄的大小,但不能關閉該檢視。與工具視窗不

同,網路檢視視窗是不可停駐的。

以角色為基礎的管理

您可以在網路視圖中檢視和管理的裝置以及可以使用的管理工具,由管理員指派給您的存取權限和

裝置範圍來決定。有關詳細資訊,請參閱以角色為基礎的管理。

網路檢視包含下列群組和子群組‥

核心伺服器

核心伺服器物件可識別目前連線的核心伺服器。核心伺服器物件就在「網路檢

視」的根目錄下,可以摺疊和展開。

「核心伺服器」物件名稱的語法是‥伺服器名稱\資料庫執行個體。

裝置

裝置群組包含下列裝置子群組。

• 我的裝置‥以使用者範圍為基礎,列出目前登入使用者的裝置。使用者只

能在我的裝置下建立裝置子群組。使用者可以藉由從公用裝置和所有裝置

群組中複製裝置的方法,在其我的裝置群組或子群組中新增裝置。使用者

也可以將公用裝置和所有裝置中的裝置拖曳到它們的我的裝置群組中。


查詢

LANDesk Security Suite 使用者指南

在網路檢視中拖曳項目

當您在網路檢視中按一下某個項目,要將其拖到另一個群組中時,游標會指示何處可放置

該項目,何處不能放置該項目。當將游標移到某群組物件上時,加號 (+) 表示可以將項目

新增到該群組中;刪除符號表示不能將項目新增到該群組中。

• 公用裝置‥列出管理員(具備 LANDesk 管理員權限的使用者)從所有裝置

群組新增的裝置。管理員可以看到該群組中的所有裝置,而其它使用者只能

看到其範圍允許的裝置。同樣的,只有管理員能夠在公用裝置下建立子群

組。

• 所有裝置‥以使用者的範圍為基礎,在平面清單 (無子群組) 中列出目前登

入使用者可以看到的所有裝置。對於管理員,所有裝置列出所有已掃描到

核心資料庫中管理的裝置。當清單掃描器將以標準 LANDesk 代理程式組態

的裝置掃描到核心資料庫以後,所有裝置群組中會自動顯示這些裝置。

對於定期使用者,「所有裝置」由其使用者的我的裝置和公用裝置群組構

成。

管理員和使用者可以該群組中的裝置執行資產報告。

您也可使用滑鼠右鍵按一下所有裝置群組,選擇並按一下插入新電腦, 填寫

裝置和網路資訊,最後按一下確定,即可將電腦新增到網路視圖。這些電腦

也顯示於「組態」群組下的使用者新增電腦子群組。

• 使用者裝置‥列出核心資料庫中的所有裝置,它以使用者子群組的形式存

在。使用者子群組根據使用者登入 ID 來命名 (即‥「電腦名稱\使用者帳

戶」,或「網域\使用者帳戶」)。每個使用者群組都包含這個使用者的我的

裝置群組中出現的裝置。

注意:只有管理員能看到使用者裝置群組及其子群組。其他使用者完全看不

到使用者裝置群組。

查詢群組包含以下查詢子群組:

• 我的查詢‥列出目前登入使用者建立的查詢,或管理員新增到這個使用者

的使用者查詢群組中的查詢。使用者可以建立、修改和移除查詢群組及其

我的查詢群組下面的查詢。還可以將查詢從公用查詢群組複製到「我的查

詢」群組中。

一個使用者能執行的任何查詢都只有限於這個使用者的範圍所定義的裝置範

圍。例如,如果使用者的範圍是所有機器,則查詢將搜尋核心資料庫中的所

有裝置,但如果使用者的範圍是 20 台電腦,則查詢只會搜尋這 20 台電腦。

有關建立查詢的詳細資訊,請參閱建立資料庫查詢。

125


使用者指南

組態

126

• 公用查詢‥列出由管理員或具有公用查詢管理 (Public Query Management;

PQM) 權限的使用者新增之查詢。只有具有 LANDesk 管理員權限或 PQM

權限的使用者能夠新增、修改或移除查詢群組或公用查詢群組中的查詢。

不過,所有使用者都可以檢視該群組中的查詢,並且可以將查詢複製到各自

的我的查詢群組內。

• 所有查詢‥根據使用者的範圍,在平面清單 (無子群組) 中列出目前登入使

用者可以看到的所有查詢。所有查詢由這個使用者的我的查詢群組和公用

查詢群組構成。

• 使用者查詢‥列出核心資料庫中的所有查詢,這些查詢由使用者組織在子

群組中。使用者子群組是根據使用者的登入 ID 命名的 (即,「電腦名稱\使

用者帳戶」或「網域\使用者帳戶」) 。每個使用者群組都包含這個使用者的

我的查詢群組中出現的查詢。

注意:只有管理員能看到使用者查詢群組及其子群組。其他使用者完全看不

到使用者查詢群組。

管理員可以在某個使用者的指派範圍內,以使用者的身份使用該群組來執行

這位使用者的查詢。這樣,管理員就可以預覽到使用者執行查詢時才能看到

的結果,而且內容一模一樣。

組態群組包含以下組態群組。

• PXE 暫存佇列:列出 PXE 暫存佇列和正在 PXE 暫存佇列中等待的裝置。

有關詳細資訊,請參閱使用 PXE 暫存佇列。

• 多點傳送網域代表‥列出組態的多點傳送網域代表,多點傳送網域代表可

用來均衡軟體分發負載。有關詳細資訊,請參閱使用定向多點傳送。

• PXE 代表‥列出組態為 PXE 代表的裝置,這些代表可將作業系統映像部署

到其子網路內的裝置中。有關詳細資訊,請參閱使用 PXE 代表。

• 擱置不受管理的用戶端部署‥列出已用「搜尋未管理裝置」工具搜尋到的

裝置,正等候進行代理程式組態工作。有關詳細資訊,請參閱使用不受管理

的裝置搜尋。

• 使用者新增的電腦:列出經由插入新電腦對話方塊(使用滑鼠右鍵按一下

所有裝置群組)已手動新增到網路視圖的電腦。

建立群組

群組可幫助您在控制台的網路檢視中組織裝置和查詢。您可以建立群組,根據功

能、地理位置、部門、裝置屬性或任何其他符合要求的類別來組織網路裝置。例

如,可以為市場行銷部門的所有裝置建立一個市場行銷群組,或建立一個群組,然

後在其中包含執行特定作業系統的所有裝置。


建立群組的規則

LANDesk Security Suite 使用者指南

• 「我的裝置」和「我的查詢」‥管理員和所有其他使用者可以在我的裝置

和我的查詢下建立群組。

• 公用裝置‥只有管理員能夠在公用裝置下建立群組。

• 公用查詢‥只有管理員或具有公用查詢管理 (PQM) 權限的使用者能夠在公

用查詢下建立群組。

• 「所有裝置」和「所有查詢」‥所有裝置或所有查詢中沒有子群組。使用

者 (包括管理員在內) 不能在所有裝置或所有查詢下面建立群組。

• 使用者裝置‥只有管理員能夠在使用者裝置中的特定使用者子群組下建立

群組。

• 使用者查詢‥只有管理員和具有公用查詢管理 (PQM) 權限的使用者能夠在

使用者查詢中的特定使用者子群組下面建立群組。

要建立群組,請:

1. 在控制台的網路檢視中,用滑鼠右鍵按一下父群組 (例如,我的裝置),然後

按一下新增群組。也可以選擇父群組,然後按一下編輯 | 我的裝置 | 新增群

組。

2. 鍵入新群組的名稱,然後按 Enter 鍵。

您可以用滑鼠右鍵按一下群組以執行各種工作;端視群組的類型而定。例如,如果

建立的是裝置子群組,則使用其快顯功能表可執行下列工作‥

• 新增裝置

• 建立新子群組

• 執行清單報告

• 以報告方式檢視

• 剪下

• 複製

• 貼上

• 移除

• 重新命名

有關按下滑鼠右鍵功能的詳細資訊,請參閱下面的快顯功能表。

裝置圖示

裝置圖示出現在控制台的網路檢視中,顯示某裝置的目前代理程式和健全性狀態。

127


使用者指南

您既可以在網路檢視中逐一選擇裝置來更新其代理程式和健全性狀態,也可以同時

更新網路檢視中所有顯示裝置的代理程式和健全性狀態。還可以先選擇某個裝置,

然後按一下「重新整理」工具列按鈕來更新這個裝置的狀態。有關如何處理代理程

式探索的組態資訊,請參閱本章稍後的組態代理程式探索。

下表列出可能的裝置圖示和狀態圖示及其各自含義‥



128

類型和說明

伺服器‥表示伺服器裝置。

Windows 裝置:表示 Windows 裝置。

Macintosh 裝置:表示 Macintosh 裝置。

掌上型裝置:表示掌上型裝置。

依裝置的目前組態和狀態而定,上面所列裝置圖示旁邊可能會顯示下列狀態圖

示。

無法使用‥表示控制台目前無法使用裝置。

不詳‥表示目前並不知道裝置的狀態。此圖示在更新裝置狀態的瞬間出

現。

標準的 LANDesk 代理程式:表示裝置中已載入標準 LANDesk 代理程

式。

遠端控制‥表示裝置上已載入遠端控制代理程式。

警告‥表示裝置的健全性警告。只有在裝置上已載入 LANDesk System

Manager 代理程式之後,才會顯示健全性狀態圖示。

嚴重‥表示裝置的嚴重健全性狀態。只有在裝置上已載入 LANDesk

System Manager 代理程式之後,才會顯示健全性狀態圖示。

圖示顯示品質

這些圖示的色彩非常鮮明,至少要求 16 位色深設定。如果控制台中的圖示模糊,請在 Windows

「顯示內容」中變更色彩設定。

如果您的防火牆阻擋 UDP 封包

如果您藉由阻擋 UDP 封包的防火牆管理裝置,您將無法使用下列裝置快顯功能表的功能‥喚醒、

關機、重新啟動和清單掃描。


檢視所有裝置群組中管理的裝置

LANDesk Security Suite 使用者指南

當清單掃描器將執行 LANDesk 代理程式的裝置掃描到核心資料庫後,所有裝置群

組中便會自動顯示這些裝置。通常是在裝置的初次代理程式組態期間進行這種掃

描。裝置一旦被掃描到核心資料庫中,就是受管理的裝置。也就是說,核心伺服器

此時便可以管理這個用戶端。有關設定裝置的詳細資訊,請參閱裝置代理程式組

態。

因為所有裝置群組是藉由清單掃描自動填充的,所以不必手動探索裝置。不過,

如果要搜尋尚不在核心資料庫中的裝置,可以使用「不受管理的裝置探索」工具在

網路中進行掃描。有關詳細資訊,請參閱使用不受管理的裝置探索。

與某個特殊的核心伺服器相連後,管理員就可以看到該核心伺服器所管理的每個裝

置。另一方面,定期使用者也被限制在只能看到其權限範圍內的裝置(範圍是以資

料庫查詢或目錄位置為基礎)。有關詳細資訊,請參閱使用以角色為基礎的管理。

快顯功能表

快顯(上下文)功能表包含了控制台中的所有項目,例如群組、裝置、查詢、排程

工作、指令檔、報告等等。借助快顯功能表,很快就能存取到項目的常見工作和關

鍵資訊。

要檢視項目的快顯功能表,請選擇並用滑鼠右鍵按一下對應的項目。

快顯功能表中的可用選項

裝置快顯功能表中顯示的選項,以及已停用或灰色的選項,視乎裝置平台與安裝在裝置上的

LANDesk 代理程式可能有所不同。

例如,當您在網路檢視中用滑鼠右鍵按一下某個受管理的裝置時,其快顯功能表通

常會顯示以下選項‥

• 清單‥顯示裝置已掃描到核心資料庫中的所有清單資料。

• 清單歷史記錄‥顯示已選取要追蹤屬性的清單資料變更情況。可以列印清

單歷史記錄或將其匯出到 .CSV 檔案。

• 遠端控制‥開啟與裝置的遠端控制工作階段。

• 對話‥開啟與裝置的遠端對話工作階段。

• 檔案傳輸‥開啟「檔案傳輸」對話方塊,在此與裝置相互傳輸檔案。

• 遠端執行‥讓您瀏覽並在裝置上執行批次檔或應用程式。

• 喚醒‥遠端喚醒那些 BIOS 支援 Wake On LAN* 技術的裝置。

• 關機:遠端關閉裝置。

• 重新啟動‥遠端重新啟動裝置。

• 清單掃描‥對裝置執行清單掃描。

• 排程工作和原則‥顯示裝置目前的排程工作和應用程式管理原則。

129


使用者指南

130

• 新增到新群組‥將裝置的副本新增到我的裝置群組下使用者定義的新群組

中。系統將提示您輸入新群組的名稱。

• 新增到現有群組‥ 用於選擇要新增裝置副本的群組。

• 群組成員身份‥顯示裝置目前以成員身份所在的所有群組。

• 執行清單報告:開啟「報告」對話方塊,從此處可以在報告清單中選擇要

在裝置上執行的報告。按二下報告名稱,即可執行對應的報告。

• 安全和修補程式資訊‥開啟「安全性和修補程式資訊」對話方塊,顯示詳

細的裝置漏洞掃描與修補資料:包含偵測到的漏洞與其他安全性風險、安裝

的修補程式與修復歷史記錄。

• 立即進行安全性和修補程式掃瞄‥開啟一個允許您選擇掃描與修復設定值

的對話方塊,然後按一下確認在裝置上立即執行安全性掃描。

• 管理本機使用者和群組‥開啟「本機」使用者和群組對話方塊,使您可以

遠端管理 Windows 裝置的本機使用者與群組。

• 剪下‥從使用者定義的群組中移除項目。不能剪下"所有"群組中的項目。

• 複製‥建立項目的副本,以便將其新增到其他群組。

• 貼上‥將剪下或複製的項目放入使用者定義的群組中。

• 移除‥從使用者定義的群組中移除項目。

• 刪除‥從"所有"群組和此時為其成員的任何其他群組中刪除項目。

• 屬性‥顯示裝置的清單摘要、裝置資訊、代理程式狀態和遠端控制設定

值。

本指引並非包含所有可能的項目(裝置、查詢、指令檔等等)的快顯功能表。推薦

您用滑鼠右鍵按一下任一項目以查看可用的選項。

使用欄位集組態網路檢視

欄位集可以讓您自訂顯示在網路檢視右側窗格中的清單資料,包括裝置清單和查詢

結果清單。每個在欄位集的欄都代表一個在掃描清單中唯一的屬性 (或元件)。例

如,顯示在網路檢視的預設值欄位集是由裝置名稱、類型和作業系統名稱等屬性所

組成。

使用欄位集組態工具(工具 | 管理 | 欄位集組態),隨意建立欄位集,數目不限。

然後,要套用欄位集,將所需欄位集拖到網路樹視圖中的裝置群組和查詢物件。

欄位集視窗

註:此「欄位集」視窗將取代舊版的「管理欄組態」對話方塊。

「欄位集」視窗將欄位集分成三個類別:

• 我的欄位集:欄位集是由目前登入的使用者建立。

• 公用欄位集:由管理員建立的欄位集,或是預先定義的欄位集。


LANDesk Security Suite 使用者指南

• 所有欄位集 (只有管理員可以看到):欄位集由所有 LANDesk 使用者建立。

使用者可以從「公用欄位集」群組複製欄位集到自己的「我的欄位集」群組中,然

後修改欄位集屬性。

您可以在我的欄位集物件之下建立子群組,進一步組織欄位集。

建立欄位集

在欄組態對話方塊中,可以建立欄位集。每一欄都代表掃描到核心資料庫中的單

一清單屬性或元件。欄按照它們出現在「欄」清單中的順序,從左到右依次顯示在

網路檢視中。

建立欄位集

1. 按一下工具 | 管理 | 欄位集組態。

2. 選擇我的欄位集物件 (或公用欄位集 物件),然後接著按一下新增工具列按

鈕。

3. 在欄組態對話方塊中,輸入新的欄位集名稱。

4. 從清單中選擇清單屬性,然後按一下新增至欄,將清單屬性新增到「欄」

清單中。請記住,要選擇那些有助於辨識裝置清單中的或由查詢傳回裝置的

屬性。

5. (可選) 您可以直接編輯元件的標題、別名和排序順序欄位,或者以可用的按

鈕移除或上下移動所選元件,自訂在網路檢視中顯示欄的方法和位置。

6. (可選) 您可以更精確地為軟體元件指定限定資料。選擇軟體元件,按一下限

定按鈕,然後再從可用的值清單中選擇主鍵值。有關詳細資訊,請參閱下

面的在軟體元件使用限定選項。

7. 按一下確定儲存欄位集。

還原原始預設欄

要還原網路視圖中的預設欄,僅需建立包含「裝置名稱」、「類型」和「作業系統 名稱」屬性的

自訂欄位集,然後將其套用到裝置群組和查詢物件。或者您可使用「我的欄位集」群組中名為「原

始值」的預先定義欄位集。

向裝置群組和查詢套用欄位集

建立了欄位集以後,可以將設定拖曳到裝置群組或子群組,或者拖曳到查詢群組或

子群組中的特定查詢物件。裝置清單或查詢結果清單會顯示指定的清單資料,資料

是由網路檢視右側窗格中所選擇的欄位集加以指定。

請注意裝置清單,欄位集套用到群組之後,即使另外再選擇其他裝置群組,也會持

續顯示。但是查詢結果清單就不同,如果變更為各種不同的查詢,就必須重新套用

欄位集。

131


使用者指南

您也可以用滑鼠右鍵按一下欄位集,存取快顯功能表,然後執行常見工作,並檢視

及編輯其屬性。此快顯功能表包含以下選項:

132

• 新增到新群組‥

• 新增到現有群組‥

• 群組成員資格

• 設定為預設值

• 剪下

• 複製

• 移除

• 重新命名

• 內容

在軟體元件使用限定選項

建立包含軟體元件的欄位集時,您可以選擇特定的主鍵值,指定軟體元件的限定

詞。軟體限定詞讓您更精確地辨識您要查詢搜尋的資料,並將結果顯示在軟體元件

的欄上。例如,您可以選擇應用程式的可執行檔案名稱作為限定詞,組態欄位集僅

會顯示一個特定應用程式的版本資訊。

若要指定軟體元件的限定詞,請在「欄」清單中選擇軟體元件,按一下限定按

鈕,然後再從可用的主鍵值清單中選擇值。

與「別名」欄位一樣,選擇主鍵值並新增至軟體元件的「限定詞」欄位以後,就可

以按一下欄位手動進行編輯。

關於欄組態對話方塊

使用此對話方塊可建立新的欄組態。

• 名稱‥識別欄組態。

• 清單屬性(I)‥列出掃描到核心資料庫中的每個清單物件和屬性。按一下物

件左側的方塊,即可展開或摺疊對應的物件。

• 新增到欄‥將選取的清單屬性移到欄清單中。如果選擇整個清單元件,便

會將該元件中包含的所有清單屬性新增到欄清單中。

• 欄(C)‥在網路視圖中按顯示的順序從左到右列出清單屬性。

• 限定:可讓您指定所選軟體元件的精確資料限定詞。有關詳細資訊,請參

閱在軟體元件使用限定選項。

• 移除‥從清單中移除選取的屬性。

• 上移‥將選取的屬性向上移動一個位置。

• 下移‥將選取的屬性向下移動一個位置。

• 確定‥儲存目前的欄組態,並關閉該對話方塊。

• 取消‥關閉該對話方塊,且不儲存任何變更。


工具列選項

LANDesk Security Suite 使用者指南

控制台中有一個工具列,只需按一下其中的項目即可存取常見的網路視圖作業和一

些基本的控制台組態選項。如果您在網路視圖中選擇了不支援工具列按鈕作業的某

個項目,工具列按鈕便會變灰。

藉由按一下檢視 | 顯示工具列文字以啟用工具列按鈕的文字說明。

控制台工具列內包含下列按鈕‥

• 剪下‥從網路檢視中移除項目,並將其暫時儲存在剪貼簿上。如果無意中

剪下了某項目,可使用「貼上」指令進行還原。必須在執行任何其他指令之

前還原移除的項目。

• 複製‥從網路檢視中將某個位置的項目複製到其他位置。

• 貼上‥貼上先前剪下或複製的項目。

• 刪除‥永久地刪除該項目。這種情況下,將無法還原從網路檢視中刪除的

項目。

• 重新整理‥更新網路檢視中選取的群組或項目。您還可以摺疊和展開群組

來更新其項目。也可以按一下檢視 | 重新整理來更新網路檢視中目前選取的

項目。

• 重新整理範圍‥根據目前已登入的使用者範圍(如「使用者」工具中定義

的),更新網路檢視中的選定群組或項目。

• 配置:列出已儲存的視窗配置。從下拉式清單中選擇配置,以便按此配置

組態還原控制台。如果希望儲存目前配置,請按一下儲存目前配置按鈕。

• 核心:列出您以前已連線的核心伺服器(使它們出現在該清單中)。既可

以從清單中選擇核心伺服器,也可以鍵入核心伺服器的名稱,然後按 Enter

鍵。該核心伺服器是要在您的網路上搜尋,如果找到,則提示您使用有效使

用者名稱和密碼登入。

使用控制台工具

您可以藉由「工具」功能表和工具列這兩種方式來使用工具。要啟用工具列,請

按一下檢視 | 工具列。

LANDesk 管理員可以查看「工具」功能表和工具列中的所有工具。其他 LANDesk

使用者只能看到他們有權使用的那些工具 (功能)。當使用者登入到控制台後,尚未

授權這個使用者使用的工具根本不會出現在工具功能表和工具列中。例如,如果

使用這沒有「報告」權限,那「報告」工具就不會出現在工具功能表和工具列

中。

按一下工具名稱後,便可在控制台中開啟該工具的視窗。您不只有可以調整工具視

窗的大小,還可以停駐、浮動、隱藏和關閉工具視窗。另外,還可以同時開啟、停

駐或浮動多個工具視窗。有關操縱工具視窗的詳細資訊,請參考下節中的內容。

133


使用者指南

可停駐的工具視窗

可停駐視窗是一種控制台功能,借助這項目功能,您可以根據需要開啟任意多個工

具,並將這些工具移入或移出主控制台視窗。

註:您可以儲存設計好的控制台配置,將之專用於某些管理工作,而且只要需要,就可以還原儲存

的配置。有關詳細資訊,請參閱本章稍後的儲存視窗配置。

開啟多個工具視窗時,這些視窗會以標籤的形式顯示在一個視窗中。活動的工具視

窗顯示在最上面,每個開啟工具的標籤則出現在視窗的一側或底部。按一下標籤可

顯示該工具視窗。您可以停駐標籤式工具視窗,也可以藉由拖動使其浮動在控制台

視窗之外。

所謂停駐工具視窗是指將它附在控制台的某個邊緣。如果此時工具視窗正附在控制

台的某個邊緣處,便說明這個視窗正處於停駐狀態。您還可以改變工具視窗的停駐

狀態,使其在控制台的週邊自由浮動。您可以將視窗水平或垂直停駐在控制台中。

要停駐工具視窗,請:

134

1. 按一下這個視窗的標題欄,並將視窗拖到控制台的邊緣

2. 當表示這個視窗將停駐的停駐矩形 (視窗為灰邊) 出現時,放開滑鼠按鈕。

這個視窗會附著在控制台的邊上。

請注意,只有工具視窗 (那些可藉由「工具」功能表或工具列存取的視窗) 可以作

為停駐視窗、浮動視窗或標籤式視窗存在。您可以調整網路檢視視窗的大小,但不

能將其以標籤形式嵌入其他視窗,也不能將其浮動在控制台之外和將其關閉。

如果將主控制台視窗縮到最小,然後再還原,那麼所有停駐視窗和浮動視窗 (內含

標籤式視窗) 也會隨之縮到最小和還原。

自動隱藏

工具視窗還支援自動隱藏功能。「自動隱藏」是視窗右上角的圖釘按鈕,可用來將

視窗固定在原位或隱藏視窗。

當圖釘按鈕被按下去的時候 (即圖釘指向下方) ,視窗將被固定在原位,而且「自

動隱藏」也暫時處於停用狀態。當圖釘按鈕跳出時 (即圖釘指向左側) ,如果將游

標從視窗上移開後,這個視窗便會轉入「自動隱藏」模式。「自動隱藏」可以使視

窗縮到最小,並將其停駐在控制台的某個邊緣處,而且還會在其原位上顯示一個標

籤。

工具列也支援「自動隱藏」。


儲存視窗配置

LANDesk Security Suite 使用者指南

配置是儲存的控制台組態,即:網路檢視、工具列和所有其他開啟的工具視窗的

位置和大小。您可以使用視窗配置來儲存和還原對某些工作或使用者特別有用的自

訂控制台組態。

要變更控制台的配置,請從主工具列上的配置下拉式清單中選擇一種儲存的配

置。

要儲存目前配置,請:

1. 根據需要,組態控制台介面。

2. 按一下工具列上配置下拉式清單旁邊的磁碟按鈕。

3. 為配置輸入一個唯一的名稱。

4. 按一下確定。

關於管理視窗配置對話方塊

使用該對話方塊,可管理儲存的視窗配置,還可以將控制台視窗還原為以前的配

置。

• 儲存的配置‥列出所有已儲存的配置。

• 重設‥按以前的配置還原控制台視窗。

• 刪除‥移除選取的配置。

• 重新命名(R)‥用於變更選取配置的名稱。

尋找欄

「尋找」用於在清單中搜尋包含特定字或片語的項目。包含項目的平面清單的網路

檢視和工具視窗中都有尋找欄。例如,當檢視下列內容時就會出現尋找欄‥

• 「所有裝置」群組

• 「所有查詢」群組

• 「擱置不受管理的用戶端部署」群組

• 「不受管理的裝置探索工具」視窗

• 所有資產報告

要使用「尋找」欄搜尋項目,請:

1. 選擇所有裝置群組。尋找欄出現在清單頂端。

2. 在尋找文字方塊中,鍵入要搜尋的任何文字。

3. 從在欄中下拉式清單中,選擇要搜尋的欄

135


使用者指南

136

4. 按一下搜尋工具列按鈕。

結果清單只顯示那些與搜尋條件符合的項目。

狀態列

控制台底部的狀態列顯示下列資訊(從左至右)‥

• 清單中選取項目的數目

• 目前作業的名稱和狀態

• 目前登入的使用者的名稱

• 核心伺服器將嘗試聯絡授權伺服器的天數

狀態列永遠可見。

檢視裝置屬性

在控制台的網路視圖中,使用滑鼠右鍵按一下裝置清單中的裝置,然後選擇屬

性,即可迅速檢視有關這個裝置的資訊。

在裝置的清單資料中,可以找到有關這個裝置的詳細資訊。您可以在網路檢視列

(可組態) 中檢視清單資料,還可以用滑鼠右鍵按一下裝置,並選擇清單,從而開啟

整個清單視窗。

關於裝置屬性對話方塊

使用此對話方塊可檢視有關選取裝置的有用資訊。該對話方塊中包含以下三個標

籤‥清單、裝置和代理程式。 按一下每個標籤可檢視相關資訊。

清單標籤

清單標籤中包含裝置的清單資料的摘要。有關詳細資訊,請參閱檢視清單摘要,

以獲得詳細描述。

「裝置」標籤

裝置標籤中包含關於裝置的基本資訊,其中內含裝置在網路中的位置和識別。當

手動插入裝置時,此標籤也會出現 (在所有裝置群組的快顯功能表,按一下插入新

的電腦)。

• 裝置‥

• 名稱‥核心資料庫和裝置的網路檢視中出現的名稱。


LANDesk Security Suite 使用者指南

如果手動方式插入裝置,您就可以製造出方便使用的名稱。如果不在

此輸入任何東西,則預設的裝置名稱會是 Windows 電腦名稱。

• 類型(T)‥裝置類型,例如‥Windows 2000 伺服器或 Windows XP 工

作站。

• 網路‥

• IP 名稱‥ 裝置的 Windows 電腦名稱。

• IP 位址‥為裝置指派的 IP 位址。

• 實體位址‥裝置的實體位址。

「代理程式」標籤

代理程式標籤中包含關於代理程式的目前狀態以及裝置的遠端控制設定的資訊。

• Common Base Agent 的狀態‥表示裝置中是否已載入標準 LANDesk 代理程

式 (Common Base Agent)。

LANDesk System Manager 狀態‥表示裝置上是否載入了 LANDesk System

Manager 代理程式。只有核心伺服器上安裝了 LANDesk System Manager,

而且已將 System Manager 代理程式部署到這個裝置後,才會在這個裝置上

載入此代理程式。有關詳細資訊,請參閱組態裝置。

• 遠端控制代理程式狀態‥表示裝置上是否載入了遠端控制代理程式。如果

裝置上沒有載入此代理程式,則不能執行遠端控制作業 (例如,檔案傳輸和

對話)。

• 安全類型‥表示裝置採用的遠端控制安全模式。具體項目有‥「本機範

本」、「Windows NT 安全性/本機範本」和「以憑證為基礎/本機範本」。

• 允許‥顯示裝置上允許的遠端控制作業。這些作業都是透過裝置代理程式

組態啟用。

• 設定‥表示在您想要與裝置互動時遠端控制的活動方式。

組態代理程式探索

代理程式搜尋這一過程用於尋找已安裝標準 LANDesk 代理程式或遠端控制代理程

式的受管理裝置。這兩個代理程式具有以下功能‥

LANDesk 代理程式:標準 LANDesk 代理程式啟用 PDS (Ping 探索服務)。

如果裝置上已安裝標準 LANDesk 代理程式,就可以排程軟體分發和裝置設

定組態的時間。

• 遠端控制‥用於遠端存取和控制裝置。

代理程式探索使用 TCP/IP 來驗證裝置上執行的代理程式。

137


使用者指南

IP 位址用作搜尋條件以便使用 TCP/IP 執行標準 LANDesk 代理程式搜尋。

LANDesk 在特定的 IP 位址範圍內,尋找裝置上的標準 LANDesk 代理程式和遠端

控制代理程式。這個位址範圍是根據您所提供的 IP 網路位址來確定。

如果在搜尋 TCP/IP 時沒有指定子網路的網路位址,只會搜尋啟動此次搜尋的控制

台所在的網段。例如,如果安裝了四個控制台,每個控制台又分別位於不同的網段

上,就必須啟動四次掃描,對這四個控制台中逐一進行掃描。

在那些沒有控制台的網段上,必須使用子網路位址來存取該網段上的資訊。

防火牆附註‥如果網路中設有一個或多個防火牆,那麼代理程式搜尋不能用於探索來搜尋防火牆以

外的欄位,因為防火牆通常會將封包通訊流量限制在指定的連接埠。

要組態代理程式搜尋項目,請:

138

1. 按一下組態 | 代理程式探索選項。

2. 選擇是希望代理程式搜尋只更新網路檢視中選取項目的代理程式狀態,還是

更新網路檢視中顯示的所有項目的代理程式狀態。

3. 指定代理程式狀態的重新整理頻率。

4. 組態搜尋遠端控制代理程式的方式,並確定位址解析方法的優先順序。

5. 指定代理程式探索在逾時之前將用多長時間來嘗試搜尋裝置上的遠端控制代

理程式。

6. 按一下確定。

關於代理程式探索選項對話方塊

使用此對話方塊可組態以下代理程式探索選項:

• 收集代理程式狀態:

• 只針對選取項目‥指定在網路檢視中選擇了某台裝置後,才更新這

個裝置的代理程式狀態。此項目為預設項目,產生的網路流量最少。

• 只針對網路檢視中的可見項目‥指定根據重新整理頻率來更新網路

檢視中的所有可見裝置的代理程式狀態。當新裝置變成可見裝置時,

將立即更新其代理程式狀態 (及健全性) 。

• 代理程式和健全性狀態的重新整理間隔時間 < >(分鐘)‥指明是否自動更新

代理程式狀態。可以指定重新整理頻率。

• 探索方式‥指示如何探索代理程式。

• IP 位址‥使用核心資料庫檢索電腦的儲存的 IP 位址。

• 網域名服務 (DNS)‥驗證遠端控制代理程式時,使用 DNS 伺服器解

析電腦的 ID 名。如果沒有 DNS 伺服器,請清除此項目。

• 網際網路名稱服務 (WINS)‥使用 NetBIOS 名稱解析。

• 來自資料庫的 IP 位址‥使用核心資料庫檢索裝置儲存的 IP 位址,並

試用每個位址。如果電腦上有多個網卡,那麼電腦在資料庫中會有若

干個 IP 位址。


LANDesk Security Suite 使用者指南

• 上移和下移‥在「搜尋代理程式使用的方法」清單中向上移動或向

下移動選取的方法。按照該清單的順序來試用各種方法。

• 逾時‥設定遠端控制代理程式搜尋在試用每種核取的位址解析方法失敗之

前的逾時值。

監視裝置的網路連線

藉由裝置監視功能,可以定期監視任何受管裝置的連線情況。

Ping 設定專用於所選的裝置。當伺服器停止回應 Ping 時 (處於離線狀態時),會產

生 AMS 警示來通知您。您還可以對警示進行組態,以便在裝置重新線上時得到知

會。

關於組態裝置監視對話方塊

使用此對話方塊可組態以下裝置監視項目。

• 監視這些裝置‥列出目前在處於監視下的裝置。

• 新增‥開啟新增監視的裝置對話方塊,您可以在這裡搜尋和選擇所要監視

的受管理裝置。

• 移除‥從清單中移除選取的裝置。

• Ping 的頻率‥控制發生 Ping 作業的時間和方式。這些設定可分別套用於每

台裝置。

• Ping 的間隔為‥按指定的時間間隔 (以分鐘計) 來排程定期的 Ping。

• 每天以下時間調度‥在每天的特定時間調度 ping。

• 重試次數‥指定 Ping 的重試次數。

• 逾時‥指定在重試 Ping 逾時之前的秒數。

• 警示設定‥開啟「組態警示」對話方塊,您可以在這裡設定 AMS 警示,以

便在裝置離線或線上時得到知會。「警示設定」帶有自己的線上說明,只需

按一下「說明」按鈕即可進行存取。

• 確定‥儲存所作的變更,並關閉該對話方塊。

• 取消‥關閉該對話方塊,且不儲存變更。

組態裝置監視警示

如果希望受管理的裝置連線或離線狀態時,得到裝置監視發出的知會,首先必須組

態警示設定。

組態裝置監視警示設定

1. 在組態裝置監視對話方塊中,按一下警示設定。

2. 在組態警示對話方塊中,展開裝置監視器樹。

139


使用者指南

140

3. 選擇要組態的警示,然後按一下組態。

4. 選擇警示作業,然後按一下下一步。

5. 選擇要執行警示動作的裝置。不要選擇正在監視的裝置,因為一旦這個裝置

進入離線狀態,就不能處理警示動作。

6. 完成警示組態精靈。

註:組態了警示設定之後,便可以在要監視的所有裝置上套用這些設定了。

使用支援 Intel® AMT 的裝置

Management Suite 支援使用 Intel ® 主動管理技術 (Intel ® AMT) 該技術是一項啟用遠

端裝置管理的硬體和韌體功能。AMT 使用離線 (OOB) 通訊存取裝置,不論操作系

統或裝置電源狀態如何。

裝置組態 Intel AMT 後,即使裝置未安裝 Management Suite 代理程式,也可以使用

有限數目的管理功能。只要裝置連線了網路並擁有待命電源,即可以探索它們,並

將它們新增到清單,以使用網路上的其他裝置對其進行管理。

如果某裝置安裝了 AMT 但未安裝 Management Suite 代理程式,則可以使用不受管

理的裝置探索來探索裝置,將其移到清單資料庫,然後在我的裝置清單中檢視。

但是,許多 Management Suite 管理選項不可用。僅當安裝了 Management Suite

理程式方可使用這些選項。組態 AMT 的裝置可用的管理功能包括‥

• 清單摘要‥ 即使裝置關閉,仍可即時查詢並檢視裝置一般清單資料的子

集。

• 事件日誌‥ 記錄特定 AMT 活動的日誌,顯示活動的嚴重性和說明,您可

對其進行即時檢視。

• 遠端啟動管理員‥ 無論裝置操作系統或電源的狀態如何,都可從遠端管理

控制台啟動電源循環和數個啟動選項。可用選項取決於裝置是否對相關選項

提供支援。部分裝置可能不會支援所有啟動選項。

• 強制執行 vulscan 並停用作業系統網路‥ 如果某裝置似乎在執行惡意軟

體,則將在下次重新啟動時執行漏洞掃描;如有需要,可停用裝置的作業系

統層級網路存取以防止不需要的封包在網路上傳播。

Intel AMT 部署要求

為了使用 Intel AMT 功能探索和管理裝置,必須在 Small Business 模式中部署每個

裝置。此時 Management Suite 不支援 Enterprise 模式(啟用了 TLS)。如果製造商

沒有在 Small Business 模式中部署裝置,則使用「Intel AMT 組態畫面」正確部署

裝置(請參閱由 Intel 提供的該「組態畫面」的說明文件)。


LANDesk Security Suite 使用者指南

要檢視清單摘要或將裝置新增到清單資料庫以管理裝置,首先必須(使用「組態服

務」公用程式)為 AMT 裝置組態使用者名稱/密碼,從而使 Management Suite

以對 AMT 進行身份驗證。將一次性對所有 AMT 裝置進行身份驗證。此密碼組態

將新增至儲存資訊的資料庫中,從而使 Management Suite 可以對 AMT 裝置進行身

份驗證。

如果 AMT 裝置擁有不同憑證,您需要在管理裝置或裝置群組之前(使用「組態服

務」公用程式)變更每個裝置或裝置群組的憑證。

要組態 Intel AMT 密碼,請‥

1. 按一下組態 | 服務。

2. 按一下 Intel AMT 密碼標籤。

3. 鍵入目前的使用者名稱和密碼。輸入的名稱和密碼必須與「Intel AMT 組態

畫面」中所組態的使用者名稱和密碼(在電腦 BIOS 設定值中存取)相符。

4. 要變更使用者名稱和密碼,請完成新增 Intel AMT 密碼部份。

5. 按一下確定。將在執行用戶端組態時進行以上變更。

141


使用者指南

管理 Intel AMT 裝置

探索組態 Intel AMT 的裝置並組態使用者名稱/密碼後,即使裝置未安裝

Management Suite 代理程式,仍可使用有限方式進行管理。

當裝置將單一的 Intel AMT 與 Intel AMT 和 Management Suite 代理程式進行比較

時,下表將列出可用的管理選項。

142

僅 Intel AMT Intel AMT 和代理程式 僅代理程式

清單 摘要 X X

事件日誌 X X X

遠端啟動管理員 X X

停用作業系統網路 X

啟用作業系統網路 X

重新啟動時強制執行

vulscan

清單歷史記錄 X X

遠端控制 X X

對談 X X

檔案傳輸 X X

遠端執行 X X

喚醒 X X

關閉 X X

重新啟動 X X

清單掃瞄 X X

排程工作和原則 限制 X X

群組選項 X X

執行清單報告 X X

要檢視 Intel AMT 清單摘要

1. 用滑鼠右鍵按一下所有裝置清單中的裝置,再按一下 Intel AMT 選項 | Intel

AMT 摘要。

對話方塊顯示裝置名稱、IP 位址和連線的通訊協定及連接埠編號,以及製造商資

訊、產品資訊、GUID 和序號、AMT 版本和 BIOS、處理器和記憶體摘要。對話方

塊底部將顯示用於對 AMT 裝置進行身份驗證的使用者名稱。

Intel AMT 事件日誌

X


LANDesk Security Suite 使用者指南

Management Suite 提供一個用於檢視 Intel AMT 裝置產生的事件日誌的視窗。AMT

設定值將決定該事件日誌內將擷取哪些事件。您可檢視事件的日期/事件、事件的

來源(「實體」欄)、說明以及 AMT 設定值所決定的嚴重性(「嚴重」或「非嚴

重」)。您亦可將日誌資料以逗號分隔值 (CSV) 格式匯出。

要檢視 Intel AMT 事件日誌,請‥

1. 用滑鼠右鍵按一下所有裝置清單中的裝置,再按一下 Intel AMT 選項 | Intel

AMT 事件日誌。

2. 要將日誌匯出到 CSV 格式檔案,請按一下工具列上的匯出按鈕,並指定一

個儲存檔案的位置。

3. 要清除日誌中的所有資料,請按一下工具列上的清除按鈕。

4. 要更新日誌項目,請按一下工具列上的重新整理。

143


使用者指南

Intel AMT 遠端啟動管理員

遠端啟動管理員包含開啟和關閉 Intel AMT 裝置的選項。只要裝置連線網路並擁有

待命電源,即使裝置的作業系統沒有回應,仍可以使用以上選項。Intel AMT 裝置

可能會也可能不會支援所有啟動選項。

您只要開啟或關閉裝置電源,或可重新啟動並指定如何重新啟動裝置。下表對選項

進行了說明。

選項 說明

關閉電源 關閉裝置電源

開啟電源 開啟裝置電源

重新啟動 關閉後重新開啟裝置電源

正常開機 使用裝置上預設的啟動順序啟動裝置。

從本機硬碟機啟動 無論裝置上的預設啟動模式如何,強制從裝置的硬碟機進行

啟動

從 CD/DVD 啟動 無論裝置上的預設啟動模式如何,強制從裝置的 CD 或

DVD 磁碟機進行啟動

PXE 啟動 重新啟動時,支援 PXE 的裝置將在網路上搜尋 PXE 伺服

器;如果找到了 PXE 伺服器,則將在裝置上啟動一個 PXE

啟動工作階段。

IDE-R 啟動 使用選定的 IDE 重新導向選項重新啟動裝置(請參閱以下內

容)

進入 BIOS 設定 啟動裝置時,允許使用者進入 BIOS 設定

啟用控制台重新導向 啟動裝置時,裝置將以 Serial Over LAN 模式啟動,以顯示

控制台重新導向視窗

IDE 重新導向‥從磁片 啟動裝置時,裝置從指定的軟式磁碟機或映象啟動(磁片映

啟動

象檔案必須為 .img 格式;請參閱以下附註)

IDE 重新導向‥從 啟動裝置時,裝置從指定的 CD 磁碟機或映象啟動(CD 映

CD/DVD 啟動

象檔案必須為 .iso 格式;請參閱以下附註)

要使用遠端啟動管理員選項

144

1. 用滑鼠右鍵按一下所有裝置清單中的裝置,再按一下 Intel AMT 選項 | Intel

AMT 遠端啟動管理員。

2. 選擇電源指令。如果選擇重新啟動,請選擇一個啟動選項。

3. 按一下傳送啟動指令。

關於使用 IDE 重新導向選項的說明

要使用 IDE 重新導向選項,必須指定啟動磁片或磁片映像檔案和啟動 CD/DVD 或

CD/DVD 映像檔案。磁片映像檔案必須為 .img 格式,CD 映像檔案必須為 .iso 格

式。某些 BIOS 可能要求 CD 映像必須位於硬碟機上。


LANDesk Security Suite 使用者指南

Intel AMT 通常會記住最近的 IDE-R 設定值,但 Management Suite 將在 45 秒之後

清除這些設定值,所以在之後的啟動中,將不會重新啟動 IDE-R 功能。Intel AMT

裝置上的 IDE-R 工作階段會持續 6 個小時,或直到 Management Suite 控制台關閉

時才會結束。 所有仍在執行的 IDE-R 作業將於 6 個小時後終止。

在 Intel AMT 裝置上強制進行漏洞掃描並停用網路存取

組態 Intel AMT 的裝置安裝了 Management Suite 代理程式時,代理程式所包含的功

能有助於解決惡意軟體問題或阻礙您存取裝置的其他問題。

amtmon.exe 服務使用 Management Suite 代理程式安裝 。在裝置上執行該服務時,

您可在下一次重新啟動時強制進行漏洞掃描,以嘗試識別裝置上的所有惡意軟體。

如果與裝置的通訊失敗,即使作業系統無法執行,例如惡意軟體透過占用所有

CPU 循環而停用了作業系統,您仍可停用裝置的網路連線。透過停用網路連線,

您可阻止裝置經由網路傳送不需要的封包。

Intel AMT 裝置上安裝了 Management Suite 代理程式時,以下選項在我的裝置清單

內的快顯功能表上可用‥

• 啟動時強制執行 vulscan‥下一次重新啟動裝置時執行 Management Suite

洞掃描器

• 停用 OS 網路‥啟用作業系統網路堆疊以停止網路存取

• 啟用作業系統網路‥啟用已停用的作業系統

如果裝置沒有回應或可能有惡意軟體在裝置上執行,建議在下一次重新啟動時執行

漏洞掃描,以嘗試識別問題。如果問題仍未解決,並且電腦感染/攻擊網路,或者

您無法存取裝置,您可選擇停用 OS NIC。

要在重新啟動後強制執行漏洞掃描,請‥

1. 用滑鼠右鍵按一下所有裝置清單中的裝置,並選擇重新啟動時強制執行

vulscan。裝置上顯示一則訊息,顯示下次重新啟動時將執行掃描。

2. 要關閉或重新啟動裝置,請使用 Intel AMT 遠端啟動管理員功能。

要在未回應裝置上停用或啟用網路連線,請‥

1. 要停用裝置的網路卡以停止與網路上其他裝置進行通訊,請用滑鼠右鍵按一

下所有裝置清單中的裝置,再選擇停用作業系統網路。停用網路連線時,

裝置上會顯示一則訊息,表示已停用網路卡。

2. 當裝置可安全地再次連線網路時,請用滑鼠右鍵按一下所有裝置清單中的

裝置,並選擇啟用作業系統網路。連線還原時,裝置上會顯示一則訊息,

表示將再次啟用網路卡。

145


使用者指南

使用以角色為基礎的管理

以角色為基礎的管理透過讓您控制使用者對受管理裝置、控制台檢視與特定功能及

工具的存取,增強 LANDesk 網路安全性。本章說明以角色為基礎的管理如何工

作,以及您能如何建置它以有效管理 LANDesk 管理的網路。

閱讀本章後,您將瞭解以下內容‥

146

• 以角色為基礎的管理概觀‥

• 管理 LANDesk 使用者

• 管理群組

• 瞭解權限

• 建立範圍

• 為使用者指派權限和範圍

以角色為基礎的管理概觀‥

以角色為基礎的管理讓您控制使用者可以管理的裝置,以及可以在這些裝置上存取

並利用的工具。LANDesk 管理員(擁有 LANDesk 管理員權限的使用者)可存取以

角色為基礎的管理工具(按一下工具 | 管理 | 使用者)。以角色為基礎的管理允許

您將特殊權限指派給您系統上的使用者。亦能從目錄服務將權限指派給群組與組織

單位 (OU),傳播給屬於群組或 OU 的使用者。

• 權限‥決定使用可以看到並利用的工具與功能(請參閱本章後面的瞭解權

限)。

• 範圍‥決定使用者可以看到並管理的裝置範圍(請參閱本章後面的建立範

圍)。

註:如果沒有「管理員」權限,使用者將無法看見「使用者」工具。

您可以根據使用者的職責、您希望他們能執行的管理工作,以及想讓他們看到、存

取和管理的裝置來為他們建立角色。您可以將使用者能存取的裝置限定在某個地理

位置,例如國家、地區、州 (省) 、城市甚至一個辦公室或部門。也可以將存取限

定為特定的裝置平台、處理器類型或某些其他裝置硬體或軟體屬性。藉由使用以角

色為基礎的管理,您可以全權掌握要建立多少個不同的角色,哪些使用者可以充當

這些角色,他們的裝置存取範圍應該有多大或多小。例如,您可以指定一個或多個

使用者充當軟體分發管理員,指定另一個使用者負責遠端控制作業,再指定一個使

用者負責執行報告,等等。


管理角色範例

LANDesk Security Suite 使用者指南

下表列出一些您可能要建置的 Management Suite 管理角色、使用者執行的常見工

作,以及使用者要有效行使該角色的職責所需的權限。

角色 工作 所需的權限

管理員 組態核心伺服器、安裝其他控制台、執行資

料庫彙總、管理使用者、組態警示、整合

LANDesk System Manager 等等。(當

然,具備完全權限的管理員可以執行任何管

理工作。)

裝置清單管理員 探索裝置、組態裝置、執行清單掃描器、建

立和分發自訂資料表單、啟用清單歷史記錄

追蹤等。

服務台 遠端控制裝置、聊天、傳輸檔案、執行軟

體、關機、重新啟動、檢視代理程式和健全

性狀態等。

應用程式管理員 分發軟體套件、使用定向多點傳送與對等下

載等。

移轉管理員 建立映像、部署作業系統映像、移轉使用者

設定檔、建立和分發使用者啟動的設定檔移

轉套件、部署 PXE 代表、指派 PXE 暫存

佇列、組態 PXE 啟動功能表、建立啟動磁

片等。

報告管理員 執行預先定義的報告、建立自訂報告、列印

報告、發佈報告、匯入和匯出報告、測試使

用者報告等。

軟體授權監視管

理員

組態要監視的應用程式、新增授權、給予授

權升級和降級和驗證報告等。

LANDesk 管理員

(意味著擁有所有權

限)

探索不受管理的裝

置、軟體分發、軟體

分發組態和公用查詢

管理

遠端控制

軟體分發和軟體分發

組態

作業系統部署

報告 (所有報告都必

需)

