|
|
|
|
|
|
|
NB管理的基礎架構、安全強化與異地備份
絕招!商用筆電的全方位管理與防護
文/圖 RUN!PC編輯部
在Centrino Pro筆記型電腦上市後,企業可以採用的筆記型電腦防護可以說是越來越齊全,我們這個月將針對Centrino Pro的後台做進一步的介紹,同時也包含資料加密與資料備份的議題,而且,還有更令人關心的—筆記型電腦遺失該如何處理!
|
|
|
筆記型電腦在商業市場的佔有率越來越高,相對在企業所能使用的安全與管理工具也就更加重要。目前市售的筆記型電腦儘管本身具備了許多安全防護功能,但對企業而言,集中管理才是王道,Intel
Centrino Pro平台,則帶來了這樣的優點,值得企業評估導入。
 基礎架構篇:部署Centrino Pro/vPro
過去本刊已經對vPro進行過介紹,基本上,對這樣的技術最有興趣的還是企業,就像伺服器一樣,需要管理的數量越多,就越需要導入這樣解決方案。旭辰軟體研發部總監陳欣玄就提到,如果只是買有
vPro/Centrino Pro的電腦,那麼就只是一台電腦而已。一般企業如果要採購,絕大多數還會連解決方案一併考量,因此企業最好是尋求SI,一次搞定所有的需求。
維護等級全面提升
對企業來說,在伺服器的管理中有符合IPMI、OPMA 的標準產品可以採用,還有不同品牌伺服器的Service Processor,這些技術或標準都是用來讓伺服器管理人員可以在遠端進行設備的維護工作。而近期Intel所推出的
vPro或Centrino Pro平台,可以看做是伺服器技術的下放,同樣也是為了讓電腦管理人員可以在遠端進行設備的維護工作。不管是用戶端的Centrino Pro
還是vPro,伺服器端的 Service Processor,兩者的共同點,就是將可管理的等級由OS提高到BIOS等級,甚至於在關機的狀況下,便能由遠端進行維護。而目前在國內設計的管理軟體部分,旭辰的SmartIT對
vPro/Centrino Pro有完整的支援, 因此以下圖例是以 SamrtIT視窗做說明。
圖1:Smart IT vPro管理員主介面,圖左方為AMT可以支援的功能,右方則列出目前網路上
內建AMT技術的電腦主機。
圖2:完整部署AMT技術需包括受控端Host OS與ME,再加上AMT伺服器應用程式。
圖3:SAMT技術的邏輯架構圖,包含軟硬體以及韌體技術。
AMT功能進化史
AMT 事實上僅為vPro / Centrino Pro所包含的一項技術而已,目前在Centrino Pro 中所包含的技術為AMT 2.5 ,在vPro中所包含的技術則為AMT
3.0版本。隨著產品的演化,AMT的功能也逐日強大,其版本號在具備vPro/ Centrino Pro的主機中,一般可以由[ C t r l + P ] 進入M
E (Management Engine)介面。AMT在主機中是一個獨立作業的小電腦,獨立於處理器之外,其作業系統(韌體)在ME上執行。AMT很重要的一點,就是它提供了OOB
頻外通訊頻道(OOB , Out-Of-Band),OOB就是主機的另一條網路,因此不論在主機是否開機的狀態下,遠端皆能藉由OOB進入管理。基本上,vPro跟CentrinoP
r o 技術的應用大致相去不遠,差別最大的是在有線網路與無線網路的應用上,這些差異來自於AMT(Active Management Technology, 主動管理技術)版本的不同。
目前AMT最新的版本,在桌上型電腦的vPro為AMT 3. 0 版本,在筆記型電腦上的 Centrino Pro則為2.5版,從 AMT 2.0到AMT 3.0各版本主要的改版功能如下:
‧AMT 2.0 (vPro)
