Novell ZENworks Endpoint Security Management 3.5

2.1.1 不支持 Windows Server 2008

由于有较新的 IIS 版本，ZENworks Endpoint Security Management 服务器部件无法安装在 Microsoft^* Windows Server^* 2008 上。

2.1.2 在 Active Directory 中的设备上安装管理控制台

安装管理控制台的设备必须是正在配置的 Active Directory^* 域的成员或至少与该域有信任关系。

2.1.3 不支持 Windows XP 64 位操作系统

ZENworks Endpoint Security Management 无法在 Windows^* XP 64 位操作系统上运行。我们支持使用 64 位 CPU 运行 32 位操作系统。我们目前不支持 Microsoft* Vista^*。

2.1.4 在 ZENworks Endpoint Security Management 服务器上使用 SQL 2005 和 SQL 2008

有关将 SQL 2005 和 SQL 2008 与 ZENworks Endpoint Security Management 一同使用的信息，请参阅 TID 3466284。

2.1.5 不支持 SQL Server Express 2005 和 SQL Server Express 2008

SQL Server^* Express 2005 和 SQL Server Express 2008 不支持 ZENworks Endpoint Security Management 服务器和独立管理控制台。

2.1.6 在 DS_STDSDB_User 帐户的口令中使用特殊字符

如果在 DS_STDSDB_User 帐户的口令中使用特殊字符，则特殊字符会在配置文件中发生改变。例如，@ 会在配置文件中变为 A。服务器和数据库之间的通信会像预期的那样工作。不过，如果要用 OSQL 查错，就必须使用配置文件口令，不能用特殊字符指定的口令。

2.1.7 如果使用的是 SQL Server 2005，则需确保域安全策略禁用了口令策略，其中口令策略用于确保“口令必须符合复杂性要求”

连接到 SQL Server 2005 时，请确保域安全策略禁用了口令策略，其中口令策略用于确保口令必须符合复杂性要求。安装后，您可以重新启用此策略，因为在 ZENworks Endpoint Security Management 中为 SQL 创建的帐户没有截止日期。

由于该限制，此策略会造成在 SQL Server 2005 中创建的 SQL 帐户失败。如果不禁用此策略，您就无法安装 ZENworks Endpoint Security Management。如果在创建 DS_STDSDB_User 帐户时未禁用此策略，您会收到一条讯息，指出为 STDSDB 输入的口令不正确。

解决办法：您可以用配置文件手动创建用户帐户。

2.2.1 阻止活动的应用程序

阻止执行某个应用程序不会关闭端点上已打开的应用程序。

2.2.2 阻止网络访问

如果应用程序正在向端点流式传输网络数据，则阻止网络访问无法停止对该应用程序的访问。

2.2.3 阻止正在使用网络共享的应用程序

如果应用程序正在从网络共享获取数据，则阻止网络访问无法停止对该应用程序的访问。

2.2.4 阻止从网络驱动器共享中启动的应用程序

如果应用程序从网络驱动器共享中启动，且该共享已阻止系统接受读取访问,则阻止该应用程序执行后，该应用程序仍会启动。

2.2.5 阻止应用程序和安全模式

如果设备被引导到带网络连接的安全模式，则“网络应用程序控制”将无法使用。

2.3.1 客户端自我防御需要提供卸载口令

要使整个客户端自我防御生效，必须使用卸载口令。

2.3.2 GPO 安全策略和第三方软件可能会导致 CPU 峰值

与 GPO 安全策略或控制访问注册表、文件和文件夹、WMI 以及进程或服务信息的第三方软件进行交互时，可能会产生 CPU 峰值。禁止 ZENworks Endpoint Security Management 客户端读取和重置该产品所需的注册表键值的 GPO 安全策略被应用时，可能会产生 CPU 峰值。可能需要设置反病毒软件和间谍软件，以便允许 STEngine.exe 和 STUser.exe 无限制运行。

