VRVedp北信源内网标准管理系统用户使用基础手册.doc

《VRVedp北信源内网标准管理系统用户使用基础手册.doc》由会员分享，可在线阅读，更多相关《VRVedp北信源内网标准管理系统用户使用基础手册.doc（170页珍藏版）》请在咨信网上搜索。

北信源内网安全管理系统 用户使用手册 北京北信源软件股份 二〇一十二个月 支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问全部能够经过访问我企业网站或致电本企业客服中心取得帮助和支持！ 热线支持：400-8188-110 用户服务电话：/86/87 在您使用该产品过程中，假如有好意见或提议话也请联络我们客服中心，感谢您对我企业产品信任和支持！ 正文目录 第一章 概述 1 尤其说明 1 产品构架 1 应用构架 3 第二章 北信源内网安全管理系统 5 策略中心 5 策略管理中心 5 网关接入认证配置 26 阻断违规接入管理 26 补丁分发 26 数据查询 26 当地注册情况统计 26 当地设备资源统计 27 当地设备类型统计 27 USB标签信息查询 27 设备信息查询 27 审计数据查询 29 分发数据查询 29 非Windows操作系统设备 29 终端管理 30 终端管理 30 行为控制 30 远程帮助 31 运维监控 31 报表管理 32 报警管理 32 报警数据查询 33 当地域域报警数据统计 33 当地报警数据汇总 33 级联总控 33 级联注册情况统计 33 级联设备资源统计 33 级联设备类型统计 34 级联管理控制 34 区域管理器状态查询 35 区域扫描器状态查询 35 级联上报数据 36 级联报警数据 36 系统维护 36 系统用户分配和管理 36 用户设置 39 数据重整 39 审计用户 40 第三章 北信源补丁及文件分发管理系统 42 区域管理器补丁管理设置 42 补丁下载配置 42 文件分发策略配置 43 策略中心 43 补丁分发策略 43 软件分发策略 46 其它策略 47 补丁分发 47 补丁自动下载分发 48 补丁下载服务器 48 补丁库分类 49 补丁下载转发代理 49 用户端补丁检测（一） 50 用户端补丁检测（二） 52 第四章 北信源主机监控审计系统 53 策略中心 53 行为管理及审计 53 涉密检验策略 55 其它策略 55 数据查询 55 第五章 北信源移动存放介质使用管理系统 57 策略中心 57 可移动存放管理 57 其它策略 57 数据查询 57 第六章 北信源网络接入控制管理系统 59 网关接入配置认证 59 策略中心 60 接入认证策略 60 其它策略 64 环境准备方法 64 安装RADIUS (windows IAS) 64 各厂商交换机配置 83 Cisco2950配置方法 83 华为3COM 3628配置 84 锐捷RGS21配置 87 第七章 北信源接入认证网关 89 网关接入配置认证 89 策略中心 90 第八章 系统备份及系统升级 92 系统数据库数据备份及还原 92 系统组件升级 92 区域管理器、扫描器模块升级 92 升级网页管理平台 93 用户端注册程序升级 93 检验系统是否升级成功 93 级联管理模式升级及配置 93 附录 95 附录（一）北信源内网安全管理系统名词注释 95 附录（二）移动存放设备认证工具操作说明 95 USB标签制作 95 USB标签制作工具 97 USB标签制作历史查询 108 移动存放审计策略 109 移动存放审计数据 110 附录（三）主机保护工具操作说明 110 附录（四）组态报表管理系统操作说明 111 模版制订 111 报表输出 117 附录（五）报警平台操作说明 120 设置 120 日志查询 123 窗口 123 更换界面 124 帮助 124 附录（六）漫游功效说明 124 漫游功效介绍 124 漫游功效配置 126 附录（七）IIS服务器配置说明 130 WIN-32位IIS配置说明 130 WIN-64位IIS配置说明 132 WIN-64位IIS配置说明 134 图目录 图1- 1北信源终端安全管理应用拓扑 4 图2- 1创建新策略 5 图2- 2下发策略 6 图2- 3策略控制 6 图2- 4硬件设备控制 8 图2- 5软件安装监控策略 10 图2- 6进程实施监控策略 11 图2- 7进程保护策略 