軟體授權監視

註:某些管理角色範例將要求基本 Web 控制台權限以使用 Web 控制台中的功能。

這些角色只是管理角色範例。以角色為基礎的管理非常彈性,因此,您可以根據自

己的需要建立任意多個自訂角色。您可以給不同的使用者指派一些相同的權限,但

將他們的存取權限限製為範圍較窄的一群組裝置。甚至可以用範圍來限制管理員,

使他們實際上只是某地理欄位或某類受管裝置的管理員。如何利用以角色為基礎的

管理取決於您的網路、人力資源以及您的具體需要。

要建置及強制執行以角色為基礎的管理,僅需將目前的 NT 使用者指定為

LANDesk 使用者,或建立新的 NT 使用者,並將其新增為 LANDesk 使用者,然後

為他們指派必要的(使用功能)權限和(受管理裝置)的範圍。

147


使用者指南

管理 LANDesk 使用者

LANDesk 使用者可以登入至控制台,並且在網路特定裝置上執行特定工作。建立

了使用者並將它們新增至核心伺服器 Windows NT LANDesk Management Suite

組中之後,使用者將顯示在所有使用者群組中(按一下工具 | 管理 | 使用者 | 所有

使用者)(請參閱新增 LANDesk 使用者)。所有使用者群組顯示了目前儲存在核

心伺服器 LANDesk Management Suite 群組內的所有使用者。

LANDesk 安裝期間登入伺服器的使用者,將被自動置入 Windows NT LANDesk

Management Suite 群組,新增為 LANDesk 使用者並指派管理員權限。該個人使用

者負責新增其他使用者到控制台並指派權限和範圍。一旦建立其他管理員,他們也

可執行相同的管理作業

安裝 LANDesk 之後新增到控制台的所有使用者享有與預設範本使用者相同的權限

和範圍。該使用者可作為使用者屬性(權限和範圍)範本來組態新的使用者。當新

增使用者到 Windows NT 環境中的 LANDesk Management Suite 群組時,此使用者

會自動繼承目前在「預設範本使用者」屬性中定義的相同權限和範圍。在「預設範

本使用者」上按一下右鍵,然後按一下屬性可變更其屬性設定值。能夠在使用者

新增到控制台後,組態其接收的權限和範圍,從而大大方便對使用者的管理。例

如,要同時新增大批使用者,卻不想讓他們存取所有工具或裝置,您可先變更「預

設範本使用者」設定,然後將使用者新增到 LANDesk Management Suite 群組中。

註:「預設範本使用者」無法移除。

當您將使用者新增到控制台後,會顯示使用者的名稱、範圍和權限。此外,還會在

使用者裝置、使用者查詢、使用者報告和使用者指令檔群組中建立新的使用者子

群組,這些子群組是以使用者的唯一登入 ID 命名 (注意:除了實際的使用者之

外,只有管理員才能檢視使用者群組) 。要重新整理所有使用者群組,使之顯示新

加的所有使用者,可用滑鼠右鍵按一下所有使用者,然後按一下重新整理。

建立 LANDesk 使用者

可從控制台或核心伺服器上的本地本機帳戶管理系統建立 LANDesk 使用者。

從控制台建立 LANDesk 使用者

148

1. 在控制台的網路檢視中按一下裝置 | 所有裝置。

2. 連按兩下您的核心伺服器並選擇管理本機使用者與群組。

3. 在本機使用者與群組對話方塊中,連按兩下使用者,再按一下新增。

4. 在新使用者對話方塊中,輸入使用者名稱、全名與說明。

5. 輸入密碼、確認密碼並指定密碼設定值。

6. 按一下儲存。


LANDesk Security Suite 使用者指南

註:記住將使用者新增至 LANDesk Management Suite 群組中,使他們出現在控制台「所

有使用者」群組中。

從「Windows NT 電腦管理」對話方塊建立 LANDesk 使用者

1. 瀏覽並找到伺服器的系統管理工具 | 電腦管理 | 本機使用者和群組 | 使用者

公用程式。

2. 用滑鼠右鍵按一下使用者,然後按一下新增使用者。

3. 在新增使用者對話方塊中,輸入名稱和密碼。

4. 指定密碼設定。

5. 按一下建立。「新增使用者」對話方塊會一直處於開啟狀態,因此,您可

以建立其他的使用者。

6. 按一下關閉,離開該對話方塊。

註:記住將使用者新增至 LANDesk Management Suite 群組中,使他們出現在控制台「所

有使用者」群組中。

新增 LANDesk 使用者

LANDesk 使用者需要被新增到 LANDesk Management Suite 群組,方可被識別為

LANDesk 使用者並顯示在控制台中。其他的網域群組也可新增到 LANDesk

Management Suite 群組。如果您新增網域群組到 LANDesk Management Suite

組,則網域群組中的所有使用者會被列舉並新增為控制台使用者。LANDesk 僅允

許單個列舉,因此最高網域群組下的所有其他網域群組將被忽略。

要從控制台新增使用者到 LANDesk Management Suite 群組

1. 在控制台的網路檢視中按一下裝置 | 所有裝置。

2. 連按兩下您的核心伺服器並選擇管理本機使用者與群組。

3. 在本機使用者與群組對話方塊中,按一下群組。

4. 用滑鼠右鍵按一下 LANDesk Management Suite 群組,然後按一下編輯。

5. 在編輯群組 - LANDesk Management Suite 對話方塊中,按一下新增。

6. 在選擇使用者對話方塊中,選擇需要的使用者並按一下新增>>。

7. 按一下確定。

8. 在編輯群組 - LANDesk Management Suite 對話方塊中,按一下確定。

從「Windows NT 電腦管理」對話方塊新增使用者到「LANDesk Management Suite」群組

1. 瀏覽並找到伺服器的系統管理工具 | 電腦管理 | 本機使用者和群組 | 群組公

用程式。

2. 用滑鼠右鍵按一下 LANDesk Management Suite 群組,然後按一下新增到

群組。

149


使用者指南

150

3. 在 LANDesk Management Suite 屬性對話方塊中,按一下新增。

4. 在「選擇使用者和群組」對話方塊中,從列表中選擇所需的使用者(和群

組),然後按一下新增。

5. 按一下確定。

6. 在 LANDesk Management Suite 屬性對話方塊中,按一下確定。

註:使用以下方法也可以將使用者新增到 LANDesk Management Suite 群組中‥在「使用

者」清單中用滑鼠右鍵按一下對應的使用者帳戶,按一下屬性 | 該群組的成員,然後按一

下新增來選擇該群組並新增這個使用者。

現在,可以指派權限和範圍給 LANDesk 使用者。

移除 LANDesk 使用者

如果您從控制台或 Windows NT 使用者環境中的 LANDesk Management Suite 群組

中移除使用者,此使用者物件仍將顯示在所有使用者群組中,但會被畫上紅色 X,

表示它已不再是該群組成員且無法通過任何 LANDesk 控制台的身份驗證。使用者

的帳戶仍然在資料庫中,您隨時可將其加回 LANDesk Management Suite 群組中。

另外,還會儲存這個使用者在使用者裝置、使用者查詢、使用者報告和使用者指

令檔下面的子群組,因此,可以還原使用者且不遺失其資料,並可以將資料複製

給其他使用者。您亦能從資料庫中永久性刪除某使用者。

警告‥從資料庫中刪除使用者時,該使用者所擁有的全部資料(包括指令檔、工作、查詢等)也都

會從資料庫中被永久刪除。

使用控制台移除使用者

1. 在控制台的網路檢視中按一下裝置 | 所有裝置。

2. 連按兩下您的核心伺服器並選擇管理本機使用者與群組。

3. 在本機使用者與群組對話方塊中,按一下使用者。

4. 連按兩下您需移除的使用者,再按一下刪除。

5. 按一下是以驗證步驟。

使用「Windows NT 電腦管理」對話方塊移除使用者

1. 瀏覽並找到伺服器的系統管理工具 | 電腦管理 | 本機使用者和群組 | 使用者

公用程式。

2. 連按兩下您需移除的使用者,再按一下刪除。

3. 按一下是以驗證步驟。

從資料庫中永久刪除使用者

1. 確保已使用控制台或「Windows NT 電腦管理」對話方塊將使用者從


LANDesk Security Suite 使用者指南

LANDesk Management Suite Windows NT 群組中移除。

2. 在控制台中,按一下工具 | 管理 | 使用者。

3. 使用滑鼠右鍵按一下(畫有紅色 X )使用者,再按一下刪除。記住,該動

作將導致使用者資料永久丟失。

4. 按一下是以驗證步驟。

管理群組

LANDesk 使用 Microsoft Active Directory Services* (ADS) 為介面是為了將權限指派

到群組和組織單元 (OU)。新增到群組或 OU 的所有使用者、群組或 OU 均繼承相

同的權限。

您可以將使用者置入群組和 OU 並指派特定的權限,藉此將使用者分類。您只需為

群組或 OU 指派特定權限,然後新增所需的使用者,而毋需為使用者逐個組態權

限。這不僅簡化了使用者管理,加快了權限指派,還減小了錯誤指派使用者權限的

可能性。

使用 Active Directories

LANDesk 使您能夠利用 Active Directories 新增群組和組織單元 (OU) 到控制台並指

派權限。您可以從控制台進行伺服器身份驗證。一旦登入 Active Directories 伺服

器,便可以新增群組和 OU 到控制台並指派權限。LANDesk 一次只使用一個

LDAP 目錄。

Active Directories 應該由一個對目錄服務,尤其是對 ADS 非常熟悉的專業使用者

來管理。工作包括新增並移除使用者和群組、維護架構(樹林、樹、網域、群組、

OU 等)及理解 LANDesk 與目錄服務的互動作業。使用 LANDesk 管理 Active

Directories 時,應注意以下問題:

• Active Directory 完全整合了 DNS 和 TCP/IP(需要 DNS,而要想實現全部功

能,DNS 伺服器必須支援 SRV 資源記錄或服務記錄)。

• 如果使用 Active Directory 將使用者新增到控制台所使用的群組,則即使使

用者具有指派的 LANDesk 權限,也無法登入控制台。要登入控制台,使用

者必須屬於核心伺服器上的 LANDesk Management Suite Windows NT 群

組。

有關 LDAP 和 LDAP 查詢的詳細資訊,請參閱有關 LDAP 的詳細資訊。

登入 Active Directory

要新增群組和組織單元到控制台,必須先登入 Active Directory。

要登入 Active Directory

151


使用者指南

152

1. 按一下工具 | 管理 | 使用者。

2. 按一下登入 Active Directory 按鈕。

3. 在登入 Active Directory 對話方塊,將路徑插入 LDAP 目錄並提供使用者名

稱和密碼以便進行伺服器身份驗證。

4. 按一下確定。

新增群組和組織單元到控制台

您需要將 LDAP 群組和組織單元 (OU) 新增到控制台,才能為其指派權限。

要新增群組和 OU

1. 按一下工具 | 管理 | 使用者。

2. 按一下 Active directory。

3. 按一下新增群組或 OU 按鈕。

4. 在可用的 Active Directory 群組和 OU 對話方塊,選擇需要的群組和 OU,

然後按一下確定。

指派權限給群組或組織單元

您可以為群組和 組織單元 (OU) 指派權限。置入群組或 OU 的所有使用者、群組或

OU 均繼承您指派的權限。這樣您就可以一次指派相同的權限給多個節點,而毋需

逐個組態權限。

要指派權限給群組或 OU

1. 按一下工具 | 管理 | 使用者。

2. 按一下 Active Directories。

3. 滑鼠右鍵按一下需要的群組或 OU,然後按一下屬性。

4. 在「權限」選項卡,選擇適當的權限並按一下確定。

瞭解權限

權限授予使用者對特定 LANDesk 工具和功能的存取。使用者必須具有所需的權限

才能執行對應的工作。例如,要遠端控制其範圍內的裝置,使用者必須具有「遠端

控制」權限。使用者、群組或組織單元 (OU)可以被指派權限,也可以透過新增到

群組或 OU 來繼承權限。借助「使用者」工具,您可以檢視指派或繼承的權限:

• 該圖示表示指派的權限。

• 該圖示表示繼承的權限。

以角色為基礎的管理具有以下權限:


LANDesk 管理員

• 資產組態

• 資產資料輸入

• 連線控制管理員

• 基本 Web 控制台

• 作業系統部署

• 公用查詢管理

• 遠端控制

• 報告

• 安全性和 Patch Manager

• 安全性和修補程式符合性

• 軟體分發

• 軟體分發組態

• 軟體授權監視

• 不受管理的裝置探索

LANDesk Security Suite 使用者指南

有關每種權限以及如何使用權限來建立管理角色的詳細資訊,請參閱以下說明。

控制存取裝置的範圍

在使用這些權限授予的功能時,使用者永遠被限制在其範圍 (他們能夠看到和操縱的裝置) 之內。

LANDesk 管理員

LANDesk 管理員 (Admin) 權限授予使用者對所有應用程式工具的完全存取 (但

是,這些工具的使用仍然僅限於該管理員範圍中包含的裝置) 。

這是預設授予新增使用者的授權,除非您修改「預設範本使用者」的設定。

具備 LANDesk 管理員權限的使用者能夠‥

• 讀取和存取工具功能表和工具列中的使用者工具

• 讀取和管理網路檢視中的使用者裝置群組

• 讀取和管理網路檢視中的使用者查詢群組

• 讀取和管理管理指令檔視窗中的使用者指令檔群組

• 讀取和管理 報告視窗中的使用者報告群組

• 讀取和組態組態功能表中的「產品授權」

• 重要說明‥執行其他權限允許的所有 Management Suite 工作

153


使用者指南

權限和工具的基本原則

LANDesk 管理員權限與使用者工具具有唯一關聯性。換句話說,如果使用者沒有 LANDesk 管理

員權限,控制台中就不會顯示使用者工具。

所有使用者 (無論指派了什麼權限) 都可以看到並使用以下一般功能‥清單選項、警示歷史記錄、

查詢和警示設定。

Management Suite 控制台中的所有其他工具均與對應的權限相關聯 (如下所述) 。

資產組態

資產組態是 Asset Manager 附加產品的特有權限。未安裝附加產品時,相應的權限

仍會出現在 LDMS 中(所核取)清單的 LDMS 中但會呈暗灰色。當然,對應附加

元件產品的工具和功能也都無法使用。安裝了附加元件產品之後,就會在此清單中

啟用其對應權限,可核取以允許存取附加元件的功能,或清除以拒絕存取。有關詳

細資訊,請檢視使用 Asset Manager 附加元件。

「資產組態」是一種管理層級的權限,向使用者提供以下能力‥

154

• 看到和存取 Web 控制台中的所有「資產管理」連結‥「資產」、「合

約」、「發票」、「專案」、「全域清單」、「詳細資訊範本」和「報

告」。

• 建立新類型

• 編輯類型 (預先定義的和自訂的)

• 刪除類型

• 建立、編輯和刪除用於組織類型的子群組

• 為類型建立新的詳細資訊

• 編輯詳細資訊 (預先定義的和自訂的)

• 建立和修改詳細資訊範本

• 建立和修改詳細資訊表

• 建立、編輯和刪除用於組織詳細資訊的部分

• 執行下面列出的其他權限容許的所有資產管理器 (Asset Manager) 工作

資產資料輸入

資產資料輸入是 Asset Manager 附加產品的特有權限。未安裝附加元件產品時,相

應的權限仍會出現在(所核取)清單的 LDMS 中但會呈暗灰色。當然,對應附加

元件產品的工具和功能也都無法使用。安裝了附加元件產品之後,就會在此清單中

啟用其對應權限,可核取以允許存取附加元件的功能,或清除以拒絕存取。有關詳

細資訊,請檢視使用 Asset Manager 附加元件。

具備「資產資料輸入」權限的使用者能夠‥

• 參閱和存取 Web 控制台中的「資產」、「合約」、「發票」、「專案」和


「全域清單」連結。

• 瀏覽類型和詳細資訊 (但無法新增、編輯或刪除)

• 藉由填寫資料項目表單新增項目到資料庫

• 編輯已新增到資料庫的項目

連線控制管理員

具備連線控制管理員權限的使用者能夠‥

• 讀取並存取 工具功能表和工具列中的連線控制組態工具

• 控制存取外部裝置以控制和組態它們

基本 Web 控制台

基本 Web 控制台權限套用至 Web 控制台。此權限的使用者能夠‥

LANDesk Security Suite 使用者指南

• 讀取和使用我的裝置(此權限不允許更新公用群組或刪除「動作」標籤下

的裝置)

• 變更喜好設定(但不是自訂屬性)

• 使用設定畫面

• 使用 Web 控制台上的軟體分發

作業系統部署

具備「作業系統部署」權限的使用者能夠‥

• 讀取和存取工具功能表和工具列中的管理指令檔工具

• 建立和執行作業系統部署和設定檔移轉指令檔

• 排程作業系統部署和設定檔移轉工作的時間

• 使用「部署 PXE 代表」指令檔組態 PXE 代表

• 指定 PXE 暫存佇列

• 組態 PXE 啟動功能表

• 建立和部署客戶資料表單

公用查詢管理

具備「公用查詢管理」權限的使用者能夠‥

• 在網路檢視的公用查詢群組中建立、修改、複製、刪除和移動查詢。(如果

沒有此權限,則只能檢視公用查詢群組中的裝置。)

遠端控制

155


使用者指南

具備遠端控制權限的使用者能夠‥

報告

156

• 使用裝置快顯功能表上的遠端控制選項 (否則,它們呈灰暗狀態)

• 遠端控制已載入了遠端控制代理程式的裝置

• 喚醒、關機和重新啟動裝置

• 與裝置對話

• 遠端執行裝置程式

• 將檔案傳輸到裝置,從裝置傳輸檔案

具備報告權限的使用者能夠‥

• 讀取和存取工具功能表和工具列中的報告工具

• 執行預先定義的報告

• 檢視已執行的報告

• 建立和執行自訂資產報告

• 發佈報告使它們可用(對於擁有存取憑證的使用者而言)

安全性和 Patch Manager

具備安全性和 Patch Manager 權限的使用者能夠‥

• 讀取並存取工具功能表與工具列中的安全性和 Patch Manager 工具

• 組態受管理的裝置進行安全性評估和修補掃描

• 組態裝置進行即時 spyware 和被阻止的應用程式掃描

• 組態裝置對關鍵的安全性風險進行高頻率掃描

• 下載安全性類型(您已擁有 Security Suite 內容訂閱)的安全性更新(定義

和偵測規則)及相關的修補程式

• 建立可自動下載定義和/或修補程式更新的排程工作

• 建立自訂漏洞定義和自訂偵測規則

• 匯入、 匯出和刪除自訂定義

• 按類型檢視已下載安全性和修補程式內容(包括‥所有類型、被阻止的應用

程式、自訂定義、LANDesk 更新、安全性威脅、spyware、漏洞、驅動程式

更新和軟體更新)

• 使用自訂變數自訂所選安全性威脅

• 作為排程工作或作為原則在受管理的裝置上組態和執行安全性掃描

• 將排程工作掃描分為準備階段和部署階段

• 建立和組態決定掃描選項的掃描和修復設定,如‥需掃描的內容類型、掃描

器資訊和進度顯示、裝置重新啟動行為和一般使用者互動數量。然後,將掃

描和修復設定套用至安全性掃描工作、修復工作、解除安裝工作和重新啟動

工作


LANDesk Security Suite 使用者指南

• 檢視詳細掃描結果(已偵測到的安全性資料),檢視方式包括‥「偵測到

的」群組、特定定義、單個裝置或選取裝置群組

• 作為排程工作或作為原則執行修補

• 使用「自動修復」功能自動修補以下已偵測到的安全性類型‥漏洞、

spyware、LANDesk Software 更新和自訂定義(必須是 LANDesk 管理員)

• 追蹤和驗證已掃描裝置上的修補程式部署和安裝狀態(修復歷史記錄)

• 清除未使用的安全性類型定義(必須是 LANDesk 管理員)

• 從已掃描裝置中解除安裝修補程式

• 從核心資料庫移除修補程式

• 組態漏洞警示

• 產生各種特定安全性報告(也需「報告」權限)

安全性和修補程式符合性

具備安全性和 Patch Manager 權限的使用者能夠‥

• 從符合性群組新增或移除安全性定義

• 變更「符合性」群組中所包含的定義狀態

該權限也對使用者強加以下限制:

• 不能編輯自訂定義或安全性威脅的自訂變數

• 不能組態信任存取服務(如新增態勢伺服器或修補伺服器),或組態和發佈

符合性原則(必須是 LANDesk 管理員)

軟體分發

軟體分發權限是(以下)軟體分發組態權限的子集,具備此權限的使用者能夠‥

• 讀取並存取管理指令檔工具,此工具位於工具功能表和工具列中(僅可選

擇項目)

• 讀取並存取工具功能表與工具列中的排程工作工具(僅可選擇項目)

• 讀取並存取傳送方法和分發套件工具,它們位於工具功能表和工具列(僅

可選擇項目)

• 執行軟體分發指令檔

• 執行裝置代理程式組態(不能建立、編輯或刪除)

• 排程其他以指令檔為基礎的工作(作業系統部署和設定檔移轉指令檔除外)

• 部署自訂資料表單(不能建立、編輯或刪除)

• 檢視 LDAP 目錄

註:使用者需具有基本 Web 控制台權限才能使用 Web 控制台上的軟體分發。

157


使用者指南

軟體分發組態

軟體分發組態權限是完備的分發權限,具備軟體分發組態權限的使用者能夠‥

158

• 執行以上列出的軟體分發權限所允許的所有工作(可讀取並存取相同工具;

選擇項目;以及建立、編輯並刪除項目)

• 建立、修改並刪除遞送方式與分發套件

• 建立和執行軟體分發指令檔

• 建立及執行裝置代理程式組態

• 排程其他以指令檔為基礎的工作(作業系統部署和設定檔移轉指令檔除外)

• 建立和部署自訂資料表單

• 經由應用程式原則建立並分發軟體套件

軟體授權監視

具備軟體授權監視權限的使用者能夠‥

• 讀取和存取工具功能表和工具列中的軟體授權監視工具

• 組態要監視的應用程式、新增授權、給予授權升級和降級和驗證報告等

不受管理的裝置探索

具備「不受管理的裝置探索」權限的使用者能夠‥

• 讀取和存取工具功能表和工具列中的不受管理的裝置探索工具

• 建立掃描器組態並執行不同類型的探索掃描(LANDesk 代理程式、NT 網域

等)

• 建立並執行不同類型的探索掃描工作

建立範圍

範圍 (Scope) 定義了 Management Suite 使用者能夠檢視和管理的裝置。

根據您的需要,範圍可大可小,可以包含已掃描到核心資料庫中的所有受管理裝

置,也可能只包含一個裝置。正是這種靈活性加上模群組化的工具存取,使以角色

為基礎的管理成為用途如此廣泛的管理功能。

預設範圍

Management Suite 以角色為基礎的管理包含一個預設的範圍。在組態「預設範本使

用者」的使用者屬性時,此預先定義的範圍很有用。

• 預設範圍 - 所有機器‥資料庫中包含所有受管理的裝置。


您不能編輯或移除預設範圍。

自訂範圍

可以建立並指派給使用者的自訂範圍有三種‥

LANDesk Security Suite 使用者指南

• LDMS 查詢: 只有控制對符合自訂查詢搜尋裝置的存取。您可以選擇現有

的查詢來定義範圍,也可以在「範圍屬性」對話方塊中建立新的查詢來定義

範圍。注意,您還可以將查詢從網路檢視中的查詢群組直接複製到範圍群

組中。有關建立查詢的詳細資訊,請參閱建立資料庫查詢。

• LDAP‥ 控制對於僅由清單掃描器收集,位於符合 LDAP 的目錄結構中的

裝置的存取。您可以從選擇可見的裝置對話方塊中,選擇目錄位置來定義

範圍。這種以目錄為基礎的範圍類型也支援自訂目錄位置 (如果您已輸入自

訂目錄路徑作為代理程式組態的一部份時)。可用的自訂目錄路徑會顯示在

選擇可見的裝置對話方塊中。如果沒有符合 LDAP 的結構,或是如果要能

以特定的組織細節(如,地理位置或部門)限制存取裝置,請使用自訂目錄

來定義範圍

• 裝置群組:將存取控制在網路檢視中屬於特定裝置群組的裝置。

Management Suite 使用者一次可以指派一個或多個範圍。此外,範圍也可以同時和

多個使用者相關聯。

多個範圍如何運作

您可以對任何 Management Suite 的使用者指派一個以上的範圍。當指派多個範圍

給使用者,累計有效的範圍 (由於指派範圍的組合,使裝置的完整範圍可以存取或

管理) 將會構成。

您可以在任何時間藉由加入和移除範圍,來自訂使用者的有效範圍。三種類型的所

有範圍都可以一起使用。

建立範圍

要建立範圍,請:

1. 按一下工具 | 管理 | 使用者。

2. 用滑鼠右鍵按一下範圍,再選擇新增範圍。

3. 在範圍屬性對話方塊中,輸入新範圍的名稱。

4. 按一下根據需要範圍類型的下拉選單中指定要建立的範圍類型 (LDMS 查

詢、LDAP 或自訂目錄、 裝置群組),然後按一下 新增。

5. 如果正在建立以 LDMS 查詢為基礎的範圍,請在新增範圍查詢 對話方塊中

定義查詢,然後按一下 確定。

6. 如果是建立以目錄為基礎的範圍,請從選擇可見的裝置清單中選擇位置

159


使用者指南

160

(LDAP 目錄和/或自訂目錄),然後按一下確定。

按一下加號 (+) 和減號 (-) 展開和摺疊目錄樹中的節點。按住 Ctrl 鍵的同時按

一下,可選擇多個位置。選取父節點下的所有節點都將包含在該範圍內。

LDAP 目錄位置由裝置的目錄服務位置決定。有關詳細資訊,請參閱使用

Active Directories。自訂目錄位置是由清單資料庫中裝置的「電腦位置」屬性

決定的。此屬性是在裝置代理程式組態過程中定義的。

7. 如果正在建立一個以裝置群組為基礎的範圍,請從可用裝置群組清單中選擇

群組,然後按一下確定。

8. 再按一下確定儲存範圍,並關閉該對話方塊。

關於範圍屬性對話方塊

使用此對話方塊可建立或編輯範圍。藉由選擇一個範圍,然後按一下編輯範圍工

具列按鈕,或藉由滑鼠右鍵按一下該範圍,然後按一下屬性可開啟此對話方塊。

• 範圍名稱‥識別範圍。

• 選擇範圍類型:

• LDMS 查詢:建立其裝置範圍由某個自訂查詢決定的範圍。按一下

新增並選擇範圍類型開啟新增查詢 對話方塊,在此您可以定義並儲

存查詢。此對話方塊與從網路檢視中建立資料庫查詢時使用的對話方

塊相同。(注意,您還可以將查詢從網路檢視中的查詢群組直接複製

到範圍群組中。)

• LDAP‥建立裝置範圍由裝置位置 (LDAP 目錄及/或自訂目錄) 決定的

範圍。按一下新增並選擇範圍類型開啟選擇可見的裝置對話方塊,

在此您可以選擇位置。按一下加號 (+) 和減號 (-) 展開和摺疊目錄樹

中的節點。按住 Ctrl 鍵的同時按一下,可選擇多個位置。選取父節

點下的所有節點都將包含在該範圍內。

• 裝置群組:建立一個在網路檢視「裝置物件」下面,由現有群組決

定的裝置範圍。按一下新增並選擇範圍類型開啟查詢篩選 對話方

塊,在此您可以選擇一個裝置群組。

• 目前範圍定義‥顯示以查詢為基礎的範圍的查詢陳述式、以目錄為基礎範

圍的位置路徑或裝置以群組為基礎範圍的群組名稱。

• 編輯‥開啟適當範圍對話方塊,您可以在這裡變更查詢參數和陳述式。

• 確定‥儲存該範圍並關閉對話方塊。

• 取消‥關閉該對話方塊,且不儲存任何變更。

為使用者指派權限和範圍


LANDesk Security Suite 使用者指南

一旦新增 LANDesk 使用者,就該瞭解其權限和它們如何控制功能與工具的存取,

建立允許或限制受管理裝置存取的裝置範圍後,下一步就是建立以角色為基礎的管

理,並對每個使用者指派適當的權限和範圍。

使用者的角色可完全組態。它們可以有任何權限組合。此外,它們還可以指派一個

以上的範圍(有關詳細資訊,請參閱多個範圍如何運作)。

您可以隨時修改使用者的權限和範圍。

如果您修改了某個使用者的權限或範圍,只有在這個使用者下次登入到核心伺服器

後,這些變更才會生效。

要指派權限和範圍給使用者,請:

1. 按一下工具 | 管理 | 使用者。

2. 選擇所有使用者群組,檢視目前核心伺服器 Windows NT 環境中 LANDesk

Management Suite 群組內成員的所有使用者。

右窗格中將顯示一個使用者清單,其中內含他們的使用者名稱、目前的範圍

和指派的權限 (X 字元表示該權限處於啟用或使用中狀態)。

您可以用滑鼠右鍵按一下所有使用者,然後按一下重新整理以重新整理此清

單。

3. 滑鼠右鍵按一下使用者,然後按一下屬性。

4. 在使用者屬性對話方塊中,按一下 權限標籤,然後根據需要核取或清除權

限(請參閱本章前面的瞭解權限)。

5. 按一下範圍 標籤,然後藉由新增和移除範圍為所選使用者定義複合範圍。

有關詳細資訊,請參閱多個範圍如何運作。

6. 按一下確定。

新的權限和範圍會顯示在清單中對應使用者名稱的旁邊,當這個使用者下次連線到

核心伺服器時,這些權限和範圍就會生效。

註:如果使用者有一個以上的指派範圍,範圍欄將顯示「多個」。

161


使用者指南

組態服務

LANDesk Management Suite 所提供的大多數整體和基礎的功能 (例如,清單伺服器

和 Scheduler 服務) 都能夠也應該組態,以便在您的特定網路環境中發揮最佳效

能。可以使用在控制台中的組態服務對話方塊來實現(組態 | 服務)。

組態服務僅限於 LANDesk 管理員

只有具有 LANDesk 管理員權限的使用者,才可以修改服務設定值。另外,只有從主控制台可以使

用組態服務選項,從任何附加的控制台則可能無法使用。

閱讀本章後,您將瞭解以下內容‥

162

• 選擇核心伺服器和資料庫

• 組態清單服務

• 解決在資料庫中重複裝置的資料

• 組態 Scheduler 服務

• 組態自訂作業服務

• 組態多點傳送服務

• 組態作業系統部署服務

• 組態 AMT 服務

註: 有關 Intel AMT 裝置的詳細資訊,請參閱使用支援 Intel AMT 的裝置。

利用一般設定值選擇核心伺服器和資料庫

在組態服務之前,請使用一般標籤,指定準備組態此項目服務的核心伺服器和資

料庫。

註:必須重新啟動核心伺服器上的服務之後,才能使該核心伺服器和資料庫的服務組態所發生的任

何變更生效。

關於組態 Management Suite 服務對話方塊‥

一般標籤

使用此對話方塊可選擇要組態特定服務的核心伺服器和資料庫。接下來,選擇所需

的服務標籤,並為該服務指定設定值。

• 伺服器名稱‥顯示目前連線的核心伺服器的名稱。

• 伺服器‥用於輸入其他核心伺服器的名稱及其資料庫目錄。

• 資料庫‥用於輸入核心資料庫的名稱。

• 使用者名稱‥以身份驗證認證識別核心資料庫的使用者 (在安裝期間指

定) 。


LANDesk Security Suite 使用者指南

• 密碼‥識別使用者存取核心資料庫所需的密碼 (在安裝期間指定) 。

• 這是 Oracle 資料庫‥指明上面指定的核心資料庫是 Oracle 資料庫。

• 重新整理設定值‥還原過去開啟「服務組態」對話方塊時顯示的設定值。

指定資料庫的使用者名稱和密碼時,使用者名稱和密碼不能包含撇號 (')、分號(;)

