Symantec終端管理及安全解決方案技術規范書賽門鐵克軟件（北京）有限公司DATE\@"yyyy年MM月"\l2008年04月文檔信息屬性內容文檔名稱：終端管理和安全解決方案技術規范書文檔編號：文檔版本：版本日期：文檔狀態：制作人：審閱人：版本變更記錄版本修訂日期修訂人描述1.02008-4-8姚臻目錄第1章 概述 1第2章 產品功能簡介 32.1 端點保護系統SymantecEndpointProtection 32.1.1 產品簡介 32.1.2 產品主要優勢 42.1.3 主要功能 52.2 終端準入控制SymantecNetworkAccessControl11 62.2.1 主要優勢 72.2.2 主要功能 72.3 SymantecAltiris（IT生命周期管理解決方案） 82.3.1 Altiris管理架構—NotificationsServer 92.3.2 解決方案的主要市場、技術定位 122.3.3 解決方案的專利技術和優勢 122.3.4 廠商的完整IT運維產品線，產品在該產品線中的位置，與其他產品的關系 12第3章 終端安全系統體系結構 133.1 管理系統功能組件說明 133.2 系統管理架構設計 163.2.1 兩級管理體系 163.2.2 二級VS兩級以上的管理 173.2.3 策略的同步與復制 183.2.4 服務器的負載均衡 203.2.5 客戶端的漫游 213.2.6 容災與災備系統 243.3 準入控制設計 283.3.1 SymantecNetworkAccessControl架構 283.3.2 賽門鐵克端點評估技術：靈活性和全面性 303.3.3 永久代理 323.3.4 可分解的代理 333.3.5 遠程漏洞掃描 343.3.6 SymantecEnforcers：用于消除IT和業務中斷的靈活實施選件 353.3.7 GatewayEnforcer 373.3.8 DHCPEnforcer 383.3.9 LANEnforcer—802.1x 393.3.10 網絡準入控制行業框架支持 403.3.11 端到端的端點遵從 413.4 安全管理策略架構 423.4.1 域及管理員分級 423.4.2 管理權限策略 453.4.3 組織結構設計 453.4.4 安全策略 473.5 賽門鐵克策略管理：全面、集成的端點安全管理 493.5.1 一個管理控制臺 503.5.2 統一代理 513.5.3 消除網絡準入控制障礙 513.6 服務器的硬件配置需求 51第4章 終端管理系統體系結構 534.1 管理架構 534.2 架構闡述 574.2.1 架構比較 574.2.2 多級管理 584.2.3 Altiris管理服務器 594.3 管理模式 604.4 管理職能 604.4.1 管理架構歸屬 604.4.2 策略制定歸屬 614.4.3 監控職能歸屬 624.5 管理權限 62第5章 終端管理技術標準規范 655.1 ITIL(IT基礎架構庫) 655.2 遵循的IT業界標準--1 665.3 遵循的IT業界標準--2 675.4 遵循的IT業界標準--3 68概述企業目前面臨著利用端點設備中的漏洞，更為隱蔽、目標性更強、旨在獲取經濟利益的威脅。多種上述復雜威脅會避開傳統的安全解決方案，使企業容易成為數據竊取和操控的受害者、造成關鍵業務服務中斷并導致公司品牌和聲譽受損。為了提前應對這些隱蔽多變的新型安全威脅，企業必須升級他們的端點防護措施。SymantecEndpointProtection讓企業能夠采用更為有效的整體方法，來保護筆記本電腦、臺式機和服務器等端點。R該產品將業界領先的防病毒軟件、反間諜軟件和防火墻與先進的主動防護技術集成到一個可部署代理中，通過中央管理控制臺進行管理。而且，管理員可以根據他們的具體需要，輕松禁用或啟用上述任何技術。同時，IT管理員會竭盡全力確保按照公司策略配置新部署的臺式機和筆記本電腦，公司策略包括所有適用的安全更新、批準的應用程序設置、防病毒軟件、防火墻設置以及其它配置設置。遺憾的是，這些計算機一投入使用，管理員通常就無法控制這些端點的配置。用戶安裝新軟件、阻止補丁程序更新、禁用防火墻或者進行其它更改，導致設備乃至整個IT基礎架構面臨著風險。在網吧、賓館房間或者其它更易受到攻擊或感染的不安全地點，遠程用戶和移動用戶使用不遵從筆記本電腦時會面臨更高的風險。網絡準入控制解決方案使企業能夠防止此行為影響企業的IT基礎架構。在任何計算機能夠訪問生產網絡及其資源之前，該計算機都必須完全遵從制定的企業策略，如安全補丁程序、防病毒軟件和病毒定義的正確版本級別。但是，盡管他們能夠防止不遵從端點連接到企業網絡，但部分企業仍然因為各種原因尚未采用網絡準入控制解決方案，這些原因包括許多解決方案：SymantecNetworkAccessControl使用端到端的解決方案解決了上述所有問題，能夠安全地控制對企業網絡的訪問、實施端點安全策略以及與現有網絡基礎架構輕松集成。產品功能簡介端點保護系統SymantecEndpointProtection產品簡介SymantecEndpointProtection11將SymantecAntiVirus?與高級威脅防御功能相結合，可以為筆記本、臺式機和服務器提供無與倫比的惡意軟件防護能力。它甚至可以防御最復雜的攻擊，這些攻擊能夠躲避傳統的安全措施，如rootkit、零日攻擊和不斷變化的間諜軟件。SymantecEndpointProtection11不僅提供了世界一流、業界領先且基于特征的防病毒和反間諜軟件防護。它還提供了先進的威脅防御能力，能夠保護端點免遭目標性攻擊以及之前沒有發現的未知攻擊侵擾。它包括即刻可用的主動防護技術以及管理控制功能；主動防護技術能夠自動分析應用程序行為和網絡通信，以檢測并阻止可疑活動，而管理控制功能使您能夠拒絕對企業來說被視為高風險的特定設備和應用程序活動。甚至可以根據用戶位置阻止特定操作。這種多層方法可以顯著降低風險，同時能夠充分保護企業資產，從而使企業高枕無憂。它是一款功能全面的產品，只要您需要，即可立即為您提供所需的所有功能。無論攻擊是由惡意的內部人員發起，還是來自于外部，端點都會受到充分保護。SymantecEndpointProtection11不僅可以增強防護，而且可以通過降低管理開銷以及管理多個端點安全性產品引發的成本來降低總擁有成本。它提供一個代理，通過一個管理控制臺即可進行管理。從而不僅簡化了端點安全管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統一的集中報告及一個授權許可和維護計劃。SymantecEndpointProtection11易于實施和部署。賽門鐵克還提供廣泛的咨詢、技術培訓和支持服務，可以指導企業完成解決方案的遷移、部署和管理，并幫助您實現投資的全部價值。