12 图2- 8协议防火墙策略 15 图2- 9注册表 16 图2- 10IP和MAC绑定策略 17 图2- 11防违规外联策略 19 图2- 12违规提醒 19 图2- 13文件备份路径设置 23 图2- 14注册码配置 25 图2- 15阻断违规接入控制设置 26 图2- 16当地注册情况信息 26 图2- 17当地设备资源信息 27 图2- 18当地设备类型统计 27 图2- 19软件改变信息 28 图2- 20注册日志信息 29 图2- 21交换机扫描管理配置 32 图2- 22设备信息统计图表 33 图2- 23级联设备信息 34 图2- 24级联设备系统类型统计 34 图2- 25级联管理控制 35 图2- 26下级级联区域管理器信息 35 图2- 27区域管理器状态信息 35 图2- 28区域扫描器状态信息 35 图2- 29级联上报数据 36 图2- 30系统用户列表 36 图2- 31添加系统用户界面 37 图2- 32用户管理列表 37 图2- 33终端控制权限 38 图2- 34屏幕监控权限 38 图2- 35密码初始化提醒框 39 图2- 36密码初始化完成提醒框 39 图2- 37修改admin用户密码 39 图2- 38数据重整信息表 40 图2- 39审计用户登录 40 图3- 1区域管理器补丁管理设置 42 图3- 2分发参数设置 43 图3- 3补丁自动分发 45 图3- 4补丁下载服务器界面 48 图3- 5补丁下载服务器设置 49 图3- 6补丁代理传发支持 50 图3- 7补丁下载设置 50 图3- 8登录页面 51 图3- 9工具下载页面 51 图3- 10补丁检测中心 52 图3- 11用户端补丁漏打检测 52 图6- 1网关接入认证 59 图6- 2重定向配置 60 图6- 3用户添加 60 图6- 4补丁和杀毒软件认证策略 61 图6- 5接入认证策略 62 图6- 6 802．1x认证界面 63 图6- 7 802．1x认证界面 63 图6- 8安全检验没有经过，802.1x不开启认证 63 图6- 9认证失败 63 图6- 10添加Internet验证服务组件 65 图6- 11 IAS配置界面 65 图6- 12新建RADIUS用户端 66 图6- 13新建RADIUS用户端 66 图6- 14新建远程访问策略 67 图6- 15设置远程访问策略 67 图6- 16设置远程访问策略 68 图6- 17设置远程访问策略选择用户 68 图6- 18设置远程访问策略使用MD5质询 69 图6- 19设置远程访问策略新建策略 69 图6- 20选择Day-And-Time-Restrictions 70 图6- 21选择许可 70 图6- 22设置属性 71 图6- 23添加属性值vlan 71 图6- 24添加属性值802 72 图6- 25添加属性值600 72 图6- 26添加属性值600 73 图6- 27编辑拨入配置文件 73 图6- 28新建连接请求策略 74 图6- 29为策略取名字 74 图6- 30策略配置 75 图6- 31添加远程登录用户 75 图6- 32设置用户属性 76 图6- 33设置test用户 76 图6- 34设置启用 77 图6- 35 VRV EDP Agent认证成功 77 图6- 36创建用户界面 78 图6- 37用户添加 78 图6- 38设置用户密码 79 图6- 39进入Network Configuration 79 图6- 40 AAA Client 配置 80 图6- 41 AAA Server 配置 80 图6- 42进入Interface Configuration 81 图6- 43进入RADIUS(IETF) 81 图6- 44进入Group Setup 82 图6- 45进入Edit Settingsp 82 图7- 1网关接入认证 89 图7- 2重定向配置 90 图7- 3用户添加 90 图7- 4网关接入认证策略 90 图8- 1级联管理配置 94 附图- 1修改用户 admin USB标签 96 附图- 2下载DeviceNumber.exe 96 附图- 3全局参数 97 附图- 4 UsbTool登录 99 附图- 5 UsbTool界面 99 附图- 6分区格式化 100 附图- 7制作移动硬盘标签1 