要做好PC資產管理,又要兼顧行動裝置控管能力,能用一套軟體做到這樣的管控嗎?由日系大廠Fujitsu推出的資產及安全管理雲端服務IT Policy N@vi(ITPN),就能滿足這樣的需求。
它是一款可以幫助企業IT政策管理的工具,它所涵蓋了一般資產管理軟體的基本功能,也能做到行動裝置控管(MDM),不論是PC與行動裝置,都能透過這個平臺做好管控要求。
同時,這款產品是以SaaS型態雲端服務提供,企業可以租用方式,而省去自建麻煩,管理者透過雲端管理平臺,便能掌握企業內部裝置的安全控管。
在最新的4.0版本中,最大特點就是支援的作業系統廣度已經到位,上一版可支援Windows與iOS平臺,這一版開始擴及Mac OS、Android與Windows Server系統平臺,使得這款產品在跨平臺的端點管理上,變得相當方便。
同時,ITPN新版本也將管理後臺的架構重新調整,之前這款產品雖然提供網頁儀表板,方便管理者掌握防護狀況,但操作設定需要在安裝Console軟體的Windows電腦上操作,這一版開始將兩者整合,讓所有設定與檢視都是透過網頁管理後臺進行,這也比較符合一般雲端服務應有的面貌。而且,也新增中文介面語系的支援,相當不錯。
依群組套用管控策略,且每一個策略均包含各系統平臺的管控設定
基本上,管理者可以透過ITPN簡單明瞭的網頁儀表板介面,快速檢視所有受裝置的安全政策違規狀態,而且,只要直接點擊圖表,就能進一步檢視詳細內容,介面直覺、方便。
在安裝與派送方式上,管理者透過ITPN後臺管理介面,可以預先建立部門群組,再將裝置登入到系統,以納入管控。基本上,這款產品對於不同平臺的用戶端程式的安裝方式,有不同作法,但還有進步空間。
像是在iOS與Android平臺的使用者端程式安裝時,ITPN提供用戶端程式的下載連結,並能設定驗證密碼。用戶端只要前往該網址,便會進入安裝流程,安裝CA憑證、輸入密碼,以及下載安裝檔,過程算是簡單。但若能更自動一點更好,因為目前管理者需自行將該連結網址傳送到裝置上,不像多數雲端服務可透過電子郵件方式,直接寄送裝置端軟體下載連結。
若是在Windows系統上部署用戶端程式,則需要製作安裝檔案。管理者從後臺介面可建立安裝定義檔,並下載做成用戶端安裝程式的程式與檔案,之後安裝時需執行用戶端作成程式(CreateInstaller.exe),並指定需要的檔案(Clintinstaller.zip),才會產生一個完整的安裝檔案ITPN_SET.exe。原廠表示,這是利用ClientInstaller.zip這個檔案蒐集用戶端資訊,以製作專屬用戶端的安裝程式,由於兩者功能與目的不同,因此過程稍微麻煩。
不過,這款產品還是有提供AD、自動派送使用者端程式至電腦端背景安裝,只是這樣的功能需要額外選購,並未成為系統內建功能。
在策略管理架構上,ITPN是依據群組去套用管控策略,若有不同管控需求,可設定不同的群組來區分,也就是對應部門套用各自的管控政策。在每一個管控原則設定時,可依需求彈性去個別調整不同系統平臺的策略管理,對於以部門來制定管控策略的角度來看,相當方便,而不是依據每種裝置設定各自的原則。
但相對來說,初次設定時也會較為複雜,因為每個單一策略都要調整4種系統平臺的管控設定。
在單一策略管理設定項目中,管理者可以針對Windows、iOS、Android與Mac OS裝置,分別設定管控細節。基本上,以Windows系統的細節項目最豐富,對於iOS與Android平臺上,每一條策略也有一些的控制項,雖然這款產品也支援Mac OS,但設定項目並不多,僅有作業系統診斷,以及應用程式黑白清單的建立。
我們也實際驗證ITPN的裝置管控支援性,像是這次版本才加入的Windows Server與Android系統平臺,我們均成功部署用戶端程式於其中,納入管控之列。另外,雖然產品規格僅表示Windows系統支援到8.1版,不過我們在最新推出的Windows 10電腦,安裝用戶端程式後,管理後臺也能將之納入管控。即便是安裝在虛擬機中的系統,也能納入ITPN管控範疇,並且標示為VM。原廠並表示,這個平臺對於支援的受控裝置管理數並沒有上限,企業購買多少授權數,就能在平臺上控管多少臺設備。
另外,在管控策略的設定上,ITPN也提供了版本記錄的功能,很實用。如果管理者要恢復到之前的管控設定,能依據時間找到先前版本,同時這裡還可以設定警告方式,如系統或郵件通知管理者,以及用戶端的禁用或提醒,算是不錯。