對于希望外包安全監控和管理的企業來說，賽門鐵克還提供托管安全服務，以提供實時安全防護。產品主要優勢安全全面的防護—集成一流的技術，可以在安全威脅滲透到網絡之前將其阻止，即便是由最狡猾的未知新攻擊者發起的攻擊也不例外。以實時方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和rootkit。主動防護—全新的主動威脅掃描使用獨特的賽門鐵克技術為未知應用程序的良好行為和不良行為評分，從而無需創建基于規則的配置即可增強檢測能力并減少誤報。業界最佳的威脅趨勢情報—賽門鐵克的防護機制使用業界領先的賽門鐵克全球情報網絡，可以提供有關整個互聯網威脅趨勢的全面視圖。借助此情報可以采取相應的防護措施，并且可以幫助您防御不斷變化的攻擊，從而使您高枕無憂。簡單單一代理，單一控制臺—通過一個直觀用戶界面和基于Web的圖形報告將全面的安全技術集成到單一代理和集中的管理控制臺中。能夠在整個企業中設置并實施安全策略，以保護您的重要資產。添加SymantecNetworkAccessControl11支持時，可以簡化管理、降低系統資源使用率，并且無需其它代理。通過購買許可證可以在代理和管理控制臺上自動啟用SymantecNetworkAccessControl11功能。易于部署—由于它只需要一個代理和管理控制臺，并且可以利用企業現有的安全和IT投資進行操作，因此，SymantecEndpointProtection11易于實施和部署。對于希望外包安全監控和管理的企業，賽門鐵克提供托管安全服務，以提供實時安全防護。降低擁有成本—SymantecEndpointProtection11通過降低管理開銷以及管理多個端點安全產品引發的成本，提供了較低的總體擁有成本。這種保障端點安全的統一方法不僅簡化了管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統一的集中報告及一個授權許可和維護計劃。無縫易于安裝、配置和管理—SymantecEndpointProtection11使您可以輕松啟用、禁用和配置所需的技術，以適應您的環境。SymantecNetworkAccessControl11就緒—每個端點都會進入“SymantecNetworkAccessControl11就緒”狀態，從而無需部署其它網絡訪問控制端點代理軟件。利用現有安全技術和IT投資—可以與其它領先防病毒供應商、防火墻、IPS技術和網絡訪問控制基礎架構協作。還可以與領先的軟件部署工具、補丁管理工具和安全信息管理工具協作。主要功能防病毒和反間諜軟件—提供了無可匹敵的一流惡意軟件防護能力，包括市場領先的防病毒防護、增強的間諜軟件防護、新rootkit防護、減少內存使用率和全新的動態性能調整，以保持用戶的工作效率。網絡威脅防護—提供基于規則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進入系統前將其阻止在外。主動威脅防護—針對不可見的威脅（即零日威脅）提供防護。包括不依賴特征的主動威脅掃描。單個代理和單個管理控制臺—在一個代理上提供防病毒、反間諜軟件、桌面防火墻、IPS、設備控制和網絡訪問控制（需要購買賽門鐵克網絡訪問控制許可證）—通過單個管理控制臺即可進行全面管理。終端準入控制SymantecNetworkAccessControl11SymantecNetworkAccessControl11是全面的端到端網絡訪問控制解決方案，通過與現有網絡基礎架構相集成，使企業能夠安全有效地控制對企業網絡的訪問。不管端點以何種方式與網絡相連，SymantecNetworkAccessControl11都能夠發現并評估端點遵從狀態、設置適當的網絡訪問權限、根據需要提供補救功能，并持續監視端點以了解遵從狀態是否發生了變化。從而可以營造這樣的網絡環境：企業可以在此環境中大大減少安全事故，同時提高企業IT安全策略的遵從級別。SymantecNetworkAccessControl11使企業可以按照目標經濟有效地部署和管理網絡訪問控制。同時對端點和用戶進行授權在當今的計算環境中，企業和網絡管理員面臨著嚴峻的挑戰，即為不斷擴大的用戶群提供訪問企業資源的權限。其中包括現場和遠程員工，以及訪客、承包商和其他臨時工作人員。現在，維護網絡環境完整性的任務面臨著前所未有的挑戰。如今無法再接受對網絡提供未經檢查的訪問。隨著訪問企業系統的端點數量和類型激增，企業必須能夠在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源之后，要對端點進行持續驗證。SymantecNetworkAccessControl11可以確保在允許端點連接到企業LAN、WAN、WLAN或VPN之前遵從IT策略。主要優勢部署SymantecNetworkAccessControl11的企業可以切身體驗到眾多優勢。其中包括：減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播通過對訪問企業網絡的不受管理的端點和受管理的端點加強控制，降低風險為最終用戶提供更高的網絡可用性，并減少服務中斷的情況通過實時端點遵從數據獲得可驗證的企業遵從信息企業級集中管理架構將總擁有成本降至最低驗證對防病毒軟件和客戶端防火墻這樣的端點安全產品投資是否得當主要功能網絡訪問控制流程網絡訪問控制是一個流程，涉及對所有類型的端點和網絡進行管理。此流程從連接到網絡之前開始，在整個連接過程中持續進行。與所有企業流程一樣，策略可以作為評估和操作的基礎。網絡訪問控制流程包括以下四個步驟：1.發現和評估端點。此步驟在端點連接到網絡訪問資源之前執行。通過與現有網絡基礎架構相集成，同時使用智能代理軟件，網絡管理員可以確保按照最低IT策略要求對連接到網絡的新設備進行評估。2.設置網絡訪問權限。只有對系統進行評估并確認其遵從IT策略后，才準予該系統進行全面的網絡訪問。對于不遵從IT策略或不滿足企業最低安全要求的系統，將對其進行隔離，限制或拒絕其對網絡進行訪問。3.對不遵從的端點采取補救措施。對不遵從的端點自動采取補救措施使管理員能夠將這些端點快速變為遵從狀態，隨后再改變網絡訪問權限。管理員可以將補救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進行手動補救。4.主動監視遵從狀況。必須時刻遵從策略。因此，SymantecNetworkAccessControl11以管理員設置的時間間隔主動監視所有端點的遵從狀況。如果在某一時刻端點的遵從狀態發生了變化，那么該端點的網絡訪問權限也會隨之變化。SymantecAltiris（IT生命周期管理解決方案）AltirisIT生命周期管理解決方案具有多重系統管理功能，企業能隨著新的要求或新的系統管理需求部署新的功能，隨著企業的發展而不斷擴充。