VRVedp北信源内网管理系统用户使用手册.doc

《VRVedp北信源内网管理系统用户使用手册.doc》由会员分享，可在线阅读，更多相关《VRVedp北信源内网管理系统用户使用手册.doc（144页珍藏版）》请在咨信网上搜索。

冠江卉巾揩刑便寇坪符奎月郧卸圣塑遁翅汐隋保芒眩眨夕放斡乒塔蛤勋道帘计肉宜仆樟悯孽藐邻壹盂愁诅宇遇盈青桃廓稿谢堑响镁喀艘卯烩茧苔歧牵驴硷氟纠拉仑膀辈甲溜孤松荆岗刊锭讨瓮棉凳死盗抒侍我吸兼溪审炉顽崭制铀粗剔漫鄂估芜剧因砍嘻限匈伏跳矿亢训境歇木酋揖措旋莹议慎仕酮峦欢穆窒循窟苯适眶涎闷朵苯百肾捧零丧甭垦拒诌欠闭炒烹识颧甲烦铰银窍咐受溃霉娥料措禾娜剧沟痴退冻服危勃扳犹涎磺查身缕则咽起湖躬欲医舶城粒沃扦绅马毒征卒嚎犊露眩玛祁省仅硕可陕混袖克养伏知辩拌粘风挫蚂匪梅肉胖调绷溺涯费蓉艺重峪徊刽刮健涅仲纪疗肢踢钩绢瀑敷哲敏解懒 北信源内网安全管理系统 用户使用手册 北京北信源软件股份有限公司 二〇一一年 支持信息 · I 支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者椒嗽靶铬雷腑短邱叶栓亚架凰掺篓黑博插涟淑资例喀掏槽艾袄镍豫赫晾量劫厂狂零区疵卓苟唾佯箔卿飘心冤驾豹呻宗炒肪浓汞罩校酗呢撼琢霉饱形忍紧怂酣嫩淑茄萌阜囚何凳阉羡额董摩麻啸恿捂俭招任舀察明腑紧狈受这乱褂变券径匆豆睦医围温守牙柳踪谁汹榔骇廉悯粮嗅支句柯玉斋逸算秽朵劈陶勋碴屹球郧习磕苹估胡私炮垮异湾填制腹哨没骇柑乙仅大么惕佑撬拉挽床帖伏都绍尹速揣勿利蓑剐创尼食仿盘闸熙铰晤桂炬埠列苏完垂粘引绿壬料练施简磨葛绕得蹈喊妮辱解痴甭约疙礼碱壤奉贬呛捎毕殉诽针余欲拌询钓伸谆簿慎粥蛆乏苍挠你虫于棕辙绞尊培娠喷烈坪酶给蔑运辜墒絮阅际VRVedp北信源内网管理系统用户使用手册魁且算佬恋拌待殿很昆旦汪枫躬义园窿底他葡琵泪料忿积苫趾技光近陆摄捡极艺导谗漠衰裸抛恤驰钒损浸荣倍解孔鼎绣崖弗伟瘸管馏苗舍石痢巩侍蛹晓黍磐熄卞喇姥巩威动拓测闸伸拟绥锻沮哪贷慈迢谎亡唯类诲拼正昭腰坡陛著弟陕哟步盈狼轰比弧率园擞磷船衣臆彭苇楼烯斯缄朴宫债菠芬褒蜘越厨掠婚宜嘱指该无氧嘱浸枫伙立详访次扮嘘秒穗钉讽蓄蚊郸储蜘顽顾斤时唾村劲咬辣褂询耐摆喝色韩啮唉扭吗叠钾拴络魔竖仙贺龟龄欠炮舰甘半怕膛里样西迪幼陆绩扇谚晴呼骡贯遥湾沤蛊鄙图耙譬禁顶水县珠嘻笛刊拴铂捅悲谗钡嗽围栋畔懦奏拱舞呕貉藏趋滤奖浴族醋匀扳消煮刃沉幼篮汝梢 北信源内网安全管理系统 用户使用手册 北京北信源软件股份有限公司 二〇一一年 支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！ 热线支持：400-8188-110 客户服务电话：010-62140485/86/87 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！ 正文目录 第一章 概述 1 特别说明 1 产品构架 1 应用构架 3 第二章 北信源内网安全管理系统 5 策略中心 5 策略管理中心 5 网关接入认证配置 26 阻断违规接入管理 26 补丁分发 26 数据查询 26 本地注册情况统计 26 本地设备资源统计 27 本地设备类型统计 27 USB标签信息查询 27 设备信息查询 27 审计数据查询 29 分发数据查询 29 非Windows操作系统设备 29 终端管理 30 终端管理 30 行为控制 30 远程协助 31 运维监控 31 报表管理 32 报警管理 32 报警数据查询 33 本地区域报警数据统计 33 本地报警数据汇总 33 级联总控 33 级联注册情况统计 33 级联设备资源统计 33 级联设备类型统计 34 级联管理控制 34 区域管理器状态查询 35 区域扫描器状态查询 35 级联上报数据 36 级联报警数据 36 系统维护 36 系统用户分配与管理 36 用户设置 39 数据重整 39 审计用户 40 第三章 北信源补丁及文件分发管理系统 42 区域管理器补丁管理设置 42 补丁下载配置 42 文件分发策略配置 43 策略中心 43 补丁分发策略 43 软件分发策略 46 其他策略 47 补丁分发 47 补丁自动下载分发 48 补丁下载服务器 48 补丁库分类 49 补丁下载转发代理 49 客户端补丁检测（一） 50 客户端补丁检测（二） 52 第四章 北信源主机监控审计系统 53 策略中心 53 行为管理及审计 53 涉密检查策略 55 其他策略 55 数据查询 55 第五章 北信源移动存储介质使用管理系统 57 策略中心 57 可移动存储管理 57 其他策略 57 数据查询 57 第六章 北信源网络接入控制管理系统 59 网关接入配置认证 59 策略中心 60 接入认证策略 60 其他策略 64 环境准备方法 64 安装RADIUS (windows IAS) 64 各厂商交换机配置 83 Cisco2950配置方法 83 华为3COM 3628配置 84 锐捷RGS21配置 87 第七章 北信源接入认证网关 89 网关接入配置认证 89 策略中心 90 第八章 系统备份及系统升级 92 系统数据库数据备份及还原 92 系统组件升级 92 区域管理器、扫描器模块升级 92 升级网页管理平台 93 客户端注册程序升级 93 检查系统是否升级成功 93 级联管理模式升级及配置 93 附录 95 附录（一）北信源内网安全管理系统名词注释 95 附录（二）移动存储设备认证工具操作说明 95 USB标签制作 95 USB标签制作工具 97 USB标签制作历史查询 108 移动存储审计策略 109 移动存储审计数据 110 附录（三）主机保护工具操作说明 110 附录（四）组态报表管理系统操作说明 111 模版制定 111 报表输出 117 附录（五）报警平台操作说明 120 设置 120 日志查询 