【正文】 圖 13 客戶端注冊信息查看. 客戶端代理反卸載及管理員聯(lián)機(jī)卸載UniAccessTM代理具有自我保護(hù)功能，可以防止客戶端用戶隨意卸載、停止代理或者刪除代理的安裝目錄下文件。. 未安裝殺毒軟件客戶端報(bào)警UniAccessTM主機(jī)安全漏洞檢測功能可以檢查終端設(shè)備是否存在安全漏洞，包括指定版本的防病毒軟件是否安裝、防病毒軟件的病毒特征庫是否為最新的。圖 16 事件處理預(yù)案定義界面管理員可以定義告警事件發(fā)生時(shí)應(yīng)該按什么流程來處理告警事件，如Email通知、短信通知、Message通知、通知到客戶端代理，也可以與防火墻、網(wǎng)絡(luò)交換機(jī)進(jìn)行聯(lián)動(dòng)控制客戶端。當(dāng)終端用戶新增、卸載一個(gè)硬件配置或者軟件式，UniAccessTM系統(tǒng)會記錄詳細(xì)配置變更信息，包括什么時(shí)間、哪個(gè)終端設(shè)備、哪個(gè)用戶、變更的配置項(xiàng)、變化前的配置、變化后的配置。管理員可以從終端設(shè)備的詳細(xì)信息界面看到該終端的配置歷史變化過程，如下圖所示。圖 21 客戶端代理安裝檢測策略. 客戶端組件在線升級UniAccessTM支持客戶端代理在線升級，管理員可以配置升級策略，定時(shí)間、定范圍地升級客戶端代理，并可以查看到代理升級結(jié)果。. Web方式客戶端注冊UniAccessTM采用web方式進(jìn)行客戶端注冊。UniAccessTM探測器模塊的URL重定向界面如下圖所示。下圖為UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制的重定向配置界面。UniAccessTM的權(quán)限分配是基于用戶組的，即為每個(gè)用戶組分配權(quán)限，然后將設(shè)置管理員屬于哪個(gè)用戶組。為了避免偶然峰值引起誤報(bào)，如拷貝大文件，UniAccessTM可以統(tǒng)計(jì)連續(xù)多個(gè)采用周期的平均值來判斷。并且可以按照時(shí)段、IP地址等進(jìn)行查詢。圖 28 客戶端安全漏洞掃描. 軟件許可監(jiān)控（黑白名單）UniAccessTM可以通過白名單、黑名單方式定義違禁軟件，這些違禁軟件被運(yùn)行時(shí)可以產(chǎn)生告警事件通知管理員，或者直接禁止違禁軟件的使用。UniAccessTM支持三種方式來定義違禁軟件：（1）通過進(jìn)程名來定義，即軟件運(yùn)行后為指定進(jìn)程名的即為違禁軟件（可以指定進(jìn)程文件的執(zhí)行路徑）；（2）通過安裝軟件名稱；（3）通過安裝目錄。. 非授權(quán)外連UniAccessTM的非授權(quán)外連審計(jì)功能實(shí)現(xiàn)對非授權(quán)外連方式的審計(jì)和控制，包括USB大容量硬盤、Modem撥號、GPRS無線上網(wǎng)卡、CDMA無線上網(wǎng)卡、紅外、藍(lán)牙、光驅(qū)、軟驅(qū)、雙網(wǎng)卡等。. 終端的網(wǎng)絡(luò)訪問行為審計(jì)與控制UniAccessTM的網(wǎng)絡(luò)行為審計(jì)功能實(shí)現(xiàn)終端用戶上網(wǎng)行為審計(jì)和控制，包括：（1） 通過白名單和黑名單，審計(jì)和控制web網(wǎng)站的訪問，可以禁止終端用戶訪問一些非法web網(wǎng)站；（2） 通過白名單和黑名單，審計(jì)和控制通過POP3和SMTP服務(wù)器收發(fā)郵件，可以禁止終端用戶通過外部郵箱收發(fā)郵件；（3） 對文件拷貝進(jìn)行審計(jì)和控制；（4） 對MSN、等聊天軟件的使用進(jìn)行審計(jì)和控制，可以禁止某個(gè)時(shí)間段內(nèi)使用這些聊天工具；（5） 對BT、電驢等P2P軟件的使用進(jìn)行審計(jì)和控制，可以禁止這些P2P軟件的使用。. 