a.硬體資產:資產管理是企業很需要的功能之一,管理人員可以藉由用戶端的AMT 技術「隨時」撈取所要的資產資料,AMT藉由代理程式將客戶端電腦中的軟硬體資訊儲存起來,管理者只要透過OOB便可以取出那些資訊,不管客戶端是開機還是關機。
b.電源管理:就是遠端開關機以及重新啟動的功能。
c.Storage:AMT 2.0搭配的 NVRAM( Non - Volatile Random Access Memory)由96 K增加到192K, NVRAM主要用來存放管理程式所記錄的資訊 (3PDS, 3rd Party
Data Storage),以便在遠端進行管理時可以取出使用。
d.Event:記錄用戶端電腦的事件,以通知管理員處理。
e.遠端管理:運用Serial Over LAN(SOL)技術,管理者可以由遠端監視客戶端電腦的開機畫面,以進行維護,例如檢查BIOS或重新安裝作業系統等。在遠端管理的部分包含一個很重要的功能,也就是IDE-R(IDE
Redirection, IDE重新導向),其不只是磁碟機重導向而已,你也可以設定一個系統開機功能的影像檔案在救援時使用,也就是用戶端電腦可以由管理端提供的影像檔案來開機進行救援。另外,在遠端功能的部分還提供埠的重導向功能
(Redirection Port)。
f.Circuit Breaker:也稱為 System Defense,提供網路截斷的功能,將有危害的客戶端電腦離線,可以控制疫情的擴散,離線後可再透過OOB遠端解決。
g.Agent Precense:通常管理軟體會在被控端電腦安裝代理程式(Agent),但當遭遇攻擊時可能會被關閉,
Agent Precense會檢查代理程式是否在運作中,如果代理程式已經失效,便可以立即發出警告。
h.One Touch Configuration :用在企業大量部署時的客戶端電腦組態設定,因為一台一台的去進行組態相當耗時,採用預先準備的USB 隨身碟安插到所有的電腦中,One
Touch可以由集中控管的方式來設定所有電腦的組態。
‧AMT 2.1 (vPro)
2.1版本最重要的就是支援 Windows Vista作業系統。
‧AMT 2.5 (Centrino Pro)
2.5版是AMT技術首次支援包括無線網路技術的版本, 也就是目前在筆記型電腦上看到的Centrino Pro 標誌。
‧AMT 3.0 (vPro)
a.Zero Touch Configuration: 3.0中主要新增的功能,是關於企業大量部署時,可採用Entrrprise模式的SSL憑證。企業架構vPro
/ Centrino Pro可以有兩種方式,包含Small Business Mode(SBM)與Enterprise Mode(EM),其中EM的方式需要vProServer的搭配。Zero
Touch的部署方式可以讓用戶端電腦開機時,直接與vPro伺服器進行認證的程序,取得用戶端主機的AMT設定值,而不需要人工的介入。
b.Circuit Breaker Filter:在新版的Circuit Breaker 中增加了過濾器,管理者可以對設定特殊流量時,自動將客戶端電腦離線。
安全強化篇:遺失NB也不用怕
隨著IT科技的進步,現在的筆記型電腦愈做愈精巧,再加上無線網路的日益普遍,使得許多的商務人士常會將內含公司機密資料的筆記型電腦隨身攜帶,雖然這樣的行動工作方式增加了員工作業的機動性;但相對而言,也提高了資料遺失的風險,像在國外就常傳出因筆電失竊所造成公司客戶資料遺失的事件。
Check Point Pointsec
原以網路防火牆著稱的 Check Point今年初在併購 Pointsec後,正式進入資料安全的領域,也讓Check Point 的產品線從網路閘道到用戶終端安全都能有一套完整的解決方案。Check
Point台灣區技術問陳建宏提到一項調查指出,分析企業資料遺失的情形,有80%是來自設備的遺件被竊,另20%才是從網路的入侵盜取。 Check Point 所提供的
