LANDesk Security Suite

用户指南 

版权所有 © 2002-2009 Avocent Corporation。保留所有权利。Avocent、LANDesk、Touchpaper、ITBM 及 

其各自的徽标是 Avocent Corporation 和/或其附属公司在美国和/或其他国家/地区的注册商标或商标。其他名 

称或品牌可能属其他公司所有。 

LANDesk 和 Avocent 不保证本文档没有错误,它们可以随时更改本文档以及相关的产品规范和说明,恕不另 

行通知。LANDesk 和 Avocent 对此处包含的信息不承担任何更新的义务。本文档“按原样”提供,不附加任何 

明示的、默示的担保、保证或许可,包括但不限于:特定用途适用性、适销性、不侵犯任何第三方的知识产权 

或其他权利。本文档中引用的任何 LANDesk 或 Avocent 产品均不适用于医疗、挽救或延续生命等应用。第三 

方可能拥有与本文档及其所讨论的技术相关的知识产权。 

2

内容 

LANDESK SECURITY SUITE 

封面...................................................................................... 1 

内容...................................................................................... 3 

LANDesk Security Suite 简介............................................................... 8 

概述:分层的安全解决方案 .................................................................. 8 

安装/激活 Security Suite .................................................................... 9 

安全套件内容订阅 ......................................................................... 10 

安全套件工具和功能 ....................................................................... 10 

LANDesk Security Suite 中包含的其他常用 LANDesk 工具 ..................................... 13 

从何处获取详细信息 ....................................................................... 14 

修补程序和遵从性 ......................................................................... 15 

“修补程序和遵从性”概述.................................................................... 16 

“修补程序和遵从性”任务工作流.............................................................. 20 

了解和使用“修补程序和遵从性”工具.......................................................... 20 

为安全扫描和修补配置设备 ................................................................. 26 

管理安全内容和修补程序 ................................................................... 31 

下载安全内容 ............................................................................. 31 

查看安全内容 ............................................................................. 35 

清理未使用的定义 ......................................................................... 36 

查看扫描设备的安全信息 ................................................................... 37 

使用修补程序 ............................................................................. 38 

使用用户定义 ............................................................................. 40 

使用 CVE 名称............................................................................ 45 

扫描和修补设备........................................................................... 47 

扫描设备上的安全风险 ..................................................................... 47 

查看检测到的安全数据 ..................................................................... 54 

修补检测到安全风险的设备 ................................................................. 56 

修补方法 ................................................................................. 60 

修补过程中在设备上执行的操作 ............................................................. 64 

查看所扫描设备的“修补程序和遵从性”信息.................................................... 65 

其他修补程序和遵从性管理任务 ............................................................. 65 

安全配置................................................................................. 67 

使用“安全配置”工具........................................................................ 68 

创建警报设置 ............................................................................. 74 

生成安全授权代码 ......................................................................... 75 

创建 Windows 防火墙设置.................................................................. 76 

LANDesk Antivirus....................................................................... 78 

“防病毒”概述.............................................................................. 78 

“防病毒”任务工作流........................................................................ 82 

将设备配置为采用“防病毒”保护.............................................................. 83 

从设备上卸载“防病毒”...................................................................... 84 

更新病毒定义文件 ......................................................................... 85 

通过试用测试评估病毒定义文件 ............................................................. 87 

备份病毒定义文件 ......................................................................... 87 

对设备进行病毒扫描 ....................................................................... 88 

启用实时防病毒保护(文件、电子邮件) ..................................................... 90 

以防病毒设置配置防病毒扫描选项 ........................................................... 92 

防病毒扫描过程中在设备上执行的操作 ....................................................... 97 

使用防病毒警报 ........................................................................... 99 

3

用户指南 

4 

使用防病毒报告 .......................................................................... 100 

在决策仪表板中查看防病毒信息 ............................................................ 100 

端点安全................................................................................ 101 

启用和部署“端点安全”..................................................................... 102 

“端点安全”设置帮助....................................................................... 103 

在使用“端点安全”组件配置的设备上执行的操作............................................... 104 

LANDesk 防火墙 ........................................................................ 105 

使用 LANDesk 防火墙设置 ................................................................ 106 

LANDesk 防火墙设置帮助 ................................................................. 107 

主机侵入保护系统 (HIPS) ................................................................. 110 

主机侵入保护 (HIPS) 概述 ................................................................. 110 

HIPS 任务工作流......................................................................... 112 

针对 HIPS 保护配置设备 .................................................................. 114 

使用 HIPS 设置自定义 HIPS 保护 .......................................................... 117 

HIPS 设置帮助........................................................................... 119 

了解 HIPS 学习模式 ...................................................................... 122 

合并 HIPS 认证 .......................................................................... 123 

设备控制................................................................................ 124 

“设备控制”概述........................................................................... 124 

使用“设备控制”设置来限制设备访问......................................................... 124 

部署“设备控制”设置....................................................................... 126 

“设备控制”设置帮助....................................................................... 127 

“设备控制”管理任务....................................................................... 129 

故障排除设备控制 ........................................................................ 132 

安全活动................................................................................ 133 

查看安全状态和活动 ...................................................................... 133 

配置安全活动阈值设置 .................................................................... 136 

清除安全活动 ............................................................................ 137 

网络访问控制 (NAC)...................................................................... 138 

网络访问控制概述 ........................................................................ 138 

实现 LANDesk 802.1X NAC 支持........................................................... 142 

使用 LANDesk 802.1X NAC............................................................... 143 

LANDesk 802.1X NAC 概述 ............................................................... 143 

设置修补服务器 .......................................................................... 146 

设置 802.1X Radius 服务器或代理.......................................................... 147 

将 LANDesk 802.1X NAC 代理部署到受管设备............................................... 154 

配置用于支持 LANDesk 802.1X NAC 的交换机和路由器....................................... 156 

在配置了 LANDesk 802.1X NAC 的受管设备上执行的操作..................................... 157 

排除 LANDesk 802.1X NAC 故障........................................................... 157 

安装和配置修补服务器 .................................................................... 158 

定义遵从性安全条件并发布 NAC 设置....................................................... 162 

发布 NAC 设置........................................................................... 163 

使用“修补”页面........................................................................... 166 

管理 802.1X NAC 遵从性安全.............................................................. 169 

查看不符合条件的设备 .................................................................... 171 

LANDesk 802.1X NAC 的“快速启动”任务列表 ................................................ 172 

代理观察器.............................................................................. 175 

代理观察器概述 .......................................................................... 175 

启动和配置代理观察器 .................................................................... 176 

代理观察器设置帮助 ...................................................................... 180 

使用代理观察器报告 ...................................................................... 181 

使用控制台.............................................................................. 182 

控制台概述 .............................................................................. 182 

启动控制台 .............................................................................. 183


更改核心服务器的连接 .................................................................... 184 

了解网络视图 ............................................................................ 184 

创建组 .................................................................................. 186 

设备图标 ................................................................................ 187 

查看“所有设备”组中的受管设备............................................................. 187 

快捷菜单 ................................................................................ 187 

用列配置来配置网络视图 .................................................................. 188 

工具栏选项 .............................................................................. 190 

使用控制台工具 .......................................................................... 191 

可停靠的工具窗口 ........................................................................ 191 

保存窗口布局 ............................................................................ 192 

“查找”栏................................................................................. 192 

状态栏 .................................................................................. 192 

查看设备属性 ............................................................................ 193 

监视设备的联网情况 ...................................................................... 194 

Management Suite 端口使用情况........................................................... 196 

安装附加 Management Suite 控制台 ........................................................ 196 

安装 Web 控制台......................................................................... 197 

运行 CoreDbUtil 重置、重新生成或更新数据库 ............................................... 201 

选择核心服务器和数据库硬件 .............................................................. 202 

在一台服务器上托管所有管理套件服务(最多 750 个设备) ................................... 202 

在一台服务器上托管所有管理套件服务(750-1,500 个设备) .................................. 202 

多台服务器配置(3,000 – 5,000 个设备) ................................................... 203 

多台服务器配置(5,000-8,000 个设备)..................................................... 204 

多台服务器配置(8,000-12,000 个设备).................................................... 204 

多台服务器配置(16,000 个或更多设备) ................................................... 205 

安装 LANDesk Management Suite.......................................................... 206 

核心激活................................................................................ 208 

激活核心服务器 .......................................................................... 208 

基于角色的管理.......................................................................... 211 

添加 Management Suite 控制台用户 ........................................................ 213 

管理身份验证 ............................................................................ 214 

管理角色 ................................................................................ 215 

了解控制台权限 .......................................................................... 217 

管理组权限 .............................................................................. 223 

创建范围 ................................................................................ 225 

使用团队 ................................................................................ 226 

使用基于角色的管理来管理报告访问 ........................................................ 227 

多核心支持 .............................................................................. 227 

配置服务................................................................................ 229 

选择核心服务器和数据库 .................................................................. 229 

配置清单服务 ............................................................................ 230 

配置调度程序服务 ........................................................................ 232 

配置首选服务器凭据 ...................................................................... 234 

配置自定义作业服务 ...................................................................... 234 

配置多播服务 ............................................................................ 235 

配置操作系统部署服务 .................................................................... 236 

配置 BMC 密码 .......................................................................... 237 

配置操作系统虚拟化凭据 .................................................................. 237 

配置设备代理............................................................................ 238 

使用代理配置 ............................................................................ 238 

代理安全证书和可信证书 .................................................................. 243 

混合语言环境中的代理配置 ................................................................ 245 

卸载设备代理 ............................................................................ 245 

5

用户指南 

6 

将 LANDesk® System Manager 与 LANDesk® Management Suite 配合使用 ..................... 246 

支持的平台和功能 ........................................................................ 246 

管理清单................................................................................ 248 

清单扫描概述 ............................................................................ 248 

查看清单数据 ............................................................................ 249 

跟踪清单更改 ............................................................................ 250 

使用自定义数据表单 ...................................................................... 251 

使用非核心清单服务器 .................................................................... 254 

管理软件列表 ............................................................................ 254 

数据库查询.............................................................................. 257 

查询概述 ................................................................................ 257 

查询组 .................................................................................. 257 

创建数据库查询 .......................................................................... 257 

运行数据库查询 .......................................................................... 259 

导入和导出查询 .......................................................................... 259 

LDAP 查询.............................................................................. 260 

配置 LDAP 目录.......................................................................... 260 

关于“目录管理器”窗口..................................................................... 261 

有关轻型目录访问协议 (LDAP) 的详细信息 .................................................. 263 

报告.................................................................................... 265 

使用报告控制台 .......................................................................... 266 

导入和导出报告 .......................................................................... 267 

计划报告 ................................................................................ 268 

查看报告历史记录 ........................................................................ 269 

使用报告树 .............................................................................. 269 

管理多个核心服务器的报告 ................................................................ 270 

创建和运行自定义报告 .................................................................... 271 

脚本和任务.............................................................................. 272 

管理脚本 ................................................................................ 272 

安排任务 ................................................................................ 273 

使用默认脚本 ............................................................................ 276 

使用汇总核心服务器对任务进行全局计划 .................................................... 277 

使用本地调度程序 ........................................................................ 278 

软件分发................................................................................ 284 

软件分发概述 ............................................................................ 284 

设置传送服务器 .......................................................................... 288 

分发程序包 .............................................................................. 290 

使用 MSI 分发程序包 ..................................................................... 301 

分配返回代码 ............................................................................ 303 

使用软件部署门户 ........................................................................ 305 

将软件分发到 Linux 设备上 ................................................................ 305 

解决分发失败问题 ........................................................................ 306 

基于策略的管理.......................................................................... 307 

关于基于策略的管理 ...................................................................... 307 

配置策略 ................................................................................ 308 

未管理设备搜寻.......................................................................... 311 

未管理设备搜寻概述 ...................................................................... 311 

使用 UDD 搜寻未管理设备................................................................. 312 

使用扩展设备搜寻(ARP 和 WAP) ........................................................ 313 

当搜寻到设备时执行的操作 ................................................................ 316 

将 LANDesk 代理部署到未管理设备 ........................................................ 317 

恢复客户端记录 .......................................................................... 318 

核心服务器同步 .......................................................................... 318 

汇总核心服务器.......................................................................... 325


附录:其他安全扫描器信息 ................................................................ 330 

附录:上下文相关帮助 .................................................................... 334 

“防病毒”帮助............................................................................. 334 

“防病毒下载更新”帮助..................................................................... 334 

“防病毒任务”帮助......................................................................... 337 

“防病毒设置”帮助......................................................................... 338 

清单帮助 ................................................................................ 344 

受管设备帮助 ............................................................................ 347 

“修补程序和遵从性”帮助................................................................... 365 

“修补程序和遵从性”工具窗口帮助........................................................... 365 

下载安全内容更新帮助 .................................................................... 367 

定义属性帮助 ............................................................................ 370 

检测规则属性帮助 ........................................................................ 372 

修补程序和遵从性任务帮助 ................................................................ 378 

“修补程序和遵从性”设置帮助............................................................... 382 

“修补程序和遵从性”工具栏帮助............................................................. 389 

计划任务帮助 ............................................................................ 390 

软件分发帮助 ............................................................................ 393 

使用“分发程序包”对话框................................................................... 393 

使用交付方式对话框 ...................................................................... 398 

未管理设备搜寻帮助 ...................................................................... 405 

7

用户指南 

LANDesk Security Suite 简介 

LANDesk Security Suite 提供了从单一控制台管理和保护企业网络上的设备和关键数据所需的一些工具。 

LANDesk Security Suite 支持 Windows NT*、Windows* 2000/2003、Macintosh* 和 Linux* 网络。 

Security Suite 基于 LANDesk Management Suite 的主要功能,可用于配置和管理网络设备,然后通过增加与 

安全相关的特定工具(如修补程序和遵从性、防病毒、端点安全、网络访问控制 (NAC)、代理观察器和更多 

工具)来提高和重点加强其功能;从而提供一个全面、分层的安全解决方案。 

阅读本节后,您将了解以下内容: 

8 

概述:分层的安全解决方案 

安装/激活 

安全套件内容订阅 

安全套件工具和功能 

中包含的其他常用 LANDesk 工具 

从何处获取详细信息 

概述:分层的安全解决方案 

LANDesk Security Suite 是完整的安全管理解决方案,帮助您前瞻性地监视、防卫、修补和巩固网络基础结构 

和资源。 

基本的“修补程序和遵从性”工具,使您可以扫描并修补持续威胁受管设备健康和性能的常见安全风险类型,包 

括:已知操作系统和应用程序漏洞、间谍软件、系统配置错误、未授权或禁止的应用程序以及其他潜在安全隐 

患。LANDesk Antivirus 允许您下载最新的病毒定义文件更新、配置病毒扫描以检查受管设备上的病毒并为最 

终用户提供处理已感染和隔离对象的选项。LANDesk 网络访问控制 (NAC) 可在网络上提供端点遵从性安全, 

允许您使用“修补程序和遵从性”工具创建自定义遵从性安全策略并通过状态验证过程在尝试访问网络的设备上 

实现这些策略。“设备控制”可以通过网络连接和 I/O 设备来监视和限制对受管设备的访问。

下表显示了 Security Suite 工具如何相辅相成,提供强大的系统防卫: 


安全问题/任务 LANDesk Security Suite 解决方案 

了解和验证控制台查看: 

- 安全内容列表 

- 定义(和检测规则)属性 

- 修补程序和遵从性扫描信息 

- 防病毒活动和状态信息 

警报 

报告 

网络访问控制 

(身份验证和安全策略遵从性) 

漏洞评估和修补 

(自定义安全定义) 

LANDesk 802.1X NAC 解决方案 

修补程序和遵从性 

修补程序管理修补程序和遵从性 

恶意软件检测和修复防病毒 

风险软件扫描 

防间谍软件 

实时扫描 

应用程序阻挡软件 

设备配置和安全装置设备控制 

主机侵入保护 (HIPS) 

LANDesk 防火墙保护 

代理观察器 

未管理设备扫描和搜寻未管理设备搜寻 

扩展设备搜寻(ARP 和 WAP) 

安装/激活 Security Suite 

LANDesk Security Suite 和 LANDesk Management Suite 均使用相同的安装程序在核心服务器上安装必需的 

组件。与其他 LANDesk 软件产品(例如 Management Suite 和清单管理器)一样,当使用您的 LANDesk 帐 

户信息真正激活核心服务器后,即可在控制台中使用相应的 Security Suite 功能。如果您的帐户经过 

LANDesk Security Suite 的许可,则当您登录控制台时,将会看到《LANDesk Security Suite 用户指南》中描 

述的工具和功能。 

如《LANDesk Management Suite 用户指南》中所述,在混合网络上安装和部署 LANDesk 管理软件等系统级 

的应用程序时需要深思熟虑的方法和周密的计划,之后才能运行安装程序。由于网络考量比较类似并且产品都 

使用同一安装程序,因此应参考该指南以了解有关部署策略的详细信息和每个部署阶段的逐步说明,包括:设 

计管理域、准备数据库、安装 LANDesk 核心服务器和配置设备代理。 

安全套件不包括所有管理套件组件 

请记住,某些管理套件组件不适用于安全套件实现,例如操作系统部署和汇总核心服务器。 

一旦安装完 LANDesk Security Suite 并使用安全套件许可证激活核心服务器后,即可参考该指南的相关部分 

以了解有关启动控制台和使用可用工具(包括特定安全工具和下面列出的功能)的信息。 

9

用户指南 

安全套件内容订阅 

LANDesk Security Suite 提供了扫描和修复支持,可用于多种不同类型的安全风险,包括支持的设备平台上的 

已知操作系统漏洞和应用程序漏洞、间谍软件、病毒、系统配置威胁、未授权的应用程序等等。任何类型的每 

一个安全风险均可由定义文件来体现。定义文件通常由 ID、特定属性、检测规则详细信息和修补程序文件信 

息(如适用)组成。LANDesk Security Services 可维护安全定义文件数据库,称为安全套件内容或安全和修 

补程序内容,这些内容会持续更新,您可通过网络下载。 

为下载安全和修补程序内容,您必须具有相关的安全套件内容订阅。有关安全套件内容订阅的信息,请联系 

LANDesk 销售商,或访问 LANDesk 网站。 

LANDesk 用户社区上有针对许多 LANDesk 产品和技术的用户论坛和最佳已知方法。要访问此类宝贵资源, 

请访问:http://community.landesk.com 

该指南中的修补程序和遵从性部分介绍了如何下载您已订阅的安全和修补程序内容。 

安全套件工具和功能 

Security Suite 的基础工具称为修补程序和遵从性。请参阅下面的简要概述。要了解关于安全内容和支持的设 

备平台、以及如何使用“修补程序和遵从性”执行安全和遵从性扫描与修补、查看扫描结果、生成安全报告和配 

置不间断系统安全方面的更多内容,请参阅修补程序和遵从性。 

下面的部分概述了由 LANDesk Security Suite 所提供的安全管理工具,并且具有指向工具主要部分的链接: 


使用“修补程序和遵从性”可下载最新的已知漏洞定义(和其他安全内容类型的定义)及其相关修补程序。为 

LANDesk 软件更新扫描受管设备以及核心服务器和控制台。配置和运行自定义安全评估扫描,以查找已知的 

特定于平台的漏洞、间谍软件、系统配置安全威胁、防病毒扫描器和阻止或未被授权的应用程序。 

您还可以: 

创建自己的自定义安全定义来扫描设备,以发现特定的具有潜在危险性的情况。 

研究、设置优先级、下载以及部署和安装修补程序。 

创建并运行用于修补检测到的安全风险的计划任务和策略。 

配置在扫描和修补过程中安全扫描器是否显示在最终用户设备上,配置设备重新启动选项以及用户交 

互的级别。 

查看所扫描设备的全面的安全和修补程序信息。 

启用安全警报。 

生成安全报告。 

LANDesk Management Suite 实现中的修补程序和遵从性扫描 

默认情况下,“修补程序和遵从性”工具包括在 LANDesk Management Suite 安装中(核心服务器激活)。但是,最初您只 

能扫描 LANDesk 软件更新和您自己定义的安全定义。要扫描和修补其他安全类型,必须具有相应的安全套件内容订阅。 

有关扫描和修补受管设备上安全隐患的详细信息,请参阅扫描和修补设备。 

CVE 命名标准遵从性 

LANDesk 安全产品支持 CVE(公共漏洞和隐患)命名标准。利用“修补程序和遵从性”,您可以根据漏洞的 

CVE 名称搜索漏洞,查看已下载漏洞定义的 CVE 信息。 

有关 CVE 命名约定、LANDesk 与 CVE 标准的兼容性以及如何在修补程序和遵从性中使用 CVE 标识查找各 

个漏洞的详细信息,请参阅使用 CVE 名称。 

10

安全配置 


新的安全配置工具可让您创建和管理多个安全组件和服务的设置文件。配置(即设置文件)可控制安全服务在 

受管设备上的运行方式。 

使用安全配置工具,您可以将安全代理/服务及其相关设置作为初始代理配置、单独安装或更新任务以及更改 

设置任务的组成部分部署到受管设备中。 

有关详细信息,请参阅安全配置。 

LANDesk Antivirus 

LANDesk Antivirus 允许您保护所有受管设备免受最新的已知病毒攻击以及可疑的病毒感染。防病毒扫描还可 

以检查危险软件(通过扩展数据库)。LANDesk Antivirus 是可配置的防病毒工具,它与安全套件和 

LANDesk Management Suite 均已全面集成。 

LANDesk Antivirus 可提供广泛的防病毒功能,包括:计划的防病毒扫描、按需扫描、红色按钮扫描、实时文 

件和电子邮件保护、自动下载病毒定义文件更新(LANDesk 病毒码数据库包含最近的已知病毒定义,并且每 

天更新数次)、配置防病毒扫描操作和最终用户选项、扫描排除类型以及防病毒警报和报告等。 

此外,在主控制台和 Web 控制台的决策仪表板中均可查看被扫描设备的实时防病毒信息,以便快速识别病毒 

爆发并了解指定时间周期内的病毒控制。 

有关详细信息,请参阅 LANDesk Antivirus。 

端点安全 

“端点安全”可保护受管设备避免零日攻击、防火墙入侵和未经授权的网络和设备连接。 

“端点安全”包含以下安全组件的自定义设置文件(保存的功能和选项配置,可部署到目标设备): 

位置感知(通过信任位置的网络连接控制) 


LANDesk 防火墙 

设备控制 


LANDesk Host Intrusion Prevention System (HIPS) 提供了一层额外保护,可以主动地防止系统和应用程序遭 

到零日攻击。HIPS 利用自定义规则和文件认证来监视应用程序并阻止被禁止的操作和行为,从而使您能够保 

护文件系统、注册表、系统启动项,甚至检测到隐藏的 rootkit。 

有关详细信息,请参阅主机侵入保护系统 (HIPS)。 


LANDesk 防火墙可以创建和配置专用防火墙设置以阻止对受管设备的未授权访问。 

LANDesk 防火墙和 Windows 防火墙 

LANDesk 防火墙弥补了 Windows 防火墙的不足,两者可在受管设备上同时启用和运行。 

有关详细信息,请参阅 LANDesk 防火墙。 

设备控制 

“设备控制”通过允许您监视和限制对 I/O 设备和网络连接的访问,向您的 LANDesk 网络添加了另一层安全。 

可以对允许设备连接的网络 IP 地址进行限制,也可以对那些允许访问设备数据的设备(如端口、调制解调 

器、驱动器、USB 设备和无线连接)的使用进行限制。 

11

用户指南 

有关详细信息,请参阅设备控制。 

安全活动 

使用新的安全活动工具,可以查看多个安全组件和服务的重要活动和状态信息。安全活动提供了单一工具窗 

口,您可以在此轻松查看防病毒扫描结果、HIPS 保护、防火墙保护、阻止的设备以及更多内容。 

有关详细信息,请参阅安全活动。 

网络访问控制 (NAC) 

使用网络访问控制 (NAC) 在网络上实施端点遵从性安全。 

LANDesk 802.1X NAC 解决方案设计用于扩展网络上现有 802.1X Radius 服务器实现的安全。凭借 802.1X 

NAC,可使用“修补程序和遵从性”工具配置自定义遵从性安全策略,并通过状态验证过程在试图访问网络的设 

备上实现这些策略。健康设备将被授予访问权限,而不健康设备则受到隔离,它们可以在隔离区中得到修补并 

被授予完全访问权限,或者允许它们对网络进行有限访问。还可以创建和配置特定于遵从性的安全扫描,以便 

检查当前连接的设备是否符合您的安全策略。当病毒无法隔离或移除时,也可由防病毒扫描启动完整的遵从性 

安全扫描。 

重要说明:要使用 LANDesk NAC,需要设置其他硬件和软件,并要求拥有 802.1X Radius 服务器配置、802.1X 身份验证 

和健康状态验证以及高级网络基础结构设计原则和管理的丰富实践知识。 

有关详细信息,请参阅使用 LANDesk 802.1X NAC。 

12


LANDesk Security Suite 中包含的其他常用 LANDesk 工具 

LANDesk 常用工具提供管理套件和安全套件中的基本设备配置和管理功能。LANDesk Security Suite 实施过 

程中提供以下工具,它们显示在工具菜单中。注意,这些常用工具中的有些工具在安全套件许可激活中受到 

一定限制。 

代理配置 

使用代理配置可创建自定义代理配置以部署和安装管理和保护网络设备时所需的必要 LANDesk 代理。这些代 

理是标准 LANDesk 代理(包括清单扫描器、本地调度程序、带宽检测以及安全扫描器)、软件分发代理和软 

件授权监视代理(用于阻止应用程序)。 

不适用于 LANDesk Security Suite 的代理 

以下 LANDesk 代理(组件)在安全套件安装过程中不适用:自定义数据表单、远程控制以及操作系统部署和配置文件迁 

移。 

列配置 

使用列配置可自定义清单数据,这些数据显示在控制台网络视图的设备列表和查询结果列表中。 

报告 

使用报告工具可生成和发布大量专门报告(包括多种预定义的修补程序和遵从性、防病毒和 LANDesk NAC 

遵从性报告),这些报告可提供有关受管设备的有用信息。 

不适用于 LANDesk Security Suite 的报告 

以下报告类别不适用于安全套件:所有资产报告、所有 SLM 报告和所有远程控制报告。 

计划任务 

使用计划任务可创建重复执行的任务,特别是与安全和修补程序管理、修复、遵从安全实施、防病毒扫描等等 

相关的任务。您可以配置任务的目标设备和计划选项。 

不适用于 LANDesk Security Suite 的计划任务 

以下计划任务(脚本)类型不适用于安全套件:自定义数据表单、自定义脚本、手持设备任务和 OSD/配置文件迁移脚本。 

此外,分发程序包和交付方式任务选项也不能用安全套件配置。 

未管理设备搜寻 

使用未管理设备搜寻 (UDD) 可查找网络中那些没有向核心数据库提交清单扫描的设备。 

扩展设备搜寻 (XDD) 不采用 UDD 使用的、基于扫描的正常搜寻方法工作。具有扩展设备搜寻代理的受管设 

备监听 ARP(地址解析协议)广播,并维护生成广播的设备的高速缓存(存在于内存和本地驱动器上的文 

件)。扩展设备搜寻还可以检测 WAP(无线访问点)设备。 

Web 控制台执行仪表板 

决策仪表板为企业官员及 IT 经理提供重要数据,使他们能够对业务的各个关键领域进行持续的监管。这增强 

了业务的透明度,使主管人员能够做出英明的管理决策并对关键问题做出快速响应。 

使用基于角色的管理和本地帐户工具的用户管理 

用户和本地帐户工具允许向安全套件管理角色添加用户,并根据他们的管理角色配置其对特定工具和受管设备 

的访问。 

通过基于角色的管理,可分配角色(及其相关权限)以确定用户可以执行的任务和范围(基于设备组、查询、 

LDAP 目录或自定义目录),从而确定用户可查看和管理的设备。安全套件中可用的角色包括:修补程序和遵 

从性、网络访问控制、安全配置、软件分发、公共查询管理和未管理设备搜寻。 

13

用户指南 

不适用于 LANDesk Security Suite 的角色和权限 

以下基于角色的管理权限不适用于安全套件:操作系统部署、远程控制、资产配置、资产数据条目和软件授权监视。 

本地帐户是用于管理网络中本地计算机上的用户和组的管理工具。在控制台中,您可以添加和删除用户和组、 

在组中添加和删除用户、设置和更改密码、编辑用户和组设置、创建为多个设备重置密码的任务。 

安全套件中包含的其他 LANDesk 管理功能 

除了上面列出的在控制台“工具”菜单中显示的工具外,安全套件还提供以下普通 LANDesk 功能: 

自定义控制台布局 

设备和查询的网络视图 

设备和查询的快捷菜单 

清单 

警报 

文件复制实用程序 

服务配置 

辅助控制台 

LANDesk Security Suite 不支持自定义数据表单 

仅具有 LANDesk Security Suite 许可无法使用自定义数据表单工具。必须具有 LANDesk Management Suite 的完全许可才 

能使用自定义数据表单。 

从何处获取详细信息 

在特定安全工具部分之后,本指南的其余部分包括来自《LANDesk Management Suite 用户指南》的部分, 

其中介绍了上述提及的特定工具和功能,以及关于了解和使用 LANDesk 控制台和网络视图的信息。请参阅目 

录以查阅相应章节,了解每一种工具。 



14



“修补程序和遵从性”是完整的、集成的安全管理解决方案,可帮助您保护 LANDesk 受管设备,从而避免各种 

常见的安全风险与隐患。 

“修补程序和遵从性”提供了所有您需要的工具,使您可以从 LANDesk 安全服务下载常见类型的安全内容更新 

(比如漏洞、间谍软件、配置安全威胁、病毒定义(病毒码)文件以及未经授权的应用程序)。您可以下载相 

关的修补程序文件,并在受管设备上配置并运行安全评估和修复扫描。您还可以创建自己自定义的定义,对设 

备进行特定的潜在有害情况扫描和修复。如果检测到了任何安全风险,“修补程序和遵从性”提供了各种方法来 

修补受影响的设备。此外还可随时查看所扫描设备的详细安全信息,并生成专门的“修补程序和遵从性”报告。 

所有这些企业级安全管理任务都可以方便地在一台控制台中进行。 

此外,“修补程序和遵从性”还允许扫描管理的设备、核心服务器和控制台机器所安装的 LANDesk 软件版本, 

并部署相应的 LANDesk 软件更新。 

关于 LANDesk Security Suite 

“修补程序和遵从性”工具是 LANDesk Security Suite 的主要安全管理组件。Security Suite 基于 LANDesk Management 

Suite 的许多主要功能,同时还集成了专门的安全管理工具,例如“修补程序和遵从性”、“防病毒”、“端点安全”(HIPS、防火 

墙、设备控制)等。“修补程序和遵从性”工具在 Management Suite 和 Security Suite 中提供了相同的功能,本节将详细介 

绍该工具。有关 Security Suite 所支持的基本 LANDesk 功能的详细信息,请参阅 LANDesk Security Suite 用户指南。 


"展望:配置设备以进行安全扫描和修补之后要执行的操作" 在页面 15 

"“修补程序和遵从性”概述" 在页面 16 

"安全内容类型和订阅" 在页面 17 

"支持的设备平台" 在页面 18 

"利用“修补程序和遵从性”进行基于角色的管理" 在页面 19 

"“修补程序和遵从性”任务工作流" 在页面 20 

"了解和使用“修补程序和遵从性”工具" 在页面 20 

"为安全扫描和修补配置设备" 在页面 26 

展望:配置设备以进行安全扫描和修补之后要执行的操作 

理解了“修补程序和遵从性”的概念、用户界面的浏览方法和常规任务工作流,并且配置设备使用“修补程序和遵 

从性”之后,即可执行以下“修补程序和遵从性”管理任务: 

下载安全内容更新和修补程序 

查看安全内容定义和检测规则属性 

创建自定义漏洞定义 

扫描受管设备上的安全风险 

修补受影响设备 

启用安全警报 

生成安全报告 

有关执行这些任务的详细信息,请参阅 "管理安全内容和修补程序" 在页面 31 和 "扫描和修补设备" 在页面 

47。 

15

用户指南 

“修补程序和遵从性”概述 

“修补程序和遵从性”提供在网络上建立系统级安全所需的所有工具。通过“修补程序和遵从性”,可以使维护、 

组织和查看安全内容这一系列重复过程自动化。 

使用安全扫描任务和策略访问管理的设备,以了解已知的特定于平台的漏洞。可下载和管理修补程序可执行文 

件。最后,可通过部署和安装必要的修补程序文件来修补检测到的漏洞并验证成功的修补。 

此外,您可以创建自定义漏洞定义来扫描受管设备中可能威胁系统的操作和安全的特定的操作系统和应用程序 

条件。可只为检测来配置用户自定义,或同时为检测和修补配置用户自定义。有关详细信息,请参阅 "创建用 

户定义和检测规则" 在页面 40。 

新增功能 

“修补程序和遵从性”提供了一些新功能,例如: 

特征 

16 

使用更改设置任务,只对您希望更改/更新的设备代理配置设置进行更改,包括:802.1X 支持设置、 

遵从性安全设置、配置 Windows 防火墙设置、自定义变量替代设置、HIPS 设置、LANDesk Antivirus 

设置以及安全扫描和修复设置。通过更改设置任务,您不需要进行全面的设备代理配置部署即可对所 

需设置进行更改。 

配置全局警报设置。 

扫描受管设备上是否存在间谍软件。如果检测到间谍软件,可安排一个修复作业从受影响的设备上删 

除间谍软件。 

用禁用的应用程序定义来阻止在最终用户设备上启动未授权或已禁止的应用程序。 

启用实时间谍软件监视(检测和删除)和实时应用程序阻止。 

扫描受管设备以发现本地硬盘驱动器上存在的安全威胁(Windows 系统配置错误和风险暴露)。一旦 

发现安全威胁,可在受影响的设备上手动执行必要的修复。 

使用一些特定的安全威胁定义检测 Windows 防火墙、将其打开或关闭,并且配置防火墙的设置。 

使用其他安全威胁定义中随附的自定义变量,可以自定义和更改特定的本地系统配置以及实施企业级 

的系统配置策略。 

安全扫描在受管设备上检测到指定的漏洞时收到警报。可以根据定义的严重级别配置警报。 

为关键的、紧迫的安全风险执行频繁的安全扫描(如病毒扫描)。 

使用漏洞相关性关系,可以在其他漏洞对受管设备产生负面影响之前或者在修补这些漏洞之前,识别 

需要安装的修补程序。取代信息中说明了已用最新版本替换并且不需要应用的修补程序。 

通过扫描 LANDesk 软件更新,验证受管设备以及核心服务器和控制台计算机上安装了最新的 

LANDesk 软件。如果检测到设备上有过期的版本,可安排修复作业并安装最新的 LANDesk 软件更 

新。 

通过“修补程序和遵从性”,您可以执行以下操作: 

为网络中不同语言版本的操作系统提供修补程序安全,目前支持以下语言:捷克语、丹麦语、荷兰 

语、英语、芬兰语、法语、德语、意大利语、日语、挪威语、波兰语、葡萄牙语、简体中文、西班牙 

语、瑞典语、繁体中文。 

组织并分组安全定义,以执行自定义的安全评估扫描和修补(请参阅 "树视图" 在页面 22)。 

评估包括 Windows、Sun Solaris 和 Linux 在内的各种受支持设备平台上的漏洞和其他安全风险(请 

参阅 "扫描设备上的安全风险" 在页面 47)。 

查看所扫描设备的“修补程序和遵从性”信息(请参阅 "查看安全内容" 在页面 35)。 

计划自动的修补程序管理任务,包括内容更新、设备扫描和修补程序下载。 

修补工作可作为计划任务或策略执行,也可使用“自动修复”功能自动执行(请参阅 "修补检测到安全风 

险的设备" 在页面 56)。

下载、部署和安装经研究和检验的修补程序(请参阅 "下载修补程序" 在页面 38)。 

跟踪修补程序在扫描设备上的部署和安装情况。 


使用 LANDesk 的定向多播、对等下载和检查点重新启动功能快速、高效地部署修补程序。 

生成和查看各种特定于修补程序和遵从性管理的报告(请参阅 "使用“修补程序和遵从性”报告" 在页面 

66)。 

安全内容类型和订阅 

安装 LANDesk Management Suite 时,默认情况下现已包括“修补程序和遵从性”(以前是独立的附件)。但 

是,如果未订阅 Security Suite 内容,则只能扫描 LANDesk 软件更新和用户自定义。Security Suite 内容订阅 

可提供对其他安全内容(定义类型)的访问,从而使您能够充分利用“修补程序和遵从性”工具的优势。 

LANDesk Security Suite 内容类型包括: 

防病毒更新(对于第三方扫描器只包括防病毒扫描器检测内容;对于 LANDesk Antivirus,则扫描器检 

测内容和病毒定义文件二者均包括) 

禁用的应用程序(请参阅 "对禁用的应用程序类型的免责声明" 在页面 30) 

定制漏洞定义 

驱动程序更新 

LANDesk 软件更新 

安全威胁(系统配置隐患;包括防火墙检测和配置) 

软件更新 

间谍软件 

漏洞(已知的平台以及应用程序特定的漏洞) 

有关 Security Suite 内容订阅的信息,请联系 LANDesk 销售商,或访问 LANDesk 网站。 



17

用户指南 

使用下载更新 

注意,下载更新对话框的更新页面包含了定义类型列表中的一些安全内容类型。 

对于不同的内容类型,扫描和修补功能也有所不同。有关“修补程序和遵从性”如何在受管设备上扫描并修补检 

测到的安全风险的信息,请参阅 "扫描和修补设备" 在页面 47 中的相应章节。 

支持的设备平台 

“修补程序和遵从性”支持大多数标准 ANDesk 受管设备平台,其中包括以下操作系统: 

18 

Windows 98 SE 

Windows NT 4.0 (SP6a and higher) 

Windows 2000 Professional (SP4) 

Windows XP Professional (SP1/SP2) 

Windows 2003 Servers 

Mac OS X (10.2.x, 10.3.x, and 10.4.x)

Red Hat Linux 9 (从控制台扫描;手动修补) 

SUSE Linux (从控制台扫描;手动修补) 

Sun Solaris (从控制台扫描;手动修补) 


有关配置受管设备进行安全扫描的信息,请参阅本节后续部分的 "为安全扫描和修补配置设备" 在页面 26。 

支持扫描核心服务器和控制台以获得 LANDesk 软件更新 

您还可以扫描 LANDesk 核心服务器和控制台以获得 LANDesk 软件更新,但必须首先在这些机器上部署标准的 LANDesk 

代理,其中包括安全扫描任务所需的安全扫描器代理。 

利用“修补程序和遵从性”进行基于角色的管理 

“修补程序和遵从性”使用基于角色的管理来允许用户访问各项功能。基于角色的管理是使 LANDesk 管理员限 

制用户对工具和设备访问权限的访问和安全框架。每个用户都指定了特定的角色和范围,以确定他们可以使用 

哪些功能以及可以管理哪些设备。 

管理员可以使用控制台中的“用户”工具来为其他用户分配角色。“修补程序和遵从性”是位于“角色”对话框中“安 

全权限”组下的一个特定权限。要查看并使用“修补程序和遵从性”工具,用户必须拥有必要的“修补程序和遵从 

性”权限。 

重要说明:需要 LANDesk Script Writers 组权限 

要在“修补程序和遵从性”工具和“安全配置”工具(用于安全和遵从性扫描任务、修复任务以及更改设置任务)中创建计划任 

务和策略,用户必须拥有 LANDesk Script Writers 组权限。换句话说,他们必须属于具有 LANDesk Script Writers 权限的 

组。有关基于角色的管理的详细信息,请参阅 "基于角色的管理" 在页面 211。 

通过“修补程序和遵从性”权限,您可以让用户执行下列操作: 

在“工具”菜单和工具箱中查看和访问“修补程序和遵从性”工具 

配置受管设备进行安全评估、遵从性以及修补扫描 

为实时间谍软件扫描和对禁用的应用程序的扫描配置设备 

为对关键安全风险的高频率扫描配置设备 

为订阅了 Security Suite 内容的安全类型下载安全更新以及关联的修补程序 

创建自动下载定义和/或修补程序更新的计划任务 

创建自定义漏洞定义和自定义检测规则 

导入、导出和删除自定义定义 

按类型查看下载的安全内容(包括:所有类型、禁用的应用程序、用户自定义、LANDesk 更新、安全 

威胁、间谍软件、漏洞、驱动程序更新和软件更新) 

使用自定义变量自定义所选的安全威胁 

编辑自定义变量值(适用于具有自定义变量的安全内容类型,如安全威胁) 

在遵从性组中添加和删除安全定义 

更改遵从性组中包含的定义状态 

在受管设备上将安全和遵从性扫描作为计划任务或策略进行配置和运行 

将计划任务扫描分为暂存阶段和部署阶段 

创建和配置扫描设置和修复设置,以确定扫描选项,例如:要扫描的内容类型、扫描程序信息和进度 

显示、设备重新启动操作和最终用户的交互量。然后将扫描设置和修复设置应用于安全扫描任务、修 

复任务、卸载任务和重新启动任务 

按以下项查看详细的扫描结果:来查看详细的扫描结果(已检测的安全数据) 

作为计划任务或策略执行修补 

使用“自动修复”自动修补下列安全类型(如果检测到):漏洞、间谍软件、LANDesk 软件更新和自定 

义定义(还必须是 LANDesk 管理员) 

跟踪和验证在所扫描设备上的修补程序部署和安装的状态(修复历史记录) 

清除未使用的安全类型定义(必须是 LANDesk 管理员) 

19

用户指南 

20 

从所扫描的设备上卸载修补程序 

从核心数据库中删除修补程序 

配置漏洞警报 

生成各种特定的安全报告(还要求具有“报告”角色) 

“修补程序和遵从性”任务工作流 

以下步骤简要介绍了在 LANDesk 网络上实现“修补程序和遵从性”所涉及的典型过程。后面的部分将详细介绍 

所有这些过程。 

实施和使用修补程序和遵从性管理的基本步骤: 

1. 配置管理的设备执行安全和遵从性扫描及修补。 

2. 从安全内容服务器(从行业/供应商数据源更新)下载安全内容(漏洞和其他安全风险定义)。并创建 

用户自定义。 

3. 组织和查看安全内容。 

4. 创建安全和遵从性扫描任务。 

5. 配置扫描和修复设置来确定扫描操作和定义安全遵从性策略。 

6. 扫描漏洞、间谍软件、安全威胁、禁用的应用程序等。 

7. 查看设备的扫描结果。 

8. 下载用于修补已检测漏洞的修补程序。 

9. 通过在受影响设备上部署和安装修补程序来修复检测到的漏洞 

10. 修复其他检测到的安全风险与隐患。 

11. 查看修补程序安装状态和修复历史信息。 

了解和使用“修补程序和遵从性”工具 

与其他所有 LANDesk 工具类似,“修补程序和遵从性”窗口也可从工具菜单或工具箱打开,并且也可以停靠、 

浮动和以选项卡形式嵌入其他打开的工具窗口(请参阅 "可停靠的工具窗口" 在页面 191)。 

“修补程序和遵从性”权限 

要查看和访问“修补程序和遵从性”工具,用户必须拥有“LANDesk 管理员”权限(即完全权限)或特定的“修补程序和遵从性” 

权限。有关用户角色和权限的详细信息,请参阅 "基于角色的管理" 在页面 211。 

要打开“修补程序和遵从性”工具,请单击工具 > 安全 > 修补程序和遵从性。 

“修补程序和遵从性”窗口包含一个工具栏和两个窗格。左窗格显示安全类型定义和检测规则组的层次结构树视 

图。您可以根据需要展开或折叠这些对象。 

右侧窗格显示所选组的定义详细信息或检测规则详细信息列表,这取决于在左侧窗格中选择的组以及在长项目 

列表中进行搜索的查找功能。

搜索列表时不允许使用的字符 

查找框中不支持下列扩展字符: , ', ", ! 

“修补程序和遵从性”窗口的工具栏包含以下按钮: 

工具栏按钮 


下载更新:打开一个对话框,在其中可指定要更新的安全内容的平台和语言,以及要访问的安全内容 

服务器。还可以配置是否将定义放入“未分配”组、是否同时下载相关的修补程序、修补程序的下载位置 

以及代理服务器设置。 

创建任务:包括一个下拉列表,在其中可以选择要创建的任务类型,这些类型包括: 

安全扫描:让您创建一个安全扫描任务,指定扫描是一个计划任务还是一个策略,并选择扫描 

和修复设置,以确定安全扫描器是否显示、重新启动和交互操作以及要扫描的内容类型。 

遵从性扫描:让您创建一个安全扫描任务,该任务专门检查目标设备,判断其是否遵从在 

LANDesk 网络访问控制设置中根据“遵从性”组中的内容定义的当前安全策略。还可以指定遵从 

性安全扫描是一个计划任务(包括扫描哪些设备以及是否立即扫描)还是一个策略。 

更改设置:让您创建一个任务,通过将指定的设置 ID 写入到本机注册表来更改受管设备上的 

默认设置。通过更改设置任务,您可以更改一个或多个以下设置:802.1X 支持设置、遵从性 

安全设置、配置 Windows 防火墙设置、自定义变量替代设置、HIPS 设置、LANDesk 

Antivirus 设置以及安全扫描和修复设置。您可以使用此任务作为一种只对您想要更改的设置进 

行更改的快速而简便的方法,而无需重新部署完整的设备代理配置。 

重新启动:让您创建一个设备重新启动任务,指定重新启动是一个计划任务还是一个策略,并 

选择扫描和修复设置,该设置决定了显示和交互操作。请注意,只有该对话框重新启动页面上 

的选项适用于此任务。 

修复:让您创建一个安全修复任务,修补所扫描设备上检测到的安全漏洞。您可以将修复配置 

为一个计划任务、一个策略或是以上两者,将修复任务分成独立的暂存阶段和修复阶段,选择 

扫描和修复设置以及下载修补程序。请注意,必须先选择一个或多个可修复的安全定义后才能 

创建修复任务。 

收集历史信息:让您创建一个任务,收集当前扫描和检测到的可用于报告的计数(指定的天数 

内)。还可以创建和配置执行同样操作的计划任务。 

配置设置:包括一个下拉列表,在其中可以选择要配置、更改或更新的设置类型: 

扫描和修复设置:让您创建、编辑、复制及删除扫描和修复设置。扫描和修复设置决定了安全 

扫描器运行时是否在设备上显示、重新启动选项、用户交互和扫描的内容类型。 

遵从性设置:让您创建、编辑、复制及删除遵从性设置。遵从性设置确定何时以及如何进行遵 

从性安全扫描、是否自动产生修补、以及/或 LANDesk Antivirus 检测到目标设备上的病毒感染 

时如何执行操作。 

自定义变量替代设置:让您创建、编辑、应用及删除扫描和修复设置。自定义变量覆盖允许您 

配置自定义变量值的例外情况。换言之,使用自定义变量替代设置,您可以忽略或绕过特定的 

自定义变量条件,使扫描的设备不被确定为易受攻击。 

定义组设置:允许您创建、编辑、复制和删除用于自动化安全内容下载的定义组设置。 

警报设置:允许您配置全局安全警报。 

汇总核心数据库设置:允许您创建和管理汇总核心服务器设置。汇总核心服务器设置确定了自 

动将最新的安全扫描结果发送到您网络中的汇总核心服务器上。安全扫描数据发送让您能够在 

大型分布式企业网络中查看所有受管设备的实时漏洞状态,而无需直接从主核心服务器检索这 

些数据。 

创建用户自定义:打开一个带可编辑字段的空白“定义”属性对话框,在其中可指定用户自定义为仅检 

测还是允许修补、输入特定的漏洞信息、创建检测规则以及识别用于修补的适当的修补程序文件。 

导入用户自定义:使您可以导入一个包含自定义的 XML 文件。 

导出选定的用户自定义:使您可以将用户自定义导出为 XML 文件。 

21

用户指南 

22 

扫描信息:您可以根据类别(例如,最近扫描的和定义严重性),详细查看所有受管设备修补程序和 

遵从性活动和状态的详细信息。 

不具备遵从性的计算机:列出了在经过扫描以检查是否遵从预定义的遵从性安全策略(基于“遵从性” 

组的内容)后,被确定为不健康或不遵从的设备。 

刷新: 更新选定组的目录。 

删除选定的用户自定义:将选定的用户自定义从核心数据库删除。 

清除修补程序和遵从性定义:可让您指定要从核心数据库删除其定义的平台和语言。请注意:只有 

LANDesk 管理员用户才能执行此操作。 

帮助:打开联机帮助,转至“修补程序和遵从性”部分。 

类型下拉列表 

使用类型下拉列表来确定在树视图中显示哪些下载的定义。定义类型由内容的发布者指定。如果您只想查看 

一种特定类型的安全内容,或者如果您想要缩减非常长的全面列表,筛选显示内容可能非常有用。 

类型下拉列表包含以下选项: 

所有类型(所有下载的安全定义的全面列表) 

防病毒(仅列出下载的扫描器检测定义;不列出特定的 LANDesk Antivirus 病毒定义文件) 

禁用的应用程序(仅列出下载的禁用的应用程序定义) 

自定义的定义(仅列出用户定义的漏洞定义) 

驱动程序更新(仅列出下载的驱动程序更新定义) 

LANDesk 更新(仅列出 LANDesk 软件更新) 

安全威胁(仅列出下载的安全威胁定义) 

软件更新(仅列出下载的软件更新) 

间谍软件(仅列出下载的间谍软件定义) 

漏洞(列出所有下载的、适用于任何可用平台的漏洞定义) 

“修补程序和遵从性”窗口的左窗格显示以下项: 

树视图 

树视图的根对象包含了所有的安全类型,例如漏洞、间谍软件、安全威胁、禁用的应用程序和自定义的定义组 

(在适合的情况下还包含相关的检测规则组)。可按需展开和折叠根对象。 

所有类型(或当前选定的类型名称) 

包含下列子组: 

检测到漏洞:为包括在扫描中的所有设备列出安全扫描检测到的所有定义。此组的内容会随着网络上 

运行的所有安全扫描而增加。定义只能通过以下方式从此组中删除:成功修复定义,定义从“扫描”组中 

删除并再次运行扫描,或从数据库中实际删除受影响的设备。 

“已检测到”列表中包含最近一次扫描中检测到的所有安全定义。“已扫描”列和“己检测到”列分别显示扫 

描了多少设备以及在其中多少台设备上检测到定义。要查看具体在哪些设备上检测到定义,请右击相 

应的项,然后单击受影响的计算机。 

请注意:在网络视图中右击某设备,然后单击安全和修补程序信息,也可以查看该设备的特定信息。 

只能将定义从“已检测到”组中移到“未分配”组或“不扫描”组中。 

扫描:(对于禁用的应用程序,该组称为禁用。在管理的设备上运行安全扫描器时列出所搜索的所有 

安全定义。换言之,如果此组中包含定义,则该定义将成为下一扫描操作的一部分;否则,即不是扫 

描的一部分。


默认情况下,在内容更新过程中会将收集的定义添加到“扫描”组中。(重要说明:除已禁用的应用程序 

外,默认情况下已将这些应用程序添加到“未分配”组中。 

“扫描”是安全定义的三种可能状态之一,另两种状态分别为“不扫描”和“未分配”。就此而言,一个定义 

在一个时间上只能属于这三组之一。定义可以为“扫描”、“不扫描”或“未分配”,每个状态都由唯一的图 

标表示:问号(?)图标表示“未分配”;红色 X 图标表示“不扫描”;正常的漏洞图标表示“扫描”。将定 

义从一个组移动到另一个组将自动更改漏洞的状态。 

通过将定义移动到“扫描”组中(单击除“己检测到”组之外的其他组中的一个或多个定义,然后将其拖入 

此组),可以控制在目标设备上进行下一次安全扫描的具体特征和大小。 

从“扫描”组中移出定义时的注意事项 

将定义从“扫描”组中移到“不扫描”组中时,核心数据库中有关扫描过的设备检测到的定义的当前信息将从此数据库 

中删除,且不再出现在“属性”对话框或设备的“安全和修补程序信息”对话框中。要恢复该安全评估信息,必须将定 

义重新移到“扫描”组中,并再次运行同一安全扫描。 

不执行扫描:(对于禁用的应用程序,该组称为不阻止。)列出安全扫描器下次在设备上运行时不搜 

索的所有定义。如上所述,如果某个定义在该组中,则它不能同时存在于“扫描”组或“未分配”组中。可 

以将定义移动到该组中,以暂时将定义从安全扫描中删除。 

未分配:列出所有不属于“扫描”或“不扫描”组中的所有定义。“未分配”组实质上是所收集的定义在您决 

定是否扫描它们之前的存储区域。 

要移动定义,请从“未分配”组中单击一个或多个定义,然后拖动到“扫描”组或“不扫描”组中。 

通过在下载更新对话框中选择将新定义放入“未分配”组选项,还可在内容更新过程中自动将新定义添 

加到“未分配”组中。 

所有项:在普通列表中列出所有选定类型的定义,即使已将定义移动至“未分配”、“扫描”或“不扫描”组 

中。 

按产品查看:按特定产品子组列出所有定义。这些子组可以帮助您按产品类别找出定义。 

您可以使用这些产品子组将定义复制到“扫描”组,以便进行特定于产品的扫描,也可以将它们复制到自定义组 

(见下文,以便一次能修补一组产品)。 

可将定义从产品组复制到“扫描”、“不扫描”、“未分配”组或任何由用户定义的自定义组。这些定义可以同时包含 

在平台组、产品组和多个自定义组中。 

组 


自定义组:列出创建的所有子组及其包含的定义。“我的组”提供了一种组织所需安全定义的方式。使 

用组内容,为自定义扫描复制一些定义到“扫描”组中,或立刻为一些定义创建修复工作。 

您还可以使用自定义组来定义安全扫描的内容。复制您想扫描的定义到自定义组并在“扫描和修复”设置 

对话框的“扫描目标”选项中选择此组 

要创建自定义组,右击自定义组(或子组),然后单击新建组。 

要添加定义到自定义组,请从任何其他定义组中单击并拖动一个或多个定义。或者,可右击一个自定 

义组,然后单击添加定义。 

预定义:列出由 LANDesk 安全内容订阅决定的所有预定义的漏洞定义。例如,此组也许包含行业发 

布的定义,例如 SANS Top 20(Microsoft 识别和发布的排名前 20 的漏洞定义)。(这些定义通常是 

“Microsoft Windows 漏洞”的子集,可通过下载更新对话框下载。) 

警报:列出下次运行安全扫描器和设备时将生成警报消息的所有定义。 

遵从性:列出用于确定受管(或移动/来宾设备)是否健康的所有定义。LANDesk 网络访问控制 

(NAC)使用此组拒绝或允许访问主网络。遵从性组中包含的定义以及关联的修补程序文件复制到特 

23

用户指南 

检测规则 

24 

殊修补服务器中,该服务器扫描设备,确定是否遵从、并且可以修补非遵从性设备,以便为其授予完 

全访问企业网络的权限。 

“检测规则”组只针对特定的安全内容类型显示。 

检测规则 

这些规则定义了特定的条件(关于操作系统、应用程序、文件或注册表),定义检查这些条件以检测相关的安全风险。使用 

检测规则的定义(例如,内容类型)包括:漏洞、安全威胁和用户定义。间谍软件和被禁用的应用程序不使用检测规则。 

“检测规则”组包含以下子组: 

扫描:列出为在设备上进行安全扫描而启用的所有检测规则。 

默认情况下,在内容更新过程中,与任何安全内容类型相关联的检测规则都将添加到“检测规则扫描”组 

中。同样,创建用户自定义时,与用户自定义相关联的定制检测规则也将添加到“扫描”组中。 

请注意,除启用定义的检测规则之外,还必须将其相应的修补程序可执行文件下载到网络中的本地修 

补程序资料档案库中(通常为核心服务器),才能进行修补工作。“已下载”属性(工具窗口右侧窗格中 

的一个详细列)可指出与该规则相关的修补程序是否已下载。 

不执行扫描:列出为在设备上进行安全扫描而禁用所有检测规则。某些定义具有多个检测规则。通过 

禁用检测规则,可确保在设备上存在定义的情况下不使用该规则进行扫描。这可以让您在不对定义进 

行重新定义的情况下简化安全扫描。 

按产品查看:按特定产品子组列出所收集的漏洞的所有检测规则。这些子组可以帮助您按相关产品类 

别找出检测规则。 

可以使用这些产品子组执行组操作。 

设置 

您可以通过“设置”组查看对安全扫描任务创建的各种设置。可以右击任何“设置”组创建新设置并以报告格式查 

看设置信息。 


扫描和修复:列出已创建的所有用于确定安全扫描器操作的扫描和修复设置。每个扫描和修复设置都 

有一个唯一的 ID 号。右侧窗格显示了列出的扫描和修复设置的有用信息。 

遵从性:列出已创建的所有用于确定安全扫描器在执行特定的遵从性扫描时操作的遵从性设置。每个 

设置具有一个唯一的 ID 号。右侧窗格显示了列出的扫描和修复设置的有用信息。 

要覆盖的自定义变量:列出您创建的所有自定义变量替代设置,这些设置用于确定在安全扫描器运行 

时应该忽略的已修改自定义变量值。每个设置具有一个唯一的 ID 号。右侧窗格显示了列出设置的有用 

信息。 

定义详细信息 

“修补程序和遵从性”窗口的右窗格显示定义项和检测规则项的详细信息,这些信息分别列在可排序的列中,如 

下所示: 

ID:通过一个由供应商定义的唯一字母数字代码来标识定义。 

严重性:指示定义的严重级别。可能的严重级别包括:Service Pack、严重、高级、中级、低级、不 

适用和未知。 

标题:采用简短的文本字符串描述定义的性质或目标。 

语言:指示已受定义影响的操作系统或应用程序的语言。 

发布日期:指示供应商发布定义的日期。


可修复的:指示是否可以通过修补程序文件部署和安装修复定义。可能的值为:“可以”、“不可以”、 

“部分”(对于包含多个检测规则的定义以及不是所有检测到的定义都可以修补的情况)以及“没有规则” 

(对于没有包括任何检测规则的用户自定义)。 

无提示安装:指示是否无提示(指不与用户交互)安装定义的相关修补程序。某些定义可能有多个修 

补程序。此时,只要定义的其中任何一个修补程序不是无提示安装,“无提示安装”属性就是“否”。要查 

看单个修补程序的安装方式,请右击相应的定义,然后单击属性|修补程序。 

检测到漏洞:显示经过扫描检测到有定义的设备数量。 

已扫描:显示进行定义扫描的设备数量。 

自动修复:指示是为定义启用还是禁用“自动修复”功能。 

CVE ID:(仅适用于漏洞)通过漏洞的唯一 CVE(公共漏洞和隐患)名称标识漏洞。有关详细信 

息,请参阅 "使用 CVE 名称" 在页面 45。 

使用定义快捷菜单 

右击某项,选择属性选项可查看详细信息。 

可以使用定义的快捷菜单执行以下的任务(取决于安全类型): 

受影响的计算机 

未扫描的计算机 

下载相关的修补程序 

扫描时自动修补 

添加到遵从性组 

添加到警报组 

清除扫描/修复状态 

修复 

复制 

属性 

信息 

导出 

复制到其他核心服务器 

自动同步 

“检测规则”详细信息 

名称:显示检测规则的名称(可以为修补程序可执行文件名)。 

ID:显示与规则相关的定义的 ID。 

可修复的:表示是否可以通过修补程序文件部署和安装修复相关的定义。 

无提示安装:指示是否无提示(不与用户交互)安装规则的相关修补程序。 

重新启动:表示相关的修补程序文件是否需要系统重新启动,以便完成成功的修补。 

自动修复:指示是为相关的定义启用还是禁用“自动修复”功能。 

已下载:指示是否已将与规则相关的修补程序可执行文件下载到本地资料档案库中。 

右击检测规则,选择属性选项可查看更多详细信息。快捷方式菜单还使您可以启用/禁用规则、下载相关修补 

程序、打开修补程序库文件夹以及卸载修补程序。 

25

用户指南 

为安全扫描和修补配置设备 

在扫描受管设备的漏洞、间谍软件、安全威胁和其他安全类型并接收修补程序部署或软件更新前,必须在设备 

上安装安全扫描器代理(默认情况下,此代理随标准的 LANDesk 代理一同安装)。 

此部分包含了有关配置 Windows 设备以通过代理配置进行安全扫描的信息,以及有关配置 Linux、UNIX 和 

Mac 设备的信息。 

支持扫描核心服务器和控制台以获得 LANDesk 软件更新 

您还可以扫描 LANDesk 核心服务器和控制台以获得 LANDesk 软件更新,但必须首先在这些机器上部署标准的 LANDesk 

代理,其中包括安全扫描任务所需的安全扫描器代理。 

配置 Windows 设备以进行安全扫描 

安全扫描器代理在默认情况下已包括在标准 LANDesk 代理中,并且即使具有最基本代理配置的设备上也已安 

装。换言之,任何通过代理配置工具配置的 Windows 设备都已准备好,可以对“修补程序和遵从性”进行扫描 

和修补。 

26

使用“代理配置”工具 


使用“代理配置”工具(工具 > 配置 > 代理配置 > 新建 Windows 配置),通过指定的“修补程序和遵从性”扫描 

设置和可部署到目标设备的其他安全设置,来创建代理配置。 

通过代理配置来配置设备的安全扫描和修复 

1. 在控制台中,单击工具 > 配置 > 代理配置。 

2. 单击新建 Windows 工具栏按钮。 

3. 代理配置指定所需设置之后,单击安全和遵从性组,然后单击修补程序和遵从性。 

4. 选择安全扫描器在受管设备上的运行方式。有关选项的详细信息,请单击帮助。 

5. 从可用列表中选择扫描和修复设置,将其应用到您正在创建的代理配置。通过单击配置,您可以创建 

新的设置或编辑现有设置。扫描和修复设置决定了安全扫描器运行时是否在设备上显示、重新启动选 

项、用户交互和扫描的安全内容类型。 

6. 为代理配置指定其他设置后,单击保存。 

创建或编辑代理配置时,可指定一些安全扫描器的选项(例如,扫描器在受管设备上自动运行的时间和频率, 

在最终用户设备上扫描器是否显示进度和提示)以及用于修补操作的全局设置(例如,设备重新启动和自动修 

补)。有关在为受管 Windows 设备创建和部署代理配置的过程中自定义安全扫描器代理行为的详细信息,请 

参阅 "部署安全服务" 在页面 356。 

注意:Windows 9x 设备上必须有 WinSock2 才能运行安全扫描器代理。 

27

用户指南 

代理配置完成后,受管设备上,开始菜单中的 LANDesk 管理程序组中会增加一个安全扫描器的程序图标。 

此程序可以用于从设备直接运行扫描器,而不必使用运行键启动、重复的本地调度程序启动或是通过控制台的 

计划任务启动。 

代理配置中的附加安全设置 

在为 Windows 设备定义设备代理配置时,还可以启用并配置附加安全功能,例如: 

28 

对关键的安全风险频繁执行安全扫描 

间谍软件监视 

应用程序阻止器 

Windows 防火墙 

“端点安全”,其中包含以下安全组件:HIPS、LANDesk 防火墙和设备控制 

用于监视文件和服务的代理观察器 

通过身份验证和遵从性来扩展网络访问控制 (NAC) 的 802.1X NAC 支持 

有关详细信息,请参阅下面各节。 

关于“高频安全扫描”页面 

使用此页为关键的、紧迫的安全风险启用和配置高频率扫描,例如最近发现的恶性病毒以及防火墙配置风险。 

此页面包含以下选项: 

使用频繁运行的安全扫描器:在具有此代理配置的设备上启用频率安全扫描。 

仅在用户登录后扫描:限制频率安全扫描,从而使其仅在用户登录到目标设备时运行。 

间隔:指定频率安全扫描的时间间隔。 

扫描和修复设置(用于扫描组):指定控制频率安全扫描的安全扫描器的扫描和修复设置。扫描和修 

复设置确定安全扫描器运行时是否在设备上显示、重新启动选项和用户交互。您选择的设置必须配置 

为扫描组,而非类型。您也可以单击配置创建与组相关联的新的扫描和修复设置。 

关于“间谍软件”和“应用程序阻止器”页面 

使用这些页面在配置有此代理配置的受管设备上启用和配置间谍软件检测和实时应用程序阻止及删除。 

禁用的应用程序免责声明 

有关禁用应用程序的法律信息,请参阅 "对禁用的应用程序类型的免责声明" 在页面 30。 

实时间谍软件检测仅检查位于扫描组中、并且已打开自动修复功能的间谍软件定义。您可以为已下载的间谍 

软件定义手动启用自动修复选项,或者配置间谍软件定义更新,使自动修复选项在间谍软件定义下载时自动启 

用。 

实时间谍软件检测可监视设备,查找尝试修改本地注册表的最新已启动过程。如果检测到间谍软件,设备上的 

安全扫描器会提示最终用户删除间谍软件。 


启用实时间谍软件禁止:在具有此代理配置的设备上打开实时间谍软件监视和禁止。 

注意:必须手动启用针对任何已下载间谍软件定义(希望包括在安全扫描中)的自动修复功能,才能 

运行实时间谍软件扫描和检测。默认情况下,已下载的间谍软件定义未开启自动修复功能。 

间谍软件被阻止时通知用户:显示消息,通知最终用户已检测到并修复了间谍软件程序。 

如果应用程序不是可识别的间谍软件,在安装之前需要得到用户的同意:即使检测到的进程根据设备 

当前的间谍软件定义列表不会被视作间谍软件,但最终用户在其机器上安装软件之前还是会收到提 

示。


使用实时应用程序阻止时,修补不是一项单独的任务。通过在本地硬盘驱动器上编辑注册表来禁止用户访问未 

授权的应用程序,阻止应用程序是作为安全扫描本身的一部分进行的。即使可执行文件的文件名已被修改,安 

全服务仍可使用“软件授权监视”工具的 softmon.exe 功能来拒绝对指定应用程序可执行文件的访问,因为 

softmon.exe 可读取文件标题信息。 


启用未被授权的应用程序禁止:在具有此代理配置的设备上打开实时应用程序阻止。 

当应用程序被禁止时通知用户:显示消息,通知最终用户他们已尝试启动未经授权的应用程序,并且 

访问已被拒绝。 

29

用户指南 

配置 Linux 和 UNIX 设备以进行安全扫描 

“修补程序和遵从性”还支持在以下系统上扫描漏洞: 

30 

Red Hat Linux 

SUSE Linux 

Sun Sparc (Solaris 8) 

对于每个平台而言,通过“修补程序和遵从性”下载安全内容的方法与下载 Windows 漏洞相同。 

不能通过控制台的代理配置工具来为 Linux 和 UNIX 设备配置安全扫描器代理。Linux 和 UNIX 设备配置是一 

个手动过程。有关设置 Linux 和 UNIX 设备的详细信息,请参阅 Configuring Linux and UNIX device 

agents。您还可以参阅包含在各个平台的 tar 文件(位于核心服务器中 ManagementSuite\LDLogon 下的 

平台文件夹中)中的 README 文件。 

配置完成后,即可从控制台中通过计划任务扫描 Linux 和 UNIX 平台的漏洞。如果检测到漏洞,必须在受影响 

设备上手动执行修补。 

配置 Mac OS X 设备以进行安全扫描 

在 Macintosh OS X 设备上,“修补程序和遵从性”支持安全内容下载以及安全扫描和修复。 

此外,还可以通过代理配置工具为 Macintosh 设备创建和配置代理配置。与 Windows 代理配置一样,安全扫 

描器代理是 Macintosh 的默认标准 LANDesk 代理的一部分。要使用安全扫描器支持来创建和部署 Macintosh 

代理配置,请参阅 Managing Macintosh devices。 

配置完成后,即可从控制台中通过计划任务扫描这些 Macintosh 设备的漏洞。如果检测到漏洞,必须在受影 

响设备上执行修补。 

在 Mac 设备上手动启动安全扫描器 

1. 打开 Mac OS X 系统首选项,然后选择 LANDesk 客户端页面。 

2. 在概述选项卡上,单击安全部分的立即检查。 

对禁用的应用程序类型的免责声明 

免责声明 

作为对最终用户提供的便利,LANDesk 为用户提供对数据库的访问权限,该数据库包含了有关可执行文件的特定信息。最 

终用户在使用 LANDesk® Security Suite 的应用程序阻止功能时可能会用到这些相关的可执行文件。此信息“按现状”提供, 

不附有任何明示的、默示的或其他任何形式的担保,包括但不限于暗含的适销性和/或用于特定用途的担保。同样, 

LANDesk 不保证此信息的准确性、完整性或实时性,最终用户在使用前应阅读并确认此信息。对于使用这些信息的风险, 

由最终用户自行承担。 

禁用的应用程序定义中的某些摘要信息来自以下网站:http://www.sysinfo.org,这些信息受版权保护,如下所述: 

“Presentation, format and comments Copyright © 2001-2005 Paul Collins; Portions Copyright © Peter Forrest, Denny 

Denham, Sylvain Prevost, Tony Klein; Database creation and support by Patrick Kolla; Software support by John Mayer; 

All rights reserved.”

管理安全内容和修补程序 


本章将介绍下载、查看和组织安全内容;下载和使用修补程序以及创建和使用用户定义的相关内容。 

扫描和修补设备 

有关执行安全和遵从性扫描受管设备的所有安全风险类型(如操作系统和应用程序漏洞、软件更新、间谍软件和系统配置暴 

露问题等)、修补受影响的设备以及生成安全警报、日志记录和报告等的信息,请参阅 "扫描和修补设备" 在页面 47。 


管理安全内容 

"下载安全内容" 在页面 31 

"查看安全内容" 在页面 35 

"根据 CVE 名称搜索漏洞" 在页面 35 

"使用筛选器定制项列表" 在页面 35 

"清理未使用的定义" 在页面 36 

"查看扫描设备的安全信息" 在页面 37 

使用修补程序 

"下载修补程序" 在页面 38 

"卸载修补程序(修补程序回滚)" 在页面 39 

"从核心数据库删除修补程序" 在页面 39 

使用用户定义 

"创建用户定义和检测规则" 在页面 40 

"导入和导出用户定义" 在页面 43 

"删除用户定义" 在页面 44 

下载安全内容 

您的网络和设备会不断面临许多有害来源带来的安全风险和隐患:蠕虫、病毒、间谍软件以及软件更新和错误 

修复等日常维护问题。修补程序会定期发布,以修补不可避免的操作系统和应用程序漏洞。由于“修补程序和 

遵从性”工具让您能通过 LANDesk 提供的数据库来下载内容,从而加快并简化了收集最新安全类型的定义及 

修补程序的过程。LANDesk Security Suite 服务将来自可信的行业/供应商来源的已知定义合并在一起,并将 

可靠的信息直接发送给您。 

“修补程序和遵从性”工具还支持自定义漏洞定义 

除已知漏洞外,还可创建自己的自定义漏洞定义和相关的检测规则。有关详细信息,请参阅 "创建用户定义和检测规则" 在 

页面 40。 

通过建立和维护最新的安全内容,您能够更好地了解支持的每个平台和应用程序所面临的安全风险的性质与程 

度,确定哪些漏洞和其他类型风险与您的环境相关,从而自定义安全扫描和修补任务。此安全管理策略的第一 

步是下载当前最新的已知安全内容。 

31

用户指南 


使用“下载更新”对话框(工具 > 安全 > 修补程序和遵从性 > 下载更新)来立即配置并执行安全内容更新,或 

者创建一个计划更新任务使其在规定的时间执行或重复执行(请参阅 "计划自动安全内容更新" 在页面 35)。 

注意:在特定核心服务器(包括辅助控制台)上,每次只允许一个 LANDesk 用户更新安全内容。当更新过程已在运行时, 

如果用户试图更新内容,那么会出现一则提示消息,指出存在冲突。 

下载安全内容(及修补程序) 

32 

1. 单击工具 > 安全 > 修补程序和遵从性。 

2. 单击下载更新工具栏按钮。 

3. 从可用内容服务器列表中选择更新源站点。 

4. 选择要更新其安全内容的定义类型。可在列表中选择一个或多个类型,取决于您的 LANDesk Security 

Suite 内容订阅。选择的类型越多,更新所需的时间就越长。 

5. 为指定的类型选择要更新其内容的语言。 

某些漏洞和其他定义类型,以及任何相关的修补程序与语言无关,这意味着它们能与任何语言版本存


在该漏洞的操作系统或应用程序兼容。换言之,您无须用一个某语言专用的、唯一的修补程序来修补 

这些漏洞,因为该修补程序就适用于所有支持的语言。例如,Linux 和 UNIX 平台只使用与语言无关的 

定义和修补程序。而 Microsoft Windows 和 Apple Macintosh 平台漏洞定义和修补程序通常有特定的 

语言。 

对任何平台下载内容时(具有相应的订阅),默认情况下会自动更新选定的所有平台的与语言无关的 

漏洞定义。如果选择了 Windows 或 Mac 内容类型,那么还必须选择要更新其定义的特定语言。如果 

选择的是 Sun Solaris 或 Linux 平台,那么没有必要选择一种特定的语言,因为它们的内容与语言无 

关,将会自动更新。 

6. 如果希望自动将新内容(在任何组中还没有的内容)放入“未分配”组中,从而代替放到默认的“扫描”组 

中,请选中将新的漏洞定义放到“未分配”组复选框。 

7. 如果要自动下载相关的修补程序可执行文件,请单击下载修补程序复选框,然后单击其中一个下载选 

项。(注意:修补程序下载到“下载更新”对话框的修补程序位置页面的指定位置。) 

只针对已检测到的漏洞定义:只下载与上次安全扫描检测到的漏洞、安全威胁或 LANDesk 更 

新(即当前存在于“已检测到”组中的定义)相关的修补程序。 

对于所有下载的定义: 下载与漏洞、安全威胁以及“扫描”组中当前存在的 LANDesk 更新相关 

的所有修补程序。 

8. 如果网络中有用于外部 Internet 传输(这是更新安全内容并下载修补程序的必需途径)的代理服务 

器,那么在访问该代理服务器必须登录时,单击代理设置,并指定该服务器的地址、端口号和身份验 

证凭据。 

9. 可随时单击应用保存设置。 

10. 单击立即更新以运行安全内容更新。更新定义对话框(请参阅以下内容)会显示当前的操作和状态。 

(要创建计划任务,请单击计划更新。) 

11. 更新完毕后,单击关闭。请注意,如果在更新完成前单击取消,那么只有此刻前已被处理的安全内容 

将被下载到核心数据库中。您需要再次运行更新以获取所有剩余的安全内容。 

33

用户指南 

注意:当更新安全进程正在运行时不要关闭控制台,否则该进程将终止。但是,此规则不适用于“下载安全内容”计划任务, 

该任务在运行时,即使关闭控制台,它也将完成处理。 

配置修补程序下载位置 

34 

1. 在下载更新对话框中,单击修补程序位置选项卡。 

2. 输入要将修补程序文件复制到的 UNC 路径。默认位置为核心服务器的 \LDLogon\Patch 目录。 

3. 如果前面输入的 UNC 路径是核心服务器以外的位置,那么输入访问该位置时用于验明身份的有效用 

户名和密码。 

4. 输入设备能访问要部署的已下载修补程序的 Web URL。该 Web URL 应与上面的 UNC 路径相符。 

5. 您可以单击测试设置来检查能否连接到前面指定的 Web 地址。 

6. 如果要将 UNC 路径和 Web URL 恢复为其默认位置,请单击恢复默认值。默认存储位置仍然是核心服 

务器的 \LDLogon\Patch 目录。

计划自动安全内容更新 


您也可以将安全内容更新配置为计划任务,以便在规定时间执行或重复执行。要执行此操作,只需单击计划 

下载工具栏按钮。计划更新信息对话框将显示该任务特定的设置。单击确定,在可以指定计划选项的“计划任 

务”窗口中创建“下载安全内容”任务。 

任务特定的设置和全局设置 

请注意,只能保存定义类型、语言以及定义和修补程序下载设置,并将其与创建任务时的特定任务建立关联。这三个设置被 

视为任务特定的设置。但是,下载更新对话框中其他页上的所有设置都是全局的,这意味着它们可以应用到所有后续安全 

内容下载任务。全局设置包括:修补程序下载位置、代理服务器、间谍软件自动修复、安全警报和防病毒设置。这样,无论 

何时更改全局设置,它对所有安全内容下载任务都是有效的。 

查看安全内容 

使用 LANDesk Security 服务更新安全内容后,可在““修补程序和遵从性”工具”窗口中其各自的组中查看定义 

和检测规则(用于漏洞和用户定义的)。 

使用类型下拉列表查看特定定义类型或所有定义类型的内容。还可使用筛选器控件进一步定制要显示的内 

容。 

一旦下载了安全内容,即可将项移至不同的状态组中,或将其复制到自己的自定义组中。有关如何使用不同组 

的信息,请参阅 "了解和使用“修补程序和遵从性”工具" 在页面 20。 

还可以通过右击一个选项并选择属性选项来查看已更新的每个定义和检测规则的详细属性。该信息可帮助您 

确定哪些定义与您的网络支持的平台和应用程序相关、检测规则如何检查定义的存在、哪些修补程序可以使用 

以及如何为受影响的设备配置和执行修补任务。 

可以修改定用户定义 

如果选择已下载的行业定义,它的属性对话框主要只用于查看信息。但是,如果选择用户定义或者正在创建新的定制定义, 

那么属性对话框中的页和字段是可以编辑的,您可以对定义及其检测规则进行定义。 

根据 CVE 名称搜索漏洞 

LANDesk 支持 CVE(公共漏洞和隐患)命名标准。利用“修补程序和遵从性”,您可以根据漏洞的 CVE 名称 

搜索漏洞,查看已下载漏洞定义的 CVE 信息。 

有关 CVE 命名约定、LANDesk 与 CVE 标准的兼容性以及如何使用 CVE 认证查找单个安全漏洞定义的详细 

信息,请参阅 "使用 CVE 名称" 在页面 45。 

使用筛选器定制项列表 

筛选器下拉列表允许创建并应用自定义显示筛选器以控制显示在工具窗口右侧框架中的项。筛选器有助于简 

化大量的安全内容。可按操作系统和严重性筛选内容。 

筛选器控制可与类型控制结合使用,以准确显示您想查看的安全内容。 

35

用户指南 

创建新的显示筛选器 

36 

1. 在“修补程序和遵从性”工具中,单击筛选器下拉列表,然后单击管理筛选器。 

2. 单击新建。 

3. 输入新筛选器的名称。 

4. 如果要按操作系统筛选内容,请单击复选框,然后选择要显示的操作系统。 

5. 如果要按定义的严重性筛选内容,请单击复选框,然后选择要显示的严重性。单击确定 

将筛选器应用于内容组的显示 

1. 单击窗口左侧窗格中的内容组。 

2. 单击筛选器下拉列表,然后从列表中选择筛选器。 

清理未使用的定义 

如果确定定义与您的操作环境无关,或者因成功修补而使该信息过时,那么可以从““修补程序和遵从性”工具” 

窗口和核心数据库中清除未使用的定义。 

清除定义时,相关联的检测规则信息也会从树视图的“检测规则”组中删除。不过,该过程并不删除实际的相关 

修补程序文件。必须从通常位于核心服务器上的本地资料档案库中手动删除修补程序文件。 

清理未使用的定义 


2. 单击清除未使用的定义工具栏按钮。 

3. 选择要删除其定义的平台。可以从列表中选择一个或多个平台。如果某个定义与多个平台相关联,那 

么必须选择与其关联的所有平台,才能删除该定义。 

4. 选择要删除其定义的语言(与上面选定的平台相关联)。如果在上述过程中选择了 Windows 或 

Macintosh 平台,那么应指定要删除其定义的语言。如果选择的是 UNIX 或 Linux 平台,那么必须指 

定“中性语言”选项,以便删除其与语言无关的定义。 

5. 单击删除。

查看扫描设备的安全信息 


通过右击一个或多个选定的设备,然后单击安全和修补程序信息,还可以直接从网络视图中查看特定于某些 

扫描的设备的信息。 

此对话框允许查看检测、安装和修复历史以及执行修补程序管理任务。 

37

用户指南 

使用修补程序 

以下部分介绍能使用可执行文件执行的各种任务。 

下载修补程序 

要在受影响的设备上部署安全修补程序,必须先将修补程序的可执行文件下载到网络中的本地修补程序资料档 

案库中。修补程序文件下载的默认位置是核心服务器上的此目录: 

/LDLogon/Patches 

可在“下载更新”对话框的“修补程序位置”页面中更改此位置。 

可以一次下载一个修补程序,也可以一起下载一组修补程序。 

修补程序下载位置和代理服务器设置 

下载修补程序时始终使用“下载更新”对话框的“修补程序位置”页面上的当前下载位置设置。另请注意,如果您的网络使用代 

理服务器访问 Internet,那么必须先在“代理设置”页面上配置代理服务器的设置,然后才能下载修补程序文件。 

“修补程序和遵从性”首先尝试从 URL(显示在“修补程序属性”对话框中)下载修补程序文件。如果无法建立连 

接,或者该修补程序由于某些原因不可用,那么将从 LANDesk Security 内容服务(即 LANDesk 提供的包含 

来自可信行业源的修补程序的数据库)下载修补程序。 

下载方式 

用以下方式之一下载修补程序: 

38 

从“下载更新”对话框下载 

从检测规则下载 

从安全定义下载 

可以从“下载更新”对话框同时下载修补程序以及与其相关的安全定义。此过程介绍如上,请参阅 "使用下载更 

新" 在页面 32。 

还可以从检测规则或安全定义直接下载修补程序。 

从检测规则下载修补程序 

1. 从任何检测规则组中,右击检测规则,然后单击下载修补程序。(您也可以在创建或编辑用户定义 

时,从“检测规则”对话框为用户定义下载修补程序。) 

2. 或者,如果要下载一组修补程序,请在任意检测规则组中选择任意数量的规则,右击该规则,然后单 

击下载修补程序。 

3. 正在下载修补程序对话框中将显示下载操作和状态。可以随时单击取消来停止整个下载过程。 

4. 下载完成后,单击关闭按钮。 

注意:通过检测规则,也可以从它的“属性”对话框(属性 > 修补程序信息 > 下载)中下载修补程序 

从安全定义下载关联的修补程序 

1. 右击安全定义,单击下载相关的修补程序。 

2. 选择是下载所有的相关修补程序或仅是当前的修补程序。 

3. 单击下载。 

有关修补程序文件下载状态的详细信息,请参阅 "了解和使用“修补程序和遵从性”工具" 在页面 20。

卸载修补程序(修补程序回滚) 


可卸载(即回滚)已部署到受管理设备的修补程序。例如,如果修补程序与现有的配置发生意外冲突,那么可 

能希望卸载该修补程序。通过卸载修补程序,可将设备恢复到其原始状态。 

卸载或回滚修补程序 

1. 在任意检测规则列表中,右击一个或多个规则,然后单击卸载修补程序。 

2. 输入卸载任务的名称。 

3. 指定卸载为计划任务、基于策略的扫描或二者皆是。 

4. 如果已选定计划任务,请指定从哪台设备上卸载修补程序。 

5. 如果在不访问修补程序的原始可执行文件的情况下无法卸载它(例如,使用命令行参数),并且希望 

使用定向多播来部署可执行文件,那么请选中使用多播复选框。要配置多播选项,请单击多播选项按 

钮。有关详细信息,请参阅 "关于“多播选项”对话框" 在页面 380。 

6. 如果已选择策略并希望根据此卸载任务上创建新的查询以备后用,请单击添加查询。 

7. 从可用的列表中选择扫描和修复设置(或为此扫描创建自定义设置)以确定扫描器如何在终端用户设 

备上操作。 

8. 单击确定。对于计划任务,现在可在“计划任务”工具中添加目标设备和配置计划选项。对于策略,新 

策略随同上面指定的任务名一起显示在“应用程序策略管理”窗口中。在此可以添加静态目标(用户或设 

备)和动态目标(查询结果),还可以配置策略的类型和频率。 

如果修补程序安装失败,那么必须先清除安装状态信息,然后才能重新安装修补程序。单击安全和修补程序 

信息对话框中的清除可清除所选设备的安装(修复)状态。还可以按漏洞清除修补程序安装状态。 

从核心数据库删除修补程序 

要永久删除修补程序文件,必须从通常位于核心服务器上的修补程序资料档案库中删除它们。 

39

用户指南 

使用用户定义 

创建用户定义和检测规则 

除了已知的通过“修补程序和遵从性”工具进行更新的漏洞外,还可以创建自己的用户(用户定义)定义-用自定 

义的检测规则、关联的修补程序文件以及特殊的其他命令完成以确保修补成功。 

漏洞定义由以下部分组成:唯一的 ID、标题、发布日期、语言和其他标识信息,以及用来告诉安全扫描器在 

目标设备进行扫描的内容的检测规则。检测规则定义特定的平台、应用程序、文件或注册表条件,安全扫描器 

检查这些内容来检测被扫描的设备上的漏洞(或者实际上检测任何系统条件或状态)。 

自定义漏洞定义具有强大而灵活的功能,它使您可以在您的 LANDesk 系统上实施另一个、专有级别的修补程 

序安全。除了增强修补程序安全,自定义漏洞还可以用于评估系统配置、检查特定的文件和注册表设置以及部 

署应用程序更新,以及其他利用漏洞扫描器的扫描功能的创新使用方法。 

创建阻止的应用程序用户定义 

还可以为阻止的应用程序类型创建自己的定制定义。从类型下拉列表中,选择阻止的应用程序,为该定义输入可执行文件 

名和描述标题,然后单击确定。 

用户定义不必执行修补操作(部署和安装修补程序文件)。如果用户定义是由“仅检测”检测规则或只能由“修补 

程序和遵从性”检测的规则定义,那么安全扫描器将查找目标设备并且仅返回发现规则指定条件(如漏洞)的 

设备的报告。例如,您可以对安全扫描器写一个自定义的“仅检测”规则,来检查受管设备的以下方面的信息: 

40 

应用程序的存在 

文件的存在 

文件版本 

文件的位置 

文件日期 

注册表设置 

以及更多…… 

如果需要,您可以创建尽可能多的定制漏洞定义为您的环境建立和维护最优的修补程序安全。

创建自定义漏洞 

创建用户定义 



2. 从类型下拉列表中,选择所有类型或用户定义。(如果要创建用户禁止应用程序定义,那么只有在选 

中其中一个类型,或选中阻止的应用程序类型时,创建用户定义工具栏按钮才可用。) 

3. 单击创建用户定义工具栏按钮。打开“属性”的可编辑版本,使您可以配置漏洞设置。 

4. 为漏洞输入一个唯一的 ID。(系统生成的 ID 代码可以编辑。) 

5. 该类型为“用户定义”,且不能修改。 

6. 出版日期是当天日期,不能作出修改。 

7. 为漏洞输入一个描述性的标题。该标题显示在漏洞列表。 

8. 指定严重级别。可用选项包括:未知、Service Pack、严重、高级、中级、低级和不适用。 

9. 指定漏洞的状态。可用选项包括:“不扫描”、“扫描”和“未分配”。指定状态时,漏洞放置在树视图中的 

相应的组里(请参阅 "树视图" 在页面 22)。 

10. 用户定义漏洞的语言设置自动设置为 INTL(国际或非特定语言,即漏洞可以应用到操作系统和/或应 

用程序的任何语言版本)。 

41

用户指南 

11. “检测规则”列表显示该漏洞使用的所有规则。如果您创建的是新的定制漏洞,您应该至少配置一个由安 

全扫描器用来扫描设备漏洞的检测规则。要添加检测规则,请单击添加。(逐步的指示说明请参阅下 

列步骤。) 

12. 如果要提供该漏洞的其他信息,请单击描述,并将您的注释输入至文本框和/或输入写着详细信息的有 

效的 Web 地址。 

与已知供应商的漏洞一样,自定义漏洞也应该包括一个或多个检测规则,告诉安全扫描器在扫描受管设备时查 

找什么条件。按照以下步骤,为自定义漏洞创建检测规则。 

创建定制检测规则 

创建自定义检测规则 

42 

1. 右击用户定义,然后单击属性。(或者双击漏洞定义。) 

2. 单击“检测规则”列表下的添加按钮。“规则属性”对话框的可编辑版本将在对话框的“常规信息”页面中打 

开,让您配置检测规则。 

3. 在“常规信息”页面中为规则输入唯一的名称。这里不能修改规则的状态。要更改检测规则的状态,请右 

击任何列表视图中的规则,然后根据当前的状态单击启用或禁用。这里也不能修改规则的定义信息。 

但是,可以在“注释”框中输入您希望输入的任何信息。 

4. 使用“规则属性”对话框的各页定义检测规则,如本过程的剩余部分所述。 

5. 打开“检测逻辑”页面。 

6. 在“受影响的平台”页面中,选择要运行安全扫描器的平台,以检查该检测规则的定义。可用平台的列表 

由您通过“修补程序和遵从性”工具更新的漏洞确定。单击加载默认平台列表将可用的平台添加至列 

表。您必须至少选择一个平台。 

7. 在“受影响的产品”页面,将规则与一个或多个特定的软件应用程序相关联。首先,单击编辑打开“选定 

的受影响的产品”对话框,在该对话框中可向“受影响的产品”列表添加或删除产品(如果需要,可单击 

对话框底部的复选框来缩短该列表)。可用的产品列表由您已经更新的内容确定。您不一定需要有与 

检测规则相关联的产品。关联产品在安全扫描过程中起筛选器的作用。如果在设备上发现了指定的关 

联产品,扫描就退出。但是,如果发现了产品,或者没有指定产品,扫描就继续检查文件。


8. 在“文件”页面中,配置规则要扫描的特定文件条件。单击添加使该页的字段处于可编辑状态。配置文 

件条件的第一步是指定验证方法。该页上的字段取决于您选择的验证方式。要保存文件条件,请单击 

更新。您可以添加任意数量的文件条件。有关该选项的详细描述,请参阅 "关于“检测逻辑”:“用于检测 

的文件”页面" 在页面 373。 

9. 在“注册表设置”页面中,配置规则要扫描的特定注册表条件。单击添加使字段处于可编辑状态。要保 

存注册表条件,请单击更新。您可以添加任意数量的注册表条件。有关该选项的详细描述,请参阅 "关 

于“检测逻辑”:“用于检测的注册表设置”页面" 在页面 373。 

10. 在“自定义脚本”页面中,可创建自定义的 VB 脚本来协助此检测规则的检测。安全扫描器的运行时间属 

性(可使用自定义脚本访问这些属性并报告结果)包括:“已检测到”、“原因”、“所需的”和“找到的”。 

注意:您可以单击使用编辑器按钮打开与此文件类型关联的默认脚本编辑工具。关闭工具时,系统会 

提示您保存“自定义脚本”页面中所做的更改。如果希望使用其他工具,必须更改文件类型关联。 

11. 在“修补程序信息”页面中,指定是可以修复与此检测规则相关联的漏洞还是只能在受管设备上检测到该 

漏洞。如果选择修复选项,那么“修补程序下载信息”和“修复信息”字段将变为可编辑。 

12. 如果可通过部署修补程序来修复,请输入该修补程序的 URL 并指定是否可自动下载该程序。(您可以 

尝试在此时单击下载来下载关联的修补程序文件,或者,也可以在其他时间下载。) 

13. 而且,如果可通过部署修补程序来修复,请输入修补程序的唯一文件名,并在完成修补和在修复过程 

中修补程序需要用户输入时指定修补程序是否需要重新启动。(对于包括修补的检测规则,我们强烈 

推荐您通过单击生成 MD5 哈希值为修补程序文件创建哈希值。必须先下载实际的修补程序文件才可 

以创建哈希值。有关哈希值的详细信息,请参阅 "关于“检测规则”:“常规信息”页面" 在页面 372。) 

14. 对于允许修复相关漏洞的规则,可以配置附加命令,在受影响的设备上执行修复过程时可以运行这些 

命令。要配置其他修补命令,请单击“修补程序安装命令”页面,然后单击添加,选择命令类型并使命 

令的参数可以编辑。无需其他修补程序安装命令。如果不配置特殊命令,修补程序文件就按照其正常 

方式执行。有关该选项的详细描述,请参阅 "关于“修补程序安装命令”页面" 在页面 376。 

到此为止定制漏洞定义已经创建完毕,您就可以对该漏洞进行与来自行业源的已知漏洞一样的操作。您可以将 

漏洞的状态设置为“扫描”或者将其放置于下一次安全扫描要包括的“扫描”组、将其放置于“不扫描”或“未分配” 

组、查看受影响的计算机、启用“自动修复”、创建修复作业或者清除扫描/修复状态。要选择选项,请右击定 

制漏洞定义来访问其快捷菜单。 

用户定义的定义所特有的两个操作是导入和导出以及删除。 

导入和导出用户定义 

“修补程序和遵从性”工具向您提供了导入和导出用户定义及其检测规则的方法。您无法导入和导出已知的行业 

漏洞定义。 

用户定义以 XML 格式的文件进行导出和导入。 

如果您要与其他核心服务器共享用户定义,那么导入和导出就很有用。导出使您可以为暂时要从核心服务器上 

删除的定义保存一个备份副本。 

还可以使用导出/导入功能来导出定义,手动将导出文件作为模板编辑并保存定义的多种变体,然后导入新的 

定义。如果定义很复杂,该程序比在控制台创建多个定义更快捷、更容易。 

导出用户定义 

1. 从“用户定义”列表中选择一个或多个定制定义。 

2. 单击导出工具栏按钮。(或者右击选择的定义,然后单击导出。) 

3. 输入您要将定义导出为单个 XML 文件的文件夹的路径。 

4. 如果您以前已经将定义导出到指定的位置,现在想要替换它,请单击覆盖现有的定义。 

43

用户指南 

44 

5. 单击导出。检查“导出状态”窗口,查看定义是否已成功导出。 

注意:导出的定义继续存在于核心数据库中,因此仍显示在与其状态(“未分配”、“扫描”和“不扫描”) 

对应的“用户定义”组中。 

6. 单击关闭。 

导入用户定义 

1. 在“修补程序和遵从性”工具中,单击导入用户定义工具栏按钮。 

2. (在要导入的 XML 文件中)查找并选择一个或多个定义,然后单击打开。如果定义已经在核心数据库 

中,就会弹出窗口问您是否要覆盖它。检查状态窗口,查看定义是否已成功导入。 

3. 单击关闭。导入的定义(新的和更新的)将放置于用户定义的“未分配”组中。 

删除用户定义 

如果不再需要用户定义,那么可以将其删除。删除用户定义时将从核心数据库和““修补程序和遵从性”工具”窗 

口中删除其信息及关联的检测规则。(导出不删除定义信息。) 

与删除已知的漏洞信息一样,删除用户定义将不会删除任何已下载的关联的修补程序文件。必须从修补程序储 

存库中手动删除修补程序文件。 

要删除用户定义,请选择一个或多个用户定义,然后单击工具栏里的删除选定的用户定义按钮。 

还原已导出的用户定义 

如果删除了一个先前已导出为 XML 文件的用户定义,您可以通过“修补程序和遵从性”工具将它导入回数据库来还原该定 

义。

使用 CVE 名称 


“修补程序和遵从性”支持 CVE(常见漏洞和隐患)命名标准。您可以用过其 CVE 名称搜索已下载的漏洞。您 

还可以查看与单个漏洞相关的 CVE 名称。 


"什么是 CVE?" 在页面 45 

"LANDesk 与 CVE 标准的兼容性" 在页面 45 

"使用 CVE 名称搜寻漏洞" 在页面 46 

什么是 CVE? 

CVE 是公共漏洞和隐患 (Common Vulnerabilities and Exposures) 的缩写,它是由几家领先的安全技术组织 

发起的协作计划,目的是编纂和维护一系列漏洞和其他信息安全隐患方面的标准名称。CVE 是一个名称词典 

而非数据库。 

简而言之,CVE 命名标准的主要目的是便于搜索、访问和共享整个漏洞数据库和安全工具的数据。有关 CVE 

和 CVE 编委会的详细信息,请访问 MITRE Corporation 的网站。 

LANDesk 与 CVE 标准的兼容性 

LANDesk 安全产品,包括旗舰级 LANDesk Management Suite 以及 LANDesk Security Suite 和 LANDesk 

Patch Manager,可为漏洞定义的更新、查看和报告提供完全支持 CVE 标准的工具。 

下载漏洞定义更新时,漏洞数据包含基于 CVE 编委会最新信息的 CVE 名称参考。此外,漏洞定义还包括 

CVE 词典网站的超链接,在该网站资源中您可以查找到最近的 CVE 版本信息。CVE 数据的准确性和实时性 

可由此直接链接来验证。 

45

用户指南 

使用 CVE 名称搜寻漏洞 

“修补程序和遵从性”允许您根据唯一的 CVE 名称搜索漏洞。 

您还可以找到已下载漏洞的 CVE 名称以及访问 CVE 网站,获取关于漏洞及其 CVE 状态的详细信息。 

使用 CVE 名称查找安全漏洞定义 

46 

1. 在修补程序和遵从性工具窗口中,从类型下拉列表中选择漏洞。将显示完整的已下载漏洞定义列表。 

2. 在查找字段输入 CVE 名称 (CVE ID),从在列中下拉列表中选择任意或 CVE ID,然后单击搜索按钮。 

(您可以输入完整的 CVE ID, 包括 cve- 前缀,或者您尽可能知道的 ID,然后在已下载的安全存储库 

中搜索匹配的漏洞。) 

3. 如果在下载的漏洞库中找到具有匹配的 CVE ID 的漏洞,它会显示在列表中。 

4. 右键境击漏洞,访问其快捷菜单,以获取可用选项。 

查找已下载安全漏洞定义的 CVE 名称 

1. 在修补程序和遵从性中,从类型下拉列表中选择漏洞或所有类型。将显示已下载定义的列表。(如果 

已选择 CVE ID 数据列,您可以在项列表中查看 CVE ID。要配置列,右击列标题栏,选择列,并确保 

CVE ID 列位于已选列列表中。) 

2. 双击漏洞定义(或者右击定义并选择属性),打开其属性对话框。 

3. 单击说明页。 

4. 如果选定的漏洞具有 CVE 名称,那么它会显示在 CVE ID 下拉列表中。某些漏洞可能具有一个以上 

CVE 名称,您可以通过滚动下拉列表进行访问。 

5. 要访问针对特定 CVE ID 的网页,请单击 CVE ID 的详细信息链接。CVE 网站提供每个具有 CVE 名 

称的漏洞的详细信息,包括 CVE 编委会指定的此漏洞的当前状态(已审批的“条目”,或正在检查的“候 

选”)。

扫描和修补设备 


本章介绍有关扫描受管设备的各种安全风险(如操作系统和应用程序漏洞、软件更新、间谍软件和系统配置暴 

露问题等)、修补受影响的设备以及生成安全警报、日志记录和报告等的信息。 

管理安全内容和修补程序 

有关下载和组织安全内容、使用修补程序以及使用用户定义的信息,请参阅管理安全内容和修补程序。 


扫描设备 

扫描设备上的安全风险 

“修补程序和遵从性”如何扫描不同的安全风险 

创建安全和遵从性扫描任务 

使用扫描和修复设置配置扫描选项 

使用自定义变量和自定义变量替代设置 

查看检测到的安全数据 

将安全扫描结果发送到汇总核心 

修补设备漏洞 

修补检测到安全风险的设备 

“修补程序和遵从性”如何修补不同的安全风险 

修补方法 

使用计划修复任务 

使用修复策略(仅限 Windows) 

使用自动修复 

修补过程中在设备上执行的操作 

查看所扫描设备的“修补程序和遵从性”信息 

验证修补状态 

按漏洞清除漏洞扫描和修复状态 

其他修补程序和遵从性管理任务 

创建计划重新启动任务 

使用“修补程序和遵从性”警报 

使用“修补程序和遵从性”报告 

扫描设备上的安全风险 

传统上,安全扫描是指根据当前已知的最新漏洞,在设备上检查特定于当前安装的操作系统版本和应用程序的 

文件以及注册表项,以确定和解决安全风险。LANDesk Security 服务提供扩展的安全内容类型,允许扫描和 

修补当今更多的常见安全风险和暴露。 

根据 Security Suite 内容订阅,您可扫描: 

已知的漏洞(Windows、Mac、Linux 和 UNIX) 

47

用户指南 

48 

自定义漏洞(由 LANDesk 管理员定义) 

间谍软件 

防病毒扫描器状态(第三方扫描器引擎和 LANDesk Antivirus 工具) 

病毒(使用集成的 LANDesk Antivirus 工具,您可以:下载最新的病毒定义文件、创建和部署防病毒 

扫描、配置防病毒扫描器设置和最终用户可用的防病毒扫描选项、启用实时文件和电子邮件保护等 

等。有关详细信息,请参阅 LANDesk Antivirus。) 

安全威胁(本地系统或平台配置错误;包括防火墙检测和配置) 

禁用的应用程序 



软件更新 

Security Suite 内容订阅 

有关 Security Suite 内容订阅的信息,请联系 LANDesk 销售商或访问 LANDesk 网站。 

“修补程序和遵从性”如何扫描不同的安全风险 

下表描述了安全扫描器如何搜寻各种类型的安全风险: 

扫描对象... “修补程序和遵从性”扫描方法... 

LANDesk 软件更新使用 LANDesk 发布的软件更新定义检查最新的 LANDesk 软件版本。 

Windows 漏洞使用 LANDesk(根据官方安全公告)发布的漏洞定义检查已知的操作系统和/或 

应用程序漏洞。 

Macintosh 漏洞使用 LANDesk(根据官方安全公告)发布的漏洞定义检查已知的漏洞。 

Linux/UNIX 漏洞使用 LANDesk(根据官方安全公告)发布的漏洞定义检查已知的漏洞。 

用户自定义使用 LANDesk 管理员创建的定制漏洞定义检查用户定义的平台、应用程序、文 

件或注册表设置条件。 

安全威胁使用 LANDesk 发布的安全威胁定义检查本地 Windows 系统配置错误和暴露问 

题。您可以修改使用可编辑自定义变量的安全威胁定义以检查具体的情况。 

间谍软件使用可在扫描的设备上检查间谍软件程序实例的间谍软件检测定义。“修补程序和 

遵从性”使用 LANDesk“软件授权监视”工具的 softmon.exe 程序来监视间谍软件。 

还可以通过设备的代理配置来启用实时间谍软件监视和阻止功能。 

驱动程序更新使用检查驱动程序版本第三方驱动程序更新定义。 

软件更新使用检查软件版本的第三方软件更新定义。 

防病毒更新使用防病毒扫描器检测定义(并非实际的病毒定义/病毒码文件)来检查: 

- 常用防病毒扫描器引擎(包括 LANDesk Antivirus 工具)的安装

扫描对象... “修补程序和遵从性”扫描方法... 


- 实时扫描状态(启用或禁用) 

- 特定于扫描器的病毒码文件版本(最新或旧版本) 

- 上次扫描日期(上次扫描是否处于管理员指定的最大允许时间周期之内) 

禁用的应用程序使用 LANDesk 发布的应用程序定义(或用户定义的应用程序定义)立即阻止最 

终用户通过修改本地注册表来访问应用程序。修补不是独立的过程。即使指定应 

用程序可执行文件的名称已被修改,“修补程序和遵从性”使用 LANDesk“软件授权 

监视”工具的 softmon.exe 程序仍可以通过读取文件的标题信息来拒绝对可执行文 

件的访问。(请参阅对禁用的应用程序类型的免责声明。) 

要了解“修补程序和遵从性”如何修复不同的内容类型,请参阅 “修补程序和遵从性”如何修补不同的安全风险。 

配置安全扫描的内容 

查看已下载的定义并确定要扫描的项后,可通过将定义移动到其各自的“扫描”组中,从而执行对所管理设备的 

定制安全评估。每次运行时,安全扫描器都会读取“扫描”组的内容并扫描这些特定的定义(重要说明:如果在 

任务的扫描和修复设置中选定了该类型)。扫描设备之前,应始终确保“扫描”组中有适当的定义。可随时手动 

将定义移入或移出“扫描”组。 

还可以更新安全内容,默认情况下,这样做会自动将新定义添加到“扫描”组中。 

默认情况下,系统会将禁用的应用程序放入“未分配”组 

请注意,禁用的应用程序类型的处理方式不同于其他类型。默认情况下,系统会将禁用的应用程序定义放入“未分配”组而非 

“扫描”组中。 

安全扫描过程会将“修补程序和遵从性”信息添加到核心数据库中对应设备的清单中。该信息可用于生成特定的 

查询、策略和报告。要查看该信息,请右击该设备,然后单击安全和修补程序信息。 

从“扫描”组中移出定义时的注意事项 

将定义从“扫描”组中移到“不扫描”组中时,将从核心数据库中删除当前定义评估信息(核心数据库中有关扫描过的设备检测 

到的定义的信息),且该信息不再出现在定义的“属性”对话框或设备的“安全和修补程序信息”对话框中。要恢复该信息,必 

须将定义重新移到“扫描”组中,并再次运行扫描。 

创建安全和遵从性扫描任务 

安全扫描器可以直接在设备上运行(单击开始|所有程序|LANDesk 管理|安全扫描)。安全扫描器也可以作为 

计划任务或来自核心服务器的策略来运行。 




组。有关基于角色的管理的详细信息,请参阅基于角色的管理。 

计划任务可视为推送分发,因为此任务是从核心服务器推送到设备的;而策略可视为“拉”分发,因为设备的策 

略代理检查核心服务器中的适用策略,然后从核心服务器“拉”修补程序。 

创建安全扫描任务 


2. 确保最近已更新安全内容。 

3. 确保扫描组仅包含需要扫描的那些定义。 

4. 单击创建任务工具栏按钮,然后单击安全扫描。随即显示“创建安全扫描任务”对话框。 

49

用户指南 

5. 输入此次扫描的名称。 

6. 指定扫描为计划任务、基于策略的扫描或二者皆是。 

7. 从可用的列表中选择扫描和修复设置(或为此扫描创建自定义设置)以确定扫描器如何在终端用户设 

备上操作。 

8. 单击确定。对于计划任务扫描,现在可在“计划任务”工具中添加目标设备和配置计划选项。 

遵从性安全扫描 

通过“修补程序和遵从性”工具,您可以创建特定于遵从性的扫描任务,以便检查目标设备是否符合您自定义的安全策略。遵 

从性扫描以遵从性组(以及在遵从性设置上指定的选项)中的内容为依据,可以作为计划任务、策略运行,甚至可以在检 

测到无法删除或隔离的病毒时由 LANDesk Antivirus 执行。 

运行按需的安全或遵从性扫描 

您也可以在一个或多个目标设备上立即运行按需扫描。 

要做到这点,右击选定设备(或多达 20 个多选设备),单击立即进行安全/遵从性扫描,依次选择扫描和修复 

设置以及扫描的类型,然后单击确定。 

关于安全扫描日志文件 

安全扫描器在设备上执行最新扫描时写入名为 vulscan.log 的日志文件,同时按时间顺序对前五个日志文件 

进行编号并保存这些文件。这些日志文件记录了有用的信息,包括扫描时间、语言、平台以及扫描所运行的进 

程。 

查看设备清单中最近的安全扫描日期 

要确定设备上最后一次执行安全扫描的时间,请右击该设备,单击清单,然后在“清单”视图的右侧窗格口中向 

下滚动浏览到上次扫描日期。 

50

使用扫描和修复设置配置扫描选项 


“修补程序和遵从性”允许完全控制最终用户的所见、设备重新启动操作,以及在设备上运行安全扫描器时允许 

的最终用户交互级别。例如,根据扫描的目的和计划时间,您可能希望显示最终用户扫描器进度并使用户能够 

取消或推迟评估扫描或修补程序部署修补。您可以通过创建并应用扫描和修复设置来完成此项操作。 

安全扫描的内容也在扫描和修复设置中确定,方法是选择特定的定义类型。 

您可以创建扫描和修复设置(已保存的一组配置选项)并将其应用于扫描任务。您可以根据需要创建任意多个 

扫描和修复设置。有些扫描和修复设置可能适合各种扫描或修补任务,而另一些则可能专用于单个任务。 

您所创建的所有扫描和修复设置均存储在扫描和修复组中,该组位于树视图的设置下。 

创建扫描和修复设置 

1. 在修补程序和遵从性工具窗口中,单击配置设置工具栏按钮,然后单击扫描和修复设置。 

2. 单击新建。或者,可在允许应用扫描和修复设置的任何任务对话框上单击编辑或配置。 

3. 输入扫描和修复设置的名称。 

4. 在每个页面上指定特定任务(扫描、修复、重新启动)所需的不同设置。有关选项的详细信息,请单 

击帮助。 

配置后,可以将扫描和修复设置应用于安全扫描任务、修复任务、卸载任务、重新启动任务和更改设置任务。 

51

用户指南 

遵从性设置 

使用“修补程序和遵从性”工具,您还可以创建特定于遵从性的设置(决定频率安全扫描运行的时间和修复已检测风险的方 

式)。遵从性扫描以遵从性组(以及在遵从性设置上指定的选项)中的内容为依据,可以作为计划任务、策略运行,甚至 

可以在检测到无法删除或隔离的病毒时由 LANDesk Antivirus 执行。 

更改设备的默认扫描和修复设置 

设备的默认扫描和修复设置是作为初始代理配置的一部分部署的。如果一个任务具有其他扫描和修复设置(与 

任务关联或分配给任务),那么默认设置将被覆盖。您也可以通过在创建任务时选择设备的默认设置来选择使 

用默认设置。 

在有些情况下,您可能希望更改某些设备上的这些默认扫描和修复设置。“修补程序和遵从性”提供了完成上述 

操作的方法,而无需重新部署全新、完整的代理配置。要执行此项操作,请使用更改设置任务,该任务位于 

创建任务工具栏按钮的下拉列表中。 

您可以在显示的对话框中输入任务的唯一名称,指定该任务是否为计划的任务或策略,以及选择现有的扫描或 

修复设置作为默认设置,或使用编辑按钮创建新的扫描和修复设置作为目标设备的默认设置。 

52

使用自定义变量和自定义变量替代设置 


使用自定义变量,您可以通过修改一个或多个设置的值对安全威胁扫描进行仔细调整,使扫描器检查您所定义 

的条件,并且仅在该条件得到满足(即检测到您所指定的值)时才确定设备易受攻击。一些系统配置安全威胁 

定义具有变量设置,可以更改这些设置然后再将其加入安全扫描中。通常,防病毒定义还有自定义变量设置。 

需要“编辑自定义变量”权限 

要编辑自定义变量设置,LANDesk 用户必须具有基于“编辑自定义变量”角色的管理权限。使用用户工具可配置权限。 

每个具有可自定义变量的安全定义都有唯一的一组可以修改的特定值。但在每种情况下,自定义变量页都将 

显示以下公共信息: 

名称:标识自定义变量。名称无法修改。 

值:标识自定义变量的当前值。只要此变量不是只读变量,就可双击该字段来更改值。 

说明:提供来自定义发行者的有关此自定义变量的其他有用说明。 

默认值:提供更改设置后希望将其恢复回原始值的默认值。 

要更改某个自定义变量,请双击值字段,如果有可用的下拉列表,那么从中选择一个值或者手动编辑该值, 

然后单击应用。请注意:某些变量为只读变量,无法编辑(通常说明中有提示)。 

自定义变量替代设置 

在某些情况下,可能想要忽略自定义变量设置,或者换言之,要创建规则的例外情况。可以使用称为自定义变量替代设置的 

功能来执行此操作。使用自定义变量替代设置,您可以决定扫描设备时哪些自定义变量实际上要忽略,这样,即使这些变量 

符合某个定义的检测规则中的实际条件,也不会被检测为漏洞而进行修复。用户必须具有“编辑自定义变量”权限才能创建或 

编辑自定义变量替代设置。可以根据需要创建多个自定义变量替代设置,并使用更改设置任务将其应用于设备。有关详细 

信息,请参阅关于“自定义变量替代设置”对话框。 

53

用户指南 

查看检测到的安全数据 

如果安全扫描器在目标设备上搜寻到任何选定的病毒定义,那么会将该信息报告给核心服务器。运行扫描后, 

可以使用以下任一方法查看检测到的安全数据: 

按照“已检测到”组 

在“修补程序和遵从性”工具窗口中,选择已检测组来查看所有在最近的扫描中被检测到的定义的完整列表。 

“已扫描”列显示针对某个定义已扫描了哪些设备,而“己检测到”列显示已在哪些设备中检测到该定义。 

通过定义 

右击一个定义,然后单击受影响的计算机可查看最近一次扫描中检测到该定义的设备列表。 

通过设备“安全和修补程序”信息对话框 

在网络视图中右击一个特定的设备,然后单击安全和修补程序信息以查看设备的详细的安全评估信息和修补 

程序部署状态。 

您也可以在网络视图中选择多台设备,右击该组,然后单击安全和修补程序信息可查看其中一台或多台设备 

上搜寻到的定义列表。从列表中选择定义时,底部窗格中将显示最近一次扫描时在其中检测到该定义的设备。 

54

通过“扫描”信息对话框 


在“修补程序和遵从性”工具窗口,单击扫描信息工具栏按钮来查看详细的修补程序部署操作以及您网络上已扫 

描设备的状态。您可以为最近没有报告的、无结果的、需要根据已选择严重类型安装修补程序的计算机查看扫 

描结果。 

将安全扫描结果发送到汇总核心 

如果您在大型分布式企业网络上工作,您可能需要将最新的安全扫描结果发送到位于特定地区的汇总核心服务 

器上,以便于访问您所有受管设备的实时漏洞信息。通过定义“修补程序和遵从性”工具中的汇总核心设定,您 

可以启用自动和即时的安全扫描结果发送。 

安全扫描器每次运行时,都会将扫描结果文件写入到核心服务器上名为 VulscanResults 的文件夹中,并通知 

LANDesk Security web 服务,后者会将文件添加到核心数据库中。如果已启用汇总核心设置并确认了有效的 

汇总核心,汇总核心会将扫描结果文件读取到自身的数据库中,从而提供对关键漏洞信息更快速的访问。 

要将安全扫描结果即时发送到汇总核心 

1. 在修补程序和遵从性工具窗口中,单击配置设置工具栏按钮,然后单击汇总核心服务器设置。 

2. 勾选将扫描结果立即发送到汇总核心复选框。 

3. 输入您想要接收最新安全扫描结果的汇总核心名称。 

4. 如果您想要使用写入扫描结果文件的默认 URL(汇总核心上的位置),请勾选使用默认汇总 URL 复 

选框。否则,您可以取消勾选复选框后输入一个首选的地址。 

55

用户指南 

修补检测到安全风险的设备 

一旦为具有许可证或已订阅并扫描的设备的内容类型更新了安全内容、确定了哪些检测到的暴露问题需要引起 

注意并下载了修补程序之后,实施“修补程序和遵从性”安全的下一步就是修补(或修复)该安全问题。 

修补解决方案和操作根据安全风险的类型不同而不同。而且,某些修补可使用“修补程序和遵从性”工具远程执 

行,而其他修补任务则必须手动完成。例如,可通过在受影响的设备上部署和安装必要的安全修补程序来修补 

漏洞;可通过删除感染间谍软件本身来修补间谍软件;而系统配置安全威胁则主要通过编辑注册表或更改其他 

特定于平台的设置来修补。 

修补不同的安全风险 

对不同类型的安全风险(例如,内容类型)的修补如下所述: 

已知的漏洞 

对于已知的漏洞,修补时需要部署和安装适当的安全修补程序。Windows 和 Macintosh 漏洞修补可通过控制 

台,作为计划任务、基于策略的修复或作为自动修复扫描来执行。但是 Linux 和 UNIX 漏洞修补则必须在受影 

响的设备上手动完成。 

用户自定义 

对于用户自定义,修补可能包括部署用于解决暴露问题的定制修补程序或脚本。与已知的漏洞修补一样,自定 

义漏洞修复任务可通过控制台来完成。 


对于 LANDesk 软件更新,修补是指安装正确的版本升级。可通过控制台完成此操作。 

安全威胁 

对于安全威胁(本地 Windows 系统或平台配置错误和暴露问题),修补意味着应用安全威胁定义指定的配置 

设置。可通过控制台完成此操作。您还可以修改使用可编辑的自定义变量的安全威胁定义以应用自定义设置。 

某些安全定义必须在受影响的设备上手动修补。要确定安全威胁是否可从控制台进行修补,请查看其在项目列 

表视图中“可修补”列的值(“是”或“否”)。 

防火墙检测和配置(使用 Windows 防火墙设置和安全威胁定义) 

对于 Windows 防火墙配置,修补意味着将应用通过 Windows 防火墙设置或预定义的安全威胁定义指定的配 

置设置。 

将 Windows 防火墙设置与更改设置任务相关联以启用/禁用防火墙,然后在运行以下 Windows 平台的目标设 

备上配置防火墙设置(包括例外)、入网规则以及出网规则(用于服务、端口、程序): 

56 

Windows 2003/XP 

Windows Vista 

此外,LANDesk Security 会提供预定义的安全威胁定义,供您在运行特定 Windows 平台的受管设备上扫 

描、检测和配置防火墙设置。以下安全威胁定义可让您扫描和修改防火墙配置: 

ST000102:针对 Windows 2003 SP1 和 Windows XP SP 上 Windows 防火墙的安全威胁定义。 

ST000015:针对 Windows 2003 SP1 和 Windows XP SP2 上 Internet 连接防火墙的安全威胁定义。 

Windows 防火墙安全威胁属性包括可让您配置 Windows 防火墙设置的自定义变量。您可使用这些安全威胁定 

义扫描指定设置,如果这些设置不符,则返回漏洞条件。您可使用修复任务中自定义的定义来开启或关闭防火 

墙,并更改或重新配置已扫描设备的防火墙设置。


Windows GPO 可以更改防火墙设置 

请注意,Windows 组策略对象 (GPO) 可能影响到使用安全扫描器配置的防火墙设置。例如在“配置 Windows 防火墙安全威 

胁的自定义变量”对话框中定义的防火墙设置和随后通过安全扫描器修复任务实现的防火墙设置,均可以根据这些设置在活 

动的“组策略对象”中定义的方式来更改回它们的原始值。 

间谍软件 

对于间谍软件,修补包括删除非法的间谍软件应用程序。可使用修复任务从控制台中远程完成此操作。 

也可以配置某一设备以进行实时间谍软件监视(扫描、检测和删除)。要使用实时间谍软件监视,必须启用该 

设备的代理配置中的设置。在代理配置对话框的间谍软件页面上,选中相应的间谍软件监视选项以启用实时 

间谍软件监视和最终用户通知。实时间谍软件监视功能使用 LANDesk“软件授权监视”工具的 softmon.exe 程 

序来监视间谍软件并创建日志文件,当安全扫描器在目标设备上扫描间谍软件定义时将读取该日志文件。 

必须启用自动修复以进行实时间谍软件监视 

为了使实时间谍软件扫描和检测生效,下载的间谍软件定义必须启用自动修复选项。可以在“修补程序和遵从性”工具窗口的 

项列表中为间谍软件定义手动启用自动修复选项。或者也可以配置间谍软件定义更新,使自动修复选项在间谍软件定义下载 

时默认打开。 

禁用的应用程序 

对于禁用的应用程序,修补不是独立的任务。通过在本地硬盘驱动器上编辑注册表来禁止用户访问任何未授权 

的应用程序,阻止应用程序是作为安全扫描本身的一部分进行的。 

即使指定应用程序可执行文件的名称已被修改,“修补程序和遵从性”使用 LANDesk“软件授权监视”工具的 

softmon.exe 程序仍可以通过读取文件的标题信息来拒绝对可执行文件的访问。 

防病毒更新 

防病毒更新适用于包括 LANDesk Antivirus 在内的数种常用防病毒产品。请查阅下载更新对话框中的定义类型 

列表,了解支持的防病毒扫描器引擎,即可以为之下载检测定义的防病毒扫描器。 

防病毒扫描器检测内容与病毒定义内容 

防病毒更新并不一定包含实际的病毒定义(或病毒码)文件。下载第三方防病毒更新时,下载到默认存储库中的只有扫描器 

检测内容,而不会下载特定于扫描器的病毒定义文件。但是,下载 LANDesk Antivirus 更新时,却会同时下载扫描器检测内 

容和 LANDesk Antivirus 特定的病毒定义文件。LANDesk Antivirus 病毒定义文件会下载到核心服务器中的单独位置。默认 

的病毒定义文件存储库是 \LDLogon\Antivirus\Bases 文件夹。 

防病毒更新是检测以下内容的扫描器定义: 

常用防病毒扫描器引擎(包括 LANDesk Antivirus 工具)的安装 

实时扫描状态(启用或禁用) 

特定于扫描器的病毒码版本(最新或旧版本) 

上次扫描日期(上次扫描是否处于管理员指定的最大允许时间周期之内) 

使用防病毒扫描器检测定义部署安全扫描时,安全扫描器会检查受管设备上是否安装了防病毒扫描器引擎,是 

否启用或禁用了实时扫描,扫描器的病毒码是否最新以及该设备上最近一次运行扫描的时间。如果实时扫描已 

关闭,您可将其远程启用。 

57

用户指南 

“修补程序和遵从性”如何修补不同的安全风险 

下表描述了“修补程序和遵从性”如何修补每种类型的风险: 

58 

正在修补... “修补程序和遵从性”的修补是通过... 