2.4.1 支持的设备

支持大多数基于 Widcom 的蓝牙^* 解决方案。支持的设备包括：

2.4.2 确定设备是否受支持

2.5.1 在 Windows 2000 SP4 和 Windows XP SP1 上使用数据加密

由于 Windows XP SP2 支持所需的过滤器管理器，所以支持 ZENworks Endpoint Security Management。ZENworks Endpoint Security Management 可以安装在 Windows 2000 SP4 和 XP SP1 上，但是，当这些操作系统收到加密策略时，将忽略加密请求，并向管理员发送警报。

2.5.2 使用 ZENworks 文件解密实用程序

ZENworks 文件解密实用程序用于从加密的可卸储存设备上的 Shared Files 文件夹中提取受保护的数据。用户可以向第三方提供这一简单工具（但是不能将其置于可卸储存设备上），以便第三方可以访问 Shared Files 文件夹中的文件。

在产品 DVD 上或 Novell ZENworks Endpoint Security Management 万维网站点上可以找到该实用程序。

有关详细信息，请参阅《ZENworks Endpoint Security Management 管理指南》中的使用 ZENworks 文件解密实用程序。

2.5.3 将文件夹复制到启用了加密功能的可卸储存设备中

将包含多个文件和文件夹的文件夹复制到启用了加密功能的可卸储存设备中，所需的时间会较长。例如，我们的测试显示，复制 38 MB 的文件夹需要 5-6 分钟。

2.5.4 应用程序直接将数据保存到加密的 RSD 上会引发性能问题

应用程序直接将数据保存到加密的 RSD 上可能会影响计算机性能（具体情况视应用程序使用的文件写入大小而定）。

2.5.5 在系统卷上选择安全庇护

在系统卷上选择安全庇护可能会影响计算机性能。

2.5.6 将 My Documents 文件夹加密

将 My Documents 文件夹加密可以仅让活动用户在其 My Documents 文件夹（而不是别人的文件夹）中访问解密文件。

2.5.7 将多个文件从 RSD 已加密的驱动器复制到安全庇护已加密的固定驱动器上

将多个文件从 RSD 已加密的驱动器复制到安全庇护已加密的固定驱动器上需要很长时间。

2.5.8 启用安全庇护港会导致两次重引导

首次在策略中激活加密时需要两次重引导计算机，激活安全庇护或可卸储存设备加密则需要再次重引导计算机（如果不与加密同时激活的话）。例如，首次应用加密策略时需要两次重引导：一次是初始化驱动程序，另一次是将所有安全庇护进行加密。如果应用策略之后又选择了其他安全庇护，则只需要一次重引导将安全庇护加入策略。

2.6.1 使用新增目录服务向导中的“返回”按钮

现在使用新目录服务配置向导中的“返回”按钮会导致数据丢失和同步失败。如果犯了错误，则应重新开始。

2.7.1 Novell eDirectory 使用端口 389 或 636

为 eDirectory 配置目录服务时，如果使用 TLS/SSL 加密，则必须使用端口 389 或 636。

2.7.2 将 Windows 目录服务与 ZENworks Endpoint Security Management 及 eDirectory 一同使用

当前您无法将 ZENworks Endpoint Security Management 与使用了 Windows 目录服务的 eDirectory 一同使用。

2.7.3 可以使用基于用户（但不能使用基于计算机）的策略部署客户端

安装 ZENworks 安全客户端时，如果将 Novell eDirectory 用作目录服务，则使用“基于用户的策略”选项。

2.7.4 系统在客户端第一次登录时提示客户端登录到服务器

系统在客户端第一次登录时提示客户端登录到 ZENworks Endpoint Security Management 服务器。用户必须指定用户名和口令，而不是环境。

2.7.5 将 ZENworks Configuration Management 与 eDirectory 和 DLU 一同使用会导致 ZENworks Endpoint Security Management 客户端提示输入口令

如果在启用了“不稳定用户”的情况下将 ZENworks Configuration Management 与 Novell eDirectory 和 DLU 一同使用，则每次客户端登录其 Windows 设备时，系统都会提示客户端提供 ZENworks Endpoint Security Management 服务器的身份凭证。这是因为用户的唯一编号（类似 Windows 中的 SID）在每次引导时都会变动。