每個解決方案以模塊化的方式集中安裝在Altiris服務器上，通過安裝在客戶端的Agent（代理）的交互式來實現所有功能。Altiris管理架構—NotificationsServerNotificationServer是altiris所有模塊化解決方案的基礎架構，所有模塊都基于此。其可擴充管理架構--ExtensibleManagementArchitecture?(EMA?)為客戶提供了一個統一集中又具充分擴展能力的管理平臺。通過NotificationServer，altriris具備管理復雜網絡環境的能力無論是LAN還是WAN。其功能特性如下：完全為BS結構，Web方式管理，統一集中的控制臺Altiris基于Windows.Net技術，采用SQLServer數據庫，符合主流的發展趨勢。可以按角色和區域進行多級分布式管理其角色安全(RoleBase)和區域安全(ScopeBase)特性滿足大型企業客戶對管理的需求管理多平臺能力可以管理Windows,Linux,Unix,Mac等多種軟硬件平臺，而無須采用第三方產品。強大的與第三方產品集成能力企業資源共享是企業IT總體規劃的重要內容，altiris通過其連接器解決方案(ConnectorSolution)提供了多種連接器(Connector)—AD，HPOpenView,IBMDirector,SMS,RemedyHelpdesk，Oracle甚至SAP。通過ODBC,OLEDB,altiris還可以與財務軟件、HR軟件進行資源數據共享。強大的Web報表功能Altiris不但提供了數百個已經預定義的Web報表，還可以讓企業自定義符合企業需求的報表。PackageServer(分布式服務器)PackageServer功能使得altiris可以應用于任何一種企業架構，無論復雜還是簡單。并且與AD集成。同時PackageServer不需要額外付費，對于有復雜結構WAN環境企業可以節約很大一筆費用。通過工業標準的SNMP,可以管理基于SNMP設備Altiris不但可以管理PC等設備，還可以管理網絡設備基于策略的管理Altiris基于策略的管理可以大大減少重復性的管理工作環節，自動化操作能力是IT管理的重要特征。altirisNotificationServer是免費的AltirisNotificationServer不需要額外的許可證費用，企業可以自由任意的擴展管理架構強大的合作伙伴支持能力Altriris支持業界主流的計算機廠商，并為他們開發了專門針對硬件底層的管理工具，如IBM服務器、Dell服務器和客戶端、HP服務器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。綜上所述，altiris管理架構在廣度和深度上都是極具優勢。解決方案的主要市場、技術定位Altiris解決方式適合于擁有幾千臺、數萬臺甚至數十萬臺計算機的各種規模的企業組織，這些企業組織須要有效降低IT管理成本和提高IT管理效率，以求得良好的投資回報率，促進企業業務發展與擴大Altiris解決方案在商業組織、政府機構、教育等幾乎所有領域都擁有眾多成功案例。解決方案的專利技術和優勢Altiris公司擁有眾多專利技術：recovery/deployment/wise廠商的完整IT運維產品線，產品在該產品線中的位置，與其他產品的關系Altiris擁有客戶端管理、服務器管理、資產管理、安全管理完整的管理工具集，在同類產品中擁有最完整的產品構成，在技術功能處于領先者地位。終端安全系統體系結構管理系統功能組件說明終端安全管理系統包括三部分組件：策略管理服務器策略服務器實現所有安全策略、準入控制規則的管理、設定和監控，是整個終端安全標準化管理的核心。通過使用控制臺管理員可以創建和管理各種策略、將策略分配給代理、查看日志并運行端點安全活動報告。通過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點可見性。統一控制臺簡化了端點安全管理，提供集中軟件更新、策略更新、報告等功能。策略管理服務器可以完成以下任務：終端分組與權限管理；根據地理位置、業務屬性等條件對終端進行分組管理，對于不同的組可以制定專門的組管理員，并進行權限控制。策略管理與發布；策略包括自動防護策略、手動掃描的策略、手動掃描的策略、病毒、木馬防護策略、惡意腳本防護策略、電子郵件防護策略（包括outlook、lotus以及internet郵件）、廣告軟件防護策略、前瞻性威脅防護策略、防火墻策略、入侵防護策略、硬件保護策略、軟件保護策略、升級策略、主機完整性策略等安全內容更新下發安全內容更新包括病毒定義、防火墻規則、入侵防護定義、主動威脅防護規則等日志收集和報表呈現可以生成日報/周報/月報，報告種類包括：風險報表（以服務器組、父服務器、客戶端組、計算機、IP、用戶名為條件識別感染源、當前環境下高風險列表、按類型劃分的安全風險）、計算機狀態報表（內容定義分發、產品版本列表、未接受管理客戶端列表）、掃描狀態報表、審計報表、軟件和硬件控制報表、網絡威脅防護報表、系統報表、安全遵從性報表。強制服務器管理和策略下發對于交換機強制服務器和網關強制設備進行統一的管理和策略定義。終端代理安裝包的維護和升級；終端代理（包括終端保護代理和準入控制代理）終端安全管理系統需要在所有的終端上部署安全代理軟件，安全代理是整個企業網絡安全策略的執行者，它安裝在網絡中的每一臺終端計算機上。安全代理實現端點保護和準入控制功能。端點保護功能包括：防病毒和反間諜軟件—提供病毒防護、間諜軟件防護、rootkit防護。網絡威脅防護—提供基于規則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進入系統前將其阻止在外。主動威脅防護—針對不可見的威脅（即零日威脅）提供防護。包括不依賴特征的主動威脅掃描。端點準入控制功能包括：主機完整性檢查和自動修復：檢查終端計算機上防火墻、防病毒軟件、反間諜軟件、補丁程序、ServicePack或其他必需應用程序是否符合要求，具體內容可以是對防病毒程序的安裝，windows補丁安裝，客戶端啟用強口令策略，關閉有威脅的服務與端口。因為主機完整性檢查支持對終端的注冊表檢查與設置，進程管理，文件檢查，下載與啟動程序等，所以可通過設置自定義的策略來滿足幾乎所有對客戶端的安全策略與管理要求。強制：當終端的安全設置不能滿足企業基準安全策略的需求，可以限制終端的網絡訪問，如只能訪問修復服務器進行自動修復操作。以上兩部分功能由一個代理軟件完成，接受策略管理服務器的統一管理。強制認證服務器對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網絡強制的方式進行控制。