1、北信源内网安全管理系统用户使用手册北京北信源软件股份二一十二个月支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问全部能够经过访问我企业网站或致电本企业客服中心取得帮助和支持!热线支持:400-8188-110用户服务电话:/86/87在您使用该产品过程中,假如有好意见或提议话也请联络我们客服中心,感谢您对我企业产品信任和支持!正文目录第一章概述1尤其说明1产品构架1应用构架3第二章北信源内网安全管理系统5策略中心5策略管理中心5网关接入认证配置26阻断违规接入管理26补丁分发26数据查询26当地注册情况统计26当地设备资源统计27当地设备类型统计27USB标签信息查询27设备信息查询
2、27审计数据查询29分发数据查询29非Windows操作系统设备29终端管理30终端管理30行为控制30远程帮助31运维监控31报表管理32报警管理32报警数据查询33当地域域报警数据统计33当地报警数据汇总33级联总控33级联注册情况统计33级联设备资源统计33级联设备类型统计34级联管理控制34区域管理器状态查询35区域扫描器状态查询35级联上报数据36级联报警数据36系统维护36系统用户分配和管理36用户设置39数据重整39审计用户40第三章北信源补丁及文件分发管理系统42区域管理器补丁管理设置42补丁下载配置42文件分发策略配置43策略中心43补丁分发策略43软件分发策略46其它策略4
3、7补丁分发47补丁自动下载分发48补丁下载服务器48补丁库分类49补丁下载转发代理49用户端补丁检测(一)50用户端补丁检测(二)52第四章北信源主机监控审计系统53策略中心53行为管理及审计53涉密检验策略55其它策略55数据查询55第五章北信源移动存放介质使用管理系统57策略中心57可移动存放管理57其它策略57数据查询57第六章北信源网络接入控制管理系统59网关接入配置认证59策略中心60接入认证策略60其它策略64环境准备方法64安装RADIUS (windows IAS)64各厂商交换机配置83Cisco2950配置方法83华为3COM 3628配置84锐捷RGS21配置87第七章北
4、信源接入认证网关89网关接入配置认证89策略中心90第八章系统备份及系统升级92系统数据库数据备份及还原92系统组件升级92区域管理器、扫描器模块升级92升级网页管理平台93用户端注册程序升级93检验系统是否升级成功93级联管理模式升级及配置93附录95附录(一)北信源内网安全管理系统名词注释95附录(二)移动存放设备认证工具操作说明95USB标签制作95USB标签制作工具97USB标签制作历史查询108移动存放审计策略109移动存放审计数据110附录(三)主机保护工具操作说明110附录(四)组态报表管理系统操作说明111模版制订111报表输出117附录(五)报警平台操作说明120设置120日
5、志查询123窗口123更换界面124帮助124附录(六)漫游功效说明124漫游功效介绍124漫游功效配置126附录(七)IIS服务器配置说明130WIN-32位IIS配置说明130WIN-64位IIS配置说明132WIN-64位IIS配置说明134图目录图1- 1北信源终端安全管理应用拓扑4图2- 1创建新策略5图2- 2下发策略6图2- 3策略控制6图2- 4硬件设备控制8图2- 5软件安装监控策略10图2- 6进程实施监控策略11图2- 7进程保护策略12图2- 8协议防火墙策略15图2- 9注册表16图2- 10IP和MAC绑定策略17图2- 11防违规外联策略19图2- 12违规提醒1
6、9图2- 13文件备份路径设置23图2- 14注册码配置25图2- 15阻断违规接入控制设置26图2- 16当地注册情况信息26图2- 17当地设备资源信息27图2- 18当地设备类型统计27图2- 19软件改变信息28图2- 20注册日志信息29图2- 21交换机扫描管理配置32图2- 22设备信息统计图表33图2- 23级联设备信息34图2- 24级联设备系统类型统计34图2- 25级联管理控制35图2- 26下级级联区域管理器信息35图2- 27区域管理器状态信息35图2- 28区域扫描器状态信息35图2- 29级联上报数据36图2- 30系统用户列表36图2- 31添加系统用户界面37
7、图2- 32用户管理列表37图2- 33终端控制权限38图2- 34屏幕监控权限38图2- 35密码初始化提醒框39图2- 36密码初始化完成提醒框39图2- 37修改admin用户密码39图2- 38数据重整信息表40图2- 39审计用户登录40图3- 1区域管理器补丁管理设置42图3- 2分发参数设置43图3- 3补丁自动分发45图3- 4补丁下载服务器界面48图3- 5补丁下载服务器设置49图3- 6补丁代理传发支持50图3- 7补丁下载设置50图3- 8登录页面51图3- 9工具下载页面51图3- 10补丁检测中心52图3- 11用户端补丁漏打检测52图6- 1网关接入认证59图6-
