1、NetStrong使用说明书网强信息技术(上海)-6-30版权申明法律申明本文档中信息如有更改,恕不另行通知。()NetStrong Information Technology (Shanghai) Corporation Limited。版权全部,翻印必究。未经NetStrong Information Technology (Shanghai) Corporation Limited书面许可,除非版权法许可,不准以任何形式对本文档进行复制、改编或翻译。网强信息技术(上海)对本手册不作任何担保包含但不限于适销性和特定用途适用性隐含担保。网强信息技术(上海)对本手册中包含错误和和其功效或使用
2、相关直接、间接、特殊、偶发或继发性损失不负任何责任。保修网强信息技术(上海)承诺若是在保修期间(自您收到软件之日起三十天内)装载软件介质确实出现质量问题,网强信息技术(上海)将视情况而定,绝对负责更换相同类型软件介质产品。网强信息技术(上海)确保,更换软件介质,其品质完全相同。能够从当地销售和服务机构索取适适用于您所购置NetStrong网强产品及更换部件特定保修条款。有限权利许可和许可协议一起提供软件是网强信息技术(上海)或其授权者财产,受到版权法保护。网强(信息技术(上海)拥有该软件最终全部权,您只要接收本许可协议,即可含有一定使用权利。除非本许可证协议补充协议有所修改,不然您使用本软件权
3、利和义务仅限以下:(1) 若在装载本软件介质中只包含一个版本,则只能安装一套软件,若介质中包含该软件多个版本,则只能安装和使用其中一个版本副本。(2) 对软件介质中装载文件进行备份,或复制到计算机硬盘中而将原始文件作为档案进行保留。(3) 若您不保留该软件副本,并接收被转让人同意遵守本许可协议条件,在您向网强信息技术(上海)发出书面通知以后,得到网强信息技术(上海)官方许可,能够将该软件介质永久性转让给个人或企业实体。(4) 不能够复制复制本软件附带相关文档(5) 不能够再次授权、出租、或出借本软件任何部分(6) 不能够经过反向工程、反编译、反汇编、修改、翻译和其它方法来试图获取该软件源代码,
4、或用该软件进行派生工作。商标许可NetStrong,网强 是在中国注册商标由 NetStrong Information Technology (Shanghai) Corporation Limited独家授权。本文档中使用商标:Intel和Pentium是Intel Corporation注册商标;Microsoft、Windows、Windows NT是Microsoft Corporation注册商标。本文档中述及其它商标和产品名称是指拥有对应商标和产品名称企业或其制造产品,NetStrong Information Technology (Shanghai) Corporation
5、Limited对其它企业商标和产品名称不拥有任何专利权。注意:(1) 本操作手册需要统一制作和印刷,软件中包含一些功效模块需要另外购置,所以不能确保所安装软件产品中含有本操作手册中所描述一些功效模块。(2) 网强信息技术(上海)仅许可您在接收许可协议中各项条款情况下,才能够使用本软件产品。请仔细阅读各项条款。目录第一章服务器布署1l服务器要求1n服务器硬件要求1n服务器软件要求1l服务器软件配置1n安装IIS和SMTP1nOffice组件配置3l服务器安装4第二章服务器基础配置5l基础配置5n创建域并添加域管理范围5n添加组织结构6n更新注册程序和打包注册程序6第三章用户端布署9l用户端布署9
6、n网页注册方法9n分发用户端注册程序11第四章功效点说明13l系统分析13n事件统计13n资源统计13n注册统计14n设备统计15l系统管理16n全局配置16n系统配置16u扫描器管理16n注册管理17u注册程序管理17u终端升级控制17u设备注册控制17u注册终端卸载18u未注册阻断列表18n系统用户19u用户管理19u系统权限20n登录用户21u我用户21u访问权限21n数据库管理21n系统日志22u登陆日志22u操作日志22l资产管理23n设备管理23u注册设备管理23u分组管理26u未注册设备管理27u设备开关机27n资产统计27u软件资产分类28u硬件资产28u软件资产28uIP资源
7、统计29u硬件变更29u软件变更30l策略介绍31n什么是策略31n策略由哪几部分组成31n策略种类31n策略实施方法31n策略怎么配置31u策略创建31u基础策略31u高级选项31u分配对象32n策略日志32l接入控制33n控制策略33u非法外联控制33uIEEE 802.1x认证35n日志查询35u非法外联控制日志35l终端安全36n系统知识库36u知识库采集配置36u文件知识库36n终端服务36u终端点对点服务36u远程帮助38u文件分发40u软件布署和安装检验41n安全策略41u进程实施控制41u服务实施控制42u外设接口控制42u网络接口控制43u防火墙策略43u用户账号策略43uA
8、rp防护44u共享管理45n事件日志45u文件分发日志45u软件布署日志45u进程实施控制日志45u服务实施控制日志46u外接接口控制日志46u网络接口控制日志46u用户帐号事件日志47u共享事件查询日志47l用户行为48n配置管理48uURL仓库48n行为策略48u上网行为审计48u上网行为控制49uFTP行为审计50uFTP行为控制51u当地文件审计51u剪贴板审计52u光驱使用控制52u邮件行为审计52u邮件行为控制53u访问共享审计54u即时通讯审计54n用户行为日志55u上网行为审计日志55u上网行为控制日志55uFTP行为审计日志55uFTP行为控制日志55u当地文件审计日志55u
9、剪贴板审计日志55u光驱使用统计日志55u邮件行为审计日志55u邮件行为控制日志56u共享行为审计日志56u即时通讯审计日志56l运维管理57n运维策略57u网络数据包捕捉57n运维查询58u网络数据包统计分析58u网络数据包事件日志58l移动介质60n安全移动介质制作60n安全介质标签管理使用说明62u什么是“标签”62u怎么管理标签62u为安全移动介质打上标签63n移动介质管理63u安全移动介质使用管理63u移动介质策略管理64n操作日志65u安全介质操作日志65u安全介质使用日志66u一般介质使用日志66u安全介质变更日志66n安全移动介质注销和重新注册67n用户端安全浏览器UDE使用说
10、明67u安全移动介质在内网中使用67u安全移动介质在外网中使用69l补丁分发70n分发配置70u补丁列表70n补丁策略71u补丁测试策略71u补丁安装策略72u补丁卸载策略72n统计分析72u补丁策略分析72u全网补丁安全分析73u终端补丁统计73u补丁安装结果分析73u补丁分发日志统计74u补丁卸载日志统计74l级联管理75n级联管理75u级联配置75u级联审核76u管理中心拓扑76u管理中心日志77n安全策略77n行为策略77n站点策略77n级联订阅78u订阅策略78n级联数据78u级联设备78u级联数据日志79u级联数据分析79l系统报表79n报表管理79u报表管理79n报表策略80u数
11、据统计分析80u图形统计报表81u对比分析报表82u临时报表82n报表日志82u报表日志82第一章 服务器布署l 服务器要求n 服务器硬件要求u CPU推荐四核1.6(及其以上) 最低双核 2.0u 内存推荐4G(及其以上) 最低2Gu 硬盘推荐500G(及其以上)最小80Gu 网卡推荐1000M网卡(及其以上)最低100M网卡n 服务器软件要求u Windows Server 系统(最少安装SP1补丁,提议安装SP2补丁)u Microsoft SQL Server 汉字版(标准版、企业版)及其以上版本(不支持MS SQL Server 数据库)u Microsoft Office 及其以上
12、版本(最少安装Word和Excel)u IIS 6.0(需要安装SMTP服务)u Microsoft Framework.Net 2.0l 服务器软件配置n 安装IIS和SMTP首先在服务器光驱中放入Windows Server 安装光盘。依次打开【控制面板 添加或删除程序 添加/删除Windows组件】,并找到应用“应用程序服务器”,点击进入以后,找到“Internet信使服务(IIS)”,在其前边点上对勾,再从“Internet信使服务(IIS)”点击进去,找到“SMTP Service”并在其前边点上对勾。然后依次点击“确定”,假如弹出插入光盘提醒,请先查对光盘是否正确,光驱是否能够正常
13、读取光盘,和Windows提醒安装位置是否正确,假如安装位置不正确,需要用户手工输入正确文件地址。选择IIS部分操作截图以下:对SMTP服务中继服务进行配置,以下图所表示:安装完成IIS以后,需要确保IIS上“Web服务扩展”中Asp 2.0项启用(因为IIS和Microsoft Framework.Net 2.0安装次序可能会造成“Web服务扩展”中Asp.Net 2.0组件被禁用情况,n Office组件配置依次打开【控制面板 管理工具 组件服务】,并在【组件服务】中依次找到【组建服务 计算机 我计算机 DCOM配置】,在【DCOM配置】中找到【Microsoft Excel 应用程序】和
14、【Microsoft Word 文档】项,对其“属性”中“安全”选项卡中【开启和激活权限】、【访问权限】、【配置权限】三项中分别添加“NETWORK SERVICE”用户,并对该用户给予全部权限,以下图所表示:l 服务器安装双击setup.exe开启安装程序,依次选择MS SQL Server数据库服务器,并输入管理员用户名和密码,选择安装目录,进行安装即可。第二章 服务器基础配置在使用系统之前需要对系统进行基础配置,配置需要经过IE浏览器(IE6、IE7、IE8)或IE内核浏览器进行配置,并使IE浏览器打开JavaScript脚本支持(不支持:Mozilla Firefox、Netscape
15、 Navigator、Opera、谷歌 Chrome等非IE内核浏览器)。使用浏览器登录到管理平台,需要注意区分主机名和虚拟目录名,登录账号和密码为安装程序中设置用户名和密码。尤其注意:第一次登录时候,需要选择本套系统工作模式:【集权模式】和【三权分离】,以下图所表示:一旦选择了工作模式,在以后使用中即无法修改其工作模式。请依据页面提醒信息,选择适合工作模式。l 基础配置n 创建域并添加域管理范围“域”是用来对内网中设备以IP为依据,进行管理集合。首先需要添加一个“域”,域名称能够是任意,便于管理员管理即可,“域”管理范围有以下三种【管理IP】、【扫描IP】、【保留IP】。u 【管理IP】:一
16、个IP范围或一个IP地址,本管理IP范围内计算机能够在服务器上进行注册并接收管理,在该范围内未注册设备会被阻断网络通讯。u 【扫描IP】:一个IP范围或一个IP地址,本扫描IP范围内计算机能够在服务器上进行注册并接收管理,在改范围内未注册设备不会被阻断网络通讯。u 【保留IP】:一个IP范围或一个IP地址,本保留IP范围内计算机无法在服务器上进行注册也无法接收管理。以下图所表示:n 添加组织结构组织结构是便于管理员对本系统所管辖范围内计算机从逻辑上进行区分,提议该逻辑采取行政等级划分。n 更新注册程序和打包注册程序完成了对域配置和组织结构配置以后,就能够对用户端注册程序进行配置了,以下图所表示
17、:其中组织结构是属于注册信息中必选项,而其它信息可由管理员进行配置,能够选择对应注册信息是否是“必填项”。假如选择了【静默注册】则注册密码项不生效。注册密码:用于用户端经过浏览器进行注册时候进行身份认证,提议在非系统布署阶段将该密码进行修改,以提升内网系统中设备可信性。DMZ通讯IP:适适用于需要将服务器IP地址在和被管理设备进行IP地址转换情况下适用,比如将NetStrong服务器安装到了DMZ服务区,或适用NAT进行了地址转换等情况。DMZ通讯IP地址需要配置成被转换地址,而非目前服务器真实IP地址;而DMZ通讯端口需要和服务器688端口做好映射关系,在通讯端口配置好映射端口即可。(假如没
18、有IP地址转换话,则无需进行DMZ项配置)注册信息项扩展:当系统默认注册信息项不能满足实际需求时候,管理员能够经过点击【系统管理注册管理注册程序配置】页面上【编辑扩展字段】按钮,对需要信息进行扩充。现在扩充信息有两种形式:“文本框”和“列表框”。以下图所表示。尤其注意:当管理员变更了【域管理范围】、【组织结构】、【注册信息项】、【注册密码】时候,务必关键点击页面上【打包注册程序】进行打包,只有经过打包,注册页面和对应注册信息才会进行更新。*打包:对注册程序更新和重新制作过程。完成了上述三步以后,即完成了服务器基础配置,就能够开始进行用户端注册了。在操作接口上有【系统配置向导】按钮,点击它可弹出
19、服务器基础配置向导,可根据该提醒完成服务器基础配置,以下图所表示:第三章 用户端布署l 用户端布署用户端布署有以下两种方法:一是采取网页注册方法;二是采取分发用户端注册程序方法。下面就两种布署方法分别进行介绍。n 网页注册方法网页注册:为用户提供了经过IE浏览器(或基于IE浏览器)下面具体介绍操作步骤。1) 首先安装好web控制中心和中心服务器。使得用户端能够经过web控制中心页面正常访问中心服务器。以下图所表示:终端用户能够经过IE浏览器正常访问web控制中心确保中心服务器正常开启、进程正常运行2) 终端用户访问web控制中心点击web控制中心页面上“用户端注册”按钮进行注册。如第一次注册会
20、提醒用户端未安装注册插件,依据IE安全等级设置不一样可能会阻止IE下载ActiveX插件或停止安装Active插件下载。以下图所表示:打开IE“Internet 选项”,找到“安全”选项卡,将“可信站点”安全等级设置为“低”(依据IE版本不一样,该项设置最低安全描述可能会是“中低”,如碰到该情况,请在“当地Intranet”中进行web控制中心平台设置),并在“站点”中添加web控制中心访问地址。以下图所表示:对web控制中心地址进行添加依次确定以后,重新访问注册页面,会依据IE安全等级设置不一样分别弹出以下两种对话框。点击“是”许可ActiveX进行交互操作点击“安装”进行IE插件安装依次添
21、入注册信息,并点击注册按钮完成注册。3) 用户端重新注册用户端许可重新注册,重新注册过程同上一步。会弹出问询对话框,点击“确定”进行重新注册。重新注册n 分发用户端注册程序1) 在经过“系统配置向导”进行基础配置并完成“打包注册程序”步骤后,用户端注册程序就已生成在服务器目录。只需将该注册程序拷贝出来分发给用户端即可完成用户端注册。注意:以分发用户端注册程序方法进行用户端注册时候,要求在进行系统基础信息配置时候,不能配置注册密码,即在操作“更新注册程序”步骤时候请不要勾选启用“注册密码”选项;如启用过,请关闭“注册密码”选项,并依次点击“确定更新”和“打包注册程序”按钮。以下图所表示。打包注册
22、程序前请确定“注册密码”选项没有启用2) 在服务器上找到安装中心控制台安装目录,并依次打开.NetStrongWebConsolebinDownLoad,在该目录下存在一个由数字描述文件夹,打包好用户端注册程序就在该目录下。3) 将找到RegistPkt.exe文件进行分发,完成用户端注册过程。说明1:使用用户端注册程序进行注册用户,其组织结构会被列到第一个根目录下。说明2:使用其它系统分发RegistPkt.exe时候,让用户端自动运行话,不需要对RegistPkt.exe程序进行参数设置。第四章 功效点说明l 系统分析本节内容介绍了系统分析功效下所展现数据含义和对应操作。系统分析下关键展现
23、了终端用户行为日志统计、终端设备资源统计、内网用户注册统计和内网设备统计。n 事件统计事件统计关键对内网终端用户行为统计进行数量统计,并可依据用户行为类型进行用户定义时间段走势分析。可选择根据日、周、月、季度和自定义范围进行展现。n 资源统计资源统计对内网终端设备进行统计,从关键硬件(CPU、硬盘、内存)对内网终端资源进行展现,除此之外对内网终端设备软件(操作系统、杀毒软件)进行信息采集,进行展现。n 注册统计注册统计对内网中所能扫描到网段中设备进行扫描,并对注册设备和未注册设备进行统计。同时提供对历史注册情况查询功效。n 设备统计设备统计提供了对可扫描网段内设备注册情况根据是否在线和设备类型
24、进行统计展现。l 系统管理系统管理提供了对管理本套系统基础配置,关键包含以下几方面内容:系统管理域配置、系统组织结构配置、用户注册信息配置、下级管理员建立和权限分配、登录用户管理、数据库查看、登录日志查看等。n 全局配置在控制选项中对系统左上角logo进行配置,对远程帮助密码进行配置。n 系统配置系统配置中对系统域管理范围和内网组织结构进行配置。这两项配置需要在首次使用系统之前进行配置,不然无法正常使用本系统。具体配置请参看“第二章 服务器基础配置-基础配置过程-创建域并添加域管理范围”和“第二章 服务器基础配置-基础配置过程-添加组织结构”部分。u 扫描器管理扫描器管理实现了对内网中设备进行
25、指定扫描器操作。*扫描器:用来发送扫描器探测包设备。假如一个域中安装了任意一个代理程序,那么就会在该管理域中,对内网上设备进行扫描。这么专门一个安装了代理程序设备,我们称之为扫描器。扫描器管理页面以下:如上图所表示,在左侧“目前扫描器”一栏中,显示是在目前网段中正在充当扫描器设备。在右侧选择列表中,能够选择指定扫描器,经过“添加”按钮,将选中扫描器放到“扫描器配置列表”中。假如扫描器配置列表中设备全部关机话,则会从开机设备中自动选择一台设备作为扫描器。出现如上图所表示情况。假如要修改目前“扫描器配置列表”,只需要更改扫描器配置列表(添加或删除扫描器),然后点击“启用更改配置”按钮。图所表示:n
26、 注册管理u 注册程序管理注册管理提供了用户端注册程序配置功效,在该页面上能够对用户端注册程序进行配置。具体配置请参看“第二章 服务器基础配置-基础配置过程-更新注册程序和打包注册程序”部分。u 终端升级控制终端升级控制提供了对终端设备代理程序(探头程序),进行升级控制功效。在内网中布署好设备,在升级情况下需要确保代理程序不会因为升级而造成灾难性破坏,比如蓝屏、系统死机、代理程序性能等现象。终端升级控制,许可小部分测试设备优异行升级,经过测试以后再进行大面积升级功效。图:图中提供了两种升级方法:1、全网升级。2、升级以下列表中对象。下面就这两种方法进行说明:全网升级:不需要配置“分配对象”,当
27、管理员决定对内网中全部设备进行升级时候,只需要选择“全网升级”并对策略进行保留和重启就能够完成全网设备升级。升级以下列表中对象:对升级对象进行配置,仅仅对配置了终端进行升级。注意:在测试过程中升过级设备,在配置了全网升级策略时候,将不会再次升级。假如探头重新安装,则会在收到升级策略以后进行升级。u 设备注册控制设备注册控制提供了对接入内网设备注册情况管理。假如接入内网设备没有进行注册话,则能够经过开启对未注册设备阻断,使未注册设备无法上网。假如只是想要对未注册设备发出警告话,则能够选择警告提醒即可。图所表示:u 注册终端卸载注册终端卸载提供了对已经注册设备注册终端进行卸载功效。图所表示:终端卸
28、载能够根据组织结构、IP范围和设备对象分别进行卸载,添加好卸载设备以后,点击“确定卸载”按钮确定卸载。u 未注册阻断列表未注册阻断列表关键是在开启了“设备注册控制”中“没有注册则阻断联网”功效以后(以下图),设备通讯被阻断,其阻断信息会在该页面展现。对于没有注册且被阻断设备,管理员能够经过该页面上“取消阻断”按钮,对阻断非注册设备取消断网功效,也能够经过“设置阻断”按钮,连续对非注册设备断网阻断功效。以下图:n 系统用户系统用户提供了对下级管理员管理和权限分配功效。u 用户管理用户管理:为顶级管理员或有用户管理权限功效下级管理员创建下级管理员功效。图所表示:在用户管理页面能够创建下级“管理用户
29、”,每个创建出来管理用户,其初始密码是123456。能够对用户使用期进行设置,默认情况下用户为永不过期。*三权模式下区分:在三权模式下,系统管理员能够创建管理用户和策略管理用户。日志管理员(audit)负责创建日志审计用户。u 系统权限系统权限:新建用户后,须对该新建用户其分配权限和设置管理对象。 如上图所表示,在“选择用户名称”处选择要分配权限用户,并选择要给予该用户权限。完成为新建用户权限选择后,点击“管理对象”选项卡,为该用户选择管理对象,点击确定更新按钮完成操作。n 登录用户u 我用户对目前登陆用户用户信息显示和目前用户密码修改。u 访问权限访问权限是某用户对许可自己“用户名”登陆“管
30、理中心控制台”IP地址设置。若该登陆用户对该项没有进行任何设置,则系统默认为该用户在内网任何IP地址计算机上均许可访问。如用户设置访问权限为:许可访问网段192.168.1.1192.168.1.100,则只许可该用户在192.168.1.1192.168.1.100内IP地址计算机登陆“管理中心控制台”, 严禁该用户在其它IP地址计算机上登陆“管理中心控制台”。注:“访问权限”是目前登陆用户为本身登陆管理中心控制台进行IP地址限制,该登陆用户对该项设置,不影响其它用户登陆。n 数据库管理提供了服务器上数据库和磁盘占用情况统计,在磁盘剩下空间不足时候,会提醒管理员。图所表示:n 系统日志u 登
31、陆日志统计登陆“管理中心控制台”用户登陆时间、登录地址、登陆状态等信息。可依据相关条件进行查询。u 操作日志统计全部登录用户在“管理中心控制台”全部操作。可依据相关条件进行查询。l 资产管理n 设备管理u 注册设备管理对已注册设备相关信息查看和管理。以下图所表示,在注册设备列表中显示了全部目前已注册设备IP地址、Mac地址、设备类型等信息,所显示显示列,可经过点击“自定义显示列”按钮进行设置。经过点击“自定义显示列”按钮,可对所显示注册设备信息内容、次序和列长度进行设置,以下图所表示。设置完成后点击“确定更新”按钮进行保留。“自定义显示列”设置只对目前登录用户自己显示效果起作用,不影响其它用户
32、。已注册设备,可经过选择“检索项”,输入相关信息,如使用人、IP地址、联络电话等信息进行查询。若需要对特定条件,如操作系统、企业部门、硬件信息等进行查询时,可经过点击“高级查询”按钮查询,以下图所表示。在“注册设备信息列表”中所显示信息,可经过点击“输出Excel”按钮,以EXCEL格式导出全部数据。点击“注册设备信息列表”中对应注册设备,在界面底部信息栏中“基础信息”“信息变更”、“软件信息”、“硬件信息”、“安全状态”、“安全事件”和“历史变更” 选项卡中,会显示该设备相关信息。基础信息:在“基础信息”选项卡中显示了注册设备“基础信息”、“注册信息”、“网络信息”和“扩展信息”。“基础信息
33、”中显示了该注册设备设备名称、操作系统、CPU和硬盘等设备基础信息。“注册信息”中显示了该设备注册信息,如设备注册时间及在注册时输入相关信息。“网络信息”中显示了该设备IP地址、Mac地址。“扩展信息”中显示了该设备在注册时输入扩展信息。信息变更:在“信息变更”选项卡中显示目前设备在注册时输入信息,该信息可在此处进行修改更新。以下图所表示,在对应输入框中进行修改、编辑,点击确定更新,完成信息更新操作。当注册设备所属组织改变时,可经过点击“设备迁移”按钮,在下图“选择目标组织结构”对话框中选择新组织,点击确定按钮完成组织结构变更操作。软件信息:在“软件信息”选项卡中,对目前设备所安装软件,根据“
34、软件知识库”中设置分类进行显示,以下图所表示。硬件信息:在“硬件信息”选项卡中显示目前设备硬件信息,以下图所表示。安全状态:在“安全状态”选项卡中显示目前设备杀毒软件和补丁安装情况,以下图所表示。安全事件:在“安全事件”选项卡中显示目前设备所触发策略事件,以下图所表示,在每种策略事件中列出了所触发策略次数、“今日事件”、“历史事件”和“历史事件走势分析”。可经过点击“今日事件”、“历史事件”和“历史事件走势分析”前图标对其进行查看,如点击“进程实施控制”“历史事件”和“历史事件走势分析”图标,弹出“进程实施控制事件统计”图。在下图中,可经过点击“上一月”和“下一月”,可对每个月“历史事件走势分
35、析”曲线图进行查看。历史变更:在“历史变更”选项卡中显示目前设备软、硬件变更信息,以下图所表示。u 分组管理对含有相同属性设备(使用人)能够经过分组管理,将设备(使用人)从逻辑上进行分组,并在制订策略时候,经过对分配对象配置对统一分组中是设备(使用人)分配一样策略。图所表示:u 未注册设备管理对目前管理网段中没有进行注册设备进行展现,图所表示:u 设备开关机对已经注册了设备开、关机情况进行统计,并依据设备使用情况,统计出来设备使用率。能够统计设备开、关机频率,依据时间段统计设备开、关机数量。图所表示:n 资产统计u 软件资产分类软件资产分类中统计了目前全部已注册设备上安装软件,管理员能够依据实
36、际需求,对软件资产进行分类整理。“未知软件”:中包含了全部未分类软件,是系统默认分类,无法删除。能够经过“创建新类”按钮,创建多种管理分类,再分别往分类中添加软件列表。图所表示:u 硬件资产硬件资产中统计了目前注册设备中硬件统计,能够分别根据硬盘、CPU、内存、光驱、显卡、鼠标、键盘、声卡、主板进行查看,点击“查看清单”按钮,能够对具体信息进行查看。图所表示。u 软件资产软件资产,依据软件资产分类列表中对软件分类划分,根据组织结构,对组织结构中使用软件进行统计。图所表示:u IP资源统计对“系统域划分”中所定义IP地址范围,进行是否占用和注册描述,图所表示:图中绿色图标表示该IP地址,已经注册
37、,黄色表示该IP地址没有注册,不过已经被占用,灰色表示该IP地址没有被占用。u 硬件变更硬件变更中对目前已经注册设备产生硬件变更进行统计。在终端设备安装探头时候,会对目前设备硬件进行“快照”操作,当注册设备硬件发生变更以后,则会对硬件信息进行对比,将发生改变信息上报给中心服务器。图所表示:u 软件变更软件变更中对目前已经注册设备产生软件变更进行统计。在终端设备安装探头时候,会对目前设备软件进行“快照”操作,当注册设备软件发生变更以后,则会对软件信息进行对比,将发生改变信息上报给中心服务器。图所表示:l 策略介绍n 什么是策略策略即是对终端管理要求,能够了解成“管理规则”,我们能够针对不一样设备
38、制订相同规则,也能够针对同一个设备制订不一样规则。n 策略由哪几部分组成策略由策略名称、基础策略内容、策略实施时间、策略分配对象等几部分组成;依据策略类型不一样,在一些特定策略中,可能会缺乏上述内容中一些方面。n 策略种类本系统中策略能够分为基础策略、审计策略和控制策略三种类型策略。比如:进程知识库采集属于基础策略;上网行为审计属于审计策略;外设接口、FTP行为控制等策略属于控制策。控制类策略有“处理方法”选项,而基础策略和审计策略没有该选项。n 策略实施方法策略由管理平台进行配置,配置完成后,提交给中心服务器,由中心服务器统一分发给有策略终端设备,终端保留策略,然后由终端实施策略。n 策略怎
39、么配置u 策略创建输入策略名称(必需)、策略描述,点击“创建策略”完成策略创建。不许可创建相同名称策略。策略创建成功以后,会自动进入到“基础策略”界面,并能够经过该页面“高级选项”、“分配对象”Tab页进行不一样配置切换,图所表示:u 基础策略基础策略页面定义了一个策略基础规则,各个策略之间关键区分也在基础策略中进行表现。比如进程实施策略和服务实施策略区分就是在于基础策略中控制对象不一样。后续各个章节具体功效说明中,关键对基础策略中内容进行说明。u 高级选项高级选项定义了制订策略实施时间(即策略生效时间)。默认配置中策略生效时间是任意日期、任意时间。能够依据需求定义策略生效时间:能够定义策略生
40、效时间段、根据每七天时间进行设置、能够定义特定时间实施。图所表示:u 分配对象分配对象中对策略实施对象进行设置,能够根据组织结构、IP范围、设备对象、自定义组来进行分配。图所表示:n 策略日志对于大多数策略来说,策略全部会产生日志,以下图所表示:从上图可知,每个策略全部会在相同模块中存在日志,所以在配置了策略以后,想要找到对应日志话,只需要在相同模块中找到日志项即可。l 接入控制n 控制策略u 非法外联控制非法外联控制提供了对主机非法联网、使用代理上网行为监控。在判定非法联网时候,使用探测外网地址方法来完成,所以在策略中需要配置一个“外网地址”,该地址是相正确(相对内网地址而言),通常情况下,
41、提议配置常见、稳定外网地址,比如www.谷歌.com.hk或.com,当然也能够配置比如192.168.1.20等相对外网地址。内网探测地址,能够配置常见内网地址,比如192.168.1.1或192.168.1.254等类似网关地址,图所表示:探测地址:该地址仅仅用来代表“外网”含义,并不需要用户真正去访问该地址,才能进行探测,而是由探头自动进行对所设置外网地址探测。严禁使用代理上网:检验使用IE代理上网,并自动严禁IE代理上网。同时连接内外网:在上述连接“外网”基础之上,再增加了对连接内网判定,连接内网判定基础是是否能够和中心服务器联通。仅在外网:当设备无法和中心服务器连通,而又能上“外网”
42、时候触发该条件。脱离安全网:表示和内网地址、中心服务器无法正常连通情况,终端关机不属于脱离安全网范围。在“仅在外网”情况下发送邮件:和中心服务器失去通信时能够经过发送邮件形式提醒管理员发生了“仅在外网”违规事件。在使用该功效前,需要配置邮件发件人和收件人。u IEEE 802.1x认证IEEE 802.1x策略实现了对802.1x系统透明认证功效,关键实现了以下两个功效:1、对终端用户而言实现了网络接入透明认证。2、对管理员而言实现了终端认证口令统一管理,预防口令丢失。如上图中,“用户名称”填写802.1x认证用户,“用户密码”填写802.1x认证用户认证密码。n 日志查询u 非法外联控制日志
43、日志中统计了对非法外联策略产生日志统计,图所表示:l 终端安全n 系统知识库u 知识库采集配置对终端进程采集进行配置,能够配置是否开启采集终端进程,并对是否进行进程文件上报进行配置。图所表示:u 文件知识库文件知识库用来对文件分发和软件布署功效进行文件、软件库支持。在文件知识库中能够上传文件、软件到服务器上,再经过“文件分发”和“软件布署”策略向终端分发文件、进行软件布署。图所表示:经过“上传文件”按钮,上传文件到对应文件目录或软件目录下。假如在点击上传文件按钮时候,出现了以下提醒:则需要将Web插件进行安装。安装方法请见“第三章 用户端布署 网页注册方法”章节相关介绍。n 终端服务u 终端点
44、对点服务终端点对点提供了对终端直接查看和设置支持,找到需要操作终端设备,点击“确定控制”按钮,则会弹出点对点控制程序。该功效需要Web插件支持,需要首先安装Web插件。图所表示:点对点功效中有以下几方面功效:1) 基础状态查看:对终端内存和CPU占用情况展现。2) 终端安装软件查看:对终端安装软件查看,支持对非交互安装程序直接卸载。(软件列表来自于软件安装列表)3) 共享查看:对终端共享文件夹查看。4) 终端安装补丁查看:对终端安装补丁情况查看,包含已安装补丁和未安装补丁。5) 系统用户查看:对终端系统系统用户进行查看,能检验这些用户是否存在弱口令。6) 系统事件查看:对终端系统系统日志进行查看。7) 网络接口管理:对终端网络接口进行查看,并能够修改终端网络设置(修改一些网络配置,会造成点对点功效断开,比如修改终端IP)8) 终端进程管理:对终端上运行进程、进程端口进行查看,并能够经过点对点结束终端进程。9) 终端服务管理:对终端上运行服务进行控制。点对点操作界面以下:u 远程帮助远程帮助提供了对终端操作界面接管功效,使用是VNC接管模式,操作界面以下:输入要接管远程桌面IP地址,点击“确定控
浙ICP备2021020529号-1 | 浙B2-20240490 