100 附图- 8制作移动硬盘标签2 101 附图- 9制作移动硬盘标签3 101 附图- 10制作移动硬盘标签4 101 附图- 11制作移动硬盘标签5 102 附图- 12制作移动硬盘标签6 102 附图- 13制作移动硬盘标签7 103 附图- 14制作移动硬盘标签8 103 附图- 15制作移动硬盘标签9 103 附图- 16制作移动硬盘标签10 104 附图- 17制作移动硬盘标签11 104 附图- 18 3个分区优盘和移动硬盘内网登录界面 105 附图- 19整盘加密优盘和移动硬盘内网登录界面 105 附图- 20外网插入3个分区优盘或移动硬盘盘符 105 附图- 21交换区登录界面 106 附图- 22外网插入整盘加密优盘或移动盘符 106 附图- 23信息提醒 106 附图- 24 UsbTool登录 107 附图- 25 UsbTool界面 107 附图- 26初始化密码 108 附图- 27标签历史查询 108 附图- 28访问控制配置说明 110 附图- 29 DOS/DDOS配置说明 111 附图- 30创建模板 112 附图- 31确定报表标题及报表尾 112 附图- 32定义报表输入项 113 附图- 33确定输出条件 113 附图- 34确定关联 114 附图- 35保留模板 115 附图- 36修改模板名称 115 附图- 37修改模版输出标题和表尾 116 附图- 38修改输出列选项 116 附图- 39修改关联选项 117 附图- 40修改时间范围统计 117 附图- 41模板预览 118 附图- 42输出excel报表模板信息 118 附图- 43时间定义 119 附图- 44模板导入 119 附图- 45模板导出 120 附图- 46报警平台设置 120 附图- 47高级设置 121 附图- 48报警设置上 122 附图- 49报警设置下 122 附图- 50日志查询 123 附图- 51报警中心界面 123 附图- 52漫游示意 125 附图- 53结合接入认证漫游示意图 125 附图- 54 CA服务器界面 126 附图- 55区域管理器配置界面 126 附图- 56用户端迁移策略配置界面 127 附图- 57重原管理区漫游出去用户端 127 附图- 58漫游到新管理器用户端 128 附图- 59进去漫游组中漫游用户端 128 附图- 60漫游回原管理器用户端 129 附图- 61漫游查询状态选项 129 附图- 62 IIS服务管理器 130 附图- 63虚拟目录属性 131 附图- 64选择用户域组 131 附图- 65用户域组高级选项 132 附图- 66 用户属性变更 132 附图- 67命令实施结果 133 附图- 68输出结果 133 附图- 70添加角色向导 134 表目录 表2- 1策略高级设置参数说明 7 表2- 2硬件设备控制参数说明 8 表2- 3软件安装监控策略参数说明 9 表2- 4进程实施监控策略参数说明 11 表2- 5用户密码策略参数说明 13 表2- 6协议防火墙策略参数说明 15 表2- 7注册表检验策略参数说明 15 表2- 8IP和MAC绑定策略参数说明 16 表2- 9杀毒软件运行监控 17 表2- 10防违规外联策略参数说明 19 表2- 11运行资源监控策略参数说明 20 表2- 12进程异常监控策略参数说明 21 表2- 13流量采样策略参数说明 21 表2- 14流量控制策略参数说明 22 表2- 15消息推送策略参数说明 23 表2- 16用户端文件备份策略参数说明 23 表2- 17终端配置策略参数说明 24 表3- 1区域管理器补丁管理参数说明 42 表3- 2补丁自动分发策略参数说明 44 表3- 3人工选择补丁分发策略参数说明 46 表3- 4一般文件分发策略参数说明 46 表3- 5补丁下载设置参数说明 51 表4- 1文件输出审计策略参数说明 53 表4- 2上网访问审计策略参数说明 54 表4- 3文件内容检验策略参数说明 55 表6- 1补丁和杀毒软件认证策略参数说明 61 表6- 2 VIFR接入认证策略参数说明 64 附表- 1移动存放审计策略参数说明 110 第一章 概述 尤其说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存放介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件组成。 