報(bào)表和數(shù)據(jù)備份管理員可以在UniAccessTM管理界面上查詢到設(shè)置的安全策略信息和所有安全漏洞信息，包括：設(shè)置的安全策略信息、終端安全漏洞信息、網(wǎng)絡(luò)異常審計(jì)信息、非授權(quán)外來信息（USB存儲設(shè)備、Modem、無線上網(wǎng)卡、無線網(wǎng)卡、紅外、藍(lán)牙、雙網(wǎng)卡等）、網(wǎng)絡(luò)行為審計(jì)信息（上網(wǎng)行為、Email、文件拷貝、聊天、BT/電驢下載）、設(shè)備接入審計(jì)信息。下圖是UniAccessTM數(shù)據(jù)備份工具界面，它提供完整數(shù)據(jù)備份。當(dāng)U盤接入到客戶端時(shí)，UniAccessTM會判斷該U盤是可以被讀、被寫還是不可以接入到客戶端，同時(shí)控制用戶對U盤的操作。. MSN/文件外傳控制UniAccessTM能夠?qū)ψ烂娼K端用戶使用MSN/等進(jìn)行監(jiān)控和管理，禁止其通過/MSN外傳文件。. WebMail方式外傳控制通過UniAccessTM提供的Web訪問控制，可以限制桌面終端用戶通過WebMail方式外傳文件。此外，通過Agent所提供的雙向防火墻功能，可以防止通過FTP方式外傳文件。. 補(bǔ)丁測試UniAccessTM支持補(bǔ)丁測試機(jī)制。圖 32 補(bǔ)丁信息. 客戶端用戶手工安裝補(bǔ)丁UniAccessTM客戶端會向終端用戶顯示本機(jī)有哪些補(bǔ)丁未安裝以及這些補(bǔ)丁的詳細(xì)信息，如下圖所示。管理員可以為某類微軟產(chǎn)品如Windows 2000操作系統(tǒng)定義自動(dòng)分發(fā)與安裝策略，策略內(nèi)容包括需要升級的補(bǔ)丁級別、補(bǔ)丁分發(fā)時(shí)間、補(bǔ)丁安裝方式、是否需要管理員確認(rèn)、補(bǔ)丁分發(fā)的目的機(jī)器范圍、分發(fā)采用的中繼設(shè)備、補(bǔ)丁下載的最大流量等。UniAccessTM還允許管理員為某個(gè)補(bǔ)丁定義自動(dòng)分發(fā)與安裝策略，此時(shí)UniAccessTM在策略目標(biāo)范圍內(nèi)檢查終端設(shè)備是否安裝了該補(bǔ)丁，對于未安裝的終端設(shè)備，在指定時(shí)間內(nèi)將補(bǔ)丁主動(dòng)推下去進(jìn)行安裝。管理員為某個(gè)軟件分發(fā)任務(wù)設(shè)置的應(yīng)用范圍可以是IP地址范圍、網(wǎng)段、部門、某類設(shè)備、某類操作系統(tǒng)等。下圖是軟件分發(fā)任務(wù)執(zhí)行統(tǒng)計(jì)信息，包括目標(biāo)設(shè)備總數(shù)、安裝成功的設(shè)備總數(shù)、安裝失敗的設(shè)備總數(shù)、下載失敗的設(shè)備總數(shù)、未安裝的設(shè)備數(shù)。管理員通過UniAccessTM的web管理界面可以直接登錄到遠(yuǎn)程終端，實(shí)時(shí)看到遠(yuǎn)程終端的屏幕、操作遠(yuǎn)程終端的鼠標(biāo)和鍵盤。UniAccessTM在遠(yuǎn)程控制時(shí)需要進(jìn)行口令驗(yàn)證，口令不正確將被禁止訪問。只要在所有桌面電腦上全面部署客戶機(jī)軟件，才能夠保障安全管理的嚴(yán)密性。l 傻瓜式安裝，客戶機(jī)軟件安裝簡單，用戶只需要鼠標(biāo)點(diǎn)擊一次HTTP鏈接，不需要輸入任何參數(shù)（配置了代理安裝驗(yàn)證的除外），即可完成整個(gè)安裝過程。l 遠(yuǎn)程安裝工具。l 防火墻聯(lián)動(dòng)部署。客戶機(jī)軟件安裝包可以被客戶化，管理員可以根據(jù)需要在客戶化客戶機(jī)軟件安裝包時(shí)定制提供的功能、顯示的圖標(biāo)、顯示的界面標(biāo)題和管理服務(wù)器的IP地址?？蛻魴C(jī)如果不是首次安裝，則不需要填寫申請信息。