Novell ZENworks Endpoint Security Management 3.5

2008 年 8 月 18 日

1.0 綜覽

本文件中的問題是已確認在 Novell® ZENworks® Endpoint Security Management 3.5 發現的問題。

2.0 已知問題

本節包含 ZENworks Endpoint Security Management 中可能會發生之問題的相關資訊。

2.1 安裝

本節包含安裝 ZENworks Endpoint Security Management 時,可能會發生之問題的相關資訊。

2.1.1 目前不支援 Windows Server 2008

ZENworks Endpoint Security Management 伺服器元件無法安裝在 Microsoft* Windows Server* 2008 上,因為有較新的 IIS 版本。

2.1.2 將管理主控台安裝在 Active Directory 中的裝置上

安裝管理主控台的裝置必須是您正在設定的 Active Directory* 領域之成員,或至少與該領域有信任關係。

2.1.3 目前不支援 Windows XP 64 位元作業系統

ZENworks Endpoint Security Management 無法在 Windows* XP 64 位元的作業系統上執行。我們能在 32 位元的作業系統上支援 64 位元的 CPU。目前我們不支援 Microsoft Vista*

2.1.4 搭配 ZENworks Endpoint Security Management 伺服器使用 SQL 2005 和 SQL 2008

如需關於搭配 ZENworks Endpoint Security Management 使用 SQL 2005 和 SQL 2008 的資訊,請參閱 TID 3466284

2.1.5 目前不支援 SQL Server Express 2005 和 SQL Server Express 2008

無法在 SQL Server* Express 2005 和 SQL Server Express 2008 上支援 ZENworks Endpoint Security Management 伺服器和獨立的管理主控台。

2.1.6 在 DS_STDSDB_User 帳戶的密碼中使用特殊字元

如果您在 DS_STDSDB_User 帳戶的密碼中使用特殊字元,則特殊字元會在組態檔案中有所變更。例如 @ 在組態檔案中會變成 A。伺服器與資料庫之間的通訊運作方式符合預期。但是以 OSQL 進行疑難排解時,必須使用組態檔案的密碼,而非您以特殊字元指定的密碼。

2.1.7 如果您使用 SQL Server 2005,請務必讓領域安全性規則停用會執行「密碼必須符合複雜程度要求」的密碼規則

連接到 SQL Server 2005 時,請務必讓領域安全性規則停用會執行「密碼必須符合複雜程度要求」的密碼規則。安裝後可以重新開啟此規則,因為在 ZENworks Endpoint Security Management 中建立的 SQL 帳戶沒有過期日。

因為有這項限制,所以此規則會使得在 SQL Server 2005 中建立的 SQL 帳戶失敗。除非停用此規則,否則無法安裝 ZENworks Endpoint Security Management。如果建立 DS_STDSDB_User 帳戶時沒有停用此規則,您會收到一則訊息,表示所輸入的 STDSDB 密碼錯誤。

