Новое средство "Конфигурация системы безопасности" (Security
Configurations) имеет удобное единое окно, в котором можно
создавать конфигурации для нескольких компонентов и служб
LANDesk Security
Suite и соответствующие задачи развертывания, а также
управлять ими.
Конфигурации (или настройки) безопасности управляют работой
служб безопасности на управляемых устройствах. Службы безопасности
и соответствующие настройки можно развернуть на управляемых
устройствах в рамках начальной настройки агента, отдельных задач
установки или обновления или задач изменения настроек.
Средство "Конфигурации безопасности" (Security Configurations)
позволяет управлять настройками для следующими служб
безопасности:
Антивирус
Брандмауэр Windows
Endpoint Security (HIPS, брандмауэр LANDesk,
управление устройствами
Настройка предупреждений для безопасности
Коды авторизации
Можно также выполнять задачи компонентов безопасности, описанные
в данной главе.
ВАЖНО:Требуется
разрешение группы LANDesk Script Writers
Для создания запланированных задач и политик в утилите исправлений
и проверки соответствия и утилите конфигурации безопасности (задачи
сканирования системы безопасности и проверки соответствия, задачи
исправления и задачи изменения настроек) пользователю необходимо
разрешение группы LANDesk Script Writers. Другими словами, он
должен входить в группу, которой назначено разрешение LANDesk
Script Writers. Для получения дополнительной информации о ролевом
администрировании см. раздел Ролевое администрирование.
Использование средства
конфигурации безопасности
Средство "Конфигурации безопасности" (Security Configurations)
предоставляет удобный единый интерфейс, в котором можно управлять
настройками и задачами для нескольких компонентов и служб
безопасности.
Следующие действия предоставляют общий краткий обзор типовых
процессов или задач, вовлеченных в антивирусную защиту сети с
помощью LANDesk Antivirus. Подробное описание каждой из указанных
процедур см. в разделе Антивирус LANDesk.
Настройки безопасности по умолчанию для устройства
развертываются в рамках начальной настройки агента. В определенной
ситуации может потребоваться изменить эти настройки по умолчанию
для отдельных устройств. Средство "Конфигурации безопасности"
(Security Configurations) позволяет сделать это без необходимости
повторного развертывания полностью новой и полной конфигурации
агента.
Для этого щелкните задачу Изменить настройки (Change
settings) в меню кнопки панели инструментов Создать задачу
(Create a task).
Отображаемое диалоговое окно позволяет ввести для задачи
уникальное имя, указать, является ли эта задача или политика
запланированной, а также выбрать существующую настройку в качестве
используемой по умолчанию или использовать кнопку "Изменить" (Edit)
для создания новой настройки в качестве используемой по умолчанию
для целевых устройств.
Информация о
диалоговом окне "Создание задачи изменения настроек"
Используйте это диалоговое окно для создания и настройки задачи,
которая изменяет настройки по умолчанию на целевых устройствах для
компонентов Endpoint Security.
Такая задача изменения настроек позволяет изменить настройки по
умолчанию управляемых устройств (записанные в локальном реестре
устройства) без необходимости повторного развертывания полной
конфигурации агента.
В этом диалоговом окне находятся следующие параметры:
Имя задачи (Task name): Позволяет ввести
уникальное имя, идентифицирующее задачу.
Создать запланированную задачу (Create a scheduled
task): Добавляет задачу в окно запланированных задач, где для
нее можно настроить параметры расписания и повторения, а также
назначить целевые устройства.
Создать политику (Create a policy): Добавляет
задачу в качестве политики в окно запланированных задач, где можно
настроить параметры политики.
Тип (Type): Идентификация компонента
безопасности.
Endpoint Security: Указание настроек Endpoint
Security, сопоставленных с данной конкретной задачей изменения
настроек. Помните о том, что, хотя Endpoint Security представляет
собой отдельный агент, развертываемый на целевых устройствах, он
предоставляет службы для нескольких компонентов безопасности,
включая службу "Информация о местоположении" (Location awareness)
(сетевые подключения), HIPS, "Брандмауэр LANDesk" (LANDesk
Firewall) и "Управление устройствами" (Device Control). Выберите
настройки, которые нужно развернуть на целевых устройствах,
измените существующую настройку, выбрав необходимые настройки и
щелкнув Изменить (Edit), или создайте новые настройки,
щелкнув Конфигурация > Создать (Configure > New).
