Novell ZENworks Endpoint Security Management User Manual

AUTHORIZED DOCUMENTATION

安裝指南

January 5, 2009

Novell®

ZENworks® Endpoint Security Management

novdocx (zh-tw) 25 June 2008

3.5

www.novell.com

ZENworks Endpoint Security Management

安裝指南

法律聲明

Novell, Inc. 不對本文件的內容或使用做任何表示或保證，且特別聲明不對任何特定用途的適銷性或適用性
提供任何明示或默示的保證。此外，Novell, Inc. 有權隨時修訂本說明文件或更改內容，而無義務向個人或
團體告知這類修訂或變更。

此外，Novell, Inc. 不對軟體做任何表示或保證，且特別聲明不對任何特定用途的適銷性或適用性提供任何
明示或默示的保證。此外，Novell, Inc. 有權隨時變更部份或全部 Novell 軟體，而無義務向個人或團體告知
這類變更。

此合約下提到的任何產品或技術資訊可能受美國出口管制法與其他國家 / 地區的貿易法的限制。您同意遵
守所有出口管制規定，並同意取得出口、再出口或進口產品所需的一切授權或類別。您同意不出口或再出

口至目前美國出口排除清單上所列之實體，或是任何美國出口法所指定之禁運或恐怖主義國家。您同意不
將交付產品用在禁止的核武、飛彈或生化武器等用途上。請參閱 Novell 國際貿易服務網頁 (http://

www.novell.com/info/exports/)，以取得有關出口 Novell 軟體的詳細資訊。Novell 無需承擔您無法取得任何必

要的出口核准之責任。

Copyright © 2007-2008 Novell, Inc. 版權所有。在未獲得發行者的書面同意前，不得對本出版品的任何部分

進行任何重製、影印、儲存於檢索系統或進行傳輸動作。

novdocx (zh-tw) 25 June 2008

對於本文件中所述及之所有產品內附技術，Novell, Inc. 皆具有其智慧財產權。特別是 ( 但不限於 ) 這些智慧
財產權可能包含 Novell 法律專利網頁 (http://www.novell.com/company/legal/patents/) 中所列的一或多項美國
專利，以及在美國與其他國家 / 地區的一或多項其他專利或申請中的專利。

Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
U.S.A.
www.novell.com

線上文件：

www.novell.com/documentation)。

如需存取 Novell 此產品與其他產品的最新線上文件，請參閱 Novell 文件網頁 (http://

Novell 商標

若要查看 Novell 商標，請參閱 Novell 商標和服務標誌清單 (http://www.novell.com/company/legal/trademarks/

tmlist.html)。

協力廠商資料

所有的協力廠商商標均為其各別擁有廠商的財產。

novdocx (zh-tw) 25 June 2008

novdocx (zh-tw) 25 June 2008

目錄

關於本指南 7

1 ZENworks Endpoint Security Management 綜覽 9

1.1 系統需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2 關於 ZENworks Endpoint Security Management 手冊 . . . . . . . . . . . . . . . . . 10

2 安裝 ZENworks Endpoint Security Management 13

2.1 安裝前的資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2 安裝套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2.1 關於主安裝程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.3 安裝選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.4 安裝順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.5 安裝 ZENworks Endpoint Security Management 之前 . . . . . . . . . . . . . . . . . 14

novdocx (zh-tw) 25 June 2008

3 執行單一伺服器安裝 17

3.1 安裝步驟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3.2 啟動服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4 執行多重伺服器安裝 19

5 執行規則配送服務安裝 21

5.1 安裝步驟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

5.1.1 典型安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

5.1.2 自訂安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

5.2 啟動服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

6 執行管理服務安裝 29

6.1 安裝步驟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.1.1 典型安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

6.1.2 自訂安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

6.2 啟動服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7 執行管理主控台安裝 39

7.1 安裝步驟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

7.1.1 典型安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

7.1.2 自訂安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

7.2 啟動主控台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

7.2.1 新增 eDirectory 服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

7.2.2 設定管理主控台的許可設定 . . . . . . . . . . . . . . . . . . . . . . . . 45

7.2.3 發行規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

7.3 安裝 USB Reader. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

目錄

5

8 執行用戶端位置保證服務安裝 49

8.1 安裝步驟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

8.2 CLAS 容錯移轉安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

8.3 將公用金鑰傳送至管理服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

9 Endpoint Security Client 3.5 安裝 53

9.1 基本 Endpoint Security Client 3.5 安裝 . . . . . . . . . . . . . . . . . . . . . . . 53