本手册内容将伴随北信源软件不停升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源企业网站下载本手册最新电子版或直接联络北信源企业索取。 本手册和本系统安装配置手册中全部图片均为示意图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购置《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书其它功效将不含有。 感谢您购置北京北信源软件股份研制开发北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源企业认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、用户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品初始化数据库。初始化信息包含：网络用户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性改变信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，依据规则要求在管理平台上报警。 网页管理平台（web管理平台） Web中央管理配置平台，本系统管理配置中心。包含区域管理器、扫描器、注册用户端功效参数设定，网络设备信息发觉、系统应用策略制订、报警信息显示、定义任务功效制订、系统用户维护等配置操作。 Region Manage 区域管理器，系统数据处理中心，负责和管理信息数据库通讯扫描终端设备、控制服务器、用户端之间信息、指令下达、接收。比如：接收注册程序提供用户信息，将用户信息（用户填写物理信息和系统自动采集硬件信息）并行存入数据库；接收来自控制台命令操作，发送到用户端、扫描器实施。 对于存在多级管理要求广域网，网络中能够存在多个区域管理器，实现系统数据逐层上报（转发），对网络终端多级管理。 区域管理器内置网络扫描器，扫描器用来发觉网络终端设备。将发觉设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，依据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，能够在分级模式下使用。扫描器只依据Web管理平台中配置工作范围进行扫描，假如终端IP超越其范围，将不负责实施操作。 Winpcap程序 嗅探驱动软件，监听共享网络上传送数据。 用户端注册程序 将接收并实施服务器下发指令。该程序能够在“工具下载->用户注册器下载”处下载。访问指定网站自动取得，用户填写必需信息后，运行该程序，区域管理器将收到注册终端相关信息，同时终端能够接收、实施多种下发指令。注册程序自动探测系统硬件信息，连同用户填写信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将用户端驻留程序应用策略发送给用户，并自动更新。 用户端驻留程序功效： 进行本机硬件属性信息改变监视； 进行本机IP、MAC地址改变审计； 本机系统补丁、软件安装、运行进程情况监测； 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 接收Web管理平台管理命令； 阻断本机非法外联行为； 实施Web管理平台下发多种策略操作。 补丁下载服务器 安装在和Internet网络连接机器上，用于实时下载补丁厂商公布补丁。 管理器主机保护模块 管理器主机保护模块可依据管理器或其它服务器具体使用端口、网络协议、通信IP范围和具体其它网络应用来定义该计算机使用安全级较高网络配置，从而预防该计算机受到恶意IP冲突和多种网络、病毒攻击。 报警中心模块 安装在可和区域管理器所在服务器正常通讯计算机上，本模块能够依据管理员在系统中所配置报警事件和危险等级提供给管理员包含电子邮件、信使服务、SNMP Trap、手机短信等多个报警方法。 