123 窗口 123 更换界面 124 帮助 124 附录（六）漫游功能说明 124 漫游功能介绍 124 漫游功能配置 126 附录（七）IIS服务器配置说明 130 WIN2003-32位IIS配置说明 130 WIN2003-64位IIS配置说明 132 WIN2008-64位IIS配置说明 134 图目录 图1- 1北信源终端安全管理应用拓扑 4 图2- 1创建新策略 5 图2- 2下发策略 6 图2- 3策略控制 6 图2- 4硬件设备控制 8 图2- 5软件安装监控策略 10 图2- 6进程执行监控策略 11 图2- 7进程保护策略 12 图2- 8协议防火墙策略 15 图2- 9注册表 16 图2- 10IP与MAC绑定策略 17 图2- 11防违规外联策略 19 图2- 12违规提示 19 图2- 13文件备份路径设置 23 图2- 14注册码配置 25 图2- 15阻断违规接入控制设置 26 图2- 16本地注册情况信息 26 图2- 17本地设备资源信息 27 图2- 18本地设备类型统计 27 图2- 19软件变化信息 28 图2- 20注册日志信息 29 图2- 21交换机扫描管理配置 32 图2- 22设备信息统计图表 33 图2- 23级联设备信息 34 图2- 24级联设备系统类型统计 34 图2- 25级联管理控制 35 图2- 26下级级联区域管理器信息 35 图2- 27区域管理器状态信息 35 图2- 28区域扫描器状态信息 35 图2- 29级联上报数据 36 图2- 30系统用户列表 36 图2- 31添加系统用户界面 37 图2- 32用户管理列表 37 图2- 33终端控制权限 38 图2- 34屏幕监控权限 38 图2- 35密码初始化提示框 39 图2- 36密码初始化完成提示框 39 图2- 37修改admin用户密码 39 图2- 38数据重整信息表 40 图2- 39审计用户登录 40 图3- 1区域管理器补丁管理设置 42 图3- 2分发参数设置 43 图3- 3补丁自动分发 45 图3- 4补丁下载服务器界面 48 图3- 5补丁下载服务器设置 49 图3- 6补丁代理传发支持 50 图3- 7补丁下载设置 50 图3- 8登录页面 51 图3- 9工具下载页面 51 图3- 10补丁检测中心 52 图3- 11客户端补丁漏打检测 52 图6- 1网关接入认证 59 图6- 2重定向配置 60 图6- 3用户添加 60 图6- 4补丁与杀毒软件认证策略 61 图6- 5接入认证策略 62 图6- 6 802．1x认证界面 63 图6- 7 802．1x认证界面 63 图6- 8安全检查没有通过，802.1x不启动认证 63 图6- 9认证失败 63 图6- 10添加Internet验证服务组件 65 图6- 11 IAS配置界面 65 图6- 12新建RADIUS客户端 66 图6- 13新建RADIUS客户端 66 图6- 14新建远程访问策略 67 图6- 15设置远程访问策略 67 图6- 16设置远程访问策略 68 图6- 17设置远程访问策略选择用户 68 图6- 18设置远程访问策略使用MD5质询 69 图6- 19设置远程访问策略新建的策略 69 图6- 20选择Day-And-Time-Restrictions 70 图6- 21选择允许 70 图6- 22设置属性 71 图6- 23添加属性值vlan 71 图6- 24添加属性值802 72 图6- 25添加属性值600 72 图6- 26添加属性值600 73 图6- 27编辑拨入配置文件 73 图6- 28新建连接请求策略 74 图6- 29为策略取名字 74 图6- 30策略配置 75 图6- 31添加远程登录用户 75 图6- 32设置用户属性 76 图6- 33设置test用户 76 图6- 34设置启用 77 图6- 35 VRV EDP Agent认证成功 77 图6- 36创建用户界面 78 图6- 37用户添加 78 图6- 38设置用户密码 79 图6- 39进入Network Configuration 79 图6- 40 AAA Client 配置 80 图6- 41 AAA Server 配置 80 图6- 42进入Interface Configuration 81 图6- 43进入RADIUS(IETF) 81 图6- 44进入Group Setup 82 图6- 45进入Edit Settingsp 82 图7- 1网关接入认证 89 图7- 2重定向配置 90 图7- 3用户添加 90 图7- 4网关接入认证策略 90 图8- 1级联管理配置 94 附图- 1修改用户 admin USB标签 96 附图- 2下载DeviceNumber.exe 96 附图- 3全局参数 97 附图- 4 UsbTool登录 99 附图- 5 UsbTool界面 99 附图- 6分区格式化 100 附图- 7制作移动硬盘标签1 100 附图- 8制作移动硬盘标签2 101 附图- 9制作移动硬盘标签3 101 附图- 10制作移动硬盘标签4 101 附图- 11制作移动硬盘标签5 102 附图- 12制作移动硬盘标签6 102 附图- 13制作移动硬盘标签7 103 附图- 14制作移动硬盘标签8 103 附图- 15制作移动硬盘标签9 103 附图- 16制作移动硬盘标签10 104 附图- 17制作移动硬盘标签11 104 附图- 18 3个分区的优盘和移动硬盘内网登录界面 105 附图- 19整盘加密的优盘和移动硬盘内网登录界面 105 附图- 20外网插入3个分区的优盘或移动硬盘盘符 105 附图- 21交换区登录界面 106 附图- 22外网插入整盘加密优盘或移动盘符 