9.2 MSI 安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

9.2.1 指令行變數 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

9.2.2 與 MSI 套件一同配送規則 . . . . . . . . . . . . . . . . . . . . . . . . . 59

9.2.3 從 MSI 進行 Endpoint Security Client 3.5 的使用者安裝 . . . . . . . . . . . . 59

9.3 執行 Endpoint Security Client 3.5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

10 ZENworks Endpoint Security Client 4.0 安裝 61

10.1 基本 Endpoint Security Client 4.0 安裝 . . . . . . . . . . . . . . . . . . . . . . . 61

10.2 MSI 安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

10.2.1 使用主安裝程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

10.2.2 使用 Setup.exe 檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

10.2.3 完成安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

10.2.4 指令行變數 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

10.2.5 與 MSI 套件一同配送規則 . . . . . . . . . . . . . . . . . . . . . . . . . 67

10.3 執行 Endpoint Security Client 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

10.4 Endpoint Security Client 4.0 中不支援的功能. . . . . . . . . . . . . . . . . . . . . 67

novdocx (zh-tw) 25 June 2008

11 ZENworks Endpoint Security Management 安裝 69

11.1 不受管理的 Endpoint Security Client 安裝 . . . . . . . . . . . . . . . . . . . . . . 69

11.2 獨立管理主控台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

11.3 配送不受管理的規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

A 文件更新 71

A.1 2009 年 1 月 5 日 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

6

ZENworks Endpoint Security Management 安裝指南

關於本指南

novdocx (zh-tw) 25 June 2008

本《Novell® ZENworks® Endpoint Security Management
Security Management 元件的完整安裝指示，並協助管理員準備該元件並加以執行。

本指南中的資訊是以下列方式編排：

 第 1 章 「ZENworks Endpoint Security Management 綜覽」 ( 第 9 頁 )

 第 2 章 「安裝 ZENworks Endpoint Security Management」( 第 13 頁 )

 第 3 章 「執行單一伺服器安裝」 ( 第 17 頁 )

 第 4 章 「執行多重伺服器安裝」 ( 第 19 頁 )

 第 5 章 「執行規則配送服務安裝」 ( 第 21 頁 )

 第 6 章 「執行管理服務安裝」 ( 第 29 頁 )

 第 7 章 「執行管理主控台安裝」 ( 第 39 頁 )

 第 8 章 「執行用戶端位置保證服務安裝」 ( 第 49 頁 )

 第 9 章 「Endpoint Security Client 3.5 安裝」 ( 第 53 頁 )

 第 10 章 「ZENworks Endpoint Security Client 4.0 安裝」 ( 第 61 頁 )

 第 11 章 「ZENworks Endpoint Security Management 安裝」 ( 第 69 頁 )

使用對象

本指南是針對 ZENworks Endpoint Security Management 管理員所撰寫。

安裝指南

》提供 ZENworks Endpoint

意見反應

我們希望得到您對本手冊以及本產品隨附之其他文件的意見和建議。您可以使用線上文件各
頁底部的 「使用者意見」功能，或造訪 Novell 文件的意見反應網站 (http://www.novell.com/

documentation/feedback.html)，寫下您的意見。

其他文件

此外，您還可以透過 ZENworks Endpoint Security Management 的其他支援文件 ( 包括 PDF 與

HTML 格式 )，來瞭解本產品並加以實作。如需更多文件，請參閱 ZENworks Endpoint

Security Management 3.5 文件網站 (http://www.novell.com/documentation/zesm35)。

關於本指南

7

novdocx (zh-tw) 25 June 2008

8

ZENworks Endpoint Security Management 安裝指南

1

ZENworks Endpoint Security

novdocx (zh-tw) 25 June 2008

Management 綜覽

Novell® ZENworks® Endpoint Security Management 包括五個高階的功能元件：「規則配送服
務」、「管理服務」、「管理主控台」、「用戶端位置保證服務」及 Endpoint Security Client。
下圖會以結構方式顯示這些元件：

圖

1-1 ZENworks Endpoint Security Management

架構

1

Endpoint Security Client 負責在端點系統上強制執行配送的安全性規則。在所有的企業電腦
上安裝 Endpoint Security Client 後，這些端點現在便可連接至公司周邊外部並依然保持其安
全性，而周邊內部的端點則可在周邊防火牆內獲得額外的安全性檢查。