至於共同管理者的機制,這套系統也有提供,原廠表示,這裡分成3種角色權限,像是全體管理者、部門管理者與一般管理者,可做到分層管理應用。
每個策略管控均包含不同平臺的設定項目
在策略管理設定時,ITPN主要依據群組套用,每一個原則將包含不同裝置系統平臺的設定,在最新發布的4.0版本中,加入Android、Mac OS與Windows Server的支援。這裡並提供管控原則的版本記錄,可以迅速回復至上一版本設定。
能自動檢查受控端PC防毒軟體的運作狀況,並可盤點出盜版軟體
ITPN這套系統也有用戶端軟體管理功能,不僅是偵測裝置的軟、硬體型號,提供資安管理能力,管理者可檢視員工電腦內安裝的軟體,並能夠從盤點後得到的軟體清單一覽表中,點選想查詢的軟體項目,並查看該軟體已經安裝在哪些電腦、行動裝置上。
同時,這裡也有針對像是Adobe Flash Player、Adobe Reader、Java Runtime Plugin、Adobe Acrobat與RealPlayer等,提供版本診斷能力,讓管理者快速掌握這些常用軟體的更新狀況,算是不錯。
以Windows系統的管理為例,ITPN還提供防毒軟體診斷的功能,可以自動檢查防毒軟體的運作狀況,例如是否確實掃描檔案、是否及時更新等。目前,針對Windows系統上內建的軟體支援清單,已經包含了多款產品,例如Symantec Endpoint Protection、Norton Antivirus、McAfee VirusScan Enterprise、趨勢的防毒軟體的產品,也支援微軟Windows Defender。
若是不在清單上的防毒軟體廠商,ITPN也提供另一種作法,就是透過Windows作業系統的Action Center來追蹤防毒軟體的啟用與更新狀態,以確認系統的安全狀態。
在安全診斷項目中,ITPN也可檢視螢幕保護、BIOS密碼、硬碟密碼的設定。在操作使用限制的功能中,對於周邊裝置,像是USB、光碟器等,也有針對磁碟存取做限制的控制項,像是可指定禁止寫出的磁碟機代號,另外,也提供限制列印、Print Screen鍵的選項。針對USB防護,ITPN還將提供USB資訊匯出工具,可偵測USB裝置的ID,以建立白名單,只有在清單內的USB裝置,可以在受控裝置上使用。
一般系統管理軟體會有的應用程式封鎖功能,它也具備,管理者可針對電腦上必須安裝的軟體或是禁用軟體,做出策略設定;這裡也有簡易的網址過濾功能,管理者能以黑白名單方式,設定存取控管的網址清單,在每條政策下的Windows與iOS裝置的設定部分,都能找到相關項目。可惜介面上沒有提供程式清單,使用者需逐一輸入,在設定策略管理時需要多花一些時間。
至於管控彈性上,ITPN也有不錯的作法,能允許管理者制定不同的管控強度。以Windows登入密碼設定為例,管理者若是設為「NG」,意味較強制的管控,在系統彈跳出要求使用者變更密碼的視窗時,使用者不更改密碼將無法繼續使用電腦,若是設為「資訊」,也就是較寬鬆的程度,使用者可以關閉提醒視窗,繼續工作,等到有空的時候再進行設定。
我們也詢問原廠NG所代表的意思,他們表示,這是日本當地用字,意思是Failed,相近於失敗,之後系統更新將修正此用字。目前來看,由於這套系統才剛加入中文語系的支援,但介面對於正體中文用語的翻譯還不夠理想。
還一個比較特別的機制,可以查找出盜版軟體的使用。基本上,這是讓管理者在一開始購買軟體授權時,預先建立軟體授權清單,標示已經安裝軟體與授權的電腦。之後系統偵測軟體安裝清單時,就能比對出差異,像是軟體只買了10個授權,IPTN卻偵測到該軟體已經安裝11個,代表有電腦可能使用盜版軟體。
最後要注意的是,在政策修改、確定儲存後,我們發現這些管理策略並不會立即套用到群組裝置上。
原來,ITPN預設的策略套用到每臺用戶端裝置時間,是以3小時為單位,在這段期間以隨機方式套用,也就是說有些裝置能立即套用,有些裝置最慢會在3小時後生效。這是為了避免用戶端裝置數量龐大,同時連接雲端可能造成網路壅擠的情況,但這項動態套用作法也使得政策實施不夠即時,若系統上能提供相關選項,對於緊急情況的因應將更有彈性一些。
一目了然,可依群組檢視各部門資產設備
在ITPN的管理上,管理者能透過裝置一覽清單,快速檢索所有裝置的詳細資訊,透過介面左側的群組過濾器,也能快速找到指定單位的裝置項目,並匯出成CSV檔,產生報表。
基本的軟體盤點功能也具備
透過ITPN的軟體清單報告中,可以檢視到受控裝置上的應用程式清單,點選軟體後,即可看到該程式安裝在哪些裝置上。
