強調資產管理、服務管理與系統管理等功能,是LANDesk旗下軟體的特色,而LANDesk Security Suite(LDSS)是當中功能較偏重資訊安全防護的產品。

它內建的基本管理功能,和另一套LANDesk Management Suite是共通的(連安裝程式、伺服器分散式架構也一樣),因此具有相同的內部網路裝置的探勘(Discovery)、資產管理,以及報表、儀表板。

LDSS所支援的安全功能,涵蓋的面向相當廣,幾乎囊括了目前所有的端點安全技術。像是:對於間諜軟體等惡意程式的阻擋與移除,網路端的防護則支援主機入侵防禦(HIPS)、個人防火牆、802.1x的網路存取控制(Network Access Control,NAC),以及應用程式執行列管、周邊裝置控管,同時,搭配系統弱點與修補程式的管理與強制落實、系統安全設定的管理。

這套產品的費用上,核心伺服器和管理主控臺的授權不計價,只算個人端的授權;不過要注意的是,若要啟用LANDesk Antivirus和Network Access Control功能,需另外付授權的費用。

支援3大作業系統平臺

LDSS能控管的電腦作業環境相當多元,同時支援早期和最新的作業系統版本與11種多國語言環境(包括正體中文)。例如個人端可以管理安裝Windows 95的電腦,一直到去年發表的Windows 7,伺服器端則是從Windows 2000 Server,一直含蓋到最新的Windows Server 2008 R2;Linux可支援Red Hat和Novell SUSE的商用版本,以及Ubuntu;這套系統也可以控管MacOS 10.3~10.5與HP-UX 11/11i。

在修補程式的管理上,LDSS支援的範圍同樣相當廣泛,目前可以針對25種應用程式的定義與20種語言的更新,來進行管理。

以應用程式的部分來說,LDSS幾乎涵蓋了現有個人電腦與伺服器端常見的作業系統,例如微軟Windows、Apple,與Red Hat、SUSE等Linux,Solaris、IBM AIX、HP-UX等Unix的系統弱點修補程式,以及Symantec、趨勢等7大防毒軟體定義檔,還有Intel與Dell、聯想ThinkVantage等系統廠商的軟體。

整合HIPS與個人防火牆

至於HIPS,LDSS搭配的是LANDesk自己的產品,管理者可透過它禁止可能影響系統安全的應用程式執行,並且針對緩衝區溢位(Buffer Overflow)的狀況加以防護,甚至可以啟用應用程式白名單的機制,只讓個人端電腦執行經過認可的軟體。

一般HIPS啟用時,最怕遇到系統誤擋正常應用程式的狀況,LANDesk的HIPS則提供4種保護模式來因應,預設是用自動阻擋,可同時搭配5天以內的觀察學習與記錄違規;或者是針對一部分員工電腦,先設定成持續觀察學習應用模式的行為,甚至進一步設限,只觀察那些獲准執行應用程式的電腦;若只是想要監控應用程式的行為,則可以設成讓系統單純記錄違規的執行方式;如果電腦的執行環境已經完全確認,日後也不需要變更,則可以設定成完全阻擋模式,此時除了無法執行政策不允許的應用程式,系統也不記錄相關事件。

整體而言,LANDesk HIPS執行防護所根據的資料庫,是從每臺電腦的使用環境中去收集、建立,並由管理者來維護。

LDSS也提供個人防火牆功能,從管理主控臺來設定LANDesk Firewall的保護模式時,選項和HIPS完全一樣,都是4種,而且名稱也相同,不過它提供了「應用程式」的允許執行清單與連線規則的設定介面。相較之下,HIPS則是針對「檔案」,並且預設了11條保護規則──因為檔案的控管也涵蓋到執行檔,所以這裡也能做到一定程度的的應用程式控管,原廠也用這些設定,來示範如何限制JScript和VBScript執行。

內建周邊裝置控管

這套產品的端點防護功能中,也涵蓋到對於個人端電腦的周邊裝置控管,LDSS的管理上分成11種裝置與8種存取介面等兩大項,若要全面加以禁用,可以逐一勾選;至於無線網路(需為802.11x的網路)與CD/DVD光碟機的存取,則獨立於上述兩項之外,讓管理者另外勾選。

若需針對周邊裝置所讀寫的檔案內容加以稽核,管理者可以啟動陰影複製(Shadow Copy)的內容側錄功能,並且設定在個人端電腦本機存放這些資料的位置、容量與保留天數。若擔心側錄檔案佔用太多空間或網路頻寬,可以只記錄違規存取的事件。

比較特殊的地方是,所有周邊裝置儲存空間的資料讀寫權限,在LDSS的周邊控管中是統一設定的,包含完全授權、唯讀與禁用,也可以設定成強制以AES 256位元的方式加密,使用者日後要在相同的周邊裝置上存取檔案時,需輸入密碼驗證。當「強制加密」選定後,LANDesk加密工具會自動複製到USB隨身碟,以便使用者在其他電腦,以該工具存取副檔名為LDZ的加密檔案。

 

內建周邊裝置控管

LDSS的周邊裝置控管,可以禁用智慧型手機、軟碟機與指紋辨識器等裝置,以及個人端電腦目前所內建的各種連接埠。

 

整合LANDesk HIPS的端點防護設定

HIPS內建多項關於檔案的保護規則,除了防止LANDesk的個人端重要的系統程式或設定檔遭竄改,也能擋下異常行為,例如植入與執行FTP程式和寄電子郵件,或是濫用系統Script,執行非法作業。

 

可選購LANDesk防毒軟體

LDSS可加購OEM自Kaspersky的個人端防毒套件軟體。

 

部署在個人端的端點安全程式

LANDesk的端點安全程式包含HIPS、個人防火牆、周邊裝置控管等功能,而且可以設定成自動學習、背景記錄或強制阻擋。

 


產品資訊
建議售價●每個用戶端3,160元ˉ原廠●LANDeskˉ原廠網址●www.landesk.comˉ電話●(02)2731-1799ˉ核心伺服器硬體需求●Intel Xeon處理器、4GB記憶體、72GB硬碟空間ˉ作業系統需求●Windows Server 2003 SP1(32位元)/2008 R2ˉ資料庫需求●SQL Server 2005/2008、Oracle 10g/11g

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容