终端安全管理方案概要.doc

1.1. 终端管理标准化1.1.1. 何谓标准化通过对终端所面临的问题和发展趋势分析，我们可以逐渐获得了一个共同的认识，那就是：一方面，终端的使用非常灵活，尤其是终端使用者由于其水平和习惯不同对终端进行了所谓个性化的配置，包括硬件、软件、系统配置，这些灵活给管理和安全都带来了很大的问题；另一方面，终端的分布广和使用量大，直接加剧了使用灵活所带来的问题，使得整个IT环境无法控制。因此，为解决这一被动局面，大家纷纷提出了终端标准化的思路，希望通过一系列的标准化来达到治理的目的，包括： 管理制度流程标准化； 硬件配置标准化； 软件使用标准化； 系统配置标准化； 安全防护标准化； 接入控制标准化； 等等；1.1.2. 终端标准化技术1.1.2.1. 终端全面安全和主动防御长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来特别是近两年多次影响世界的冲击波、Slammer、Netsky、熊猫烧香等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。为了解决防病毒软件应对混合威胁型病毒的不足，众多的防病毒厂商纷纷提出在原有防病毒的基础上利用其他的防护技术达到主动防御的目的。这些技术包括： 个人防火墙 个人IDS/IPS系统 应用程序控制 内存防火墙 补丁分发 外设控制等1.1.2.2. 终端策略遵从和准入控制综合的防护技术的使用确实提高了终端安全的防护级别，但是仍然无法从根本上解决安全问题，用户逐渐发现发现他们的障碍在于所制定安全策略和执行实践之间存在非常大的鸿沟。因此业内提出了基于策略遵从的准入控制思想首先，制定终端使用策略，对所有接入网络的终端进行策略完整性检查，包括： 病毒策略 口令策略 版本补丁策略 共享策略 软件使用策略 等等然后，对不符合策略的终端进行自动化的修复，使其符合策略；最后，对无法修复的终端采取不同的隔离手段进行隔离修复。终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。1.1.2.3. 终端管理IT and Business Alignment19952000200320052006解决单方面的问题IT 生命周期管理服务导向管理ITIL管理复杂的管理环境Computing evolution timeline2010 +从上图可得知IT与业务发展整合目标下，IT管理经历了多个阶段：从简单到复杂，从零散到规范。这个发展图示为我们指明了IT管理的发展方向。终端管理也从单一解决终端某方面问题发展到全面的解决方案，例如以前有专门的操作系统部署、软件分发和远程控制的软件，现在都有统一的管理系统和产品来提供，而且基于生命周期、以服务为导向提供全面的终端管理功能，包括： 资产管理 操作系统部署和迁移 软件和补丁分发 备份恢复 远程维护 安全管理 性能监控 等等1.1.3. Symantec基于生命周期的标准化管理解决方案套件Symantec公司经过多年的实践与尝试逐渐完成了终端标准化管理理念-基于终端生命周期的管理概念。同时，Symantec公司利用原有的防病毒产品SAV、终端安全产品SCS、策略遵从和准入控制产品Sygate，并切终端管理产品Altiris，形成终端标准化的解决方案Symantec Endpoint Protection（SEP）。SEP所提供终端标准化管理，经过”获取”分配” ”运作”淘汰”四个环节：1、 获取(Procurement) 阶段：包含了采购、合同等环节2、 分配(Staging)阶段：包含了安装部署、分发等环节3、 运作(Production)阶段：包含了风险管理、业务连续性等环节4、 淘汰(Retirement)阶段：包含了报废处理、升级更新等环节在这四个环节中产生了各个阶段的管理工作:”资产定义”合同管理”系统部署”软件分发”漏洞扫描/安全管理” ”业务连续性” ”监视/跟踪” ”问题解析/管理” ”升级/迁移”。由此形成了一个完整的IT终端生命周期管理模型。如下：1.1.4. 技术产品选择1.1.4.1. 终端安全模块-SEP/SNAC11.01.1.4.1.1. 技术层面：主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：基于应用程序的防火墙技术个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出，而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。以冲击波蠕虫被阻截为例进行说明。当2003年 7 月 Microsoft RPC 漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。