Pointsec for PC是對整個硬碟進行資料加密的方式,相較於檔案的加密方式,硬碟加密的好處在會連整個系統都予以加密,也就是在電腦開機時便會要求使用者進行認證。在部署建置上則可採以軟體派送或直接執行檔案來完成安裝,且能支援指紋辨識、Smart
Card、USB Token等多種認證方式。
而這類的硬碟加密機制除了考慮部署的彈性以支援多因素的認證方式外,加密的效能與當密碼遺失時的密碼重設機制也是不可忽略的。在加密效能上,據Check Point所提供的資料,最快可以到每小時約10GB的速度來進行硬碟加密(當然視硬體平台的不同會有差異),且在加密時Pointsec
for PC會判斷系統資源的使用情形,以儘量減少對使用者前景作業的影響(預估會造成系統效能3%-5%的降低)。
不可否認的是,當企業部署這樣的解決方案時一定會遇到使用者遺失密碼的情形,在密碼遺失與重設密碼上,陳建宏強調Pointsec並使用通用密碼的機制,以避免因此產生出安全漏洞。所以當使用者遺失密碼需進行重設時,要經過授權管理者的二次檢查後才能進行重設,如圖5所示,當進行密碼重設時,遠端管理者需先在系統中輸入使用者名稱,以藉此產生第一道的回應數字傳回給用戶端,用戶端輸入後也會產生一個回應碼傳回管理端,然後管理者再產生第二道回應數字來進行密碼重設,所以如果沒有管理系統的配合,即使有心人士取得這台筆電也無法解開密碼。
圖5:Pointsec的密碼重設過程。(圖片來源:Check Point)
另外,像Safe Net的 ProtectDrive也是用於磁碟加密的軟體,還可搭配自家的 iKey 2032 USB Token進行雙因素認證,且ProtectDrive
的登入助理還能與其他像 Windows登入、網路連線、 Novell的應用程式整合,讓使用者不需輸入各個應用程式的密碼。不過,這種以硬碟加密的方式可以確保遺失筆電時裡面的重要資料不被非授權以外的人所取得,但在用戶正常使用電腦時,如果系統己被植入間諜軟體,攻擊者還是有可能透過網路來竊取硬碟內的資料,所以用戶端還是需要安裝網路安全軟體來確保資料的安全。
Phoenix Fail Safe
透過硬碟的加密對保護遺失或遭竊的筆記型電腦內的機敏資料能有一定的效果,但如果是企業內擁有授權密碼的有心人士蓄意帶走電腦的話,就必需再倚賴對筆記型電腦本身所在位置的追蹤功能。BIOS廠商Phoenix近來便推出一套名為「Fail
Safe」的電腦安全機制,主要的安全功能有資料加密與刪除、電腦的追蹤、資料備份等功能。當使用者的電腦遺失時,只要該電腦一連上網路後,就可以透過該電腦連線的Public
IP或以GPS的方式來確定該電腦的所在位置,目前有不少機種也內建 Webcam功能,FailSafe也能啟動Webcam將當時使用者的照片拍下傳回,也可以側錄其鍵盤的輸入資料
(Keyboard logger)以協助偵查。在軟、硬體的支援上並無特別限制,只要是目前的硬體幾乎都可以支援這些功能,甚至不一定要搭配Phoenix 的BIOS也可執行FailSafe
的功能。
圖6:Fail Safe 的電腦追蹤功能。(圖片來源:Phoenix)
在部署方式上,可以是以純軟體(Agent)的方式存在,或是以BIOS配合Agent軟體的方式來執行FailSafe的各項功能;搭配BIOS差別在有BIOS的支援可以讓FailSafe
在安全性上更加完整,例如純軟體的方式便可能遭使用者移除,如果搭配BIOS的話,即使使用者移除Agent後,也能從BIOS中自動的安裝回電腦。目前FailSafe的服務尚未推出,由於Phoenix主要的客戶對象還是以OEM、ODM
廠商為主,所以這項服務最後可能由電腦供應商來決定其內容與運作的模式。例如當企業購買了具有FailSafe功能的電腦後,可選擇是否購買這樣的服務來啟動FailSafe