8、2重定向配置60图6- 3用户添加60图6- 4补丁和杀毒软件认证策略61图6- 5接入认证策略62图6- 6 8021x认证界面63图6- 7 8021x认证界面63图6- 8安全检验没有经过,802.1x不开启认证63图6- 9认证失败63图6- 10添加Internet验证服务组件65图6- 11 IAS配置界面65图6- 12新建RADIUS用户端66图6- 13新建RADIUS用户端66图6- 14新建远程访问策略67图6- 15设置远程访问策略67图6- 16设置远程访问策略68图6- 17设置远程访问策略选择用户68图6- 18设置远程访问策略使用MD5质询69图6- 19设置远
9、程访问策略新建策略69图6- 20选择Day-And-Time-Restrictions70图6- 21选择许可70图6- 22设置属性71图6- 23添加属性值vlan71图6- 24添加属性值80272图6- 25添加属性值60072图6- 26添加属性值60073图6- 27编辑拨入配置文件73图6- 28新建连接请求策略74图6- 29为策略取名字74图6- 30策略配置75图6- 31添加远程登录用户75图6- 32设置用户属性76图6- 33设置test用户76图6- 34设置启用77图6- 35 VRV EDP Agent认证成功77图6- 36创建用户界面78图6- 37用户添
10、加78图6- 38设置用户密码79图6- 39进入Network Configuration79图6- 40 AAA Client 配置80图6- 41 AAA Server 配置80图6- 42进入Interface Configuration81图6- 43进入RADIUS(IETF)81图6- 44进入Group Setup82图6- 45进入Edit Settingsp82图7- 1网关接入认证89图7- 2重定向配置90图7- 3用户添加90图7- 4网关接入认证策略90图8- 1级联管理配置94附图- 1修改用户 admin USB标签96附图- 2下载DeviceNumber.e
11、xe96附图- 3全局参数97附图- 4 UsbTool登录99附图- 5 UsbTool界面99附图- 6分区格式化100附图- 7制作移动硬盘标签1100附图- 8制作移动硬盘标签2101附图- 9制作移动硬盘标签3101附图- 10制作移动硬盘标签4101附图- 11制作移动硬盘标签5102附图- 12制作移动硬盘标签6102附图- 13制作移动硬盘标签7103附图- 14制作移动硬盘标签8103附图- 15制作移动硬盘标签9103附图- 16制作移动硬盘标签10104附图- 17制作移动硬盘标签11104附图- 18 3个分区优盘和移动硬盘内网登录界面105附图- 19整盘加密优盘和移
12、动硬盘内网登录界面105附图- 20外网插入3个分区优盘或移动硬盘盘符105附图- 21交换区登录界面106附图- 22外网插入整盘加密优盘或移动盘符106附图- 23信息提醒106附图- 24 UsbTool登录107附图- 25 UsbTool界面107附图- 26初始化密码108附图- 27标签历史查询108附图- 28访问控制配置说明110附图- 29 DOS/DDOS配置说明111附图- 30创建模板112附图- 31确定报表标题及报表尾112附图- 32定义报表输入项113附图- 33确定输出条件113附图- 34确定关联114附图- 35保留模板115附图- 36修改模板名称11
13、5附图- 37修改模版输出标题和表尾116附图- 38修改输出列选项116附图- 39修改关联选项117附图- 40修改时间范围统计117附图- 41模板预览118附图- 42输出excel报表模板信息118附图- 43时间定义119附图- 44模板导入119附图- 45模板导出120附图- 46报警平台设置120附图- 47高级设置121附图- 48报警设置上122附图- 49报警设置下122附图- 50日志查询123附图- 51报警中心界面123附图- 52漫游示意125附图- 53结合接入认证漫游示意图125附图- 54 CA服务器界面126附图- 55区域管理器配置界面126附图- 5
14、6用户端迁移策略配置界面127附图- 57重原管理区漫游出去用户端127附图- 58漫游到新管理器用户端128附图- 59进去漫游组中漫游用户端128附图- 60漫游回原管理器用户端129附图- 61漫游查询状态选项129附图- 62 IIS服务管理器130附图- 63虚拟目录属性131附图- 64选择用户域组131附图- 65用户域组高级选项132附图- 66 用户属性变更132附图- 67命令实施结果133附图- 68输出结果133附图- 70添加角色向导134表目录表2- 1策略高级设置参数说明7表2- 2硬件设备控制参数说明8表2- 3软件安装监控策略参数说明9表2- 4进程实施监控策