应用构架 北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域内网远程用户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用关键分为以下两种构架： 基础构架：对于通常网络（比如1个C类地址或若干个C类地址局域网范围），可使用一套本系统软件，经过一个管理器集中管理所属区域内全部设备。 扩展构架：对于大规模多个局域网或跨地域广域网（包含基于国家、省、市、县等多级管理模式网络结构），可使用本系统提供多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理同时，将本级全部设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络设备情况也能够完全掌握。 图1- 1北信源终端安全管理应用拓扑 第二章 北信源内网安全管理系统 策略中心 策略管理中心 策略使用 策略创建和分发 1．.在“策略管理中心”中左侧策略项中点击需要制订策略，然后在右侧【策略名】中输入对应策略名称，单击【创建新策略】按钮开始创建策略。 图2- 1创建新策略 · 注：在策略定义中使用了部分尤其关键字符，这些特殊字符不应该在策略内容中出现。不然可能会出现无法预料系统错误。 这些字符包含："><'/="(大于，小于，单引号，反斜线，等于)。 2．依据实际需求配置策略，单击【保留策略】完成策略创建。 （因为各个策略项配置过程全部不一样，下一节将具体介绍） 3．下发策略，即指定策略实施对象。经过单击【对象】按钮，可按界面提醒完成对象分配。以下图所表示： 图2- 2下发策略 4．.假如需要让某一条策略临时不使用，可经过【停用】按钮使策略失效，需要使用时候再单击【启用】按钮使策略生效。假如想要删除某一条策略，则直接按【删除】按钮即可。以下图所表示， 图2- 3策略控制 策略高级设置 策略高级设置用于策略实施设置，包含策略状态（开启、停止）、策略存活时间（策略实施起止时间）、策略实施触发条件（在何种条件下开始实施策略）、策略无效时间（要求时间内不实施策略）、策略应用范围（本级区域、下级区域、全部区域）、级联策略类型等，有些策略还包含具体触发时间设置等。 参数 说明 策略名称 此处能够修改策略名称 风险等级 分为低、中、高三个等级 停用锁定 选中【锁定对策略停用操作】后，策略列表中【停用】功效将不起作用，用于预防用户误操作。 策略状态 制订策略状态：开启/停止 策略存活时间范围 即策略以天为单位存活时间段 策略无效工作日 即可在一星期中选中一天或多天使策略无效 策略无效时间段 即策略以分为单位无效时间段 策略有效用户 指登录操作系统用户。当实施该策略时，先判定此用户是不是有效用户，是有效用户则实施，不然不实施。 策略有效网关 有效网关：用户端所在内网网关；当实施该策略时，先判定是不是有效网管，是则实施该策略，不然不实施。 策略有效网络 内网：能和本服务器通讯属于内网；外网：和本服务器不能通讯，且不能和用户端所在网关通讯属于外网。 克隆机策略 克隆机：将已经注册了本系统用户端系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。只有克隆机（gost系统）实施本策略，非克隆机不实施。 表2- 1策略高级设置参数说明 策略下发结果查询 能够经过以下两种方法查看策略下发情况： (1)策略管理中心-->策略下发查询 (2)终端管理-->终端管理-->目前实施策略 · 注：策略分发间隔默认为1分钟；有策略需要重新开启生效，请看每条策略具体说明。含有审计功效策略，审计数据能够在“数据查询à审计数据查询”中查看。 黑白名单编辑 进程黑白名单 进程黑白名单在“进程监控”策略中能够使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包含：进程名、产品名、源文件名等；假如是服务则只能够加服务名，同时能够加部分描述。 软件黑白名单 软件黑白名单在“软件安装监控”策略中能够使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 URL黑白名单编辑 URL黑白名单在“上网访问审计”策略、“上网控制策略”中能够使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 端口黑白名单编辑 端口黑白名单在“协议防火墙策略”中能够使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 硬件设备控制 硬件设备控制 功效说明：控制多种硬件设备及接口启用或禁用，假如只想严禁使用移动存放设备，也能够经过“可移动存放审计”策略来实现。 