应用程序控制技术通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如 Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的 Sobig 、Novarg和MyDoom。此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。前瞻性威胁扫描Proactive Threat Scan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。终端系统加固事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。基于特征的病毒防护技术最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。1.1.4.1.2. 管理层面：终端准入控制在管理层面上需要实现两个目标：“技术管理化”与“管理技术化”。技术管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体现在终端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理”变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正落实下去。1.1.4.1.2.1. 什么是终端准入控制终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。终端准入控制需要创建一个终端接入的可信尺度。对于来说，典型的策略是强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。管理员也可以进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。一旦策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并授权。基于该基线评估结果，访问控制（Access Control）授予该连接系统相应级别的访问权限。例如，一个达标的系统将会获得全部的网络访问权限。不达标的系统或者被彻底阻止，没有任何的网络访问权限；或者为了减少对网络的威胁（通常也为了修复），将授予该系统某一隔离级别的网络访问权限，并帮助恢复达到安全策略的要求。为了使终端准入控制真正有价值，修复过程必须自动化。换句话说，就是不需要求助技术支持小组，系统自动恢复到符合安全策略的要求。一旦系统经过隔离修复处理，被允许连接入网络，就需要一种监控技术确保这些系统保持达标的状态，不要出现反常的情况。反常的系统必须被隔离，直到它们被修复。综上，网络准入控制解决方案需要如下流程:1. 创建一个中央的安全策略视图；2. 当一个系统或用户连接入网时， 对其安全状态进行评估；3. 一旦系统连接入网，对其安全状态进行连续监控；4. 基于系统状态，执行网络访问和系统修复策略。1.1.4.1.2.2. 终端准入控制的实现方法手动隔离手动隔离虽然不是自动化的隔离技术，但在管理实践中却是使用频率最高的手段之一。通过创建一个隔离组，然后为该组分配特定的隔离策略。当通过人工方式判断出一个终端处于高风险或者违规状态时，将这个终端手动方式移动到隔离组中，即达到了隔离效果。这种方式下管理员不需要去定位交换机端口，并拔出网线。更加省时，而且避免误操作。本地隔离利用主机防火墙规则和智能切换的能力实现本地隔离。这种方式最易实现，不需要和网络中其他强制服务器发生任何关系. 如果系统没有通过主机完整性检测, 将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作；局域网准入与隔离局域网的网络准入控制系统可以和支持802.1X功能的交换机完成对用户的接入认证；当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检查不合格时，局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭，或者通知交换机将该用户的端口VLAN切换到修复VLAN，强迫用户完成安全修复后才将用户切换回正常VLAN。边界准入与隔离在用户通过IPSec VPN或、SSL VPN甚至是无线AP试图连接到企业内网时，又或者是从企业的一个内部子网试图访问另外一个内部子网时，Symantec强制网关实时检查这些用户的安全性。只有安全性达标的用户才能访问强制网关后的局域网；当用户透过强制网关设备进行网络互访时，用户的访问方式（应用，受访资源等）也受到严格管理，非标准访问方式被禁止使用；当对用户的安全检查不合格时，强制网关对这些用户进行隔离操作，只容许访问强制网关后的个别IP地址，用以提供对修复资源的下载访问。