這需要部署相關的強制服務器（LANEnforcer）。賽門鐵克LANEnforcer802.1X是帶外802.1XRADIUS代理解決方案，它與支持802.1X標準的所有主要交換供應商協同工作。幾乎所有有線以太網和無線以太網交換機制造商都支持IEEE802.1x準入控制協議。LANEnforcer使用該鏈接級協議評估端點遵從性，提供自動問題修復并允許遵從系統進入企業網絡。在實施期間，端點上的賽門鐵克代理使用802.1x將遵從信息傳送到網絡交換機上，然后將此信息中繼到LANEnforcer。如果端點不遵從策略，LANEnforcer會將其放入隔離網絡，在此對其進行修復，而不會影響任何遵從端點。SymantecNetworkAccessControl11補救端點并將其轉換到遵從狀態后，802.1x協議將試圖對用戶重新進行身份驗證，并為其授予網絡訪問權限。LANEnforcer可以參與現有AAA身份管理架構以便對用戶和端點進行身份驗證，對于只要求進行端點遵從驗證的環境，也可以充當獨立的RADIUS解決方案（也稱為透明模式）。在透明模式下，管理員只需將交換機配置為使用LANEnforcer作為RADIUS服務器，就能讓設備根據遵從所定義策略的情況對端點進行身份驗證。在透明模式下運行LANEnforcer無需額外基礎架構，并且是一種實施基于VLAN交換的安全網絡準入控制解決方案的簡單方法。系統管理架構設計系統架構的設計取決與管理方式、終端數量及分布、網絡帶寬等條件。推薦終端安全管理平臺采用“統一控制，二級管理”架構，這樣的架構與現有行政管理模式相匹配——益于提高管理效率，同時又能體現“統一規劃，分級集中管理”的思想，讓各地市分擔省公司的運行維護負擔。兩級管理體系終端接入控制平臺按照兩級架構設計，總部—省公司如下圖：在總部設立全國范圍的終端接入控制平臺中心，制定并下發統一的全網管理策略。這些策略主要以策略模版庫的形式提供。這些策略通過同步與復制的機制，在一二級服務器間保持一致。二級管理平臺上策略的變更也都會同步回一級控制平臺，在一級管理平臺上可以預覽任何一個二級甚至三級服務器上的策略應用情況。二級VS兩級以上的管理在4.2.1節中，我們設計的是一個二級管理體系。通過復制關系實現上下級之間的策略同步。根據需要，我們可以實現二級以上的管理關系。例如，國家電網在總部實現一級管理平臺，在各省中心實現二級管理平臺，在一個大的地市實現三級管理架構，如下圖所示：理論上SEP11的管理架構層次是無限多，但是在實際部署中，我們推薦國家電網的SEP架構設計控制在三層以下。其一可以減少管理上的復雜度，包括架構的設計，人員的調配設置，權限的分級下發設計；另外也避免了更多的硬件成本支出。策略的同步與復制復制就是不同地點或站點間的服務器系統通過特別拷貝來共享數據的過程。終端接入控制平臺的策略同步復制在邏輯上和微軟域策略的同步復制類似，它并非簡單的數據庫間復制關系，它內部包含有周全的防止策略沖突的處理。通過策略復制與同步，不同地點的用戶都工作在本地的副本之上，然后同步他們之間的變更。在終端接入控制平臺上，策略復制還可以將一個管理服務器上的變更同步到另一個數據庫上，實現冗余備份。通過策略復制，終端接入控制平臺能夠支持多級管理，以及無限的終端數量擴展能力，從而滿足國家電網終端節點規模不斷擴大的需求。“統一控制”體現在通過一個統一控制臺管理所有服務的功能，省中心管理員可通過整體方法來管理端點安全。“分級管理”主要體現在地市管理平臺根據省中心的權限設置也可以自主在管轄范圍內進行管理策略的擴展和定制。實現方式如下：在對不同地市用戶用戶進行分組，并對不同的地市組制定不同的安全策略。通過系統內置的繼承體系，不同的子組能夠從同一父組中繼承相同的安全策略，從而提高策略制定的便利性。同時，可以為各地市管理員分配適當的權限，如是否允許地市管理員修改繼承的策略，限制其只可以查看本地市的報告，僅能管理本地市州的客戶端等細致的權限。如下圖所示：服務器的負載均衡SEP11/SNAC11可以自行實現負載均衡和災難恢復設置，無需再另行添置相關軟硬件設置。SEP11的負載均衡建立在現有體系結構之上，它提供了一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數據處理能力，提高網絡的靈活性和可用性。它主要完成以下任務：解決網絡擁塞問題，服務就近提供，實現地理位置無關性；為用戶提供更好的訪問質量；提高服務器響應速度；提高服務器及其他資源的利用效率；避免了網絡關鍵部位出現單點失效。SEP11可以為每一個地區/組織結構/組的用戶創建不同的服務器鏈接列表，當客戶端接收到最新的服務器列表策略后，它會從列表中通過隨機算法選擇其中之一的服務器進行連接，如果連接不上，會繼續通過隨機算法選擇其余服務器列別當中的一個進行連接，直至連接到某一個服務器為止，如下圖所示：此外，SEP11還可以定制不同的服務器優先級，即只有自己的服務器列表第一優先級中所有的服務器全部連接不上時，自動尋找優先級為二級的服務器列表，如下圖所示：客戶端的漫游對于國家電網這個大型企業來說，員工的流動性也是非常大。如果員工在離開其所在地出差到其他分支機構時，如果SEP11客戶端仍然去連接其原有的服務器，在網絡帶寬允許的情況下是不會有太大問題是；但是如果分支結構較小，又或者網絡連接情況不甚理想時，和服務器的連接這個問題就必須慎重考慮，否則，或者客戶端無法連接其管理其的服務器，或者占用大量廣域網的網絡帶寬，給業務系統使用網絡帶來不必要的影響。SEP11充分考慮到了大型企業的員工在出差漫游到外地時的系統設置，方便客戶端就近連接到本地的服務器組，不但大大提高了連接速度，也避免和業務系統搶占寶貴的廣域網帶寬。方法之一是采用DNS的漫游；方法二是自動處所切換功能。像國家電網這樣的大型企業不但在全國都有自己的分支機構，網絡建設更是走在其他全國的前列。全國建設了自己的獨立的Intranet，此外，各個大區也建立了自己的DNS服務器和DHCP服務器，客戶端可以就近解析網絡域名。SEP11系統在建立之初，可以在全國范圍內使用統一的域名，例如，隨后在各地市的DNS服務器上綁定域名和對應的本地的SEPM服務器IP地址，例如，總部和北京地區是共用同一臺DNS服務器，同時總部和北京地區的SEPM服務器有三臺（4.2.4節介紹的負載均衡），IP地址分別是、、，管理員可以在本地的DNS服務器上設置對應的IP地址就是、、。當用戶電腦啟動后會首先接受本地DHCP服務器分配的IP地址、網關以及本地的DNS服務器IP地址。隨后當SEP11客戶端試圖連接SEPM服務器時，這臺客戶端會首先向本地DNS服務器發起解析域名請求，由DNS服務器隨機分配IP地址給SEP11客戶端。這樣，不論用戶是否是總部的用戶，只要終端上的DNS服務器指向的是本地SEPM服務器，就能順利的實現客戶端的漫游。