 |
Protecting Against Inside Security Threats 锁定未授权使用之周边设备,保护企业网络安全 |
关于 DeviceLock Policy 的修改与发布,有二种方式可供选择,其一是 DeviceLock Management Console / DeviceLock Enterprise Manager;另一则是透过 AD Server 的 Group Policy 来更新存取政策。安装时,可设定 “默认存取政策”。
- 透过 DeviceLock Management Console 或 Enterprise Manager 来更新政策:
透过 DeviceLock 所提供的管理介面,可做到:- 依照不同的电脑群组设定不同的存取政策。
- 依照不同的用户/群组设定不同的存取政策。
- 依照不同的时段设定不同的存取政策。
- 存取权限包含Full access / Read-only / No access。
透过 DeviceLock Manager 来修改与发布政策,简单且直觉,而且政策发布下去可马上生效,也可清楚知道所有机器政称更新的结果;但其缺点为针对未开机或未连线的电脑,则无法进行政策更新。 - 透过 Windows AD Server 之 Group Policy(组策略) 来进行派送。
透过 AD Group Policy 也可做到与 DeviceLock Manager 相同的功能。但两者在功能上差异主要有:
- DeviceLock Manager 仅能对已开机且连线的电脑进行政策更新;但透过 AD Group Policy 来发布政策,则只要加入网域的电脑一连线,即会进行政策更新。
- DeviceLock Manager 针对未加入网域的机器,您只要拥有 DeviceLock Administrator 的帐号及密码,您仍可进行政策修改。但 Group Policy 则无法更改未加入网域的政策。
布署建议
- 如何布署 Agent
关于如何布署 DeviceLock Agent,针对下述三种布署方式均可同时并行:- 透过 DeviceLock Enterprise Manager 来进行布署:
建议此为主要的布署方式,因此透过 DeviceLock Enterprise Manager 可以直接知道布署结果,以利后续进行相关事宜。而且针对未加入网域的电脑,你也可指定该电脑的管理者帐号及密码来进行布署。 - 透过 AD Group Policy 来进行布署:
针对加入网域的电脑,透过 AD Group Policy 来进行布署是最简单的方式,只要电脑登入网域,即会自动进行布署。 - 透过人工手动安装:
此方式是针对上述二种方式无法成功进行布署的机器,透过人工方式来进行布署,例如:非加入网域之电脑、不常连线之电脑、或其它特殊需求而必须透过人工来进行布署。
- 透过 DeviceLock Enterprise Manager 来进行布署:
- 如何更新政策设定
Policy 的发布可分为二种方式,我们也是建议二种方式并行:- 透过 AD Group Policy 来发布政策:
透过 AD Group Policy 来更新用户端的政策,只要设定好新的存取政策,已连络电脑即会自动更新政策,针对未连线电脑,待下次连线后也会自动更新政策。此种作法可以有效减少政策修改的管理人力。 - 透过 DeviceLock 管理工具来发布政策:
针对未加入网域的雷脑或是需有特别存取权限设定(即不想套用 AD Group Policy 中的存取权限),则可透过 DeviceLock Manager 来进行政策修改:
- 针对未加入网域,可针对每台机器指定 DeviceLock Administrator 帐号及密码来进行政策更新。
- 针对需有特殊政策设定的电脑,可设定 DeviceLock Manager 来指定其套用 Local Policy(非套用Group Policy)。
- 透过 AD Group Policy 来发布政策:
