SCCM 2012不僅可以控管整個企業軟硬體資產與應用程式及作業系統的部署,也能做到集中管理整個Windows網路運作環境的基礎安全,例如內建防火牆的管制、NAP用戶端的管制、惡意程式的防護、系統與軟體的更新,而且還可以結合SQL Server Reporting Services來產生各類的分析報告。
近年來隨著智慧裝置使用潮的興起,企業所面臨的資訊安全管理問題將更加嚴峻,主要是因為末端的裝置類型更多元了,從傳統的桌上型電腦、筆記型電腦到各類的小筆電、平板電腦、智慧型手機,當行動商務使用者開始懂得善用這些裝備時,確實會發現自己平日的工作效率增加不少,因為這些裝備在成為雲端裝置(私有雲與公共雲)的那一刻開始,各項資訊便已經完成智慧的結合,讓行動工作者都能遨遊在無所不在連接環境之中。
但對企業來說,當賦予使用者極度便利的同時,往往隨之而來的便是資安問題的考驗,因為那表示惡意程式進入到企業網路的管道變多,以及敏感資訊流向外面的方法也增加了。如何因應這樣的IT趨勢,並且找到守護好兩條出入防線的解決方案,便考驗著IT部門的智慧。在此筆者以推薦System Center 2012 Configuration Manager,來做為集中控管企業端點安全防護的最佳選擇。
成功建置SCCM 2012主機後,除了需要開始大量部署其用戶端代理程式外,需要控管的第一步便在於基礎的安全性議題上,這包含所有用戶端電腦、伺服器以及智慧行動裝置。其中前兩項盡可能包含對於Windows防火牆、NAP代理程式、防毒程式以及系統與軟體的安全更新。
至於智慧行動裝置,則必須做到依據企業行動安全政策的原則管制,目前可管制的智慧裝置包含雲端與企業中所有連線Exchange Server的Windows Phone、Windows Mobile、iPad、iPhone、Android以及Nokia等裝置。
Q1:如何集中控管企業Windows用戶端防火牆
針對企業Windows用戶端而言,無論是Windows XP、Windows 7還是Windows 8,最重要的安全問題是針對本機Windows防火牆的控管。
如圖1所示,在SCCM 2012管理主控台的「Assets and Compliance」區域內,點選至「Windows Firewall Policies」節點頁面,然後按下上方工具列中的〔Create Windows Firewall Policy〕圖示按鈕。
|
▲圖1 Windows防火牆原則。 |
接著將開啟如圖2所示的「Profile Settings」頁面,在此先設定所要啟用Windows防火牆的設定檔,強烈建議將其修改為Domino profile=No、Private profile=Yes、Public profile=Yes。
而其他兩項設定分別是針對阻擋所有連入的封包,以及即時通知所阻擋的新網路程式連線,可以將這兩項設定中的Public profile都設定為Yes。
有了上述的防火牆原則設定套用在SCCM的用戶端之後,將可以確保不會受到大多數網路惡意程式的攻擊。
|
▲圖2 Windows防火牆原則設定。 |
Q2: 如何啟用端點保護的系統角色
如圖3所示先展開「Administration」功能區,然後點選至「Site Configuration」→「Servers and Site System Roles」節點,最後按下上方工具列的〔Add Site System Roles〕圖示按鈕。
|
▲圖3 系統角色管理。 |