同樣道理，各地市的DNS服務器也分別將這個域名解析到本地的SEPM服務器的IP地址。當總部或其它地市的電腦漫游到本地市時，就能通過本地市的DNS服務器順利連接到本地的SEPM服務器。方法二是采用SEP終端安全管理系統的自動處所切換功能。強大的SEP11終端安全管理系統能根據管理員的實際需要，在以下條件中任意選擇一個或者多個；條件可以是“和”，也可以是“或”，組成一個判斷用戶當前所處環境的判斷。條件包括以下：IP范圍（包括單個IP地址、子網地址、IP地址段、IP地址范圍等）DNS服務器IP地址DHCP服務器IP地址客戶端可以解析主機名客戶端可以連接到管理服務器（可以連，或者是無法連接）網絡連接類型（包括■任何網絡■撥號網絡■以太網■無線CheckPointVPN-1CiscoVPNMicrosoftPPTPVPNJuniperNetScreenVPNNortelContivityVPNSafeNetSoftRemoteVPNAventailSSLVPNJuniperSSLVPN）注冊表鍵值例如，管理員指定，當用戶拿到了——50的地址，同時通過以太網連接，DNS服務器的IP地址是10.1.254，則認為其漫游到了總部地址。這樣，任何一個客戶端如果滿足上訴條件的組合，即可認為其處在總部地區，隨即分配總部地區的SEPM服務器與其連接。容災與災備系統容災和災備系統的設計對任何一個系統都是極其重要，尤其是對一個覆蓋全網的安全管理系統。SEP11充分考慮到了用戶的需求并提供了多種方法供管理員選擇。容災系統設計分為兩部分，一部分是對于SEPM服務器的容災設計，另外一個是SEPM的后臺數據庫服務器的容災設計。SEPM服務器的容災設計在4.2.4節已經詳細描述，即客戶端可以隨機連接任何一個SEPM服務器組中的SEPM，任意一個SEPM服務器宕機都不會影響客戶端和服務器的通訊。同時，SEPM服務器優先級的設置可以保證在極端情況下即使同一個地區所有的SEPM全部宕機，此地區的客戶端也可以連接到其他地區的SEPM服務器。如下圖所示：上圖是同一地區同一優先級的SEPM冗余設計。上圖左部分是優先級為1的本地SEPM服務器群，右邊的是優先級為2的異地SEPM服務器群。在SEPM服務器實現冗余設計后，數據庫的冗余設計也需要得到管理員的同樣重視。SEP終端安全管理系統所有的數據均儲存在后臺的數據庫上，包括客戶端的分組、策略的定義、病毒庫，以及定期產生的日志及報表等等。所以，維護數據庫的冗余以及災備系統設置及就顯得更為重要了數據庫的冗余設計也分為兩種，一種是單站點的設置，另外一種是對于多站點的設計。對于單站點來說，重要的是如何保護其唯一一個數據庫。對于這種情況，Symantec公司推薦使用DatabaseCluster來實現數據庫的冗余設計，如VCS或者是MCS，如下圖所示：對多站點來說，情況就會好很多。我們在4.2.1節談到了多級管理體系，其中就有一個叫做“站點”的概念。站點在SEP11管理系統中指的是一個數據庫以及連接它的SEPM服務器組。管理員可以根據實際需要，在不同站點的數據庫服務器之間配置需要同步的內容，如下圖所示：在上圖中，管理員設置兩個分支機構的“策略/組信息”完全和總部同步，也就是說總部、站點1、站點2個含有一個完全一樣的“策略/組信息”數據庫。同時，管理員設置兩個分支機構的“內容復制”完全和總部同步。此時，總部和兩個分支機構的的SEPM服務器只要任意一個向SymantecLiveupdate獲取了最新的病毒庫、主動威脅防護、主機IPS特征庫后，其他的服務器勿需上網更新即可獲取同樣最新的病毒庫、主動威脅防護、主機IPS特征庫，本地的客戶端也隨后能得到及時的更新。至于日志，管理員設置為單向復制，即兩個分支機構的SEPM服務器只向總部復制，總部的日志并不向分支機構的數據庫上復制，以節省有限的廣域網網絡帶寬。在任何災難發生時，如果不幸造成了某一個站點的數據庫徹底無法恢復（包括我們下面還要介紹的數據庫備份文件也損壞）時，其他兩個完好站點的數據庫可以在第一時間將已經同步的數據庫內容完好如初的恢復到災難地區新建的數據庫服務器上。接下來是備份。我們在本節前文已經闡述SEP11終端安全管理系統的核心數據均儲存在數據庫中，所以SEPM服務器本身不需要備份，需要備份的是數據庫。數據庫的備份分為兩種，其一是SEPM服務器自己設置的數據庫維護計劃，如下圖所示：我們可以選擇是否備份日志，也可以設置保留多少次數據庫的備份。在備份周期上可以選擇每小時/每日/每周。其二是采用SQLServer自己的數據庫備份維護計劃，此處不再詳述。準入控制設計SymantecNetworkAccessControl架構SymantecNetworkAccessControl架構包括以下三個主要組件：端點評估技術評估試圖訪問網絡的端點的狀態（檢查它們是否遵從策略）；Enforcers作為允許或拒絕訪問網絡的門戶；策略管理通過一個中央管理控制臺創建、編輯和管理網絡準入控制規則或策略；如下圖所示：實施評估技術向從中創建、編輯和管理策略的SymantecEndpointProtectionManager報告，并通過它接收其配置策略信息。如果賽門鐵克實施評估技術確定該端點不遵從策略，則會告知SymantecEnforcer阻止該端點訪問網絡。根據IT管理員設置的策略（并根據已部署的實施選件類型），賽門鐵克實施技術能夠自動將不遵從端點的狀態改為遵從。通過執行補救任務，如致電當地的補丁程序經理以安裝最新補丁程序，或者利用端點上為其它任務安裝的其它工具，即可實現這一目的。SymantecNetworkAccessControl會為各類網絡中的所有類型端點驗證并實施策略遵從。通過將策略作為所有評估和操作的基礎，此驗證和實施流程在端點連接到網絡之前開始，并且貫穿整個連接過程。下圖顯示了該網絡準入控制流程執行的步驟。1. 發現和評估端點。在連接到網絡時，即訪問資源之前發現端點。通過與現有網絡基礎架構相集成，同時使用智能代理軟件，網絡管理員可以確保按照最低IT策略要求對連接到網絡的新設備進行評估。2. 設置網絡訪問權限。只有對系統進行評估并確認其遵從IT策略后，才準予該系統進行全面的網絡訪問。對于不遵從IT策略或不滿足企業最低安全要求的系統，將對其進行隔離，限制或拒絕其對網絡進行訪問。3. 修復不遵從的端點對不遵從的端點自動采取補救措施使管理員能夠將這些端點快速變為遵從狀態，隨后再改變網絡訪問權限。管理員可以將補救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進行手動補救。4. 主動監視遵從狀況。必須時刻遵從策略。因此，SymantecNetworkAccessControl以管理員設置的時間間隔主動監視所有端點的遵從狀況。如果在某一時刻端點的遵從狀態發生了變化，那么該端點的網絡訪問權限也會隨之變化。