對于后面新增加的客戶端，管理員也可以通過界面生成新的校驗(yàn)碼并由管理系統(tǒng)自動(dòng)發(fā)送給客戶機(jī)用戶。對于一些服務(wù)器或者由管理員負(fù)責(zé)的公共客戶機(jī)，管理員擁有它們的系統(tǒng)管理員賬戶和口令，管理系統(tǒng)可以讓管理員通過界面集中遠(yuǎn)程安裝，而不需要讓管理員到每臺機(jī)器上手工安裝。只要一臺管理服務(wù)器就可以對數(shù)十個(gè)、上百個(gè)跨越不同地理位置的網(wǎng)絡(luò)進(jìn)行管理。UniAccessTM是真正能夠發(fā)現(xiàn)所有外來設(shè)備，以及真正能夠發(fā)現(xiàn)“脫僵”客戶機(jī)的內(nèi)網(wǎng)安全管理產(chǎn)品。. 服務(wù)器部署建議UniAccessTM采用先進(jìn)的軟件架構(gòu)，單臺服務(wù)器最大可以支持1萬臺以上的終端安全管理。為了使得軟件分發(fā)、補(bǔ)丁分發(fā)等任務(wù)能夠以盡可能少的網(wǎng)絡(luò)資源以及加快任務(wù)的執(zhí)行速度，建議采用中繼器模式，即：服務(wù)器先把需要下發(fā)的文件、補(bǔ)丁先分發(fā)給中繼器，當(dāng)終端向UniAccessTM服務(wù)器請求下載時(shí)，UniAccessTM服務(wù)器將自動(dòng)給終端分配一個(gè)中繼器，終端將從中繼器直接下載所需要的文件或補(bǔ)丁。. UniAccessTM服務(wù)器硬件（1臺，必選項(xiàng)目）運(yùn)行UniAccessTM后臺服務(wù)器軟件以及Microsoft SQL Server 2000應(yīng)用。服務(wù)器需要SQL Server 2000數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫占用空間的大小取決于以下因素，包括：l 被管理的客戶機(jī)的數(shù)量l 被監(jiān)控的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)數(shù)量l 使用“某IT安全運(yùn)維管理系統(tǒng)”的事件l 其它因素…..部署功能支持節(jié)點(diǎn)數(shù)配置要求（最低要求）部署UniAccessTM+UniMon（包含網(wǎng)絡(luò)行為審計(jì)功能）1000臺終端設(shè)備+50臺網(wǎng)絡(luò)設(shè)備l 2CPU：主頻 Hz以上l DRAM： 2GB以上l Hard disk：80GB IDEl 網(wǎng)卡：100MB. Radius服務(wù)器（2臺，必選1臺）若需要部署準(zhǔn)入控制，一般建議采用雙Radius服務(wù)器，且建議Radius服務(wù)器的主服務(wù)器采用獨(dú)立的硬件服務(wù)器。. 探測器(1臺，可選)有時(shí)需要在網(wǎng)絡(luò)內(nèi)部署探測器，探測器有兩個(gè)用途：1.） VLAN，用于管理未安裝Agent的客戶機(jī)，2.）軟件方式實(shí)現(xiàn)準(zhǔn)入控制，、Cisco NAC EoU認(rèn)證的情況下實(shí)現(xiàn)網(wǎng)絡(luò)接入控制。一般情況下，終端上只有一個(gè)進(jìn)程在終端上執(zhí)行，在啟用遠(yuǎn)程協(xié)助的情況下，會有兩個(gè)進(jìn)程，極少部分特殊的終端可能會有三個(gè)進(jìn)程用于執(zhí)行某些特定的任務(wù)。l 管理員只要有遠(yuǎn)程計(jì)算機(jī)的管理員用戶名及密碼，并且在相關(guān)的服務(wù)端口沒有被防火墻關(guān)閉的情況下，即可對遠(yuǎn)程的計(jì)算機(jī)進(jìn)行批量的安裝。l UniAccessTM Agent 總是可以通過在每臺計(jì)算機(jī)上手工運(yùn)行UniAccessTM Agent安裝程序來進(jìn)行安裝。