的功能,一旦企業要對電腦進行監控與追蹤時可能連到由OEM/ODM廠商所營運的監控中心去執行FailSafe的相關功能,企業也無需自行建置監控中心;對廠商而言,在全球化競爭下,同質性產品的市場價格競爭激烈,而提供FailSafe這樣的安全服務不但可提高產品的附加價值,也能表現出與其他產品的差異化區隔。
Inspice Trace
當然,上述這種藉由監控中心來監控管理電腦所在的方式雖然方便,不過對許多人而言,或許都會擔心自己的隱私權遭到侵犯,想到自己的不管到哪,只要一連上網路自己的所在位置都會被監控中心所記錄下來。而Inspice
所提供的Inspice Trace筆電追尋服務就是另一種較不會有隱私爭議的解決方案。 Inspice Trace是以純軟體的方式來進行安裝,不用搭配其他硬體。安裝Inspice
Trace時,使用者需要提供一組有效的電子郵件地址以供系統通知,接著軟體會發送內附4 位數字密碼的電子郵件,使用者需要輸入此數字後才能完成安裝程序。完成安裝後,Inspice
Trace會發送內含主機名稱、使用者IP位址的電子郵件到指定的郵件地址。如果筆電遺失時,該筆電只要再接上網路Inspice Trace就會自動發送郵件顯示其I
P位址與使用者名稱等資訊。用戶如果擔心裡面的重要資料遭竊,還可以遠端啟動資料銷毀的功能直接將硬碟[My Documents and Settings]資料夾裡的檔案全部刪除。
圖7:Inspice Trace會自動發送包含IP位址、主機名稱、連線時間等訊息的電子郵件
Inspice Trace方案的優點在於不需要任何監控伺服器的介入,而由軟體自動進行郵件通知的動作。而且程式安裝後不會出現任何的圖示、檔案、資料夾等訊息,所以非法的筆電持有者也不會發現該追蹤軟體的存在而放心的連接網路,讓用戶有機會藉由郵件的通知發現裝置的所在。當然前提是該裝置必需連上網路,而且由於是透過電子郵件發佈訊息通知,所以安裝時要確認是否能正常的收到通知郵件,必要時得調整防火牆或反垃圾郵件的設定,以免無法收到重要的郵件訊息而錯失將筆電找回的機會。目前Inspice
T r a c e 提供有B a s i c 、 Standard、Enterprise三種等級的服務,差別在是否具備詳盡的追蹤訊息,及資料銷毀與優先技術支援服務,Basic
版本還提供個人非商業的免費試用,有興趣的讀者不妨下載試試, 網址如下。
http://www.inspice.com/aprod-code/doc/Downloads. htm
備份篇:筆記型電腦資料的異地備份
或許筆記型電腦遺失的經驗並非人人皆有,但主機損毀或是硬碟壞軌的狀況卻是常見,為了保護個人或是公司重要檔案,行動工作者備份的方式多數會選擇體積小,方便將資料帶著走的可攜式儲存媒體,像是隨身碟與外接式硬碟機,「手動」的將檔案複製到儲存媒體之中存放。此方式用於個人或是臨時性的資料分享確實方便,但遇到每天新增、異動的資料量較多,忙碌之餘難免會忘記備份,因此本文提供三種不同模式的自動化異地備份方式,可為忙碌的行動工作者做好資料防護。
機密性較高的資料集中保管
對於為資料安全把關的IT 管理者而言,要確保散落在使用者端的筆記型電腦中,存放的公司內部較具機密性的資料不致遺失或損毀,唯有藉由備份工具的輔助,將各端點的資料集中保管,同時還必須讓備份工作執行於無形,在不影響使用者日常工作之下自動完成。
IBM Tivoli Continuous D ata Protection(CDP) for Files備份軟體,針對較重要的檔案新增、刪除、修改,均立即建立副本做為連續性資料保護的方式,並同時將該副本儲存在遠端儲存裝置。若當時筆記型電腦未連結網路或遠端儲存裝置未提供服務,Tivoli