LANDesk 软件更新部署并安装适当的 LANDesk 软件更新。 

Windows 漏洞部署和安装所需的修补程序文件(必须已经将修补程序文件下载到本地修补程序 

储存库)。 

Macintosh 漏洞部署和安装所需的修补程序文件 

Linux/UNIX 漏洞在受影响设备上手动执行修补。 

用户自定义如果相关的检测规则允许修补,并且指定的修补程序文件可用,那么部署和安装 

修补程序文件。 

安全威胁应用通过安全威胁定义指定的配置设置。可通过控制台完成此操作。您还可以修 

改使用可编辑的自定义变量的安全威胁定义以应用自定义设置。某些安全定义必 

须在受影响的设备上手动修补。要确定安全威胁是否可从控制台进行修补,请查 

看其在项目列表视图中“可修补”列的值(“是”或“否”)。 

间谍软件删除检测到的间谍软件实例。有关实时间谍软件检测和删除的详细信息,请参阅 

上面的间谍软件部分。 

驱动程序更新部署并安装适当的第三方驱动程序更新。 

软件更新部署并安装适当的第三方软件更新。 

防病毒更新如果实时扫描已关闭,您可将其重新启用。其他防病毒扫描器检测定义将返回状 

态信息,反映特定防病毒扫描器引擎的安装、病毒码版本和上次扫描日期(无法 

从控制台远程修补的相关问题)。 

禁用的应用程序(发布的 

和定制的) 

拒绝对应用程序的访问,即使程序的可执行文件的名称已被修改,仍可以通过读 

取文件的标题信息来拒绝。这种情况下的修补不是独立的过程。应用程序阻止是 

在安全扫描过程中完成的。安全扫描将立即阻止用户通过编辑注册表对应用程序 

的访问。(请参阅对禁用的应用程序类型的免责声明。) 

要了解“修补程序和遵从性”如何扫描不同的内容类型,请参阅 “修补程序和遵从性”如何扫描不同的安全风险。 

从控制台修补 

如上所述,Windows 和 Macintosh 漏洞、用户自定义、LANDesk 软件更新以及禁用的应用程序都可通过控制 

台来修补。以下修补方法部分介绍了这些不同的方法。

智能修补程序部署修补 


“修补程序和遵从性”采用智能的方式进行修补,即在每台设备上只安装需要的修补程序,而不是安装修复作业 

中包含的所有漏洞所涉及的全部修补程序。为了快速而有效地部署修补程序,该工具还利用 LANDesk 中增强 

的程序包部署功能:定向多播、对等下载和检查点重新启动。有关这些软件分发功能的更多详细信息,请参阅 

软件分发。 

一次修补一个或多个定义 

您可以使用下面介绍的三种修补方法之一来修补单个检测到的定义或一组定义。 

要一次修补一个定义,请右击该定义,然后单击修复。 

要一次性修补多个定义,请将定义从任意内容组复制到自定义组中(请参阅了解和使用“修补程序和遵从性”工 

具,右击该组,然后单击修复)。“自动修复”方法不能用于自定义组;不过,您可以在列表中选择多个定义, 

然后右击并选择自动修复。 

手动修补 Linux 和 UNIX 设备 

从控制台可远程修补支持的 Windows 和 Macintosh 设备,但是从控制台只能扫描而不能修补其他平台,例如 

Linux 和 UNIX Sun Solaris。 

要进行修补,必须在 Linux 和 UNIX 设备上手动安装适当的修补程序。 

59

用户指南 

修补方法 

“修补程序和遵从性”提供以下方法从控制台中对受影响设备进行修补: 

60 




计划任务修补可视为推送分发,因为修补程序是从核心服务器推送到设备的;而策略可视为“拉”分发,因为设 

备的策略代理检查核心服务器中的适用策略,然后从核心服务器“拉”修补程序。 


如果希望将任务设置为在以后的特定时间运行或者设置为重复任务,那么计划一个修补或修复任务很有用。 

“修补程序和遵从性”使用“计划任务”工具配置和处理已计划的修复任务。 

Windows 和 Macintosh 设备都支持计划任务修复。 




组。有关基于角色的管理的详细信息,请参阅基于角色的管理。 

创建计划修复任务 


2. 从其中一个内容组中右击单个定义,或右击定义的某个自定义组,然后单击修复。或者单击创建任务 

工具栏按钮,然后单击修复。随即显示“创建修复任务”对话框。


3. 如果要更新修复任务的名称,请编辑任务名称。 

4. 单击作为计划任务修复复选框。 

5. (可选)如果要将此修复任务分成两个部分:将必需的修补程序部署到受影响设备的暂存任务,以及 

安装此修补程序的实际修复任务。单击分为暂存任务和修复任务。 

6. 指定要修复哪些设备。(可选)如果希望将当前受影响的设备自动添加到“计划任务”窗口中的目标列表 

中,请单击添加所有受影响的设备复选框。易受攻击的设备是指上次扫描过程中检测到漏洞的那些设 

备。在“计划任务”窗口中创建任务后,还可以添加更多目标。 

7. 如果希望使用“定向多播”功能部署修补程序,请选中使用多播复选框。要配置多播选项,请单击多播 

选项按钮。要了解详细信息,请参阅以下的关于“多播选项”对话框。 

8. 如果希望只使用“对等下载”功能部署修补程序,请单击仅从本地对等下载修补程序复选框。如果选中 

此选项,那么仅当修补程序文件位于设备的本地高速缓存中或同一子网中的对等设备上时,才部署修 

补程序。使用此选项可节省网络带宽。但请注意,为了成功安装修补程序,修补程序必须位于上述两 

个位置之一。 

9. 指定是否只下载修补程序而不在受影响的设备上部署和安装。 

61

用户指南 

10. 为此修复任务选择扫描和修复设置。扫描和修复设置决定了扫描器显示、重新启动和所扫描设备上的 

用户交互操作,以及要扫描的实际内容。 

11. 单击确定。 

12. 该任务随同前面指定的作业名一起显示在“计划任务”窗口中,在此可以进一步定制目标设备并配置计划 

选项。 


基于策略的修补功能具有很高的灵活性,您可以根据自定义 LDAP 或核心数据库查询的结果动态地选择目标 

设备。例如,您可以配置一个修补策略,使其仅在特定目录容器中的设备上运行,或者仅在运行特定操作系统 

(或具有可查询的任何其他清单属性)的设备上运行。“修补程序和遵从性”使用计划任务/软件分发工具中的策 

略来配置和处理修补策略。 

基于策略的修补支持的平台 

只有 Windows 设备支持基于策略的修补。Macintosh 设备不能通过应用程序策略方法进行修补。 

为通过策略来修补,必须在设备上安装软件分发代理。当代理运行时,它将在核心数据库中检查可能要应用的 

策略。如果存在这样的策略,设备上会显示一个对话框,其中显示建议的策略和可选策略(必需的策略将会自 

动应用)。 

修补(或修复)策略的运行方式与应用程序策略相同,只不过分发的是修补程序文件而不是应用程序文件。修 

复策略和应用程序策略的策略管理前提条件、任务流程、策略类型以及静态和动态目标基本相同。 

创建基于策略的修补 


2. 从其中一个内容组中右击单个定义,或右击定义的某个自定义组,然后单击修复。或者单击创建任务 

工具栏按钮,然后单击修复。随即显示“创建修复任务”对话框。 

3. 如果要更新修复任务的名称,请编辑任务名称。 

4. 选中作为策略修复复选框。 

5. 根据这个漏洞的定义,如果要创建以后可以用来扫描其他受管设备的新的查询,请选中添加查询复选 

框。 

6. 如果希望只使用“对等下载”功能部署修补程序,请单击仅从本地对等下载修补程序复选框。如果选中 

此选项,那么仅当修补程序文件位于设备的本地高速缓存中或同一子网中的对等设备上时,才部署修 

补程序。使用此选项可节省网络带宽。但请注意,为了成功安装修补程序,修补程序必须位于上述两 

个位置之一。 

7. 指定是否只下载修补程序而不在受影响的设备上部署和安装。 

8. 为此修复策略选择扫描和修复设置。扫描和修复设置决定了扫描器显示、重新启动和所扫描设备上的 

用户交互操作,以及要扫描的实际内容。 


10. 新策略在“计划任务”窗口的“策略”组中显示为上面指定的名称。在此可以添加静态目标(用户或设备) 

和动态目标(查询结果),还可以配置策略的类型和频率。 


自动修复是一种很方便的集成方法,用于在不希望创建计划任务或基于策略的修复任务时进行快速修补。例 

如,如果新出现一个已知的漏洞,您希望通过一个进程扫描并修复它,即可使用“自动修复”功能。 

以下内容类型可使用自动修复:漏洞、间谍软件、LANDesk 软件更新和用户自定义。 

使用自动修复的要求 

只有管理员或具有“修补程序管理器”权限且分配范围为“默认范围 - 所有机器”的用户才能对适用的定义启用自动修复功能。 

不具有 LANDesk 管理员权限或“修补程序管理器”权限的 LANDesk 用户在定义的快捷(右击)菜单上甚至看不到此选项。 

有关权限和范围的详细信息,请参阅基于角色的管理。 

62


必须在两个位置启用自动修复,以便正常工作。首先,必须打开“自动修复”选项,其次,必须将“扫描和修复” 

设置应用到计划扫描任务。如果这些两个设置中任何一个的自动修复选项未启用,那么不会自动修复。 

在上述两个位置启用“自动修复”后,下次手动或通过扫描任务运行安全扫描器时,“修补程序和遵从性”将自动 

在所有受影响的设备上部署和安装必需的修补程序。使用自动修复功能,如果修补程序要求重新启动,那么目 

标设备会始终自动重新启动。 

一次可以对单个定义或包含多个定义的定义组启用“自动修复”功能。 

配置“自动修复”修补功能 

1. 在修补程序和遵从性工具窗口中,从内容组中右击一个或多个已选定义,然后单击扫描时自动修补。 

(注意:不能对自定义组启用自动修复。) 

2. 现在可在要扫描的设备上运行安全扫描器,并使用计划安全扫描任务和已启用自动修复选项的扫描和 

修复设置来自动修复。 

63

用户指南 

修补过程中在设备上执行的操作 

执行自动修补需要使用前几节中介绍的三种方法之一,在受管的设备上部署和安装修补程序。 

切记一个修复作业可以修补一个或多个检测到的安全定义,这一点是非常重要的。而且,可能需要安装一个或 

多个修补程序才能修复一个检测到的定义。由于上述原因,根据检测的数量和类型,修补过程中可能只在设备 

上安装一个修补程序文件,也可能需要在设备上安装多个修补程序文件。 

几乎所有修补程序文件都是无提示(或透明)安装的,不需要用户在最终用户设备上进行干预。部分 

Windows 9.x 修补程序和非英语版本的修补程序不是无提示安装的。查看修补程序列表中的“无提示安装”列, 

即可确定修补程序的安装是否为无提示安装。有关详细信息,请参阅本节前面的了解和使用“修补程序和遵从 

性”工具。 

配置安全扫描显示和在最终用户设备上的交互 

但是,无论修补程序文件是否可无提示安装,现在都可以使用扫描和修复设置功能来配置安全扫描器的显示和 

最终用户设备上用于输入的提示。 

一次性重新启动 

如果安装修补程序文件后需要重新启动(且未在应用于所需任务的扫描和修复设置的“重新启动”页面上选中从不重新启动选 

项),那么“修补程序和遵从性”首先会在设备上安装指定修复作业的所有修补程序,然后重新启动设备一次。 

其他命令(仅用于用户自定义) 

用户自定义修补可以包括创建自定义检测规则时定义的特殊的其他命令。其他命令按照该规则的“命令”选项卡 

中指定的顺序运行,并根据每个命令的参数运行。其他命令可以在修补程序文件自身执行前、执行中或执行后 

运行。 

64

查看所扫描设备的“修补程序和遵从性”信息 


如上所述,查看所扫描的安全数据的五种方法是通过设备。要达到此目的,请右击单个设备或一组选定的设 

备,然后单击安全和修补程序信息。 

本页提供许多有用的功能。选择一个或多个设备后,可执行以下操作: 

查看检测到的定义列表 

查看有关发生检测的时间和原因的详细信息 

查看安装的修补程序和软件更新列表 

查看有关安装或卸载修补程序的时间的详细信息 

清除修补程序安装状态 

查看修复历史数据 

清除修复历史数据 

可在其各自的项列表中单击定义或检测规则,从而为一个或更多受影响的设备运行常见任务。 

查看设备清单中最近的安全扫描日期 

要确定设备上最后一次运行安全扫描的时间,请右击该设备,单击清单,然后在“清单”视图的右侧窗格中向下 

滚动浏览到不同的上次扫描日期。 

验证修补状态 

在受影响的设备上执行修补后,“修补程序和遵从性”报告每个修补程序的安装状态。可以检查每个漏洞/定义和 

每个目标设备的修补程序的安装状态。 

验证设备的修补程序的安装 

1. 在设备上运行安全扫描器。 

2. 在网络视图中右击已修补的设备,然后单击安全和修补程序信息。 

3. 单击左侧窗格中的已安装的修补程序对象。 

4. 单击对话框底部的修补程序信息字段。 

安装状态字段指示安装是否成功。可能的状态包括:“成功”、“失败”和“下载失败”。 

按漏洞清除漏洞扫描和修复状态 

如果修补程序安装失败,那么必须先清除安装状态信息,然后才能重新安装修补程序。单击安全和修补程序 

信息对话框中的清除可清除所选设备的安装(修复)状态。还可以按漏洞清除修补程序安装状态。 

可以用清除扫描/修复状态对话框为所有有漏洞的设备清除漏洞扫描和修复状态信息。正如前面所说的,如 

果修补程序安装失败,那么必须先清除安装(修复)状态,然后才能重新安装修补程序。 

也可以使用该对话框为一个或多个漏洞从数据库删除漏洞扫描信息。 

要清除漏洞扫描和修复状态,请右击该漏洞并选择清除扫描/修复状态,选择要清除的选项,然后单击清 

除。 

其他修补程序和遵从性管理任务 

以下部分描述您可以使用“修补程序和遵从性”工具执行的其他任务。 

65

用户指南 

创建计划重新启动任务 

“修补程序和遵从性”提供了一个工具,使用它可创建设备重新启动任务。如果将安装修补程序(不重新启动) 

作为一个进程,而将重新启动这些修补后的设备单独作为一个任务时,便可使用重新启动任务。例如,可以在 

白天运行扫描或修补程序安装任务,而在更方便的时间为最终用户部署独立的重新启动任务。 

创建重新启动任务 

66 


2. 单击创建任务工具栏按钮,然后单击重新启动。 

3. 指定重新启动为计划任务、基于策略的扫描或二者皆是。 

4. 从可用的列表中选择扫描和修复设置(或单独为此扫描任务创建定制设置)以确定扫描器在最终用户 

设备上的操作方式。(注意:重新启动任务只使用扫描和修复设置中的重新启动设置。 

5. 单击确定。对于计划任务,现在可在“计划任务”工具中添加目标设备和配置计划选项。对于策略,新 

策略在“应用程序策略管理”窗口中显示为上述指定的任务名,在该窗口中可添加静态目标(用户或设 

备)和动态目标(查询结果)并配置策略和类型和频率。 

使用“修补程序和遵从性”警报 

可以配置“修补程序和遵从性”安全警报,以便在系统中的受管设备上检测到特定漏洞时可以通知您。“修补程序 

和遵从性”的漏洞警报使用标准的 LANDesk 警报工具。 

漏洞必须复制到警报组中,才能在检测到时生成警报。警报组中的漏洞是副本,该漏洞还保存的扫描组中。将 

所需的漏洞定义加入警报组之后(或者手动,或者通过指定在下载期间自动加入的漏洞安全级别),可以在 

“配置警报”对话框中配置警报间隔。 

配置警报 

1. 指定将生成警报的漏洞,方法是手动将下载的漏洞定义加入警报组中。 

2. 或单击配置设置工具栏按钮,然后单击警报设置。 

3. 指定警报的最小警报间隔。 

4. 要配置安全警报,请选择要在下载过程中自动放入警报组的定义(按严重级别)。可以选择多个漏洞 

严重级别。这些漏洞定义还将自动放入扫描组。 

5. 要配置防病毒警报,请选择要生成警报的防病毒事件。 


使用“修补程序和遵从性”报告 

“修补程序和遵从性”信息通过“报告”工具中的一些报告来显示。这些报告提供与网络中被扫描设备每种安全风 

险内容类型的安全风险评估、遵从性、修补程序部署和修补状态有关的有用信息。 

要访问“报告”工具、生成和查看报告,用户必须具有 LANDesk 管理员权限(即完全权限)和特定的报告角 

色。 

有关使用“报告”工具的详细信息,请参阅报告。

安全配置 


“安全配置”提供了方便的单个工具,可以用来为多个 LANDesk Security Suite 组件和服务以及相应的部署任务 

创建和管理配置。 

“安全配置”(即设置)可控制安全服务在受管设备上的运行方式。安全服务和相关的设置可以做为初始代理配 

置的一部分、单独安装或更新任务及更改设置任务,部署到受管设备上。 

“安全配置”使您可以为以下安全服务创建和管理设置: 

防病毒 

Windows 防火墙 

端点安全(HIPS、LANDesk 防火墙、设备控制) 

安全警报设置 

授权代码 

您还可以执行以下任务: 

创建“更改设置”任务 

创建“安装或更新安全组件”任务 

创建“删除安全组件”任务 

创建“防病毒更新和扫描”任务 

配置安全组件的警报设置 

生成最终用户的授权代码 

67

用户指南 

使用“安全配置”工具 

“安全配置”工具窗口提供了简单的单个界面,让您可以为多个安全功能管理设置和任务。 

使用“安全配置”工具,您可以: 

68 

配置防病毒定义文件下载 


创建“安装/更新安全组件”任务 


创建“防病毒”任务 

配置“警报”设置 

生成授权代码 





配置防病毒定义下载 

以下步骤提供了在网络上采用 LANDesk Antivirus 实现防病毒保护所涉及的典型过程或任务的简明轮廓。在 

"LANDesk Antivirus" 在页面 78 部分里描述了每个过程的详细情况。 

有关特定的“下载防病毒定义”任务的详细信息,请参阅 "更新病毒定义文件" 在页面 85。 


设备的默认安全设置作为初始代理配置的一部分部署。有时,您可能希望更改特定设备上的这些默认设置。 

“安全配置”工具提供了完成上述操作的方法,而无需重新部署全新、完整的代理配置。 

要执行此项操作,请单击更改设置任务,该任务位于创建任务工具栏按钮中。


您可以在显示的对话框中输入任务的唯一名称,指定该任务是否为计划的任务或策略,然后选择现有的设置 

作为默认设置或使用“编辑”按钮创建新的设置作为目标设备的默认设置。 

关于“创建更改设置任务”对话框 

使用此对话框可以创建和配置任务,更改目标设备上的“端点安全”组件的默认设置。 

使用更改设置任务,可以方便地更改受管设备的默认设置(会写入设备的本地注册表中),无需重新部署完整 

的代理配置。 

该对话框包含以下选项: 

任务名称:输入标识该任务的唯一名称。 

创建计划任务:将任务添加到“计划任务”窗口中,在该窗口中,您可配置该任务的计划和频率选项, 

并分配目标设备。 

创建策略:将任务作为策略添加到“计划任务”窗口中,在该窗口中,您可配置策略选项。 

类型:标识安全组件。 

端点安全:指定与此特定更改设置任务相关的“端点安全”设置。请记住,尽管“端点安全”是部署到目标 

设备上的单一代理,但它可为多个安全组件提供服务,其中包括:位置感知(网络连接)、HIPS、 

LANDesk 防火墙和设备控制。选择希望部署到目标设备上的设置,通过选择设置并单击编辑修改现有 

设置,或者通过单击配置|新建创建新设置。 

69

用户指南 

70 

防病毒:指定防病毒扫描任务所使用的防病毒设置。防病毒设置可确定 LANDesk Antivirus 图标是否 

在设备系统托盘中显示、最终用户交互选项的可用性、电子邮件扫描和实时保护的启用、要扫描的文 

件类型、要排除的文件和文件夹、已感染文件的隔离和备份、计划的防病毒扫描以及计划的病毒定义 

文件更新。从下拉列表中选择一种设置。单击编辑修改选定设置的选项。单击配置创建新设置。有关 

详细信息,请参阅 "关于“LANDesk Antivirus 设置”对话框" 在页面 338。 

Windows 防火墙:指定目标设备上的 Windows 防火墙设置。您可以启用和禁用防火墙,然后配置防 

火墙设置(包括例外)、入网规则以及出网规则(用于服务、端口、程序)。 

关于“配置安全组件设置”对话框 

使用此对话框可以管理安全组件设置。配置完成后,可以将设置应用于代理配置任务、安全组件安装或更新任 

务以及更改设置任务。 


新建:打开设置对话框,在此可以配置各种选项。 

编辑:打开设置对话框,修改选定的设置。 

复制:打开选定设置的副本作为模板,然后可以对其进行修改和重命名。如果您要对设置进行少量调 

整并将它们保存用于特定目的,这将非常有用。 

删除:从数据库中删除选定的设置。(请注意,所选设置可能目前仍与一个或多个任务或受管设备相 

关联。如果您选择删除该设置:具有该设置的设备仍然具有该设置并且可继续使用该设置,直到部署 

新的更改设置任务;具有该设置的计划任务仍可在目标设备上运行,如同执行具有该设置的本地调度 

程序,直到部署新的配置。 

使用选定:指明当前选定的设置将用于此任务。 

关闭:关闭对话框,不在任务中应用设置。


如果希望安装或更新安全组件,您可以将此操作做为单独的任务来执行。 


1. 在控制台中,单击工具 > 安全 > 安全配置。 

2. 单击创建任务工具栏按钮,然后单击安装/更新安全组件。 


71

用户指南 

72 

3. 输入任务的名称。 

4. 指定安装为计划任务、基于策略的任务或二者皆是。 

5. 选择要安装的组件。通过单击配置,您可以创建新的设置或编辑现有设置。 

6. 如果希望在目标设备的安全扫描器对话框中显示安装进度,请选中在客户端上显示进度对话框选项。 

7. 从列表中选择扫描和修复设置,(仅)将其重新启动配置应用到您正在创建的代理配置。您可以创建 

新的设置或通过单击配置编辑现有设置。请记住,这种代理配置的“端点安全”代理目标设备代理部署 

仅使用在您选择的扫描和修复设置中指定的重新启动选项。您可以使用已包含所需重新启动配置的现 

有扫描和修复设置,也可以专门为您的代理部署创建全新的扫描和修复设置。 


关于“安装或更新安全组件任务”对话框 

使用此对话框创建和配置任务,此任务通过共享的“端点安全”代理在还没有安装安全组件的目标设备上安装此 

组件,或在目标设备上更新安全组件的现有版本。 

注意:安装将由安全扫描器来执行。 

该任务使您能够方便地部署和更新受管设备的安全组件(和相关设置),不需要重新部署完整的代理配置。 






要安装的安全组件:指定此任务要安装的安全组件。选中要安装的组件。在设置列单击,选择一个现 

有的设置。单击编辑修改选定设置的选项。单击配置创建新设置。 

在客户端显示进度对话框:指明安全扫描器对话框是否在目标设备上显示安装进度。 

删除已存在的防病毒代理:安装 LANDesk Antivirus 前自动删除可能已安装在设备上的其他防病毒软 

件(请查看以下列表)。(注意: 您还可以选择在执行初始代理配置时从受管设备中删除现有的防病毒 

软件。) 

扫描和修复设置(仅限重新启动):指定与此特定安装相关的扫描和修复设置。该任务将仅使用所选 

扫描和修复设置的重新启动选项,这些选项决定在安装期间目标设备上的重新启动要求和操作。 

可自动卸载的第三方防病毒产品列表 

部署(或更新)LANDesk Antivirus 时即可被自动删除的其他防病毒产品包括: 

Symantec* Antivirus(版本 7、8、9、10) 

Symantec Endpoint Protection 11 

McAfee* Enterprise(版本 7.0、8.0、8.5) 

McAfee ePolicy Orchestrator EPO 

Trend Micro* PC-cillin(Windows Vista 64 位上的版本 2004、2005、2006、2007 15.3) 

Trend Micro OfficeScan 

Trend Micro ServerProtect 

Trend Micro Internet Security 2008 

CA eTrust* Antivirus(版本 6、7.x、8、8.1) 


如果希望从受管设备上删除安全组件,还可以从控制台中作为单独的任务完成此操作。



2. 单击创建任务工具栏按钮,然后单击删除安全组件。 



5. 选择要删除的组件。 



7. 从可用列表中选择扫描和修复设置,将其重新启动配置应用到您正在创建的任务。通过单击配置,您 

可以创建新的设置或编辑现有设置。该任务将仅使用所选扫描和修复设置的重新启动选项,这些选项 

决定在代理删除期间目标设备上的重新启动要求和操作。 


关于“删除安全组件任务”对话框 

使用此对话框可创建和配置任务,从目标设备上删除安全组件。 






要删除的安全组件:指定此任务要删除的安全组件。选中要删除的组件。 

在客户端显示进度对话框:指明安全扫描器对话框是否显示从目标设备上删除代理的进度。 

扫描和修复设置(仅限重新启动):指定与此特定代理删除任务相关的扫描和修复设置。该任务将仅 

使用所选扫描和修复设置的重新启动选项,这些选项决定在代理删除期间目标设备上的重新启动要求 

和操作。 

73

用户指南 

创建警报设置 

可以对与安全相关的警报进行配置,以便在系统中的受管设备上检测到特定事件时可以通知您。安全“防病毒” 

使用标准的 LANDesk 警报工具。 

警报设置对话框包含用于漏洞警报和防病毒警报的选项。 

防病毒警报 

配置防病毒警报 

防病毒警报设置位于警报设置对话框的防病毒选项卡中。 

必须先在控制台的“警报设置”工具中配置防病毒警报。防病毒警报包括: 

74 

应发警报的防病毒操作失败 

应发警报的防病毒操作成功 

病毒爆发警报(每个病毒) 

以下防病毒事件可以生成防病毒警报: 

病毒移除失败 

病毒移除成功 

隔离失败 

隔离成功 

删除失败 

删除成功 

选择希望生成的警报。时间间隔选项可以防止警报过多。在指定时间间隔内一次以上的警报(因任何防病毒触 

发)将会被忽略。 

您可以在设备的“安全和修补程序信息”对话框中查看其完整的防病毒警报历史记录。右击设备,选择“安全和修 

补程序信息”,在“类型”下拉列表中选择“防病毒”类型,然后选择“防病毒历史记录”对象。 

漏洞警报 

有关漏洞警报的信息,请参阅 "使用“修补程序和遵从性”警报" 在页面 66。

生成安全授权代码 


使用此对话框创建安全授权代码,它允许最终用户在短期内执行被阻止的操作。您可以使用授权代码来为特定 

用户或 IT 管理员提供临时访问权限,从而使他们能够访问受管设备。 

例如,如果用户企图连接没有被“设备控制”设置允许的 USB 设备,最终用户设备上会显示一条包含操作代码 

的弹出消息。用户将向管理员提供此操作代码,然后管理员使用它来生成一个授权代码返还给最终用户,以允 

许他们执行临时操作。 

生成授权代码 

1. 在安全配置工具中,单击公用设置工具栏按钮,然后单击生成授权代码。 

2. 输入最终用户提供的操作代码。 

3. 如果操作代码有效,将会自动生成一个授权代码。 

4. 输入最终用户希望执行的操作类型。 

5. 现在您可以将这个新的授权代码交给最终用户,他们可以使用它来执行受阻止的操作。 

注意错误的弹出消息 

当用户通过授权代码被允许访问时,无论用户实际进行了何种操作,最终用户设备上的弹出消息可能都会提示, HIPS 已被 

禁用。可以忽略此消息。 

75

用户指南 

创建 Windows 防火墙设置 

“安全配置”工具还允许您创建、配置和部署 Windows 防火墙设置,以管理受管设备上的 Windows 防火墙。 

要创建设置,右击 Windows 防火墙,然后单击新建。 

配置完成后,您就可以通过安装或更新任务,或者通过更改设置任务来将设置部署到目标设备。 

关于“创建 Windows 防火墙设置”对话框 

使用这些对话框可配置 Windows 防火墙设置。将 Windows 防火墙设置与更改设置任务相关联以启用/禁用防 

火墙,然后配置防火墙设置(包括例外)、入网规则以及出网规则(用于服务、端口、程序)。 

可使用此功能部署以下 Windows 版本中的 Windows 防火墙配置: 

76 

Windows 2003 

Windows XP(SP2 或更高版本) 

Windows Vista 

关于 Windows 防火墙 (XP/2003):“常规”页面 

使用此页面来定义防火墙常规设置。

关于 Windows 防火墙 (XP/2003):“例外”页面 

使用此页面可配置防火墙例外。 



当前例外:列出连接/通信未被防火墙阻止的程序、端口和服务。防火墙将阻止对设备未经授权的访 

问,但是此列表中的项除外。 

添加程序:可以将特定的程序添加到例外列表中以允许其进行通信。 

添加端口:可以将特定的端口添加到例外列表中以允许其进行通信。 

编辑:可以编辑包括受影响设备的范围在内的所选例外的属性。 

删除:从列表中删除选定的例外。 

确定:保存所作的更改,并关闭该对话框。 

取消:关闭此对话框而不保存更改。 

Windows 防火墙安全威胁定义 

此外,LANDesk Security 会提供预定义的安全威胁定义,供您在运行特定 Windows 平台的受管设备上扫 

描、检测和配置防火墙设置。以下安全威胁定义可让您扫描并修改防火墙设置: 

ST000102:Windows 2003 和 Windows XP 的 Windows 防火墙安全威胁定义。 

ST000015:Windows 2003 和 Windows XP 的 Internet 连接防火墙安全威胁定义。 

Windows 防火墙安全威胁属性包括可让您配置 Windows 防火墙设置的自定义变量。您可使用这些安全威胁定 

义扫描指定设置,如果这些设置不符,则返回漏洞条件。您可使用修复任务中自定义的定义来开启或关闭防火 

墙,并更改或重新配置已扫描设备的防火墙设置。 

关于 Windows 防火墙 (Vista):“常规规则”页面 

使用此页面可配置防火墙常规规则。 

关于 Windows 防火墙 (Vista):入网规则 

使用此页面可配置防火墙入网规则。 

关于 Windows 防火墙 (Vista):出网规则 

使用此页面可配置防火墙出网规则。 

77

用户指南 


LANDesk Antivirus 是 LANDesk Security Suite 的一个主要组件。通过基于最新的已知病毒定义文件扫描并清 

除病毒,“防病毒”可保护受管设备免受恶意病毒攻击。 

“防病毒”提供可配置的防病毒功能,包括:按需和计划的病毒定义文件更新、试用测试、可配置的防病毒扫描 

操作和最终用户交互选项、已感染对象处理、实时文件和电子邮件保护、状态、活动视图、报告以及其他内 

容。 


78 

"“防病毒”概述" 在页面 78 

"“防病毒”任务工作流" 在页面 82 

"将设备配置为采用“防病毒”保护" 在页面 83 

"可自动卸载的第三方防病毒产品列表" 在页面 83 

"从设备上卸载“防病毒”" 在页面 84 

"更新病毒定义文件" 在页面 85 

"通过试用测试评估病毒定义文件" 在页面 87 

"备份病毒定义文件" 在页面 87 

"对设备进行病毒扫描" 在页面 88 

"扫描方法" 在页面 88 

"启用实时防病毒保护(文件、电子邮件)" 在页面 90 

"以防病毒设置配置防病毒扫描选项" 在页面 92 

"配置要扫描的文件(仅扫描可感染的文件、排除项、试探法、有风险软件)" 在页面 94 

"防病毒扫描过程中在设备上执行的操作" 在页面 97 

"“防病毒”客户端界面和最终用户操作" 在页面 97 

"检测到受感染的对象时" 在页面 98 

"隔离文件的自动扫描" 在页面 98 

"使用防病毒警报" 在页面 99 

"使用防病毒报告" 在页面 100 

"在决策仪表板中查看防病毒信息" 在页面 100 

“防病毒”概述 

LANDesk Antivirus 包括内置的防病毒代理扫描器、持续更新的病毒码数据库以及安全配置工具提供的防病毒 

配置选项和功能。 

防病毒代理 

“防病毒”代理有别于“修补程序和遵从性”安全扫描器。 

LANDesk Security Suite 服务维护最新的病毒定义/病毒码文件数据库,其中的文件可以下载、评估和测试并 

分发给网络中的目标设备。 

使用“防病毒”可以执行下列操作: 

下载最新的病毒定义/病毒码文件更新(LANDesk Security Suite 服务的防病毒码数据库每天更新数 

次) 

计划重复的病毒定义文件更新

将先前的病毒定义文件存档 

创建和部署“防病毒”代理安装任务 

在目标设备上运行按需和计划的防病毒扫描 

配置防病毒扫描操作和最终用户选项 

选择要扫描的文件类型,以及是否要扫描有风险的软件 

启用实时文件和电子邮件病毒保护 


扫描第三方的防病毒扫描器引擎,启用/禁用实时病毒扫描并确保特定防病毒产品的病毒定义文件为最 

新 

查看已扫描设备的防病毒操作和状态信息 


生成防病毒报告 

安全内容类型和订阅 

当您安装 LANDesk Management Suite 或 LANDesk Security Suite 时,默认情况下会包含“修补程序和遵从 

性”工具。但是,如果未订阅 Security Suite 内容,则只能扫描 LANDesk 软件更新和用户自定义。Security 

Suite 内容订阅使您能够充分利用“修补程序和遵从性”工具(以及“安全配置”工具)的优势,因为它可提供对其 

他安全内容(定义类型)的访问,包括防病毒扫描器使用的防病毒扫描器检测规则和实际的“防病毒”病毒定义 

文件。 

安全内容类型包含: 

防病毒更新(对于第三方扫描器只包括防病毒扫描器检测内容;对于“防病毒”,则扫描器检测内容和病 

毒定义文件二者均包括,扩展数据库中还提供了有风险软件的定义) 

禁用的应用程序(请参阅 "对禁用的应用程序类型的免责声明" 在页面 30) 

定制漏洞定义 



安全威胁(系统配置隐患;包括防火墙检测和配置) 

软件更新 

间谍软件 

漏洞(已知的平台漏洞及应用程序特定的漏洞) 

有关 Security Suite 内容订阅的信息,请联系 LANDesk 销售商,或访问 LANDesk 网站。 

79

用户指南 


请注意,下载更新对话框中的更新页包括定义类型列表中的多种防病毒更新,其中有一个名为“LANDesk 

Antivirus 更新”。选择“LANDesk Antivirus 更新”时,会同时下载扫描器检测内容和 LANDesk Antivirus 病毒定 

义文件更新。 

对于第三方扫描器引擎,防病毒更新包括检测以下内容的扫描器定义: 

80 

常用防病毒扫描器引擎(包括“防病毒”工具)的安装 




对于“防病毒”扫描器,防病毒更新不仅包括以上所列的扫描器检测内容,而且还包括“防病毒”扫描器使用的病 

毒定义文件。



防病毒更新并不一定包含实际的病毒定义/病毒码文件。下载第三方防病毒更新时,下载到默认存储库中的只有扫描器检测 

内容,而不会下载特定于扫描器的病毒定义文件。但是,当您下载“防病毒”更新时,却会同时下载扫描器检测内容和“防病 

毒”特定的病毒定义文件。“防病毒”病毒定义文件会下载到核心服务器中的单独位置。默认的病毒定义文件存储库是 

\LDLogon\Antivirus\Bases 文件夹。 


“防病毒”支持“修补程序和遵从性”的安全扫描功能所支持的大部分平台和由 LANDesk 管理的设备标准平台, 

包括以下操作系统: 

Windows NT(4.0 SP6a 版和更高版本) 

Windows 2000 SP2 

Windows 2003 

Windows XP SP1 

Windows XP 64 位 

Windows XP Home Edition/Professional 

Windows Vista 32 位和 64 位 

使用 Windows NT 4.0 的机器必需重新启动 

为了激活“防病毒”服务,使用 Windows NT 4 的机器在进行代理配置部署后必须重新启动。 

其他系统要求 

请确保要用“防病毒”代理进行配置的受管设备符合以下系统要求: 

Microsoft Internet Explorer 6.0 或更高版本 

没有安装其他防病毒产品(有关自动删除防病毒产品的信息,请参阅 "部署注意事项" 在页面 83。) 

使用“防病毒”进行基于角色的管理 

LANDesk Antivirus,正如“修补程序和遵从性”一样,使用基于角色的管理,允许用户访问“防病毒”功能。基于 

角色的管理是使管理员限制用户对工具和设备访问权限的访问和安全框架。每个用户都指定了特定的角色和范 

围,以确定他们可以使用哪些功能以及可以管理哪些设备。 

管理员可以使用控制台中的“用户”工具来为其他用户分配角色。“安全配置”权限(显示在“角色”对话框中的“安 

全权限”组下)中包括了“防病毒”。要看见并使用“防病毒”功能,用户必须拥有必要的“安全配置”访问权限。 





通过“安全配置”权限,您可以让用户执行下列操作: 

使用“防病毒”对目标设备进行代理配置的部署 

下载病毒定义文件更新 

创建计划更新 

创建计划的防病毒扫描任务 

创建防病毒设置 

部署防病毒扫描任务和更改与防病毒设置相关的设置任务 

启用实时文件和电子邮件保护 

将防病毒扫描配置为进行特定文件类型的扫描 

从防病毒扫描中排除特定的文件、文件夹和文件类型(通过扩展名) 

查看已扫描设备的防病毒扫描操作和状态信息 

81

用户指南 

82 

启用防病毒警报。 

生成防病毒报告(还需要“报告”角色) 

“防病毒”任务工作流 

以下步骤提供了在网络上采用 LANDesk Antivirus 实现防病毒保护所涉及的典型过程或任务的简明轮廓。后面 

的部分将详细介绍所有这些过程。 

实施和使用 LANDesk Antivirus 的基本步骤: 

1. 配置受管设备以进行防病毒扫描。 

2. 从安全内容服务器下载病毒定义/病毒定义文件定义更新。 

3. 确定是将病毒定义文件立即提供给受管设备,还是首先在试用测试环境中进行评估。 

4. 创建按需和计划的防病毒扫描任务和策略。 

5. 配置防病毒设置以确定扫描操作和最终用户选项。 

6. 对受管设备进行已知病毒和可疑文件扫描。 

7. 查看已扫描设备的防病毒扫描结果。 

8. 配置防病毒警报。 

9. 生成防病毒报告。

将设备配置为采用“防病毒”保护 


要对受管设备进行病毒扫描并清除,必须在设备上安装“防病毒”代理。可以在初始设备代理配置阶段完成此操 

作,也可以使用单独的安装或更新任务执行。 

部署注意事项 

如果将“防病毒”部署到已经安装和运行其他防病毒解决方案的设备上,为了避免任何软件冲突可能,“防病毒” 

不会启用实时保护功能。一旦您卸载了另一防病毒产品,便可启用“防病毒”实时防病毒保护。 

您可以选择在部署 LANDesk Antivirus 时从目标设备自动删除现有的防病毒软件,也可以在代理配置初始阶段 

完成删除,还可以执行单独的 Antivirus 安装/更新任务。有关可从设备卸载的防病毒产品的当前列表,请参阅 

"可自动卸载的第三方防病毒产品列表" 在页面 83。 

清除有密码保护的防病毒软件 

如果现有的防病毒软件有密码保护,则必须首先清除密码才能使用“防病毒”卸载此软件。 

可自动卸载的第三方防病毒产品列表 

部署(或更新)LANDesk Antivirus 时即可被自动删除的其他防病毒产品包括: 

Symantec* Antivirus(版本 7、8、9、10) 

Symantec Endpoint Protection 11 

McAfee* Enterprise(版本 7.0、8.0i、8.5) 

McAfee ePolicy Orchestrator EPO 

Trend Micro* PC-cillin(Windows Vista 64 位上的版本 2004、2005、2006、2007 15.3) 

Trend Micro OfficeScan 

Trend Micro ServerProtect 

Trend Micro Internet Security 2008 

CA eTrust* Antivirus(版本 6、7.x、8、8.1) 

将设备配置为采用“防病毒”保护 

通过代理配置为设备配置“防病毒” 



3. 指定了您所希望的代理配置设置后,您必须单击开始页,然后选择 LANDesk Antivirus 选项。现在可 

以访问 LANDesk Antivirus 页上的选项。 

4. 单击安全和遵从性组,然后单击 LANDesk Antivirus。 

5. 如果您想从目标设备中自动卸载一个已存在的防病毒产品,选中删除已存在的防病毒代理选项。有关 

可从设备卸载的防病毒产品的当前列表,请参阅 "可自动卸载的第三方防病毒产品列表" 在页面 83。 

6. 从可用列表中选择防病毒设置,将其应用到您正在创建的代理配置。通过单击配置,您可以创建新的 

设置或编辑现有设置。“防病毒”设置可确定“防病毒”图标是否在设备系统托盘中显示、最终用户交互选 

项的可用性、电子邮件扫描和实时保护的启用、扫描的文件类型、排除的文件和文件夹、已感染文件 

的隔离和备份、计划的防病毒扫描以及计划的病毒定义文件更新。 

7. 为代理配置指定其他设置后,单击保存。 

您也可以使用“安全配置”工具为设备配置“防病毒”。 

83

用户指南 

使用“安全配置”工具 

如果希望稍后再安装或更新“防病毒”,可以从控制台中作为单独的任务完成此操作。 

使用“安全配置”工具(工具 > 安全 > 安全配置)来创建安装或更新任务、删除任务、防病毒定义文件更新以及 

扫描任务。 

作为单独的任务安装或更新“防病毒” 

84 


2. 单击创建任务工具栏按钮,然后单击安装或更新安全组件。 



5. 选择您想安装的组件,在此情况下选择 LANDesk Antivirus。您可以从可用列表中选择防病毒设置,将 

其应用到您正在创建的任务。您也可以创建新的设置,也可以编辑现有的防病毒设置。 


7. 如果您想从目标设备中自动卸载一个已存在的防病毒产品,选中删除已存在的防病毒代理选项。有关 

可从设备卸载的防病毒产品的当前列表,请参阅 "可自动卸载的第三方防病毒产品列表" 在页面 83。 



决定在“防病毒”代理安装期间目标设备上的重新启动要求和操作。 


从设备上卸载“防病毒” 

如果您希望从受管设备上删除“防病毒”,您还可以作为单独的任务来完成此操作。 

删除“防病毒” 








决定在“防病毒”代理删除期间目标设备上的重新启动要求和操作。 

7. 单击确定。

更新病毒定义文件 


“防病毒”允许您从 LANDesk Security Suite 内容服务器下载最新的病毒定义文件。病毒码数据库每日更新数 

次,以确保您能获得所有最新的已知病毒定义,从而保护受管设备远离这些快速演变病毒的威胁。 

您可以从控制台中作为一次性任务立即下载病毒定义文件更新,也可作为定期计划任务下载。 

为病毒定义文件使用“下载更新” 

使用下载更新(安全配置 > 下载更新)指定定义文件的复制位置,是将其存储在默认的病毒定义文件存储库 

中以便部署到目标设备,还是存入试用测试文件夹以部署到有限范围的设备从而在全面部署前进行测试。 

还可以在创建“防病毒”任务时直接访问该对话框。有关详细信息,请参阅 "对设备进行病毒扫描" 在页面 88。 

将病毒定义文件部署到最终用户设备 

可以从核心服务器将下载的病毒定义更新远程部署到最终用户设备。用户也可以从自己的计算机上执行更新病毒定义文件的 

任务。在默认情况下,他们从其 LANDesk 核心服务器下载文件。但是,如果他们需要在没有连接到网络时(例如旅行或使 

用笔记本电脑时)仍能下载最新病毒定义更新,您可以提供允许用户通过 Internet 连接直接从 LANDesk 安全内容服务器下 

载文件的选项。 

85

用户指南 

下载病毒定义文件更新 

86 

1. 单击工具 > 安全 > 安全配置。 

2. 单击下载更新工具栏按钮。对话框打开防病毒页面。(您也可以从“修补程序和遵从性”工具访问下载 

更新对话框。) 

3. 在更新页面,从可用的服务器列表中选择更新源站点。选择距您最近的一个站点。 

4. 在更新页面,选择“定义类型”列表中的防病毒更新。(一次下载可以选择一个以上定义类型。但是, 

得取决于 LANDesk Security Suite 内容订阅,您还必须具有相应的权限。选择的类型越多,更新所需 

的时间就越长。) 

5. 在更新页上,为指定的类型选择要更新其内容的语言。 

6. 如果希望自动将新内容(在树的任何组中还没有的内容)放入“未分配”组而非默认的“扫描”组中,请选 

中将新的漏洞定义放到“未分配”组复选框。 

7. 现在请单击 LANDesk Antivirus,以查看病毒定义文件的当前状态,和配置特定的病毒定义文件更新 

设置。 

8. 如果希望将病毒定义文件下载到核心服务器的默认储存库中 (\LDLogon\Antivirus\Bases)(在此处,病 

毒定义文件可以部署到目标设备上),那么请单击立即批准。但是,如果希望在将病毒定义文件部署 

到受管设备之前,对其进行评估,那么请单击先将定义限制为试用测试。(您也可以设置一个自动批 

准时间段和最小测试期,以避免在测试后手动来完成此任务)。如果您选择先进行试用测试,病毒定 

义文件将下载到试用测试文件夹,这样就可以将它们仅仅部署到那些其防病毒设置显示为下载定义文 

件“试用”版本的设备。 

9. 如果您希望病毒定义文件在过去 7 天里未进行更新时,在核心服务器控制台上显示弹出消息,那么请 

单击如果定义已过期,则显示提醒对话框。 

10. 如果希望立即下载最新的定义文件,请单击获取最新定义。更新定义对话框会显示当前的操作和状 

态。 

11. 如果希望批准当前存在于试用文件夹中的病毒定义,请单击立即批准。这样可将定义文件从试用测试 

文件夹移到默认文件夹 (\LDLogon\Antivirus\Bases)。 

12. 如果您希望保存一份当前存在于 Base 文件夹中的病毒定义文件的备份副本,那么请单击备份选项。 

您可以随时还原定义文件备份。如果您希望恢复较早的病毒定义文件版本,就可使用备份。(病毒定 

义文件备份保存在以其创建日期和时间命名的单独文件夹中,位于:\LDLogon\Antivirus\Backups\) 

13. 单击立即下载以下载所选安全内容更新。更新定义对话框会显示当前的操作和状态。或者可以单击计 

划下载按钮以创建计划任务(请参阅以下内容)。 

14. 更新完毕后,单击关闭。请注意,如果在更新完成前单击取消,那么只有此刻前已被处理的安全内容 

将被下载到核心数据库中。您需要再次运行更新以获取所有剩余的安全内容。 

注意:无论何时更新受管设备上的病毒定义文件,设备总会运行对内存进程的微型扫描。执行扫描是为了确保更新时在内 

存中运行的进程还是无毒的。 

计划自动的病毒定义文件更新 

您也可以将病毒定义文件更新配置为计划任务,在以后的规定时间执行或重复执行。 

为此,请在更新下载对话框中配置安全内容下载选项,确保在更新选项卡的定义类型列表中选择 LANDesk 

Antivirus 更新,在 LANDesk Antivirus 选项卡中配置病毒定义文件选项,然后单击计划更新按钮。计划更新 

信息对话框将显示该任务特定的设置。为任务输入名字,然后单击确定,在可以指定计划选项的“计划任务”工 

具中,生成“下载安全内容”任务。 





何时更改全局设置,它对所有安全内容下载任务都是有效的。

通过试用测试评估病毒定义文件 


您可能希望先评估病毒定义文件,然后再将其部署到所有受管设备。这也很容易办到,只需指定将病毒定义文 

件更新限制为试用测试文件夹,然后通过选中下载病毒定义文件“试用”版选项,应用防病毒设置。 

运行病毒定义文件的试用测试 

1. 在下载更新对话框的 LANDesk Antivirus 选项卡中,单击先将其限制为试用测试。 

2. 如果不想手动将已测试的病毒定义文件从试用测试文件夹移到默认文件夹 

(\LDLogon\Antivirus\Bases),请单击自动批准,并指定最短的时间段。当此时间周期结束时,将自动 

批准并迁移病毒定义文件。 

3. 要从 LANDesk 安全内容服务器下载最新病毒定义文件,请单击获取最新定义。 

4. 要立即批准当前存在于试用文件夹中的病毒定义文件,请单击立即批准。 

5. 然后,创建一个允许您向限量测试机部署病毒定义文件的试用测试防病毒设置。在防病毒设置的病毒 

定义更新页上,选中下载病毒定义文件“试用”版。 

6. 将该试用测试防病毒设置应用到您可用于确定限量测试机的防病毒扫描任务。现在可以观察这些设备 

上的防病毒扫描操作和结果,以便在将下载的病毒定义文件部署到更多用户前评估其有效性。 

备份病毒定义文件 

如果希望保存下载的病毒定义文件的较旧版本,可使用 LANDesk Antivirus 选项卡中的病毒定义备份设置。 

如果您需要返回到旧的病毒定义文件以便扫描和清除特定的受感染文件,或者要恢复解决了特定问题的病毒定 

义文件,备份病毒定义文件将会非常有用。 

病毒定义文件备份保存在以其创建日期和时间命名的单独文件夹中,位于 \LDLogon\Antivirus\Backups\ 父文 

件夹下。 

87

用户指南 

对设备进行病毒扫描 

本节介绍有关对受管设备进行已知病毒和可疑对象扫描的信息。 

扫描时需要进行适当的内容订阅 

请记住,为了扫描包括病毒在内的特定安全内容类型,您必须具有相应的 LANDesk Security Suite 内容订阅。有关内容订 

阅的信息,请联系 LANDesk 销售商,或访问 LANDesk 网站。 

扫描方法 

在安装了“防病毒”的受管设备上运行防病毒扫描有几种不同方法: 

88 

计划的防病毒扫描 

按需防病毒扫描 

用户启动的防病毒扫描 

实时文件保护 

实时电子邮件保护

从控制台运行计划的防病毒扫描 


您可以从控制台配置防病毒扫描任务,既可作为按需扫描或计划任务运行,也可作为策略运行。 

计划任务修补可视为推送分发,因为修补程序是从核心服务器推送到设备的;而策略可视为“拉”分发,因为设 

备的策略代理检查核心服务器中的适用策略,然后从核心服务器“拉”修补程序。 

创建防病毒扫描任务 


89

用户指南 

90 

2. 确保最近已更新了病毒定义文件。 

3. 确保默认的病毒定义文件夹 (\LDLogon\Antivirus\Bases) 中只包含您希望扫描的那些定义。 

4. 单击创建任务工具栏按钮,然后单击 LANDesk Antivirus。 


6. 请指定您想让此任务更新病毒定义还是执行防病毒扫描,或这两个任务均执行。 

7. 指定此任务是计划任务还是基于策略的扫描,或者两者皆是。 

8. 如果希望扫描安装了“防病毒”代理的所有受管设备,请选择计划任务,然后选择以所有设备为对象。您 

也可以选择立即开始所有设备的防病毒扫描。 

9. 如果希望确保扫描使用最新的已知病毒定义文件,请选中更新病毒定义选项。 

10. 从可用的列表中选择防病毒设置(或通过单击配置按钮为此扫描创建定制设置)以确定扫描器如何在 

最终用户设备上操作。如果希望防病毒扫描使用设备的本地防病毒设置(默认设置),则从下拉列表 

中选择该选项。有关使用防病毒设置来配置防病毒扫描的详细信息,请参阅 "关于“LANDesk Antivirus 

设置”对话框" 在页面 338。 

11. 单击确定。(对于典型的计划任务扫描,请单击确定,然后在“计划任务”工具中添加目标设备和配置 

计划选项。) 

从控制台运行按需防病毒扫描 

您也可以在一个或多个目标设备上立即运行按需的防病毒扫描。 

为此,右击选定设备(或者多达 20 个多选设备),单击立即进行 LANDesk Antivirus 扫描,选择一种防病 

毒设置,在扫描前选择是否更新病毒定义文件,然后单击确定。 

当您单击“确定”时,请求操作的状态对话框中将显示以下信息: 

进度 

结果 

扫描时间信息 

在受管设备上运行防病毒扫描 

此外,如果您已将防病毒设置配置为在设备系统托盘中显示“防病毒”图标,最终用户便可执行自己的按需防病 

毒扫描。 

要在受管设备上进行此操作,右击 LANDesk Antivirus 任务栏图标,然后选择扫描我的计算机。或者在“防病 

毒”对话框中单击扫描我的计算机。 

启用实时防病毒保护(文件、电子邮件) 

实时防病毒保护基于已知的病毒定义提供对指定文件、文件类型、电子邮件消息和电子邮件附件的不间断后台 

扫描。您也可启用实时通知,向最终用户通知受感染文件。 

实时文件保护、电子邮件扫描和通知都通过防病毒设置进行配置。 

LANDesk Antivirus 系统任务栏图标指示 

当启用实时防病毒保护时,LANDesk Antivirus 系统任务栏图标(在最终用户设备上)为黄色。当禁用实时保护时,图标为 

灰色。 

实时文件保护 

通过防病毒设置对话框的实时保护页上的选项,来配置实时文件保护。有关详细信息,请单击帮助。 

当实时保护运行时,每当对文件进行以下操作时都会对其进行病毒扫描: 

打开

关闭 

访问 

复制 

保存 

实时电子邮件扫描 

在防病毒设置对话框的常规页上,使用启用电子邮件扫描选项来配置实时电子邮件扫描。 


实时电子邮件保护提供对传入和传出邮件的不间断扫描。“防病毒”既扫描邮件正文,也扫描邮件附件的正文和 

文件附件。 

“防病毒”实时电子邮件保护支持: 

Microsoft Outlook 

运行实时电子邮件保护时,邮件和附件会: 

当打开或预览时对其进行扫描 

当选定时不会对其进行扫描 

在受管设备上搜寻到受感染的电子邮件时,“防病毒”会尝试将其清除。如果可以清除:会在邮件正文中放入新 

的标题通知最终用户。如果受感染的电子邮件无法清除:则会删除整个邮件正文并代之以新的标题。 

搜寻到可疑电子邮件消息时,会将邮件正文转换为普通文本格式,并给邮件添加标题。 

同时,在最终用户设备上会出现对话框,显示: 

文件路径 

文件名 

病毒名称 

请最终用户与网络管理员联系的通知 

实时(受感染文件)通知 

当检测、隔离、删除、跳过或清除受病毒感染的文件时会通知最终用户。 

通过防病毒设置对话框的实时保护页上的选项来配置实时受感染文件通知。 

在最终用户设备上出现的对话框会显示: 

文件路径 

文件名 

病毒名称 

请最终用户与网络管理员联系的通知 

91

用户指南 

以防病毒设置配置防病毒扫描选项 

“防病毒”允许完全控制防病毒扫描在目标设备上的运行方式以及最终用户可用的选项。例如,取决于防病毒扫 

描的目的和计划时间,您可能希望在最终用户设备上显示“防病毒”客户端、允许最终用户执行防病毒扫描、查 

看和恢复隔离的对象、自行下载病毒定义文件更新等操作。您可以通过创建防病毒设置并将其应用于扫描任务 

来完成此项操作。 

可以通过防病毒设置配置以下选项: 

92 

“防病毒”图标是否在设备系统托盘中显示(为最终用户提供对防病毒扫描、隔离和备份以及文件处理任 

务进行访问的权限) 

实时电子邮件扫描 

最终用户右击扫描 

CPU 使用情况 

所有者(为了限制访问) 

计划的防病毒扫描 

隔离/备份文件夹的大小 

恢复受感染和可疑的对象 

扫描的文件、文件夹和文件类型 

扫描排除项 

是否使用试探分析检测可疑文件 

是否扫描有风险的软件 

实时文件保护(包括扫描的文件、试探法和排除项) 

下载病毒定义文件更新(试用测试版本、计划的下载、最终用户下载权限以及从安全内容服务器直接 

下载) 

您所创建的所有防病毒设置均存储在安全配置工具中的 LANDesk Antivirus 组里。

使用防病毒设置 


创建防病毒设置(已保存的一组配置选项)并将其应用于防病毒扫描任务。您可以根据需要创建任意多个防病 

毒设置。可以根据特定的用途、时间或一组目标设备设计防病毒设置。 

创建防病毒设置 

1. 在安全配置工具中,右击 LANDesk Antivirus 对象,然后单击新建。(注意:您也可以通过在允许应 

用防病毒设置的任何任务对话框上单击编辑或配置,来访问此对话框。) 

2. 输入防病毒设置的名称。 

3. 在页面上指定特定任务所需的设置。有关选项的详细信息,请单击帮助。 

一旦配置完毕,您可以将防病毒设置应用到防病毒任务(或更改设置任务)。 

更改设备的默认防病毒设置 

设备的默认防病毒设置是作为初始代理配置的一部分部署的。如果特定任务具有其他防病毒设置(与任务关联 

或分配给任务),则默认设置将被覆盖。您也可以通过在创建任务时选择设备的默认设置来选择使用默认设 

置。 

有时,您可能希望更改特定设备上的这些默认设置。“修补程序和遵从性”提供了完成上述操作的方法,而无需 

重新部署全新、完整的代理配置。要执行此项操作,请使用更改设置任务,该任务位于创建任务工具栏按钮 

的下拉列表中。您可以在显示的对话框中输入任务的唯一名称,指定该任务是否为计划的任务或策略,然后选 

择现有的防病毒设置作为默认设置或使用“编辑”按钮创建新的防病毒设置作为目标设备的默认设置。 

93

用户指南 

在“清单”视图中查看设备的防病毒设置 

您可以在“清单”视图中搜寻和/或验证设备的防病毒设置。 

要执行此操作,请右击所选设备,单击清单 > LANDesk 管理 > AV 设置。 

配置要扫描的文件(仅扫描可感染的文件、排除项、试探法、有风险软件) 

您可以通过防病毒扫描和实时防病毒文件保护指定希望扫描的文件(项)及不希望扫描的文件。 

有关自定义要扫描对象的信息,请参阅以下部分: 

94 

"所有文件或只限可感染文件" 在页面 94 

"防病毒扫描和实时保护的排除项" 在页面 95 

"使用试探分析进行可疑对象扫描" 在页面 96 

"扫描有风险的软件(扩展数据库)" 在页面 96 

所有文件或只限可感染文件 

在防病毒设置的病毒扫描和实时保护页上,配置扫描所有文件或只限可感染文件。 

扫描全部文件类型:指定通过防病毒扫描来扫描目标设备上所有类型的文件。这可能需要较长时间, 

因此理想的方法是使用按需扫描而非实时保护来扫描所有文件类型。 

仅扫描可感染的文件:指定仅扫描可感染的文件。可感染的文件是指那些已知的易于感染病毒的文件 

类型。仅扫描可感染的文件是比扫描全部文件更有效的方法,因为某些病毒仅影响特定文件类型。但 

是,应养成利用按需扫描定期扫描全部文件的习惯,以确保设备清洁。 

可感染文件的类型 

可感染的文件类型可通过文件头中的格式标识符来确定,而非通过它们的文件扩展名来确定,以确保扫描重命 

名的文件。 

可感染的文件包括:文档文件,例如 Word 和 Excel 文件;与文档文件相关的模板文件;程序文件,例如动态 

链接库 (.DLL)、通信文件 (.COM)、可执行文件 (.EXE) 以及其他程序文件。请参阅以下按照文件格式的标准 

或原始文件扩展名划分的可感染文件类型列表。 

ACM 

ACV 

ADT 

AX 

BAT 

BIN 

BTM 

CLA 

COM 

CPL 

CSC 

CSH 

DLL 

DOC 

DOT 

DRV 

EXE

HLP 

HTA 

HTM 

HTML 

HTT 

INF 

INI 

JS 

JSE 

JTD 

MDB 

MSO 

OBD 

OBT 

OCX 

PIF 

PL 

PM 

POT 

PPS 

PPT 

RTF 

SCR 

SH 

SHB 

SHS 

SMM 

SYS 

VBE 

VBS 

VSD 

VSS 

VST 

VXD 

WSF 

WSH 

防病毒扫描和实时保护的排除项 


您也可以指定防病毒扫描和实时文件保护都不进行扫描的内容。配置防病毒扫描排除项是通过向在防病毒设 

置的病毒扫描和实时保护页上的排除列表中添加文件、文件夹和文件类型来完成。 

受管设备上的可信项列表 

请注意,您还可以启用一个允许最终用户指定不需要 LANDesk Antivirus 扫描的文件和文件夹的选项。此功能被称为可信项 

列表,它可以在防病毒设置的常规页上进行配置。 

95

用户指南 

使用试探分析进行可疑对象扫描 

可以启用试探分析,通过防病毒扫描和实时文件保护检查可疑(可能受感染的)文件。 

在防病毒设置的病毒扫描和实时保护页上启用试探扫描。 

试探分析扫描通过查找可疑操作来尝试检测怀疑被未知病毒(未在病毒码数据库中定义)感染的文件。可疑操 

作可能包括正在进行自修改的程序、立即尝试查找其他可执行文件的程序、或者在终止之后进行修改的程序。 

试探分析仿效程序执行,对观测的可疑操作制定协议,并使用那些协议识别可能的病毒感染。在几乎所有情况 

下,这种机制都是有效且可靠的,而且几乎不会导致错误实证。 

“防病毒”利用试探分析程序,对防病毒扫描基于已知病毒定义已经扫描过的文件进行核实。 

请注意,试探扫描可能会负面地影响受管设备的性能。 

扫描有风险的软件(扩展数据库) 

您可通过“防病毒”扫描目标设备上的危险软件(即有风险的软件)。有风险的软件主要是指安装这些软件可能 

会对最终用户造成一定风险的客户端软件。 

例如:广告软件、代理程序、黄色软件、远程管理实用程序、IRC、拨号软件、活动监测程序、密码实用程 

序,以及 FTP、Web、代理和 Telnet 等 Internet 工具。 

当您指定扫描受管设备上的危险软件时,“防病毒”将加载包含用于执行扫描任务的定义文件的扩展数据库。扩 

展数据库扫描所需的时间比标准防病毒扫描多。 

关于扫描文件的其他注意事项 

系统恢复点扫描:“防病毒”将扫描受管设备上可能存在的任何系统恢复点文件夹中的文件。 

96

防病毒扫描过程中在设备上执行的操作 


本节描述“防病毒”在安装了“防病毒”的最终用户设备上的显示方式,以及使用防病毒扫描或通过实时病毒保护 

对设备进行病毒扫描时所执行的操作。它将列出搜寻到已感染的对象时最终用户可能的选项和可执行的操作。 

“防病毒”客户端界面和最终用户操作 

如果在设备的防病毒设置中选中了在系统托盘中显示 LANDesk Antivirus 图标选项,“防病毒”客户端会出现 

并显示以下元素: 

系统任务栏图标 

实时保护已启用(系统任务栏图标为黄色)或禁用(系统任务栏图标为灰色) 

“防病毒”窗口 

实时保护已启用或禁用(如果在防病毒设置中启用了此选项,最终用户禁用实时保护的时长和您指定 

的数值相同) 

电子邮件扫描已启用或禁用 

最新扫描(日期和时间) 

计划的扫描(日期和时间) 

扫描引擎版本号 

病毒定义(更新病毒码文件的最后一次) 

隔离(显示已经隔离的对象数。最终用户可通过单击查看详细信息访问“隔离对象”对话框。如果启用 

了该选项,最终用户便可恢复文件。如果启用了密码要求选项,最终用户则必须输入密码。) 

备份(显示已经备份的对象数) 

可信项(显示最终用户已添加到他们可信项列表中的项目,这些项目不会进行病毒或危险软件扫描) 

最终用户操作 

如果用户的计算机上已经安装了“防病毒”而且其防病毒设置(默认或特定于任务)允许,用户便可执行以下任 

务: 

扫描我的计算机(可查看扫描状态并暂停和取消扫描) 

右击对 Windows Explorer 中文件和文件夹进行防病毒扫描(如果此选项是通过防病毒设置启用的) 

查看本地计划的防病毒扫描任务 

在用户自己的机器上创建本地计划的防病毒扫描(如果防病毒设置启用此选项)。 

更新病毒定义文件 

暂时禁用实时保护(如果此选项是通过代理配置启用的并限制为指定的时期) 

查看隔离对象 

查看备份对象 

查看可信项 

恢复可疑对象(如果此选项是通过防病毒设置启用的) 

恢复已感染对象和危险软件(如果此选项是通过防病毒设置启用的) 

在用户的可信项列表中添加及删除文件和文件夹\子文件夹 

请注意,最终用户不能配置防病毒扫描设置或禁用电子邮件扫描。 

97

用户指南 

检测到受感染的对象时 

此过程适用于受感染的文件和电子邮件消息。 

受感染对象被: 

98 

1. 自动备份。(备份文件保存在 \LDClient\Antivirus\ 文件夹中,扩展名为 *.bak。) 

2. 尝试清除受感染对象。 

3. 如果可以清除受感染对象,会将其恢复到原始位置。 

4. 如果不能清除受感染对象,则会将其隔离。(删除病毒字符串并对文件进行加密,从而使其无法运 

行。隔离文件保存在 \LDClient\Antivirus\ 文件夹中,扩展名为 *.qar。) 

如果在防病毒设置(默认或特定于任务)中启用了相应的选项,最终用户可恢复、删除和重新扫描隔离对象。 

隔离文件的自动扫描 

执行按需防病毒扫描时,或更新了病毒定义文件后,防病毒扫描器会自动扫描隔离文件夹中的对象,以确定是 

否可以使用当前的病毒定义文件清除任何受感染文件。 

如果可以清除某个隔离文件,则会自动将其恢复并通知用户。 

最终用户可以打开备份文件查看标题,标题会提供有关原始文件位置的信息以及对文件进行备份的原因。 

请注意,只允许原始用户删除或修改备份文件。原始用户即搜寻到受感染文件时登录的用户。

使用防病毒警报 


可以对防病毒警报进行配置,以便在系统中的受管设备上检测到特定病毒爆发时通知您。“防病毒”使用标准的 

LANDesk 警报工具。 

根据在指定的时间段内被病毒感染的受管设备数,来定义病毒爆发的参数。 


“防病毒”警报设置位于警报设置对话框的防病毒页面上。 

必须先在控制台的“警报设置”工具中配置防病毒警报。防病毒警报包括: 

应发警报的防病毒操作失败 

应发警报的防病毒操作成功 

病毒爆发警报(每个病毒) 

以下防病毒事件可以生成防病毒警报: 

病毒移除失败 

病毒移除成功 

隔离失败 

隔离成功 

删除失败 

删除成功 

选择希望生成的警报。时间间隔选项可以防止警报过多。在指定时间间隔内一次以上的警报(因任何防病毒触 

发)将会被忽略。 

您可以在设备的“安全信息”对话框中查看其完整的防病毒警报历史记录。右击设备,选择“安全信息”,在“类型” 

下拉列表中选择“防病毒”类型,然后选择“防病毒历史记录”对象。 

99

用户指南 

使用防病毒报告 

防病毒信息由“报告”工具中的几个报告来表示。这些报告提供了关于网络上扫描设备的防病毒扫描活动和状态 

的有用信息。 


色。 

有关使用“报告”工具的详细信息,请参阅 "报告" 在页面 265。 

在决策仪表板中查看防病毒信息 

在 Web 控制台“决策仪表板”中也可以查看防病毒扫描信息。此数据可用于识别病毒爆发并显示特定时间内的 

防病毒保护。 

LANDesk Antivirus 的特定部件显示: 

100 

检测到的前五大病毒(过去 10 天或 10 周内) 

感染病毒的受管设备(过去 10 天或 10 周内) 

启用实时保护的受管设备的百分比标准 

具有最新病毒定义的受管设备的百分比标准

端点安全 


“端点安全”是一组工具和设置的组合,可让您强有力地保护网络中的受管设备安全。您可以限制受管设备的网 

络连接,以及限制其他类型设备对这些受管设备的访问。 

尽管“端点安全”是部署到目标设备上的单一代理,但它可为多个安全组件提供服务。这些组件包括: 

位置感知(网络连接控制) 



设备控制(限制对存储卷、设备、接口的访问) 

凭借“端点安全”,您可以定义受管设备的信任位置(网络连接),创建上述列出的每个“端点安全”组件的设 

置,以及根据设备是连接到信任位置还是信任位置以外来部署这些设置。 

本节介绍如何在受管设备上启用“端点安全”,并为您指引关于所含每个“端点安全”组件的信息。 

101

用户指南 

启用和部署“端点安全” 

“端点安全”通过“端点安全”设置在受管设备上启用。 

“端点安全”可以通过初始代理配置在受管设备上启用。您还可以通过更改设置任务来安装或更新目标设备的“端 

点安全”设置。 

创建“端点安全”设置 

创建“端点安全”设置 

102 

1. 在安全配置工具窗口中,右击端点安全,然后单击新建。 

2. 在常规设置页面中,输入设置的名称,然后指定常规要求和操作。有关选项的信息,请单击帮助。 

3. 如果要管理网络连接,请选中使用位置感知选项。选中此选项时,将显示信任位置页面。此外,通过 

选中此选项,安全策略页面中两个单独的组将变为可用:一个在设备位于信任位置内时使用,一个在 

设备位于信任位置外时使用。如果没有启用位置感知,则只需要一个策略组。 

4. 在安全策略页面中,选择要使用的“端点安全”组件以将此“端点安全”设置部署到目标设备。 

5. 在信任位置页面中,定义允许的网络连接(按 IP 地址、IP 范围或子网)。 

6. 单击保存。 

配置完成后,您就可以通过安装或更新任务,或者通过更改设置任务来将设置部署到目标设备。

“端点安全”设置帮助 

使用此对话框可创建和编辑“端点安全”设置。 

该对话框包含以下页面。 

关于“端点安全”:“常规设置”页面 

使用此页面可配置位置感知(信任的网络)和其他访问设置。 

名称:用唯一的名称来标识设置。 


使用位置感知:用于管理网络连接。您可以限制允许设备连接的网络 IP 地址。可通过指定允许的网络 

地址来配置网络限制。设备只能收到明确允许的地址范围内的 IP 地址。 

管理员密码:对于配置为采用此“端点安全”设置的设备,指定所需的密码,以便在受保护的设备上执 

行特定操作。需要密码的操作包括:访问 HIPS 客户端界面、安装未签名的软件、为 HIPS 违规授 

权、卸载 HIPS、清除本地报告以及切换 HIPS 运行模式。 

允许 Windows 服务控制管理器停止“端点安全”服务:允许最终用户停止客户端上的“端点安全”服 

务。 

显示冲突弹出消息:如果发生禁用操作,则会在最终用户设备上显示一则消息。 

设置为默认值:将此设置指定为使用“端点安全”的任务的默认设置。 

保存:保存所作的更改,并关闭该对话框。 

关于“端点安全”:“策略”页面 

使用此页面可配置位于信任网络之内的设备所使用的安全策略和位于信任网络之外的设备所使用的安全策略。 

位于信任位置之内时:指定设备连接到信任位置时要对其应用的组件设置。 

位于信任位置之外时:指定设备没有连接到信任位置时要对其应用的组件设置。 

关于“端点安全”:“信任位置”页面 

使用此页面可定义信任位置。信任位置由一组网络地址(按 IP 地址、IP 范围或子网)组成。 

信任的位置:列出设置的信任位置。 

导入:单击以导入核心服务器的子网范围。 

添加:用于将信任的位置添加到列表。 

编辑:用于修改选定的现有信任位置。 

删除:删除选定的信任位置。 

确认网络中存在核心服务器:选中此选项以确保允许设备连接到该网络之前,核心服务器已在网络上 

运行。有时可将一个 IP 地址范围用于多个网络,而此选项为限制网络访问提供了额外的安全措施。如 

果在当前访问的网络上没有找到核心服务器,则连接将被禁止。(注意:如果您确信访问列表中的网 

络地址值得信任,或者希望不向核心服务器发送 ping 命令以减少网络流量,则可以清除此选项。) 

添加:用于将核心服务器添加到列表。 

删除:删除选定的核心服务器。 

103

用户指南 

在使用“端点安全”组件配置的设备上执行的操作 

本节介绍“端点安全”客户端在受管设备上的显示方式,最终用户设备由“端点安全”保护时在这些设备上执行的 

操作,以及在发现安全冲突时最终用户可以采取的操作。 

客户端接口和用户操作 

一旦“端点安全”部署到受管设备后,可以通过开始菜单或系统任务栏图标访问客户端。 

管理员密码保护 

如果管理员已在“端点安全”设置中启用密码保护选项,则必须输入正确的密码才能访问和使用特定的客户端功能。 

系统任务栏图标 

系统任务栏图标显示“端点安全”的 HIPS 组件是在学习模式下还是在自动阻止模式下运行。 

最终用户可以右击该图标,访问其快捷菜单并选择以下选项: 

104 

打开:打开客户端。 

选项:在控制台显示由管理员配置的选项(只读)。 

自动模式:使得 HIPS 组件在自动模式下运行,在此模式下将阻止所有预定义的安全冲突。 

学习模式:使得 HIPS 组件在学习模式下运行,在此模式下允许所有安全冲突,但监视这些冲突并将 

其记录在操作历史记录文件中。 

安装软件:打开文件浏览器窗口,最终用户可以在此选择要运行的安装程序。 

卸载:允许最终用户卸载其机器上的客户端。 

最终用户操作 

客户端显示在一个包含以下元素的窗口中: 

查看活动日志。 

查看控制台上由管理员配置的选项(只读)。 

在状态页上:查看 HIPS 组件信息、当前的运行模式以及客户端上发生的活动。更改运行模式(自动 

模式或学习模式)。 

在程序页面上:查看正在运行的应用程序及其授权。选择程序并查看其所有授权或者中止进程。修改 

显示选项。 

在启动页面上:查看并编辑系统启动项的内容。另外,还有在客户端与 Internet Explorer 扩展上运行 

的服务。 

在保护页上:查看程序的访问权限和文件夹保护。创建、编辑和删除文件保护规则,更改有序列表中 

的规则优先级。 

在认证页上:查看具有特殊文件认证的程序。添加和删除文件认证。



全新的 LANDesk 防火墙工具是“端点安全”的重要组件,此工具使您可以防止对受管设备执行未经授权的应用 

程序操作和连接。 

凭借 LANDesk 防火墙设置,您可以创建和配置信任的程序(应用程序)、信任的网络范围和连接规则,以防 

止受管设备遭受未经授权的入侵。 

LANDesk 防火墙和 Windows 防火墙 

LANDesk 防火墙弥补了 Windows 防火墙的不足,两者可在受管设备上同时启用和运行。 

“端点安全”的组件 

LANDesk 防火墙是全面的“端点安全”解决方案的组件之一,其中包括“主机侵入保护 (HIPS)”和“设备控制”工 

具。 


"使用 LANDesk 防火墙设置" 在页面 106 

"LANDesk 防火墙设置帮助" 在页面 107 

105

用户指南 

使用 LANDesk 防火墙设置 

防火墙设置使您可以对目标设备 LANDesk 防火墙的运行方式进行完全控制。 

本节介绍如何创建和管理防火墙设置。 

创建 LANDesk 防火墙设置 

创建 LANDesk 防火墙设置 

106 

1. 在安全配置工具窗口中,右击 LANDesk 防火墙,然后单击新建。 

2. 在常规设置页面中,输入设置的名称,启用 LANDesk 防火墙服务,然后指定保护模式。有关选项的 

信息,请单击帮助。 

3. 在信任的程序页面中,添加并编辑您希望能够连接到网络和 Internet 以及从网络和 Internet 进行连接 

的应用程序。您还可以定义信任范围。 

4. 在连接规则页面中,按端口、协议或 IP 范围定义连接规则(传入或传出,以及操作)。 


配置完成后,您就可以通过安装或更新任务,或者通过更改设置任务来将设置部署到目标设备。

LANDesk 防火墙设置帮助 


使用此对话框可创建和编辑 LANDesk 防火墙设置。创建防火墙设置时,首先定义常规保护模式,然后添加和 

配置特定信任的程序、信任的范围以及连接规则。可以根据需要创建任意多个设置,并可以随时对其进行编 

辑。 

如果您要修改设备的默认设置但不重新安装“端点安全”代理或重新部署完整的代理配置,请对设置对话框中的 

任何选项进行所需的更改,将新的设置分配到更改设置任务,然后将更改设置任务部署到目标设备。 


关于“常规设置”页面 

使用此页面可启用 LANDesk 防火墙和配置保护模式。 


名称:用唯一的名称来标识防火墙设置。 

启用 LANDesk 防火墙:允许运行所有程序,除非根据预定义的保护规则,该程序的操作威胁到系统 

安全。 

保护模式:指定受管设备上出现安全冲突时的保护行为。 

自动:自动阻止所有策略冲突。也就是说,将执行您创建的所有信任程序、信任范围和连接规 

则(例如:权限)。 

自动学习期限:允许管理员指定一个时间周期,最终用户在此周期内可在其计算机上 

运行任何应用程序。在此期间,将会观察运行的应用程序。(最长自动学习期限为 5 

天。如果要让自动学习运行更长时间,可在 5 天即将结束时重置该值。) 

注意:这两个时间期限选项会相继执行。换句话说,如果两个都选中,则首先运行自 

动学习期限,当其过期后,会运行自动记录期限。 

自动记录期限:指定将运行的应用程序记录在操作历史记录文件中的时间期限。 

学习:允许所有应用程序运行,但会监视这些应用程序并将其记录在操作历史记录文件中。此 

外,将学习设备上运行的所有应用程序并将其添加到信任的程序列表。 

仅记录:记录但不禁用策略冲突。 

禁用:禁用但不记录策略冲突。 

关于“信任的程序”页面 

使用此页面可创建和管理信任的程序和信任范围。 


信任的应用程序:列出具有配置用于防火墙保护的连接规则的应用程序。 

信任范围:列出为防火墙保护配置了连接规则的网络范围。 

添加:打开文件浏览器对话框,您可以在此浏览并选择希望配置连接规则的应用程序。 

编辑:用于编辑选定应用程序的连接规则。 

删除:删除选定的应用程序及其连接规则。 

关于“配置信任的应用程序”对话框 

使用此页面可配置指定应用程序的连接规则。 


107

用户指南 

108 

应用程序详细信息:标识要指定连接规则(例如:权限)的应用程序文件。您可以对该文件添加说 

明。 

出站连接 

允许应用程序连接到信任范围(网络):允许应用程序连接到所定义信任范围内的位置。 

允许应用程序连接到信任范围之外(Internet):允许应用程序连接到所定义信任范围外的位 

置。 

入站连接 

允许应用程序接受来自信任范围的连接(网络):允许应用程序接受来自所定义信任范围内位置 

的连接。 

允许应用程序接受来自信任范围之外的连接(Internet):允许应用程序接受来自所定义信任范 

围外位置的连接。 

锁定信任的应用程序:确保应用程序保留此处指定的连接规则,即使当应用程序允许在学时模式期间 

执行其他操作时也是如此。 

确定:保存连接规则并将应用程序添加到信任的程序列表。 

取消:关闭对话框,但不保存。 

关于“信任范围”对话框 

使用此页面可配置和管理信任范围。信任范围由一组网络地址(按 IP 地址、IP 范围或子网)组成。 


信任客户端子网:将目标设备的子网范围添加到信任范围列表。允许在该子网范围内进行通信。 

信任范围:列出所有信任范围。 

导入:让您可以从核心数据库清单中包含的受管设备导入子网范围。 

添加:用于将信任的位置添加到列表。信任位置可按以下方式添加:IP 地址、IP 范围或子网。 

编辑:用于修改选定的现有信任位置。 

删除:删除选定的信任位置。 

关于“连接规则”页面 

使用此页面可查看、管理和优化连接规则。连接规则可以根据端口或 IP 范围、程序是否可信以及通信是否处 

于信任的网络范围内来允许或阻止连接。 


连接规则:列出所有连接规则。 

上移:决定连接规则的优先级。列表前面的连接规则的优先级高于列表后面的规则。 

下移:决定连接规则的优先级。 

重置:还原规则顺序。 

添加:打开一个对话框,可在其中配置新的连接规则。 

编辑:让您可以修改选定的连接规则。 

删除:从数据库中删除选定的连接规则。 

关于“配置连接规则”对话框 

使用此页面可配置连接规则。 


名称:用描述性名称来标识连接规则。

端口:让您可以定义连接规则的端口限制。 


应用到这些本地端口:指定方向和操作(在下面选择)适用的本地端口。例如,如果选中“传 

入”和“接受”,则允许连接至此处指定本地端口。 

应用到这些远程端口:指定方向和操作(在下面选择)适用的远程端口。 

协议:指定所选端口使用的通信协议。 

IP 范围:让您可以定义连接规则的 IP 范围限制。 

应用到这些远程地址:指定方向和操作(在下面选择)适用的远程 IP 地址范围。 

方向:指示连接规则是限制入站连接还是限制出站连接。 

操作:指示连接规则是允许(接受)还是拒绝(丢弃)连接。 

允许信任的程序通过:让信任的程序能够忽略或绕过此连接规则。 

仅针对信任的范围:使信任的程序仅在通信位于信任的网络范围内时才能绕过连接规则。 

确定:保存选项并将规则添加到连接规则列表中。 

取消:关闭对话框,但不保存。 

109

用户指南 

主机侵入保护系统 (HIPS) 

主机侵入保护系统(即 HIPS)是 LANDesk Security Suite 中的一个重要工具,也是“端点安全”的组件之一。 

HIPS 提供保护受管设备的功能,使其在网络受到感染时免受已知和未知的内部恶意软件攻击。HIPS 通过监 

视进程和文件以及使用规则确定允许的操作和行为,为受管设备增加了一个额外的保护层。在某种意义上, 

HIPS 保护系统免受自身的攻击。 


110 

"主机侵入保护 (HIPS) 概述" 在页面 110 

"支持的设备平台" 在页面 111 

"支持的防病毒产品" 在页面 112 

"HIPS 许可" 在页面 112 

"使用 HIPS 进行基于角色的管理" 在页面 112 

"HIPS 任务工作流" 在页面 112 

"针对 HIPS 保护配置设备" 在页面 114 

"使用 HIPS 设置自定义 HIPS 保护" 在页面 117 

"HIPS 设置帮助" 在页面 119 

"了解 HIPS 学习模式" 在页面 122 

"合并 HIPS 认证" 在页面 123 

主机侵入保护 (HIPS) 概述 

HIPS 代表 Host-based Intrusion Prevention System(基于主机的侵入保护系统)。HIPS 提供了除防病毒、 

防间谍软件、修补程序管理及防火墙配置之外的另一层保护,可以使您的机器免受恶意操作。HIPS 可以持续 

监视指定的进程、文件、应用程序和注册表项,从而对未经授权的行为加以防范。您可控制在设备上运行哪些 

应用程序以及它们的允许执行方式。 

由于 HIPS 是基于规则而非基于定义的系统,因此它会更有效地保护系统免受零日攻击(在安装修补程序之前 

恶意地利用易受攻击的代码)。 

HIPS 保护不同于漏洞检测和修补、间谍软件检测和删除或防病毒扫描,它不需要进行持续文件更新(修补程 

序文件、定义/病毒码文件或病毒码数据库)。 

HIPS 可在应用程序与操作系统内核之间建立软件代理,从而保护服务器与工作站。这些系统使用预定的基于 

恶意软件攻击典型行为的规则对一些操作进行评估,例如,网络连接请求、尝试读取或写入内存或者尝试访问 

特定应用程序。该系统将允许已知的好行为而阻止已知的坏行为,并对可疑行为添加标记以便进一步评估。 

可从主控制台访问 HIPS 工具和功能(工具 > 安全 > 安全配置)。HIPS 工具允许您创建 HIPS 代理的安装、 

更新和删除任务;配置可部署到要保护的目标设备上的 HIPS 设置;自定义 HIPS 显示/交互设置,这些设置 

决定 HIPS 在受管设备上的显示和运行方式以及最终用户可使用的交互选项。此外,还可以查看受保护设备的 

HIPS 活动和状态信息。 


HIPS 是全面的“端点安全”解决方案的组件之一,该解决方案还包括 LANDesk 防火墙和“设备控制”工具。

主动安全 

HIPS 通过以下途径主动保护您的受管设备: 


提供内核级保护,阻止尝试修改机器上的二进制文件(或任何指定文件)或运行进程的应用程序内存 

的程序。它还可阻止对注册表某些区域的更改,并可以检测到 rootkit 进程。 

采用内存保护,防止缓冲区溢出和堆溢出漏洞。 

执行保护机制,防止攻击者在数据段内生成并执行代码。 

监视未经授权的或异常的文件访问。 

提供计算机实时保护,而不依赖于病毒码数据库。 

系统级安全 

HIPS 提供以下系统级安全: 

基于规则的内核级文件系统保护 

注册表保护 

启动控制 

检测隐藏的 rootkit 

网络筛选 

进程与文件/应用程序认证 

限制可执行文件对特定文件所能执行的操作的文件保护规则 

HIPS 控制台功能 

HIPS 通过 HIPS 设置使管理员具备为不同用户组定义并管理单独配置文件的能力。HIPS 设置允许管理员为 

不同用户配置文件创建多种极其灵活的配置,从而满足所有用户组的需要。 

每个 HIPS 设置都可以包含自定义密码保护、WinTrust 处理、保护模式、自定义白名单、网络和应用程序访 

问控制策略、文件认证和文件保护规则。 

HIPS 客户端功能 

HIPS 客户端为管理员提供了一个强大的新工具,可以让他们控制哪些应用程序可在企业的台式机和服务器上 

运行以及它们的允许执行方式。 

HIPS 客户端软件使用经过验证的试探法和行为识别技术来识别恶意代码的典型病毒码和操作。例如,尝试写 

入系统注册表的文件可能会被禁用并标记为“可能的恶意文件”。HIPS 客户端采用各种专有技术,甚至在某个 

病毒码被识别前就能够可靠地检测出恶意软件。 


HIPS 支持许多 LANDesk 管理的标准设备平台所支持的台式机和服务器平台,其中包括以下操作系统: 

Windows 2000 SP2 

Windows 2003 

Windows 2008 

Windows XP SP1 

Windows Vista(32 位和 64 位) 

核心服务器或汇总核心服务器上不支持 HIPS 

不应将 HIPS 安装/部署到核心服务器或汇总核心服务器上。但是,可将 HIPS 部署到辅助控制台中。 

111

用户指南 

支持的防病毒产品 

HIPS 与 LANDesk Security Suite Antivirus 解决方案,以及多个第三方防病毒产品兼容。兼容表示 HIPS 不会 

干扰防病毒进程,例如扫描、实时保护等。 

请确保使用 HIPS 配置的受管设备已安装以下一种防病毒产品: 

112 


Symantec* Antivirus(版本 7、8、9、10.1、10.2) 

McAfee VirusScan(版本 7.0、8.0、8.5i) 

Trend Micro* PC-cillin(版本 2005、2006) 

Trend Micro OfficeScan(版本 6.5、7.3) 

Trend Micro ServerProtect(版本 5.58) 

CA eTrust InoculateIT(版本 6.0) 

CA eTrust* Antivirus(版本 7.0、7.1、8.0、8.1) 

ESET NOD32*(版本 2.7) 

不要将 HIPS 部署到安装了任何其他防病毒产品的设备上。 

HIPS 许可 

要访问 HIPS 工具,首先必须使用 HIPS 许可证激活核心服务器。 

有关 HIPS 许可的信息,请联系经销商,或访问 LANDesk 网站。 

使用 HIPS 进行基于角色的管理 

HIPS 与“修补程序和遵从性”一样,使用基于角色的管理来允许用户访问各种功能。基于角色的管理是使 

LANDesk 管理员限制用户对工具和设备访问权限的访问和安全框架。每个用户都指定了特定的角色和范围, 

以确定他们可以使用哪些功能以及可以管理哪些设备。 

管理员可以使用控制台中的“用户”工具来为其他用户分配角色。“安全配置”权限(显示在“角色”对话框中的“安 

全权限”组下)中包括了 HIPS。要看见并使用 HIPS 功能,用户必须拥有必要的“安全配置”访问权限。 





通过“安全配置”权限,您可以让用户执行下列操作: 

查看和访问控制台的“工具”菜单和工具箱中的主机侵入保护系统 (HIPS) 功能 

将受管设备配置为采用 HIPS 保护 

管理 HIPS 设置(密码保护、签码处理、操作、保护模式、文件认证、文件保护规则等) 

部署 HIPS 安装或更新任务和更改设置任务 

查看受保护设备的 HIPS 活动 

定义 HIPS 数据阈值设置,以便记录并显示 HIPS 活动 

HIPS 任务工作流 

以下步骤简要介绍了在网络上实现 HIPS 保护所涉及的典型过程或任务。后面的部分将详细介绍所有的这些过 

程。 

实施和使用 HIPS 的基本步骤:

1. 针对 HIPS 保护配置受管设备(即,将代理部署到目标设备)。 


2. 以 HIPS 设置配置 HIPS 选项,例如:签码处理、保护模式、白名单(允许在设备上执行的应用程 

序)、文件认证、文件保护规则和最终用户交互式/选项。 

3. 使用 HIPS 学习模式来发现设备上的文件和应用程序行为。 

4. 使用 HIPS 自动阻止模式在设备上实施 HIPS 保护。 

5. 查看受保护设备的 HIPS 活动。 

113

用户指南 

针对 HIPS 保护配置设备 

在对受管设备进行保护使其免受零日攻击前,必须先在受管设备上安装“端点安全”代理。“端点安全”代理是管 

理所有“端点安全”组件(包括 HIPS)的单一代理服务。 

可以在初始设备代理配置期间针对 HIPS 配置设备,也可以使用单独的安装或更新任务完成此操作。 

通过代理配置在受管设备上安装或更新 HIPS 

114 



3. 指定代理配置所需的设置后,您必须首先单击开始页面,然后选择安全下的端点安全选项。(这会将 

代理部署到目标设备,但您仍需要选择一个 HIPS 设置。) 

4. 现在即可访问端点安全页面上的选项。 

5. 从可用列表中选择一个设置,将其应用到正在创建的代理配置。通过单击配置,您可以创建新的设置 

或编辑现有设置。“端点安全”设置中包含了 HIPS 设置(以及其他安全组件设置)。HIPS 设置决定 

HIPS 客户端是否有密码保护、WinTrust 签码处理、对添加到系统启动中的程序的操作、缓冲区溢出 

保护、操作模式、白名单、文件认证和文件保护规则。 

6. 完成对代理配置的设置指定,然后单击保存。


如果希望稍后再安装或更新 HIPS,可以从控制台的安全配置工具中作为单独的任务完成此操作。 

作为单独的任务安装或更新 HIPS 


2. 单击创建任务工具栏按钮,然后单击安装/更新安全组件。 



115

用户指南 

116 

5. 从可用列表中选择“端点安全”设置,将其应用到您正在创建的代理配置。通过单击配置,您可以创建 

新的设置或编辑现有设置。“端点安全”设置中包含了 HIPS 设置(以及其他安全组件设置)。 


7. 从列表中选择扫描和修复设置,(仅)将其重新启动配置应用到您正在创建的代理配置。您可以创建 

新的设置或通过单击配置编辑现有设置。请记住,这种代理配置的“端点安全”代理目标设备代理部署 

仅使用在您选择的扫描和修复设置中指定的重新启动选项。您可以使用已包含所需重新启动配置的现 

有扫描和修复设置,也可以专门为您的代理部署创建全新的扫描和修复设置。 


从设备上删除 HIPS 

如果希望从受管设备上删除 HIPS,还可以从控制台作为单独的任务完成此操作。 

删除 HIPS 





5. 选择“端点安全”组件以删除包括 HIPS 的此代理。 




决定在代理删除期间目标设备上的重新启动要求和操作。 

8. 单击确定。

使用 HIPS 设置自定义 HIPS 保护 

HIPS 设置允许您完全控制 HIPS 在目标设备上的运行方式以及最终用户可用的选项。 

本节介绍如何创建和管理 HIPS 设置: 

"创建 HIPS 设置" 在页面 117 

"更改默认 HIPS 设置" 在页面 118 

"在“清单”视图中查看设备的 HIPS 设置" 在页面 118 

"HIPS 设置帮助" 在页面 119 

创建 HIPS 设置 


您可以创建 HIPS 设置,并将其应用于 HIPS 安装、更新任务或更改设置任务。您可以根据需要创建任意多个 

HIPS 设置。这些设置可以根据特定的用途、时间或一组目标设备来设计。 

创建 HIPS 设置 

1. 在安全配置工具窗口中,右击主机侵入保护,然后单击新建。 

2. 在“常规设置”页面中,输入 HIPS 设置的名称,然后指定常规要求和操作。有关选项的信息,请参阅 

"HIPS 设置帮助" 在页面 119。 

3. 在“模式配置”页面中,选择是实施 HIPS 自动阻止保护模式还是学习模式。如果希望最初在指定时间周 

期内运行白名单生成,然后重新实施自动阻止模式或继续使用学习模式,那么也可以选择基于当前认 

证文件创建白名单(允许在设备上执行的应用程序)。(注意:如果既选择学习模式作为一般保护模 

式,又希望生成白名单,实施自动模式的选项将被禁用。) 

117

用户指南 

118 

4. 在“文件认证”页面中,添加、修改或删除文件认证。 

5. 在“文件保护规则”页面中,可添加、修改、删除文件保护规则或设置其优先级。HIPS 包含了一组预定 

义(默认)的保护规则。 

6. 在任何设置页面中,可随时单击保存来保存 HIPS 设置的配置选项,或单击取消在不保存设置的情况 

下退出该对话框。 

配置完成后,您就可以通过安装或更新任务,或者通过更改设置任务来将 HIPS 设置部署到目标设备。 

更改默认 HIPS 设置 

设备的默认 HIPS 设置是作为初始代理配置的一部分部署的。有时,您可能希望更改特定设备上的这些默认 

HIPS 设置。HIPS 提供了完成上述操作的方法,而无需重新部署全新、完整的代理配置。 

要执行此项操作,请使用更改设置任务,该任务位于创建任务工具栏按钮的下拉列表中。您可以在显示的对 

话框中输入任务的唯一名称,指定该任务是否为计划的任务或策略,然后选择现有的 HIPS 设置作为默认设 

置,或使用“编辑”按钮创建新的 HIPS 设置作为目标设备的默认设置。 

在“清单”视图中查看设备的 HIPS 设置 

可以在设备的“清单”视图中搜寻和/或验证 HIPS 设置。 

要执行此操作,请右击所选设备,单击清单 > LANDesk Management > 主机侵入保护。

HIPS 设置帮助 


使用此对话框可创建和编辑 HIPS 设置。创建 HIPS 设置时,首先定义常规要求和操作,然后添加特定的文件 

认证。可以根据需要创建任意多个 HIPS 设置,并可以随时对其进行编辑。 

如果您要修改设备的默认 HIPS 设置但不重新安装 HIPS 代理或重新部署完整的代理配置,请对“HIPS 设置” 

对话框中的任何选项进行所需的更改,将新的设置分配到更改设置任务,然后将更改设置任务部署到目标设 

备。 

该对话框包含以下页面: 

"关于 HIPS:“常规设置”页面" 在页面 119 

"关于 HIPS:“模式配置”页面" 在页面 120 

"关于 HIPS:“文件认证”页" 在页面 120 

"关于 HIPS:“文件保护规则”页面" 在页面 121 

关于 HIPS:“常规设置”页面 

使用此页面可配置 HIPS 的常规保护设置和操作。 


名称:用唯一的名称来标识 HIPS 设置。该名称显示在安装或更新安全组件任务对话框的“HIPS 设置” 

下拉列表中。 

保护设置:有两种类型的保护:HIPS 和白名单。可以选择其中之一或两者均选。两种保护类型使用同 

一操作模式,即在“模式”配置页面上选择的操作模式。(注意:此常规保护实施存在一种例外情况。如 

果指定“学习”保护模式并选中“白名单(仅学习)”选项,则仅学习白名单应用程序,并且 HIPS 保护会 

设置为自动阻止模式。) 

启用 HIPS:启用 HIPS 保护。允许所有程序根据预定义的保护规则运行(除非该程序的操作 

会威胁系统安全)。您可以使用自定义文件认证为可执行程序授予特殊权限。HIPS 保护观察 

应用程序行为(是否允许应用程序修改其他可执行文件和注册表等)和实施安全规则。 

使用缓冲区溢出保护:保护设备,避免出现利用等待用户输入的程序或进程的系统内 

存漏洞。 

注意:无论处理器是否支持 NX/XD(不可执行/执行禁用),都可以在 32 位 Windows 

设备上启用缓冲区溢出保护 (BOP)。如果处理器不支持 NX/XD,将会进行模拟。不 

过,如果处理器支持 NX/XD 但在 BIOS 或引导配置中被关闭,则无法启用 BOP。请注 

意,“端点安全”客户端会显示出最终用户设备上启用还是禁用了 BOP。64 位 Windows 

设备上不支持 BOP,原因是内核补丁保护 (KPP) 功能会阻止修补内核。 

重要说明:强烈建议您在大范围地部署到网络上的受管设备之前,首先在特定的硬件 

配置中测试缓冲区溢出保护 (BOP)。某些运行特定 Windows 操作系统版本的旧版处理 

器(使用 HT 超线程的 Pentium 4 之前)的配置可能无法完全支持缓冲区溢出保护。 

启用白名单保护:启用白名单保护。这意味着只有其文件认证启用了允许执行选项的应用程序 

才能运行。 

WinTrust:确定向经过数字签名的软件授权的方式。由其发行者进行数字签名的可执行文件被视为可 

信,并将在其文件属性对话框内显示该数字签名。HIPS 根据您选择的选项(不检查签名代码、自动允 

许签名代码、自动允许来自这些供应商的签名代码)向带有数字签名的软件授予权限。 

执行的操作:确定当程序添加到设备的启动文件夹时执行的操作。此选项可为系统启动文件夹中的进 

程授权提供另一层防护。HIPS 监视启动内容,并在发现新进程时执行所选操作(警报和操作提示、仅 

在报告中记录但不发出警报、从启动删除,不报警)。 

119

用户指南 

120 

设置为默认值:将此设置指定为使用 HIPS 设置的任务的默认设置。 

ID:标识此特定设置。此信息存储在数据库中,并且可用于追踪每个设置。 

保存:保存所作的更改,并关闭该对话框。 

取消:关闭此对话框而不保存更改。 

关于 HIPS:“模式配置”页面 

使用此页面可配置 HIPS 保护的操作模式。 


保护模式:指定受管设备上出现违反安全性的行为时的保护行为。保护模式适用于在“常规设置”页面 

中选定的保护类型。 

自动:自动禁用所有违反安全的行为(软件和系统修改)。换言之,您为特定文件创建的所有 

文件认证规则都将予以实施。 

自动学习期限:指定在实施了安全规则时应用程序可在最终用户设备上运行的时间期 

限。在该期限内,将会观察(或学习)应用程序行为,并将该信息返回给核心数据库。 

(最长自动学习期限为 5 天。如果要让自动学习运行更长时间,可在 5 天即将结束时 

重置该值。) 

注意:这两个时间期限选项会相继执行。换句话说,如果两个都选中,则首先运行自 

动学习期限,当其过期后,会运行自动记录期限。 

自动记录期限:指定在未实施安全规则时允许应用程序运行的时间期限。应用程序行 

为(包括冲突)会记录到操作历史记录文件中。 

学习:允许所有违反安全的行为,但会观察(或学习)应用程序行为,并将该信息返回给核心 

数据库。使用该操作模式搜寻特定设备或一组设备上的应用程序行为,使用该信息自定义 

HIPS 策略后,再部署这些策略并在整个网络中实施 HIPS 保护。 

白名单(仅学习):仅允许运行和学习具有白名单标号的应用程序(其文件认证已启用允 

许执行选项的应用程序)。 

仅记录:记录但不禁用安全冲突。 

禁用:禁用但不记录安全冲突。 

安全模型设备:为使用相同 HIPS 设置来配置的设备子集指定 HIPS 保护模式。您可以使用该功能观 

察或学习软件和系统的修改,以及哪些应用程序在一组限制设备上运行。例如,可以使用保护模式设 

置为“自动阻止模式”的相同 HIPS 设置,但是通过将这些机器添加到保护模式设置为“学习”的安全模型 

设备列表中,可以识别一些目标设备。 

关于 HIPS:“文件认证”页 

使用此页查看和管理文件认证。文件认证是一组权利(权限或授权),可允许或禁止受管设备上的应用程序执 

行的特定操作。 


认证的文件:列出具有为 HIPS 配置的认证权限的文件。 

添加:打开文件浏览器,您可以在此浏览并选择希望配置文件认证的文件。 

配置:允许您编辑选定文件的认证。 

删除:删除选定的文件及其认证。 

关于 HIPS:“配置文件认证”对话框 

使用该对话框可配置特定应用程序文件的认证。


文件名:标识要指定认证的应用程序文件。 

完整路径:指定文件位置。 

文件大小:指定文件大小(单位为 KB)。 

文件日期:指示文件的创建日期和时间。 

版本:指示文件的版本号(如果有)。 

认证日期:指示文件认证的创建日期和时间或上次修改的日期和时间。 

MD5 哈希值:显示文件的 MD5 哈希值。哈希文件用于保证文件的完整性。 

说明:提供一个文本框,您可以在其中输入对文件的说明。 


跳过全部保护:允许使用应用程序文件的全部权限。文件处于完全未筛选和未监视的状态。 

跳过缓冲区溢出保护:允许您跳过缓冲区溢出保护。您可能要对认证和可信的文件(进程)使用该选 

项。 

系统安全 

修改可执行文件:允许应用程序具有修改其他可执行文件的权限。 

修改受保护的文件:允许应用程序具有修改受保护文件的权限。可以生成一个受保护文件的列 

表(例如,LANDesk Management Suite 设备代理)。 

修改受保护的注册表项:允许应用程序具有修改受保护注册表项的权限。受保护的项可以防止 

恶意软件感染。 

网络安全 

发送电子邮件:允许应用程序发送电子邮件。(注意:HIPS 会识别标准电子邮件客户端应用程 

序,并自动对这些应用程序进行认证,使它们可以发送电子邮件。 

磁盘上的文件 

添加到系统启动:允许应用程序具有将文件添加至系统启动的权限。 

允许执行:允许应用程序(进程)在设备上运行。认证文件会自动启用允许执行。另外,如果 

文件的认证提供部分权限,则会自动启用允许执行选项。 

高级安全规则 

保护内存中的应用程序:当应用程序在内存中运行时执行应用程序保护。应用程序将受到保 

护,既不会终止,也不会被修改。 

继承到子进程:为该应用程序执行的任何子进程指定相同的文件认证(权限)。例如,可用于 

安装程序或安装可执行文件,以将相同权限传递给此安装程序启动的后续进程。 

授权的安装程序:表示允许应用程序执行软件安装或部署。LANDesk Management Suite 软件 

分发工具即属于该情况,此类程序还可应用于其他软件分发应用程序。 

锁定文件认证(授权将不会通过学习模式更新): 

确定:保存文件认证,然后将其添加到主“HIPS 设置”对话框中经过认证的文件的列表内。 

取消:关闭对话框,但不保存文件认证。 

关于 HIPS:“文件保护规则”页面 

使用此页面可查看、管理文件保护规则并设置其优先级。文件保护规则是一组限制,可阻止指定的可执行程序 

对指定的文件执行特定的操作。通过文件保护规则,可允许或禁止任何程序对任何文件的访问、修改、创建和 

执行。 


保护规则:列出了 LANDesk 提供的所有预定义(默认)文件保护规则,以及您创建的所有文件保护 

规则。 

规则名称:识别文件保护规则。 

121

用户指南 

122 

限制:显示程序对文件执行的由文件保护规则限制的特定操作。 

应用规则到:显示由保护规则保护的可执行程序。 

上移/下移:决定文件保护规则的优先级。列表前面的文件保护规则的优先级高于列表后面的规则。例 

如,您可以创建限制某个程序访问和修改特定文件或文件类型的规则,然后又创建规定该限制不适用 

于一个或多个指定程序的另一个规则。只要第二个规则位于规则列表的前面,则优先采用该规则。 

重置:恢复 LANDesk 提供的预定义(默认值)文件保护规则。 

添加:打开“配置文件保护规则”对话框,可在此对话框中添加和删除程序与文件以及指定限制。 

配置:打开“配置文件保护规则”对话框,可在此对话框中编辑现有的文件保护规则。 

删除:从数据库中删除文件保护规则。 

注意:文件保护规则存储在 FILEWALL.XML 文件中,位置为: 

ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP。 

关于 HIPS:“配置文件保护规则”对话框 

使用此页配置文件保护规则。 


规则名称:用描述性名称来标识文件保护规则。 

应用规则到 

全部程序:禁止所有可执行程序对下面指定的文件执行下面选择的操作。 

指定程序:指定只有列表中的可执行程序才应用下面选择的限制。 

添加:允许您选择受文件保护规则限制的程序。您可以使用文件名和通配符。 

编辑:用于修改程序名称。 

删除:从列表中删除程序。 

限制 

禁止访问:禁止上面指定的程序访问受保护文件。 

禁止修改:禁止上面指定的程序对受保护文件做任何更改。 

禁止创建:禁止上面指定的程序创建文件。 

禁止执行:禁止上面指定的程序运行受保护文件。 

例外 

认证的程序允许例外:允许当前属于认证文件列表中的可执行程序忽略与该文件保护规则关联 

的限制。 

文件 

任意文件:上面指定的程序根据其限制对所有文件都不能执行任何操作。 

指定文件:指定只保护列表中的文件。 

添加:允许您选择一个或多个受该规则保护的文件。您可以使用文件名或通配符。 

编辑:允许您修改文件名。 

删除:从列表中删除文件。 

同时应用到子文件夹:对指定目录的所有子目录实施文件保护规则。 

了解 HIPS 学习模式 

HIPS 可以在以下任一保护模式中运行:“自动”、“学习”、“仅记录”或“禁用”。 

使用 HIPS 学习模式 

下面是对 HIPS 学习模式过程的介绍:


在学习模式下,HIPS 了解在设备上安装了哪些种类的应用程序,这些应用程序如何操作以及它们的权 

限(特权)。 

HIPS 监视该设备上的活动,并将信息记录在操作历史记录文件内。 

操作历史记录数据从该设备发送至核心服务器。 

管理员阅读操作历史记录,以便了解该设备上的应用程序及它们执行的操作(操作历史记录文件 

(XML) 中列出的文件/应用程序及相关权限显示在“HIPS 设置”对话框的“文件认证”窗格中)。 

然后,管理员可以自定义 HIPS 设置以便允许和拒绝相关应用程序的特权。 

可将学习模式应用于受管设备,但在部署新的 HIPS 设置之前,通常会出现 HIPS 冲突;也可以在初始指定时 

间周期内应用学习模式,以了解哪些应用程序在运行及其行为,并创建白名单(允许在设备上执行的应用程 

序)。如果常规保护模式为自动阻止模式,您仍然可以使用学习模式了解应用程序行为,然后在学习周期过期 

后重新实施自动阻止模式。 

请注意,为了实现操作历史记录通信,核心服务器与受管设备必须都在学习模式下运行。 

合并 HIPS 认证 

可将 HIPS 认证的文件从一个 HIPS 设置合并到一个或多个其他 HIPS 设置。这可让您迅速轻松地更新和共享 

认证文件设置。 

1. 在安全配置工具窗口中,右击主机侵入保护,然后单击合并认证文件。 

2. 从下拉列表中选择源配置。 

3. 选择是合并认证文件的差异还是仅仅替换所有认证的文件。 

4. 选择目标配置。 


关于“合并认证文件”对话框 

使用此对话框可在一个或多个 HIPS 设置之间配置和执行 HIPS 认证文件的合并。 


源配置:指定要将其认证文件与选定的目标配置合并的 HIPS 设置。 

合并认证文件的差异:将目标配置中的任何通用认证文件替换为源配置中的认证文件,然后将源配置 

中独有的认证文件添加到目标配置。 

替换认证文件:强制使用源配置中的认证文件替换目标配置中的所有文件。 

目标配置:指定要与源配置进行合并的目标配置。从可用配置列表中选择目标。 

123

用户指南 

设备控制 

“设备控制”是 LANDesk Security Suite 中的一个重要工具,也是“端点安全”的一个组件。 

“设备控制”允许您监视和限制对 I/O 设备的访问。使用“设备控制”,您可以限制设备的使用,以限制对此设备 

的数据访问,比如端口、调制解调器、驱动器和无线连接。 


124 

"“设备控制”概述" 在页面 124 

"使用“设备控制”设置来限制设备访问" 在页面 124 

"部署“设备控制”设置" 在页面 126 

"“设备控制”设置帮助" 在页面 127 

"“设备控制”管理任务" 在页面 129 

"故障排除设备控制" 在页面 132 

“设备控制”概述 

要在您的网络中实现“设备控制”,您可以创建和部署“设备控制”设置,以管理 USB、调制解调器、I/O 端口、 

CD/DVD 驱动器、PCMCIA 以及其他连接。 

您可以通过普遍地阻止整个类别的 USB 设备(如存储设备),或通过使用例外(基于参数和您指定的值)来 

限制某些 USB 设备以配置 USB 限制。 


“设备控制”是全面的“端点安全”解决方案的组件之一,带有“主机侵入保护”(HIPS) 和“LANDesk 防火墙”工具。 

支持的平台 

“设备控制”支持运行以下操作系统的受管设备: 

Windows 2000 

Windows Server 2003 

Windows XP 

Windows Vista 

使用“设备控制”设置来限制设备访问 

要使用“设备控制”对设备进行管理,必须在该设备上部署本地调度程序代理和标准代理。每当该设备启动设备 

连接或更改设备连接时,代理就会应用设置规则。这些规则包括中断不允许的连接并向核心服务器发送警报。 

默认情况下,设备控制设置可以限制各种类型的设备。可以使用高级 USB 设置来限制任何 USB 设备或您指 

定的设备类别。您可以限制的设备有: 

USB 设备,如驱动器、键盘和鼠标、打印机及扫描器 

RIM Blackberry*、Pocket PC* 和 Palm* 手持设备 

网络卷 

蓝牙* 个人区域网络

无线 802.11x 网络 

调制解调器 

PCMCIA* 设备 

串行、并行、红外线和 FireWire 1394 端口 

软盘和 CD/DVD 驱动器 

USB 设备控制设置可使用 usbmon 服务,其功能为: 

防止使用未授权的 USB 和 PCMCIA 设备。 

防止使用未授权的可移动存储设备。 

检测到未授权设备时,触发外部程序或脚本。 

创建“设备控制”设置 

创建“设备控制”设置 


2. 打开“端点安全”,右击设备控制,然后单击新建。 


3. 在“常规设置”页面,输入名称。 

4. 选中启用设备控制复选框。 

5. 在其他页面,自定义您想要的选项。有关此对话框中选项的详细信息,请参阅 "“设备控制”设置帮助" 

在页面 127。 

125

用户指南 

126 

6. 单击保存,保存这些设置。 

部署“设备控制”设置 

创建“设备控制”设置后,必须将其部署到受管设备后它才会活动。 

“设备控制”通过“端点安全”设置来部署。 

部署设备控制设置 

1. 右击此设置,然后单击计划。 

2. 设置会添加到计划任务窗口中。在此窗口中,请将设备拖到设置图标上。 

3. 所有设备已添加后,在任务的快捷菜单中单击属性。在树中单击计划任务,然后配置计划选项。 

有关计划任务的详细信息,请参阅 "脚本和任务" 在页面 272。 

安排某个设备控制设置以进行部署时,“设备控制”将执行以下操作: 

创建一个以源设备控制设置命名的可执行分发程序包。该程序包的主要文件为 usbmon.exe。附加文 

件为 usbmon.reg、devactalert.exe、netres.mrl 和 .ini。 

如果将用户作为设备控制设置任务的目标,“设备控制”则使用称为“Usbmon 拉传送”的基于策略的公共 

交付方式。如果该交付方式不存在,“设备控制”将创建它。当任务目标为用户时,“设备控制”必须使用 

基于策略的交付方式,以确保正确的用户得到设置。当目标用户登录时,基于策略的交付方式将激活 

并安装设置。 

如果将计算机作为设备控制设置任务的目标,则“设备控制”将使用称为“Usbmon 推传送”的支持策略的 

公共推交付方式。如果该交付方式不存在,“设备控制”将创建它。由于设置的目标为设备,因此任何登 

录到该设备的用户将获得该设备的控制设置;设置安装时,哪个用户登录并不重要。您可以对计算机 

使用推送交付方式或策略交付方式。 

“设备控制”创建 usbmon 策略或支持策略的推送交付方式后,您就可对其进行自定义。只要方式名称不改变, 

“设备控制”将使用修改后的交付方式。 

有关在本地受管计算机上创建设备控制设置,并手动部署这些设置的信息,请参阅核心服务器 LDMain 共享 

下的 usbmon 帮助文件 usbmon.chm。

“设备控制”设置帮助 

使用此对话框可创建和编辑“设备控制”设置。 


关于“常规设置”页面 

使用此页面来为设置命名以及在使用此设置配置的客户端上启用设备控制。 

名称:标识设置。此名称显示在主“设备控制”窗口中。 

启用设备控制:在使用此设置配置的客户端上打开“设备控制”。 

关于“存储卷”页面 

使用此页面来为连接到配置有此设置的客户端的存储卷指定选项。 


存储卷:为任何安装设置后没有在客户端出现的存储卷指定访问级别。(注意,如果安装设置时连接 

了包含卷的设备,则 usbmon 服务将允许在未来使用该设备,即使该设备是可移动的。) 

全部权限:允许对连接存储卷的读写权限。 

只读权限:允许用户读取连接的存储卷,但不允许写入。 

强制加密:在连接的存储卷上强制进行文件加密。部署一个加密实用工具,在采用此设置的客 

户端所连接的存储设备上启用文件加密。写入存储设备时加密文件;从该设备读取时解密文 

件。只有提供正确的密码(在 USB 存储设备上创建加密文件夹时定义)后才可访问。 

重要说明:请先在 USB 设备上创建加密文件夹:当存储设备配置文件加密时,用户在将文件 

复制到设备前必须先使用加密实用工具(转至开始 |LANDesk 管理 |LANDesk 加密|高级|创建 

加密文件夹)创建一个加密文件夹。创建加密文件夹时指定密码。如果启用“允许密码提示”选 

项(见下文),则向用户提供一个选项,输入助其记起密码的提示,但并非必须输入密码提 

示。 

没有权限:阻止使用连接到客户端(使用“设备控制”设置配置)的存储卷。您可在“设备”页面 

选择特定的设备类型,以自定义仍允许使用的 USB 设备类型。 

例外:单击以为存储卷创建例外的访问级别。可以基于这些元素创建例外:硬件 ID、媒介序列号或总 

线类型。 

加密选项: 

分配给加密的存储空间:指定存储设备上可用于加密文件的空间。(注意,可以用于加密文件 

的空间最大值是 128 MB。) 

允许密码提示:让最终用户输入可帮助其记起加密文件夹密码的提示。密码提示不能与密码本 

身完全相同。密码提示的长度不得超过 99 个字符。(注意,即使密码提示字段可输入文本, 

但用户并非必须输入提示。) 

通知最终用户:当用户连接未授权的存储设备时显示消息框。有关详细信息,请参阅 "检测到未授权的 

设备/卷时创建自定义消息" 在页面 129。 

关于“配置例外”(用于存储卷)对话框 

使用此对话框,为存储卷创建例外的访问级别。 

说明:输入您想用于标识例外的描述。 

参数:选择参数类型(硬件 ID、卷序列号或总线类型)。 

值:如果选择了硬件 ID 参数,请输入字符串值。 

访问:指定例外访问级别(全部权限、只读权限、仅加密、没有权限) 

127

用户指南 

关于“设备”页面 

使用此页面来为连接到配置有此设置的客户端的各种设备类型指定选项。 

128 

设备/接口:使用复选框来阻止设备和接口访问客户端。 

禁用无线 LAN 802.11X:阻止无线 LAN802.11X 连接。 

例外:单击以创建例外的被阻止程序和接口。可以基于这些元素创建例外:hardware_id,、类别、服 

务、枚举器、vendor_id、device_id 或 vendor_device_id。 

CD/DVD 驱动器:指定 CD/DVD 驱动器的访问级别。 

例外:单击以为 CD/DVD 驱动器创建例外的访问级别。可以基于这些元素创建例外:硬件 ID、媒介 

序列号或总线类型。 

通知最终用户:当用户连接未授权的存储设备时显示消息框。有关详细信息,请参阅 "检测到未授权的 

设备/卷时创建自定义消息" 在页面 129。 

有关“配置例外”(用于设备和接口)对话框 

使用此对话框来创建例外的受阻设备和接口。 

说明:输入您想用于标识例外的描述。 

参数:选择参数类型(硬件 ID、卷序列号或总线类型)。 

值:如果选择了硬件 ID 参数,请输入字符串值。 

访问:指定例外访问级别(全部权限、只读权限、仅加密、没有权限) 

有关“卷影复制”页面 

使用此页面,在使用此设置配置的受管设备上启用和配置卷影复制。卷影复制通过在本地目录为从设备复制/ 

复制到设备的文件创建副本(或卷影),使您可以对这些文件进行追踪。 

启用卷影复制:在使用此设置的受管设备上打开卷影复制。 

仅记录事件:日志文件只记录文件复制操作,而不记录被复制的实际文件。 

例外:单击以创建例外。可以基于这些元素创建例外:硬件 ID、媒介序列号或总线类型。 

本地高速缓存:指定卷影复制文件和日志文件在本地驱动器上的存储位置。

“设备控制”管理任务 

此部分包含了有关以下“设备控制”功能和任务的信息。 

"检测到未授权的设备/卷时创建自定义消息" 在页面 129 

"未授权设备处理" 在页面 129 

"可移动存储设备处理" 在页面 129 

"配置高级 USB 设置" 在页面 130 

"配置检测到未授权的设备时运行的命令" 在页面 131 

"配置警报" 在页面 132 

"查看未授权的设备列表" 在页面 132 

检测到未授权的设备/卷时创建自定义消息 


在设备控制设置对话框中,您可以自定义检测到未授权的设备/卷时用户看到的消息文本。在消息文本中,可 

以使用这些占位符来显示有关未授权的卷或设备的信息: 

%vol%:卷序列号 

%desc%:说明 

%service%:服务 

%hwid%:硬件 ID 

%mfg%:制造商 

%loc%:位置 

%class%:类 

未授权设备处理 

设备控制设置使用受管设备上的 usbmon 服务。当 usbmon 服务收到操作系统的通知,告知已插入新的 USB 

或 PCMCIA 设备时,usbmon 服务将应用多个自定义的规则,以确定是否允许使用该设备。可以设置简单规 

则来只允许使用某些类型的设备,如键盘和鼠标、打印机和扫描器。更复杂的规则可能只允许给特定制造商的 

安全存储设备使用权,或排除特定制造商的设备使用权。 

当 usbmon 服务检测到未授权设备时,它将执行: 

从 Windows 设备管理器删除设备,使 Windows 看不到该设备。该设备的任何驱动程序仍然处于安装 

状态。 

对于未授权的 USB 设备或卷,可根据需要向用户显示可配置的消息。有关详细信息,请参阅 "检测到 

未授权的设备/卷时创建自定义消息" 在页面 129。 

可以选择加载外部程序(有关详细信息,请参阅 "配置检测到未授权的设备时运行的命令" 在页面 

131)。例如,外部程序可以是一个向中心控制台发送警报的脚本。 

发送一条“禁用激活的设备”的 AMS 警报至核心服务器。警报消息包含该设备的名称。 

可移动存储设备处理 

Usbmon 是受管设备上限制 USB 连接的服务的名称。装载新卷后,usbmon 服务将收到操作系统的通知。然 

后,usbmon 服务使用 GetDriveType() API 调用检查已装载的驱动器类型。如果操作系统将该驱动器描述为 

“可移动”或“固定驱动器”,则 usbmon 服务将采取措施。Usbmon 服务还会在启动时检查可删除的卷。如果启 

动时发现未授权的卷,则将执行与稍后装载该卷时相同的操作。 

被视为可移动的驱动器包括(但不限于)USB 存储设备。CD 驱动器(只读或读/写)不被视为可移动的存储 

设备。 

129

用户指南 

操作系统不会将硬盘驱动器视为可移动设备。GetDriveType() 调用会将硬盘驱动器描述为“固定驱动器”,即使 

它们是通过 USB 或一些其他外部端口连接的。为允许以与处理其他可移动存储设备相同的方式处理可移动硬 

盘驱动器,usbmon 服务将在安装服务时记录硬盘驱动器列表。例如,如果设备在安装 usbmon 服务时包含 2 

个硬盘驱动器(C:和 D:),那么 usbmon 服务会将这些驱动器视为固定驱动器,而不进行检查。但是,如果以 

后找到某个驱动器盘符为 E:的硬盘驱动器,usbmon 服务则将其视为可移动设备。 

Usbmon 服务将“固定驱动器”的列表保存在注册表中的 HKLM\Software\LANDesk\usbmon\FixedDrives 下。 

该列表在安装服务时创建。没有权限选项可禁止访问安装设备控制设置时不存在的任何卷。注意,如果安装 

设置时连接了包含卷的设备,则 usbmon 服务将允许在未来使用该设备,即使该设备是可移动的。 

当 usbmon 服务检测到可移动存储设备时,将执行以下操作: 

锁定卷。试图访问卷的用户将会得到“拒绝访问”的错误信息。 

或者为用户显示可配置的信息。 

或者加载一个外部程序。例如,外部程序可以是一个向中心控制台发送警报的脚本。 

发送一条“禁用激活的设备”的 AMS 警报至核心服务器。警报显示某卷已激活,但没有关于此卷的其他 

信息。 

禁止所有未知卷只在 Windows XP 或 Windows 2003 中有效 

在 Windows 2000 中,操作系统会报告卷已被禁止,但实际上没有。我们建议在 Windows 2000 中禁止指定的设备,以阻 

止增加新卷。 

为什么支持人员需要使用 USB 记忆棒? 