15、略参数说明11表2- 5用户密码策略参数说明13表2- 6协议防火墙策略参数说明15表2- 7注册表检验策略参数说明15表2- 8IP和MAC绑定策略参数说明16表2- 9杀毒软件运行监控17表2- 10防违规外联策略参数说明19表2- 11运行资源监控策略参数说明20表2- 12进程异常监控策略参数说明21表2- 13流量采样策略参数说明21表2- 14流量控制策略参数说明22表2- 15消息推送策略参数说明23表2- 16用户端文件备份策略参数说明23表2- 17终端配置策略参数说明24表3- 1区域管理器补丁管理参数说明42表3- 2补丁自动分发策略参数说明44表3- 3人工选择补丁分发
16、策略参数说明46表3- 4一般文件分发策略参数说明46表3- 5补丁下载设置参数说明51表4- 1文件输出审计策略参数说明53表4- 2上网访问审计策略参数说明54表4- 3文件内容检验策略参数说明55表6- 1补丁和杀毒软件认证策略参数说明61表6- 2 VIFR接入认证策略参数说明64附表- 1移动存放审计策略参数说明110第一章 概述尤其说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存放介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6大套件组成。本手册内容将伴随北信源软件不停升级而改变(以光盘中电
17、子版发行时为最新版),恕不另行通知。需要者请从北信源企业网站下载本手册最新电子版或直接联络北信源企业索取。本手册和本系统安装配置手册中全部图片均为示意图,请以实际产品为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购置北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品,本说明书其它功效将不含有。感谢您购置北京北信源软件股份研制开发北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源企业认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初
18、始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、用户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库,建立北信源终端安全管理产品初始化数据库。初始化信息包含:网络用户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性改变信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,依据规则要求在管理平台上报警。网页管理平台(web管理平台)Web中央管理
19、配置平台,本系统管理配置中心。包含区域管理器、扫描器、注册用户端功效参数设定,网络设备信息发觉、系统应用策略制订、报警信息显示、定义任务功效制订、系统用户维护等配置操作。Region Manage区域管理器,系统数据处理中心,负责和管理信息数据库通讯扫描终端设备、控制服务器、用户端之间信息、指令下达、接收。比如:接收注册程序提供用户信息,将用户信息(用户填写物理信息和系统自动采集硬件信息)并行存入数据库;接收来自控制台命令操作,发送到用户端、扫描器实施。对于存在多级管理要求广域网,网络中能够存在多个区域管理器,实现系统数据逐层上报(转发),对网络终端多级管理。区域管理器内置网络扫描器,扫描器用
20、来发觉网络终端设备。将发觉设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,依据管理规则在管理平台上报警。扫描器配合区域管理器进行工作,能够在分级模式下使用。扫描器只依据Web管理平台中配置工作范围进行扫描,假如终端IP超越其范围,将不负责实施操作。Winpcap程序嗅探驱动软件,监听共享网络上传送数据。用户端注册程序将接收并实施服务器下发指令。该程序能够在“工具下载-用户注册器下载”处下载。访问指定网站自动取得,用户填写必需信息后,运行该程序,区域管理器将收到注册终端相关信息,同时终端能够接收、实施多种下发指令。注册程序自
21、动探测系统硬件信息,连同用户填写信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将用户端驻留程序应用策略发送给用户,并自动更新。用户端驻留程序功效:进行本机硬件属性信息改变监视;进行本机IP、MAC地址改变审计;本机系统补丁、软件安装、运行进程情况监测;探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;接收Web管理平台管理命令;阻断本机非法外联行为;实施Web管理平台下发多种策略操作。补丁下载服务器安装在和Internet网络连接机器上,用于实时下载补丁厂商公布补丁。管理器主机保护模块管理器主机保护模块可依据管理器或其它服务器具体使用端口、网络协议、通