参数说明： 参数 说明 不处理、启用、禁用 本策略中所能控制硬件，全部需要能够在windows系统设备管理器中进行严禁和启用。 例外 选择【启用】时将禁用例外中设备，选择【禁用】时将启用例外中设备，【不处理】选项保持原来状态无改变，提升系统管理性能，假如对某项不关心能够选择该项。 例外设备添加方法：右击我电脑à属性à硬件à设备管理器，出现设备列表。 该策略控制叠加到之前策略基础之上 选中此项时：假如有多条这类策略，终端实施效果将是多条策略设置叠加后实施效果。 假如不选择该项，终端只支持单独一条策略，新下发策略将覆盖原来策略配置。 取消对设备管理器拦截操作 默认情况下下发该策略后将严禁用户在设备管理器里启用/禁用任何设备，假如取消则能够在设备管理器里启用/禁用设置为不处理设备。 审计结果处理 上报服务器：就是将审计统计上报到服务器并进行统计。当用户端脱离网络时无法上报到服务器就统计到当地，等用户端接回网络时再上报到服务器。 统计到当地文件：会在当地生成文件统计审计信息。起到在当地备份作用。 表2- 2硬件设备控制参数说明 注意事项： 1．假如要对原来禁用设备启用，最好是明确为该设备制订一条启用策略。 2．禁用u盘、软驱、光驱等一部分功效，在行为管理和审计策略中可移动存放审计策略中也可完成，功效上没有什么区分，用户能够依据自己习惯，自行设定。 策略实例：许可使用光驱，不过严禁使用刻录光驱。 比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上能够看出后面一个驱动器为刻录光驱，假如要严禁刻录光驱，则能够将光驱项设置为"许可"，在【例外】中输入"MATSHITA UJDA745 DVD/CDRW"或其中一部分，只要能经过该标志确定是一个可刻录光驱即可。 因为基础上可刻录光驱全部带有"CDRW"字样，【例外】中能够输入"CDRW"。多个例外之间用分号(";")（英文半角格式）分隔，以下图所表示： 图2- 4硬件设备控制 进程及软件管理 软件安装监控 功效说明：用于监控用户端安装软件是否违规并对违规行为做出对应处理。 参数说明： 参数 说明 软件名 设置需要进行控制软件名称，填入需要监控软件名称后，点选【添加控制】按钮，假如想要控制更多软件，输入软件名称后，继续点选【添加控制】按钮，以这类推，能够继续添加需要控制软件。同一类软件能够使用具体策略，包含“严禁安装软件”、“必需安装软件”、“许可安装软件”三个选项，这个具体选择能够依据管理员需要自行设定。假如想要取消对某个软件控制，请在列表处选定软件名称，然后点击【删除控制】按钮。 还能够添加系统定义黑名单和自定义黑名单，并分别配置违规处理方法、高级设置项。 其它软件处理 当选中“许可安装软件”，再勾中“除以上列表软件外，安装了其它任何软件全部视为违规项”，表示只许可安装列表中软件，安装其它软件均视为违规，即实现对软件安装限制功效。 当选中“控制状态”是“严禁安装软件”，同时选中【其它软件处理】复选框，那么安装任何软件全部是违规。 以上软件安装违规处理 指选定对象假如违反了上述软件安装监控策略处理方法。不处理方法，是指不处理违反策略对象，不过，相关违规统计能够在Web管理器中查询。仅提醒方法，是指当选定对象用户假如违反了策略，将在用户端弹出管理员设置提醒信息。断开网络方法，是指当本策略启用时，选定策略管理对象，假如违反了本策略，将对该计算机进行断离网络处理，同时，该计算机弹出管理员设定提醒信息。 表2- 3软件安装监控策略参数说明 策略实例： 图2- 5软件安装监控策略 注意事项： 1．“软件名”要和控制面板中添加删除程序里软件程序名一样，该功效支持模糊查询技术，比如在要检验是否安装了QQ，可能因为多种版本不一样，在“添加删除程序”里显示是QQ或QQ，这时您能够只输入QQ。 2．静默卸载功效不支持模糊匹配，需要填写跟添加删除程序中名称完全相同。 3．为了维护方便，提议管理员将施行安装或严禁安装需求不一样软件，放在不一样策略中管理，假如同一软件在不一样策略中设置不一样，那么，取最终一个策略设置为准。 