如果您是一位 IT 支持人员,并且要在用户的计算机上使用 USB 存储设备,可以执行以下操作: 

130 

允许临时访问 USB 设备的最方便的方法就是在为您的受管设备定义和部署设备控制设置时启用密码覆 

盖选项。 

如果设备控制未配置密码超驰功能,则您可以尝试以下方法: 

使用管理权限登录,并暂时禁用 usbmon 服务。 

使用管理权限登录,运行 usbmon GUI,然后将设备添加到已授权卷列表。 

配置高级 USB 设置 

“设备控制”安装到设备上以后,代理存储有关它禁止访问的最后十个 USB 设备的信息。清单扫描器将此信息 

发送到核心数据库。有关这些禁止的设备的信息将显示在高级 USB 设置对话框中。您可以使用此信息来创建 

允许或禁止特定 USB 设备的高级规则。通过这些高级规则,您可以控制除设备控制设置对话框中看到的基本 

设备类别之外的设备。 

在高级 USB 设置对话框中,可以将六列中的任何一列作为基础来制定规则。右击列中的值,然后单击允许以 

创建一个规则来允许基于该属性使用设备。为每列创建的关键字如下: 

DeviceDesc 

HardwareID 

Service 

Mfg 

LocationInformation 

Class 

这些名称与注册表中 HKLM\System\CurrentControlSet\Enum\USB 项下使用的名称完全相同。 

作为规则基础的最有用字段通常为服务。此字段与 Windows 驱动程序相对应。例如,到 Windows CE PDA 

的 USB ActiveSync 连接的驱动程序称为 wceusbsh(请参阅 

HKLM\CurrentControlSet\Services\wceusbsh)。这六列都可用作规则的基础,但是,由您决定具体情况下哪 

些规则具有实际意义。

通配符 


可以在规则中使用通配符,例如,以下规则允许使用任何在其设备描述中包含字符串“floppy”的设备: 

DeviceDesc=*floppy* 

白名单与黑名单规则 

到目前为止介绍的所有规则均为白名单规则,即设备必须至少满足一个规则,否则将被禁止使用。Usbmon 

服务还支持黑名单规则。以减号为前缀的规则为黑名单规则。例如: 

Service=usbstor 

DeviceDesc=*floppy* 

第一个规则允许使用 USB 存储设备。第二个规则禁止使用在其设备描述中包含字符串“floppy”的设备。 

如果定义了白名单和黑名单规则,usbmon 服务首先根据白名单规则检查设备。如果没有白名单允许使用该设 

备,则禁止使用该设备。如果存在至少一个白名单规则允许使用该设备,usbmon 服务则根据黑名单规则检查 

该设备。如果该设备不满足任何黑名单规则,则允许使用该设备。否则,将禁止使用该设备。 

如果只存在白名单,除非该设备满足其中一个白名单规则,否则将禁止使用。如果只存在黑名单,除非该设备 

满足其中一个黑名单规则,否则将允许使用。 

组合规则 

到目前为止介绍的所有规则均为简单规则,并且在其中只测试单个字段。Usbmon 还支持组合规则,如下例 

所示: 

Service=wceusbsh,DeviceDesc=*iPAQ* 

该规则只允许使用在其设备描述中包含字符串 IPAQ 的 Windows CE 设备。 

也可以采用组合的黑名单规则。示例: 

Service=wceusbsh 

Service=wceusbsh,Mfg=*iPAQ* 

以上两行允许使用除了在其厂商字段中包含字符串 IPAQ 的 Windows CE 设备。以上两行规则等同于以下一 

行规则: 

Service=wceusbsh,-Mfg=*iPAQ* 

配置检测到未授权的设备时运行的命令 

当 usbmon 服务检测到未授权的卷或设备时,它可以执行外部程序。您可以在命令中包括一个或两个占位 

符: 

%1: 根据检测到的是未授权的卷还是未授权的 USB 设备,%1 将由“卷”或“设备”替换。 

%2: 将由未授权的卷的卷序列号或未授权的 USB 设备的标识字符串替换。 

例如,当给出如下命令时: 

wscript myscript.vbs %1 %2 

这可能导致启动以下命令: 

wscript myscript.vbs volume "1234ABCD" 

wscript myscript.vbs device "Y-E Data USB Floppy:Vid_057b&Pid_0000" 

Usbmon 确保在一个时刻只运行一个脚本实例。 

配置命令 

1. 在设备控制设置中,单击命令。 

131

用户指南 

132 

2. 输入所需的命令。 


配置警报 

“设备控制”设置使用警报管理系统来发出警报。“设备控制”可在遇到以下事件时触发警报: 

配置错误 

禁用激活的设备 

限制网络连接尝试 

列表之外的网络连接尝试 

检测列表之外的网络会话 

查看未授权的设备列表 

在每台计算机上,“设备控制”中将储存最近接入的十个未授权设备列表。 

您可单击设备快捷菜单上的清单,在网络视图上查看此信息。然后单击 LANDesk 管理|设备控制|Usbmon 警 

报。 

故障排除设备控制 

本节包含有关使用“设备控制”可能遇到的某些情况以及如何解决这些问题的信息。 

每种新的“设备控制”设置都将另存为设置文件和脚本文件,并保存在以下文件夹中: 

ldmain\ccmgr\name.cfg 

ldmain\scripts\name.ini 

如果存在与新的设置具有相同名称的脚本或设置,系统提示将覆盖现有的脚本或设置。这将导致覆盖 

具有相同名称的不相关的分发脚本。 

为网络限制输入 IP 范围时,请勿限制访问核心服务器所在的网络范围。如果客户端访问受限网络且 

“设备控制”禁用了网络访问,则仅有与核心服务器的通信才能还原网络访问。如果设备由于限制而无法 

与核心服务器通信,则无法还原网络访问。 

当限制访问 I/O 设备时,请勿限制托管网络适配器的 I/O 设备。如果限制访问托管网络适配器的 I/O 

设备,则客户端将无法访问网络。例如,限制 USB 访问会使所有 USB 网络适配器无法工作。不通过 

网络访问,便无法更新该客户端的限制设置。 

如果在“设备控制”中选择以下选项,并且核心服务器在列出的网络上不可用,则客户端在该网络上对 

I/O 设备的访问权限不受任何限制: 

将连接限制在列表中的网络范围内 

如果没有连接则允许访问列表之外的网络 

验证网络中是否存在核心服务器 

如果选中“如果没有连接则允许访问列表之外的网络”,并且代理在列出的网络上找不到核心服务器,它 

将假定未列出此网络。此时,本地的 I/O 设备可能会得到未预期的访问权限。该操作可能会带来安全 

风险。确保核心服务器可用,以避免发生这种情况。

安全活动 


“安全活动”提供了一种方便的工具,借此可以查看受管设备上运行的多个 LANDesk Security Suite 服务的状态 

及活动信息。 

“安全活动”可以查看以下服务的状态及活动信息: 




设备控制 

您还可以执行以下任务: 

配置安全活动阈值设置 

清除安全活动信息 

查看安全状态和活动 

“安全活动”工具可让您查看有关 LANDesk Security Suite 服务的信息。 

例如: 

查看“防病毒”活动和状态信息 

如果防病毒扫描器在目标设备上搜寻到任何选定的病毒定义,则会将该信息报告给核心服务器。运行扫描后, 

可以使用以下任一方法查看检测到的安全数据。 

133

用户指南 

该窗口按以下类别显示防病毒活动和状态信息: 

134 

感染(按计算机) 

感染(按病毒) 

隔离的感染(按计算机) 

隔离的感染(按病毒) 

信任项(按计算机) 

最近未报告防病毒活动的计算机 

近期防病毒活动(按计算机) 

近期防病毒活动(按病毒) 

此外,对于扫描的设备可右击设备,选择“安全和修补程序信息”,在“类型”下拉列表中选择“防病毒”。可以查 

看: 

缺少的防病毒更新 

安装的防病毒更新 

清除修复历史记录 

关于“防病毒操作和状态信息”对话框 

使用此对话框可查看具有 LANDesk Antivirus 代理的所有受管设备的详细防病毒操作和状态信息。该扫描结果 

数据用于生成可在报告工具中使用的 LANDesk Antivirus 报告。 

要自定义所显示数据的范围和焦点,请单击阈值,然后更改已扫描设备近期防病毒操作和近期未扫描设备的 

时间周期阈值。 

您还可以右击该视图中的设备以访问其快捷菜单,然后直接执行可用任务。 


刷新:利用数据库的最新防病毒扫描信息,更新对话框中的字段。 

阈值:打开阈值设置对话框,在该对话框中,您可以定义近期防病毒操作和“非近期”防病毒扫描的时 

间间隔(按天计)。阈值可确定针对两个计算机特定显示类别来收集和显示防病毒扫描结果的时间周 

期。 

感染(按计算机):在右侧窗格中列出在上次系统扫描期间发现病毒感染的设备。选择设备,查看感 

染设备的特定病毒。 

感染(按病毒):在右侧窗格中列出上次系统扫描期间在受管设备上发现的病毒。选择病毒定义,查 

看其已感染的设备。 

近期未扫描防病毒漏洞的计算机:列出在阈值设置对话框中指定的时间周期内尚未扫描病毒的、具有 

LANDesk Antivirus 代理的所有设备。如果要立即运行防病毒扫描,请右击设备,单击“现在进行 

LANDesk Antivirus 扫描”,选择一种防病毒设置,然后单击“确定”。 

近期进行防病毒操作的计算机:列出在阈值设置对话框中指定的时间周期内已扫描病毒并返回防病毒 

操作的、具有 LANDesk Antivirus 代理的所有设备。选择一个设备,查看其特定的防病毒操作,包 

括:病毒检测、删除、已感染对象隔离、备份和恢复。 

查看 HIPS 活动 

如果 HIPS 检测到违反其规则和认证权限的行为,则会将该信息报告给核心服务器。可以使用以下方法查看检 

测到的 HIPS 操作。 

在“安全活动”工具中,打开主机侵入保护组,可以找到有关整个网络中 HIPS 活动的信息。该窗口按以下类别 

显示 HIPS 操作: 

按计算机防护

按应用程序防护 

按操作防护 

此外,还可以在该窗口底部查看特定的主机入侵操作,其中包括以下详细信息: 

操作日期 

操作 

说明 

应用程序 

文件版本 

文件的大小 

文件日期 

模式 

MD5 哈希值 

关于“HIPS 活动”对话框 


使用此对话框可查看具有 LANDesk HIPS 代理的所有受管设备的详细 HIPS 操作。该数据用于生成可在报告 

工具中使用的 LANDesk HIPS 报告。 

要自定义所显示数据的范围和焦点,请单击阈值,然后更改在核心数据库中存储 HIPS 活动信息的时间周期阈 

值,以及在 HIPS 活动窗口列表中的项目数。 

您还可以右击该视图中的设备以访问其快捷菜单,然后直接执行可用任务。 


刷新:利用数据库的最新 HIPS 信息,更新对话框中的字段。 

阈值:打开阈值设置对话框,您可以在此定义核心数据库中存储 HIPS 数据的持续时间(以天为单 

位),以及在 HIPS 活动列表中显示的项数。 

清除:从此显示窗口和核心数据库内彻底永久地删除 HIPS 操作数据。 

保护(按计算机):在右窗格中列出搜寻到 HIPS 违规行为的设备。选择设备,查看具体的违规行 

为。 

按应用程序防护:在右窗格中列出受管设备上搜寻到的应用程序。选择应用程序,查看搜寻到该应用 

程序的设备。 

保护(按操作):在右窗格中列出在受管设备上执行的操作。选择操作,查看执行该操作的设备。 

查看 LANDesk 防火墙活动 

该窗口按以下类别显示防火墙活动: 

按计算机防护 

按应用程序防护 

按操作防护 

查看设备控制活动 

该窗口按以下类别显示“设备控制”活动: 

已禁用的存储设备 

已禁用的 CD/DVD 设备 

其他禁用设备 

卷影复制文件 

135

用户指南 

配置安全活动阈值设置 

安全活动信息增长很快。可以使用阈值设置来控制信息收集量。 

关于“阈值设置”对话框 

使用此对话框可以定义显示在“安全活动”视图中“防病毒”、HIPS 和防火墙活动的时间段。 

136 

防病毒: 

近期防病毒活动的阈值:指定为已扫描并返回防病毒活动的设备收集防病毒活动的时间段 

(天)。 

近期未扫描的阈值:指定为所有配置有防病毒的未扫描设备收集设备信息的时间段(天)。 

截断列表:指定在活动对话框的列表中显示的最大项数。可以指定 1 至 999,999 项。 

自动清除(HIPS/防火墙): 

自动删除下列天数以前的活动:指定为受保护设备在核心数据库中对已报告 HIPS 操作的最大 

保存天数。可以指定 1 至 999 天。但是,建议您密切关注发送到核心数据库内的数据量并找 

到一个最佳天数,以便 HIPS 数据不会占用过多空间或者妨碍性能。

清除安全活动 


有时,您可能需要清除各种安全组件的安全活动信息。您可以通过“安全活动”中的清除活动工具栏按钮来执行 

此操作。 

清除安全活动是一次性任务,而不是计划任务或策略。 

关于“清除安全活动”对话框 

使用此对话框完全删除来自控制台和核心数据库的活动记录。 


选择活动类型:指定要清除的安全组件活动信息。 

选择计算机:指定要清除哪个(些)受管设备的安全活动。(注意:此任务必须由管理员用户来执 

行。) 

选择日期范围:指定清除安全活动的最早日期。或者,您也可以使用全部记录选项直接清除所有现有 

活动信息。 

清除:完全删除选定安全组件的活动记录。 

137

用户指南 

网络访问控制 (NAC) 

网络访问控制 (NAC) 是全面安全管理解决方案中的重要组件。NAC 可以帮助您的网络抵御未经授权的访问、 

恶意侵入以及易受攻击或已损坏设备带来的外部安全暴露问题,而这些情况可能会感染和损害您的网络。 

LANDesk Security Suite 提供的 802.1X NAC 工具专用于支持和扩展现有 802.1X Radius 服务器实现在网络 

中的安全。LANDesk 802.1X NAC 支持为基本的 802.1X 访问控制功能添加身份验证和遵从性功能。 

设置网络访问控制所需的技术知识和专业技能 

本节介绍安装、配置和使用 LANDesk 802.1X NAC 支持时所需的所有概念和步骤。注意,除了基本的核心服务器安装之 

外,NAC 还需要其他硬件和软件配置。由于此类设置操作具有较强的技术性,因此本指南假定您熟悉 802.1X Radius 服务 

器配置、802.1X 身份验证和健康状况验证,以及高级网络基础结构的设计原理和管理。您应认识到,要设置 NAC,可能需 

要向支持代表和/或相关的系统工程师咨询。 



本简介部分提供 NAC 技术和服务的基本概述,介绍相关的前提条件和工具。 


138 

网络访问控制概述 

了解基本 NAC 组件 

使用 LANDesk 802.1X NAC 进行基于角色的管理 

实现 LANDesk 802.1X NAC 支持 

网络访问控制概述 

网络访问控制 (NAC) 通过阻止易受攻击或已损坏的设备获得网络访问权限,为网络增加了一层保护,并防止 

连接的系统中的重要网络资源损坏。 

NAC 使用行业标准的安全技术和系统实现端点周界安全。网络访问控制支持常见的行业标准和方法,可以在 

网络上灵活地实现网络访问控制功能,例如:IEEE 802.1X。 

通过 NAC,可以定义自定义基本安全策略、扫描设备(受管和不受管)的安全策略遵从性、验证连接设备的 

健康状态以及根据设备的安全策略遵从性拒绝或允许访问您的重要网络资源。健康设备将获得完全网络访问权 

限。如果确定设备不健康,可能会阻止设备访问网络并保留在虚拟的隔离区中,在隔离区中可以使用 Security 

Suite 的修补功能进行修复或允许对网络进行有限的访问。 

使用 NAC,可以在任意设备尝试连接网络时立即评估设备的安全凭据(通过将其与自定义安全策略比较), 

监视已连接的设备的安全状态,允许或拒绝网络访问,隔离无法符合安全策略要求的设备,修补易受攻击的设 

备,以便可以重新扫描安全策略遵从性并在确定健康后允许访问网络。 

网络访问控制的优势和功能 

使用 NAC 可以执行下列操作: 

创建和实现自定义遵从性安全策略 

实现更强大的全天候企业安全 

评估连接设备的安全凭据(健康状态) 

禁止受感染或被破坏的系统访问网络 

将不符合策略的设备隔离在安全区域中 

修补受感染的设备,使其符合策略

缩短因恶意侵入的感染造成的停机时间 

帮助网络、系统、应用程序和数据抵御外部威胁 

扩展现有的安全技术和标准 

遵从性安全策略 


遵从性安全策略由验证设备健康状态的规则组成,这些规则检查:漏洞(以操作系统和应用程序修补程序缺少 

或过期的形式)、软件更新、防病毒引擎和签名文件、防火墙存在情况以及间谍软件。 

有关在控制台“修补程序和遵从性”工具中定义遵从性安全策略的详细信息,请参阅定义遵从性安全条件并发布 

NAC 设置。 

139

用户指南 

了解基本 NAC 组件 

下面各节介绍 NAC 实现的基本组件以及每个组件的功能和交互方式。 

基本 NAC 组件说明 

140 

组件说明 

尝试访问网络的设备包括尝试访问企业网络的偶尔连接或移动的笔记本电脑、来访承包商和来宾 

用户以及常规网络用户。 

网络访问 

控制设备 

策略服务器/状态验证服务器 

(网络访问决策点) 

安装了信任代理的设备可以与策略服务器或状态验证服务器进行通信,以便 

发送和接收健康状况凭据信息,如果在安全扫描期间检测到漏洞,还可以通 

过修补服务器进行修复。 

没有信任代理,设备就无法与状态验证服务器进行通信,并且无法进行修 

补。在初次扫描没有信任代理的设备时,设备会定向到包含安装相应信任代 

理的链接的网页。有关详细信息,请参阅“使用 HTML 模板页”。 

从申请/请求设备的角度,网络访问控制设备作为“第一跳”网络设备,开始状 

态验证和身份验证过程。 

专用的后端服务器也称为状态验证服务器,基于从核心服务器发布到设备上 

的遵从性规则(安全策略)评估状态凭据(请求访问的设备的状态)。通过 

网络访问控制设备发送验证响应(健康、不健康等)。 

企业网络 NAC 在不健康、受感染或容易通过其他方式受到攻击的设备中保护的重要网 

络区域和资源。 

隔离 VLAN 虚拟的安全网络区域,在该区域可以保护、修补、重新扫描不符合策略的设 

备,并为该设备授予对企业网络的完全访问权限,或允许对网络资源(例如 

Internet)进行有限的访问。

基本 NAC 组件和进程流 

尝试访问 

网络的设备: 

(受管与不受管的网络用户设 

备和/或访问者设备) 

网络访问 

控制设备: 

(网络路由器或 

交换机) 

隔离 VLAN: 

(用于保护和/或 

修补未遵从和不健康设备的虚拟安全网络区域) 

Security Suite 前提条件 


网络访问决策点/策略服务器: 企业 

网络: 

(评估和执行遵从性安全策略 

的状态验证服务) 

要使用 NAC 功能,必须拥有有效的 Security Suite 许可证(核心服务器激活)。 

(授予给遵从和健 

康的设备的 

网络访问权限) 

NAC 不仅需要“修补程序和遵从性”工具的扫描和修补功能,而且需要订阅 Security Suite 内容,这样才能下载 

漏洞、系统配置威胁和间谍软件定义以及病毒码文件,用于创建自定义遵从性安全策略。 

“修补程序和遵从性”工具的树视图中增加了一个名为“遵从性”的组。具有“修补程序和遵从性”权限的用户可以在 

“遵从性”组中添加和删除安全类型定义。“遵从性”组中包含的安全定义构成遵从性安全策略,在连接设备上进 

行扫描,以确定设备的健康状态。 

有关订阅 Security Suite 内容的详细信息,请参阅安全内容类型和订阅。 

遵从性扫描支持的设备平台 

NAC 服务需在 Management Suite 支持的设备平台上运行,包括以下操作系统: 


Windows 2000 SP4 / 2003 / XP SP1 

Macintosh(10.2 和更高版本) 

141

用户指南 

使用 LANDesk 802.1X NAC 进行基于角色的管理 

网络访问控制依赖以下基于角色的权限。 

“修补程序和遵从性”权限 

如果要查看和访问“修补程序和遵从性”工具,以及要下载需要定义遵从性规则的安全内容更新,需要具有该权 

限。要在“遵从性”组中添加或删除安全定义,需要具有该权限。 

管理员权限 

如果要使用信任代理配置设备,以进行遵从性扫描,以及要在控制台中配置 NAC 服务,需要具有该权限。 

LANDesk 管理员权限意味着具有所有其他权限,包括上面提到的两个与安全有关的权限。 

实现 LANDesk 802.1X NAC 支持 

LANDesk 802.1X NAC 通过要求提供正确的身份验证凭据以及设备的标准活动代理来增强网络访问控制。您 

还可验证设备健康状况是否符合自定义的安全策略以及隔离和修补不健康的设备。 

LANDesk 802.1X NAC 适用于支持 802.1X 标准的所有主流交换机。802.1X Radius 代理可以参与现有的 

AAA(验证、授权和审计)身份管理体系结构对用户和端点进行验证,或者在仅需要端点遵从性验证的环境 

中可以作为独立的 Radius。Radius 代理可为已连接的端点提供基于验证结果的交换机端口访问。 

要了解如何设置、配置和使用 LANDesk 802.1X NAC 支持,请参阅使用 LANDesk 802.1X NAC。 

142

使用 LANDesk 802.1X NAC 

本节介绍如何计划、设置、配置和启用现有 NAC 环境中的 LANDesk 802.1X NAC 支持。 


LANDesk 802.1X NAC 工具设计用于支持和扩展现有 802.1X Radius 服务器实现在网络中的安全。LANDesk 

802.1X NAC 支持为基本的 802.1X 访问控制功能添加身份验证和遵从性功能。 

重要说明:设置 NAC 所需的技术知识和专业技能 

注意,除了基本的核心服务器安装之外,NAC 还需要其他硬件和软件配置。由于此类设置操作具有较强的技术性,因此本 

指南假定您熟悉 802.1X Radius 服务器配置、802.1X 身份验证和健康状况验证,以及高级网络基础结构的设计原理和管 

理。 


使用快速启动任务列表 

LANDesk 802.1X NAC 概述 

了解 802.1X NAC 组件和进程 

网络拓扑和设计注意事项 

设置修补服务器 

设置 802.1X Radius 服务器或代理 

使用 IAS Radius 服务器插件(适用于 MD5) 

使用 Radius 代理(适用于 PEAP) 

将 LANDesk 802.1X NAC 代理部署到受管设备 

配置用于支持 LANDesk 802.1X NAC 的交换机和路由器 

在配置了 LANDesk 802.1X NAC 的受管设备上执行的操作 

排除 LANDesk 802.1X NAC 故障 

设置 LANDesk 802.1X NAC 之后应执行的操作 

完成了上面列出的设置任务之后,实现 NAC 的下一步是:定义遵从性安全策略、将 NAC 设置发布到相应的 

服务器上以及根据需要自定义 HTML 修补页。有关执行这些任务的信息,请参阅定义遵从性安全条件并发布 

NAC 设置。 

此外,要了解其他正在执行的 NAC 管理任务的详细信息,例如:确保 802.1X NAC 服务已启用,使用“允许/ 

限制访问每个人”选项,了解连接设备状态验证时要执行的操作,更新遵从性安全规则和策略并重新发布 NAC 

设置,将未管理设备添加至“未管理设备搜寻”工具,查看受影响的设备,以及配置日志记录,请参阅管理 

802.1X NAC 遵从性安全。 

使用快速启动任务列表 

为了方便起见,可使用此任务核查清单来帮助追踪设置 LANDesk 802.1X NAC 解决方案所需的步骤。请参阅 

LANDesk 802.1X NAC 的“快速启动”任务列表。 

LANDesk 802.1X NAC 概述 

802.1X 是一种用于基于端口的网络访问控制的 IEEE 安全协议。802.1X 通过建立连接或者阻止访问(如果身 

份验证失败)对设备进行身份验证。802.1X 基于 EAP(可扩展身份验证协议),最近已支持 PEAP(受保护 

的可扩展身份验证协议)。它受多数网络交换机的支持,并且可配置为对安装有代理软件的客户端进行身份验 

证。 

143

用户指南 

802.1X NAC 是一种 Radius 代理身份验证和网络访问技术,适用于支持 802.1X 标准的所有主流交换机。通 

过 802.1X NAC,Radius 服务器(具有 EAP IAS 插件的 Microsoft IAS 服务器,或具有 802.1X 代理的 

Radius 服务器)进行状态验证,或者换句话说,检查安全策略遵从性。 

标准 802.1X 身份验证需要一个用户名和密码,以便访问网络。LANDesk 802.1X NAC 还要求在请求网络访 

问的受管设备上安装标准 LANDesk 代理 (CBA),同时确定请求设备符合您自定义的安全策略,以此来对该基 

本模型加以扩展。NAC 通过查找由代理自动创建的唯一设备 ID 来验证代理 (CBA) 是否存在。(注意:如果 

EAP 未能找到设备 ID,它不会尝试执行身份验证。) 

具有 EAP IAS 插件的 802.1X NAC 使用专用的 NAC EAP 代理,该代理位于 IAS Radius 服务器和受管设备 

上。LTA EAP 代理通过代理配置安装在受管设备上。 

除了特定的 802.1X Radius 服务器组件以及所需的交换机和路由器配置之外,您还必须设置修补服务器以实 

现网络访问控制。 

通过 802.1X NAC,Radius 服务器充当网络访问的决策点,与网络交换机配合使用。交换机作为网络访问控 

制设备并将设备身份验证请求转发到 Radius 服务器,后者执行实际的身份验证。取决于 Radius 服务器返回 

到交换机的结果,交换机允许或者拒绝设备访问网络。 

144

了解 802.1X NAC 组件和进程 


本节介绍组成 802.1X NAC 的组件。此外,本节还介绍在启用 NAC 的情况下,设备尝试访问或连接企业网络 

时出现的情况。 

LANDesk 802.1X NAC 解决方案需要以下组件。 

必要的组件 

组件说明 

核心服务器提供“修补程序和遵从性”工具,用于: 

Radius 服务器插件 

或 Radius 代理 

下载安全内容(如操作系统和应用程序漏洞定义、间谍软件定义等) 

定义遵从性条件 

配置修补服务器 

配置 Radius 代理安装 (MSI) 程序包 

配置和发布 NAC 设置(包括用于扫描和修复设备的遵从安全性策略和修补资 

源) 

充当网络访问的决策点。如果希望利用现有 IAS 服务器(或配置新 IAS 服务 

器),请使用 802.1X IAS 服务器插件。 

如果有非 IAS 的 Radius 服务器,或希望使用 PEAP 作为指定的 EAP 类型,请 

使用 Radius 代理方法。 

修补服务器包含通过安全策略标识的所需设置和支持文件(用于扫描设备漏洞的安全类型定 

义、必要修补程序和 HTML 修补页)。 

修补检测到的漏洞,使设备可通过健康和遵从性扫描并可访问网络。 

交换机作为网络访问控制设备并将设备身份验证请求转发到 Radius 服务器,后者执行 

实际的身份验证。 

路由器作为实现遵从性安全策略网络访问设备。 

与尝试访问的连接设备以及评估端点设备状态凭据的 802.1X Radius 服务器进行 

通信。 

也就是说,在 802.1X NAC 环境中,路由器是网络上实现策略的位置,可授予或 

拒绝访问权限。 

设备用户设备,尝试访问企业网络。典型的端点设备包括台式计算机和笔记本电脑, 

但是也可以是打印机等无客户端设备。 

通过 NAC 可以评估这些连接设备的健康状况并根据其状态凭据控制网络访问。 

下面的步骤列表说明当尝试访问网络的设备上安装了 LANDesk 802.1X 代理时,802.1X NAC 环境中各组件 

之间的通信流。 

145

用户指南 

进程工作流 

146 

1. 配置了 LANDesk 802.1X 代理的受管设备首次将尝试访问企业网络。 

2. 网络交换机(针对 802.1X pass-thru 转发配置,并作为访问控制点)会发出 EAP-请求标识到请求设 

备。 

3. 该设备上会出现提示,要求输入用户名和密码。最终用户必须输入有效的登录凭据,该凭据(随添加 

至 EAP-响应数据包的令牌一起)由交换机转发至 Radius 服务器(使用 LTA EAP 插件或 LTA Radius 

代理进行配置,并作为访问决策点)。 

4. 如果已识别出身份验证凭据并且令牌指示该设备已安装了标准代理,则 LANDesk 802.1X NAC 随即运 

行遵从性安全扫描,根据通过自定义安全策略定义的条件确定设备状态或健康状态。该扫描通过遵从 

性扫描任务执行,该任务使用在遵从性页面上启用了执行 802.1X 扫描选项的遵从性设置。 

5. 如果设备是健康设备(或符合安全策略),则授予它访问企业网络的权限 

6. 但是,如果该设备是不健康设备(或不符合安全策略),则仍将保留在隔离 VLAN 中。此时将显示一 

个信息框,通知用户与修补服务器联系的方式,以便执行漏洞评估扫描和修补。设备桌面上创建有修 

补快捷方式。最终用户可以选择是保留在隔离 VLAN 中,还是采取必需步骤来证明自己符合安全策 

略,从而获得访问网络的完全权限。 

7. 修补服务器将通过扫描漏洞及其他安全风险(上述的遵从性规则),并安装所有必需的修补程序来进 

行修补。修复设备后,将重复网络访问权限过程,并授予健康设备访问企业网络的权限。 


通过“修补程序和遵从性”工具,您可以创建和配置特定于遵从性的安全扫描,以便检查目标设备是否符合您自定义的安全策 

略。遵从性扫描基于“遵从性”组中的内容,并且可作为计划任务或策略来运行。有关更新遵从性安全规则和策略以及重新发 

布 NAC 设置的信息,请参阅管理 802.1X NAC 遵从性安全。 

网络拓扑和设计注意事项 

在现有 802.1X Radius 服务器环境中实现 LANDesk 802.1X NAC 支持时,应注意下列问题: 

修补服务器和 Radius 服务器可以安装在同一台计算机上,但是如果出现性能和可伸缩性问题,则可 

以将它们移至各自的服务器计算机上。 

必须对 802.1X pass-thru 转发配置网络交换机。 

路由器需配置两个 VLAN 子网:主要子网是企业/实际网络;辅助子网是隔离网络(例如,802.1X 来 

宾 VLAN)。 

路由器的隔离网络应使用访问控制列表 (ACL) 使设备仅可访问修补服务器。 

核心服务器对于隔离网络应该是不可见的。 

设置修补服务器 

仅当您选择使用 DHCP 隔离网络而不是使用 TCP/IP 自分配 IP 地址的方法来隔离不健康的设备时,才需要设 

置和配置修补服务器。具有自分配 IP 寻址功能的 802.1X NAC 使用内置的 NIC TCP/IP 功能。 

有关详细信息以及具体步骤的说明,请参阅安装和配置修补服务器。



如前所述,LANDesk 802.1X NAC 通过添加身份验证和遵从性功能来增强现有 802.1X NAC 环境的安全性。 

LANDesk 802.1X 需要 802.1X Radius 服务器或 Radius 代理。 

请选择以下一种实现 LANDesk 802.1X NAC 的方法。 



注意:如果指定 EAP 类型 MD5,请使用 IAS Radius 服务器插件。如果指定 EAP 类型 PEAP,请使用 Radius 代理。(如 

果您具备 Radius 服务器而不是 IAS,也可使用 Radius 代理。) 

以下部分提供了两种配置的逐步说明。 

交换机和路由器配置 

设置 Radius 服务器后,还必须为 LANDesk 802.1X NAC 配置网络交换机和路由器。由于交换机和路由器硬件对每个网络 

环境而言具有唯一性,因此在此不提供各类硬件的具体说明。在对 802.1X NAC 配置交换机和路由器时,请按照以上了解 

802.1X NAC 组件和进程和网络拓扑和设计注意事项部分中所述的功能和拓扑要求的基本指导原则进行操作。此外,还可 

转到 LANDesk 支持站点,获取交换机和路由器配置建议和示例配置文件。 


如果希望利用现有 IAS 服务器(或配置新 IAS 服务器)进行 802.1X 身份验证,请使用 802.1X IAS 服务器插 

件。 

以下步骤介绍如何安装(如果必要)IAS 服务器以及使用 EAP 插件配置它。在控制台中启用 802.1X NAC 之 

前,请完成所有步骤。 

第 1 步:安装 Radius 服务器和 LTA EAP 类型 

1. 在希望设置为远程访问 Radius 服务器的服务器上安装 IAS(Internet 身份验证服务器)。您可以使用 

Windows 2003 CD 安装 IAS。(注意:Radius 协议仅受 Windows 2000 和 Windows 2003 支持。)请 

按照安装提示操作。 

2. 在 Radius 服务器上安装 LTA EAP 类型。LTA EAP 是专有身份验证协议。您可以通过核心服务器安 

装 LTA EAP。方法是将一个驱动器映射至核心服务器,然后运行以下目录中名为 LTAEAP.EXE 的可 

执行文件:\LDMain\Install\Radius 目录。 

3. 重新启动服务器,在服务器上注册 LTA EAP。 

注意:您可以在“远程服务器属性”页中验证这种新的 EAP 类型。要执行此操作,请转至管理工具|路由和远程访问。右击远 

程服务器,依次单击属性、安全选项卡、身份验证方法,然后单击 EAP 方法。LTA EAP 类型应该显示在方法列表中。如 

果 LTA EAP 不在该列表中,您需要通过核心服务器来安装它。 

第 2 步:在 Radius 服务器上配置和启动远程访问服务 

1. 单击控制面板|管理工具|路由和远程访问。 

2. 右击服务器,然后单击配置并启用路由和远程访问。此时出现“路由和远程访问服务器设置向导”。 

3. 单击下一步。 

4. 选择自定义配置,然后单击下一步。 

5. 选择拨号访问,然后单击下一步。 

6. 单击完成。 

7. 如果提示,请单击是启动该服务。 

第 3 步:自定义远程访问服务(将 EAP 设置为远程设备首选身份验证方法) 

1. 在路由和远程访问工具中,右击刚配置的服务器,单击属性。 

147

用户指南 

148 

2. 在常规选项卡上,验证远程访问服务器选项处于选中状态。 

3. 在安全选项卡上,选中可扩展身份验证协议 (EAP) 复选框。(您可能希望单击 EAP 方法按钮,以确 

保新的 LTA EAP 方法显示在方法列表中。) 

4. 单击确定退出“身份验证方法”对话框。 

5. 再次单击确定退出“属性”对话框。 

在 Radius 服务器上创建远程访问策略 

需要配置一个使用 EAP 方法进行身份验证的远程访问策略。 

您可以在 IAS 工具或路由和远程访问工具内执行此操作。 

第 1 步:创建远程访问策略 

1. 在远程服务器节点下,右击远程访问策略,然后单击新建。此时出现“远程访问策略”向导。 

2. 单击下一步。 

3. 选择典型作为策略类型,为该策略输入一个名称,然后单击下一步。(注意:输入一个易于标识策略 

的描述性名称。) 

4. 选择以太网作为访问方法,然后单击下一步。 

5. 选择要授予访问权的用户(不是组),然后单击下一步。 

6. 选择 LTA EAP 作为身份验证方法,然后单击下一步。 

7. 单击完成创建远程访问策略。 

第 2 步:将远程访问策略配置为支持有线和无线网络 

1. 右击您刚创建的新远程访问策略,然后单击属性。 

2. 选中授予远程访问权限选项以启用无线支持。 


将网络交换机设置(添加)为 Radius 客户端 

现在,需要添加用于 802.1X 身份验证的网络交换机(作为 Radius 客户端)。 

您可以在 IAS 工具(IAS|Radius 客户端)中执行此任务。 

通过将交换机添加为 Radius 客户端,Radius 服务器可以通过该交换机识别并处理身份验证请求。 

在 Radius 服务器上创建公共用户 

现在,您必须在 Radius 服务器上创建新用户,以便建立登录凭据。此用户的用户名和密码将决定使用 

802.1X NAC 配置并尝试访问网络的受管设备的身份验证凭据。 

使用服务器的“计算机管理”工具执行此任务。 

在 Radius 服务器上创建用户 

1. 在 Radius 服务器上,单击开始|程序|管理工具|计算机管理。 

2. 打开本地用户和组,右击用户,然后单击新建用户。 

3. 输入用户名。 

4. 输入并确认密码。 

5. 使用以下设置配置密码: 

取消选中用户必须更改密码复选框 

选中用户不能更改密码复选框

6. 单击创建。 

选中密码永不过期复选框 

确保已清除帐户已停用复选框 


此处输入的用户名和密码是登录凭据。在 802.1X 身份验证过程中,最终用户必须提供它们才能成功地响应身 

份验证识别请求。然后,凭据随设备 EAP 数据一起发送到 Radius 服务器,以确定该设备是否被授予网络访 

问权限。 

还可在控制台中启用 802.1X NAC。(实现 802.1X NAC 的另一种方法是配置并安装 Radius 代理。有关详细 

信息,请参阅使用 Radius 代理(适用于 PEAP)。) 

使用 IAS Radius 服务器插件启用 LANDesk 802.1X NAC 

完成上述所有设置任务后即可启用 LANDesk 802.1X NAC。 

可以从控制台(工具 > 安全 > 网络访问控制)执行此操作。 

实际上,这样便在网络上启用了 802.1X 身份验证服务。但是,在可以通过 802.1X 身份验证管理并执行受管 

设备的网络访问前,仍然必须使用 802.1X 代理来配置受管设备。请参阅将 LANDesk 802.1X NAC 代理部署 

到受管设备。 

使用 IAS Radius 服务器插件启用 LANDesk 802.1X NAC 

1. 在网络访问控制工具中,右击 802.1X,然后单击配置 802.1X > Radius 服务器。 

2. 选中启用 802.1X Radius 服务器复选框。这样,通过使用已配置 EAP 插件的 IAS Radius 服务器,便 

为网络中具有 802.1X 代理的设备启用了 802.1X 身份验证。 

3. 对于 EAP 类型,选择 MD5。 

4. 选择使用 LTA EAP IAS 插件。 


下一部分介绍如何使用 Radius 代理方法配置 LANDesk 802.1X NAC。 

149

用户指南 


如果希望利用 EAP 类型 PEAP,请使用 Radius 代理。(如果您具备 Radius 服务器而不是 IAS,也可使用 

Radius 代理。) 

802.1X Radius 代理可安装在以下类型的 Radius 服务器上: 

Cisco ACS 

A10 Networks 

CAMS(综合访问管理系统) 

IAS(Internet 身份验证服务) 

与 Radius 服务器软件共存 

802.1X Radius 代理可共存于运行 Radius 服务器软件的服务器上。如果您的 Radius 服务器基于硬件,您应当在单独的服 

务器上安装 802.1X Radius 代理。 

Radius 代理在交换机与安装 802.1X 代理的设备之间通信。代理位于中间,设备通过 Radius 代理进行身份验 

证,代理将 ID 与密码传递到 Radius 服务器。如果代理不是安装在尝试建立连接的设备上,Radius 代理会拒 

绝访问。 

使用 Radius 代理启用 LANDesk 802.1X NAC 

为了使用 Radius 代理,必须启用 LANDesk 802.1X NAC,配置 Radius 代理安装文件的设置,并在 Radius 

服务器上安装 Radius 代理。 

可以从控制台(工具 > 安全 > 网络访问控制)执行此操作。 

实际上,这样便在网络上启用了 802.1X 身份验证服务。但是,在可以通过 802.1X 身份验证管理并执行受管 

设备的网络访问前,仍然必须使用 802.1X 代理来配置受管设备。请参阅将 LANDesk 802.1X NAC 代理部署 

到受管设备。 

150

启用 LANDesk 802.1X NAC 和配置 Radius 代理安装文件 


1. 在网络访问控制工具窗口中,右击 802.1X 对象,单击配置 802.1X,然后单击 Radius 服务器。 

2. 选中启用 802.1X Radius 服务器复选框。这样,当您安装此处配置的 Radius 代理后,便为网络中具 

有 802.1X 代理的设备启用了 802.1X 身份验证。 

3. 对于 EAP 类型,选择 PEAP。 

4. 如果希望验证核心服务器,请选中在代理服务器上启用核心服务器检查复选框。 

5. 选择使用 LTA Radius 代理。 

6. 输入主 Radius 服务器的信息。(如果希望使用备份 Radius 服务器,请同时输入辅助服务器的信 

息。) 

7. 输入 Radius 代理安装文件 (MSI) 的名称。创建的安装文件位于 LDMAIN\Install\Radius 目录下。您可 

以创建多个 Radius 代理服务器安装文件。(注意:Radius 代理在任何 Windows 32 位平台上均受支 

持。) 


安装 Radius 代理 

1. 从要用 802.1X Radius 代理配置的服务器连接到核心服务器,并且浏览至保存代理安装文件的文件 

夹。 

151

用户指南 

152 

2. 双击 MSI 文件执行安装。 

3. 安装完成之后,单击关闭。此安装不必重新启动系统。 

Radius 代理安装会向服务器注册表中添加数据(例如地址和端口信息)。 

在 64 位平台上不受支持 

不要在 Windows 98 或任何 64 位平台上安装 Radius 代理。 

以下部分介绍上述任务引用的对话框。 

关于“802.1X 配置设置”对话框 

使用此对话框来选择修补服务器并将网络访问控制设置发布到该修补服务器,并在网络上启用 802.1X NAC。 

如果使用 IAS Radius 服务器插件,只需启用 Radius 服务器并指定 EAP 类型 (MD5),然后选择 IAS 插件选 

项。 

如果使用 Radius 代理,不仅必须启用 Radius 服务器并指定 EAP 类型 (PEAP),而且还必须配置 Radius 代 

理安装文件,然后将 Radius 代理安装到指定服务器。 

此对话框有两个页面: 

关于“修补服务器”页面 

添加:打开一个对话框,您可在其中指定要用于修补隔离网络中不健康设备的修补服务器。单击“帮 

助”按钮了解有关修补服务器的信息。修补服务器包含所需的设置和支持文件(安全客户端、安全类型 

定义和所需的修补程序以及 HTML 模板页),用于扫描设备上通过安全策略标识的漏洞,并修补(修 

复)任何检测到的漏洞,使设备可以扫描为健康或符合安全策略并访问网络。 

删除:删除所选修补服务器。 

修改:用于编辑所选修补服务器。 

发布:打开一个对话框,您可在其中将 NAC 设置发布到状态验证服务器和修补服务器上。

关于“Radius 服务器”页面 


启用 802.1X Radius 服务器:启用 LANDesk 802.1X NAC 支持(身份验证和遵从性)。 

注意:默认情况下并未选中此选项,这实质上允许对连接的每个设备进行网络访问而不考虑其是否健 

康。如果允许每个人访问网络,则不选中此选项。 

EAP 类型:标识 802.1X 身份验证使用的 EAP 类型。对于 Radius 代理实现,请选择 PEAP。对于 

IAS Radius 服务器插件实现,请选择 MD5。 

使用 LTA EAP IAS 插件:如果希望利用现有 IAS 服务器,请选择此选项。 

使用 LTA Radius 代理:如果希望利用 EAP 类型 PEAP,请选择此选项。选中此选项后,即可配置 

802.1X Radius 代理安装文件。 

Radius 代理:输入主 Radius 服务器的信息。(如果希望使用备份 Radius 服务器,请同时输入辅助 

服务器的信息。) 

Radius 服务器地址:指定 Radius 服务器的 IP 地址。 

Radius 服务器端口:指定 Radius 服务器的端口号。Radius 身份验证的默认端口号为 UDP 

端口 1812。 

共享密钥:指定共享密钥(即共享密码),该密钥为交换机与 Radius 服务器之间的通信提供 

安全。共享密钥是一个文本字符串。此处输入的字符串必须与在交换机和 Radius 服务器上配 

置的共享密钥字符串相匹配。 

Radius 代理端口:指定 Radius 代理的端口号。此端口与交换机通信。请注意,此端口号必须不同于 

上面的 Radius 服务器端口(如果这两个端口在同一台机器上)。 

Radius 代理转发端口:指定 Radius 代理的转发端口号。此端口将数据转发到 Radius 服务器。 

代理安装文件名:标识 Radius 代理安装文件。此安装文件创建在 Install\Radius\ 下的 LDMain 目录 

中。您可以创建多个 Radius 代理安装文件。Radius 代理在任何 Windows 32 位平台上都会受到支 

持。 

153

用户指南 

将 LANDesk 802.1X NAC 代理部署到受管设备 

作为设置 LANDesk 802.1X NAC 支持的最后一步,您必须将 802.1X 代理部署到目标设备。 

这样可启用遵从性扫描,并允许受管设备进行身份验证,从而允许设备访问网络或对设备进行隔离和修补。 

将 802.1X 代理部署到受管设备 

154 

1. 在代理配置工具中,单击新建 Windows 配置,打开安全和遵从性节点,然后单击 LANDesk 802.1X 

支持。 

2. 选中启用 LANDesk 802.1X 支持复选框。 

重要说明:如果尚未在控制台的 NAC 工具中启用 802.1X Radius 服务器,则此选项不可用。 

注意:802.1X NAC 使用在 NAC 工具中指定的 EAP 类型(PEAP 或 MD5)。EAP 类型设置适用于 

整个核心服务器。换言之,使用此代理配置的所有设备都将使用控制台中指定的 EAP 类型进行配置。 

3. 如果使用 EAP 类型 PEAP,请单击配置。

4. 指定以下 PEAP 设置,然后单击确定。 

验证服务器证书:指示来自 Radius 服务器的证书文件可信。 


连接到这些服务器:通过让您识别特定的可信服务器再次进行验证检查。输入用空格分隔的服 

务器名称(全限定 DNS 名称)。 

信任的根证书颁发机构:导入可信证书文件。 

不提示用户为新服务器授权:在最终用户设备上关闭授权提示。 

自动使用 Windows 登录名称和密码:使用 Windows 登录凭据,从而只需输入一次登录信 

息。 

启用快速重新连接:缓存登录凭据,以便在设备超时的情况下可以快速登录。 

5. 在“代理配置”对话框中,选择用于对不健康的设备进行隔离的方法。(可以使用自分配范围内的 IP 地 

址,也可以在隔离网络中使用 DHCP。) 

6. 配置自动隔离时间,其方法是指定在上次对设备执行健康状况扫描时,如果设备被视为不健康,则经 

过多少个小时即将其从企业网络中注销,并置于隔离网络中。 

7. 为将要配置的目标设备指定所需的任何其他设备代理配置设置。 


现在,可将代理配置部署到要使用 LANDesk 802.1X NAC 的目标设备,然后创建遵从性扫描任务,扫描启用 

802.1X 的设备是否遵从您的安全策略。 

155

用户指南 

创建遵从性安全扫描任务 

网络访问控制运行遵从性安全扫描,根据通过自定义安全策略定义的标准确定设备状态或健康状态。 

使用遵从性设置 

遵从性扫描通过遵从性扫描任务执行,该任务使用在遵从性页中启用了强制执行支持 802.1X 的扫描选项的遵 

从性设置。 

使用“修补程序和遵从性”工具(工具 > 安全 > 修补程序和遵从性)创建遵从性安全扫描。有关具体步骤的说 

明,请参阅创建安全和遵从性扫描任务。 


通过“修补程序和遵从性”工具,您可以创建和配置特定于遵从性的安全扫描,以便检查目标设备是否符合您自定义的安全策 

略。遵从性扫描基于“遵从性”组中的内容,并且可作为计划任务或策略来运行。有关更新遵从性安全规则和策略以及重新发 

布 NAC 设置的信息,请参阅管理 802.1X NAC 遵从性安全。 

配置用于支持 LANDesk 802.1X NAC 的交换机和路由器 

LANDesk 802.1X NAC 需要交换机和路由器,以便执行身份验证和遵从性。 

由于交换机和路由器硬件对每个网络环境而言具有唯一性,因此在此不提供各类硬件的具体说明。但是,作为 

配置 LANDesk 802.1X NAC 的交换机和路由器的主要指导原则,需确保它们符合以上部分所述的功能和拓扑 

要求。有关信息,请参阅了解 802.1X NAC 组件和进程和网络拓扑和设计注意事项。 

此外,还可转到 LANDesk 支持站点,获取交换机和路由器配置建议和示例配置文件。 

156




在配置了 LANDesk 802.1X NAC 的受管设备上执行的操作 

当配置了 LANDesk 802.1X NAC 的受管设备尝试连接到网络时,将出现以下过程: 

1. 出现登录提示,要求输入用户名和密码。 

2. 最终用户必须键入正确的身份验证凭据。 

3. 将这些凭据发送到 802.1X Radius 服务器(连同 EAP 数据一起),以便在最终用户的设备上启动遵 

从性安全扫描。 

4. 遵从性安全扫描可根据您自定义的安全策略确定设备是健康(符合安全策略)还是不健康(不符合安 

全策略)。 

如果扫描的设备是健康设备,则授予它访问企业网络的权限。 

或者 

如果扫描的设备是不健康设备,则将其置于隔离网络以进行修补(通过设备桌面上的修补快捷方式),然后重 

新扫描,从而获得对企业网络的访问权限。 

有关身份验证和遵从性过程工作流以及不同组件交互方式的详细说明,请参阅了解 802.1X NAC 组件和进 

程。 

在最终用户设备上手动重置 802.1X 身份验证 

如果即使您认为已输入正确的登录凭据,身份验证仍然失败,您可以手动重置局域网卡,以便强制进行其他身份验证尝试。 

在受管设备上,单击开始|LANDesk|802.1X 重置。 

当运行 802.1X 重置选项时,确保首先关闭任何打开的 Windows 弹出对话框,否则将不会显示登录对话框。如果登录对话 

框消失过快,则很可能是由于 LINK-3-UPDOWN 状态超时导致,而您需要做的仅仅是再次尝试 802.1X 重置功能。 

排除 LANDesk 802.1X NAC 故障 

本节包含有关使用 LANDesk 802.1X NAC 时可能会遇到的某些问题以及如何解决这些问题的信息。 

计划的遵从性安全扫描任务返回“连接丢失”状态 

如果计划的 802.1X 遵从性安全扫描任务返回表示目标设备“连接丢失”或“任务失败”的状态,则可能是因为在 

计算机重新启动时向核心服务器发送了任务状态。如果您看到此状态,可检查目标设备以确认是否已隔离该设 

备。 

使用 Huawei 交换机时,显示多个 802.1X 登录提示 

当使用第 2 层 Huawei 交换机(H3C S3900 系列)时,如果设备显示一个以上的 802.1X 登录提示,而最终 

用户没有输入正确的凭据就取消或关闭了其中一个提示,则会取消 802.1X 身份验证过程。在这种情况下,用 

户必须在每个登录提示中输入正确的凭据。如果身份验证已取消,则使用 802.1x 重置菜单选项以重新启动身 

份验证过程。 

使用 Windows XP SP2 设备时,修补后初始身份验证失败 

如果对一个运行 Windows XP SP2 的不健康的最终用户设备进行修补后,随后的身份验证尝试失败,则可以 

使用 802.1X 重置菜单选项重新启动身份验证过程,并成功访问企业网络。 

如果 Radius 服务器不可用,则设备无法进行身份验证 

如果 802.1X Radius 服务器不可用来与最终用户设备上的 LTA EAP 代理进行通信,虽然该设备会置于隔离网 

络中,但由于它没有正确的配置,因此不能进行修补。必须等到 Radius 服务器可用为止,然后在设备上使用 

802.1X 重置菜单选项重新启动身份验证过程。 

802.1X 仅设计用于在台式机上使用 

服务器平台上不支持 802.1X。 

157

用户指南 

安装和配置修补服务器 

网络访问控制 (NAC) 需要使用修补服务器修复易受攻击或受感染的设备。确定属于不健康状态的设备发送到 

修补服务器上进行修补(修复),以便满足为健康状态设置的遵从性规则。 

修补服务器是发布修补资源的位置,这些资源包括:安全客户端(扫描设备上的漏洞及其他安全风险)、修补 

程序文件,以及显示在设备上的为修补或受限网络访问权限提供选项的 HTML 页。 


158 

"修补服务器前提条件" 在页面 158 

"确定服务器在网络上的位置" 在页面 158 

"在修补服务器上创建和配置 Web 共享" 在页面 158 

"在控制台中配置(添加)修补服务器" 在页面 159 

"后续步骤:发布修补基础结构文件至修补服务器" 在页面 161 

修补服务器前提条件 

要设置为修补服务器的计算机必须符合下列系统要求: 

修补服务器可以是任意类型的 Web 服务器。例如:Windows 上的 IIS 或 Linux 上的 Apache。 

必须在修补服务器上创建一个 Web 共享,该 Web 共享具有匿名访问权限并且启用了读取权限和浏览 

权限。有关详细说明,请参阅 "在修补服务器上创建和配置 Web 共享" 在页面 158。 

如果正在 Linux 上使用 Apache Web 服务器,则创建的共享必须为 Samba 共享。 

确定服务器在网络上的位置 

在确定网络上的修补服务器的位置时,应遵从以下原则。 

修补服务器可以放在路由器的任意一侧。 

如果选择将修补服务器放在路由器的客户端一侧,则会更加安全,因为这样不必在路由器规则中创建 

任何例外,但是在每次更改修补文件时,将必须手动将所有修补文件传递到计算机上。 

如果将修补服务器放在路由器的另一侧,因为隔离计算机将访问网络上的计算机,所以可能存在安全 

风险,但是可以将修补文件推送到计算机上,而不必传递到计算机上。 

从修补 VLAN 上必须可以看见修补服务器。 

网络上可以包含多个修补服务器。 

您可以在概述部分查看 LANDesk 802.1X NAC 的组件位置和进程工作流的图示。 

在修补服务器上创建和配置 Web 共享 

此步骤可使用脚本自动执行,脚本位于核心服务器上,您可以从希望设置为修补服务器的计算机上运行该脚 

本。 

在修补服务器上创建的 Web 共享充当修补程序可执行文件(用于修补受影响设备上的漏洞)的存储区域。从 

核心服务器发布基础结构文件或修补资源(即安全客户端、修补程序文件和 HTML 文件)时,这些文件将复 

制到此 Web 共享中。 

注意:此 Web 共享的名称必须为 LDLogon。可以在 Web 服务器的任意位置创建该共享。常用路径为: 

C:\Inetpub\wwwroot\LDLogon。只要 URL 重定向配置为转至以下位置,就可以在任何路径上创建此共享: 

http://servername/LDLogon。 

在运行脚本以创建和配置 Web 共享之后,必须在控制台中添加修补服务器并指定共享路径(有关详细说明, 

请参阅 "在控制台中配置(添加)修补服务器" 在页面 159)。这就可确保核心服务器将修补资源发布至修补 

服务器上的正确位置。

运行修补服务器配置脚本 

1. 从希望设置为修补服务器的计算机上,将某个驱动器映射到核心服务器的 

LDMain\Install\TrustedAccess\RemediationServer 文件夹。 

2. 双击 CONFIGURE.REMEDIATION.SERVER.VBS 安装脚本。 

修补服务器配置脚本将通过以下方式自动配置执行修补的服务器: 


创建名为 LDLogon 的 Web 共享(通常)位于:c:\inetpub\wwwroot\LDLogon。 

启用具有读、写和浏览权限的 LDLogon 共享匿名访问。 

为 .lrd 文件添加新的 MIME 类型,然后将其设置为 application/octet-stream (application/binary)。 

注意:您也可以使用 Microsoft IIS 工具手动配置 LDLogon 共享的访问权限和 MIME 类型。 

此时就可以在控制台中添加修补服务器。 

在控制台中配置(添加)修补服务器 

设置了修补服务器之后,必须在控制台中使用配置修补服务器对话框配置修补服务器并将其添加到有效修补 

服务器列表中。这样,可以在网络上识别该修补服务器,并且可以正确地与其他 NAC 组件进行通信。 

在控制台中配置和添加修补服务器 

1. 在网络访问控制工具窗口中,右击 802.1X,然后单击配置 802.1X。 

2. 在修补服务器页上,单击添加。随即显示修补服务器名称和凭据对话框。 

159

用户指南 

160 

3. 输入修补服务器的服务器名称和 IP 地址。 

4. 输入要将遵从性文件发布到的 Web 共享的路径(在设置为修补服务器的 Web 服务器上)。Web 共享 

的名称必须为 LDLogon。遵从性文件是一些安全定义文件,定义遵从性安全策略(即“修补程序和遵 

从性”中遵从性组的内容)和修补检测到的漏洞所需的修补程序文件。 

您可以输入 UNC 路径或映射驱动器路径。使用 UNC 路径是最可靠的方法,因为驱动器映射可能会更 

改(请参阅以下说明)。可以单击“浏览”按钮浏览到修补服务器上要将遵从性文件发布到的共享。 

重要说明:如果在“复制遵从性文件的位置”字段中输入本地路径或映射驱动器,文件将发布到本地计 

算机上或启动发布操作的计算机的指定映射驱动器上。为了确保遵从性文件发布到网络上每个修补服 

务器的相同位置,我们建议使用网络共享的 UNC 路径。 

5. 输入有效的用户名和密码以访问修补服务器。 

6. 如果已配置多个修补服务器,则可以从下拉列表中选择后备修补服务器。 

7. 如果希望在其他网络上配置修补服务器,则对于需要在可信网络间移动的设备,请生成安装程序包 

(MSI)。

8. 单击确定,将此修补服务器添加到列表中。 

只要已配置了状态验证服务器和用户凭据,此时就可以将修补基础结构文件发布到服务器上。 

关于“修补服务器名称和凭据”对话框 


使用此对话框可以确定修补服务器,以及修补服务器上用于发布修补资源(安全客户端、修补程序文件和 

HTML 页)的 Web 共享的路径。 

修补服务器名称或 IP 地址:通过其 IP 地址或主机名来标识修补服务器。 

复制遵从性文件的位置:指定修补服务器上 Web 共享的完整路径,遵从性文件将从核心发布到该路 

径。Web 共享的名称应为 LDLogon。此路径可以是 UNC 路径或映射的驱动器路径(或本地路径)。 

建议使用 UNC 路径(请参阅上文的重要说明)。 

浏览:打开本地 Windows 资源管理器窗口,浏览到修补服务器的 LDLogon 共享。 

用户名:标识对修补服务器上的 Web 共享拥有访问凭据的有效用户名。 

密码:标识用户密码。 

确认密码:验证用户密码。 

确定:保存修补服务器设置,然后将该服务器添加到“配置修补服务器”对话框的列表中。 

选择后备修补服务器:如果已配置多个修补服务器,则可以从下拉列表中选择后备修补服务器。 

生成漫游客户端的修补 MSI 程序包:对于需要移至其他可信网络的设备,使用此选项可以创建安装程 

序包 (MSI),以便于在其他网络上配置修补服务器。 

取消:关闭对话框但不保存此设置,并且不将该服务器添加到修补服务器的列表中。 

后续步骤:发布修补基础结构文件至修补服务器 

安装和配置修补服务器的下一步是向修补服务器发布来自核心服务器的修补基础结构的重要资源。这些修补基 

础结构资源包括: 

安全客户端(漏洞扫描器实用程序) 

与“遵从性”组中包含的漏洞关联的修补程序 

提供链接的 HTML 页,这些链接允许最终用户:安装信任代理、执行遵从性安全扫描并修补检测到的 

漏洞和其他安全问题。 

必须先在“修补程序和遵从性”工具中定义遵从性安全条件,然后才能将其发布至服务器。 

有关这些任务的信息,请参阅 "定义遵从性安全条件并发布 NAC 设置" 在页面 162。 

161

用户指南 

定义遵从性安全条件并发布 NAC 设置 

在环境中设置 LANDesk 802.1X NAC 支持后,可以执行以下遵从性安全管理任务。 

LANDesk 802.1X NAC 需要的其他服务器 

对于网络访问控制,应预先设置修补服务器并在控制台上进行配置(或添加)。对于 802.1X NAC,还应具备 802.1X 

Radius 服务器。有关详细信息,请分别参阅 "安装和配置修补服务器" 在页面 158 和 "设置 802.1X Radius 服务器或代理" 

在页面 147。 


162 

"在“修补程序和遵从性”工具中定义遵从性安全条件" 在页面 162 

"使用“遵从性”组定义遵从性安全策略" 在页面 162 

"发布 NAC 设置" 在页面 163 

"使用“修补”页面" 在页面 166 

"“自定义修补”页面" 在页面 167 

其他遵从性安全管理任务 

要了解遵从性扫描和其他 NAC 管理任务的详细信息,例如:更新状态验证服务器上的遵从性安全规则和策 

略,更新修补服务器上的修补资源,将未管理设备添加至“未管理设备搜寻”工具,查看受影响的设备,配置日 

志记录,请参阅 "管理 802.1X NAC 遵从性安全" 在页面 169。 

在“修补程序和遵从性”工具中定义遵从性安全条件 

遵从性安全条件通过下列因素定义: 

“修补程序和遵从性”工具的遵从性组中的安全内容。 

和 

已在代理配置的 LANDesk 802.1X 支持页面上指定的自动隔离时间设置。 

对于上述各任务,可参阅以下相应的步骤列表。请参阅 "使用“遵从性”组定义遵从性安全策略" 在页面 162 和 " 

发布 NAC 设置" 在页面 163。 

关于安全内容的订阅 

必须订阅 LANDesk Security Suite 内容,以便下载各种“类型”的安全内容,如应用程序和操作系统漏洞定义 

(以及所需的修补程序)、间谍软件定义、阻止的应用程序定义、病毒定义和系统配置安全威胁定义等。 

如果没有 Security Suite 许可证,则不能访问 Security 服务,也不能使用那些安全定义来定义遵从性安全。 

下载安全类型定义 

使用“修补程序和遵从性”工具下载不同的安全类型定义,如漏洞定义、间谍软件定义、防病毒定义和安全威胁 

定义。有关使用“修补程序和遵从性”下载功能的详细信息,请参阅 "下载安全内容" 在页面 31。 

使用“遵从性”组定义遵从性安全策略 

如上面所述,“遵从性”组的内容决定遵从性安全策略的基本信息。您可以拥有只包含一些漏洞和安全威胁定义 

的最低遵从性安全策略,也可以创建由多个安全定义组成的复杂、严格的安全策略。还可以通过在“遵从性”组 

中添加和删除定义来随时修改遵从性安全策略。 

需要拥有“修补程序和遵从性”权限 

只有管理员或拥有“修补程序和遵从性”权限的用户才可以在“遵从性”组中添加或删除定义。

下列安全内容类型可以添加到“遵从性”组,以定义遵从性安全策略: 

防病毒定义 

用户自定义 

驱动程序更新定义 

LANDesk 软件更新定义 

安全威胁定义(包括防火墙定义) 

软件更新定义 

间谍软件定义 

漏洞(操作系统和应用程序漏洞)定义 

注意:不能将阻止的应用程序的定义添加到“遵从性”组,以定义遵从性安全策略。 

添加安全定义到“遵从性”组 


1. 在修补程序和遵从性工具中,从类型下拉列表选择要添加到遵从性安全策略中的安全内容的类型,然 

后将定义从项目列表中拖放到遵从性组。 

2. 或者,可右击单个定义或选定的定义组,然后单击添加到遵从性组。 

3. 确保在所有必需的相关修补程序下载之后,再向状态验证服务器和修补服务器发布 NAC 内容。可右 

击一个定义、选定的定义组或遵从性组本身,然后单击下载相关修补程序,下载必要的修补程序以修 

补受影响的设备。 

发布 NAC 设置 

发布 NAC 设置可将为实施状态验证过程和遵从性安全所必需的信息和资源发送给状态验证服务器和修补服务 

器。 

为从控制台发布 NAC 设置,至少必须配置一台修补服务器和已配置的用户凭据。 

初始发布必须包括所有设置 

首次将 NAC 设置发布到状态验证服务器和修补服务器时,必须包括所有 NAC 设置,包含:NAC 内容和基础结构的文件 

(有关这些文件的详细信息,请参阅下列内容)。后续发布可以仅包括 NAC 内容或遵从性规则。通常,只需将基础结构文 

件向修补服务器发布一次。 

发布 NAC 设置 

1. 可以从“网络访问控制”工具的多个位置访问发布 NAC 设置对话框并发布设置。例如,可右击网络访问 

控制对象或遵从性组,然后单击发布。也可在配置 NAC 和配置修补服务器对话框中找到发布按钮。 

163

用户指南 

164 

此外,还可单击发布 NAC 设置工具栏按钮。 

2. 要一次将所有 NAC 设置(包括 NAC 内容和基础结构文件)发布到所有状态验证服务器和修补服务 

器,请选中全部复选框,然后单击确定。 

3. 如果只将 NAC 内容(安全定义、NAC 设置或遵从性规则、以及相关修补程序)发布到状态验证服务 

器和修补服务器,可选中 NAC 内容复选框,然后单击确定。 

4. 如果只将基础结构文件(安全客户端扫描器、信任代理安装程序和 HTML 页)发布到修补服务器,可 

选中基础结构复选框,然后单击确定。(通常,只需将基础结构文件发布到修补服务器一次。) 

关于“发布 NAC 设置”对话框 

使用此对话框可将 NAC 设置发布到状态验证服务器,并将修补设置(资源)发布到网络上的修补服务器。 

全部:将 NAC 内容和基础结构文件发布到相应的服务器。 

NAC 内容:将在“修补程序和遵从性”工具中定义的 NAC 内容和设置发布到已添加至网络上的所有状 

态验证服务器和修补服务器。 

重要说明:要发布 NAC 内容,网络中必须至少具有一台状态验证服务器。 

NAC 内容包含当前驻留在“修补程序和遵从性”工具的遵从性组中的漏洞和其他安全内容类型定 

义、以及健康状态和不健康状态设置、日志记录级别等 NAC 设置,这些设置在配置 NAC 设 

置对话框中定义。安全定义、健康状态和不健康状态的设置以及日志记录级别发布到状态验证 

服务器,而相关的修补程序文件则发布到修补服务器(视发布时“遵从性”组中的内容而定)。 

(注意:如果更改了遵从性组中的内容或配置 NAC 对话框中的 NAC 设置,则必须将数据重 

新发布到服务器。) 

基础结构:将下列修补资源发布到所有添加到网络的修补服务器。 

设置和支持文件:设置和支持文件说明安全客户端扫描器和信任代理安装。安全客户端扫描器 

对设备进行安全扫描和修补。 

HTML 页:表示由修补服务器提供给设备的模板 HTML 页,这些设备安装了可信代理并试图 

访问企业网络。这些页面告知最终用户要获得网络的有限访问权限所需执行的操作,或者通知 

最终用户修补计算机以符合安全策略,从而获得完全的网络访问权限。这些 HTML 页是可以修


改的模板。(注意:通常,只需将基础结构文件向修补服务器发布一次。与 NAC 内容(遵从性 

标准)不同,您不必每次更改遵从性安全策略后都重新发布这些文件。) 

165

用户指南 

使用“修补”页面 

NAC 修补页是在控制台中使用“发布 NAC 设置”工具发布到修补服务器的 HTML 文件。这些修补页是修补基础 

结构文件的一部分。通常,只需将这些文件向修补服务器发布一次。 

HTML 文件位于核心服务器上的下列文件夹中: 

ManagementSuite\Install\TrustedAccess\RemediationServer 

这些 HTML 页只是模板,应对其进行修改以满足您自己的遵从性安全需求。有关如何自定义 HTML 页的信 

息,请参阅 "“自定义修补”页面" 在页面 167。 

以下部分介绍每个 HTML 页的作用。 

“健康状态”页面 

此 HTML 页用于通知连接设备的企业最终用户已经对设备状态进行评估,根据遵从性安全凭据,确定设备处 

于健康状态,并且已获得对企业网络的完全访问权限。 

此 HTML 页的名称是:Healthy.html 

健康状态页只有在设备从不健康状态转换到健康状态时才能看见。它不会每次都将设备显示为健康状态。 

配置修补服务器时,应将修补服务器上此页面的 URL 应输入正常 URL 字段中。 

“第一次访问者状态”页面 

此 HTML 页用于通知企业网络访问者,已在网络上实施了遵从性或网络访问控制安全,访问者在被允许访问 

企业网络之前可以选择浏览 Web(仅 Internet 访问)或对其计算机进行漏洞或其他安全风险扫描并在必要时 

进行修补。此 HTML 页提供了链接,仅允许 Internet 访问,或允许访问者下载和安装必要的软件以进行遵从 

性扫描和修补,从而使其设备可具有网络的完全访问权限。 

此页的名称为:Visitor.html 

该页提供的链接可使用户仅获得 Internet 访问权限,也可允许用户下载并安装信任代理及修补所需的软件,以 

便修复、重新扫描设备及允许设备对网络进行完全访问。 

配置修补服务器时,应将修补服务器上此页面的 URL 输入第一次访问者的 URL 字段中。 

“不健康员工状态”页面 

此 HTML 页用于通知连接设备的最终用户,他们的设备已扫描但不满足一个或多个遵从性安全凭据,设备被 

认为是不健康的并且已被拒绝访问网络。网络管理员应自定义此 HTML 页,以便页面可以显示设备上检测到 

的漏洞或其他安全隐患,并提供如何进行修补的详细说明。一旦设备经过修复,最终用户必须再次登录到网络 

才能被允许访问。 

此页的名称为:FailedEmployee.html 

配置修补服务器时,应将修补服务器上此页面的 URL 输入员工失败后要连接的 URL 字段中。 

“不健康访问者状态”页面 

此页面用于通知企业网络访问者,他们的设备已扫描但不满足一个或多个遵从性安全凭据,且已被拒绝访问网 

络。和员工不健康状态页一样,网络管理员可以自定义此 HTML 页,以便页面可以显示设备上检测到的漏洞 

或其他安全隐患,并提供如何进行修补的详细说明。一旦设备经过修复,访问者应单击现在其桌面上显示的 

“网络访问安全扫描”图标。 

此页的名称为:FailedVisitor.html 

配置修补服务器时,应将修补服务器上此页面的 URL 输入访问者失败后要连接的 URL 字段中。 

166

“自定义修补”页面 


如前所述,HTML 修补页只是模板,您可以手动编辑和修改以满足特定的遵从性安全要求和策略。 

您可以使用选择的 HTML 编辑器来修改 HTML 文件。您可以修改现有文本以提供专用于企业网络的附加有用 

信息,并为遵从性安全策略中所包含的安全定义(即“修补程序和遵从性”工具的遵从性组中所包含的定义)添 

加 HTML DIV 部分。 

请记住,在核心服务器上的 HTML 文件已发布到修补服务器之后,如果对该文件进行更改,则必须将文件重 

新发布到修补服务器,然后才能提供给连接设备(在发布 NAC 设置对话框中选择基础结构组下的 HTML 

页)。 

添加 DIV 部分以动态显示修补失败的安全定义 

这对于企业最终用户和网络访问者尤其有用,因为如果您自定义“失败”(或不健康)页,用户便可以准确地了 

解计算机存在的安全问题及需要采取什么具体措施才能解决问题,从而可以重新扫描设备、将设备评估为健康 

并授予设备对网络的完全访问权限。 

当安全扫描器的修补工具不能修复检测到的漏洞时,这些页面用于动态地显示其相关内容。也就是说,当扫描 

最终用户设备时,如果检测到漏洞或其他安全隐患(如系统配置安全威胁、间谍软件等)且修复作业失败,则 

只要系统管理员为安全定义添加了 DIV 部分(参阅下面的 DIV 部分示例),失败(或不健康)HTML 页就可 

以显示那些由唯一 ID 号所标识的特定安全定义以及其他附加信息,从而指导用户如何解决相关问题。如果安 

全定义的修补失败,且该定义的 HTML 文件中没有相应的 DIV 部分,则最终用户设备的浏览器中将不显示任 

何有关该定义的信息。 

自定义 HTML 页 

1. 在 HTML 编辑器中打开 HTML 文件。 

2. 编辑任何现有样板文本以提供详细信息,该信息即为您希望最终用户(企业员工和访问者)登录到企 

业网络时看到的信息。 

3. 对于失败的 HTML 页,请在 HTML 代码中为已置于“遵从性”组(定义遵从性安全策略)中的安全内容 

定义添加新的 DIV 部分(使用示例 DIV 部分作为模型)。 

并不需要为每个安全定义添加 DIV 部分,但如果检测到安全隐患且安全扫描未修复此隐患,则只有那 

些在 HTML 文件中有 DIV 部分的定义才能显示。请参阅下面的示例 DIV 条目。 

您可以添加修复安全问题所需的步骤、软件下载站点的链接以及您认为有助于最终用户解决问题的任 

何其他信息。 

4. 保存更改。 

5. 将修改后的 HTML 页重新发布到修补服务器。 

167

用户指南 

失败(不健康)HTML 文件中的示例 DIV 条目 

以下是当设备未能通过遵从性安全扫描且被确定为不健康时,浏览器中将显示的文本示例。本示例基于失败的 

HTML 文件中现有的样板文本,并描述了两个无法修补的安全定义: 

第 1 步:单击“开始” 

第 2 步:单击“控制面板” 

第 3 步:打开“自动更新” 

第 4 步:单击“自动” 

第 5 步:单击“确定” 

168 

自动 Windows 更新 (ST000003): 

无防病毒软件 (AV-100):单击此处安装 Symantec Anti-Virus Client 

以下是该示例的实际 HTML 代码: 

 

 

 

 

第 1 步:单击“开始” 

第 2 步:单击“控制面板” 

第 3 步:打开“自动更新” 

第 4 步:单击“自动” 

第 5 步:单击“确定” 

 

 

 

 

 

无防病毒软件 (AV-100):单击此处安装 Symantec Anti- 

Virus Client 

 

 

查找和插入定义 ID 

安全定义在 HTML 文件中由以下代码标识: 

 

其中“ttip”表示安全定义的实际 ID。在“修补程序和遵从性”的定义属性页上可以找到定义的 ID。按定义的属性 

中显示的 ID 准确输入。 

如果此特定安全定义的修补失败,则 DIV 部分的内容将动态显示在最终用户的浏览器上并向最终用户提供修 

复此问题的有用信息(在您已输入的范围内)。

管理 802.1X NAC 遵从性安全 


在设置 LANDesk 802.1X NAC 支持和定义遵从性安全策略后,即可使用本节后续部分所述的遵从性安全管理 

任务。 


"确保网络上已启用 LANDesk 802.1X NAC 支持" 在页面 169 

"定义所需级别的遵从性安全" 在页面 170 

"修改和更新遵从性安全策略" 在页面 170 

"查看不符合条件的设备" 在页面 171 

确保网络上已启用 LANDesk 802.1X NAC 支持 

当符合下列“所有”条件时,表示已启用 LANDesk 802.1X NAC 支持: 

网络控制设备已正确设置和配置,并且正在运行必要的服务。(对于 802.1X NAC,这就是网络交换 

机和 802.1X Radius 服务器。) 

具有必要权限的用户可以访问控制台中的“修补程序和遵从性”工具。(还必须订阅有效的 Security 

Suite 内容,才能下载安全内容。) 

“遵从性”组至少包含一个安全内容定义。“遵从性”组的内容是定义遵从性安全策略的主要要素,可以 

包括操作系统和应用程序漏洞、间谍软件、防病毒软件、软件更新、自定义定义和系统配置安全威 

胁。如果“遵从性”组为空,则没有可检查的安全凭据,状态验证无法进行,NAC 也无法实现。 

至少要正确设置并配置一个修补服务器,并将修补资源从核心服务器发布到该服务器上。(修补资源 

包括:安全客户端或漏洞扫描器实用程序、与“遵从性”组中包含的漏洞关联的修补程序以及提供下列链 

接的 HTML 页:安装信任代理、执行遵从性安全扫描并修补检测到的漏洞和其他隐患。) 

以及 

169

用户指南 

170 

必须选中 802.1X 配置对话框中的启用 802.1X Radius 服务器选项。 

定义所需级别的遵从性安全 

如果符合上面列出的所有条件,表示网络上运行的是 LANDesk 802.1X NAC 支持。 

注意:请记住,LANDesk 802.1X NAC 设计用于支持和扩展现有 802.1X Radius 服务器实现在网络中的安全。LANDesk 

802.1X NAC 支持为基本的 802.1X 访问控制功能添加身份验证和遵从性功能。 

当然,服务本身很灵活,可以使用“例外列表”和“允许每个用户”等选项自定义 NAC 如何处理设备。还可以通过 

放入“遵从性”组中的安全内容定义数目和准确的安全内容定义以及指定遵从性安全扫描在多少个小时后自动在 

连接的设备上运行,从而控制安全级别。 

通过调整这些选项和策略条件,可以定义非常严格的复杂安全策略,也可以定义简单的宽松安全策略,或之间 

的任意级别。也就是说,可以自定义连接设备能够符合所指定安全条件的难易程度。 

最重要的是,可以随时更改遵从性安全策略的特性,以满足不断变化的环境和要求。请记住,任何时候只要更 

改了遵从性安全条件(例如,“修补程序和遵从性”的遵从性组中的内容),就需要将 NAC 设置重新发布到状 

态验证服务器和修补服务器。有关信息,请参阅 "发布 NAC 设置" 在页面 163。 

修改和更新遵从性安全策略 

您可以随时修改和更新遵从性安全策略。

通过更改“修补程序和遵从性”工具的遵从性组中的内容可完成此类操作。 


随后必须向状态验证服务器和修补服务器重新发布 NAC 内容。请记住,发布 NAC 内容可向状态验证服务器 

发送 NAC 设置和遵从性规则,以及向修补服务器发送任何关联的修补程序;而发布基础结构文件则可向修补 

服务器发送设置和支持文件(包括安全客户端扫描器、信任代理安装和 HTML 模板页面)。(注意:通常,只 

需将基础结构文件向修补服务器发布一次。与 NAC 内容不同,您不必在每次更改遵从性安全策略后都重新发 

布这些文件。) 

有关信息,请参阅 "在“修补程序和遵从性”工具中定义遵从性安全条件" 在页面 162。 

查看不符合条件的设备 

当要查看哪些设备已经过状态验证并被发现不健康或不具备遵从性时, 

1. 在“修补程序和遵从性”工具中,单击未遵从的计算机工具栏按钮。 

2. 或者,右击遵从性组,然后单击受影响的计算机。 

3. 即会显示列出未遵从设备的对话框。 

4. 可以选择列表中的设备以查看安全定义,根据此定义可确定设备是否易受攻击或者未遵从此定义。 

171

用户指南 

LANDesk 802.1X NAC 的“快速启动”任务列表 

使用此任务列表可以完成所需的计划、设置和配置任务,从而在网络上实现 802.1X NAC 支持。 

可以打印此任务列表,在实现过程中通过此任务列表追踪每个步骤。如果联机查看此任务列表,可以单击有 

关详细信息链接查看有关特定任务的详细信息。 

172 

完成任务有关详细信息,请参阅 

前提条件:网络上必须安装并运行核心服务器,并使 

用 Security Suite 许可证和安全内容订阅激活: 

安装核心服务器 

使用 Security Suite 许可证激活核心服务器 

以“管理员”用户身份或具有“安全”权限(允许 

下载安全内容并将其复制到“遵从性”组)的用 

户身份登录 

设置修补服务器: 

在一台独立的服务器计算机上, 

运行 

CONFIGURE.REMEDIATION.SERVER.VBS 

安装脚本,该脚本位于: 

\LDMain\Install\TrustedAccess\Remediation 

Server 

注意:该脚本可通过以下方式自动配置服务 

器以执行修补操作: 

通常创建名为 LDLogon 的 Web 共享(位 

于:c:\inetpub\wwwroot\LDLogon) 

启用具有读和浏览权限的对 LDLogon 共享的 

匿名访问 

为 .lrd 文件添加新的 MIME 类型并将其设置 

为 application/octet-stream 

在控制台中配置(添加)修补服务器: 

在网络访问控制中,右击 802.1X,单击配置 

802.1X,单击修补服务器,然后单击添加 

输入修补服务器的 IP 地址、LDLogon Web 

共享的 UNC 路径(修补服务器上所创建的文 

件发布位置)和用户访问凭据,然后单击确 

定 

将 NAC 设置发布到修补服务器: 

在网络访问控制中,右击 802.1X,单击发布 

NAC 设置,选择全部,然后单击确定 

注意:初始发布过程必须包括所有的 NAC 设 

置;后续的发布过程可以只包括遵从性内容 

有关使用“修补程序和遵从性”工具的信息, 

请参阅修补程序和遵从性 

有关 802.1X NAC 组件和进程工作流的信 

息,请参阅了解 802.1X NAC 组件和进程。 

有关 802.1X NAC 实现的网络拓扑和设计注 

意事项的信息,请参阅网络拓扑和设计注意 

事项。 



发布 NAC 设置



使用“修补程序和遵从性”工具定义遵从性安全条件: 

在控制台的修补程序和遵从性工具中, 

下载安全内容定义和修补程序 

将安全定义添加到遵从性组以便定义遵从性 

安全策略 

确保相关的修补程序已下载并可用于部署 

创建执行 802.1X 支持的扫描的遵从性设置 

(802.1X NAC 遵从性策略还可通过设备代理 

配置中的自动隔离时间设置进行定义。) 

在控制台中启用 802.1X NAC 支持和配置 802.1X 

Radius 服务器或代理: 

在网络访问控制中,右击 802.1X,单击配置 

802.1X,单击 Radius 服务器,首先确保选 

中启用 802.1X Radius 服务器选项,选择 

EAP 类型,然后选择使用 LTA EAP IAS 插件 

或 LTA Radius 代理(需要配置代理设置)。 

将 802.1X 代理安装到受管设备以启用遵从性扫描: 

(注意:当部署 802.1X 代理时,您必须指定不健康设 

备的隔离网络寻址方法。可通过自分配 IP 地址范围 

或隔离网络中的 DHCP 进行隔离网络寻址。可在路 

由器上配置此寻址方案。) 

对于受管员工设备: 

如果他们已经有标准 LANDesk 代理,则启用 

具有新的设备代理配置的 802.1X 支持 

或者,如果他们没有标准代理,则启用具有初 

始代理配置的 802.1X 支持 

或者,在 UDD 中的设备上启用具有代理配置 

的 802.1X 支持 

对于未管理员工设备: 

通过使用标准代理 (wscfg32.exe)“拉” 

或者使用自包含的代理配置来启用 802.1X 支 

持 

配置网络交换机用于 802.1X 验证、隔离和修补: 

请转到支持网站以获取建议和示例配置 

配置网络路由器以提供实际网络和 802.1X 隔离网络 

之间的安全: 

请转到支持网站以获取建议和示例配置 

确保身份验证和状态验证过程运行正常: 

通过将配置有 LANDesk 802.1X NAC 支持的 

在“修补程序和遵从性”工具中定义遵从性安 

全条件 


将 LANDesk 802.1X NAC 代理部署到受管 

设备 

配置用于支持 LANDesk 802.1X NAC 的交 

换机和路由器 

配置用于支持 LANDesk 802.1X NAC 的交 

换机和路由器 

173

用户指南 

174 


设备连接至网络以尝试对 802.1X NAC 执行 

简单测试。 

执行实时遵从安全管理任务: 

确保已启用 802.1X NAC 支持 

了解连接设备在进行状态验证时发生的事件 

查看不符合条件的设备 

修改和更新遵从性安全策略 

添加未管理设备 

配置和查看遵从性日志记录 

管理 802.1X NAC 遵从性安全 

要返回 LANDesk 802.1X NAC 的主要部分,请参阅使用 LANDesk 802.1X NAC。

代理观察器 


代理观察器允许您主动监视选定的 LANDesk Management Suite 代理服务和文件的状态,从而确保其完整性 

并保留受管设备上的适当功能。可以采用初始设备代理配置启用代理观察器和部署相关设置。而且无需进行全 

面代理配置即可随时更新。 

代理观察器不仅能监视关键的服务和文件,而且还能重新启动终止的服务、重置被设置为自动启动的服务、还 

原重新启动时待删除的文件并向核心服务器报告文件篡改的迹象。 


"代理观察器概述" 在页面 175 

"监视服务" 在页面 175 

"监视文件" 在页面 176 

"启动和配置代理观察器" 在页面 176 

"代理观察器设置帮助" 在页面 180 

"关于“配置代理观察器设置”对话框" 在页面 180 

"关于“代理观察器设置”对话框" 在页面 180 

"关于“更新代理观察器设置”对话框" 在页面 180 

"使用代理观察器报告" 在页面 181 

代理观察器概述 

代理观察器监视由设备的代理观察器设置指定的 LANDesk Management Suite 代理服务和文件。 

代理观察器设置还用于确定检查代理服务和文件状态的间隔、代理观察器是否驻留在设备上以及是否自行检查 

对已应用设置所作的更改。 

默认情况下,代理观察器为关闭状态。您可以使用代理配置启用代理观察器,也可以在稍后使用单独的更新代 

理观察器设置任务启用。也就是说,不一定要在设备的初始配置阶段启用代理观察器。随时可以直接从控制台 

对一个或多个受管设备启用代理观察器。 

监视服务和文件时,代理观察器执行以下恢复操作。 

监视服务 

它可以监视以下代理服务: 

本地调度程序 

防病毒 

远程控制 

软件监视 

定向多播 

USB 监视 

不能选择不打算部署的服务进行代理观察器监视 

配置代理观察器设置时,请勿选择不准备在目标设备上安装的服务。否则,核心服务器将会收到未安装的服务是有意未安装 

的警报。但是请注意,即使选择了监视未安装的服务,也不会发出不能重新启动服务或不能更改其启动类型的警报。 

监视代理服务时,代理观察器会: 

175

用户指南 

176 

在服务关闭之后重新启动服务(一次) 

在启动类型更改之后,将服务的启动类型更改回自动启动 

当服务未安装时,向核心服务器发出警报 

当服务无法重新启动时,向核心服务器发出警报 

当服务的启动类型无法更改回自动启动时,向核心服务器发出警报 

监视文件 

它可以监视以下文件: 

Ldiscn32.exe 

Vulscan.dll 

Vulscan.exe 

Sdclient.exe 

Usbmon.exe 

Usbmon.ini 

监视文件时,代理观察器会: 

从注册表删除计划在重新启动时进行删除的文件 

当文件计划为在重新启动时进行删除时,向核心服务器发出警报 

当文件已删除时,向核心服务器发出警报 

支持的设备平台和系统要求 

代理观察器支持大多数同样被 Management Suite 所支持的平台。包括以下操作系统,同时列出最低软件和硬 

件要求: 

Microsoft Windows XP 64 位 Professional 

(Intel Pentium 或兼容的 64 位处理器;推荐使用 128 MB RAM;在 HDD 上安装需要 72 MB 的可用 

空间) 

Windows 2000 Professional 

(SP2 及更高版本;Intel Pentium 或兼容的 133 MHz 处理器;推荐使用 96 MB RAM;在 HDD 上安 

装需要 50 MB 的可用空间) 

Microsoft Windows XP Professional 

(Microsoft Internet Service Pack 2.0 及更高版本;Intel Pentium 或兼容的 300 MHz 处理器;推荐使 

用 128 MB RAM;在 HDD 上安装需要 72 MB 的可用空间) 

启动和配置代理观察器 

代理观察器实用程序与标准 Management Suite 代理一同安装,但默认情况下为关闭状态。 

可以在初始设备代理配置阶段激活代理观察器,也可以在稍后通过更新代理观察器设置任务来激活。 

启用设备上的代理观察器 

要在代理配置阶段启用代理观察器 



3. 在为代理配置指定了您期望的设置之后,单击安全和遵从性组,然后单击代理观察器打开对话框的该 

页面。

4. 单击使用代理观察器。 


5. 从可用列表中选择一个设置,将其应用到正在创建的代理配置。您可以创建新的设置,也可以编辑现 

有的设置。已应用的设置用于确定监视的服务和文件和监视频率,以及代理观察器可执行文件是否仍 

然驻留在所监视设备的内存中。 

6. 完成对代理配置的设置指定,然后单击保存。 

如果希望稍后再激活代理观察器(或更新代理观察器设置),可以直接从控制台对一个或多个受管设备执行此 

操作。 

177

用户指南 

使用代理观察器设置 

使用代理观察器设置确定监视的服务和文件、检查服务和文件状态的间隔、代理观察器是否驻留在设备上以及 

是否自行检查对已应用设置所作的更改。 

178

要作为单独的任务启用代理观察器(或更新设置) 

1. 在控制台中,右击一个或多个设备,然后单击更新代理观察器设置。 

2. 单击使用代理观察器。 


3. 从可用列表中选择一个设置,将其应用到正在创建的代理配置。您可以创建新的设置,也可以编辑现 

有的设置。已应用的设置用于确定监视的服务和文件和监视频率,以及代理观察器可执行文件是否仍 

然驻留在所监视设备的内存中。 


选择确定按钮之后,所有选定的目标设备都会利用新设置进行更新,并且出现一则状态消息。 

禁用设备上的代理观察器 

也可以使用更新代理观察器任务禁用一个或多个设备的代理观察器。 

要禁用代理观察器 

1. 在控制台中,右击一个或多个设备,然后单击更新代理观察器设置。 

2. 确保使用代理观察器复选框已取消选中 


179

用户指南 

代理观察器设置帮助 

此部分包括以下联机帮助,用以描述代理观察器对话框。 

关于“配置代理观察器设置”对话框 

使用此对话框可以管理设置。一旦配置完毕,即可以通过代理配置或更改设置任务将设置应用到受管设备。 

代理观察器允许您创建多个可应用于设备或设备组的设置。 


180 

新建:打开设置对话框,配置选项。 


复制:打开选定设置的副本作为模板,然后可以对其进行修改和重命名。 

删除:从数据库中删除选定的设置。 

关闭:关闭对话框,不在任务中应用设置。 

关于“代理观察器设置”对话框 

使用该对话框可创建和编辑代理观察器设置。 

代理观察器确定监视哪些服务和文件以及监视频率,以及实用程序是否仍驻留在设置上。 


名称:用唯一的名称来标识设置。 

代理观察器保持驻留:指示 LDRegwatch.exe(代理观察器可执行文件)是否仍然始终驻留在内存。 

如果您未选中该选项,则 LDRegwatche.exe 在内存驻留的时间将只够在计划时间检查选定的服务和 

文件。 

监视这些设备:指定通过此代理观察器设置来监视哪些关键性服务。 

监视这些文件:指定通过此代理观察器设置来监视哪些关键性文件。 

轮询间隔:指定您希望代理观察器监视选定的服务和文件的频率。该时间间隔的最小设置是 30 秒。 

检查核心服务器上这些设置的变更:将选定代理观察器设置的当前版本与部署到目标设备的版本按下 

面指定的时间间隔自动进行比较。如果在该时间跨度内设置已修改,请部署新的设置并以新设置重新 

启动代理观察器。 

检查的间隔时间:指定再次进行代理观察器设置比较的时间周期。 

不能选择不打算部署的服务进行代理观察器监视 

配置代理观察器设置时,请勿选择不准备在目标设备上安装的服务。否则,核心服务器将会收到未安装的服务是有意未安装 

的警报。但是请注意,即使选择了监视未安装的服务,也不会发出不能重新启动服务或不能更改其启动类型的警报 

关于“更新代理观察器设置”对话框 

使用此对话框可更新目标设备上代理观察器的设置,并且可启用或禁用目标设备上的代理观察器实用程序。 

如果代理观察器在选定的工作站上不是活动的,则请选中使用代理观察器复选框,配置代理观察器设置,然 

后单击确定。在配置下推送到选定设备之后,代理观察器即被激活。要更改监视哪些文件或服务,请单击配 

置按钮以显示代理观察器设置对话框。 

利用“更新代理观察器设置”对话框,您还可以通过取消选中使用代理观察器复选框并单击确定来停用代理观察 

器。 


使用代理观察器:启用目标设备上的代理观察器服务。


选择代理观察器设置:指定对任务使用哪种设置。从下拉列表中选择设置,或者单击配置创建新的设 

置。 

选择确定按钮之后,所有选定的设备都会利用新设置进行更新,并且出现一则状态消息。 

使用代理观察器报告 

代理观察器监视和警报信息可通过“报告”工具中的几个报告来显示。 

所有代理观察器报告包括工作站主机名、监视的服务或文件、警报状态(已发现或已解决)以及搜寻到事件的 

日期。 

代理观察器保存警报的状态,从而核心服务器将只获取一则何时发现情况的警报和一则何时解决情况的警报。 

当重新启动代理以便重启系统,或者当新配置通过下推或下拉方式应用到工作站时,可能会出现多则警报。 

还可以根据不同的时间间隔生成指定类别的报告,如:今天、上周、过去 30 天内或者其他指定的时间间隔。 

代理观察器警报数据在 90 天之后自动删除 

所有超过 90 天的旧代理观察器警报将自动从数据库中删除。警报数据用于生成代理观察器报告。 


色。 

有关使用“报告”工具的详细信息,请参阅 "报告" 在页面 265。 

代理观察器报告 

下面列出了代理观察器的报告: 

无法更改服务类型 

此报告列出了工作站发出的、无法更改受控服务启动类型的所有代理观察器警报。 

必需的服务未安装 

此报告列出了工作站发出的、受控服务已被卸载的所有代理观察器警报。 

必需的服务未启动 

此报告列出了工作站发出的、代理观察器无法重新启动受控服务的代理观察器报告。 

客户端找不到文件 

此报告列出了工作站发出的、受控代理文件已被删除的所有代理观察器警报。 

客户端找到待删除的文件 

此报告列出了工作站发出的、受控代理文件已计划为在重新启动时加以删除的所有代理观察器警报。代理观察 

器还会自动从 Windows 注册表中移除这些文件,因此它们将不会被删除。 

181

用户指南 

使用控制台 

LANDesk Management Suite 提供了各种系统管理工具,可用来查看、配置、管理和保护网络上的设备。所 

有这些任务均可通过一个控制台执行。本章介绍控制台界面,并说明如何配置和浏览控制台的网络视图和工具 

窗口。 

阅读本章后,您将了解以下内容: 

182 

"控制台概述" 在页面 182 

"启动控制台" 在页面 183 

"更改核心服务器的连接" 在页面 184 

"了解网络视图" 在页面 184 

"创建组" 在页面 186 

"设备图标" 在页面 187 

"查看“所有设备”组中的受管设备" 在页面 187 

"快捷菜单" 在页面 187 

"用列配置来配置网络视图" 在页面 188 

"工具栏选项" 在页面 190 

"使用控制台工具" 在页面 191 

"可停靠的工具窗口" 在页面 191 

"自动隐藏" 在页面 191 

"保存窗口布局" 在页面 192 

"“查找”栏" 在页面 192 

"状态栏" 在页面 192 

"查看设备属性" 在页面 193 

"配置代理搜寻" 在页面 193 

"监视设备的联网情况" 在页面 194 

控制台概述 

通过使用控制台,您可以方便地在同一位置执行所有重要的网络管理功能,而不必到每个受管设备上执行日常 

维护或排除故障工作。从单个控制台上,您可以分发和更新软件或配置设置,诊断硬件和软件问题,部署操作 

系统映像和迁移用户配置文件,使用基于角色的管理来控制用户对功能和设备的访问,使用远程控制功能来培 

训最终用户或解决问题等。 

您可以使用多个核心服务器和数据库来满足具体的网络管理需要。有关安装核心服务器和控制台、辅助控制 

台、Web 控制台以及管理多个核心服务器和数据库的信息,请参阅安装和部署指南(该指南为可打印的 PDF 

文档)。 

本章介绍如何浏览和使用控制台来查看和组织设备,以及如何访问各种管理工具。(对于每种工具,例如软件 

分发和远程控制,均在本指南中其各自单独的章节中深入介绍。) 

控制台向导 

向导对 LANDesk Management Suite 的多个区域可用。大多数向导会随着用户执行向导列出的步骤自动逐步 

执行。

入门向导 

入门向导可帮助用户配置 LANDesk Management Suite 以执行以下功能: 

对受管设备计划任务 

管理 Intel® vPro 和 IPMI 设备 

远程控制受管设备 

查看 Web 控制台中的域用户 

您可以选择使用向导进行操作,也可以通过选中不再显示此向导复选框来阻止向导显示。 

搜寻和安装代理 

“搜寻和安装代理”向导可帮助用户配置 LANDesk Management Suite 以执行以下功能: 


搜寻:查找网络上 LANDesk Management Suite 无法识别的设备。可指定 IP 地址范围以在网络上进 

行扫描。 

部署代理:在要受管的设备上安装 LANDesk 管理代理。 

安全更新 

“下载修补程序更新”向导帮助用户从 LANDesk 内容服务器下载和管理安全和修补程序漏洞定义文件。该向导 

可帮助您配置更新下载任务、启动任务和计划将来的下载。 

创建角色和组 

“创建角色和组”向导可帮助您执行必要的步骤,来管理哪些用户可以访问网络上的设备,以及这些设备中可以 

使用哪些工具或哪些特定的功能。它可以引导您完成范围、角色和用户组权限的创建过程。 

启动控制台 

启动控制台 

1. 单击开始 > 程序 > LANDesk | Management Suite。(根据所安装的 LANDesk 产品和用于激活核心 

服务器的许可证的不同,实际的程序名称可能不同。) 

2. 输入有效的用户名和密码。 

若要连接到远程核心服务器,请遵循标准的 Windows 远程登录规则(即,如果用户是核心服务器的本 

地用户,只输入用户名即可;如果用户是域用户,则输入域名\用户名)。 

3. 选择要连接的核心服务器。用户必须有该核心服务器的正确身份验证凭据。 


控制台会随即打开,其布局(大小、位置、打开的工具窗口等)为该用户上次注销时的布局。 

对于辅助控制台,用于登录 Management Suite 的凭据必须与已映射到核心服务器的任何驱动器所用的凭据相 

匹配。否则,您可能在控制台登录对话框中看到一条“多个连接”的错误消息。 

关于“登录”对话框 

使用该对话框可启动控制台并连接到核心服务器。 

用户名:标识 LANDesk 用户。这个用户可以是管理员用户或具有有限访问权限的某些其他类型的用 

户(请参阅 "基于角色的管理" 在页面 211)。该用户必须是核心服务器上其中一个 LANDesk 组的成 

员。请遵循标准的 Windows 远程登录规则(即,如果用户是核心服务器的本地用户,则只需输入用户 

名;如果用户是域用户,则输入域名\用户名)。 

183

用户指南 

184 

密码:用户的密码。(注意:如果 LANDesk 管理员更改了另一个用户(例如,辅助控制台用户)的密 

码,在该用户重新启动控制台后,新密码才会生效。此时,该用户需输入其新密码才能登录到控制 

台。) 

身份验证源:核心服务器用于验证您所提供证书的源。该源可以是核心服务器上的本地组(Windows 

本地)或活动目录。 

核心服务器:指定要连接的核心服务器。此下拉列表与控制台工具栏上的核心服务器下拉列表相同。 

更改核心服务器的连接 

利用控制台,您可以查看和管理与自己网络中所连接的核心服务器相关联的任何数据库的内容。这样一来,您 

就可以为不同的站点、组织单位或逻辑内部网络创建数据库。 

一次只能连接一台核心服务器。 

更改核心服务器连接 

1. 从位于控制台工具栏上的核心服务器下拉列表中选择一台核心服务器。或者,在核心服务器文本框中 

输入核心服务器的名称,然后按 Enter 键。 

此时将在网络中搜索该服务器。如果找到该服务器,系统会显示标准的“登录”对话框,提示您登录。 

2. 输入有效的用户名和密码。 

请遵循标准的 Windows 远程登录规则(即,如果用户是核心服务器的本地用户,则只需输入用户名;如果用 

户是域用户,则输入域名\用户名)。 

一旦连接到某核心服务器之后,该服务器的名称会自动添加到工具栏中的核心服务器下拉列表中。 

您还可以通过单击核心服务器下拉列表(此时不要更改核心服务器名称)并按 Enter 键,来快速以其他用户身 

份登录当前核心服务器。 

了解网络视图 

网络视图是控制台的主要窗口,也是执行大多数管理任务的起始点。在这里可以查看设备的清单数据,创建查 

询来搜索设备并对设备进行分组,选择要远程控制的设备,等等。 

网络视图窗口始终是打开的,其中含有两个窗格。左窗格中显示当前连接的核心服务器\数据库及其设备、查 

询和配置组的层次结构树视图。您可以根据需要展开或折叠这些树对象。网络视图中的右窗格显示选定的组 

项目的详细列表。 

您可以调整网络视图窗口及其窗格和列的大小,但不能关闭该视图。与工具窗口不同,网络视图窗口不是可停 

靠的。 

基于角色的管理 

在网络视图中,您可以查看和管理的设备以及可以使用的管理工具,由管理员分配给您的访问权限和设备范围来决定。有关 

详细信息,请参阅 "基于角色的管理" 在页面 211。 

网络视图包含下列组和子组: 

核心服务器 

核心服务器对象标识当前连接的核心服务器。核心服务器对象就在“网络视图”的根目录下,可以折叠和展开。 

“核心服务器”对象名语法 

“核心服务器”对象名的语法是:

服务器名\数据库实例 

设备 

设备组包含下列设备子组。 


我的设备:基于用户范围列出当前登录用户的设备。用户只能在我的设备下创建设备子组。用户可通 

过从公共设备和所有设备组中复制设备的方法,将设备添加到其我的设备组或任何子组中。用户也可 

以单击并将公共设备和所有设备中的设备拖放到他们的我的设备组中。 

在网络视图中拖放项 

当您在网络视图中单击某个项,要将其拖到另一个组中时,光标会指示哪儿可以放置该项,哪儿不能放置该项。当将光标移 

到某组对象上时,加号 (+) 表示可以将项添加到该组中;杠号表示不能将项添加到该组中。 

公共设备:列出管理员(具有 LANDesk 管理员权限的用户)从所有设备组中添加的设备。管理员可 

以看到该组中的所有设备,但其他用户只能看到其自身权限所允许查看的设备。同样,只有管理员能 

够在公共设备下创建子组。 

所有设备:基于用户的范围,在平面列表(无子组)中列出当前登录用户可以看到的所有设备。对于 

管理员,所有设备列出所有已扫描到核心数据库中的受管设备。当清单扫描器将配置了标准 LANDesk 

代理的设备扫描到核心数据库以后,所有设备组中会自动显示这些设备。 

对于常规用户,“所有设备”由其用户的我的设备和公共设备组构成。 

管理员和用户可以基于该组中的设备运行资产报告。 

还通过右击所有设备组,选择并单击插入新的计算机,填写设备和网络信息,然后单击确定,将计算机添加 

到网络视图中。这些计算机也同时出现在“配置”组下的“用户添加的计算机”子组中。 

虚拟操作系统主机 

“虚拟操作系统主机”组显示的受管设备为数据库中存储的虚拟主机。“虚拟操作系统主机”组包含以下配置组: 

查询 

我的虚拟操作系统主机:基于用户范围列出当前登录用户的虚拟操作系统主机。用户只能在“我的虚拟 

操作系统主机”下创建设备子组。 

用户可以向“我的虚拟操作系统主机”组或其任何子组添加设备,方法是从“公共虚拟操作系统主机”和“全 

部虚拟操作系统主机”组进行复制和粘贴。用户还可以将虚拟操作系统主机从“公共虚拟操作系统主机” 

和“全部虚拟操作系统主机”单击并拖动到“我的虚拟操作系统主机”组。 

公共虚拟操作系统主机:列出 Management Suite 管理员从“全部虚拟操作系统主机”组添加的设备。具 

有 LANDesk 管理员权限的用户可以看到该组中的所有设备,但辅助控制台用户只能看到其范围允许 

的设备。只有管理员才能在“公共虚拟操作系统主机”下创建子组。 

全部虚拟操作系统主机:基于用户的范围,在平面列表(无子组)中列出当前登录用户可以看到的全 

部虚拟操作系统主机。对于管理员,“全部虚拟操作系统主机”会列出扫描到数据库中的全部受管虚拟操 

作系统主机。通过清单扫描器将其扫描到数据库时,配置为使用标准 LANDesk 代理的虚拟操作系统 

主机将自动出现在“全部虚拟操作系统主机”组/文件夹中。 

查询组包含下列查询子组。 

我的查询:列出当前登录用户创建的查询,或管理员添加到该用户的用户查询组中的查询。用户可以 

创建、修改和删除查询组及其我的查询组下面的查询。还可以将查询从公共查询组复制到“我的查询” 

组中。 

一个用户能运行的任何查询都仅限于该用户的范围所定义的设备范围。例如,如果用户的范围是所有机器, 

则查询将搜索核心数据库中的所有设备,但如果用户的范围是 20 台计算机,则查询只会搜索这 20 台计算 

机。有关创建查询的详细信息,请参阅 "创建数据库查询" 在页面 257。 

公共查询:列出由管理员或具有公共查询管理 (PQM) 权限的用户添加的查询。只有具有 LANDesk 管 

理员权限或 PQM 权限的用户能够添加、修改或删除查询组或公共查询组中的查询。不过,所有用户 

都可以查看该组中的查询,并且可以将查询复制到各自的我的查询组内。 

185

用户指南 

186 

所有查询:基于用户的范围,在平面列表(无子组)中列出当前登录用户可以看到的所有查询。所有 

查询由该用户的我的查询组和公共查询组构成。 

管理员可以在某个用户的分配范围内,以用户的身份使用该组来运行这位用户的查询。这样,管理员就可以预 

览到用户运行查询时才能看到的结果,而且内容一模一样。 

配置 

配置组包含以下配置组。 

PXE 暂存队列:列出 PXE 暂存队列和正在 PXE 暂存队列中等待的设备。有关详细信息,请参阅 

Using the PXE holding queue。 

裸机服务器:列出为部署任务创建的裸机设备。 

PXE 部署 (Windows PE):列出针对 Microsoft Windows PE 部署任务的设备。 

PXE 部署 (Linux PE):列出针对 Linux PE 部署任务的设备。 

多播域代表:列出配置的多播域代表,多播域代表可用来均衡软件分发负载。有关详细信息,请参阅 " 

在软件分发中使用定向多播" 在页面 298。 

PXE 代表:列出配置为 PXE 代表的设备,这些代表可将操作系统映像部署到其子网内的设备中。有 

关详细信息,请参阅 Using PXE representatives。 

暂挂不受管的客户端部署:列出已用“未管理设备搜寻”工具搜寻到且正等待代理配置任务的设备。有 

关详细信息,请参阅 "未管理设备搜寻" 在页面 311。 

用户添加的计算机:(仅限管理员)列出通过在“插入新计算机”对话框(右击所有设备组)中手动添 

加到网络视图的计算机。 

快速查找 

当用户可以在相应列表中搜索特定项目时,“快速查找”功能将出现在一工具栏中。例如,一旦控制台的上半部 

分或下半部分显示项目列表,“快速查找”功能将伴随该视图以便于查找相应列表中的特定项目。 

例如,如果一个组织拥有 10,000 个在数据库中列出的节点,此功能将非常有用。用户致电寻求帮助时,服务 

台团队成员需要在控制台中查找该设备。服务台成员可以询问呼叫者的登录名、机器名称或用户和设备的其他 

特定信息,然后(只要该视图包含带有该特定信息的列)“快速查找”功能便可在一两秒内从 10,000 个条目中 

找出确切的条目。 

创建组 

组可帮助您在控制台的网络视图中组织设备和查询。您可以创建组,根据职能、地理位置、部门、设备属性或 

任何其他符合要求的类别来组织网络设备。例如,可以为市场营销部门中的所有设备创建一个市场营销组,或 

创建一个组,使之包含运行特定操作系统的所有设备。 

创建组的规则 

“我的设备”和“我的查询”:管理员和所有其他用户可在我的设备和我的查询下创建组。 

公共设备:只有管理员能够在公共设备下创建组。 

公共查询:只有管理员或具有“公共查询管理”权限的用户能够在公共查询下创建组。 

“所有设备”和“所有查询”:在所有设备或所有查询中没有子组。用户(包括管理员在内)不能在所有 

设备或所有查询下面创建组。 

创建组 

1. 在控制台的网络视图中,右击父组(例如,我的设备),然后单击新建组。也可以选择父组,然后单 

击编辑 > 我的设备 > 新建组。 

2. 键入新组的名称,然后按 Enter 键。


右击组可以执行各种任务,具体任务视组的类型而定。例如,如果创建的是设备子组,则使用其快捷菜单可执 

行下列任务: 

添加设备 

创建新子组 

作为报告查看 

剪切 

复制 

粘贴 

删除 

重命名 

有关右击功能的详细信息,请参阅 "快捷菜单" 在页面 187。 

设备图标 

设备图标出现在控制台的网络视图中,显示某设备的当前代理和健康状态。 

您既可以在网络视图中逐一选择设备来更新其代理和健康状态,也可以同时更新网络视图中所有显示设备的代 

理和健康状态。还可以先选择某个设备,然后单击“刷新”工具栏按钮来更新该设备的状态。有关如何处理代理 

搜寻的配置信息,请参阅 "配置代理搜寻" 在页面 193. 