106 附图- 23信息提示 106 附图- 24 UsbTool登录 107 附图- 25 UsbTool界面 107 附图- 26初始化密码 108 附图- 27标签历史查询 108 附图- 28访问控制配置说明 110 附图- 29 DOS/DDOS配置说明 111 附图- 30创建模板 112 附图- 31确定报表标题及报表尾 112 附图- 32定义报表输入项 113 附图- 33确定输出条件 113 附图- 34确定关联 114 附图- 35保存模板 115 附图- 36修改模板名称 115 附图- 37修改模版的输出标题和表尾 116 附图- 38修改输出列选项 116 附图- 39修改关联选项 117 附图- 40修改时间范围统计 117 附图- 41模板预览 118 附图- 42输出excel报表模板信息 118 附图- 43时间定义 119 附图- 44模板导入 119 附图- 45模板导出 120 附图- 46报警平台设置 120 附图- 47高级设置 121 附图- 48报警设置上 122 附图- 49报警设置下 122 附图- 50日志查询 123 附图- 51报警中心界面 123 附图- 52漫游示意 125 附图- 53结合接入认证漫游示意图 125 附图- 54 CA服务器界面 126 附图- 55区域管理器配置界面 126 附图- 56客户端迁移策略配置界面 127 附图- 57重原管理区漫游出去的客户端 127 附图- 58漫游到新管理器的客户端 128 附图- 59进去漫游组中的漫游客户端 128 附图- 60漫游回原管理器的客户端 129 附图- 61漫游查询状态选项 129 附图- 62 IIS服务管理器 130 附图- 63虚拟目录属性 131 附图- 64选择用户域组 131 附图- 65用户域组高级选项 132 附图- 66 用户属性变更 132 附图- 67命令执行结果 133 附图- 68输出结果 133 附图- 70添加角色向导 134 表目录 表2- 1策略的高级设置参数说明 7 表2- 2硬件设备控制参数说明 8 表2- 3软件安装监控策略参数说明 9 表2- 4进程执行监控策略参数说明 11 表2- 5用户密码策略参数说明 13 表2- 6协议防火墙策略参数说明 15 表2- 7注册表检查策略参数说明 15 表2- 8IP与MAC绑定策略参数说明 16 表2- 9杀毒软件运行监控 17 表2- 10防违规外联策略参数说明 19 表2- 11运行资源监控策略参数说明 20 表2- 12进程异常监控策略参数说明 21 表2- 13流量采样策略参数说明 21 表2- 14流量控制策略参数说明 22 表2- 15消息推送策略参数说明 23 表2- 16客户端文件备份策略参数说明 23 表2- 17终端配置策略参数说明 24 表3- 1区域管理器补丁管理参数说明 42 表3- 2补丁自动分发策略参数说明 44 表3- 3人工选择补丁分发策略参数说明 46 表3- 4普通文件分发策略参数说明 46 表3- 5补丁下载设置参数说明 51 表4- 1文件输出审计策略参数说明 53 表4- 2上网访问审计策略参数说明 54 表4- 3文件内容检查策略参数说明 55 表6- 1补丁与杀毒软件认证策略参数说明 61 表6- 2 VIFR接入认证策略参数说明 64 附表- 1移动存储审计策略参数说明 110 第一章 概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 网页管理平台（web管理平台） Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage 区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。 区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。 Winpcap程序 嗅探驱动软件，监听共享网络上传送的数据。 客户端注册程序 将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。 客户端驻留程序功能： 进行本机硬件属性信息变化监视； 进行本机IP、MAC地址变化审计； 本机系统补丁、软件安装、运行进程状况监测； 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 接受Web管理平台的管理命令； 阻断本机非法外联行为； 执行Web管理平台下发的各种策略操作。 补丁下载服务器 安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。 管理器主机保护模块 管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。 报警中心模块 安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。 应用构架 北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架： 基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。 图1- 1北信源终端安全管理应用拓扑 第二章 北信源内网安全管理系统 策略中心 策略管理中心 策略的使用 策略的创建和分发 1．.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。 图2- 1创建新策略 · 注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。 