Антивирус (Antivirus): Указание настроек
антивируса для задач сканирования антивируса. Настройки антивируса
определяют отображение значка LANDesk Antivirus на панели задач
системы, доступность интерактивных параметров конечным
пользователям, использование сканирования электронной почты и
защиты в режиме реального времени, типы файлов для сканирования,
файлы и папки для выполнения, карантин зараженных файлов и
резервное копирование, запланированные сканирования антивируса и
запланированные обновления файлов определений вирусов. Выберите
одну из настроек в списке. Щелкните Изменить (Edit), чтобы
изменить параметры для выбранных настроек. Щелкните
Настроить (Configure), чтобы создать новые настройки.
Дополнительные сведения см. в разделе Информация о диалоговом окне "Настройки
антивируса LANDesk" (LANDesk Antivirus settings).
Брандмауэр Windows (Windows Firewall): Задание
настроек брандмауэра Windows на целевых устройствах. Можно включить
и отключить брандмауэр и задать его настройки, включая исключения,
правила входящего и исходящего трафика (для служб, портов,
программ).
Информация о
диалоговом окне "Задание настроек компонентов безопасности"
Используйте это диалоговое окно для управления настройками
компонентов безопасности. Это диалоговое окно совместно
используется несколькими компонентами безопасности, так как
содержит общие параметры управления.
После задания настройки Agent Watcher можно применить к
управляемым устройствам через конфигурацию агента или задачу
изменения настроек.
В этом диалоговом окне находятся следующие параметры:
Создать (New): Открытие диалогового окна, в
котором можно настроить различные параметры.
Правка (Edit): Открытие диалогового окна, в
котором можно изменить выбранные настройки.
Копировать (Copy): Открытие копии выбранной
настройки в качестве шаблона, который затем можно изменить и
переименовать. Это удобно, когда требуется внести небольшие
поправки в настройки и сохранить их для определенной цели.
Удалить (Delete): Удаление выбранной настройки
из базы данных. (Обратите внимание на то, что выбранные настройки
могут быть сопоставлены с одной или несколькими задачами или одним
или несколькими управляемыми устройствами. Если вы выбрали удаление
настройки, устройства с этой настройкой продолжают использовать ее
до развертывания новой задачи изменения настроек; запланированные
задачи с этой настройкой, как и задачи локального планировщика с
этой настройкой, продолжают выполняться на целевых устройствах до
развертывания новой конфигурации.)
Использовать выбранное (Use selected):
Использование для задачи настроек, выбранных в данный момент
времени.
Закрыть (Close): Закрытие диалогового окна без
применения настроек к задаче.
Создание задач установки или
обновления компонентов безопасности
Если необходимо установить или обновить компоненты безопасности,
это можно сделать с помощью отдельной задачи.
Для создания задачи установки или обновления компонентов
безопасности
В консоли щелкните Сервис > Безопасность >
Конфигурации безопасности (Tools > Security > Security
Configurations).
Щелкните кнопку Создать задачу (Create a task)
на панели инструментов, а затем щелкните Установить/обновить
компоненты безопасности (Install/Update security
components).
Введите имя задачи.
Укажите, относится ли установка к запланированным
задачам, задачам на основе политик или к обоим этим типам.
Выберите компонент для установки. Можно создать новую
настройку или изменить существующую, щелкнув Настроить
(Configure).
Если требуется отобразить процесс установки в
диалоговом окне сканера безопасности на целевых устройствах,
выберите Отобразить диалоговое окно хода выполнения на
клиенте (Show progress dialog on client).
Выберите настройку сканирования и восстановления в
списке, чтобы применить конфигурацию перезагрузки (только) к
создаваемой конфигурации агента. Можно создать новую настройку или
изменить существующую, щелкнув Настроить (Configure).
Помните о том, что только параметры перезагрузки, указанные
в выбранных настройках сканирования и восстановления, используются
в развертывании агента Endpoint Security на целевых устройствах в
рамках конфигурации данного агента. Можно использовать существующие
настройки сканирования и восстановления, уже включающие в себя
требуемую конфигурацию перезагрузки, или можно создать полностью
новые настройки сканирования и восстановления специально для
развертывания агента.