因應措施:您可以使用組態檔案手動建立使用者帳戶。

2.2 封鎖應用程式

本節包含使用 ZENworks Endpoint Security Management 中的應用程式封鎖時,可能會發生之問題的相關資訊。

2.2.1 封鎖使用中的應用程式

封鎖應用程式的執行動作不會關閉已在端點中開啟的應用程式。

2.2.2 封鎖網路存取

若應用程式正在將網路資料串流到端點,則將網路存取封鎖並無法停止對於該應用程式的存取。

2.2.3 封鎖正在使用網路共享功能的應用程式

若應用程式正在透過網路共享取得資料,將網路存取封鎖並無法停止對於該應用程式的存取。

2.2.4 封鎖透過網路磁碟機共享啟動的應用程式

若某應用程式是從網路磁碟機共享所啟動,該共享又已經封鎖系統的讀取權限,則封鎖該應用程式後,該應用程式仍然會啟動。

2.2.5 封鎖應用程式和安全模式

若裝置是以具網路連線的安全模式開機,則網路應用程式控制將無法運作。

2.3 用戶端自我防禦

本節包含使用 ZENworks Endpoint Security Management 中的用戶端自我防禦時,可能會發生之問題的相關資訊。

2.3.1 用戶端自我防禦需要解除安裝密碼

如需啟用完整的用戶端自我防禦,您必須建置解除安裝密碼。

2.3.2 GPO 安全性規則和協力廠商軟體可能會造成 CPU 使用率暴增

GPO 安全性規則或協力廠商軟體如果控制對於登錄、檔案與資料夾、WMI 和程序或服務資訊的存取行為,則與其進行互動時可能會造成 CPU 使用率暴增。禁止 ZENworks Endpoint Security Management 用戶端讀取和重設產品所需之登錄機碼的 GPO 安全性規則可能會產生 CPU 使用率暴增。防毒軟體和間諜軟體需要允許 STEngine.exeSTUser.exe 不受限制地執行。

2.4 控制通訊硬體

本節包含使用 ZENworks Endpoint Security Management 控制通訊硬體時可能會發生之問題的相關資訊。

2.4.1 支援的裝置

支援大部分以 Widcom 為基礎的 Bluetooth* 解決方案。支援的裝置如下所示:

  • 使用 Microsoft 標準型 GUID {e0cbf06cL-cd8b-4647-bb8a263b43f0f974} 的裝置

  • 使用 Dell* USB Bluetooth 模組的裝置;Dell Type GUID {7240100F-6512-4548-8418-9EBB5C6A1A94}

  • 使用 HP*/Compaq* Bluetooth 模組的裝置;HP Type GUID {95C7A0A0L-3094-11D7-A202-00508B9D7D5A}

2.4.2 判斷裝置是否受到支援

  1. 開啟 Regedit。

  2. 瀏覽至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class

  3. 搜尋列出的 Type GUID 機碼 (列於 節 2.4.1, 支援的裝置)。Microsoft 機碼必須具有多個有效的子機碼。

2.5 資料加密和效能

本節包含使用 ZENworks Endpoint Security Management 中的資料加密時可能會發生的效能問題相關資訊。

2.5.1 在 Windows 2000 SP4 和 Windows XP SP1 上使用資料加密

由於已支援必要的 Filter Manager,因此可在 Windows XP SP2 中支援 ZENworks Endpoint Security Management。若 ZENworks Endpoint Security Management 已安裝在 Windows 2000 SP4 和 XP SP1 上,當這些作業系統收到加密規則時,系統將會忽略這些加密要求並將警告傳送給管理員。

2.5.2 使用 ZENworks 檔案解密公用程式

「ZENworks 檔案解密公用程式」可用於從加密的抽取式儲存裝置上之共享檔案資料夾,將受保護的資料解壓縮。使用者可將這項簡單工具 (雖然無法放置於抽取式儲存裝置上) 傳送給協力廠商,如此他們即可存取共享檔案資料夾中的檔案。