賽門鐵克端點評估技術：靈活性和全面性網絡準入控制通過驗證與該網絡相連的端點是否經過正確配置來保護其免遭在線攻擊，從而保護網絡免遭惡意代碼以及未知或未授權端點的攻擊。網絡準入控制通常涉及檢查防病毒、反間諜軟件以及安裝的補丁程序。但是在進行了初始網絡準入控制部署后，大多數企業很快就超出了這些典型檢查。不管目標是什么，該過程都是首先從評估端點入手。由于連接到網絡的端點數量非常之多（例如，“受控端點”或公司采購的端點，以及“不受控端點”或并非由公司采購的端點，如使用家用計算機的遠程工作人員、承包商、臨時員工以及可能使用自己筆記本電腦的合作伙伴），SymantecNetworkAccessControl提供三種不同的端點評估技術來確定端點遵從性：永久代理可分解的代理遠程漏洞掃描 上圖：端點評估技術永久代理企業擁有的系統和其它受控系統使用管理員安裝的代理來確定遵從狀態。此代理檢查防病毒軟件、反間諜軟件、安裝的補丁程序以及復雜的系統狀態特征，如注冊表項、運行進程和文件屬性。永久代理還提供最深入、最準確、最可靠的系統遵從信息，同時為評估選件提供最靈活的補救和修復功能。賽門鐵克認為成功網絡準入控制的關鍵同樣從部署基于永久代理的解決方案開始。由于臺式機操作系統運行方式的原因，要行之有效地檢查和糾正某些軟件是否正確安裝和運行以及端點計算機是否已正確配置或處于可接受的狀態，網絡準入控制解決方案都必須能夠檢查端點進程表和注冊表，甚至可以修改某些項。實現這一目標的最佳方法是在初始部署時使用具有管理員權限并且已安裝在端點上的代理。完全不基于代理的解決方案不能為管理員提供足夠權限來充分或精確地檢查端點是否完全遵從。另外，不基于代理的解決方案很可能沒有足夠的權限來對端點進行必要修改，以使其從不遵從狀態進入遵從狀態。SymantecNetworkAccessControl提供永久代理和管理員安裝的實施代理選件，用于確定端點的遵從狀態。此代理可以檢查防病毒軟件、反間諜軟件、安裝的補丁程序以及復雜的系統狀態特征，包括注冊表項、運行的進程和文件屬性。該永久代理選件提供確保遵從企業策略需要的最深入、最準確和最可靠的系統遵從信息。下圖是永久代理的示意圖：可分解的代理網絡準入控制領域的最大挑戰之一在于能否對訪客用戶的網絡準入進行正確處理。如果沒有為臨時員工和訪客設置網絡訪問權限的自動方法，會嚴重影響工作效率。如果承包商或臨時員工開始工作，但由于需要手動設置網絡訪問而導致數日或數周無法訪問網絡，則會造成時間和成本的浪費。同樣，如果自動網絡準入控制解決方案不必要地阻止了這些用戶的訪問，也會導致相同后果。有效的網絡準入控制解決方案必須具備下列功能和靈活性：驗證新端點或臨時端點不會對網絡造成威脅，并決定為端點授予的網絡訪問權限級別。評估端點的最精確方法是在端點上安裝全職網絡準入控制代理，但在不屬于企業的端點上部署全職代理并不能保證企業或訪客的最佳利益。為解決該問題，SymantecNetworkAccessControl提供了一個可分解的臨時代理。這可以用于當前不受管理員管理的非企業設備或系統。這些基于Java?的代理是根據需要提供的，無需管理員權限即可評估端點遵從狀況。在會話結束時，這些代理會將其自身從系統中自動移除。例如，當訪客端點嘗試連接到網絡時，基于網絡的實施解決方案會識別它不是已知端點設備，并將其重定向到Web服務器，它可以在其中下載可分解的即時代理。該代理將根據管理員為訪客定義的策略，執行適當的遵從性檢查。如果遵從，則會為端點授予訪問生產網絡的權限。在網絡會話結束時，代理會自動將其從端點移除。除了為臨時端點使用該重定向功能外，還可以將其用于屬于新員工的端點。此時，當端點被重定向到Web服務器以下載代理時，會出現兩個選項，一個用于訪客，一個用于員工。如果用戶選擇員工選項，則基于網絡的Enforcer可以決定端點是否為屬于企業的資產。如果該端點為企業端點之一，則可以部署全職的永久網絡準入控制代理而不是可分解代理。通過提供多個選項來驗證遵從端點狀態和配置的策略，SymantecNetworkAccessControl可以確保試圖訪問企業網絡的員工和訪客滿足其最低安全標準和要求。遠程漏洞掃描企業不能選擇安裝永久代理時，可以使用另一個補充性的端點評估方法，即利用遠程漏洞掃描。遠程漏洞掃描根據來自SymantecNetworkAccessControlScanner的無證書證明的遠程漏洞掃描結果，向SymantecNetworkAccessControl實施基礎架構提供遵從信息。遠程掃描可以將此信息收集功能拓展到當前無基于代理的技術可用的系統。根據連接到網絡的端點的不同類型，公司可選擇使用三種端點評估技術的混合技術來以獲得全面的防護。SymantecEnforcers：用于消除IT和業務中斷的靈活實施選件每個企業的網絡環境都具有獨特的長期發展模式，因此，不存在可以有效控制對所有網絡點的訪問的單一實施方法。網絡準入控制解決方案必須具有足夠的靈活性，這樣才能在不需要增加管理和維護開銷的前提下，將多種實施方法輕松集成到現有環境中。SymantecNetworkAccessControl允許企業針對網絡的不同部分選擇最合適的實施方法，并不會增加操作復雜性或成本。賽門鐵克的基于網絡的實施方法作為硬件設備交付的組件提供，包括LAN、DHCP和網關方法，其中DHCP方法可以作為軟件插件而提供。賽門鐵克還提供了一個基于主機的簡單實施方法，稱為自我實施。該方法使用賽門鐵克桌面防火墻來允許或拒絕訪問。該防火墻已包含為SymantecEndpointProtection產品的一部分。使用自我實施的優勢在于它不需要部署基于網絡的實施組件，即可管理對網絡的訪問。相反，它使用賽門鐵克桌面防火墻管理對網絡的訪問，提供最簡單、最快捷的實施部署選項。如果企業已經部署了SymantecEndpointProtection產品，則實施會更加輕松。但是，自我實施選項僅對“受控”端點有效。它不能解決訪客或臨時員工等不受控端點連接到網絡的問題。SymantecNetworkAccessControl通過可分解代理和遠程漏洞掃描解決與不受控端點相關的問題。上圖即是賽門鐵克實施選項的類型許多企業難以決定是否部署網絡準入控制解決方案，因為許多產品的內部設計具有破壞性。通常，他們需要進行網絡基礎架構升級和變更，這一過程既費時又昂貴。許多解決方案過于復雜，并且非常難以部署。某些解決方案需要同時部署端點代理和升級網絡基礎架構。在進行部署時遇到的代理問題或網絡實施問題會導致解決方案毫無用處，排查并解決這些問題的難度極大，還可能導致不正確地阻止用戶訪問網絡。賽門鐵克使用簡單、分階段的方法來部署高效全面的網絡準入控制，提供可部署的各種實施選項，從而解決了上述問題。使用賽門鐵克的基于主機的實施選項可以輕松部署網絡準入控制。這種類型的部署不需要更改基礎架構，所以部署工作不再那么費時。