Щелкните OK.
Информация о диалоговом
окне "Задача установки или обновления компонентов
безопасности"
Используйте данное диалоговое окно для создания и настройки
задачи, которая устанавливает компоненты безопасности (через общий
агент Endpoint Security) на целевых устройствах, на которых эти
компоненты отсутствуют, или обновляет существующую версию
компонентов безопасности на целевых устройствах.
ПРИМЕЧАНИЕ: Установка
выполняется сканером безопасности.
Эта задача позволяет выполнить развертывание и обновление
компонентов безопасности (и соответствующих настроек) управляемых
устройств без необходимости повторного развертывания полной
конфигурации агента.
В этом диалоговом окне находятся следующие параметры:
Имя задачи (Task name): Позволяет ввести
уникальное имя, идентифицирующее задачу.
Создать запланированную задачу (Create a scheduled
task): Добавляет задачу в окно запланированных задач, где для
нее можно настроить параметры расписания и повторения, а также
назначить целевые устройства.
Создать политику (Create a policy): Добавляет
задачу в качестве политики в окно запланированных задач, где можно
настроить параметры политики.
Компоненты безопасности для установки (Security
components to install): Указание компонентов безопасности для
установки с использованием данной задачи. Щелкните компонент для
установки. Щелкните столбец Настройки (Settings), чтобы
выбрать существующую настройку. Щелкните Изменить (Edit),
чтобы изменить параметры для выбранных настроек. Щелкните
Настроить (Configure), чтобы создать новые настройки.
Отобразить диалоговое окно выполнения на клиенте
(Show progress dialog on client): Настройка отображения
индикатора хода выполнения установки на целевых устройствах в
диалоговом окне сканера безопасности.
Удалить существующий антивирусный агент (Remove
existing antivirus agent): Атоматическое удаление другого
антивирусного ПО, которое может быть установлено на устройствах,
перед установкой LANDesk Antivirus (см. ниже). (ПРИМЕЧАНИЕ.
Кроме того, существующее антивирусное ПО можно удалить с
управляемых устройств при выполнении начальной настройки
агента.)
Настройки сканирования и восстановления (только
перезагрузка) (Scan and repair settings (reboot only)):
Указание настроек сканирования и восстановления, сопоставленных с
данной конкретной установкой. Задача будет использовать ТОЛЬКО
параметры перезагрузки для выбранных настроек сканирования и
восстановления, определяющие требования к перезагрузке и действия,
выполняемые на целевых устройствах во время установки.
Список сторонних антивирусных продуктов, доступных для
автоматического удаления
Если необходимо удалить компоненты безопасности с управляемых
устройств, это можно сделать с помощью отдельной задачи из
консоли.
Для создания задачи удаления компонентов безопасности
В консоли щелкните Сервис > Безопасность >
Конфигурации безопасности (Tools > Security > Security
Configurations).
Щелкните кнопку Создать задачу (Create a task)
на панели инструментов, а затем щелкните Удалить компоненты
безопасности (Remove security components).
Введите имя задачи.
Укажите, относится ли установка к запланированным
задачам, задачам на основе политик или к обоим этим типам.
Выберите компонент для удаления.
Если требуется отобразить процесс установки в
диалоговом окне сканера безопасности на целевых устройствах,
выберите Отобразить диалоговое окно хода выполнения на
клиенте (Show progress dialog on client).
Выберите настройку сканирования и восстановления в
списке, чтобы применить конфигурацию перезагрузки к создаваемой
задаче. Можно создать новую настройку или изменить существующую,
щелкнув Настроить (Configure). Задача будет использовать
ТОЛЬКО параметры перезагрузки для выбранных настроек сканирования и
восстановления, определяющие требования к перезагрузке и действия,
выполняемые на целевых устройствах во время удаления агента.
Щелкните OK.
Информация о диалоговом
окне "Задача удаления компонентов безопасности"
Используйте это диалоговое окно для создания и настройки задачи,
которая удаляет компоненты безопасности с целевых устройств.
В этом диалоговом окне находятся следующие параметры:
Имя задачи (Task name): Позволяет ввести
уникальное имя, идентифицирующее задачу.
Создать запланированную задачу (Create a scheduled
task): Добавляет задачу в окно запланированных задач, где для
нее можно настроить параметры расписания и повторения, а также
назначить целевые устройства.