图标显示质量 

这些图标的颜色非常鲜明,至少要求 16 位颜色深度设置。如果控制台中的图标模糊,请在“Windows 显示属性”中更改颜色 

设置。 

如果您的防火墙阻止 UDP 数据包 

如果您通过阻止 UDP 数据包的防火墙管理设备,您将无法使用下列设备快捷菜单功能:唤醒、关闭、重新启动和清单扫 

描。 

查看“所有设备”组中的受管设备 

当清单扫描器将运行 LANDesk 代理的设备扫描到核心数据库后,所有设备组便会自动显示这些设备。通常, 

在配置代理的最初阶级首次进行这种扫描。一个设备一旦被扫描到核心数据库中,就是受管的设备。也就是 

说,核心服务器此时便可以管理该设备。有关设置设备的详细信息,请参阅“"配置设备代理" 在页面 238”。 

因为所有设备组是通过清单扫描自动填充的,所以不必手动搜寻设备。不过,如果要搜寻尚不在核心数据库 

中的设备,可以使用“未管理设备搜寻”工具在网络中进行搜寻。有关详细信息,请参阅 "未管理设备搜寻" 在页 

面 311。 

与某个特殊的核心服务器相连后,管理员就可以看到该核心服务器所管理的每个设备。另一方面,常规用户也 

被限制在只能看到其权限范围内的设备(范围基于数据库查询或目录位置)。有关详细信息,请参阅 "基于角 

色的管理" 在页面 211。 

快捷菜单 

快捷(上下文)菜单的涵盖范围已明显扩大,包括了控制台中的所有项,如组、设备、查询、计划任务、脚 

本、报告,等等。借助快捷菜单,很快就能访问到项的常见任务和关键信息。 

要查看项的快捷菜单,请选择并右击相应的项。 

快捷菜单中的可用选项 

设备的快捷菜单中显示的选项以及被禁用或灰显的选项可能视设备平台以及设备上所安装的 LANDesk 代理而 

异。 

例如,当您在网络视图中右击某个受管的设备时,其快捷菜单通常会显示以下选项: 

187

用户指南 

188 

清单:显示相应设备的已扫描到核心数据库中的所有清单数据。 

清单历史记录:显示已选定要跟踪的属性的清单数据的变更情况。可以打印清单历史记录或将其导出 

到 .CSV 文件。 

远程控制:启动与设备的远程控制会话。 

对话:启动与设备的远程控制会话。 

文件传输:打开“文件传输”对话框,在此与设备相互传输文件。 

远程执行:用于浏览并在设备上执行批处理文件或应用程序。 

唤醒:远程唤醒那些其 BIOS 支持 Wake on LAN* 技术的设备。 

关机: 远程关闭设备。 

重新启动: 远程重新启动设备。 

清单扫描:对设备运行清单扫描。 

计划任务和策略:显示设备当前的计划任务和应用程序管理策略。 

添加到新组:将设备的副本添加到我的设备组下用户定义的新组中。系统将提示您输入新组的名称。 

添加到现有组:用于选择要添加设备副本的目标组。 

组成员身份:显示设备当前以成员身份所在的所有组。 

运行清单报告:打开“报告”对话框,从此处可以在报告列表中选择要在设备上运行的报告。双击报告 

名称,即可运行相应的报告。 

更新代理观察器设置:打开“更新代理观察器设置”对话框,从此处可以启用/禁用特定 LANDesk 代理 

和服务的实时监视,选择代理观察器设置或配置新设置,以及指定检查选定设置更改的时间间隔。 

安全和修补程序信息:打开“安全和修补程序信息”对话框,该对话框显示设备的详细漏洞扫描和修补 

数据:包括检测到的漏洞和其他安全风险、安装的修补程序以及修复历史记录。 

立即扫描安全/遵从性:打开一个对话框,您可以在其中选择扫描和修复设置,然后单击确定立即执行 

对设备的安全扫描。 

立即进行“防病毒”扫描:打开一个对话框,您可以在其中选择防病毒设置,然后单击确定立即对设备 

执行防病毒扫描。 

管理本地用户和组:打开“本地用户和组”对话框,您可以在其中远程管理 Windows 设备的本地用户和 

组。 

剪切:从用户定义的组中删除项。不能剪切“所有”组中的项。 

复制:创建项的副本,以便将其添加到其他组。 

粘贴:将剪切或复制的项放入用户定义的组中。 

删除:从用户定义的组中删除项。 

删除:从“所有”组和此时为其成员的任何其他组中删除项。 

属性:显示设备的清单一览表、设备信息、代理状态和远程控制设置。 

本指南不会一一介绍每个项目类型的可能的快捷菜单。建议您右击任何项,即可查看可用的选项。 

用列配置来配置网络视图 

通过列配置,可以自定义网络视图的右窗格中显示的设备列表和查询结果列表的清单数据。列配置中的每一列 

均代表扫描的清单中的唯一属性(或组成部分)。例如,网络视图中显示的默认列配置由“设备名称”、“类型” 

和“操作系统名称”属性组成。 

使用“列配置”工具(工具 > 管理 > 列配置)创建任意多个列配置。然后,要应用列配置,将所需的列配置拖到 

网络视图树中的设备组和查询对象。 

列配置工具 

“列配置”工具将列配置分为以下三类:

我的列配置:当前登录用户创建的列配置。 

公共列配置:由管理员创建的列配置,或预定义的列配置。 

所有列配置(仅管理员可见):由所有 LANDesk 用户创建的列配置。 


用户可以将某个列配置从“公共列配置”组复制到自己的“我的列配置”组中,然后再更改该列配置的属性。 

可以在我的列配置对象下创建子组,以便将列配置进一步分类。 

创建列配置 

在列配置对话框中,可以创建列配置。每一列都代表扫描到核心数据库中的一个清单属性或组件。列按照它 

们出现在“列”列表中的顺序,从左到右依次显示在网络视图中。 

创建列配置 

1. 单击工具 > 管理 > 列配置。 

2. 选择我的列配置对象(或公共列配置对象),然后单击新建列配置工具栏按钮。 

3. 在列配置对话框中,输入新列配置的名称。 

4. 从列表中选择清单属性,然后单击添加到列,将清单属性添加到“列”列表中。请记住,需要选择那些 

有助于标识在设备列表中或从查询中返回的设备的属性。 

5. (可选)通过直接编辑组件的标题、别名和排序顺序字段,或者使用可用按钮删除所选的组件或在列 

表中上下移动所选的组件,可以在网络视图中自定义列的显示方式和位置。 

6. (可选)可以为软件组件指定更精确的限定数据。选择软件组件,单击限定按钮,然后从可用值列表 

中选择一个主键值。有关详细信息,请参阅 "对软件组件使用限定选项" 在页面 190。 

7. 单击确定保存列配置。 

还原原始默认列 

要在网络视图中还原默认列,只要创建一个包括“设备名称”、“类型”和“操作系统名称”属性的自定义列配置,然后将其应用到 

设备组和查询对象。也可以使用“我的列配置”组中名为 Original 的预定义列配置。 

将列配置应用于设备组和查询中 

创建列配置后,可将其拖放到某个设备组或子组中,或者拖放到任何一个查询组或子组的某个查询中。设备列 

表或查询结果列表在网络视图右侧窗格中显示所选列配置中指定的清单数据。 

注意:对于设备列表,一旦列配置应用到组,列配置将保持不变,即使选择其他设备组也是如此。但是,对于 

查询结果列表,在更改不同的查询时必须重新应用列配置。 

还可以右击列配置来访问其快捷菜单,然后执行常见任务,并查看和编辑该列配置的属性。快捷菜单中包括下 

列选项: 

添加到新组 

添加到现有组 

组成员身份 

设置为默认值 

查看方式 

剪切 

复制 

删除 

重命名 

属性 

信息 

导出 

189

用户指南 

190 

复制到其他核心服务器 

自动同步 

对软件组件使用限定选项 

创建包含软件组件的列配置时,可以通过选择特定主键值,来为软件组件指定限定符。软件限定符能更精确地 

标识出需要通过查询来搜索并显示在该软件组件的列中的数据。例如,您可以选择应用程序的可执行文件名称 

作为限定符来配置列配置,从而显示该特定应用程序的版本信息。 

要指定软件组件的限定符,请在“列”列表中选择该软件组件,单击限定按钮,然后从可用值列表中选择一个主 

键值。 

与“别名”字段一样,选择一个主键值并将其添加到软件组件的“限定符”字段后,就可以在该字段中单击来进行 

手动编辑。 

关于“列配置”对话框 

使用此对话框可创建新的列配置。 

名称:标识列配置。 

清单属性:列出扫描到核心数据库中的每个清单对象和属性。单击对象左侧的框,即可展开或折叠相 

应的对象。 

添加到列:将选定的清单属性移到列列表中。如果选择整个清单组件,便会将该组件中包含的所有清 

单属性添加到列列表中。 

列:在网络视图中按显示的顺序从左到右列出清单属性。 

限定:可以为选定的软件组件指定精确的数据限定符。有关详细信息,请参阅 "对软件组件使用限定选 

项" 在页面 190。 

删除:从列表中删除选定的属性。 

上移:将选定的属性向上移动一个位置。 

下移:将选定的属性向下移动一个位置。 

确定:保存当前的列配置,并关闭该对话框。 

取消:关闭该对话框,且不保存任何更改。 

工具栏选项 

控制台中有一个工具栏,只需单击其中的项即可访问常见的网络视图操作和一些基本的控制台配置选项。如果 

您在网络视图中选择了不支持工具栏按钮操作的某个项,工具栏按钮便会变灰。 

通过单击视图 > 显示工具栏文本可启用工具栏按钮的文字说明。 

控制台工具栏内含有下列按钮: 

剪切:从网络视图中删除项,并将其暂时存储在剪贴板上。如果无意中剪切了某项,可使用“粘贴”命 

令进行还原。必须在执行任何其他命令之前还原删除的项。 

复制:从网络视图中将某个位置的项复制到其他位置。 

粘贴:粘贴先前剪切或复制的项。 

删除:永久地删除该项。这种情况下,将无法还原从网络视图中删除的项。 

刷新:更新网络视图中选定的组或项。您还可以折叠和展开组来更新其项。也可以单击视图 > 刷新来 

更新网络视图中当前选定的项。 

刷新范围:基于当前登录的用户的范围(如“用户”工具中的定义所示),更新网络视图中所选的组或 

项。当用户登录或具有管理权限的控制台用户单击此按钮时,将会更新范围。 

布局:列出已保存的窗口布局。从下拉列表中选择布局,以便按此布局配置恢复控制台。如果希望保 

存当前布局,请单击保存当前布局按钮。


核心服务器:列出之前已连接的核心服务器(这使这些服务器会出现在此列表中)。既可以从列表中 

选择核心服务器,也可以键入核心服务器的名称,然后按 Enter 键。在网络中搜索核心服务器,如果 

找到该服务器,将提示您使用有效的用户名和密码进行登录。 

使用控制台工具 

您可以通过“工具”菜单和“工具栏”这两种方式来使用工具。要启用工具箱,请单击视图 > 工具箱。 

Management Suite 管理员可以看到“工具”菜单和工具箱中的所有工具。其他 Management Suite 用户只能看 

到他们有权限使用的那些工具(功能)。当用户登录到控制台后,尚未授权该用户使用的工具不会出现在“工 

具”菜单和工具栏中。例如,如果用户没有“电源管理”权限,则“电源管理”工具不会出现在工具菜单或工具箱 

中。 

单击工具名后,便可在控制台中打开该工具的窗口。您不仅可以调整工具窗口的大小,还可以停靠、浮动、隐 

藏和关闭工具窗口。另外,还可以同时打开、停靠或浮动多个工具窗口。有关操纵工具窗口的详细信息,请参 

阅下节中的内容。 

可停靠的工具窗口 

可停靠窗口是一种控制台功能,借助这项功能,您可以根据需要打开任意多个工具,并将这些工具移入或移出 

主控制台窗口。 

注意:您可以保存设计好的控制台布局,将之专用于某些管理任务,而且只要需要,就可以恢复保存的布局。有关详细信 

息,请参阅本章后面的 "保存窗口布局" 在页面 192。 

打开多个工具窗口时,这些窗口会以选项卡的形式显示在一个窗口中。活动的工具窗口显示在最上面,每个打 

开工具的标签则出现在窗口的一侧或底部。单击标签可显示该工具窗口。您可以停靠选项卡式工具窗口,也可 

以通过拖动使其浮动在控制台窗口之外。 

所谓停靠工具窗口是指将它附在控制台的某个边缘。如果此时工具窗口正附在控制台的某个边缘处,便说明该 

窗口正处于停靠状态。您还可以改变工具窗口的停靠状态,使其在控制台的外围自由浮动。您可以将窗口水平 

或垂直停靠在控制台中。 

停靠工具窗口 

1. 单击该窗口的标题栏,并将窗口拖到控制台的边缘 

2. 当表示该窗口将停靠的停靠矩形(灰显的窗口边框)出现时,松开鼠标按钮。该窗口附着在控制台的 

边上。 

请注意,只有工具窗口(那些可通过工具菜单或工具栏访问的窗口)可以作为停靠窗口、浮动窗口或选项卡 

式窗口存在。您可以调整网络视图窗口的大小,但不能将其以选项卡形式嵌入其他窗口,也不能将其浮动在控 

制台之外和将其关闭。 

如果将主控制台窗口最小化,然后再还原,那么所有停靠窗口和浮动窗口(包括选项卡式窗口)也会随之最小 

化和还原。 

自动隐藏 

工具窗口还支持“自动隐藏”功能。“自动隐藏”是窗口右上角的图钉按钮,可用来将窗口固定在原位或隐藏窗 

口。 

当图钉按钮被按下去的时候(即图钉指向下方),窗口将被固定在原位,而且“自动隐藏”也暂时处于禁用状 

态。当图钉按钮弹出时(即图钉指向左侧),如果将光标从窗口上移开后,该窗口便会转入“自动隐藏”模式。 

“自动隐藏”可以使窗口最小化,并将其停靠在控制台的某个边缘处,而且还会在其原位上显示一个标签。 

工具栏也支持“自动隐藏”。 

191

用户指南 

保存窗口布局 

布局是保存的控制台配置,即:网络视图、工具栏和所有其他打开的工具窗口的位置和大小。您可以使用窗 

口布局来保存和还原对某些任务或用户特别有用的自定义控制台配置。 

要更改控制台的布局,请从主工具栏上的布局下拉列表中选择一种保存的布局。 

保存当前布局 

1. 根据需要,配置控制台界面。 

2. 单击工具栏上布局下拉列表旁边的磁盘按钮。 

3. 为布局输入一个唯一的名称。 


关于“管理窗口布局”对话框 

使用该对话框,可管理保存的窗口布局,还可以将控制台窗口恢复为其以前的布局。 

192 

保存的布局:列出所有已保存的布局。 

重置:按以前的布局恢复控制台窗口。 

删除:删除选定的布局。 

重命名:用于更改选定布局的名称。 

“查找”栏 

“查找”用于在列表中搜索包含特定词或短语的项。包含项的平面列表的网络视图和工具窗口中都有查找栏。例 

如,当查看以下内容时就会有查找栏: 

“所有设备”组 

“所有查询”组 

“暂挂不受管的设备部署”组 

“未管理设备搜寻工具”窗口 

使用“查找”栏搜索项 

1. 选择所有设备组。查找栏出现在列表顶端。 

2. 在查找文本框中,键入要搜索的任何文本。 

3. 从在列中下拉列表中,选择要搜索的列 

4. 单击搜索工具栏按钮。 

结果列表只显示那些与搜索条件匹配的项。 

状态栏 

控制台底部的状态栏显示下列信息(从左到右): 

列表中选定项的数目 

当前作业的名称和状态 

当前登录的用户的名称 

核心服务器尝试联系授权服务器前的天数 

状态栏始终可见。

查看设备属性 


在控制台的网络视图中,右击设备列表中的设备,然后选择属性,即可迅速查看有关该设备的信息。 

在设备的清单数据中,可以找到有关该设备的详细信息。您可以在网络视图列(可配置)中查看清单数据,还 

可以右击设备,并选择清单,从而打开整个清单窗口。 

关于“设备属性”对话框 

使用此对话框可查看有关选定设备的有用信息。该对话框中含有以下三个选项卡:清单、设备和代理。单击 

每个选项卡可查看相关信息。 

“清单”选项卡 

清单选项卡中含有设备的清单数据的一览表。有关详细信息,请参阅 "查看清单一览表" 在页面 250。 

“设备”选项卡 

设备选项卡中含有关于设备的基本信息,其中包括设备在网络中的位置和标识。当手动插入一个设备时,也 

会显示此选项卡(在所有设备组的快捷菜单中,单击插入新的计算机)。 

设备: 

名称:出现在核心数据库和网络视图中的设备名称。 

当手动插入设备时,可将该设备名作为用户易使用的名称。如果在此处未输入任何内容,则 

Windows 计算机名称将为默认设备名称。 

类型:设备类型,例如:Windows 2000 服务器或 Windows XP 工作站。 

网络: 

IP 名称:设备的 Windows 计算机名称。 

IP 地址:为设备分配的 IP 地址。 

物理地址:设备的物理地址。 

“代理”选项卡 

代理选项卡中含有关于代理的当前状态以及设备的远程控制设置的信息。 

Common Base Agent 的状态:指示设备上是否加载了标准 LANDesk 代理 (Common Base Agent)。 

实时清单扫描和监视状态:指示设备上是否加载了实时清单扫描和监视代理。 

远程控制代理状态:指示设备上是否加载了远程控制代理。如果设备上没有加载此代理,则不能执行 

远程控制操作(例如,文件传输和对话)。 

安全类型:指明设备采用的远程控制安全模式。具体选项有:“本地模板”、“Windows NT 安全/本地模 

板”和“基于证书/本地模板”。 

允许:显示设备上允许的远程控制操作。这些操作是通过设备代理配置启用的。 

设置:指示在您想要与设备交互时远程控制的活动方式。 

配置代理搜寻 

代理搜寻过程是用来查找已安装了标准 LANDesk 代理或远程控制代理的受管设备的过程。这两个代理具有以 

下功能: 

标准 LANDesk 代理:启用 PDS(ping 搜寻服务)。如果设备上安装了标准 LANDesk 代理,就可以 

安排软件分发和设备安装配置的时间。 

远程控制:用于远程访问和控制设备。 

代理搜寻使用 TCP/IP 来验证设备上运行的代理。 

193

用户指南 

为了使用 TCP/IP 执行标准 LANDesk 代理搜寻,可以使用 IP 地址作为搜索条件。Management Suite 在特定 

的 IP 地址范围内查找设备上的标准 LANDesk 代理和远程控制代理。这个地址范围是根据您所提供的 IP 网络 

地址来确定。 

如果在搜索 TCP/IP 时没有指定子网的网络地址,只会搜索启动此次搜寻的控制台所在的网段。例如,如果安 

装了四个控制台,每个控制台又分别位于不同的网段上,就必须启动四次扫描,对这四个控制台中逐一进行扫 

描。 

在那些没有控制台的网段上,必须使用子网地址来访问该网段上的信息。 

防火墙的相关说明:如果网络中设有一个或多个防火墙,则不能使用代理搜寻来搜索防火墙以外的区域,因为防火墙通常 

会将数据包通信流限制在指定的端口。 

配置代理搜寻选项 

1. 单击配置 > 代理状态选项。 

2. 选择是希望代理搜寻只更新网络视图中选定项的代理状态,还是更新网络视图中显示的所有项的代理 

状态。 

3. 指定代理状态的刷新频率。 

4. 配置搜寻远程控制代理的方式,并确定地址解析方法的优先顺序。 

5. 指定代理搜寻在超时之前将用多长时间来尝试搜寻设备上的远程控制代理。 


关于“代理状态选项”对话框 

使用此对话框可配置以下代理搜寻选项。 

194 

收集代理状态: 

仅针对选定项:指定在网络视图中选择了某台设备后,才更新该设备的代理状态。此选项为默 

认选项,产生的网络通信量最少。 

仅针对网络视图中的可见项:指定根据刷新频率来更新网络视图中的所有可见设备的代理状 

态。当新设备变成可见设备时,将立即更新其代理状态(及健康)。 

代理和健康状态的刷新间隔为 < > 分钟:指明是否自动更新代理状态。可以指定刷新频率。 

通信方式:标示如何搜寻代理。 

IP 地址:使用核心数据库检索计算机的存储的 IP 地址。 

域名服务 (DNS):验证远程控制代理时,使用 DNS 服务器解析计算机的 ID 名。如果没有 

DNS 服务器,请清除此选项。 

上移和下移:在“搜寻代理使用的方法”列表中向上移动或向下移动选定的方法。按照该列表的 

顺序来试用各种方法。 

超时:设置远程控制代理搜寻在试用每种选中的地址解析方法失败之前的超时值。 

监视设备的联网情况 

通过设备监视功能,可以定期监视任何受管设备的连接情况。 

Ping 设置专用于所选的设备。设备停止响应 ping 命令(变为脱机状态)时,将在核心服务器的日志中添加警 

报通知。如果要在收到通知时执行其他警报操作(例如,设备脱机时接收电子邮件),您可以在核心服务器警 

报规则集中配置一个警报。 

监视受管设备的连接 

1. 单击配置 > 设备监视。 

2. 单击添加。选择要监视的一个或多个设备,然后单击添加。

3. 指定 Ping 的频率设置、重试次数和超时限制。 


关于“配置设备监视”对话框 

使用此对话框可配置以下设备监视选项。 

监视这些设备:列出当前在处于监视下的设备。 

添加:打开添加监视的设备对话框,您可以在这里搜索和选择所要监视的受管设备。 

删除:从列表中删除选定的设备。 

Ping 的频率:控制发生 ping 操作的时间和方式。这些设置可分别应用于每台设备。 

Ping 的间隔为:按指定的时间间隔(以分钟计)来安排定期的 ping。 

每天以下时间调度:在每天的特定时间调度 ping。 

重试次数:指定 ping 的重试次数。 

超时:指定在重试 ping 超时之前的秒数。 

确定:保存所作的更改,并关闭该对话框。 

取消:关闭该对话框,且不保存更改。 

配置设备监视警报 


如果想要设备监视在受管设备变为联机或脱机状态时通知您,您必须首先配置带有其他操作的警报规则集(例 

如,发送警报时接收电子邮件)。 

配置设备监视警报设置 

1. 单击工具 > 配置 > 警报。 

2. 在警报树中,展开警报规则集项。 

3. 右击核心服务器警报规则集,然后单击编辑。 

4. 在规则集窗口左侧的警报规则集窗格中,单击警报。 

5. 在标准文件夹下的警报窗格中,单击设备监视器。 

6. 在右侧窗格中,单击规则 > 添加。 

7. 将设备监视器系统连通性警报拖动到页面底部的警报容器中。 

8. 在规则集窗口左侧的警报规则集窗格中,单击操作并将所需附加操作向下拖至操作容器中。默认情况 

下,此操作是核心警报记录处理程序配置。您可以选择收到警报时发送电子邮件或 SNMP 陷阱,或在 

核心服务器上运行可执行文件。(您可能需要定义操作,例如指定发送电子邮件警报的地址。) 

9. 在规则集窗口左侧的警报规则集窗格中,单击时间并将始终向下拖至时间容器中。 

10. 单击容器旁边的确定按钮。 

11. 在右侧的操作窗格中,单击发布。 

12. 在左侧的警报规则集窗格中,单击规则一览表并双击所创建的规则。 

13. 在显示的对话框中,如果要在联机/脱机时改变控制台中设备的健康状态,则选中健康框,然后单击确 

定关闭对话框。 

14. 单击发布以发布在对话框中执行的更改,并关闭规则集窗口。 

注意:配置了警报设置之后,便可以在要监视的所有设备上应用这些设置了。 

195

用户指南 

Management Suite 端口使用情况 

在安装有防火墙(或具有通信筛选功能的路由器)的环境中使用 Management Suite 时,有关在防火墙中需要 

打开哪些端口的信息非常重要。下表列出了 Management Suite 组件使用的端口。此信息侧重于阐述所需的路 

由器和防火墙配置。不包括仅在本地使用的端口和仅用于与运行旧版 Management Suite 的设备进行通信的端 

口。 

196 

功能 TCP 端口入网/出网 

警报管理系统 38292 入 

清单 5007 入 

使用 HTTPS 的管理网关 443 HTTPS 入/出 

使用 HTTP 的管理网关 

80 HTTP 

443 HTTPS 

管理 Web 服务 80 HTTP 入 

远程控制 9535, 9595 出 

安全清单/Web 控制台 443 HTTPS 入 

软件分发(策略) 12175, 12176 入 

软件分发(推送) 9594, 9595 出 

软件分发(定向多播) 33354 出 

LANDesk 信任访问 4444, 7777 入 

Avocent Management Platform(RBA、授权、报告) 8443, 8092 入/出 

该表简要介绍了需要在防火墙中打开以启用特定产品功能的端口。“入网”和“出网”关键字基于以下假设,核心 

服务器/控制台位于防火墙内,受管的设备位于防火墙以外。“入网”指核心服务器上的服务正在监听显示的端口 

并且设备将打开与该端口的连接。“出网”指防火墙以外的设备正在监听显示的端口并且核心服务器(如果是远 

程控制的话则为控制台)将会打开与该端口的连接。 

如果远程控制使用基于证书的安全,则需要启用 TCP 9594 端口(核心服务器到受管设备和控制台到核心服 

务器)。如果选择网络视图中的计算机,则会向 UDP 端口 9595 上的设备发送一个 ping 搜索。如果端口受 

阻,将不会有响应,并且快捷菜单上的远程控制选项将会灰显。 

安装附加 Management Suite 控制台 

Management Suite 控制台会自动安装到核心服务器中。此控制台应安装到 LANDesk 管理员的机器上,该机 

器需要具有完全功能和对所有 Management Suite 工具的访问权限。控制台用于与各种 Management Suite 功 

能进行交互;例如,软件分发、远程控制受管设备、查看清单信息以及执行其他管理功能。 

对于附加实用程序和功能,控制台可在整个网络范围内安装。(LANDesk Software 不对附加的控制台收取额 

外的费用。) 

安装辅助控制台 

1. 从 Management Suite 安装介质,启动自动运行。 

2. 单击远程控制台按钮。 

入 

出

3. 单击继续。 

4. 如果通过了必要条件检查,请单击继续。否则,修复缺少的必要条件。 

5. 单击运行安装程序。 

6. 请按照安装提示操作。 

支持的控制台操作系统 

以下是支持的控制台操作系统列表: 

Windows Vista Business/Ultimate/Enterprise SP1(32 位) 

Windows XP Professional SP1、SP2 或 SP3 

Windows Server 2003(32 位,已安装 SP1 或 SP2) 

Windows Server 2003 R2(32 位,已安装或未安装 SP2) 

Windows Server 2008 R2 

控制台计算机要求 

以下是控制台计算机要求列表: 

支持的 Windows 操作系统(使用 NTFS) 

Microsoft Internet Explorer 6.x SP1 或更高版本 

Microsoft Data Access Components (MDAC) 2.8 

安装 Web 控制台 


Web 控制台通过便利的 Web 浏览器提供了 Management Suite 控制台的部分功能。在 Web 服务器上安装该 

控制台后,指定的用户可通过 Microsoft Internet Explorer* 或其他支持的 Web 浏览器访问 Web 控制台。此安 

装程序(默认情况下安装在核心服务器上)允许用户访问 Web 控制台而无需在其本地 PC 上进行附加安装。 

默认情况下,安装程序将 Web 控制台文件放入 \Inetpub\wwwroot\remote 文件夹中。 

此外,安装程序还将在核心服务器上创建 Web 控制台文件共享及所需的权限。 

Web 控制台和受管设备需要以下共享和权限才能正常工作: 

ldmain:服务器应用程序 (\Program Files\LANDesk\ManagementSuite)。“管理员”组必须具备“完全控 

制”权限。对于 Microsoft Windows 2003,Network Service 组必须有“读取和执行”、“列出文件夹内容” 

和“读取”权限。 

ldlog:日志 (\Program Files\LANDesk\ManagementSuite\log)。 

ldlogon:受管设备应用程序和代理 (\Program Files\LANDesk\ManagementSuite\ldlogon)。“管理员” 

组必须具备“完全控制”权限,“所有人”组必须具备“只读”权限。 

脚本:软件分发脚本 (\Program Files\LANDesk\ManagementSuite\Scripts)。 

如果 Web 控制台安装在核心服务器之外的服务器上,则已登录用户必须为域管理员,并且该域管理员帐户必 

须属于核心服务器的 LANDesk 用户组之一。核心服务器和 Web 控制台服务器必须位于同一个域中,并且需 

要使用 Web 控制台的任何用户都必须添加到核心服务器和 Web 控制台服务器上的其中一个 LANDesk 用户 

组。 

Management Suite 9 Web 控制台无法在旧版核心服务器或控制台上运行。只有 Management Suite 9 Web 控 

制台才能在 Management Suite 9 核心服务器或控制台计算机上运行。 

早期版本的 Management Suite 将无法使用。 

如果在 Microsoft Windows 2003 服务器上安装 Web 控制台,默认情况下,Internet Information Server (IIS) 

会禁用活动服务器页面。必须启用这些页面,Web 控制台才能正常工作。 

197

用户指南 

在 Windows 2003 服务器上启用活动服务器页面 

198 

1. 单击开始|管理工具|Internet 信息服务 (IIS) 管理器。 

2. 单击以展开。 

3. 单击 Web 服务扩展。 

4. 单击活动服务器页面。 

5. 单击允许。 

6. 关闭 Internet 信息服务 (IIS) 管理器窗口。 

为确认 Web 控制台的安装,可打开一个 Web 浏览器并输入 Web 服务器 URL。默认情况下,该 URL 为: 

http:///remote 

如果浏览器提示输入登录凭据并打开控制台,则安装成功。 

第一次启动控制台时,可能需要长达 90 秒的时间才能显示。这种延迟现象产生的原因是服务器必须对控制台 

代码进行一次编译。启用过一次后,控制台的启动速度就快得多了。 

如果访问 Web 控制台时出现权限被拒绝的错误,必须启用集成 Microsoft Windows 身份验证作为 Web 控制 

台站点的身份验证方法。 

如何校验身份验证方法 

1. 单击开始|管理工具|Internet 信息服务 (IIS) 管理器。 

2. 单击以展开 |Web 站点|默认 Web 站点。 

3. 单击远程文件夹下拉菜单中的属性。 

4. 单击目录安全性选项卡。 

5. 单击匿名访问和身份验证控制字段中的编辑。 

6. 清除启用匿名访问复选框。 

7. 选中集成的 Windows 身份验证复选框。 

8. 单击确定退出身份验证方法窗口。 

9. 单击确定退出远程属性窗口。 

10. 关闭 Internet 信息服务 (IIS) 管理器窗口。

控制台和 Web 控制台功能比较 

下表列出了 Management Suite 控制台和 Management Suite Web 控制台的功能。 

功能控制台 Web 控制台注意 


代理配置有最小具有“代理配置”权限的 Web 控制台用户可查看和控制 

“计划代理部署”和“更新”任务。 

警报有无 

防病毒有无 

列配置有有在 Web 控制台中,可从“首选项”下的“自定义列”选项卡 

中访问。 

配置服务有无迥然不同的行为:清单服务、调度程序服务、管理网 

关、PXE 行为、OSD 验证以及许多其他功能必须在控 

制台中配置。 

不过,两者均可查看授 

权状态。 

连接控制管理器有最小具有 CCM 权限的 Web 控制台用户可查看和控制计划的 

部署。 

自定义数据表单有无 

交付方式有有选项卡位于 Web 控制台中的“分发”下。 

设备右击有有迥然不同的操作 – 唯一重叠的功能是运行清单扫描(在 

Web“扫描设备”上)。 

目录管理器有有 

显示管理器有无 

分发程序包有有 

主机侵入保护有无 

LaunchPad 链接管理 

器 

日志有无 

有最小具有“软件分发”权限的 Web 控制台用户可查看和控制计 

划的 LaunchPad 链接部署。 

管理脚本有部分通过脚本,可计划和分组现有脚本。 

操作系统部署有最小具有 OSD 权限的 Web 控制台用户可查看和控制现有的 

操作系统部署脚本(通过“脚本”>“OSD 脚本”)。 

电源管理有最小 Web 控制台用户可能可以查看和控制计划的电源策略任 

务。 

部署有无 

PXE 启动菜单有无 

QueCapability 有部分 Web 控制台允许使用计数功能(控制台中没有该功 

199

用户指南 

200 

功能控制台 Web 控制台注意 

远程控制有有 

能)。查询可被视为 Web 控制台中的报告。 

报告有有报告控制台在单独的浏览器窗口中启动。 

计划任务有有 

范围有部分现有的范围可添加至用户,但无法创建新范围。 

安全和修补程序管理器有最小具有“修补程序管理器”权限的 Web 控制台用户可查看和 

控制计划扫描和修复任务。 

软件授权监视有部分在 Web 控制台中,无法查看产品使用情况数据,不提 

供单独的产品和组遵从性报告,并且无法忽略或分组产 

品。 

瘦客户端配置有无 

未管理设备搜寻有最小具有 UDD 权限的 Web 控制台用户可查看和控制“计划 

的未管理设备搜寻”。 

用户有无 

Windows CE 代理配置有无 

Windows CE CAB 创 

建器 

有无

运行 CoreDbUtil 重置、重新生成或更新数据库 


CoreDbUtil.exe 实用程序,位于核心服务器的 \Program Files\LANDesk\ManagementSuite 文件夹中,会创 

建使用该核心数据库所需的所有表、索引和约束条件。运行 CoreDbUtil.exe 之前,您必须正确安装数据库, 

否则表创建可能会失败。CoreDbUtil.exe 会在该核心服务器上查找注册表项,以确定核心数据库连接信息。 

在核心汇总数据库上,CoreDbUtil 不起作用。 

使用 CoreDbUtil: 

重置数据库:删除所有的表,并使用 DATAMART.XML 重新构建数据库。重新构建“漏洞”扫描数据库 

表。警告:现有的数据将全部丢失。 

构建组件:从 metadata.xml 更新现有核心数据库中的方案(特别是包含其他列)。此操作不破坏现有 

数据。 

发布应用程序列表: 使用 defaults.xml 和 ldappl3.template 发布软件配置列表以生成 ldappl3.ini、 

ldappl3.bak、ldappl3.ldz、ldappl3.pat、ldappl3.paz 和 ldappl3.reset。 

更新显示名称:为数据库中的所有设备更新现有核心数据库中的“显示名”字段。此操作不破坏其他的 

现有数据。 

运行 CoreDbUtil 

1. 在核心服务器上运行 CoreDbUtil.exe 

2. 将 CoreDbUtil 连接到数据库以后,选择所要的选项。 

3. 请稍候,等待状态变为已完成。取决于数据库大小和您选择的任务,此操作可能要几分钟或几个小 

时。 

如果重置数据库,则必须执行以下操作才能使某些修补程序管理和 LANDesk NAC 功能正常工作。 

在重设数据库后更新修补程序管理数据库组件 

1. 通过如下方式启动 CoreDbUtil: 

CoreDbUtil.exe /xml=datamartpm.xml 

2. 单击构建组件。 

201

用户指南 

选择核心服务器和数据库硬件 

安装 LANDesk Management Suite 核心服务器时,必须确定相关服务器的速度、内存和存储空间。管理员还 

必须确定何时移动到多个核心服务器。此部分将介绍这些决定。四个主要的硬件选择为 CPU、内存、存储空 

间和网卡选择。随后针对各种数量的受管节点列出硬件建议。 

网络中受管节点的数量将是做出决定的关键因素。收集网络信息时应已估计节点数。不过,其他因素(例如, 

哪些组件最常用、访问 LANDesk 控制台或 Web 控制台所需的人数、网络管理模型以及业务实践和标准的遵 

从性)也应该考虑在内。 

每个环境的硬件建议是不同的,以下是帮助确定特定环境所需硬件的一般准则。 

选择数据库软件时,有以下四种选择: 

202 

Microsoft SQL 2005 

Microsoft SQL 2008 

Oracle 10g 

Oracle 11g 

在一台服务器上托管所有管理套件服务(最多 750 个设备) 

如果管理套件管理域中的设备数小于等于 1,000,则可以将核心服务器、控制台、Web 控制台服务器以及核 

心数据库安装在一台服务器上。对于此类网络,您最好使用默认的 Microsoft MSDE 数据库,该数据库通常更 

易于维护。在不超过 1,000 个设备的配置中安装管理套件之前,您的服务器至少应满足以下系统要求: 

Intel Xeon 双核 32 位或 64 位处理器 

4 GB RAM 

100/1000 MB 网络适配器 

72 GB 可用磁盘空间,硬盘驱动器或阵列速度不低于 10K RPM 

重要说明:Microsoft SQL Express 2005 具有 4 GB 的限制。如果达到此限制,核心服务器将停止正常工作,并且数据库将 

不能再写入数据。每个代理可能会使用 2-4 MB 或更多的容量,因此请注意监视磁盘使用情况,并在达到 4 GB 限制之前升 

级到 SQL 的完整版本。 

在一台服务器上托管所有管理套件服务(750-1,500 个设备) 

如果您的管理套件管理域包含 1,001-3,000 个设备,您仍可仅使用一台服务器。在安装管理套件之前,您的服 

务器至少应满足以下系统要求。 

Intel Xeon 双核 32 位或 64 位处理器 

4 GB 或更多 RAM 

一个吉比特网络适配器 

3 个驱动器或阵列,每个阵列 72 GB 可用磁盘空间,驱动器速度不低于 15K RPM 

注意:如果操作系统、LANDesk Management Suite 应用程序、数据库应用程序、数据库和数据库日志都位于同一驱动器 

或阵列中,具有 750 到 1,500 个节点并且运行所有 LANDesk 功能的核心服务器可能会在驱动器上出现一些读/写缓慢现 

象。此时可能需要进行调整。对于托管这类完整功能配置的服务器,建议其三个驱动器阵列位于独立的轴(物理磁盘)上, 

以避免资源问题。应实施以下驱动器配置。 

一个驱动器或阵列用于操作系统 

一个驱动器或阵列用于 LANDesk Management Suite 应用程序和数据库应用程序 

一个驱动器或阵列用于数据库和数据库日志

重要说明:托管此配置的服务器要求其三个驱动器阵列位于独立的轴(物理磁盘)上。 

单一服务器配置(1,500-3,000 个设备) 


如果管理套件管理域包括 1,500 – 3,000 个设备,LANDesk 建议您将管理套件组件分配到两台服务器上以提 

高数据库性能。在安装管理套件之前,您的服务器至少应满足以下系统要求。 

在一台服务器上托管管理套件核心服务器和 Web 控制台软件 

双(两个物理处理器)Intel Xeon 四核 64 位处理器 

6-10 GB 或更多 RAM(4 GB 用于操作系统和 LANDesk 服务器,加上数据库的每个节点 1 到 2 MB。 

为留出 RAM 备用,建议使用 10 GB 容量。) 

重要说明:此配置中的管理套件核心服务器要求两个驱动器阵列位于独立的轴上。 

一个吉比特网络适配器 

3 个驱动器或阵列,每个阵列 72 GB 可用磁盘空间,驱动器速度不低于 15K RPM 

注意:如果操作系统、LANDesk Management Suite 应用程序、数据库应用程序、数据库和数据库日志都位于同一驱动器 

或阵列中,具有 1,500 到 3,000 个节点并且运行所有 LANDesk 功能的核心服务器可能会在驱动器上出现一些读/写缓慢现 

象。此时可能需要进行调整。对于托管这类完整功能配置的服务器,建议其三个驱动器阵列位于独立的轴(物理磁盘)上, 

以避免资源问题。应实施以下驱动器配置。 

一个阵列用于操作系统,采用 Raid 0、1、5 或同等/更快的技术 

管理套件软件应安装到采用 RAID 0、5、10 或同等/更快技术的阵列上 

一个阵列用于数据库和数据库日志,采用 RAID 0、RAID 5、RAID 10 或同等/更快的技术 

重要说明:托管此配置的服务器要求其三个驱动器阵列位于独立的轴(物理磁盘)上。 

多台服务器配置(3,000 – 5,000 个设备) 

如果管理套件管理域包括 3,000 – 5,000 个设备,LANDesk 建议您将管理套件组件分配到两台服务器上以提 

高数据库性能。在安装管理套件之前,您的服务器至少应满足以下系统要求。 


双(两个物理处理器)Intel Xeon 四核 32 位或 64 位处理器 


一个吉比特网络适配器(核心服务器与数据库彼此之间应具有吉比特连接) 

两个阵列,每个阵列 72 GB 可用磁盘空间,硬盘驱动器速度不低于 15K RPM 

操作系统阵列应采用 RAID 0、1 或同等/更快的技术 

管理套件软件应安装到采用 RAID 0、5、10 或同等/更快技术的阵列上 

由另一台服务器托管核心数据库 

建议数据库服务器使用 64 位操作系统进行内存管理 

重要说明:如果将 32 位 Windows Server 操作系统与 SQL 2000 Enterprise 或 SQL 2005 一起使用,则必须启用 AWE 

(Addressing Windowing Extensions)。 


4 GB 到 10 GB RAM(1 GB 用于操作系统,加上每个节点 1 – 2 MB。) 

重要说明:RAM 要求可能会有所不同。将此核心服务器将管理的设备总数乘以 2 MB 以获得更准确的估计。例如,5,000 

个设备需要 6-10GB RAM。 

SQL 2005 或 2008 Enterprise,或者 Oracle 10g 或 11g 

三个阵列,每个阵列 72 GB 可用磁盘空间,硬盘驱动器速度不低于 15K RPM 

203

用户指南 

204 

操作系统阵列应采用 RAID 1 或同等/更快的技术 

一个阵列用于数据库,采用 RAID 0、RAID 5、RAID 10 或同等/更快的技术 

一个阵列用于数据库日志,采用 RAID 0、1、5 或同等/更快的技术 

重要说明:此配置中的数据库服务器要求三个驱动器阵列位于独立的轴上。 


多台服务器配置(5,000-8,000 个设备) 

如果管理套件管理域包括 5,000-8,000 个设备,LANDesk 建议您将管理套件组件分配到两台服务器上以提高 

数据库性能。在安装管理套件之前,您的服务器至少应满足以下系统要求。 


四(四个物理处理器)Intel Xeon 四核 64 位处理器 





两个阵列,每个阵列 72 GB 可用磁盘空间,硬盘驱动器速度不低于 15K RPM 


管理套件软件应安装到采用 RAID 0、1、5、10 或同等/更快技术的阵列上 





6 GB 到 12 GB RAM(1 GB 用于操作系统,加上每个节点 1 – 2 MB。) 

重要说明:RAM 要求可能会有所不同。将此核心服务器将管理的设备总数乘以 2 MB 以获得更准确的估计。例如,8,000 

个设备需要 9-16GB RAM。 


三个阵列,每个阵列 72 GB 可用磁盘空间,硬盘驱动器速度不低于 15K RPM 




重要说明:此配置中的数据库服务器要求三个驱动器阵列位于独立的轴上。 


多台服务器配置(8,000-12,000 个设备) 

如果管理套件管理域包括 8,000 个或更多设备,LANDesk 建议您将管理套件组件分配到多台服务器上以提高 

所有区域中的性能。在安装管理套件之前,您的服务器至少应满足以下系统要求。 


四个物理处理器,每个均为双核或更高配置 

4 - 8 GB RAM 

两个阵列,每个阵列 72 GB 可用磁盘空间,硬盘驱动器速度不低于 15K RPM


管理套件软件应安装到采用 RAID 0、1、5、10 或同等/更快技术的阵列上 


重要说明:LANDesk 在 LDLogon 下的以下文件夹中会执行许多写入操作:LDScan、VulscanResults、sdstatus、 

AlertQueue 等。将驱动器作为文件夹(例如,LDlogon)而不是驱动器盘符进行安装可改善磁盘 I/O。 



应用程序阵列应位于另一独立的 RAID 阵列上 






四(四个物理处理器)Intel Xeon 四核 64 位处理器 

最低 12 到 24 GB 或更多 RAM 

重要说明:RAM 要求可能会有所不同。将此核心服务器将管理的设备数乘以 1 到 2 MB 以获得更准确的估计。例如, 

16,000 个设备需要 17 到 24 GB RAM。 


三个阵列,每个阵列 72 GB 可用磁盘空间,速度不低于 15K RPM 或采用同等/更快的技术 





非核心 Web 控制台服务器(可选) 

在某些组织中,可能会有大量的支持人员访问 Web 控制台。如果核心服务器已经负载很重,则使用 Web 控 

制台会显著拖慢速度。通过安装附加 Web 控制台服务器可解决此问题。 

Intel Xeon 处理器或更高配置(最好使用双核处理器) 

2-3 GB RAM 

吉比特网络适配器 

非核心清单服务器(可选) 

在某些组织中,可能会进行大量的清单扫描,并且核心服务器可能会由于使用其他 LANDesk® 功能而负载很 

重。在这种情况下,可能会需要将清单扫描转移到其他清单服务器。由于核心服务器支持多线程清单扫描,因 

此很少使用此功能;但如果核心服务器的处理器达到最大负载时,仍可能需要使用此功能。 

Intel Xeon 处理器或更高配置(最好使用双核处理器) 

2-3 GB RAM 

吉比特网络适配器 

多台服务器配置(16,000 个或更多设备) 

没错,凭借我们全新的 Enterprise 核心服务器功能,LANDesk 支持一个核心服务器管理超过 16,000 个节 

点。对于此规模和更大规模的 LANDesk Management Suite 安装,我们建议从 LANDesk Professional 

Services 或宝贵的专家解决方案提供商 (ESP) 获得进一步的调整帮助。 

205

用户指南 

安装 LANDesk Management Suite 

安装 Management Suite 之前,请确保您所选的服务器符合前面所介绍的系统要求。以下步骤会将 

Management Suite 随默认的 Microsoft SQL Express 2005 数据库一起安装。如果您将要使用其他支持的数据 

库之一,则需要安装并配置该数据库,然后再运行 Management Suite 安装程序。有关进行此操作和安装 

Management Suite 的详细说明,请访问 LANDesk 用户社区 http://support.landesk.com。 

安装 LANDesk Management Suite 9.0 之前必须禁用索引服务和 Windows 搜索服务;否则,可能会导致安装 

失败。有关详细信息,请参阅以下文章:http://community.landesk.com/support/docs/DOC-7245。 

由于每个环境的需求不同,我们建议您联系经销商或专家解决方案提供商 (ESP) 了解认证的 LANDesk® 部 

署。如果您无法确定经销商,请访问此站点以查找 LANDesk 内部销售经理,从而指导您找到经销商: 

206 

http://www.landesk.com/wheretobuy/default.aspx 

有关详细信息,请访问以下网站: 

http://www.landesk.com/SupportDownload/Support.aspx?id=3215 

安装 LANDesk Management Suite 

1. 从安装介质,启动 Autorun.exe。 

2. 在 LANDesk 自动运行中,单击核心服务器,然后单击继续。 

3. 在必要条件页面中,确保您的服务器通过必要条件检查。如果未通过,请安装缺少的必要条件,然后 

单击继续。 

4. 在数据库页面中,单击新建 9.0 数据库,然后单击继续。 

5. 在输入数据库信息页面中,输入并确认希望用于 SQL Express 的密码。


6. 在同一页面中,输入用于 Avocent Management Platform 的用户名,它随 Management Suite 一起安 

装并处理授权、报告和基于角色的管理。您提供的凭据可让您直接登录到 Avocent Management 

Platform。 

7. 单击继续。SQL Express 将进行安装,且安装程序将配置数据库。 

8. 数据库安装完成后,单击安装页面上的运行安装程序。 

9. 在欢迎页面上,单击下一步。 

10. 在许可证协议页面上,查看许可证并单击下一步。 

11. 在目标文件夹页面中,单击下一步以接受默认安装路径 (C:\Program Files\LANDesk\Management 

Suite\)。 

12. 在安全证书页面中,输入您的组织名称和证书名称,然后单击下一步。 

13. 在准备安装页面中,单击安装。 

14. 安装完成时,请单击立即重新启动。 

15. 重新启动后,等待五分钟,让所有的服务启动。 

16. 如 "核心激活" 在页面 208 中所述激活核心服务器。 

17. 启动控制台并使用在 Management Suite 安装过程中所使用的 Windows 用户凭据进行登录。(在安装 

过程中,系统自动授予此用户在控制台中的完全管理员权限。) 

启动控制台时,将打开一个入门向导,以帮助您配置 Management Suite。完成这些步骤非常重要。完成此操 

作后,请参阅 "配置设备代理" 在页面 238 和 LANDesk 用户社区 http://community.landesk.com,以了解关于 

代理部署的详细信息。 

207

用户指南 

核心激活 

本章介绍有关使用有效的 LANDesk 软件许可证激活核心服务器的信息。 

激活核心服务器 

LANDesk Software, Ltd. 使用 LANDesk 中心授权服务器帮助您管理核心服务器的产品和节点许可证。要使用 

LANDesk 产品,您必须从 LANDesk 获得一个将使用授权证书激活核心服务器的用户名和密码。必须在每个 

核心服务器上激活,才能在该服务器上使用 LANDesk 产品。您可以通过 Internet 自动激活每个核心服务器, 

或通过电子邮件手动激活每个核心服务器。如果您对一个核心服务器的硬件配置进行了较大更改,可能需要重 

新激活该核心服务器。 

每个核心服务器上的激活组件将定期生成以下相关数据: 

208 

您在使用的精确节点数 

非个人加密硬件配置 

您正在使用的具体 LANDesk Software 程序(总称“节点数数据”) 

激活组件不收集或生成任何其他数据。硬件密钥代码是使用非个人硬件配置因素在核心服务器上生成的,例如 

硬盘驱动器的大小、计算机的处理速度等。硬件密钥代码以加密格式发送到 LANDesk,该加密的私钥仅驻留 

在核心服务器上。然后,硬件密钥代码由 LANDesk 用于创建授权证书的一部分。 

安装核心服务器之后,请通过核心服务器激活实用程序(开始|所有程序 > LANDesk > 核心服务器激活)使 

用与您购买的许可证或 45 天评估许可证相关联的 LANDesk 帐户激活它。45 天评估许可证是用于 100 个节 

点的。当您在核心服务器上第一次激活产品时,45 天评估期即开始计算。如果您以后在 45 天期间在核心服 

务器上安装其他 LANDesk 产品进行评估,这并不会延长最初的 45 天评估期。在一台核心服务器上的所有 

LANDesk 产品都共享相同的评估许可证和相同的 45 天评估期。 

通过使用安装光盘的自动运行程序,您可以利用 45 天评估许可证安装其他 LANDesk 产品。从自动运行中安 

装所需的产品,并在安装过程中选择修改选项。然后您将可以在核心服务器上添加或删除 LANDesk 产品。 

您可以在任何时间通过运行核心服务器激活实用程序并输入您的 LANDesk 用户名和密码,将 45 天评估许可 

证转换为付款许可证。 

有两种类型的许可证,客户端许可证和服务器许可证。任何时候,您在服务器操作系统(如 Windows 2000 

Server 或 Windows 2003 Server)上安装 Management Suite 代理时,该安装对每个服务器都使用一个 

Management Suite 许可证。汇总核心服务器不需要激活。 

每次核心服务器上的激活软件生成节点数数据时,您需要将该节点数数据自动通过 Internet 或手动通过电子邮 

件发送到 LANDesk。如果您在初始节点数验证尝试之后 30 天宽限期内未能提供节点数数据,核心服务器可 

能会无法运行,直到您向 LANDesk 提供了节点数数据。一旦您发送了该节点数数据,LANDesk 将向您提供 

一个允许核心服务器重新正常运行的授权证书。 

一旦您激活了一个核心服务器,您可以使用 Management Suite 控制台的配置|产品授权对话框查看这些产 

品,以及为认证该核心服务器的帐户所购买的授权节点数。您也可以看到核心服务器将在中心授权服务器验证 

节点数数据的日期。核心服务器不限制您购买的授权节点数。 

关于核心服务器激活实用程序 

使用核心服务器激活实用程序: 

第一次激活新的服务器 

更新现有的核心服务器或从试用许可证转换为完全试用许可证

激活具有 45 天试用许可证的新服务器 


通过单击开始 > 所有程序 > LANDesk > 核心服务器激活启动该实用程序。如果您的核心服务器没有 Internet 

连接,请参阅 "手动激活核心或验证节点数数据" 在页面 210。 

每个核心服务器必须有一个唯一的授权证书。多台核心服务器不能共享同一授权证书,尽管它们可以向同一 

LANDesk 帐户验证节点数。 

核心服务器会定期在“\Program Files\LANDesk\Authorization Files\LANDesk.usage”文件中生成节点数验证信 

息。此文件定期发送到 LANDesk 授权服务器。此文件是 XML 格式的,并被数字签名和加密。任何对此文件 

进行的手动更改都将使其内容和下一次向 LANDesk 授权服务器发送的使用情况报告无效。 

核心服务器通过 HTTP 与 LANDesk 授权服务器通信。如果您使用代理服务器,请单击该实用程序的代理选项 

卡并输入您的代理信息。如果您的核心有 Internet 连接,则与授权服务器之间的通信是自动的,并且不要求您 

进行任何干预。 

请注意核心服务器激活实用程序将不会自动启动拨号 Internet 连接,但是如果您手动启动了拨号连接并运行激 

活实用程序,该实用程序可以使用该拨号连接报告使用情况数据。 

如果您的核心服务器没有 Internet 连接,您可以如本节中后面所述,手动验证和发送节点数。 

使用 LANDesk 帐户激活服务器 

在利用完全使用许可证激活新的服务器之前,必须在 LANDesk 设置一个帐户,以授权您使用所购买数量的 

LANDesk 产品和节点。要激活您的服务器,您将需要帐户信息(联系名称和密码)。如果您没有此信息,请 

联系您的 LANDesk 销售代表。 

激活服务器 

1. 单击开始 > 所有程序 > LANDesk > 核心服务器激活。 

2. 单击使用您的 LANDesk 联系名称和密码激活此核心服务器。 

3. 输入您想要核心使用的联系名称和密码。 

4. 单击激活。 

使用试用许可证激活服务器 

45 天试用许可证使用 LANDesk 授权服务器激活您的服务器。一旦 45 天评估期过去,您将无法登录到核心服 

务器,并且它将停止接受清单扫描,但是您不会丢失软件或数据库中所有现有的数据。在 45 天试用许可期间 

或之后,您可以重新运行核心服务器激活实用程序,并转换为使用 LANDesk 帐户的完全激活。如果试用许可 

证过期,转换为完全使用许可证将重新激活核心。 

激活 45 天评估 


2. 单击激活此核心以进行 45 天评估。 


更新现有帐户 

更新选项将使用情况信息发送到 LANDesk 授权服务器。如果您有 Internet 连接,使用情况数据会自动发送, 

所以您通常不需要使用此选项发送节点计数验证。您还可以使用此选项更改核心服务器所属的 LANDesk 帐 

户。此选项也可将一个核心服务器从试用许可证转换为完全使用许可证。 

更新现有帐户 


2. 单击使用您的 LANDesk 联系名称和密码更新此核心服务器。 

209

用户指南 

210 

3. 输入您想要核心使用的联系名称和密码。如果您输入了与原来激活核心的用户名密码不同的用户名密 

码,这会将该核心转换到新的帐户。 


手动激活核心或验证节点数数据 

如果核心服务器没有 Internet 连接,核心服务器激活实用程序将无法发送节点计数数据。然后,您将看到一条 

消息,提示您通过电子邮件手动发送激活和节点数验证数据。电子邮件激活是一个便捷的过程。当您在核心上 

看到手动激活消息时,或如果您使用核心服务器激活实用程序并看到手动激活消息,请执行以下步骤。 

手动激活核心或验证节点数数据 

1. 当核心提示您手动验证节点数数据时,它会在“\Program Files\LANDesk\Authorization Files”文件夹中 

创建一个名为 {languagecode}-activate.{ datestring}.txt 的数据文件。将此文件附加到一个电子邮件消 

息并将其发送到 licensing@landesk.com。消息主题和正文无关紧要。 

2. LANDesk 将处理该邮件附件并回复到您发送该邮件的邮件地址。LANDesk 消息会提供说明和新附加 

的授权文件。 

3. 将附加的授权文件保存到“\Program Files\LANDesk\Authorization Files”文件夹。核心服务器会立即处 

理该文件并更新其激活状态。 

如果手动激活失败或核心不能处理附加的激活文件,则您复制的授权文件会使用 .rejected 扩展名重命名,并 

且该实用程序会在 Windows 事件查看器的应用程序日志中记录一个具有更多详细信息的事件。

基于角色的管理 


LANDesk Management Suite 使您可以通过各种基于角色的管理功能来管理控制台用户。您可以: 

分配详细的基于功能的组权限 

通过本地或 LDAP 用户组,将权限轻松地分配到多个用户 

在多个核心服务器之间同步控制台用户配置 

您可以根据用户的职责、您希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为他们创建角 

色。您可以将用户能访问的设备限定在某个地理位置,例如国家、地区、州(省)、城市甚至一个办公室或部 

门。也可以将访问限定为特定的设备平台、处理器类型或某些其他设备硬件或软件属性。通过使用基于角色的 

管理,您可以全权掌握要创建多少个不同的角色,哪些用户可以充当这些角色,他们的设备访问范围应该有多 

大或多小。例如,您可以指定一个或多个用户充当软件分发管理员,指定另一个用户负责远程控制操作,再指 

定一个用户负责运行报告,等。 

如果您管理的控制台用户不多,或者您不希望限制所拥有的控制台用户数量,您可以完全排除基于角色的管 

理,并将用户添加到核心服务器的本地 LANDesk 管理员组。该组的成员拥有控制台的完全访问权限,并可管 

理所有设备。默认情况下,用于安装 Management Suite 的帐户位于 LANDesk 管理员组。 

211

用户指南 

下表列出了一些您可能要实施的 Management Suite 管理角色、用户要执行的常见任务,以及用户有效行使该 

角色的职责所需的权限。 

212 

角色任务所需的权限 

管理员配置核心服务器、安装附加控制台、执行数据库汇总、 

管理用户、配置警报等。(当然,具备所有权限的管理 

员可以执行任何管理任务。) 

设备清单管理员搜寻设备、配置设备、运行清单扫描器、创建和分发自 

定义数据表单、启用清单历史记录跟踪等。 

服务台远程控制设备、聊天、传输文件、执行软件、关闭、重 

新启动、查看代理和健全性状态等。 

Management Suite 管理员 

(意味着拥有所有权限)。 

核心服务器的 LANDesk 管 

理员本地组成员。 

设备管理。核心服务器的 

LANDesk Management 

Suite 本地组成员。 

远程控制工具。核心服务器 

的 LANDesk Management 


应用程序管理员分发软件包、使用定向多播和对等下载等。软件分发。核心服务器的 

LANDesk Script Writers 本 

地组成员。 

迁移管理员创建映像、部署操作系统映像、迁移用户配置文件、创 

建和分发用户启动的配置文件迁移程序包、部署 PXE 代 

表、分配 PXE 暂存队列、配置 PXE 启动菜单、创建启 

动软盘等。 

报告管理员运行预定义的报告、创建自定义报告、打印报告、发布 

报告、导入和导出报告、测试用户报告等。 

软件授权监视管理员配置要监视的应用程序、添加许可证、给许可证降级、 

验证报告等。 

安全管理员下载安全内容更新和修补程序、配置设备以进行安全和 

防病毒扫描、创建漏洞扫描和配置安全扫描器设置、创 

建防病毒扫描和配置防病毒设置、编辑自定义变量和配 

置自定义变量覆盖设置以及其他许多与安全有关的任 

务。 

注意:某些管理角色示例需要基本 Web 控制台权限以便使用 Web 控制台中的功能。 

操作系统部署。核心服务器 

的 LANDesk Script Writers 

本地组成员。 

报告设计器或报告查看器角 

色。核心服务器的 LANDesk 

Management Suite 本地组 

成员。 

软件授权监视。核心服务器 

的 LANDesk Management 


端点安全。LANDesk Script 

Writers 本地组成员。 

这些只是管理角色示例。基于角色的管理非常灵活,因此,您可以根据自己的需要创建任意多个自定义角色。 

您可以给不同的用户分配一些相同的权限,但将他们的访问权限限制为范围较窄的一组设备。甚至可以用范围 

来限制管理员,使他们实质上只是某地理区域或某类未管理设备的管理员。如何利用基于角色的管理取决于您 

的网络、人力资源以及您的具体需要。

以下为使用基于角色的管理的基本流程: 

1. 为控制台用户创建角色。 

2. 向 Windows LANDesk Management Suite 组添加控制台用户。 

3. 对每个用以指定控制台用户的活动目录创建身份验证。 

4. 可以选择使用范围来限制控制台用户可以管理的设备列表。 

5. 通过向包含控制台用户的活动目录组分配角色,来创建组权限。 

6. 可以选择使用团队对控制台用户进一步分类。 

注意:如果您从 Management Suite 8 升级,安装过程中将创建一个日志文件 \LANDesk\Management 

Suite\RBAUpgradeReport.txt。该文件中包含可以帮助您将 8.x 中的角色映射到 9.x 的信息。 

关于使用角色的更多信息,请参阅以下章节: 

"添加 Management Suite 控制台用户" 在页面 213 

"管理身份验证" 在页面 214 

"管理角色" 在页面 215 

"了解控制台权限" 在页面 217 

"管理组权限" 在页面 223 

"创建范围" 在页面 225 

"使用团队" 在页面 226 

"使用基于角色的管理来管理报告访问" 在页面 227 

添加 Management Suite 控制台用户 


Management Suite 用户可以登录到控制台并为网络中的特定设备执行特定任务。在安装 Management Suite 

时登录到服务器的用户会自动放入 Windows NT LANDesk 管理员组中,这将使他们拥有完整的管理员权 

限。此人负责向控制台添加其他用户组并分配权限和范围。一旦创建其他管理员,他们也能执行相同的管理任 

务。 

Management Suite 安装将在核心服务器上创建本地 Windows 组。这些组控制着核心服务器上 Management 

Suite 程序文件夹的文件系统权限。您必须手动添加控制台用户到其中一个本地 Windows 组: 

LANDesk Management Suite:该组允许基本的核心服务器访问。Management Suite 文件夹为只 

读。该组的用户不能向脚本目录写入数据,因此不能管理脚本。对于该组用户,修补漏洞和操作系统 

部署将无法正确运行,因为这两个功能均使用脚本。 

LANDesk Script Writers:此组包含了 LANDesk Management Suite 组的权限,同样允许用户向脚 

本文件夹写入数据。修补漏洞和操作系统部署要求拥有组成员身份。 

LANDesk 管理员:这是控制台访问的故障安全组。此组的用户在控制台中拥有完整的权限,包括写 

入脚本。默认情况下,安装 Management Suite 的用户帐户被添加到此组。如果您没有许多的控制台用 

户,或您不想限制您拥有的控制台用户,您可以完全忽略基于角色的管理,而仅把用户添加到此组即 

可。 

向控制台添加完全的管理员时,您可以将它们添加到核心服务器的本地 LANDesk 管理员组,也可将它们添加 

到另一个拥有 LANDesk“管理员”权限的组。唯一的区在于,Windows LANDesk 管理员组的用户不能从控制 

台删除,除非它们从 LANDesk 管理员组中被移除。 

重要说明:不要将用户帐户放入拥有组权限的多个本地或 Active Directory 组。如果帐户在多个拥有组权限的组中,控制台 

将不能定义要应用的组权限,导致结果权限不一致。要拥有多个组的权限,最好的方法是创建一个组,在此组中有用户需要 

的所有角色,然后将用户加入到此组。 

重要说明:辅助控制台和核心服务器必须在同一个域或工作组中。控制台用户不能向位于不同域或工作组的核心服务器请 

求身份验证。 

213

用户指南 

从 Windows 计算机管理对话框将用户添加至 LANDesk 组 

214 

1. 浏览并找到服务器的管理工具 > 计算机管理 > 本地用户和组 > 组实用程序。 

2. 右击您要想要的 LANDesk 组,然后单击添加到组。 

3. 在组的属性对话框中,单击添加。 

4. 在选择用户和组对话框中,从列表选择所需用户(和组)然后单击添加。 


查看用户日志和删除用户 

“用户”工具的所有用户组是在控制台用户登录时自动填充的日志。您可以看到它们上次登录的时间、它们的 

组、角色以及团队。例如,您可以监视长时间未登录的用户,并考虑它们是否需要所拥有的权限。当添加控制 

台用户时,仅当他们登录控制台后才会出现在列表中。 

您还可以从列表中删除用户。删除用户时,系统将提示您决定如何处理其拥有的控制台项,例如查询、计划任 

务等。您可以让控制台自动删除它们拥有的项,也可让控制台将它们拥有的项重新分配给您选择的另一个用 

户。注意,删除用户时仅仅是从 Management Suite 用户数据库中删除了该用户。您还需要从给予该用户控制 

台访问权的 Active Directory 组中手动删除该用户。否则,被删除的用户仍可登录控制台。 

查看用户日志 

1. 单击工具 > 管理 > 用户。 

2. 单击用户、角色和范围树中的所有用户。 

删除控制台用户 


2. 单击用户、角色和范围树中的所有用户。 

3. 选择要删除的用户,然后按 Delete 键。 

4. 如果要删除与此用户相关联的对象,请单击确定。 

5. 如果您想重新分配与控制台用户关联的对象,选择将对象分配给以下用户,然后单击您想用来接收这 

些对象的用户或者团队,单击确定。 

6. 从给予该用户控制台访问权的本地或 Active Directory 组中删除该用户。 

管理身份验证 

使用身份验证树,可以为将拥有控制台访问权限的 Active Directory 组定义凭据。这些凭据只需让 

Management Suite 来列举目录。对于将拥有控制台访问权限的用户所在的每个活动目录,均需提供凭据。您 

所提供的凭据将决定可以选择哪些用户组来分配控制台组权限。 

控制台身份验证基于 Windows 本地或 Active Directory 组成员身份。当 LANDdesk 管理员向本地或 Active 

Directory 组分配权限时,该组的成员可以登录 Windows 或 Web 控制台,并共享分配到该组的权限。 

管理 Active Directory 用于 Management Suite 时需要注意以下问题: 

Active Directory 与 DNS 和 TCP/IP 完全集成(DNS 是必需的、全功能的,DNS 服务器必须支持 

SRV 资源记录或服务记录)。 

即使向用户分配了 Management Suite 权限,使用 Active Directory 将用户添加至在控制台中使用的组 

仍不能使用户登录到控制台。要登录到控制台,用户必须属于核心服务器的本地 LANDesk 组。有关 

详细信息,请参阅 "添加 Management Suite 控制台用户" 在页面 213。 

要使 Active Directory 能够与基于角色的管理正常工作,需要在核心服务器上配置 COM+ 服务器凭 

据。这样,核心服务器就可以使用其 LANDesk 组中的帐户,该组具有列举 Windows 域成员(如管理 

员帐户)所需的权限。有关如何执行配置的说明,请参阅配置 COM+ 服务器凭证。


如果用于某个身份验证的帐户密码发生改变,您必须登录到控制台,并在身份验证对话框中更改成新的密码。 

您可以作为本地组登录以完成该操作。当用户登录时会进行身份验证,所以现有的会话仍将继续。域中的用户 

密码如有更改,除非“用户”工具中的密码得到相应更正,否则该用户将无法登录。 

添加身份验证 

1. 在用户工具中,右击身份验证,然后单击新建身份验证。 

2. 在在身份验证详细信息对话框中,输入用以访问 Active Directory 的凭据。 


设置 Active Directory 权限 

当使用基于 RBA 的 Active Directory 时应用以下规则: 

如果用户是 Active Directory 组或 OU 的成员,则用户将继承该组或 OU 的 RBA 权限。 

如果用户是 Active Directory 组或 OU 的成员,而该 Active Directory 组或 OU 属于更高级组或 OU 的 

成员,则该用户将继承更高级别组或 OU 的 RBA 权限。 

组可以嵌套,并根据常用的 Active Directory 规则继承适当的权限。 

管理角色 

使用“角色”树来定义和维护管理角色以及与之相关联的控制台权限。控制台权限基于 Management Suite 功 

能。例如,您可以创建帮助中心角色并给予其远程控制权限。 

您可以根据需要,添加任意数量的附加角色。新角色不会自动分配到用户组。一旦您创建了角色,它将与组权 

限树中的用户组相关联。 

由于您可以分配多个角色给一组用户,请确定您分配权限的方式。您可以分配基于作业说明的权限,如“帮助 

中心”,或者分配基于控制台功能的权限,如“远程控制”。根据您组织可能拥有的控制台用户的类型和数量,其 

中一种方式可会比另一种方式更好。 

215

用户指南 

创建角色 

216 

1. 在用户工具中,右击角色,然后单击新建角色。 

2. 在新建角色对话框中,输入角色名称。 

3. 通过单击相应列中的符号来启用或禁用所需权限。每次单击都将切换权限的状态。 

4. 选中要与角色关联的设备范围。 

5. 设置所需的远程控制时间限制。 

6. 单击“保存”。 

了解权限和状态 

用户可以拥有四种权限: 

查看:允许用户访问控制台工具。 

编辑:允许用户在相关的控制台工具中作出更改。包含查看权限。 

部署:允许用户创建、修改或删除与相关控制台工具相关联的任意计划任务。 

编辑公共:允许用户创建、更改或删除控制台工具的公共文件夹中的项。 

并非所有权限支持所有类型。例如,“公共查询管理”权限仅拥有“编辑公共”类型。再拥有“查看”、“编辑”或“部 

署”类型将没有意义。 

权限可以拥有三种状态: 

选中标记 

X 

不适用的符号 

单击选中标记或 X 将切换其状态。


如果用户没有某个工具的权限,则他们在登录控制台后将不会看到此工具。此工具将不会在工具箱或工具菜 

单中显示。 

计划任务工具仅对拥有“部署”权限的用户可见,在这种情况下,他们仅能运行与他们拥有部署权限的工具相关 

联的任务。其他所有任务为只读。 

了解默认角色 

在“角色”树下有三个默认角色。不能编辑或删除默认角色。 

LANDesk 管理员:此角色拥有所有控制台权限,包括添加和删除控制台用户。 

ReportingDesigner:此角色使用户能够创建、编辑和运行报告。 

ReportingViewer:此角色使用户能够运行报告。 

LANDesk 管理员拥有所有范围和权限的完全权限。他们同样可以完全访问“用户”工具并作出任何想要的更 

改。只有拥有管理员权限的用户才能配置运行在核心服务器上的 LANDesk 服务。 

有关报告角色的更多信息,请参阅报告章节。 

了解“编辑公共”权限 

工具的“公共”组对所有用户可见。公共组中的项为只读,除非您拥有“编辑公共”权限。拥有此功能上“编辑公共” 

权限的用户仅能编辑此功能的公共项。其他公共项将为只读。只读项仍然有用,因为用户可以复制这些项到 

“我的...”树组,然后在那里编辑它们。 

计划任务工具的“公共”组的工作方式稍有不同。“公共”组中的所有任务对拥有“部署”权限的用户可见,包括用 

户可能无访问权限的功能的任务。但是,只有用户拥有“部署”权限的任务可以编辑。其余任务为只读。 

如果您拥有“编辑公共”和“部署”权限类型,您可以在“公共”组中创建、添加和删除任务。 

使用远程控制时间限制 

当创建角色时,您也可以定义远程控制时间限制。这些时间限制将限制控制台用户能够启动远程控制会话的小 

时数和天数。启用时,请为您想允许远程控制的时间段指定每星期的天数、起始时间(使用 UTC 格式)和持 

续时间。 

注意,起始时间请使用 UTC(世界标准时间或格林威治标准时间)格式。核心服务器通过检查核心服务器的 

操作系统报告的 UTC 时间来确定起始时间。核心服务器不会根据控制台用户的本地时区进行调整。当输入起 

始时间值时,您需要为 UTC 时间与控制台操作员本地时区的差异进行补偿,并使用调整后的时间。 

了解控制台权限 

控制台权限授予用户对 Management Suite 特定工具和功能的访问权。用户必须具有所需的权限才能执行相应 

的任务。例如,要远程控制他们范围内的设备,用户必须属于某个具有“远程控制”权限的组。 

基于角色的管理包括下列权限: 


代理配置 

警报 

基本 Web 控制台 

核心服务器同步 

自定义数据表单 

设备管理 

添加或删除设备 

217

用户指南 

218 

瘦客户端 

链接管理 

设备监视 

设备电源控制 

管理本地用户和组 

管理公共设备组 

不受管的设备搜寻 

操作系统部署 

电源管理 

公共查询管理 

刷新范围 

远程控制工具 

对话 

端点安全 

软件分发 

软件许可 

用户管理 

执行程序 

重新启动 

远程控制 

传输文件 



安全配置 

交付方式 

目录管理 

分发程序包 

管理脚本 

参阅以下说明,了解每种权限的详细信息以及如何使用权限来创建管理角色。 

范围控制对设备的访问 

请记住:在使用这些权限授予的功能时,用户始终被限制在其范围(他们能够看到和操纵的设备)之内。 


Management Suite 管理员权限授予用户对所有应用程序工具的完全访问(但是,这些工具的使用仍然仅限于 

该管理员范围中包含的设备)。 

具备 Management Suite 管理员权限的用户能够: 

使用“用户”工具管理用户。 

查看和配置配置菜单中的“产品授权”。 

配置 LANDesk 服务。 

重要说明:执行其他权限允许的所有 Management Suite 任务。

代理配置 

警报 

无权限:无法看到工具。 

查看:可以看到该工具,也可以查看所有信息。无法进行任何更改。 

编辑:可以查看和更改所有信息。无法部署代理配置作业。 


部署:可以查看一切信息。无法进行任何更改。可以计划任何可见的代理配置任务(包括公共)。 

编辑公共:可以向公共分配配置。可以编辑公共配置。 



编辑:可以查看和更改所有信息。无法部署。 

部署:可以查看一切信息。无法进行任何更改。可以部署。 

基本 Web 控制台 

无权限:无法登录到 Web 控制台。 

查看:不适用。 

编辑:可以登录 Web 控制台,并查看最基本的信息。 

部署:不适用。 


无权限:无核心服务器同步工具。无自动同步或复制到核心服务器的右击选项。仍然显示导入和导出 

选项。(对于拥有这些选项的工具,这些选项已连接到“编辑”权限。) 

查看:可以看到工具,但无法进行任何修改。同上,在上下文菜单中也没有同步选项。 

编辑:可以进行一切操作。添加/删除目标核心服务器,打开或关闭组件,启用实例上的自动同步和手 

动同步。 


自定义数据表单 



编辑:可以查看和更改所有信息。无法部署。 

部署:可以查看一切信息。无法进行任何更改。可以部署。 

设备管理 

添加/删除设备 

无权限: 

在网络视图中查看所有设备时,无法在上下文菜单中看到插入新计算机。 

在网络视图中选择某个设备时,无法在上下文菜单中看到删除选项。 

无法看到网络视图 > 配置 > 用户添加的计算机树节点。 


编辑: 

在网络视图中查看所有设备时,在上下文菜单中可以看到和使用插入新计算机。 

219

用户指南 

220 

在网络视图中选择某个设备时,在上下文菜单中可以看到和使用删除选项。 

可以看到网络视图 > 配置 > 用户添加的计算机树节点。 


管理公共设备组 

无权限:无法更改公共设备中的任何信息。 


编辑:不适用。 


编辑公共:可以在公共设备中创建、删除和更改设备组。可以将设备组移动到公共设备。 

不受管的设备搜寻 

无权限:无法看到 UDD 工具。 

查看:可以打开 UDD 工具,并查看任何项。无法进行任何创建/删除/编辑操作。 

编辑:可以打开 UDD 工具,并查看任何项。可以进行任何创建/删除/编辑操作。 

部署:可以打开 UDD 工具,并查看任何项。无法进行任何创建/删除/编辑操作。可以计划 UDD 任 

务。 

设备监视 

无权限:无法在配置菜单中看到设备监视。 

查看:可以看到“警报”工具和“日志”工具。可以查看设备监视工具中的信息。无法进行编辑。 

编辑:可以看到“警报”工具和“日志”工具。可以查看和编辑设备监视工具中的信息。 


唤醒/重新启动/关机 

编辑:当选中某个设备时,可以在上下文菜单中看到和使用唤醒、重新启动和关机选项。 

管理本地用户和组 

编辑:当选中某个设备时,可以在上下文菜单中看到和使用管理本地用户和组。 

手持设备 

无权限:无法看到手持设备工具。 

查看:可以看到手持设备工具。无法进行任何更改。 

编辑:可以创建、编辑和删除项。无法计划作业。 

部署:无法创建、编辑和删除项。可以计划作业。可以在计划任务工具中使用手持设备任务按钮。 

Launchpad 

无权限:无法看到 Launchpad 工具。 

查看:可以看到该工具。无法进行任何更改。 

编辑:可以创建、编辑和删除项。无法计划任务/策略。 

部署:无法创建、编辑和删除项。可以计划任务/策略。

操作系统部署 

无权限:无法看到操作系统部署工具。 


编辑:可以创建、编辑和删除项。无法计划任务。 

部署:可以对可见项(包括公共)计划任务。无法创建、编辑和删除项。 


编辑公共:可以将项移动到“公共”文件夹。可以在“公共”文件夹中创建、编辑或删除项。 

电源管理 

无权限:无法看到“电源管理”工具。 


编辑:可以创建、编辑和删除项。无法计划任务。 



公共查询管理 

无权限:常规操作。 




编辑公共:可以将查询移动到“公共”文件夹。可以在“公共”文件夹中创建、编辑或删除查询。 

刷新范围 

无权限:网络视图的刷新范围工具栏按钮不能进行任何操作。 

编辑:网络视图的刷新范围可以更新所有的范围。当您向范围添加了设备或更改了用户的范围,并希望该用 

户看到新的范围时,可以使用此选项。否则,将在长达一个小时以后自动刷新范围。 

远程控制工具 

远程控制 

无权限:在上下文菜单中无法看到远程控制 > 远程控制选项。 

查看:可以看到远程控制 > 远程控制选项,并可对设备进行远程控制。无法控制设备(只能查看)。 

编辑:可以看到远程控制 > 远程控制选项,可对设备进行远程控制,同时可对其进行操控。 


执行程序 

编辑:可以看到和使用远程控制 > 执行程序选项。执行程序选项在远程控制窗口中启用。 

传输文件 

对话 

编辑:可以看到和使用远程控制 > 传输文件选项。传输文件选项在远程控制窗口中启用。 

编辑:可以看到和使用远程控制 > 对话选项。对话选项在远程控制窗口中启用。 

221

用户指南 

重新启动 

222 

编辑:可以看到和使用远程控制 > 重新启动选项。重新启动选项在远程控制窗口中启用。 

安全性 


无权限:无法看到工具。无法看到该工具所创建软件分发中的任何计划任务和策略。 

查看:可以看到该工具。可以看到其中的一切信息。无法下载内容、创建/编辑/删除配置,或进行任何 

修改。该信息是只读的。 

编辑:可以看到该工具。可以看到其中的一切信息。可以编辑任何信息。无法进行任何计划,包括: 

内容下载、扫描作业、修复作业、收集历史记录等。 

部署:可以看到该工具。可以看到其中的一切信息。无法修改任何信息,但可以使用可见项(包括公 

共)的信息创建任务或策略。 


安全配置 

无权限:无法看到工具。在计划任务窗口中,无法看到该工具所创建的任何计划任务或策略。 

查看:可以看到该工具和“安全活动”工具。可以查看,但无法修改任何配置,或创建任何任务。 

编辑:可以看到该工具和“安全活动”工具。可以看到其中的一切信息。可以编辑任何信息。无法进行任 

何计划。 

部署:可以看到该工具和“安全活动”工具。可以看到其中的一切信息。无法修改任何信息,但可以创建 

任务或策略并部署到客户端,或针对可见项(包括公共)更改其配置。 




查看:可以看到该工具和查看一切信息(如 802.1x 配置)。无法进行任何更改。 

编辑:可以看到和修改一切信息,包括发布 NAC 设置。 


软件分发 

交付方式 

查看:可以看到该工具及其中的一切信息。 

编辑:可以创建/编辑/删除方法。 

部署:不适用 



查看:可以看到该工具及其中的一切信息。 

编辑:可以创建/编辑/删除程序包。 

部署: 

可以在“分发程序包”工具中部署程序包。

可以在“计划任务”工具中使用创建软件分发任务按钮。 

可以在“计划任务”工具中使用创建自定义脚本任务按钮。 

这适用于所有可见项(包括公共)。 



目录管理器 

查看:可以看到该工具及其中的一切信息(假定用户已通过身份验证)。 

编辑:可以身份验证至新目录,可查看一切信息,还可创建/编辑/删除查询。 


管理脚本 


编辑:可以查看和更改所有信息。无法计划任务。 



计划任务 

如果用户拥有下列任意工具的“部署”权限,则可以看到计划任务工具。 

如果用户拥有“部署”权限,则可以对他们拥有“部署”权限类型的任务(如代理配置、软件分发、修补 

等)的任何部分进行修改。 

如果用户拥有“部署”权限,他们仅可更改“公共”任务的目标和计划窗格。 

如果用户拥有“部署”权限和“编辑公共”权限,则可以对“公共”任务进行任何更改,并可将任务移入或移 

出“公共”文件夹。 

如果用户拥有“编辑公共”权限,但没有“部署”权限,则他们无法编辑此类型的任何任务,包括公共任 

务。 

软件授权监视 

无权限:无法看到“软件授权监视”工具。 

查看:可以查看一切信息。无法进行任何更改。 

编辑:可以查看和编辑一切信息。 


用户管理 

无权限:无法看到“用户”工具。 

查看:可以查看一切信息。无法进行任何更改。 



管理组权限 

使用组权限树将本地或 Active Directory 组与您所创建的角色相关联。这种角色与组的组合称为组权限。添加 

或编辑组权限时,只能看到为其提供了身份验证凭据的活动目录。 

您不能向单个用户分配权限,仅可对组分配权限。如果您想为单个用户分配权限,必须先把他们放入一个组 

中,然后向该组分配权限。 

223

用户指南 

您可以为单个 Active Directory 组分配多个角色。如果所选角色中存在权限冲突,则组权限包含组合角色的权 

限之和。例如,如果其中的一个角色允许远程控制,而另一个角色则禁止远程控制,那么最终的组权限将允许 

远程控制。 

通常,您应当避免向默认本地组分配组权限:LANDesk Management Suite、LANDesk Script Writers 和 

LANDesk 管理员。分配组权限到某个组将影响组中的所有成员。由于所有控制台用户都必须是这三个组中某 

个组的成员,因此您可能会无意中限制了所有用户访问控制台功能的权限。 

注意:LANDesk 管理员组权限将 LANDesk 管理员角色与 LANDesk 管理员本地用户组关联起来。组权限不可编辑或删 

除。 

创建组权限 

1. 在用户工具中,右击组权限,然后单击新建组权限。 

2. 在组权限对话框中,输入您的组权限名称。 

3. 选择 AD 身份验证源。这将确定在可用 AD 组框中显示哪些组。 

4. 使用 >> 和

5. 选择要为该组权限分配的角色。 


创建范围 

范围定义 Management Suite 用户能够查看和管理的设备。 


根据您的需要,范围可大可小,可以包含已扫描到核心数据库中的所有受管设备,也可能只包含一个设备。正 

是这种灵活性加上模块化的工具访问,使基于角色的管理成为用途如此广泛的管理功能。 

默认范围 

Management Suite 基于角色的管理包括一个默认的范围:“默认范围 - 全部机器。”此范围包含数据库中所有 

受管设备。不能编辑或删除默认范围。 

自定义范围 

可以创建并分配给用户的自定义范围有三种: 

LDMS 查询:仅控制对与自定义查询搜索相匹配的设备的访问。您可以在“范围属性”对话框中选择现 

有的查询来定义范围,也可以创建新的查询来定义范围。注意,您还可以将查询从网络视图中的查询 

组直接复制到范围组中。有关创建查询的更多信息,请参阅 "创建数据库查询" 在页面 257。 

LDAP:仅控制对位于 LDAP 兼容目录结构中的清单扫描器搜集的设备的访问。从选择可见的设备对 

话框中选择目录位置来定义范围。基于目录的范围类型还支持自定义目录位置(如果己输入作为代理 

配置一部分的自定义目录路径)。可用的自定义目录路径显示在选择可见的设备对话框中。如果没有 

LDAP 兼容结构,或者希望通过特定的组织细节(如地理位置或部门)来限制对设备的访问,则可使 

用自定义目录来定义范围。 

设备组:仅控制对属于网络视图中特定设备组的设备的访问。 

一次可为 Management Suite 用户指定一个或多个范围。此外,一个范围可与多个用户相关联。 

如何运行多个范围 

您可以为任何 Management Suite 用户指定多个范围。如果向用户分配了多个范围,用户便拥有所有分配范围 

内所有计算机的访问权限。所有分配范围内的计算机累计列表就是用户的有效范围。 

通过随时添加和删除范围,可以自定义用户的有效范围。可结合使用多个范围和范围类型。 

您可以随时修改用户的权限和范围。如果您更改了用户的权限或范围,当下次此用户登录到控制台时或当控制 

台管理员单击控制台上的更新范围工具栏按钮(窗口顶端)时,这些更改将会生效。 

创建范围 

创建范围 


2. 右击范围,然后单击新建范围。 

3. 在范围属性对话框中,输入新范围的名称。 

4. 通过在下拉列表中单击范围类型,然后单击新建,可以指定要创建范围的类型(LDMS 查询、LDAP 

或自定义目录或设备组)。 

5. 如果要创建一个基于 LDMS 查询的范围,请在新建范围查询对话框中定义查询,然后单击确定。 

6. 如果要创建基于目录的范围,请从选择可见的设备列表中选择位置(LDAP 目录和/或自定义目录), 

然后单击确定。 

225

用户指南 

单击加号 (+) 和减号 (-) 展开和折叠目录树中的节点。按住 Ctrl 键的同时单击,可选择多个位置。选定的父节 

点下的所有节点都将包含在该范围内。 

LDAP 目录位置取决于设备的目录服务位置。自定义目录位置取决于清单数据库中设备的计算机位置属性。该 

属性是在设备代理配置的过程中定义的。 

226 

7. 如果要创建一个基于设备组的范围,请从可用设备组列表中选择一个组,然后单击确定。 

8. 再次单击确定保存范围,并关闭该对话框。 

关于“范围属性”对话框 

使用此对话框可创建或编辑范围。通过选择一个范围,然后单击编辑范围工具栏按钮,或通过右击该范围, 

然后单击属性可打开此对话框。 

范围名称:标识范围。 

选择范围类型: 

LDMS 查询:创建一个范围,其设备范围由某个自定义查询决定。在选定的此范围类型下单击 

新建,打开新建查询对话框,然后可以在此对话框中定义和保存查询。此对话框与从网络视图 

中创建数据库查询时使用的对话框相同。(注意,您还可以将查询从网络视图中的查询组直接 

复制到范围组中。) 

LDAP:创建一个范围,其设备范围由设备位置(LDAP 目录和/或自定义目录)决定。在选定 

该范围类型的情况下,单击新建,打开选择可见的设备对话框,在此对话框中可以选择位置。 

单击加号 (+) 和减号 (-) 展开和折叠目录树中的节点。按住 Ctrl 键的同时单击,可选择多个位 

置。选定的父节点下的所有节点都将包含在该范围内。 

设备组:创建一个范围,该范围的设备范围由网络视图中“设备”对象下包含的现有设备组决 

定。在选择该范围类型的情况下单击新建,打开查询筛选器对话框,在此对话框中,可以选择 

设备组。 

当前范围定义:显示基于查询的范围的查询语句、基于目录的范围的位置路径或设备基于组的范围的 

组名称。 

编辑:打开范围的相应对话框,在该对话框中,您可以更改查询参数和语句。 

使用团队 

基于角色的管理团队是一组用户,这些用户可以查看和共享属于该团队的配置和任务的所有权。例如,如果您 

有多个部门要共享查询或任务,则可以将这些部门划分到一个团队中。团队的任务和配置显示在一个特殊的组 

中,此组以工具树中的团队命名。例如,如果您有一个名为 Salt Lake 的团队并且您是其中一员,那么您可以 

在网络视图的设备组下看到“Salt Lake 的设备”子组。用户可以从属于多个组。 

不属于特定团队的用户在控制台的任何地方都不会看到此团队的组。拥有管理员权限的用户可以看到所有团队 

和团队内容。虽然您可以使用公共文件夹来共享控制台内容,但凡是拥有某工具权限的用户都能看到公共文件 

夹的内容。使用团队的优势是,只有团队成员才能看到团队内容,同时潜在地使内容组织得更加有序并且更易 

于团队成员访问。 

团队由一个或更多组权限构成。您甚至只需要有 1 至 2 个用户就可以创建团队。例如,如果有人因病缺勤, 

您可以将此人的代替者添加到相同团队。或者,如果两个人职责相同,您可以将他们放入同一团队。 

管理员和团队成员可以通过右击树项,然后单击信息来更改它们的所有权。您可以在“信息”对话框的所有者下 

拉列表中选择项的所有者。 

创建团队 

1. 在用户工具中,右击团队,然后单击新建团队。 

2. 输入团队名称。 

3. 为团队成员选中所需的组权限。


使用基于角色的管理来管理报告访问 

需要使用 Management Suite 报告的用户必须在“用户”工具中分配下列角色之一: 

ReportingDesigner:此角色使用户能够创建、编辑和运行报告。 

ReportingViewer:此角色使用户能够运行报告。 

这些角色是默认设置,不可编辑。无以上角色之一的用户将无法看到控制台的“报告”工具。 


在“报告”控制台(工具 > 报告/监视 > 报告)中,报告和包含这些报告的文件夹与基于角色的管理角色关联在 

一起。默认情况下,报告和文件夹拥有以下角色和关联权限: 

Avocent 管理员:文件夹读取、文件夹写入、报告读取、报告写入 

LANDesk 管理员:文件夹读取、文件夹写入、报告读取、报告写入 

ReportingDesigner:文件夹读取、文件夹写入、报告读取、报告写入 

ReportingViewer:文件夹读取、报告读取 

报告权限可以执行以下操作: 

文件夹的读取权限允许用户打开文件夹,并查看对他们可见的报告。 

报告的读取权限允许用户运行该报告。 

文件夹的写入权限允许用户向文件夹添加报告,或删除空文件夹。 

报告的写入权限允许用户修改或删除报告。 

报告权限仅适用于所选对象,且不是递归的。例如,将读取权限应用到文件夹,并不会自动给予文件夹中所有 

报告的读取权限。 

限制特定报告或文件夹的访问权 

默认情况下,任何 ReportingViewer 角色都可以查看所有报告和文件夹。如有必要,您可以限制特定报告或文 

件夹的访问权。 

限制特定报告和文件夹的访问权 

1. 在角色下的“用户”工具中,右击 ReportingViewer 角色,并单击克隆。 

2. 将克隆的 ReportingVierer 角色重命名为更具体的名称,如“清单报告查看人” 

3. 为您想要限制的用户创建新的组权限,然后在组权限对话框中,设定目标 Active Directory 组。在角色 

框中,清除 ReportingViewer 权限,并选中您新克隆的角色(如清单报告查看人)。 

4. 单击工具 > 报告/监视 > 报告。 

5. 在 Reports viewer 中,右击您需要限制的报告或文件夹,然后单击编辑以打开属性。转至安全性页 

面,并添加您所克隆的报告角色。您还需要在父文件夹级完成此操作,否则拥有克隆权限的用户将无 

法打开文件夹,以查看需要访问的报告。 

多核心支持 

必须符合下列条件才能使用多个核心服务器: 

两个核心服务器必须属于同一个域。 

域管理员帐户必须添加到两个核心服务器上的 LANDesk ManagementSuite 本地用户组。 

227

用户指南 

228 

组件服务下的 LANDesk COM+ 应用程序的身份必须设置为域管理员。这将在下一节进行描述。 

core.asp 文件必须编辑为包含第二个核心服务器。core.asp 文件位于 

\inetpub\wwwroot\LANDesk\LDMS\xml 文件夹中。完成此操作后,在首次在浏览器中访问 Web 控制 

台时,您将看到一个下拉列表,其中含有 core.asp 中定义的服务器。单击所需的服务器,然后单击连 

接。 

下面列出了包含多个服务器的 core.asp 示例。 

 

 

 

 

 

 

 

 

登录到多核心服务器环境中的某个核心服务器 

注意 

1. 启动 Management Suite Web 控制台。 

2. 在选择核心服务器列表中,选择希望登录的核心服务器并单击连接。键入用户名和密码。 

要成功实现客户端配置,请使用正确的核心服务器 URL。否则,配置将不起作用。 

将每个核心服务器的条目添加到 Internet Explorer 的“收藏夹”菜单很有用处。这可简化核心服务器间的 

切换。 

配置 COM+ 服务器凭据 

使用不在核心服务器上的 Web 控制台服务器或想在核心服务器上的 LANDesk Management Suite 组内使用 

域组时,必须设置某些附加的服务器配置才能使 Management Suite 验证正常运行。远程 Web 控制台服务器 

必须从核心服务器获得数据库连接信息和用户信息,但由于远程 Web 控制台服务器使用 IIS 上的模拟 Web 

凭据,因而无法直接与核心服务器通信。 

为解决此问题,Web 控制台服务器和核心服务器使用 COM+ 应用程序进行 HTTPS 通信,从而使 Web 控制 

台服务器能够获取核心服务器数据库和用户的信息。必须在 Web 控制台服务器上配置此 COM+ 应用程序才 

能使用具有必需权限的帐户,如域管理员帐户。您所提供的帐户应位于核心服务器上的 LANDesk 

Management Suite 组中(以便访问核心服务器数据库连接信息),且应具有列举 Windows 域成员的权限。 

如果正在核心服务器的 LANDesk Management Suite 组中使用域组,Management Suite 还应能够列举 

Windows 域成员。此时,您还应提供核心服务器的 LANDesk1 COM+ 应用程序帐户。 

在核心服务器或远程 Web 控制台服务器上配置 LANDesk1 COM+ 应用程序 

1. 定位到要配置的 Web 服务器或核心服务器。 

2. 在 Windows 的“控制面板”下的“管理工具”中,打开组件服务。 

3. 单击组件服务 > 计算机 > 我的电脑 > COM+ 应用程序。 

4. 右击 LANDesk1 COM+ 应用程序并选择属性。 

5. 在识别选项卡上,输入要使用的凭据。 

6. 单击确定。

配置服务 


为优化在特定网络环境中的性能,可以且应当配置 LANDesk 组件提供的大多数必备和基本功能,如清单服务 

器和调度程序服务。此操作可通过使用配置 LANDesk 软件服务小应用程序来完成,该程序可从 

LANDesk“开始”菜单程序组启动。 

配置服务仅限于 LANDesk 管理员 

只有具有 LANDesk 管理员权限的用户可以修改服务设置。而且,只有从主控制台才可以访问配置服务选项,从您设置的任 

何辅助控制台都无法访问。 


"选择核心服务器和数据库" 在页面 229 

"配置清单服务" 在页面 230 

"解决数据库中的重复设备记录问题" 在页面 231 

"配置调度程序服务" 在页面 232 

"配置首选服务器凭据" 在页面 234 

"配置自定义作业服务" 在页面 234 

"配置多播服务" 在页面 235 

"配置操作系统部署服务" 在页面 236 

"配置 BMC 密码" 在页面 237 

"配置操作系统虚拟化凭据" 在页面 237 

选择核心服务器和数据库 

在配置服务之前,请使用常规选项卡指定准备配置此项服务的核心服务器和数据库。 

注意:必须重新启动核心服务器上的服务,才能使该核心服务器和数据库的任何服务配置更改生效。 

关于“配置 LANDesk 软件服务”对话框:“常规”选项卡 

使用此对话框可选择要配置特定服务的核心服务器和数据库。接下来,选择所需的服务选项卡,并为该服务指 

定设置。 

服务器名:显示当前连接的核心服务器的名称。 

服务器:用于输入其他核心服务器的名称及其数据库目录。 

数据库:用于输入核心数据库的名称。 

用户名:以身份验证凭据标识核心数据库的用户(在安装期间指定)。 

密码:标识用户访问核心数据库所需的密码(在安装期间指定)。 

这是 Oracle 数据库:指明上面指定的核心数据库是 Oracle 数据库。 

Web 控制台设置:显示能让 Web 控制台运行的服务器名称或 IP 地址。如果要从另一个设备访问 

Web 控制台,请在 Web 浏览器中输入此名称或地址,并以 /remote 结尾。 

刷新设置:恢复过去打开对话框时显示的设置。 

对数据库指定用户名和密码时,用户名和密码不能包含撇号 (')、分号 (;) 或等号 (=)。 

229

用户指南 

配置清单服务 

使用清单选项卡可为使用“常规”选项卡选择的核心服务器和数据库配置清单服务。 

如果要重启群集核心服务器上的清单服务,则需通过 Windows 服务控制管理器来完成。“LANDesk 软件服务” 

对话框清单选项卡中的重新启动服务按钮不能重新启动群集核心服务器上的清单服务。 

关于“配置 LANDesk 软件服务”对话框:“清单”选项卡 

使用此选项卡可指定下列清单选项: 

230 

服务器名:显示当前连接的核心服务器的名称。 

日志统计信息:保留核心数据库操作和统计信息的日志。可以在“Windows 事件查看器”的“应用程序” 

日志中查看日志数据。 

加密数据传输:使清单扫描器可以通过 SSL 将设备清单数据(来自已扫描的设备)作为加密数据发送 

回核心服务器。 

扫描服务器的时间:指定扫描核心服务器的时间。 

执行维护的时间:指定执行标准核心数据库维护的时间。 

清单扫描结果的保留天数:设置删除清单扫描记录之前的天数。 

主所有者登录次数:设置清单扫描器为确定设备的主所有者而跟踪登录的次数。主所有者是在指定登 

录次数内登录次数最多的用户。默认值为 5,最大值和最小值分别为 1 和 16。如果所有登录都是唯一 

的,那么最后登录的用户就是主所有者。一个设备一次只能有一个主所有者。主用户登录数据包括用 

户的全限定名称以及上次登录的日期,用户名称的格式为 ADS、NDS、域名或本地名称(按此顺 

序)。 

高级设置:显示高级设置对话框。可以在此对话框中更改清单相关的高级设置。单击每一项时,帮助 

文本将显示在对话框的底部,解释各个选项。大多数安装可以使用默认值。要更改设置,请单击它, 

接着更改值,然后单击设置。完成操作后,请重新启动清单服务。 

未知项:打开未知的清单项目对话框,此对话框列出了所有在扫描中发现、但尚未在数据库中发现的 

对象。这使您能够对添加到数据库的新项加以控制,以便能消除与数据有关的潜在问题。您可以选择 

允许将数据添加到数据库、从列表中删除数据或在所有未来的扫描中忽略此项。 

软件:显示软件扫描设置对话框。配置运行软件扫描的时间以及清单历史记录的保存时间。 

管理重复项:设备:打开重复设备对话框,在该对话框中可以配置如何处理重复的设备。 

管理重复项:设备 ID:打开重复设备 ID 对话框,在该对话框中可以选择唯一标识设备的属性。使用 

此选项可避免将重复的设备 ID 扫描到核心数据库中(请参阅下面的 "解决数据库中的重复设备记录问 

题" 在页面 231)。 

清单服务的状态:指明服务在核心服务器上是处于启动状态,还是处于停止状态。 

开始:在核心服务器上启动服务。 

停止:在核心服务器上停止服务。 

重新启动:在核心服务器上重新启动服务。 

关于“未知的清单项目”对话框 

未知的清单项目对话框使您可以控制添加到清单数据库的新项。当清单扫描运行时,它能发现数据库中未识 

别的对象。由于受管设备上可能存在受损数据或其他问题,因此您可能不希望将新数据添加到数据库。此对话 

框列出了所发现的所有项,并且您可以选择将新项添加到数据库、删除它们或阻止它们添加到数据库。 

阻止未知的清单项目:如果此复选框被选中,则在您选择如何处理未知项之前,所有未知项都将列于 

此处。 

禁用的项目:列出数据库中当前不存在的所有清单对象。单击一个或多个项来选择它们并应用操作。 

允许:选择项然后单击允许以将数据添加到数据库。项将添加到数据库,并允许在未来的清单扫描中 

进行数理。


删除:选中要删除的项并单击删除,将仅从列表中删除。如果此项被再次发现,它将被再次列出。您 

通常会删除那些由数据损坏造成的、并且可能永远不会在扫描中被再次发现的项。 

忽略:选择项然后单击忽略来永久阻止它们被添加到数据库。出于性能的原因,忽略列表应尽可能 

短。注意,列表中的项会被永久忽略;将它们从列表中删除的唯一方法就是,手动地它们从清单数据 

库中的 META_IGNORE 表中删除并重新启动清单服务。 

确定/取消:在此对话框中,确定和取消按钮仅适用于未知的清单项目复选框,而不适用于被阻止项上 

的任何操作。 

关于“软件扫描设置”对话框 

使用此对话框(配置 > 服务 > 清单选项卡 > 软件按钮)可配置软件扫描的频率。尽管每次在设备上运行清单 

扫描器时,都扫描设备的硬件,却只按照此处指定的时间间隔来扫描设备的软件。 

每次登录时:每次用户登录时都扫描设备上安装的所有软件。 

间隔的天数:只按照指定的时间间隔(以天数计)自动扫描设备的软件。 

历史记录保存的天数:指定保存设备清单历史记录的时间。清除此复选框,不保存清单历史记录。 

配置在数据库中存储哪些清单扫描属性 

清单扫描器可查找数百个清单项。如果在数据库中不需要所有这些扫描信息,可通过限制要存储在数据库中的 

扫描属性的数量来缩短扫描插入时间并减小数据库大小。进行此项操作时,受管设备仍然提交完整的清单扫 

描,但核心服务器的清单服务只存储数据库中指定的属性。 

默认情况下,清单服务会将所有扫描属性插入到数据库中。您所做的任何属性筛选更改将不会影响已存储在数 

据库中的数据。要限制存储哪些数据,请执行以下步骤。 

设置清单扫描数据筛选 

1. 单击配置 > 服务 > 清单选项卡 > 属性按钮。 

2. 右边的所选属性列中的属性将插入到数据库中。将数据库中不需要的属性移至左边的可用属性列。操 

作完成后,单击确定。 

3. 通过单击“清单”选项卡上的重新启动来重新启动清单服务。 


解决数据库中的重复设备记录问题 

在一些操作环境中,映像定期使用,并频繁用于设置设备。因此,便增加了设备中出现重复设备 ID 的可能 

性。通过指定其他设备属性,再将这些属性与设备 ID 结合使用,可以避免这个问题,为设备创建唯一的标识 

符。例如,设备名、域名、BIOS、总线、协处理器等都属于这些属性。 

利用重复 ID 功能,可以选择用来唯一标识设备的设备属性。可以指定具体的属性,以及必须缺少其中的多少 

属性才能指定该设备与其他设备重复。如果清单扫描器检测到重复设备,便会在应用程序事件日志中写入一个 

事件,以指明重复设备的设备 ID。 

除重复设备 ID 之外,数据库中还可能有积累的重复设备名称或 MAC 地址。如果持续遇到重复设备问题(并 

且您想阻止未来重复的设备记录被扫描进您的数据库),也可以指定删除数据库中当前驻留的任何重复设备名 

称。以下步骤包含了此辅助重复设备处理功能。 

设置重复设备处理 

1. 单击配置 > 服务 > 清单 > 设备 ID。 

2. 从属性列表中选择要用来唯一标识某设备的属性,然后单击右箭头按钮,将该属性添加到标识属性列 

表中。您可以添加任意数量的属性。 

3. 选择只有当某设备与多少个标识属性(和硬件属性)不相符时,才能认定该设备与另一个设备重复。 

231

用户指南 

232 

4. 如果希望清单扫描器拒绝重复设备 ID,请选中拒绝重复标识复选框。 

5. 单击确定以保存设置并返回到配置清单对话框。 

6. (可选)如果您还希望按照名称和/或地址解析重复设备,请单击设备打开重复设备对话框,在该对话 

框中可以指定删除重复设备的条件,例如在设备名称匹配、MAC 地址匹配或两者均匹配时。 

关于“重复设备 ID”对话框 

使用此对话框(单击配置 > 服务 > 清单选项卡 > 设备 ID 按钮)可设置重复设备 ID 的处理方式。 

属性列表:列出可用来唯一标识设备的所有属性。 

标识属性:显示选定用来唯一地标识某设备的属性。 

满足下列条件时记录为重复的设备 ID:指明只有当设备与多少个属性不相符时,才能认定该设备与另 

一个设备重复。 

拒绝重复标识:令清单扫描器记录重复设备的设备 ID,而且拒绝后来的任何扫描设备 ID 的尝试,并 

生成新的设备 ID。 

关于“重复设备”对话框 

使用此对话框(单击配置 > 服务 > 清单选项卡 > 设备按钮)可指定从数据库中移除重复设备的名称和/或地址 

条件。如果选中某个“删除重复”的选项,则数据库中允许重复内容,但下次进行数据库维护时将删除重复的内 

容。 

何时删除重复设备: 

设备名称匹配:当数据库中有两个或两个以上设备名称匹配时,移除其中的旧记录。 

MAC 地址匹配:当数据库中有两个或两个以上 MAC 地址匹配时,移除其中的旧记录。 

设备名称和 MAC 地址都匹配:仅当有两个或两个以上设备名称和 MAC 地址(同一记录)全 

部匹配时,移除其中的旧记录。 

还原旧设备 ID:从被扫描设备较旧的记录中还原原始设备 ID,如果数据库中存在该设备的两个记录, 

并且至少选中了上述一个删除选项且符合选项的条件。当下一次清单维护扫描运行时,原始设备 ID 将 

会被还原。除非选中了上述某个删除选项,否则,此选项无效。 

配置调度程序服务 

使用调度程序选项卡,可以为在常规选项卡中选定的核心服务器和数据库配置调度程序服务(工具 > 分发 > 

计划任务)。 

您必须拥有执行这些任务的适当权限,包括在网络中的 Windows NT/XP/2000/2003 设备上拥有完全的管理员 

权限,从而允许它们接收核心服务器分发的程序包。您可以通过单击更改登录指定在设备上使用的多个登录 

凭据。 

另外,您还可以手动配置计划任务的刷新频率。默认情况下,计划任务窗口每两分钟就检查核心数据库,以 

确定所显示的项是否已更新。如果要更改刷新频率,请浏览找到注册表中的下列注册表项: 

HKEY_CURRENT_USER\Software\LANDesk\ManagementSuite\WinConsole 

将“TaskRefreshIntervalSeconds”设为活动任务刷新间隔的秒数。将“TaskAutoRefreshIntervalSeconds”设为 

计划任务窗口的刷新间隔。 

关于“配置 LANDesk 软件服务”对话框:“调度程序”选项卡 

使用此选项卡,可查看核心服务器的名称以及先前选择的数据库,并指定下列计划任务选项: 

用户名:运行计划任务服务时所使用的用户名。通过单击更改登录按钮,即可更改用户名。 

重试间隔的秒数:配置了计划任务的重试次数后,此设置将控制调度程序在重试任务之前等待的秒 

数。


尝试唤醒的秒数:对计划任务进行配置,使其利用 LAN 唤醒后,此设置将控制计划任务服务等待设备 

唤醒的秒数。 

查询评估的时间间隔:指明查询评估之间的时间间隔量,以及计量单位(如分钟、小时、日、周)。 

LAN 唤醒设置:为了唤醒设备,由计划任务设置、供 LAN 唤醒数据包使用的 IP 端口。 

调度程序服务的状态:指明调度程序服务在核心服务器上是处于启动状态,还是处于停止状态。 

开始:在核心服务器上启动服务。 

停止:在核心服务器上停止服务。 

重新启动:在核心服务器上重新启动服务。 

高级:显示高级调度程序设置对话框。可以在此对话框中更改调度程序相关的高级设置。单击每一项 

时,帮助文本将显示在对话框的底部,解释各个选项。大多数安装可以使用默认值。要更改设置,请 

单击该设置,再单击编辑,输入新值,然后单击确定。完成操作后,请重新启动调度程序服务。 

关于“配置 LANDesk 软件服务”对话框:“更改登录”对话框 

使用更改登录对话框(单击调度程序选项卡中的更改登录)来更改默认调度程序登录。您还可以指定当调度 

程序服务需要在不受管的设备上执行任务时应尝试使用的备用凭据。 

要在不受管的设备上安装 LANDesk 代理,调度程序服务需要能够使用管理帐户连接至设备。调度程序服务使 

用的默认帐户是 LocalSystem。LocalSystem 凭据一般用于域外设备。如果设备在域中,必须指定域管理员 

帐户。 

如果您想要更改调度程序服务登录凭据,您可以指定在设备上使用的不同的域级管理帐户。如果您在管理跨多 

个域的设备,您可以添加调度程序服务可以尝试使用的更多凭据。如果您想要对调度程序服务使用不是 

LocalSystem 的帐户,或如果您想要提供备用凭据,您必须指定一个具有核心服务器管理权限的主调度程序 

服务登录。备用凭据不需要核心服务器管理权限,但它们必须具有对设备的管理权限。 

调度程序服务将尝试默认的凭据,然后使用您在备用凭据列表中指定的每个凭据,直到成功或尝试完所有凭 

据。您指定的凭据都被安全加密和存储在核心服务器的注册表中。 

注意:汇总核心服务器使用调度程序服务凭据来为同步执行身份验证。在汇总服务器上,这些调度程序服务凭据必须是在 

源核心服务器上拥有控制台管理员权限的组成员。如果凭据没有这些权限,汇总将会失败并且您会在源核心服务器同步日志 

中看到任务处理程序错误。 

您可以对默认调度程序凭据设置以下选项: 