你可以直接運(yùn)行這個(gè)程序來直接安裝client，或者調(diào)用它的參數(shù)進(jìn)行安裝。如果有GPO功能則可以高效的部署UniAccessTM Agent。UniAccessTM可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的所有計(jì)算機(jī)，并可以對所有計(jì)算機(jī)提供如下信息：l 計(jì)算機(jī)的IP/MAC/主機(jī)名/交換機(jī)端口；l 計(jì)算機(jī)當(dāng)前是否在線；l 計(jì)算機(jī)當(dāng)前是否安裝了Agent；l 計(jì)算機(jī)當(dāng)前的Agent是否能夠與UniAccessTM服務(wù)器通信；因此，管理維護(hù)人員可以非常有效地掌握哪些計(jì)算機(jī)沒有安裝Agent，. 系統(tǒng)部署時(shí)間由于UniAccessTM的安裝、部署簡單，系統(tǒng)的部署時(shí)間相對其它同類產(chǎn)品而言較短。（2） 資產(chǎn)管理問題由于某聯(lián)通的桌面PC和手提電腦數(shù)量多，由于電腦的升級、更新頻繁，如何對這些電腦的軟件、硬件資產(chǎn)進(jìn)行管理、統(tǒng)計(jì)，如何防止資產(chǎn)非正常流失，如何防止資產(chǎn)浪費(fèi)一直是個(gè)難題。某聯(lián)通的遠(yuǎn)程管理及遠(yuǎn)程控制系統(tǒng)要求以較小的網(wǎng)絡(luò)帶寬對遠(yuǎn)程主機(jī)進(jìn)行連接，不影響遠(yuǎn)程主機(jī)的業(yè)務(wù)操作。分發(fā)期間可按網(wǎng)絡(luò)流量智能分配網(wǎng)絡(luò)帶寬，不影響主機(jī)的業(yè)務(wù)工作。日常桌面管理中經(jīng)常需要依據(jù)IP地址、MAC地址、主機(jī)名等對桌面PC進(jìn)行定位，如找到桌面PC在哪臺交換機(jī)的哪個(gè)端口上，找到該P(yáng)C在哪個(gè)房間的哪個(gè)信息點(diǎn)上，設(shè)備快速定位可以有效解決這方面的管理要求。（3） 對不符合安全要求或者外來的電腦接入到內(nèi)部局域網(wǎng)時(shí)進(jìn)行控制，例如：對未安裝防病毒軟件的、有操作系統(tǒng)補(bǔ)丁漏洞的、或者外來的電腦接入網(wǎng)絡(luò)進(jìn)行控制。這些問題包括：l 資產(chǎn)管理與資產(chǎn)變更管理。l 桌面電腦和手提電腦安全漏洞檢測。對不符合安全規(guī)定的電腦或者外來電腦，限制其接入內(nèi)部網(wǎng)絡(luò)或者限制其訪問重要服務(wù)器和網(wǎng)絡(luò)資源。u 集中式安全設(shè)置，包括集中式Windows本地安全策略設(shè)置、集中式u 集中式設(shè)備定位，可以依據(jù)IP、MAC、用戶名等信息進(jìn)行快速定位，發(fā)現(xiàn)異常的電腦。經(jīng)過3個(gè)星期的部署，某聯(lián)通的LeagView系統(tǒng)全面上線。作為一家技術(shù)領(lǐng)先的醫(yī)療設(shè)備生產(chǎn)廠商，外來電腦接入網(wǎng)絡(luò)可能導(dǎo)致公司技術(shù)資料泄密，網(wǎng)絡(luò)安全遭受威脅。l 經(jīng)常有桌面PC感染網(wǎng)絡(luò)病毒，由于網(wǎng)絡(luò)規(guī)模大，對這些感染病毒的電腦定位、查找非常困難。經(jīng)過綜合考察、對比市場上的相關(guān)產(chǎn)品，某選擇LeagVi。l 由于蠕蟲病毒、木馬、間諜件、流氓軟件泛濫，防病毒系統(tǒng)往往不能有效發(fā)現(xiàn)這些軟件，解決這些問題往往更多地依賴加強(qiáng)桌面PC的安全設(shè)置（如防火墻、IE設(shè)置等）、安裝最新操作系統(tǒng)補(bǔ)丁等手段來防范，傳統(tǒng)的手工設(shè)置方式效率低下。