您可以在產品 DVD 或 Novell ZENworks Endpoint Security Management 網站上找到該公用程式。

如需詳細資訊,請參閱《ZENworks Endpoint Security Managment 管理指南》中的使用 ZENworks 檔案解密公用程式

2.5.3 把資料夾複製到已開啟加密功能的抽取式儲存裝置

把包含多個檔案與資料夾的資料夾複製到已開啟加密功能的抽取式儲存裝置,複製時間會比較久。例如以我們的測試結果,複製 38 MB 的資料夾需時五至六分鐘。

2.5.4 對加密的 RSD 執行直接儲存動作的應用程式導致效能問題

應用程式對加密的 RSD 執行直接儲存動作時,可能對機器的效能產生影響 (視應用程式使用的檔案寫入大小而定)。

2.5.5 在系統卷冊上選取安全庇護

如果在系統卷冊上選取安全庇護,可能對機器的效能產生影響。

2.5.6 對「我的文件」資料夾加密

「我的文件」資料夾加密後,只有現用使用者才能存取自己的「我的文件」資料夾中的解密檔案 (而非其他人的資料夾)。

2.5.7 從 RSD 加密磁碟機複製多個檔案到安全庇護加密固定磁碟機

從 RSD 加密磁碟機複製多個檔案到安全庇護加密固定磁碟機時,可能需要很長的時間。

2.5.8 開啟安全庇護功能導致重新開機兩次

第一次於規則中啟動加密時需要重新開機兩次,啟動安全庇護或抽取式儲存加密時必須再次重新開機 (如果不是和加密同時啟動)。例如第一次套用加密規則時需要重新開機兩次:第一次負責啟始化驅動程式,第二次則對安全庇護進行加密。如果在套用規則後選取其他的安全庇護,則只要重新開機一次就能讓安全庇護套用規則。

2.6 使用新增目錄服務精靈

本節包含使用「新增目錄服務精靈」設定目錄服務的一般性資訊。

如需為 Novell eDirectory™ 或 Microsoft Active Directory* 設定 ZENworks Endpoint Security Management 的資訊,請參閱節 2.7, 為 Novell eDirectory 設定目錄服務節 2.8, 為 Microsoft Active Directory 設定目錄服務

2.6.1 使用新增目錄服務精靈的「上一步」按鈕

目前使用「新增目錄服務組態精靈」的「上一步」按鈕時會讓您失去資料,並且導致同步失敗。如果您犯了錯,則必須重新來過。

2.7 為 Novell eDirectory 設定目錄服務

本節包含使用「新增目錄服務精靈」為 Novell eDirectory 設定目錄服務的相關資訊。如需詳細資訊,請參閱《ZENworks Endpoint Security Managment 管理指南》中的為 Novell eDirectory 設定目錄服務

2.7.1 搭配 Novell eDirectory 使用連接埠 389 或 636

針對 eDirectory 進行目錄服務組態時,如果您要使用 TLS/SSL 加密,則必須使用連接埠 389 或 636。

2.7.2 搭配 ZENworks Endpoint Security Management 和 eDirectory 使用 Directory Services for Windows

您目前無法以 Directory Services for Windows 搭配 eDirectory 使用 ZENworks Endpoint Security Management。

2.7.3 使用者規則可以部署用戶端,但電腦規則不行

在安裝 ZENworks Security Client 期間,如果您以 Novell eDirectory 充當目錄服務,請採取使用者規則選項。

2.7.4 系統在用戶端第一次登入時,提示用戶端登入伺服器

系統在用戶端第一次登入時,提示用戶端登入 ZENworks Endpoint Security Management 伺服器。使用者必須指定使用者名稱和密碼,但非網路位置。

2.7.5 搭配 eDirectory 和 DLU 使用 ZENworks 組態管理時,導致 ZENworks Endpoint Security Management 用戶端提示輸入密碼

若您搭配 Novell eDirectory 和 DLU 使用 ZENworks 組態管理並開啟短暫使用者功能,用戶端每次登入 Windows 裝置時,系統就會提示用戶端輸入來自 ZENworks Endpoint Security Management 伺服器的身分證明。這是因為每次開機時,使用者的唯一編號 (就像 Windows 中的 SID) 都會變更。

2.7.6 在 eDirectory 網路樹中移動使用者時導致問題

如果使用者在 eDirectory 網路樹中移動,目前的 ZENworks Endpoint Security Management 伺服器並無法追蹤。

因應措施:在 ZENworks Endpoint Security Management 中設定新的使用者。

2.8 為 Microsoft Active Directory 設定目錄服務

本節包含使用「新增目錄服務精靈」為 Microsoft Active Directory 設定目錄服務的相關資訊。如需詳細資訊,請參閱為 Microsoft Active Directory 設定目錄服務

2.8.1 Active Directory 的領域控制器組態要求

進行 Active Directory 的領域控制器組態時,必須執行已安裝 SP4 的 Windows Server 2000 或執行 Windows Server 2003。