用户名:输入默认域\用户名或您想要调度程序使用的用户名。 

密码:输入所指定用户名的密码。 

确认密码:重新输入密码以确认。 

您可以对其他调度程序凭据设置以下选项: 

添加:单击将新用户名和密码添加到备用凭据列表。 

删除:单击以从列表中删除选定的凭据。 

修改:单击以更改选定的凭据。 

当添加备用凭据时,请指定以下属性: 

用户名:输入调度程序所要使用的用户名。 

域:输入您指定的用户名的域。 

密码:输入所指定凭据的密码。 

确认密码:重新输入密码以确认。 

233

用户指南 

配置首选服务器凭据 

在配置 LANDesk 软件服务对话框的底部有一个凭据按钮。此按钮启动首选服务器对话框,在该对话框中可 

以指定设备检查软件分发程序包的首选服务器。这些首选服务器可减轻核心服务器上的负载需求,并且有助于 

在低速 WAN 环境中分配网络通信量,因为您不希望设备从脱机服务器下载程序包。首选服务器支持除多播外 

的所有传送方法。UNC 程序包共享适用于所有程序包。HTTP 程序包共享仅适用于 MSI 和 SWD 程序包。 

导入和导出首选服务器列表 

您可以导出列表,然后将其导入另一个核心服务器,从而实现首选服务器列表的共享。列表会被保存为 

LANDesk 导出项文件,以 .ldms 为扩展名。 

234 

文件 > 导入服务器列表:选择此选项来导入扩展名为 .ldms 的导出项文件。在“选择要导入的文件”对 

话框中选择列表,然后点击打开。 

文件> 导出服务器列表:选择此选项来创建导出项文件,此文件包含“首选服务器”列表中当前列出的服 

务。指定文件名并浏览到要存储此文件的位置,然后单击保存。 

文件 > 复制到其他核心服务器:选择此选项将自定义内容(比如,配置、计划任务、软件程序包以及 

修补程序内容)直接复制到其他核心服务器。可以更快地将此核心服务器上的首选服务器列表添加到 

其他核心服务器,同时您也可以复制其他内容。从列表中选择其他核心服务器然后单击复制内容。 

将服务器添加到首选服务器列表 

您可以为首选服务器列表添加服务器、删除服务器以及修改服务器信息。 

编辑 > 添加服务器:打开用户名和密码对话框,从中指定以下选项: 

说明:对此首选服务器的说明。该说明显示在服务器凭据对话框中。 

服务器名:将托管程序包的服务器的名称。 

用户名:设备用于登录服务器的用户名。出于安全原因,该用户名仅能拥有读权限。 

密码/确认密码:所指定的用户名的密码。 

通过这些 IP 地址范围限定首选服务器的使用:如果只允许某个特定 IP 范围内的设备使用此首 

选服务器,可以指定起始 IP 地址和终止 IP 地址,然后单击添加。选择一个 IP 地址范围然后 

单击删除来将其从列表中删除。 

测试凭据:单击此按钮可确保所输入的服务器名称和凭据能正常工作。 

注意:通过 IP 地址范围控制首选服务器访问时,请注意,同一多播域中的设备将共享其配置文件并可以使用相同的服务 

器,即使其中的某些设备不在特定首选服务器的 IP 地址范围内。 

在此对话框中完成信息后,单击确定将服务器信息保存到首选服务器列表。 

要修改服务器或将其从列表中删除,请选中它并单击编辑 > 编辑选定的服务器或删除选定的服务器。 

配置自定义作业服务 

使用自定义作业选项卡,可为在“常规”选项卡中选定的核心服务器和数据库配置自定义作业服务。自定义作业 

的示例包括清单扫描、设备部署或软件分发。 

可以通过两种远程执行协议(TCP 或标准 LANDesk 代理协议,CBA)来执行作业。默认情况下,一旦禁止 

将 TCP 远程执行作为远程执行协议,自定义作业就会使用标准 LANDesk 代理协议,而不管它是否被标记为 

禁用。另外,如果同时启用了 TCP 远程执行和标准 LANDesk 代理,自定义作业服务将首先尝试使用 TCP 远 

程执行,如果不成功,那么将使用标准 LANDesk 代理远程执行。 

通过自定义作业选项卡,您还可以选择设备搜寻的选项。在自定义作业服务可以处理作业之前,它需要搜寻 

每个设备的当前 IP 地址。此选项卡使您可以配置服务联系设备的方式。

关于“配置 LANDesk 软件服务”对话框:“自定义作业”选项卡 

使用此选项卡可设置下列自定义作业选项: 

远程执行选项 


禁用 TCP 执行:禁止将 TCP 作为远程执行协议,因此默认使用标准 LANDesk 代理协议。 

禁用 CBA 执行/文件传输:禁止将标准 LANDesk 代理作为远程执行协议。如果禁用了标准 LANDesk 

代理,而且在设备上又找不到 TCP 远程执行协议,远程执行将失败。 

启用远程执行超时:启用远程执行超时,并指定超时之前的秒数。当设备发送检测信号后,触发远程 

执行超时,但是设备上的作业将处于挂起或循环状态。此设置适用于这两种协议(TCP 或标准 

LANDesk 代理)。该值可介于 300 秒(5 分钟)到 86400 秒(1 天)之间。 

启用客户端超时:启用设备超时,并指定超时之前的秒数。默认情况下,TCP 远程执行以 45 秒的时 

间间隔从设备向服务器发送检测信号,直到远程执行完成或超时。当设备不向服务器发送检测信号 

时,便会触发设备超时。 

远程执行端口:指定 TCP 远程执行所使用的端口。默认为 12174。如果更改了此端口,还必须在设备 

配置中对其进行更改。 

分发选项 

同时分发的目标计算机台数 :指定将自定义作业同时分发到的设备的最大数目。 

搜寻选项 

UDP:选择 UDP,通过 UDP 使用 LANDesk 代理 ping。大多数 LANDesk 设备组件均依赖于标准 

LANDesk 代理,所以您的受管设备应装有标准 LANDesk 代理。这是最快的搜寻方法和默认方法。使 

用 UDP,您还可以选择 UDP ping 的重试次数和超时值。 

TCP:选择 TCP,通过端口 9595 实现到设备的 HTTP 连接。此搜寻方法的好处是如果您打开端口 

9595,就能够通过防火墙工作,但如果设备不存在,那么它将受到 HTTP 连接超时的限制。这些超时 

值可以为 20 秒或更多。如果大量目标设备不响应 TCP 连接,您的作业在开始之前将需要一段时间。 

全部:选择“全部”,将先让服务尝试使用 UDP 搜寻,然后使用 TCP 搜寻,最后使用 DNS/WINS 搜寻 

(如果已选定 DNS/WINS)。 

禁用子网广播:当选定时,禁用通过子网广播搜寻。 

禁用 DNS/WINS 搜索:当选定时,如果选定的 TCP/UDP 搜寻方法失败,禁用对每个设备进行名称服 

务查找。 

配置多播服务 

使用多播选项卡,可为在“常规”选项卡中选定的核心服务器和数据库配置多播域代表搜寻选项。 

关于“配置 LANDesk 软件服务”对话框:“多播”选项卡 

使用此选项卡可设置下列多播选项: 

使用多播域代表:使用网络视图的配置 > 多播域代表组中存储的多播域代表列表。 

使用缓存的文件:查询每个多播域,以确定谁可能已拥有此文件,因此无需将该文件下载到代表。 

先使用缓存文件,再使用首选域代表:更改搜寻顺序,使使用高速缓存的文件成为第一个尝试的选 

项。 

使用广播:发送一个子网定向的广播,以查找该子网中可以成为多播域代表的任何设备。 

日志删除期限:指定日志中的条目在删除之前将保留的天数。 

235

用户指南 

配置操作系统部署服务 

使用操作系统部署选项卡可指定作为 PXE 暂存队列的 PXE 代表,并为在“常规”选项卡中选定的核心服务器和 

数据库配置基本的 PXE 启动选项。 

PXE 暂存队列是一种将操作系统映像部署到支持 PXE 的设备的方法。您可以将现有的 PXE 代表(位于网络 

视图中的配置组内)指定为 PXE 暂存队列。有关详细信息,请参阅 PXE-based deployment。 

从可用代理列表中选择 PXE 代表并将其移到暂存队列代理列表中。 

关于“配置 LANDesk 软件服务”对话框:“操作系统部署”选项卡 

使用此选项卡可分配 PXE 暂存队列代理(代表),并指定 PXE 启动选项。 

236 

可用代理:列出网络上由设备名称标识的所有可用的 PXE 代理。当清单扫描器检测到设备上运行的 

PXE 软件(PXE 和 MTFTP 协议)时,可以生成此列表。 

暂存队列代理:列出已经从可用代理列表中移出的 PXE 代理,从而将该代理指定为 PXE 暂存队列。 

当 PXE 启动后,支持 PXE 的设备(与 PXE 暂存队列代理位于同一子网上)将自动添加到控制台网 

络视图中的 PXE 暂存队列组中。然后可以安排设备进行映像部署作业的时间。 

重置:强制所有支持 PXE 的设备(与所选 PXE 代表位于同一个子网上)重新进入控制台网络视图中 

的 PXE 暂存队列组中。然后可以安排设备进行映像作业的时间。(在“暂存队列代理”列表中选择 PXE 

代理后即启用“重置”按钮)。 

注意:只有在相应的 PXE 代表上运行了 PXE 代表部署脚本后,才能使此处对 PXE 启动选项所做的更改在该代表上生效。 

超时:指明在超时和恢复默认启动过程之前显示启动提示的时间。您最多可以输入 60 秒。 

消息:指定出现在设备上的 PXE 启动提示消息。可以在文本框中输入任何消息,其长度不得超过 75 

个字符。 

验证操作系统部署预启动环境 

在配置 LANDesk 软件服务对话框的底部有一个 OSD 验证按钮。单击此按钮打开 OSD 映像环境对话框,您 

可以使用此对话框来验证您的许可证,以便为操作系统部署使用 DOS 或 Windows 预启动环境。 

关于“OSD 映像环境”对话框 

使用 OSD 映像环境对话框来验证您的许可证,以便使用 DOS 或 Windows 预启动环境。(使用 Linux 预启 

动环境无需验证。)许可证验证的要求如下: 

DOS:许可证验证需要使用 Windows NT 4 服务器 CD 和 Windows 98 CD。这一 7 MB 的映像是最小 

的,可以减少所用的网络带宽。与其他映像解决方案相比,它在创建和恢复映像方面的速度可能较 

慢,而且硬件兼容性也较差。 

Windows PE:许可证验证要求安装 Microsoft 的 Windows 自动安装工具包 (WAIK)。OSD 映像环境 

对话框包含了可下载 WAIK(.iso 映像)的链接,您需要将此 .iso 映像刻录成 DVD 或使用虚拟驱动器 

将它挂载为磁盘映像。Windows PE 是最大的环境。它具有最佳的硬件兼容性,而且在创建和恢复映 

像方面的速度可能也最快。 

验证 DOS PE 环境 

1. 单击配置 LANDesk 软件服务对话框底部的 OSD 验证按钮。(如果您正在使用操作系统部署工具, 

单击工具栏上的验证许可证按钮) 

2. 在 DOS 映像环境部分,单击立即验证。 

3. 在驱动器中插入 Windows NT4 服务器安装 CD。单击浏览,然后选择 CD 上的 

\CLIENTS\MSCLIENT\DISKS 文件夹。 

4. 单击确定。验证过程将会访问此 CD 上的文件。完成时,它将提示插入下一张 CD。 

5. 提示时,将 Windows 98 安装 CD 插入驱动器。单击浏览,然后选择 CD 上的 \WIN98 文件夹。

6. 单击确定。验证过程将会继续,当完成时,单击确定。 

验证 Windows PE 环境 


1. 单击配置 LANDesk 软件服务对话框底部的 OSD 验证按钮。(如果您正在使用操作系统部署工具, 

单击工具栏上的验证许可证按钮) 

2. 在 Windows PE 映像环境部分,单击立即验证。 

3. 单击链接下载 WAIK。在下载对话框中,将 .iso 映像保存到核心服务器上的某个位置。 

4. 将 .iso 映像刻录成 DVD,或通过使用虚拟驱动器使其可从硬盘驱动器访问。 

5. 使用默认设置,从 DVD 或映像运行 WAIK 安装。 

6. 安装完成后,返回 Windows PE 映像环境验证对话框,然后单击下一步。 

7. 单击浏览,然后选择 WAIK 的安装位置。单击确定。 

8. 单击下一步。验证过程将会继续,当您看到成功的消息时,单击完成。 

有关下载及安装 WAIK 的信息,请参阅 LANDesk 支持社区文档: 

http://community.landesk.com/support/docs/DOC-6794.pdf。 

选择默认预启动环境 

1. 验证要使用的预启动环境后,返回“OSD 映像环境”对话框。 

2. 从默认预启动环境列表中,选择 DOS、Linux 或 Windows 作为您的默认预启动环境。 


配置 BMC 密码 

使用 BMC 密码选项卡为启用 IPMI 的设备的 IPMI 基板管理控制器 (BMC) 创建密码。 

密码:输入用作 IPMI 设备 BMC 密码的密码。 

确认密码:在文本框中重新输入此密码,然后单击应用或确定来设置密码。 

此密码长度不能超过 15 字符,并且只能包含数字 0-9 或大小写字母 a-z。 

配置操作系统虚拟化凭据 

使用操作系统虚拟化选项卡,输入默认凭据,以管理被配置为虚拟操作系统主机的 VMware ESX 服务器。在 

网络视图中,已发现的虚拟操作系统主机会显示在单独的虚拟操作系统主机文件夹中。 

用户名:输入默认用户名 

密码/确认密码:输入并确认要使用的密码,然后单击应用或确定来设置凭据。 

237

用户指南 

配置设备代理 

设备上需要安装 Management Suite 代理,才能实现对这些设备的全面管理。阅读本章后,您将了解以下内 

容: 

238 

"使用代理配置" 在页面 238 

"创建代理配置" 在页面 239 

"使用高级代理" 在页面 241 

"更新设备上的代理首选项" 在页面 242 

"创建独立的代理配置程序包" 在页面 243 

"代理安全证书和可信证书" 在页面 243 

"卸载设备代理" 在页面 245 

使用代理配置窗口可为 Windows、Linux 和 Macintosh 设备创建新的代理配置。然后,利用控制台的计划任 

务窗口,可将创建的代理配置应用于客户端。 

将代理部署到 Windows 95/98/NT 设备 

Management Suite 不再附带支持 Windows 95、Windows 98 或 Windows NT 设备的代理。如果您需要与这些设备搭配使 

用的旧版本代理,请联系 LANDesk 客户服务部门。 

为不能进行管理的 Windows 设备创建设备配置 

如果您使用作为 Windows 域成员的 Windows 设备,那么即使没有标准的 LANDesk 代理和远程控制代理,也能将配置推 

送到这些设备。有关详细信息,请参阅 LANDesk 社区 http://community.landesk.com 上的部署文档。 

使用代理配置 

Management Suite 使用您创建的代理配置在受管设备上部署代理和代理首选项。一旦设备上安装了 

Management Suite 代理,便可以轻松更新代理配置。 

代理配置工具可用于创建并更新设备和服务器代理配置(例如,设备上安装哪些代理,该代理使用哪些网络协 

议)。可根据部门或组的具体需要创建不同的配置。例如,可为会计部的设备或者为使用某一特定操作系统的 

设备创建配置。每种类型的配置都只能有一个默认配置。默认配置不能删除,但可以进行编辑。最好不要有太 

多不同的配置,因为这样会使支持和故障排除变得更为复杂和耗时。 

安装任何代理软件之前,必须创建一个代理配置(或使用默认值)。这涉及许多规划和测试。最好在第一次就 

部署正确的配置 - 尽管需要时可重新配置和重新部署代理。 

组织可能需要拥有多个代理配置。便携式计算机系统可能需要与台式机系统不同的配置。为了避免将错误的代 

理部署到错误的系统,对每个代理配置采用合理的命名约定非常重要。


默认情况下使用标准 LANDesk 代理安装安全和修补程序扫描器代理。可以配置安全扫描,以便确定安全扫描 

器在受管设备上的运行时间和方式,以及是否向最终用户显示进度和交互选项。(即使您没有 LANDesk 

Security Suite 内容订阅,安全扫描器也允许您查看设备和核心服务器上的 LANDesk 软件更新。使用 

Security Suite 订阅,您可以充分利用安全扫描器的功能来扫描和修补已知的漏洞、间谍软件、未经授权的应 

用程序、病毒以及其他潜在的安全风险。) 

部署代理之前,请务必在 LANDesk 用户社区网站 

http://community.landesk.com/support/community/systems/agent 上查阅代理部署的最佳已知方法。 

重要说明:在混合语言环境中创建代理配置时,确保代理配置名称为 ASCII(英语字符集)。英文版的核心服务器与使用所 

有支持语言的客户端兼容。 

不过,如果代理配置名称使用了非 ASCII 字符(例如,日语、中文或俄语),则代理配置必须在相同语言的核心/控制台中 

创建并且只能在使用相同语言的设备上使用。例如,包含日语字符的代理配置必须在日文版核心服务器中创建,并且只能部 

署到日文版客户端。 

关于以下部分的详细说明,请阅读以下部分: 

创建代理配置 

更新设备上的代理首选项 

创建独立的代理配置程序包 


使用代理配置窗口可创建并更新客户端代理配置和服务器代理配置(例如,客户端上安装哪些代理,该代理 

使用哪些网络协议)。 

您可以根据各组的具体需要创建不同的配置。例如,您可为会计部的设备或者为使用某一特定操作系统的设备 

创建配置。 

239

用户指南 

要将配置应用于设备,需要执行以下操作: 

240 

创建代理配置:为设备设置特定的配置。通常最佳选择为“高级代理配置”。有关详细信息,请参阅下 

一部分 "使用高级代理" 在页面 241。 

安排代理配置的时间:将配置应用于已安装了标准 LANDesk 代理的设备。有关详细信息,请参阅 "脚 

本和任务" 在页面 272。具有管理权限的用户还可以从核心服务器的 LDLogon 共享目录运行 

WSCFG32.EXE 或 IPSETUP.BAT 来安装默认的代理配置。 



2. 在代理配置树中,单击所需的配置类别。 

3. 单击新建 Windows、新建 Windows 服务器、新建 Macintosh 或新建 Linux 工具栏按钮。 

4. 输入配置名称。 

5. 在代理配置窗口的开始页面中,选择要部署的代理。 

6. 使用树来导航与所选选项有关的对话框。必要时,可自定义选定的选项。如果对某页有疑问,可以单 

击帮助来查阅详细信息。 


8. 如果希望此配置成为默认配置(将安装 LDLOGON\WSCFG32.EXE 或 LDLOGON\IPSETUP.BAT 配 

置),请在配置的快捷菜单上单击默认配置。

使用高级代理 


在大多数环境中,高级代理是部署代理的首选方法。创建高级代理可在代理部署期间利用 LANDesk 带宽友好 

技术。高级代理可以减少基于 Windows 的代理配置所占用的网络带宽。高级代理是一种包含两个阶段的部署 

方法。它是在全面代理之前部署的一个 MSI 文件。MSI 安装后将启动全面代理 exe 程序包的下载和安装。 

高级代理适用于大部分设备,包括具有间歇网络连接或低速网络连接的笔记本电脑。高级代理不支持 PDA 和 

其他手持设备。 

高级代理是一个 500 KB 的小 .MSI 软件包。此软件包在受管设备上运行时,将下载关联的完整代理配置软件 

包,根据所选代理的不同,该软件包可能会达到 15 MB。在高级代理配置对话框中,可以配置 .MSI 在下载完 

整代理配置时将使用的、可以减少带宽占用的分发选项。 

高级代理在开始下载完整代理配置后,即独立于核心服务器运行。如果在代理配置完成下载之前,某个设备与 

网络断开,该设备重新连接到网络上之后,高级代理将自动恢复下载。 

创建高级代理配置时,控制台需要几秒钟时间来创建完整代理配置软件包。控制台将高级代理软件包 (.msi) 和新创建的完整代理配置软件包 (.exe) 放入核心服务器的 LDLogon\AdvanceAgent 文件 

夹。文件名基于代理配置名。 

241

用户指南 

创建了代理配置软件包之后,需要使用下列方法之一在设备上运行 .MSI 部分: 

242 

安排小的 .MSI 部分进行推送分发。 

在每台设备上手动运行 .MSI。 

手动将 .MSI 配置为通过登录脚本运行。 

为设备部署了高级代理之后,高级代理将开始下载关联的代理配置。代理在受管设备上自动运行,不显示任何 

对话框或状态更新。高级代理使用您在高级代理配置对话框中指定的带宽首选项,例如对等下载和动态带宽 

调节。 

.MSI 在设备上安装并成功配置了代理之后,将删除完整代理配置软件包。.MSI 部分保留在设备上,如果再次 

运行相同的 .MSI,不会重新安装代理。 

创建高级代理配置 

1. 创建基于 Windows 的代理配置(工具 > 配置 > 代理配置)。 

2. 从配置的快捷菜单中单击高级代理。 

3. 选择所需的选项。 

4. 如果选择对等下载,则必须确保高级代理 .msi 文件和完整代理配置 .EXE 程序包位于广播域中设备的 

软件分发高速缓存中。如果选择了对等下载但没有在部署高级代理配置之前进行此操作,则部署将因 

为广播域中的高速缓存或对等没有必需文件而失败。 

5. 如果改变了关联的代理配置软件包(.EXE 文件)的位置,请将代理配置软件包的路径更改为与新位置 

匹配。 


7. 如果需要,将关联的 .EXE 文件从 LDLogon\AdvanceAgent 文件夹复制到分发服务器上。确保代理配 

置可执行文件的路径与您在高级代理配置对话框中指定的路径匹配。MSI 软件包应保留在核心服务器 

上的默认位置。否则,下面的高级代理推送分发任务将找不到该软件包。 

设置高级代理推送分发 

1. 在“代理配置”窗口(工具 > 配置 > 代理配置)中单击安排高级代理配置的推送分发按钮。 

2. 高级代理配置对话框列出 LDLogon\AdvanceAgent 文件夹中的代理配置。单击要分发的配置,然后单 

击确定。 

3. 计划任务窗口打开,选中了您创建的高级代理任务。任务名为“高级代理”。 

4. 将任务设备从网络视图拖至计划任务窗口中的任务,从而将任务设备添加到任务。 

5. 从任务的快捷菜单中,单击属性并安排任务。在计划任务窗口中可以看到 .MSI 部分的分发进 

度。.MSI 分发完成后,完整代理配置没有任何状态更新。 


如果要更新设备上的代理首选项(比如远程控制所需权限),则不必重新部署整个代理配置。可以在代理配 

置窗口中进行所需的更改,然后从该配置的快捷菜单中单击计划更新。这将打开计划任务窗口,并为计划更 

新所用的配置创建更新任务和程序包。该程序包大小仅有几百 K 字节。 

更新首选项不会在设备上安装或删除代理。如果更新包含设备上没有的代理的首选项,则系统将忽略不应用的 

首选项。 

重要说明:代理观察器不支持通过安排的更新进行首选项更改。如果要更改代理观察器首选项,在网络视图中右击所需的 

设备,然后单击更新代理观察器设置。 


1. 单击工具 > 配置 > 代理配置。

2. 自定义要使用的配置。 

3. 完成后,从配置的快捷菜单中单击计划更新到代理设置。这将打开计划任务窗口。 

4. 指定要更新的设备,然后计划该任务。 

创建独立的代理配置程序包 


通常使用客户端配置实用程序 WSCFG32.EXE 配置客户端。若有必要,可使用代理配置窗口创建自解压的单 

个可执行文件,该文件可在其运行的设备上安装代理配置。如果要从一张 CD 或便携 USB 驱动器中安装代 

理,或者要多播代理配置的话,这会有所帮助。 

创建一个独立的代理配置程序包 

1. 单击工具 > 配置 > 代理配置。 

2. 自定义要使用的配置。 

3. 完成后,从配置的快捷菜单中单击创建自包含的客户端安装程序包。 

4. 选择希望用于保存程序包的路径。确保文件名只包含 ASCII 字符(a-z、A-Z、0-9)。 

5. 等待 Management Suite 创建程序包。可能需要几分钟。 

代理安全证书和可信证书 

利用 Management Suite 8,简化了基于证书的身份验证模式。设备代理仍然要向已授权的核心服务器验证身 

份,以防止未经授权的核心服务器访问客户端。但是,Management Suite 8 不要求另外的证书授权就可管理 

核心服务器、控制台和每个客户端的证书。实际上,每个核心服务器都有一个唯一的证书和私钥,它是 

Management Suite 安装程序在您第一次安装该核心服务器或汇总核心服务器时创建的。 

私钥和证书文件包括: 

.key:.KEY 文件是核心服务器的私钥,该文件只驻留在核心服务器上。一旦此密钥泄密, 

就无法保障核心服务器与设备之间的通信安全。请保护好此密钥。例如,不要使用电子邮件来传递密 

钥信息。 

.crt:.CRT 文件包含核心服务器的公钥。.CRT 文件是以用户友好的方式显示的公钥内容, 

您可以从中查看有关该密钥的详细信息。 

.0:.0 文件是可信证书文件,其内容与 .CRT 文件相同。不过,该文件的命名方式使得计算机 

能够在包含许多不同证书的目录中迅速找到该证书文件。其名称是证书主题信息的哈希值(校验 

和)。要确定特定证书的哈希文件名,请查看 .CRT 文件。该文件中包含一个 .INI 文件部 

分 [LDMS]。hash=value 对指示值。 

获得哈希值的另一个方法是使用 openssl 应用程序,该程序存储在 \Program Files\LANDesk\Shared 

Files\Keys 目录中。使用以下命令行,该程序就会显示与证书相关联的哈希值: 

openssl.exe x509 -in .crt -hash -noout 

所有密钥都存储在核心服务器上的 \Program Files\LANDesk\Shared Files\Keys 目录中。.0 公钥也存 

储在 LDLOGON 目录中,该目录为默认存储位置。是您在安装 Management Suite 时提供的证书 

名称。在安装时最好提供描述性的密钥名称,如使用核心服务器的名称(甚至使用其全限定名称)作为密钥名 

(例如:ldcore 或 ldcore.org.com)。这样,在多核心服务器的环境中更易于识别证书/私钥文件。 

您应该将核心服务器的 Keys 目录的内容备份在一个安全可靠的地方。如果由于某种原因您需要重新安装或更 

换核心服务器,在如下所述,将原核心的证书添加到新核心之前,您将无法管理该核心服务器的设备。 

243

用户指南 

多台核心服务器共享密钥 

只有在设备具备与核心服务器和汇总核心服务器相符的可信证书文件的情况下,才能与这些服务器进行通信。 

例如,假设您有三台核心服务器,每台服务器管理 5,000 个设备。另外还有一台管理全部 15,000 个设备的汇 

总核心服务器。每台核心服务器都有自己的证书和私钥,默认情况下,您在每台核心服务器上部署的设备代理 

只与从中部署相应设备软件的核心服务器进行通信。 

在核心服务器和汇总核心服务器之间共享密钥主要有两种方法: 

244 

1. 将每台核心服务器的可信证书(.0 文件)分发给设备及其各自的核心服务器。这是最安全的方 

法。 

2. 将私钥和证书复制到每台核心服务器。此方法不需要您对设备执行任何操作,但由于必须复制私钥, 

所以风险较大。 

在我们的示例中,如果您希望汇总核心服务器和 Web 控制台能够从全部三台核心服务器管理设备,那么除了 

将汇总核心服务器的可信证书(.0) 文件复制到每台核心服务器的 LDLOGON 目录中以外,还需要将 

该文件分发到所有设备。有关详细信息,请参阅下一部分。另外,也可以将证书/私钥文件从三台核心服务器 

复制到汇总核心服务器。这样,每个设备都能在汇总核心服务器上找到与管理它的核心服务器匹配的私钥。有 

关详细信息,请参阅 "在核心服务器之间复制证书/私钥文件" 在页面 244。 

如果希望一台核心服务器能够通过另一核心服务器管理设备,可以按照以上所述步骤,将可信证书分发到设 

备,或者在核心服务器之间复制证书/公钥文件。 

如果您在独立的核心之间复制证书(而不是复制到汇总核心),还有另外一个问题。除非核心先对另一个核心 

的设备进行清单扫描,否则该核心无法管理这些设备。获取对另一个核心的清单扫描的一个方式是安排使用将 

扫描转发到新核心的定制命令行进行清单扫描作业。在多核心方案中,使用汇总核心和 Web 控制台是跨核心 

管理设备的更简单方式。汇总核心自动从汇总到该核心的所有设备获取清单扫描数据。 

将可信证书分发到设备 

有两种方法可以将可信证书部署到设备: 

1. 部署包含所需核心服务器可信证书的设备安装配置。 

2. 使用软件分发作业,直接将需要的可信证书文件复制到每个设备。 

必须将您希望设备使用的每一额外核心服务器可信证书 (.0) 复制到该核心服务器的 LDLOGON 目录 

中。可信证书被复制到此目录中后,您就可以在设备安装对话框的通用基本代理页面中选择它。设备安装程 

序将密钥复制到设备的此目录中: 

Windows 设备:\Program Files\LANDesk\Shared Files\cbaroot\certs 

Mac OS X 设备:/usr/LANDesk/common/cbaroot/certs 

如果您希望将核心服务器的证书添加到设备,而又不希望通过设备安装程序重新部署设备代理,就可以创建一 

个软件分发作业,将 .0 复制到设备上(如上文所述的)指定的目录中。然后,可以使用计划任务窗口 

来部署您创建的证书分发脚本。 

下面是一个自定义脚本的示例,用于将可信证书从核心服务器的 LDLOGON 目录复制到设备。要使用此脚 

本,用您要部署的可信证书的哈希值替换 d960e680 即可。 

; 将可信证书从核心服务器的 ldlogon 目录中 

; 复制到客户端的可信证书目录中 

[MACHINES] 

REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680.0 

在核心服务器之间复制证书/私钥文件 

将证书 (.0) 部署到设备的另一方法是在核心服务器之间复制证书/私钥集。核心服务器可包含多个证书/ 

私钥文件。只要设备能够使用密匙之一通过核心服务器上的身份验证,就能与该核心服务器通信。


当使用基于证书的远程控制时,目标设备必须在核心数据库中 

如果您在对设备使用基于证书的远程控制安全,您仅可以远程控制在您连接到的核心数据库中有清单记录的设备。联系一个 

节点启动远程控制之前,核心在该数据库中查找以确保请求方具有查看该设备的权限。如果该设备未在该数据库中,核心会 

拒绝该请求。 

将证书/私钥集从一台核心服务器复制到另一台核心服务器 

1. 在源核心服务器上,转到 \Program Files\LANDesk\Shared Files\Keys 文件夹。 

2. 将源服务器上的 .key、.crt 和 .0 文件复制到软盘或其他安全的地方。 

3. 在目标核心服务器上,将源核心服务器上的这些文件复制到同一文件夹 (\Program 

Files\LANDesk\Shared Files\Keys) 中。密钥会立即生效。 

请注意确保私钥 .key 不泄密。核心服务器使用此文件验证设备身份,而拥有 .key 文 

件的任何计算机都能够对 Management Suite 设备执行远程操作以及将文件传输到该设备。 

混合语言环境中的代理配置 

在混合语言环境中创建代理配置时,确保代理配置名称为 ASCII(英语字符集)。英文版的核心服务器与所有 

支持的语言兼容。不过,如果代理配置名称使用了非 ASCII 字符(例如,日语、中文或俄语),则代理配置 

必须在相同语言的核心/控制台中创建并且只能在使用相同语言的设备上使用。例如,包含日语字符的代理配 

置必须在日文版核心中创建,并且部署到日文版客户端。 

卸载设备代理 

Management Suite 8.5 以前的版本中,任何人都可以通过运行带有 /u 参数的 WSCFG32 来卸载 

Management Suite 代理。由于 WSCFG32 位于 LDLogon 共享目录中,受管设备可以访问该目录,这对用户 

来说,卸载 Management Suite 代理就比较简单了。 

在 Management Suite 8.5 和更新版本中,/u 参数已从 WSCFG32 中删除。在 LDMain 共享目录中有一个称 

为 UninstallWinClient.exe 的新实用程序,该共享目录是主要的 ManagementSuite 程序文件夹。仅有管理员 

可以访问该共享目录。该程序将卸载任何运行该程序的设备上的 Management Suite 或 Server Manager 代 

理。您可以将其移至所需的任何文件夹或将其添加到登录脚本。它是 Windows 应用程序,可在不显示界面的 

情况下无提示运行。 

运行此程序不会将设备从核心数据库中删除。如果您向已运行过此程序的设备上重新部署代理,则该设备在数 

据库中将作为一个新设备保存。 

245

用户指南 

将 LANDesk® System Manager 与 LANDesk® Management 

Suite 配合使用 

System Manager 帮助您管理网络中的设备,并解决常见的计算机故障,以免问题恶化。如果您已经使用 

System Manager 管理网络中的某些设备,可利用 Management Suite 与 System Manager 的集成,从 

Management Suite 控制台来管理这些计算机。 

支持的平台和功能 

下表所示为 Management Suite 所支持的操作系统产品和版本。同时还显示了各种操作系统支持的主要功能。 

246 

Microsoft Windows9x 

和 ME 

Microsoft Windows 

NT*、XP 和 2000 

Apple 

Macintosh* 

Linux* Unix 

协议 TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP 

控制台支持无有 (MDAC 2.8) 无无无 

远程控制有有有有无 

清单有有有有有 

软件分发有有有有有(仅限 

RPM) 

LANDesk 标 

准代理 

实时清单扫描 

和监视 

有有有有无 

有有无有有 

软件授权监视有有有无无 

漏洞扫描器有有有有有 

操作系统部署 Microsoft Windows 9x 和 

ME 不支持。 

有有无无 

所有其他代理有有有无无 

受管设备 

Management Suite 支持以下受管设备操作系统(并非所有操作系统都受到同等程度的支持): 

Microsoft Windows 

支持的客户端平台: 

Microsoft Windows 7(32 位和 64 位) 

Microsoft Windows Vista Business/Ultimate/Enterprise SP1(32 位和 64 位) 

Microsoft Windows XP Professional SP1、SP2 或 SP3 

Microsoft Windows XP Professional x64 Edition 

Microsoft Windows 2000 Professional SP4 

Microsoft Windows NT 4.0 Workstation SP6a 

Microsoft Windows 98 SE

Microsoft Windows 95 B(已安装 Winsock 2) 

支持的客户端/服务器平台: 

Microsoft Windows Server 2008 R2 

Microsoft Windows Server 2008(32 位和 64 位) 

Microsoft Windows Server 2003 SP1 Standard Edition 或更高版本 

Microsoft Windows Server 2003 R2 Standard Edition 

Microsoft Windows Server 2003 SP1 Enterprise Edition 或更高版本 

Microsoft Windows Server 2003 R2 Enterprise Edition 

Microsoft Windows Server 2000 Server SP4 

Microsoft Windows Server 2000 Advanced Server SP4 

Linux 和 UNIX 

支持的客户端平台: 

Red Hat Enterprise Linux 3、4 和 5 WS 

SUSE Linux Professional 9.1、10 

Ubuntu 

支持的客户端/服务器平台: 

HP-UX 11/11i 

Red Hat Enterprise Linux 3、4、5 ES 和 AS(已安装或未安装 EM64T) 

SLES 9 SP2、10(已安装或未安装 EM64T) 

Mac OS 

Mac OS 10.5、10.4、10.3 

客户端语言支持 

以下是支持的语言列表: 

中文(简体) 

中文(繁体) 

英语 

法语 

德语 

意大利语(仅限客户端) 

日语 

韩语 

葡萄牙语(巴西) 

俄语 

西班牙语 


247

用户指南 

管理清单 

LANDesk Management Suite 使用清单扫描实用程序向核心数据库添加设备,并收集设备硬件和软件数据。 

您可以查看、打印和导出清单数据。还可以使用它来定义查询,对设备进行分组,以及生成专门报告。 


清单 

"清单扫描概述" 在页面 248 

"查看清单数据" 在页面 249 

"跟踪清单更改" 在页面 250 

"创建自定义数据表单" 在页面 252 

"使用非核心清单服务器" 在页面 254 

"管理软件列表" 在页面 254 

注意:有关运行清单扫描器的详细信息,以及清单扫描器故障排除技巧,请参阅 Appendix A: Additional inventory 

operations and troubleshooting。 

清单扫描概述 

清单扫描器收集硬件和软件数据,并将这些数据输入核心数据库。使用代理配置工具配置设备时,清单扫描器 

是设备上安装的标准 Management Suite 代理的组件之一。第一次配置设备后,清单扫描器将自动运行。一旦 

设备将清单扫描发送到核心数据库,就认为该设备是受管理的设备。扫描器可执行文件的名称是 

LDISCN32.EXE,该文件支持 Macintosh、Linux 和 Windows 95/98/NT/2000/2003/XP 设备。 

存在两种清单扫描类型: 

248 

硬件扫描:硬件扫描列出受管设备上的硬件清单。硬件扫描运行速度很快。可以在可部署到受管设备 

的代理配置(工具 > 配置 > 代理配置)中配置硬件扫描时间间隔。默认情况下,每次启动设备时都会 

运行硬件扫描。 

软件扫描:软件扫描列出受管设备上的软件清单。运行这些扫描的时间比硬件扫描长。软件扫描需要 

数分钟时间才能完成,具体取决于受管设备上的文件数。默认情况下,无论清单扫描器在设备上运行 

的频率如何,软件扫描每天都会运行一次。可以在配置 > 服务 > 清单选项卡中配置软件扫描时间间 

隔。 

您可以根据需要,在网络视图和快捷菜单中找到设备,然后单击清单扫描来对设备进行扫描。 

注意:通过搜寻功能向核心数据库添加设备时,该设备的清单数据并未扫描到核心数据库中。必须在每个设备上运行清单 

扫描,才能显示该设备的完整清单数据。 

您可以查看清单数据,并使用它们来完成以下操作: 

自定义网络视图列,以显示特定的清单属性 

在核心数据库中查询具有特定清单属性的设备 

对设备进行分组,以加速执行管理任务(如软件分发) 

基于清单属性生成专门报告 

还可以使用清单扫描来跟踪设备上的硬件和软件更改,并在发生此类更改时生成警报或日志文件条目。有关详 

细信息,请参阅 "跟踪清单更改" 在页面 250。

阅读以下各节可了解有关清单扫描器工作方式的详细信息。 

增量扫描 


在设备上初次运行完全扫描之后,清单扫描器只捕获增量更改,并将这些更改发送到核心数据库。只发送更改 

过的数据可使网络通信量和数据的处理次数最小化。 

强制完全扫描 

如果要强制对设备的硬件和软件数据进行完全扫描,则可以删除现有的 delta 扫描文件,并更改配置 

LANDesk 软件服务小程序中的设置。 

1. 删除服务器上的 invdelta.dat 文件。最新清单扫描的副本将以隐藏文件形式存储在本地,文件名为 

invdelta.dat。LDMS_LOCAL_DIR 环境变量指定该文件的位置。默认情况下它位于 C:\Program 

Files\LANDesk\LDClient\Data 中。 

2. 在清单扫描器实用程序的命令行中添加 /sync 选项。要编辑命令行,请单击开始 > 所有程序 > 

LANDesk 管理,右击清单扫描快捷方式图标,选择属性 > 快捷方式,然后编辑目标路径。 

3. 在核心服务器中,单击开始 > 所有程序 > LANDesk > LANDesk 配置服务。 

4. 单击清单选项卡,然后单击高级设置。 

5. 单击 Do Delta 设置。在值框中,键入 0。 

6. 连续单击两次确定,然后单击提示符上的是重新启动该服务。 

扫描压缩 

默认情况下,Windows 清单扫描器 (LDISCAN32.EXE) 执行清单扫描时将压缩扫描结果。扫描器按大约 8:1 

的压缩比来压缩完全扫描和增量扫描的结果。首先在内存中生成完整的扫描数据,然后将数据压缩成一个较大 

的数据包并传输到核心服务器。扫描压缩可减少数据包的数量,从而减少带宽占用量。 

扫描加密 

可以对清单扫描进行加密(仅限 TCP/IP 扫描)。通过更改 LANDesk 配置服务小程序中的设置可以禁用清单 

扫描加密。 

1. 在核心服务器中,单击开始 > 所有程序 > LANDesk > LANDesk 配置服务。 

2. 单击清单选项卡,然后单击高级设置。 

3. 单击 Disable Encryption 设置。在值框中,键入 1。 

4. 单击设置,然后单击确定。 

5. 单击确定,然后单击提示符上的是重新启动该服务。 

加密数据传输 

在配置 > 服务 > 清单选项卡中,有一个加密数据传输选项。此选项使设备扫描结果发送到使用 SSL 的核心服 

务器。由于文件是通过 Web 服务而不是清单服务前端发送,因此即使在注册表中启用了该选项,NAT 地址也 

不会添加到扫描文件的末尾。 

查看清单数据 

一旦清单扫描器扫描了设备,您就可以在控制台中查看设备的系统信息。 

设备清单存储在核心数据库中,其内容包括硬件、设备驱动程序、软件、内存和环境信息。这些清单数据有助 

于您管理和配置设备,并快速识别系统问题。 

可以通过以下方法查看清单数据: 

"查看清单一览表" 在页面 250 

249

用户指南 

250 

"查看完整清单" 在页面 250 

还可以在生成的报告中查看清单数据。有关详细信息,请参阅 "报告" 在页面 265。 

查看清单一览表 

清单一览表位于设备的属性页上,从中可以快速查看设备的基本操作系统配置和系统信息。一览表还显示上次 

清单扫描的日期和时间,以便了解数据的新旧程度。 

注意:使用搜寻工具向核心数据库添加设备时,该设备的清单数据并未扫描到核心数据库中。必须对该设备运行清单扫描 

才能成功实现清单一览表功能。 

查看清单一览表 

1. 在控制台的网络视图中,右击某个设备。 

2. 单击属性 > 清单选项卡。 

查看完整清单 

完整清单提供设备的详细硬件组件和软件组件的完整列表。此列表包含对象和对象属性。 

查看完整清单 

1. 在控制台的网络视图中,右击设备。 

2. 单击清单。 

有关详细信息,请参阅 "清单帮助" 在页面 344。 

查看属性的特性 

您可以从清单列表中查看设备清单对象的属性特性。属性特性可提供清单对象的特征和值。您还可以创建新的 

自定义属性和编辑用户定义的属性。 

要查看某个属性的特性,请双击该属性。 

有关详细信息,请参阅 "关于“清单属性特性”对话框" 在页面 346。 

跟踪清单更改 

LANDesk 可以检测并记录对设备硬件和软件所做的更改。跟踪清单更改可以帮助您控制网络资产。借助于清 

单更改设置,您可以选择要保存的更改类型以及严重性级别。所选的更改既可以保存到清单历史记录日志中, 

也可以保存到核心服务器的 Windows 事件日志中,还可以作为 AMS 警报发送。 

您可以查看和打印设备的清单更改历史记录。此外,可以将清单更改导出为 .CSV 格式的文件,以便使用您自 

己的报告工具进行分析。 

要跟踪和使用清单更改,首先必须配置清单更改设置。您将可以执行其他清单更改历史记录任务: 

"配置清单更改设置" 在页面 250 

"查看、打印或导出清单更改" 在页面 251 

配置清单更改设置 

注意:要查看、打印或导出网络上任何设备的清单更改,首先必须配置这些设置。

配置清单更改设置 

1. 单击配置 > 清单历史记录。 


2. 在清单更改设置对话框中,展开当前清单列表中的计算机对象,然后选择要跟踪的系统组件。 

3. 在事件记录位置列表中,选择要跟踪的组件属性。 

4. 选取适当的复选框,以指定一个位置来记录对该属性所做的更改。清单更改既可以记录到清单更改历 

史记录日志中,也可以记录到 Windows NT 事件查看器日志中,还可以作为 AMS 警报发送。 

5. 从日志/警报的严重性下拉列表中选择一种严重性级别。严重性级别包括:无、信息、警告和严重。 


有关详细信息,请参阅 "关于“清单更改设置”对话框" 在页面 346。 

查看、打印或导出清单更改 

查看、打印或导出清单更改 

1. 在控制台的网络视图中,右击某个设备。 

2. 单击清单历史记录。 

3. 单击打印可打印清单更改历史记录。 

4. 单击导出可以将清单更改历史记录另存为 .CSV 文件。 

有关详细信息,请参阅 "关于“清单更改历史记录”对话框" 在页面 346。 

使用自定义数据表单 

LANDesk 包含一个自定义数据表单工具(工具 > 配置 > 自定义数据表单),可用来创建和管理表单。自定义 

数据表单提供了一种收集用户信息并将其添加到核心数据库的方法。 


仅具有 LANDesk Security Suite 许可无法使用自定义数据表单。必须具有 LANDesk Management Suite 的完全许可才能使 

用自定义数据表单功能。 

清单扫描器不能收集某些类型的个性化用户特定信息,例如: 

用户的办公桌在哪里? 

用户的资产编号是什么? 

用户的电话号码是多少? 

收集此类信息的最佳方法是使用自定义数据表单直接从用户处获得。 

自定义数据表单有两个主要部分:表单设计器和表单查看器;前者用来创建供用户填写的表单,后者供用户用 

来填写表单。 

表单可以存储在中心位置,也可以存储在本地。如果表单存储在中心位置,则所有用户均可自动访问最新表 

单,因为每个用户查看的是位于相同位置的同一表单。如果表单存储在本地,则必须确保用户接收的是最新表 

单。 

用户完成表单后,表单查看器将结果存储在本地计算机的 C:\Program 

Files\LANDesk\LDClient\LDCSTM.DAT 中。此文件包含来自用户已响应的所有表单的结果。如果用户需要再 

次填写同一表单(例如,如果修改了原始表单),表单查看器将使用先前输入的数据填写该表单。 

清单扫描器从每个设备的 LDCSTM.DAT 文件中获取信息,并将这些信息添加到核心数据库中。 

251

用户指南 

Oracle 数据库是区分大小写的 

使用自定义数据表单(或使用任何其他功能)在 Oracle 数据库中创建自定义字段时,应确保字段名的大小写一致。例如, 

在数据库中,与“Cube location”相关的数据的存储位置和与“Cube Location”相关的数据的存储位置是不同的。 

另外,无论自定义字段的名称是大写还是小写,都应确保是唯一的。如果两个自定义字段的名称相同但大小写不同,可能无 

法检索到正确的清单数据。 

有关自定义数据表单的详细信息,请参阅以下步骤: 

252 

"创建自定义数据表单" 在页面 252 

"创建表单组" 在页面 252 

"配置设备以接收自定义数据表单" 在页面 253 

"填写设备上的表单" 在页面 253 

创建自定义数据表单 

按照以下步骤创建自定义数据表单。 

创建自定义数据表单 

1. 单击工具 > 配置 > 自定义数据表单。 

2. 在“自定义数据表单”窗口中,双击添加新表单。 

3. 输入表单的名称。 

4. 输入表单的说明。 

5. 单击添加以打开添加问题对话框。 

6. 在“添加问题”对话框中,键入问题文本、清单名称和说明。 

7. 选择控件类型。 

8. 选择是否要将此字段设为必填字段。 

9. 如果选择了编辑控制类型,请单击完成以关闭添加问题对话框。“编辑”控件类型允许用户在可编辑的 

文本框中键入自己对问题的回答。可以添加更多问题,也可以转到第 12 步。 

10. 如果选择了其中任一组合框控件类型,则单击下一步以打开添加项对话框。“组合框”控件类型允许用 

户从预定义项的下拉列表中选择自己的答案。 

11. 在“添加项”对话框中,输入项名,然后单击插入将该项放入“项”列表中。这些项将显示在表单上对应于 

该问题的下拉列表中。您可以根据需要添加所需的项,然后单击完成。 

12. 完成添加问题后,单击关闭以保存该表单。 

您可以右击表单,以安排向设备分发该表单。 

创建表单组 

如果要发送给设备的表单不只一个,则可以将它们组合为一组。然后,只需安排该表单组的分发时间即可。当 

然,这不是必需的步骤。 

安排表单组的分发时间后,一旦达到组的分发时间,本地调度程序将读取该组的内容。换句话说,您仍然可以 

更改组的内容,即使已经安排了它的分发时间(只要计划作业尚未发生)。 

注意:如果随后修改或删除了组中的某个表单,该组将自动反映这些变化。 

创建表单组 

1. 在自定义数据表单窗口中,单击多个表单工具栏按钮。 

2. 输入新组的名称。 

3. 从可用表单的列表中选择要添加到组中的表单。


右击表单组可以安排向设备分发该表单组的时间。 

配置设备以接收自定义数据表单 


安装设备时,可以对它们进行配置,使之接收自定义数据表单。必须选择安装“自定义数据表单”组件,并在代 

理配置对话框中指定自定义数据表单选项。有关详细信息,请参阅 "部署自定义数据表单" 在页面 352。 

在代理配置对话框中,必须指定在设备上更新表单的方式: 

自动更新:如果所有表单均存储在中心位置(自动更新),则用户只需在一个位置查找新表单。这 

样,如果添加了新表单,则所有查看该位置的设备都可以立即访问它。缺点是用户会看到与自己无关 

的表单。 

手动更新:如果表单存储在本地(手动更新),则需要将表单分发给需要填写这些表单的用户。这种 

方法的网络开销较小,因为每个设备保留其自己的表单副本。本地表单的优点是您可以限制表单用 

户,使他们只能看到与自己有关的表单。您可以在设备安装过程中将表单复制到设备,也可以使用“计 

划任务”工具来完成此操作。 

您还需要指定在设备上显示表单的时间: 

启动时:设备每次启动时,设备的表单查看器将查找所有新表单或经修改的表单。表单查看器在操作 

系统加载后启动。下一次运行清单扫描器时,扫描器会将已完成的表单发送到核心数据库。 

清单扫描器运行时:清单扫描器启动表单查看器,以查找所有新表单或经修改的表单。一旦用户填完 

表单并关闭表单查看器,扫描过程就告完成,而且数据将被输入到核心数据库中。 

当从 LANDesk 程序文件夹中启动时:可以从 Management Suite 程序组手动启动表单查看器。下一 

次运行清单扫描器时,扫描器会将已完成的表单发送到核心数据库。 

您也可以使用计划任务窗口在预定时间启动设备上的表单查看器。在此方案中,使用计划任务窗口首先将表 

单分发给设备。请确保在使用“计划任务”的可编写脚本作业功能来运行表单查看器之前,有足够的时间来分发 

表单。 

填写设备上的表单 

在设备中启动表单查看器后,将显示表单列表和每个表单的状态: 

新建:表明此用户从未填写过该表单。 

已完成:表示用户已打开此表单,并至少填写了必填字段。 

再来一次:表明用户之前已完成了此表单,但之后更改了该表单。用户需要再次查看该表单,并进行 

任何所需的更改。一旦此操作完成,表单的状态即更改为“已完成”。 

用户选择要填写的表单并单击“打开”后,将显示一个简单的表单向导。该向导包含一个问题列表和回答字段。 

如果在一页上容纳不下这些问题,则会显示“上一页”/“下一页”按钮。用户可以在光标位于字段内时单击“帮助” 

(或按 F1 键),以显示由表单设计器中的说明字段生成的帮助消息。 

继续下一页或退出表单之前,用户必须回答所有必须回答的问题。必须回答的问题的旁边有一个红点。 

表单向导的最后一页上有一个完成按钮,供用户在完成向导后使用。单击此按钮后,用户将返回到表单选择 

对话框,其中表单名旁边的状态消息已更新。 

在运行 LANDesk 旧版代理的设备上使用自定义数据表单 

表单设计器以 Unicode 格式保存表单。Windows NT 和 Windows 98 设备上旧版代理使用的表单查看器无法打开 Unicode 

表单,因此查看器会显示错误。您可以通过在创建该 .FRM 文件的核心服务器上使用 Windows 记事本应用程序打开该文 

件,并将其另存为 ANSI 格式来解决此问题。随后即可将自定义数据表单推送到旧版设备上,它将可以正常使用。 

253

用户指南 

使用非核心清单服务器 

通常由核心服务器处理受管设备上的清单扫描。如果您担心此类扫描处理对核心服务器造成的负载,可以安装 

一个非核心清单服务器。这种非核心清单服务器包含特殊版本的 LANDesk 清单服务器服务,可以接受清单扫 

描并将扫描数据插入数据库。配置了非核心清单服务器后,基于 Windows 的设备上的清单扫描器在 ping 核 

心服务器时,核心服务器会作出要求扫描器将其扫描文件发送到非核心服务器的回复。 

非核心清单服务器只处理基于 Windows 的设备的扫描。核心服务器仍然会处理以下设备的扫描: 

254 

Macintosh 

Linux 

Unix 

在管理网关后的设备 

运行比 8.7 更早版本清单扫描器的设备 

非核心清单服务器的系统要求如下: 

Microsoft Windows 2000 Server SP4、Microsoft Windows 2000 Advanced Server SP4、Microsoft 

Windows 2003 Standard Server、Microsoft Windows 2003 Enterprise Server、Windows Server 

2008、Windows XP Professional SP1 

.NET Framework 2.0 或 3.0 

ASP.NET 2.0 或 3.0 

MDAC 2.8 或更高版本 

管理员权限 

不能安装在核心服务器或汇总核心服务器上,但必须有在其他地方运行的核心服务器 

如果设备有防火墙,需要打开端口 5007 

请勿对非核心清单服务器使用清单“加密数据传输”选项 

配置 LANDesk 软件服务对话框的清单选项卡中有加密数据传输选项。加密传输与非核心清单服务器不兼容。如果使用非 

核心清单服务器,请确保此选项已禁用。 

安装非核心清单服务器 

1. 从希望作为非核心清单服务器的设备上,将驱动器映射到核心服务器的 LDMAIN 共享目录并运行 

\Install\Off-Core Inventory Server\Setup。这一操作将安装非核心清单服务器。安装完成后将提示您重 

新启动。请重新启动,以完成安装。 

2. 从核心服务器中,单击开始 > 所有程序 > LANDesk > LANDesk 配置服务。 

3. 在清单选项卡上,单击高级设置。 

4. 单击非核心清单服务器选项。 

5. 在值框中输入非核心清单服务器的计算机名,然后单击设置。 

6. 单击确定,然后在清单选项卡中单击重新启动,重新启动清单服务。 

7. 在非核心清单服务器上,从服务控制面板小程序中重新启动 LANDesk 清单服务器服务。 

8. 现在,基于 Windows 的设备扫描将由非核心清单服务器处理。 

注意:每当您对配置 LANDesk 软件服务对话框的清单选项卡进行更改后,都需要重新启动核心与非核心服务器上的 

LANDesk 清单服务器服务。重新启动非核心服务才能使其加载您所做的配置更改。 

管理软件列表 

使用管理软件列表配置清单扫描器要扫描或忽略的文件。清单扫描器使用此配置数据来识别设备的软件清 

单。扫描器采用以下三种方式识别软件应用程序: 

文件名

文件名和大小 

应用程序可执行文件中所包含的信息 


注意:默认情况下,清单扫描器仅扫描管理软件列表中列出的文件。如果要扫描设备上的所有文件,可以更改扫描模式至 

所有文件。“模式=所有”扫描模式从设备生成的清单扫描文件的大小可达到数兆字节。初次扫描之后,清单扫描器只发送增 

量扫描,此时文件大小将显著减小。 

管理软件树包含两个窗格,显示以下详细信息: 

左侧窗格:该窗格显示“文件”树。 

文件:显示可用于组织文件的类别: 

待扫描:扫描器可以在设备上识别的文件。该列表将预填充数千个应用程序的说明, 

并提供设备上可能已安装的可执行文件的基本信息。您可以向该列表添加文件或排除其 

中的文件。 

待处理:在设备上已发现但扫描器未知的文件。必须将这些文件移动到其他类别中, 

扫描器才能识别它们。 

待排除:扫描器将忽略所有移动到该类别中的文件。如果从待排除中删除某文件,该 

文件将出现在待处理类别中。 

右侧窗格:此窗格根据其顶部所指定的搜索条件显示所选类别的内容。 

修改管理软件列表 

您可以修改管理软件列表以确定扫描将包含或排除的文件。您可以将文件从右侧窗格拖动到左侧窗格中的类别 

中。您还可以通过选择列表中的任意文件并单击属性工具栏按钮更改其属性。 

重要说明:在使用任何以下步骤编辑核心服务器的管理软件列表之后,您必须单击在客户端上使用按钮更新清单扫描器使 

用的产品定义文件。下次设备执行清单扫描时,扫描器将从核心数据库获取更新后的产品定义文件,并应用全部更改。 

关于“文件属性”对话框 

使用此对话框(单击文件 > 和待扫描或待处理类别,然后单击新建文件工具栏按钮)将文件添加到管理软件 

列表。 

“浏览”按钮:该按钮用于直接选择某文件。如果采用该方式选择文件,“文件名”和“大小”字段将自动填 

充。 

文件名:浏览以选择文件或输入文件名。 

大小(字节):输入文件大小,单位为字节。请勿在数字之间使用逗号或其他分隔符。如果输入文件 

大小 1,则匹配所有具有该文件名的文件。 

产品名:输入该文件所属的产品名。 

供应商:输入使用该文件的产品的供应商名称。 

版本:输入该文件的版本号。 

操作或状态:选择要对文件执行的操作: 

待扫描:将文件添加到该类别中,以使清单扫描器在设备上查找该文件。 

待处理:如果要在以后决定如何处理文件,请将该文件添加到此类别中。 

处理文件 

您可以通过将文件拖动到管理软件树中的待扫描或待排除类别来处理文件。 

从“待扫描”列表中排除文件 

排除文件 

1. 在管理软件树中,选择文件下的待排除类别。 

255

用户指南 

256 

2. 单击新建文件工具栏按钮。 

3. 输入待排除文件的名称。 


识别没有 .exe 扩展名的应用程序文件 

默认的待扫描列表包含可执行文件(仅 .exe 文件)的说明。如果还需要扫描器识别其他类型的应用程序文件 

(.DLL、.COM、.SYS 等),请参阅 Editing the LDAPPL3.TEMPLATE file。

数据库查询 


查询是对托管设备执行的自定义搜索。LANDesk Management Suite 为您提供了一种方法,借助此方法,可 

通过数据库查询来查询已扫描到核心数据库中的设备,以及通过 LDAP 查询来查询位于其他目录中的设备。 

在控制台的网络视图中,可使用“查询组”查看、创建和组织数据库查询。而 LDAP 查询是使用目录管理器工具 

创建的。 

有关使用“目录管理器”创建和使用 LDAP 目录查询的详细信息,请参阅 "LDAP 查询" 在页面 260。 


"查询概述" 在页面 257 

"查询组" 在页面 257 

"创建数据库查询" 在页面 257 

"运行数据库查询" 在页面 259 

"导入和导出查询" 在页面 259 

查询概述 

借助于查询,您可以根据特定的系统或用户标准,搜索和组织核心数据库中的网络设备,从而协助您管理网 

络。 

例如,您可以创建并运行一个查询,它只查找以下这种设备:处理器的时钟频率低于 2 GHz,或 RAM 小于 

1024 MB,或硬盘驱动器小于 20 GB。创建一条或多条表示这些条件的语句,并使用标准逻辑运算符将它们 

相互关联起来。运行查询后,可以打印查询的结果,并访问和管理相应的设备。 

查询组 

查询在网络视图中可以组合为组的形式。通过右击我的查询组,然后相应地选择新建查询或新建组,可以创 

建新查询(和新查询组)。 

Management Suite 管理员(即拥有 Management Suite 管理员权限的用户)可以查看所有查询组的内容,其 

中包括:我的查询、公共查询和所有查询。 

其他 Management Suite 用户登录到控制台后,就可以根据各自的设备范围来查看我的查询组、公共查询组和 

所有查询组中的查询。 

当您将查询移到某个组中(右击,然后选择添加到新组或添加到现有组,或通过拖放查询)时,实际上只是 

创建了该查询的副本。您可以删除任何查询组中的副本,但查询的主副本(在所有查询组中)将不受影响。 

如果要删除主副本,可在所有查询组中执行此操作。 

有关如何在网络视图中显示查询组和查询,以及使用它们可以完成哪些任务的详细信息,请参阅 "了解网络视 

图" 在页面 184。 

创建数据库查询 

在新建查询对话框中,通过选择属性、关系运算符和属性值可以构建查询。选择清单属性,然后将其与适当 

的值关联起来,这样可以构建查询语句。将查询语句彼此之间进行逻辑上的关联,以确保在将这些语句与其他 

语句或组关联之前,可将它们作为组进行求值。 

257

用户指南 

创建数据库查询 

258 

1. 在控制台的网络视图中,右击我的查询组(如果您具有公共查询管理权限,也可以右击公共查询), 

然后单击新建查询。 

2. 输入查询的唯一名称。 

3. 从清单属性列表中选择组件。 

4. 选择关系运算符。 

5. 从值列表中选择值。您可以编辑值。 

6. 单击插入,将该语句添加到查询列表中。 

7. 如果要查询多个组件,请单击逻辑运算符(AND 或 OR),然后重复步骤 2-5。 

8. (可选)要将查询语句进行分组,以便作为组进行求值,请选择两条或更多条查询语句,然后单击组 

合 ()。 

9. 添加语句完成后,请单击保存。 

关于“新建查询”对话框 

借助于此对话框,您可以使用以下功能创建新查询: 

名称:标识查询组中的查询。 

机器组件:列出查询可以扫描的清单组件和属性。 

关系运算符:列出关系运算符。这些运算符决定了特定组件的哪些描述值将满足查询条件。 

Like 运算符是一个新增的关系运算符。如果用户未在查询中指定通配符 (*),Like 运算符将在字符串的两端添 

加通配符。以下列举了三个使用 Like 运算符的示例: 

Computer.Display Name LIKE "Bob's Machine" 查询相当于:Computer.Display Name LIKE "%Bob's 

Machine%" 

Computer.Display Name LIKE "Bob's Machine*" 查询相当于:Computer.Display Name LIKE "Bob's 

Machine%" 

Computer.Display Name LIKE "*Bob's Machine" 查询相当于:Computer.Display Name LIKE "%Bob's 

Machine" 

显示扫描值:列出所选清单属性的可用值。也可以手动输入适当的值,或使用“编辑值”字段编辑所选 

的值。如果所选的关系运算符为 "Exists"(存在)或 "Does Not Exist"(不存在),则所有描述值都不 

可用。 

逻辑运算符:决定查询语句如何在逻辑上相互关联: 

AND:前面的查询语句“与”要插入的语句均必须为真,才能满足查询条件。 

OR:前面的查询语句“或”要插入的语句有一条为真,即满足查询条件。 

插入:将新语句插入查询列表,并根据列出的逻辑运算符,将该语句与其他语句从逻辑上关联起来。 

您必须先构建适当的查询语句,才能选择该按钮。 

编辑:用于编辑选定的查询语句。完成更改之后,请单击更新按钮。 

删除:将所选的语句从查询列表中删除。 

全部清除:删除查询列表中的全部语句。 

查询列表:列出插入到查询中的每条语句及其与所列其他语句的逻辑关系。成组的语句用括号括起 

来。 

组合 ():将所选的语句组合在一起,以便这些语句针对彼此求值,然后针对其他语句进行求值。 

取消组合:取消所选分组语句的组合。 

筛选器:打开用于显示设备组的“查询筛选器”对话框。通过选择设备组,可以将查询限定为仅查询所 

选组中包含的设备。如果未选择任何组,查询将忽略组成员身份。 

选择列:用于添加或删除显示在该查询的查询结果列表中的列。选择组件,然后单击右箭头按钮,可 

以将该组件添加到列列表中。您可以手动编辑“别名和排序顺序”文本,您所做的更改将显示在查询结果 

列表中。


限定符:限定符按钮用于限制数据库中的一对多关系,如果没有该限定符,同一机器会在结果集中多 

次列出。例如,如果要查看组织中每台机器上所安装的 Microsoft Word 版本,应在查询框中插入 

Computer.Software.Package.Name = "Microsoft Word",然后在“选择列”列表中选择 

Computer.Software.Package.Version。但如果只列出软件版本,就会将每台机器上安装的每个软件的 

每个版本都列出来,您显然不希望这样。要解决此问题就要限制(限定)仅列出 Microsoft Word 的版 

本。单击“限定”按钮,插入 Computer.Software.Package.Name = "Microsoft Word"。这样就只返回 

Microsoft Word 的版本。 

保存:保存当前查询。如果您在运行某个查询之前先保存它,则该查询将一直保存在核心数据库中, 

直到您明确删除它。 

以显示的顺序执行查询语句 

如果未进行分组,该对话框中列出的查询语句将按自下至上的顺序执行。请确保将相关的查询项分成一组,以便按组对这些 

项进行求值,否则,查询的结果可能会出乎意料。 

运行数据库查询 

运行查询 

1. 在网络视图中,展开查询组,以便找到要运行的查询。 

2. 双击查询。也可以右击并选择运行。 

3. 结果(匹配的设备)将显示在网络视图的右侧窗格中。 

导入和导出查询 

可以使用导入和导出功能将查询从一个核心数据库传输到另一个核心数据库。可导入: 

Management Suite 8 导出的查询 

Web 控制台导出的 .XML 查询 

导入查询 

1. 右击将放置所导入的查询的查询组。 

2. 从快捷菜单中选择导入。 

3. 浏览至要导入的查询并选中它。 

4. 单击打开,将该查询添加到网络视图中的所选查询组。 

导出查询 

1. 右击要导出的查询。 

2. 从快捷菜单中选择导出。 

3. 浏览到要将该查询保存为 .Idms 文件的位置。 

4. 键入查询的名称。 

5. 单击保存,导出查询。 

259

用户指南 

LDAP 查询 

除了提供用数据库查询来查询核心数据库的方法之外,Management Suite 还提供了“目录管理器”工具,用于 

通过 LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)查找、访问和管理其他目录中的设 

备。 

您可以根据特定的属性(如处理器类型或操作系统)来查询设备。您也可以根据特定的用户属性(如员工 ID 

或部门)来进行查询。 

有关从网络视图中的查询组创建并运行数据库查询的信息,请参阅 "数据库查询" 在页面 Error! Bookmark 

not defined.。 


260 

"配置 LDAP 目录" 在页面 260 

"关于“目录管理器”窗口" 在页面 261 

"创建 LDAP 目录查询" 在页面 261 

"有关轻型目录访问协议 (LDAP) 的详细信息" 在页面 263 

配置 LDAP 目录 

使用“目录管理器”配置工具可管理与 LANDesk Management Suite 一起使用的 LDAP 目录。系统会保存您输 

入的 LDAP 服务器、用户名和密码,并在您浏览目录或对其执行查询时使用。如果您更改了 LDAP 目录中配 

置用户的密码,则必须也更改此处的密码。 

注意:此处配置的帐户必须能够读取通过 LDMS 进行管理时所使用的用户、计算机和组。 

配置新目录 

1. 单击配置 > 管理目录。 

2. 单击添加。 

3. 在 LDAP:// 字段中输入目录服务器的 DNS 名称。 

4. 输入用户名和密码。 

注意:如果您使用 Active Directory,那么输入名称格式为 \。如果您使用其他目录服务, 

那么输入用户的可分辨名称。 

5. 单击确定保存信息。在对话框关闭之前,系统会根据目录验证您输入的信息。 

修改现有的目录配置 


2. 单击所需的目录。 

3. 单击编辑。 

4. 根据需要更改服务器、用户名和密码 

5. 单击确定保存信息。在对话框关闭之前,系统会对目录验证该信息 

删除现有的目录配置 


2. 单击所需的目录。

3. 单击删除。 

注意:当删除目录后,使用该目录的所有 LDAP 查询都将被删除。 

关于“目录管理器”窗口 

使用目录管理器可以完成以下任务: 

管理目录:打开目录属性对话框,从中可以识别和登录 LDAP 目录。 

删除目录:从“预览”窗格中删除所选目录并停止管理该目录。 

刷新视图:重新加载托管的目录和目标用户的列表。 

新建查询:打开 LDAP 查询对话框,从中可以创建和保存 LDAP 查询。 

删除查询:删除所选查询。 

运行查询:生成所选查询的结果。 

对象属性:查看所选对象的属性。 


使用目录管理器可将 LDAP 组和已保存的 LDAP 查询拖动到计划任务,使它们成为任务目标。 

“目录管理器”窗口由以下两个窗格组成:左侧的目录窗格和右侧的预览窗格。 

目录窗格 

目录窗格显示所有注册目录和用户。作为管理员,您可以指定注册目录的名称,并查看与该目录相关的查询的 

列表。您可以通过右击或使用下拉菜单为注册目录创建新查询,然后进行保存。在创建了查询之后,可以将查 

询拖放到计划任务窗口中,以便将任务应用到与查询相匹配的用户。 

预览窗格 

当您在“目录管理器”对话框左侧的目录窗格中选择已保存的查询时,策略的目标将指向右侧预览窗格中的该查 

询。与此类似,当您在目录窗格中选中单个 LDAP 用户时,策略的目标将指向预览窗格中的该用户。 

注册目录:查询组项和浏览项。 

查询组:与目录相关的查询。 

查询:提供有关查询的详细信息。 

浏览和目录项:目录中的子项。 

创建 LDAP 目录查询 

创建和保存目录查询 

创建目录查询并保存该查询的任务分为以下两个步骤: 

在 LDAP 目录中选择对象并启动新查询 

1. 单击工具 > 分发 > 目录管理器。 

2. 浏览至目录管理器目录窗格,然后在 LDAP 目录中选择对象。此时将创建一个 LDAP 查询,该查询返 

回目录树中自此位置以下的查询结果。 

3. 在目录管理器中,单击新建查询工具栏按钮。请注意,只有在您选择了目录树 (o=my company) 的根 

组织 (o) 或根组织内的组织单位 (ou=engineering) 后,才会显示该图标。否则,该图标是灰显的。 

4. 显示基本 LDAP 查询对话框。 

261

用户指南 

创建、测试和保存查询 

262 

1. 在基本 LDAP 查询对话框中,从目录属性列表中单击将成为查询标准的属性(例如 = department)。 

2. 单击该查询要使用的比较运算符(=、=)。 

3. 输入属性的值(例如,department = engineering)。 

4. 要创建将多个属性组合在一起的复杂查询,请选择组合运算符(AND 或 OR),然后重复第 1 到第 3 

步(您可以根据需要重复多次)。 

5. 完成创建查询后,请单击插入。 

6. 要测试已完成的查询,请单击测试查询。 

7. 要保存查询,请单击保存。所保存的查询将按名称显示在目录管理器的目录窗格中的保存的查询下。 

关于“基本 LDAP 查询”对话框 

LDAP 查询根目录:在目录中选择该查询的根对象 (LDAP://ldap.xyzcompany.com/ou = America.o = 

xyzcompany)。要创建的查询将返回树中自此位置以下的查询结果。 

LDAP 属性:选择用户类型对象的属性。 

运算符:选择要执行的运算类型,这些运算类型与 LDAP 对象、其属性以及属性值相关,其中包括: 

等于 (=)、小于或等于 (=)。 

值:指定分配给 LDAP 对象的属性的值。 

AND/OR/NOT:布尔操作符,可选择用于查询条件。 

测试查询:对所创建的查询执行测试。 

保存:用名称保存所创建的查询。 

高级:使用基本 LDAP 查询的元素以任意方式创建查询。 

插入:插入一行查询标准。 

删除:删除一行选定的查询标准。 

全部清除:清除全部查询标准行。 

关于“保存 LDAP 查询”对话框 

在基本 LDAP 查询对话框中,单击保存以打开保存 LDAP 查询对话框,该对话框将显示如下选项: 

选择该查询的名称:用于为所创建的查询选择名称。 

查询详细信息 LDAP 根目录:可以使用基本 LDAP 查询的元素以任意方式创建查询。 

查询详细信息 LDAP 查询:在以任意方式创建自己的查询时,显示可供参考的查询示例。 

保存:使用名称保存所创建的查询。该查询将保存到目录管理器目录窗格中的 LDAP 目录条目下的保 

存的查询项中。 

关于“目录属性”对话框 

在目录管理器工具栏中,单击管理目录工具栏按钮,以打开目录属性对话框。可利用此对话框开始管理新目 

录或查看当前托管目录的属性。该对话框还将显示 LDAP 服务器的 URL,以及连接到 LDAP 目录所需的身份 

验证信息: 

目录 URL:用于指定要管理的 LDAP 目录。LDAP 目录和正确语法的示例可以表示为 ldap..com。例如,可以键入 ldap.xyzcompany.com。 

身份验证:允许您以后续用户(即您指定用户路径以及用户名和用户密码)的身份登录。 

关于“高级 LDAP 查询”对话框 

在基本 LDAP 查询对话框中,单击高级,以打开高级 LDAP 查询对话框,该对话框将显示以下选项:


LDAP 查询根目录:用于在目录中选择该查询的根对象。要创建的查询将返回树中自此位置以下的查 

询结果。 

LDAP 查询:可以使用基本 LDAP 查询的元素以任意方式创建查询。 

示例:在以任意方式创建自己的查询时,显示可供参考的查询示例。 

测试查询:对所创建的查询执行测试。 

当您选择对已创建的查询进行编辑时,将显示高级 LDAP 查询对话框。另外,如果您在“目录管理器”中选择 

LDAP 组,然后从该位置创建查询,也将显示高级 LDAP 查询对话框,且其默认查询所返回的用户是该组的 

成员。您不能更改该默认查询的语法,而只能保存查询。 

有关轻型目录访问协议 (LDAP) 的详细信息 

轻型目录访问协议 (LDAP) 是一个行业标准协议,用于访问和查看有关用户和设备的信息。利用 LDAP,您可 

以将这些信息组织和存储到目录中。由于可以根据需要进行更新,因此 LDAP 目录是动态的;同时它也是分 

布式的,从而保护该目录免受单点故障危害。通用 LDAP 目录包括:Novell Directory Services* (NDS) 和 

Microsoft Active Directory Services* (ADS)。 

以下示例说明了可用于搜索该目录的 LDAP 查询: 

获取所有条目:(objectClass=*) 

获取通用名中包含 'bob' 的条目:(cn=*bob*) 

获取通用名大于或等于 'bob' 的条目:(cn>='bob') 

获取所有带电子邮件属性的用户:(&(objectClass=user)(email=*)) 

获取所有带电子邮件属性并且姓氏等于 'smith' 的用户条目:(&(sn=smith)(objectClass=user)(email=*)) 

获取所有通用名以 'andy'、'steve' 或 'margaret' 开头的用户条目:(&(objectClass=User) (| 

(cn=andy*)(cn=steve*)(cn=margaret*))) 

获取所有不带电子邮件属性的用户条目:(!(email=*)) 

263

用户指南 

搜索筛选器的正式定义如下所示(RFC 于 1960 年制订): 

264 

::= '(' ')' 

::= > > > 

::= '&' 

::= '|' 

::= '!' 

::= > 

::= > > 

::= 

::= > > > 

::= '=' 

::= '~=' 

::= '>=' 

::= '

报告 


准确可靠的信息是做出任何商业决策的基础。无论在 IT 业还是金融业,这都是不争的事实。报告几乎在 IT 业 

的每个区域都起着一定作用。Management Suite 自动化操作报告的许多方面。通过计划报告,信息可传送到 

中心 Web 服务器或直接传送到用户的收件箱。报告可采用各种格式生成,如电子表格、Adobe PDF、HTML 

链接、丰富文本文件、CSV 或 XML 格式。 

利用报告工具可以生成各种专门的报告,这些报告提供有关网络中设备的关键信息。报告工具利用 

Management Suite 清单扫描实用程序,该实用程序收集并组织硬件和软件数据,以便生成有用的、信息性的 

最新报告。报告控制台也独立于 Management Suite,并用作连接至数据库的第三方程序的报告工具。 

下面提供几种类型的报告: 

标准(预定义的)报告:Management Suite 附带的默认报告。 

自定义报告:通过 Jaspersoft iReport 创建的自定义报告,启用定义唯一的一组信息以生成报告。还 

可以自定义任何标准报告。 

特别报告:从 Management Suite 的各个区域获得的“一次点击”报告。 

基于查询的报告:基于查询的“一次单击”报告。右击查询,然后单击新建报告以根据查询在报告 > 自 

动生成下创建报告,并且以该查询命名。 

此外还可以计划报告,从而让这些报告按指定的间隔时间运行,以及通过电子邮件将报告直接发送给用户。 


265

用户指南 

使用报告控制台 

报告控制台是基于 Java 的应用程序,独立于 Management Suite 工作,而且可与第三方程序配合使用。报告 

控制台运行称为 Avocent Management Platform (AMP) 的集中式程序,以满足任何组织的报告需求。如果与 

Jaspersoft iReport 一起使用,还可对报告控制台内部的所有报告进行完全自定义。 

从 Windows 控制台启动报告控制台 

266 

单击工具 > 报告/监视 > 报告。 

从任何位置运行受支持浏览器的报告控制台 

使用以下直接访问 URL。将需要使用核心服务器名替换。 

https://:8443/console/console.html?root=reporting 

报告控制台的报告部分是将访问的报告主体。在 Windows 资源管理器之后,会就如何组织和访问文件构建报 

告部分。它分为以下几个部分: 

报告文件夹:(左窗格)显示报告文件夹结构。并将此用于导航。 

报告:(中间窗格)显示选定文件夹中的报告。 

操作:(右窗格)显示可使用当前选择执行的操作的工具栏。单击不灰显的项以执行此操作。 

Management Suite 随附的标准报告在报告 > Management Suite 文件夹下归档。从 Management Suite 中的 

查询创建报告时,将显示自动生成的文件夹。

当运行报告时,可选择以下某种格式: 


HTML:标准 HTML。经常可以在 HTML 报告中单击图表工具(如饼形图)来获取有关某项的更多详 

细信息。 

PDF:Adobe PDF 

XLS:Microsoft Excel 格式 

CSV:逗号分隔值文本文件 

RTF:丰富文本格式 

注意:PDF 报告格式不会正确显示双字节字符,例如日语。如果需要 PDF 格式的双字节报告,那么选择 HTML 格式并使 

用第三方 PDF 生成器从该格式生成 PDF。 

如果存在与选定文件扩展名相关联的默认应用程序,那么会在该应用程序中打开报告。如果文件扩展名没有默 

认关联,那么系统将提示您保存文件。 

运行报告 

1. 在报告内容面板中,从报告文件夹列中选择文件夹。 

2. 在报告表中选择要运行的报告。 

3. 单击操作面板 > 报告标题 > 运行。 

4. 打开运行报告对话框时,请输入或编辑信息。 

5. 单击确定按钮。 

运行基于查询的报告 

1. 在网络视图中,右击要报告的查询,然后单击新建报告。 

2. 出现一个对话框,告知报告已经创建。单击是,然后报告控制台将启动。 

3. 在报告控制台的报告文件夹面板中,单击报告 > 自动生成。新报告将显示在此列表中。双击该报告即 

可运行。 

还可以在大多数 Windows 控制台树视图项(组或容器)上运行报告。这些“查看方式”报告包含有关生成报告 

的来源项的信息。例如,从网络视图中的某个组运行报告会显示该组中的设备的列表。 

从 Windows 控制台运行“查看方式”报告 

1. 右击某个树状图项,例如分发程序包工具的网络视图或我的程序包中的某个组。 

2. 如果存在查看方式菜单项,那么单击该项,然后单击所需的报告格式。如果不存在查看方式菜单项, 

那么右击的内容不支持“查看方式”报告。 

导入和导出报告 

可以导入和导出报告。如果要与其他人共享报告模板,这会非常有用。如果已删除某些默认报告,但后来又确 

定还需要这些报告,那么也可以重新导入它们。 

报告存储在带有 .jrxml 文件扩展名的纯文本 XML 文件中。可以在此文件夹中找到这些报告: 

C:\Program Files\Avocent\Management Platform\reporting\definition\managementsuite 

文件夹和文件名通常与它们在报告控制台中的显示方式相匹配。 

导出报告 


2. 在报告表中选择要导出的报告。 

267

用户指南 

268 

3. 单击操作面板 > 报告标题 > 导出。 

4. 当窗口打开时,转至报告的导出位置并单击保存。 

在 Internet Explorer 中导入报告 

1. 在报告内容面板中选择文件夹。重要说明:报告必须位于报告文件夹下的文件夹中。如果需要,那么 

为该报告创建新文件夹。 

2. 单击操作面板 > 报告标题 > 新建。 

3. 打开报告属性对话框时,请输入信息。重要说明:必须输入要添加新报告的报告文件的路径。 


Firefox 与 Internet Explorer 不同,它不支持通过标准文件浏览器对话框浏览文件。在 Firefox 中,需要在记事 

本中打开所需的 .jrxml 文件,将文本复制到剪贴板,并将其粘贴到报告属性对话框的报告定义框中。 

在 Firefox 中导入报告 

1. 在报告内容面板中选择文件夹。重要说明:报告必须位于报告文件夹下的文件夹中。如果需要,那么 

为该报告创建新文件夹。 

2. 单击操作面板 > 报告标题 > 新建。 

3. 打开报告属性对话框时,请输入信息。重要说明:对于报告定义,必须在文本编辑器中打开要导入 

的 .jrxml 文件,将文本的所有内容复制到 Windows 剪贴板,并将文本粘贴到报告定义框中。 


计划报告 

如果定期需要某个报告,那么可以对其进行计划,从而提前运行该报告,或者当核心数据库负载可能较轻时在 

闲暇时间运行该报告。可以从报告控制台的报告历史记录对话框查看计划的报告,或者可以使报告控制台通 

过电子邮件将报告发送到指定的电子邮件地址。通过电子邮件发送报告需要 SMTP 邮件服务器。 

每次运行计划的报告时,报告会使用最初计划该报告的人员的范围。 

输入 SMTP 邮件服务器信息 

1. 在报告内容面板中,单击操作面板 > 常规标题 > 报告设置。 

2. 输入 SMTP 服务器信息。 


计划报告 


2. 在报告表中选择要计划的报告。 

3. 单击操作面板 > 报告标题 > 计划。 

4. 打开计划报告对话框时,请输入或编辑信息。 


查看计划的报告 

1. 在报告内容面板中,单击操作面板 > 常规标题 > 计划的报告。 

2. 打开计划的报告对话框时,请查看表中的信息。 

3. 单击确定按钮。

查看报告历史记录 


报告历史记录是所有已运行报告的日志。可以按日期范围或报告名称中的文本筛选历史记录。如果在历史记录 

中双击报告,那么它将重新显示该报告。每次运行报告时,它都会在核心服务器上生成临时文件和历史记录日 

志条目。应定期删除报告历史记录中的条目。当删除条目时,关联的临时文件也会被删除。 

查看报告历史记录 

在报告控制台的操作面板中,单击报告历史记录。 

删除报告历史记录条目 

1. 在报告历史记录对话框中,选择要删除的条目。可以按住 Ctrl 键并单击以选择多个条目,或者单击范 

围中的第一项,然后按住 Shift 键并单击最后一项。这将选择整个范围。 

2. 单击删除。 

3. 单击是以删除选定条目及相关的临时文件。 

使用报告树 

在报告控制台中,可以复制、剪切、粘贴和删除报告。还可以添加、编辑和删除文件夹。 

使用报告 

复制报告 

当所拥有的报告与需要的报告类似时,复制报告非常有用。可以复制报告、粘贴报告,然后修改粘贴的报告。 


2. 在报告表中选择要复制的报告。 

3. 单击操作面板 > 报告标题 > 复制。 

报告复制到内存,并可粘贴到其他位置。也将启动粘贴操作。 

剪切报告 


2. 在报告表中选择要剪切的报告。 

3. 单击操作面板 > 报告标题 > 剪切。 

报告从报告列表中删除,复制到内存,并可粘贴到其他位置。 

粘贴报告 

当所拥有的报告与需要的报告类似时,粘贴报告非常有用。可以复制类似的报告、粘贴报告,然后修改粘贴的 

报告。 

1. 剪切或复制报告。 

2. 移到要粘贴报告的报告文件夹。 

3. 单击操作面板 > 报告标题 > 粘贴。 

报告粘贴到报告文件夹。 

269

用户指南 

删除报告 

270 


2. 在报告表中选择要删除的报告。 

3. 单击操作面板 > 报告标题 > 删除。 

4. 在确认提示中单击是。 

将删除报告。 

使用报告文件夹 

添加新文件夹 


2. 单击操作面板 > 文件夹标题 > 新建。 

3. 打开文件夹属性对话框时,请输入信息。 


报告文件夹显示在报告文件夹内容面板中。 

编辑文件夹 


2. 单击操作面板 > 文件夹标题 > 编辑。 

3. 打开文件夹属性对话框时,请编辑信息。 


报告文件夹在报告文件夹内容面板中更新。 

删除文件夹 


2. 单击操作面板 > 文件夹标题 > 删除。 

3. 在警告提示中单击是以删除文件夹及其子文件夹和报告。 

文件夹从报告文件夹内容面板中删除。 

管理多个核心服务器的报告 

如果网络上有多个核心服务器,那么不必在每个服务器上单独管理报告。可以选择单台核心服务器,并针对选 

择的核心服务器配置要运行的报告。双击报告时显示的运行报告对话框包含一个连接列表,可使用该列表选 

择报告运行所针对的核心服务器数据库。必须为每个要运行报告的核心服务器添加连接。 

将连接添加到使用 Management Suite 随附的默认 SQL 数据库的核心服务器 

1. 在报告控制台的操作面板中,单击“管理”连接。 


3. 输入连接名称和说明。 

4. 对于 SQL 数据库,在 JDBC 驱动程序列表中单击 

com.microsoft.sqlserver.jdbc.SQLServerDriver。 

5. 在服务器地址字段中,使用 \ldmsdata 格式输入远程核心服务器地址。 

6. 在数据库(服务)名称字段中输入 ulddb。

7. 在用户名字段中输入 sa。 

8. 在密码字段中输入核心服务器安装期间提供的数据库密码。 

9. 单击测试以确保连接工作。 

10. 单击确定。现在可以在运行报告时选择此连接。 


如果连接的核心服务器不使用 Management Suite 随附的默认数据库,那么将需要更改字段值以匹配数据库安 

装。 

管理连接 

重要说明:更改报告的默认连接不会更改任何计划的报告的默认连接。 

1. 在报告内容面板中,单击操作面板 > 常规标题 > 管理连接。 

2. 打开连接对话框时,请查看表中的信息。 

3. 单击新建、编辑或删除以完成显示的对话框。单击新建或编辑会打开对话框。输入或编辑适用的信 

息。 


连接在连接对话框中更新。 

创建和运行自定义报告 

报告控制台中的所有报告均由 Jaspersoft iReport 程序创建。可以使用 iReport 自定义报告外观、基础 SQL 

查询语句等。有关将 iReport 用于 Management Suite 报告的详细信息,请转至位于以下地址的 LANDesk 用 

户社区的报告门户:http://community.landesk.com/ldmsreports。报告门户还包含其他可以下载的报告。 

271

用户指南 

脚本和任务 

LANDesk Management Suite 分发包括一个强大的计划任务系统。核心服务器和受管设备上均有支持计划任 

务的服务/代理。从 Management Suite 控制台和 Web 控制台可以将任务添加到调度程序中。 

任务由一个分发程序包、交付方式、目标设备和一个计划时间组成。非分发任务由脚本、目标设备和计划时间 

组成。 

以下是部分可计划的任务: 

设备配置 

各类自定义脚本 

自定义数据表单部署 


漏洞扫描 

在受管设备上执行软件 

重要说明: 要使用脚本的控制台用户必须加入核心服务器的本地 LANDesk Script Writers 组。此组将赋予控制台用户对 

ManagementSuite\Scripts 文件夹的写权限。 


272 

"管理脚本" 在页面 272 

"安排任务" 在页面 273 

"使用“计划任务”窗口" 在页面 273 

"为任务分配目标" 在页面 274 

"任务运行时看到的内容" 在页面 276 

"监视任务状态" 在页面 276 

"查看任务日志" 在页面 276 

"使用默认脚本" 在页面 276 

"使用汇总核心服务器对任务进行全局计划" 在页面 277 

管理脚本 

LANDesk Management Suite 使用脚本在设备上执行自定义任务。您可以在管理脚本窗口(工具 > 分发 > 管 

理脚本)中为以下任务创建脚本: 

"创建文件部署脚本" 在页面 403 

您创建的自定义脚本 

"使用本地调度程序" 在页面 278 

“管理脚本”窗口将脚本分为以下三类: 

我的脚本:由您创建的脚本。 

公共脚本:由具有管理脚本“编辑公共”权限的用户标记为“公共”的脚本。这些脚本对其他每位用户而言 

为只读脚本。用户可以将公共脚本复制到各自的我的脚本文件夹并进行编辑。 

全部脚本:核心服务器上的所有脚本。


可以在我的脚本项下创建组,将您的脚本进一步分类。要创建新的脚本,请右击我的脚本项或您所创建的 

组,然后单击要创建的脚本类型。 

创建脚本之后,可以在该脚本的快捷菜单中单击“计划”。此操作将启动计划任务窗口(工具 > 分发 > 计划任 

务),在此窗口中可以指定要运行任务的设备和运行任务的时间。有关计划任务的详细信息,请参阅下一 

节。 

因为 Windows 控制台支持的特定功能,在 Windows 控制台中创建的脚本不应在 Web 控制台中编辑。 

安排任务 

计划任务窗口显示已计划任务的状态以及任务是否成功完成。调度程序服务以两种方式与设备进行通信: 

通过标准 LANDesk 代理(必须已安装在设备上)。 

通过域级系统帐户。您选择的帐户必须能够以服务权限登录。有关配置调度程序帐户的详细信息,请 

参阅 "配置调度程序服务" 在页面 232。 

控制台包括可安排执行日常维护任务的脚本,例如,对选定的设备进行清单扫描。您可以在工具 > 分发 > 管 

理脚本 > 全部脚本中安排这些脚本。 

使用“计划任务”窗口 

使用计划任务窗口可以配置和计划所创建的脚本。您可以计划一次完成各项任务,也可以计划重复执行某一 

任务(例如,计划一个脚本任务以定期搜索未管理设备)。 

计划任务窗口分为两部分。左侧显示任务树和任务,右侧显示在树中所选内容的特定信息。 

左侧窗格 

左侧窗格显示这些任务组: 

我的任务:已计划的任务。只有您和 Management Suite 管理用户可以查看到这些任务。 

公共任务:由具有“编辑公共”权限的用户标记为“公共”的任务。 

全部任务:包括您的任务和标记为常见的任务。 

您可以将脚本拖到计划任务窗口的左侧窗格中。将脚本拖放到左侧窗格中后,您可以将设备、查询或组拖放 

到右侧窗格中以配置该脚本的目标。 

单击我的任务、公共任务或全部任务时,右侧窗格将显示以下信息: 

任务:任务名称。 

开始时间:计划运行该任务的时间。双击某任务名即可编辑开始时间或重新计划该任务。 

状态:整体任务状态。查看右侧窗格的状态和结果列以获得更多详细信息。 

所有者:最初创建任务使用脚本的用户的姓名。 

273

用户指南 

单击一个计划任务时,右侧窗格将显示以下摘要信息: 

274 

名称:任务状态名称。 

数量:每个任务状态中的设备数量。 

百分比:每个任务状态中的设备百分比。 

单击一个任务下的任务状态类别时,右侧窗格将显示以下信息: 

名称:设备名称。 

IP 地址:设备的 IP 地址。 

状态:该设备上的任务状态(例如,“正在等待”)。 

结果:任务在该设备上运行是否成功。 

返回代码:任务在该设备上的返回代码。 

主机名:设备报告的计算机名称。 

LDAP 对象名称:如果通过 LDAP 确定该设备,则为 LDAP 对象名称。 

查询名称:如果通过查询确定该设备,则为查询名称。 

消息:来自设备的自定义消息。这些消息将与运行 DOS 批处理文件的任务共同使用。包括一个启动 

sdclient.exe 的命令,该命令同时带有 /msg="" 命令行参数。 

日志文件:如果某一设备不能完成任务,此处将显示该设备的任务日志文件路径。 

为设备计划任务前,该设备必须安装标准 LANDesk 代理,并且必须位于清单数据库中。 

计划任务 

1. 在“计划任务”窗口中,单击以下这些工具栏按钮中的一个:创建软件分发任务、计划自定义脚本、瘦 

客户端、自定义数据表单、代理配置,或者计划清单扫描。 

2. 为所选的任务类型输入必要的信息。 

3. 单击计划按钮。随即显示计划任务窗口并将脚本添加至该窗口,从而成为一个任务。 

4. 在网络视图中,选择要作为任务目标的设备,将其拖到计划任务窗口的任务中。 

5. 在计划任务窗口中,单击任务快捷菜单中的属性。 

6. 在计划任务页面上,设置任务开始时间,并单击保存。 

通过将设备从网络视图拖放到计划任务窗口所需的任务中,可以添加其他设备。 

取消任务 

您可以取消等待任务或活动任务。取消任务的方法取决于任务类型,按如下所述。 

软件分发任务:使用工具栏上的“取消”按钮。此工具栏按钮仅可用于软件分发任务。 

自定义脚本:在您要取消的脚本的快捷菜单中,单击当前状态。任务状态对话框具有中止任务和取消 

任务按钮。单击所需的按钮。 

等待任务:在您要取消的任务的快捷菜单中,单击属性。在计划任务页面中,单击不进行计划。 

为任务分配目标 

将脚本添加到计划任务窗口之后,可以为它分配目标。将目标从网络视图拖到计划任务窗口所需的任务中。 

目标可以包括单个设备、设备组、LDAP 对象、LDAP 查询和清单查询。查询和组是非常有用的选项,可显示 

由于重复任务而变化的动态设备列表。例如,当某查询的设备目标列表发生变化时,使用该查询的所有任务都 

会自动将新的设备作为目标。 

如果多次将一个设备作为目标,例如,当两个目标查询具有重叠结果时,核心服务器会检测此重叠结果,并且 

不会对同一设备多次运行任务。


当对任务目标使用查询时,直到启动任务才会运行查询。直到启动任务之后,计划任务属性对话框才会显示 

目标设备。 

向任务应用范围 

对于计划任务,多个 Management Suite 用户可以将多个目标添加到一个任务中。但是,在计划任务窗口中, 

每个 Management Suite 用户只能看到其所属范围内的目标。如果两个 Management Suite 用户所属范围互不 

重叠,而他们分别在某一任务中添加了 20 个目标,则每个 Management Suite 用户只能看到自己添加的 20 

个目标,而该任务将针对全部 40 个目标运行。 

为任务选择目标 

每个您所创建的任务都需要有一组运行该任务的设备。任务目标有两种类型,静态目标和动态目标。 

静态目标:静态目标是指如果不手动进行更改就不会发生变化的一组特定设备或用户。静态目标可以 

是“目录管理器”中的 LDAP 用户或设备,也可以是控制台网络视图中的设备。 

动态目标:动态目标是指允许基于策略的分发任务定期检查目标列表是否有变化的动态设备列表。动 

态目标包括查询结果和 LDAP 组/容器或网络视图组。 

动态策略目标是唯一的,因为 Management Suite 会定期更新这些查询的结果。如果新的设备符合这些查询条 

件,则采用这些查询的策略将应用于新的设备。 

你可以按以下方式指定静态策略目标: 

网络视图设备:核心数据库中的一组静态设备。 

LDAP 用户或设备:一组静态用户和/或设备对象。 

您可以按以下方式指定动态策略目标: 

网络视图组:核心数据库中的一组动态设备。 

LDAP 组/容器:一组动态用户、计算机或组对象。 

数据库查询:对核心数据库进行查询所生成的一组设备。 

用户组:从符合 LDAP 标准的目录中选择的一组用户。 

LDAP 查询:对符合 LDAP 标准的目录进行查询所生成的一组用户和/或设备。 

通过目录确定设备 

要让设备接收到通过 Active Directory 或 NetWare 目录服务确定的目标策略,必须对设备进行配置,以便登 

录到该目录中。这表明,设备必须安装所有正确的设备软件,而且必须实际登录到正确的目录,才能使设备的 

完整判别名与目录管理器所确定的目标名称相匹配。 

必须配置 Windows 95/98 设备以便登录 Active Directory 所驻留的域。Windows NT 和 Windows 95/98 不包 

括 Active Directory 支持。因此必须在登录目录且需要基于策略管理的设备上安装 Active Directory 支持。除 

本帮助信息外,您还可以从以下地址获得有关安装 Active Directory 设备支持的详细信息: 

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx 

每个 Windows 设备都必须在 Active Directory 域控制器上拥有一个计算机帐户。这意味着,用作设备的计算 

机必须登录到 Active Directory 所在的域中。不能只使用完全限定的 Windows 域名来映射网络驱动器。这样 

策略将不会生效。 

使用目录管理器创建查询 


2. 单击管理目录工具栏按钮。 

3. 输入目录 URL 和身份验证信息,然后单击确定。 

4. 单击新建查询工具栏按钮。 

275

用户指南 

276 

5. 创建您的查询。有关详细信息,请参阅 "LDAP 查询" 在页面 260。 

任务运行时看到的内容 

计划任务窗口中始终显示作业状态。如果您计划的是设备配置或操作系统部署,则还能看到客户端安装实用 

程序对话框。当调度程序服务依次对目标列表执行操作时,您将看到将要配置的设备、正在配置的设备以及 

已完成配置的设备的列表。有关详细信息,请参阅 "关于“客户端设置实用程序”对话框" 在页面 362。 

如果计划的是定向多播分发,您将看到多播软件分发状态窗口。此窗口显示多播状态。有关详细信息,请参 

阅 "关于“多播软件分发状态”窗口" 在页面 402。 

如果计划的是自定义脚本,您将看到处理自定义作业窗口,其中除逐行显示所执行脚本的状态以外,还显示 

已计划处理、正在处理以及已完成处理的设备目标。 

监视任务状态 

开始处理任务后,目标设备将处于不同的任务状态。单击计划任务窗口中的活动任务,可以监视在目标设备 

上执行该任务的状态。以下是设备的类别: 

所有设备:任务的所有目标。 

活动:当前正在处理的目标。 

挂起:尚未处理的目标。 

成功:已成功完成任务的目标。 

已失败:执行任务失败的目标。 

以下是设备的状态及其所属的类别: 

等待:准备好处理任务。(挂起)类别 

活动:正在处理当前任务。(活动)类别 

完成:任务已成功处理。(成功)类型 

忙:设备已经在处理另一个任务,无法处理当前任务。(已失败)类别 

已失败:由于某种原因未完成任务处理。(已失败)类别 

关闭:设备没有运行或无法访问。(已失败)类别 

取消:用户取消了任务。(已失败)类别 

查看任务日志 

如果设备处理任务失败,计划任务窗口将存储该任务的日志。设备可用的日志显示在设备旁边的日志文件列 

中。在日志文件中可以看到失败的任务命令。 

使用默认脚本 

Management Suite 附带如下所列的一组默认脚本。可以使用它们来帮助您完成某些 Management Suite 任 

务。这些脚本显示在管理脚本窗口(工具 > 分发 > 管理脚本)的全部脚本树中。 

am_verifyall:验证所有通过策略安装到客户端上的程序包。 

创建管理网关客户端证书:创建安全证书以便使设备能够使用管理网关。 

清单扫描器:对选定的设备运行清单扫描器。 

multicast_domain_discovery:进行定向多播域代表搜寻。有关详细信息,请参阅 "在软件分发中使 

用定向多播" 在页面 298。 

multicast_info:运行故障排除脚本,该脚本显示“计划任务”窗口将哪些信息传递到定向多播,传递的 

信息包括目标设备的 IP 地址和子网信息。创建一个名为 C:\MCINFO.TXT 的文件。

程序包同步:运行策略检查以查看是否需要应用或提供新策略。 


恢复客户端记录:对选定的设备运行清单扫描器,但该扫描器报告到配置该设备的核心。在多核心环 

境中,如果您必须重新设置数据库,此任务可以帮助您将设备添加回正确的核心数据库中。 

卸载计量客户端:删除目标设备上的软件计量代理。此代理在版本 8 之前的 Management Suite 中使 

用。 

了解带宽选项 

当配置本地调度程序命令时,您可以指定任务执行所需的最小带宽条件。带宽测试包括指定设备的网络流量。 

当该执行任务时,每个运行本地调度程序任务的设备将向指定的设备发送少量的 ICMP 网络流量并评估传输 

性能。如果测试目标设备不可用,则该任务将不执行。 

您可以选择以下带宽选项: 

RAS:当通过网络 API 检测到的设备到目标设备的网络连接速度至少为 RAS 或拨号速度时,任务才 

会执行。选择此选项一般来说意味着只要设备有任何种类的网络连接,任务都将会运行。 

WAN:当设备到目标设备的连接至少为 WAN 速度时,任务才会执行。WAN 速度为非 RAS 连接速 

度,它比 LAN 阈值低。 

LAN:当设备到目标设备的连接超过 LAN 速度设置时,任务才会执行。默认情况下,LAN 速度总大 

于 262,144 bps。可以在代理配置(工具 > 配置 > 代理 > 配置,带宽检测页面)中设置 LAN 阈值。 

直到将更新的配置部署到设备之后,更改才会生效。 

使用汇总核心服务器对任务进行全局计划 

如果在 LANDesk 环境中有一个汇总核心服务器,则在该核心服务器上创建的任务将进行全局计划,可以具有 

来自多个子核心服务器的目标。在汇总核心服务器上创建任务并对任务进行计划时,汇总核心服务器将检查目 

标列表,查看哪些目标属于哪个子核心服务器。汇总核心服务器然后给每个子核心服务器发送任务及其总体目 

标列表中的唯一部分。每个子核心服务器在后台运行任务,并向汇总核心服务器报告任务状态。 

如果子核心服务器具有目标但不具有汇总核心服务器证书,而该证书是子核心服务器处理全局计划任务所必需 

的,则汇总核心服务器将会代替子核心服务器在那些目标上运行任务。 

全局计划的任务及任务状态不会显示在子核心服务器的计划任务窗口中。查看此信息的最简便方法是通过汇 

总核心服务器上的任务详细信息。如果要查看正在处理任务的子核心服务器上的委托任务状态,可以使用“委 

托的任务”报告。 

注意:从 9.0 汇总核心服务器计划的任务(包括安全相关任务)不能在版本 8.7 和 8.8 核心服务器上使用。 

查看子核心服务器上的委托任务状态 

1. 在子核心服务器上,单击工具 > 报告/监视 > 报告。 

2. 在报告窗口中,单击报告 > Management Suite > 任务状态。 

277

用户指南 

278 

3. 双击委托的任务报告,然后输入所需的日期范围。 

4. 单击确定查看报告。 

为了减少网络通信量,委托任务的任务状态不会实时向汇总核心服务器报告。在默认情况下每隔两分钟更新一 

次任务状态。执行以下操作可更改此间隔时间。 

更改任务状态检查间隔时间 

1. 在汇总核心服务器上,单击开始 > 所有程序 > LANDesk > LANDesk 配置服务。 

2. 在调度程序选项卡上,单击高级。 

3. 单击委托任务状态检查,然后单击编辑。 

4. 输入需要调度程序在两次任务状态检查之间等待的秒数,然后单击确定。默认值为 120 秒。 

5. 从调度程序选项卡上,重新启动汇总核心服务器上的调度程序服务。 

使用本地调度程序 

本地调度程序是在设备上运行的一种服务。它是通用基本代理的一部分,可以通过设备设置来安装。通常本地 

调度程序处理 Management Suite 任务,例如定期运行清单扫描器。您安排的其他任务(例如软件或操作系统 

部署)由核心服务器而不是本地调度程序处理。您可以使用本地调度程序安排自己的任务以在设备上定期运 

行。一旦您创建了一个本地调度程序脚本,就可以使用计划任务窗口将其部署到设备。 

本地调度程序为每个任务分配一个 ID 号。本地调度程序脚本的 ID 范围与 Management Suite 使用的默认本 

地调度程序脚本的 ID 范围不同。默认情况下,在每个设备上仅可有一个自定义调度程序脚本是活动的。如果 

您创建了一个新的脚本并将其部署到设备,它将替换旧的脚本(自定义本地调度程序 ID 范围内的任何脚本) 

而不影响默认的本地调度程序脚本,例如本地清单扫描计划。 

当选择计划选项时,不要太严格使任务条件很少达到,除非您是故意这样做。例如,配置任务时,如果您选择 

“星期一”作为每周的某天,“17”作为每月的某天,则该任务将仅在同时是 17 日的星期一执行,这种情况很少 

发生。

配置本地调度程序命令 


1. 在受管脚本窗口(工具 > 分发 > 管理脚本)的“我的脚本”快捷菜单中,单击新建本地调度程序脚本。 

2. 输入脚本名称。 

3. 单击添加定义脚本的选项。 

4. 如刚才所述配置本地调度程序选项。 

5. 单击保存以保存脚本。 

6. 使用计划任务窗口将您创建的脚本部署到设备。 

279

用户指南 

在不受管的设备上安装本地调度程序服务 

可在不受管的设备上安装 LANDesk 的本地调度程序服务。要实现本地调度程序功能,只需要两个文件: 

280 

LocalSch.exe 

LTapi.dll 

要在不受管的服务器或工作站上安装 LANDesk 本地调度程序服务,请执行以下步骤。 

1. 创建以下文件夹。 

%ProgramFiles%\LANDesk\LDClient 

2. 将 LocalSch.exe 和 LTapi.dll 复制到此文件夹。 

3. 单击开始 > 运行,然后键入以下命令。 

“%ProgramFiles%\LANDesk\LDClient\localsch.exe” /i 

卸载本地调度程序服务 

要卸载 LANDesk 本地调度程序服务,请执行以下步骤。 

1. 单击开始 > 运行,然后键入以下命令。 

“%ProgramFiles%\LANDesk\LDClient\localsch.exe” /r 

2. 删除文件和文件夹。 

LocalSch.exe 命令行参数 

除了监视和运行本地任务,LocalSch.exe 还可用于安装或删除服务、添加新任务以及列出所有当前配置的任 

务。 

以下是本地调度程序应用程序支持的命令行选项。 

LocalSch.exe [/i] [/r] [/d] [/tasks] [/isinstalled] [/del] [/removetasks] 

[/exe=] [/cmd=] [/start=””] [/freq=xxx] 

[/user] [/bw=xxx|] [/tod=|] [/dow=|] 

[/dom=|] [/ipaddr] [/taskid=] [/range=|] 

/i – 安装服务 

在设备上安装本地调度程序服务。安装后,本地调度程序将仍需要启动。 

/r – 删除服务 

从计算机删除本地调度程序服务。应先停止本地调度程序服务,然后再将其删除。 

/d – 在调试模式下运行 

在调试模式下运行本地调度程序。在调试模式下运行时,本地调度程序作为普通 Windows 进程而不是服务或 

伪服务运行。此模式不会导致任何其他的调试输出。 

/isinstalled – 检查是否安装 

检查以查看是否在本地计算机上安装了本地调度程序服务。如果安装了本地调度程序,此方法将返回 S_OK 

或零。如果没有安装本地调度程序,则将返回非零值。 

/tasks – 列出任务 

此命令将当前配置的任务输出到标准输出,但如果管道输出更多则只能在命令行提示符下查看。

LocalSch.exe /tasks | 更多 

可使用以下命令行将输出重定向到文本文件(如 tasks.txt): 

LocalSch.exe /tasks > tasks.txt 

使用 LocalSch.exe 添加任务 


其余的命令行参数用于添加本地任务。当添加本地任务时,必须使用 /exe 参数指定可执行文件。如果执行命 

令行的用户或进程没有管理员权限,则不会计划任务。如果当前用户没有管理员权限,则不会创建任务。 

除了下面列出的命令行选项以外,还可使用 /taskid 选项来指定任务。 

/exe= - 计划的应用程序 

指定计划时间到达时要启动的应用程序。如果没有提供此参数,则不会创建本地任务。 

/cmd= - 应用程序命令行 

指定当计划的应用程序启动时要使用的命令行。如果没有指定此参数,则计划的应用程序将不带命令行参数启 

动。 

/start="" – 开始时间 

指定应用程序的开始时间。如果没有指定此参数,则应用程序会尽快启动。如果指定了任何筛选器,则应用程 

序必须满足筛选器后才能启动。开始时间以计算机的本地系统时间指定,格式如下: 

/start="06 Nov 2001 17:39:47" /bw=WAN|myserver.domain.com 

此格式是 HTTP 使用格式的缩短版本。始终使用三个字母的 ASCII 缩写来指定月份:Jan、Feb、Mar、Apr、 

May、Jun、Jul、Aug、Sep、Oct、Nov、或 Dec。如果指定的日期格式不正确,则不会添加任务。 

/freq=xxx – 频率 

指定定期频率。频率是任务再次运行之前经过的秒数。如果此参数没有指定或为零,则任务将只运行一次。 

/user – 用户筛选器 

指定应为任务创建一个用户筛选器。用户筛选器将阻止任务开始运行,直到用户登录到系统为止。 

/bw=xxx| - 带宽筛选器 

指定特定网络主机需要的带宽。带宽可指定为 LAN、WAN 或 RAS。如果使用其他带宽值,本地调度程序将 

默认为 RAS 带宽。任务只有在本地调度程序检测到设备与指定的网络主机之间的带宽类型可用时才会运行。 

例如,以下筛选器指定设备与 myserver.domain.com 计算机之间至少 WAN 连接可用时,任务才会运行。 

/bw=WAN|myserver.domain.com 

/tod=| - 每天的某时筛选器 

指定每天的某时筛选器。只有在每天指定的开始和结束时间范围内时,任务才会运行。每天的某时值可指定为 

从 0 点到 23 点。例如,以下筛选器将指定在晚上 7 点到晚上 10 点之间运行任务。 

/tod=19|22 

281

用户指南 

/dow=| - 每周的某天筛选器 

指定每周的某天筛选器。只有在每周指定的开始和结束时间范围内时,任务才会运行。每周的某天值指定为整 

数,0 作为星期日。例如,以下筛选器将指定在星期日到星期四之间运行任务。 

/dow=0|4 

/dom=| - 每月的某天筛选器 

指定每月的某天筛选器。只有在每月指定的开始和结束日期范围内时,任务才会运行。每月的某天筛选器指定 

使用 1 到 31 之间的数值。例如,以下筛选器将指定在每月的 16 日到 28 日之间运行任务。 

/dom=16|28 

/ipaddr - IP 地址更改筛选器 

指定当计算机的 IP 地址更改时应运行的任务。此功能需要 IP Helper 库并且在 Windows 95 系统和 Windows 

98/NT 系统(未安装 Internet Explorer 4 或更高版本)上不可用。 

使用 LocalSch.exe 删除任务 

本地调度程序提供删除一个或多个任务的功能。删除任务时使用以下参数。 

/del – 删除一个或多个任务 

删除 /taskid 参数指定的任务或删除 /range 最大值和最小值范围(包含边界)内的所有任务。可在使用 /tasks 

命令行选项查看任务时或在添加任务时使用常量 /taskid 来确定任务 ID。 

/removetasks – 删除所有任务 

删除所有当前计划的本地任务。 

/taskid – 指定任务 ID 

指定要删除的任务 ID。可通过查看当前计划的任务来确定任务 ID(请参阅上面的 /tasks)。该 ID 指定为整 

数值。 

/range=| – 任务 ID 范围 

指定任务 ID 范围的最小值和最大值。可使用 /del 命令来删除指定任务 ID 范围内的所有任务。 

通常,当生成任务时会随机分配一个 ID,使用当前时间 (time_t) 值作为任务 ID。随机分配的 ID 将绝不会小 

于 100000。此命令行参数可用于指定任务的 ID。任务 ID 值 0 -1000 保留供内部 LANDesk 使用。任务 ID 值 

1001-2000 保留供管理控制台的本地调度程序界面使用。 

字符分析和命令行 

本地调度程序对命令行使用标准的空白区域分隔分析。这意味着,如果任何参数包含空白区域,则需要将其包 

括在引号之内。特定的参数(例如 /start)始终包含空白区域并且因此始终需要加引号。其他的参数(例如 

/exe 和 /cmd)可能包含空白区域(需要加引号),也可能不包含空白区域(不需要加引号)。 

以下示例显示不需要加引号的命令行。 

LocalSch.exe /exe=c:\windows\system32\cmd.exe 

以下示例显示需要加引号的命令行。 

LocalSch.exe /exe="%ProgramFiles%\MyProgram\myprog.exe" /cmd="/apm /s /ro" 

282

对已经带引号的参数加引号 


如果要传递至 /cmd= 的参数已经带引号,则需要三重引号。一组用于对整个字符串加引号。其他引号用于对 

带引号的值加引号。 

例如,以下命令行显示了一个需要被三重引号包围的参数示例。 

LocalSch.exe /exe="%ProgramFiles%\LANDesk\File Replicator\LANDeskFileReplicatorNoUI.exe" 

/cmd="""%ProgramFiles%\LANDesk\File Replicator\LDHTTPCopyTaskConfig.xml"" ""%ProgramFiles%\LANDesk\File 

Replicator\replicator.log""" 

在上述命令中,两个参数是指向文件的路径。由于两个路径均位于“Program Files”目录中,路径带有空格,因 

此必须加引号以便成为 LANDeskFileReplicatorNoUI.exe 的正确参数。这样每个带引号的参数均被第二组引 

号包围,整个字符串被第三组引号包围。 

对重定向操作符加引号 

任何包含重定向操作符的开关也必须使用引号包围。重定向操作符包括以下符号:、|。/bw 开关使用称 

为管道或条的 | 参数。请记住,| 字符在命令行提示符中用于将输出通过管道传递至其他应用程序。要避免命 

令行分析此字符,必须对其加引号。 

例如,以下命令将 /bw 参数与 | 字符一起使用,因此需要加引号。 

LocalSch.exe /exe=C:\ldclient\myprogram.exe /cmd="/apm /s /ro" /bw="LAN|server" 

283

用户指南 

软件分发 

本章说明如何使用 LANDesk Management Suite 向整个网络中的设备分发软件和文件。 


284 

"软件分发概述" 在页面 284 

"了解程序包类型" 在页面 286 

"了解可用的交付方式" 在页面 287 

"软件分发核心服务器组件" 在页面 287 

"设置传送服务器" 在页面 288 

"配置用于软件分发的 IIS Web 服务器" 在页面 289 

"分发程序包" 在页面 290 

"使用分发所有者和权限" 在页面 293 

"在一个任务中使用多个分发程序包" 在页面 293 

"关于文件下载" 在页面 294 

"更新程序包哈希值" 在页面 294 

"从源服务器运行程序包" 在页面 294 

"对分发文件系统 (DFS) 中的程序包使用软件分发" 在页面 295 

"配置首选程序包服务器" 在页面 296 

"关于字节级检查点重新启动和动态带宽调节功能" 在页面 298 

"在软件分发中使用定向多播" 在页面 298 

"在当前登录用户的环境中运行应用程序" 在页面 299 

"使用 MSI 分发程序包" 在页面 301 

"将软件分发到 Linux 设备上" 在页面 305 

"解决分发失败问题" 在页面 306 

软件分发概述 

软件分发使您能够在运行下列操作系统的设备上部署软件和文件程序包: 