2.7.6 在 eDirectory 树中移动用户会引发问题

目前，如果在 eDirectory 树中移动用户，ZENworks Endpoint Security Management 服务器将无法跟踪用户。

解决办法：在 ZENworks Endpoint Security Management 中配置一个新用户。

2.8.1 Active Directory 域控制器的配置要求

Active Directory 域控制器的配置必须在安装了 SP4 的 Windows Server 2000 或 Windows Server 2003 上进行。

2.8.2 配置前确保已登录域

为 Active Directory 配置目录服务前必须登录域。

2.9.1 使用反病毒软件和间谍软件规则

对于特定版本或自定义安装版本的反病毒软件或间谍软件，可能需要修改某些 ZENworks Endpoint Security Management 预装的反病毒软件和间谍软件规则。

2.10.1 使用动态分配的端口

在大多数模式下，ZENworks 防火墙不允许到动态分配端口的入站连接。如果应用程序要求进行入站连接，相应端口必须是静态的，并且必须创建“打开”防火墙设置，以便允许入站连接。如果入站连接来自已知的远程设备，则可以使用 ACL。

2.10.2 使用 FTP 会话

默认的“全部自适应（监控状态的）”防火墙设置不允许主动 FTP 会话；您必须使用被动 FTP。Slacksite 万维网站点很好地解释了主动 FTP 和被动 FTP。

2.12.1 在 Active Directory 中使用管理控制台

如果将 Microsoft Active Directory 用作目录服务，则必须登录域才能使用管理控制台。

2.12.2 查看错误讯息

在管理控制台中单击错误讯息时，不一定会显示正确的屏幕。在包含多个选项卡的屏幕上会出现此局限性。

2.12.3 与现有集成规则建立关联时可能发生异常

如果在发布策略前不对所有触发、事件、防火墙等进行校验，则与现有集成规则建立关联时可能发生异常。策略失败并显示下列错误：

“Senforce.PolicyEditor.Bll.FatalErorException:component_value table in
unknown state” “at
Senforce.PolicyEditor.UI.Forms.PolicyForm.SavePolicy()” “at
Senforce.PolicyEditor.UI.Forms.MainForm.PublishPolicy()”

解决办法：在进入下一页之前，确保已配置所有选项并在管理控制台的每页上单击“保存策略”。

2.12.4 作为双设备安装的网络设备可能没有应用策略

作为双设备安装的网络设备（例如，调制解调器和无线网络 (802.11)）可能没有出现在 HKLM\\Software\Microsoft\Windows NT\\Network Cards 注册表项中，因而没有为它们（防火墙、适配器控件）应用策略。

2.12.5 管理控制台中没有“许可权限”选项和控件

“许可权限”选项和控件当前正常不工作，因此已被删除。对用户的管理控制台权限的删除要到该用户的管理控制台会话终止后才会生效。

解决办法：设置口令来控制许可权限，以控制用户对运行管理控制台的计算机的访问。

2.13.1 使用适配器特定的网络环境

如果适配器特定的网络环境失效，可能导致客户端不断在为环境分配的位置和“未知”位置之间切换。为了避免发生这种情况，请将网络环境的适配器类型设置为在该位置启用的适配器。

2.15.1 控制 USB 设备

并非所有 USB 磁盘驱动器都有序列号，有些磁盘驱动器序列号取决于端口和驱动器的组合，有些序列号不是唯一的。大多数 U 盘似乎都有一个唯一的序列号。

2.15.2 控制 CD/DVD 设备

如果在安装 ZENworks 安全客户端之后添加了 CD/DVD 刻录设备，并且使用的是第三方刻录软件（如 Roxio^* 或 Nero^*），则无法强制执行将该设备指定为只读的策略。

2.15.3 无法在管理控制台中通过位置选项卡保存存储设备控制设置

如果在“位置”选项卡上配置存储设备控制设置，则将无法保存设置。请与您的支持代表联系以获取补丁程序和修复此问题的说明。在“全局策略设置”选项卡上设置存储设备控制设置时，不会出现此问题。