系統會個別安裝每個中央管理元件 ( 除了單一伺服器安裝以外 )。如需詳細資料，請參閱 第

3 章 「執行單一伺服器安裝」 ( 第 17 頁 )。

以下的元件會安裝在公司周邊內部的安全伺服器中：

 規則配送服務： 負責將安全性規則配送給 Endpoint Security Client，並從 Endpoint

Security Client 取回報告資料。「規則配送服務」可部署於 DMZ 中 ( 於企業防火牆外部
)，以確保行動端點的規則會定期更新。

 管理服務： 負責使用者規則指定和元件驗證，報告 ZENworks Endpoint Security

Management 報告的資料取回、建立及散佈，以及安全性規則的建立和儲存。

 管理主控台： 這是可見的使用者介面，可直接於代管 「管理員服務」的伺服器上執行，

或者在位於公司防火牆內部且連接至 「管理服務」伺服器的工作站上執行。「管理主控
台」可用於設定 「管理服務」，以及建立和管理使用者與群組安全性規則。您可以使用
管理主控台來建立、複製、編輯、散佈和刪除規則。

 用戶端位置保證服務： 可提供密碼保證，以保證安裝 Endpoint Security Client 的設備確

實位於定義的位置，如同其他現有網路環境參數所表示的。

ZENworks Endpoint Security Management 綜覽

9

1.1 系統需求

伺服器系統需求 端點 ( 用戶端 ) 系統需求

novdocx (zh-tw) 25 June 2008

作業系統︰

Microsoft&thrdmrk; Windows&thrdmrk; 2000 Server

SP4
Microsoft Windows 2000 Advanced Server SP4
Windows 2003 Server

處理器︰

3.0 GHz Pentium&thrdmrk; 4 HT ( 或更高速度 )
至少要有 756 MB RAM ( 建議使用 1 GB+)

磁碟空間：

500 MB：不含本機 Microsoft SQL 資料庫
5 GB：包含本機 MS SQL 資料庫 ( 建議使用 SCSI)

需要的軟體：

支援的 RDBMS (SQL Server Standard、SQL

Server Enterprise、Microsoft SQL Server 2000

SP4、SQL 2005)
Microsoft Internet Information Services ( 針對 SSL

進行設定 )

TM

支援的目錄服務 (eDirectory

Directory&thrdmrk;)

.NET framework 3.5 ( 僅適用於伺服器與管理主控台

)

或 Active

作業系統︰

Windows XP SP1
Windows XP SP2
Windows 2000 SP4

Windows Vista SP1 (32 位元 )
Windows Server 2008 (32 位元 )

處理器︰

600MHz Pentium 3 ( 或更高速度 )
至少要有 128 MB RAM ( 建議使用 256 MB 或以上

磁碟空間：

必要空間為 5 MB，建議要有額外的 5 MB，以用於

報告資料

需要的軟體：

Windows 3.1 Installer

所有的 Windows 更新程式都必須是目前的版本

獨立管理主控台：

支援的 RDBMS (SQL Server Standard、SQL

Server Enterprise、Microsoft SQL Server 2000

SP4、SQL 2005、SQL Express)

「規則配送」、「管理」及 「用戶端位置保證」服務需要啟用一個 「本機」 ASP.NET 2.0 帳

戶。如果停用此帳戶，服務將不會正確運作。

1.2 關於 ZENworks Endpoint Security Management 手冊

ZENworks Endpoint Security Management 手冊可為本產品的使用者提供三個層級的指導。

 《ESM

裝指示，並協助管理員準備以及執行這些元件。這是您現在閱讀的指南。

安裝指南：

》本指南提供 ZENworks Endpoint Security Management 元件的完整安

10

ZENworks Endpoint Security Management 安裝指南

novdocx (zh-tw) 25 June 2008

 《ZENworks Endpoint Security Management

管理指南

》：本指南的適用對象為需要管理服
務、建立企業的安全性規則、產生和分析報告資料，以及為使用者提供疑難排解的
ZENworks Endpoint Security Management 管理員。本手冊中提供完成這些任務的指示。

 《ZENworks Endpoint Security Client 3.5

使用者指南

》：本指南可指導使用者進行
Endpoint Security Client 的操作。本指南可傳送給企業中的所有員工，以協助他們瞭解
如何使用 Endpoint Security Client。

ZENworks Endpoint Security Management 綜覽

11

novdocx (zh-tw) 25 June 2008

12

ZENworks Endpoint Security Management 安裝指南

2

安裝 ZENworks Endpoint Security

novdocx (zh-tw) 25 June 2008

Management

以下各節包含與安裝 Novell® ZENworks® Endpoint Security Management 有關的詳細資訊：

 「安裝前的資訊」 ( 第 13 頁 )