同时客户端根据策略配置要求对这些用户终端作安全修复操作，直到强制网关确认合格后才予以放行。代理通知功能。对于那些连接到企业网络又没有安装Symantec客户端软件的用户, 管理员可以使用Windows弹出消息通知他们需要安装Symantec客户端软件；可以在进行边界准入与隔离时首先允许所有用户的通讯通过，但是记录是否有用户不符合的安全策略；当客户端完全部署好之后, 就可以按照的安全策略来允许或阻止不符合策略用户对内部网络的访问；当用户试图通过边界网络准入控制系统的认证时，如果边界网络准入控制系统检查出用户端没有安装安全客户端软件或者是用户端的主机完整性检测不合格，会把用户的访问请求重定向到一个企业内部指定的URL。管理员可以配置这个URL为企业的修复服务器网站或者是其他通告的网站。可以对指定IP地址的用户作安全检查，也可以对指定IP地址的用户进行放行，完全不检查；DHCP IP获取准入当非企业员工，或者是企业员工试图通过有线局域网（如以太网），或者是无线网络（802.11a、802.11b、802.11g）连接到局域网并试图自动获取IP地址时，网络准入控制系统会首先检查这些用户的安全状态，检查合格者分配其一个正常地址范围内的IP地址；不合格的用户分配另外一个修复区域子网的IP地址，用户此时只能去修复服务器执行自己的主机安全修复操作，其余网络访问均受到限制。当修复操作全部完成之后，网络准入控制系统才将该用户当前的修复区域IP地址释放掉，同时分配给其一个正常范围内的IP地址，用户此时的网络访问请求才被放行。1.1.4.1.2.3. 终端准入控制的流程终端准入控制策略勾勒企业终端接入的安全基线，对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端，可以禁止其访问网络，或进行网络隔离。终端准入控制流程包括：检查基准安全策略、隔离控制与自动修复。检查基准安全策略是根据进程、文件、注册表等设置的检查结果来判断：l 用户身份是否合法l 机器身份是否合法l 主机防火墙是否安装并运行l 防病毒软件是否安装并运行，病毒特征库是否及时更新l 其他指定安全工具是否运行、及时更新l 操作系统关键安全补丁是否安装l 操作系统安全配置是否妥当l 桌面设置是否妥当l 是否感染特定病毒实体l 是否安装重大违规软件等隔离控制根据上述检查结果，强制服务器和网络设备以及客户端联动来决定：l 拒绝终端/用户接入l 容许终端/用户接入l 隔离终端/用户（主机ACL隔离， VLAN隔离，授予隔离IP地址）l 限制终端/用户访问权限l 应用程序，远程主机，时间，协议类型，端口等使用权限l 关键网段接入权限l 交换机接入权限l 无线网络接入权限l 动态IP地址获取权限l 互联网访问权限l 远程网络（VPN）接入权限l 域名解析权限l Web应用登录权限（website，web mail，web OA，web CRM，web ERP etc）自动修复是在隔离或限制接入的情况下，还可以通过自动修复来换回正常的网络访问权限。修复的内容包括：l 自动开启IE，连接内部安全网站上相关的提示页面l 自动分发病毒专杀工具l 自动升级病毒特征库l 自动分发操作系统关键补丁l 自动纠正错误的系统配置l 分发并运行特定脚本l 终止指定进程l 停止或启用指定服务l 远程关机/重启等1.1.4.2. 终端管理模块-Altiris1.1.4.2.1. 资产信息管理模块对于拥有大量客户端的用户，如何进行客户端设备的资产管理，是用户首先面临的问题。用户希望对所有的设备进行及时、准确的统计，并且尽可能准确了解所有客户端设备的硬件配置以及软件信息，以及时掌握资产的变化。当用户需要统一升级操作系统或应用系统时，希望能够提供资产状况报告，为升级费用提供科学的依据，如哪些设备需要增加硬盘，哪些设备需要增加内存，哪些不需要变化，哪些需要淘汰等等。Symantec的资产管理解决方案（Inventory Solution）可以帮您解决这些问题。Symantec Inventory Solution 设计用于满足当前各种网络环境的需要。它从任何实际地运行 Windows 32 位操作系统的计算机上收集全面的软件和硬件数据。各种部署和数据集合选项确保 Inventory Solution 在任何环境下均可工作。为帮助您获得最大投资收益，Inventory Solution 不仅限于简单的数据收集。通过提供基于 Web 的管理控制台、针对关键信息发出警报的策略，以及专业质量的 Web 报表，Inventory Solution 包括了用于将清单数据转变成有用信息的各种工具。Inventory Solution 提供 Windows 计算机中的全面清单，包括序列号、硬件清单、软件审核清单、虚拟机，以及用户/ 联系人信息（通过 Exchange 配置文件）。Inventory Solution给用户带来的好处： 资产准确统计，清楚了解公司资产配置 资产监控，自动、及时反映资产变化 资产评估，为系统升级提供科学依据，节约升级费用 提高了技术支持能力：当客户端设备的使用者需要技术支持时，不再需要询问具体的硬件配置和操作系统配置等信息，提高服务响应速度和解决问题的速度。 提高IT管理水平：使用了Symantec解决方案，企业可以节约IT管理费用，并且使I T管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来，从而可以将精力放在IT的高层管理方面。1.1.4.2.2. 系统部署、迁移管理模块当企业购置新的客户端时，IT管理人员会面临大量客户端的操作系统、应用软件部署问题，这对于IT管理人员是一个相当大的工作量，需要花费相当长的时间。当企业对现有客户端进行升级时，如果快速地把原有系统的所有信息迁移到新的客户端？当客户端的操作系统进行升级时，如何快速地把原来的所有个性化设置进行迁移，保持用户的使用习惯？针对这些问题，Symantec提供了非常有针对性的部署模块(Deployment Solution)。Deployment Solution 集成了基于 Windows 的 Deployment Server 系统与基于Web 的 Symantec 解决方案与服务。针对特定站点或指定子网的 Deployment Server 系统包括用于本地计算机资源日常管理的 Windows 应用程序、工具和实用程序，还为您提供了Deployment Web Console，让您能够从 Web 浏览器执行管理功能。deployment solution的优势： 减少新系统和应用的部署时间：当客户拥有大量的客户端设备，而且分布在不同的地域，在安装操作系统和应用时，可以不用到每台计算机上去工作，就能完所有计算机的部署。 节约部署的费用：由于不需要出差到每个分支机构进行安装和部署，因此可以节约费用。 减少系统和应用的升级和迁移的部署成本和时间 提高IT管理水平：使用了Symantec解决方案，可以节约IT管理费用，并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来，从而可以将精力放在IT的高层管理方面。1.1.4.2.3. 软件分发和管理模块Symantec Software Delivery Solution 为整个组织内的应用程序和更新提供了安全而节省带宽的分布方式。Software Delivery Solution 支持来自单一基础架构的 LAN、WAN 及远程和移动客户端，并提供高级的应用程序管理功能（例如应用程序自修复、冲突分析和其它正在开发的软件管理功能）。Symantec Software Delivery Solution for Windows 允许您在运行 Windows 9x/Me/NT/2000/XP/2003 操作系统的计算机上定义软件包、分发软件包和运行程序。Software Delivery 具有以下功能： 可根据从计算机收集到的数据来确定要对其执行 Software Delivery 的计算机。根据硬件、软件或最终用户详细资料，您可以很容易地指定接收 Software Delivery 作业的计算机组。 可以将 Software Delivery 任务（下载并部署软件包）指定为必要或可选任务。您可以允许或禁止用户运行 Software Delivery 任务。您也可以指定程序的到期时间，从而在指定日期之后不再部署。 网络带宽节流有助于将网络冲突降到最低。这对远程用户特别有用。 在下载中断的情况下，可以使用检查点恢复功能恢复 Symantec Agent 计算机的软件包下载。这对远程/ 拨号用户特别有用。 Symantec Agent 客户计算机中的无干扰性操作。 全面支持锁定的 Windows NT/2000/XP/2003 环境，这意味着即时当前登录用户不具有计算机管理员的权限，Software Delivery 也可以在该台计算机上安装软件。 本地支持 SMS 软件包、集合、通告和状态报告。 多种报表有助于分析和制定能动管理决策。通过Software Delivery Solution给用户带来的好处： 简化软件安装管理：altitiris解决方案中，系统管理员可以不用到每台计算机上去工作，就能完成远端计算机的软件安装。 支持远程软件分发，软件安装周期极大缩短：由于不需要出差进行软件安装，因此不再需要出差到每个分支机构，从而使软件部署的时间缩短。 