Windows 95B/98SE 


Windows 2000/2003/XP/Vista/7 

Mac OS X 10.4x 和 10.5x(使用最新的 Macintosh 代理) 

Max OS X 10.2x 和 10.3.x(使用旧版的 Macintosh 代理) 

RedHat Linux 7.3、8.0、9 和 Enterprise Linux v3/v4/v5(AS、ES 和 WS) 

Suse Linux Server 9 和 10 以及 Linux Professional 9.3 

接收软件分发程序包的设备必须安装了以下 LANDesk 代理: 

标准 LANDesk 代理(以前称为 CBA) 

软件分发代理 

软件分发功能如下:


多种 LANDesk Targeted Multicasting® 功能,这些功能可最大限度地减少向众多用户分发大型程序包 

时使用的带宽,而且不必重新配置专用的硬件或路由器 

交付方式可用来全面控制各项任务的完成方式 

简便任务调度程序与清单数据库集成,使任务选择操作更为轻松 

用于每个部署任务的实时状态报告 

基于策略的分发,包括对创建策略所支持的推送任务的支持 

分发给 Mac OS 9.22 和 Mac OS X 设备 

移动设备支持包括带宽检测、检查点重新启动和使用策略完成作业的能力 

能够分发任何类型的程序包,包括 MSI、setup.exe 和其他安装程序 

如果没有要部署的现有程序包,可以使用 Management Suite 的程序包构建技术为需要的软件安装创建一个单 

独的可执行程序。有了程序包之后,可以将其存储在名为“传送服务器”的 Web 或网络服务器中。通过控制 

台,您可以使用计划任务窗口安排分发。核心服务器会将程序包的位置(URL 或 UNC 路径)告知设备,然 

后设备仅从传送服务器上复制所需的文件或部分文件。 

例如,如果因软件程序的某些文件已损坏或丢失而要重新安装该软件,则系统将仅复制已破坏或丢失的文件, 

而不用复制整个程序。此项技术同样也适用于 WAN 链路。您可以将程序包存储在多个服务器上,然后根据设 

备需求(即位置的远近程度、带宽的可用性等)安排其使用相应的服务器。 

另外,如果在下载程序包时出现了中断,软件分发还将从中断处恢复下载过程。例如,某移动设备在下载大型 

程序包期间中断了网络连接,一旦重新联网便会立即从中断处继续进行下载。 

在 Management Suite 中,软件分发包含以下主要步骤: 

1. 创建或获取软件程序包。软件程序包可以是一个或多个 MSI 文件、一个可执行文件、一个批处理文 

件、一个 Macintosh 程序包、一个 Linux RPM 程序包、一个 Windows 脚本宿主程序包、一个应用程 

序虚拟程序包或是一个由旧版 Management Suite 程序包生成器创建的程序包。请将程序包放在传送 

服务器上。 

2. 创建分发程序包(工具 > 分发 > 分发程序包)。分发程序包包括安装特定软件程序包所需的文件和设 

置,如程序包名称、任何相关性或先决条件、命令行参数、安装程序包所需的其他文件等。这些设置 

存储在数据库中并创建分发程序包。一旦创建分发程序包之后,信息便保存在数据库中并可将其方便 

用于多个任务中。 

3. 创建交付方式(工具 > 分发 > 交付方式)。交付方式定义如何将程序包发送到设备。这些选项不与特 

定的分发程序包关联。选项包括“定向多播”和/或策略分发。不必每次分发程序包时都创建一个交付方 

式。交付方式允许您为部署软件定义最佳方式。理想情况下,可以创建交付方式模板,供使用相同交 

付方式的分发重复使用。 

4. 在“计划任务”窗口(工具 > 分发 > 计划任务)中安排分发作业。在此指定分发程序包、交付方式、需 

要接收分发程序包的设备以及任务应运行的时间。 

5. 在计划的时间,调度程序服务将启动计划任务的处理程序,使用在交付方式中选择的选项部署程序 

包。可能包括: 

如果选择使用多播的交付方式,则将使用多播。 

如果选择了推送交付方式,该服务将联系每个设备上的软件分发代理,并通知它准备安装程序 

包。 

如果选择基于策略的交付方式,则程序包可供下载。 

6. 软件分发代理从其本地高速缓存、网络上的对等设备或传送服务器中获得程序包,并通过安装或删除 

已打包的文件在设备上处理该程序包。 

7. 处理完该程序包后,软件分发代理会将结果发送给核心服务器,并记录在其中的核心数据库中。 

将分发任务分为分发程序包和交付方式两个部分,这样可简化分发过程。现在可以创建独立于特殊程序包的交 

付方式模板。例如,可以创建默认的“定向多播”交付方式模板,无论何时有要多播的程序包,都可以使用此模 

板来交付,无需重新配置分发程序包或交付方式。 

285

用户指南 

如果组织中有不同的人创建和分发程序包,以上这些变更将帮助简化作业角色和任务划分。程序包创建者现在 

可以从程序包交付者角色中脱离出来。 

了解程序包类型 

软件分发支持以下程序包类型: 

MSI 

这些是 Windows Installer 格式的程序包。必须使用第三方工具来创建 MSI 程序包。这些程序包包括一个 

主 .MSI 文件,还可以包括支持文件和转换。转换自定义 MSI 程序包的安装方式。如果 MSI 程序包包括多个 

文件,请确保将所有这些文件添加到分发程序包对话框中。 

可执行文件 

为了使软件分发可以使用可执行程序包,必须符合下列条件: 

286 

可执行文件在安装完成之前不得退出。 

可执行文件必须返零 (0) 以表示安装成功。 

只要可执行文件符合上述两个条件,任何可执行文件均可以用于安装程序包。可执行程序包可以包括其他文 

件。 

批处理文件 

批处理文件程序包基于 Windows/DOS 批处理文件。这些分发程序包可以包括其他文件。批处理文件程序包 

的成功完成状态基于批处理文件运行完成后的错误级系统环境变量值。 

在 Windows 95/98 设备的任务中使用批处理文件 

在 Windows 95/98 中,如果 command.com 启动包含 Windows 可执行文件的批处理文件,该批处理文件将启动可执行文 

件,并且不经过等待即继续执行批处理文件中的命令。在批处理文件结束时,核心将收到结果,而不必等到 Windows 可执 

行文件结束。在这种情况下,核心无法知道 Windows 可执行文件是否正常运行,如果其余的 DOS 命令能够成功运行,它 

将报告成功完成。 

如果批处理文件启动 DOS 可执行文件,该批处理文件将等到可执行文件完成后才会继续运行。对于 DOS 可执行文件,核 

心将在所有进程结束后才能收到结果。 

Macintosh 

尽管 Management Suite 不会下载目录,但任何 Macintosh 文件都可以下载。安装程序包 (.PKG) 可以包含各 

种目录。必须对文件进行压缩。如果下载的文件名后缀为 .SIT、.ZIP、.TAR、.GZ、.SEA 或 .HQX,则 

Management Suite 会对该文件先进行解压缩然后再返回。(用户应确保 Stuffit Expander* 已禁用其“检查新 

版本”选项;否则出现的对话框可能会中断脚本执行。) 

Linux RPM 

这些程序包采用 Linux RPM 格式。这些程序包必须存储在 Web 共享上,才能进行 Linux RPM 分发。 

LANDesk Application Virtualization: 

LANDesk Application Virtualization 使用 Thinstall 技术对应用程序进行虚拟化,并将其与应用程序和 .DLL/设 

备驱动程序从属程序包存储在一个自包含可执行文件内。运行虚拟应用程序后,它们会在一个隔离的环境中运 

行,不会对运行它们的 Windows 安装程序进行更改。 

虚拟应用程序可在锁定的设备上运行,而无需其他权限。


虚拟应用程序通常包含一个或多个可执行文件。软件分发可用于将虚拟应用程序可执行文件部署到受管设备。 

可以对虚拟应用程序包使用任何软件分发交付方法,包括来自源的 Run 命令。在部署“从源设备运行”虚拟应 

用程序包时,受管设备会使用应用程序的快捷方式图标通过网络运行虚拟应用程序可执行文件。 

Windows 脚本宿主程序包 (.WSF): 

Windows 脚本宿主程序包 (WSH) 是 Microsoft 软件用于替代批处理文件的新方法,但通常用于自动化类似任 

务(例如,映射设备、复制文件或修改注册表项)。WSH 文件通常与 Jscript (.JS) 和 VBScript (.VBS) 一起 

使用。Windows 脚本宿主程序包与 .bat 程序包相比的一个主要优势在于,它允许用户使用语言独立的文件扩 

展名 (WSF) 将多种语言组合到单个文件中。这些程序包通常可以在记事本、HTML 编辑器、Microsoft Visual 

C++ 或 Visual InterDev 中创建。 

SWD 程序包 

这些是使用旧版 LANDesk 增强型程序包生成器(独立安装)构建的程序包。尽管增强型程序包生成器不再与 

管理套件一同发布,但 LANDesk Software 仍继续支持分发使用该生成器创建的文件。这些可执行文件包含 

将其唯一识别为软件分发 (SWD) 程序包的属性。 

了解可用的交付方式 

软件分发提供了以下交付方式: 

推送:程序包可以多播到受管设备上。然后,核心服务器开始在受管设备上安装程序包。 

策略:核心服务器使程序包可供下载。当受管设备检查可用策略时,将返回程序包。根据策略类型的 

不同,设备可能会自动安装程序包或允许用户在需要时安装程序包。 

支持策略的推送:组合的推送分发和策略模式。首先,软件分发尝试在目标列表中的所有设备上安装 

程序包。这样,您可以使用定向多播进行初始部署。其次,当设备上的基于策略的管理代理请求程序 

包时,未获得程序包或以后加入目标列表的任何设备(就动态目标列表而言)可接收该程序包。通 

常,这是建议使用的交付方式。 

多播(仅缓存):将程序包多播到目标设备上,在受管设备上不需要执行其他操作。结果是程序包在本 

地缓存在受管设备中。可使用该选项向每个多播域中的若干个设备多播该程序包。然后便可以创建一 

个使用对等下载(仅从高速缓存或对等设备中安装)选项的任务。这允许您控制分发所用的网络带 

宽,因此不会跨多播域。 

注意:LANDesk 中为每种交付方式类型提供了默认的交付方式配置。这些具有默认设置的默认方式在大多数环境中都应该 

可以正常工作。如果要修改其中一个默认设置,您可以使用复制和粘贴方法创建一个交付方式副本,然后重命名,保留该默 

认设置以供将来参考。 

软件分发核心服务器组件 

软件分发的以下组件运行于或驻留在核心服务器上: 

LANDesk 计划任务处理程序:此程序 (ScheduledTaskHandler.exe) 由调度程序服务启动,可用于启 

动分发作业。 

LANDesk 调度程序服务:控制台在数据库中存储有关计划作业的信息。调度程序服务 

(SCHEDSVC.EXE) 监视数据库中的信息,确定应运行任务的时间。 

分发程序包:在分发程序包窗口选择了软件分发程序包后,它将在数据库中存储该定义。在创建将发 

送到设备以安装程序包的命令时,Management Suite 会使用此定义。 

软件分发程序包:程序包可以是一个或多个 MSI 文件、一个可执行文件、一个批处理文件、一个 

Macintosh 程序包、一个 Linux RPM 程序包、一个 Windows 脚本宿主程序包、一个应用程序虚拟程 

序包或是一个由旧版 Management Suite 程序包生成器创建的程序包。在大多数情况下,软件程序包 

应包括安装分发应用程序所必需的所有文件。 

287

用户指南 

设置传送服务器 

传送服务器指的是存储软件分发程序包的服务器。它既可以是 Web 服务器,也可以是 Windows 文件服务 

器。建议程序包基于 URL,以实现最佳效果。通常,正确配置 URL 比配置 UNC 路径更加轻松简单。 

HTTP 程序包共享需要添加至少拥有读取权限的“Internet 来宾帐户”,因为将通过匿名 HTTP 访问该程序包。 

UNC 程序包共享需要添加至少拥有读取权限的“域计算机”组。 

为软件分发配置 Web 服务器 

以下步骤说明了如何在 Web 服务器上创建虚拟目录并使之能为他人所浏览。通常,这些虚拟目录需要能进行 

读取和目录浏览操作,并且必须启用对虚拟目录的匿名访问。但不能设置“执行”权限,否则共享将不能正常工 

作。您也可以禁用写权限,使设备不能更改该目录中的内容。 

288 

1. 在要存储软件分发程序包的 Web 服务器上创建一个目录。这类目录在 IIS Web 服务器上的位置通常 

是 c:\inetpub\wwwroot 目录下的某个子目录。 

2. 将程序包复制到此目录。 

3. 双击“控制面板”中的管理工具,然后双击 Internet 服务管理器。 

4. 在右窗格中,双击带有该设备名称的图标,然后单击默认 Web 站点。 

5. 在右窗格的空白区域,右击并选择新建,然后单击虚拟目录。 

6. 在向导中,单击下一步,然后输入目录的别名。单击下一步。 

7. 输入路径或浏览到该路径,然后单击下一步。 

8. 在“访问权限”对话框中,启用运行脚本和浏览。这样您就可以在创建分发程序包时浏览程序包。单击 

下一步,然后单击完成。 

9. 从您刚才创建的虚拟目录的快捷菜单,单击属性。 

10. 在文档选项卡上,清除启用默认内容页选项并单击确定。默认页可影响共享提供可浏览目录的能力。 

11. 在目录安全性选项卡中,单击身份验证和访问控制框中的编辑按钮。确保选中集成的 Windows 身份 

验证。同时确保清除简化 Windows 域服务器的身份验证。 

12. 要启用 Web 服务器上的端口 80,请在左面板中右击默认 Web 站点。 

13. 单击属性。在 Web 站点标识对话框中,TCP 端口框应显示 80。否则,请单击高级以添加该端口。 

14. 打开浏览器并输入您的 Web 服务器和虚拟目录的 URL,以确保该网站可用。例如,如果您的 Web 服 

务器的名称是 Test,并且虚拟目录的名称是 Packages,请输入以下 URL: 

http://Test/Packages 

此时应出现已复制到此目录的程序包列表。 

放入此目录中的程序包的大小和数量仅受可用磁盘空间的限制。可以创建子目录,对程序包进行逻辑分组。按 

照上面的“为软件分发配置 Web 服务器”任务中所述,创建的每个子目录都必须具有上述访问权限设置。 

将程序包复制到 Web 服务器上的程序包共享位置之后,它们将暂时保存在此处,并随时可复制到目标设备。 

安排计划时,程序包的 URL 或 UNC 路径将作为命令行参数传递给 SDCLIENT.EXE(设备代理)。 

SDCLIENT.EXE 可以管理文件传输、启动安装过程,并报告状态。尽管 HTTP 协议可用于文件传输,但状态 

报告还是通过标准 LANDesk 代理返回。 

Web 服务器将与设备进行通信,以确保程序包正确复制。如果在下载过程中程序包传输中断,Web 服务器可 

以使用 HTTP 协议在下载停止的位置重新开始下载。但是,Web 服务器不会进行检查,因而不能确保程序包 

正确安装。该通信基于 TCP,并将使用标准 LANDesk 代理将状态返回到核心服务器。

为软件分发配置文件服务器 


无浏览器的设备必须通过 Windows 网络服务器的 UNC 路径接收分发程序包。可以使用您在 Web 服务器上建 

立的文件夹。如果使用的是首选服务器,不必配置空会话共享即可为其中的 UNC 程序包共享配置身份验证凭 

据。 

如果使用的并非首选服务器或首选服务器凭据,则需要将程序包共享配置为空会话,这样用户才能访问共享 

而不必提供备用凭据。使用 SYSSHRS.EXE 实用程序创建一个空会话共享文件夹。 

为软件分发配置网络服务器 

1. 要在网络服务器上设置共享文件夹,请右击要共享的文件夹,然后单击共享。 

2. 单击共享此文件夹,然后单击权限。 

3. 添加每个人组和来宾组,为这两个组授予只读权限。在域环境中,还应添加域计算机组,并且仅授予 

读取权限。应用所作的更改。 

4. 按照 "配置首选程序包服务器" 在页面 296 中所述的方法配置首选程序包服务器凭据。 

5. 将软件分发程序包复制到网络服务器的该文件夹中。 

在网络服务器上存储的程序包的大小和数量仅受可用磁盘空间的限制。 

配置用于软件分发的 IIS Web 服务器 

如果在 Microsoft IIS Web 服务器上托管程序包,您还需要进行以下配置: 

配置托管程序包的虚拟目录。 

在 IIS 中注册 MIME 类型。 

IIS 6 处理虚拟目录的方式不同于 IIS 5(IIS 5 是 Windows 2000 Web 服务器)。在 IIS 6 服务器上,如果您 

选择某目录并通过其快捷菜单使之成为 Web 共享后,该目录会在 IIS 6 中将自己注册为 Web 应用程序,而不 

是虚拟目录。这样,问题就出来了,因为作为 Web 应用程序,当用户试图选择可执行文件时,Web 服务器应 

试着将该文件当作 Web 应用程序运行,而不是将该文件下载给用户。 

要解决这一问题,需进入 IIS,将该共享目录从 Web 应用程序更改为虚拟目录,然后关闭执行权限。 

将文件托管在 IIS 6 服务器上时,文件如果没有注册的 MIME 文件类型,将引发 HTTP 错误 404“找不到文 

件”。除非您注册 MIME 文件类型,否则将造成多播和/文件安装失败。 

注册 MIME 文件夹类型 

1. 启动 Internet Information Services (IIS) 管理器。 

2. 在树中展开该本地计算机。 

3. 单击网站 > 默认 Web 站点。 

4. 在该程序包 Web 共享目录的快捷菜单中,单击属性。 

5. 单击 HTTP 报头选项卡。 

6. 单击 MIME 类型。 


8. 在扩展名框中,输入星号 (.*)。 

9. 在 MIME 类型框中,键入 application/octet-stream。 

10. 连续单击两次确定,应用更改。 

289

用户指南 


分发程序包包含要分发的程序包文件,程序包所需的其他文件以及描述程序包组件和操作的设置。在创建分发 

程序包定义之前必须先创建程序包。 

以下说明介绍了如何创建软件分发程序包。为确保程序包正确执行,软件分发程序包必须位于网络或 Web 服 

务器上,而且设备必须安装了软件分发代理。 

将程序包分发给设备有三个主要步骤。 

第 1 步:为要分发的程序包创建分发程序包。 

290

第 2 步:选择交付方式。 


291

用户指南 

第 3 步:安排要分发的程序包和交付方式。 

创建分发程序包 

292 

1. 创建要分发的程序包。 

2. 单击工具 > 分发 > 分发程序包。 

3. 在所需程序包组的快捷菜单中,单击新建分发程序包 > 要创建的程序包类型。 

4. 在分发程序包对话框中,输入程序包信息并更改所需选项。注意,必须输入程序包名称、说明和主文 

件。有关每页的详细信息,请单击帮助。 

5. 完成操作后,单击确定。脚本显示在选择的程序包类型和所有者树项中。 

注意:LANDesk 中为每种交付方式类型提供了默认的交付方式配置。这些具有默认设置的默认方式在大多数环境中都应该 

可以正常工作。如果要修改其中一个默认设置,您可以使用复制和粘贴方法创建一个交付方式副本,然后重命名,保留该默 

认设置以供将来参考。 

创建交付方式(仅当默认交付方式不适合您的环境时需要执行该操作) 

1. 如果已经配置了要使用的交付方式,或使用一种默认的交付方式,则跳到下一个步骤“安排分发任务的 

时间”。 

2. 单击工具 > 分发 > 交付方式。 

3. 在要使用的交付方式快捷菜单中,单击新建交付方式。 

4. 在交付方式对话框中,输入交付信息并更改所需选项。有关每页的详细信息,请单击帮助。 

5. 完成操作后,单击确定。脚本显示在选择的交付方式和所有者树项中。

安排分发任务的时间 

1. 单击工具 > 分发 > 计划任务。 

2. 单击创建软件分发任务工具栏按钮。 

3. 在分发程序包页面中,选择创建的程序包。 

4. 在交付方式页面中,选择要使用的交付方式。 

5. 单击保存以保存更改。 


6. 将目标从网络视图拖到计划任务窗口的任务中。目标可以包括各个设备、计算机组、LDAP 对象(用 

户、计算机和组)、LDAP 查询和清单查询。 

7. 在该任务的快捷菜单中,单击属性。 

8. 目标设备页面显示将要接收该任务的设备。 

9. 在计划任务页中,输入任务名称和任务计划。 

10. 返回到概述页面中,确认已按所需方式配置任务。 

11. 完成操作后,单击保存。 

在计划任务窗口查看任务进度。 

使用分发所有者和权限 

如果环境中存在许多 Management Suite 用户,可能很难分清每个用户负责的分发程序包、交付方式和计划任 

务。为了帮助解决此问题,Management Suite 使创建分发程序包、交付方式或计划任务的用户作为相应项目 

的默认所有者。只有所有者和 RBA 管理员/软件分发配置用户可以查看这些私有项目。 

私有项目显示在我的交付方式、我的程序包或我的任务树下。管理用户可以在全部分发程序包、全部交付方 

式和全部任务树下查看所有用户的项目。 

当用户创建分发项目时,说明页会包含所有者选项。如果用户希望所有控制台用户看到该项,可以选择公 

共。除了公共之外,管理员还可以选择特定用户。 

有关将基于角色的管理与软件分发一起使用的详细信息,请参阅 "软件分发" 在页面 222。 

在一个任务中使用多个分发程序包 

“推送”、“策略”和“支持策略的推送”软件分发任务可以包括预备程序包和最终程序包。使用多个程序包时,每次 

按顺序安装一个程序包。上一个程序包必须在所有目标设备上返回任务成功的状态之后,下一个程序包才开始 

安装。 

如果要在主程序包之前和/或之后运行命令,则预备程序包和最终程序包很有用。例如,您可以创建一个执行 

命令的批处理文件程序包,为主程序包配置目标设备。主程序包安装完成之后,您可以指定一个最终批处理文 

件程序包以进行所有后期配置。任何程序包类型均可以是预备程序包或最终程序包,但交付方式必须为“推 

送”。支持策略的推送交付方式不支持预备程序包和最终程序包。 

计划分发任务时,可以指定预备程序包和最终程序包。计划任务 - 属性对话框的分发程序包页面含有预备程序 

包和最终程序包选项。在单击其中一个选项之前,必须先转至交付方式页面并选择推送交付方式。为此,请 

单击交付类型的推送,然后单击要使用的交付方式。 

在一个任务中使用多个分发程序包 

1. 创建要在任务中使用的程序包。 

2. 单击工具 > 分发 > 计划任务。单击创建软件分发任务工具栏按钮。 

3. 在交付方式选项卡上,单击推送作为交付类型,然后单击要使用的交付方式。 

4. 在分发程序包选项卡上,单击要使用的程序包类型和分发程序包。 

5. 根据要安装该程序包的时间,单击预备程序包、主程序包或最终程序包,然后单击设置。 

293

用户指南 

294 

6. 对于此任务中要安装的任何其他程序包,请重复步骤 4 和 5。每个阶段只能有一个程序包且必须始终 

有一个主程序包。 

7. 完成任务配置并对任务进行计划。 

关于文件下载 

软件分发可以通过多种方法将文件下载到设备上进行安装。这些方法包括: 

从多播缓存中获取文件 

从对等方获取文件 

直接从远程源下载 

需要下载文件时,设备软件分发代理 SDClient 先检查高速缓存,以确定文件是否在高速缓存中。高速缓存定 

义为 C:\Program Files\LANDesk\LDClient\sdmcache 或存储在多播注册表项下“高速缓存目录”中的路径: 

HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\LDWM\Distribution\Multicast 

高速缓存中的文件结构将与 Web 或网络服务器中的文件结构相同。这可允许多个程序包具有相同名称的文件 

也不会引起问题。 

如果文件不在缓存中,SDClient 通常将尝试从网络中的对等方下载文件。可以将交付方式配置为要求对等方 

下载。 

如果无法从对等方获取文件,SDClient 将直接从 UNC 或 URL 源下载文件。可以配置交付方式,以便如果要 

从源获取文件,多播域中将只有一个设备从源位置下载文件。在大多数情况下,从 UNC 共享下载时,要求 

UNC 共享成为 NULL 会话共享。如果要下载的文件是基于 URL 的,SDClient 将从网站下载此文件。 

在任何上述情况下,SDClient 都将文件放在多播高速缓存中。将文件放在多播高速缓存中之后,SDClient 开 

始处理下载的文件。 

文件下载到缓存中之后,将保留在缓存中几天,但是最终将从缓存中删除。文件将保留在缓存中的时间由部署 

程序包时使用的交付方式控制。 

更新程序包哈希值 

因为许多程序包文件从网络中的对等方获取,所以,在安装前先验证文件。验证文件完整性的方法是将文件的 

MD5 哈希值与核心服务器上生成的 MD5 哈希值进行比较。 

初次计划分发程序包时,Management Suite 将下载该文件并计算与分发程序包所用的主文件和其他文件关联 

的哈希值。如果程序包中存储的哈希值与 SDClient 在目标设备中计算的哈希值不匹配,则认为下载无效。 

如果对 Management Suite 以外的程序包进行更改,比如更新程序包内容,则需要重置哈希值,否则使用已更 

新的程序包的计划任务将会失败。 

重置程序包哈希值 


2. 在要更新哈希值的程序包的快捷菜单中单击重设文件哈希值。如果程序包较大,此过程可能需要几分 

钟时间。 

从源服务器运行程序包 

软件分发通常将程序包文件下载到本地设备的高速缓存,然后再从高速缓存安装程序包。但是,如果程序包或 

应用程序要求安装文件存放于特殊的文件夹结构中(如 Microsoft Office 安装程序),或者应用程序的安装并 

不在每次安装时使用全部源文件,这种方法可能就不奏效。 

在这种情况下,则可代之以本地软件分发代理直接从源(无论是首选服务器还是程序包中指定的源)运行文 

件。启用从源运行时,软件分发不会将程序包文件下载到本地高速缓存,也不会从对等设备运行程序包。


对存储在 Web 共享目录中的程序包使用从源运行时,主文件必须是 MSI 文件或 SWD 程序包。如果是 UNC 

共享,则主文件可以是任何文件类型。 

使用从源运行来创建交付方式 

1. 单击工具 > 交付方式 > 网络使用情况。 

2. 单击使用“从源设备运行”来部署文件。 

3. 完成对交付方式的配置。 

对分发文件系统 (DFS) 中的程序包使用软件分发 

分发文件系统 (DFS) 使用数个服务器提供从单一文件共享获得的文件。软件分发默认的带宽检测方式在 DFS 

方案中不再使用根服务器计算带宽,根服务器可能并非提供文件的实际服务器。现在,软件分发提供可选方法 

来计算带宽。采用这种新的方式,带宽检测会检索分发的实际文件的一小部分。这样,软件分发就从提供文件 

的服务器计算带宽。 

默认情况下不启用这种备用的带宽检测方式。可以从核心服务器 ldlogon 文件夹中的 ntstacfg.in# 文件启用此 

选项。更新此文件后,更改将成为新的或更新的代理配置的一部分。必须重新部署设备的代理配置,才能使更 

改生效。 

在 ntstacfg.in# 中查找以下部分并进行必要更改。 

; 以下注册表值控制着对文件下载带宽的检测 

; 将 UseDownloadForBandwidth 值改为 1,可以对文件下载启用带宽检测 

; 输入的 DownloadSize 值应为 400 至 FFFF(1024 字节至 65535 字节)之间的十六进制值。 

REG1=HKEY_LOCAL_MACHINE, 

SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\UseDownloadForBandwidth, 0, , REG_DWORD 


SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\DownloadSize, 2000, , REG_DWORD 

295

用户指南 

配置首选程序包服务器 

可以指定设备检查软件分发程序包的首选服务器。这在低速 WAN 环境中可能非常重要,因为您不希望设备从 

脱机服务器下载程序包。指定首选服务器时,也可指定受管设备用于在每个首选服务器中进行身份验证的凭 

据。还可以指定允许访问首选服务器的 IP 地址范围。 

分发作业使用首选服务器时,仅替换 UNC 或 URL 文件/程序包路径的服务器部分;路径的其他部分必须与分 

发任务中指定的相同。如果首选服务器上没有该文件,将从分发程序包中指定的位置下载。唯一不支持首选服 

务器的分发方式是多播(仅限高速缓存)。 

核心服务器也使用首选服务器。在计划任务中,核心服务器使用分发程序包哈希值来验证分发程序包。核心服 

务器首先会尝试从首选服务器生成这些哈希值。若使用本地首选服务器便可加快哈希值处理。如果程序包在某 

个首选服务器上不可用,核心服务器就无法从分发程序包中指定的路径生成程序包哈希值。一般不希望核心服 

务器在 WAN 链接上“拉”大型程序包以获得哈希值,因此位于本地服务器(对核心服务器而言)上的哈希文件 

则更为快速、占用的低速带宽更小。 

受管设备将首选服务器列表存储在本地 preferredserver.dat 文件中。要创建此文件,设备将与核心服务器通 

信,然后基于 IP 地址范围限制(如果有)生成过滤的首选服务器列表。然后,该设备将对每台首选服务器进 

行带宽检查并将排在前三位的服务器保存在 preferredserver.dat 文件中。请注意,带宽检查产生的结果并非 

绝对可靠。例如,邻近的一台服务器可能在代理检查时负荷较高,因此即便通常它会成为最佳候选对象,但此 

时却可能被排除在外。 

分发代理每 24 小时更新一次 preferredserver.dat 文件,或在 IP 地址更改时进行更新。并非每台设备都会经 

历此过程。在对等设备间会共享其首选服务器列表。以下是受管设备维护当前首选服务器列表的过程: 

1. 如果 preferredserver.dat 位于本地文件缓存,则分发代理会使用此文件。 

2. 如果 preferredserver.dat 位于对等设备上,则代理会从该对等设备中检索此文件。 

296


3. 如果设备无法从本地或对等设备中获得 preferredserver.dat 文件,则会联系核心服务器以创建过滤的 

首选服务器列表,然后将其在本地另存为 preferredserver.dat 文件。 

4. 如果 preferredserver.dat 为空或没有首选服务器做出响应,则代理会在本地注册表中查找首选服务器 

列表。 

如果以上步骤均无法获得可用的首选服务器,则本地代理会使用分发作业中指定的分发路径。 

配置首选程序包服务器 

1. 单击配置 > 首选服务器。 

2. 单击添加以添加新的服务器,或单击一个现有条目然后单击编辑。 

3. 输入服务器信息。如果要使用 IP 地址范围来限制对此服务器的访问,请输入地址并单击添加。 

4. 单击测试凭据以确保提供的凭据有效。 


将首选程序包服务器存入注册表 

管理首选服务器最简便的方法是使用服务器凭据对话框(配置 > 首选服务器)。如果要配置首选服务器备用 

列表,以便当 preferredserver.dat 文件中无服务器时使用,可以在受管设备上创建以下注册表项并将值设为 

首选程序包服务器名。可以指定多个程序包服务器,使用分号进行分隔。 

HKEY_LOCAL_MACHINE\Software\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\Pre 

ferredPackageServer 

以下是一个注册表项示例: 

[HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution 

]"PreferredPackageServer "="Server1;Server2;Server3" 

自定义存储在 preferredserver.dat 中的服务器数 

默认情况下,preferredserver.dat 文件中依次包含三台在带宽检查时呈现最高带宽测试结果的服务器。通过在 

核心服务器 ldlogon 文件夹中的 ntstacfg.in# 文件中更新此行,可以更改存储在 preferredserver.dat 中的服务 

器数。有效数字为从 0 至 7。更新此文件后,更改将成为新的或更新的代理配置的一部分。必须重新部署设备 

的代理配置,才能使更改生效。 

; lddwnld/ldredirect 文件的设置,DynamicPreferredServers 是 

; 能够存储的最大首选服务器数目。将其设为 0 可禁用 

; 动态首选服务器功能。 


SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\DynamicPreferredServers, 3, , REG_DWORD 

自定义首选服务器优先级 

当第一首选服务器无程序包时,为了避免延迟,重定向逻辑将开始转向已经对设备实际提供文件的首选服务 

器。通过在核心服务器 ldlogon 文件夹中的 ntstacfg.in# 文件中更新以下行,可以更改 preferredserver.dat 中 

的首选服务器优先级: 

; 当第一首选服务器中无程序包时,为了避免延迟, 

; 重定向逻辑将开始转向已经对设备实际 

; 提供文件的首选服务器。以下注册表选项可以控制 

; 服务器在列表中优先级上升的时机。ServerHistoryUseCount 值表明在 

; 服务器上升到列表首位前必须使用的次数, 

; ServerHistoryCacheTime 值表明服务器应该被记住的时间长度(秒)。 


SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryUseCount, 3, , REG_DWORD 


SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryCacheTime, 3600, , 

REG_DWORD 

297

用户指南 

了解 UNC 身份验证 

添加首选服务器(配置 > 首选服务器)时,您还应提供设备访问首选服务器时使用的凭据。出于安全原因, 

请确保这些凭据仅提供只读访问。设备从核心服务器获取这些凭据并以其在首选服务器中进行身份验证。使用 

添加到服务器凭据对话框中的首选服务器时,不用再象先前版本中那样必须将程序包共享配置为空会话共 

享。只要您为首选服务器提供的凭据使用程序包共享(单击用户名和密码对话框中的测试凭据),受管设备 

就能够访问该共享。 

关于字节级检查点重新启动和动态带宽调节功能 

Management Suite 8 和更高版本支持分发字节级检查点重新启动和动态带宽调节功能。检查点重新启动功能 

使用 SWD 首先要复制到设备高速缓存目录(默认情况下是 C:\Program 

Files\LANDesk\LDClient\SDMCACHE)的分发作业。如果选择了带宽控制选项,则首先将文件复制到设备高 

速缓存,然后检查点重新启动允许中断的分发在中断处继续执行。 

动态带宽调节功能指定设备创建的网络通信量优先于分发通信量。使用此选项还可以强制将文件完全下载到 

设备高速缓存(此时同时启用字节级检查点重新启动功能),使下载可以从中断处继续进行。如果选中此选 

项,并将最小可用带宽百分比保留为 0,则在设备启用网络通信量后,分发会每秒削减大约一个程序包,直到 

通信量停止为止。如果分发需要网络带宽,而设备上的带宽却存在争用现象,则增加最小可用带宽几乎可完全 

保留指定用于分发的设备带宽量。 

如果您正在重新安装或修复 SWD 程序包或 MSI 程序包,则可能不需要使用动态带宽调节选项,因为这些程 

序包类型通常只下载所需的文件。在这种情况下,使用动态带宽调节功能将强制完全下载程序包,而修复操作 

通常可能只需要该程序包的一小部分。 

Windows 95、Macintosh 或 DOS 设备上不支持动态带宽调节。Windows 98 和 Windows NT 设备如果安装了 

Internet Explorer 版本 4 或更高版本,则可以使用动态带宽调节。 

可以配置集体带宽调节,以便多播域中只有一个设备将从远程源下载。还可以配置在从源下载时占用的带宽 

量。所有版本的 Windows 系统均可以使用此功能。Macintosh 或 DOS 系统上不支持集体带宽调节。 

在软件分发中使用定向多播 

有了 LANDesk 定向多播技术,便可以向网络中的众多用户分发大型程序包,并最大限度地减少网络通信量。 

定向多播功能不需要利用额外的硬件或软件基础设施,而且不必为了发送多播程序包而配置路由器。无需再执 

行其他复杂的配置,就可以从多播技术中获得巨大优势。 

定向多播的目的是与现有软件分发程序包协同运行。如果使用定向多播,那么即使在包含多个跃点且连接速度 

很低 (56k) 的 WAN 环境中也可以轻松地分发软件。定向多播使用 HTTP 执行从网站到子网代表的传送工作。 

Management Suite 的清单扫描器会将所有子网信息提供给定向多播服务。 

定向多播具有标准“多播”方法所无法比拟的独特优势。基于清单的设备定向功能使您能够通过多播将程序包发 

送给选定的一组符合特定条件的计算机。由于无需配置路由器来处理传送过程,因此也简化了定向多播。 

与传统的软件分发方法相比,定向多播大大缩短了传送软件程序包所需的时间并降低了带宽要求。借助这种技 

术,您只需为每个子网传送一次程序包,而不用通过线路为每个设备发送一个程序包。这样一来,每个子网中 

的设备越多,所节省的带宽也就越多。 

选中交付方式属性的网络使用情况页面中的使用多播部署文件选项,可从交付方式属性激活定向多播。在支 

持推送的策略、推送和多播(仅缓存)交付方式中可以使用多播。在网络使用情况页面下面,您会发现允许 

配置多播的几个页面。 

使用定向多播开始进行分发时,将会看到多播软件分发窗口。该窗口包含有关如何进行分发的详细信息。有 

关各字段含义的详细信息,请单击多播软件分发窗口上的帮助按钮。 

Windows 和 Macintosh OS 10.2 设备都支持定向多播。此外,还可以多播操作系统部署映像。 

298

使用对等下载 


对等下载功能是定向多播选项,强制目标设备从设备的本地高速缓存或从同一子网上的对等设备安装程序包。 

使用此选项将保留网络带宽,但是为了成功安装程序包,程序包必须位于本地高速缓存或对等设备的高速缓存 

中。 

如果您未选择对等下载选项,则定向多播设备代理仍然会尝试通过按此顺序检查程序包文件的以下位置来保 

留带宽: 

1. 本地高速缓存 

2. 同一子网上的对等设备 

3. 程序包服务器 

将文件复制到本地多播高速缓存文件夹 

您可以选择使用多播将一个以上的文件复制到本地多播高速缓存文件夹。使用此选项可将文件复制到目标设备 

的本地高速缓存中。此选项既不会安装文件,也不会执行任何其他操作。此选项用于将文件复制到每个多播域 

中的多播域代表或设备。您可以先对域代表进行初始部署,然后使用对等下载选项重做部署,以确保设备只能 

从其子网上的对等设备下载程序包。 

配置定向多播 

在使用定向多播之前,必须先确保分发目标的子网上已安装了定向多播组件。定向多播要求使用 

Management Suite 8 代理和多播域代表。 

手动指定作为多播域代表的计算机 

1. 在网络视图中,单击配置 > 多播域代表。 

2. 将希望其成为域代表的计算机从网络视图中拖到此类别中,以添加域代表。 

定向多播将使用响应多播域代表组中每个子网的第一台计算机。 

只有 Windows 计算机才能充当多播域代表。如果要使用多播将程序包分发到 Macintosh 计算机,请确保该多 

播域中至少有一台 Windows 计算机可充当这些 Macintosh 计算机的域代表。如果在 Macintosh 主导的环境中 

只有少数几台 Windows 计算机,那最好在“多播域代表”组中手动指定一些 Windows 域代表。 

通过更改支持策略的推送、推送和多播交付方式窗口中网络使用情况页面下的带宽使用情况页面的带宽滑 

块,可以调节多播。 

您还可以在“配置 Management Suite 服务”对话框中自定义“定向多播”选项。要配置定向多播服务,请单击配 

置 > 服务 > 多播选项卡。有关详细信息,请单击该选项卡上的帮助。 

在当前登录用户的环境中运行应用程序 

LANDesk Management Suite 可执行大多数应用程序安装任务和其他需要使用完整系统权限的任务。有些应 

用程序安装和其他任务需要以系统当前用户的身份执行。STARTASUSER.EXE 应用程序是 LANDesk 

Management Suite 8.7 SP2 版本提供的新实用程序,通过该程序,可以在当前登录用户的环境中运行应用程 

序。 

STARTASUSER.EXE 将启动当前登录到系统的用户环境所提供的命令行。STARTASUSER.EXE 支持下列命 

令行格式: 

startasuser.exe [///silent] [///timeout=x] [///?] 命令行... 

如果在启动 STARTASUSER.EXE 时没有任何用户登录到系统,该应用程序将返回标准 Windows 

ERROR_NOT_LOGGED_ON (1245) 错误。 

STARTASUSER.EXE 应用程序的所有命令行选项的前面都有三个正斜杠 (///);这样可与已启动应用程序的命 

令行选项相区分。 

299

用户指南 

下面将详细概述各个命令行选项。 

///silent 

该选项使已创建进程以隐藏方式启动,这样可阻止显示所有应用程序窗口。 

///timeout=x 

该选项控制已启动应用程序的超时(秒)。如果在指定超时已到,但已启动应用程序仍尚未完成时, 

startasuser.exe 应用程序将退出,并出现标准 Windows 错误 WAIT_TIMEOUT (258)。 

///? 

该选项将命令行的使用显示到标准输出。由于 STARTASUSER.EXE 是 Windows 应用程序,因此默认情况下 

不会在命令提示符下显示帮助信息。使用下列命令行可在命令提示符下显示帮助信息: 

startasuser.exe ///? > more 

命令行… 

在所有 STARTASUSER.EXE 选项之后,指定要运行的应用程序的完整命令行。 

下面两个示例演示了如何使用 STARTASUSER.EXE 应用程序启动可执行文件或安装 MSI。 

以当前登录用户的身份运行可执行文件(本示例中为 regedit) 

300 

1. 使用下列命令行创建一个批处理文件: 

startasuser.exe ///timeout=300 regedit.exe 

2. 将该批处理文件保存到为使用软件分发而设置的文件服务器上。 

3. 在 LANDesk Management Suite 控制台中,单击工具 > 分发 > 分发程序包。 

4. 从我的分发程序包组快捷菜单中,单击新建分发程序包 > 新建批处理文件程序包。 

5. 添加步骤 2 中保存的批处理文件,将其作为主分发程序包。 

6. 保存分发程序包。 

现在,可以在软件分发任务中使用该程序包,并且该程序包将在当前登录用户的环境中启动 regedit 应用程 

序。 

以当前登录用户的身份安装 MSI 程序包: 

1. 使用下列命令行创建一个批处理文件: 

startasuser.exe msiexec.exe /I .msi 

2. 在创建批处理文件时,将替换为要启动的 MSI 程序包的名称。如果需要,可添加其他 MSI 

命令行选项。 

3. 将该批处理文件保存到为使用软件分发而设置的文件服务器上。 

4. 在同一个文件服务器上,最好在同一位置中添加 MSI 程序包及任何其他文件。 

5. 在 LANDesk Management Suite 控制台中,单击工具 > 分发 > 分发程序包。 

6. 从我的分发程序包组快捷菜单中,单击新建分发程序包 > 新建批处理文件程序包。 

7. 添加步骤 2 中保存的批处理文件,将其作为主分发程序包。 

8. 保存分发程序包。 

现在,可以在软件分发任务中使用该程序包,并且该程序包将使用当前登录用户的身份安装 MSI 程序包。

使用 MSI 分发程序包 


Management Suite 支持带完全状态报告和 MSI 程序包识别的 MSI 安装。MSI 分发程序包类型是 

Management Suite 的首选软件分发方法。如果了解 MSI 参数,将有助于您设置 MSI 程序包和交付方式。 

使用 MSI 命令行参数进行软件分发 

在安装 MSI 分发程序包时,Management Suite 会使用 MSI API 调用。MSI 安装使用两个不同类型的命令行 

参数: 

选项参数 

属性引用参数 

选项参数 

选项参数是 Microsoft 安装工具 Msiexec.exe 使用的开关。例如,/q 开关是 Msiexec 进行无提示无人参与安 

装的常用开关。 

在分发程序包 - 属性对话框中,您可以在安装/卸载选项页面的命令行字段中输入 MSI 选项参数。单击字段旁 

边的复选按钮以验证该命令行。有关 Msiexec 选项的详细信息,请参见: 

http://support.microsoft.com/?kbid=227091。 

301

用户指南 

属性引用参数 

属性引用也称为公共属性,为 MSI 文件所特有。这些参数会直接传递到 MSI 安装 API。可以在 MSI 分发程序 

包的安装/卸载选项的命令行字段中使用这些参数。 

属性引用的语法为 PROPERTY=VALUE。常用的属性引用是 Transforms 属性。这是用于调用 .mst(转换) 

文件的属性。有关属性引用参数的详细信息,请参见:http://support.microsoft.com/?kbid=230781。 

要获取有关应用程序公共属性的信息,请参见软件安装文档或访问应用程序的官方网站,也可以直接联系软件 

供应商。 

无提示运行 MSI 

在 Management Suite 中,无提示运行 MSI 是在交付方式的安装/卸载选项下自动处理的。要无提示运行 

MSI,请转至所需交付方式的安装/卸载选项页面,然后单击安静模式,没有用户交互。 

自动安装 MSI 

对于许多 MSI 而言,无提示运行 MSI 即表示自动进行安装。在这种情况下,只要选择交付方式中的安静模 

式,没有用户交互,即可自动安装 MSI。 

有时候需要使用属性引用才能完成安装。在这种情况下,MSI 安装程序将提示您输入值。在自动安装过程 

中,不会出现此类提示。这样 MSI 安装将失败,并会出现标准 MSI 错误 1603,即“安装过程中出现了致命错 

误”。应在分发程序包的命令行字段中为所需的公共属性指定值。 

使用转换文件进行 MSI 安装 

MSI 的应答文件称为转换文件,扩展名为 .mst。不是所有 MSI 安装都需要转换文件;但是,如果要修改或指 

定其值的属性引用太多,可以使用转换文件。如果应用程序支持,可以创建应答文件传入所有属性引用参数。 

如果在安装过程中需要但又没有提供转换文件,将出现错误 1603,即“安装过程中出现了致命错误”。通常情 

况下,软件供应商拥有为特定 MSI 创建转换文件所需的信息或工具。例如,要部署 Microsoft Office 2003 的 

批量授权版本,应使用转换文件。Microsoft 提供了随同 Office 2003 Resource Kit 一起安装的“自定义安装向 

导”工具。可从下面的网站下载 Office 2003 Resource Kit: 

302 

http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7¬ccc3016a296a/ork.exe 

如果供应商没有所需信息或此类工具,Microsoft 还提供了可创建转换文件的工具,名为 Orca。有关其他帮 

助,请参见 Orca 帮助文件。 

处理 MSI 安装的重新启动 

Management Suite 通过交付方式属性中的重新启动页处理 MSI 的重新启动。如果在交付方式中选择从不重 

新启动,LANDesk 将自动传递 REBOOT=REALLYSUPPRESS 和 /NORESTART 参数。 

如果选择始终重新启动选项,将传递 /FORCESTART 参数。 

如果选择只在必要时重新启动,将由 MSI 决定重新启动。如果启用反馈,可能会提示用户是否重新启动。有 

一点很重要,即 MSI 支持自定义操作。如果自定义操作开始重新启动,Management Suite 无法阻止该操 

作。 

MSI 核查清单 

如果某个部署中涉及到 MSI,请参见该核查清单。 

我有正确版本的安装文件(包括 MSI 和所有其他文件)进行批量授权部署。 

我有软件供应商提供的有关如何自动无提示安装和配置软件以及如何处理重新启动的信息。

我知道需要传递给 MSI 的公共属性参数是哪些。 


我知道该 MSI 是否需要转换文件才能进行安装,如果需要,我已经创建了一个转换文件。 

分配返回代码 

“分配返回代码”对话框用于(基于分发任务是否成功)将状态发送回核心服务器。在过去的管理套件中,只有 

读取到 0 时才表示成功,而读取到任何其他值都被视为失败。这会给管理员带来麻烦,因为管理套件会将以 

除 0 之外的数字形式发送回来的返回代码视作失败,但应用程序安装可能并没有错误。 

供应商将维护由产品开发人员创建的列表,该列表包含所有可能的返回代码和开发人员希望通过代码指示的特 

定结果。现在,管理套件增加了一些功能,允许管理员查看返回代码列表以及构建可与单个或多个程序包关联 

的模板。管理员可以将每个返回代码指定为代表成功或失败,以及发送回指示特定安装结果的自定义消息。管 

理套件现在附带了针对 Office 2003 和 Office XP 模板的 Windows 安装程序进程。有关此模板中所附带的返 

回代码的详细信息,请访问:http://support.microsoft.com/kb/290158。 

除了将此功能与第三方供应商提供的应用程序配合使用之外,还可为由内部开发人员编写的机构内部专用应用 

程序创建返回代码模板。管理套件除了提供默认模板外,还允许通过返回代码模板管理器创建新的自定义模 

板、复制默认或自定义模板或者对任何模板进行修改。模板创建后,可通过“程序包返回代码映射”窗口在“分配 

返回代码”对话框中将特定的模板与特定的程序包关联。此外,还可以从这里对模板进行修改。 

用户可以选择添加所有指示成功或失败的可能返回代码,或者仅添加指示成功的其他返回代码。如果只添加了 

成功代码,则模板中未引用的任何返回代码都将自动映射为失败。 

以下是管理套件附带的两种默认模板: 

303

用户指南 

304 

默认的 MSI 模板:包含 50 多个映射,涵盖了标准 MSI 返回代码。 

默认的非 MSI 模板:包含返回代码 0(即表示“操作成功完成”)的单一映射。所有非零的错误代码均 

返回“程序包部署失败”消息。 

系统会根据分发程序包的类型为其自动分配以上模板之一。您可以在分发程序包的属性中更改模板映射。 

使用返回代码模板管理器 


2. 在分发程序包工具栏中,单击返回代码模板管理器按钮。 

3. 在返回代码模板管理器对话框中,单击添加、修改、删除、导入或导出。 


添加新的返回代码映射模板 



3. 在返回代码模板管理器对话框中,单击添加。 

4. 输入模板名称和模板说明。 

5. 选择模板筛选器类型。 


7. 在 dfg 对话框中,如果要更改成功或失败的默认消息,请选择状态并输入该状态对应的消息。 

8. 通过单击添加可添加新映射。 

9. 在该对话框的底部,输入数字返回代码或返回代码范围。 

10. 输入消息并选择一种状态。 

11. 根据需要重复执行步骤 8-10。 

12. 单击确定。新模板随即会显示在该列表中。 

将返回代码映射应用到分发程序包 


2. 双击要修改的程序包。 

3. 在程序包属性树中,单击分配返回代码。 

4. 单击要应用的返回代码模板。 

5. 单击分配。 


导出和导入返回代码模板 

返回代码模板存储在核心数据库中,但您可以将这些模板导出为 XML 文件,从而可以在其他服务器上导入它 

们。如果分发程序包正通过核心服务器同步进行同步,其分配的返回代码模板将作为同步数据的一部分。 

导出返回代码模板 



3. 单击要导出的模板。 

4. 单击导出。 

5. 浏览到所需路径并输入一个文件名。


导入返回代码模板 



3. 单击导入。 

4. 通过浏览找到包含已导出模板的 XML 文件。 

5. 单击打开。 

使用软件部署门户 


“门户”窗口可通过受管设备上的 Desktop Manager 进行访问。门户列出了使用基于策略的交付方式分发的所 

有软件分发程序包。 

启动软件部署门户后,它会提示您等待其与策略服务器同步以刷新应用程序列表。在此期间,将运行策略同步 

并下载任何新策略。所需的策略不会显示在“软件部署门户”窗口中,但会开始自动安装(除非最终用户将其延 

迟)。其他任务将显示在“软件部署门户”窗口中。 

受管设备包含对已下载策略进行检查的策略调用程序服务。检索时,策略任务将存储在小型数据库中。调用程 

序服务会监视此数据库,并在策略从一个状态变为另一个状态时更新策略的状态。它还会读取策略的状态以确 

定是否需要进行安装。调用程序不会安装程序包。它会调用执行安装的软件分发代理 (sdclient.exe)。 

用户打开软件部署门户时,除了会进行策略更新,这些代理配置选项还会影响策略更新间隔时间: 

如果选中用户登录时选项,则会在用户登录时更新。 

如果选中 IP 地址改变时选项,则会在用户的 IP 地址改变时更新。 

当单击更改设置按钮时,以您指定的本地调度程序时间间隔进行更新。默认情况下,受管设备使用本 

地调度程序每天获取一次策略更新。 

您可以在代理配置对话框的软件分发 > 策略选项页面中更改这些策略更新设置。 

将软件分发到 Linux 设备上 

部署 Linux 代理后,可以将软件分发至您的 Linux 设备。初始 Linux 代理部署使用 SSH 连接。安装代理后, 

核心服务器使用标准 LANDesk 代理与 Linux 服务器建立通信并传输文件。要将软件分发至 Linux 设备,必须 

具有管理员权限。 

仅可以将 RPM 分发至 Linux 设备。Linux 代理将自动安装分发的 RPM。安装后 RPM 本身并不存储在服务器 

上。可以使用软件分发功能安装和卸载指定的 RPM。Linux 软件分发只能使用推送交付方式。对 Linux 软件 

的分发将忽略推送交付方式中的设置,因此选择何种推送交付方式或其中的设置如何都无关紧要。 

分发遵循此过程: 

1. 核心服务器通过标准 LANDesk 代理连接到 Linux 设备 

2. 设备下载程序包 

3. 设备运行使用 RPM 命令的 shell 脚本来安装 RPM 程序包 

4. 设备将状态发送回核心服务器。 

可以将 Linux RPM 存储在 HTTP 共享目录中。Linux 软件分发不支持 UNC 文件共享目录。对于 HTTP 共享 

目录,确保已经对此目录启用了目录浏览。如果在 Windows 设备(非核心设备)上使用 HTTP 共享目录,您 

需要为 RPM 文件配置正确 MIME 类型的 IIS。否则,使用默认 MIME 类型的 IIS 将导致 RPM 无法下载文 

件。 

305

用户指南 

在 Windows 设备上配置 RPM MIME 类型 

306 

1. 在 Windows 控制面板中,打开 Internet 服务管理器。 

2. 导航至包含分发文件的文件夹。在此文件夹的快捷菜单中,单击属性。 

3. 在 HTTP 报头选项卡中,单击文件类型按钮。 

4. 单击新建类型。 

5. 对于相关扩展名,请键入 rpm。请注意 rpm 是小写的。 

6. 对于内容类型,请键入文本/普通。 

7. 单击确定,退出对话框。 

将文件放入程序包共享目录后,请在分发程序包窗口中创建新的 Linux 分发程序包,为该程序包配置所需的交 

付方式,并安排传送。 

了解 Linux 软件从属程序包 

在 Linux 程序包的分发程序包 - 属性对话框中单击保存时,软件分发将会对主 RPM 和所选的任何从属 RPM 

分析那些 RPM 所要求的从属程序包。然后,这些从属程序包将显示在缺少的库文件对话框中。选中此对话框 

中的某个从属程序包可以使软件分发下次不再对您就此项发出提示。您可以选中已知在受管设备上安装了的从 

属程序包。此对话框仅用于向您显示信息。如果目标设备上缺少某个从属程序包,而且您并未将该从属程序包 

特别包括在从属程序包内,有可能无法成功安装 RPM。 

解决分发失败问题 

软件分发可以一次给许多设备分发程序包。如果程序包有问题,或部署的软件与现有软件冲突,则将导致数以 

千计的设备同时出现问题。当使用软件分发计划部署时,注意不要给帮助中心带来过大的压力。 

在部署新的程序包之前,请利用一些测试系统对其进行测试。在理想情况下,这些测试系统应包括您环境中使 

用的所有操作系统和应用程序。部署完程序包之后,确认所有系统和应用程序仍正常运行。 

程序包通过测试系统验证之后,请进行有限部署。在环境中定向少量设备。决定要定向的设备数目时,根据经 

验定向数目不要超出帮助中心所能承受的负荷。将程序包部署到这些设备之后,先将软件运行几天,以了解用 

户是否遇到任何问题。 

初始部署之后,可以开始将软件部署扩大到企业中的其他设备。软件部署的扩展速度应以企业中设备种类的多 

少和帮助中心的承受能力为基础。 

您可能还会遇到以下一些其他问题: 

计划任务找不到程序包 

如果计划任务指示无法找到程序包,请确保可以从设备查看此程序包。 

如果程序包基于 URL,可以检查以确保通过使用 Web 浏览器可以访问该程序包。请注意,如果设置 DNS 来 

解析程序包,则需要验证程序包已分发到所有 Web 服务器。 

如果从设备上可以查看程序包,但是仍无法正常下载,问题可能是基于 URL 或 UNC 的程序包共享目录不允 

许进行匿名访问。检查对 UNC 或 URL 共享目录的权限,确定允许进行匿名访问。对于 UNC 位置,确保已 

正确配置为 null 会话共享目录。 

带宽检测无法正常运行 

出现的一个最常见的问题就是设置 PDS 用于带宽检测。在设备设置中,在 PDS 和 ICMP 之间选择一个通用 

基本代理选项用于设备带宽检测。在将设备配置为使用 PDS 进行带宽检测时,该设备仅检测 RAS 和非 RAS 

之间的连接。因而,如果配置分发仅可以处理高速连接并且程序包安装在有 WAN 连接的计算机中,则请检查 

并确保配置是使用 ICMP 而不是 PDS。

基于策略的管理 


LANDesk Management Suite 使您可以使用基于策略的管理功能来管理各组设备上的应用程序集。 


"关于基于策略的管理" 在页面 307 

"配置策略" 在页面 308 

"向应用程序策略应用范围" 在页面 310 

"用户在其设备上看到的内容" 在页面 310 

"使用本地软件部署入口" 在页面 310 

关于基于策略的管理 

基于策略的管理(在以前的 Management Suite 版本中称作应用程序策略管理)可帮助您轻松管理各组设备上 

的应用程序集。与任何其他计划任务相似,策略需要: 

SWD 程序包、MSI 文件、可执行文件、批处理文件或您所创建的 Macintosh 程序包。 

支持策略的交付方式,包括策略或支持策略的推送。 

分发程序包的策略目标,如 LDAP 或核心数据库查询的结果。 

策略应为可用时的计划时间。 

基于策略的管理定期重新运行配置为策略一部分的查询,从而在新增的任何受管设备上应用相关策略。例如, 

在包含用户对象的 LDAP 目录中可能有一个“部门”容器。“部门”对象为“销售”的任何用户均可使用标准的应用 

程序集。为“销售”用户设定策略后,添加到“销售”中的新用户即可自动获得安装在其计算机上的正确应用程序 

集。 

使用控制台可以配置应用程序策略,这些策略均存储在核心数据库中。 

基于策略的管理可以部署以下文件类型: 

MSI 

可执行文件 

批处理文件 

Macintosh 

Linux RPM 

LANDesk Application Virtualization 

Windows 脚本宿主程序包 (.WSF) 

旧版 SWD 程序包 

基于策略的管理的任务流程如下: 

1. 请确保软件分发代理位于您的设备上。 

2. 如果您要设定其策略的应用程序没有相应的程序包,请创建一个程序包。有关详细信息,请参阅 "软件 

分发" 在页面 Error! Bookmark not defined.。 

3. 使用分发程序包窗口为程序包创建一个程序包定义。 

4. 创建或选择一个现有的基于策略的交付方式。 

5. 在计划任务窗口中创建一个软件分发任务并从以上选项中选择程序包和交付方式。 

6. 请选择策略的目标,可包括单个设备的任意组合、数据库查询、设备组、LDAP 条目和 LDAP 查询。 

307

用户指南 

308 

7. 计划要运行的任务。运行时,分发程序包将成为“可拉”。 

8. 核心服务器上的基于策略的管理服务通过重新评估 LDAP/数据库查询结果来定期更新策略目标列表。 

这有助于确保核心数据库中存有最新的一组目标用户/计算机。 

9. 用户可以登录设备、连网,或者启动基于策略的管理代理。 

10. 核心服务器的基于策略的管理服务将根据设备的设备 ID 和登录用户或 LDAP 设备位置来确定适用的 

策略。 

11. 基于策略的管理服务会将策略信息返回至基于策略的管理代理。 

12. 用户选择要运行的策略或者系统自动运行策略,具体取决于您如何配置设备来处理策略。设备列表中 

仅包含建议使用的或可选的策略。如果列表中包含未处理的建议使用的策略,则默认情况下将选中该 

策略。一旦过了执行时间间隔,定期策略将显示在列表中。所选策略将按顺序执行。 

13. 基于策略的管理代理将策略结果发送至核心服务器,该服务器将这些结果存储在核心数据库中。基于 

策略的管理状态则通过 HTTP 向核心服务器报告,用以增强可靠性。并在“计划任务”窗口中报告该状 

态。 

配置策略 

基于策略的管理需要支持的分发程序包类型用于您所创建的任何策略。可提前创建程序包,也可以在创建策略 

时创建这些程序包。建议您提前创建程序包,以便在将它们用于策略之前先进行测试并确保其正常工作。 

常规分发和策略可使用相同的分发程序包。其区别在于部署方面,而不是程序包的创建。支持基于策略的分发 

的交付方式有两种: 

策略交付方式:仅策略的分发模式。只有符合此策略标准的设备才能接收该程序包。 

支持策略的推送交付方式:组合的推送分发和策略模式。首先,软件分发尝试在目标列表中的所有设 

备上安装程序包。这样,您可以使用定向多播进行初始部署。其次,当设备上的基于策略的管理代理 

请求程序包时,未获得程序包或以后加入目标列表的任何设备(就动态目标列表而言)可接收该程序 

包。 

标准交付方式与基于策略的交付方式之间的主要区别是,基于策略的交付方式对话框有一个工作类型和频率 

页面。 

工作类型和频率选项会影响目标设备在接收到策略后执行操作的方式: 

必需:基于策略的管理代理无需用户干预即可自动应用所需的策略。您可以将所需的策略配置为无提 

示运行。安装所需任务时显示在设备上的任何 UI 都应该是连续性的;换句话说,安装应用程序时不需 

要用户输入任何内容。 

建议:用户可以选择何时安装建议采用的策略。默认情况下,在设备 UI 上选择建议采用的策略。 

可选:用户可以选择何时安装可选策略。默认情况下,在设备 UI 上不选择可选策略。 

您还可以配置策略的运行频率: 

运行一次:一旦某一策略在设备上成功运行,该设备将不再运行此策略。 

定期:当建议或可选的策略被指定为定期执行时,则在成功处理后会从 UI 中删除该策略,而且在指定 

的时间间隔后将再次显示在 UI 中。 

根据需要而定:用户可随时安装。 

创建一个基于策略的分发 

1. 在控制台中,单击工具 > 分发 > 交付方式。 

2. 在基于策略的分发或支持策略的推送的快捷菜单中,单击新建交付方式。 

3. 配置您想要的交付方式选项。单击帮助可获得每个页面的详细信息。 

4. 设置您想要的策略的类型和频率选项。 

5. 完成操作后,单击确定。


7. 单击创建软件分发任务工具栏按钮。 

8. 配置想要的任务选项,然后单击确定。 

9. 选定基于策略的分发任务后,将策略目标拖到右侧窗格中。 


启动策略任务且存在已解决的任务后,基于策略的分发便开始生效。支持策略的推送分发则在基于“推”的初始 

分发完成后生效。 

添加静态目标 

基于策略的管理可将静态目标用作策略目标。静态目标是指如果不手动进行更改就不会发生变化的一组特定设 

备或用户。通过从网络视图中选择单个设备作为目标来添加静态目标。单个 LDAP 设备无法作为静态目标添 

加。 

添加动态目标 

基于策略的管理可以使用查询来确定策略目标。对于 Management Suite 8,仅在核心数据库中存储查询。有 

关查询的详细信息,请参阅 "数据库查询" 在页面 Error! Bookmark not defined.。 

动态目标可以包括网络视图设备组,LDAP 对象、LDAP 查询和清单查询。 

要让设备接收到通过 Active Directory 或 NetWare 目录服务确定的目标策略,必须对设备进行配置,以便登 

录到该目录中。这表明,设备必须安装所有正确的代理软件,而且必须实际登录到正确的目录,以使设备的完 

全可分辨名称与通过目录管理器和计划任务应用程序策略管理器指定的目标名称相匹配。 

必须配置 Windows 95/98 和 NT 设备以便登录 Active Directory 所驻留的域。Windows NT 和 Windows 95/98 

不包括 Active Directory 支持。因此必须在登录目录且需要使用基于策略的管理应用程序策略管理的设备上安 

装 Active Directory 支持。除本文外,您还可以从以下地址获得有关安装 Active Directory 客户端支持的详细 

信息: 

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx 

为从 LDAP 确定目标设备,每个 Windows NT/2000/2003/XP 设备都必须在 Active Directory 域控制器上拥有 

一个计算机帐户。这意味着,用作设备的计算机必须登录到 Active Directory 所在的域中。不能只使用完全限 

定的 Windows NT 域名来映射网络驱动器。这样策略将不会生效。 

使用目录管理器创建查询 


2. 单击管理目录工具栏按钮。 

3. 输入目录 URL 和身份验证信息,然后单击确定。 

4. 单击新建查询工具栏按钮。 

5. 创建您的查询。有关详细信息,请参阅 "LDAP 查询" 在页面 260。 

添加其他目标 

创建基于策略的任务时,推荐在初始阶段将策略部署到一个较小的目标集。这样做的目的是,如果在部署策略 

时遇到问题,则只会影响一小部分用户。对较小用户集部署的结果经过验证后,便可将其他目标添加到策略。 

将新目标添加到已激活的策略任务时,策略便对新的目标设备或 LDAP 项目立即可用。 

309

用户指南 

向应用程序策略应用范围 

多个范围可用来筛选出某一目标列表的基于策略的管理目标详细信息窗格。然而,一个策略所使用的最终范围 

始终是某个任务所有者的范围。如果策略任务列于常见任务中,且属于不同范围的另一个 Management Suite 

用户(我们称之为目标列表“编辑者”)要查看该任务的目标详细信息窗格,那么目标详细信息窗格将用编辑者 

的范围筛选。在这种情况下,“编辑者”在目标详细信息窗格中看不到要应用该策略的所有目标,因为“编辑者” 

的范围不允许他们看到“创建者”范围中的所有目标。 

用户在其设备上看到的内容 

应用程序策略始终使用拉模式进行处理。设备检查核心服务器上是否存在适用于它们的新策略。进行检查时, 

设备将出现一个对话框,其中仅显示未处理的建议采用的策略和可选策略,而不显示所需的策略。当 UI 中出 

现未处理的建议采用的策略时,默认情况下会将其选中,以鼓励最终用户处理该策略。 

处理完某个策略后,如果将其设置为定期运行,则它仍可能显示在 UI 中。如果出现这种情况,将继续选中该 

策略,即使是建议采用的策略也不例外。如果某个策略未得到正确的应用,则它可能还会继续出现在 UI 中。 

用户可以通过单击开始 > 程序 > LANDesk > 基于策略的交付手动启动基于策略的代理。 

使用本地软件部署入口 

受管设备上的软件分发代理还提供一个软件部署入口。该入口会检查适用于本地设备/用户的策略的本地软件 

分发高速缓存。然后,入口显示一个列出了可用策略的 Web 页。用户可以从列表中选择一个策略,然后单击 

下载所选以安装与策略相关联的程序包。 

使用软件部署入口 

1. 在受管设备上,单击开始 > 程序 > LANDesk Management > LANDesk Software Deployment 

Portal。 

2. 单击要应用的策略。 

3. 单击下载所选。 

310



未管理设备搜寻 (UDD) 工具提供了一种途径,用于查找网络上没有将清单扫描提交到 LANDesk 核心数据库 

的设备。此外,扩展设备搜寻 (XDD) 使用安装在受管设备上的代理查找发送网络 ARP 广播的其他设备,以及 

无线接入点 (WAP) 设备。 


"未管理设备搜寻概述" 在页面 311 

"使用 UDD 搜寻未管理设备" 在页面 312 

"使用扩展设备搜寻(ARP 和 WAP)" 在页面 313 

"配置设备使用扩展设备搜寻(ARP 和 WAP)" 在页面 314 

"了解使用 XDD 的 IP 地址筛选" 在页面 315 

"处理通过 XDD 查找到的设备" 在页面 315 

"当搜寻到设备时执行的操作" 在页面 316 

"将代理部署到未管理设备" 在页面 317 

"恢复客户端记录" 在页面 318 

未管理设备搜寻概述 

未管理设备搜寻 (UDD) 提供许多途径用于扫描和检测网络上的未管理设备。 

以下是基本的 UDD 扫描方法: 

网络扫描:通过执行 ICMP ping 扫描来查找计算机。这是最彻底的搜寻,但速度最慢。可以将搜索限 

制在某些 IP 和子网范围之内。默认情况下,此选项使用 NetBIOS 尝试搜索设备并收集设备的有关信 

息。 

IP OS 指纹:使用 nmap 尝试和搜寻关于设备的详细信息(例如,运行设备的操作系统)。 

SNMP:UDD 使用 SNMP 搜寻设备。单击配置,输入有关网络上的 SNMP 的信息。 

标准 LANDesk 代理:在计算机上查找标准 LANDesk 代理 (CBA)。此选项搜寻安装 LANDesk 产品的 

计算机。 

NT 域:在指定的域中搜索设备。无论计算机是打开还是关闭,都将进行搜寻。 

LDAP:在指定的目录中搜索设备。无论计算机是打开还是关闭,都将进行搜寻。 

IPMI:查找启用了智能型平台管理界面的服务器,该界面允许您访问许多功能而无需考虑服务器是否 

打开或操作系统所处的状态。 

Intel* AMT:查找启用 Intel 活动管理技术的设备。AMT 设备会出现在 Intel vPro 文件夹中。 

311

用户指南 

312 

虚拟主机:查找运行 VMware ESX Server 的服务器。这些服务器会出现在虚拟主机文件夹中。 

要自动搜寻未管理设备,可以安排定期执行 UDD 搜寻扫描。例如,可以将网络分为三个部分,每天晚上安排 

对其中一个部分执行 ping 扫描。 

如果计划了搜寻,则核心服务器会执行搜寻。未计划的搜寻将从启动它的控制台上执行。 

扩展设备搜寻 

UDD 工具还支持扩展设备搜寻 (XDD) 扫描。XDD 依靠设备代理(通过代理配置部署)监听 LANDesk 网络上 

的 ARP 广播和 WAP 信号。设备上配置的 XDD 代理随即检查该广播设备是否安装了标准 LANDesk 代理。如 

果标准 LANDesk 代理未响应,则会在计算机组中显示 ARP 搜寻到的设备并在项目列表视图中显示报告的信 

息,同时在无线接入点组中显示 WAP 设备并在项目列表视图中显示报告的信息。 

在涉及防火墙(会阻止设备响应正常的基于 ping 的 UDD 搜寻方法)的情况下,扩展设备搜寻非常理想。 

使用扩展设备搜寻来搜寻有防火墙的设备 

注意,正常的未管理设备搜寻方法通常无法发现使用防火墙的设备,如 Windows XP 中内置的 Windows 防火墙。防火墙通 

常阻止设备响应未管理设备搜寻使用的搜寻方法。扩展设备搜寻可通过使用网络 ARP 通信量搜寻设备来帮助解决该问题。 

使用 UDD 搜寻未管理设备 

使用基本的 UDD 扫描方法搜寻未管理设备非常简单。 

使用 UDD 搜寻未管理设备 

1. 在“未管理设备搜寻”窗口(工具 > 配置 > 未管理设备搜寻)中,单击扫描网络按钮。 

2. 单击更多 >> 并选择所需的搜寻选项。


3. 输入扫描的起始和结束 IP 范围。必须为标准 LANDesk 代理搜寻 (CBA) 或网络搜寻输入一个范围, 

这两个选项才有效。而对于 NT 域和 LDAP,该范围是可选的。 

4. 输入子网掩码。 

5. 单击添加按钮,添加刚刚配置到任务列表中的扫描。 

6. 在对话框底部的任务列表中选择要运行的扫描,单击立即扫描按钮立即开始扫描,或者单击计划任务 

按钮以后运行扫描或定期重复运行扫描。立即扫描和计划任务按钮只运行已添加到任务列表中并已选 

中的扫描。 

7. 在“扫描状态”对话框中查看扫描状态的更新情况。扫描结束后,在“扫描状态”和“扫描器配置”对话框中 

单击关闭。 

8. 在 UDD 树中单击计算机可以查看扫描结果。 

配置 Windows NT 域搜寻 

必须将调度程序服务配置为使用域管理员帐户登录到域,否则 Windows NT 域搜寻选项无效。 

配置调度程序登录帐户 

1. 单击配置 > 服务,然后单击调度程序选项卡。 

2. 单击更改登录。 

3. 输入域管理员的用户名和密码。 

4. 单击确定 

5. 重新启动调度程序服务以使更改生效。在调度程序选项卡上,单击停止,服务停止后,单击开始。 

使用扩展设备搜寻(ARP 和 WAP) 

扩展设备搜寻 (XDD) 不采用基于扫描的正常 UDD 搜寻方法工作。可将 XDD 代理配置并部署到受管设备上以 

便使用 ARP 和/或 WAP 搜寻方法。本节介绍这两种搜寻方法。 

ARP 搜寻方法 

受管设备(配置有具备 ARP 搜寻功能的 XDD 搜寻代理)监听 ARP(地址解析协议)广播,并维护生成广播 

的设备的高速缓存(位于内存和本地驱动器上的文件中)。网络设备使用 ARP 将 TCP/IP 地址与特定设备的 

网络硬件 MAC 地址相关联。该通信以极低的级别发生,并且不依赖于响应特定网络端口上的 ping 操作或代 

理通信的设备。即使具有严密防火墙的设备也依赖 ARP。正由于此原因,扩展设备搜寻可帮助您查找正常搜 

寻扫描无法找到的设备。 

当配置有扩展设备搜寻代理的设备识别出新的 ARP 广播之后,监听 ARP 广播的代理将用两分钟时间等待检 

测到的设备启动,然后每个代理将随机等待一段时间。具有最短随机等待时间的代理将会首先 ping 新设备, 

检查 LANDesk 代理,然后代理会发送 UDP 广播到子网,以使其他代理知道它管理新搜寻到的设备的 ping 操 

作。如果您已安装了多个扩展设备搜寻代理,这将会防止设备因所有 ping 操作同时进行而生成过量通信量。 

默认情况下,由扩展设备搜寻代理保存的 ARP 表在 48 小时后超时。这意味着,在每个超时期限内,将会对 

每台网络设备进行一次 ping 操作。即使对于生成大量 ARP 通信量的设备,在每个超时期限内也只进行一次 

ping 操作。 

具有 LANDesk 代理的设备被认为是受管的,而且不会报告给核心服务器。不具有 LANDesk 代理的设备作为 

未管理设备向核心服务器报告。这些设备显示在未管理设备搜寻窗口的计算机列表中。ARP 搜寻的设备在 

ARP 搜寻栏中显示真。对于 ARP 搜寻到的未管理设备,XDD 会在列表视图列中报告回以下信息: 

IP 地址 

MAC 地址 

第一次扫描 

313

用户指南 

314 

上次扫描 

扫描次数 

WAP 搜寻方法 

您还可以将受管设备配置为监听网络上是否存在无线接入点 (WAP) 设备,并将任何搜寻到的 WAP 设备添加 

至未管理设备搜寻工具中的“无线接入点”组中。 

对于搜寻到的 WAP 设备,XDD 会在列表视图列中报告回以下信息: 

设备名称 

MAC 地址 

第一次扫描 

上次扫描 

扫描次数 

WAP 状态(允许、恶意、活动异常) 

信号强度(用于确定 WAP 设备的大约位置) 

加密级别(WAP 设备使用的加密方案) 

制造商 

报告 MAC 地址 

XDD 在运行 Windows Vista 的设备上使用无线检测 API 来获取设备 MAC 地址并在列表视图中显示。不过,运行 Windows 

XP/SP2 的设备上不支持此功能。 

配置设备使用扩展设备搜寻(ARP 和 WAP) 

您可以使用代理配置工具来配置具有扩展设备搜寻 (XDD) 代理的一些受管设备,以便其可充当搜寻设备以便 

监听网络上的 ARP 和 WAP 信号。 

尽管您可以根据需要将扩展设备搜寻部署到每一受管设备,但您不需要这样做。将 XDD 代理部署到每一子网 

的几个设备就可以提供足够的覆盖范围。 

部署进行 ARP 和/或 WAP 搜寻的扩展设备搜寻代理 


2. 单击新建工具栏按钮。 

3. 输入配置名称。 

4. 在代理配置对话框的扩展设备搜寻页面中,选择您要部署的一种或两种搜寻方法。 

5. 为所选的搜寻方法指定设置。可从下拉列表中选择现有的设置,也可以单击“配置”编辑设置或为此代理 

配置创建新设置。 

6. 完成指定代理配置中的选项。有关页面的详细信息,请单击帮助。 


8. 将代理配置部署到每个子网上的相应目标设备。 

您可以为具有扩展设备搜寻代理的设备配置各种扩展设备搜寻设置。此代理定期将其设置与核心服务器同步。 

配置进行 ARP 和/或 WAP 搜寻的扩展设备搜寻代理 

1. 单击工具 > 配置 > 未管理设备搜寻。 

2. 单击配置扩展设备搜寻工具栏按钮,然后选择要配置哪种类型的搜寻方法设置(ARP 或 WAP)。 

3. 根据需要指定搜寻方法扫描选项。有关详细信息,请单击帮助。 

4. 完成后单击确定。当下一次扩展设备搜寻代理与核心服务器同步时,将会应用您的更改。

了解使用 XDD 的 IP 地址筛选 


我们不推荐在笔记本计算机上安装扩展设备搜寻,因为这些计算机有可能会连接到您不准备监视的其他网络, 

如酒店或机场的网络。为了帮助预防对网络中没有的设备进行搜寻,如果 IP 地址的前两个八位字节与核心服 

务器的前两个八位字节相差大于 10,则核心服务器会忽略这些 IP 地址。例如,如果核心服务器的 IP 地址是 

192.168.20.17,在核心服务器上的扩展设备搜寻将会忽略 203.179.0.0 以上和 181.157.0.0 以下的地址。 

通过在核心服务器中添加以下 DWORD 注册表项并将其值设为 0 可以禁用此功能: 

HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\Filter 

将筛选器的值设为 1 则可再次启用筛选功能。 

您也可以调整前两个八位字节的监视范围,只需在核心服务器中添加以下 DWORD 注册表项并将其值设为要 

监视的数字范围(默认设置是前两个八位字节相差为 10): 

HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold1 

HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold2 

FilterThreshold1 包含第一个八位字节的范围,而 FilterThreshold2 则包含第二个八位字节的范围。 

处理通过 XDD 查找到的设备 

通过扩展设备搜寻的 ARP 搜寻方法查找到的未管理设备将出现在未管理设备搜寻窗口的计算机列表中。通过 

扩展设备搜寻的 WAP 搜寻方法查找到的 WAP 设备将出现在未管理设备搜寻窗口的无线接入点列表中。 

从这些列表中,您可以执行正常的 UDD 选项,例如将设备移到其他组。右击一个设备以访问其快捷菜单并使 

用可用选项。 

您还可以导入和导出扩展设备搜寻例外项。例外项是指网络上不可管理的设备,或者管理员知道但不希望扩展 

设备搜寻进行报告的设备。 

这些例外项是 .CSV 文本文件格式,包含以逗号分隔的 IP 和 MAC 地址,以此为顺序,每行包含一对地址。 

例外项导出包括保存在数据库中的所有例外项。例外项导入可以用导入文件中包含的例外项替换保存在数据库 

中的所有例外项。 

导出所有扩展设备搜寻例外项 


2. 单击导出扩展设备搜寻例外到 CSV 文件工具栏按钮。 

3. 选择文件夹并给出文件名。 


导入所有扩展设备搜寻例外项 

1. 创建或更新以逗号分隔的、包含您所要的例外项的 CSV 文件。 


3. 单击从 CSV 文件导入扩展设备搜寻例外工具栏按钮。 

4. 单击打开。 

维护 ARP 搜寻到的设备记录 

UDD 可将通过扩展设备搜寻查找到的设备保存在核心服务器的数据库中。如果网络上有许多未管理设备,此 

数据会快速增长。默认情况下,此数据保留 24 小时。您可以自定义通过扩展设备搜寻查找到的设备在数据库 

中驻留的时间。在您指定的天数之后,在该期间未再次搜寻到的设备将会被删除。 

315

用户指南 

配置 ARP 搜寻历史记录 

316 


2. 单击配置 ARP 搜寻历史记录工具栏按钮。 

3. 更改所需的选项。单击帮助查看详细信息。 

4. 完成后单击确定。 

扩展设备搜寻报告 

在报告窗口(工具|报告/监视,单击报告 > 管理套件|未管理设备)中有几项您可以查看的 XDD 报告。 

扩展设备搜寻报告包括: 

ARP 搜寻设备历史记录:未授权设备历史记录。 

当前 ARP 搜寻到的没有代理的设备:LANDesk 代理被禁用或不工作的当前设备。 

ARP 搜寻到的没有代理的设备的历史记录:LANDesk 代理被禁用或不工作的设备历史记录。 

未管理设备:网络上没有分配给核心服务器的设备。 

无线设备:搜寻到的全部无线设备的历史记录。 

当搜寻到设备时执行的操作 

UDD 或 XDD 第一次找到未管理设备后,将尝试识别其设备类型,以便将该设备添加到以下组之一: 

计算机:包含通过 UDD 扫描方法(和 XDD 代理的 ARP 搜寻方法)搜寻到的设备 

基础结构:包含路由器和其他网络硬件。 

Intel vPro:包含启用 Intel vPro 的设备。 

IPMI:包含具有“智能型平台管理界面”的服务器。 

其他:包含未标识的设备。 

打印机:包含打印机。 

虚拟主机:包含虚拟主机。 

无线访问点:列出搜寻到的 WAP 设备(通过 XDD 代理找到)。 

这些组有助于组织 UDD 列表,使您更容易找到需要的设备。单击任一列标题,即可按该列标题对设备列表进 

行排序。 

移动设备到不同的组 

UDD 可能会将设备错误地归类并将其置于每个实例中相应的设备组内。如果出现这种情况,您可以轻松地将标识有误的设 

备拖到正确的组中。 

UDD 会尝试搜寻并报告关于每个设备的基本信息,包括以下数据,显示于工具窗口右侧窗格中的项目列表视 

图中: 

设备名称:搜寻到的设备的名称(如果有)。 

IP 地址:搜寻到的 IP 地址。UDD 始终会显示此信息。XDD 则不会。 

子网掩码:搜寻到的子网掩码。UDD 始终会显示此信息。 

操作系统说明:搜寻到的操作系统说明(如果有)。 

MAC 地址:搜寻到的 MAC 地址。如果设备有标准 LANDesk 代理、NetBIOS,或者,如果设备与核 

心服务器或执行搜寻的控制台位于同一个子网,通常就会返回搜寻到的 MAC 地址。 

组:设备所属的 UDD 组。 

标准 LANDesk 代理:显示设备上是否有 CBA。您可以将其他 LANDesk 代理直接部署到加载了 CBA 

的受管设备。 

所有用户:已登录到当前正被扫描的设备上的用户(如果有)。

组/域:设备所属的组/域(如果有)。 

第一次扫描:UDD 第一次扫描此设备的日期。 


上次扫描时间:UDD 上次扫描此设备的日期。此列可帮助您找到可能已经不在网络上的或最近发现的 

未管理设备。 

扫描次数:UDD 扫描此设备的次数。 

Intel vPro:设备是否支持 Intel vPro。 

ARP 搜寻:设备是否通过 ARP 进行搜寻。 

XDD 例外:设备是否为 XDD 例外。 

IPMI GUID:设备的 IPMI GUID(如果可用)。 

视设备而定,UDD 不一定在所有列上都有信息。当 UDD 第一次找到设备后,会搜索核心数据库,查看该数 

据库中是否已有该设备的 IP 地址和名称。如果有相匹配的信息,UDD 会忽略该设备。如果没有相匹配的信 

息,UDD 会将该设备添加到未管理设备表。未管理设备表中的设备不使用 LANDesk 许可证。一旦设备将清 

单扫描发送到核心数据库,就认为该设备是受管理的设备。不能将设备从 UDD 拖入主控制台网络视图。一旦 

未管理设备提交了清单扫描,该设备将从 UDD 中删除,并自动添加到网络视图中。 

您可以创建自定义组,对未管理设备进一步分类。当您将设备移到另一个组后,如果 UDD 以后再次检测到该 

设备,UDD 将使该设备留在该组中。通过对主计算机组进行组织管理,并将您不会使用 LANDesk 进行管理 

的设备移到子组或其他类别,就可以在计算机组中很容易地看到新的设备。如果检测到包含设备的组,UDD 

会将设备移到其他组。 

使用查找工具栏字段,可以迅速找到与指定的搜索条件相匹配的设备。可以在某列中或在所有列中搜索信 

息。搜索结果将显示在查找结果类别中。例如,通过在标准 LANDesk 代理字段中搜索“Y”,使用“查找”对有 

CBA 的未管理计算机进行分组。 

还可以在 UDD 找到未管理设备时创建警报。在警报(工具 > 配置 > 警报,单击核心服务器警报规则集) 

中,要配置的警报名称为未管理设备搜寻 - 发现未管理设备。 

不正确的操作系统版本结果故障排除 

在某些环境中,没有使用的 IP 地址上的 nmap 映射将在特定端口上返回响应,导致 nmap 混淆。端口是否响 

应取决于所在的不同环境。如果 nmap 没有或不是以最佳方式返回正确的操作系统版本结果,则应对 nmap 

进行调整以适应客户环境。 

调整 nmap 

1. 确定环境中未使用的几个 IP 地址。 

2. 在核心服务器的命令提示符下,使用以下命令行手动扫描这些 IP 地址: 

nmap -O -sSU -F -T4 -d -v -oX test.xml > test.txt 

3. 查看结果,看看是否有任何端口一直响应未使用的 IP 地址。 

4. 打开 Management Suite 的 nmap-services 文档 (C:\Program Files\LANDesk\Management 

Suite\nmap\nmap-services) 并使用 # 符号注释一直响应的端口。 

将 LANDesk 代理部署到未管理设备 

当您使用上述扫描和搜寻方法搜寻到未管理设备后,可使用以下方法之一将 LANDesk 代理部署到这些设备: 

基于推送进程而且使用计划任务和已为调度程序配置的域管理帐户的部署。 

使用标准 LANDesk 代理进行基于推送的部署。如果设备有标准 LANDesk 代理,您可以进行基于推送 

的部署。 

使用登录脚本的基于“拉”进程的部署。 

317

用户指南 

有关部署设备的详细信息,请访问 LANDesk 用户社区 http://community.landesk.com。 

在为部署代理而组织设备时,您可能会发现,在为设备部署标准 LANDesk 代理而进行分组时按标准 

LANDesk 代理对未管理设备进行排序更为容易,而在为部署计划任务而排序时则按域排序更为容易。 

部署到 Windows 设备时 

Windows 的默认设置会强制使用本地帐户进行网络登录的用户改用来宾帐户登录。如果不是使用域级管理帐户,而是使用 

本地帐户调用调度程序服务,则计划任务将失败,因为调度程序服务无法验证身份。 

将 LANDesk 代理部署到未管理设备 

318 

1. 单击工具 > 配置 > 代理配置,创建新配置或使用现有配置。在该配置的快捷菜单中,单击计划。 

2. 单击工具 > 配置 > 未管理设备搜寻,并选择要对其进行部署的设备。将设备拖到计划任务窗口中。如 

果计划任务窗口是最小化的选项卡,可以将设备拖到计划任务选项卡,该选项卡将打开计划任务窗 

口。 

3. 如果设备没有标准 LANDesk 代理,请单击配置 > 服务,然后单击调度程序选项卡。确保调度程序帐 

户对您要在其中部署代理的设备具有管理权限。 

4. 双击部署脚本,并设置开始时间。完成操作后,单击确定。 

5. 查看计划任务窗口,看是否有更新。 

恢复客户端记录 

如果您重新设置了核心数据库并需要恢复设备数据,您可以使用 UDD 搜寻网络上的所有设备。然后您可以使 

用搜寻结果作为“恢复客户端记录”计划任务的目标。 

如果这些设备上有标准 LANDesk 代理,则此任务使这些设备向每个设备本地配置的核心数据库发送完全清单 

扫描。此任务的结果是已配置的那些设备将重新扫描到数据库中,并且这些设备将仍指向它们正确的管理核心 

服务器。该任务对那些未由核心服务器管理的设备将失败。 

恢复客户端记录 

1. 如前所述使用 UDD 搜寻未管理设备。 


3. 在计划任务窗格中,单击计划自定义脚本按钮。 

4. 单击恢复客户端记录,在其快捷菜单中单击计划。 

5. 在 UDD 查找结果树中,将要恢复的计算机拖到计划任务窗口的恢复客户端记录任务中。 

6. 在恢复客户端记录任务的快捷菜单中单击属性,配置该任务。 

7. 查看计划任务窗口,看是否有更新。 


核心服务器同步是 LANDesk Management Suite 9.0 引入的新功能。通过核心服务器同步,您可以在核心服 

务器之间手动或自动复制配置和任务。可使用此功能让多个核心服务器与主核心服务器进行同步。 

您可以同步以下项: 

代理配置 

警报 

列配置 

交付方式 


电源管理设置

查询和查询列设置 

脚本 

安全和修补程序设置 

任务和策略 

可以采用三种方式来同步这些项: 

按需 

自动 

导入/导出 


当您导入/同步任务或软件分发程序包配置时,导出/同步数据会包含关联的查询和相关的项。请注意,导出/同 

步数据只包含来自 Management Suite 数据库的信息。例如,软件分发导出文件不会包含正在分发的实际程序 

包。 

此外,当导出/同步计划任务时,请确保程序包在源服务器和目标服务器上的路径一致。否则,当导入/同步该 

任务并运行它时,该任务将会由于目标服务器无法找到程序包而失败。 

当复制或自动同步某个项时,会发生以下情况: 

1. 源核心服务器将创建一个 XML.ldms 导出文件,其中包含了用于重新创建源项和任何被源项引用的项 

所必需的信息。 

2. 源核心服务器通过 HTTPS 连接到目标核心服务器的安全 Web 服务,并发送该 .ldms 文件。 

3. 目标核心服务器的安全 Web 服务会将已接收的 .ldms 文件复制到 C:\Program 

Files\LANDesk\ManagementSuite\exportablequeue 文件夹。 

4. 核心服务器同步服务会定期检查该文件夹中是否存在新文件。如果发现来自源核心服务器的导出文 

件,则会将其导入,并从文件夹中删除该文件。 

注意:OS 部署和软件许可证监视工具不支持核心服务器同步。 

319

用户指南 

将服务器添加到同步列表 

在使用同步之前,需配置要与之同步的服务器列表。核心服务器通过 HTTS 进行通信,并使用为每个核心服 

务器提供的用户名和密码进行身份验证。 

要将核心服务器添加到同步列表 

320 

1. 单击工具 > 管理 > 核心服务器同步。 

2. 右击核心服务器树项,单击添加目标核心服务器。 

3. 输入核心服务器名。 

4. 退出对话框时,选择同步到此核心服务器,以启用核心服务器同步。之后,您可以选中或清除该选 

项,以选择性地启用或禁用同步到该核心服务器。 

5. 输入说明。 

6. 为同步时要使用的用户帐户输入完全合格的域名(域\用户名)。该帐户必须拥有完全控制台权限,且 

必须是目标核心服务器上的本地 LANDesk 用户组成员。 

7. 为您提供的帐户输入密码并予以确认。 

8. 单击测试确认您的配置。 


重要说明:汇总核心服务器使用调度程序服务凭据来为同步执行身份验证。在汇总服务器上,这些调度程序服务凭据必须 

是在源核心服务器上拥有控制台管理员权限的组成员。如果凭据没有这些权限,则源核心服务器同步日志会显示任务处理程 

序错误。有关如何更改调度程序服务凭据的信息,请参阅 "关于“配置 LANDesk 软件服务”对话框:“更改登录”对话框" 在页 

面 233。

按需同步项 


可通过右击项并单击复制到其他核心服务器来同步项。执行此操作时,可以选择您要接受该副本的服务器。 

单击复制内容立即开始复制。复制只会进行一次,您复制的项在远程核心服务器上将立即可用。请注意,您 

可能需要按 F5 来手动刷新远程核心服务器的控制台视图,才能显示该项。该远程副本与源副本拥有相同的名 

称和位置,且可以编辑。所有包含此项的组和子组都将自动创建。 

自动同步项 

使用自动同步之前,请配置要同步的 Management Suite 组件。 

配置自动同步 

您可以对单个项启用自动同步,但如果该项的组件没有启用同步,则该项将不能同步。在一个组件上禁用同步 

不会更改已标记项的自动同步标记,因此,如果您禁用了同步,之后又启用,则之前启用了自动同步的项将恢 

复同步。 

要选择要启用的自动同步组件 


2. 右击组件树项,单击编辑自动同步组件。 

3. 将要同步的组件移动到自动同步组件列表。 


您也可以通过右击某个组件并单击自动同步来启用或禁用自动同步。 

当您选择了组件树中的某个组件时,您可以查看该组件的同步活动。 

321

用户指南 

为项启用自动同步 

通过在组件的树项中右击某个项并单击自动同步来自动同步该项。如果该项的同步组件没有启用,系统将提 

示您启用该组件。该项的同步将会在下一个同步间隔执行。如果您再次右击该项,您将在菜单中的自动同步 

旁看到复选标记。 

与按需同步一样,自动同步项也会出现在控制台中的相同位置。但是,自动同步项在目标核心服务器中处于只 

读状态,不能被编辑或删除。每次在源核心服务器上更改自动同步项时,该项会同步到目标核心服务器。如果 

您希望控制台用户能够删除自动同步项,关闭自动同步即可。这不会从目标核心服务器上删除该项,但目标项 

将可以被编辑。 

同步计划任务 

已同步的计划任务数据不包括任务开始时间。如果您同步了计划任务,则在目标服务器上运行它的唯一方法是 

右击它,然后单击立即开始。由于已同步的项为只读,所以您不能在目标核心服务器上编辑它并添加新的开 

始时间。但您可以使用“复制到核心服务器”功能来达到这一目的。虽然目标核心服务器上的该任务依然不会包 

括开始时间,但通过这种方式,该任务将可编辑。 

导出和导入项 

可同步的项同时也可以导出和导入。导出项时会以 XML 格式创建一个 .ldms 文件,此文件包含重新创建该项 

和该项引用的任意项所需的数据。例如,到时您可以将该文件传输至另一个核心服务器,然后重新导入它。 

导入时,系统将提示您执行以下三种操作之一: 

322 

更新:插入或更新匹配的项,保持 .ldms 文件中指定的组层次结构。保留文件中的 ID。这将覆盖对现 

有项所作的一切更改。 

将项插入选定的组或所有者:插入所有项并给它们分配新的 ID。如果类型匹配,只添加到组。更新所 

有已导入项的所有者。 

将项插入到 .ldms 文件中指定的组:插入新的项,保持 .ldms 文件中指定的组层次结构。给每个项分 

配新的 ID。 

有关冲突管理运行方式的更多信息,请参阅 "冲突管理" 在页面 324。 

要导出项 

1. 在网络视图或工具树视图中,右击要导出的项,然后单击导出。如果某项可以导出,它会有一个导出 

命令。 

2. 输入文件名并定位到所需路径。 

3. 单击保存。

要导入项 

1. 在网络视图或工具树视图中,定位到导入项的显示位置。 

2. 右击,然后单击导入。 

3. 单击所需的导入选项。 

4. 单击导入。 

更改自动同步设置 


您可以配置核心服务器的自动同步间隔时间。默认间隔时间是 2 分钟。过了选定间隔时间之后,核心服务器 

会检查自动同步项的更改。如果发生了更改,核心服务器会将这些更改发送到您指定的目标核心服务器。减少 

间隔时间可能会略微增加源核心服务器的处理器负载,这与同步的数据量有关。 

“自动同步设置”对话框包含以下选项: 

同步周期:所需的同步间隔时间。默认是 2 分钟。 

最大重试数:该核心服务器尝试连接到目标核心服务器的次数。默认设置为 5。一旦到达了限制,源 

核心服务器将不再尝试同步该项。 

发送时压缩数据:核心服务器通过 HTTPS 同步。选中后,该选项还会压缩数据流。默认情况下选中 

此选项。 

当用户尝试编辑自动同步项时显示只读警告:该选项仅适用于执行所述更改的服务器和该服务器接收 

(而非创建)的自动同步项。如果您不希望控制台用户在尝试更改该服务器上的自动同步项时看到额 

外的警告,可禁用该选项。禁用该选项仅会禁用额外的警告。控制台用户仍然不能更改服务器接收的 

自动同步项。 

要更改自动同步设置 


2. 在核心服务器同步工具的工具栏中,单击编辑同步服务设置按钮。 

3. 输入所需的同步间隔时间。 

4. 如有必要,更改其他选项。 


要对已超过重试限制的项重新启动同步 


2. 在核心服务器下,单击要重新启动同步的服务器。 

3. 在日志中,右击失败的项,然后单击再次同步。 

监视同步状态 

如果在树视图中选择了核心服务器或组件,可看到同步日志和实时同步状态。向右移动,查看可用的状态 

列。如果选择核心服务器根节点,可以看到目标核心服务器的高级别同步状态。该数据包括待挂起计数,如 

果该计数较高或一直无变化,那么可能在同步到该核心服务器时出现了问题。 

同步项可能处于以下某种状态: 

挂起:该项在等待发送。 

已发送:该项已发送。 

正在处理:目标核心服务器正在处理该项。 

成功:该项已成功同步。 

失败:该项未能成功同步。 

323

用户指南 

冲突管理 

可导出文件拥有唯一的 ID,以便 Management Suite 追踪各项是否相同。这有助于同步去管理同步项的冲 

突。如果您在服务器上复制或同步项,同时在目标服务器上已存在相同的项,则仅当它们具有相同的唯一 ID 

时,该项才会被替代。唯一 ID 由核心服务器的名称和该项所在数据库的行号组成。您可以在项信息对话框中 

看到项的唯一 ID 和修订版本号(右击该项,然后单击信息)。 

如果名称相同的两个项具有不同的 ID,同步时会保留目标服务器上的原始项并在同步项的文件名中添加 

%1。对于之后的同步冲突,同步会继续创建新项,且该数字会逐个递增,直至达到 99 的限制为止。 

324

汇总核心服务器 

如果安装了多个核心服务器,则可以: 

安装汇总核心数据库 

使用数据库汇总实用程序 



您可以使用汇总核心数据库来汇总多个核心服务器上的数据。必须安排对汇总核心数据库进行更新,以使汇总 

核心数据库与各个核心服务器的核心数据库保持同步。借助 Management Suite Web 控制台,您可以使用查 

询、软件分发、远程控制以及 Web 控制台支持的其他功能在汇总核心服务器中管理设备。 

安装汇总核心服务器之前,您需要配置附加 Oracle 或 SQL Server 汇总数据库服务器。Management Suite 安 

装程序的汇总选项将请求有关已安装数据库的信息。 

您可以汇总来自使用 Management Suite 版本 8.7 SP2 或更高版本的核心服务器的数据。必须从最新的 

Management Suite 版本安装汇总核心服务器。所有核心服务器必须使用相同的数据库类型,要么全部使用 

SQL,要么全部使用 Oracle。如果要汇总来自 9.0 之前版本 Management Suite 的数据,且您使用的是双字 

节版本的 Management Suite(日语、中文或俄语版本),则所有核心服务器必须使用相同的语言。 


1. 设置服务器,使之承载汇总核心数据库。 

2. 该数据库的安装方式与常规的 Management Suite 安装相同。有关安装该数据库的信息,请访问 

LANDesk 社区 http://community.landesk.com。 

3. 使用具有管理员权限的帐户登录到汇总核心服务器上。 

4. 通过管理套件安装介质上的自动运行程序安装汇总核心服务器。完成安装。 

配置汇总数据库链接 

本节介绍如何在汇总核心服务器上配置数据库链接。您将需要完成此操作,然后才能开始汇总数据。 

Oracle 汇总到 Oracle 

SQL Server 汇总到 SQL Server 

执行此配置的人员必须有权访问 LANDesk 所用的所有 DBMS,且必须有安全权限,以便在 DBMS 服务器级 

别上创建数据库链接并执行配置步骤。 

Oracle 汇总到 Oracle 

配置 Oracle 数据库 

您的汇总数据库所在的数据库服务器上的 TNSNames.ora 文件必须包含核心服务器数据库的条目。 

1. 对于 Oracle 数据库,在企业管理器控制台中登录到您的数据库。展开分布式。 

2. 在数据库链接项的快捷菜单中,单击创建。 

3. 在名称字段中,输入数据库链接的名称。 

注意:如果 AR 数据库使用的是 Oracle 9i,链接名称可以是尚未使用或保留的任何名称。安装过程将 

提示您输入此信息。 

4. 选择固定用户,为核心服务器的数据库输入用户名和密码。 

325

用户指南 

326 

5. 在服务名称字段中,输入引用核心服务器数据库的 TNSNames.ora(即 Net Alias)条目。 

6. 单击创建。 

7. 双击新创建的链接,然后单击测试。您会收到提示您该链接是活动链接的消息。还可以通过登录汇总 

服务器并发出以下命令来测试链接: 

Select count(*) from computer@linkname; 

如果返回核心服务器生产数据库中设备的数量,那么该链接的配置就是正确的。 

SQL Server 汇总到 SQL Server 

配置 SQL Server 数据库 

使用 SQL 创建链接 

1. 打开 SQL Server Management Studio。 

2. 依次展开服务器和服务器对象。 

3. 在链接服务器项的快捷菜单中,单击新建链接服务器。 

4. 在常规选项卡中,执行步骤 5-11: 

5. 链接服务器:为该数据库链接输入唯一名称(例如,LDMS core server1 Link)。 

6. 选择其他数据源。 

7. 选择 Microsoft OLE DB Provider for SQL Server。 

8. 产品名:输入 LDMS。 

9. 数据源:输入包含核心数据库的数据库服务器的名称。 

10. 提供程序字符串:输入提供程序字符串。例如: 

SQL Server 

provider=SQLOLEDB.1;user id= 

** 在指向另一个 SQL Server 数据库的连接字符串中,必须提供程序字符串的 user id 部分。 ** 

11. 分类:输入核心服务器数据库的物理名称(例如,lddb)。 

12. 在安全选项卡上,选择使用该安全上下文执行,输入核心服务器的数据库的用户名和密码,然后单击 

确定。 

13. 单击新建查询并发出以下命令: 

Select count(*) from [Link name].[database name].[table-owner name].Computer 

使用上面的值,此查询显示为: 

Select count(*) from [LDMS Core Server1 Link].[lddb].[dbo].Computer 

如果得到正确的计数,则链接已正确设置。 

使用数据库汇总实用程序 

借助数据库汇总实用程序 (DBROLLUP.EXE),可以选取多个源核心数据库并将它们合并成一个目标核心汇总 

数据库。汇总核心设备限制取决于您的硬件和可接受的性能级别。源数据库可以是核心服务器,也可以是汇总 

核心服务器。 

与标准数据库相比,目标数据库的系统要求可能要高得多。这些系统要求可能会因网络环境不同而存在很大的 

差异。如果您想详细了解目标数据库的软硬件要求,请与 LANDesk Software 支持代表联系。


安装程序在安装汇总核心数据库时会自动安装数据库汇总实用程序。汇总实用程序采用“拉”机制来访问您选择 

的核心数据库中的数据。为使数据库汇总正常工作,对于汇总实用程序要从中获取数据的每个核心数据库,都 

必须有一个已映射到它的驱动器。您用来连接的帐户必须有权限读取该核心服务器的注册表。 

汇总实用程序会利用核心服务器上的注册表项来获取数据库和连接信息 

(HKLM\SOFTWARE\LANDesk\ManagementSuite\Core\Connections\local),并使用该注册表项的信息来访问 

与您添加到汇总实用程序的每个核心服务器相关联的数据库。对于 Oracle 数据库,运行汇总实用程序的服务 

器上的 TNS 定义,必须与该实用程序正在访问的核心服务器上的 TNS 定义相符。 

您可以使用汇总实用程序来选择要从这些核心数据库汇总的属性。您选择的属性适用于所有核心数据库。限制 

属性数量可以缩短汇总时间,也可以减少汇总时传输的数据量。因此,如果知道自己不会查询某些属性,就可 

以将这些属性删除。 

汇总实用程序总是汇总选定的属性数据。另外,汇总也不包含您定义的任何查询或范围。无论任何控制台用 

户,只要有权访问该汇总数据库,就有权访问该数据库内的所有数据。您可以使用功能级安全机制来限制对 

Web 控制台功能的访问权限。 

一旦添加了要汇总的核心服务器以及这些服务器的属性列表之后,就可以单击计划来为每个核心服务器添加 

计划汇总脚本。之后,就可以通过 Web 控制台,将这些汇总脚本安排在您希望的时间运行和在您希望的时间 

间隔后运行。汇总脚本只能从 Web 控制台上看到,它们驻留在汇总核心服务器上。 

启动汇总实用程序 

1. 在汇总核心服务器上,运行汇总实用程序 (\Program 

Files\LANDesk\ManagementSuite\dbrollup.exe)。 

2. 从列表中选择要管理的现有汇总核心服务器,或单击新建输入新的汇总核心服务器的名称。请注意, 

您必须输入核心服务器名称而不是数据库名称。 

3. 选择好汇总核心服务器之后,源核心服务器列表中就会显示您已配置为要汇总到所选汇总核心服务器 

的核心服务器。 

配置要汇总的属性 

1. 在汇总实用程序中,选择要配置的汇总核心服务器。 

2. 单击属性。 

3. 默认情况下,汇总所有数据库属性。将属性从所选属性列移至不想汇总的可用属性列。 

4. 完成操作后,单击确定。在将属性移至“可用属性”列的过程中会从汇总数据库中删除相关的数据。 

配置汇总核心服务器的源核心服务器 

1. 在汇总实用程序中,选择要配置的汇总核心服务器。 

2. 选择好汇总核心服务器之后,源核心服务器列表中就会显示您已配置为要汇总到所选汇总核心服务器 

的核心服务器。单击添加可以添加更多的核心服务器,而选择一个核心服务器后,单击删除可以删除 

该核心服务器。 

警告:单击删除将立即从汇总核心数据库中删除所选核心服务器及其核心数据库中的所有数据。而且,如果在将核心服务 

器添加到汇总数据库时支持了无效的链接名称,则必须将汇总从核心数据库删除再重新添加以修改链接名称。 

从 Web 控制台安排数据库汇总作业 

1. 从汇总实用程序,选择要配置的汇总核心数据库。 

2. 在源核心服务器列表中,选择要安排汇总的核心服务器,再单击计划。默认情况下,如果未选择任何 

核心服务器,则单击计划以后,列表中的所有核心服务器都将被汇总。单击计划,将所选核心服务器 

的汇总脚本添加到所选汇总核心服务器。如果选择多个核心服务器,则这些服务器将被安排为一个作 

业并且一次只处理一个服务器。 

3. 从 Web 控制台,连接到该汇总核心服务器。 

327

用户指南 

328 

4. 在左侧导航窗格中,单击安排汇总作业。 

5. 单击要安排的汇总脚本。脚本名以源核心服务器名开头,紧接着是用括号括起的目标汇总核心服务器 

名。单击安排汇总作业。 

6. 选择进行汇总的时间以及是否应自动重新计划汇总。确保一次不会汇总多个核心服务器。单击继续执 

行下一步。 

7. 验证脚本的时间安排后,单击完成。 

警告:不要计划在核心服务器下载修补程序信息时从核心服务器进行汇总。修补程序信息下载会加重数据库负载,从而降 

低汇总速度。 

一次只能处理一个汇总。如果另一个汇总已经正在处理中,则计划的汇总将失败。计划汇总时,在不会重叠的 

汇总之间允许有充足的时间。如果汇总时间难以预测,最好在一个任务中计划所有汇总。单击计划之前选择 

多个核心服务器便可实现此目的。这样,一次自动处理一个汇总。 

注意:从运行 Management Suite 9.0 之前版本的核心服务器汇总数据后,DBRollup.exe 的汇总状态对话框将显示“作业完 

成,但产生了一个或多个错误”。这是正常的。此外,如果您计划针对 9.0 之前版本核心服务器的汇总任务,则即使已成功 

完成作业,计划任务状态也会显示为“失败 - 任务处理程序发生错误”。这也是正常的,但如果您怀疑发生故障是出于其他原 

因(例如,数据库锁定),则应检查 DBRollup 和数据库日志。 

将汇总核心服务器数据复制到源核心服务器 

如果在您的 LANDesk 环境下有一个汇总核心数据库,可以将以下项目复制到源核心服务器: 

查询 

分发程序包配置 

交付方式配置 

您可以在汇总核心服务器上为这些项目创建标准配置,然后使用复制功能使这些项目在源核心服务器上对 

Management Suite 用户可用。 

将 Web 控制台连接到汇总核心服务器时,复制到核心服务器工具会显示。连接时使用的帐户必须是 

LANDesk 管理员。单击此工具时,会显示一个对话框,您可以在其中命名复制任务并选择要复制的内容。配 

置此信息并单击确定之后,在汇总核心服务器的计划任务视图中会出现具有您所选名称的任务。 

在对复制任务进行配置使其运行之前,不会进行复制。您可以使用立即开始选项手动启动任务,也可以为任 

务创建重复执行计划。该任务运行时,汇总核心服务器创建一个 XML 文档,其中包含要复制的信息。复制任 

务并不很大或要求严格,因此您可以根据自己的管理环境使用任何需要的复制计划。 

复制任务不使用手动选择的目标。具有汇总核心服务器证书的源核心服务器接收该 XML 文件,然后显示复制 

数据。您可以使用数据库汇总实用程序 (DBROLLUP.EXE) 附加汇总核心服务器证书。 

只有具有“公共”所有者的数据会被复制。如果您具有一些不想被复制的数据,请将其分配给非“公共”的所有 

者。您可以编辑源核心服务器上的复制数据,但是,除非更改该项目的名称,否则下次对同名项目进行复制 

时,您的更改将被覆盖。如果复制的项目位于汇总核心服务器上的自定义组中,则组结构也会被复制到源核心 

服务器上。 

复制功能只会将复制数据添加到源核心服务器。如果删除汇总核心服务器上曾经复制过的项目,在源核心服务 

器上将不会进行这种删除。如果要删除源核心服务器上的复制项目,必须手动进行删除。 

在汇总核心数服务器上使用复制功能 

1. 在汇总核心服务器上,配置要复制的公共查询、分发程序包和交付方式。 

2. 当使用 LANDesk 管理员帐户连接到汇总核心服务器的 Web 控制台时,单击复制到核心服务器工具。 

3. 输入任务名称,然后选择要复制的项目。 


5. 单击计划任务工具。


6. 立即启动复制任务,或为任务配置计划。该任务运行时,具有汇总核心服务器证书的源核心服务器接 

收复制数据。 

增加汇总数据库超时值 

汇总数据库很大时,Web 控制台的查询编辑器需要尽量显示大列表,如“软件程序包名”列表,此时可能超时。 

发生超时时,您试图显示的列表不会显示任何数据。如果出现过超时的情况,则必须增加数据库超时值。凡是 

安装了 IIS 服务或 Web 控制台服务器的地方,都要增加数据库超时值。在以下注册表项中: 

HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\Core 

添加新的 DWORD、Timeout,值为十进制值 1800,单位为秒。您可以根据自己的查询类型和数据库性能调 

整该值。关闭并重新启动 IIS,使更改生效。 

关于汇总实用程序 

使用数据库汇总实用程序(从汇总核心服务器运行)可以从核心服务器管理数据汇总。 

汇总核心数据库:通过汇总实用程序可以管理多个汇总核心数据库。选择要管理的核心数据库。必须 

首先为每个汇总核心数据库映射一个驱动器。 

新建:单击它可新添要管理的汇总核心数据库。不过,首先必须为要添加的汇总核心数据库映射一个 

驱动器。输入汇总核心服务器的计算机名,再单击确定。 

属性:单击它可选择要汇总的属性。属性列表适用于所选汇总核心数据库使用的所有核心服务器。将 

单个属性或属性树从“所选属性”列(此处的属性将汇总)移至“可用属性”列(此处的属性不汇总)。 

重置数据库:单击它可重置所选汇总数据库。此操作将删除所有数据并重新生成所有表。 

添加:单击它可添加想将其数据包含在所选汇总核心数据库中的核心服务器。 

删除:单击它可从所选汇总核心服务器的数据库中删除所选核心数据库及其数据。警告:如果单击此 

选项,则在单击确定之后将删除所选核心数据库的数据。但其他核心服务器的数据仍将保留在汇总数 

据库中。 

计划:单击它可添加所选核心服务器的汇总脚本。如果在“源核心服务器”框中未选择任何核心服务 

器,则单击此选项将为“源核心服务器”框中的所有核心服务器创建汇总脚本。 

汇总:单击它可立即对所选核心数据库进行汇总。必须为该选项选定一个可用的核心服务器。 

关闭:单击它可关闭汇总实用程序。 

329

用户指南 

附录:其他安全扫描器信息 

LANDesk Security Suite 包括“修补程序和遵从性”工具,是其综合性安全管理解决方案的主要组件。使用此工 

具可以:下载各种安全内容类型的定义更新和修补程序更新;创建、配置和运行安全评估扫描、遵从性扫描和 

修复扫描;启用安全警报;生成安全报告等。有关详细信息,请参阅修补程序和遵从性和 “修补程序和遵从 

性”帮助。 

本节将介绍有关使用“修补程序和遵从性”安全扫描器的补充信息。 


330 

安全扫描器命令行参数 

安全扫描器命令行参数 

安全扫描器称为 VULSCAN.EXE。此扫描器支持以下的命令行参数: 

常规参数 

参数名称说明 

/AgentBehavior=ScanRepairSettingsID 仅对当前安全评估或修补扫描作业覆盖安全扫描器的默认操 

作(扫描和修复设置)。ScanRepairSettings ID 是一个数 

值。 

/ChangeBehaviors 

/AgentBehavior=ScanRepairSettingsID 

通过将扫描和修复设置写入设备的本地注册表,对任何后续 

安全评估或修补扫描作业更改默认的扫描和修复设置。使用 

与左边完全一样的语法,命令行中有两个开关。 

ScanRepairSettings ID 是一个数值。 

注意:您可以使用此选项更改设备的默认扫描和修复设置, 

无需对设备进行完整的代理配置部署。 

/ShowUI 在最终用户设备上显示扫描器 UI。 

/AllowUserCancelScan 在扫描器 UI 上显示“取消”按钮,最终用户可用其取消扫描。 

/AutoCloseTimeout=Number 以秒为单位的超时值。 

注意:如果值设置为 -1,那么扫描器 UI 将等待最终用户将 

其手动关闭。 

/Scan=Number Code (0-8) 标识正在扫描的安全内容类型。不同安全内容类型的数字代 

码为: 

0 - 漏洞 

1 - 间谍软件


2 - 安全威胁 

3 - LANDesk 更新 

4 -用户定义 

5 - 受阻应用程序 

6 - 软件更新 

7 - 驱动程序更新 

8 - 防病毒 

100 - 所有类型 


/Group=GroupID 标识正在扫描的安全内容组。此选项覆盖特定的内容类型参 

数(如有)。 

/AutoFix=True 或 False 启用或禁用自动修复功能。 

修复参数 

/Repair(Group=GroupID 或 

Vulnerability=VulnerabilityID 或 

Vulnerability=All) 

