XX企业终端安全管理平台解决方案v.docx
《XX企业终端安全管理平台解决方案v.docx》由会员分享,可在线阅读,更多相关《XX企业终端安全管理平台解决方案v.docx(29页珍藏版)》请在冰点文库上搜索。
XX企业终端安全管理平台解决方案v
XX企业
终端安全管理平台解决方案
沈阳通用软件有限公司
2015年1月
1项目理解
1.1项目背景
随着信息化的发展,XX企业的计算机终端数量越来越多,使用范围也越来越大,已经成为网络整体安全管理的重要环节,但目前安全管理措施还相对滞后,已成为信息安全的薄弱点,可能会因为终端的信息安全导致核心数据的泄密,给企业的竞争力带来致命的损伤,为保护信息安全,XX企业决定对终端信息安全管理做出整体规划。
通软公司做为桌面终端信息安全的业内领军企业,要协助XX企业做好终端信息安全管理方案。
1.2项目实现目标
通过在XX企业网络统一部署终端安全管理系统,由信息中心统一管理企业的终端信息安全,同时建立相应管理制度,规范和加强客户端用户操作计算机行为,实现用户行为可管理,及时发现和解决终端安全问题,防止核心数据的泄密。
2终端安全管理系统建设方案设计
2.1项目设计
项目建设内容包括XX企业终端安全管理平台(以下简称系统平台)的搭建、系统策略配置等。
2.1.1系统平台搭建
系统平台搭建的内容主要包括系统管理端部署、客户端软件部署、对于通过准入控制网关实现管理功能的实施部门,需要完成准入控制网关的部署。
a)系统管理端部署。
系统管理端部署主要内容包括XX企业终端安全管理系统管理端和服务器的部署,并完成系统的相关配置。
b)客户端软件部署。
通过走点方式部署、准入网关快速部署、公共服务器共享访问方式部署三种方式完成终端计算机的客户端软件安装,并保证每台被管理终端计算机与管理中心保持网络连通。
2.2桌面终端安全管理面对的主要问题
2.2.1桌面终端安全管理领域面对的主要问题
近十年来,随着计算机在各行各业的快速普及和应用,用户桌面终端管理的需求日益强烈,为满足广大用户的各种管理需求,市场上的桌面终端安全管理类产品如雨后春笋般大量涌现。
但是桌面终端安全管理类产品面向的是数量庞大的桌面终端,环境异常复杂,需求多种多样,是很难在短时间内研发出适用于复杂网络环境中的成熟产品的,因此,广大用户正面对着一个产品多、功能多,令人眼花缭乱,但真正稳定、成熟、实用的产品却不多的桌面终端安全管理市场。
通软公司通过对大量业内具有代表性产品的使用和分析,总结出桌面终端安全管理领域面对的问题主要有如下几点:
a)大多数单位已经很重视桌面终端安全管理,但产品应用效果不佳;
b)在规模化网络中,客户端长期驻留难以解决;
c)网络的准入控制漏洞很多,安全的基础不扎实;
d)虽然有了桌面管理和很多其它工具,但网络实时运行状态还是“黑箱”;
e)大多数桌面终端管理产品实用性、易用性太差,好听不好用。
2.2.2企业用户面对的主要问题
随着市场经济的快速发展和金融改革的不断深入,XX企业用户业务信息量日益增大,对信息处理手段的要求也越来越高。
部分对网络安全有所关注的单位已经通过部署网络防火墙、入侵检测系统、系统漏洞扫描、网络防病毒等采取了一系列的安全防护手段,虽然加强了网络边界以及网络安全环境等方面的防护能力,但作为网络安全的重要部分的终端客户端的安全管理却处于滞后状态,成为了网络安全的薄弱环节。
基于以上对用户的需求分析,以及对终端计算机网络安全与管理现状的理解,当前用户急需解决的问题主要有如下几点:
a)为了切实有效的保护企业网络的安全,仅仅将内、外网进行简单的物理隔离是不够的,必须实施全面的终端安全管理,否则可能出现以下安全隐患:
Ÿ即使将内、外网进行了物理隔离,但仍有外来计算机非法接入内网,给内网业务系统稳定运行和核心数据的安全带来严重隐患;
Ÿ内网终端计算机使用3G拨号私自外联,将企业内网暴露在互联网上,产生极大的安全隐患;