支持远程软件分发，软件升级非常方便 提高IT管理水平：使用了Symantec软件分发解决方案，企业可以节约IT管理费用，并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来，从而可以将精力放在IT的高层管理方面。1.1.4.2.4. 补丁分发和管理模块当今世界蠕虫、病毒和特洛伊木马越来越猖獗，每天都有大量的病毒产生和发作，您的企业是否有相应的应对措施？很大一部分蠕虫、病毒和特洛伊木马都是针对微软的操作系统的漏洞实施攻击，微软几乎每5天就要发布一次安全补丁，您公司的计算机是否可以相应的快速实施安装？您如何确认您的公司的每一台计算机分别需要哪一些相应的补丁？当您的企业拥有大量的计算机时，为每一台机器安装相应的补丁，是一个多么巨大的挑战，您有什么好的解决方案吗？Symantec Patch Management Solution解决方案提供针对上面问题的解决方案。Patch Management Solution 可以帮助您扫描计算机的安全漏洞，报告所发现的漏洞，并能够自动下载和分发需要安装的 Microsoft 安全修补程序。此解决方案能够从 Microsoft检查和下载特定修补程序，创建需要安装特定修补程序的计算机集合，并根据需要在相应计算机上安装修补程序。Patch Management Solution 在分析、收集和分发操作系统和应用程序更新方面进行了功能改进。它包括一个集中式的可扩展软件库（用以存放各种操作系统、硬件和软件供应商的修补程序）以及改进的安装清单和特定软件分发选项，并且与其他 Symantec 产品（如恢复解决方案）进行了集成。以下列出了一些重要功能： 扩展支持 提供对英语、德语、西班牙语、日语、中文及法语操作系统和应用程序的支持。 信息库 提供每个软件公告上的详细信息（例如技术详情、安全级别和可执行文件的数目）。 软件库 无需管理员的介入，即可在分发软件之前自动从供应商站点下载软件。 修补程序清单 用于确定受支持操作系统、应用程序及相关服务包的级别，以及是否已安装某个修补程序。 改进的分发向导和定位功能 可以自动确定修补程序的安装要求，并根据要求分配Notification Server 集合。 对安装过程的全面控制 与 Qchain 集成，提供重新启动控制以及方便的命令行选项选择功能。1.1.4.2.5. 远程控制和维护管理模块用户拥有的计算机数量越来越多，管理维护工作量大，服务水平和响应速度不能令人满意，面临的具体管理问题如下： 办公地点分散，系统管理员进行系统维护时往往需要花大量时间在路程上，不能及时响应服务请求。 因为计算机操作者对业务软件操作不熟练或遇到技术问题，不能电话解决问题，需要上门服务。 技术支持成本居高不下。 技术培训困难，工作量大。为解决如上问题，用户通常需要聘用大量的IT维护人员，即便如此，在管理和维护上仍然是疲于奔命。而且因为通常是低水平、重复性工作，IT管理员也感觉到非常疲倦、枯燥。如何高效率、高质量、低成本提供技术支持及帮助，是客户面临的挑战。Symantec carbon copy solution解决方案并不是一般的远程控制应用程序，它可以通过Web浏览器进行远程控制,而且其强大的管理特性为企业提供了一个远程管理的工具。IT管理员利用Carbon Copy 解决方案不用到需要帮助的计算机设备前，就可以为计算机使用者提供培训、故障判断及解决、操作帮助等服务。1.1.4.2.6. 应用管理和测量Symantec应用管理模块收集被Windows Installer (MSI)安装的软件信息，并且向Altiris Notification Server 报告。Windows Installer 代理帮助您为MSI软件管理源路径，定期（应用程序等）健康检查，自动修复文件丢失损坏、文件非法改变或者注册表出错等故障。 Windows Installer Agent 管理Windows Installer (MSI)软件包的源路径，自动获取相关MSI应用软件的详细配置信息，定期自动对MSI应用做健康检查，自动修复文件丢失、文件非法改变、注册表等故障！ 注册表设置 创建注册表基线，运行依从性检查，诊断注册表非法设置。 检查系统的正确性 为新的系统配置做快照，运行依从性检查。 警报策略 如果系统依从性检查失败，将自动通知系统管理员或桌面支持人员。应用测量管理和控制软件的使用情况和授权证书。与IT资产模块一起使用，显示软件安装在哪里，哪些软件真正被使用及其使用频率，利用该数据您可以收回没有被使用的软件授权证书,限制没有价值的软件的使用,确保环境的标准化,提高资源利用率,减少系统维护难度。 为用户测定某软件将来需要授权证书的真实数量 部署和配置变得更加容易 减少升级系统的硬件需求 WEB报表，全面获取有用数据 对于非法使用某关键应用软件提供及时警报 拒绝使用某软件：拒绝企业某些用户使用某软件，不管是联网用户，