告诉扫描器要修复(修补)的组或漏洞。可以为漏洞指定 

All,以便修复检测到的所有漏洞,而不是漏洞 ID 所标识的 

单个漏洞。 

/RemovePatch=PatchName 从修补程序存储库中删除指定的修补程序。 

/RepairPrompt=MessageText 用于显示提示最终用户的文本消息。 

/AllowUserCancelRepair 使用修复提示时允许最终用户取消修复的字符串。 

/AutoRepairTimeout=Number 以秒为单位的修复提示超时值。如果该值设置为 -1,那么 

UI 将等待用户将其手动关闭。 

/DefaultRepairTimeoutAction 当修复提示或可接受值的超时到期时,vulscan 用以执行默 

认操作的字符串。值包括:开始和结束。 

/StageOnly 此字符串检索(但不安装)修复所需的修补程序。 

/Local(从对等设备获得文件) 仅执行对等下载。 

/PeerDownload 与 /local 相同。 

/SadBandwidth=Number 下载时使用的最大带宽百分比。 

331

用户指南 

重新启动参数 

332 


/RebootIfNeeded 使用此参数可以在需要时重新启动计算机 

/RebootAction 修复时确定 vulscan 的重新启动操作的字符串,可接受的值 

包括:始终重新启动、从不重新启动或留空(任何其他操 

作)。如果为“任何其他操作”,那么 vulscan 将在需要时重 

新启动。 

/RebootMessage 在重新启动提示中显示文本消息给用户的字符串。 

/AllowUserCancelReboot 使用重新启动提示时允许用户取消重新启动的字符串。 

/AutoRebootTimeout=Number 以秒为单位的重新启动提示超时值。如果该值设置为 -1,那 

么 UI 将等待用户将其手动关闭。 

/DefaultRebootTimeoutAction 此字符串用于确定在超过重新启动提示的超时值时, 

vulscan 将执行的操作,可接受的值包括:重新启动,关闭 

或暂停。 

/SnoozeCount=Number 暂停数,用户每次单击重新启动提示上的暂停时 vulscan 将 

递减此数。 

/SnoozeInterval=Number vulscan 在暂停之间休眠的秒数。 

MSI 参数 

/OriginalMSILocation=path 原始 MSI 位置的路径。 

/Username=username MSI 目录的用户名。 

/Password=password MSI 目录的密码。 

禁用参数 

/NoElevate 不要使用核心服务器技术启动 vulscan。 

/NoSleep 防止在定义扫描过程中休眠 (1/18)。 

/NoSync 不取得互斥,扫描多个实例。


/NoUpdate 不获得 vulscan 的新版本。 

/NoXML 不查找 msxml。 


/NoRepair 与 autofix=false 相同。如果有,那么会覆盖自动修复设置。 

数据文件参数 

/Dump 直接从 Web 服务转储漏洞数据。 

/Data 拉入漏洞数据(从 /dump 中)。 

/O=Path\Filename 输出扫描结果。 

/I=Path\Filename 输入扫描结果。 

/Log=Path\Filename 覆盖日志文件名称。 

/CoreServer=Server name 标识核心服务器名称。 

/Reset 删除增量文件基本信息(清除应用程序数据目录)。 

/Clear 或 /ClearScanStatus 清除所有的漏洞扫描信息。 

333

用户指南 

附录:上下文相关帮助 

“防病毒”帮助 

从“安全配置”工具窗口访问 LANDesk Antivirus 功能(工具 > 安全 > 安全配置)。 

防病毒允许您下载和管理防病毒内容(病毒定义文件)、配置防病毒扫描、自定义防病毒扫描器显示/交互操 

作设置(这些设置确定扫描器如何在目标设备上显示和操作以及哪些交互选项可用于最终用户)。您还可以查 

看被扫描设备的与防病毒相关的信息、启用防病毒警报以及生成防病毒报告。 

"LANDesk Antivirus" 在页面 78 的主要部分介绍该补充安全管理工具,该工具是 LANDesk Management 

Suite 和 LANDesk Security Suite 的组件。可在本节中找到概述、防病毒内容订阅信息,以及如何使用“防病 

毒”功能的逐步说明。 

此部分包括以下联机帮助,用以描述“防病毒”对话框。从控制台界面,可以通过单击它们各自对话框中的帮助 

按钮来访问这些帮助部分: 

334 

"“防病毒下载更新”帮助" 在页面 334 

"“防病毒任务”帮助" 在页面 337 

"“防病毒设置”帮助" 在页面 338 

“防病毒下载更新”帮助 

关于“下载更新”对话框中的 LANDesk Antivirus 页面 

利用下载更新对话框中的 LANDesk Antivirus 页面,可配置从 LANDesk Security Suite 服务下载病毒定义文 

件更新的设置。可以选择下载防病毒内容(病毒定义/病毒码文件),指定病毒定义文件何时可用于分发到受 

管设备(立即或试用测试周期后),以及是否备份定义文件。 

您应该了解,下载更新对话框中的更新页面包括定义类型列表中的数种防病毒更新,其中一个名为“LANDesk 

Antivirus 更新”。选择此类型时,会同时下载扫描器检测内容和病毒定义文件更新。 

防病毒更新是检测以下内容的扫描器定义: 

常用防病毒扫描器引擎(包括 LANDesk Antivirus 代理)的安装 





防病毒更新并不一定包含实际的病毒定义(或病毒码)文件。下载第三方防病毒更新时,下载到默认存储库中的只有扫描器 

检测内容,而不会下载特定于扫描器的病毒定义文件。但是,下载 LANDesk Antivirus 更新时,却会同时下载扫描器检测内 

容和 LANDesk Antivirus 特定的病毒定义文件。LANDesk Antivirus 病毒定义文件会下载到核心服务器中的单独位置。默认 

的病毒定义文件存储库是 \LDLogon\Antivirus\Bases 文件夹。 

您必须订阅合适的 LANDesk Security Suite 内容,以便下载每一类型的安全内容。 

LANDesk Management Suite 基本安装允许您下载和扫描 LANDesk 软件更新,以创建和使用自己的用户自定 

义。对于所有其他安全内容类型,例如特定平台的漏洞、间谍软件,包括病毒定义(病毒码)文件,则必须订 

阅 LANDesk Security Suite 内容以便下载相应的定义。有关 Security Suite 内容订阅的信息,请联系经销商, 

或访问 LANDesk 网站。 

在“下载更新”对话框中指定要下载的内容类型和其他选项之后:


要立即下载,请单击立即更新。如果单击应用,将保存指定的设置并在下次打开此对话框时显示。如 

果单击关闭,将提示您是否保存这些设置。 

要计划某个下载安全内容的任务,单击计划更新打开计划更新信息对话框,为此任务输入名称,验证 

任务的信息,然后单击确定将此任务添加到“计划任务”列表中。 





何时更改全局设置,它对所有安全内容下载任务都是有效的。 

任何时候要保存对该对话框的任何页面所做的更改,均可单击应用。 

LANDesk Antivirus 页面包含以下选项: 

批准分发的病毒定义:显示最近批准的、现在可用于分发到受管设备的病毒定义文件的日期和版本 

号。批准的病毒定义文件位于默认文件夹 (\LDLogon\Antivirus\Bases),从该文件夹可以将病毒定义文 

件部署到目标设备,作为按需和计划的防病毒扫描的一部分。病毒定义文件更新(该更新可从 

LANDesk 安全内容站点下载,包含最新的已知病毒码)的准确时间记录在该字段下方的括号中。 

当前处于试用测试状态的病毒定义:如果已将病毒定义下载到试用文件夹,则显示当前存在于该试用 

文件夹的病毒定义文件的日期和版本号。在利用病毒定义文件扫描受管设备病毒之前,试用测试可帮 

助您验证病毒定义文件的有效性和有用性。已下载到试用测试文件夹的病毒定义可部署到指定的“测试” 

目标设备。 

病毒定义更新: 

立即批准(以供所有计算机使用):直接将病毒定义下载到默认文件夹 

(\LDLogon\Antivirus\Bases)。已下载到默认文件夹的病毒定义被批准并可部署到目标设备,以 

便进行防病毒扫描。 

先将其限制为试用测试:将病毒定义文件下载到试用文件夹用于测试目的。在部署到受管设备 

之前,试用文件夹中的病毒定义可部署到指定的测试机器。 

测试到期后自动批准试用定义(下次更新期间):当下面指定的时间周期之后下一次 

病毒定义更新发生时,自动将下载的病毒定义文件从试用文件夹移到默认病毒定义文件 

夹。只有将病毒定义文件更新限制为试用测试时,此选项才可使用,并且允许自动审批 

定义文件。如果没有启用此选项,则必须使用立即批准按钮手动批准试用文件夹中的 

病毒定义文件。 

最小测试周期:如果已启用自动审批试用文件夹中的病毒定义,则此值可指定测试周 

期的持续时间。请注意,在此期间,将不处理计划的病毒定义文件更新任务。 

如果定义已过期,则显示提醒对话框:当病毒定义文件在过去的 7 天里都没进行更新时,核心 

服务器控制台上会显示消息。 

下载 LANDesk Antivirus 8 的病毒定义文件:确保将属于 LANDesk Antivirus 版本 8 的病毒 

定义文件包含在下载中。 

获取最新定义:立即开始病毒定义文件下载过程。更新定义对话框可显示下载进度。 

立即批准:允许您将病毒定义文件从试用文件夹移到默认病毒定义文件夹,从而可以将它们部 

署到目标设备,以便进行防病毒扫描。 

病毒定义备份: 

备份以前的定义:保存以前下载的病毒定义文件。如果需要返回到旧的定义文件以便扫描和清 

除受感染的文件,或者要恢复解决了特定问题的病毒定义文件,这将会非常有用。(病毒定义 

文件备份保存在以其创建日期和时间命名的单独文件夹中,位于: 

\LDLogon\Antivirus\Backups\) 

保留备份数:指定下载保存的病毒定义文件的数量。 

历史记录:列出了所有可用的病毒定义文件备份。 

恢复:将选定的病毒定义文件备份移到防病毒默认文件夹,从而可以将其分发到目标设备。 

删除:从核心服务器永久删除选定的病毒定义文件备份。 

335

用户指南 

336 

立即下载:立即下载所选的安全内容类型。更新定义对话框显示了下载的进度和状态。 

计划下载:打开计划下载信息对话框,可以在此输入此下载任务的唯一名称,验证下载设置,然后单 

击“确定”将任务保存到计划任务工具。(注意:只保存定义类型、语言以及定义和修补程序下载设置, 

这些设置在创建特定的任务时关联。此对话框的其他页面上的下载设置,如修补程序下载位置、代理 

设置和警报设置,为全局设置,表示他们将应用到所有的安全内容下载任务。但是可以随时更改这些 

设置,并将从那一刻起对所有的安全内容下载任务生效。) 

查看日志:可在包含病毒定义文件下载信息的日志文件中选择详细信息的位置和级别。 

应用:保存所选的下载设置,从而将它们应用到下载更新对话框并在下一次打开对话框时显示。 

关闭:关闭对话框而不保存最新的设置更改。 

有关下载更新对话框中其他页面的选项说明,请参阅“修补程序和遵从性”帮助部分中的 "关于“下载更新”对话框 

" 在页面 367。

“防病毒任务”帮助 

关于“创建 LANDesk Antivirus 任务”对话框 


使用该对话框创建相关任务,以在目标设备(拥有防病毒设置)上升级病毒定义文件和/或配置防病毒扫描。 

防病毒设置确定扫描器行为、扫描对象和最终用户选项。 

按需防病毒扫描 

也可以通过设备的快捷菜单,在设备上运行按需防病毒扫描。 


任务名称:用唯一的名称来标识防病毒扫描任务。 

要执行的操作:指定程序要执行的任务。可以选择一到两个操作。 

更新病毒定义:指定此任务将会基于“下载更新”对话框的防病毒页面中的设置来更新病毒定义 

文件。 

开始防病毒扫描:指定该任务将在目标设备上运行防病毒扫描。 

创建计划任务:将扫描任务添加到“计划任务”窗口中,在该窗口中可以配置该任务的计划和频率选 

项,并分配目标设备。 

自动将所有 LANDesk Antivirus 机器作为目标:将已通过 LANDesk Antivirus 代理配置的受 

管设备添加到任务的目标设备列表。 

立即开始:在具有 LANDesk Antivirus 代理的设备上运行防病毒扫描,将其添加到“计划任务” 

工具,然后单击确定。 

更新核心服务器上的病毒定义(包括试用版):启动扫描前自动更新病毒的病毒码文件,包括 

当前存在于试用文件夹中的病毒定义文件。(注意:必须选择以上“更新病毒定义”选项以使用 

此选项。) 

创建策略:将防病毒扫描任务作为策略添加到“计划任务”窗口中,在该窗口中,您可以配置策略选 

项。 

LANDesk Antivirus 设置:指定防病毒扫描任务所使用的防病毒设置。防病毒设置可确定 LANDesk 

Antivirus 图标是否在设备系统托盘中显示、最终用户交互选项的可用性、电子邮件扫描和实时保护的 

启用、要扫描的文件类型、要排除的文件和文件夹、已感染文件的隔离和备份、计划的防病毒扫描以 

及计划的病毒定义文件更新。从下拉列表中选择一种设置。单击编辑修改选定设置的选项。单击配置 

创建新设置。 

病毒定义文件:显示有关当前已下载定义文件的信息。单击下载更新转至“下载更新”对话框的 

“LANDesk Antivirus”页面,以配置和计划病毒定义文件下载。 

关于“LANDesk Antivirus 立即扫描任务”对话框 

可使用此对话框在一个或多个目标设备上立即按需运行防病毒扫描。 

1. 右击选定设备(或者最多 20 个多选设备),然后单击立即进行 LANDesk Antivirus 扫描。 

2. 选择防病毒设置。 

3. 指定在扫描前是否更新病毒定义文件。(注意:此选项在启动扫描前自动更新病毒的病毒码文件,包 

括当前存在于试用文件夹中的病毒定义文件。) 


337

用户指南 

“防病毒设置”帮助 

关于“LANDesk Antivirus 设置”对话框 

使用此对话框可创建和编辑防病毒设置。防病毒设置可确定 LANDesk Antivirus 图标是否在设备系统托盘中显 

示、最终用户交互选项的可用性、电子邮件扫描和实时保护的启用、要扫描的文件类型、要排除的文件和文件 

夹、已感染文件的隔离和备份、计划的防病毒扫描以及计划的病毒定义文件更新。 

如果要修改设备的默认防病毒设置而不重新部署防病毒扫描任务,请对“防病毒设置”对话框中各种选项页面的 

所有设置进行所需的更改,将新的设置分配到更改设置任务,然后将更改设置任务部署到目标设备。 

一旦配置完毕,可以将防病毒设置应用到防病毒扫描任务和更改设置任务。 

该对话框包含以下页面: 

338 

"关于“防病毒”:“常规设置”页面" 在页面 338 

"关于“防病毒”:“实时保护”页面" 在页面 339 

"关于“防病毒”:“病毒扫描”页面" 在页面 340 

"关于“防病毒”:“计划扫描”页面" 在页面 341 

"关于“防病毒”:“病毒定义更新”页面" 在页面 342 

"关于“防病毒”:“隔离/备份”页面" 在页面 343 

关于“防病毒”:“常规设置”页面 

使用此页面可配置目标设备上的基本防病毒扫描器设置。 


名称:用唯一的名称来标识防病毒设置。该名称显示在防病毒扫描任务对话框的设置下拉列表中。 

在系统托盘显示 LANDesk Antivirus 图标:使 LANDesk Antivirus 图标显示在设备系统托盘中。该图 

标的外观取决于防病毒保护的状态,表示是否启用实时保护。如果箭头图标是黄色,则实时保护已启 

用,这意味着正连续监视设备病毒。如果图标是灰色的,则说明实时保护没有启用。 

注意:最终用户可以双击此图标来打开 LANDesk Antivirus 客户端和执行任务。最终用户还可以右击 

图标,访问快捷菜单并选择运行扫描和更新防病毒文件。 

启用电子邮件扫描:启用目标设备上的实时电子邮件扫描功能。实时电子邮件扫描可连续监视传入和 

传出的消息(支持的应用程序包括:Microsoft Outlook),检查邮件正文和所有附加文件和邮件中的 

病毒。所有检测到的病毒都将被删除。 

启用右击扫描:在 LANDesk Antivirus 客户端上提供了一个选项,允许最终用户选择文件、文件组、 

文件夹或文件夹组,然后右击选中对象来执行防病毒扫描。 

扫描除病毒之外的危险软件(扩展数据库):在 LANDesk Antivirus 客户端上提供了一个选项,允许 

最终用户通过使用加载受管设备上的扩展数据库,以扫描有风险的软件(例如:FTP、IRC、远程控制 

实用程序等)。 

允许用户添加文件和文件夹到信任项列表:在 LANDesk Antivirus 客户端上提供了一个选项,使用户 

可以标识无需进行病毒扫描的文件和文件夹。防病毒扫描将忽略此列表中的文件和文件夹。用户应了 

解他们只能将安全文件移至信任项列表。 

扫描时 CPU 的使用率:使您能够控制 LANDesk Antivirus 运行防病毒扫描时目标机器上的 CPU 的使 

用率。 

所有者:使您能够指定防病毒设置的所有者,以便防止未经授权的修改。只有所有者和具有管理员权 

限的用户才可以访问和修改设置。其他用户只能查看设置。公共用户选项允许对设置进行一般访问。


设置为默认值:将此防病毒设置(包括所有防病毒设置对话框选项卡中的选项设置)设为目标设备上 

的默认值。除非防病毒扫描任务具有与之相关的特定防病毒设置,否则在扫描和定义文件更新任务期 

间将使用默认设置。 

还原默认值:恢复对话框中所有防病毒选项的默认设置。 

关于“防病毒”:“实时保护”页面 

使用此页面可启用和配置实时文件保护、保护哪些文件和排除哪些文件以及最终用户通知。 

实时保护是对指定文件、文件夹和按扩展名分类的文件类型的不间断(后台)扫描。当实时保护运行时,每次 

打开、关闭、访问、复制或保存文件,均对文件进行病毒扫描。 

当启用实时保护时,LANDesk Antivirus 系统任务栏图标为黄色。当关闭实时保护时,该图标为灰色。 


启用实时文件保护:打开目标设备上的实时文件保护。实时文件保护在后台运行,根据已下载的病毒 

定义文件扫描已知病毒 

在客户端显示实时消息:在目标设备上显示消息,通知用户存在某些 LANDesk Antivirus 活动。当检 

测、隔离、删除、跳过或清除已感染的文件时通知最终用户。消息对话框显示路径、文件名、病毒名 

并通知最终用户与网络管理员联系。 

允许用户禁用实时扫描的最长时间为:在 LANDesk Antivirus 客户端上提供一个选项,供最终用户在 

指定的时段期间关闭实时文件保护。您应将时长设置为最小值,以使用户无法长期禁用实时保护。 

排除网络路径:限制扫描到本地驱动器的实时文件,同时不包含映射网络驱动器。 





是,应养成利用按需扫描定期扫描全部文件的习惯,以确保设备清洁。 

注意:可感染的文件类型可通过文件头中的格式标识符来确定,而非通过它们的文件扩展名来确定, 

以确保扫描重命名的文件。可感染的文件包括:文档文件,例如 Word 和 Excel 文件;与文档文件相 

关的模板文件;程序文件,例如动态链接库 (.DLL)、通信文件 (.COM)、可执行文件 (.EXE) 以及其他 

程序文件。请参阅下面可感染文件类型的完整列表。 

用试探法查找可疑文件:扫描目标设备时使用扫描器的试探分析功能。试探扫描通过查找可疑操作来 

尝试检测怀疑被病毒感染的文件,例如以下程序:修改自身设置、立即尝试查找其他可执行文件或者 

在终止之后被修改。使用试探扫描可能会负面地影响受管设备的性能。 

排除下列文件和文件夹: 

添加:打开添加排除路径对话框,在该对话框中,可以创建新的排除类型,以指定要从与此设 

置相关的防病毒扫描中排除的文件、文件夹或文件类型(根据扩展名)。 

编辑:打开选定的排除类型,从而可以修改文件路径、文件名、文件扩展名和变量。 

删除:从防病毒设置中删除选定的排除类型。 

关于“添加排除路径”对话框 

使用此对话框(从实时保护对话框访问)可添加排除类型,该排除类型指定不通过防病毒扫描或实时保护扫描 

病毒的对象。与此防病毒设置相关的防病毒扫描任务(和更改设置任务)将使用这些排除类型。 

可以排除特定文件、整个文件夹以及按扩展名分类的文件类型。 


类型:指明要从防病毒扫描中排除的对象类型。请选择一种类型,然后在“对象”字段输入其准确属 

性。 

339

用户指南 

340 

对象:输入要排除的文件或文件夹的完整文件路径和名称(或者浏览选择)。如果已选择文件扩展名 

类型,则请在“对象”字段输入扩展名字符。 

插入变量:允许利用系统环境变量确定要从防病毒扫描或保护范围排除的文件夹或对象的路径。 

关于“防病毒”:“病毒扫描”页面 

使用此页面可指定对哪些文件进行病毒扫描、扫描时排除哪些文件,以及是否使用试探法扫描可疑文件。 






是,应养成利用按需扫描定期扫描全部文件的习惯,以确保设备清洁。请参阅下面可感染文件类型的 

完整列表。 

用试探法查找可疑文件:扫描目标设备时使用扫描器的试探分析功能。试探扫描通过查找可疑操作来 

尝试检测怀疑被病毒感染的文件,例如:正在进行自我修改的程序,立即尝试查找其他可执行文件的 

程序,或者在终止时显示出已更改的程序。使用试探扫描可能会负面地影响受管设备的性能。 

排除下列文件和文件夹 

添加:打开添加排除路径对话框,在该对话框中,可以创建新的排除类型,以指定要从与此设 

置相关的防病毒扫描中排除的文件、文件夹或文件类型(根据扩展名)。 

编辑:打开选定的排除类型,从而可以修改文件路径、文件名、文件扩展名和变量。 

删除:从防病毒设置中删除选定的排除类型。 

清理注册表:指定此注册表包含在防病毒扫描中。 

系统恢复点扫描 

LANDesk Antivirus 将扫描受管设备上可能存在的任何系统恢复点文件夹中的文件。 

可感染文件的类型 

可感染的文件类型可通过文件头中的格式标识符来确定,而非通过它们的文件扩展名来确定,以确保扫描重命 

名的文件。 

可感染的文件包括:文档文件,例如 Word 和 Excel 文件;与文档文件相关的模板文件;程序文件,例如动态 

链接库 (.DLL)、通信文件 (.COM)、可执行文件 (.EXE) 以及其他程序文件。请参阅以下按照文件格式的标准 

或原始文件扩展名划分的可感染文件类型列表。 

ACM 

ACV 

ADT 

AX 

BAT 

BIN 

BTM 

CLA 

COM 

CPL 

CSC 

CSH 

DLL 

DOC

DOT 

DRV 

EXE 

HLP 

HTA 

HTM 

HTML 

HTT 

INF 

INI 

JS 

JSE 

JTD 

MDB 

MSO 

OBD 

OBT 

OCX 

PIF 

PL 

PM 

POT 

PPS 

PPT 

RTF 

SCR 

SH 

SHB 

SHS 

SMM 

SYS 

VBE 

VBS 

VSD 

VSS 

VST 

VXD 

WSF 

WSH 

关于“防病毒”:“计划扫描”页面 

使用此页面可启用和配置目标设备上重复执行的计划防病毒扫描。 


LANDesk Antivirus 扫描类型 

可以通过计划扫描、按需扫描以及实时文件和电子邮件保护扫描受管设备的病毒。最终用户还可以执行各自计算机的按需扫 

描。 

341

用户指南 


342 

让 LANDesk Antivirus 定期扫描设备中的病毒:启用重复执行的计划防病毒扫描,将根据指定的开始 

时间、频率、时间限制和带宽要求,在目标设备上运行扫描。 

更改设置:打开“计划”对话框,在该对话框中,可以设置计划选项。请参阅 "关于“计划定期防病毒扫 

描”对话框" 在页面 342。 

允许用户计划扫描:让最终用户在自己的机器上创建本地计划的防病毒扫描。 

关于“计划定期防病毒扫描”对话框 

如果希望此防病毒设置包括重复执行的防病毒扫描,请使用此对话框指定开始时间、频率、时间限制和带宽要 

求设置。与此设置相关的防病毒扫描任务(和更改设置任务)将使用此处所定义的规则。 

执行任务之前,必须满足此对话框中配置的所有条件。例如,如果作以下配置:机器状态为桌面必须锁定且 

每天 8 点到 9 点之间重复。那么只有在 8 点到 9 点之间“并且”计算机锁定时才执行任务。 


开始:单击此选项以显示日历,以便在其中选择想要任务开始的日期。选中一个日期后,还可以输入 

当天的时间。这些选项的默认值为当前日期和时间。 

重复频率:安排扫描定期重复执行。选择分钟、小时和天数,以便控制任务重复的频率。 

时间范围:如果想要任务在特定的时段之内运行,请选择开始和结束时间。时间值为 24 小时(军 

事)时间格式。 

每周时间范围:如果想要任务在每周特定的时间内运行,请选择开始和结束时间。 

月范围:如果想要任务在每月特定的日期内运行,请选择开始和结束日期。 

最低带宽:当配置本地调度程序命令时,您可以指定任务执行所需的最低带宽条件。带宽测试包括指 

定设备的网络流量。当该执行任务时,每个运行本地调度程序任务的设备将向指定的设备发送少量的 

ICMP 网络流量并评估传输性能。如果测试目标设备不可用,则该任务将不执行。可以选择以下最低 

带宽选项: 

RAS:当通过网络 API 检测到的设备到目标设备的网络连接速度至少为 RAS 或拨号速度时, 

任务才会执行。选择此选项一般来说意味着只要设备有任何种类的网络连接,任务都将会运 

行。 

WAN:当设备到目标设备的连接至少为 WAN 速度时,任务才会执行。WAN 速度为非 RAS 

连接速度,它比 LAN 阈值低。 

LAN:当设备到目标设备的连接超过 LAN 速度设置时,任务才会执行。默认情况下,LAN 速 

度总大于 262,144 bps。可以在代理配置(工具 > 配置 > 代理配置 > 带宽检测页面)中设置 

LAN 阈值。直到将更新的配置部署到设备之后,更改才会生效。 

到计算机名:确定用于测试设备带宽的计算机。测试传输在目标设备和此计算机之间进行。 

机器状态:如果想要任务执行标准包含机器状态,请从下拉列表中选择某个选项。 

所有其他筛选器通过后,额外随机延迟:如果想要附加一次随机延迟,请使用此选项。如果选择的随 

机延迟超出为任务配置的时间限制,则延迟值使任务处于配置的时间限制之外时,任务可能不会运 

行。 

最多延迟:选择想要的附加随机延迟。 

且至少:如果想要任务在执行之前至少等待特定的分钟数,则选择此选项。例如,如果计划一 

次清单扫描,则可在此处输入五以便计算机在扫描开始之前有时间完成启动,从而提高计算机 

的用户响应性。 

关于“防病毒”:“病毒定义更新”页面 

使用此页面可配置具有此防病毒设置的目标设备的病毒定义(病毒码)文件更新计划、用户下载选项和访问选 

项。



下载病毒定义文件“试用”版:从试用测试文件夹而非核心服务器上的默认存储库 

(\LDLogon\Antivirus\Bases) 下载病毒定义。受限的一组用户可以下载病毒定义,在将病毒定义部署到 

整个网络之前,用于测试目的。在创建防病毒扫描任务时,还可以选择下载最新的病毒定义更新,包 

括存在于试用测试文件夹的病毒定义,然后与启用此选项的防病毒设置建立关联,以确保测试机器可 

收到最新的已知病毒定义文件。如果选择此选项,那么将不下载默认文件 (\LDLogon\Antivirus\Bases) 

中的病毒定义文件。 

用户可以下载病毒定义更新:为目标设备的最终用户提供由他们自己下载病毒定义文件的选项。该选 

项可在 LANDesk Antivirus 客户端显示,并且可通过对话框以及右击 LANDesk Antivirus 系统任务栏 

图标来访问。 

注意:(当最终用户下载病毒定义文件时,设备尝试按下列顺序连接到服务器:1) 首选服务器(如果 

配置);2) 核心服务器;3) LANDesk 安全内容订阅网站。 

计划病毒定义更新:启用重复执行的计划病毒定义文件更新,将根据指定的开始时间、频率、时间限 

制和带宽要求,在目标设备上运行文件更新。 

更改设置:打开“计划”对话框,在该对话框中,可以指定计划选项。 

下载位置:指定病毒定义文件下载的源站点。根据从下拉列表中选择的选项,以下所描述的一个或两 

个下载源站点选项(核心服务器和 Internet 安全内容服务器)都已启用,并可以进行配置。 

核心服务器下载选项:如果选择了其中一个包括核心服务器的下载源站点选项(如上所述),那么可 

以让您配置核心服务器设置。 

如果更改的文件数量大于指定的数则作为单个文件下载更新,指定的数为:指定在做为单个压 

缩文件下载前,分别下载的新的或更新的单个病毒定义文件的最大数量。 

禁用对等下载:防止通过对等下载(本地缓存或同一多播域中的对等设备)来下载病毒定义文 

件。 

禁用首选服务器:防止通过首选服务器下载病毒定义文件。有关首选服务器的详细信息,请参 

阅 "软件分发" 在页面 Error! Bookmark not defined.。 

Internet 下载选项:如果选择了其中一个如上所描述的包括 Internet 的下载源站点选项,那么可以让 

您配置安全内容服务器设置。 

源站点:指定访问的安全内容服务器,以便将最新定义下载到数据库。选择距您最近的服务 

器。 

失败时回退到备用源站点:如果指定的源站点无法传输文件,那么会自动尝试从防病毒签名所 

在的另一个安全内容服务器下载更新。 

关于“计划定期防病毒更新”对话框 

如果希望此防病毒设置包括重复执行的病毒定义更新,请使用此对话框指定开始时间、频率、时间限制和带宽 

要求设置。与此设置相关的防病毒扫描任务(和更改设置任务)将使用此处所定义的规则。 

有关这些选项的信息,请参阅以上的 "关于“计划定期防病毒扫描”对话框" 在页面 342,因为这是通用对话框。 

关于“防病毒”:“隔离/备份”页面 

使用此页面可配置隔离/备份文件夹的大小,以及配置要用于最终用户的对象恢复选项。 


限制隔离/备份文件夹的大小:允许指定目标设备上共享隔离/备份文件夹的最大大小。该文件夹是安装 

了 LANDesk Antivirus 的设备上的一个安全、独立存储区域。默认情况下,隔离存储大小是 50 MB, 

已隔离对象可存储 90 天。可以重新扫描、删除或恢复隔离/备份文件夹中的对象。 

注意:无论何时运行按需扫描,或者无论何时更新设备上的防病毒的病毒码,系统可利用最新的病毒 

343

用户指南 

344 

定义自动重新扫描已隔离的文件,以确定是否可以清除任何受感染的对象。如果可以清除某个隔离文 

件,则会自动将其恢复并通知用户。 

注意:当发现病毒感染时,首先备份受感染的文件(带有 *.bak 扩展名,位于 \LDClient\Antivirus\ 文 

件夹),然后进行清除。如果无法清除原始文件的病毒,它将被移到隔离文件夹(带有 *.qar 扩展 

名,位于 \LDClient\Antivirus 文件夹)。然后删除病毒字符串并对文件进行加密,从而不能访问或执 

行。 

最大大小:指定具有 LANDesk Antivirus 代理的设备上的共享隔离/备份文件夹最大大小。 

恢复对象:向最终用户指定恢复已隔离的对象的权限。 

允许用户恢复可疑对象:为最终用户提供恢复通过防病毒扫描或实时保护检测到的可疑对象的 

选项。可疑对象包含被修改或使人记起的已知病毒代码。可疑对象可以自动被隔离。如果选择 

了此选项,那么最终用户可以将原始文件从隔离文件夹移到指定的目标文件,或者移到文件隔 

离、杀毒或删除之前所保存的原始位置。请注意,如果实时保护正在运行,那么会扫描已恢复 

的文件;如果文件仍然被感染,则会对其进行隔离。 

允许用户恢复已感染的对象和危险软件:为最终用户提供恢复防病毒扫描或实时保护检测到的 

已感染对象的选项。已感染的对象包含有害代码,该代码通过已知病毒定义(病毒码或签名) 

文件进行检测。已感染对象可能进一步破坏受管设备。有风险的软件实质上是对最终用户可能 

产生危害的客户端软件。例如:FTP、IRC、MIrc、RAdmin 或远程控制实用程序软件。(在 

错误实证扫描结果这种情况下,最终用户可能会感到恢复文件相当可靠和安全。此选项允许用 

户将文件恢复到网络共享。如果他们将受感染的文件恢复到原始位置,下次防病毒扫描会检测 

到同样的病毒,即使它是错误实证,仍然会直接对文件进行隔离。) 

用户必须输入恢复对象的密码:需要用户在恢复可疑对象、已感染对象或危险软件之前输入指 

定的密码。当用户尝试从隔离/备份文件夹恢复对象时,会提示用户输入密码。如果启用此选项 

以通过密码保护隔离的对象,则必须与希望能够恢复这些对象的用户共享此密码。 

密码:输入用户恢复已隔离对象所需的密码。 

删除文件:指定是否自动删除文件。 

自动删除隔离文件:表示系统将会自动删除所有隔离时间超过指定期限的隔离文件。 

自动删除备份文件:表示系统将会自动删除所有备份时间超过指定期限的备份文件。 

清单帮助 

关于“清单”窗口 

使用清单窗口可以查看设备的完整清单,其中包括以下组件: 

BIOS:BIOS 的类型、日期、ID 字节、制造商、ROM 版本、SMBIOS 版本和系统模型。BIOS 永久 

驻留在计算机的 ROM(只读内存)中,使计算机内存、磁盘驱动器和显示器可以进行通信。 

其他 BIOS 信息则以 BIOS 文本字符串的形式显示在“清单”窗口中。要查看和搜索 BIOS 文本字符串,请展开 

BIOS 对象,选择 BIOS 字符串,右击数据属性,选择属性,然后单击扩展值。在清单扫描过程中,BIOS 中 

的可用文本字符串将输出到文本文件 LDBIOS.TXT 中。您可以在 LDAPPL3.INI 文件中建立一个查询,以便将 

一个或多个 BIOS 文本字符串输出到控制台。有关详细信息,请参阅 Appendix A: Additional inventory 

operations and troubleshooting。 

总线:总线类型。总线用于连接微处理器、磁盘驱动器、内存和输入/输出端口。总线类型可以是 

ISA、EISA、VESA Local Bus(VESA 局部总线)、PCI 和 USB。 

协处理器:协处理器(如果有)的类型。协处理器与主微处理器截然不同,虽然两者可以驻留在同一 

主板甚至同一芯片上。数学协处理器对主微处理器的浮点操作进行求值。 

自定义数据:为清单扫描器启用的任意自定义数据。 

数据库:数据库驱动程序和版本信息。

环境:Windows 环境的文件位置、命令路径、系统提示符和其他变量。 

健康:LANDesk 代理确定的设备健康状况。 


键盘:与设备相连接的键盘类型。目前,最常用的键盘类型是 IBM 增强型键盘。代码页是键盘使用的 

语言。 

LANDesk 管理:有关代理、客户端管理器和 Alert Management System (AMS) 的信息。还包含有关 

清单扫描器和初始化文件的信息。 

本地用户和组:本地 Windows 用户组和组成员资格。 

大容量存储设备:计算机上的存储设备,包括软盘驱动器、硬盘驱动器、逻辑驱动器和磁带机,以及 

CD-ROM。硬盘驱动器和软盘驱动器对象包括磁头、编号、扇区和存储总量等属性。 

内存:页面文件、物理内存和虚拟内存属性。这些内存对象中的每一个都包括字节属性。第一个字节 

是可用内存的数量。第二个字节是总内存量。 

主板 

鼠标:与设备相连接的鼠标类型。鼠标类型值包括 PS/2、串口和红外。 

多媒体文件 

网络:网络适配器、 NIC 地址和适配器节点地址信息。网络对象包括计算机中加载的每个协议的信 

息。典型的值包括 IPX*、NetBEUI、NetBIOS 和 TCP/IP 对象。 

IPX 是 NetWare* 服务器用来与此类服务器上的设备以及其他服务器进行通话的协议。IPX 对 

象包含地址、网络编号和节点地址属性。 

NetBEUI 使计算机可以与 Windows NT/2000、Windows for Workgroups 或 LAN Manager 服 

务器进行通信。Microsoft 现在建议使用 TCP/IP 来进行这些连接。 

NetBIOS 是一种接口 (API),应用程序使用它来通过 TCP/IP、NetBEUI 或 IPX 相互发送和接 

收数据包。 

TCP/IP 是一种协议,它使计算机能够通过 Internet 和 WAN 进行通信。此对象包含地址(包 

括计算机的 TCP/IP 地址)、主机名(包含计算机的 DNS 环境)、启用的 IP 路由以及 

NetBIOS 解析(使用支持 DNS 和 WINS 代理的属性)。 

网络适配器:设备上安装的每个网络适配器的属性。 

操作系统:操作系统、驱动程序、服务和端口。所加载的驱动程序和服务的配置不同,这些对象及其 

属性也不同。 

端口:与计算机上的每个输出端口(串口和并口)相对应的对象。每个输出端口均包含地址和名称属 

性。地址属性包含端口的硬件地址。 

电源管理:设备上的电源管理设置。 

打印机:这些对象对应于与计算机连接(直接连接或通过网络连接)的每台打印机。打印机对象包含 

驱动程序、名称、编号和端口属性。端口属性包含与打印机连接的网络队列或端口。 

处理器:设备的 CPU 的属性。可以检测到 Intel、Motorola 680x0 和 PowerPC 处理器。 

资源:与计算机的每个硬件资源相对应的对象。每个硬件资源对象包含多种属性,这些属性用于说明 

资源的类型及其使用的所有端口和中断。 

安全:防病毒软件和版本。 

软件:与设备的硬盘驱动器上安装的每个软件应用程序相对应的对象。每个软件程序对象列出的属性 

通常包含软件名、位置和版本号。 

系统:主板和机箱信息。 

ThinkVantage 技术:Lenovo ThinkVantage 技术软件信息。 

视频:与设备上的每个视频适配器相对应的对象。视频适配器对象通常包含多个属性,这些属性用于 

说明分辨率和所支持的颜色数。 

345

用户指南 

关于“清单属性特性”对话框 

使用此对话框可以查看属性的特性。特征选项卡可以显示以下信息。根据属性以及是添加、编辑还是查看属 

性,并非所有字段都会显示。 

346 

名称:您要查看其特性的核心数据库属性的名称。 

值:分配给此清单属性的值。 

用户定义的:指示所选属性是否为用户定义的。不能更改此选项。 

格式说明符(仅限整数值):用于以正确的格式显示值的符号。例如,%d MB 显示属性值时不带小数 

值;%.1f MB 显示属性值时以 MB 为单位,且精确到第一个浮点小数位。如果不输入系数值,此格式 

说明符必须说明整数值 (%d)。如果输入系数值,此格式说明符必须说明浮点值 (%f)。 

系数(仅限整数值):用来将属性划分为若干个单元的整数值。如果更改系数值,则必须在格式说明 

符字段中输入适当的代码。例如,要查看以兆字节表示的数量(如果属性的单位是兆字节),请输入 

值 1000。 

格式化值:示范指定格式和系数的示例文本。 

关于“清单更改设置”对话框 

使用此对话框可以选择单个设备上发生更改时要记录的清单属性,并可以确定记录这些更改的位置。 

当前清单:列出核心数据库中存储的所有对象。在“事件记录位置”列表中单击某个对象可以显示其属 

性。展开某个对象组可以查看其中包含的数据对象。 

事件记录位置:列出在“当前清单”列表中选择的清单对象的属性。 

要设置记录清单更改的位置,请选择一个属性并选取一个或多个选项。选取清单选项可以在设备的清单更改 

历史记录对话框中记录清单更改。选取 NT 日志选项可以将清单更改记录到 Windows NT 事件日志中。选选 

中 AMS 选项可以将清单更改作为 AMS 警报(使用“警报设置”工具配置 AMS 警报)发送。 

日志/警报的严重性:列出警报优先级选项。在实际选择某个属性之前,此功能一直灰显。您可以从 

“无”、“信息”、“警告”或“严重”等严重级别中任选一个。 

关于“清单更改历史记录”对话框 

使用此对话框可以查看设备的清单更改。也可以从此对话框中打印和导出清单更改历史记录。 

设备名称:显示在控制台的网络视图中选择的、请求其清单更改数据的设备的名称。 

组件:标识发生更改的系统组件。(此处只显示在清单更改设置对话框中选择的组件。) 

属性:标识要记录的特定组件属性。 

时间:指示更改发生的时间。 

新值:显示所列属性的新值(更改后的值)。 

旧值:显示所列属性的旧值(更改前的值)。 

打印:打开一个标准打印对话框,从中可以打印清单更改历史记录的内容。 

导出:打开一个“另存为”对话框,从中为要导出的包含清单更改历史记录的 .CSV 文件选择名称和位 

置。 

注意:清单更改历史记录对话框按时间顺序显示历史记录。不能通过单击列标题对数据进行排序。 

关于“创建/编辑自定义数据表单”对话框 


仅具有 LANDesk Security Suite 许可无法使用自定义数据表单。必须具有 LANDesk Management Suite 的完 

全许可才能使用自定义数据表单功能。 

使用此对话框可以创建或编辑自定义数据表单。 

表单名称:标识表单,且在用户填写表单时显示在表单查看器中。

说明:向用户提供有关表单的其他信息。 

添加:打开添加问题对话框,从中可以为表单创建新问题。 

编辑:打开编辑问题对话框,从中可以编辑问题的任何选项。 

删除:从表单中删除问题。 


分页符:用于控制表单的布局,具体做法是通过添加分页符来将页面上的问题分成组。存在分页符 

时,用户单击“下一页”按钮可以转到下一页上的问题。 

注意:每页最多可以包含 9 个问题。 

预览:打开表单,以便预览向用户提供的样式。在预览模式下,不必填写任何数据,而且不会保存所 

键入的任何内容。 

关于“添加/编辑问题”对话框 

使用此对话框可以创建或编辑显示在自定义数据表单上的问题。表单中包含问题和用户用来放置答案的位置。 

首先,了解问题: 

问题文本:对于所要求的问题的说明(一行)。此文本显示在数据字段的旁边。 

清单名称:核心数据库中数据库字段的名称。如果要在核心数据库中查询此项,则标签 ID 是您应该查 

询的对象。 

说明:用户在该问题的数据字段中单击“帮助”(或按 F1 键)时显示的其他信息。 

还需要指定在每个问题旁边显示的数据字段的类型(控件),以及该字段是否为必填字段。可用的数据字段如 

下: 

编辑框:用户在可编辑的文本框中键入他们的回答。 

组合框(编辑列表):用户选择预定义的列表项之一,或键入自己的新项。 

组合框(固定列表):用户选择预定义的列表项之一。 

将该控件作为必填字段:强制用户回答此问题。用户必须填写必填字段才能完成表单或移至下一表单 

页。 

关于“添加项”对话框 

使用此对话框可以向下拉列表中添加项,用户回答表单中的问题时可以从该列表中进行选择。 

项名称:标识项。此名称显示在问题的下拉列表中。 

项列表:列出显示在问题的下拉列表中的所有项。 

插入:将项放入项列表中。 

删除:从项列表中删除项。 

关于“选择要分发的多个表单”对话框 

使用此对话框可以创建表单组,该表单组显示组名称并列出组中可以包含的可用表单。 

组名:在自定义数据表单窗口中标识组。 

可用表单:列出可以添加到组中的所有可用表单。 

确定:保存该组并关闭对话框。 

取消:关闭对话框,但不保存该组。 

受管设备帮助 

可以在代理配置窗口(工具 > 配置 > 代理配置)自定义设备代理配置。使用代理配置对话框可指定要安装的 

代理及其选项。您可以根据自己的需要创建任意数量的代理配置。但只能有一个默认配置。使用此窗口可创建 

Windows、Macintosh、Linux 和服务器代理配置。 

347

用户指南 

创建配置 

348 


2. 单击新建按钮创建一个新的 Windows 配置。单击新建 Mac 按钮创建一个新的 Macintosh 配置。 

3. 按以下部分所述填完代理配置对话框。有关详细信息,请单击页面上的帮助。 

注意:如果使用代理配置对话框创建新的默认代理配置,请记住,所有使用登录脚本的由 WSCFG32 配置的设备在下次登 

录时都将被自动重新配置为具有新的默认配置设置,即使当前设置与新的默认设置相匹配也会如此。 

以下部分介绍了代理配置对话框页面。 

关于“代理配置”对话框的“开始”页面 

代理配置对话框的开始页面包含以下选项: 

配置名称:该选项显示在所有对话框页面的上方。输入描述正在配置的配置名称。这可以是现有的配 

置名称,也可以是一个新名称。该名称将出现在代理配置窗口中。 

默认配置:显示此配置是否是已安装的默认配置。更改此选项的唯一方式是从配置的快捷菜单中单击 

设置为默认值。 

要安装的代理组件(标准): 

标准 LANDesk 代理:安装标准 LANDesk 代理,该代理构成了设备和核心服务器之间通信的基础。 

该选项是必选的。不能禁用该选项,但可以自定义与其相关的组件。(请注意,安全扫描器会随标准 

的 LANDesk 代理一起自动安装,但您需要在下面的安全和修补程序扫描页面上配置该扫描器以及各 

选项。) 

自定义数据表单:向用户提供需要填写的表单。您可以在核心数据库中查询用户输入的数据。使用此 

选项可直接检索来自用户的自定义信息。 

远程控制:使您能够跨网络控制设备或服务器。可最大限度地缩短在帮助中心解决客户问题的时间。 

使用此选项可跨 LAN/WAN 对设备进行远程管理。 

电源管理: 

分发: 

安全: 

电源管理:使您可以从某中央位置控制受管计算机上的电源使用情况。您可轻松创建并部署电源管理 

策略,并产生评估财务与节能的报告。您可控制计算机和监视器待机、休眠或关机的条件。不过,用 

户可以使用客户端用户界面来延迟特定的电源管理操作,从而确保未保存的数据得到保护。 

软件分发:使软件应用程序的安装过程或向设备分发文件的过程实现自动化。使用该代理可同时在多 

个设备上安装应用程序,或同时更新多个设备上的文件或驱动程序。 

LANDesk 防病毒:在受管设备上安装“防病毒”代理。“防病毒”使用安全扫描器(与标准 LANDesk 代 

理一起安装)扫描和识别受管设备上的病毒,并提供处理受感染文件和文件夹的选项。管理员可在控 

制台下载病毒定义更新并配置病毒扫描,包括“防病毒”客户端在受管设备上显示的方式和最终用户的可 

用选项。您必须首先选中代理配置开始页面中的防病毒代理复选框,才能配置安全下的防病毒页面。 

端点安全:在受管设备上安装“端点安全”代理。“端点安全”可保护受管设备避免零日攻击、防火墙入侵 

和未授权的设备连接。“端点安全”服务包含以下单独和补充组件:HIPS、防火墙和设备控制。 

实时清单扫描和监视: 

提供若干种监视设备健康状态的方法。尽管警报规则集在“核心服务器控制台”上定义并部署到多个设备上,但 

您也可以在单个设备上定义性能监视计数器以监视特定性能问题。 

基线组件:安装监视系统硬件(例如设备的风扇速度、磁盘空间和总体温度)的代理。 

扩展组件:安装监视系统进程、服务和总体性能的代理。 

其他选项:

全选:选择要安装的代理列表中的所有可用代理。 


全部清除:清除要安装的代理列表中的所有可用代理,标准 LANDesk 代理除外,该代理是必选项。 

默认设置:选择要安装的代理列表中的所有代理,安全代理除外。 

在安装期间执行完整清单扫描:此配置安装在客户端上时,在安装代理期间是否执行完整清单扫描。 

默认情况下选中此选项。 

在终端用户设备上显示开始菜单:当选中时,将为具有用户界面的已安装代理创建 Windows。清除此 

选项将会安装代理,但并不会创建任何“开始”菜单条目。 

临时安装目录: 指定安装代理过程中受管设备上使用的临时文件夹。此文件夹必须可写,代理安装才 

能成功。 

部署标准 LANDesk 代理 

所有 Management Suite 组件需要标准 LANDesk 代理(以前称为 CBA),默认情况下,所有设备上都安装 

该代理。其中,标准 LANDesk 代理提供了设备搜寻功能并管理核心服务器/设备通信。 

默认情况下,标准代理包含 LANDesk Security Suite 安全扫描器。 

使用标准 LANDesk 代理页面配置包括这些组件和设置的标准 LANDesk 代理: 

清单扫描器 

本地调度程序 

带宽检测 

设备重新启动选项 

关于“代理配置”对话框的“标准 LANDesk 代理”页面 

使用此页面可配置基于证书的安全以及包含使用该配置的设备的范围。 

可信证书 

选择您希望设备接受的核心服务器证书。设备只会与已为其颁发证书的核心服务器和控制台进行通信。有关证 

书以及如何从其他核心服务器复制证书(以便您在此进行选择)的详细信息,请参阅 "代理安全证书和可信证 

书" 在页面 243。 

在可信证书框下方,您可以修改将与使用此代理配置的设备进行通信的核心服务器。默认情况下,此框包含当 

前的核心服务器。核心服务器名可以是 Windows 计算机名、IP 地址或者是完全合格的域名。如果您要将代理 

配置下推到多个域中的设备,或者设备无法解析核心服务器名(除非它是完全合格的设备)时,您可能需要核 

心服务器的完全合格的域名。受管设备将使用您在此处输入的信息与核心服务器进行通信,因此请确保您所输 

入的名称可以由接受此配置的所有设备解析。 

在此处作为代理配置的一部分输入的核心服务器名将添加到以下路径的设备注册表中: 

HKLM\Software\Intel\LANDesk\LDWM\CoreServer 

一旦您选择了可信证书并根据需要更改了核心服务器名,即可对它们进行测试。单击测试之后,会出现一个 

消息对话框,表明您所输入的设备名或 IP 地址是否可解析。请注意,测试按钮不能 ping 您输入的设备或验证 

该名称或验证 IP 地址是否属于核心服务器。 

位置(范围) 

如果您希望基于自定义目录的范围内包括设备,请在路径字段中输入一个目录路径。此处输入的路径定义了 

设备的计算机位置清单属性。Management Suite 基于角色的管理使用范围来控制用户访问设备,并且该范围 

可以基于该自定义目录路径。 

349

用户指南 

自定义目录路径使用的格式与文件路径相似,唯一的区别是它使用正斜杠作为分隔符。如果要使用基于自定义 

目录的范围,应首先确定如何为基于角色的管理分类设备。可以按地理位置、部门名称或组名或任何其他感兴 

趣的组织细节来分类设备。 

在此处作为代理配置的一部分输入的目录路径将被添加到以下路径的设备注册表中: 

HKLM\Software\Intel\LANDesk\Inventory\ComputerLocation 

不必填写该字段。如果不填写该字段,设备的计算机位置属性就由其 Active Directory 或 eDirectory 路径定 

义。 

清单扫描器在设备上运行时,它会记录该设备的“计算机位置”清单属性。如果在路径字段中输入自定义目录路 

径,则该路径为扫描器记录的目录。如果不填写自定义目录路径,扫描器会尝试使用设备的 Active Directory 

或 NetWare eDirectory 路径填写计算机位置清单属性。如果没有自定义目录路径或符合 LDAP 标准的目录, 

则系统将无法定义计算机位置属性。但是,在查询范围或设备组范围内仍然可以包含设备。 

有关如何在 Management Suite 的基于角色的管理中使用范围以及如何使用自定义目录路径定义范围的详细信 

息,请参阅 "基于角色的管理" 在页面 211。 

关于“代理配置”对话框的“清单扫描器”页面(位于标准 LANDesk 代理下) 

代理配置对话框的清单扫描器页面包含以下功能: 

350 

手动更新:软件扫描期间用于排除标题的软件列表将加载到每个远程设备。每次从控制台更改软件列 

表后,都必须将它重新手动发送给远程设备。 

自动更新:在软件扫描期间远程设备从核心服务器中读取软件列表。如果设置了此选项,每台设备必 

须有一个驱动器映射到核心服务器上的 LDLOGON 目录,这样,这些设备就可以访问软件列表。对软 

件列表的更改将立即传递到设备中。 

使用 HTTP 更新:从 Management Suite 8 开始,清单扫描器可以使用 HTTP 来进行 

LDAPPL3.INI 文件传输。这样,扫描器就可以支持诸如尽量少占用带宽和对等下载等定向多播 

功能。利用对等下载,需要 LDAPPL3.INI 更新的设备就可以向核心服务器核实最新版本的日 

期,然后将其广播到子网上的对等设备,看是否有某个对等设备的多播缓存中有该更新。如果 

某个对等设备有该更新,就将在本地子网上进行文件传输,而不会产生跨路由器或 WAN 连接 

的网络通信。 

运行清单扫描: 

事件驱动的扫描:在受管设备上配置清单扫描器计划。默认情况下,扫描设置为每天一次,扫描设备 

并将报告返回核心服务器。 

用户登录时:用户登录到受管设备时运行清单扫描器。 

最大随机延迟:指定任务可能运行的时间范围。如果延迟间隔时间足够长,此延迟允许登录时运行的 

任务不必全部同时运行。 

IP 地址改变时(仅最小扫描):IP 地址触发器仅向核心服务器发送一次最小扫描,这使 IP 地址的清单更 

改更加快速 

更改设置:根据时间、每周或每月中的某一天、用户是否登录、IP 地址的更改以及可用网络带宽来更 

改设置和配置自定义计划。默认计划是每天运行一次扫描,会有随机的延迟,最多不超过一小时。 

关于“代理配置”对话框的“本地调度程序”页面(位于标准 LANDesk 代理下) 

本地调度程序代理可以使 Management Suite 根据一天中的具体时间或带宽可用性启动设备任务。本地调度程 

序代理最适用于并非始终与网络连接或以拨号方式入网的移动计算机。例如,可以使用本地调度程序进行安 

排,以便只在这些移动计算机连接到 WAN 时才分发程序包。 

在计划软件程序包的分发或创建应用程序策略时,可以在应用这些程序包或策略之前指定所需的带宽。 

本地调度程序将作为 Windows NT/2000/XP 上的服务或 Windows 95/98 上的伪服务运行。 

本地调度程序页面包含以下功能:


代理轮询本地注册表查找任务的频率:本地调度程序检查任务的频率。默认值为 10 秒。您选择的轮 

询时间间隔存储在本地计算机上。 

带宽检测频率:本地调度程序检查带宽的频率。默认值为 120 秒。带宽检查仅在计划任务挂起时才进 

行。 

关于“代理配置”对话框的“警报”页面(位于标准 LANDesk 代理下) 

警报规则集定义哪些事件需要立即采取行动或需要进行日志记录备查。规则集包含若干警报规则,每个规则都 

有一个相应的警报操作。定义警报规则集后,可以将其部署到一个或多个设备上,以监视该类设备的重要项 

目。 

可以部署其中一个预定义的规则集,也可以部署在警报工具内创建的规则集。 

“警报”页面包含以下功能: 

添加:单击添加将现有规则集添加至所选警报规则集列表。此列表中的规则集将部署到接收此代理配 

置的设备。 

删除:单击规则集并单击删除可将规则集从所选警报规则集列表中删除。 

关于“代理配置”对话框的“带宽检测”页面(位于标准 LANDesk 代理下) 

带宽检测可以启用设备与核心服务器之间的带宽检测。可以根据可用带宽限制软件分发之类的 Management 

Suite 操作。如果网络中包含远程设备或以慢速链接方式连接到网络的设备,则可以使用该选项。 

代理配置对话框的带宽检测页面包含以下功能: 

选择带宽检测方法:选择是使用 ICMP 还是 PDS 进行带宽检测。ICMP 向远程设备发送不同大小的 

ICMP 回显请求,并根据这些回显请求/响应的往返时间来确定相应的带宽。ICMP 还可以区分 LAN 

(高速)和 WAN(低速但非拨号连接)。不过,并非所有路由器或设备都支持 ICMP 回显请求。 

如果您的网络未配置为支持 ICMP 回显请求,则可选择 PDS。PDS 带宽测试不如 ICMP 详细,但仍 

可检测出 LAN 或低带宽 RAS(通常是拨号连接)。只有程序包服务器上正在运行 PDS 服务时,PDS 

方法才有效。可以通过将标准 LANDesk 代理部署到程序包服务器上来安装此服务。 

LAN 阈值(位/秒):将连接归类为 WAN 而不是 LAN 的阈值。默认值为 262144 bps。 

关于“代理配置”对话框的“设备重新启动选项”页面(位于标准 LANDesk 代理下) 

一旦在设备上安装 Management Suite 代理后,可能需要重新启动以完成代理配置。代理配置对话框的设备重 

新启动选项页面包含以下功能: 

配置后不重新启动设备:设备不重新启动,即使选定的组件需要重新启动。如果组件需要重新启动, 

则需等到设备重新启动后,组件才能正常运行。 

必要时重新启动设备:仅在选定的组件需要重新启动时,才重新启动设备。 

用户可选择取消的重新启动:如果选定的代理需要重新启动,用户可选择取消重新启动。如果组件需 

要重新启动,则需等到设备重新启动后,组件才能正常运行。您可以选择在计算机重新启动之前让重 

新启动提示在用户屏幕上显示多长时间。对于那些在部署设备期间将离开计算机的用户而言,这个超 

时设置非常有用。 

允许用户在此时间段内取消重新启动:如果希望在自动重新启动之前使用户可以取消重新启动,请输 

入希望重新启动提示持续显示的时间。 

关于“代理配置”对话框的软件使用情况监视页面(位于标准 LANDesk 代理下) 

软件使用情况监视页面用于追踪软件授权监视使用情况的统计。此功能收集有关以下三种类型数据的信息: 

软件授权监视使用情况统计、其他清单信息和应用程序禁用功能。 

“软件使用情况监视”窗口包含以下选项: 

351

用户指南 

352 

监视软件使用情况:允许通过软件授权监视追踪软件、清单扫描和通过应用程序禁止器功能禁用应用 

程序。 

部署自定义数据表单 

可以通过创建和分发自定义数据表单来收集可对核心数据库中的标准信息进行补充的设备信息。使用“表单设 

计器”创建的表单可通过设备部署服务或通过使用代理配置对话框来进行分发。 

使用表单设计器可以自定义要分发给管理域中设备的表单。有关详细信息,请参阅 "使用自定义数据表单" 在 

页面 251。 

关于“代理配置”对话框的“与代理一起发送的表单”页面 

自定义数据表单部分由两个页面组成。自定义数据表单页面包含以下功能: 

手动更新表单:选定的表单被发送到每个设备。如果表单发生更改或添加了新表单,必须将表单以手 

动方式重新发送到远程设备。 

自动更新:每次运行清单扫描器时(例如,启动时),远程设备都会检查核心服务器,查看是否有更 

新的表单。每个设备都必须有一个驱动器映射到核心服务器上的 LDLOGON 目录,才能访问更新的表 

单。 

向最终用户显示表单:选择远程设备访问自定义表单的方式: 

启动时:启动时,选定的表单在每个设备上自动运行。 

清单扫描器运行时:仅当在每个设备上运行清单扫描器时,才会运行选定的表单。清单扫描器 

在启动时将自动运行,也可以由设备以手动方式随时运行。 

当从 LANDesk 程序文件夹中启动时:选定的表单将在设备的 LANDesk Management 文件夹 

中以项的形式显示。它们不会自动运行。 

与代理一起发送的表单页面列出了所有已定义的自定义数据表单。可以标明哪些表单对接受此配置任务的设 

备可用。您必须先创建表单(工具 > 配置 > 自定义数据表单),然后这些表单才会出现在此列表中。 

部署软件分发 

软件分发代理可以使软件应用程序的安装和向设备分发文件的过程实现自动化。使用该代理可同时在多个设备 

上安装应用程序,或同时更新多个设备上的文件或驱动程序。 

软件分发使用 Web 服务器或文件服务器来存储程序包。设备在下载程序包时将访问该程序包服务器。您需要 

按照本《用户指南》中的“软件分发”一章中的说明来配置程序包服务器。可以在设置程序包服务器之前向设备 

部署软件分发代理。有关详细信息,请参阅 "软件分发" 在页面 Error! Bookmark not defined.。 

关于“代理配置”对话框的“软件分发”页面 

代理配置对话框的软件分发页面包含以下功能: 

客户端目标:受管设备上部署的虚拟应用程序的存储位置。如果您没有分发使用 LANDesk 

Application Virtualization 附件创建的虚拟应用程序,则此选项没有影响。 

启用 LDAP 组定位:允许从活动目录将对虚拟应用程序的虚拟访问分配给特定的 OU 或组。 

关于“代理配置”对话框的“策略选项”页面(位于软件分发下) 

使用基于策略的分发代理可以在多组设备上自动安装多组应用程序。该代理可用于管理具有共同软件需求的多 

组设备。 

LANDesk Software Deployment Portal 在受管设备上运行并显示该受管设备的可用软件。要显示可用的软 

件,软件部署入口需要从核心服务器定期获取策略信息。以下情况会进行策略更新: 

用户从 Windows“开始”菜单启动了 LANDesk Software Deployment Portal。


如果选中了登录时运行 LANDesk Software Deployment Portal 选项,则在登录时更新。 

如果选中了登录时运行从核心服务器更新策略信息选项,则在登录时更新。 

当单击更改设置按钮时,以您指定的本地调度程序时间间隔进行更新。默认情况下,受管设备使用本 

地调度程序每天获取一次策略更新。 

策略选项页面包含以下功能: 

用户登录时:如果选中,受管设备会在用户登录后更新策略信息。最长随机延迟可让用户在延迟输入 

的时间(以小时计)后再进行更新。 

当更改 IP 地址时:如果选中,则当更改 IP 地址时,受管设备会更新策略信息。 

更改设置:使用此选项可更改本地调度程序查找策略更新的频率和时间。此安排会作为您选中的任何 

“登录时运行”选项的补充。 

关于“代理配置”对话框的 LaunchPad 页面(位于软件分发下) 

使用此页面可配置 LaunchPad 自定义最终用户可以执行哪些操作。LaunchPad 可组织指向受管设备上所部署 

软件的链接。部署的软件可以是本地、托管或适时安装的应用程序。LaunchPad 页面包含以下功能: 

允许用户设置 LaunchPad 窗格的大小:允许用户移动窗格和更改窗格的大小。 

允许用户移动和停靠 LaunchPad 窗格:允许用户将窗格停靠在桌面的任意部分。 

关于“代理配置”对话框的“门户”页面(位于软件分发下) 

受管设备上的“门户”窗口列出了使用基于策略的交付方式分发的所有软件分发程序包。使用此页面可以自定义 

“门户”窗口的外观。 

基于策略的交付方式与推送的不同点在于,前者需要受管设备对策略发出请求。这意味着程序包并非从核心服 

务器推送到设备,而是将其详细信息存储到核心服务器上的数据库中,直到受管设备向核心服务器请求分配给 

它的任何基于策略的软件分发任务。门户打开时,它会自动启动策略同步工具,通过已分配给受管设备的任何 

新任务更新其列表。 

“门户”窗口包含可选列和显示应用程序的列和顺序字段。这些字段用于布局选项,这些选项用于自定义关于受 

管设备上 LANDesk Desktop Manager“软件部署门户”窗口中所有程序包的其他信息。“软件部署门户”窗口包 

含在代理配置门户页面中设置的可用和历史记录选项卡。使用可选列字段可以排列选项卡中显示的应用程序 

和历史记录列并按逻辑方式分组信息。 

“门户”页面包含以下功能: 

应用程序:显示当前列出用于可选或建议的用户启动软件部署的程序包。 

历史记录:显示通过策略使用门户已尝试或已安装的所有程序包。 

可选列:受管设备上 LANDesk Desktop Manager“软件部署门户”窗口中应用程序和历史记录选项卡中 

显示的列。 

大小:显示程序包的实际大小以在继续下载大型应用程序之前通知用户。 

组:LANDesk 管理员可以在每个独立分发程序包任务中指定一个组到应用程序,这样最终用 

户可以确定应用程序的排序方式(例如,应用程序类型、供应商或类别)。组在每个独立的软 

件分发计划任务中进行分配。 

说明:显示分发程序包属性的说明。 

状态:指示安装成功还是失败。 

上次运行时间:指示上次尝试安装该程序包的日期和时间。 

类型:指示程序包是必需的、建议的还是可选的。 

显示应用程序/历史记录的列和顺序:显示受管设备上 LANDesk Desktop Manager“软件部署门户”窗 

口“应用程序”和“历史记录”选项卡中的默认列。默认列表包含以下选项: 

名称(必填):显示分发程序包的名称。 

说明(可选) 

353

用户指南 

部署远程控制 

354 

状态(可选) 

上次运行时间(可选) 

类型(可选) 

使用向上和向下按钮重新排列显示的列顺序。 

部署远程控制时,需要考虑要使用哪种安全模式。可以进行以下选择: 

本地模板:这是使用设备上指定的远程控制设置的最基本的安全。该模式不需要组成员身份验证或任 

何其他身份验证。 

Windows NT 安全/本地模板:此安全模型使用 Windows NT 远程控制操作员组。该组的成员可以远 

程控制设备。经许可的用户仍使用设备的远程控制设置,如必需的访问权限。 

集成安全:这是最安全的选项,并且是默认值。集成安全将在下一节进行描述。 

关于集成安全 

集成安全是新的默认安全模型。以下简要地介绍了集成安全远程控制通信流: 

1. 远程控制查看器连接到受管设备的远程控制代理,但代理会作出需要集成安全身份验证的回复。 

2. 查看器从核心服务器申请远程控制权限。 

3. 核心服务器根据查看器的范围、基于角色的管理员权限和 Active Directory 权限计算远程控制权限。然 

后,核心服务器创建安全签名文档并将其传递回查看器。 

4. 查看器将此文档发送到受管设备上的远程控制代理,由其对签名文档进行验证。如果一切正确无误, 

那么代理允许远程控制启动。 

警告:集成安全需要核心服务器 

使用集成安全远程控制时,如果核心服务器不可用,控制台将无法对设备进行远程控制。集成安全远程控制需要核心服务器 

才能正常工作。 

将 Windows NT 安全/本地模板应用于 Windows XP 设备 

要将 Windows NT 安全/本地模板身份验证应用于 Windows XP 设备,您必须对设备进行配置,将本地帐户的 

Windows XP 共享和安全模式设置为典型(本地用户以自己的身份验证)。否则,默认的仅来宾身份验证不能 

用于远程控制的 Windows NT 安全模式。 

将 Windows XP 安全模式设置为典型 

1. 在 Windows XP 设备上,单击开始 > 控制面板。 

2. 在管理工具,本地安全策略小应用程序中,单击安全选项 > 网络访问:本地帐户的共享和安全模式, 

将其设置为经典 - 本地用户以自己的身份验证。 

关于“代理配置”对话框的“远程控制”页面 

代理配置对话框的远程控制页面包含以下功能: 

本地模板:仅使用在远程控制权限页面中设置的本地设备简单权限。 

Windows NT 安全\本地模板:只允许远程控制操作员组的成员启动从控制台到远程设备的远程控制连 

接。获得允许的用户仍须使用在此向导的“远程控制设置”页面中设置的权限。 

由于远程控制操作员组是一个本地组,因此,每个设备都有该组的副本。为避免单独管理各个设备的 

“远程控制操作员”组,请在每个本地组中包含全局(域级别)组。 

经许可的用户仍使用设备的远程控制设置,如必需的访问权限。 

集成安全:这是一种默认安全模式,在本章的前面已有描述。经许可的用户仍需要使用权限页面中设 

置的权限。

将用户添加到远程控制操作员组和仅查看组 


如果选择 Windows NT 安全/本地模板作为安全模型,远程控制操作员组和仅查看组框将列出控制台或所选 

Windows NT 域中的用户。您在此选择的用户将对接受由此配置设置文件定义的设置的设备拥有远程控制权 

限。仅查看组用户只能查看远程设备。这些用户不能控制鼠标或键盘。 

将用户添加到一个远程控制组时,控制台将使用登录用户的 Windows 凭据(而不是 LANDesk 控制台用户的 

凭据)来列出域中的用户。如果列出的用户来自框未显示所需的域,请作为对该域具有权限的用户登录到 

Windows。 

从现有的服务器或域中进行选择 

1. 在远程控制页面中,单击 Windows NT 安全/本地模板,然后单击添加按钮。 

2. 在列出的名称来自框中,选择核心服务器名或包含用户帐户的 Windows NT 域的名称。 

3. 在用户列表中选择一个或多个用户,然后单击插入将所选用户添加到插入的名称列表中。 

4. 单击确定,将所选的名称添加到每个接受这些配置设置的设备上的“远程控制操作员”组中。 

5. 如果希望其中任何用户添加到仅查看组,请选中相应用户并移动到该组。用户只能处于一个组中。 

手动输入名称 

您可以手动输入名称,即在插入的名称列表中单击,然后使用以下任一格式输入名称。名称之间用分号隔 

开。 

DOMAIN\username,其中,DOMAIN 是目标设备可访问的任何域的名称。 

MACHINE\username,其中,MACHINE 是目标设备所在域中的任何设备的名称。 

DOMAIN\groupname,其中,DOMAIN 是目标设备可访问的任何域的名称,而 groupname 则是该 

域中的管理组的名称。 

MACHINE\groupname,其中,MACHINE 是受管节点所在域中的任何设备的名称,而 groupname 

则是该设备上的管理组的名称。 

如果不指定域名或设备名,则将认为指定的用户或组属于本地设备。 

单击确定,将名称添加到目标设备上的“远程控制操作员”用户组中。 

关于“客户端设置”对话框的“权限”页面(位于远程控制下) 

远程控制部分的权限页面包含以下功能: 

远程控制:授予控制设备的权限。 

对话:授予与设备对话的权限。 

文件传输:授予与设备的本地驱动器之间来回传输文件的权限。 

画图:授予在设备上使用查看器窗口的画图工具的权限。 

重新启动:授予重新启动设备的权限。 

仅查看:远程控制操作员只能查看设备,不能与设备进行远程交互。 

在远程设备上运行程序:授予在设备上运行程序的权限。 

指定远程控制设置:配置和设置远程控制用户的权限。当请求执行远程控制提供的不同命令所需的权 

限时,可以创建自定义的消息。 

会话空闲下列时间后关闭:允许远程控制会话因空闲而自动断开连接。如果输入的值为 0,控 

制台不会因空闲而自动断开远程控制会话的连接。 

最终用户必须授予远程控制会话权限:允许登录到远程控制受管设备的用户在其受管设备受控 

之前,明确响应请求。 

仅在用户登录时:向当前登录的用户请求权限。如果没有已登录的用户,远程控制则不需要权 

限。 

355

用户指南 

356 

一次请求使用全部功能的权限:允许每次会话一次性请求权限,而无需针对每个功能(文件传 

输、远程执行等)分别请求权限。如果选中一次请求所有允许的权限复选框,在远程控制会话 

期间,无论执行什么过程,都只会向用户请求权限一次。 

显示自定义消息:使用此处创建的自定义消息向用户请求权限,来执行以下操作之一(必须选 

中需要权限才能使用): 

远程控制 

对话 

远程执行 

文件传输 

重新启动 

全部权限 

权限消息框显示的时间:允许用户接受或拒绝向受管设备请求的权限(秒)。这是一个可配置 

的时间设置,用于确定在请求远程控制受管设备所需的权限时,权限窗口保持打开状态的时 

间。 

关于“指示器”页面(位于远程控制下) 

远程控制部分的指示器页面包含以下功能: 

浮动桌面图标:始终在设备屏幕上显示“远程控制代理”图标或仅在设备受到远程控制时显示。设备受 

控制台控制时,图标将显示为放大镜,而图标的标题栏则变为红色。 

系统任务栏图标:将远程控制代理图标置于系统托盘中。同样,该图标可始终显示,也可仅在受到控 

制时才显示。 

使用镜像驱动程序:默认情况下选中此选项,它使用设备上的远程控制镜像驱动程序来实现更快的远 

程控制性能。 

会话结束时,锁定远程控制计算机:无论用户是否登录,均将受管设备锁定为安全模式。 

部署安全服务 

默认情况下,安全扫描器(即修补程序和遵从性扫描器)随标准 LANDesk 代理一同安装。不过,当创建设备 

代理配置时,您需要使用特定“安全和修补程序”扫描页面上的选项,以便配置安全扫描器在受管设备上的运行 

方式和时间。您还可以启用和配置自定义变量替代设置、频率安全扫描、实时间谍软件和应用程序阻止 

使用安全扫描器可扫描受管设备是否具有已知的操作系统和应用程序漏洞以及其他安全风险,例如:间谍软 

件、病毒、未经授权的应用程序、软件和驱动程序更新、系统配置安全威胁、自定义安全定义等等。安全扫描 

的内容取决于您订购的 Security Suite 内容以及所下载的安全类型定义。您还可以修补通过自动修复、修复任 

务和修复策略检测到的问题。有关这些步骤的详细信息,请参阅 "修补程序和遵从性" 在页面 15。 

您可以在下面查找到关于以下安全相关页面的信息。单击链接转至该部分。 

"关于“修补程序和遵从性扫描”页面" 在页面 357 

"关于“自定义变量”页面" 在页面 357 

"关于“高频安全扫描”页面" 在页面 358 

"关于 Antivirus 页面" 在页面 358 

"关于“间谍软件”页面" 在页面 358 

"关于“应用程序禁止器”页面" 在页面 359 

"关于“Windows 防火墙”页面" 在页面 359 

"关于“端点安全”页面" 在页面 359 

"关于“代理观察器”页面" 在页面 359 

"关于“ 802.1X 支持”页面" 在页面 360

"关于“代理配置”对话框的“扩展设备搜寻”页面" 在页面 360 

关于“修补程序和遵从性扫描”页面 


使用此页面可配置安全扫描器(即修补程序和遵从性扫描器)的启动方式及其在具有此配置的受管设备上的运 

行方式。(注意:您还可以在控制台上将安全扫描作为计划任务和策略运行,或在受管设备上手动运行。) 


事件驱动的扫描: 

用户登录时:将安全程序扫描器放在 Windows 注册表的运行键中,这样将在使用该代理配置 

登录受管设备时启动扫描器。 

计划驱动的扫描: 

更改设置:打开计划和安全修补程序扫描对话框,在该对话框中,您可以配置由本地调度程序 

启动的安全扫描的调度设置。本地调度程序可在您指定的时期周期和限制内尽早反复自动启动 

安全扫描。您还可以配置在设备符合以下特定条件时运行安全扫描器的选项,例如:仅当用户 

登录时、只在指定的最低带宽可用时,以及在设备的 IP 地址更改的任何时间。一旦您配置了 

安全扫描器的这些调度设置,只需单击保存即可返回现在显示调度标准的主页面。 

全局设置:应用于所有具有此代理配置的设备,覆盖任务特定的设置。 

从不重新启动:确保运行安全扫描器时带有此代理配置的设备不会重新启动。这是所有具有该 

代理配置的设备的一个全局设置,意指它将覆盖应用到安全扫描或修复任务的任何最终用户重 

新启动设置。也就是说,不管安全任务使用的最终用户重新启动设置是什么,该全局设置都将 

优先于其他设置。如果不希望在执行任何安全扫描器操作时重新启动设备,请选中此选项;如 

果希望通过“修补程序和遵从性”工具配置重新启动选项,请清除此选项。 

从不自动修复: 确保具有该代理配置的设备不允许安全和修补程序扫描在校正操作检测到漏洞 

时执行自动修复,即使漏洞已启用了自动修复也不会修复。作为具有该代理配置的所有设备的 

全局设置,该设置将覆盖任何已应用至安全扫描任务的最终用户自动修复设置。如果要保证设 

备不会通过安全扫描自动修复已检测到的漏洞,请使用该设置。 

扫描和修复设置:当通过以上选定方法(登录时运行键、本地调度程序或者二者)在具有此代理配置 

的受管设备上启动扫描器时,确定其由安全扫描器在受管设备上显示的信息、最终用户交互操作、重 

新启动操作和内容设置。从下拉列表中选择某个扫描和修复设置,将其应用到正在创建的配置中。您 

也可以单击配置来创建和应用新的扫描和修补设置,或者编辑现有设置。 

关于“自定义变量”页面 

使用此页面可将自定义变量替代设置分配到具有此代理配置的设备。 

安全扫描器可使用自定义变量(特定安全类型定义中所包括的可编辑值)来扫描和修改特定设置,并且对受管 

设备执行标准系统配置设置。您可以更改设置的值并选择是否用新值覆盖当前的值,然后使用此代理配置将配 

置应用到目标设备。在某些情况下,您可能希望忽略自定义变量设置,或者换句话说,就是创建规则的例外情 

况。使用自定义变量替代设置,您可以决定扫描设备时哪些自定义变量实际上要忽略,这样,即使这些变量符 

合某个定义的检测规则中的实际条件,也不会被检测为漏洞而进行修复。 

代理配置不需要自定义变量替代设置。 

您可以从下拉列表中选择一个现有设置,单击配置创建新的设置,或者保持字段空白。 


自定义变量设置:在扫描包括自定义变量的安全定义(例如安全威胁和病毒)时,可以指定目标设备 

上所采用的自定义变量替代设置。自定义变量替代设置允许您指定安全扫描期间要忽略或绕过的设置 

值。在您不希望根据所定义的默认自定义变量设置将扫描过的设备确认为易于遭受攻击时,这会非常 

有用。从下拉列表中选择一种设置。从下拉列表中,还可以选择从目标设备删除自定义变量替代设 

置。删除自定义变量设置选项可允许您清除设备,使自定义变量设置完全有效。单击编辑修改选定设 

置的选项。单击配置创建新设置。有关详细信息,请参阅 "关于“自定义变量替代设置”对话框" 在页面 

386。 

357

用户指南 

关于“高频安全扫描”页面 

使用此页面可启用和配置重复执行安全扫描,以查找具有此代理配置的设备上的一系列特定高风险漏洞或其他 

安全定义。如果您需要定期扫描对设备特别具有攻击性和有害的安全攻击,频率安全扫描非常有用。 

仅组扫描 

高频安全扫描基于组中包含的安全定义,该组是您从预定义的安全内容组中选择的。 


358 

使用频繁运行的安全扫描器:在具有此代理配置的设备上启用频率安全扫描。 

仅在用户登录后扫描:限制频率安全扫描,从而使其仅在用户登录到目标设备时运行。 

间隔:指定频率安全扫描的时间间隔。 

扫描和修复设置(用于扫描组):指定控制频率安全扫描的安全扫描器的扫描和修复设置。扫描和修 

复设置确定安全扫描器运行时是否在设备上显示、重新启动选项和用户交互。您选择的设置必须配置 

为扫描组,而非类型。您也可以单击配置创建与组相关联的新的扫描和修复设置。 

关于 LANDesk Antivirus 页面 

使用此页面可选择适用于具有此代理配置的设备的防病毒设置,此外还可选择是否删除设备上已经配置的现有 

防病毒产品。 

要选择防病毒设置,您必须首先选中开始页面中的 LANDesk Antivirus 代理复选框。 

防病毒设置使您可以控制防病毒扫描器在目标设备上操作的方式。您可以定义防病毒扫描参数,例如:所要扫 

描或排除的文件和文件夹、手动扫描、实时扫描、计划扫描、隔离和备份选项、病毒的病毒码文件更新选项, 

以及在防病毒扫描期间在最终用户设备上显示的信息和交互选项。 

将 LANDesk Antivirus 部署到已安装防病毒产品的设备 

如果目标设备上已安装其他防病毒产品,您可以在代理配置期间通过选择删除现有防病毒产品选项选择将其自动删除。如 

果您选择在代理配置期间不删除其他的防病毒产品,就会一直禁用 LANDesk Antivirus,直到您手动删除其他产品为止。但 

是,您仍然可以将该服务部署到目标设备。 

有关可从设备中删除的防病毒产品的最新列表,请参阅 "可自动卸载的第三方防病毒产品列表" 在页面 83。 


删除现有的防病毒产品:安装 LANDesk Antivirus 前自动删除可能已安装在设备上的其他防病毒软 

件。(注意:您还可在创建安装或更新“防病毒”任务时选择从受管设备中删除现有的防病毒软件。) 

防病毒设置:防病毒设置可确定“防病毒”图标是否在设备系统托盘中显示、最终用户交互选项的可用 

性、电子邮件扫描和实时保护的启用、扫描的文件类型、排除的文件和文件夹、已感染文件的隔离和 

备份、计划的防病毒扫描以及计划的病毒定义文件更新。从下拉列表中选择一种设置。单击配置创建 

新设置。 

关于“间谍软件”页面 

使用此页面可在具有此代理配置的设备上启用实时间谍软件检测和通知。 

实时间谍软件检测仅检查位于扫描组中、并且已打开自动修复功能的间谍软件定义。您可以为已下载的间谍 

软件定义手动启用自动修复选项,或者配置间谍软件定义更新,使自动修复选项在间谍软件定义下载时自动启 

用。 





注意:必须手动启用针对任何已下载间谍软件定义(希望包括在安全扫描中)的自动修复功能,才能


运行实时间谍软件扫描和检测。默认情况下,已下载的间谍软件定义未开启自动修复功能。 


如果应用程序不是可识别的间谍软件,在安装之前需要得到用户的同意:即使检测到的进程根据设备 

当前的间谍软件定义列表不会被视作间谍软件,但最终用户在其机器上安装软件之前还是会收到提 

示。 

关于“应用程序禁止器”页面 

使用此页面可启用实时未经授权应用程序阻止和通知。实时应用程序禁止器仅检查位于扫描组中的应用程 

序。 

使用实时应用程序阻止时,修补不是一项单独的任务。通过在本地硬盘驱动器上编辑注册表来禁止用户访问未 

授权的应用程序,阻止应用程序是作为安全扫描本身的一部分进行的。即使可执行文件的文件名已被修改,安 

全服务仍可使用“软件授权监视”工具的 softmon.exe 功能来拒绝对指定应用程序可执行文件的访问,因为 

softmon.exe 可读取文件标题信息。 


启用未被授权的应用程序禁止:在具有此代理配置的设备上打开实时应用程序阻止。 

当应用程序被禁止时通知用户:显示消息,通知最终用户他们已尝试启动未经授权的应用程序,并且 

访问已被拒绝。 

关于“Windows 防火墙”页面 

使用此页面可在具有此代理配置的受管设备上启用和配置 Windows 防火墙。您可以启用/禁用防火墙,以及配 

置防火墙设置,包括例外、入站规则和出站规则(用于服务、端口和程序)。 

可使用此功能部署以下 Windows 版本中的 Windows 防火墙配置: 

Windows 2003 

Windows XP(SP2 或更高版本) 

Windows Vista 


配置 Windows 防火墙:在具有此代理配置的设备上启用自动的 Windows 防火墙配置。 

Windows 防火墙设置:指定部署在具有此代理配置的目标设备上的 Windows 防火墙设置。从下拉列 

表中选择一个设置,将其应用到正在创建的配置中。您也可以单击配置来创建和应用新的扫描和修补 

设置,或者编辑现有设置。 

关于“端点安全”页面 

使用此页面可为具有此代理配置的受管设备选择“端点安全”设置。“端点安全”包括以下组件:HIPS、防火墙和 

设备控制。 

要选择“端点安全”设置,您必须首先选中开始页面中的“端点安全”代理复选框。 


“端点安全”设置:为具有此代理配置的受管设备指定“端点安全”设置。“端点安全”设置确定常规“端点 

安全”操作(例如,位置感知、管理员密码、最终用户停止选项和弹出消息),以及为 HIPS、 

LANDesk 防火墙和设备控制部署哪些安全策。还可以单击配置创建新设置。 

从核心服务器更新配置:可让您在配置有此代理配置的目标设备上更新“端点安全”设置。 

关于“代理观察器”页面 

使用此页面可在具有此代理配置的设备上启用和配置 LANDesk 代理观察器实用程序。 

359

用户指南 

代理观察器允许您主动监视设备上的选定 LANDesk 代理服务和文件。代理观察器能够重新启动已停止的代理 

服务并重置已设置为“自动”的服务启动类型。实用程序还可以从重新启动时要删除的一系列文件中删除监视的 

代理文件。此外,当代理服务无法重新启动、代理文件已被删除以及代理文件被计划为在重新启动时删除时, 

代理观察器还可以向您发出警报。 


360 

使用代理观察器:在具有此代理配置的设备上启用代理观察器实用程序。 

代理观察器设置:指定部署在具有此代理配置的目标设备上的代理观察器设置。代理观察器确定监视 

哪些服务和文件以及监视频率,以及实用程序是否仍驻留在设置上。从下拉列表中选择一种设置。单 

击配置创建新设置。有关选项的详细信息,请单击帮助。 

关于“LANDesk 802.1X 支持”页面 

使用此页面可启用 LANDesk 802.1X NAC 解决方案。可使用 802.1X 在支持 802.1X 的受管设备上执行遵从 

性安全策略,方法是通过运行遵从性安全扫描、根据设备健康状态(遵从性)准许或阻止访问、隔离不健康 

(不具备遵从性)的设备并进行修补。 

启用和配置具有代理配置的 802.1X NAC 

为了启用 802.1X NAC 和在此页面中配置选项,您必须首先在“网络访问控制”工具的“802.1X 配置”对话框中选中 802.1X 

Radius 服务器选项(工具 > 安全 > 网络访问控制 > 配置 802.1X > Radius 服务器)。选中该选项后,您可以使用此页面 

配置具有代理配置的 802.1X。 


启用 802.1X 支持:在具有此代理配置的设备上开启 802.1X NAC。802.1X NAC 使用在 NAC 工具中 

指定的 EAP 类型。EAP 类型设置适用于整个核心服务器。换言之,使用此代理配置的所有设备都将 

使用控制台中指定的 EAP 类型进行配置。 

配置 PEAP 设置:打开可指定服务器和可信证书授权设置的对话框。 

隔离网络地址: 

在自分配范围中使用 IP:根据遵从性安全策略,指定确定为不健康(不具备遵从性)的设备, 

这些设备将使用 TCP/IP 协议内置的自分配 IP 地址范围功能发送到隔离的网络区域。 

在隔离网络中使用 DHCP:根据遵从性安全策略,指定确定为不健康(不具备遵从性)的设 

备,这些设备将使用在网络上配置的 DHCP 服务器和修补服务器发送到隔离的网络区域。 

选择首选修补服务器:指定想要用于修复不健康设备的修补服务器,以便可以再次扫 

描这些设备并允许其访问企业网络。 

后备修补服务器:在无法访问首选修补服务器的情况下,可让您配置用于修补的后备 

服务器。单击配置以添加修补服务器。 

如果在以下时间内未执行任何健康状况扫描,则隔离客户端:通过指定设备不运行遵从性安全扫描而 

视为健康状况的最大时间段,可使用此选项自动隔离设备。如果经过此时间而没有扫描,则自动将设 

备置于隔离网络区域。 

部署扩展设备搜寻 

关于“代理配置”对话框的“扩展设备搜寻”页面 

使用此页面可在具有此代理配置的受管设备上启用和配置扩展设备搜寻。 

扩展设备搜寻是不受管设备搜寻工具的扩展,它可以查找尚未提交清单扫描到核心数据库的网络设备。通过扩 

展设备搜寻,您可以使用以下搜索方法之一或两者:ARP(地址解析协议)和 WAP(无线接入点)搜寻。 

通过 ARP 搜寻,扩展设备搜寻代理可以监听网络 ARP 广播。代理随即检查任何 ARP-搜寻到的设备以查看其 

是否安装了标准 LANDesk 代理。如果 LANDesk 代理无响应,则 ARP 搜寻到的设备会显示在“计算机”列表 

中。在涉及防火墙(会阻止设备响应正常的基于 ping 的 UDD 搜寻方法)的情况下,扩展设备搜寻非常理 

想。


请记住,您不必将扩展设备搜寻代理部署到网络上每个受管的设备,尽管如果需要也可以这样做。将此代理部 

署到每一子网的几个设备就可以提供足够的覆盖范围。 


使用地址解析协议 (ARP):可让扩展设备搜寻在具有此代理配置的设备上使用地址解析协议 (ARP) 搜 

寻方法。 

选择 ARP 搜寻设置:指定当在网络上进行 ARP 搜寻时,控制扩展设备搜寻代理的 ARP 设置。ARP 

设置确定搜寻扫描频率和日志记录级别。从下拉列表中选择一个设置,将其应用到正在创建的配置 

中。您也可以单击“配置”来创建和应用新设置,或者编辑现有设置 

使用无线访问点搜寻 (WAP):可让扩展设备搜寻在具有此代理配置的设备上使用无线应用程序协议 

(WAP) 搜寻方法。 

选择 WAP 搜寻设置:指定当在网络上进行 WAP 搜寻时,控制扩展设备搜寻代理的 WAP 设置。 

WAP 设置确定搜寻扫描频率和日志记录级别。从下拉列表中选择一个设置,将其应用到正在创建的配 

置中。您也可以单击“配置”来创建和应用新设置,或者编辑现有设置。 

配置下载频率(分钟):指定安装了扩展设备搜寻代理的受管设备在核心服务器上检查更新的扩展设 

备搜寻配置的频率。当首次加载时,代理总是从核心服务器更新其配置。默认值为 720 分钟(12 小 

时)。如果将此值设置过高,则将配置更改传播到设备会占用很长时间。如果将此值设置过低,则在 

核心服务器和网络上会有更高负荷。 

部署电源管理 

关于“代理配置”对话框的“电源管理”页面 

使用电源管理页面可以选择要分发给客户端机器的电源策略。LANDesk 电源管理(电源管理)功能使管理员 

能够通过简化电源管理策略的创建、财务评估和部署集中控制末端节点的电源使用情况。尽管管理员可以集中 

控制计算机和监视器的待机、休眠或断电条件,但用户可以在客户端上预先阻止特定的“电源管理”操作(如果 

需要)。此外,“软”关机选项还可保护未保存的用户数据。OEM 功耗值的预填充数据库与实际硬件清单数据 

相匹配,并且可用的自定义功率设置允许高准确性的财务和节能评估。 

“电源管理”窗口包含以下功能: 

电源策略设置:选择已创建并配置在受管设备上使用的电源策略。 

选择电源策略:指定将随代理配置一同发送的电源策略。默认情况下,有一个可用的电源策略或没有 

任何电源策略。 

收集客户端使用情况信息:收集单个客户端使用情况的电源使用情况。此信息用于创建更准确的电源 

使用情况报告,以及了解受管设备及其连接的监视器的具体电源需求。 

部署 Desktop Manager 

关于“代理配置”对话框的 Desktop Manager 页面 

Desktop Manager 通过提供统一的桌面客户端 UI(包括从单一的“开始”菜单快捷方式访问“软件部署门户”和 

LaunchPad 控制台)改善最终用户体验。 

使用 Desktop manager 页面可配置 Desktop Manager 的外观。 

Desktop manager 页面包含以下功能: 

可用应用程序:列出可配置为通过 Desktop Manager 进行访问的应用程序。可用的应用程序包括: 

LaunchPad:可访问为受管设备单独配置的程序包、可执行文件、URL 和 Process Manager 

链接的控制台。LaunchPad 提供对本地、托管或适时应用程序(仅当最终用户单击图标时才 

进行安装)的一键访问。 

软件部署门户:显示使用可选或建议的、基于策略的交付方式部署的所有软件分发程序包。 

361

用户指南 

362 

在 Desktop Manager 中显示:显示将通过 Desktop Manager 显示和访问的应用程序。使用 >> 和部署 LDMS 客户端到 Netware 服务器。 

2. 输入 NetWare 服务器名。单击安装,然后单击确定。这将在 NetWare 服务器上安装代理。

关于“添加裸机服务器”对话框 


使用添加裸机服务器对话框可将设备添加至队列,使它们可以运行部署任务。这对于初次部署新设备非常有 

帮助。使用标识符将设备添加到暂存队列。服务器标识符是可用来唯一标识服务器的信息。服务器标识符可以 

是 MAC 地址(最普遍)、供应商序列号、IPMI GUID 或 Intel AMT GUID。在所有情况下,在目标服务器的 

预启动环境中运行代理时,此标识符必须是可以查询到的。可一次添加一个设备,也可一次添加多个设备。 

添加一个设备 

1. 在网络视图中,展开配置组。在裸机服务器项的快捷菜单中,单击添加设备。 

2. 单击添加。在名称文本框中键入描述性名称。尽管显示名称是可选的,但是强烈建议键入显示名称。 

在“裸机”设备上,显示名称是“部署”视图中的唯一区别。 

3. 从标识符类型列表中选择标识符类型(MAC 地址、序列号、IPMI GUID 或 Intel AMT GUID),然后 

在标识符文本框中输入标识符。单击添加。 

4. 重复步骤 2-3 以添加其他设备。您还可以为该设备添加其他标识符;只需以相同的显示名称添加其他 

标识符即可。 


添加多个设备 

1. 在网络视图中,展开配置组。在裸机服务器项的快捷菜单中,单击添加设备。 

2. 在标识符类型列表中,选择与您将导入的数据匹配的标识符类型。 

3. 在文本框中键入包含标识符信息的文本文件 (CSV) 位置(或单击浏览查找该文件),然后单击导入。 

在 CSV 文件中,各标识符应用逗号隔开。导入文件格式为标识符;显示名称。 

部署到 Linux 和 UNIX 服务器 

可以使用控制台的代理配置工具将代理部署到支持的 Linux 和 UNIX 操作系统中。有关 Linux 代理部署的详细 

信息,请参阅 Configuring Linux and UNIX device agents。 

关于“开始”页面(位于 Linux 代理配置下) 

Linux 代理配置的开始页面包含下列选项: 

配置名称:输入描述正在配置的配置名称。这可以是现有的配置名称,也可以是一个新名称。该名称 

将出现在代理配置窗口中。 

标准 LANDesk 代理、远程控制和软件分发:默认情况下会安装这些选件,并且不能禁用。 

LANDesk 漏洞扫描器:安装 Linux 版的漏洞扫描器。扫描器仅报告问题,而不修补问题。 

实时清单扫描和监视:从 LANDesk 管理控制台安装支持实时清单扫描和监视的代理。 

默认设置:将选项重置为默认设置(禁用 LANDesk 漏洞扫描器选项)。 

363

用户指南 

关于“标准 LANDesk 代理”页面(位于 Linux 代理配置下) 

Linux 代理配置的标准 LANDesk 代理页面包含下列选项: 

364 

代理身份验证的可信证书:证书控制可以管理设备的核心服务器。检查要随此配置安装的核心服务器 

证书。有关详细信息,请参阅 "代理安全证书和可信证书" 在页面 243。 

此页面上的其他选项灰显,不适用于 Linux 代理配置。 

关于“清单扫描器”页面(位于 Linux 代理配置下) 

Linux 代理配置的清单扫描器页面包含下列选项: 

开始清单扫描:可以选择每日、每周或每月。所选的选项向服务器的 cron.daily、cron.weekly 或 

cron.monthly 文件添加一条运行清单扫描器的命令。 

关于“系统管理器”页面(位于默认 Windows 配置下) 

如果在核心服务器上安装了“系统管理器”,则“系统管理器”页面可用。此页面包含以下选项: 

安装监视:在设备上安装“系统管理器”监视代理。此代理会向核心服务器报告设备的健康。您可以根 

据监视代理数据,在“系统管理器”控制台中配置警报。 

监视和警报:选择要在配置中包括的所有监视和/或警报规则集。这些规则集存储在 ldlogon/alertrules 

文件夹中。在“系统管理器”的监视或警报工具中可创建新的规则集。要在下拉列表中显示新创建的规 

则集,必须在“系统管理器”控制台中为自定义规则集生成 XML。

“修补程序和遵从性”帮助 


在“修补程序和遵从性”工具窗口(工具 > 安全 > 修补程序和遵从性)中,您可以执行安全扫描、修复以及相关 

任务。您可以下载并管理安全内容、配置安全和遵从性扫描、配置修复、自定义并应用安全扫描器的显示/交 

互设置,以及查看与扫描设备安全相关的综合信息。 

"修补程序和遵从性" 在页面 15 的主要部分介绍了这一安全管理工具。在此部分,您将会找到概述和安全内容 

订阅信息,以及如何使用工具所有功能的分步说明(包括工具界面和功能的描述),请参阅 "了解和使用“修补 

程序和遵从性”工具" 在页面 20。 

本节包括以下联机帮助,其描述了“修补程序和遵从性”对话框。在控制台界面中,您可以通过单击它们各自对 

话框中的帮助按钮来访问这些帮助部分。 

"“修补程序和遵从性”工具窗口帮助" 在页面 365 

"下载安全内容更新帮助" 在页面 367 

"定义属性帮助" 在页面 370 

"检测规则属性帮助" 在页面 372 

"修补程序和遵从性任务帮助" 在页面 378 

"“修补程序和遵从性”设置帮助" 在页面 382 

"“修补程序和遵从性”工具栏帮助" 在页面 389 

“修补程序和遵从性”工具窗口帮助 

关于“选择列”对话框 

使用此对话框可为“修补程序和遵从性”工具窗口中的项列表配置数据列。您可以决定显示哪些数据列,这样便 

可以对很长的下载安全定义列表进行排序,从而快速、容易地找到针对特定任务或情况的所需信息。 

使用 CVE ID 数据列 

LANDesk 安全产品支持 CVE(公共漏洞和隐患)命名标准。利用“修补程序和遵从性”,您可以根据漏洞的 CVE 名称搜索 

漏洞,查看已下载漏洞定义的 CVE 信息。有关 CVE 命名约定、LANDesk 与 CVE 标准的兼容性以及如何在修补程序和遵 

从性中使用 CVE 标识查找各个漏洞的详细信息,请参阅 "使用 CVE 名称搜寻漏洞" 在页面 46。 

通过添加和删除数据列,以及将其在列表中上下移动(在列视图中左右移动),可以确保重要的相关信息位于 

前面和中间。 

可用列:列出数据列,这些列当前没有显示在“修补程序和遵从性”工具窗口中,但可用于添加到“已选 

列”列表中。 

已选列:列出当前显示在“修补程序和遵从性”窗口中的数据列。数据列在下载的安全定义列表中从左 

到右显示,其顺序与此处从上到下的显示顺序相同。 

默认:恢复默认显示的数据列。 

关于“管理筛选器”对话框 

使用此对话框管理筛选器,可以使用这些筛选器自定义安全内容,这些内容将显示在“修补程序和遵从性”窗口 

的项列表中。可以使用筛选器简化冗长的列表。 

新建:打开“筛选器属性”对话框,可在其中配置新的筛选器设置。 

编辑:打开“筛选器属性”对话框,可在其中修改和保存选定的筛选器。 

删除:从数据库中永久删除选定的筛选器。 

使用筛选器:将选定的筛选器应用到当前的项列表中。在树视图中单击不同的组时应用的筛选器将保 

留。 

365

用户指南 

关于“筛选器属性”对话框 

使用此对话框可创建或编辑安全内容列表筛选器。可以根据操作系统、安全风险严重性或二者的组合来进行筛 

选。 

366 

筛选器名称:通过唯一的名称来标识筛选器。此名称显示在筛选器的下拉列表中。 

筛选器操作系统:指定要在项列表中显示其定义的操作系统。只显示与选定的操作系统相关联的项。 

筛选器严重性:指定要在项列表中显示其定义的严重性。只显示其严重性与选定的严重性相匹配的 

项。

下载安全内容更新帮助 

关于“下载更新”对话框 


在该对话框中,可以配置的设置包括:下载安全内容更新、代理服务器、修补程序文件下载位置、间谍软件自 

动修复以及防病毒更新和备份。 

在“下载更新”对话框中的页上指定要下载的内容更新类型和其他选项之后: 

要立即下载,请单击立即更新。如果单击应用,将保存指定的设置并在下次打开此对话框时显示。如 

果单击关闭,将提示您是否保存这些设置。 

要计划某个下载安全内容的任务,单击计划更新打开计划更新信息对话框,为此任务输入名称,验证 

任务的信息,然后单击确定将此任务添加到“计划任务”列表中。 

要保存对该对话框的任何页所做的更改,请单击应用。 

下载更新对话框包含以下页: 

"关于“更新”页面" 在页面 367 

"关于“代理设置”页面" 在页面 368 

"关于“修补程序位置”页面" 在页面 369 

"关于“LANDesk Antivirus”页面" 在页面 369 

安全内容下载注意事项 

Security Suite 内容订阅 

LANDesk Management Suite 基本安装允许您下载和扫描 LANDesk 软件更新,创建和使用您自己定制的定 

义。对于所有其他安全内容类型,如特定平台的漏洞、间谍软件等,则必须订阅 LANDesk Security Suite 内 

容,以便下载相关的定义。 

有关安全套件内容订阅的信息,请联系 LANDesk 销售商,或访问 LANDesk 网站。 


请注意,只保存定义类型、语言以及定义和修补程序下载设置,并且这些设置在您创建特定任务时与该任务关 

联。这三个设置被视为任务特定的设置。 

但是,“下载更新”对话框中其他页上的所有设置都是全局的,这意味着它们可以应用到所有后续安全内容下载 

任务。全局设置包括:修补程序下载位置、代理服务器、间谍软件自动修复、安全警报和防病毒设置。这样, 

无论何时更改全局设置,它对所有安全内容下载任务都是有效的。 

关于“更新”页面 

选择更新源站点:指定 LANDesk Security 内容服务器,通过访问该服务器可将最新的定义、检测规 

则和相关修补程序下载到您的数据库中。选择距您最近的服务器。 

定义类型:指定更新哪些安全内容定义。只有那些已订阅的定义类型可用。选择的定义类型越多,下 

载所需的时间就越长。 

下载安全内容后,可使用“修补程序和遵从性”工具主窗口中的类型下拉列表确定在列表中显示哪些定 

义类型。有关使用列表选项的信息,请参阅 "类型下拉列表" 在页面 22。要了解安全扫描器如何为不同 

的定义类型工作,请参阅 "“修补程序和遵从性”如何扫描不同的安全风险" 在页面 48。 

语言:指定要更新的所选定义类型的语言版本。 

367

用户指南 

368 

某些漏洞和其他定义类型,以及任何相关联的修补程序均非特定语言或者说与语言无关,这意味着它 

们能与任何语言版本存在该漏洞的操作系统或应用程序相兼容。换言之,您无须用一个某语言专用 

的、唯一的修补程序来修补这些漏洞,因为该修补程序就适用于所有支持的语言。例如,Linux 和 

UNIX 平台只使用与语言无关的定义和修补程序。而 Microsoft Windows 和 Apple Macintosh 平台漏洞 

定义和修补程序通常有特定的语言。 

对任何平台下载内容时(具有相应的安全内容订阅),默认情况下会自动更新选定的所有平台的与语 

言无关的漏洞定义。如果选择了 Windows 或 Mac 内容类型,那么还必须选择要更新其定义的特定语 

言。如果选择的是 Sun Solaris 或 Linux 平台,则没有必要选择一种特定的语言,因为它们的内容与语 

言无关,将会自动更新。 

为以上选定的定义下载修补程序:根据以下下载选项之一,自动将修补程序可执行文件下载到指定的 

下载位置(见“修补程序位置”页面): 

只针对已检测到的漏洞定义:只下载与上次安全扫描检测到的漏洞、安全威胁或 LANDesk 更 

新(即当前存在于“已检测到”组中的定义)相关的修补程序。 

对于所有下载的定义:下载与漏洞、安全威胁以及“扫描”组中当前存在的 LANDesk 软件更新 

相关的所有修补程序。 

使用“进程管理器”启用自动修补程序部署:可让您配置所需的 LANDesk Process Manager 数据库以 

使用集成的自动修补程序部署功能。 

配置“进程管理器”:打开“自动化修补程序部署”对话框,该对话框说明 LANDesk“进程管理器”与“修补 

程序和遵从性”工具之间的集成功能,可让您创建工作流以自动将修补程序部署到 LANDesk 网络上的 

目标设备。您还可以选择查看带领您完成此过程的产品教程。LANDesk Process Manager 包括您可以 

随时访问的联机帮助,提供关于其功能以及如何使用这些功能的详细信息。 

将新定义放入“未分配”组(除非被定义组设置覆盖):自动将新定义和相关检测规则放入“未分配” 

组,而不是默认的“扫描”组。如果希望手动将内容从“扫描”组中移入或移出,以便自定义安全扫描,则 

应选择此选项。 

注意:如果定义从属于另外一个在其他组已存在的定义,比如“扫描”或“不扫描”组,那么即使选择了此 

选项,它们仍将被自动放入那个组。换句话说,从属关系替代了此选项,从而最近下载的(新的)定 

义将会同它从属的定义在同一个组。 

注意:即使选择了此选项,选择放入“警报”组的定义(在配置警报对话框中)也将自动放入“扫描”组, 

从而正确的警报将会发生。 

注意:对于被禁止的应用程序类型来说,默认的下载地址有所不同。被禁止的应用程序定义将默认下 

载到“未分配”组中,而不是“扫描”组中。因此,如果下载的只是受阻应用程序定义,那么不必选择此选 

项。 

定义组设置:打开“定义组设置”对话框,您可在此处创建、管理和选择定义组。可使用定义组设置自 

动设置与指定类型和严重性标准匹配的安全定义(内容)的下载方式、其扫描状态以及下载位置。 

关于“代理设置”页面 

如果您的网络使用代理服务器进行外部传输(如 Internet 访问),可使用该页来启用和配置代理服务器设置。 

无论是更新漏洞信息还是从适当的 Web 服务下载修补程序文件都要求能访问 Internet。 

使用代理服务器:启用代理服务器选项(默认情况下,不启用该选项)。如果要启用代理服务器,则 

必须在以下地址和端口字段中输入值。 

服务器: 

地址:指定代理服务器的 IP 地址。 

端口:指定代理服务器的端口号。


基于 HTTP 的代理:启用代理服务器(如果它是基于 HTTP 的代理,例如 Squid),使其成功连接到 

FTP 站点并从 FTP 站点下载修补程序。(某些 FTP 站点提供的修补程序必须在启用该选项时才能通 

过基于 HTTP 的代理下载。 

要求登录:如果代理服务器不是透明的,而是需要凭据,则选中它可在以下字段中输入用户名和密 

码。 

用户名:输入包含代理服务器身份验证凭据的有效用户名。 

密码:输入用户密码。 

关于“修补程序位置”页面 

使用此页指定修补程序可执行文件的下载路径。 

修补程序保存的 UNC 路径:指定修补程序文件的下载路径。默认位置为核心服务器的 

\LDLogon\Patch 文件夹。您可以输入其他 UNC 路径来下载修补程序,但必须在以下字段中输入有效 

的身份验证凭据来确保有该位置的访问权限。 

用于存储修补程序的凭据:指定访问核心服务器以外的位置时所需的有效用户名和密码。如果将修补 

程序下载到核心服务器的默认位置,用户名和密码字段将不适用。 

Web URL,客户端通过它访问修补程序:指定设备能访问到要部署的已下载修补程序的 Web 地址。 

默认位置为核心服务器的 \LDLogon\Patch 文件夹。该位置通常与前面指定的 UNC 路径相同。 

测试设置:执行指定 Web URL 的连接测试。 

重置为默认值:将 UNC 路径和 Web URL 恢复为默认位置,即核心服务器的 \LDLogon\Patch 文件 

夹。 

关于“LANDesk Antivirus”页面 

使用此页可配置 LANDesk Antivirus 病毒定义文件下载选项。请记住:此页仅适用于 LANDesk Antivirus 所使 

用的实际的病毒定义文件,而不适用于更新页的定义列表中所提供的防病毒扫描器检测内容(防病毒更 

新)。 

有关详细信息,请参阅 "关于“下载更新”对话框中的 LANDesk Antivirus 页面" 在页面 334。 

369

用户指南 

定义属性帮助 

关于“定义属性”对话框 

使用此对话框查看已下载内容定义类型的属性,包括漏洞、间谍软件、安全威胁、软件更新等。还可使用此 

页创建自己的用户定义。 

已下载定义的信息为只读信息。对于用户定义,该对话框中的字段可编辑。在该对话框和检测规则属性对话框 

的可用字段中,可输入用户定义的标识、属性和检测规则详细信息等。有关详细信息,请参阅 "创建用户定义 

和检测规则" 在页面 40。 

使用左箭头和右箭头按钮()可以按定义在主窗口中的当前排列顺序查看上一定义或下一定义的属性信 

息。 

“定义属性”对话框包含以下页: 

370 

"关于“定义”:“常规”页面" 在页面 370 

"关于“定义”:“说明”页面" 在页面 370 

"关于“定义”:“从属关系”页面" 在页面 371 

"关于“定义”:“自定义变量”页面" 在页面 371 

关于“定义”:“常规”页面 

ID:通过一个由供应商定义的(或用户定义中由用户自己定义的)唯一字母数字代码来标识选定的定 

义。 

类型:将选定的项标识为漏洞、安全威胁、用户定义等。 

发布日期:指示供应商发布(或用户创建)所选定义的日期。 

标题:采用简短的文本字符串描述所选定义的性质或目标。 

严重性:指示定义的严重级别。对于已下载内容,此严重性级别由供应商指定。对于用户定义漏洞, 

其严重性级别由该定义的创建者指定。可能的严重级别包括:Service Pack、严重、高级、中级、低 

级、不适用和未知。使用此信息来评估该定义带来的风险,并确定是否需要对网络进行紧急扫描和修 

补。 

状态:指示“修补程序和遵从性”窗口中的定义的状态。状态分为三种:“扫描”,表示下次安全扫描时将 

扫描所选项目;“不扫描”,表示不扫描所选项目;“未分配”,表示这是一个临时的存储区域,并且不会 

扫描其中的项。要了解这三个状态/组的详细信息,请参阅 "了解和使用“修补程序和遵从性”工具" 在页 

面 20。 

语言:指示由定义标识的平台语言。对于用户定义,INTL 为默认值,这表示定义与语言无关且不能编 

辑。 

类别:指示单个安全内容类型中更为特定的类别(如上所述)。 

检测规则:列出与所选定义关联的检测规则。请注意,已下载指示相关的修补程序文件是否已下载到 

本地的存储库,无提示安装指示安装该修补程序时是否需要用户交互。 

右击某一检测规则来下载其相关的修补程序、禁用/启用安全扫描的检测规则、卸载其相关的修补程序或查看 

属性。也可双击某个检测规则以查看其属性。 

处理用户定义时,单击添加将创建新的检测规则;单击编辑将修改选定的规则;单击删除将删除选定的规 

则。有关自定义漏洞的详细信息,请参阅 "创建自定义检测规则" 在页面 42。 

关于“定义”:“说明”页面 

说明:提供有关所选漏洞的其他详细信息。该信息由供应商的研究和测试报告提供(或者由创建用户 

定义的用户提供)。


详细信息:提供特定供应商(或用户定义的)网页的 HTTP 链接,通常为技术支持站点,包含有关所 

选定义的详细信息。 

CVE ID 的详细信息:(仅适用于漏洞)提供选定漏洞的 CVE ID(名称),以及指向该特定 CVE ID 

的 CVE Web 页的链接。有关详细信息,请参阅 "使用 CVE 名称搜寻漏洞" 在页面 46。 

关于“定义”:“从属关系”页面 

只有在选定的定义有关联的前提条件定义,或者如果另一个定义的运行取决于选定的定义时,该页才会显示。 

使用此选项页可以在扫描设备之前,确保安全扫描任务包含正常运行必需的所有定义。 

相关性关系只能存在于以下的安全定义类型中: 

前提条件:列出任何必须在检查设备上的选定定义之前运行的定义。如果该列表中的任意一个定义不 

包括在扫描任务中,那么安全扫描器将不会检测选定的定义。 

相关性:列出任何直到运行选定定义之后,安全扫描器才会检测的定义。请注意:如果安全扫描任务 

不包括这些定义,选定的定义仍会得到扫描。但是如果希望扫描任务能成功检测到此列表中的定义, 

那么必须先运行选定的定义。 

关于“定义”:“自定义变量”页面 

该页只有在选定的安全定义包括可以修改的设置和值时才会显示。一些系统配置安全威胁定义具有变量设置, 

可以更改这些设置然后再将其加入安全扫描中。通常,防病毒定义还有自定义变量设置。 


的条件,并且仅在该条件得到满足(即检测到您所指定的值)时才确定设备易受攻击。 


要编辑自定义变量设置,LANDesk 用户必须具有基于“编辑自定义变量”角色的管理权限。使用用户工具可配置权限。 

每个具有可自定义变量的安全定义都有唯一的一组可以修改的特定值。但在每种情况下,自定义变量页都将 

显示以下公共信息: 

名称:标识自定义变量。名称无法修改。 

值:标识自定义变量的当前值。只要此变量不是只读变量,就可双击该字段来更改值。 

说明:提供来自定义发行者的有关此自定义变量的其他有用说明。 

默认值:如果更改了默认值并希望将其还原为原始值,可使用此选项。 

要更改某个自定义变量,请双击值字段,如果有可用的下拉列表,那么从中选择一个值或者手动编辑该值, 

然后单击应用。请注意:某些变量为只读变量,无法编辑(通常说明中有提示)。 

在设备的“清单”视图中可以查看自定义变量替代设置信息。 

自定义变量替代设置 

在某些情况下,可能想要忽略自定义变量设置,或者换言之,要创建规则的例外情况。可以使用称为自定义变量替代设置的 

功能来执行此操作。使用自定义变量替代设置,您可以决定扫描设备时哪些自定义变量实际上要忽略,这样,即使这些变量 

符合某个定义的检测规则中的实际条件,也不会被检测为漏洞而进行修复。可以根据需要创建多个自定义变量替代设置,并 

使用更改设置任务将其应用于设备。有关详细信息,请参阅 "关于“自定义变量替代设置”对话框" 在页面 386。 

371

用户指南 

检测规则属性帮助 

关于“检测规则”属性对话框 

使用该对话框查看下载的安全内容的检测规则属性,或创建并编辑自定义检测规则。 

该信息对属于已下载定义的检测规则是只读的。对于用户定义,该对话框的页面中的字段可编辑。可以指定检 

测规则设置,并在每页中配置选项,以便创建自定义的检测规则。此外,若自定义检测规则允许修补,还可添 

加在修补期间(修补程序安装或卸载)运行的特殊命令。 

使用左箭头和右箭头按钮()可以按漏洞在主窗口中的当前排列顺序查看上一检测规则或下一检测规则 

的属性信息。 

“检测规则属性”对话框包含以下页面: 