 「安裝套件」 ( 第 13 頁 )

 「安裝選項」 ( 第 13 頁 )

 「安裝順序」 ( 第 14 頁 )

 「安裝 ZENworks Endpoint Security Management 之前」 ( 第 14 頁 )

2.1 安裝前的資訊

ZENworks Endpoint Security Management 安裝軟體的實體必須受到保護，以避免任何企圖竄
改或未授權的使用。管理員也必須檢閱安裝前以及安裝指南以確保 ZENworks Endpoint
Security Management 系統的運作不會中斷，或者因為硬體保護不足而受到損害。

安裝此軟體的管理員必須是伺服器和領域的主要管理員。若您使用企業 SSL 證書，則必須
使用相同的使用者名稱來建立 SSL 根安全性證書。

2

2.2 安裝套件

若是從 DVD 進行安裝，則會啟動主安裝程式 (Master Installer)，它會利用簡易的安裝介面以
引導 ZENworks Endpoint Security Management 管理員執行安裝程序。將安裝 DVD 載入每台
機器以存取主安裝程式，並安裝需要的元件。

2.2.1 關於主安裝程式

在啟動時，主安裝程式將顯示兩種功能表選項：「

「

產品

」連結將開啟安裝功能表。此畫面上的功能表項目將為每個元件啟動指定的安裝程
式。對於 Endpoint Security Client 3.5 或 Endpoint Security Client 4.0，您可以使用額外選項，
以「管理員模式」啟動安裝，這有助於 ZENworks Endpoint Security Management 管理員建立
MSI 套件，以方便配送 ( 請參閱 第 9.2 章 「MSI 安裝」 ( 第 54 頁 ))。

如需關於 ZENworks Endpoint Security Management 元件的完整操作資訊，請參閱

《ZENworks Endpoint Security Management

管理指南

產品

」和 「

》，該指南可從 「

文件

」。

文件

」連結獲得。

2.3 安裝選項

您可以使用 「單一伺服器」或 「多重伺服器」安裝模式來安裝 ZENworks Endpoint Security
Management 後端元件。「單一伺服器」安裝適用於不需要進行定期規則更新的小型部署。

「多重伺服器」安裝適用於需要進行定期規則更新的大型部署。請詢問 Novell 專業服務

(Novell Professional Services) 以判斷您適用哪一種安裝類型。

安裝 ZENworks Endpoint Security Management

13

Endpoint Security Client 可在未連接 「規則配送服務」的情況下運作 ( 如有需要 )。您也可以
基於評估目的，選擇性地安裝 「獨立管理主控台」。您可以在 第 11 章 「ZENworks

Endpoint Security Management 安裝」( 第 69 頁 ) 中找到 「不受管理」操作模式的安裝敘述。

2.4 安裝順序

您必須按照以下順序安裝 ZENworks Endpoint Security Management：

1. 單一伺服器安裝或多重伺服器安裝

 規則配送服務

 管理服務

2. 管理主控台

3. 用戶端位置保證服務

4. Endpoint Security Client 3.5 或 Endpoint Security Client 4.0

2.5 安裝 ZENworks Endpoint Security

novdocx (zh-tw) 25 June 2008

Management 之前

在開始安裝之前，EZENworks Endpoint Security Management 管理員必須考慮一些問題：

使用者將如何接收 ZENworks Endpoint Security Management 安全性規則？

規則配送的選項圍繞在使用者是否可隨處接收規則更新 ( 即使在中央網路之外 )，以及使用
者是否僅能在安全網路內 ( 或透過 VPN 連接時 ) 接收更新。針對必須經常更新其 ZENworks
Endpoint Security Management 安全性規則的組織，我們建議使用多重伺服器安裝，以將

「規則配送服務」置於 DMZ 以外的 Web 伺服器上。

您適合哪一種伺服器部署？

如果您的組織僅擁有幾部伺服器，您可能只需要單一伺服器安裝。如果問題不在於伺服器的
可用性，您可能需要考慮用戶端部署的大小，以及在防火牆之外操作的使用者數量。

您可使用哪一種 SQL 伺服器部署？

ZENworks Endpoint Security Management 會在安裝時建立三個 SQL 資料庫。如果您只進行小
型部署，可以將單一 SQL 資料庫或伺服器端資料庫安裝在 「規則配送」和 「管理服務」的
伺服器上。若要進行大型部署，必須使用個別的 SQL 資料庫伺服器從 「規則配送」和 「管
理服務」接收資料。僅允許以下的 RDBMS 類型：