Ÿ在企业内网与其他网络中交叉使用移动存储设备,可能引入病毒或导致重要信息外泄;
Ÿ入网终端系统本身存在补丁漏洞未修复、端口随意开放等系统安全漏洞,可能将病毒引入企业内网或成为恶意攻击的目标。
b)由于缺乏可视化管理平台,计算机网络的实时运行情况在相当大程度上,对信息中心而言,还是一个“黑箱子”,因此,对于很多网络故障,只能处于被动的事后手工救火,严重影响工作质量和工作效率。
c)管理终端数量如此众多,分布又非常广泛的企业业务网络,本身就面对诸多管理困难,而且终端的数量越多发生上述网络问题的几率也就越大,将所有终端在统一的平台上进行管理成为巨大的挑战。
2.2.3企业用户数据泄密的主要途径
对企业用户面对的问题进行分析,我们不难得出企业用户数据泄密的一些主要途径:
a)外来用户随意接入企业内部网络拷贝数据,导致企业内部数据泄密;
b)非法外联(3G上网卡、随身WIFI等)上网导致企业内部数据泄密;
c)移动存储设备拷贝内部数据,导致企业内部数据泄密;
d)用户电脑系统长时间不打补丁,存在补丁缺陷,被黑客利用,导致企业内部数据泄密;
e)终端杀毒软件部署不完善,有的没有安装杀毒软件,有的虽然安装了,但是很少进行病毒库的更新与杀毒,致使病毒库落后,不能及时发现潜在病毒,导致企业内部数据泄密风险。
2.3通软产品解决问题的总体思路
基于上述的背景和问题分析,我们认为满足企业用户需求的终端安全管理产品应该具备如下几个主要特点:
a)为了打造真正封闭的企业业务内网,保证网络及终端的安全,对终端计算机管理必须全面的安全管理,主要包含:
Ÿ对联入企业业务网络的终端进行严格的准入控制,防止外来终端通过任何非法手段连入内网;
Ÿ杜绝内网终端通过非法手段,如3G拨号连接互联网或其他网络;
Ÿ对终端计算机移动存储设备的使用进行严格管控,禁止移动存储介质在各网络计算机间交叉混用;
Ÿ对终端计算机的系统漏洞及时进行扫描和修复,防范病毒木马的入侵。
b)提供全面、高效的网络维护手段,准确定位可能出现网络异常的故障点。
c)通过多级的管理平台对企业网络入网终端统一进行管理。
在准入管理平台中应该有一个相当于安全网关的硬件设备来实现终端准入的可靠管理,可以把该设备以“旁路”的方式连接到终端接入企业网络的必经之路上。
该设备不仅可以做终端准入的严格控制,还可以通过网页重定向的方式远程部署客户端,从而解决了在分布环境中的客户端大面积部署问题。
2.4通软平台定位及特点
2.4.1通软产品定位
面向各行各业的局域网环境,以桌面终端为主要管理对象,以桌面终端的安全管理为核心,强调安全、管理和维护三位一体,通过实现对数量众多的桌面终端系统的有效管理,帮助用户实现更加安全、可靠和稳定的网络运行环境。
2.4.2通软产品特点
成熟性和稳定性
公司为了保障产品的稳定性,建立了严格的研发流程和质量控制流程,从产品的设计、编码、测试、验收等各个环节进行严格把关,每个环节都必须进行严格的评审,评审通过后才能进入下一个环节。
同时,在各个环节的审核过程中,充分利用计算机技术实现自动化检测,提高检测结果的有效性。
例如,我们实现了内存泄露检测工具、死循环检测工具、逻辑死锁检测工具等。
在技术和制度的双重保障基础上,尽全力实现高质量的产品。
以下是高质量产品的具体体现:
a)联想的唯一选择,作为联想生产线上的预装产品,很多联想商用机用户都在长期使用;
b)微软WHQL测试,是中国唯一通过了微软WHQL产品测试的桌面终端安全管理产品;
c)极端情况下的测试,比如内存不足、低配置计算机(例如CPU800,内存64M);
d)兼容20多家主流杀毒软件产品;
e)与常用的几百类软件进行了严格的兼容性测试。
扩展性
平台采用了分层的架构设计模式,使层次间的接口明确,每个层次内部采用了组件设计模式,使各个组件之间的耦合度降到了最低。
在扩展功能时,只需要在适当的层次实现相应的组件即可完成功能的添加。
另外,通软还自主研发了终端管理的脚本语言,该脚本语言可以在所有层次与所有组件之间建立关联,以便于完成具体的功能。
基于该语言,可以非常方便地添加新的功能和机制,大大降低了开发的周期。
在此平台基础上进行扩展,既非常简单、高效,又能够最大限度的保障产品的稳定性。
高性能
桌面终端管理类产品必须可以同时面对大量的终端进行实时的管理和跟踪,采集点之多、采集项之杂、数据量之大、时效性之强是很多其它软件产品无法比拟的。
为了让通软桌面终端安全管理平台拥有面向大型网络实施严格、高效管理的不俗实力,通软公司将软件运行空间和时间综合考虑,在提高产品性能方面下足了功夫,以下是部分性能参数:
a)10000台计算机执行任务/策略,全部完成小于30秒,并且策略立即生效;
b)带宽占用:
10000台计算机情况下,引擎小于50K/s,客户端小于0.02K/S;
c)客户端内存占用:
在没有执行特殊任务的情况下,内存占用量小于10MB;
d)单个服务端能同时管理10000个客户端;
e)海量数据处理,对10,000,000条记录进行查询和统计,完成时间小于10秒。
2.5通软桌面终端平台
通软桌面终端安全管理平台由五大部分构成,将为用户打造可视化、安全的、稳定的、高效的和可维护的网络。
图通软桌面终端安全管理平台
上述为通软桌面终端安全管理平台功能构成。
XX企业网络部署示意图如下:
2.5.1终端安全管理
2.5.1.1终端准入管理
单位的网络中往往保存和传输着大量的重要数据或机密信息,为了防止重要信息外泄,很多单位实施了内、外网物理隔离。
即便如此,仍会有很多危险威胁着内网的安全,非法接入行为即是内网重要数据流失和引入病毒的主要隐患之一。
对于已经实施了物理隔离的内网而言,严格有效的网络准入管理是最为重要的安全管理措施。
目前市场上出现了很多网络准入类产品,此类产品主要采用两种技术手段来实现,一是基于ARP技术的非法IP地址管理,二是基于802.1X标准的入网认证。
但是上述技术都存在一定的局限性,基于ARP技术的非法IP地址管理不可跨越VLAN,并对装有ARP防火墙的计算机不能限制;基于802.1X标准的认证对网络设备有很大的依赖性,且无法解决私接路由的问题。
上述两种方案更无法解决两台计算机直连拷贝数据的非法接入行为。
总的来说,业内现有大部分解决方案不易于全网实施,且存在明显的缺陷和管理漏洞。
鉴于业内缺乏完整的网络准入管理解决方案的现状,通软公司首创“无漏洞”准入管理方案。
该产品支持各种类型网络,无需用户修改任何网络配置,不受网络设备和防火墙的限制,即使是私接路由或计算机直连的入网行为也能够有效禁止,彻底杜绝外来计算机随意接入网络。
而对于不便安装本产品客户端的特殊管理点(如重要服务器等),可通过部署通软网络访问控制服务器(GNAC)来保障安全性,从而杜绝管理盲点的存在。
通软“接入管理”与“GNAC”的完美结合为用户提供了天衣无缝的网络接入管理解决方案,真正实现“无漏洞”的接入控制,打造严格密闭的网络空间。
另外,也可以采用“接入管理”与“802.1X”结合的方式达到同样效果。
根据需要,单位可能需要计算机安装一些必要的软件,例如管理软件或杀毒软件等。
但随着时间的推移,很难保证这些软件都能够正常被运行。
重新部署,即浪费人力物力,又无法保证不会再次流失。
本系统提供绑定第三方软件功能,可绑定任意需要安装的软件,绑定后,计算机不安装运行规定的软件,可以阻断其通讯。
对于已经被阻断了的计算机,还可通过访问修复区安装绑定的软件。
2.5.1.2非法外联管理
即使用户内、外网进行了物理隔离,但是仍有内网的计算机使用者想方设法的连接互联网,炒股、打游戏、看电影等,给内网带来了巨大的安全隐患。
针对这类问题通软平台设计从三方面提供功能管理:
Ÿ拨号管理:
可以对拨号行为进行监视和限制,一旦发现有违规行为会发送报警信息给管理员,并且可存储报警记录,提供查询。
支持多种拨号形式的管理,如3G拨号、Modem、ADSL、VPN等,防止通过拨号私自连接互联网。
Ÿ带宽管理:
通过与外网的计算机搭桥或私设代理上网也是一种常见的非法外联方式。
为了控制这种隐蔽性极强的“网络后门”,通软平台可以分别限制内网带宽和外网带宽。
对于内网计算机而言,只要把外网带宽设为零,无论其如何搭桥或私设代理都不能访问外网。
2.5.1.3移动存储管理
在各种计算机外设给信息交换带来极大方便的同时,也给很多数据安全敏感单位带来很多麻烦。
现今非常常见的USB移动存储设备是造成内网机密信息流失的主要途径,一个小小的U盘便能在不被人察觉的情况下将核心数据拷走。
然而由于工作的需要,内网的一些计算机却不能封闭U口,需要在工作中用U盘进行信息的传递,因此USB移动存储设备成为内网机密信息流失和引入病毒的主要途径。
针对上述问题,通软平台设计以下功能进行管理:
Ÿ外部设备管理:
可以屏蔽USB设备,禁止使用U盘和移动硬盘等存储类设备,而仅可以使用USB鼠标和USB打印机等非存储类设备。
此外,还能够对光驱、软驱、移动存储设备、红外、串/并口、1394、蓝牙、磁带等设备进行管理。
ŸU盘管理:
可以防止U盘传播病毒,设置U盘的使用权限和属性,信息只能入网不能出网,即使U盘丢失信息也不会被获取,有效防止网内机密信息通过U盘外泄。
Ÿ基于设备过滤驱动程序,可以屏蔽USB设备,禁止使用U盘和移动硬盘等存储类设备,而仅可以使用USB鼠标和USB打印机等非存储类设备。
此外,还能够对光驱、软驱、移动存储设备、串/并口、红外、蓝牙、磁带、1394等设备进行管理。
系统提供禁止、允许、监视、关机和阻断通讯等管理方式,对U盘的管理可设置只读或只写等,支持离线策略。
Ÿ基于设备过滤驱动程序、虚拟磁盘技术、磁盘加/解密技术,提供授权/保密/安全U盘机制,授权U盘和保密U盘功能都是对普通U盘进行修改,在U盘的关键部位添加识别码,使其成为特殊的U盘。
当实施了禁用普通U盘策略后,已经授权的U盘仍可以在被授权的客户端上使用,未授权的U盘将被禁止使用,授权U盘在未安装客户端的计算机上也可以正常使用。
当U盘被设置成保密U盘后,将无法在未安装本系统客户端的算机上使用,并且保密U盘仅能在被授权的客户端上使用。
当U盘被设置成安全U盘后,可将U盘的使用区域分成两个部分,其中安全区域相当于保密U盘,公共区域在授权的客户端和未安装客户端的计算机上可以正常使用,在未授权的客户端上受USB移动存储管理策略的限制。
设置U盘的使用权限和属性,信息只能入网不能出网,即使U盘丢失信息也不会被获取,有效防止网内机密信息通过U盘外泄,防止通过U盘传播病毒。
Ÿ当发生违规操作时,可发出报警,记录报警信息,并提供U盘使用情况分布报表、U盘使用次数排名报表、U盘使用时间分布报表。
Ÿ基于设备过滤驱动程序,采用PNP技术,可以对终端的USB存储设备进行审计,记录审计信息。
2.5.1.4安全审计和监控
加强数据安全的另一项重要措施就是强化审计和监控功能。
强大的审计和监控功能一方面是对不正当行为构成威慑力,因此,是很好的预防措施;另一方面,审计功能可以用来调查事故的原因,准确定位造成安全事故的终端。
而监控功能可以起到有效的保护作用,防止由于误操作引起对文件的损坏。
因此,强大的审计和监控功能是确保数据安全的必要措施之一。
针对客户机文件众多,特别是一些重要的或者是机密文件,不容易管理的问题,通软平台提供了完善的文件审计功能。
可监控并记录对重要文件/文件夹所做的读取、修改、删除、重命名、创建、复制、移动(剪切)、恢复等操作,并且支持对审计文件的备份,当出现安全事故时,便于快速查清事故成因,准确定位责任人。
通软平台文件审计功能,支持对所有文件、指定类型文件、指定路径文件、指定文件名关键字文件进行审计,支持审计的范围包括以下四大类:
Ÿ外设文件审计:
记录终端用户在外部设备上进行的文件操作,如:
将文件拷贝到U盘中;将光驱文件拷贝到本地等等;
Ÿ本地文件审计:
记录终端用户在计算机本地进行的文件操作,如:
用户在本地将文件进行了重命名;用户在本地修改了重要涉密文件等等;
Ÿ网络文件审计:
记录终端用户在网络上进行的文件操作,如:
终端用户通过网络访问服务器,删除了服务器上的文件;终端用户通过网络访问服务器,修改了服务器上的文件等等;
Ÿ打印文件审计:
记录终端用户进行的文件打印操作,如哪些人打印哪些文件等。
通软平台文件审计功能,提供了详细的审计信息查询和文件审计报表,支持以文件为线索的终端定位,和支持以可疑终端为线索的事件、文件追踪,使用还原违规事件现场变的十分方便、准确、快捷。
2.5.1.5系统自身安全
除了对网络及终端的安全管理外,产品系统自身的信息安全也尤为重要。
客户端方面,除了上面已经介绍过的客户端拥有强大的自我保护机制外,系统还提供了操作系统帐号审计,可以查看终端帐号的基本信息,并对终端账号的变化进行审计。
服务端方面,系统提供了多种安全管理措施,主要功能点为:
Ÿ配置登陆IP地址:
定义用户可以登陆的控制台IP地址,只有授权的计算机才能使用产品的控制台;
Ÿ管理员身份鉴别:
完善管理员身份鉴别功能。
包括对管理员口令强度和长度的检查,登陆尝试次数的限制,以及登陆后的超时锁定;
Ÿ控制台锁定:
提供手动锁定和闲置自动锁定两种机制,管理员可设置闲置超时时间;
Ÿ防数据丢失:
数据库存储空间将满时,提供报警提示信息,防止因空间不足导致数据丢失。
2.5.2终端系统漏洞管理
2.5.2.1终端网络配置管理
对IP/MAC地址及相关网络配置的集中统一管理是确保计算机网络正常运行的基础性工作。
通软平台系统提供了一个非常直观的管理界面以检查和配置被管理的网络计算机IP/MAC地址、计算机名、网关等系统配置信息,并可集中监控、远程点对多点的配置任务,轻松直观地实现IP地址、计算机名、网关的规划和配置。
Ÿ统一分配并绑定IP/MAC地址资源,杜绝滥用、盗用、更改IP/MAC地址的行为发生,即使终端私自重装系统,修改IP后入网,也将其恢复为绑定时的IP地址信息;
Ÿ统一分配并绑定计算机网络配置信息,如网关、DNS、计算机名等;
Ÿ统一设置并绑定计算机控制面板、计算机管理、"我的电脑"属性、"本地连接"属性和组策略、电源管理和IE配置等信息。
2.5.2.2操作系统补丁管理
众所周知,微软推出的常用软件存在很多安全漏洞,如操作系统、IE、Office和SQLServer等。
这些安全漏洞是网络中病毒泛滥和网上攻击等问题的重要原因之一。
因此,针对这些安全漏洞及时完整地打上安全补丁,是净化网络环境的最重要的基础性工作之一。
然而,由于安全补丁的数量众多,而局域网中计算机也逐年增多,因此,这项工作几乎不可能靠手工完成。
为此,通软产品提供了实用的安全补丁自动升级功能模块。
支持安全补丁信息自动更新、计算机补丁和漏洞自动扫描、补丁文件自动下载及分发,并可完成客户端补丁自动静默安装。
Ÿ支持对微软操作系统、IE、Office及SQLServer等进行补丁自动发现、下载及分发操作,支持补丁分类下载和增量导出;
Ÿ支持终端补丁修复情况自动监测,并汇总统计;
Ÿ可自定义补丁分发时的网络流量占用率;
Ÿ提供终端用户提醒功能,可在修复终端补丁前请终端用户确认;
Ÿ所有补丁文件下载均直接通过Internet连接微软网站获得,通软的技术人员针对每一个补丁进行测试筛选后,方可将索引链接地址添加至平台中,避免某些补丁给用户带来不便;
Ÿ记录补丁策略下发及终端执行补丁执行日志。
2.5.2.3终端杀毒软件管理
计算机病毒的干扰是用户局域网管理的主要烦恼之一,然而为什么购买了杀毒软件还是不能彻底解决病毒问题呢?