4．本策略设置时，提议在高级设置，策略触发方法中，选中开启时触发和间隔触发选中，间隔时间10分钟左右。 进程实施监控 功效说明：用于监控用户端运行进程，并做对应处理。先添加需要监控进程信息，再配置违规处理方法。 参数说明： 参数 说明 进程/服务名 需要进行监控进程或服务名称，进程名称能够从windows任务管理器进程菜单中查询。填入需要监控进程名称后，点选【添加控制】按钮，假如想要控制更多进程，输入进程名称后，继续点选【添加控制】按钮，以这类推。 进程名获取方法：右击任务栏选择“任务管理器”。 “进程/服务名”处也可填写“*”，比如，进程/服务名：*，产品名称：Microsoft Office 11 Professional，控制状态：必需运行，即表示必需运行Microsoft Office 11 Professional产品全部进程。 产品名称 需要进行监控产品名称，产品名称能够从需要监控文件，鼠标右键点击需要监控可实施文件，从其中产品名称中看到，填入需要监控产品名称后，点选【添加控制】按钮，假如想要控制更多产品名称，输入产品名称后，继续点选【添加控制】按钮，以这类推。 源文件名 需要进行监控具体可实施程序名称，源文件名能够经过鼠标右键点击可实施文件找到。填入需要监控源文件名称后，点选【添加控制】按钮，假如想要控制更多源文件，输入源文件名称后，继续点选【添加控制】按钮，以这类推。能够设置更多需监控项目。 控制状态 针对具体进程、产品、源文件，具体控制状态有三种，包含“严禁运行”、“必需运行”和“许可运行”，这个具体选择能够依据管理员需要自行设定。假如想要取消对某个软件控制，请在列表处选定具体进程、产品、源文件名称，然后点击【删除控制】按钮。 其它进程处理 选中“许可运行”并勾中“除以上列表进程外,不许可其它进程实施”，则表示只许可进程列表中进程运行，其它进程均视为违规，即实现对进程运行限制功效。 以上多种情况违规处理 指选定对象假如违反了上述监控策略处理方法。关机方法，是指当本策略启用时，选定策略管理对象，假如违反了本策略，将对该计算机进行2分钟后自动关机处理，同时，该计算机弹出管理员设定提醒信息。 表2- 4进程实施监控策略参数说明 策略实例： 图2- 6进程实施监控策略 注意事项： 1．进程名称、产品名称、源文件名之间是“或”关系，填入其中一项或多项均可实现监控功效，其中，产品名称，关键用于监控一系列软件使用，比如说，qq不一样版本程序名不一样，不过产品名称是相同。源程序名作用，关键是为了预防可实施程序被人手动修更名称而避过安全系统管理策略。 2．本策略设置时，提议在高级设置-->策略触发方法中，选中开启时触发和间隔触发，间隔时间5分钟左右。 3．开启路径为全路径或系统默认路径。 进程保护策略 功效说明：设置需要保护用户进程，预防被保护进程被非法关闭。 策略实例： 图2- 7进程保护策略 注意事项： 1．这里进程保护是指使用windows任务管理器和通常应用程序无法终止该程序。 2．这里被保护进程，仍然能够在策略中心“进程实施监控”中进行终止，请管理员注意相关策略设置。 主机安全策略 用户密码策略 功效说明：此策略能够对系统当地密码策略、当地帐户锁定策略、系统屏保进行设置，同时能够检测系统密码弱口令，除系统自定义弱口令外，用户能够自己添加自定义弱口令集。 参数说明： 参数 说明 检测到系统弱口令后 当系统检测到用户端采取了弱口令后能够采取“上报”、“提醒”两种方法，即上报给区域管理器或依据管理员设置提醒信息给用户端发出提醒。 附加弱口令列表 依据各单位名称等不一样，自己添加需要探测弱口令，每个弱口令之间用","分隔。 表2- 5用户密码策略参数说明 注意事项： 1．在windows系统密码策略中，策略是指密码长度。 2．“弱口令检验”和“当地账户锁定策略”不能同时设置，不然弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这么策略。 3．检测系统弱口令，原理是使用每个列表中弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何计算机不稳定状态。 4．用户密码策略：只适适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。 