 SQL Server Standard

 SQL Server Enterprise

 Microsoft SQL Server 2000 SP4

如果是已命名的執行個體，則伺服器必須使用以下方式組態：

Provider=sqloledb

Data Source=ServerName\InstanceName ( 此定義類型對於 ZENworks Endpoint Security
Management 的安裝來說是必要的 )

14

ZENworks Endpoint Security Management 安裝指南

Initial Catalog=DatabaseName

User Id=Username

Password=Password

將 SQL 設為 「混合」模式。

安裝期間的使用者名稱和密碼不能是領域使用者；它必須是擁有 SysAdmin 權限的 SQL 使
用者。

您要使用現有的證書來建立 SSL 通訊嗎？或使用 Novell 自我簽署證書？

針對災難復原和容錯移轉的設計，您必須使用企業 SSL 證書，或另外發行的 「證書權限」
(VeriSign、GeoTrust、Thawte 等 ) 進行 ZENworks Endpoint Security Management 的完整部
署。當您使用自己的證書時，系統會將 Web 服務證書和根 CA 建立在指定為 「規則配送服
務」的機器上，然後將其配送至適當的機器。 若要建立企業證書權限 (Enterprise Certificate
Authority)，請參閱 Microsoft 網站中的按步驟指示，以安全地設定證書權限。

如需進行試用或小型部署 ( 少於 100 個使用者 )，您可以使用 ZENworks Endpoint Security
Management 自我簽署證書。執行典型安裝時，Novell SSL 證書將會安裝在伺服器上。

novdocx (zh-tw) 25 June 2008

如何部署 Endpoint Security Client？

您可以將 Endpoint Security Client 軟體分別部署在每個端點上，或透過 MSI 推送 (Push) 進行
部署。您可以在 第 9.2 章 「MSI 安裝」 ( 第 54 頁 ) 中找到與建立 MSI 套件有關的指示。

您的規則要以機器為基礎，還是要以使用者為基礎？

您可以將規則配送至單一機器中，每個登入該機器的使用者都會接收相同的規則，或者您也
可以個別為使用者或群組設定規則。

每種安裝都會有數個先決條件。我們建議您在為任何元件執行安裝之前，都必須完成每個先
決條件的檢查清單。請檢閱以下頁面中的清單：

 第 3 章 「執行單一伺服器安裝」 ( 第 17 頁 )

 第 5 章 「執行規則配送服務安裝」 ( 第 21 頁 )

 第 6 章 「執行管理服務安裝」 ( 第 29 頁 )

 第 7 章 「執行管理主控台安裝」 ( 第 39 頁 )

 第 8 章 「執行用戶端位置保證服務安裝」 ( 第 49 頁 )

 第 9 章 「Endpoint Security Client 3.5 安裝」 ( 第 53 頁 )

安裝 ZENworks Endpoint Security Management

15

novdocx (zh-tw) 25 June 2008

16

ZENworks Endpoint Security Management 安裝指南

3

執行單一伺服器安裝

ZENworks® Endpoint Security Management 單一伺服器安裝 (Single Server Installation, SSI) 可
允許 「規則配送服務」和 「管理服務」共存於相同的伺服器中，若未使用此安裝選項時則
無法共存。基於安全性考量，伺服器必須部署在防火牆內，使用者必須位於公司架構內或透
過 VPN 連接時才能接收規則更新。

基於安全性和功能性的原因，您無法將 「單一伺服器安裝」部署在主要領域控制器 (PDC)
上。

附註： 我們建議您在設定 ( 強化 ) SSI 伺服器時，停用所有的應用程式、服務、帳戶以及伺
服器功能性所不需要的其他選項。執行此作業的步驟將視本機環境而定，因此無法預先說
明。我們建議管理員參閱 Microsoft Technet 安全性網頁 (http://www.microsoft.com/technet/

security/default.mspx) 中適合的區段。《ZENworks Endpoint Security Management

還提供其他的存取控制建議。

若要保護僅存取受信任的機器，可將虛擬目錄和 IIS 設定為具有 ACL。請參考以下文章：

管理指南

》

novdocx (zh-tw) 25 June 2008

3

 Granting and Denying Access to Computers ( 授予和拒絕電腦存取 ) (http://

www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx)

 Restrict Site Access by IP Address or Domain Name ( 透過 IP 位址和領域名稱限制網站存取

) (http://support.microsoft.com/default.aspx?scid=kb%3BEN-US%3BQ324066)