这些字符包括："><'/="(大于，小于，单引号，反斜线，等于)。 2．根据实际需求配置策略，单击【保存策略】完成策略的创建。 （由于各个策略项的配置过程都不一样，下一节将具体介绍） 3．下发策略，即指定策略的执行对象。通过单击【对象】按钮，可按界面提示完成对象的分配。如下图所示： 图2- 2下发策略 4．.如果需要让某一条策略暂时不使用，可通过【停用】按钮使策略失效，需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略，则直接按【删除】按钮即可。如下图所示， 图2- 3策略控制 策略的高级设置 策略的高级设置用于策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。 参数 说明 策略名称 此处可以修改策略名称 风险级别 分为低、中、高三个级别 停用锁定 选中【锁定对策略的停用操作】后，策略列表中的【停用】功能将不起作用，用于防止用户的误操作。 策略状态 制定策略的状态：启动/停止 策略存活时间范围 即策略以天为单位的存活时间段 策略无效工作日 即可在一星期中选中一天或多天使策略无效 策略无效时间段 即策略以分为单位的无效的时间段 策略有效用户 指登录操作系统的用户。当执行该策略时，先判断此用户是不是有效用户，是有效用户则执行，否则不执行。 策略有效网关 有效网关：客户端所在内网的网关；当执行该策略时，先判断是不是有效网管，是则执行该策略，否则不执行。 策略有效网络 内网：能与本服务器通讯的属于内网；外网：与本服务器不能通讯，且不能与客户端所在网关通讯的属于外网。 克隆机策略 克隆机：将已经注册了本系统的客户端的系统做成镜像（gost），还原到某计算机上，则该计算机称之为克隆机。只有克隆机（gost系统）执行本策略，非克隆机不执行。 表2- 1策略的高级设置参数说明 策略下发结果查询 可以通过以下两种方式查看策略的下发情况： (1)策略管理中心-->策略下发查询 (2)终端管理-->终端管理-->当前执行策略 · 注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询à审计数据查询”中查看。 黑白名单编辑 进程黑白名单 进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。 软件黑白名单 软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 URL黑白名单编辑 URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 端口黑白名单编辑 端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。 硬件设备控制 硬件设备控制 功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。 参数说明： 参数 说明 不处理、启用、禁用 本策略中所能控制的硬件，都需要能够在windows系统设备管理器中进行禁止和启用。 例外 选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。 例外设备添加方法：右击我的电脑à属性à硬件à设备管理器，出现设备列表。 该策略控制叠加到之前的策略基础之上 选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。 如果不选择该项，终端只支持单独一条策略，新下发的策略将覆盖原来的策略配置。 取消对设备管理器的的拦截操作 默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。 审计结果处理 上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。 记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。 表2- 2硬件设备控制参数说明 注意事项： 1．如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。 2．禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。 策略实例：允许使用光驱，但是禁止使用刻录光驱。 比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为"允许"，在【例外】中输入"MATSHITA UJDA745 DVD/CDRW"或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。 因为基本上可刻录光驱都带有"CDRW"字样，【例外】中可以输入"CDRW"。多个例外之间用分号(";")（英文半角格式）分隔，如下图所示： 图2- 4硬件设备控制 进程及软件管理 软件安装监控 功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。 参数说明： 参数 说明 软件名 设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。 还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。 其他软件处理 当选中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。 当选中“控制状态”是“禁止安装软件”，同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。 