已在使用SymantecEndpointProtection解決方案的企業已經部署了代理，只需啟用網絡準入控制即可利用該功能。基于主機的實施選項是為受控端點實施網絡準入控制的最快速、最簡單的方法。企業可以按照自己的進度，實施賽門鐵克提供的其它基于網絡的實施選項，以補充基于主機的實施選項。基于網絡的Enforcers是一個必需組件，用于控制連接到網絡的不受控端點。這些附加的基于網絡的關鍵實施產品包括：網關Enforcer—網絡瓶頸點的內嵌實施DHCPEnforcer—對任何基礎架構上的局域網和無線網絡使用基于DHCP的強制方法LANEnforcer—802.1x—對局域網和無線網絡使用基于標準的帶外方法與網絡準入控制代理一樣，SymantecEnforcer產品獨立于網絡操作系統，能夠輕松與任何網絡基礎架構集成。這些解決方案獨立于安全供應商，這意味著它們可與其它領先的防病毒軟件、防火墻和主機入侵防護解決方案一起使用。由于這些解決方案不依賴于內部網絡或基礎架構，所以企業可以采取分階段方法完成實施，根據自己的時間表自行決定如何進行部署。此外，為了簡化管理和遵從實施工作，與SymantecNetworkAccessControl端點評估技術一樣，，通過SymantecEndpointProtectionManager集中管理所有Enforcers。GatewayEnforcer賽門鐵克的GatewayEnforcer是在網絡瓶頸點部署的內嵌實施設備，所以它可以根據端點遵從制定的企業策略的情況，控制和阻止遠程端點的通信流。不管瓶頸點是位于邊界網絡連接點上（如WAN鏈接或VPN），還是位于訪問關鍵業務系統的內部網段上，GatewayEnforcer都可以對資源和補救服務有效提供可控訪問，使不遵從端點變為遵從狀態。GatewayEnforcer的典型部署方案是位于遠程分支機構與公司總部之間的IPSecVPN、WAN連接之后、無線網絡和會議室網絡之上、關鍵服務器或小型數據中心之前。下圖即為GatewayEnforcer（網關強制）的示意圖。DHCPEnforcer賽門鐵克的DHCPEnforcer以內嵌方式部署在端點和企業現有的DHCP服務基礎架構之間。如果端點沒有運行網絡準入控制代理、處于不遵從狀態或其遵從狀態未知，則DHCPEnforcer會分配限制性的DHCP租用。分配的這一限制性租用是不可路由或隔離的IP地址，提供降低的網絡訪問權限。DHCPEnforcer還可以與端點代理通信以發起必要的補救操作，使端點遵從策略。遵從策略的端點將啟動DHCP發布和更新要求。如果DHCPEnforcer接收到更新請求并確定端點處于遵從狀態，則端點將獲得對正常生產網絡的DHCP租期，從而使其擁有對網絡的完全訪問權限。由于DHCPEnforcer作為內嵌DHCP代理工作，所以它與任何現有DHCP基礎架構都兼容，并且無需升級軟硬件，就可以在任何現有網絡環境中工作。作為DHCPEnforcer設備的替代產品，賽門鐵克提供可以直接安裝在Microsoft?DHCP服務器上的DHCPEnforcer插件。MicrosoftDHCP服務器實施使MicrosoftDHCP服務器能夠作為實施點。LANEnforcer—802.1x賽門鐵克LANEnforcer802.1X是帶外802.1XRADIUS代理解決方案，它與支持802.1X標準的所有主要交換供應商協同工作。幾乎所有有線以太網和無線以太網交換機制造商都支持IEEE802.1x準入控制協議。LANEnforcer使用該鏈接級協議評估端點遵從性，提供自動問題修復并允許遵從系統進入企業網絡。在實施期間，端點上的賽門鐵克代理使用802.1x將遵從信息傳送到網絡交換機上，然后將此信息中繼到LANEnforcer。如果端點不遵從策略，LANEnforcer會將其放入隔離網絡，在此對其進行修復，而不會影響任何遵從端點。SymantecNetworkAccessControl補救端點并將其轉換到遵從狀態后，802.1x協議將試圖對用戶重新進行身份驗證，并為其授予網絡訪問權限。LANEnforcer可以參與現有AAA身份管理架構以便對用戶和端點進行身份驗證，對于只要求進行端點遵從驗證的環境，也可以充當獨立的RADIUS解決方案（也稱為透明模式）。在透明模式下，管理員只需將交換機配置為使用LANEnforcer作為RADIUS服務器，就能讓設備根據遵從所定義策略的情況對端點進行身份驗證。在透明模式下運行LANEnforcer無需額外基礎架構，并且是一種實施基于VLAN交換的安全網絡準入控制解決方案的簡單方法。下圖即為LAN(802.1x)實施網絡準入控制行業框架支持SymantecNetworkAccessControl當前既可獨立于Cisco?NetworkAdmissionControl運行，也可與其一起運行。此外，它在不久后將能夠與與其它網絡準入控制行業框架協同工作，包括NetworkAccessProtection和TrustedComputingGroup的受信任網絡連接標準。Microsoft和Cisco的技術是以建立可由多家供應商使用的協議和界面為核心的架構框架，可以提供全面的網絡準入控制解決方案。TrustedComputingGroup是80多家IT業內公司組成的聯盟，已經制定了TrustedNetworkConnect標準，該標準的目標和架構與Microsoft和Cisco的標準相似，但其旨在實現在任意類型的網絡硬件基礎架構和任何主機操作系統上運行的目標。上述所有不同框架通常需要多家不同供應商的軟件或硬件，才能構建完整的解決方案，往往會導致復雜程度顯著提高。不過，SymantecNetworkAccessControl不需要上述任何行業框架技術，即可提供端到端的有效、全面的網絡準入控制。SymantecNetworkAccessControl將仍然支持、增強并與這些行業框架一起無縫運行，使企業能夠部署最能滿足其需要的技術。端到端的端點遵從由于面臨著當前的破壞力極強、極其危險的威脅，IT管理員不僅必須防御針對特定公司的有組織攻擊，還要防御利用臺式機和筆記本電腦作為后門侵入點，以影響這些企業的業務運作和重要資源的有目標攻擊。要維護企業IT基礎架構及其端點的完整性，企業不能再允許未經檢查訪問網絡。隨著訪問網絡的端點數量和類型激增，企業必須能夠在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源之后，要對端點進行持續驗證。SymantecNetworkAccessControl是一款端到端解決方案，能夠安全地控制企業網絡的訪問、實施端點安全策略，以及與現有的網絡基礎架構輕松集成。不管端點以何種方式與網絡相連，SymantecNetworkAccessControl都能夠發現并評估端點遵從狀態、設置適當的網絡訪問權限、提供自動補救功能，并持續監視端點以了解遵從狀態是否發生了變化。