 IIS FAQ: 2000 IP address and domain name restrictions (IIS FAQ：2000 個 IP 位址和領域名

稱限制 ) (http://www.iisfaq.com/default.aspx?View=A136&P=109)

 Working With IIS Packet Filtering ( 使用 IIS 封包篩選 ) (http://www.15seconds.com/issue/

011227.htm)

基於安全性考量，我們強烈建議您在任何的 IIS 安裝中移除以下預設資料夾：

 IISHelp

 IISAdmin

 Scripts

 Printers

我們也建議您使用 microsoft.com (http://www.microsoft.com/technet/security/tools/

locktool.mspx) 提供的 IIS Lockdown Tool 2.1。

2.1 版是由各大適用 IIS 相關 Microsoft 產品的範本所驅動。請選取最符合此伺服器角色的範

本。如果您不確定，建議您使用動態 Web 伺服器範本。

在開始進行安裝 「之前」，請確定已完成以下必要條件：

 確認可存取已支援的目錄服務 (eDirectory

「單一伺服器服務」安裝在 Microsoft Windows 2000 Advanced Server (SP4) 上時，才能

支援 NT 領域。

 如果您使用 eDirectory 服務進行部署，請確定 Novell Client

正確驗證至 eDirectory。請建立不會變更的帳戶密碼，可以供 「管理主控台」驗證時使
用 ( 請參閱 「新增 eDirectory 服務」 ( 第 43 頁 ))。

TM

、Active Directory 或 NT Domains)。只有當

TM

已安裝在伺服器上，並可

執行單一伺服器安裝

17

 對於 Endpoint Security Client 至 「單一伺服器」的伺服器名稱解析，請驗證目標電腦 (

已安裝 Endpoint Security Client) 可 Ping SSI 伺服器名稱。若不成功，則您必須在繼續進
行安裝之前先將問題解決。( 將 SSI 伺服器名稱變更為 FQDN/NETBIOS、將 AD 變更為
使用 FQDN/NETBIOS、變更 DNS 組態、修改目標電腦上的本地主機檔案以包含正確的
MS 資訊等 )。

 啟用或安裝 Microsoft Internet Information Services (IIS)，並將其設定為接受保全插槽層

(SSL) 證書。

novdocx (zh-tw) 25 June 2008

重要： 請勿在 「安全通訊」頁面選取 「

「Microsoft 電腦管理」公用程式中，展開 「

Information Services (IIS)

內容

> 按一下 「
塊中的 「
服器與端點上之 ZENworks Endpoint Security 用戶端之間的通訊。

 如果您使用自己的 SSL 證書，請確定已將 Web 服務證書和根 CA 載入機器，且在之前

步驟中驗證的伺服器名稱 ( 無論是 NETBIOS 或 FQDN) 符合在 IIS 中設定之證書的「

」值。

給

 如果您使用自己的證書，或者已安裝 Novell 自我簽署證書，您也可以在已安裝

Endpoint Security Client 的機器中嘗試使用以下 URL 來驗證 SSL：https://

SSI_SERVER_NAME/AuthenticationServer/UserService.asmx ( 其中 SSI_SERVER_NAME 為
伺服器名稱 )。這將會傳回有效的資料 (html 頁面 )，而不是證書警告。任何的證書警告
都必須在安裝前解決，除非您選擇使用 Novell 自我簽署證書。

 確定可存取支援的 RDBMS (Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL

Server Enterprise)。將資料庫設為 「混合」模式。

」 > 按一下 「

編輯

」按鈕 )。 選取此選項會中斷 ZENworks Endpoint Security Management 伺

管理員

」 > 展開 「

目錄安全設定

必須使用安全通道

服務和應用程式

網站

」 > 以滑鼠右鍵按一下 「

」索引標籤 > 按一下 「安全通訊」群組方

(SSL)」核取方塊 ( 在

」 > 展開 「Internet

預設的網站

3.1 安裝步驟

在主安裝程式功能表中選取 「
理服務」的安裝。如需詳細資訊，請參閱第 5 章 「執行規則配送服務安裝」 ( 第 21 頁 ) 與

第 6 章 「執行管理服務安裝」 ( 第 29 頁 )。

單一伺服器安裝

」。此安裝會結合 「規則配送服務」和 「管

」

發

如其他服務之個別安裝一般，「
證書。「

自訂安裝

」允許管理員決定目錄路徑，並允許使用企業所有的憑證機構。

3.2 啟動服務

合併的 「配送服務」及 「管理服務」會在安裝後立即啟動，而不需將伺服器重新開機。您
可以使用管理主控台中的 「組態」功能來管理 「配送」與 「管理服務」。如需詳細資訊，
請參閱 《ZENworks Endpoint Security Management