用户权限策略 功效说明：检验系统用户、系统用户组权限改变和系统用户、系统用户组增加或降低。 当以上某一条件符合时，则弹出对应提醒信息。 依据需要，在对应菜单中选择上报或在用户端提醒报警方法，还有两种报警方法同时启用方法，假如选择中有提醒信息选项，将在用户端弹出管理员设定提醒信息窗口。 注意事项： 1．本策略各项均在Windows系统控制面板中“用户和密码”项或控制面板中管理工具文件夹里计算机管理程序中用户菜单来实现，本策略只提供对应监测功效，不对您修改善行限制。 协议防火墙策略 功效说明：本策略是基于多种网络协议原理和多种网络软件对网络实际应用，用来控制多种网络使用和计算机端口使用，起到防火墙作用。 参数 说明 端口连接控制规则 协议类型 计算机能够进行很多网络应用，多种应用全部是基于网络上服务器提供服务。不一样服务是采取不一样端口提供，经过这种端口方法，计算机才能够和外界进行互不干扰通信。Tcp/udp协议，网络通信协议，基础上全部网络服务全部使用它们作为通信标准。系统在这里经过控制计算机端口和对应网络协议，对计算机用户网络操作进行监管。我们能够经过在windows下dos窗口输入“netstat –a”命令来查看本机打开端口和多种端口正在被哪种服务使用，且这个服务使用是哪种协议。同时，我们也能够经过软件相关说明文档得到这些信息。我们在端口处填入我们查询到需要控制软件使用端口，在协议选择下拉菜单中选择对应tcp/udp协议。“当地端口”和“远程端口”两个选项，其中，当地端口是指在网络使用中，当地计算机使用端口，假如选择这个选项，则在本策略对象范围内计算机无法开启使用该端口服务；远程端口是指在网络使用中，当地计算机能够开启本服务，不过无法访问远程计算机提供对应服务端口。 管制方法 “禁用填充项中指定端口，开放其它端口”选项是指仅禁用在上边填写端口和其所对应服务，同时开放其它全部端口，使其能够使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中端口和其所对应服务，并不改变其它端口现在状态。“开放填充项中指定端口，禁用其它端口”是指，仅开放在上边填写端口和其所对应服务，同时关闭其它全部关口和网络服务，“开放填充项中指定端口”是指开放在上边填写端口和其相对应服务，并不改变其它端口现在状态。选定需要选项后，点击“添加端口连接控制规则”按钮，所设定控制将出现在页面下端控制列表中。 ICMP协议控制规则 指系统对ICMP协议控制，关键是经过判定计算机间相互通信是否正常来判定。通常来说，只要实施MS-DOS窗口下ping命令即可 系统对icmp协议控制，关键是经过判定计算机间相互通信是否正常来判定。通常来说，只需要实施ms-dos 窗口下ping命令即可。“严禁ping入”是指不许可其它计算机（包含局域网计算机和远程计算机）用ping命令来检测当地计算机通信状态。“严禁ping出”是指不许可设置对象用户机用ping命令来检测其它计算机（包含局域网计算机和远程计算机）通信状态。“严禁双向”同时严禁任意两台计算机（最少有一台是当地计算机）通信检测。设定好后，点击“添加icmp协议控制规则”按钮，，所设定控制将出现在页面下端控制列表中。 IP访问控制规制 ip地址 输入需要限制网络使用计算机ip地址或ip地址范围。 管制方法 “只许可填充项中ip地址访问自己，严禁其它ip地址访问”是指，在设定ip地址范围内计算机，每台计算机能使用策略生效范围内计算机网络资源，其它计算机无法访问该策略范围内计算机。“只许可自己访问填充项中ip地址，严禁访问其它ip地址”是指，本策略生效范围内计算机只能访问在设定ip地址范围内计算机网络服务，不能访问其它计算机提供网络服务。设定好后，点选“添加ip访问控制规则”，所设定控制将出现在页面下端控制列表中。以上多种选项在设定后，假如需要去掉，只要在控制列表中，点选，然后点击下边“删除规则”按钮。 超级IP 指是本IP不受上边制订全部策略限制。默认内网管理服务器IP为超级IP 超级端口 指本端口和所对应服务不受上边制订全部策略限制 表2- 6协议防火墙策略参数说明 策略实例： 以下图所设置一个样例表示：只开放当地计算机80端口；只许可192.168.0.11-192.168.0.120该IP地址段中IP访问当地计算机；严禁其它计算机ping入。 图2- 8协议防火墙策略 注意事项： 1