2.8.2 進行組態前請務必登入領域

設定 Active Directory 的目錄服務以前必須登入領域。

2.9 確保端點安全性

本節包含使用 ZENworks Endpoint Security Management 中的防毒軟體和間諜軟體規則時,可能會發生之問題的相關資訊。

2.9.1 使用防毒軟體和間諜軟體規則

ZENworks Endpoint Security Management 中某些預先安裝的防毒軟體和間諜軟體規則,可能需要針對特定或自定安裝版本的防毒軟體或間諜軟體進行修改。

2.10 防火牆

本節包含使用防火牆和 ZENworks Endpoint Security Management 時,可能會發生之問題的相關資訊。

2.10.1 使用動態指定的連接埠

在大部分的模式中,ZENworks 防火牆並不允許動態指定的連接埠接受連入的連線。如果應用程式需要連入的連線,該連接埠必須為靜態,且必須建立「開啟」的防火牆設定以允許連入的連線。如果連入的連線是來自已知的遠端裝置,則可以使用 ACL。

2.10.2 使用 FTP 會期

預設的「全部可調整 (可設定狀態的)」防火牆設定並不允許主動的 FTP 會期,您必須使用被動的 FTP 來代替。Slacksite 網站上有非常好的主動 FTP 與被動 FTP 參考資料。

2.11 當地化

本節包含 ZENworks Endpoint Security Management 中當地化問題的相關資訊。

  • Endpoint Auditing Reporting 中有尚未翻譯的項目和說明。

  • Endpoint Auditing Reporting 的「報告」對話方塊中有尚未翻譯的字串。

  • 「報告」索引標籤下的網路樹檢視中有尚未翻譯的文字。

  • 在 Management Service 安裝程式中選取安裝類型時,選項圓鈕遭到截短。

  • 管理主控台中的報告遭到截短。

  • 「規則流通服務」預設安裝路徑包含中文字元。

  • 取消安裝 ZENworks Security Client 時出現尚未翻譯的索引標籤。

  • 繁體中文版和簡體中文版的 STEngine 中,應用程式事件記錄的說明為空。

  • 解除安裝密碼提示為英文。

2.12 管理主控台

本節包含使用 ZENworks Endpoint Security Management 中的管理主控台時,可能會發生之問題的相關資訊。

2.12.1 在 Active Directory 中使用管理主控台

如果您以 Microsoft Active Directory 充當目錄服務,則必須登入領域才能使用管理主控台。

2.12.2 檢視錯誤訊息

按一下管理主控台中的錯誤訊息,並不一定會顯示正確的畫面。此一限制會在具有多個索引標籤的畫面中出現。

2.12.3 與現有完整性規則建立關聯時可能發生例外

如果在發佈規則前不驗證所有的觸發、事件、防火牆等等,則與現有完整性規則建立關聯時可能發生例外。規則失敗,並顯示下列錯誤:

“Senforce.PolicyEditor.Bll.FatalErorException:component_value table in
unknown state” “at
Senforce.PolicyEditor.UI.Forms.PolicyForm.SavePolicy()” “at
Senforce.PolicyEditor.UI.Forms.MainForm.PublishPolicy()”

因應措施:在進入下一頁之前,請確定管理主控台中每一頁的所有選項都已經設定完畢,然後按一下「儲存規則」。

2.12.4 安裝為雙重裝置的網路裝置可能尚未套用規則

安裝為雙重裝置的網路裝置 (例如數據機和無線網路 (802.11)) 可能不會出現在 HKLM\\Software\Microsoft\Windows NT\\Network Cards 登錄項目中,因此尚未套用規則 (防火牆或介面卡控制)。

2.12.5 管理主控台內沒有許可選項和控制項

「許可」選項和控制項目前無法正常運作,因此已經移除了「許可」選項和控制項。移除使用者的管理主控台許可之後,在該使用者的管理主控台會期終止之前,該許可均有效。

因應措施:設定密碼以控制使用者能否存取執行管理主控台的電腦,即可控制許可權。

2.13 網路環境

本節包含使用 ZENworks Endpoint Security Management 管理網路時,可能會發生之問題的相關資訊。

2.13.1 使用特定介面卡的網路環境

當特定介面卡的網路環境變成無效時,可能會導致用戶端持續在已指定環境和未知的位置之間切換。若要避免發生上述情況,請將網路環境的介面卡類型設定為已在位置上啟用的介面卡。