2.16.1 在启用了安全庇护的情况下卸装 ZENworks Endpoint Security Management

在启用了安全庇护并使用策略卸装时，系统会提示您解密固定磁盘上的文件。单击“确定”后，您会收到一条“删除目录失败”讯息。此讯息不会消失。

解决办法：您必须重新引导设备并重新运行卸装程序。

2.17.1 升级前与用户支持联系

有关任何升级的帮助，请与支持代表联系。

2.17.2 对服务器升级不提供支持

由于此版本提供了修复办法和新功能，因此不支持对 ZENworks Endpoint Security 服务器进行升级。请与您的支持代表联系，获取升级系统方面的帮助。支持代表可帮助您保留旧版本的安全策略。

2.17.3 3.5 版不支持旧版 Senforce Endpoint Security Suite 策略编辑器

如果安装了 ZENworks Endpoint Security Management 3.5 服务器，则无法运行旧版 Senforce® Endpoint Security Suite 策略编辑器。

2.17.4 升级 Senforce 3.2 策略会丢失口令覆盖

将现有的 Senforce Endpoint Security Suite 3.2 策略升级为 3.5 版策略会丢失口令覆盖。如果某个 3.2 版策略包含口令覆盖，则必须先在 3.5 版策略中重新输入，然后才能发布。这是设计所致。

2.17.5 升级受管设备上的 ZENworks 安全客户端

要手动升级受管设备上的 ZENworks 安全客户端，请使用 -stupgrade 开关，如下例所示：

setup.exe /V"STUPGRADE=1"

如果使用 ZENworks Endpoint Security Management 策略升级 ZENworks 安全客户端，则不需要使用此开关。

2.17.6 不支持从 Senforce 客户端内部版本升级客户端

您无法将 Senforce Endpoint 安全客户端升级为 Novell ZENworks Endpoint 安全客户端。

2.18.1 配置 VPN 设置

在配置 VPN 设置时，ZENworks Endpoint Security Management 不支持“拆分隧道”。

2.19.1 向用户显示 Wi-Fi 传输和禁用适配器桥接自定义讯息

只有最终用户尝试绕过强制执行时，才会显示“禁用 Wi-Fi 传输”和“禁用适配器桥接”讯息。强制执行时不会显示警告讯息。

2.19.2 使用 WPA 接入点

可以标识 WPA 接入点以进行过滤（我们不区分 WPA 和 WPA2）。ZENworks Endpoint Security Management 只分发 WEP 密钥。

2.19.3 控制移动电话

您可能无法通过管理控制台中的 Wi-Fi 控制功能控制移动电话发起的无线连接。通常，操作系统将此类设备视为调制解调器，需要对策略进行相应的更改才能控制这些设备（例如，通过脚本编写在建立有线连接时禁用调制解调器）。

2.19.4 无法在管理控制台中按位置保存 Wi-Fi 设置

如果在“位置”选项卡上配置 Wi-Fi 设置，则将无法保存设置。请与您的支持代表联系以获取补丁程序和修复此问题的说明。在“全局策略设置”选项卡上设置 Wi-Fi 设置时，不会出现此问题。

2.19.5 不支持的 Wi-Fi 设备

某些过时的无线适配器在通过 ZENworks Endpoint Security Management 进行管理时，无法正常使用。这些设备包括：

2.20.1 Windows 任务栏中显示两个 ZENworks Endpoint 安全客户端图标

在引导 ZENworks Endpoint 安全客户端计算机时，您可能会在 Windows 任务栏中看到两个 ZENworks Endpoint 安全客户端图标。鼠标滑过其中一个图标时，相应图标将消失。

2.20.2 安装 ZENworks 安全客户端之后，系统提示用户登录客户端

系统可能会提示用户输入身份凭证（用户名、简短或完整的 LDAP 环境），以登录 ZENworks Endpoint Security Management 服务器。只有在安装了 ZENworks 安全客户端之后，才会发生这种情况，并且只会发生一次。此问题的原因包括：