372 

"关于“检测规则”:“常规信息”页面" 在页面 372 

"关于“检测逻辑”:“受影响的平台”页面" 在页面 372 

"关于“检测逻辑”:“受影响的产品”页面" 在页面 372 

"关于“检测逻辑”:“用于检测的文件”页面" 在页面 373 

"关于“检测逻辑”:“用于检测的注册表设置”页面" 在页面 373 

"关于“检测逻辑”:“自定义脚本”页面" 在页面 374 

"关于“修补程序信息”页面" 在页面 374 

"关于“检测修补程序”:“用于已安装修补程序检测的文件”页面" 在页面 375 

"关于“检测修补程序”:“用于已安装修补程序检测的注册表设置”页面" 在页面 375 

"关于“修补程序安装命令”页面" 在页面 376 

"关于“修补程序卸载命令”页面" 在页面 377 

关于“检测规则”:“常规信息”页面 

名称:显示检测规则的名称。 

状态:指示将检测规则设置为扫描或不扫描。这两个状态分别对应“修补程序和遵从性”窗口中(“检测 

规则”下)的“扫描”和“不扫描”组。 

ID:显示与此规则相关的定义的 ID。 

标题:显示与规则相关的定义标题。 

说明:显示与规则相关的定义说明。 

注释:提供来自供应商的其他信息(如果有)。如果您在创建或编辑用户定义时,可在此处输入自己 

的注释。 

“检测逻辑”页面 

以下页面引用选定检测规则使用的检测逻辑,以确定漏洞定义(或其他类型的定义)是否存在于所扫描的设备 

中。 

关于“检测逻辑”:“受影响的平台”页面 

指示运行安全扫描器以检查与这一规则相关定义的操作系统。换言之,只有与选定平台匹配的设备将尝试处理 

此规则。必须至少选择一个平台。如果目标设备运行的是不同的操作系统,安全扫描器就退出。 

关于“检测逻辑”:“受影响的产品”页面 

产品:列出要使用检测规则检查的产品,并确定相关定义是否存在于扫描的设备上。在列表中选择产 

品来查看其名称、供应商和版本信息。您不一定需要有与检测规则相关联的产品。关联产品在安全扫


描过程中起筛选器的作用。如果在设备上没有发现任何指定的关联产品,安全扫描就退出。但是,如 

果没有指定产品,扫描就继续检查文件。 

如果您创建或编辑的是自定义检测规则,请单击配置以打开一个新的对话框,您可以在该对话框中添加或删 

除列表中的产品。可用产品的列表取决于您通过 LANDesk Security 服务更新的安全内容。 

名称:提供所选产品的名称。 

供应商:提供供应商的名称。 

版本:提供所选产品的版本号。 

关于“检测逻辑”:“用于检测的文件”页面 

文件:列出文件条件(存在、版本、日期、大小等),这些条件决定了关联的定义是否存在于扫描的 

设备上。选择列表中的文件来查看其验证方法和预期的参数。如果全部文件条件均得到满足,那么表 

示设备没有受到影响。换言之,如果这些文件条件中有一个不满足,即可判定该设备上存在该漏洞。 

如果列表中没有文件条件,扫描就继续检查注册表。 

如果您创建或编辑的是自定义检测规则,请单击添加使字段可以编辑,使您可以配置新的文件条件和 

预期的值/参数。规则可以包括一个或多个文件条件,看您希望它有多复杂而定。要保存文件条件,请 

单击更新。要删除列表中的文件条件,请选择该文件条件并单击删除。 

用以下方法验证:指示用于验证指定的文件条件是否在扫描的设备上得到满足的方法。例如,检测规 

则可以扫描文件的存在、版本、日期、大小等。出现在验证方法下的预期的参数由方法本身决定(请 

参阅以下列表)。 

如果您创建或编辑的是自定义检测规则,请从用以下方法验证下拉列表中选择验证方法。上面说过, 

参数字段对于每个验证方法是不一样的,如下列表所述: 

请注意,递归搜索文件选项适用于除 MSI 方法以外的所有文件验证方法,该选项使扫描程序在指定的 

路径位置和任何存在的子文件夹中搜索文件。 

仅文件存在:通过扫描查找指定的文件验证。参数为:路径(文件在硬盘上的位置,包括文件名)和 

要求(必须存在或必须不存在)。 

文件版本:通过扫描查找指定的文件及其版本号验证。参数为:路径、最低版本和要求(必须存在、 

必须不存在或可以存在)。 

请注意,对于“文件版本”、“日期”和“大小”参数,可以在指定文件路径和名称后单击收集数据按钮自动填充恰 

当的值字段。 

文件日期:通过扫描查找指定的文件及其日期验证。参数为:路径、最早日期和要求(必须存在、必 

须不存在或可以存在)。 

文件大小和/或校验和:通过扫描查找指定的文件及其大小或校验和值验证。参数为:路径、校验 

和、文件大小和要求(必须存在、必须不存在或可以存在)。 

已安装的 MSI 产品 ID:通过扫描确保已经安装了指定的 MSI 产品(由 Microsoft Installer 实用程序安 

装的产品)验证。参数为:Guid(产品的全球唯一的标识符)。 

未安装的 MSI 产品 ID:通过扫描确保没有安装指定的 MSI 产品验证。参数为:Guid。 

关于“检测逻辑”:“用于检测的注册表设置”页面 

注册表:列出用于确定扫描的设备上是否存在相关漏洞(或其他类型)的注册表项条件。选择列表中 

的注册表项,查看其预期的参数。如果这些条件中有一个不满足,即可判定该设备上存在该漏洞。 

重要说明:如果列表中没有注册表条件,而且“文件”页面上没有文件条件,那么扫描将失败。换句话说,检测规则必须至少 

有一个文件或注册表条件。 

如果您创建或编辑的是自定义检测规则,请单击添加使字段可以编辑,使您可以配置新的注册表项条件和预 

期的参数。一个规则可以包括一个或多个注册表条件。要保存注册表条件,请单击更新。要删除列表中的注 

册表条件,请选择该注册表条件并单击删除。 

注册表项:标识注册表项预期的文件夹和路径。 

373

用户指南 

374 

名称:标识项的预期的名称。 

值:标识项的预期的值。 

要求:指示注册表项是否必须或必须不在目标设备上存在。 

关于“检测逻辑”:“自定义脚本”页面 

如果要编写一个自定义 VB 脚本在扫描的设备上检查其他条件,可使用此页面。安全扫描器的运行时间属性 

(可使用自定义脚本访问这些属性并报告结果)包括:“检测结果”、“原因”、“预期结果”和“查找结果”。 

单击使用编辑器按钮可打开与此文件类型关联的默认脚本编辑工具。关闭工具时,系统会提示您保存“自定义 

脚本”页面中所做的更改。如果希望使用其他工具,必须更改文件类型关联。 

关于“自定义漏洞的产品属性”:“常规信息”页面 

当创建包含自定义产品的自定义漏洞定义时使用这些对话框。 

您可以输入名称、供应商和版本号,然后定义确定漏洞是否存在的条件的检测逻辑。 

这些对话框与用于下载已发布漏洞定义的属性对话框类似。请参阅上述相应的部分。 

此页包含以下选项: 

受影响的产品:列出受此自定义漏洞定义影响的产品。 

可用产品:列出所有下载的产品。 

按受影响的平台列出可使用筛选器的产品:将可用产品列表限制为仅列出那些与您在“检测逻辑:受影 

响的平台”页面上的所选平台相关的产品。 

添加:打开“属性”对话框,在其中创建自定义产品定义。 

关于“自定义漏洞的产品”:“检测逻辑”页面 

以下页面引用选定检测规则使用的检测逻辑,以确定漏洞定义(或其他类型的定义)是否存在于所扫描的设备 

中。 

这些对话框与用于下载由上述供应商发布的已知 OS 和应用程序漏洞定义的检测逻辑对话框类似。有关这些 

选项的信息,请参阅上述相应的部分。 

关于“自定义漏洞的产品”:“检测逻辑”:“用于检测的文件”页面 

请参阅上面的“检测逻辑:用于检测的文件”页面。 

关于“自定义漏洞的产品”:“检测逻辑”:“用于检测的注册表设置键值”页面 

请参阅上面的“检测逻辑:用于检测的注册表设置”页面。 

关于“自定义漏洞的产品”:“检测逻辑”:“自定义检测脚本”页面 

请参阅上面的“检测逻辑:自定义脚本”页面。 

关于“修补程序信息”页面 

使用此页面可定义和配置规则的相关修补程序文件(如果需要修补),以及用于检测修补程序是否已安装的逻 

辑信息。还可以为自定义的修补操作配置附加的修补程序文件安装或卸载命令。 

该页面和其下的几个页面将引用修补漏洞所需的修补程序文件。只有当选定的检测规则允许通过部署修补程序 

文件修补漏洞时才可使用这些页面。如果检测规则被限定为仅扫描,或安全内容类型不使用修补程序文件进行 

修补(如存在安全威胁或间谍软件等情况),那么这些页面不相关。


使用修补程序修复,或仅检测:单击这些选项之一,指定检测规则只检查相关定义是否存在(仅检 

测),或是否也可通过部署和安装所需的修补程序修补该定义。 

修补程序下载信息: 

修补程序 URL:显示修补程序文件的完整路径和文件名,如果检测到选定的定义,将使用该 

文件进行修补。这是修补程序文件的下载位置。 

可自动下载:指示是否可以自动从托管服务器下载修补程序文件。如果不希望通过规则的快捷 

菜单下载修补程序文件,可将此选项与自定义检测规则结合使用。例如,如果有防火墙阻止对 

托管服务器的访问,可能需要避免自动下载修补程序。 

下载:如果创建或编辑执行修补操作的自定义检测规则,而且已经输入了修补程序文件名和 

URL,就可以单击下载,以尝试在此时下载修补程序文件。如果愿意的话,也可以在以后下载 

修补程序文件。 

修复信息: 

唯一文件名:指示修补程序文件的唯一可执行文件名。 

请注意,强烈建议在下载修补程序文件时,单击生成 MD5 哈希值为修补程序文件创建哈希 

值。(大多数(如果不是全部)已知的漏洞关联的修补程序文件应该有一个哈希值。)必须先 

下载修补程序文件才可以创建哈希值。哈希文件用来确保修补过程中(即在部署和安装到有漏 

洞的设备时)修补程序文件的完整性。安全扫描器是通过比较以下两个哈希值来确定完整性 

的:您单击“生成 MD5 哈希值”按钮创建的哈希代码,以及扫描器在尝试将修补程序库中的修补 

程序文件安装到设备之前生成的新哈希值。如果两个哈希文件匹配,修补过程就继续。如果两 

个哈希文件不匹配,说明修补程序文件在下载到存储库中之后已经发生了更改,修补进程就退 

出。 

需要重新启动:指示在完成修补程序文件的安装和设备的配置过程前,是否需要重新启动设 

备。 

无提示安装:指示是否允许修补程序文件在无任何最终用户交互的情况下完成安装。 

检测修补程序页面 

以下页面引用检测逻辑,规则将使用这些逻辑来检查是否已在设备上安装了一个修补程序。 

重要说明:必须满足所有指定的文件和注册表设置条件,才能检测安装在设备上的修补程序文件。 

关于“检测修补程序”:“用于已安装修补程序检测的文件”页面 

此页面指定了用于确定修补程序文件是否已在设备上安装的文件条件。此页面中的选项与定义检测逻辑“文件” 

页面中的选项相同(见上文)。但是,当检测修补程序的安装时,逻辑的工作顺序相反。换言之,当检查修补 

程序的安装时,必须满足此页面中指定的所有文件条件才能确定修补程序已安装。 

关于“检测修补程序”:“用于已安装修补程序检测的注册表设置”页面 

此页面指定了用于确定修补程序文件是否已在设备上安装的注册表项条件。此页面中的选项与定义检测逻辑 

“注册表设置”页面中的选项相同(见上文)。但在这种情况下,逻辑顺序相反。换言之,当检查修补程序的安 

装时,必须满足此页面中指定的所有注册表条件才能确定修补程序已安装。 

重要说明:必须满足所有指定的文件和注册表设置条件,才能检测安装在设备上的修补程序文件。 

“修补程序安装和卸载”页面 

以下页面允许您配置附加命令,在受影响的设备上安装或卸载修补程序时可以运行这些命令。 

只有允许修复的用户定义可使用此选项。 

如果需要在目标设备编排特定的操作来保证修补的成功,这些命令就很有用。不需要其他命令。如果不配置任 

何其他命令,修补程序文件就按缺省值自己执行。请牢记,如果确实配置了一个或多个其他命令,那么必须包 

括一个执行实际修补程序文件的“Execute”命令。 

375

用户指南 

关于“修补程序安装命令”页面 

使用此页配置修补程序安装任务的附加命令。修补程序安装和卸载的可用命令相同。 

376 

命令:按照命令在目标设备运行的顺序列出命令。选择命令,查看其参数。可以用上移和下移按钮更 

改命令的顺序。要从该列表中删除命令,请选择该命令,然后单击删除。 

添加:打开一个对话框,您可以选择要添加到“命令”列表中的命令的类型。 

命令参数:显示定义所选命令的参数。参数的值可以编辑。要编辑任何参数,请双击该参数的值字 

段,然后直接在字段中输入。对于所有类型的命令,您还可以右击值字段来将一个宏/变量插入该参 

数。 

以下列表列出了这些命令及其参数: 

复制:将文件从指定的源复制到目标设备的硬盘上指定的目标。该命令可以在执行修补程序文件本身 

前后使用。例如,用 Unzip 命令将压缩文件的内容解压缩后,您可能想要将文件从一个位置复制到另 

一个位置。 

“Copy”命令的参数有:Dest(复制文件的目的位置的完整路径,不包括文件名)和 Source(待复制文 

件的完整路径和文件名)。 

Execute:在目标设备上运行修补程序文件或任何其他执行文件。 

“Execute”命令的参数有:Path(可执行文件的完整路径和文件名;对于修补程序文件,可以使用 

%SDMCACHE% 和 %PATCHFILENAME% 变量)、Args(可执行文件的命令行选项;请注意该字段 

不是必填的)、Timeout(如果“等待”参数设置为“是”,在继续列表中的下一个命令前,等待可执行文 

件结束的秒数)和 Wait(为是否值,决定在继续列表中的下一个命令前是否等待可执行文件结束)。 

ButtonClick:自动单击在可执行文件运行时显示的指定按钮。如果可执行文件要求这样的交互,可以 

使用该命令设置按钮单击。 

为了使 ButtonClick 命令正常工作,前面的“Execute”命令的“Wait”参数必须设置为否,使可执行命令不 

必在继续按钮单击操作前结束。 

“ButtonClick”命令的参数有:Required(是否值,表明要继续是否必须单击按钮;如果选择“对”,而且 

出于任何原因不能单击该按钮,修补程序就退出;如果选择“否”,而且不能单击按钮,修补程序将继 

续)、ButtonIDorCaption(指示您要单击其文本标签或控制 ID 的按钮)、Timeout(可执行文件运行 

时,你要单击的按钮出现所需要的秒数)和 WindowCaption(指示您要单击的按钮所在的窗口或对话 

框)。 

ReplaceInFile:编辑目标设备上的文本文件。如果要在执行修补程序文件以确保其正常运行之前或之 

后要对文本文件(例如 .INI 文件中的某个值)作出任何修改,请使用该命令。 

“ReplaceInFile”命令的参数有:Filename(要编辑的文件的完整路径和名称)、ReplaceWith(要添加 

到文件中的确切的文本字符串)和 Original Text(文件中要替换的确切文本字符串)。 

StartService:启动目标设备上的服务。使用该命令启动运行修补程序文件所需的服务,或者用来重 

新启动为使修补程序文件运行而被要求停止的服务。 

“StartService”命令的参数有:Service(服务的名称)。 

StopService:启动目标设备上的服务。如果必须在设备上停止某个服务才能安装修补程序文件,请 

使用该命令。

“StopService”命令的参数有:Service(服务的名称)。 


Unzip:在目标设备上解压缩压缩文件。例如,如果修补要求目标设备上运行或复制一个以上的文 

件,您就可以使用该命令。 

“Unzip”命令的参数有:Dest(设备硬盘上要将压缩文件的内容解压的完整路径)和 Source(压缩文 

件的完整路径和文件名)。 

WriteRegistryValue:将值写入注册表。 

“WriteRegistryValue”命令的参数有:Key、Type、ValueName、ValueData、WriteIfDataEmpty 

关于“修补程序卸载命令”页面 

使用此页为修补程序卸载任务配置其他命令。修补程序安装和卸载的可用命令相同。但是,“修补程序卸载命 

令”页面中包含两个唯一选项: 

可以卸载修补程序:指示是否可以从修补的设备上卸载修补程序文件。 

卸载时需要原始修补程序:指示在从扫描的设备上卸载修补程序时,是否必须访问核心服务器上的原 

始修补程序可执行文件本身。 

有关命令的信息,请参阅 "关于“修补程序安装命令”页面" 在页面 376。 

关于“下载相关修补程序”对话框 

使用此对话框下载修补所选漏洞所需的、但是当前核心服务器上(或在某个其他指定的修补程序存储库位置) 

没有的修补程序可执行文件。所需的修补程序必须位于指定的修补程序位置,才能成功地修补检测到漏洞的受 

管设备。 

名称:指示修补程序可执行文件的名称。 

漏洞:指示与此修补程序文件相关联的漏洞。 

已下载:显示修补程序文件是否已下载。 

可以下载:指示此修补程序是否可以自动下载,或者是否必须使用“修补程序和合规性”进程下载。 

仅显示当前所需的修补程序:仅显示此时修补所选漏洞所需的修补程序文件。也就是说,该列表将包 

括取代以前的修补程序的修补程序,但是不包括以前的修补程序。 

显示所有相关修补程序:显示与所选漏洞有关的所有修补程序的完整列表,无论修补程序是否取代以 

前的修补程序。 

下载:单击此选项从更新源站点下载修补程序文件。 

取消:取消下载操作。 

377

用户指南 

修补程序和遵从性任务帮助 

关于“创建安全扫描任务”对话框 

使用此对话框创建和配置一个计划任务,该计划任务将在目标设备上运行安全扫描器。 


用户必须具有 LANDesk Script Writers 组权限,才能在“修补程序和遵从性”工具中创建计划任务和策略(用于安全和遵从性 

扫描任务及修复任务)。换句话说,他们必须属于具有 LANDesk Script Writers 权限的组。有关基于角色的管理的详细信 

息,请参阅 "基于角色的管理" 在页面 211。 

您也可以在一个或多个目标设备上立即运行按需的安全或遵从性扫描。右击选定设备(或多达 20 个多选设 

备)后,或者单击安全扫描并选择扫描和修复设置,或者依次单击遵从性扫描和确定。 


378 

任务名称:输入标识该安全扫描任务的唯一名称。 

创建计划任务:将安全扫描任务添加到“计划任务”窗口中,在该窗口中可以配置该任务的计划和频率 

选项,并分配目标设备。 

创建策略:将安全扫描任务作为策略添加到“计划任务”窗口中,在该窗口中,您可配置策略选项。 

扫描和修复设置:指定扫描任务所使用的扫描和修复设置。扫描和修复设置决定了安全扫描器运行时 

是否在设备上显示、重新启动选项、用户交互和扫描的安全内容类型。从下拉列表中选择扫描和修复 

设置,将其分配到正在创建的安全扫描任务中。可以单击编辑以修改选定的扫描和修复设置的选项。 

也可以单击配置以创建一个新的扫描和修复设置。有关详细信息,请参阅 "关于“配置扫描和修复(和 

遵从性)设置”对话框" 在页面 382。 

关于“创建遵从性扫描任务”对话框 

使用此对话框可以创建和配置任务,该任务运行安全扫描器,以检查目标设备是否特别符合根据“遵从性”组中 

的内容所定义的安全策略。 

按需安全和遵从性扫描 

还可以在一个或多个目标设备上立即运行安全和遵从性扫描。右击选定设备(或多达 20 个多选设备)后,或者单击安全扫 

描并选择扫描和修复设置,或者依次单击遵从性扫描和确定。 


任务名称:输入标识该遵从性扫描任务的唯一名称。 

创建计划任务:将遵从性扫描任务添加到“计划任务”窗口中,在该窗口中,您可以配置该任务的计划 

和频率选项,并分配目标设备。 

确定目标机器,这些机器未报告的起始时间为:将遵从性扫描仅限定为自指定日期起一直未报告安全 

扫描结果的受管设备。 

立即开始:将任务添加到“计划任务”窗口后应立即将计划扫描任务设置为开始,这样可以无需手动设 

置计划选项。 

创建策略:将遵从性扫描任务作为策略添加到“计划任务”窗口中,在该窗口中,您可配置策略选项。 

关于“更改设置任务”对话框 

使用此对话框可以创建和配置任务,更改目标设备上的“修补程序和遵从性”服务的默认设置,包括: 

扫描和修复设置 

“遵从性”安全设置(仅适用于遵从性安全扫描) 

自定义变量替代设置


使用更改设置任务,可以方便地更改受管设备的默认设置(会写入设备的本地注册表中),无需重新部署完整 

的代理配置。 


创建计划任务:将任务添加到“计划任务”窗口时,在该窗口中,您可配置该任务的计划和频率选项, 



扫描和修复设置:指定安全扫描任务所使用的扫描和修复设置。扫描和修复设置决定了扫描器运行时 

是否在设备上显示、重新启动选项、用户交互和扫描的安全内容类型。从下拉列表中选择一种设置。 

单击编辑修改选定设置的选项。单击配置创建新设置。有关详细信息,请参阅 "关于“扫描和修复(以 

及遵从性)设置”对话框页" 在页面 382。 

遵从性设置:指定遵从性扫描任务所使用的遵从性设置。遵从性设置确定何时以及如何进行遵从性扫 

描、是否自动产生修补、以及/或 LANDesk Antivirus 检测到目标设备上的病毒感染时如何执行操作。 

自定义变量替代设置:在扫描包括自定义变量的安全定义(例如安全威胁和病毒)时,可以指定目标 

设备上所采用的自定义变量替代设置。自定义变量替代设置允许您指定安全扫描期间要忽略或绕过的 

值。在您不希望根据所定义的默认自定义变量设置将扫描过的设备确认为易于遭受攻击时,这会非常 

有用。从下拉列表中选择一种设置。从下拉列表中,还可以选择从目标设备删除自定义变量替代设 

置。删除自定义变量设置选项可允许您清除设备,使自定义变量设置完全有效。单击编辑修改选定设 

置的选项。单击配置创建新设置。有关详细信息,请参阅 "关于“自定义变量替代设置”对话框" 在页面 

386。 

关于“创建重新启动任务”对话框 

使用此对话框创建和配置一个通用重新启动任务。 

如果将安装修补程序(不重新启动)作为一个进程,而将重新启动这些修补后的设备单独作为一个任务时,便 

可使用重新启动任务。例如,可以在白天运行扫描或修补程序安装任务,而在更方便的时间为最终用户部署独 

立的重新启动任务。 

任务名称:用唯一的名称来标识任务。 

创建计划任务:单击确定后,将在“计划任务”窗口中创建一个重新启动任务。 

创建策略:单击确定时创建重新启动策略。 

扫描和修复设置:指定用于任务的扫描和修复设置的重新启动配置,以确定目标设备上的重新启动要 

求和操作。从下拉列表中选择扫描和修复设置,或单击配置以创建新的扫描和修复设置。 

关于“创建修复任务”对话框 

使用此对话框创建和配置以下定义类型的修复任务:具有相关修补程序的漏洞、间谍软件、LANDesk 软件更 

新、用户定义和安全威胁。安排修复选项不适用于禁用的应用程序。 

该对话框包含以下页: 

"关于“创建修复任务”:“常规”页面" 在页面 379 

"关于“创建修复任务”:“修补程序”页面" 在页面 380 

关于“创建修复任务”:“常规”页面 

任务名称:用唯一的名称标识修复任务。默认值是所选定义或自定义组的名称。如果需要,可以编辑 

此名称。 

作为计划任务修复:单击确定后,将在“计划任务”窗口中创建一个安全修复任务。 

分为暂存任务和修复任务:(可选)使您可以在“计划任务”工具中创建两个独立的任务;一个任务用 

于在目标设备的本地缓存中暂存所需的修补程序文件;一个任务用于将这些修补程序文件实际安装在 

受影响的设备上。 

379

用户指南 

380 

选择要修复的计算机:指定要将哪些设备添加到计划修复任务中。可以不选择设备、选择所有 

受影响的设备(上次安全扫描在该设备上检测到定义),或仅选中的受影响的设备(只有从设 

备“安全和修补程序信息”对话框中访问“计划修复”对话框时,最后一个选项才可用)。 

使用多播:启用定向多播以将修补程序部署到设备。如果要配置多播选项,可单击此选项,然 

后单击多播选项。有关详细信息,请参阅 "关于“多播选项”对话框" 在页面 380。 

作为策略修复:单击确定时创建安全修复策略。 

添加表示受影响的设备的查询:根据所选的定义新建查询,并将其应用到策略中。基于查询的 

策略将根据所选的定义搜索受影响的设备,并部署相关修补程序。 

仅从本地对等设备下载修补程序:限制为仅当修补程序文件位于设备的本地高速缓存中或同一 

子网中的对等设备上时才部署修补程序。使用此选项可节省网络带宽。但请注意,为了成功安 

装修补程序,修补程序文件当前必须位于以下两个位置之一。 

仅下载修补程序(不修复):将修补程序文件下载到修补程序存储库中,但不进行部署。可以 

使用此选项从保存方案中检索修补程序文件,在实际部署前用于测试目的。 

扫描和修复设置:指定修复任务使用的扫描和修复设置,以确定当安全扫描器运行时是否在设备上显 

示。从下拉列表中选择扫描和修复设置,或单击配置以创建新的扫描和修复设置。 

关于“创建修复任务”:“修补程序”页面 

使用此页可以仅显示所需的修补程序,也可以显示与所选漏洞有关的所有修补程序。(注意:此页上的字段与 " 

关于“下载相关修补程序”对话框" 在页面 377 上的字段相同。) 

如果修补程序尚未下载并放入修补程序储存库,并要从此页直接下载修补程序,那么请单击下载。 

关于“多播选项”对话框 

使用此对话框可为计划安全修复任务配置下列“定向多播”选项: 

多播域搜寻: 

使用多播域搜寻:如果希望定向多播对此作业执行域搜寻,请选择此选项。此选项不会保存域 

搜寻结果以供重复使用。 

使用多播域搜索并保存结果:如果希望定向多播对此作业执行域搜寻并保存结果供将来使用, 

从而节省后续多播的时间,那么选择此选项。 

使用最近一次的多播域搜索结果:如果已经使用定向多播来执行保存结果的域搜寻,可使用此 

选项。 

由域代表唤醒计算机:如果希望打开支持 LAN 唤醒技术的计算机以接收多播,则使用此选项。 

LAN 唤醒后等待的秒数:发送 LAN 唤醒数据包后,域代表等待多播的时间。默认等待期限是 120 

秒。如果网络中的某些计算机需要等待 120 秒以上才能启动,则应当提高这个值。允许的最大值是 

3600 秒(1 小时)。 

使用下列选项可配置特定于任务的定向多播参数。默认值适用于大多数多播。下面介绍各个选项的用途: 

同时工作的最大多播域代表数:同时进行多播的代表数目不超过该数。 

限制处理多播失败的计算机的数量:如果设备无法通过多播接收文件,则从 Web 服务器或文件服务 

器下载该文件。此参数可用于限制同时获得该文件的设备数目。例如,如果最大线程数为 200,而多 

播失败线程的最大值为 20,那么“自定义作业”对话框最多可以同时处理 20 台多播失败的计算机。“自 

定义作业”对话框最多可以同时处理 200 个已成功接收多播的设备,但在这 200 个线程中,最多可以 

同时处理 20 个多播任务失败的设备。如果将该值设置为 0,那么对于任何多播失败的计算机,“自定 

义作业”对话框都不会执行任务中的分发部分。 

文件在高速缓存中保存的天数:多播的文件在每台目标计算机高速缓存中保留的时间。过了这段时间 

后,文件将被自动清除。 

文件在多播域代表高速缓存中保存的天数:多播的文件在多播域代表高速缓存中保留的时间。过了这 

段时间后,文件将被自动清除。


数据包传输之间的最少毫秒数(WAN 或本地):发送多播数据包之间等待的最短时间。 

只有当该域代表不是从其自身的高速缓存多播文件时,才使用该值。如果未指定此参数,将使用存储在子网/ 

域代表计算机上的默认最短休眠时间。您可以利用该参数来限制 WAN 上的带宽使用率。 

数据包传输之间的最多毫秒数(WAN 或本地):发送多播数据包之间等待的最长时间。有关详细信 

息,请参阅上文的“数据包传输之间的最少毫秒数”。 

关于“卸载修补程序”对话框 

使用此对话框创建和配置卸载任务,从受影响的设备上卸载已部署的修补程序。 

任务名称:用唯一的名称来标识任务。默认值是修补程序的名称。如果需要,可以编辑此名称。 

作为计划任务卸载:单击确定后在“计划任务”窗口中创建卸载修补程序任务。 

选择目标:指定要将哪些设备添加到卸载修补程序任务中。可以不选择设备,选择安装有该修 

补程序的所有设备,或仅选择安装有该修补程序的设备(只有从设备“安全和修补程序信息”对 

话框中访问“卸载修补程序”对话框时,最后一个选项才可用)。 

如果需要原始修补程序: 

使用多播:启用“定向多播”以将卸载修补程序任务部署到设备。如果要配置多播选项,可单击 

此选项,然后单击多播选项。有关详细信息,请参阅 "关于“多播选项”对话框" 在页面 380。 

作为策略卸载:单击确定后,将在“计划任务”窗口中创建一个卸载修补程序策略。 

添加表示受影响的设备的查询:根据所选的修补程序新建查询,并将其应用到策略中。基于查 

询的策略将搜索安装有选定修补程序的设备,并将其卸载。 

扫描和修复设置:指定卸载任务使用的扫描和修复设置,并确定安全扫描器是否在设备上显示,确定 

重新启动选项、MSI 位置信息等。从下拉列表中选择一个扫描和修复设置,或单击配置新建扫描和修 

复设置。 

关于“收集历史信息”对话框 

使用此对话框编译有关受管设备上已扫描和检测到的漏洞的数据。此信息用于安全报告。您可以立即收集数 

据,也可以创建一个任务在指定的时段内收集数据。 


任务名称:用唯一的名称来标识收集历史记录信息任务。 

历史记录数据保存时间:指定收集数据的持续时间(以天数为单位)。可以指定 1 天至 3,000 天。 

为下列天数之内发布的定义生成报告数据:将报告限制在指定时间内发布的漏洞数据。 

警告:如果收集历史记录任务未在指定的时间内运行,核心服务器控制台上会显示消息。 

立即收集:立即收集已检测、已扫描或未扫描漏洞的当前数据。 

创建任务:将任务添加到“计划任务”窗口中,在该窗口中,您可配置该任务的计划和频率选项,并分 

配目标设备。 

清除:彻底删除此刻之前收集的漏洞数据。 

381

用户指南 

“修补程序和遵从性”设置帮助 

关于“配置扫描和修复(和遵从性)设置”对话框 

使用此对话框管理扫描和修复(和遵从性)设置。配置后,可以将设置应用于安全扫描任务、遵从性扫描任 

务、修复任务、卸载任务和重新启动任务。 


382 

新建:打开设置对话框,在其中可以配置与指定设置类型相关的选项。 




注意:所选设置可能目前仍与一个或多个任务或受管设备相关联。如果您选择删除该设置:具有该设 

置的设备仍然具有该设置并且可继续使用该设置,直到部署新的更改设置任务;具有该设置的计划任 

务仍可在目标设备上运行,如同执行具有该设置的本地调度程序,直到部署新的配置。 


关于“扫描和修复(以及遵从性)设置”对话框页 

使用此对话框创建和编辑扫描和修复设置。扫描和修复设置决定了安全扫描器运行时是否在设备上显示、重新 

启动选项、用户交互和扫描的内容类型。 

关于遵从性扫描设置的注意事项 

此对话框中的信息还可应用于遵从性扫描,遵从性页将代替扫描页。有关应用于遵从性扫描的特定设置的详细信息,请参 

阅下面的“关于遵从性”页面部分。 

关于重新启动任务设置的注意事项 

此对话框的重新启动页上的设置仅用于重新启动任务。 

扫描和修复设置的数量不受限制,可以随时对其进行编辑。例如,在一个扫描和修复设置中,可以为桌面设备 

配置特定的通知和重新启动方案,而在另一个扫描和修复设置中,可以为服务器配置不同的重新启动选项。或 

者,可以配置一个扫描和修复设置用于 Windows 漏洞扫描,而另一个用于间谍软件扫描等目的。 

配置后,可以将扫描和修复设置应用于安全扫描任务、修复任务、卸载任务和重新启动任务。 

扫描和修复设置 

名称:用唯一的名称来标识设置。该名称显示在安全任务对话框的“设置”下拉列表中。 

设置对话框包含以下页: 

"关于“常规”设置页面" 在页面 383 

"关于“扫描选项”页面" 在页面 383 

"关于“遵从性”设置页面" 在页面 383 

"关于“修复选项”页面" 在页面 384 

"关于“MSI 信息”页面" 在页面 384 

"关于“重新启动选项”页面" 在页面 384 

"关于“网络设置”页面" 在页面 385 

"关于“试用配置”页面" 在页面 385 

"关于“间谍软件扫描”页面" 在页面 385

关于“常规”设置页面 


显示进度对话框:安全扫描器在最终用户设备上运行时,允许其显示信息。从下拉列表中选择选项 

(如:从不、始终或仅在修复时),以确定是否及何时显示扫描器活动,以及是否要在此对话框中配 

置其他显示及交互选项。如果选择了“从不”,此页面中的其他选项均无法配置,扫描器将在设备上透明 

运行。如果选择了“始终”,则可以配置其他选项。 

用户演示时隐藏:如果最终用户设备上正在运行 Microsoft Office PowerPoint 应用程序,将不在该设 

备上显示安全扫描器。 

允许用户取消扫描:在最终用户设备上的安全扫描器对话框中显示“取消”按钮。如果希望最终用户有 

机会取消扫描操作,请单击此选项。如果没有选中此选项,此对话框将不显示“取消”按钮,因此最终用 

户将无法停止扫描。 

当不需要重新启动: 

关闭前需要最终用户输入: 如果扫描或修复任务不需要重新启动便可全部完成,那么单击此选 

项后,扫描器的显示对话框在设备上关闭前,扫描器会通知最终用户。如果选择此选项,而最 

终用户没有响应,那么对话框将保持打开状态,这将导致其他计划任务超时。 

超时后关闭:对于不需要重新启动的扫描或修复任务,单击此选项后,扫描器的显示对话框将 

在指定的时间后关闭。 

扫描时 CPU 的使用率:可让您对安全扫描器的 CPU 使用率进行微调,以提高整体系统性能。如果同 

时运行了多个进程,且设备达到了最大 CPU 使用率,那么可降低安全扫描器的该设置。 

计划任务状态:指示发送到计划任务工具的关于计划安全扫描任务的信息的级别。 

关于“扫描选项”页面 

扫描:指定此扫描任务要扫描的内容类型。可以选择自定义组(预先配置)或特定的内容类型。可以 

只选择已订阅 LANDesk Security Suite 内容的内容类型。此外,扫描的实际安全定义取决于“修补程序 

和遵从性”窗口中“扫描”组的内容。换言之,如果在此对话框中选择漏洞和安全威胁,那么只有那些当 

前位于各自“扫描”组中的漏洞和安全威胁会被扫描。 

立即修复所有已检测到的项:指明此特定组扫描所标识的任何安全风险将自动进行修补。 

启用自动修复:指示安全扫描器如果在扫描的设备上检测到任何漏洞或用户定义,将自动部署和安装 

所需的相关修补程序文件。该选项仅适用于安全扫描任务。要进行自动修复,修补程序文件中也必须 

启用自动修复。 

关于“遵从性”设置页面 


请记住,“遵从性”页面上的选项只适用于遵从性安全扫描。 

扫描: 

经常扫描“遵从性”组:根据“遵从性”组中的内容运行频繁性安全扫描。基本的频繁性安全扫描 

在初始代理配置中定义,但可以通过此页上的选项将其覆盖。只能在用户登录受管设备时指定 

运行遵从性安全扫描。 

IP 地址更改后扫描:在目标设备上更改 IP 地址时执行遵从性安全扫描。例如便携式计算机重 

新连接您的网络并收到和以前不一样的 IP 地址时。 

禁用代理配置中的频繁性安全扫描器:指示通过设备的代理配置所设置的频繁性安全扫描将关 

闭,而且此处定义的频繁性扫描设置将用于遵从性安全扫描。 

操作: 

启用自动修复:指示安全扫描器如果在扫描的设备上检测到任何漏洞定义,将自动部署和安装 

所需的相关修补程序文件。该选项仅适用于安全和遵从性扫描任务。要进行自动修复,必须先 

启用自动修复。 

立即修复所有已检测到的项:所有检测到的漏洞将都将会进行修补,即使其相关修补程序没有 

启用自动修复也是如此。 

383

用户指南 

384 

执行 802.1x 支持的扫描:确保启用 802.1X 的设备已使用此设置扫描安全遵从性,并根据其 

是否遵从自定义的安全策略允许访问或进行隔离。 

如果病毒不能删除或隔离(仅限 LANDesk Antivirus):以下两个选项仅适用于 LANDesk 

Antivirus,它们为您提供了拥有防病毒扫描触发器或启动完全安全扫描的方法,您可以通过此方法检 

查通过此设置配置的目标设备是否符合(感染或未感染)您当前的安全策略。换而言之,不论设备是 

否被感染。您都可以选择下面的一个或两个选项。每当设备上检测到病毒并且无法将其删除或隔离 

时,都将发生这些选项中所描述的操作。(注意:根据执行此类扫描的先决条件,您必须首先将预定义 

的 AV-110 防病毒定义添加到遵从性组。您还应将定义安全策略时需要使用的任何其他定义添加到“遵 

从性”组。 

立即扫描设备的遵从性:如果检测到病毒并且无法将其删除或隔离,将立即启用遵从性安全扫 

描(通过安全扫描器,而不是防病毒扫描器)。 

执行网络访问控制检查,以确定设备是否未受感染:如果检测到病毒并且无法将其删除或隔 

离,将立即通过 LANDesk NAC 启动网络访问控制检查。 

关于“修复选项”页面 

在修复、安装或卸载修补程序之前:选择是要立即开始修复、在最终用户设备上使用消息和交互控制 

(通过以下选项进行配置)进行提示,还是等到设备锁定或用户注销后执行修复。 

消息:在此框中键入消息,当安全扫描任务在扫描的设备上检测到任何指定的定义时,最终用户设备 

上安全扫描器的显示对话框中将出现该消息。可以根据运行的安全扫描的类型自定义该消息。 

如果没有最终用户响应: 

在修复、安装或者卸载前等待用户响应:单击此选项后,如果修补程序文件操作提示没有收到 

响应,扫描器将无限期等待。 

超时后自动执行:对于没有收到响应的修补程序文件操作提示,如果要使扫描器自动处理和执 

行修补程序文件操作,或在指定的时间后关闭而不执行操作,请单击此选项。 

即使有下列情况也开始修复: 

用户正在运行演示:无论设备上是否正在运行 Microsoft Office PowerPoint 应用程序,均开始 

修补。 

重新启动已挂起:指明修补无需等待重启操作即可开始。 

从源下载时使用的最大带宽:指定将修补程序文件从修补程序存储库下载到扫描的设备时,要使用的 

带宽百分比。可使用此设置为部署大型的修补程序文件平衡网络通信量。 

对等下载时使用的最大带宽:指定从对等机器下载修补程序文时要使用的带宽百分比。可使用此设置 

为部署大型的修补程序文件平衡网络通信量。 

关于“MSI 信息”页面 

如果修补程序文件需要访问其原始产品安装资源,以安装任何必需的补充文件,那么请使用此页。例如,当您 

尝试为 Microsoft Office 或其他产品套件应用修补程序时,可能需要提供此信息。 

原始程序包位置:输入产品映像的 UNC 路径。 

引用原始程序包位置时要使用的凭据:输入有效的用户名和密码,对以上指定的网络共享资源进行验 

证。 

忽略/覆盖 OEM 命令行选项:指示覆盖特定 OEM 说明的命令将被忽略。也就是说,此 OEM 说明将 

被执行。 

作为信息运行:用于运行修补程序的凭据:输入有效的用户名和密码,以标识运行修补程序的登录用 

户。 

关于“重新启动选项”页面 

当决定是否重新启动时:当扫描或修复任务由于某种原因尝试重新启动设备时,指定安全扫描器将如 

何操作。可以为设备选择从不重新启动,仅在需要时重新启动或始终重新启动。

当重新启动时: 


重新启动前提示用户:单击此选项,在需要重新启动时安全扫描器将提示最终用户。如果选择 

了此选项,可继续配置以下的重新启动补充选项。 

如果无人登录,则立即重新启动,而不提示或延迟:确保在当前无人登录该设备的情况下,自 

动重新启动。 

允许用户延迟重新启动:在最终用户设备的重新启动提示中显示延迟按钮。指定延迟时间间隔 

和最终用户可以延迟重新启动的次数。延迟(或稍候时间)在下次本地调度程序轮询时开始。 

(请注意,由于本地调度程序的操作,最小暂停时间将为 10 分钟。) 

允许用户取消重新启动:在最终用户设备的重新启动提示中显示取消按钮。 

重新启动消息:在此框中键入消息,当安全扫描任务在尝试重新启动设备前提示最终用户时, 

最终用户设备上安全扫描器的显示对话框中将出现该消息。 

重新启动前等待用户响应:单击此选项后,如果重新启动提示没有收到响应,扫描器将无限期 

等待。如果没有响应,提示将保持打开状态。 

超时后自动执行:对于没有收到响应的重新启动提示,如果要使扫描器在指定的期间后自动进 

行处理、重新启动、暂停或关闭提示而不重新启动,请单击此选项。 

关于“网络设置”页面 

如果主核心服务器不可用,使用此页标识可以进行安全扫描和修补的备选核心服务器。 

与备用核心服务器通信:启用与备用服务器进行通信。 

服务器名:输入获得许可的有效 LANDesk 核心服务器的名称。 

注意:“服务器名称”字段的语法为:< 服务器名称 >:< 端口号 > 端口号为针对 SSL 传输的安全端口 443。如果仅输入服务 

器名称,而未指定端口 443,则默认情况下,端口为标准的 HTTP 端口 80。 

关于“试用配置”页面 

使用此页创建并配置试用组,用于测试安全定义以便随后在整个网络上进行更广泛的部署。 

在下列组定期扫描和修复定义:启用试用安全扫描功能。一旦选中此信息后,那么需要从下拉列表选 

择自定义组。 

更改设置:打开“计划扫描”对话框,可在其中定义安全扫描的参数。单击帮助按钮以了解详细信息。 

关于“安排定期试用扫描和修复”对话框 

此对话框由几项 LANDesk 管理任务共享。关于此对话框中选项的详细信息,请参阅 "关于“计划”对话框" 在页 

面 392。 

关于“间谍软件扫描”页面 

使用此页面更换(或替代)来自设备代理配置的间谍软件设置。 




用客户端配置替代设置:更换最初通过代理配置在设备上配置的现有谍软件设置。使用以下选项指定 

要部署到目标设备上的新间谍软件设置。 

设置: 


注意:必须手动启用针对任何已下载间谍软件定义(希望包括在安全扫描中)的自动修复功 

能,才能运行实时间谍软件扫描和检测。默认情况下,已下载的间谍软件定义未开启自动修复 

385

用户指南 

386 

功能。 


如果应用程序不是可识别的间谍软件,在安装之前需要得到用户的同意:即使检测到的进程根 

据设备当前的间谍软件定义列表不会被视作间谍软件,但最终用户在其机器上安装软件之前还 

是会收到提示。 

关于“配置自定义变量替代设置”对话框 

使用此对话框可管理自定义变量替代设置。配置以后,可以将自定义变量替代设置应用于更改设置任务,并将 

其部署至目标设备,以更改(或删除)默认的自定义变量替代设置。 

自定义变量覆盖允许您配置自定义变量值的例外情况。换言之,使用自定义变量替代设置,您可以忽略或绕过 

特定的自定义变量条件,使扫描的设备不被确定为易受攻击。 


新建:打开“自定义变量替代设置”对话框,在其中可以配置选项。 

编辑:打开设置对话框,在其中可以修改选定的自定义变量替代设置。 



注意:所选设置可能目前仍与一个或多个任务或受管设备相关联。如果选择删除设置,则具有该设置 

的设备仍然具有该设置并且可继续使用该设置,直到部署新的更改设置任务;具有该设置的计划任务 

仍可在目标设备上运行,如同执行具有该设置的本地调度程序,直到部署新的配置。 


关于“自定义变量替代设置”对话框 

使用此对话框可创建自定义变量设置的例外情况。一些系统配置安全威胁定义具有变量设置,可以更改这些设 

置然后再将其加入安全扫描中。通常,防病毒定义还有自定义变量设置。 


的条件,并且仅在该条件得到满足(即检测到您所指定的值)时才确定设备易受攻击。自定义变量是全局设 

置,因此,当扫描包含自定义变量的安全定义时,如果该自定义变量条件得到满足,设备将始终被确定为易受 

攻击。 


要编辑自定义变量设置和配置自定义变量替代设置,LANDesk 用户必须具有基于“编辑自定义变量”角色的管理权限。使用 

用户工具可配置权限。 

在设备的“清单”视图中可以查看自定义变量替代设置信息。 

关于“定义组设置”对话框 

使用此对话框可创建、编辑和选择设置,根据安全定义的类型和/或严重性控制其下载的方式和位置。 


定义类型和严重性筛选器:列出定义组设置。 

类型:显示所选组设置的定义类型。 

严重性:显示所选组设置的定义严重性。 

状态:显示与组设置匹配的定义下载时的状态(不扫描、扫描和未分配)。状态与树视图中的组节点 

相对应。默认状态为“未分配”。


组:显示与上述指定的类型和严重性标准匹配的安全定义所在一个或多个组。您可以添加和删除任意 

数量的自定义组。 

自动修复:如果指定下载的安全定义设置为“扫描”状态(位于“扫描”组中),那么选择此选项以启用自 

动修复漏洞。 

关于“定义筛选器属性”对话框 

使用此对话框可定义一个定义组设置。这些设置根据安全定义的类型和/或严重性控制其下载的方式和位置。 


筛选器:定义哪些安全内容(定义)将置于下面所选的一个或多个组中。 

定义类型:选择您要下载的定义类型以及想要的状态和位置。 

严重性:选择指定的定义类型的严重性。如果类型匹配但严重性不匹配,那么此设置将不会筛 

选该定义。 

操作:定义您想要对下载的定义进行的操作以及想要将其存放的位置。 

设置状态:选择下载定义的状态。具体选项有:不扫描、扫描和未分配。 

设置自动修复:如果状态为“扫描”并且想要在检测到安全风险时自动进行修复则选择自动修 

复。 

将定义放到自定义组:使用“添加”和“删除”按钮选择一个或多个组。可以选择任何创建的自定 

义组、“警报”组、“遵从性”组以及几个可用的安全行业组。 

关于“警报设置”对话框 

使用此对话框为被扫描设备配置与安全有关的警报,包括漏洞和防病毒警报。 

“警报设置”对话框包含以下页: 

“定义”页面 

使用该页可配置安全警报。如果已将安全定义添加到“警报”组,那么“修补程序和遵从性”将在扫描的设备上检 

测到这些定义的任何一个时发出警报。 

最小警报间隔:指定最短的时间间隔(以分钟或小时计),检测到的漏洞警报将在此间隔内发出。如 

果不希望经常接到警报,可以使用该设置。如果希望进行实时警报,请将此值设置为零。 

添加到警报组:指示在内容下载过程中自动加入警报组的漏洞(按严重级别)。默认情况下,任何添 

加入“警报”组的定义也将自动添加入“扫描”组,以便将这些定义包括在安全扫描任务中。 

“防病毒”页面 

使用该页可配置防病毒警报。 

最小警报级别:指定最短的时间间隔(以分钟或小时计),检测到的病毒警报将在此间隔内发出。如 

果不希望经常接到警报,可以使用该设置。如果希望进行实时警报,请将此值设置为零。 

警报条件:指示哪些防病毒事件生成警报。 

387

用户指南 

关于“汇总核心服务器设置”对话框 

使用此对话框以启用并配置将最新的安全扫描结果自动发送到您网络上的汇总核心服务器。安全扫描数据发送 

让您能够在大型分布式企业网络中查看所有受管设备的实时漏洞状态,而无需直接从主核心服务器检索这些数 

据。 

安全扫描器每次运行时,都会将扫描结果文件写入到核心服务器上名为 VulscanResults 的文件夹中,并通知 

LANDesk Security web 服务,后者会将文件添加到核心数据库中。如果已启用汇总核心设置并确认了有效的 

汇总核心,汇总核心会将扫描结果文件读取到自身的数据库中,从而提供对关键漏洞信息更快速的访问。 

“汇总核心设置”对话框包含以下选项: 

388 

将扫描结果立即发送到汇总核心服务器:使用上述方法,以便立即将安全扫描结果发送到指定的核心 

服务器。 

使用默认汇总 URL:如果您希望在扫描结果文件从核心服务器发送到汇总核心时使用默认的 URL,请 

勾选此复选框。输入核心服务器的名称,然后单击此复选框,以自动在汇总 URL 字段中插入脚本和 

Web 地址。 

汇总核心服务器名称:指明您想要从核心数据库接收最新安全扫描结果的汇总核心服务器。 

汇总 URL:指明接收安全扫描结果和汇总核心上扫描结果文件的目标文件夹的汇总核心的 Web 地 

址。可以通过勾选使用默认汇总 URL 复选框来自动插入汇总 URL;或者在清除复选框后输入所需的 

URL,以手动编辑字段。

“修补程序和遵从性”工具栏帮助 

关于“清除修补程序和遵从性定义”对话框 

使用此对话框从核心数据库中完全删除定义(和与其相关联的检测规则)。 

需要 LANDesk 管理员权限 

用户必须具有 LANDesk 管理员权限才能执行此任务。 

如果定义已过时,无法正常工作,或相关的安全风险已彻底解决,那么可以删除这些定义。 



平台:指定要从数据库中删除其定义的平台。如果某个定义与多个平台相关联,那么必须选择与其关 

联的所有平台,才能删除该定义和它的检测规则信息。 

语言:指定要从数据库中删除其定义的选定平台的语言版本。如果选择了 Windows 或 Macintosh 平 

台,那么应指定要删除其定义信息的语言。如果选择的是 UNIX 或 Linux 平台,那么必须指定“非特定 

语言”选项,以便删除这些平台中与语言无关的定义信息。 

类型:指定要删除其定义的内容类型。 

清除:对于您选择的类型,如果改类型属于选定的指定平台和语言,那么完全删除其定义和检测规则 

信息。只有再次下载内容,才可以恢复这些信息。 

关闭:关闭对话框,既不保存所作更改也不删除定义信息。 

关于安全扫描信息视图 

使用此对话框可查看网络中已扫描设备修补程序部署活动和状态的详细情况。 

您可以查看以下扫描结果: 

最近未报告的计算机 

没有结果的计算机 

需要修补程序的计算机(按所选严重性类型) 

关于“阈值设置”对话框 

使用此对话框可定义在安全扫描信息对话框中显示的安全扫描(修补程序部署)结果的时间周期。 

近期未扫描的阈值:指明检查未扫描修补程序部署的设备的最多天数。 

关于“安全和修补程序信息”对话框 

使用此对话框可详细查看选定设备的安全信息。可以查看设备的扫描结果、检测到的安全定义、缺少的和已安 

装的修补程序(或软件更新)以及修复历史记录。 

使用清除按钮,从数据库中删除选定设备的所有扫描信息。 

还可以在此视图中右击某个漏洞(或其他安全内容类型),直接创建修复任务,或者为适用的安全内容类型启 

用/禁用“自动修复”选项。 

显示的信息取决于选定的安全内容类型 

根据您从类型下拉列表中选择的安全内容类型,此页中显示的组名和信息字段会动态地变化。例如,如果选 

择漏洞,将显示下列信息字段: 

缺少的修补程序(已检测到的漏洞):列出上次扫描时检测到的该设备的所有漏洞。 

389

用户指南 

390 

已安装的修补程序:列出设备上安装的所有修补程序。 

修复历史:显示尝试在设备上执行的修补任务的信息。这些信息有助于排除设备出现的问题。要清除 

此数据,单击清除修复历史,指定设备和时间范围设置,然后单击清除。 

漏洞信息: 

标题:显示选定漏洞的标题。 

检测到漏洞:指示是否已检测到选定漏洞。 

最初检测到:显示漏洞最初在设备上检测到的日期和时间。如果已经执行多个扫描,该信息就 

会很有用。 

原因:说明为什么会检测到选定漏洞的原因。此信息有助于您确定安全风险的严重程度,以决 

定是否立即执行修补。 

预期的:显示漏洞扫描器正在查找的文件或注册表项的版本号。如果已扫描设备上找到的文件 

或注册表项的版本号与此版本号相符,那么表明不存在漏洞。 

找到的:显示已扫描设备上发现的文件或注册表项的版本号。如果此版本号与上文中的“预期 

的”版本号不同,那么表明存在漏洞。 

修补程序信息: 

所需的修补程序:显示修补选定漏洞所需的修补程序的可执行文件名。 

已安装的修补程序:指示修补程序是否已安装。 

上次操作的日期:显示在设备上安装修补程序的日期和时间。 

操作:指示上次操作是安装还是卸载。 

详细信息:指示是否已成功进行部署/安装。如果安装失败,那么必须先清除此状态信息,然后 

才能重新安装修补程序。 

清除:为选择的设备清除当前修补程序的安装日期和状态信息。要尝试再次部署和安装修补程 

序必须清除该信息。 

计划任务帮助 

关于“安排任务的时间”对话框 

从计划任务窗口(工具 > 分发 > 计划任务)中打开此对话框。在计划任务窗口中,单击创建软件分发任务工 

具栏按钮,或者在要配置的任务的快捷菜单中单击属性。 

使用此对话框设置任务的开始时间、任务是否为重复的任务及其执行频率。此对话框还会显示任务目标。根据 

您计划的任务类型的不同,您可能还会看到交付方式选项和分发程序包选项。 

关于任务复制 

您还可以为常见任务创建组,以便对任务进行分类。其他用户只有在其 RBA 范围允许其查看该组中的任务 

时,才会看到这些组。如果您尝试删除包含任务的组,则当该组中具有您的范围不允许您查看的任务时,您将 

无法删除该组。 

关于“概述”页面 

此页面用于选择任务的所有者和总结您在“计划任务”对话框中所做的选择。如要修改选择,请单击该选择旁边 

的更改。如果希望任务显示在计划任务窗口的常见任务组中,而不是我的任务组中,请单击在常见任务中显 

示。 

关于“分发程序包”页面 

使用此页可以选择要传送的分发程序包。选择程序包类型之后,分发程序包列表就会显示可以分发的该类型 

程序包。此列表中的程序包与您在当前用户和公共用户的分发程序包窗口中看到的该类型的程序包一致。单 

击所需的分发程序包。


基于推送的软件分发任务可以包括预备程序包和最终程序包。使用多个程序包时,每次按顺序安装一个程序 

包。上一个程序包必须返回任务成功的状态之后,下一个程序包才开始安装。有关详细信息,请参阅 "在一个 

任务中使用多个分发程序包" 在页面 293。 

关于“交付方式”页面 

使用此页可以选择要传送的程序包所使用的交付方式。选择交付类型之后,交付方式列表就会显示可以使用 

的该类型交付方式。列表中的交付方式与您在当前用户和公共用户的交付方式窗口中看到的交付方式一致。 

单击所需的交付方式。 

关于“目标设备”页面 

使用此页面查看目标设备,您配置的任务将在这些设备上运行。您不能在此页面添加目标设备。通过将目标设 

备拖放到计划任务窗口中,可以以后再进行添加。目标设备可以为以下类别: 

目标设备 

目标 LDAP 对象 

目标查询 

目标 LDAP 查询 

目标设备组 

您还可以在此页面上选中唤醒设备选项。此选项将使用 Wake On LAN 为选定任务唤醒关闭的计算机。当任务 

完成后,计算机再次自动关闭。此功能只在 BIOS 版本支持 Wake on LAN 技术的计算机上有效。选择此选项 

将延长任务时间,因为任务要等待刚唤醒而启动的设备。不要对基于“拉”进程的分发程序包选中此选项。 

关于“计划任务”页面 

使用此页面配置任务的运行时间和重试的工作方式: 

不进行计划:将任务添加到“计划任务”窗口中,但不计划该任务。如果希望保留任务配置,但不想运 

行该任务,请使用该选项。 

立即开始:一旦关闭该对话框,就开始执行任务。在实际开始执行任务之前,可能会有一定的延迟, 

但时间不会超过一分钟。 

稍后开始:在指定的时间和日期开始执行任务。 

日期和时间:在选定的日期运行任务。按 MM/DD/YY 格式键入日期,或单击下拉列表并从日历中选择 

日期。 

重复间隔:安排任务定期重复执行。从下拉列表中选择“日”、“周”或“月”,以确定任务的重复频率。任 

务将按上面设置的时间重复执行。 

即使先前进行了部署,仍然在该任务中部署程序包:如果已经安装该程序包,则在任务中重新安装。 

计划到以下设备:如果任务初次运行,应保留默认的计划到以下设备。对于随后运行的任务,可从全 

部、未成功运行任务的设备或未尝试运行任务的设备中选择。下文将详细解释这些选项。 

重新计划一个任务时,可以限制任务运行的设备数量。例如,如果该任务没能在较多数量的设备上运行,而您 

不希望这些设备的状态发生更改,则可以限制设备数量。以这种方式限制任务有助于更快速地完成一个任务, 

因为调度程序不会不断尝试在不能处理该任务的设备上执行此任务。可以选择在处于以下状态的设备上运行任 

务: 

等待中或正在工作:这是默认设置,初次运行一个任务时应使用此设置。如果再次运行该任务,该选 

项将只选择那些上一次能够成功运行该任务的设备。 

全部:如果希望在所有设备上运行该任务(无论其处于何种状态),可选择此选项。如果某一任务, 

特别是重复性的任务,需要在尽可能多的设备上运行,可考虑使用此选项。 

未成功的设备:如果仅希望在首次执行任务时失败的设备上运行该任务,可选择此选项。这将排除具 

有成功状态的设备。任务将在处于其他状态的设备上执行,包括正在等待或活动。如果希望在尽可能 

多的未成功设备上运行该任务,但只需在每台设备上成功运行一次该任务,则可考虑使用此选项。 

391

用户指南 

392 

未尝试运行该任务的设备:如果仅希望在没有完成该任务(而非无法运行)的设备上运行该任务,可 

选择此选项。这将排除处于关机、忙碌、已失败或已取消状态的设备。如果有许多目标设备没有完成 

此任务,并且这些任务不如目标重要,则可考虑使用此选项。 

关于“计划”对话框 

对于几个 Management Suite 代理具有的功能,您可以使用安装在受管设备上的本地调度程序代理对其进行计 

划。使用此对话框配置该计划。 

您也可以使用本地调度程序安排自己的任务以在设备上定期运行。一旦您创建了本地调度程序脚本或自定义了 

设备代理的计划,则可以使用计划任务窗口将其部署到设备。 

要配置本地调度程序任务,请在受管脚本窗口(工具 > 分发 > 受管脚本)的我的脚本快捷菜单中单击新建本 

地调度程序配置脚本。 

执行任务之前,必须满足此对话框中配置的所有条件。例如,如果作以下配置:机器状态为桌面必须锁定且 

每天 8 点到 9 点之间重复。那么只有在 8 点到 9 点之间“并且”计算机锁定时才执行任务。 

计划对话框提供了以下选项: 

“计划”对话框的“事件”部分 

除非从管理脚本工具配置本地调度程序脚本,否则事件部分为灰显。 

当用户登录时运行:选中此选项可在用户登录时运行任务。当用户登录时,本地调度程序将直接运行 

任务。 

当计算机的 IP 地址更改时运行:如果您想要任务在设备的 IP 地址更改或通过 DHCP 更新时运行,请 

选中此选项。例如,可使用此选项以便在 IP 地址更改时触发清单扫描,从而保持 Management Suite 

数据库中的 IP 地址同步。 

“计划”对话框的“时间”部分 

使用此部分可配置任务运行的时间。如果您从代理配置工具启动此对话框,则可在您来自的代理配置页面上指 

定一个随机的延迟。您指定的随机性延迟时间间隔即任务可能运行的时间范围。例如,如果有大量的用户同时 

登录,并且假定您的延迟时间间隔足够长,则此延迟可让登录时运行的任务不会同时全部运行。默认的延迟为 

一小时。 

开始:单击此选项以显示日历,以便在其中选择想要任务开始的日期。选中一个日期后,还可以输入 

当天的时间。这些选项的默认值为当前日期和时间。 

重复频率:如果您想要任务重复运行,则单击列表框并选择分钟、小时或天。然后在第一个方框中输 

入时间间隔长度。例如,10 天。 

时间范围:如果想要任务在特定的时段之内运行,请选择开始和结束时间。时间值为 24 小时(军 

事)时间格式。 

每周时间范围:如果想要任务在每周特定的时间内运行,请选择开始和结束时间。 

月范围:如果想要任务在每月特定的日期内运行,请选择开始和结束日期。 

“计划”对话框的“运行筛选器”部分 

当配置本地调度程序命令时,您可以指定任务执行所需的最小带宽条件。带宽测试包括指定设备的网络流量。 

当该执行任务时,每个运行本地调度程序任务的设备将向指定的设备发送少量的 ICMP 网络流量并评估传输 

性能。如果测试目标设备不可用,则该任务将不执行。 

当指定可能通过 LANDesk 管理网关连接至核心服务器的设备的带宽标准时,应在至字段输入管理网关的 IP 

地址。这将使带宽测试能完成并可随即执行任务。 

您可以选择以下最低带宽选项:


RAS:当通过网络 API 检测到的设备到目标设备的网络连接速度至少为 RAS 或拨号速度时,任务才 

会执行。选择此选项一般来说意味着只要设备有任何种类的网络连接,任务都将会运行。 

WAN:当设备到目标设备的连接至少为 WAN 速度时,任务才会执行。WAN 速度为非 RAS 连接速 

度,它比 LAN 阈值低。 

LAN:当设备到目标设备的连接超过 LAN 速度设置时,任务才会执行。默认情况下,LAN 速度总大 

于 262,144 bps。您可以在代理配置(工具 > 配置 > 代理配置,带宽检测页面)中设置 LAN 阈值。直 

到将更新的配置部署到设备之后,更改才会生效。 

“运行筛选器”部分有以下选项: 

最小带宽:如果想要任务执行标准包括可用带宽,则选择想要的最低带宽并输入设备名称或 IP 地址, 

这些设备名称和 IP 地址将作为目标和设备之间进行的带宽测试的对象。 

机器状态:如果想要任务执行标准包括计算机状态,则选择以下状态之一:锁定屏幕保护程序或桌 

面、桌面必须锁定、计算机必须为空闲、用户必须登录或用户必须注销登录。计算机必须为空闲状态 

的标准如下:操作系统已锁定、屏幕保护程序处于活动状态或用户已注销登录。 

“计划”对话框的其他选项 

所有其他筛选器通过后,额外随机延迟:如果想要附加一次随机延迟,请使用此选项。如果选择的随 

机延迟超出为任务配置的时间限制,则延迟值使任务处于配置的时间限制之外时,任务可能不会运 

行。 

最多延迟:选择想要的附加随机延迟。 

且至少:如果想要任务在执行之前至少等待特定的分钟数,则选择此选项。例如,如果计划一次清单 

扫描,则可在此处输入五以便计算机在扫描开始之前有时间完成启动,从而提高计算机的用户响应 

性。 

命令:输入要本地运行的程序。包含程序的完整路径,或确保该程序处于设备路径中的某个文件夹 

中。在部署此脚本的所有设备上此路径必须相同。 

参数:输入要传递给该程序的任何命令行参数。 

软件分发帮助 

使用“分发程序包”对话框 

分发程序包对话框(工具 > 分发 > 分发程序包)在数据库中储存了对要分发的程序包的描述信息。这些数据 

包括安装特定软件程序包所需的必要设置,如程序包名称、任何相关性或必要因素、安装选项等。这些信息在 

创建后即被称作“分发程序包”。 

在使用该对话框之前,请将程序包放到分发服务器上。您需要浏览该程序包并提供有关程序包先决条件或附加 

文件等的信息。为程序包创建一个分发程序包后,可以将其与一种交付方式(工具 > 分发 > 交付方式)相关 

联以便部署到设备上。 

关于“程序包信息”页面 

使用此页面可输入程序包的名称和程序包的主文件。如果您的程序包只由一个文件组成,可在此添加此文件。 

如果您的程序包中包含多个文件,应在程序包中添加主文件,例如启动安装进程的文件。您可以在附加文件 

页面中添加其他的相关文件。 

要使用文件浏览器,可在转到按钮旁的框中输入 Web 共享目录或文件的路径。单击转到将在主文件框中显示 

目标位置。您可以在该位置继续浏览。通过浏览查找要作为主文件使用的文件后,可双击该文件。这会将文件 

名添加到“转到”按钮旁的程序包路径中。 

名称:在此处输入的名称将出现在分发程序包和交付方式树和对话框中。确保名称简明扼要,因为对 

于过长的说明,可能需要滚动屏幕才能查看。 

393

用户指南 

394 

下载时显示给最终用户的说明:在此处输入的说明将出现在分发程序包和交付方式窗口以及软件部署 

门户中。 

主文件:程序包中的主文件。 

转到:开始浏览在“转到”按钮旁的框中输入的路径。 

向上:从当前的浏览位置转至上一级文件夹。 

使用环境变量 

Management Suite 不支持直接将环境变量放入程序包路径中,但是在先前创建的自定义脚本中扩展仍可以工 

作。要支持新的 SWD 体系结构的环境变量,则应将“PreferredPackageServer”注册表值设置为要使用的环境 

变量。该环境变量将随后被扩展以定义将从中检索程序包的服务器。 

关于“安装/卸载选项”页面 

使用此页可指定程序包类型。您可以看到几个选项,这取决于您要部署的程序包。并非所有的程序包类型都包 

含这些选项。 

安装:指定希望使用安装程序包来安装软件。 

卸载:指定希望使用卸载程序包来删除软件。设置此标志后,该脚本将删除通过安装脚本安装的所有 

程序。 

命令行:(在 SWD、Macintosh 或 Linux 程序包中不可用。)要传递给指定的主文件的命令行。软件 

分发自动为要分发的程序包类型添加基本的参数。有关详细信息,请参阅使用程序包命令行。 

MSI 安装/卸载选项 

当您选中使用 Windows Installer 安装和控制安装 (MSIexec) 时,MSI 分发程序包会有附加的安装/卸载选 

项。 

显示选项: 

安静模式,没有用户交互:运行安装但不通知受管设备(静默安装)。 

无人参与模式,仅进度条:安装期间仅显示进度条,没有取消或延迟选项。 

• 设置用户界面级别: 

无 UI:运行完全静默安装。 

基本 UI:显示带有进度条和 [取消] 按钮的全尺寸窗口。安装结束后将会显示一个消息框。如 

果取消安装,则不会显示消息框。 

简化 UI:安装结束后会显示一个消息框。 

完整 UI:显示带有进度条和 [取消] 按钮的全尺寸窗口。安装结束后将会显示一个消息框。 

重新启动选项(不建议使用。请在交付方式中设置重新启动选项): 

安装完后不重新启动:不执行重新启动,即使安装编码为要求重新启动。 

如有必要提示用户重新启动:如果安装文件要求重新启动计算机,则会提示用户。 

始终在安装后重新启动计算机:在安装完成后执行重新启动。 

日志文件名:指定安装完成后基于安装结果存储 Windows Installer 日志文件的位置和文件名。 

日志选项:可在指定位置后创建日志文件。 

输入命令行或选择以上选项并编辑 MSI 程序包的命令行:(不可用于 SWD 程序包)显示将传递给指 

定主文件的命令行。软件分发会自动在此处添加基本参数以更改默认操作。命令行字段还可以使用数 

据库宏从清单调用值。指定包含在 % 符号中的清单项目,例如: 

%Device_Name.Computer% 

这将显示设备名称(其中使用下划线代替空格)和位于清单树顶部的计算机。

关于“附加文件”页面 


如果程序包由多个文件组成,则可在此页中添加这些文件。要使用文件浏览器,请在“转到”按钮旁的框中输入 

Web 共享路径或文件路径。按下“转到”按钮将在可用文件框中显示目标位置。您可以在该位置继续浏览。在 

可用文件框中选择文件后单击 >> 可将选定文件添加到附加文件列表中。这可将这些文件添加到程序包中。 

自动检测:该选项可用于 MSI 程序包。它将分析主 MSI 文件并找到外部参考文件,然后自动添加这 

些文件。 

箭头:使用这些箭头可以从附加文件列表中添加和删除选定的文件。 

“转到”按钮:开始浏览在“转到”按钮旁的框中输入的路径。 

“向上”按钮:从当前的浏览位置转至上一级文件夹。 

使用“从属程序包”页面 

从属程序包是指必须已经在设备上存在的程序包,有了这些程序包才可以安装所配置的程序包。如果设备中不 

存在从属程序包,则会在该设备中自动安装这些从属程序包。通过设备中适当的注册表项可以自动检测到 

MSI 和 SWD 程序包。对于其他程序包类型,程序包的检测方式取决于在检测页面所作的选择。 

如果将带有从属程序包的现有程序包作为从属程序包添加到正在创建的程序包中,则该现有从属程序包也将添 

加到新程序包中。 

可用程序包:使用分发程序包窗口列出已创建的公共程序包。只有公共程序包才能成为从属程序包。 

选择希望作为从属程序包的程序包,然后单击 >>。 

从属程序包:列出已选作从属程序包的程序包。 

箭头:使用这些箭头可以从附加文件列表中添加和删除选定的文件。 

向上和向下按钮:从属程序包是按照其在从属程序包列表中出现的顺序应用。使用向上和向下按钮可 

更改从属程序包的顺序。 

了解 Linux 软件从属程序包 

在 Linux 程序包的分发程序包 - 属性对话框中单击保存时,软件分发将会对主 RPM 和所选的任何从属 RPM 

分析那些 RPM 所要求的从属程序包。然后,这些从属程序包将显示在缺少的库文件对话框中。选中此对话框 

中的某个从属程序包可以使软件分发下次不再对您就此项发出提示。您可以选中已知在受管设备上安装了的从 

属程序包。此对话框仅用于向您显示信息。如果目标设备上缺少某个从属程序包,而且您并未将该从属程序包 

特别包括在从属程序包内,有可能无法成功安装 RPM。 

使用“先决条件”页面 

先决条件页面允许您指定程序包安装的先决条件。您可以通过查询设置先决条件,也可以通过设备上运行的、 

能够返回错误级别代码的附加文件/程序来设置先决条件。非零代码将使程序包不能安装。 

先决条件在目标列表中的设备上运行。如果目标列表中的某个设备无法满足此先决条件,则程序包不会在该设 

备上安装。详细失败原因将记录在分发任务的日志中。 

在一个组织中,可能由一个人创建程序包,而由另一个人分发程序包,此时先决条件就显得尤其有用。分发者 

可能不了解程序包的系统要求,而创建者是知道这些要求的。在这种情况下,程序包的创建者可以创建一个查 

询,将程序包的系统要求(如操作系统或内存容量等)包含其中。 

对于附加文件选项,可以从程序包的附加文件列表中选择一个文件。随后可以指定文件运行时附带的命令行。 

选择一条查询:选择一条现有查询以用来筛选目标设备。还可以单击创建查询以创建新查询。 

运行附加文件:如果要在设备上运行文件,请选中此选项。 

选择一个附加文件:输入要在设备上运行的文件。该文件将先于任何其他程序包文件运行。 

命令行:如果指定的文件需要命令行,请在此输入。 

395

用户指南 

使用“检测”页面 

使用“检测”页面可配置软件分发如何检测是否已部署程序包。检测页面仅对可执行程序包、批处理文件程序包 

和虚拟应用程序包可用。如果与一个或多个条件匹配,则从属程序包不能安装。 

可使用以下检测方式: 

396 

检测内容:确定程序包已安装,并因此在受管设备上存在以下各项之一时忽略安装。 

文件已存在 

文件版本 

文件大小和/或校验和 

文件日期 

注册表项已存在 

注册表值已存在 

匹配注册表值 

文件路径:指定要检测的项目的位置和名称。 

递归搜索文件:级联搜索“文件路径”字段中指定目录的子目录。 

通过指定条件和单击添加按钮,可添加多个条件。 

MSI 和 SWD 程序包将随其安装一起部署 GUID。它们用于检测程序包是否已安装。该检测选项不适用于这些 

程序包类型。 

使用帐户页面 

使用帐户页面选择用于分发程序包的用户帐户类型。 

LocalSystem 帐户:设备的帐户。 

当前用户的帐户:当前用户的帐户。用户必须登录到设备,否则分发程序包任务将失败。 

使用“卸载关联项”页面 

使用“卸载关联项”页面将卸载程序包与软件部署策略程序包相关联。当从目标列表或查询中删除计算机或用户 

时,将自动从客户端卸载该软件。注意: 卸载程序包只能与基于策略的部署一起使用。 

类型:选择用于卸载程序包的程序包类型。可用的分发程序包列表将仅显示指定类型的程序包。 

当前:当前所选的程序包。 

使用“分配返回代码”页面 

使用分配返回代码页面可配置在控制台中显示(基于分发任务是否成功)的分发程序包状态消息。 

分配返回代码页面包含以下选项: 

程序包信息:包含分发程序包的属性摘要。 

程序包名称:显示分发程序包的名称。 

程序包类型:显示程序包的类型(MSI、exe、bat 等)。 

分配的模板:显示已与分发程序包相关联的返回代码模板。 

返回代码模板信息:显示所有可用模板的名称、说明和修改日期。要将特定的模板与分发程序包相关 

联,单击该模板,然后单击分配按钮。 

修改:修改模板并启动“程序包返回代码映射”窗口。 

分配:将当前选定的模板与分发程序包相关联。

使用返回代码模板管理器 


使用返回代码模板管理器可添加、修改、删除、导入和导出返回代码模板。您可以从分发程序包工具通过单 

击返回代码模板管理器工具栏按钮显示此对话框。返回代码模板管理器对话框包含以下选项: 

返回代码模板信息:按名称、说明、类型和修改日期列出所有现有的模板。 

模板筛选器类型:筛选模板列表以显示“全部”、“MSI”或“其他”。 

模板名称:显示要分配给新模板的名称。 

模板说明:显示要分配给新模板的说明。 

模板筛选器类型:显示要分配给新模板用于筛选选项的组。可从以下各项中选择:“MSI”或“其他”。 

添加:打开“新建返回代码映射模板”窗口。必须输入以下信息才能创建新模板。 

修改:打开“程序包返回代码映射”窗口以便用户修改选定的模板。 

删除:删除选定的模板。 

导入:允许从指定的位置导入模板(.xml 格式)。 

导出:允许将模板导出到指定的位置(.xml 格式)。 

使用“程序包返回代码映射”对话框 

“程序包返回代码映射”窗口包含以下选项: 

返回代码模板信息:列出模板的一般属性。 

模板名称:显示在返回代码模板管理器中分配的模板的名称。 

模板说明:显示在返回代码模板管理器中分配的模板的说明。 

默认操作: 

状态:分配成功或失败状态。 

消息:输入如果程序包发送回选定的返回代码时将显示的自定义消息。 

返回代码映射:通过使用 [添加] 或 [删除] 按钮(右侧)分配新的返回代码或删除现有的返回代码。以 

该方式添加的返回代码将按数值顺序创建。 

编辑返回代码映射:输入要创建的返回代码的数值。在此部分中进行添加和修改后单击 [应用] 按钮。 

单一:允许分配单一的返回代码数值,然后为该值分配状态和自定义消息。 

范围:允许分配返回代码数值的范围,然后为该范围分配相同的状态和自定义消息。 

消息:显示程序包发送回返回代码时的自定义消息。 

状态:设置返回代码以指示成功或失败。 

使用“SWD 程序包选项”页面 

使用此页面来设置如果设备中已安装有 SWD 程序包,将会发生何种操作。如果应用程序对普通程序包修复不 

响应,那么选择完全重新安装选项可能效果会更好。预计修复所需的时间比完全重新安装所需的时间更短。 

创建 SWD 程序包时,可以附带用户能够查看的程序包安装界面,也可以不附带该界面。如果程序包带有安装 

界面,那么在安装时您可以选择程序包安装状态对话框出现在用户现有应用程序之上,也可以选择使用深蓝色 

的安装背景遮盖住桌面。 

修复(恢复)程序包:此选项仅更新注册表项并替换代理检测到与安装程序包中的程序文件不同的程序 

文件。 

完全重新安装程序包:此选项可完全重新安装程序包,替换所有文件并重新创建所有注册表项。 

当启用反馈时,将覆盖上面的设置并允许用户作出决定:允许用户选择修复或重新安装。可以在交付 

方式属性对话框的反馈页面中启用反馈。 

当启用反馈时,显示背景屏幕:显示深蓝色背景屏幕。可以在交付方式属性对话框的反馈页面中启用 

反馈。 

397

用户指南 

使用交付方式对话框 

交付方式对话框(工具 > 分发 > 交付方式)定义如何将程序包发送给设备。这些选项不与特定的分发程序包 

关联。选项包括“定向多播”,“推送”分发或基于策略的分发。不必每次分发程序包时都创建一个交付方式。理 

想情况下,可以创建交付方式模板,供使用相同交付方式的分发重复使用。 

在使用此对话框前,首先创建要交付的分发程序包(工具 > 分发 > 分发程序包)。 

关于“说明”页面 

使用此页面可描述创建的交付方式,并设置要同时分发的设备数量。 

398 

名称:交付方式的名称。 

所有者:最初创建程序包的用户的名称。您无法对此字段进行更改。 

交付方式的说明:在此处输入的说明将出现在分发程序包和交付方式树和对话框中。确保名称简明扼 

要,因为对于过长的说明,可能需要滚动屏幕才能查看。 

分发的计算机的数量:控制可同时接收软件分发的设备的最大数量。 

关于“网络使用情况”页面 

使用此页面可以控制向受管设备发送程序包和程序包文件的方式。此页面包含以下选项: 

使用多播部署文件:使用定向多播将文件同时发送给多个设备。 

使用“从源设备运行”来部署文件:安装前不在本地复制文件。相反,直接从程序包下载位置执行主程 

序包文件。此选项可用于 UNC 程序包共享中的所有程序包类型。而在 HTTP 共享中,此选项仅可用 

于 SWD 和 MSI 程序包类型。对于要求特殊文件夹结构的应用程序安装,便可使用此选项。此选项将 

使用首选服务器,但不会尝试从对等设备运行程序包。 

使用从文件源下载来部署文件:每个设备先从程序包服务器下载程序包文件,然后再使用这些文件。 

此选项不适用于定向多播。 

关于“带宽”页面(位于“网络使用情况”页面下) 

使用此页可以控制部署程序包所需的网络带宽。如果希望所有选定的设备无论其带宽大小都能接收程序包,则 

不必选择以下任何选项。 

带宽控制对使用速度较慢的 WAN 或拨号连接的设备来说非常重要。通常不要将数兆字节的程序包部署到链接 

较慢的设备上。从下列各项中进行选择: 

要求使用非 RAS 网络连接:此选项将启用带宽要求。选择下列各项之一: 

允许任何非 RAS 网络连接:此选项允许 WAN 和 LAN 设备接收程序包。 

只允许高速网络连接:此选项仅允许 LAN 设备接收程序包。 

限制每次只能远程下载到一台设备上(每个子网):使用此选项可减少子网中消耗的网络带宽。 

可用的最大带宽百分比: 选择了限制远程下载后,可以通过调整目标设备供分发使用的最大网 

络带宽百分比来进一步限定带宽。 

如果正在使用 PDS 检测网络连接速度,则高速和低速连接将返回相同的信息。为了准确检测高速网络连接, 

需要使用 ICMP。 

ICMP 向远程计算机发送大小不同的 ICMP 回显请求,并使用这些回显请求/响应的往返时间来确定相应的带 

宽。不过,并非所有路由器或计算机都支持转发或响应 ICMP 回显请求。ICMP 还可以区分 LAN(高速)和 

WAN(低速但非拨号)连接。 

如果您的网络未配置为支持 ICMP 回显请求,则可选择 PDS。如果正在使用 PDS,则使用只允许高速网络连 

接选项将无法进行准确控制。

关于“带宽使用情况”页面(位于“网络使用情况”页面下) 

使用此页可以配置带宽调节和数据包延迟功能。 


对等下载(只从高速缓存或对等设备安装):仅当程序包位于本地高速缓存中或同一多播域中的对等 

设备上时,才可以下载这些程序包。此选项可以节省网络带宽,但要想成功安装程序包,程序包必须 

位于本地高速缓存或对等设备中。 

从核心服务器或首选服务器下载时所用的带宽 (WAN):调整此特定任务相对于其他网络通信的优先 

级。百分比滑块设置越高,此任务相对任何其他通信所使用的带宽量越大。WAN 连接通常更慢,因此 

通常建议将此滑块设置为较低的百分比。 

点对点下载时所用的带宽(本地):调整此特定任务相对于其他网络通信的优先级。. 百分比滑块设置越 

高,此任务相对任何其他通信所使用的带宽量越大。LAN 连接通常比 WAN 连接快,因此通常建议将 

此滑块设置为比 WAN 高的百分比。 

关于“多播域”页面(位于“网络使用情况”页面下) 

只有选择了多播作为分发类型时才会显示此页。使用此页可配置多播选项。 

使用多播域搜寻:如果希望定向多播对此作业执行域搜寻,请使用此选项。此选项不会保存域搜寻结 

果以供重复使用。 

使用多播域搜索并保存结果:如果希望定向多播对此作业执行域搜寻并保存结果供将来使用,从而节 

省后续多播的时间,则使用此选项。 

使用最近一次的多播域搜索结果:如果已经使用定向多播来执行域搜寻并保存结果,请使用此选项。 

域代表唤醒设备:如果希望打开支持 Wake On LAN* 技术的计算机以接收多播,则使用此选项。可以 

使用“多播选项”对话框来配置发送 Wake On LAN 数据包后,域代表等待多播的时间。默认等待期限是 

120 秒。 

等待 LAN 唤醒的秒数:发送 LAN 唤醒数据包后,域代表等待多播的时间。默认等待期限是 120 秒。 

如果网络中的某些计算机需要等待 120 秒以上才能启动,则应当提高这个值。允许的最大值是 3600 

秒(1 小时)。 

关于域搜寻 

仅在网络中的子网能够看到其他子网的多播通信量时才有必要执行域搜寻。如果子网看不到其他子网的通信 

量,可先保存域搜索的结果,再选择使用最近一次的多播域搜索结果,使定向多播不必在执行每次作业之前 

进行域搜寻,从而节省时间。 

如果网络的子网能够看到其他子网的多播通信量,可以使用 ManagementSuite\Scripts 文件夹中的 

multicast_domain_discovery.ini 脚本预先搜寻域,以加快定向多播的运行速度。此脚本不会在目标设备上执 

行任何操作。根据整个网络中的目标列表,从计划任务窗口运行此脚本。这将保存域搜寻结果供将来使用。 

您可能希望在执行大量多播分发前定期运行此脚本。 

如果在配置 > 服务 > 多播中选择使用缓存的文件,则即使已选中使用最近一次的多播域搜索结果,定向多播 

仍会执行搜寻过程。定向多播需要执行此过程来确定该文件可能保存在哪个多播域代表的缓存中。 

关于“多播限制”页面(位于“网络使用情况”页面下) 

使用此页面配置特定于作业的“定向多播”参数。大多数多播均可使用此对话框中的默认值。下面介绍各个选项 

的用途: 

同时工作的最大多播域代表数:同时进行多播的代表数目不超过该数。默认值为 5。 

无法同时进行多播的最大设备数量:如果设备无法通过多播接收文件,则从 Web 服务器或文件服务 


播失败线程的最大值为 20,则计划任务处理器最多可以同时处理 20 台多播失败的计算机。计划任务 

处理器最多可以同时处理 200 台已成功接收多播的设备,但在这 200 个线程中,最多只有 20 个线程 

399

用户指南 

400 

可以处理多播任务失败的设备。如果将该值设置为 0,则对于任何多播失败的计算机,计划任务处理 

器都不会执行任务中的分发部分。默认值为 240。 

文件保留在设备高速缓存中的天数:多播的文件在每台目标计算机高速缓存中保留的时间。过了这段 

时间后,文件将被自动清除。默认值为 2。 

文件停留在多播域代表高速缓存中的天数:多播的文件在多播域代表高速缓存中保留的时间。过了这 

段时间后,文件将被自动清除。默认值为 14。 

关于“重新启动”页面 

使用此页可以配置安装或删除软件后是否重新启动计算机。其中包含以下三个选项: 

从不重新启动:安装程序包后不重新启动设备。如果选择此设置而程序包要求重新启动计算机,则设 

备运行该应用程序时可能会遇到错误,直到重新启动计算机才能解决这一问题。如果程序包是 SWD 

程序包,则此选项将使程序包中的任何设置均无效。如果该程序包是通用可执行文件或 MSI 程序包, 

则程序包设置可能会使此选项无效。 

只在必要时重新启动:如果程序包要求重新启动设备,则设备将重新启动。 

始终重新启动:不管程序包是否要求重新启动,设备都将重新启动。 

关于“反馈和计时”页面 

使用此页可帮助确定用户在安装或删除软件的过程中能够看到的反馈量。此页面包含以下选项: 

程序包进度 UI: 

隐藏所有用户反馈:对用户隐藏软件分发程序包所允许的安装过程。此选项取决于软件分发程 

序包是否被创建为无提示程序包。 

显示进度给用户:在软件安装期间启用软件安装通知消息框和系统任务栏图标动画。它还会启 

用以下选项: 

立即运行程序包:立即安装程序包,不允许任何延迟选项。 

允许用户延迟运行程序包:启用延迟选项,以便用户能延迟程序包安装。这能帮助正在执行任务的用 

户,使其执行的任务免受程序包安装的影响。 

延迟至下次登录时自动安装:选中时,程序包安装将延迟到下次登录时进行,并且不会对用户 

进行提示。下次登录后,用户如果选中用户选择延迟时长将看到延迟对话框。 

下载程序包前提示用户:受管设备在开始下载程序包前通知用户。如果将此选项与延迟选项配 

合使用以防止用户通过慢速连接下载大型应用程序,则此选项对移动用户特别有用。 

运行程序包前提示用户:运行程序包前提示用户:在程序包已下载到本地分发缓存后,于开始 

安装之前显示消息。 

允许用户取消:用户可以使用此选项来取消操作:取消安装或删除操作。对于应用程序策略,通常建 

议您不要这样做。 

显示完整程序包界面:此选项可控制程序包是执行静默安装(禁用时)还是在需要时提示用户进行反 

馈(启用时)。 

向最终用户显示成功或失败状态:选中时,安装程序包后出现的对话框将显示安装是成功还是失败。 

关于“更多延迟选项”页面(位于“反馈和计时”页面下) 

使用此页面配置程序包延迟限制和超时选项。单击反馈和计时页面的用户选择延迟时长可启用此页面的选 

项。此页面包含以下选项: 

用户可以推迟程序包的总时间:用户在单击延迟对话框中的等待后可以选择延迟程序包的小时数、分 

钟数或秒数。 

限制用户延迟:选中时,可以限制用户在延迟对话框出现后单击等待的次数。 

用户可以延迟的次数:延迟限制。


继续前等待用户响应:选中时,延迟对话框将出现并等待用户响应,无论指定的延迟时间有多长都如 

此。如果用户太久没有响应或者计算机旁无人,此任务会超时并失败。 

需要进行用户反馈时,将可以从下拉列表中选择要采取的默认操作。单击下拉菜单旁的单选按钮,选 

择取消,再选择运行程序包或延迟。然后可以输入完成选定操作之前延迟对话框等待响应的时间。 

安装/删除自动启动之前的时间:完成下拉列表中的操作之前的时间。 

关于“自定义消息”页面(位于“反馈和计时”页面下) 

需要配置延迟对话框的自定义消息时可以使用此页面。此对话框只有在允许延迟时才会出现。延迟页面的 

HTML 页面源保存在核心服务器上的 LDLogon\html\ 文件夹中。 

使用自定义 HTML 页面:使用核心服务器上的 LDLogon\html\ 文件夹中的 HTML 页面。 

在延迟对话框包含自定义消息:将输入的文本(包括 HTML 格式)添加到延迟对话框中,以代替正常 

插入的标准文本。此对话框仍然可以显示等待、取消和立即安装按钮,并有相应文本说明单击每个按 

钮的作用。 

关于“部署计时”页面 

使用此页可以控制程序包到达设备后何时进行部署。如果希望制定计划后立即部署程序包,则不必选择以下任 

何选项。 

如果希望设备具有某些控制能力,可选择这些选项: 

延迟安装/删除(直到下次登录):此选项可以将部署时间延迟到任何用户下次登录到该计算机时。 

允许终端用户延迟安装/删除:用户可以使用此选项来延迟任务。通过配置下列各项可对此选项进行自 

定义: 

使用自定义消息:如果启用此选项,可以指定自定义延迟消息。 

安装/卸载自动启动之前的时间:使用此选项可以指定等待用户输入延迟时间的时间。默认值是等待 

60 秒。如果用户未能在此指定时间内响应此延迟时间的请求,则会开始进行部署。 

关于“策略的类型和频率”页面 

此页面出现在基于策略的交付类型中,并将影响目标设备在接收到策略后执行操作的方式: 

必需:基于策略的交付代理无需用户干预即可自动应用所需的策略。您可以将所需的策略配置为无提 

示运行。安装所需任务时显示在设备上的任何 UI 都应该是连续性的;换句话说,安装应用程序时不需 

要用户输入任何内容。 

建议:用户可以选择何时安装建议采用的策略。默认情况下,在设备 UI 上选择建议采用的策略。 

可选:用户可以选择何时安装可选策略。默认情况下,在设备 UI 上不选择可选策略。 

您还可以配置策略的运行频率: 

运行一次:一旦某一策略在设备上成功运行,该设备将不再运行此策略。 

根据需要而定:用户可随时安装。 

定期:当建议或可选的策略被指定为定期执行时,则在成功处理后会从 UI 中删除该策略,而且在指定 

的时间间隔后将再次显示在 UI 中。 

关于“降级”页面 

当目标操作系统或目标设备代理不支持您所选择的交付方式时,可使用此页面来配置分发行为。例如,如果设 

备上装有较早版本的 Management Suite 代理,则它们可能不支持多播或对等下载。 

操作系统降级选项: 

将功能降级到操作系统级别:即使您选择的所有交付方式选项都未处于激活状态,仍允许继续执行作 

业。 

401

用户指南 

402 

如果操作系统不能处理默认的功能,则会失败:如果操作系统不支持您所选择的交付方式选项,则作 

业失败。 

设备降级选项: 

将功能降级到代理级别:即使您选择的所有交付方式选项都未处于激活状态,仍允许继续执行作业。 

代理无法处理默认功能时失败:如果代理不支持您选择的交付方式选项,则作业失败。 

关于“搜寻”页面 

此页面允许您选择设备搜寻选项。在计划任务处理器可以处理作业之前,它需要搜寻每台设备当前的 IP 地 

址。此选项卡使您可以配置服务联系设备的方式。 

搜寻选项: 

UDP:选择 UDP 将使用“Ping 搜寻服务”(PDS) 通过 UDP 进行 ping 操作。多数 Management Suite 

设备组件均依赖 PDS,所以您的受管设备应装有 PDS。PDS 是标准 LANDesk 代理的一部分。这是 

最快的搜寻方法和默认方法。使用 UDP,您还可以选择 UDP ping 重试次数和超时时间。 

TCP:选择 TCP 会使用在端口 9595 上到设备的 HTTP 连接。此搜寻方法的好处是如果您打开端口 

9595,就能够通过防火墙工作,但如果设备不在,则它将受到 HTTP 连接超时的限制。这些超时值可 

以为 20 秒或更多。如果大量目标设备不响应 TCP 连接,您的作业在开始之前将需要一段时间。 

全部:选择“两者”先使服务尝试使用 UDP 搜寻,然后使用 TCP 搜寻,最后使用 DNS/WINS 搜寻(如 

果选定)。 

重试次数:尝试执行搜寻的次数。 

搜寻超时:每次尝试搜寻时等待响应的时间。 

子网广播超时:等待子网广播响应的时间。 

禁用子网广播:当选定时,禁用通过子网广播搜寻。选定此选项将导致使用 PDS 通过 UDP 发送子网 

定向广播。 

DNS/WINS:当选定时,如果选定的 TCP/UDP 搜寻方法失败,禁用对每个设备进行名称服务查找。 

关于“多播软件分发状态”窗口 

如果发生活动的定向多播分发,则核心服务器上会显示此窗口。该窗口中将显示以下信息: 

程序包 URL 或 UNC 地址:这是当前正在尝试分发的程序包的位置。该地址行将不断以当前正在传输 

的文件进行更新。 

状态:对分发进度如何、分发是否完成、作业的完成情况进行实时报告。 

多播域:最上面的字段显示分发时所使用的所有子网和多播域代表。如果突出显示各个域代表,则下 

面的窗口中会显示正从域代表接收分发的所有计算机。 

下面窗口中的每台计算机都包含有关该计算机上分发完成情况的信息。列出的每台计算机的最右端有 

几个信息字段,包括“已丢失数据包个数”、“重发请求次数”和“减速请求次数”。分发完成前这些字段中 

不会显示任何信息。 

已丢失数据包个数:显示设备未能从子网代表处获得的数据包个数。如果该数字不为 0,则表示分发 

失败。 

重发请求次数:显示设备必须请求子网代表重发数据包的次数。当设备在分发过程中处理其他进程 

时,这是衡量其繁忙程度的一个很好的方法。 

减速请求次数:显示设备必须请求子网代表减缓数据包流速的次数。在这种情况下,如果该数值很 

大,通常说明计算机存在某些导致分发速度下降的硬件问题。如果许多计算机的减速请求次数的值都 

很高,那么应当在子网代表上检查“延迟/数据包”的数值。“延迟/数据包”的数值与减速请求次数之间通 

常是相关联的。 

10 秒后自动关闭该窗口。如果希望在整个分发过程中始终打开该窗口,请单击使对话框保持打开状态,该窗 

口将保持打开状态,直到您手动关闭此窗口。让对话框一直处于打开状态将会停止脚本执行,所以在完成后务 

必要关闭该对话框。

创建自定义脚本 

如果要通过通用模板创建自定义脚本,可以使用创建自定义脚本选项。 

创建自定义脚本 

1. 单击工具 > 分发 > 管理脚本。 

2. 在所有其他脚本快捷菜单中,单击创建自定义脚本。 

3. 输入自定义脚本名。单击确定。 


4. 默认的文本编辑器会打开一个文档,以您输入的自定义脚本名命名。请输入所需脚本并以默认路径 

(LDMAIN\scripts) 保存文档。 

创建文件部署脚本 

如果只想将文件复制到设备,则可使用文件部署脚本。您可以将任何类型的文件(包括文本文件)传输到您在 

设备指定的目录中。文件部署脚本支持定向多播。 

分发文件 

1. 单击工具 > 分发 > 管理脚本。 

2. 在所有其他脚本快捷菜单中,单击创建文件部署脚本。 

3. 输入脚本名称和目标目录。单击下一步。 

4. 输入所需的多播域选项。单击“下一步”。 

5. 通过选择 Web 路径或文件共享路径、输入该路径并将所需文件添加到列表框中,选择您要部署的文 

件。单击下一步。 

6. 阅读已完成页中的摘要信息,然后单击完成。 

下面各部分将介绍创建文件部署脚本向导中的页面和选项。 

关于“下载选项”页面 

使用此页可以配置带宽调节和数据包延迟功能。 

对等下载(只从高速缓存或对等设备安装):仅当程序包位于本地高速缓存中或同一多播域中的对等 

设备上时,才可以下载这些程序包。此选项可以节省网络带宽,但要想成功安装程序包,程序包必须 

位于本地高速缓存或对等设备中。此选项的用法之一是使用向导前面的仅使用多播将文件缓存在该计 

算机上选项,首先将程序包复制到每个子网的设备上。 

动态带宽调节:指定设备创建的网络通信量优先于分发通信量。如果选中此选项,并将最小可用带宽 

百分比保留为 0,则在设备启用网络通信量后,分发会每秒削减大约一个程序包,直到通信量停止为 

止。使用此选项可以强制将文件完全下载到设备高速缓存中,同时还将启用字节级检查点重新启动功 

能,使下载可以从中断处继续进行。如果您正在重新安装或修复 ESWD 程序包或 MSI 程序包,则可 

能不需要使用动态带宽调节选项,因为这些程序包类型通常只下载所需的文件。 

可用在客户端上的最小带宽百分比:指定应用动态带宽调节的带宽量。您最多可输入网络总带宽的 

50% 供设备使用。例如,如果在分发期间另一个应用程序将占用设备的网络带宽,而您又将带宽百分 

比设置为 50%,那么该分发作业将占用 50% 的带宽,设备应用程序占用其余 50% 的带宽。实际上, 

这一百分比不是固定不变的,因为操作系统会根据需要占用带宽的应用程序数量及其优先级自动分配 

大部分网络带宽。 

数据包(对等设备)之间的延迟:此选项指定同一子网上对等设备的数据包之间的延迟。您可以使用 

这种延迟加快或减慢分发的速度。增加数据包之间的延迟会减慢分发速度,但占用更少的带宽。您可 

以将此选项与动态带宽调节选项一起使用,不过如果综合使用以上各选项,数据包延迟的效果会更显 

著。 

403

用户指南 

404 

数据包(源)之间的延迟:指定程序包源和设备目标之间的延迟。增加数据包之间的延迟会减慢分发 

速度,但占用更少的带宽。您可以将此选项与动态带宽调节选项一起使用,不过如果综合使用以上各 

选项,数据包延迟的效果会更显著。 

关于“作业选项”页面 

使用此页可配置此分发的部署方式。如果正在分发 MSI 文件或通用可执行文件,可以选择在多播完成后输入 

需要传递给文件的任何命令行选项。 

脚本使用默认的分发限制:可以限制定向多播同时分发的目标计算机数。该选项将使用您在配置 > 服 

务对话框中同时分发给 X 台计算机下面的自定义作业选项卡中设置的默认值。 

脚本使用自定义分发限制:使用此选项可以通过指定其他值来覆盖当前作业的默认值。 

只从高速缓存或对等设备安装:此选项可防止目标计算机从其子网的外部安装程序包。计算机将先在 

其多播高速缓存目录中查找程序包,如果没有,则从子网上的对等设备中查找该程序包。如果对等设 

备上不存在该程序包,则分发失败。此选项最大限度地降低了子网之间的网络通信量。使用“创建脚本” 

页上的仅使用多播将文件缓存在该计算机上选项将程序包复制到各子网上后,可以使用此选项。 

客户端安装前查验文件:当您完成向导要求的操作后,向导会为要分发的程序包生成一个哈希值 

(CRC)。然后,设备就可以使用该哈希值来确保它们收到的程序包/文件没有遭到破坏。哈希值的计算 

过程可能需要持续几分钟,具体等待时间取决于分发的程序包/文件的大小。 

不尝试任务完成:使用此选项可禁用通过任务完成功能重试失败的作业。通常,如果设备上安装了任 

务完成,下次运行任务完成时会重试失败的作业。如果使用此选项,仍会记录失败的作业。 

关于“多播域选项”页面 

只有选择了多播作为分发类型时才会显示此页。使用此页可配置多播选项。 

使用多播域搜寻:如果希望定向多播对此作业执行域搜寻,请使用此选项。此选项不会保存域搜寻结 

果以供重复使用。 

使用多播域搜索并保存结果:如果希望定向多播对此作业执行域搜寻并保存结果供将来使用,从而节 

省后续多播的时间,则使用此选项。 

使用最近一次的多播域搜索结果:如果已经使用定向多播来执行域搜寻并保存结果,请使用此选项。 

由域代表唤醒计算机:如果希望打开支持 Wake On LAN* 技术的计算机以接收多播,则使用此选项。 

可以使用多播选项对话框来配置发送 Wake On LAN 数据包后,域代表等待多播的时间。默认等待期 

限是 120 秒。 

高级多播选项:使用此选项可设置高级选项。大多数作业均可使用默认设置。 

关于域搜寻 

仅在网络中的子网能够看到其他子网的多播通信量时才有必要执行域搜寻。如果子网看不到其他子网的通信 

量,可先保存域搜索的结果,再选择使用最近一次的多播域搜索结果,使定向多播不必在执行每次作业之前 

进行域搜寻,从而节省时间。 

如果网络的子网能够看到其他子网的多播通信量,可以使用 LDMAIN\Scripts 文件夹中的 

multicast_domain_discovery.ini 脚本预先搜寻域,以加快定向多播的运行速度。此脚本不会在目标计算机上 

执行任何操作。根据整个网络中的目标列表,从计划任务窗口运行此脚本。这将保存域搜寻结果供将来使 

用。您可能希望在执行大量多播分发前定期运行此脚本。 

如果在配置 > Management Suite Services > 多播中选择使用缓存的文件,则即使已选中使用最近一次的多 

播域搜索结果,定向多播仍会执行搜寻过程。定向多播需要执行此过程来确定该文件可能保存在哪个多播域 

代表的缓存中。 

关于“多播选项”对话框 

文件部署脚本向导具有多播选项对话框,您可以从中配置作业特定的定向多播参数。大多数多播均可使用此 

对话框中的默认值。下面介绍各个选项的用途:

同时工作的最大多播域代表数:同时进行多播的代表数目不超过该数。 


限制处理多播失败的计算机的数量...:如果设备无法通过多播接收文件,则从 Web 服务器或文件服务 


播失败线程的最大值为 20,则自定义作业对话框最多可以同时处理 20 台多播失败的计算机。自定义 

作业对话框最多可以同时处理 200 个已成功接收多播的设备,但在这 200 个线程中,最多可以同时处 

理 20 个多播任务失败的设备。如果将该值设置为 0,则对于任何多播失败的计算机,自定义作业对话 

框都不会执行任务中的分发部分。 

文件在客户端高速缓存中保存的天数:多播的文件在每台目标计算机高速缓存中保留的时间。过了这 

段时间后,文件将被自动清除。 

文件在多播域代表高速缓存中保存的天数:多播的文件在多播域代表高速缓存中保留的时间。过了这 

段时间后,文件将被自动清除。 

数据包传输之间的最少毫秒数(WAN 或本地):发送多播数据包之间等待的最短时间。只有当该代 

表不是从其自身的高速缓存多播文件时,才使用该值。如果未指定此参数,将使用存储在子网/域代表 

计算机上的默认最短休眠时间。您可以利用该参数来限制 WAN 上的带宽使用率。 

数据包传输之间的最多毫秒数(WAN 或本地):发送多播数据包之间等待的最长时间。有关详细信 

息,请参阅上文的“数据包传输之间的最少毫秒数”。 

LAN 唤醒后等待的秒数:发送 LAN 唤醒数据包后,域代表等待多播的时间。默认等待期限是 120 

秒。如果网络中的某些计算机需要等待 120 秒以上才能启动,则应当提高这个值。允许的最大值是 

3600 秒(1 小时)。 

关于“选择要部署的文件”页面 

选择要部署的文件页出现在文件传输脚本向导中。 

Web 路径:单击存储在 Web 服务器上的程序包。必须在 URL 中包含 http://。 

文件共享路径:单击存储在文件服务器的空会话共享中的程序包。此路径必须符合 UNC 路径约定, 

即 \\servername\sharename\。 

浏览:单击浏览以查找该路径。如果单击 Web 路径,将打开一个很小的浏览器窗口。如果单击文件 

共享路径,将打开一个标准的浏览器对话框。如果想在“选择程序包位置”浏览器窗口中浏览 Web 服务 

器目录,则必须在 URL 前面加斜杠 (/),否则浏览器窗口将显示错误。 

添加:输入完整路径和文件名后,单击添加可以直接从路径编辑框添加程序。 

删除:选择已添加的文件并单击删除从列表中删除文件。 

关于“已完成”页面 

此页概括了您为部署程序包所选择的所有操作。继续操作前,请确保受管设备满足警告部分中列出的所有要 

求。 

如果单击设置为默认值,则所选择的配置选项将被设置为此向导的默认值。 

单击完成后即可安排要分发的脚本。 

未管理设备搜寻帮助 

可从主 LANDesk 控制台(工具 > 配置 > 未管理设备搜寻)访问 LANDesk 未管理设备搜寻 (UDD) 工具。此 

工具提供了一种途径,用于查找网络上没有将清单扫描提交到 LANDesk 核心数据库的设备。UDD 可以使用 

多种方法来查找未管理设备。此工具还提供扩展设备搜寻 (XDD),这依赖于监听网络 ARP 和 WAP 广播的设 

备代理。随后,设备上的扩展设备搜寻代理检查搜寻到的设备上的 LANDesk 代理。如果 LANDesk 代理未响 

应,则扩展设备搜寻会将该设备显示在计算机列表中。在涉及防火墙(会阻止设备响应正常的基于 ping 的 

UDD 搜寻方法)的情况下,扩展设备搜寻非常理想。 

"未管理设备搜寻" 在页面 311 章节中介绍了此工具。在该章中您将找到概述信息,以及如何使用该工具各项 

功能的逐步说明。 

405

用户指南 

本章包含以下联机帮助部分,描述了未管理设备搜寻工具的对话框。在控制台界面中,您可以通过单击它们各 

自对话框中的帮助按钮来访问这些帮助部分。 

关于“扫描器配置”对话框 

使用此对话框来自定义和启动未管理设备扫描。要访问此对话框,请在未管理设备搜寻工具窗口中单击扫描 

网络工具栏按钮。 

406 

已保存的配置:显示已保存的扫描器配置。根据需要对设置进行更改后,单击新建,为配置命名,然 

后选中新建的配置,最后单击保存,即可保存配置。 

更多 >>:展开对话框可显示搜寻选项。 

网络扫描:搜寻使用 ICMP ping 扫描的设备。这是最彻底的搜寻方法,建议使用此方法。 

IP OS 指纹:一种附加的搜寻级别,它使用数据包响应来尝试和确定已发现设备上所安装的操 

作系统。 

使用 SNMP:一种附加的搜寻级别,它使用 SNMP 进行设备检测。 

搜寻安装 LANDesk CBA 的设备:搜寻运行 CBA 代理的设备。如果设备有 CBA,这就是最快的搜寻 

方法。 

搜寻安装 LANDesk PDS2 的设备:搜寻还在使用 LANDesk PDS2 代理早期版本的设备。如 

果先选择了 CBA 搜寻,就只能选择此选项。 

使用 NT 域搜寻设备:在 Windows NT 域中搜寻设备。此选项使用 NT 域帐户信息,并且不需要 IP 地 

址范围,当然您也可以指定一个 IP 地址范围。选择此选项后单击配置,将显示 NT 域配置对话框,您 

可以在其中自定义 NT 域搜寻设置。 

按 IP 范围筛选(适用于 NT 域和 LDAP):按起始 IP 和结束 IP 中指定的 IP 范围对 NT 域和 LDAP 

搜寻进行筛选。 

使用 LDAP 搜寻设备:在 LDAP 目录中搜寻设备。选择此选项后单击配置,将显示 LDAP 配置对话 

框,您可以在其中自定义 LDAP 搜寻设置。 

搜寻启用 IPMI 的设备:查找启用了智能型平台管理界面的服务器,该界面允许您访问许多功能而无需 

考虑服务器是否打开或操作系统所处的状态。 

搜寻 Intel vPro AMT 设备:查找启用 Intel 活动管理技术的设备。AMT 设备会出现在 Intel AMT 文件 

夹中。 

搜寻虚拟主机:查找运行 VMware ESX Server 的服务器。 

起始 IP:输入您要扫描的地址范围的起始 IP 地址。 

结束 IP:输入您要扫描的地址范围的结束 IP 地址。UDD 将在您键入起始 IP 后自动更新此字段,但 

您也可以手动更改结束 IP 地址。将子网掩码 + 键入的起始 IP 值,即可计算出结束 IP。 

子网掩码:输入您要扫描的 IP 地址范围的子网掩码。 

添加和删除:在对话框底部的工作队列中添加或删除 IP 地址范围。 

计划任务:根据设置安排扫描时间。可以在计划任务窗口中自定义开始时间。已安排好时间的扫描将 

从核心服务器开始执行。 

立即扫描:根据设置立即开始扫描。从此处启动的扫描将从您所在的控制台开始执行。一旦开始扫 

描,屏幕上就会出现扫描状态对话框,其中显示了所找到设备的总数、更新了多少个现有设备,以及 

添加了多少个新的未管理设备。 

关于“NT 域配置”对话框 

使用此对话框来配置如何连接到您要扫描的域。 

域:输入要扫描的域。 

以当前用户身份登录:如果您是以对要扫描的域有访问权限的用户登录的,请选择此选项。 

以下列身份登录:如果您不是以对要扫描的域有访问权限的用户登录的,请选择此选项。而且,还要 

输入用户名和密码。

使用域信息:使用域中关于检测到的设备操作系统的信息。 


添加和删除:单击添加就可以将您要配置和扫描的每个域添加到工作队列中。单击删除即可从工作队 

列中删除所选的域。 

关于“LDAP 配置”对话框 

使用此对话框来配置如何连接到您要扫描的 LDAP 目录。 

LDAP://:输入要扫描的 LDAP 目录。 

以当前用户身份登录:如果您是以对要扫描的目录有访问权限的用户登录的,请选择此选项。 

以下列身份登录:如果您登录时所使用的用户名对要扫描的目录没有访问权限,则请选择此选项。而 

且,还要输入用户名和密码。 

选择单个 OU:选择要扫描的 OU。单击添加即可将其添加到工作队列中。单击删除即可从工作队列中 

删除所选的 OU。 

Active Directory 路径:在适合的情况下,显示 Active Directory 路径。 

配置 SNMP 扫描 

网络扫描搜寻可以使用 SNMP。根据您的 SNMP 配置,您可能需要在 UDD 中输入其他 SNMP 信息。单击 

SNMP 选项旁的配置,打开 SNMP 配置对话框,该对话框的选项如下: 

重试次数:UDD 重试 SNMP 连接的次数。 

等待响应的秒数:UDD 应该等待 SNMP 响应的时间。 

端口:UDD 发送 SNMP 查询应使用的端口。 

社团名称:UDD 应该使用的 SNMP 社团名称。 

配置 SNMP V3:UDD 也支持 SNMP V3。单击此按钮以在 SNMP V3 配置对话框中配置 SNMP V3 

选项。 

SNMP V3 配置对话框有以下选项: 

用户名:UDD 用于与远程 SNMP 服务进行身份验证的用户名。 

密码:远程 SNMP 服务的密码。 

身份验证类型:SNMP 使用的身份验证类型。可以是 MD5、SHA 或无。 

加密类型:SNMP 服务使用的加密方法。可以是 DES、AES128 或无。 

加密密码:用于指定加密类型的密码。在选择保密性类别无时无此项。 

关于“ARP(或 WAP)搜寻设置列表”对话框 

使用此对话框可管理用于扩展设备搜寻的 ARP 和 WAP 设置。一旦配置完毕,您可以将 XDD 设置应用到扫 

描任务。 


新建: 打开设置对话框,配置搜寻方法选项。 


复制:打开选定设置的副本作为模板,然后可以对其进行修改和重命名。如果您要对设置进行少量调 

整并将它们保存用于特定目的,这将非常有用。 

删除:从数据库删除选定的设置。 

注意,选定的设置当前可能与一项或多项任务或者受管设备相关联。如果您选择删除该设置:具有此 

设置的设备仍然具有此设置并且可继续使用此设置,直到部署新的代理配置任务;具有该设置的计划 

任务仍可在目标设备上运行,如同利用此设置执行本地调度程序任务一样,直到部署新的配置。 

407

用户指南 

408 


关于“配置 ARP 搜寻设置”对话框 

使用此对话框(配置扩展设备搜寻工具栏按钮 > 配置 ARP 搜寻设置)可自定义基于 ARP 的扩展设备搜寻扫 

描设置。 

配置名称:用唯一的名称来标识设置。该名称显示在设置列表对话框的“设置”下拉列表中。 

ARP 条目在缓存中保存的时间(以秒为单位):具有扩展设备搜寻代理的设备将地址保留在 ARP 表中 

的时长。在进行初始搜寻 ping 操作之后,ARP 高速缓存中的设备将不再被 ping。默认值为 24 小时 

(86,400 秒)。最小值是 900 秒。 

ping LANDesk 代理的未知设备之前的最大延迟(以秒计):当具有扩展设备搜寻代理的设备识别出 

新的 ARP 之后,设备将用两分钟时间等待检测到的设备启动,然后在您此处指定的值范围内随机等待 

一段时间。具有最短随机等待时间的代理将会首先 ping,然后对子网进行 UDP 广播,提示它管理该 

设备的 ping 操作。如果您已安装了多个扩展设备搜寻代理,这将会防止设备因所有 ping 操作同时进 

行而生成过量通信量。如果设置值太高,则在您 ping 之前,未管理设备可能会与网络断开。如果设置 

值太低,则可能会有多个代理进行 ping 操作并报告相同的设备。默认值为一小时(3,600 秒)。 

缓存 ARP 表的刷新频率(以秒为单位):设备将 ARP 高速缓存写到磁盘的频率,这样在设备关闭、破 

坏或重新启动时数据不会丢失。默认值为五分钟(300 秒)。 

日志级别:本地扩展设备搜寻的日志级别为:错误 (1)、警告 (2)、所有 (3)。默认级别是 1 - 仅错误。 

日志保存在本地的 C:\Program Files\LANDesk\LDClient\xddclient.log。 

强制日志级别:覆盖核心服务器的日志级别设置。如果清除此选项,您可以手动在特定设备上设置日 

志级别。这在排除特定设备故障时非常有用,无需更改所有设备上的日志级别。该选项是默认启用 

的。 

关于“配置 WAP 搜寻设置”对话框 

使用此对话框(配置扩展设备搜寻工具栏按钮 > 配置 WAP 搜寻设置)可自定义基于 WAP 的扩展设备搜寻扫 

描设置。 


配置名称:用唯一的名称来标识设置。该名称显示在设置列表对话框的“设置”下拉列表中。 

WAP 扫描频率(以秒为单位):指定扩展设备搜寻代理多久扫描一次 WAP 点。 

日志级别:本地扩展设备搜寻的日志级别为:错误 (1)、警告 (2)、所有 (3)。默认级别是 1 - 仅错误。 

日志保存在本地的 C:\Program Files\LANDesk\LDClient\xddclient.log。 

强制日志级别:覆盖核心服务器的日志级别设置。如果清除此选项,您可以手动在特定设备上设置日 

志级别。这在排除特定设备故障时非常有用,无需更改所有设备上的日志级别。该选项是默认启用 

的。 

关于“ARP 搜寻历史记录”对话框 

使用此对话框(配置 ARP 搜寻历史记录工具栏按钮)可配置核心服务器维护 ARP 搜寻历史记录的方式。该 

历史记录数据用于生成扩展设备搜寻报告。该对话框中的以下选项不会影响您在未管理设备搜寻主窗口中看到 

的搜寻到的设备。该历史记录仅适用于通过 ARP 搜寻到的并且没有 LANDesk 代理的设备。 

历史记录维护天数:单击此选项,允许您指定您要在数据库中保存 ARP 搜寻历史记录数据的天数。在 

维护期间,长于您所指定天数的 ARP 搜寻历史记录数据将会从数据库中删除。 

手动清除条目:这是默认值。在维护期间,ARP 搜寻历史记录将不被删除。 

立即清除所有条目:单击此按钮,立即从数据库中删除 ARP 搜寻历史记录。

LANDesk Security Suite

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?