CDP for Files則會將副本儲存於本機磁碟中,待狀況排除後立即自動恢復遠端儲存位置。
較特別的是,上述的備份過程從檔案偵測→建立副本→遠端儲存,均為背景自動執行且不致影響當時系統的工作效能。連續性資料保護主要用於對特定檔案進行備份,較不適用於大型或動態的檔案,例如:電子郵件,此類型的檔案使用一般排程方式備份即可。此外,TivoliCDP
for Files還提供對資料夾和檔案「保管」的設定, 如圖 15,一旦設為Tivoli CDP for Files保管,該檔案或儲存在資料夾中的所有檔案將只能被讀取,不得變更檔案內容,甚至不允許刪除,確保重要資料的完整性。(表1)
兼顧資料安全與降低IT成本
能夠減少備份軟體與建置儲存系統花費的線上備份,不僅可為預算不多的中小企業做好資料異地備份,亦不受地域的限制,對經常需要出差、待在公司時間不多的工作者而言較為彈性。由資享科技所推出的資料保全銀行(Information
Security Bank;ISB),即為提供線上備份服務,用戶經由資享的代理程式設定備份工作排程,開始上傳備份之前代理程式將先進行備份檔的壓縮,再以128位元AES等演算法為檔案加密,最後透過SSL
安全傳輸至資料中心存放。目前該代理程式可支援的作業環境,包括Windows、Mac OS X 、Linux、 Novell,企業用戶可自行下載安裝。
過去備份工作常常出現錯誤的原因,多半是執行備份時某些檔案系統正在執行所導致,因此資享ISB設計結合Windows 2003/XP 作業系統、NTFS磁區所支援的陰影複製,即使正在使用的檔案仍然可以順利被備份後上傳。在第一次完整備份完成之後,若遇到超過25MB的大檔案(例如outlook.pst),使用者又無設定為差異備份,代理程式將自動判斷,就下一次備份時被新增、修改的部分作備份,讓儲存空間有效的利用。此外,檔案上傳時,備份若偵測某檔案已被刪除或更新,該原始檔將被移至伺服器中的保存區域存放7天時間,於此期間內使用者還可找回舊檔。此服務目前的計價方式是以收取月費/年費,並針對企業較常見的Microsoft
Exchange、SQL Server、Lotus Notes、MySQL、Oracle 等應用程式,提供選購備份模組。
圖16:可支援常見應用程式備份
免費的遠端備份
暫時無備份建置預算的小型企業或個人工作室,則可尋求既實用又免費的線上資源,例如免費提供2GB線上備份空間服務的Mozy,亦可滿足筆記型電腦異地備份的需求。其重要特色除了免費的儲存空間較大之外,針對備份的檔案均以448
bit加密保護,如圖17,讓較為機密的資料透過網際網路傳輸儲存時具備安全性,同時還能兼顧備份執行時的系統效能。所有的備份排程與細部設定,須透過 M o z y
提供的 MozyHome Remote Backup軟體完成。
圖17:提供檔案448 bit加密保護
圖18:設定系統閒置時才執行備份工作
為了避免因為啟動備份服務影響系統整體效能,軟體安裝好後啟動設定精靈,首先會偵測實體上傳線路的傳輸速度,並由使用者自行設定如何取捨。例如M o z y Home偵測到上傳速度為211Kb/s,欲備份的檔案為34.5MB,選擇全速上傳時間需花費45分鐘,使用者可將此排程設於CPU
使用率小於3 0%,同時系統已閒置5分鐘之後自動執行,讓備份作業於使用者工作空檔時完成,如圖18。檔案的還原部分,由於MozyHome 軟體安裝完成之後,可透過其產生的虛擬磁碟機,找到已備份的檔案資料,針對單一檔案選擇原檔案還原或另存於新路徑。
|
|
|
【原文刊載於RUN!PC雜誌:2007年十一月號】 |
|
|
|
更正啟事 |
 |
RUN!PC 七月號 (第174期)
˙第47頁「UTM產品一覽」表中內容,NUSOFT於「其他產品特色」欄,應加註 「IM/P2P控管等」。
|
|
|