Создать политику (Create a policy): Добавляет
задачу в качестве политики в окно запланированных задач, где можно
настроить параметры политики.
Компоненты безопасности для удаления (Security
components to remove): Указание компонентов безопасности для
удаления с использованием данной задачи. Выберите компонент для
удаления.
Отобразить диалоговое окно выполнения на клиенте
(Show progress dialog on client): Настройка отображения
индикатора хода выполнения удаления агента с целевых устройств в
диалоговом окне сканера безопасности.
Настройки сканирования и восстановления (только
перезагрузка) (Scan and repair settings (reboot only)):
Указание настроек сканирования и восстановления, сопоставленных с
данной конкретной задачей удаления агента. Задача будет
использовать ТОЛЬКО параметры перезагрузки для выбранных настроек
сканирования и восстановления, определяющие требования к
перезагрузке и действия, выполняемые на целевых устройствах во
время удаления агента.
Создание задач LANDesk
Antivirus
Средство LANDesk Antivirus описано в отдельном разделе.
Подробное описание задач антивируса см. в разделе Антивирус LANDesk.
Конфигурация настроек
предупреждений
Можно настроить предупреждения безопасности, чтобы можно было
получать уведомления при обнаружении определенных событий на
управляемых устройствах в системе. В Security Antivirus
используется стандартное средство предупреждений LANDesk.
В диалоговом окне настроек предупреждений находятся параметры
как для предупреждений о уязвимостях, так и для предупреждений
антивирусной системы.
Предупреждения антивирусной системы
Настройки предупреждений антивирусной системы находятся на
вкладке Антивирус (Antivirus) диалогового окна Настройки
предупреждений (Alert settings).
Прежде всего необходимо настроить предупреждения антивирусной
системы в средстве "Настройки предупреждений" (Alert Settings) в
консоли. Предупреждения антивирусной системы могут обозначать
следующее:
Сбой при выполнении антивирусного действия, для
которого задано предупреждение
Успешное выполнение антивирусного действия, для
которого задано предупреждение
Предупреждение об обнаружении вируса (для каждого из
вирусов)
Предупреждения антивирусной системы могут быть вызваны
следующими событиями:
Ошибка удаления вируса
Успешное удаление вируса
Ошибка при помещении в карантин
Успешное помещение в карантин
Ошибка удаления
Успешное удаление
Выберите предупреждения, которые должны выдаваться. Параметр
временного интервала позволяет предотвратить получение слишком
большого числа предупреждений. Все дополнительные предупреждения
(для любого антивирусного триггера) за указанный временной интервал
игнорируются.
Полный журнал предупреждений антивирусной системы для устройства
можно просмотреть в диалоговом окне "Информация о безопасности и
исправлениях" (Security and Patch Information). Щелкните устройство
правой кнопкой мыши, выберите Информация о безопасности и
исправлениях (Security and Patch Information), выберите тип
антивируса в списке Тип (Type), а затем выберите объект
"Журнал антивирусной системы" (Antivirus History).
Используйте это диалоговое окно для создания кода авторизации,
который позволяет конечному пользователю выполнять заблокированную
операцию в течение небольшого периода времени. Код авторизации
можно использовать для предоставления временного доступа
конкретному пользователю или ИТ-администратору к управляемому
устройству.
Например, если пользователь пытается подключить устройство USB,
которое запрещено в настройках "Управление устройствами" (Device
Control), на устройстве конечного пользователя отображается
всплывающее сообщение с кодом операции. Пользователь предоставляет
этот код администратору, использующему код операции для генерации
кода авторизации, который возвращается конечному пользователю. Все
это позволяет временно разрешить выполнение требуемого
действия.
Для генерации кода авторизации
В средстве Конфигурации безопасности (Security
Configurations) щелкните кнопку Общие настройки (Common
settings) на панели инструментов и выберите Сгенерировать код
авторизации (Generate authorization code).
Введите код операции, предоставленный конечным
пользователем.
Если код операции верен, выполняется автоматическая
генерация кода авторизации.
Введите тип операции, которую хочет выполнить
конечный пользователь.
Предоставьте конечному пользователю новый код
авторизации. Пользователь вводит его при отображении запроса, чтобы
выполнить заблокированную операцию.
