2.3 创建远程管理策略

您可以使用“远程管理”策略配置受管设备上的“远程管理”会话的行为和执行。该策略包括各项“远程管理”操作设置,例如“远程控制”、“远程查看”、“远程执行”、“远程诊断”以及“文件传送”,它还可让您控制安全性设置。

默认情况下,在受管设备上为 ZENworks Adaptive Agent 部署了“远程管理”组件后,此设备中即创建了安全的远程管理策略。可以使用默认策略来远程管理设备。要覆盖默认策略,您可以以显式方式创建设备的“远程管理”策略。

  1. 在“ZENworks 控制中心”内,单击策略选项卡。

  2. 策略列表中,单击新建,然后单击策略显示“选择策略类型”页。

  3. 选择远程管理策略,单击下一步显示“定义细节”页,然后填写字段:

    策略名称: 提供策略的唯一名称。策略不能与驻留在同一文件夹中的任何其他项目(组、文件夹等)同名。

    文件夹: 键入名称,或浏览并选择要存放策略的“ZENworks 控制中心”文件夹。默认为 /策略,但您也可以创建其他文件夹来组织策略。

    说明: 提供策略内容的简短说明。该说明显示在“ZENworks 控制中心”中的策略摘要页上。

  4. 单击下一步显示“远程管理一般设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认设置。

    字段

    细节

    允许用户请求远程会话

    允许受管设备上的用户请求远程操作员执行远程会话。远程操作员必须确保“远程管理侦听程序”正在运行。

    登录到受管设备的新用户要求许可权限时,终止远程会话

    当登录到远程受管设备的新用户请求许可权限时,会终止正在进行的远程会话。

    为受管设备上的用户显示远程会话审计信息

    允许受管设备上的用户通过 ZENworks 图标查看远程会话的审计信息。

    显示 ZENworks 图标中的远程管理属性

    允许受管设备上的用户查看 ZENworks 图标中与“远程管理”策略相关的属性。

    编辑

    在远程会话开始前,编辑向受管设备上的用户显示的讯息:

    1. 单击编辑显示“编辑讯息”对话框。

    2. 编辑该讯息。

    3. 单击确定。

    恢复默认值

    恢复默认讯息:

    1. 单击恢复默认值将还原为默认讯息。

    添加远程侦听程序

    添加远程侦听程序:

    1. 单击添加

    2. 在“添加远程侦听程序”对话框中,指定管理控制台的 DNS 名称或 IP 地址,以及“远程管理侦听程序”侦听远程会话请求时使用的端口号。

    3. 单击确定

    删除远程侦听程序

    删除远程侦听程序:

    1. 选择要删除的远程侦听程序。

    2. 单击删除

  5. 单击下一步显示“远程控制设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认设置。

    字段

    细节

    允许远程控制受管的设备

    允许在受管设备上启动“远程控制”会话。选择该选项会启用该页上的后续选项。取消选择该选项会禁用设备上的“远程控制”操作。

    启动远程控制前先征得受管设备上用户的许可

    可让您在启动“远程控制”会话前先征得受管设备上用户的许可。

    在远程控制期间,向受管设备上的用户发出可见的信号

    在“远程控制”会话期间,会在受管设备桌面的右上角显示可见信号。通过该信号,受管设备上的用户便会知道有“远程控制”会话正在进行。

    在远程控制期间,每隔 [ ] 秒向受管设备上的用户发出哔哔声

    “远程控制”会话期间,会在受管设备上发出哔哔声。经过指定的秒数后,定期发出哔哔声。

    允许受管设备在远程控制期间显示黑屏

    令受管设备在“远程控制”会话期间显示黑屏。选择此选项还会锁定受管设备的键盘和鼠标控制。

    在远程控制期间允许锁定受管设备的鼠标和键盘

    可让您在“远程控制”会话期间,锁定受管设备的鼠标和键盘。

    在远程控制期间允许自动解除锁定屏保

    在受管设备上启动“远程控制”会话之前,可让您通过“远程控制查看器”来解除锁定受口令保护的屏保。

    自动终止远程控制会话 - 当处于非活动状态长达 [ ] 分钟

    如果受管设备上的“远程控制”会话在指定期间一直处于非活动状态,则终止该会话。

  6. 单击下一步显示“远程查看设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认设置。

    字段

    细节

    允许远程查看受管设备

    允许在受管设备上启动“远程查看”会话。选择该选项会启用该页上的后续选项。取消选择该选项会禁用设备上的“远程查看”操作。

    启动远程查看前先征得受管设备上用户的许可

    可让您在启动“远程控制”会话前先征得受管设备上用户的许可。

    在远程查看期间,向受管设备上的用户发出可见的信号

    在“远程查看”会话期间,受管设备桌面的右上角会显示可见信号。通过该信号,受管设备上的用户便会知道有“远程查看”会话正在进行。

    在远程查看期间,每隔 [ ] 秒向受管设备上的用户发出哔哔声

    进行“远程查看”会话期间,在受管设备上发出哔哔声。经过指定的秒数后,定期发出哔哔声。

  7. 单击下一步显示“远程诊断设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认设置。

    字段

    细节

    允许远程诊断受管设备

    允许在受管设备上启动“远程诊断”会话。选择该选项会启用该页上的后续选项。取消选择该选项会禁用设备上的“远程诊断”操作。

    启动远程诊断前先征得受管设备上用户的许可

    确保在启动“远程诊断”会话前远程操作员先征得受管设备上用户的许可。

    在远程诊断期间,向受管设备上的用户发出可见的信号

    在“远程诊断”会话期间,受管设备桌面的右上角会显示可见信号。通过该信号,受管设备上的用户便会知道有“远程诊断”会话正在进行。

    在远程诊断期间,每隔 [ ] 秒向受管设备上的用户发出哔哔声

    “远程诊断”会话期间,在受管设备上发出哔哔声。经过指定的秒数后,定期发出哔哔声。

    允许受管设备在远程诊断期间显示黑屏

    可让受管设备在“远程诊断”会话期间显示黑屏。在“远程诊断”会话期间,受管设备的键盘和鼠标会一直处于锁定状态。选择此选项还会禁用受管设备上的可见信号。

    重引导前显示警告讯息 [ ] 秒

    启动“远程诊断”会话时,在受管设备上显示警告讯息,提示用户保存所有现有应用程序。“远程诊断”会话期间,此警告讯息会持续显示一段指定的时间,以防止用户因远程操作员启动系统重引导而丢失尚未保存的数据。

    自动终止远程诊断会话 - 当处于非活动状态长达 [ ] 分钟

    如果“远程诊断”会话在指定期间一直处于非活动状态,则终止该会话。

  8. 单击下一步显示“远程执行设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认设置。

    字段

    细节

    允许在受管设备上远程执行程序

    允许在受管设备上远程执行程序。选择该选项会启用该页上的后续选项。取消选择该选项会禁用设备上的“远程执行”操作。

    启动远程执行前先征得受管设备上用户的许可

    确保在启动“远程执行”会话前远程操作员先征得受管设备上用户的许可。

    在远程执行期间,向受管设备上的用户发出可见的信号

    在“远程执行”会话期间,会在受管设备桌面的右上角显示可见信号。通过该信号,受管设备上的用户便能知道有“远程执行”会话正在进行。

    自动终止远程诊断会话 - 当处于非活动状态长达 [ ] 分钟

    如果“远程执行”会话在指定期间一直处于非活动状态,则终止该会话。

  9. 单击下一步显示“文件传送设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认安全性设置。

    字段

    细节

    允许在受管设备上传送文件

    允许在管理控制台和受管设备之间进行文件传送。选择该选项会启用该页上的后续选项。取消选择该选项会禁用设备上的“文件传送”操作。

    启动文件传送前先征得受管设备上用户的许可

    确保在启动“文件传送”会话前远程操作员先征得受管设备上用户的许可。

    在文件传送期间,向受管设备上的用户发出可见的信号

    在“文件传送”会话期间,会在受管设备桌面的右上角显示可见信号。通过该信号,受管设备上的用户便能知道有“文件传送”会话正在进行。

    允许从受管设备上下载文件

    允许远程操作员打开受管设备上的文件,并将其传送到管理控制台。如果不选择此选项,远程操作员只能将文件从管理控制台传送到受管设备。

    文件传送根目录

    指定“文件传送”会话期间,远程操作员可以看到的受管设备目录。远程操作员只能与此目录及其子目录互传文件。默认目录为“我的电脑”,也就是说,远程操作员可以查看和传送受管设备整个文件系统中的文件。

  10. 单击下一步显示“安全性设置”页。要接受默认设置,则继续下一步,否则请使用下表中指定的信息来更改默认安全性设置。

    口令鉴定

    字段

    细节

    启用基于口令的鉴定

    允许远程操作员使用口令鉴定到受管设备。选择该选项可配置口令类型设置。

    最短口令长度

    可让您指定口令的最小长度。默认情况下为 6 个字符。

    会话口令

    选择此选项会在启动新的远程会话之前,提示受管设备上的用户设置口令。由于口令不会储存在受管设备上,且仅在当前会话期间有效,因此建议选择此选项。

    永久口令

    选择该选项可设置 ZENworks 口令和 VNC 口令。由于 ZENworks 口令比 VNC 口令更为安全可靠,因此建议设置 ZENworks 口令。该口令可以由管理员通过“远程管理”策略或由受管设备用户通过 ZENworks 图标进行设置。选择该选项将启用后续选项。

    要让用户能够通过 ZENworks 图标设置口令,请选择允许用户覆盖受管设备上的默认口令选项。

    ZENworks 口令

    清除 ZENworks 口令:

    1. 单击清除密码

    2. 单击应用,然后单击确定

    设置 ZENworks 口令:

    1. 单击设置口令

    2. 输入口令。口令的最大长度为 255 个字符。

    3. 单击应用,然后单击确定

    VNC 口令

    清除 VNC 口令:

    1. 单击清除密码

    2. 单击应用,然后单击确定

    设置 VNC 口令:

    1. 单击设置口令

    2. 输入口令。 口令的最大长度为 8 个字符。

    3. 单击应用,然后单击确定

    入侵者检测

    字段

    细节

    启用入侵者检测

    选择此选项会针对试图在受管设备上起动远程会话的无效或未授权尝试,启用检测操作。选择该选项将启用“入侵者检测”区域中的后续选项。

    暂停接受连接 - 当达到 [ ] 次连续的无效尝试

    指定远程操作员连续进行无效尝试的最大次数,超过该次数后受管设备上的“远程管理”服务就会被阻止。默认为 5 次。

    自动开始接受连接 - 当达到 [ ] 分钟

    指定要过多少分钟之后,“远程管理代理”才会自动接受与受管设备的连接。要手动取消阻止“远程管理”服务,请双击 ZENworks Adaptive Agent 图标后,单击安全性设置,然后单击如果当前连接因入侵者检测而被阻止则启用接受连接。默认值为 10 分钟。

    会话安全性

    字段

    细节

    启用会话加密

    可使用 SSL 加密(TLSv1 协议)为会话加密。选择该选项将启用“会话安全”区域中的后续选项。

    当远程管理控制台没有 SSL 证书时允许连接

    从“ZENworks 控制中心”起动远程会话时,自动为远程操作员生成证书。该证书会在鉴定期间用到。选择此选项会允许可能没有 SSL 证书的“远程管理”控制台从“ZENworks 控制中心”外部起动的连接。

    查看器证书链中最多允许 [ ] 层

    Novell 基于权限和基于口令的鉴定模式都会对 SSL 加密通道产生一定影响。建立此通道需要查看器提供证书。此证书可能经由某个中间证书授权者或根证书授权者签名,因而创建了证书链。

    此属性定义了查看器证书链中允许的最大层数。如果采用了 ZENworks 内部证书授权者(默认安装),则在从“ZENworks 控制中心”起动远程会话的同时,会自动创建一个 2 层的查看器证书链。

    异常终止

    字段

    细节

    锁定设备

    当远程会话异常终止时锁定受管设备。

    注销用户

    当远程会话异常终止时注销受管设备上的用户。

  11. 单击下一步以显示“摘要”页面。

  12. 单击完成立即创建策略,或选择定义附加属性指定其他信息,例如策略指派、实施、状态,以及策略所属的组。