2.14 報告

本節包含在 ZENworks Endpoint Security Management 中使用報告的相關資訊。

  • 順應性報告的資料錯誤或遺失。

  • 規則報告遺失資料。

2.15 儲存裝置

本節包含使用 ZENworks Endpoint Security Management 管理儲存裝置時,可能會發生之問題的相關資訊。

2.15.1 控制 USB 裝置

並不是所有的 USB 磁碟機都有序號,某些磁碟機序號會依連接埠與磁碟機的組合而定,某些則不是唯一的序號。大部分的隨身碟似乎都具備唯一的序號。

2.15.2 控制 CD/DVD 裝置

如果您在安裝 ZENworks Security Client 之後新增 CD/DVD 燒錄裝置,當您使用協力廠商燒錄軟體時 (例如 Roxio* 或 Nero*),系統將無法強制執行將該裝置指定為唯讀的規則。

2.15.3 無法透過管理主控台中的「位置」索引標籤儲存「儲存裝置控制」設定

如果您在「位置」索引標籤上設定「儲存裝置控制」設定,則無法儲存設定。請聯絡您的技術支援代表,以取得修補程式和修復此問題的說明。在「全域規則設定」索引標籤上設定「儲存裝置控制」設定時,就不會有這個問題。

2.16 解除安裝

本節包含解除安裝 ZENworks Endpoint Security Management 時,可能會發生之問題的相關資訊。

2.16.1 解除安裝已開啟安全庇護功能的 ZENworks Endpoint Security Management

如果已經開啟安全庇護功能又要用規則進行解除安裝,系統會在解除安裝時提示您將檔案解密到固定磁碟上。按一下「確定」後可能出現「Remove Directory Failed」(移除目錄失敗) 的訊息。此訊息並不會消失。

因應措施:您必須將裝置重新開機,並重新執行解除安裝程式。

2.17 升級

本節包含從舊版軟體升級 ZENworks Endpoint Security Management 時,可能會發生之問題的相關資訊。

2.17.1 升級前請聯絡客戶支援部門

請聯絡您的技術支援代表以取得與任何升級有關的協助。

2.17.2 目前不支援伺服器升級

由於此版本有修復和新功能,因此目前不支援升級 ZENworks Endpoint Security 伺服器。請聯絡您的技術支援代表,以協助進行系統升級。技術支援代表可協助您保留舊版的安全性規則。

2.17.3 3.5 版並不支援舊版 Senforce Endpoint Security Suite 的「規則編輯器」。

如果已經安裝 ZENworks Endpoint Security Management 3.5 版,則無法執行舊版 Senforce® Endpoint Security Suite 的「規則編輯器」。

2.17.4 升級 Senforce 3.2 版的規則會遺失密碼置換

將現有的 Senforce Endpoint Security Suite 3.2 版規則升級至 3.5 版規則時,將會遺失密碼置換。如果 3.2 版的規則具有密碼置換,必須在發佈之前將置換重新輸入至 3.5 版的規則中。這是依照設計而定。

2.17.5 在受管理裝置上升級 ZENworks Security Client

若要在受管理裝置上手動升級 ZENworks Security Client,請使用 -stupgrade 切換,如以下範例所示:

setup.exe /V"STUPGRADE=1"

如果您使用 ZENworks Endpoint Security Management 規則來升級 ZENworks Security Client,則不需要此切換。