ВНИМАНИЕ:Некорректное всплывающее сообщение
Когда доступ пользователю предоставляется с помощью кода
авторизации, всплывающее сообщение на устройстве конечного
пользователя может указывать на то, что компонент предотвращение
нарушения доступа к узлу (HIPS) отключен независимо от конкретного
действия, выполненного пользователем. Это сообщение можно
проигнорировать.
Использование настроек брандмауэра
Windows
Средство "Конфигурации безопасности" (Security Configurations)
также позволяет создавать, настраивать и развертывать настройки
брандмауэра Windows для управления брандмауэром Windows на целевых
устройствах.
Правой кнопкой мыши щелкните Брандмауэр
Windows (Windows Firewall), выберите Создать (New),
выберите требуемую платформу Windows, а затем щелкните
ОК.
После настройки можно выполнить развертывание настроек на
целевые устройства с помощью задачи установки или обновления или
задачи изменения настроек.
Информация о диалоговом
окне "Создание настроек брандмауэра Windows"
Используйте это диалоговое окно для задания настроек брандмауэра
Windows. Настройки брандмауэра Windows сопоставлены с задачей
изменения настроек для включения/выключения брандмауэра и задания
настроек брандмауэра, включая исключения, правила входящего и
исходящего трафика (для служб, портов, программ).
Эту функцию можно использовать, чтобы выполнить развертывание
конфигурации для брандмауэра Windows на следующих версиях
операционной системы Windows:
Windows 2003
Windows XP (с пакетом обновления 2 или более
позднюю)
Windows Vista
Информация о
брандмауэре Windows (XP/2003): страница "Общие" (General)
Используйте эту страницу для определения общих настроек
брандмауэра.
Информация о
брандмауэре Windows (XP/2003): страница "Исключения"
(Exceptions)
Используйте данную страницу для настройки исключений
брандмауэра.
В этом диалоговом окне находятся следующие параметры:
Текущие исключения (Current exceptions):
Список программ, портов и служб, подключения/соединения которых
не блокируются брандмауэром. Брандмауэр предотвращает
несанкционированный доступ ко всем устройствам, кроме указанных в
данном списке.
Добавить программу (Add program): Добавление в
список исключений конкретной программы для обеспечения
взаимодействия.
Добавить порт (Add port): Добавление в список
исключений конкретного порта для обеспечения взаимодействия.
Правка (Edit): Изменение свойств выбранного
исключения, включая область затронутых устройств.
Удалить (Delete): Удаление выбранного
исключения из списка.
ОК: Сохраняет изменения и закрывает диалоговое
окно.
Отмена (Cancel): Закрывает диалоговое окно без
сохранения изменений.
Определения угроз безопасности брандмауэра Windows
LANDesk Security предоставляет предопределенные определения
угроз безопасности, которые позволяют проводить сканирование,
обнаружение и конфигурирование настроек брандмауэра на управляемых
устройствах, на которых запущены конкретные платформы Windows.
Указанные ниже определения угроз безопасности позволяют выполнить
сканирование настроек брандмауэра и изменить их:
ST000102: Определение угрозы безопасности для
брандмауэра Windows в Windows 2003 и Windows XP.
ST000015: Определение угрозы безопасности для
брандмауэра подключения к Интернету в Windows 2003 и Windows
XP.
Свойства определений угроз безопасности Windows включают в себя
настраиваемые переменные, которые позволяют задавать настройки
брандмауэра Windows. Эти определения угроз безопасности можно
использовать для сканирования заданных настроек и возврата условия
наличия уязвимости, если такие настройки найдены. Затем можно
использовать настроенное определение в задаче исправления, чтобы
включить или выключить брандмауэр, а также изменить или
переконфигурировать настройки брандмауэра на сканируемом
устройстве.
Информация о
брандмауэре Windows (Vista): Страница "Общие правила" (General
rules)
Используйте данную страницу для настройки общих правил
брандмауэра.
Информация
о брандмауэре Windows (Vista): "Правила входящего трафика" (Inbound
rules)
Используйте данную страницу для настройки правил входящего
трафика брандмауэра.
Информация
о брандмауэре Windows (Vista): "Правила исходящего трафика"
(Outbound rules)
Используйте данную страницу для настройки правил исходящего
трафика брандмауэра.