在完成安裝後，您也可以將 「管理主控台」和 「用戶端位置保證服務」安裝在此伺服器
上。若要將管理主控台安裝在個別機器上，請將 「ZENworks Endpoint Security Management
安裝程式檔案」資料夾複製到指定的管理主控台機器以完成安裝。

請繼續進行 第 5 章 「執行規則配送服務安裝」 ( 第 21 頁 )。

18

ZENworks Endpoint Security Management 安裝指南

典型

」設定將安裝服務的預設值以及 Novell 自我簽署的 SSL

管理指南

》。

4

執行多重伺服器安裝

當您進行大型部署時，或者必須將 「規則配送服務」置於公司防火牆之外，以確保周邊外
的使用者能收到定期規則更新時，我們建議您進行 「多重伺服器」安裝。多重伺服器安裝
必須至少在兩個個別的伺服器上進行。如果您嘗試將個別的 「規則配送服務」和 「管理服
務」安裝在相同的伺服器上，安裝將會失敗。如需詳細資訊，請參閱 第 3 章 「執行單一伺

服器安裝」 ( 第 17 頁 ) 進行單一伺服器安裝。

在開始進行 「多重伺服器」安裝時，必須將 「規則配送服務」安裝在公司防火牆之外或之
內的安全伺服器上。若需要更多的資訊，請參閱第 5 章 「執行規則配送服務安裝」 ( 第 21

頁 )。

完成安裝 「規則配送服務」後，請接著安裝 「管理服務」。若需要更多的資訊，請參閱第 6

章 「執行管理服務安裝」 ( 第 29 頁 )。

我們建議您也將 「管理主控台」安裝在此伺服器上。如需詳細資訊，請參閱第 7 章 「執行

管理主控台安裝」 ( 第 39 頁 )。

novdocx (zh-tw) 25 June 2008

4

請繼續進行第 5 章 「執行規則配送服務安裝」 ( 第 21 頁 )。

執行多重伺服器安裝

19

novdocx (zh-tw) 25 June 2008

20

ZENworks Endpoint Security Management 安裝指南

5

執行規則配送服務安裝

您的使用者無論是在網路內，或者位於 DMZ 外部，都必須能夠連接代管 「ZENworks®
Endpoint Security Management 規則配送服務」的主機伺服器。在進行安裝前，請確定您已將
必要的軟體安裝在伺服器中 ( 請參閱 「系統需求」 ( 第 10 頁 ) ) 。在選取伺服器之後，請注
意伺服器名稱，包括 NETBIOS 和完整網域名稱 (Fully Qualified Domain Name, FQDN)。

基於安全性和功能性的原因，您無法將 「規則配送服務」部署在主要領域控制器 (PDC)
上。

附註： 我們建議您在設定 ( 強化 ) SSI 伺服器時，停用所有的應用程式、服務、帳戶以及伺
服器功能性所不需要的其他選項。執行此作業的步驟將視本機環境而定，因此無法預先說
明。我們建議管理員參閱 Microsoft Technet 安全性網頁 (http://www.microsoft.com/technet/

security/default.mspx) 中適合的區段。《ZENworks Endpoint Security Management

還提供其他的存取控制建議。

若要保護僅存取受信任的機器，可將虛擬目錄和 IIS 設定為具有 ACL。請參考以下文章：

管理指南

》

novdocx (zh-tw) 25 June 2008

5

 Granting and Denying Access to Computers ( 授予和拒絕電腦存取 ) (http://

www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx)

 Restrict Site Access by IP Address or Domain Name ( 透過 IP 位址和領域名稱限制網站存取

) (http://support.microsoft.com/default.aspx?scid=kb%3BEN-US%3BQ324066)

 IIS FAQ: 2000 IP address and domain name restrictions (IIS FAQ：2000 個 IP 位址和領域名

稱限制 ) (http://www.iisfaq.com/default.aspx?View=A136&P=109)

 Working With IIS Packet Filtering ( 使用 IIS 封包篩選 ) (http://www.15seconds.com/issue/

011227.htm)