2.17.6 目前不支援從 Senforce 用戶端版次升級用戶端

您無法將 Senforce Endpoint Security 用戶端升級為 Novell ZENworks Endpoint Security 用戶端。

2.18 VPN 連接

本節包含使用 ZENworks Endpoint Security Management 管理 VPN 連接時,可能會發生之問題的相關資訊。

2.18.1 進行 VPN 設定

ZENworks Endpoint Security Management 在進行 VPN 設定時並不支援「分離通道」。

2.19 Wi-Fi 連接性

本節包含使用 ZENworks Endpoint Security Management 管理 Wi-Fi 連接時,可能會發生之問題的相關資訊。

2.19.1 向使用者顯示 Wi-Fi 傳輸和停用介面卡橋接自定訊息

只有在一般使用者嘗試略過強制執行時才會顯示「停用 Wi-Fi 傳輸」和「停用介面卡橋接」等訊息。在進行強制執行時並不會顯示警告訊息。

2.19.2 使用 WPA 存取點

可識別 WPA 存取點來進行篩選 (我們並不區分 WPA 和 WPA2)。ZENworks Endpoint Security Management 僅分配 WEP 金鑰。

2.19.3 控制行動電話

使用管理主控台中的 Wi-Fi 控制功能時,可能無法控制透過行動電話建立的無線連接。作業系統通常會將這些裝置視為數據機,因此需要變更對應的規則來控制這些裝置 (例如,在透過指令碼連線時停用數據機)。

2.19.4 無法透過管理主控台中的「位置」索引標籤儲存 Wi-Fi 設定

如果您在「位置」索引標籤上設定 Wi-Fi 設定,則無法儲存設定。請聯絡您的技術支援代表,以取得修補程式和修復此問題的說明。在「全域規則設定」索引標籤上設定 Wi-Fi 設定時,就不會有這個問題。

2.19.5 不支援的 Wi-Fi 裝置

某些舊型的無線介面卡在透過 ZENworks Endpoint Security Management 進行管理時可能無法正確運作。包括以下列出的裝置:

  • Orinoco* 8470-WD Gold

  • 3Com* 3CRWE62092B

  • Dell True Mobile 1180

  • Proxim* Orinoco 802.11bg combo card

2.20 ZENworks Endpoint Security Client

本節包含在受管理裝置上使用 ZENworks Endpoint Security Client 時,可能會發生之問題的相關資訊。

2.20.1 Windows 工作列中會顯示兩種 ZENworks Endpoint Security Client 圖示

當您啟動 ZENworks Endpoint Security 用戶端機器時,您可能會在 Windows 工作列中看見兩個 ZENworks Endpoint Security Client 圖示。當您將滑鼠移至其中一個圖示上時,該圖示會消失。

2.20.2 在安裝 ZENworks Security Client 之後,系統會提示使用者登入用戶端

系統可能會提示使用者輸入身分證明 (使用者名稱或簡略/完整的 LDAP 網路位置),以登入 ZENworks Endpoint Security Management 伺服器。這只會在安裝 ZENworks Security Client 後發生一次。發生該問題的原因如下:

  • 後端伺服器位於 Novell eDirectory。

  • 使用者在本地登入電腦,而不是經由領域登入。

  • 使用者需透過 NetWare® 登入,而非 Microsoft Windows。

  • 管理員在基礎結構的驗證目錄設定中設定的搜尋網路位置並不正確,因此未包含使用者或電腦所在的容器。

  • 電腦或使用者的 SID 無效,需要建立新的 SID。

  • 您使用的是 Directory Services for Windows,而非直接與 eDirectory 或 Active Directory 通訊。

  • 若 ZENworks Configuration Management Client 使用 Dynamic Local User (DLU) 功能且開啟「短暫使用者」功能。

    附註:若多位 eDirectory 使用者以相同的本地管理員使用者帳戶登入機器,則所有使用者都會得到相同的規則。每位 eDirectory 使用者都必須有自己的本地使用者帳戶。

3.0 文件慣例

在 Novell 文件中,大於符號 (>) 是用以分隔步驟中的各個動作,以及對照路徑中的數個項目。

商標符號 (®、™ 等)代表 Novell 的商標;星號 (*) 代表協力廠商的商標。