結合行動裝置資產管理與MDM軟體特性
IPTN對於行動裝置的功能管控也不少,能支援iOS與Android平臺便很不錯。以iOS裝置的管控功能來看,這裡主要分成三大類,安全、封鎖與Wi-Fi。以安全控管為例,管理者可以強制限定密碼長度、複雜度,與密碼週期等IT政策要求,也能指定Wi-Fi的連線SSID。裝置上功能的管控,也包含App安裝、相機、藍牙、螢幕擷取、自動同步、Siri語音、語音通話、Passbook等,並支援遠端鎖定與抹除。
在Android平臺的管控上,ITPN項目則有些不同,分成遺失對策、安全、功能封鎖、環境更新設定與喜好設定等5大項目,可控管的內容同樣包括App安裝、相機、藍牙、螢幕擷取等,但管控細膩度上還是不如iOS平臺。
舉例來說,對於Safari的網頁瀏覽管控項目中,還提供禁止自動輸入、拒絕詐騙網站,以及封鎖JavaScript、彈跳視窗、Cookies等,甚至是阻擋成人內容的管控,相當多樣。
整體來看,ITPN對於行動平臺的管控也不少,雖然不像一般MDM工具還會提供VPN方面的管控,不過大致功能皆已具備。
支援iOS與Android裝置管控
針對iOS平臺的管控功能細膩,密碼原則要求高,並能設定Wi-Fi連線要求,支援遠端鎖定與抹除,提供應用程式、網址等功能過濾。
提供簡潔的儀表版介面,並可匯出CSV檔,供報表之用
在ITPN雲端管理介面主頁,所提供的儀表版可說是相當簡潔,管理者可以此檢視安全策略的違反、盤點、以及軟體狀況,這裡是圖形化的資訊顯示方式,方便管理者快速掌握狀況。
這裡的圖形化資訊並會以紅黃綠燈號顯示,當行為異常時會以紅色燈號警示,若管理者想要更完整了解安全策略的違反狀況,只要點擊介面上原餅圖或長條圖資訊上的紅色部分,就可以進一步檢視詳細資訊,相當直覺易用。
在儀表板上,這套系統並將警告訊息分成6大類,包含客戶端狀態、安全診斷、運行資訊、資產管理、使用限制與其他,並會顯示2週內各類狀況的發生件數,以及最後發生時間,方便管理者更進一步掌握問題類型。
至於ITPN的報告功能上,管理者可使用裝置、軟體的一覽功能,快速檢視所有詳細資訊,比較可惜的是,像是我們在檢視各受控電腦安裝狀況時,由於項目相當多,我們需要不斷將畫面往右捲動,才能看到所有資訊,且每個項目並無法自由調整欄位大小,不夠彈性。所幸,不論是裝置、軟體列表,都能選擇匯出CSV檔,產生報表。
此外,管理者也可以檢視操作日誌,掌握受控裝置的使用情況,並能依據時間過濾,快速調閱某段時間的日誌歷程,較可惜的是,日誌後方的說明目前仍是日文顯示。
具備完整日誌檢視功能,可檢視操作
透過ITPN檢視操作日誌一覽,可檢視所有受控裝置PC、筆電、Windows Server或行動裝置的詳細使用情況,這裡並提供過濾選項,可快速調閱某段時間的日誌歷程。
針對管控項目可予以強制執行或警示
ITPN在管控設定上具有彈性,舉例來說,像是在密碼週期管理中,若設定為強制的管控「NG」選項,意味著禁用,當系統跳出密碼變更視窗時,使用者不更改密碼將無法繼續使用電腦,管理者也能設定為警示的「注意」與「資訊」選項,讓使用者可以關閉提醒,繼續工作。
提供防毒軟體偵測能力,協助安全管理
ITPN本身也提供了防毒軟體的運作狀況自動檢查機制,監控各臺裝置的防毒運行狀況,並能透過Windows的Action Center偵測防毒軟體的狀態。
具備遠端安全控管的防護能力
在檢視所有裝置時,管理者從機器操作項目中,可以針對系統裝置執行遠端鎖定與資料刪除,立即防護。從這裡的畫面中,也可清楚看出,我們安裝在VM環境的Windows系統也能在受控範圍之內。
行動平臺用戶端程式的部署方式較簡易
在iOS與Android平臺的用戶端程式安裝過程較容易,管理者可以在後臺介面設定密碼,並發送一個連結網址到行動裝置上。之後從行動裝置上前往該網址,就會進入安裝流程。
產品資訊
Fujitsu IT Policy N@vi(ITPN)
●建議售價:依用戶端裝置授權數計費,每裝置每月費用為139元
●原廠:臺灣富士通(02)2311-2255
●支援用戶端個人電腦平臺:Windows XP~8.1、Windows Server 2003~2012 R2、Mac OS 10.6
●支援行動裝置系統平臺:iOS 5、Android 2.2
●功能特色:資產管理、資訊安全防護與行動裝置管控
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】