主要原因是杀毒软件本身保证不了在网络中彻底杀毒,就连全部安装指定的杀毒软件这个基本条件也是杀毒软件本身所无法保证的。
如果不能实现统一彻底杀毒,目前常见的网络蠕虫病毒就很容易卷土重来。
针对这种情况,通软为了实现统一杀毒、无死角杀毒,提供如下功能机制:
Ÿ无死角安装杀毒软件,不安装指定的杀毒软件不能入网(支持同时指定多个合法的杀毒软件);
Ÿ监控网内杀毒软件产品分布情况,及时发现未安装杀毒软件或者未安装指定杀毒软件的计算机;
Ÿ监控杀毒软件病毒库更新情况;
Ÿ无死角同一时间统一运行杀毒软件,对未开机的计算机在开机后即刻自动杀毒补课。
图杀毒软件分布情况
2.5.3终端资产及网络状态监控
2.5.3.1实名制管理
随着信息化建设的深入,计算机数量逐年增加,网络规模越来越大,当出现问题后,不容易定位问题,即使通过某些工具找到了问题计算机,但是仅凭IP或者MAC很难知道这是哪个部门的哪位员工的计算机,难以和具体的使用人一一对应,即建立有效的人机对应的管理机制。
通软平台通过自动获取结合主动收录的方法,使计算机信息与使用人、部门、联系方式、地理位置等信息一一对应。
当出现问题时能快速对应到具体的使用人员,使管理更有针对性。
图通软实名制管理平台
2.5.3.2软/硬件资产管理
在一个规模较大的局域网内,如果没有一个有效的技术手段,仅仅想了解单位内有多少台计算机,每台计算机属于哪个部门或使用者,也不是一个易于完成的任务,更何谈详细了解局域网内的软硬件资产情况。
通软平台可以详细展示网内计算机软硬件资产信息,若资产发生变更则立即报警,防止资产流失。
具体方案如下:
Ÿ自动收集软硬件清单:
管理员可以查询部分或所有计算机的软件和硬件配置信息,解决计算机设备配置情况统计难问题;
Ÿ资产统计报表:
可对计算机的硬件信息,如CPU、内存、硬盘、显卡等信息进行数据统计和对其进行详细或粗略的查询,轻松解决局域网中计算机众多,对其硬件配置不好统计的难题,并能够提供详细的报表;
Ÿ资产变更报警及统计:
由于技术水平和素质的差异,计算机使用者常会有意无意的破坏或更换了计算机的硬件设备,硬盘、内存条丢失时有发生,这不仅是单位硬件资产上的损失,更严重的后果是无形的信息技术资产的流失。
通软平台当检测到硬件资产发生变化时,将立即发出报警,并定位问题计算机,使网管人员及时发现资产流失。
2.5.3.3报表中心
通软报表系统为用户提供丰富的报表资源,可以全面反映局域网中桌面终端各个方面的信息,使管理者可以掌握网络运行情况、使用情况、资源分布情况等历史真实数据,认识优势与不足,为进一步规划网络及持续发展提供有力的数据支撑。
Ÿ系统预置几十种常用报表模板,无须自定义即可查看网络及终端情况;
Ÿ提供强大的数据过滤机制,可以自定义时间范围,如日、周、月、季度、年等,快速生成报表;
Ÿ报表支持多种格式导出,如EXCEL、PDF等。
图网络占用情况报表
2.5.4终端行为管理及网络资源分配
2.5.4.1应用程序管理
随着局域网内通用PC功能日益强大,如何在局域网内实施有效的行为管理,成为很多单位面临的问题。
单位局域网内的通用PC作为提高办公效率工作工具的同时也成为某些人的娱乐手段,而且这些与工作无关的计算机行为往往是引入病毒、网络攻击等有害结果的主要原因,不正当的网络行为也通常会占用大量网络资源并浪费工作时间,仅仅靠行政手段很难从根本上解决这些问题。
基于信息安全的基本原则——最小权限原则(ThePrincipleofLeastPrivilege),管理员可以通过通软平台设置计算机可以运行什么或不可以运行什么,工作需要做什么,使用者用计算机仅可做什么,不该做的不能做,将普通PC塑造成“工作专用机”,既明显提高了员工工作效率,同时也是最佳的防毒措施。
另外,通软平台还提供严格或宽松两种管理方式,使管理更加灵活。
Ÿ以组的方式设定计算机只允许运行的程序(白名单),或禁止运行的程序(黑名单);
Ÿ对于已安装的黑名单(或非白名单)程序将不可运行,对于未安装的黑名单(或非白名单)程序将不可安装,即使终端用户修改了进程名仍可对其进行管理;
Ÿ详细记录
升级会员 