l 由于分支機(jī)構(gòu)、工廠眾多，技術(shù)人員經(jīng)常需要在路途上花費(fèi)大量的時(shí)間，僅僅為解決一個(gè)簡單的桌面機(jī)問。近年來由于業(yè)務(wù)增長迅速，公司員工、桌面PC數(shù)量快速增長，IT維護(hù)維護(hù)任務(wù)日益加重，由于IT維護(hù)技術(shù)人員嚴(yán)重不足，產(chǎn)生了一系列問題：l 難以統(tǒng)計(jì)網(wǎng)上的各種軟件、硬件資產(chǎn)。u 豐富報(bào)表，便于決策和管理。LeagView允許管理員對數(shù)以千計(jì)的桌面電腦進(jìn)行集中管理、維護(hù)，包括：u 集中式軟件分發(fā)，包括對應(yīng)用軟件、補(bǔ)丁軟件的自動(dòng)分發(fā)和自動(dòng)安裝。同時(shí)能夠檢測常見的桌面安全設(shè)置。l 信息安全管理。某聯(lián)通經(jīng)過長時(shí)間的考察、選型，最終選擇了某科技有限公司的LeagView系統(tǒng)解決其在桌面電腦管理方面所遇到的問題。由于缺乏必要的管理手段和工具，許多企業(yè)桌面PC經(jīng)常爆發(fā)大規(guī)模的網(wǎng)絡(luò)病毒，導(dǎo)致網(wǎng)絡(luò)大范圍癱瘓。此外，某聯(lián)通還有以下桌面電腦的管理要求。（4） 軟件分發(fā)問題由于病毒、補(bǔ)丁等問題，需要經(jīng)常對桌面電腦的軟件進(jìn)行升級和維護(hù)，由于某聯(lián)通的電腦數(shù)量龐大，手工方式很難保證所有的桌面電腦的軟件和補(bǔ)丁及時(shí)升級。在資產(chǎn)發(fā)生變更時(shí)及時(shí)報(bào)警，并自動(dòng)生成各類資產(chǎn)報(bào)表。附錄1. 某科技公司簡介2. LeagView應(yīng)用案例 金融行業(yè)成功案例 典型案例詳細(xì)說明案例一 某聯(lián)通應(yīng)用案例：某聯(lián)通作為中國聯(lián)通的子公司，在某有5個(gè)較大的辦公場所，近百個(gè)營業(yè)網(wǎng)點(diǎn)，長期以來，由于辦公場所地理位置分散，營業(yè)網(wǎng)點(diǎn)數(shù)量多，內(nèi)部網(wǎng)絡(luò)安全和桌面電腦的管理控制非常困難。當(dāng)計(jì)算機(jī)登錄的時(shí)候發(fā)現(xiàn)UniAccessTM Agent不在客戶端計(jì)算機(jī)上，它可以自動(dòng)從存放UniAccessTM Agent安裝程序的位置啟動(dòng)安裝。有關(guān)更多的組策略方面的信息，參見微軟的知識庫文章。必須以管理員權(quán)限登錄目標(biāo)計(jì)算機(jī)并進(jìn)行安裝。用戶只需點(diǎn)擊其相應(yīng)的URL即可實(shí)現(xiàn)安裝。UniAccessTM Agent支持的操作系統(tǒng) UniAccessTM Agent支持Windows 9Windows 2000、Windows XP、Windows 2003等各種操作系統(tǒng)，由于Windows 98操作系統(tǒng)本身的限制，有少部分功能在Windows 98的終端上不能實(shí)現(xiàn)。. UniAccessTM Agent的特點(diǎn)及其部署方法UniAccessTM Agent的特點(diǎn)UniAccessTM在設(shè)計(jì)時(shí)，充分考慮了在數(shù)以千計(jì)、乃至數(shù)以萬計(jì)的桌面電腦環(huán)境中部署UniAccessTM的復(fù)雜度，系統(tǒng)提供了多種部署手段和部署工具，包括遠(yuǎn)程自動(dòng)部署安裝工具。Radius服務(wù)器配置要求如下：節(jié)點(diǎn)數(shù)配置要求用戶確認(rèn)5000個(gè)終端l 1CPU：主頻 Hz以上l DRAM： 512MB以上l Hard disk：20GB IDEl 網(wǎng)卡：100MB. 補(bǔ)丁下載服務(wù)器（1