【IT168 专稿】IBM TEM终端管理解决方案是业界领先的企业级系统安全配置管理软件——可以为不同规模的企业提供可升级的,灵活的,强大的安全平台和分布式处理模型,实现统一的企业级系统管理、配置管理和安全管理,从根本上改变企业计算机网络的管理模式,降低IT管理成本。TEM定位于:
为企业计算机类资产提供全面实时的可视化安全和配置管理。
通过提高基础平台的可靠性、可视性和可控性,在降低运行费用的同时提供更稳定的服务。
满足补丁管理和安全配置的服务等级要求。
无论计算机系统何时何地,以何种方式接入网络,都可以通过IBM TEM 终端管理方案实现全面、快速、高效、安全,可控的管理,全面提升企业IT治理水平。下面我们将介绍IBM TEM终端管理解决方案的安装步骤和操作过程。
安装过程
安装IBM TEM终端管理解决方案包括服务器安装、控制台安装和客户端安装。
运行TEM中文版安装文件,解压缩后可在对应目录下生成服务器、控制台和客户端的安装程序包。可将这些安装文件包分别拷贝到需要安装的计算机上,然后运行安装程序,完成服务器、控制台和客户端的安装。
TEMServer的安装
运行IBM TEM终端管理解决方案安装程序。对于测试使用,可选择评估版(可管理30各客户端,30天有效期)进行安装:
选择要安装的站点
选择服务器IP地址和端口号
创建管理员帐号
选择证书文件的存放位置
设置完成后,开始安装TEM组件
选择安装TEMServer开始安装
如果SQLServer数据库安装在本机上,选择本地数据库。初始化数据库需要验证管理员密码,选择前面添加的管理员证书和秘密:根据提示进行操作,安装完成后,继续完成Console和Client的安装。
对于TEM运行网络和Internet隔离的情况,需要使用IBM提供的工具MakeMirrorArchive.exe来完成所有订阅的Fixlet的内容。先在内网的服务器上安装好TEM服务器后,把C:\Program Files\BigFix Enterprise\TEM Server\TEMAdmin\Default Mastheads下的.efxm文件拷贝到能和Internet通信的一台PC上,在该PC上用命令行执行:MakeMirrorArchive.exe sitemasthead.efxm,将运行命令后生成的所有“archive_”文件拷贝到内网的TEM服务器的C:\Program Files\BigFix Enterprise\TEM Server\Mirror Server\Inbox目录下。
这样当TEM服务器运行时可以从该目录中获取Fixlet内容到C:\Program Files\BigFix Enterprise\TEM Server\wwwrootTEM\bfsites目录下。这样内网的TEM服务器中就有所有订阅的Fixlet消息了。
在TEM运行网络和Internet隔离的情况下,某些Fixlet消息需要从Internet上下载补丁文件,这就需要先统一在能和Internet通讯的PC上下载所有Fixlet相关的文件,再通过存储媒介把这些文件导入内网的TEM服务器上。这样当执行Fixlet消息动作需要下载文件时,服务器就不需要再访问Internet了。下载Fixlet相关文件的工具是TEM_Download_Cacher_4_7.exe。在命令行模式运行:TEM_Download_Cacher_4_7.exe -m
为了防止这些在缓存中的文件被清空,最好扩大TEM服务器的Cache值,使用命令:TEM_Download_Cacher_4_7.exe -c
添加管理员
打开TEM Administration Tool程序,提示选择证书,注意要选择系统管理员的证书才能添加其他管理员。
必须选择license.pvk文件。
选择add user,然后按提示操作即可,最后输入系统管理员密码即可。
登录Console
将在TEM Administration Tool中创建帐号时生成的管理员证书文件拷贝到安装Console的计算机上。在指定的计算机上安装完成Console后,可运行该控制台程序,首先要求输入帐号/密码,可输入前述在TEM Administration Tool中创建的帐号。
首次登录Console要求指定证书文件,选择拷贝过来的证书文件。同时,管理员可以在这里修改自己的密码。
登录进去后,可以进行各种桌面管理的操作了。
执行一个Fixlet
TEM系统的功能是通过Fixlet消息的方式来封装的。通过在Console上查看和运行具体的Fixlet消息就能执行一定的功能。
举例:如一个网络共享监测的Fixlet的执行过程如下。
在Security Policy Manager站点中找到该Fixlet。点击“动作”中的选项,如“ Click here to warn users about open network shares ”,如果需要管理员设定参数,则会有对话框弹出。在对话框中管理员可以定义需要设置的参数或描述等信息。
在“执行动作”对话框中管理员可以选择需要应用该Fixlet消息动作的关联计算机,同时,还可以设置执行动作前给用户一个提示消息,这样可以明确的告知对用户其PC正在接受管理服务。设置完成后点“确定”执行动作,系统会要求输入管理员密码,该密码和在TEM Administration Tool中创建管理员帐号时设置的密码相同。
执行动作后,用户端电脑屏幕上会显示告知消息,用户可点击“立即执行”,也可选择不接受该管理指令。当然,也可设置为强制用户执行。该Fixlet消息动作在客户端执行后,会通知用户存在的漏洞。
动作执行完成后,查看Console上的动作执行情况,能看到该Fixlet消息动作的执行状态是Fixed,表示执行完毕。通常一个Fixlet消息动作的状态会经历:no report, pending, running, fixed等。如图:
查看报表
作为一个统一的桌面管理系统,提供各种统计报表是非常重要的功能,可以在Console中使用查看WEB报表工具。启动WEB查看报表后,需要输入密码,可输安装TEM时创建的查看WEB报表的管理员帐号和密码。
可查看各种报表信息,也可在“用户”选项卡中创建新的WEB报表管理员。这样可实现多管理员管理报表。
发送报表到ITIL管理平台
为了实现TEM系统和ITIL管理平台(如Footprints)的流程整合,可以设置TEM通过Email发送相关报表到指定的邮件服务器,然后设置ITIL管理平台到该指定的邮件服务器中收取邮件,把该邮件转化成相应的工单并纳入流程化的管理。
在TEM中的设置均在WEB报表中完成:
首先在“Email”菜单中编译SMTP服务器。然后添加TEM系统发送邮件时使用的Email地址。然后在“计划任务”中创建一个计划任务,先选择每天发送一个操作员报告的已存报表。然后设定接受该邮件的Email地址和邮件内容。
这样TEM系统每天会自动发送操作员工作情况统计报表到指定的邮箱,如tem@system.mail。
在ITIL管理平台(Footprints)上设置从tem@system.mail邮箱中获取邮件并转化为工单。首先要在Footprints中系统管理|电子邮件|接收电子邮件|配置接收电子邮件中进行接收邮件设置。然后在项目管理|邮件参数|接收电子邮件中配置。
当TEM中有计划任务报表生成时,ITIL管理平台上能自动生成相应工单:
卸载Bigfix:
下载相应版本的卸载工具进行卸载,保证完全卸载。