或等號 (=)。

組態清單服務

使用清單標籤可為使用「一般」標籤選擇的核心伺服器和資料庫組態清單服務。

關於組態 Management Suite 服務對話方塊‥

清單標籤

使用此標籤可指定下列清單項目‥

• 伺服器名稱‥顯示目前連線的核心伺服器的名稱。

• 日誌統計資訊‥保存一份核心資料庫動作和統計資訊日誌。

• 加密資料傳送‥啟用清單掃描器將裝置清單資料作為加密資料透過 SSL 從

已掃描裝置返回到核心伺服器。

• 掃描伺服器的時間:指定掃描核心伺服器的時間。

• 執行維護的時間‥指定執行標準核心資料庫維護的時間。

• 清單掃描結果的保留天數‥設定移除清單掃描記錄之前的天數。

• 主所有者登入次數‥設定清單掃描器為決定裝置的主所有者而追蹤登入的

次數。主所有者是在指定登入次數內登入次數最多的使用者。預設值為 5,

最大值和最小值分別為 1 和 16。如果所有登入都是唯一的,那麼最後登入

的使用者就是主所有者。一個裝置一次只能有一個主所有者。主使用者登入

資料內含使用者的完整有效名稱以及上次登入的日期,使用者名稱的格式為

ADS、NDS、網域名稱或本機名稱 (按此順序) 。

• 軟體‥ 顯示軟體掃描設定值對話方塊。組態何時執行軟體掃描及儲存清單

歷史記錄的長度。

• 管理重複:裝置:開啟重複裝置對話方塊,在此可以組態處理重複裝置的

方式。

• 管理重複:裝置 ID:開啟重複 ID 對話方塊,您可以在這裡選擇唯一識別裝

置的屬性。您可以使用此選項,避免將重複的裝置 ID 掃描到核心資料庫中

(請參閱下面的解決在資料庫中重複裝置的資料) 。

• 清單服務狀態‥指明服務在核心伺服器上是處於啟動狀態,還是處於停止

狀態。

• 開始:在核心伺服器上啟動服務。

• 停止‥在核心伺服器上停止服務。

163


使用者指南

關於軟體掃描設定值對話方塊

使用此對話方塊可組態軟體掃描的頻率。儘管每次在裝置上執行清單掃描器時,都

掃描裝置的硬體,卻只按照此處指定的時間間隔來掃描裝置的軟體。

164

• 每次登入‥每次使用者登入時都掃描裝置上安裝的所有軟體。

• 一次間隔天數‥只按照指定的時間間隔 (以天數計) 自動掃描裝置的軟體。

• 歷史記錄儲存的天數‥指定儲存裝置清單歷史記錄的時間。

解決在資料庫中重複裝置的資料

在一些環境下,作業系統映像經常用於設定裝置上。因為如此,在裝置中出現重複

裝置 IDs 的可能性也就加大了。藉由指定其他裝置屬性,再將這些屬性與裝置 ID

結合使用,可以避免這個問題,為裝置建立唯一的識別碼。例如,裝置名稱、網域

名、BIOS、匯流排、副處理器等等都屬於用戶端屬性。

利用「重複 ID」功能,可以選擇用來唯一地識別裝置的裝置屬性。您可以指定具

體的裝置屬性,以及必須符合其中的多少屬性才能指定這個裝置與其他裝置重複。

如果清單掃描器偵測到重複裝置,便會在應用程式事件日誌中寫入一個事件,以指

明重複裝置的裝置 ID。

除了重複裝置 ID 之外,或許也會有重複裝置名稱或 MAC 位址在資料庫中累積。

如果沒有經歷過永久重複裝置的問題 (就當成是重複裝置資料被清單掃描程式掃描

至資料庫的預防措施), 也可以指定移除任何現有存在資料庫中重複裝置的名稱。

這個附加的重複裝置處理功能包含在以下過程之中。

要設定重複裝置處理方式,請:

1. 按一下組態|服務|清單|重複 ID。

2. 從屬性清單中選擇要用來唯一地識別某裝置的屬性,然後按一下右箭頭按

鈕,將該屬性新增到「識別屬性」清單中。您可以新增任意數量的屬性。

3. 選擇只有當某裝置與多少個識別屬性 (和硬體屬性) 不相符時,才能認定這

個裝置與另一個裝置重複。

4. 如果希望清單掃描器拒絕重複裝置 ID,請核取拒絕重複識別項目。

5. 按一下確定將設定值儲存並返回至組態清單對話方塊。

6. (可選)如果您想透過名稱和/或地址來解決重複裝置,按一下裝置開啟重

複裝置對話方塊,在此您可以指定移除重複裝置的條件,例如裝置名稱相

符合、MAC 位址相符合或兩者都符合的時間。

關於重複裝置 ID 對話方塊

使用此對話方塊可設定重複裝置 ID 的處理方式。


LANDesk Security Suite 使用者指南

• 屬性清單‥列出所有從唯一識別裝置選擇的屬性。

• 識別屬性‥顯示選取用來唯一地識別某裝置的屬性。

• 重複裝置 ID 觸發器‥

• 以下情況中,作為重複裝置 ID 登入:指明只有當裝置與多少個屬性

不相符時,才能認定這個裝置與另一個裝置重複。

• 拒絕重複識別‥令清單掃描器記錄重複裝置的裝置 ID,而且拒絕後來的任

何掃描裝置 ID 的嘗試,並建立新的裝置 ID。

關於重複裝置對話方塊

使用此對話方塊來指定從資料庫中移除重複裝置的名稱和/或地址條件。

• 移除重複:

• 裝置名稱相符合:當資料庫有兩個以上的裝置名稱相符合,移除舊

的資料。

• MAC 位址相符合:當資料庫有兩個以上的 MAC 位址相符合,移除

舊的資料。

• 裝置名稱和 MAC 位址相符合:只有當兩個以上的裝置名稱和 MAC

位址相符合,才移除舊的資料 (相同的資料)。

• 還原舊裝置 ID:從掃描裝置的舊記錄中還原原始裝置 ID,如果在資料庫中

存在兩條記錄並且至少選擇一條上述的移除選項以及符合條件,當執行下一

清單維護掃描時還原原始裝置 ID。此選項無效,除非選定了一個上述移除

選項。

組態 Scheduler 服務

使用 Scheduler 標籤,可以為使用一般標籤選擇的核心伺服器和資料庫組態

scheduler 服務(工具 | 分發 | 排程工作)。

您必須擁有執行這些工作的適當權限,內含在網路中的 Windows NT/2000 裝置上

擁有完全的管理員權限,從而允許它們接受核心伺服器分發的套件。您可以藉由按

一下變更登入而指定在裝置上使用的多個登入認證。

另外,您還可以手動組態排程工作視窗的重新整理頻率。預設情況下,排程工作

窗格每兩分鐘就檢查核心資料庫,以決定所顯示的項目是否已進行了更新。如果要

變更重新整理頻率,請瀏覽找到系統登錄表中的下列登錄機碼‥

HKEY_CURRENT_USER\Software\LANDesk\ManagementSuite\WinConsole

設定「TaskRefreshIntervalSeconds」為重新整理進行中工作之間的秒數。設定

「TaskAutoRefreshIntervalSeconds」為整個排程工作視窗的重新整理間隔。

關於組態 Management Suite 服務對話方塊‥

Scheduler 標籤

165


使用者指南

使用此標籤,可檢視核心伺服器的名稱以及先前選擇的資料庫,並指定下列排程工

作項目‥

166

• 使用者名稱‥執行排程工作服務時所使用的使用者名稱。藉由按一下變更

登入按鈕,即可變更使用者名稱。

• 重試間隔的秒數‥組態了排程工作的重試次數後,此設定將控制排程工作

在重試工作之前等待的秒數。

• 嘗試喚醒的秒數‥對排程工作進行組態,使其利用 Wake On LAN 後,此設

定將控制排程工作服務等待裝置喚醒的秒數。

• 查詢評估的時間間隔‥指明查詢評估之間的時間間隔量,以及計量單位 (如

分鐘、小時、日、周) 。

• Wake on LAN 設定值‥為了喚酲裝置,由排程工作設定、供 Wake On LAN

封包使用的 IP 連接埠。

• 排程服務狀態‥指明服務在核心伺服器上是處於啟動狀態,還是處於停止

狀態。

• 開始:在核心伺服器上啟動服務。

• 停止‥在核心伺服器上停止服務。

關於組態 Management Suite 服務對話方塊‥

變更登入對話方塊

使用變更登入對話方塊 (按一下 Scheduler 標籤上的變更登入)變更預設的 Scheduler

登入。您還可以指定當 Scheduler 服務需要在不受管理的裝置上執行工作時應嘗試

使用的備用憑證。

要在不受管理的裝置上安裝 LANDesk 代理程式,Scheduler 服務需要能夠使用管理

帳戶連線至裝置。Scheduler 服務使用的預設帳戶是 LocalSystem。LocalSystem 憑

證一般用於不同網域的裝置。如果裝置位於同一網域,您必須指定網域管理員帳

戶。

如果您想要變更 Scheduler 服務登入憑證,您可以指定在裝置上使用的不同的網域

級管理帳戶。如果您在管理跨多個網域的裝置,您可以加入 Scheduler 服務可以嘗

試使用的更多憑證。如果您想要以 LocalSystem 之外的帳戶供 Scheduler 服務使

用,或如果您想要提供備用憑證,就必須指定具有核心伺服器管理權限的主

Scheduler 服務登入。備用憑證不需要核心伺服器管理權限,但它們必須具有對裝

置的管理權限。

Scheduler 服務將嘗試預設的憑證,然後使用您在備用憑證清單中指定的每個憑

證,直到成功或嘗試完所有憑證。您指定的憑證都被安全加密和儲存在核心伺服器

的系統登錄表中。

您可以對預設 Scheduler 憑證設定以下選項‥

• 使用者名稱‥輸入預設網域\使用者名稱,或您要 Scheduler 使用的使用者名


稱。

• 密碼‥輸入您指定的認證的密碼。

• 確認密碼‥重新輸入密碼以確認。

您可以對其他 Scheduler 憑證設定以下選項‥

LANDesk Security Suite 使用者指南

• 新增‥按一下新增將您指定的使用者名稱和密碼新增到「備用憑證」清

單。

• 移除‥按一下以從清單中移除選取的認證。

• 修改‥按一下以變更選取的認證。

當新增備用認證時,請指定以下屬性‥

• 使用者名稱‥輸入您想要 Scheduler 使用的使用者名稱。

• 網域‥輸入您指定的使用者名稱的網域。

• 密碼‥輸入您指定的認證的密碼。

• 確認密碼‥重新輸入密碼以確認。

組態自訂作業服務

使用自訂作業標籤,可為在「一般」標籤中選擇的核心伺服器和資料庫組態自訂

作業服務。自訂作業的範例內含清單掃描、裝置部署或軟體分發。

在預設情況下,停用 TCP 遠端執行作為遠端執行協定時,自訂作業都會按預設使

用標準 LANDesk 代理程式協定,而不管它是否標示為停用。另外,如果同時啟用

TCP 遠端執行和標準 LANDesk 代理程式,自訂作業會先設法使用 TCP 遠端執行,

如果沒有此遠端執行,再使用標準 LANDesk 代理程式遠端執行。

自訂作業標籤也有可以讓您選擇裝置探索的選項。在自訂作業服務可以處理作業

之前,它需要搜尋每個裝置目前的 IP 位址。此標籤讓您可以組態服務連絡裝置的

方式。

關於組態 Management Suite 服務對話方塊‥

自訂作業標籤

使用此標籤可設定下列自訂作業選項‥

遠端執行選項‥

• 停用 TCP 執行‥停用 TCP 作為遠端執行協定,轉而按預設使用標準

LANDesk 代理程式協定。

• 停用 CBA 執行/檔案傳輸‥ 停用 LANDesk 代理程式作為遠端執行協定。如

果停用標準 LANDesk 代理程式,而且在裝置上又找不到 TCP 遠端執行協

167


使用者指南

168

定,遠端執行將失敗。

• 啟用遠端執行逾時‥啟用遠端執行逾時,並指定逾時之前的秒數。裝置傳

送偵測信號後,但是裝置上的作業處於無回應或循環狀態時,會觸發遠端執

行逾時。此設定兩種協定都適用 (TCP 和標準 LANDesk 代理程式)。該值可

介於 300 秒 (5 分鐘) 到 86400 秒 (1 天) 之間。

• 啟用用戶端逾時‥啟用裝置逾時,並指定逾時之前的秒數。預設情況下,

TCP 遠端執行以 45 秒的時間間隔從裝置向伺服器傳送偵測信號,直到遠端

執行完成或逾時。當裝置不向伺服器傳送偵測信號時,便會觸發裝置逾時。

• 遠端執行連接埠 (預設值是 12174) ‥TCP 遠端執行所使用的連接埠。如果變

更了此連接埠,也必須在裝置組態中對其進行變更。

分發選項‥

• 同時分發的 用戶端數 ‥將自訂作業同時分發到裝置的最多數目。

探索選項‥

• UDP‥選擇 UDP 會透過 UDP 使用標準 LANDesk 代理程式 Ping。大多數

LANDesk 裝置元件都要依靠標準 LANDesk 代理程式,所以您的受管理裝置

都應該裝有標準 LANDesk 代理程式。這是最快的探索方法和預設方法。使

用 UDP,您還可以選擇 UDP Ping 重試次數和逾時。

• TCP‥ TCP 會使用 HTTP 連線到連接埠 9595 上的裝置。此探索方法的好處

是如果您開啟連接埠 9595,就能夠藉由防火牆進行作業,但如果裝置不

在,則它將受到 HTTP 連線逾時的限制。這些逾時值可以為 20 秒或更多。

如果大量目標裝置不回應 TCP 連線,作業將需要一段時間才能開始作業。

• 兩者‥選擇「兩者」先使服務嘗試使用 UDP 搜尋,然後使用 TCP 搜尋,最

後使用 DNS/WINS 搜尋 (如果選取) 。

• 停用子網路廣播‥當選取時,停用藉由子網路廣播搜尋。

• DNS/WINS‥當選取時,如果選取的 TCP/UDP 搜尋方法失敗,停用對每個

裝置進行名稱服務尋找。

組態多點傳送服務

使用多點傳送標籤,可為在一般標籤中選擇的核心伺服器和資料庫組態多點傳送

網域代表搜尋選項。

關於組態 Management Suite 服務對話方塊‥

多點傳送標籤

使用此標籤可設定以下多點傳送選項‥

• 使用多點傳送網域代表‥使用網路檢視組態 | 多點傳送網域代表群組中儲存


LANDesk Security Suite 使用者指南

的多點傳送網域代表清單。

• 使用快取的檔案‥查詢每個多點傳送網域,以確定誰可能已擁有此檔案,

因此無需將該檔案下載到代表。

• 使用偏好網域代表之前的快取檔案‥變更搜尋順序,使使用快取的檔案成

為第一個嘗試的選項。

• 使用廣播‥傳送一個子網路定向的廣播,以尋找該子網路中可以成為多點

傳送網域代表的任何裝置。

• 日誌移除期限 (天) ‥指定日誌中的項目在移除之前將保留的天數。

169


使用者指南

組態作業系統部署服務

使用作業系統部署標籤指定 PXE 代表為 PXE 暫存佇列,並為使用一般標籤選擇的

核心伺服器和資料庫,組態基本的 PXE 啟動選項。

PXE 暫存佇列是一種將作業系統映像部署到支援 PXE 裝置的方法。您可以將現有

的 PXE 代表 (位於網路檢視中的組態群組內) 指定為 PXE 暫存佇列。有關詳細資

訊,請參閱以 PEX 為基礎的部署。

從可用代理清單中選擇 PXE 代表,並將其移到暫存佇列代理清單中。

關於組態 Management Suite 服務對話方塊‥

作業系統部署標籤

使用此標籤可指派 PXE 暫存佇列代理程式 (代表) ,並指定 PXE 啟動項目。

170

• 可用代理程式‥列出網路上由裝置名稱識別的所有可用 PXE 代理程式。當

清單掃描器偵測到裝置上執行的 PXE 軟體 (PXE 和 MTFTP 協定) 時,可以

建立此清單。

• 暫存佇列代理程式‥列出已經從可用代理程式清單中移出的 PXE 代理程

式,從而將該代理程式指定為 PXE 暫存佇列。當 PXE 啟動後,支援 PXE

的裝置 (與 PXE 暫存佇列代理程式位於同一子網路上) 將自動新增到控制台

網路檢視中的 PXE 暫存佇列群組中。然後可以排程裝置進行映像部署作業

的時間。

• 重設‥強制所有支援 PXE 的裝置 (與所選 PXE 代表位於同一個子網路上) 重

新進入控制台網路檢視中的 PXE 暫存佇列群組中。然後可以排程裝置進行

映像作業的時間。(在「暫存佇列代理程式」清單中選擇 PXE 代理程式後即

啟用「重設」按鈕。)

• PXE 啟動選項‥決定裝置嘗試 PXE 啟動時 PXE 啟動提示如何作業。

註:只有在對應的 PXE 代表上執行了 PXE 代表部署指令檔後,才能使

此處對 PXE 啟動項目所做的變更在該代表上生效。

• 逾時‥指明在逾時和還原預設啟動過程之前顯示啟動提示的時間。您最多

可以輸入 60 秒。

• 訊息‥指定出現在裝置上的 PXE 啟動提示資訊。可以在文字方塊中鍵入任

何資訊,其長度不得超過 75 個字元。


組態裝置代理程式

LANDesk Security Suite 使用者指南

裝置上需要安裝 Management Suite 代理程式,才能生效對這些裝置的全面管理。

閱讀本章後,您將瞭解以下內容‥

• 使用代理程式組態

• 建立代理程式組態

• 在裝置上更新代理程式喜好設定

• 建立獨立代理程式組態套件

• 代理程式安全性和信任憑證

• 解除安裝裝置代理程式

代理程式組態視窗允許您為 Windows、Linux 和 Macintosh 裝置新建代理程式組

態。您可以使用控制台的排程工作視窗,將所建立的代理程式組態套用到用戶

端。

為不能進行管理的 Windows NT/2000/2003/XP 裝置建立裝置組態

如果您使用 Windows NT/2000/2003/XP 裝置作為 Windows NT/2000/2003/XP 網域的一部分,那

麼,即使沒有 CBA 和遠端控制等代理程式,也可以將組態套用於那些裝置。有關詳細資訊,請參

閱《安裝和部署指南》。

使用代理程式組態‥

Management Suite 使用您建立的代理程式組態,部署代理程式和代理程式喜好設定

到受管理的裝置。裝置上安裝了 Management Suite 代理程式以後,就能輕易地更

新代理程式組態。有關初次部署代理程式的詳細資訊,請參閱《安裝和部署指南》

的第 4 章「將主代理程式部署到用戶端」。

請閱讀下節內容取得更詳細的相關資訊:

• Management Suite 8.5 中的代理程式組態變更

• 建立代理程式組態

• 在裝置上更新代理程式喜好設定

• 建立獨立代理程式組態套件

Management Suite 8.5+ 中的代理程式組態變更

Management Suite 8.5 之前版本的使用者將會被通知先前的版本中有多個代理程式

組態變更。

• 標準 LANDesk 代理程式是 CBA 的新名稱,它現在也包含清單掃描、本機

171


使用者指南

172

Scheduler、修補程式管理、軟體監視和頻寬偵測。不能個別選取這些元件,

它們是由預設值安裝。您也可以在標準 LANDesk 代理程式中設定重新啟動

選項。

• 應用程式原則管理現在名為「以原則為基礎的傳送」,而它的組態是在軟體

分發之下。

• 定向多點傳送是由軟體分發所支援。並不需要分別啟用或組態它們。

• 安全性和修補程式掃描器代理程式現在會按預設,隨標準的 LANDesk 代理

程式一併安裝。您可以組態此代理程式,決定安全性和修補程式掃描器如何

及何時在裝置上執行,以及是否在一般使用者裝置上顯示進度。(即使沒有

LANDesk Security Suite 內容訂閱,安全性掃描器也會讓您在裝置和核心伺

服器上檢查 LANDesk 軟體更新情形。有了訂閱,您可以完全發揮掃描器的

功能,掃描並修補已知的漏洞、Spyware 和其他潛在的安全性風險。)