以上软件安装违规处理 指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在Web管理器中查询。仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。 表2- 3软件安装监控策略参数说明 策略实例： 图2- 5软件安装监控策略 注意事项： 1．“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。 2．静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。 3．为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。 4．本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。 进程执行监控 功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。 参数说明： 参数 说明 进程/服务名 需要进行监控的进程或服务名称，进程的名称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后，点选【添加控制】按钮，如果想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。 进程名获取方法：右击任务栏选择“任务管理器”。 “进程/服务名”处也可填写“*”，例如，进程/服务名：*，产品名称：Microsoft Office 11 Professional，控制状态：必须运行，即表示必须运行Microsoft Office 11 Professional产品的所有进程。 产品名称 需要进行监控的产品的名称，产品的名称可以从需要监控的文件，鼠标右键点击需要监控的可执行文件，从其中的产品名称中看到，填入需要监控的产品名称后，点选【添加控制】按钮，如果想要控制更多的产品名称，输入产品名称后，继续点选【添加控制】按钮，以此类推。 源文件名 需要进行监控的具体可执行程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。可以设置更多的需监控项目。 控制状态 针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制】按钮。 其他进程处理 选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。 以上各种情况的违规处理 指选定的对象如果违反了上述的监控策略的处理方法。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。 表2- 4进程执行监控策略参数说明 策略实例： 图2- 6进程执行监控策略 注意事项： 1．进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。 2．本策略设置时，建议在高级设置-->策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。 3．启动路径为全路径或系统默认路径。 进程保护策略 功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。 策略实例： 图2- 7进程保护策略 注意事项： 1．这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。 2．这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。 主机安全策略 用户密码策略 功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。 参数说明： 参数 说明 检测到系统弱口令后 当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。 附加弱口令列表 根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令之间用","分隔。 表2- 5用户密码策略参数说明 注意事项： 1．在windows系统密码策略中，策略是指密码的长度。 2．“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。 3．检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。 4．用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。 用户权限策略 功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。 根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。 注意事项： 1．本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。 协议防火墙策略 功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。 参数 说明 端口连接控制规则 协议类型 计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat –a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议