從而可以營造這樣的網絡環境：企業在此環境中可以大大減少安全事故，提高遵從企業IT安全策略的級別，并確信已正確啟用端點安全機制。圖SymantecNetworkAccessControl架構SymantecNetworkAccessControl采用多種代理評估技術并包含多個強制實施選件，而且它獨立于操作系統和網絡供應商，是當今市場上最為靈活且可以互操作的網絡準入控制解決方案。另外，極高的靈活性和互操作性讓企業能夠按照他們需要的方式，在需要的時候方便快捷地部署網絡準入控制評估與實施選件的組合。安全管理策略架構域及管理員分級根據組織架構劃分組，系統管理員全面管理SEPM服務器，工作量巨大。可以利用SEPM服務器提供的分組權限的功能，在SEPM服務器下，可建立國家電網的各子域。SEP11管理體系中的域指的是一組邏輯上需要接受統一管理的一組用戶群體。不同域之間是完全不干涉的。例如總公司與各自獨立管理的各子公司之間的關系（非上下級管理關系）。如下圖所示：在域下建立管理員用戶，可以給予管理員用戶授權，主要是有四種權限：監控，策略，客戶端管理和服務器，（服務器不可用）。不同的用戶可以給其設置不同的權限，例如分公司管理人員，只能管理本公司客戶端的策略應用和客戶端的維護。而系統管理員可以管理域用戶，對其權限設置。系統管理員可以訪問所有域，而域管理員只能訪問分配給他的工作域。各個域中的所有數據相互之間完全隔離，從而可以防止一個域中的管理員查看另一個域中的數據。管理員權限管理在策略管理服務器共分為三級管理權限：第一級為系統管理員，第二級為DOMAIN管理員，第三級為組管理員。如下圖所示：系統管理員權限：可管理多個站點及每個站點所屬的所有域及域所屬的所有的組；可以添加超級管理員、域、組及所有域和組的管理員；還可以對任意的域和組配置策略，可對域管理員、組管理員賦職權限。域管理員權限：可管理某個單個的域及此域所屬的所有的組；可以添加此域的域管理員帳戶及此域所屬的所有的組的策略。組管理員權限：組管理員在SEPM上是沒有定義的，只是為了管理上更清晰更具有層次而提出的一個虛擬管理員。定義組管理員步驟是在某個域中添加域管理員，將此域管理員的權限設置為只能管理域中的某個或多個組，而此管理員只能對某個或多個組進行策略配置和日志查看等功能，而沒有添加域管理員的權限。如果將此管理員賦職于管理域中所有的組并且可以添加其他域管理員，那對于這個組管理員而言就已經升級為域管理員。管理權限策略根據國家電網的實際情況，為每個地市創建一個域管理員帳號。省中心除了擁有自己的域管理員帳號以外，還擁有能夠管理全局的ADMIN帳號。系統的常見維護操作，如策略備份與恢復、站點重裝等只需要有服務器操作系統管理員帳號即可，不需要全局的ADMIN帳號。組織結構設計在計算機全局組下，默認只有臨時組，一般管理員都需要全新設計在SEP11管理系統中自己的組織結構。SEP11管理系統中管理架構的建立有兩種方式，一種是手動，一種是和活動目錄同步。手動建立管理架構比較容易理解。管理員根據本單位的組織架構設計，完整的建立一個相同的管理體系架構。如下圖所示，公司總部下面有總部、歐洲分部等等分支機構，總部下面有分為工程部、銷售部、財務部等等。組的創建有以下幾個出發點：地理位置、部門，或者國家電網自己各機構劃分標準。建立組織結構的另外一種方法是和國家電網的活動目錄同步，這樣不但可以節省大量的時間去創建目錄，更可以在活動目錄的結構變動后將變動及時同步到SEPM管理服務器中，實現靈活的管理水平。微軟域就是活動目錄的一種，也是被企事業使用最多的一種活動目錄。如下圖所示：安全策略防病毒策略防病毒管理服務器的病毒定義碼更新時間規劃防病毒客戶端的病毒定義碼更新時間規劃防病毒客戶端的實時防護設置，配置病毒檢測的類型、操作處理方式、警報方式防病毒客戶端的日志記錄時間設置防病毒客戶端的隔離區參數設置防病毒客戶端的篡改選項設置防病毒客戶端的調度掃描設置，包括掃描的類型和對病毒的處理方式防火墻策略在該策略庫中做了2個策略模版分別為：隔離區策略、內網限制策略。在這些策略模版中包括以下幾個策略：受限的應用程序：禁用一些與工作無關的應用程序運行。惡意程序黑名單：禁用一些嚴重的病毒、木馬、惡意程序禁止撥號和無線網絡連接：防止非法外連互聯網網址屏蔽策略：杜絕與公網IP的通訊操作系統防護策略設備禁用示例USB存儲設備只讀防止USB木馬傳播防止IE加載惡意插件示例禁止程序運行示例注冊表鍵保護示例文件修改審計示例主機完整性策略防病毒軟件的安裝與運行檢測規則分發防病毒軟件示例補丁檢查策略分發補丁示例卸載指定補丁示例安全加固設置針對SANtop10所列漏洞的檢查及修復針對IIS漏洞的檢查及修復針對Internetexplorer漏洞的檢查及修復其他常見服務和應用的漏洞常見系統設置弱點禁止匿名訪問禁止空連接統一桌面管理設置統一墻紙統一屏保IE主頁設置IE代理設置IE安全級別設置Registrytool限制添加刪除程序限制禁止更改IP設置時間同步設置，禁止更改系統時間桌面鎖定、默認主頁設定策略賽門鐵克策略管理：全面、集成的端點安全管理在企業必須應對不斷增加的用戶（其中包括現場員工、遠程員工、短期員工、訪客、承包商以及其他臨時工作者）數量問題的同時，也在面臨著不斷增多的嘗試進入網絡的各類威脅。安全問題包括病毒、間諜軟件、零日攻擊和未知漏洞利用，它們都想方設法通過不遵從制定的公司安全策略的端點設備造成的缺口進入企業網絡。賽門鐵克相信，真正的端點安全需要將端點防護技術與端點遵從技術無縫集成。賽門鐵克讓企業能夠采用更為整體化的端點安全方法，通過將SymantecEndpointProtection（端點防護）與SymantecNetworkAccessControl（端點遵從）緊密集成來應對這一威脅。這些產品能夠無縫地互操作，提供全面、統一的多層端點防護解決方案，使IT管理員能夠在網絡準入、最終用戶工作效率與安全性之間成功實現平衡，同時簡化了端點安全管理。圖：端點安全=端點防護與端點遵從的無縫結合一個管理控制臺這類整體管理方法的關鍵是SymantecEndpointProtectionManager提供的集中創建、部署、管理和報告所有端點安全活動的功能。除SymantecEndpointProtection策略外，管理員通過一個管理控制臺可以設置控制SymantecNetworkAccessControl的集成組件的各方面策略，如賽門鐵克評估技術和SymantecEnforcers。策略管理器的企業級集中管理架構可以靈活擴展，從而適應最高要求的環境，它為所有管理任務提供更細致的控制，同時簡化和統一所有端點安全管理工作，降低了總擁有成本。統一代理對于已經部署SymantecEndpointProtection產品的企業，該代理已經包含網絡準入控制永久代理功能。換句話說，無需部署額外代理即可實施網