建立代理程式組態

使用代理程式組態視窗,建立及更新裝置和伺服器代理程式組態(例如,裝置上

安裝的代理程式,以及代理程式所使用的網路通訊協定)。

您可以根據各群組的特定需求建立不同的組態。例如,您可為會計部的裝置或者為

使用某一特定作業系統的裝置建立組態。

若要將組態套用於裝置,需要執行以下作業‥

• 建立代理程式組態:為裝置設定特定的組態。

• 排程代理程式組態的時間‥將組態套用於已安裝標準 LANDesk 代理程式的

裝置。有關詳細資訊,請參閱排程工作。擁有管理權限的使用者也可以從核

心伺服器的 LDLogon 共享目錄執行 WSCFG32.EXE 或 IPSETUP.BAT,安裝

預設代理程式組態。

建立代理程式組態

1. 在控制台中,按一下工具 | 組態 | 代理程式組態。

2. 按一下新增工具列按鈕。

3. 輸入組態名稱。

4. 在代理程式組態視窗的開始頁中,選擇您要部署的代理程式。

5. 使用樹瀏覽和您已選取選項有關的對話方塊。根據需要自訂已選取選項。如

果對某頁有疑問,可以按一下說明來查閱詳細資訊。

6. 按一下儲存和關閉。

7. 如果要組態成預設值(將安裝組態 DLOGON\WSCFG32.EXE 或

LDLOGON\IPSETUP.BAT),請在組態的快顯功能表中按一下預設值組

態。

有關裝置設定選項的詳細資訊,請參閱裝置設定說明主題和《安裝和部署指南》。


使用進階代理程式

LANDesk Security Suite 使用者指南

進階代理程式減少用於 Windows 代理程式組態的網路頻寬。 進階代理程式可與任

何類型的裝置配合使用,包括網路連線間歇或緩慢的行動裝置。

進階代理程式是一個小型的 500 KB .MSI 套件。當此套件在受管理的裝置上執行

時,它會下載一個相關的完整代理程式組態套件, 大小可達 15 MB,具體取決於

您所選代理程式。在進階代理程式組態對話方塊中, 您可以對 .MSI 將使用的方便

頻寬分發選項進行組態,以便用於完整代理程式組態的下載。

進階代理程式在開始下載完整代理程式組態後即可獨立於核心伺服器工作。如果裝

置在代理程式組態完成下載之前與網路中斷,進階代理程式將在裝置再次與網路連

線後自動恢復下載。

當您建立進階代理程式組態時, 控制台需花費數秒建立完整代理程式組態套件。

控制台將進階代理程式套件(.msi)和新建立的完整代理程式組態套件

(.exe) 置於核心伺服器的 LDLogon\AdvanceAgent 資料夾中。檔案

名稱以代理程式組態名稱為基礎。

您建立代理程式組態套件後,需使用以下方法之一在裝置上執行 .MSI 部分。

• 排程推式分發的小型 .MSI 部分。

• 在每一裝置上手動執行 .MSI。

• 手動組態以登入指令檔執行的 .MSI。

您將進階代理程式部署到裝置後,進階代理程式就開始下載相關的代理程式組態。

代理程式在受管理的裝置上以無提示方式執行,不會顯示任何對話方塊或狀態更

新。進階代理程式使用您在進階代理程式組態對話方塊中指定的頻寬喜好設定,

例如對等下載和動態頻寬調節功能。

.MSI 在裝置上安裝並成功組態代理程式後,將移除完整代理程式組態套件。.MSI

部分保留於裝置上,如果同一 .MSI 再次執行,將不會重新安裝代理程式。

要建立進階代理程式組態

1. 建立 Windows 代理程式組態(工具 | 組態 | 代理程式組態)。

2. 在該組態的快顯功能表中,按一下進階代理程式。

3. 選取您想要的選項。

4. 如果您要重新定位相關的代理程式組態套件(.EXE 檔案),請變更代理程

式組態套件的路徑以與新位置相符。

5. 按一下確定。

6. 必要時,從 LDLogon\AdvanceAgent 資料夾複製相關的 .EXE 檔案到您的

分發伺服器中。確保代理程式組態可執行檔案的路徑與您在進階代理程式

組態對話方塊中指定的路徑相符。您應該將核心伺服器上的 MSI 套件保留

於預設位置。否則, 套件無法在以下進階代理程式推式分發工作中顯示。

173


使用者指南

要設定進階代理程式推式分發

174

1. 在「代理程式組態」視窗(工具 | 組態 | 代理程式組態)中,按一下排程推

式進階代理程式組態按鈕。

2. 進階代理程式組態對話方塊列出了 LDLogon\AdvanceAgent 資料夾中的代

理程式組態。按一下要分發的組態,然後按一下確定。

3. 排程工作視窗打開您建立的進階代理程式工作。工作名稱為"進階代理程式<

您的組態名稱>"。

4. 透過將目標裝置從網路檢視中拖放到排程工作視窗的工作上,可以將它們

新增到工作。

5. 從工作的快顯功能表,按一下屬性,並排程工作。在排程工作視窗中可以

看到 .MSI 部分分發進度。.MSI 分發完成後,完整代理程式組態上不會有狀

態更新。

在裝置上更新代理程式喜好設定

如果要在裝置上更新代理程式喜好設定,例如要求遠端控制的權限,您不必重新部

署整個代理程式組態。可以直接在代理程式組態視窗中變更,然後從該組態的快

顯功能表中,按一下排程更新。這樣就會開啟排程工作視窗,並為您排程更新的

組態建立更新工作和套件。此套件的大小只有幾百 KB。

請注意,更新喜好設定不會安裝或移除裝置上的代理程式。如果更新包含不在裝置

上的代理程式喜好設定,不適用的喜好設定會被忽略。

在裝置上更新代理程式喜好設定

1. 按一下工具 | 組態 | 代理程式組態。

2. 自訂您要使用的組態。

3. 完成以後,在組態的快顯功能表中,按一下排程更新。這樣會開啟排程工

作視窗。

4. 以您要更新的裝置為目標,排程工作。

建立獨立代理程式組態套件

一般來說,用戶端組態公用程式 WSCFG32.EXE 會設定用戶端組態。如果需要,

您可以讓代理程式組態視窗建立自我解壓縮單一檔案的可執行檔,在執行的裝置

上安裝代理程式組態。如果您要從 CD 或可攜式 USB 磁碟機安裝代理程式,或是

要多點傳送代理程式組態,這會很有幫助。

建立獨立的代理程式組態套件

1. 按一下工具 | 組態 | 代理程式組態。

2. 自訂您要使用的組態。


LANDesk Security Suite 使用者指南

3. 完成以後,在組態的快顯功能表中,按一下建立自己的用戶端安裝套件。

4. 選擇您要儲存套件的路徑。

5. 等候 Management Suite 建立套件。可能要花幾分鐘。

代理程式安全性和信任憑證

利用 Management Suite 8,簡化了以憑證為基礎的身份驗證模式。裝置代理程式仍

然要向已授權的核心伺服器驗證身份,以防止未經授權的核心伺服器存取用戶端。

但是,Management Suite 8 不要求另外的憑證授權就可管理核心伺服器、控制台和

每個用戶端的憑證。實際上,每個核心伺服器都有一個唯一的憑證和私密金鑰,它

是 Management Suite 安裝程式在您第一次安裝該核心伺服器或彙總核心伺服器時

建立的。

私密金鑰和憑證檔案內含‥

• .key:.KEY 檔案是核心伺服器的私密金鑰,該檔案只駐留在核

心伺服器上。一旦此密鑰洩密,就無法保障核心伺服器與裝置之間的通訊安

全。請保護好此密鑰。例如,不要使用電子郵件來傳遞密鑰資訊。

• .crt:.CRT 檔案含有核心伺服器的公用密鑰。.CRT 檔案是以方

便檢視的方式顯示的公用密鑰內容,您可以從中檢視有關該密鑰的詳細資

訊。

• .0:.0 檔案是信任憑證檔案,其內容與 .CRT 檔案相同。不過,該檔

案的命名方式使得電腦能夠在含有許多不同憑證的目錄中迅速找到該憑證檔

案。 其名稱是憑證主題資訊的雜湊值(總和)。若要確定特定憑證的雜湊

檔案名稱,請檢視 .CRT 檔案。該檔案中含有一個 .INI 檔案部分

[LDMS]。hash=value 對指示 值。

獲得雜湊值的另一個方法是使用 openssl 應用程式,這個程式儲存在 \Program

Files\LANDesk\Shared Files\Keys 目錄中。使用以下指令行,這個程式就會顯示與

憑證相關聯的雜湊值‥

openssl.exe x509 -in .crt -hash -noout

所有密鑰都儲存在核心伺服器上的 \Program Files\LANDesk\Shared Files\Keys 目錄

中。.0 公共密鑰也在 LDLOGON 目錄底下並且因預設值需要必須在此目錄

底下。 是在 Management Suite 安裝程式期間,您所提供的憑證名稱。

在安裝時最好提供描述性的密鑰名稱,如使用核心伺服器的名稱(甚至使用其完整

名稱)作為密鑰名稱(例如‥ldcore 或 ldcore.org.com)。 這樣一來,在多核心伺

服器的環境中更易於識別不同的憑證/私密金鑰檔案。

您應該將核心伺服器的 Keys 目錄的內容備份在一個安全可靠的地方。如果由於某

種原因您需要重新安裝或更換核心伺服器,在如下所述,將原始核心伺服器的憑證

新增到新核心伺服器之前,您將無法管理該核心伺服器的裝置。

175


使用者指南

多台核心伺服器共享密鑰

只有在裝置具備與核心伺服器和彙總核心伺服器相符的信任憑證檔案的情況下,才

能與這些伺服器進行通訊。例如,假設您有三台核心伺服器,每台伺服器管理

5,000 個裝置。另外還有一台管理全部 15,000 個裝置的彙總核心伺服器。每台核心

伺服器都有自己的憑證和私密金鑰,預設情況下,您在每台核心伺服器上部署的裝

置代理程式只與從中部署裝置軟體的核心伺服器進行通訊。

在核心伺服器和彙總核心伺服器之間共享密鑰主要有兩種方法‥

176

1. 將每台核心伺服器的信任憑證(.0 檔案>)分發給裝置及其各自的核

心伺服器。這是最安全的方法。

2. 將私密金鑰和憑證複製到每台核心伺服器。此方法不需要您對裝置執行任何

作業,但由於必須複製私密金鑰,所以風險較大。

在我們的範例中,如果您希望彙總核心伺服器和 Web 控制台能夠從全部三台核心

伺服器管理裝置,那麼除了將彙總核心伺服器的信任憑證(.0 檔案)複製到

每台核心伺服器的 LDLOGON 目錄中以外,還需要將該檔案分發到所有裝置。有

關詳細資訊,請參閱下一節中的將信任憑證分發到裝置。

另外,也可以將憑證/私密金鑰檔案從三台核心伺服器複製到彙總核心伺服器。這

樣,每個裝置都能在彙總核心伺服器上找到與管理它的核心伺服器相符的私密金

鑰。有關詳細資訊,請參閱本章稍後的在核心伺服器之間複製憑證/私密金鑰檔

案。

如果希望一台核心伺服器能夠藉由另一核心伺服器管理裝置,可以按照以上所述步

驟,將信任憑證分發到裝置,或者在核心伺服器之間複製憑證/公鑰檔案。

如果您在獨立的核心伺服器之間複製憑證(而不是複製到彙總核心伺服器),還有

另外一個問題。除非核心伺服器先對另一個核心伺服器的裝置進行清單掃描,否則

該核心伺服器無法管理這些裝置。在其他核心伺服器取得清單掃描的一個方式是排

程使用將掃描轉送到新核心伺服器的自訂指令行進行清單掃描作業。在多核心伺服

器方案中,使用彙總核心伺服器和 Web 控制台是跨核心伺服器管理裝置更簡單的

方式。彙總核心伺服器自動從彙總到該核心伺服器的核心伺服器的所有裝置取得清

單掃描資料。

將信任憑證分發到裝置

有兩種方法可以將信任憑證部署到裝置‥

1. 部署含有所需核心伺服器信任憑證的裝置設定組態。

2. 使用軟體分發作業,直接將需要的信任憑證檔案複製到每個裝置。


LANDesk Security Suite 使用者指南

必須將您希望裝置使用的每一額外核心伺服器信任憑證 (.0) 複製到該核心伺

服器的 LDLOGON 目錄中。信任憑證被複製到此目錄中後,您就可以在裝置設定

對話方塊的 Common Base Agent 頁中選擇它。裝置設定將密鑰複製到裝置的此目

錄中‥

• Windows 裝置:\Program Files\LANDesk\Shared Files\cbaroot\certs

• Mac OS X 裝置‥/usr/LANDesk/common/cbaroot/certs

如果您希望將核心伺服器的憑證新增到裝置,而又不希望藉由裝置設定重新部署裝

置代理程式,就可以建立一個軟體分發作業,將 .0 複製到裝置上的 (如上

文所述的)目錄中。然後,可以使用排程工作視窗來部署您建立的憑證分發指令

檔。

下面是一個自訂指令檔的範例,用於將信任憑證從核心伺服器的 LDLOGON 目錄

複製到裝置。 要使用此指令檔,用您要部署的信任憑證的雜湊值取代 d960e680 即

可。

; 自核心伺服器的 ldlogon 目錄中複製信任憑證

; 到用戶端的信任憑證目錄

[MACHINES]

REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680.0

在核心伺服器之間複製憑證/私密金鑰檔案

將憑證 (.0) 部署到裝置的另一方法是在核心伺服器之間複製憑證/私密金鑰

集。核心伺服器可含有多個憑證/私密金鑰檔案。只要裝置能夠使用密鑰之一通過

核心伺服器上的身份驗證,就可以與該核心伺服器通訊。

當使用以憑證為基礎的遠端控制時,目標裝置必須在核心資料庫中

如果您在對裝置使用以憑證為基礎的遠端控制安全性,您只有可以遠端控制在您連線到的核心資料

庫中有清單記錄的裝置。連絡一個節點啟動遠端控制之前,核心伺服器在該資料庫中尋找以確保請

求方具有檢視這個裝置的權限。如果該裝置未在該資料庫中,核心伺服器會拒絕該請求。

將憑證/私密金鑰集從一台核心伺服器複製到另一台核心伺服器

1. 在來源核心伺服器上,到 \Program Files\LANDesk\Shared Files\Keys 資料

夾。

2. 將來源伺服器的.key、.crt 和 .0 檔案複製到磁片

或其他安全的地方。

3. 在目標核心伺服器上,將來源核心伺服器上的這些檔案複製到同一資料夾

(\Program Files\LANDesk\Shared Files\Keys) 中。密鑰會立即生效。

請注意確保私密金鑰.key 不洩密。核心伺服器使用此檔案驗證裝置身

份,而擁有 .key 檔案的任何電腦都能夠對 Management Suite 裝置執行遠

端作業以及將檔案傳輸到這個裝置。

177


使用者指南

解除安裝裝置代理程式

Management Suite 8.5 之前,任何人都可以藉由執行帶有 /u 參數的 WSCFG32 來解

除安裝 Management Suite 代理程式。因為 WSCFG32 在 LDLogon 共享中,管理裝

置可對其進行存取,因此對於想要解除安裝 Management Suite 代理程式的使用者

而言,是一件相當容易的事情。

在 Management Sutie 8.5 或更新版本中,/u 參數已由 WSCFG32 移除。有一個位於

LDMain 共享中名為 UninstallWinClient.exe 新的公用程式,它是主要

ManagementSuite 程式資料夾。只有管理員可以存取此共享資料夾。這個程式會在

任何執行裝置上解除安裝 Management Suite 或 Server Manager 代理程式。您可以將

它移動到任何想要的資料夾,或將它新增至登入指令檔。這個 Windows 應用程式

可利用無提示方式執行,不會顯示介面。

執行此程式不會從核心資料庫中移除裝置。如果您將代理程式重新部署到執行此程

式的裝置,它就會以新裝置的方式儲存在資料庫中。

LANDesk Server Manager 和 LANDesk

System Manager 與 LANDesk Management

Suite 一起使用

Server Manager 和 System Manager 不隨 LANDesk Software 提供,需要另外選用,

它們可與 Management Suite 整合。Management Suite 含有一份伺服器授權和您所購

數量的裝置授權。如果在伺服器作業系統上安裝 Management Suite 代理程式,則

Management Suite 還會要求為每台伺服器再備一份伺服器授權。Server Manager 除

了為所管理的伺服器新增 Server Manager 本身具備的功能,還為其新增

Management Suite 伺服器授權。

System Manager 說明您管理網路中的裝置,並解決常見的電腦故障,以免問題惡

化。如果您已經使用 System Manager 管理網路中的某些裝置,可利用 Management

Suite 與 System Manager 的整合,從 Management Suite 控制台來管理這些電腦。

Management Suite 可與某些版本的 Linux 和 UNIX 配合使用。下列 Management

Suite 的功能能支援 Linux 和 UNIX 電腦 ‥

178

• 軟體分發。

• 對硬體和軟體進行清單掃描。

• 從管理控制台查詢清單掃描程式向核心資料庫報告的任何屬性。

Security Suite 漏洞掃描。此時不支援修補。


系統需求

LANDesk Security Suite 使用者指南

Linux 可在各種架構上執行,但 Linux 清單掃描程式只在 Intel 架構上執行。

支援的 Linux 和 UNIX 發行版‥

• Red Hat Linux 7.3、8.0 和 9.0

• IBM AIX 5.1

• Intel 架構 Solaris 8

• Sun Sparc (Solaris 8)

• HP-UX 11.0

安裝 Linux 伺服器代理程式

您可以在 Linux 伺服器上,遠端部署和安裝 Linux 代理程式和 RPM。您必須先正

確組態 Linux 伺服器,才能進行此動作。要在 Linux 伺服器上安裝代理程式,您必

須具備根目錄特殊權限。

預設的 Red Hat Enterprise 3 Linux AS and ES 安裝包括 Linux 標準代理程式所需的

RPM。如果您在組態代理程式中選取監視代理程式,則需要兩個附加的 RPM,也

就是 perl-CGI 和 sysstat。如需此產品所需的 RPM 完整清單,請參閱《安裝和部署

指南》。

初次進行 Linux 代理程式組態,核心伺服器會使用 SSH 連線來找出目標 Linux 伺

服器。作用中的 SSH 連線必須有使用者名稱/密碼驗證。此產品不支援公用密鑰/私

密金鑰驗證。核心伺服器和 Linux 伺服器之間的任何防火牆都必須容許 SSH 連接

埠。請考慮從核心伺服器利用第三方 SSH 應用程式來測試 SSH 連線。

Linux 代理程式安裝套件是由 Shell 指令檔、代理程式 Tarball、.INI 代理程式組態

以及代理程式驗證憑證所組成。這些檔案儲存於核心伺服器的 LDLogon 共享目錄

下。Shell 指令檔可從 Tarball 解壓縮檔案、安裝 RPM 以及組態伺服器,以您在代

理程式組態中指定的間隔,定期載入代理程式並執行清單掃描程式。檔案位於

/usr/LANDesk 下。

使用組態服務公用程式,輸入您想讓 Scheduler 服務使用的 SSH 憑證輸入,作為備

用憑證。Scheduler 服務會使用這些憑證,在您的伺服器上安裝代理程式。系統應

該會提示您重新啟動 Scheduler 服務。如果沒有提示,請按一下停止,再按

Scheduler 標籤上的啟動,重新啟動服務。這樣會使您的變更生效。

179


使用者指南

部署 Linux 代理程式

組態 Linux 伺服器並將 Linux 憑證新增到核心伺服器後,您必須建立 Linux 代理程

式組態,隨後使用不受管理的裝置探索以探索 Linux 伺服器。隨後,您可將探索到

的伺服器新增到我的裝置清單中以便部署 Linux 代理程式。您必須先將伺服器新增

到我的裝置清單,才能部署到伺服器。請利用不受管理的裝置探索來探索 Linux 伺

服器,以執行此動作。

建立 Linux 代理程式組態

180

1. 在工具 | 組態 | 代理程式組態中按一下新建 Linux 按鈕。

2. 輸入組態名稱。

3. 在開始頁面上,標準 LANDesk 代理程式、遠端控制和軟體分發代理程式是

在預設情況下安裝的。如果要安裝 LANDesk 漏洞掃描器,請核取該方塊。

4. 在標準 LANDesk 代理程式頁面上,請選擇要安裝的用於代理程式身份驗證

的信任憑證。有關詳細資訊,請參閱代理程式安全性和信任憑證。

5. 按一下儲存。

要探索 Linux 伺服器並為它們部署組態

1. 在工具 | 組態 | 不受管理的裝置探索中,建立每個 Linux 伺服器的探索工

作。使用標準網路掃描,並針對起始和結束 IP 範圍輸入 Linux 伺服器的 IP

位址。如果您有許多 Linux 伺服器,請輸入 IP 位址範圍。新增探索 IP 範圍

之後,請按一下立即掃描。

2. 當工作完成時,請驗證不受管理的裝置探索是否已找到您要管理的 Linux 伺

服器。

3. 在不受管理的裝置探索視窗中,將 Linux 伺服器拖到代理程式組態視窗中您

需要的 Linux 組態上。

4. 結束排程排程工作視窗中的工作。

手動安裝 Linux 代理程式

提取 Linux 代理程式組態

1. 從 LDLOGON 共用中複製以下檔案‥

*.0 (「dot zero」檔案是通用 LANDesk 代理程式的憑證。- 應該有一個 .0

檔案)

.sh (在此處替代您的組態名稱)

unix\linux\baseclient.tar.gz

unix\linux\monitoring.tar.gz


unix\linux\vulscan.tar.gz

LANDesk Security Suite 使用者指南

2. 將檔案放置在您將從暫存目錄中提取的 Linux 方塊上,例如 "/tmp/ldcfg"。

3. 如果機器是一台 IPMI/BMC 機器(安裝中有「監視」),請在命令行上輸

入以下內容‥

export BMCPW="(bmc password)"

4. 按根目錄執行,執行組態的 shell 指令檔。例如,如果您將指令檔命名為

"basic-linux",則使用步驟 2 中使用的完整路徑:

/tmp/ldcfg/basic-linux.sh

清單掃描程式指令行參數

清單掃描程式 ldiscnux 具有多個指令行參數,用於指定該掃描程式的執行方式。有

關每個參數的詳細說明,請參閱「ldiscnux -h」 或 「man ldiscnux」。每個選項之

前均可加上「-」或「/」。

參數 說明

-d=Dir 在 Dir 目錄而非根目錄下啟動軟體掃描。預設情況下,在根目錄下啟動

掃描。

-f 強制進行軟體掃描。如果沒有指定 –f,掃描程式將按照在控制台的組

態 | 服務 | 清單 | 掃描程式設定中指定的日期間隔(預設為每天)執行

軟體掃描。

-f- 停用軟體掃描。

-i=ConfName 指定組態檔案名稱。預設值是 /etc/ldappl.conf.

-

ntt=address:port

核心伺服器的主機名稱或 IP 位址。連接埠是選擇性的。

-o=File 將清單資訊寫入指定的輸出檔案。

-s=Server 指定核心伺服器。此指令是選擇性的,只有用來當作舊版相容性。

-stdout 將清單資訊寫入標準輸出中。

-v 在掃描期間啟用詳細狀態訊息。

-h 或 -? 顯示說明畫面。

範例

要將資料輸出到文字檔案,請輸入‥

ldiscnux -o=data.out -v

要將資料傳送到核心伺服器,請輸入‥

ldiscnux -ntt=ServerIPName -v

181


使用者指南

Linux 清單掃描程式檔案

檔案 說明

ldiscnux 此可執行檔案執行時可帶有指令行參數,以指示要採取的作業。所有

執行掃描程式的用每戶平均需要足夠的權限才能執行該檔案。

此檔案會根據上述支援的平台而有不同版本。

/etc/ldiscnux.conf 該檔案永遠位於 /etc 下,其中含有以下資訊‥

• 清單指派的唯一 ID

• 上次執行硬體掃描的時間

• 上次執行軟體掃描的時間

執行掃描程式的所有使用者需要該檔案的讀取和寫入屬性。

/etc/ldiscnux.conf 中的唯一 ID 是第一次執行清單掃描程式時指派給電

腦的唯一號碼。該號碼可用來識別這台電腦。一旦變更了此號碼,核

心伺服器會將其視為不同的電腦,這樣就會導致資料庫中出現重複項

目。

警告‥在建立唯一 ID 號碼後,請不要變更該 ID 號碼或刪除

ldiscnux.conf 檔案。

/etc/ldappl.conf 在此檔案中,您可以自訂執行軟體掃描時,清單掃描程式將報告的可

執行檔案的清單。該檔案中含有一些範例,您需要為自己使用的套裝

軟體新增項目。搜尋條件以檔案名稱和檔案大小為基礎。雖然該檔案

通常位於 /etc 下,但掃描程式可以透過 -i= 指令行參數來使用替代檔

案。

ldiscnux.8 ldiscnux 的手冊頁面。

控制台整合

將 Linux 電腦掃描到核心資料庫後,可以執行以下作業‥

182

• 查詢由 Linux 清單掃描程式傳回給核心資料庫的任何屬性。

• 使用報告功能產生報告,報告中含有 Linux 掃描程式收集的資訊。例如,在

作業系統摘要報告中,Linux 將顯示為作業系統類型。

• 檢視 Linux 電腦的清單資訊。

對按字母順序排序的「系統執行時間」進行查詢,將傳回意外結果

如果要執行查詢來找出有多少台電腦的執行時間超過了一定的天數 (如 10 天),請查詢「系統啟

動」,而不要查詢「系統執行時間」。查詢「系統執行時間」可能會傳回意外的結果,因為系統執

行時間純粹是「x 天,y 小時,z 分鐘,j 秒」的字串格式。是依據字母順序排序,而不是時間間

隔。

控制台未顯示參考 ldappl.conf 組態檔案的路徑

ldappl.conf 檔案中的 ConfFile 項目必須含有路徑。


必要的 RPM (版本 # 或更高版本)

LANDesk Security Suite 使用者指南

建議您將所有 RPM 儲存到 ...\ManagementSuite\ldlogon\RPMS 目錄中。您可以透過

http://core name/RPMS 瀏覽到該資料夾。

REDHAT ENTERPRISE

perl

RPM 版本:5.8.0-88.4

二進位版本:5.8.0

python

RPM 版本:2.2.3-5

二進位版本:2.2.3

pygtk2

RPM 版本:1.99.16-8

二進位版本:

sudo

RPM 版本:1.6.7p5-1

二進位版本:1.6.7.p5

bash

RPM 版本:2.05b-29

二進位版本:2.05b.0(1)-版本

xinetd

RPM 版本:2.3.12-2.3E

二進位版本:2.3.12

mozilla

RPM 版本:

二進位版本:1.5

openssl

RPM 版本:0.9.7a-22.1

二進位版本:0.9.7a

perl-CGI

RPM 版本:2.81-88.4

二進位版本:2.81-88.4

183


使用者指南

perl-Filter

RPM 版本:1.29-3

二進位版本:1.06

sysstat

RPM 版本‥4.0.7-4

二進位版本:4.0.7

SUSE LINUX

(SuSE 64)

bash

RPM 版本:2.05b-305.6

mozilla

RPM 版本: 1.6-74.14

mysql

RPM 版本: 4.0.18-32.9

mysql-server

RPM 版本‥NA [由 mysql 提供]

net-snmp

RPM 版本: 5.1-80.9

openssl

RPM 版本:0.9.7d-15.13

perl

RPM 版本: 5.8.3-32.1

perl-CGI

RPM 版本:NA [由 perl 提供]

perl-DBD

RPM 版本:mysql-2.9003-22.1 [注意情況變更]

perl-DBI

RPM 版本: 1.41-28.1

perl-Filter

RPM 版本:NA [由 perl 提供]

184


python-gtk

RPM 版本:2.0.0-215.1 [注意套件名稱變更]

python

RPM 版本: 2.3.3-88.1

sudo

RPM 版本:1.6.7p5-117.1

sysstat

RPM 版本: 5.0.1-35.1

xinetd

RPM 版本: 2.3.13-39.3

lm_sensors

RPM 版本:NA(注意‥這已被合併到 2.6 版本的內核中)

LANDesk Security Suite 使用者指南

185


使用者指南

使用資料庫查詢

查詢是管理裝置的自訂搜尋。LANDesk Management Suite 提供可以透過資料庫查

詢掃描進核心資料庫以查詢裝置的方法,並提供經由 LDAP 查詢位於其他目錄中

的裝置。在控制台網路檢視中,經由「查詢」群組可以檢視、建立和組織資料庫查

詢。而 LDAP 查詢是使用目錄管理員工具建立的。

有關使用目錄管理員建立與使用 LDAP 目錄查詢資訊,請參閱使用 LDAP 查詢。

閱讀本章後,您將瞭解以下內容‥

186

• 查詢概觀

• 查詢群組

• 建立資料庫查詢

• 執行查詢

• 匯入和匯出查詢

查詢概觀

藉由查詢,您可以根據特定的系統或使用者標準,搜尋和組織核心資料庫中的網路

裝置,從而協助您管理網路。

例如,您可以建立並執行一個查詢,它只尋找以下這種裝置‥處理器的小時鐘頻率

低於 166 MHz、RAM 小於 64 MB,或硬碟機小於 2 GB。建立一條或多條表示這

些條件的陳述式,並使用標準邏輯運算子將它們相互關聯起來。執行查詢後,可以

列印查詢的結果,並存取和管理符合的裝置。

查詢群組

查詢在網路檢視中可以組織成數個群組的形式。藉由滑鼠右鍵按一下我的查詢群

組,然後分別選擇新增查詢或新增群組,可以建立新的查詢 (和新的查詢群組)。

Management Suite 管理員 (即擁有 LANDesk 管理員權限的使用者) 可以檢視所有查

詢群組的內容,其中內含‥我的查詢、公用查詢、所有查詢和使用者查詢。

當其他的 Management Suite 使用者登入到控制台後,就可以根據各自的裝置範圍

來檢視我的查詢、公用查詢和所有查詢群組中的查詢。使用者看不到使用者查詢

群組。

當您將查詢移到某個群組中(按一下滑鼠右鍵,然後選擇新增到新群組或新增到

現有群組,或藉由拖曳查詢)時,實際上只是建立該查詢的副本。您可以移除任

何查詢群組中的副本,但查詢的主副本 (在所有查詢群組中) 將不受影響。如果要

刪除主副本,可以從所有查詢群組中進行。


LANDesk Security Suite 使用者指南

有關如何在網路檢視中顯示查詢群組和查詢,以及所能完成之作業的詳細資訊,請

參閱瞭解網路檢視。

建立資料庫查詢

在新增查詢對話方塊中,藉由選擇屬性、關係運算子和屬性值可以建立查詢。選

擇清單屬性,然後將其與適當的值關聯起來,這樣可以建立查詢陳述式。將查詢陳

述式彼此之間進行邏輯上的關聯,以確保在將這些陳述式與其他陳述式或群組關聯

之前,可將它們作為群組進行求值。

要建立資料庫查詢,請:

1. 在控制台的網路檢視中,滑鼠右鍵按一下我的查詢群組 (如果您具有公用

查詢管理權限,也可以滑鼠右鍵按一下公用查詢),然後按一下新增查

詢。

2. 輸入查詢的唯一名稱。

3. 從清單屬性清單中選擇元件。

4. 選擇關係運算子。

5. 從值清單中選擇值。您可以編輯值。

6. 按一下插入,將該陳述式新增到查詢清單中。

7. 如果要查詢多個元件,請按一下邏輯運算子 (AND 或 OR),然後重複步驟

2-5。

8. (可選) 若要將查詢陳述式進行劃分群組,以便作為群組進行求值,請選擇兩

條或更多條查詢陳述式,然後按一下群組 ( )。

9. 新增陳述式完成後,請按一下儲存。

關於新增查詢對話方塊

藉由此對話方塊,您可以使用以下功能建立新查詢‥

• 名稱‥識別查詢群組中的查詢。

• 機器元件‥列出查詢可以掃描的清單元件和屬性。

• 關係運算子‥列出關係運算子。這些運算子決定特定元件的哪些描述值將

滿足查詢條件。

187


使用者指南

188

Like 運算子是一個新增的關係運算子。如果使用者未在查詢中指定萬用字元

(*),Like 運算子將在字串的兩端加入萬用字元。以下列舉三個使用 Like 運

算子的範例‥

Computer.Display Name LIKE「Bob's Machine」查詢相當於‥

Computer.Display Name LIKE「%Bob's Machine%」

Computer.Display Name LIKE「Bob's Machine*」查詢相當於‥

Computer.Display Name LIKE「Bob's Machine%」

Computer.Display Name LIKE「*Bob's Machine」查詢相當於‥

Computer.Display Name LIKE「%Bob's Machine」

• 顯示掃描值‥列出所選清單屬性的可用值。也可以手動輸入適當的值,或

使用「編輯值」欄位編輯所選的值。如果所選的關係運算子為「Exists」

(存在)或「Does Not Exist」(不存在),則所有描述值都無法使用。

• 邏輯運算子‥決定查詢陳述式如何在邏輯上相互關聯‥

• AND‥前面的查詢陳述式「與」要插入的陳述式均必須為真,才能

滿足查詢條件。

• OR‥前面的查詢陳述式「或」要插入的陳述式有一條為真,即滿足

查詢條件。

• 插入‥將新陳述式插入查詢清單,並根據列出的邏輯運算子,將該陳述式

與其他陳述式從邏輯上關聯起來。您必須先建立可接受的查詢陳述式,才能

選擇該按鈕。

• 編輯‥用於編輯選取查詢陳述式。完成變更之後,請按一下更新按鈕。

• 刪除‥將所選的陳述式從查詢清單中刪除。

• 全部清除‥刪除查詢清單中的全部陳述式。

• 查詢清單‥列出插入到查詢中的每條陳述式及其與所列其他陳述式的邏輯

關係。群組的陳述式用括號括起來。

• 群組 ()‥將所選的陳述式群組在一起,以便這些陳述式針對彼此求值,然後

針對其他陳述式進行求值。

• 取消分組‥取消分組所選的群組陳述式。

• 篩選‥開啟用於顯示裝置群組的「查詢篩選」對話方塊。藉由選擇裝置群

組,可以將查詢限制為只有查詢所選群組中含有的裝置。如果未選擇任何群

組,查詢將忽略群組成員身份。

• 選擇欄‥用於新增或移除顯示在該查詢的查詢結果清單中的欄。選擇元

件,然後按一下向右箭頭按鈕,可以將該元件新增到欄清單中。您可以手動

編輯「別名和排序順序」文字,您所做的變更將顯示在查詢結果清單中。

• 限定‥「限定」按鈕用於限制資料庫中一對多關係的結果;沒有這個按

鈕,您將在結果集內多次列出同一台電腦。例如,如果想檢視您組織中每台

電腦所安裝的 Microsoft Word 版本,請在查詢方塊中插入

Computer.Software.Package.Name = “Microsoft Word”並在「選擇欄」清單中


LANDesk Security Suite 使用者指南

選擇 Computer.Software.Package.Version。但是,僅僅列出軟體版本將會列出

每台電腦上安裝的每個軟體的所有版本;也許您並不需要如此精確。解決方

案是進行限制(或限定),僅列出 Microsoft Word 的版本。按一下「限定」

按鈕,則您可以插入 Computer.Software.Package.Name = “Microsoft Word”。

這將僅返回 Microsoft Word 的版本。

• 儲存‥儲存目前查詢。如果您在執行某個查詢之前先儲存它,則該查詢將

一直儲存在核心資料庫中,直到您明確刪除它。

以顯示的順序執行查詢陳述式

如果未進行劃分群組,該對話方塊中列出的查詢陳述式將按自下至上的順序執行。請確保將相關的

查詢項目劃分成一群組,以便按群組對這些項目進行求值,否則,查詢的結果可能會出乎意料。

執行資料庫查詢

執行查詢

1. 在網路檢視中,展開查詢群組,以便找到要執行的查詢。

2. 連按二下查詢。也可以滑鼠右鍵按一下並選擇執行。

3. 結果 (符合的裝置) 將顯示在網路檢視的右側窗格中。

匯入和匯出查詢

可以使用匯入和匯出功能將查詢從一個核心資料庫傳輸到另一個核心資料庫。您可

以匯入:

• Management Suite 8 匯出的查詢

• Web 控制台匯出的 .XML 查詢

• Management Suite 6.52、6.62 和 7.0 匯出的 .QRY 查詢

匯入查詢

1. 以滑鼠右鍵按一下要放置匯入查詢的查詢群組。

2. 從快顯功能表中選擇匯入。

3. 瀏覽到要匯入的查詢並選擇它。

4. 按一下開啟,將該查詢新增到網路檢視中的所選查詢群組。

匯出查詢

1. 以滑鼠右鍵按一下要匯出的查詢。

2. 從快顯功能表中選擇匯出。

3. 瀏覽到要將該查詢儲存為 .XML 檔案的位置。

4. 鍵入查詢的名稱。

189


使用者指南

190

5. 按一下儲存,匯出查詢。


使用 LDAP 查詢

LANDesk Security Suite 使用者指南

除了提供查詢核心資料庫的方法之外,Management Suite 還提供目錄管理員工具,

用於經過 LDAP (輕型目錄存取通訊協定) 存取和管理在其他目錄中的裝置。

您可以根據特定的屬性 (如處理器類型或作業系統) 來查詢裝置。您也可以根據特

定的使用者屬性 (如員工 ID 或部門) 來進行查詢。

有關從網路檢視中的「查詢」群組建立及執行資料庫查詢的詳細資訊,請參閱使用

資料庫查詢。

閱讀本章後,您將瞭解以下內容‥

• 關於「目錄管理員」視窗

• 建立 LDAP 目錄查詢

• 有關 LDAP 的詳細資訊

關於目錄管理員視窗

使用目錄管理員可以完成以下工作‥

• 管理目錄‥開啟目錄屬性對話方塊,從中可以識別和登入 LDAP 目錄。

• 移除目錄‥從「預覽」窗格中移除所選目錄並停止管理該目錄。

• 重新整理檢視‥重新載入受管理的目錄和目標使用者清單。

• 新增查詢‥開啟 LDAP 查詢對話方塊,從中可以建立和儲存 LDAP 查詢。

• 刪除查詢‥刪除所選查詢。

• 執行查詢: 產生所選查詢的結果。

• 物件屬性‥檢視所選物件的屬性。

您可以使用目錄管理員,拖曳 LDAP 群組並將 LDAP 查詢儲存到排程工作上,讓

它們成為工作目標。

「目錄管理員」視窗由以下兩個窗格組成‥左側的目錄窗格和右側的預覽窗格。

目錄窗格

目錄窗格顯示所有註冊目錄和使用者。作為管理員,您可以指定註冊目錄的名稱,

並檢視與該目錄相關的查詢的清單。您可以藉由按一下滑鼠右鍵或使用下拉式功能

表為註冊目錄建立新查詢,然後進行儲存。在建立查詢之後,可以將該查詢拖曳到

排程工作視窗中,以便將工作套用到與查詢符合的使用者。

預覽窗格

191


使用者指南

當您在「目錄管理員」對話方塊左側的目錄窗格中選擇已儲存的查詢時,原則的目

標將指向右側預覽窗格中的該查詢。與此類似,當您在目錄窗格中選擇個別 LDAP

使用者時,原則的目標將指向預覽窗格中的這個使用者。

192

• 註冊目錄‥查詢群組項目和瀏覽項目。

• 查詢群組‥與目錄相關的查詢。

• 查詢‥提供有關查詢的詳細資訊。

• 瀏覽和目錄項目‥目錄中的子項目。

建立 LDAP 目錄查詢

要建立和儲存目錄查詢,請:

建立目錄查詢並儲存該查詢的工作分為以下兩個步驟‥

在 LDAP 目錄中選擇物件並啟動新查詢

1. 按一下工具 | 分發 | 目錄管理員。

2. 瀏覽目錄管理員目錄窗格,然後在 LDAP 目錄中選擇物件。此時將建立一

個 LDAP 查詢,該查詢返回目錄樹中自此位置以下的查詢結果。

3. 在目錄管理員中,按一下新增查詢工具列按鈕。請注意,只有在您選擇目

錄樹 (o=my company) 的根組織 (o) 或根組織內的組織單位 (ou=engineering)

後,才會顯示該圖示。否則,該圖示呈灰暗狀態。

4. 顯示基本 LDAP 查詢對話方塊。

要建立、測試和儲存查詢,請:

1. 在基本 LDAP 查詢對話方塊中,從目錄屬性清單中按一下將成為查詢標準

的屬性 (例如 = department)。

2. 按一下該查詢要使用的比較運算子 (=、=)。

3. 輸入屬性的值 (例如,department = engineering)。

4. 若要建立將多個屬性組合在一起的複雜查詢,請選擇組合運算子 (AND 或

OR),然後重複步驟 1 到步驟 3 (您可以根據需要重複多次)。

5. 完成建立查詢後,請按一下插入。

6. 若要測試已完成的查詢,請按一下測試查詢。

7. 若要儲存查詢,請按一下儲存。已儲存查詢的名稱將顯示在目錄管理員目

錄窗格中的儲存的查詢下。

關於基本 LDAP 查詢對話方塊

• LDAP 查詢根目錄‥在目錄中選擇該查詢的根物件

(LDAP://ldap.xyzcompany.com/ou = America.o = xyzcompany)。要建立的查詢


LANDesk Security Suite 使用者指南

將返回樹中自此位置以下的查詢結果。

• LDAP 屬性‥選擇使用者類型物件的屬性。

• 運算子‥選擇要執行的運算類型,這些運算類型與 LDAP 物件、其屬性以

及屬性值相關,其中內含‥等於 (=)、小於或等於 (=)。

• 值‥指定指派給 LDAP 物件的屬性值。

• AND/OR/NOT:您可選擇用於查詢條件的布林運算子。

• 測試查詢‥對所建立的查詢執行測試。

• 儲存‥用名稱儲存所建立的查詢。

• 進階‥使用基本 LDAP 查詢的元素以任意方式建立查詢。

• 插入‥插入一個查詢標準行。

• 刪除‥刪除一行選取的查詢標準。

• 全部清除‥清除全部查詢標準行。

關於儲存 LDAP 查詢對話方塊

在基本 LDAP 查詢對話方塊中,按一下儲存以開啟儲存 LDAP 查詢對話方塊,該

對話方塊將顯示如下選項‥

• 選擇該查詢的名稱‥用於為所建立的查詢選擇名稱。

• 查詢詳細資訊 LDAP 根目錄‥可以使用基本 LDAP 查詢的元素以任意方式

建立查詢。

• 查詢詳細資訊 LDAP 查詢‥在以任意方式建立自己的查詢時,顯示可供參

考的查詢範例。

• 儲存‥使用名稱儲存所建立的查詢。該查詢將儲存到目錄管理員目錄窗格

中的 LDAP 目錄項目下的儲存的查詢項目中。

193


使用者指南

關於目錄屬性對話方塊

在目錄管理員工具列中,按一下管理目錄工具列按鈕,以開啟目錄屬性對話方

塊。利用此對話方塊,您可以開始管理新目錄或檢視目前受管理的目錄屬性。該對

話方塊還將顯示 LDAP 伺服器的 URL 以及連線到 LDAP 目錄所需的身份驗證資

訊‥

194

• 目錄 URL‥用於指定要管理的 LDAP 目錄。LDAP 目錄和正確語法的範例

為 ldap..com。例如,可以鍵入 ldap.xyzcompany.com。

• 身份驗證‥允許您作為後續使用者(即您可指定使用者路徑以及使用者名

稱和使用者密碼)登入。

關於進階 LDAP 查詢對話方塊

在基本 LDAP 查詢對話方塊中,按一下進階,以開啟進階 LDAP 查詢對話方塊,

該對話方塊將顯示以下選項‥

• LDAP 查詢根‥使您可以在目錄中選擇該查詢的根物件。要建立的查詢將返

回樹中自此位置以下的查詢結果。

• LDAP 查詢‥可以使用基本 LDAP 查詢的元素以任意方式建立查詢。

• 範例‥在以任意方式建立自己的查詢時,顯示可供參考的查詢範例。

• 測試查詢‥對所建立的查詢執行測試。

當您選擇對已建立的查詢進行編輯時,將顯示進階 LDAP 查詢對話方塊。另外,

如果您在「目錄管理員」中選擇 LDAP 群組,然後從該位置建立查詢,也將顯示

進階 LDAP 查詢對話方塊,且其預設查詢所返回的使用者是該群組的成員。您不

能變更該預設查詢的語法,而只能儲存查詢。

有關輕型目錄存取協定 (LDAP) 的詳細資訊

輕型目錄存取協定 (LDAP) 是一個行業標準協定,用於存取和檢視有關使用者和裝

置的資訊。利用 LDAP,您可以將這些資訊組織和儲存到目錄中。由於可以根據需

要進行更新,因此 LDAP 目錄是動態的;同時它也是分散式的,從而保護該目錄

免受單點故障危害。通用 LDAP 目錄內含‥Novell Directory Services* (NDS) 和

Microsoft Active Directory Services* (ADS)。

以下範例說明可用於搜尋該目錄的 LDAP 查詢‥

• 取得所有項目‥(objectClass=*)

• 取得通用名稱中含有 'bob' 的項目‥(cn=*bob*)

• 取得通用名稱大於或等於 'bob' 的項目‥(cn>='bob')

• 取得所有含電子郵件屬性的使用者‥(&(objectClass=user)(email=*))


LANDesk Security Suite 使用者指南

• 取得所有含電子郵件屬性而且姓氏等於 'smith' 的使用者項目‥

(&(sn=smith)(objectClass=user)(email=*))

• 取得所有通用名稱以 'andy'、'steve' 或 'margaret' 開頭的使用者項目‥

(&(objectClass=User) (| (cn=andy*)(cn=steve*)(cn=margaret*)))

• 取得所有不含電子郵件屬性的使用者項目‥(!(email=*))

搜尋篩選的正式定義如下所示 (RFC 於 1960 年制訂)‥

• ::= '(' ')'

• ::= | | |

• ::= '&'

• ::= '|'

• ::= '!'

• ::= |

• ::= | |

• ::=

• ::= | | |

• ::= '='

• ::= '~='

• ::= '>='

• ::= '


使用者指南

清單

196

• 清單掃描概觀

• 檢視清單資料

• 追蹤清單變更

註:有關執行清單掃描器的詳細資訊,以及清單掃描器的疑難排解秘訣,請參閱其他清單作業和疑

難排解。

清單掃描概觀

清單掃描器收集硬體和軟體資料,並將這些資料輸入核心資料庫。您使用代理程式

組態工具組態裝置時,清單掃描器是安裝於裝置之上的標準 LANDesk 代理程式的

元件之一。第一次組態裝置後,清單掃描器將自動執行。一旦裝置將清單掃描傳送

到核心資料庫,就認為這個裝置是受管理的裝置。掃描器可執行檔案的名稱是

LDISCN32.EXE,該檔案支援 Macintosh、Linux 和 95/98/NT/2000/2003/XP 裝置。

有兩種清單掃描類型‥

• 硬體掃瞄‥硬體將對受管理裝置上的清單硬體進行掃描。硬體掃描快速執

行。您可以在代理程式組態(工具 | 組態 | 代理程式組態)中組態您可以部

署到受管理裝置中的硬體掃描間隔。預設情況下,硬體掃描在裝置每次啟動

時執行。

• 軟體掃瞄‥軟體將對受管理裝置上的清單軟體進行掃描。這些掃描花費的

時間較硬體掃描多。軟體掃瞄可能花費數分鐘完成,這取決於受管理裝置上

的檔案個數。預設情況下,無論清單掃描器在裝置上的執行頻率如何,軟體

掃描都將一天執行一次。您可以在組態 | 服務 | 清單標籤中組態軟體掃描時

間間隔。

您只要在網路視圖中找到裝置,按一下清單掃描,即可掃描隨選裝置。

註:藉由探索功能向核心資料庫新增裝置時,這個裝置的清單資料還未掃描到核心資料庫中。必須

在每個裝置上執行清單掃描,才能顯示有關這個裝置的完整清單資料。

您可以檢視清單資料,並使用它們來完成以下作業‥

• 自訂網路檢視欄,以顯示特定的清單屬性

• 在核心資料庫中查詢具有特定清單屬性的裝置

• 對裝置進行劃分群組,以加速執行管理工作 (如軟體分發)

• 按清單屬性產生專門報告

還可以使用清單掃描來追蹤裝置上的硬體和軟體變更,並在發生此類變更時產生警

示或日誌檔案項目。有關詳細資訊,請參閱本章稍後的追蹤清單變更。


閱讀以下各節可瞭解有關清單掃描器工作方式的詳細資訊。

增量掃描

LANDesk Security Suite 使用者指南

在裝置上初次執行完全掃描之後,清單掃描器只擷取增量變更,並將這些變更傳送

到核心資料庫。透過僅傳送變更後的資料,可將網路通訊和資料處理時間減到最

短。

強制完全掃描

如果要強制完全掃描裝置的硬體和軟體資料,請使用以下其中一種方法‥

• 刪除裝置上的 INVDELTA.DAT 檔案。最近一次清單掃描的副本將本機儲存

為一個名為 INVDELTA.DAT 的隱藏檔案,位於每個受管理裝置的

\Program Files\LANDesk\LDClient\Data 資料夾中。

• 在清單掃描器公用程式的指令行中新增 /sync 選項。若要編輯指令行,請以

滑鼠右鍵按一下清單掃描捷徑圖示並選擇屬性 | 捷徑,然後編輯目標路徑。

• 在核心伺服器上,請將 Do Delta 登錄機碼設定為 0,隨後停止並重新啟動

LANDesk Inventory Server 服務,該登錄機碼位於‥

HKLM\Software\Intel\LANDesk\LDWM\Server\Inventory Server\Do Delta

掃描壓縮

預設情況下,Windows 清單掃描器 (LDISCN32.EXE) 執行清單掃描時將壓縮掃描

結果。該掃描器會使用大約 8:1 的壓縮比率進行壓縮完全掃描和增量掃描。首先在

記憶體中產生完整的掃描資料,然後將資料壓縮並傳輸到核心伺服器。掃描壓縮可

減少封包的數量,從而減少頻寬佔用量。

可以藉由將核心伺服器的「Disable Compression」登錄機碼設定為 1 來停用清單掃

描壓縮。若預設值為 0,則將啟用壓縮。該登錄機碼位於‥

HKLM\Software\Intel\LANDesk\LDWM\Server\Inventory Server\Disable Encryption

加密資料傳送

在組態 | 服務 | 清單標籤中有一個加密資料傳送選項。該選項可將裝置掃描傳送到

使用 SSL 的核心伺服器。由於檔案是經由 Web 服務傳送的,且不是清單服務前

端,即使登錄中啟用了該選項,NAT 地址也不會附加到掃描檔案中。

檢視清單資料

一旦清單掃描器已掃描過裝置,您就可以在控制台中檢視裝置的系統資訊。

197


使用者指南

裝置清單儲存在核心資料庫中,其中內含硬體、裝置驅動程式、軟體、記憶體和環

境資訊。這些清單資料有助於您管理和組態裝置,以及快速識別系統問題。

可以使用以下方法檢視清單資料‥

198

• 檢視清單摘要

• 檢視完整清單

還可以在產生的報告中檢視清單資料。有關詳細資訊,請參閱報告。

檢視清單摘要

清單摘要位於裝置的屬性頁上,從中可以快速檢視裝置的基本作業系統組態和系統

資訊。摘要還顯示上次清單掃描的日期和時間,以便瞭解資料的新舊程度。

註:使用探索工具向核心資料庫新增裝置時,這個裝置的清單資料並未掃描到核心資料庫中。必須

對這個裝置執行清單掃描,清單摘要功能才能成功生效。

檢視清單摘要

1. 在控制台的網路檢視中,以滑鼠右鍵按一下裝置。

2. 按一下屬性 | 清單標籤。

Windows NT/2000/2003/XP 裝置與 Windows 95/98 裝置的清單摘要資料並不相同。

檢視完整清單

完整清單提供裝置的詳細硬體元件和軟體元件之完整清單。此清單包含物件和物件

屬性。

檢視完整清單

1. 在控制台的網路檢視中,以滑鼠右鍵按一下裝置。

2. 按一下清單。

有關詳細資訊,請參閱關於清單視窗。

檢視屬性的特性

您可以從清單列表中檢視裝置清單物件的屬性特性。屬性特性可提供清單物件的特

性和值。您還可以建立新的自訂屬性和編輯使用者定義的屬性。

若要檢視某個屬性的特性,請連按兩下該屬性。

有關詳細資訊,請參閱關於清單屬性特性對話方塊。


追蹤清單變更

LANDesk Security Suite 使用者指南

LANDesk 可以偵測並記錄對於裝置硬體和軟體所做的變更。追蹤清單變更有助於

控制網路資產。借助於清單變更設定,您可以選擇要儲存的變更類型以及嚴重性層

級。所選的變更既可以儲存到清單歷史記錄日誌中,也可以儲存到核心伺服器的

Windows 事件日誌中,還可以作為 AMS 警示傳送。

您可以檢視和列印裝置的清單變更歷史記錄。此外,可以將清單變更匯出為 .CSV

格式的檔案,以便使用您自己的報告工具進行分析。

若要追蹤和使用清單變更,首先必須組態清單變更設定。您將可以執行其他清單變

更歷史記錄工作‥

• 組態清單變更設定

• 檢視、列印和匯出清單變更

組態清單變更設定

註:若要檢視、列印或匯出網路上任何裝置的清單變更,首先必須組態這些設定。

要組態清單變更設定,請:

1. 按一下組態 | 清單歷史記錄。

2. 在清單變更設定對話方塊中,展開目前清單清單中的電腦物件,然後選擇

要追蹤的系統元件。

3. 在事件記錄位置清單中,選擇要追蹤的元件屬性。

4. 核取適當的方塊,以指定一個位置來記錄對該屬性所做的變更。清單變更既

可以記錄到清單變更歷史記錄日誌中,也可以記錄到 Windows NT 事件檢視

器日誌中,還可以作為 AMS 警示傳送。

5. 從日誌/警示嚴重性下拉清單中選擇嚴重性層級。嚴重性層級內含‥無、資

訊、警告和嚴重。

6. 按一下確定。

有關詳細資訊,請參閱關於清單變更設定對話方塊。

檢視、列印或匯出清單變更

要檢視、列印或匯出清單變更,請:

1. 在控制台的網路檢視中,以滑鼠右鍵按一下一個或多個裝置。

2. 按一下清單歷史記錄。

3. 按一下列印可列印清單變更歷史記錄。

199


使用者指南

200

4. 按一下匯出可以將清單變更歷史記錄另存為 .CSV 檔案。

有關詳細資訊,請參閱關於清單變更歷史記錄對話方塊。


使用報告

報告工具用於產生各種專題報告,提供網路上裝置的重要資訊。

閱讀本章後,您將瞭解以下內容‥

• 報告概觀

• 瞭解報告和報告群組

• 執行和檢視報告

• 發佈報告

• 建立自訂報告

• 使用報告設計器

• 匯入和匯出報告

• 建立 .CSV 檔案

報告概觀

LANDesk Security Suite 使用者指南

該報告工具利用穩定的清單掃描公用程式收集和組織硬體和軟體資料,以便產生有

用 、廣博及最新的報告(請參閱清單掃描)。您可以使用標準(預先定義)服務

報告和清單報告,也可以建立自己的自訂報告(請參閱建立自訂報告)。預設情況

下,預先定義報告是隨應用程式提供。自訂報告讓您能夠定義報告產生所需的唯一

一組資訊。執行預先定義或自訂參數,產生包含相關資料的報告,該報告可從控制

台檢視。此外,您還可以排程將要發佈及儲存到磁碟或您網路上安全的檔案共用位

置(任何具有適當登入憑證的人員均可存取並檢視報告)的報告。您可以排程將要

透過電子郵件發送至指定收件人的已發佈報告(根據他們的權限和範圍)。

瞭解報告和報告群組

在「報告」視窗(工具 | 報告/監視 | 報告)中,報告是以群組的方式組織的。管

理員可以檢視所有報告群組的內容。具有報告權限的使用者也可以檢視、執行和發

佈報告,但只能在其範圍內的裝置上進行。

報告視窗的左側窗格顯示以下報告群組的階層檢視‥

201


使用者指南

我的報告

列出您已新增到我的報告群組中的報告 (及報告群組)。這些一般是您定期執行及為

自己所用而組織的報告。它們可以是預先定義或自訂報告。報告會根據目前登入使

用者的範圍來執行。管理員可以存取每個使用者的報告群組,並可以新增和移除報

告(請參閱以下使用者報告 )。

所有自訂報告

列出您的核心伺服器上的所有自訂報告,包括您自己或另一個使用者建立或匯入的

報告。有關詳細資訊,請參閱建立自訂報告。

標準報告

列出隨應用程式提供的預先定義報告。報告已預先格式化且已分配查詢屬性和圖表

類型,可隨時使用。

Management Suite 日誌檔案

列出於您系統之上執行的排程工作日誌檔案。這些日誌檔案提供了可以在網路的裝

置上執行的各種服務、工作、動作或事件的狀態訊息。日誌檔案包含遞送方式狀

態、多點用戶端和子網路代表狀態、作業系統部署成功率、已排程工作狀態等。

註:日誌檔案通常儲存在 \LANDesk\ManagementSuite\log 目錄中。您可以在安裝過程中透過變更

路徑來指定不同的目錄位置。

清單報告

列出所有預先定義的清單報告。清單報告提供網路上裝置的資訊,包含何種裝置分

配給使用者、在裝置上執行的軟體、裝置被利用的方式、硬體類型、記憶體使用、

載入容量和規格等。

軟體授權監視報告

列出所有預先定義的軟體授權監視報告‥報告提供有關正被使用的軟體類型、使用

頻率、磁區速率和拒絕例項等資訊以便監視使用及確保符合軟體授權協定。

註:軟體授權監視報告不受使用者範圍的限制。

遠端控制報告

列出所有預先定義的遠端控制報告。報告根據用戶端、控制台、電腦、持續時間等

維護遠端控制使用歷史記錄。

202


不受管理的裝置報告

LANDesk Security Suite 使用者指南

列出所有預先定義的不受管理裝置搜尋報告。這些報告提供不受管理裝置的資訊,

包含裝置類型、網路位置和已套用代理程式等。

安全性和 Patch Manager 報告

列出所有安全性和 Patch Manager 報告。這些報告提供漏洞、spyware、安全性威

脅、受阻應用程式、LANDesk 更新和自訂定義等報告根據裝置類型、日期、位置

和其他條件生成。

使用者報告

列出單個使用者的所有報告,這些報告按使用者分為多個子群組。使用者子群組是

根據使用者的登入 ID 命名的,如電腦名稱\使用者帳戶或網域\使用者帳戶。每個

使用者群組中都含有這個使用者的「我的報告」群組中顯示的報告。

對於使用者裝置和使用者查詢群組,只有具有 LANDesk 管理員權限的使用者才能

看到使用者報告群組。管理員可以針對某個使用者的範圍,以這個使用者的身份

存取這個使用者的報告群組,進而執行報告。藉由這種方式,管理員可以預覽到使

用者在執行報告時所看到的相同內容。

執行和檢視報告

您可以按兩下報告從報告工具視窗中執行報告,或在報告上用滑鼠右鍵按一下,

然後選取執行。如果接到提示,請選擇相關的報告條件,然後按一下確定。報告

檢視器中將顯示報告資料(請參閱報告檢視器)。

也可以直接從網路檢視中的裝置執行清單報告。從網路檢視中,用滑鼠右鍵按一下

要執行報告的裝置,按一下執行清單報告,然後按兩下您要執行的報告。如果接

到提示,請選擇相關的報告條件,然後按一下確定。報告檢視器中將顯示報告資

料。

註: 某些報告限制為選擇單個裝置,若在網路檢視中選擇多個便無法執行。若由於選擇多個裝置

使報告無法執行,訊息方塊將通知您。

報告檢視器

報告執行後,報告檢視器啟動並顯示帶指定資訊的已產生報告。此報告檢視器提供

的控制可讓您根據自己的檢視喜好顯示報告。您還可以從報告檢視器中匯出報告。

報告檢視器工具列組成部分如下‥

• 目錄‥顯示報告目錄(如果有的話)。按一下樹中的節點,即可到達報告

中相應的位置。

203


使用者指南

204

• 列印‥開啟標準預設印表機對話方塊。

• 複製‥複製選定頁面的報告內容。

• 尋找‥在報告資料中搜尋位於任何位置的特定文字字串。

• 單頁視圖‥顯示報告為單頁。

• 多頁視圖‥顯示您能確定的多頁報告。

• 放大‥ 增加報告大小。

• 縮小‥ 減少報告大小。

• 顯示比例‥ 選取報告特定大小。

• 上一頁‥ 讓您循序返回上一頁(與「向後」類比)。

• 下一頁‥ 讓您循序進入下一頁(與「向前」類比)。

• 頁面方塊‥ 插入特定頁面編號,即可直接到達該頁。

• 向後‥ 讓您返回上一頁,不管數字順序如何。

• 向前‥ 讓您進入下一頁,不管數字順序如何。

• 畫面‥ 決定是否使用畫面(無、圓形圖或橫條圖)(如果有的話)。

• 排序: 根據所選欄變更報告詳細資訊的排序順序。

• 匯出: 使用 HTML、PDF、XLS、DOC 和 RTF 格式匯出報告。

發佈報告

發佈報告讓您能夠提供有關網路裝置的即時重要資訊給受控讀者。發佈報告時,該

報告被儲存到網路上的共享位置。報告可進行存取以供檢視(請參閱共用發佈報

告),或被發送給指定收件者(請參閱透過電子郵件傳送報告),即使他們對應用

程式無法存取。這樣非 LANDesk 使用者可共用報告,並在讀者方便之時檢視。您

可以對報告進行排程以使它們在指定時間自動發佈,同時也可組態它們以定期重複

執行(請參閱排程發佈報告)。

註: 報告在發佈之前不必執行。發佈過程中執行報告產生。這可以在發佈大規模報告時降低頻寬

使用率,該報告從整個網路收集並格式化詳盡完整的大量資料。

定義 LANDesk 報告使用者群組中的預設使用者

LANDesk 安裝期間,您會接到提示,請您在稱為 LANDesk Reports 的使用者群

組中建立並定義使用者帳戶。此群組控制儲存已發佈報告共享目錄的存取。預設的

使用者群組名稱為 LANDesk Reports。在安裝期間可以更改名稱。當應用程式安裝

之後,就無法變更 LANDesk 報告使用者群組。


LANDesk Security Suite 使用者指南

您可以在安裝期間指定使用者名稱和密碼,定義此群組的預設使用者。您可以在安

裝期間選擇清除此選項,但如果要能夠從網路上的檔案共用目錄存取發佈的報告,

就必須定義預設使用者帳戶。傳送預設使用者登入資訊給非 LANDesk 使用者,以

便其可以存取已發佈報告。 您可以將現有 LANDesk 使用者新增到 LANDesk 報告

使用者群組並使用他們自己的身份驗證,或為其提供預設使用者資訊。您可以透過

核心伺服器上的 Windows NT 使用者環境,或透過使用本機帳戶(請參閱管理本機

帳戶)將 LANDesk 使用者新增到 LANDesk Reports 群組。

發佈報告

發佈報告時,可以將報告檔案以下列任何格式儲存:.HTML、PDF、.XLS、.DOC

和 .RTF。

發佈報告

1. 按一下工具 | 報告/監視 | 報告。

2. 找出您要發佈的報告,用滑鼠右鍵按一下報告,然後按一下發佈。

註:在發佈之前,並不需要執行報告。

3. 如果接到提示,請選擇要求的報告條件,然後按一下確定。

4. 在發佈報告對話方塊中, 確認報告的名稱 (您可以隨意變更此名稱),確認

報告檔案的儲存位置,指定檔案格式,然後按一下儲存。

註: 發佈報告的預設儲存位置在核心伺服器的 ldmain\reports 資料夾裡。這是受安全保

護的檔案共享,只有 LANDesk Reports 使用者群組才能存取。

5. (可選)您可以在 報告發佈 對話方塊中按一下預覽 ,將檔案共用目錄的網

路路徑傳送給收件者之前驗證報告的內容和格式。如果要將完整路徑和檔案

名稱貼入另一個應用程式,以備將來參考,也可以按一下複製路徑至剪貼

簿,或是直接貼入電子郵件訊息的本文中,傳送給您要允許檢視報告的任

何人。

6. 按一下關閉。

205


使用者指南

共享發佈報告

報告發佈到核心伺服器上的共享資料夾後, 如果外部讀者具備檔案共用目錄驗證

所需的有效使用者名稱和密碼的話,就可對報告進行存取。您可以將該發佈報告的

網路路徑寄給想要的收件者,就可分發發佈報告。網路路徑必須包含完整的路徑和

檔案名稱。當收件者存取檔案共用目錄時,就會接到提示,要輸入有效的使用者名

稱和密碼 (使用者必須屬於 LANDesk Reports 群組成員),才可以開啟並檢視報告。

當您安裝應用程式時,定義 LANDesk Reports 使用者群組的預設使用者(請參閱定

LANDesk 報告群組中的預設使用者)。如果您將其他使用者加入 LANDesk

Reports 群組,他們就可以使用自己的使用者名稱和密碼來存取已發佈的報告。

排程發佈報告

發佈過程的自動化可確保已排程報告在指定時間即時傳送。使用報告排程功能,您

無需親自啟動報告發佈。組態報告發佈使其定期重複執行,這一功能可節省寶貴資

源用於執行其他重要工作。這可以提供持續可靠的報告。對何時發佈報告進行排程

的功能對在指定時間提供重要資訊顯得至關重要。

註: 排程發佈報告限制為特定類型的報告。

要排程報告發佈

206

1. 按一下工具 | 報告/監視 | 報告。

2. 用滑鼠右鍵按一下您要排程發佈的報告。

3. 選取排程發佈。具有該報告名稱的工作在排程工作下建立並反白顯示。

4. 滑鼠右鍵按一下排程工作工具中的工作,然後選擇屬性。

5. 在排程工作下,輸入所需的排程資訊。

6. 在收件者下,選擇報告傳送的位置。

7. 按一下儲存。

透過電子郵件傳送報告

要透過電子郵件傳送報告, 則需建立發佈報告的排程工作,並指定想要的收件

者。每次排程報告執行時,您所組態的透過電子郵件傳送的報告將自動發送到收件

人。報告的內容根據使用者範圍而定。透過電子郵件發送的報告以 .PDF 格式傳

送。您必須在想要的收件者各自使用者屬性下提供電子郵件地址(請參閱以角色為

基礎的管理說明)。電子郵件地址提供後,只表示使用者有資格接收報告。您仍舊

需要在排程報告發佈時從您建立的排程工作中將他們選取為收件人(請參閱排程發

佈報告)。

下列工作必需在報告透過電子郵件發送到想要的收件者之前完成‥


• 排程發佈報告

• 分配電子郵件地址給使用者

• 選擇報告收件者

• 組態電子郵件報告 SMTP

分配電子郵件地址給使用者

LANDesk Security Suite 使用者指南

您必須分配電子郵件地址給使用者,以便有資格接收報告。分配完成後,他們的使

用者名稱在排程發佈工作建立時將作為收件者可供選擇。有關詳細資訊,請參閱關

於排程工作 - 屬性對話方塊。

要分配電子郵件地址給使用者

1. 按一下工具 | 管理 | 使用者。

2. 使用滑鼠右鍵按一下使用者,然後按一下屬性。

3. 在使用者標籤中,輸入報告想要的收件者的電子郵件地址。

4. 按一下確定。

選擇報告收件者

您可以選擇報告收件者。核心伺服器上的檔案共用位置是預設目標。選擇您希望報

告透過電子郵件發送的使用者。要將收件者新增到清單,請參閱分配電子郵件地址

給使用者。 有關詳細資訊,請參閱關於排程工作 - 屬性對話方塊。

要選擇報告收件者

1. 按一下工具 | 分發 | 排程工作。

2. 找到希望透過電子郵件傳送的報告的排程工作。請記住, 報告先前已排程

發佈(請參閱排程發佈報告)。

3. 滑鼠右鍵按一下報告工作,然後選取屬性。

4. 在收件者下,選取您希望接收報告的使用者。

5. 按一下儲存。

組態用於傳送電子郵件報告的 SMTP

您必須具有外寄郵件伺服器和連接埠號碼,以便排程發佈工作發生時報告可透過電

子郵件傳送。您可以透過發送測試電子郵件到指定地址,以測試並驗證您的 SMTP

組態是否正確設置。有關詳細資訊,請參閱關於排程工作 - 屬性對話方塊。

要組態用於傳送電子郵件報告的 SMTP

1. 按一下工具 | 分發 | 排程工作。

2. 找到希望透過電子郵件傳送的報告的排程工作。請記住, 報告先前已排程

發佈(請參閱排程發佈報告)。

207


使用者指南

208

3. 滑鼠右鍵按一下報告,然後選取屬性。

4. 在 SMTP 組態下,確保外寄郵件伺服器 (SMTP)、連接埠號碼、登入資訊和

測試電子郵件地址已指定。

5. 按一下儲存。

建立自訂報告

建立自訂報告時,您可以指定報告執行時顯示何種資訊以及顯示方式。每個報告由

查詢(自訂或預先定義)、配置(自訂或預先定義)和畫面選取(如果有的話)組

成。指定查詢將從資料庫解壓縮適當的資料,並在執行時填充報告。報告根據指定

配置格式化。除非您另有選擇,否則將使用預設報告配置。您可以使用報告設計器

設計自訂格式(請參閱使用報告設計器)。對於含畫面資料的報告,您可以選取預

設群組欄和畫面類型(圓形圖、橫條圖或無)置於報告中。

註:如果您希望客戶報告與預先定義的報告具有相同的查詢資料,但希望採納您自己的格式,則您

需要建立使用相同查詢參數的自訂報告,並使用報告設計器套用自己的格式。

從「報告」工具中用滑鼠右鍵按一下我的報告,然後選取新增自訂報告,即可建

立自訂報告。在使用者報告中,滑鼠右鍵按一下使用者以選擇使用者,然後選取

新增自訂報告,管理員也可建立自訂報告。建立自訂報告的另一方法是滑鼠右鍵

按一下查詢,然後選取新增自訂報告,直接從現有查詢中建立。新增自訂報告圖

示也可用來建立自訂報告。建立的自訂報告將自動新增到「所有自訂報告」群組

中。

要建立自訂報告

1. 按一下工具 | 報告/監視 | 報告。

2. 滑鼠右鍵按一下我的報告,然後選取新增自訂報告。

3. 從報告屬性對話方塊中,輸入報告標題,該標題在報告產生後也充當報告

的實際標題。

4. 提供報告的說明,該說明也是最終報告中此標題下的正式說明。

5. 按一下選擇或建立以指定查詢。

6. 如果您要修改報告配置和格式,按一下設計啟動報告設計器。

7. 如果適用的話,選擇您在報告中需要的畫面類型。

8. 按一下確定。

使用報告設計器


LANDesk Security Suite 使用者指南

報告設計器能讓您自訂所建立報告的配置和格式,使報告具有您需要的外觀,以便

符合企業風格指導或生成特定報告。報告設計器的配置和格式功能與桌面發佈應用

程式類似。您還可以在報告中具備關係資料欄位的附加功能,這樣即可將從資料庫

解壓縮的資料動態地填入報告(請參閱 資料欄位)。當建立或修改自訂報告時,

可從「報告屬性」對話方塊中存取報告設計器(請參閱建立自訂報告)。

註: 從報告設計器變更報告的標題或說明將不會改變報告屬性對話方塊中的標題和說明。您必須

逐個變更。一旦您變更了報告配置並儲存報告,就需要對對話方塊中的內容作出相應的變更。

有關報告設計器詳情,請參閱以下部分‥

• 關於報告設計器

• 使用報告範本

關於報告設計器

設計表面

設計表面充當報告畫布。報告被劃分為以層次結構順序排列的特定內容區域。 報

告標題總是最高節點,而詳細資料應是最低節點。如果您要插入附加群組標題(滑

鼠右鍵按一下設計表面),則需要重新排序群組(同樣用滑鼠右鍵按一下設計表

面)。這些報告區段可以摺疊,讓表面區域服從管理,從而協助設計過程。格線能

夠開啟與關閉,用於幫助您將內容放置於設計表面之上。

工具箱

工具列由充當報告建立塊的元件(物件)組成。它們被置於設計表面之上,以發展

報告結構和配置。插入工具列元件,您就可以開始發展自訂報告基礎。工具列含有

以下元件‥

• 指標: 選取報告中的元件。只需按一下設計表面上的元件。選取元件後,

您能夠套用附加格式,如調整元件大小或套用不同風格。

• 標籤‥插入標籤。按一下並拖移方塊以定義標籤界限。選取標籤時,標籤

文字也新增到屬性區域中。

• 文字方塊‥ 插入文字方塊。按一下並拖移方塊以定義文字方塊界限。選取

文字方塊時,文字方塊的文字也新增到屬性區域中。文字方塊可與資料庫欄

位關聯。

• 核取方塊‥ 插入核取方塊。按一下並拖移方塊以定義核取方塊的寬度和高

度。核取方塊可與資料庫欄位關聯。

• 圖片‥ 插入從檔案中載入的映像。按一下並拖移方塊以定義映像寬度和高

度。對話方塊將提示您選取圖片元件的映像。

209


使用者指南

工具列

210

• 形狀‥ 插入矩形、圓形或正方形形狀。按一下並拖移該形狀以定義其寬度

和高度。

• 行‥ 插入行 。按一下,然後將行拖移至您希望其所處的位置。

• Rich text 方塊‥ 插入 rich text 方塊。按一下並拖移方塊以定義 rich text 方塊

界限。當您松開按鈕時,對話方塊會出現,讓您選取 RTF 檔案。RTF 檔案

內容放置於 rich text 方塊中。在 rich text 方塊中按一下,方塊中將出現游

標,您可以將格式套用於特定文字。Rich text 方塊可與資料庫欄位關聯。

• 分頁符號‥ 插入分頁符號。

• 條碼‥ 插入條碼。按一下並拖移條碼以定義元件界限。條碼可與資料庫欄

位關聯。

工具列由標準格式選項組成,包括文字樣式、字型、字型大小、粗體、斜體、底

線、對齊、項目符號、縮排、層等。元件放置於設計表面之上後,就可將格式套用

到元件以達到所需外觀。附加格式可從屬性區域獲取。工具列中還有若干獨特的工

具‥

• 確定‥ 儲存所有變更,並關閉報告設計器對話方塊。

• 取消‥ 關閉報告設計器對話方塊,但並不儲存任何變更。

• 新增報告‥可清除報告,提供空白設計表面,以建立新增報告,但在輸入

報告設計器之前您仍舊受限於您定義的相同查詢欄位。

• 根據查詢自動產生報告‥ 做出任何變更之前將報告設計返回至原始格式。

這樣您就可以根據預設設定將報告恢復為原始格式。

• 報告設定值‥ 可以讓您組態報告設定值。報告設定值組成部分如下‥

• 頁面設定‥ 定義報告邊界。

• 印表機設定值‥ 定義紙張大小、列印方向和其他列印屬性。

• 樣式‥ 讓您能夠建立和編輯報告中的字型樣式

• 全域設定值‥ 提供格線控制,定義計量單位。

資料欄位

資料欄位值是開啟報告設計器之前您定義的查詢參數的別名。資料欄位是連結至資

料來源的代理或位置持有者。當您執行報告時,資料欄位就由從資料來源解壓縮的

資訊取代。一開始, 資料欄位自動放置於報告中。如果您已刪除它們或正啟動新

報告,則可以拖放資料欄位至設計表面上。您不能從報告設計器中建立資料欄位。

您必須在啟動設計器之前指定資料欄位(從報告查詢 對話方塊中,按一下選擇欄

>>)。


LANDesk Security Suite 使用者指南

資料欄位應主要用於設計表面的「詳細資訊」區域,但也可放置於「群組標題」區

域。當您在「群組標題」區域使用資料欄位時,也必須將資料欄位套用至「群組標

題」本身,以便其向下傳播並建立所有已查詢資料的例項。正確分組資料時需要。

例如,使用資料欄位用作標題,如「裝置名稱」,這樣當報告執行時,將每個裝置

的裝置名稱作為標題插入資料庫中。每個裝置名稱標題後跟著詳細資訊區域中指定

的內容(下一層),這可能是報告資料欄位的其餘內容。在設計表面的「群組標

題」區域中,首先應插入所需資料欄位。然後選擇「群組標題」標籤,並將「內

容」區域中的資料欄位變更為要插入的資料欄位中的相同資料欄位。

註: 如果您輸入的資料欄位值根據查詢不存在,則在資料欄位方塊上方出現缺失資料欄位方塊。

按一下缺失資料欄位方塊內的值,會在設計表面上選取錯誤資料欄位,您即可瞭解哪些欄位需要更

正。

目錄

「內容」區域包含設計表面的樹結構視圖。主報告被分為報告各單獨區域。放置於

任何特定區域中設計表面之上的任何元件也體現於相應報告區域下的樹視圖中。按

一下樹視圖中的節點,將選擇設計表面中的相應項目,同時直接顯示其下的屬性。

屬性

每個項目,包括設計表面上的報告區域和元件,都有一組獨特的屬性。這些屬性用

於進一步組態報告,而且比標準格式和配置工具更先進。並非所有屬性都可用於每

個節點。只指定適用於所選項目的屬性。屬性組成部分如下‥

• 外觀‥ 影響所選項目的外觀。包含所有標準格式工具。

• 行為‥ 影響所選項目的操作方式。

• 資料‥ 包含所選項目的實際內容,如原文資訊或資料欄位。

• 設計‥ 提供所選項目的說明,但不會出現在設計表面。

• 配置: 提供所選項目的大小和方向,如在 X 和 Y 座標中的位置或寬度和高

度大小。

• 雜項‥ 包含所選項目的任何附加功能,這些功能未包含於其他屬性類型之

下。

• 摘要: 讓您能夠在報告中建立總和。這些總欄位在執行時將自動執行數學

方程式,並在指定位置中顯示計算值。

使用報告範本

您可以建立報告範本取代報告的預設配置。既然已執行大部分自訂性,這使建立自

訂報告顯得更加容易。您只需要套用報告範本執行您的自訂外觀。載入範本後,你

可以進一步根據需要自訂新報告。

211


使用者指南

註: 報告範本僅套用於自訂報告。

建立報告範本

報告範本從報告設計器建立。您可以修改預設範本或另一範本,然後將其保存為範

本。

要建立報告範本

212

1. 按一下工具 | 報告/監視 | 報告。

2. 使用滑鼠右鍵按一下我的報告,然後按一下新增自訂報告。

3. 提供標題、說明、查詢和圖表類型,按一下設計。

4. 從報告設計器,做出所有設計、配置和格式修改以建立新範本。

5. 按一下檔案 | 另存為範本。

6. 提供標題和說明,然後按一下確定。

套用報告範本

範本建立後,即可套用到任何自訂報告。

註: 在對報告做出任何變更前套用範本。在範本套用前對報告所做的任何變更都將遺失。這不能

重做。

要套用報告範本

1. 按一下工具 | 報告/監視 | 報告。

2. 使用滑鼠右鍵按一下我的報告,然後按一下新增自訂報告。

3. 提供標題、說明、查詢和圖表類型,按一下設計。

4. 從報告設計器中,按一下工具 | 範本。

5. 選擇你要套用的範本,然後按一下載入。

匯入和匯出報告

報告工具支援匯入和匯出報告。您可以將報告從一個核心資料庫傳輸到另一個核

心資料庫。既然報告要求查詢正確顯示,則查詢會隨報告自動匯入和匯出。 匯入

的報告放置於我的報告、所有自訂報告和使用者報告群組中。

註: 變更報告中內嵌的查詢 (XML) 不會產生獨立報告。它會引起錯誤。如果您要變更報告,則必

須從 LDMS 中的報告工具完成。

要匯入報告

1. 滑鼠右鍵按一下要放置已匯入報告的報告群組。


2. 從快顯功能表 (或工具列) 中選擇匯入。

3. 瀏覽到要匯入的報告檔案 (.XML) 並選擇該檔案。

4. 按一下開啟,將該報告新增到網路檢視中的所選報告群組。

您既可以分別匯出各個報告,也可以匯出整個報告群組及其內容。

要匯出報告

1. 滑鼠右鍵按一下要匯出的報告 (或報告群組)。

2. 從快顯功能表 (或工具列) 中選擇匯出。

3. 瀏覽到要儲存該報告的位置。

4. 鍵入報告的名稱。

5. 按一下儲存,匯出報告。

建立 .CSV 檔案

LANDesk Security Suite 使用者指南

您可以在純文字中建立逗號分隔檔案,這些檔案可輕鬆整合到資料庫、試算表、文

書處理器等。檔案根據顯示於網路視圖中的清單資料建立。這些檔案另存為通用

的 .CSV 檔案。

要建立 .CSV 檔案

1. 按一下工具 | 報告/監視 | 報告。

2. 滑鼠右鍵按一下報告,然後選取新增 CSV 報告。

3. 在新增 .CSV 報告對話方塊中,輸入報告的名稱。

4. 選擇是提供所有裝置的報告,還是只有提供所選裝置的報告。

5. 選擇是使用網路檢視中的目前欄組態,還是使用其他欄組態。

6. 按一下確定,以使用您指定的名稱和目錄位置來儲存此 .CSV 檔案。

註:您也可以匯出 .CSV 資產報告,用於其他報告工具。可以 將 .CSV 報告匯出成以下任何一個格

式:HTML、RTF 或 TXT。

213


使用者指南

使用指令檔和工作

LANDesk Management Suite 包括了功能強大的排程工作系統。核心伺服器和受管

理的裝置都具備可支援排程工作的服務/代理程式。從 Management Suite 控制台和

Web 控制台可以將工作新增到 Scheduler 中。

工作包含下列各項:

214

• 分發套件、傳送方法、目標裝置及排程時間。非分發工作則是由指令檔、目

標裝置及排程時間組成。

下面是一些可以排程的工作:

• 裝置組態

• 各類自訂指令檔

• 自訂資料表單部署

• 不受管理的裝置探索

• 漏洞掃描

• 受管理裝置上的軟體執行

這些工作是透過對話方塊建立指令檔,完成以後會產生 Windows INI 格式而副檔名

為 .INI 的 ASCII 文字檔。這些指令檔是儲存在核心伺服器上的 \Program

Files\LANDesk\ManagementSuite\Scripts 資料夾中。指令檔檔案名稱就變成控制台

的指令檔名稱。只有軟體分發指令檔例外。它們不建立 INI 檔案,而儲存在資料庫

中。指令檔只包含正要完成的工作相關資訊,而不包含指令檔將要執行的裝置資

訊。指令檔使用 Management Suite 特有的自訂指令檔語言。有關指令檔的詳細資

訊,請參閱處理自訂指令檔。

閱讀本章後,您將瞭解以下內容‥

• 管理指令檔

• 排程工作

• 使用排程工作視窗

• 為工作指派目標

• 工作執行時您看到的內容

• 監視工作狀態

• 檢視工作日誌

• 使用預設指令檔

• 組態本機 Scheduler 指令檔

管理指令檔


LANDesk Security Suite 使用者指南

LANDesk Management Suite 使用指令檔在裝置上執行自訂工作。您可以從管理指

令檔視窗為這些工作建立指令檔(工具 | 分發 | 管理指令檔)。

• 作業系統部署/設定檔移轉

• 檔案傳輸

• 您建立的自訂指令檔

• 依您指定時間執行的本機 Scheduler 指令檔

「管理指令檔」視窗將指令檔分成三個類別:

• 我的指令檔‥您建立的指令檔。

• 所有其他指令檔:隨 Management Suite 出貨的指令檔。

• 使用者指令檔 (只有 Management Suite 管理員看得見):由所有 Management

Suite 使用者建立的指令檔。這些都按建立者的使用者名稱排序。

您可以到我的指令檔項目下建立群組,將指令檔更進一步組織分類。若要建立新

指令檔,請以滑鼠右鍵按一下我的指令檔項目或您已建立的群組,然後按一下您

要建立的指令檔類型。

建立指令檔之後,可以按一下指令檔快顯功能表上的「排程」。這樣會啟動排程

工作視窗(工具 | 分發 | 排程工作),您可以在其中指定工作要執行的裝置,以及

工作應該執行的時間。關於排程工作的詳細資訊,請參閱下節內容。

由於 Windows 控制台支援特定功能,在 Windows 控制台上建立的指令檔不能在

Web 控制台上編輯。

舊版 Management Suite 的使用者指令檔和工作擁有權變更

在 8.5 版以前的 Management Suite 中,所有指令檔都是全域的,所有使用者都看得

到。但在 Management Suite 8.5 中,指令檔只供指令檔建立者和 Management Suite

管理員查看。

管理指令檔視窗 (工具 | 分發 | 管理指令檔)現在有狀態欄。如果所有使用者都能

看到指令檔,狀態欄就會顯示為公用,如果只有建立指令檔的使用者或管理員才

能看到,則顯示為個人的。使用者可以用滑鼠右鍵按一下所建立的指令檔,然後

切換開啟或關閉公用指令檔選項。管理員可以變更任何指令檔的狀態。

排程工作

排程工作視窗顯示已排程工作的狀態,以及工作是否順利完成。Scheduler 服務有

兩種方式與裝置進行通訊‥

• 透過標準 LANDesk 代理程式 (必須已經安裝在裝置上)。

215


使用者指南

216

• 經由網域層級系統帳戶。您選擇的帳戶必須能夠以服務權限登入。有關組態

Scheduler 帳戶的詳細資訊,請參閱組態 Scheduler 服務。

控制台內含可排程執行日常維護工作的指令檔,例如,對選取的裝置進行清單掃

描。您可以從工具 | 分發 | 管理指令檔 | 所有其他指令檔中排程這些指令檔。

使用排程工作視窗

使用排程工作視窗可以組態和排程您建立的指令檔。您可以排程一次完成各項工

作,也可以排程重複執行某一工作 (例如,排程一個指令檔工作以定期搜尋不受管

理的裝置) 。

排程工作視窗分為兩部份。左半邊顯示工作樹及工作,右半邊顯示您在樹中選取

之項目的特定資訊。

左側窗格

左側窗格顯示這些工作群組:

• 我的工作:您已排程工作。只有您和 Management Suite 管理使用者可以看

到這些工作。

• 常見工作:使用者標示的常見工作。從此類別排程工作的任何人員都會成

為該工作的所有者。工作會保留在常見工作資料夾中,也可以在該使用者

的使用者工作群組中看到。

• 所有工作:您的工作及標示為常見的工作。

• 使用者工作 (僅限 Management Suite 管理使用者):使用者建立的所有工作。

• 所有原則:任何作為原則的工作。這些工作亦將出現在其他工作群組中。

此群組提供查看作用中原則的簡便方法。

您可以將指令檔拖曳到排程工作視窗的左側窗格中。一旦指令檔位於左側窗格

中,您就可以將裝置、查詢或群組拖曳到右側窗格,以組態該指令檔的目標。

當您按一下我的工作、常見工作或所有工作時,右側窗格就會顯示此資訊:

• 工作‥工作名稱。

• 開始時間‥排程執行該工作的時間。按兩下某工作名稱即可編輯開始時間

或重新排程該工作。

• 狀態:整體工作狀態。檢視右側窗格的狀態和結果欄以取得更多詳細資

訊。

• 所有者‥最初建立此工作使用之指令檔的人員名稱。

當您按一下排程工作時,右側窗格就會顯示此摘要資訊:


• 名稱‥工作狀態名稱。

• 數量‥每個工作狀態中的裝置數目。

• 百分比:每個工作狀態中的裝置百分比。

當您按一下工作下的工作狀態類別時,右側窗格就會顯示此資訊:

LANDesk Security Suite 使用者指南

• 名稱‥裝置名稱。

• 狀態:該裝置的工作狀態 (例如「等待」)。

• 結果‥工作在裝置上是否順利執行。

• LDAP 物件名稱:如果裝置是透過 LDAP 來定向,則顯示 LDAP 物件名

稱。

• 查詢名稱:如果裝置是透過查詢來定向,則顯示查詢名稱。

• 訊息‥來自裝置的自訂訊息。這些訊息會與執行 DOS 批次檔的工作搭配使

用。包括指令,可利用指令行參數 /msg=「您要傳送的訊息」啟動

sdclient.exe。

• 日誌檔案:如果裝置無法完成工作,則此處會顯示該裝置的工作日誌檔案

路徑。

裝置必須有標準 LANDesk 代理程式且位於清單資料庫,您才能為裝置排程工作。

排程工作

1. 在管理指令檔視窗中,按一下指令檔 | 我的指令檔或所有其他指令檔,以及

您要分發的指令檔。

2. 按一下排程按鈕。這樣就會顯示排程工作視窗,將指令檔新增到其中,這

樣它就成為工作。

3. 在網路檢視中,選擇您要作為工作目標的裝置,並拖曳到排程工作視窗中

的工作上。

4. 在排程工作視窗中,從工作的快顯功能表中按一下屬性。

5. 在排程工作頁面上, 設定工作開始時間,按一下儲存。

您可以新增更多裝置至工作,從網路檢視中拖曳多個工作,然後放置在排程工作

視窗中您所要的工作上。

取消工作

您可以取消等待或正在進行的工作。取消工作的方式取決於工作類型,如下所述。

• 軟體分發工作: 使用工具列上的「取消」按鈕。此工具列按鈕只用於軟體

分發工作。

• 自訂指令檔‥ 從您要取消的指令檔快顯功能表,按一下目前狀態。工作狀

態對話方塊包含中止工作和取消工作按鈕。按一下所需的按鈕。

217


使用者指南

218

• 等待工作‥ 從您要取消的工作快顯功能表,按一下屬性。在排程工作頁面

上,按一下保留未排程。

瞭解常見工作資料夾

常見工作群組可為多位使用者提供簡便的方法,來存取相同的工作。標示為常見

的作業會出現在常見工作群組,也會出現在最近一次修改工作之使用者的使用者

工作群組中。工作同時位於這兩個位置,可讓共享類似職責的多位使用者存取和

修改工作。

使用者可以將他們看得見的任何工作標示為常見。一旦使用者清除了常見選項,就

只能在這些使用者的使用者工作群組中看到此類工作。

標記工作為常見工作

1. 從要成為常見工作的工作快顯功能表中,按一下屬性。

2. 勾選概觀標籤上的顯示於常見工作中。

為工作指派目標

新增指令檔至排程工作視窗以後,就可指派目標。將目標從網路檢視拖曳到排程

工作視窗中的工作上。目標可以包含個別裝置、裝置群組、LDAP 物件、LDAP 查

詢和清單查詢。查詢和群組是非常有用的選項,可顯示由於重複工作而變化的動態

裝置清單。例如,當查詢的裝置目標清單發生變化時,使用該查詢的所有工作都會

自動以新的裝置作為目標。

如果裝置被多次作為目標,例如當兩個目標查詢具有重疊結果時,則核心伺服器會

偵測到重複,而不會多次執行同一裝置的工作。

使用工作目標查詢時,查詢在工作啟動後才開始執行。 排程工作屬性對話方塊在

工作啟動後才顯示目標裝置。

套用範圍至工作

對於排程工作,多個 Management Suite 使用者可以將多個目標新增到一個工作

中。但是,在排程工作視窗中,每個 Management Suite 使用者都只能看到所屬範

圍內的目標。如果兩個 Management Suite 使用者所屬範圍互不重疊,而他們分別

在某一工作中新增了 20 個目標,則每個 Management Suite 使用者只能看到自己新

增的 20 個目標,而該工作將針對全部 40 個目標執行。

選擇工作的目標

所建立的每一個工作都需要一組供工作執行的目標。工作可以有兩種類型的目標:

靜態和動態。


LANDesk Security Suite 使用者指南

• 靜態目標‥靜態目標是指如果不手動進行變更就不會發生變化的一組特定

裝置或使用者。靜態目標可以是「目錄管理員」中的 LDAP 使用者,也可

以是控制台網路檢視中的裝置。

• 動態目標‥動態目標是指容許以原則為基礎的分發工作定期檢查目標清單

是否有變化的一組裝置。動態目標內含查詢結果和 LDAP 群組/容器或網路

檢視群組。

動態原則目標是唯一的,因為 Management Suite 會定期更新這些查詢的結果。如

果新的裝置符合查詢條件,則採用這些查詢的重複工作將套用於新的裝置。

你可以按以下方式指定靜態原則目標‥

• 網路檢視裝置‥核心資料庫中的一組靜態裝置。

• LDAP 使用者或裝置‥一組靜態使用者和/或裝置物件。

您可以按以下方式指定動態原則目標‥

• 網路檢視群組‥核心資料庫中的一組動態裝置。

• LDAP 群組/容器‥一組動態使用者和/或裝置物件。

• 資料庫查詢‥對核心資料庫進行的查詢所產生的一組裝置。

• 使用者群組‥從符合 LDAP 標準的目錄中選擇的一組使用者。

• LDAP 查詢‥對符合 LDAP 標準的目錄進行查詢所產生的一組使用者、裝置

或這兩者。

透過目錄確定目標裝置

要讓裝置接收到經由 Active Directory 或 NetWare 目錄服務確定的目標原則,必須

對裝置進行組態,以便登入到該目錄中。也就是說,裝置必須安裝所有正確的裝置

軟體,而且必須實際登入到正確的目錄,以便使裝置的完整區分名稱與目錄管理員

所確定的目標名稱相符合。

必須組態 Windows 95/98 裝置以便登入 Active Directory 所駐留的網域。由於

Windows NT 和 Windows 95/98 不內含 Active Directory 支援,因此必須在登入目錄

且需要使用以原則為基礎管理的裝置上安裝 Active Directory 支援。除本文外,您

還可以從以下位址取得有關安裝 Active Directory 裝置支援的詳細資訊‥

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx

每個 Windows NT/2000/2003/XP 裝置都必須在 Active Directory 網域控制站上擁有

一個電腦帳戶。這意味著,作為裝置的電腦必須登入到 Active Directory 所在的網

域中。不能只使用完全限定的 Windows NT 網域名稱來映射網路磁碟機。這樣原則

將不會生效。

使用目錄管理員建立查詢

219


使用者指南

220

1. 按一下工具 | 分發 | 目錄管理員。

2. 按一下管理目錄工具列按鈕。

3. 輸入目錄 URL 和驗證資訊,然後按一下確定。

4. 按一下新增查詢工具列圖示。

5. 建立您的查詢。有關詳細資訊,請參閱使用 LDAP 查詢。


工作執行時您看到的內容

LANDesk Security Suite 使用者指南

排程工作視窗中永遠顯示作業狀態。如果排程裝置組態或作業系統部署,也會看

到用戶端安裝公用程式對話方塊。當 Scheduler 服務依次對目標清單執行作業時,

您會看到將要組態的裝置、正在組態的裝置以及已完成組態的裝置清單。有關詳細

資訊,請參閱關於用戶端安裝公用程式對話方塊。

如果是排程定向多點傳送分發,您將看到多點傳送軟體分發狀態視窗。此視窗顯

示多點傳送狀態。有關詳細資訊,請參閱關於多點傳送軟體分發狀態視窗。

如果是排程自訂指令檔,您將看到處理自訂作業視窗,其中除逐行顯示所執行指

令檔的狀態以外,還顯示已排程處理、正在處理以及已完成處理的目標裝置。

監視工作狀態

工作開始處理時,目標裝置會經過各種工作狀態。您可以在「排程工作」視窗中按

一下正在進行的工作,監視目標裝置的工作狀態。裝置將屬於以下類別之一:

• 所有裝置‥所有工作的目標。

• 使用中:目前正在處理的目標。

• 擱置:尚未處理的目標。

• 成功:已成功地完成工作的目標。

• 已失敗:工作失敗的目標。

這些都是裝置所處的可能狀態,其可見的類別為:

• 等待:準備開始處理工作。(擱置類別)

• 使用中:處理目前工作。(使用中類別)

• 完成:工作順利完成。(成功類別)

• 忙碌:裝置已在處理不同的工作,而不能處理目前的工作。(已失敗類別)

• 已失敗:由於不明原因,未完成工作處理。(已失敗類別)

• 關機:裝置已關機或無法接通。(已失敗類別)

• 已取消‥使用者已取消工作。(已失敗類別)

檢視工作日誌

如果裝置無法處理工作,排程工作視窗會儲存工作日誌。可用日誌會顯示在裝置

旁的日誌檔案欄中。您可以在日誌檔案中看到已失敗的工作指令。

221


使用者指南

使用預設指令檔

Management Suite 出貨時會附上以下所列的一組預設指令檔。可供您用來協助完成

一些 Management Suite 工作。這些指令檔是在管理指令檔 視窗(工具 | 分發 | 管理

指令檔)下的所有其他指令檔 樹視圖下提供使用‥

222

• am_verifyall‥驗證所有經由原則安裝到用戶端上的套件

• 通用範例 dir 指令‥使用作業系統部署指令檔說明重新啟動具有虛擬磁碟的

裝置和執行 dir 指令。

• inventoryscanner‥在選取的裝置上執行清單掃描器。

• multicast_domain_discovery‥進行定向多點傳送網域代表探索。有關詳細

資訊,請參閱在軟體分發中使用定向多點傳送。

• multicast_info‥執行故障排除指令檔,該指令檔顯示「排程工作」視窗傳

遞到定向多點傳送的資訊,其中包括目標裝置的 IP 位址和子網路資訊。建

立一個名為 C:\MCINFO.TXT 的檔案。

• MSI 服務部署‥部署 PXE 代表所需的 MSI 服務。

• PXE 代表部署‥部署或更新 PXE 代表。

• PXE 代表移除‥從 PXE 代表處移除 PXE 服務軟體。

• 還原用戶端記錄‥在選取的裝置上執行清單掃描器,但該掃描器報告到組

態裝置的核心伺服器。在多核心環境中,如果您必須重新設定資料庫,此工

作可協助您將裝置加回正確的核心資料庫中。

• 解除安裝計量用戶端‥刪除目標裝置上的軟體計量代理程式。此代理程式

在版本 8 之前的 Management Suite 中使用。

組態本機 Scheduler 指令檔

本機 Scheduler 是在裝置上執行的一種服務。它是屬於共用的基礎代理程式,您可

以透過裝置安裝程式進行安裝。通常本機 Scheduler 處理 Management Suite 工作,

例如定期執行清單掃描器。您排程的其它工作 (例如軟體或作業系統部署) 是由核

心伺服器而不是本機 Scheduler 處理。您可以使用本機 Scheduler 排程自己的工作,

以在裝置上定期執行。建立了本機 Scheduler 指令檔以後,就可以使用排程工作視

窗將指令檔部署到裝置。

本機 Scheduler 為每個工作指派一個 ID 號碼。本機 Scheduler 指令檔的 ID 範圍與

Management Suite 使用的預設本機 Scheduler 指令檔的 ID 範圍不同。在預設情況

下,每個裝置上只能有一個自訂 Scheduler 指令檔在使用中的狀態。如果建立了新

的指令檔並部署到裝置上,它將取代舊的指令檔 (自訂本機 Scheduler ID 範圍內的

任何指令檔) 而不影響預設的本機 Scheduler 指令檔,例如本機清單掃描排程。


LANDesk Security Suite 使用者指南

當選擇排程選項時,不要太嚴格使工作條件很少達到,除非您是故意這樣做。例

如,組態工作時,如果您選擇「星期一」作為每週的某天,「17」作為每月的某

天,則該工作將只有在同時是 17 日的星期一執行,這種情況很少發生。

組態本機 Scheduler 指令

1. 在管理指令檔視窗(工具 | 分發 | 管理指令檔) 中,從「我的指令檔」快顯

功能表按一下新增本機 Schedulter 指令檔。

2. 輸入指令檔名稱。

3. 按一下新增定義指令檔的選項。

4. 如剛才所述組態本機 Scheduler 選項。

5. 按一下儲存以儲存指令檔。

6. 使用排程工作視窗,將所建立的指令檔部署到裝置。

瞭解頻寬選項

當組態本機 Scheduler 指令時,您可以指定工作執行所需的最小頻寬條件。頻寬測

試由您所指定裝置的網路流量所組成。當到達工作執行的時間時,每個執行本機

Scheduler 工作的裝置都會向您指定的裝置傳送少量的 ICMP 網路流量並評估傳輸

效能。如果測試目標裝置無法使用,則該工作將不執行。

您可以選擇以下頻寬選項‥

• RAS‥當裝置到目標裝置的網路連線至少為 RAS 或撥接速度時,工作才會

執行,如透過網路 API 偵測到的一樣。一般來說,選擇此選項表示只要裝

置有任何網路連線,工作都會執行。

• WAN‥當裝置到目標裝置的連線至少為 WAN 速度時,工作才會執行。

WAN 速度定義為慢於 LAN 閾值的非 RAS 連線。

• LAN‥當裝置到目標裝置的連線超過 LAN 速度設定時,工作才會執行。預

設情況下,LAN 速度無論如何大於 262,144 bps。您可以在代理程式組態

(工具 | 組態 | 代理程式 | 組態,頻寬偵測頁面)中設定 LAN 閾值。變更在

您將更新組態部署到裝置後才生效。

223


使用者指南

使用軟體分發功能

本章說明如何使用 LANDesk Management Suite 對整個網路上的裝置分發軟體和檔

案。

閱讀本章後,您將瞭解以下內容‥

224

• 軟體分發概觀

• 瞭解套件類型

• 瞭解可用的傳送方法

• 設定傳送伺服器

• 組態用於軟體分發的 Windows 2003 Web 伺服器

• 分發套件

• 使用分發所有者和權限

• 關於檔案下載

• 更新套件雜湊值

• 在軟體分發中使用定向多點傳送

• 關於位元組等級檢查點重新啟動和動態頻寬節流設定

• 將軟體分發至 Linux 裝置

• 疑難排解分發失敗

軟體分發概觀

軟體分發使您能夠部署軟體和檔案套件至裝置,讓以下作業系統得以執行:

• Windows 95B/98SE

• Windows NT (4.0 SP6a 版和更高版本)

• Windows 2000/2003/XP

• Mac OS X 10.2.x. 和 10.3.x

• Linux RedHat 3.0(AS、ES 和 WS)

• Linux Suse 9.1

裝置要接收軟體分發套件必須安裝下列 LANDesk 代理程式:

• 標準的 LANDesk 代理程式 (前稱為 CBA)

• 軟體分發代理程式

軟體分發功能如下‥

• 多種 LANDesk Targeted Multicasting (TM) 功能,這些功能可大幅度地減少

向眾多使用者分發大型套件時使用的頻寬,而且不必重新組態專用的硬體或


LANDesk Security Suite 使用者指南

路由器

• 傳送方法可詳細控制工作完成的方式

• 簡便工作排程器與清單資料庫整合,使任務選擇作業更為輕鬆

• 用於每個部署工作的即時狀態報告

• 以原則為基礎的分發,也支援原則所支援的建立推式分發工作

• 分發至 Mac OS 9.22 與 Mac OS X 裝置

• 行動裝置支援,包含頻寬偵測、檢查點重新啟動和使用原則自動完成工作的

能力

• 功能豐富的套件建立幫手

• 具有分發任何套件類型包括 MSI、setup.exe 和其他安裝程式的能力

如果沒有任何現存套件想要部署,可以使用 Management Suite 的建立套件技術,

建立軟體安裝所需的獨立可執行程式。當有了套件之後,將套件儲存於名為「傳送

伺服器」的 Web 或網路伺服器中。藉由控制台,您可以使用排程工作視窗來排程

分發。核心伺服器使套件位置 (URL 或 UNC 路徑) 進行通訊到裝置,之後裝置將會

只複製檔案或需要從傳送伺服器取得的部分檔案。

例如,如果因軟體程式的某些檔案已損壞或遺失而要重新安裝該軟體,則系統將只

有複製已破壞或遺失的檔案,而不用複製整個程式。此項技術同樣也適用於 WAN

連結。可以在多個伺服器上儲存套件,然後排程裝置使用適合需求的伺服器 (即接

近位置、可用頻寬等等)。

軟體分發也可以繼續被中斷的套件下載。例如,如果行動裝置在下載較大套件的過

程中從網路中斷,一旦裝置重新連線之後,將會從中斷處繼續下載套件。

在 Management Suite,軟體分發包含以下主要步驟:

1. 建立或獲得軟體套件。軟體套件可以是一個以上的 MSI 檔案、可執行的檔

案、批次檔、Macintosh 套件、Linux RPM 套件或由 Management Suite

套件生成器所建立的套件。將套件放到傳送伺服器。

2. 建立分發套件(工具 | 分發 | 分發套件)。分發套件包括安裝特定軟體套件

所需的檔案和設定值,例如套件名稱、任何依存關係、必要條件和指令行參

數、安裝套件所需的附加檔案等。這些設定值儲存在資料庫中,並且建立一

個「分發套件」。在您建立一個分發套件後,資訊會儲存在資料庫中,而且

可輕易在多個工作中使用。

3. 建立傳送方法(工具 | 分發 | 傳送方法)。傳送方法定義如何將套件傳送到

裝置上。這些選項不會和特定分發套件相關聯。選項包括定向多點傳送和

「推」和 (或) 原則分發功能。請不要在每次分發套件時建立傳送方法。傳

送方法使您可以定義部署軟體的最佳方法。 理想狀態下,建立範本傳送方

法以便讓使用相同傳送方法的分發能夠重複使用。

4. 在「排程工作」視窗中排程分發作業 (工具 | 分發 | 排程工作)。在此指定分

發套件、傳送方法、需要接收分發套件的裝置和工作需要執行的時間。

5. 當排程時間出現,排程器服務將啟動排程工作處理程式,以使用傳送方法中

225


使用者指南

226

所選的選項來部署套件。 這些可能包括:

• 如果選擇多點傳送的傳送方法,則使用多點傳送。

• 如果選定推送傳送方法,服務會連絡各裝置上的軟體分發代理程式,

並通知它套件已經準備好進行安裝。

• 如果選擇原則基本傳送方法,則套件可下載。

6. 軟體分發代理程式從本機快取、網路上的對等設備或傳送伺服器中取得套

件,並在裝置上安裝或移除套件檔案以進行處理。

7. 套件執行後,軟體分發代理程式會將結果傳送至核心伺服器,核心伺服器再

將結果記錄在核心資料庫。

分發工作分成分發套件和傳送方法兩個部分以簡化分發過程。現在可以建立不受特

定套件支配的傳送方法範本。例如,可以建立預設定點多向傳送方法範本,不管何

時要多向傳送套件,都可以用範本傳送套件而不需要再重新組態分發套件或傳送方

法。

如果組織裡建立套件和分發套件是由不同的人處理,那麼這些改變將有助於簡化作

業角色和工作分配。套件建立者和套件傳送者可以獨立工作。

瞭解套件類型

軟體分發支援下列套件類型:

SWD 套件

這些套件是由 Management Suite 套件生成器所建構 (分開安裝)。有關詳細資訊,請

參閱建立套件。

MSI

這些是以 Windows Installer 格式化的套件。需要用第三方工具去建立 MSI 套件。

這些套件包含主要的 .MSI 檔案,並且可以包括支援檔案和轉換。轉換自訂安裝

MSI 套件的方法。如果 MSI 套件包含多個檔案,請確定將所有檔案都加入分發套

件對話方塊。

可執行程式

要獲取軟體分發使用的可執行套件,必須符合以下條件:

• 安裝完成前可執行程式不能退出。

• 可執行程式返回零 (0) 表示成功安裝。


LANDesk Security Suite 使用者指南

只要可執行程式符合這兩個條件,任何可執行程式都可用來安裝套件。可以包括用

於可執行套件的其他檔案。

批次檔案

批次檔案套件是以 Windows 批次檔案為基礎。 可以包括用於這些分發套件的其他

檔案。當批次檔案執行完成,批次檔案套件的成功完成狀態是以錯誤層級系統環境

變數值為基礎。

Macintosh

儘管 Management Suite 不會下載目錄,但可以下載 Macintosh 檔案。安裝套件

(.PKG) 可以包含各種目錄。必須對檔案進行壓縮。如果已下載檔案的副檔名

為 .SIT、.ZIP、.TAR、.GZ、.SEA 或 .HQX,則 Management Suite 先解壓縮檔案再

返回。(使用者應確保 Stuffit Expander* 已停用其檢查新版本選項;否則出現的對話

方塊可能會中斷指令檔執行。)

Linux RPM

這些套件格式為 Linux RPM。這些套件必須儲存在 Web 共用目錄裡,以便 Linux

RPM 分發使用。

瞭解可用的傳送方法

軟體分發提供下列傳送方法:

• 推式分發:套件可能被多點傳送到受管理裝置。核心伺服器隨後在受管理

裝置上啟動套件安裝。

• 原則:核心伺服器使得套件可下載。當受管理裝置檢查可用原則時,套件

將被返回。視原則類型而定,裝置可以自動安裝套件或讓使用者可以使用套

件以在想要的時候進行安裝。

• 支援原則的推式分發:結合了推式分發和原則模式。首先,軟體分發嘗試

在目標清單中的所有裝置上安裝套件。如此一來,您可以使用定向多點傳送

進行初始化部署。接下來,任何沒有套件或之後變成目標清單 (如果是動態

目標清單) 一部份的裝置,會在裝置上以原則為基礎的管理代理程式要求套

件時收到它。

• 多點傳送 (僅快取):將套件多點傳送至目標裝置,確保在受管理裝置上無其

他動作執行。 結果是套件在受管理裝置上被本機快取。使用此選項可將套

件多點傳送至每一個多點傳送網域上的一些裝置。您可以接著建立使用對

等下載 (只從快取或對等裝置安裝) 選項的工作。這能讓您調節用於分發的

網路頻寬,使它不至於跨越多點傳送網域。

227


使用者指南

軟體分發核心伺服器元件

軟體分發的以下元件執行於或駐留在核心伺服器上‥

228

LANDesk 排程工作處理程式:此程式 (ScheduledTaskHandler.exe) 是由

Scheduler 服務啟動,會開始分發作業。

LANDesk Scheduler 服務:控制台在資料庫中儲存關於排程作業的資訊。

Scheduler 服務 (SCHEDSVC.EXE) 監視資料庫中的資訊,以此決定工作何時

執行。

• 分發套件:當您在分發套件視窗中選擇軟體分發套件時,它會在資料庫中

儲存此定義。此定義由 Management Suite 用於建立要傳送至裝置的指令,