基於安全性考量，我們強烈建議您在任何的 IIS 安裝中移除以下預設資料夾：

 IISHelp

 IISAdmin

 Scripts

 Printers

我們也建議您使用 microsoft.com (http://www.microsoft.com/technet/security/tools/

locktool.mspx) 提供的 IIS Lockdown Tool 2.1。

2.1 版是由各大適用 IIS 相關 Microsoft 產品的範本所驅動。請選取最符合此伺服器角色的範

本。如果您不確定，建議您使用動態 Web 伺服器範本。

在開始進行安裝之前，請檢查以下必要條件：

 確定 「管理服務」 (MS) 至「規則配送服務」 (DS) 的伺服器名稱解析：確定驗證目標

電腦 ( 已安裝 MS) 可 Ping DS 伺服器名稱 ( 若是在網路防火牆內部設定 DS 則為
NETBIOS，若在 DMZ 外部安裝則為 FQDN)。

 若能成功，則這就是在安裝中要輸入的伺服器名稱。若不成功，則您必須在繼續進行安

裝之前先將問題解決。

執行規則配送服務安裝

21

 確定 Endpoint Security Client 至 DS 的伺服器名稱解析：驗證端點用戶端 ( 已安裝

Endpoint Security Client) 可 Ping 上述使用的相同 DS 伺服器名稱。若不成功，則您必須

在繼續進行安裝之前先將問題解決。

 啟用或安裝 Microsoft Internet Information Services (IIS)，確定您已啟用 ASP.NET，並將

其設定為接受保全插槽層 (SSL) 證書。

novdocx (zh-tw) 25 June 2008

重要： 請勿在 「安全通訊」頁面選取 「

「Microsoft 電腦管理」公用程式中，展開 「

Information Services (IIS)

內容

> 按一下 「
塊中的 「
服器與端點上之 ZENworks Endpoint Security 用戶端之間的通訊。

 如果您使用自己的 SSL 證書，請確定您已將 Web 服務證書載入機器，且在之前步驟中

驗證的伺服器名稱 ( 無論是 NETBIOS 或 FQDN) 符合在 IIS 中設定的證書 Issued to ( 簽
發給 ) 值。

 如果您使用自己的 SSL 證書，請驗證從 MS 伺服器至 DS 伺服器的 SSL：開啟「管理服

務」上的 Web 瀏覽器，並輸入以下 URL：https://DSNAME ( 其中 DSNAME 為 DS 的伺
服器名稱 )。這將會傳回有效的資料 ( 可能是 Page under Construction ( 網頁正在建立中
))，而不是證書警告。任何的證書警告都必須在安裝前解決，除非您選擇使用 Novell 自
我簽署證書。

 請確認可存取受支援的 RDBMS (Microsoft SQL Server 4 SP2005、SQL Server Standard、

SQL Server Enterprise、SQL Server 2005)。將資料庫設為 「混合」模式。此資料庫可由

「管理服務」伺服器，或者是經由企業防火牆保全之共享伺服器所代管。

」 > 按一下 「

編輯

」按鈕 )。 選取此選項會中斷 ZENworks Endpoint Security Management 伺

管理員

」 > 展開 「

目錄安全設定

必須使用安全通道

服務和應用程式

網站

」 > 以滑鼠右鍵按一下 「

」索引標籤 > 按一下 「安全通訊」群組方

(SSL)」核取方塊 ( 在

」 > 展開 「Internet

預設的網站

5.1 安裝步驟

按一下 「安裝介面」功能表中的 「
始。

規則配送服務安裝

」。「規則配送服務」的安裝就會開

」

在啟動時，安裝程式會驗證所有必要的軟體是否皆位於伺服器中。若缺少任何軟體，安裝程
式會在進入 「歡迎畫面」之前自動安裝這些軟體 ( 必須接受附加軟體的授權合約 )。若您需
要安裝 Microsoft Data Access Components (MDAC) 2.8，則必須在安裝程序之後，將伺服器重
新開機以繼續安裝 ZENworks Endpoint Security Management。若使用 Windows 2003 Server，
則 ASP.NET 2.0 將設定為由安裝程式執行。

「規則配送服務」安裝開始後，請執行以下步驟：

附註： 以下步驟將列出管理員完成安裝程序所需執行的動作。除非是成功完成安裝所需的特
定動作或資訊，否則內部程序將會在整個安裝程序中顯示，而不會在此列出。

1 按一下 「歡迎」畫面中的 「

2 接受授權合約，然後按一下 「

3 選取 「

典型

」或 「

自訂

下一步

」安裝。

」以繼續。

下一步

」。

22

ZENworks Endpoint Security Management 安裝指南