22、信IP范围和具体其它网络应用来定义该计算机使用安全级较高网络配置,从而预防该计算机受到恶意IP冲突和多种网络、病毒攻击。报警中心模块安装在可和区域管理器所在服务器正常通讯计算机上,本模块能够依据管理员在系统中所配置报警事件和危险等级提供给管理员包含电子邮件、信使服务、SNMP Trap、手机短信等多个报警方法。应用构架北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域内网远程用户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用关键分为以下两种构架:基础构架:对于通常网络(比如1个C类地址或若干个C类地址局域网范围),可使用一套本系统软件,经过一个
23、管理器集中管理所属区域内全部设备。扩展构架:对于大规模多个局域网或跨地域广域网(包含基于国家、省、市、县等多级管理模式网络结构),可使用本系统提供多区域集中管理构架,即一个或多个网段各拥有一套独立北信源终端安全管理同时,将本级全部设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络设备情况也能够完全掌握。图1- 1北信源终端安全管理应用拓扑第二章 北信源内网安全管理系统策略中心策略管理中心策略使用策略创建和分发1.在“策略管理中心”中左侧策略项中点击需要制订策略,然后在右侧【策略名】中输入对应策略名称,单击【创建新策略】按钮开始创建策略。图2- 1创建新策略 注:在策略定义中使用了部分
24、尤其关键字符,这些特殊字符不应该在策略内容中出现。不然可能会出现无法预料系统错误。 这些字符包含:策略下发查询(2)终端管理-终端管理-目前实施策略 注:策略分发间隔默认为1分钟;有策略需要重新开启生效,请看每条策略具体说明。含有审计功效策略,审计数据能够在“数据查询审计数据查询”中查看。黑白名单编辑进程黑白名单进程黑白名单在“进程监控”策略中能够使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包含:进程名、产品名、源文件名等;假如是服务则只能够加服务名,同时能够加部分描述。软件黑白名单软件黑白名单在“软件安装监控”策略中能够使用,这部分包含系统预定义黑名单和用户自定义
25、黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中能够使用,这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单在“协议防火墙策略”中能够使用,这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制功效说明:控制多种硬件设备及接口启用或禁用,假如只想严禁使用移动存放设备,也能够经过“可移动存放审计”策略来实现。参数说明:参数说明不处理、启用、禁用本策略中所能控制硬件,全部需要能够在windows系统设备管理器中进行严禁和启用。例外选择【启用】时将禁用例外中设备,选择【禁用】时将启用例外中设备,【不处理】选项保持原来状态
26、无改变,提升系统管理性能,假如对某项不关心能够选择该项。例外设备添加方法:右击我电脑属性硬件设备管理器,出现设备列表。该策略控制叠加到之前策略基础之上选中此项时:假如有多条这类策略,终端实施效果将是多条策略设置叠加后实施效果。假如不选择该项,终端只支持单独一条策略,新下发策略将覆盖原来策略配置。取消对设备管理器拦截操作默认情况下下发该策略后将严禁用户在设备管理器里启用/禁用任何设备,假如取消则能够在设备管理器里启用/禁用设置为不处理设备。审计结果处理上报服务器:就是将审计统计上报到服务器并进行统计。当用户端脱离网络时无法上报到服务器就统计到当地,等用户端接回网络时再上报到服务器。统计到当地文件
27、:会在当地生成文件统计审计信息。起到在当地备份作用。表2- 2硬件设备控制参数说明注意事项:1假如要对原来禁用设备启用,最好是明确为该设备制订一条启用策略。2禁用u盘、软驱、光驱等一部分功效,在行为管理和审计策略中可移动存放审计策略中也可完成,功效上没有什么区分,用户能够依据自己习惯,自行设定。策略实例:许可使用光驱,不过严禁使用刻录光驱。比如有两个光盘驱动器,分别为:Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上能够看出后面一个驱动器为刻录光驱,假如要严禁刻录光驱,则能够将光驱项设置为许可,在【例外】中
28、输入MATSHITA UJDA745 DVD/CDRW或其中一部分,只要能经过该标志确定是一个可刻录光驱即可。 因为基础上可刻录光驱全部带有CDRW字样,【例外】中能够输入CDRW。多个例外之间用分号(;)(英文半角格式)分隔,以下图所表示:图2- 4硬件设备控制进程及软件管理软件安装监控功效说明:用于监控用户端安装软件是否违规并对违规行为做出对应处理。参数说明:参数说明软件名设置需要进行控制软件名称,填入需要监控软件名称后,点选【添加控制】按钮,假如想要控制更多软件,输入软件名称后,继续点选【添加控制】按钮,以这类推,能够继续添加需要控制软件。同一类软件能够使用具体策略,包含“严禁安装软件”
29、、“必需安装软件”、“许可安装软件”三个选项,这个具体选择能够依据管理员需要自行设定。假如想要取消对某个软件控制,请在列表处选定软件名称,然后点击【删除控制】按钮。还能够添加系统定义黑名单和自定义黑名单,并分别配置违规处理方法、高级设置项。其它软件处理当选中“许可安装软件”,再勾中“除以上列表软件外,安装了其它任何软件全部视为违规项”,表示只许可安装列表中软件,安装其它软件均视为违规,即实现对软件安装限制功效。当选中“控制状态”是“严禁安装软件”,同时选中【其它软件处理】复选框,那么安装任何软件全部是违规。以上软件安装违规处理指选定对象假如违反了上述软件安装监控策略处理方法。不处理方法,是指不
30、处理违反策略对象,不过,相关违规统计能够在Web管理器中查询。仅提醒方法,是指当选定对象用户假如违反了策略,将在用户端弹出管理员设置提醒信息。断开网络方法,是指当本策略启用时,选定策略管理对象,假如违反了本策略,将对该计算机进行断离网络处理,同时,该计算机弹出管理员设定提醒信息。表2- 3软件安装监控策略参数说明策略实例: 图2- 5软件安装监控策略注意事项:1“软件名”要和控制面板中添加删除程序里软件程序名一样,该功效支持模糊查询技术,比如在要检验是否安装了QQ,可能因为多种版本不一样,在“添加删除程序”里显示是QQ或QQ,这时您能够只输入QQ。2静默卸载功效不支持模糊匹配,需要填写跟添加删
31、除程序中名称完全相同。3为了维护方便,提议管理员将施行安装或严禁安装需求不一样软件,放在不一样策略中管理,假如同一软件在不一样策略中设置不一样,那么,取最终一个策略设置为准。4本策略设置时,提议在高级设置,策略触发方法中,选中开启时触发和间隔触发选中,间隔时间10分钟左右。进程实施监控功效说明:用于监控用户端运行进程,并做对应处理。先添加需要监控进程信息,再配置违规处理方法。参数说明:参数说明进程/服务名需要进行监控进程或服务名称,进程名称能够从windows任务管理器进程菜单中查询。填入需要监控进程名称后,点选【添加控制】按钮,假如想要控制更多进程,输入进程名称后,继续点选【添加控制】按钮,
32、以这类推。进程名获取方法:右击任务栏选择“任务管理器”。“进程/服务名”处也可填写“*”,比如,进程/服务名:*,产品名称:Microsoft Office 11 Professional,控制状态:必需运行,即表示必需运行Microsoft Office 11 Professional产品全部进程。产品名称需要进行监控产品名称,产品名称能够从需要监控文件,鼠标右键点击需要监控可实施文件,从其中产品名称中看到,填入需要监控产品名称后,点选【添加控制】按钮,假如想要控制更多产品名称,输入产品名称后,继续点选【添加控制】按钮,以这类推。源文件名需要进行监控具体可实施程序名称,源文件名能够经过鼠标右
33、键点击可实施文件找到。填入需要监控源文件名称后,点选【添加控制】按钮,假如想要控制更多源文件,输入源文件名称后,继续点选【添加控制】按钮,以这类推。能够设置更多需监控项目。控制状态针对具体进程、产品、源文件,具体控制状态有三种,包含“严禁运行”、“必需运行”和“许可运行”,这个具体选择能够依据管理员需要自行设定。假如想要取消对某个软件控制,请在列表处选定具体进程、产品、源文件名称,然后点击【删除控制】按钮。其它进程处理选中“许可运行”并勾中“除以上列表进程外,不许可其它进程实施”,则表示只许可进程列表中进程运行,其它进程均视为违规,即实现对进程运行限制功效。以上多种情况违规处理指选定对象假如违
34、反了上述监控策略处理方法。关机方法,是指当本策略启用时,选定策略管理对象,假如违反了本策略,将对该计算机进行2分钟后自动关机处理,同时,该计算机弹出管理员设定提醒信息。表2- 4进程实施监控策略参数说明策略实例: 图2- 6进程实施监控策略注意事项:1进程名称、产品名称、源文件名之间是“或”关系,填入其中一项或多项均可实现监控功效,其中,产品名称,关键用于监控一系列软件使用,比如说,qq不一样版本程序名不一样,不过产品名称是相同。源程序名作用,关键是为了预防可实施程序被人手动修更名称而避过安全系统管理策略。2本策略设置时,提议在高级设置-策略触发方法中,选中开启时触发和间隔触发,间隔时间5分钟
35、左右。3开启路径为全路径或系统默认路径。进程保护策略功效说明:设置需要保护用户进程,预防被保护进程被非法关闭。策略实例:图2- 7进程保护策略注意事项:1这里进程保护是指使用windows任务管理器和通常应用程序无法终止该程序。2这里被保护进程,仍然能够在策略中心“进程实施监控”中进行终止,请管理员注意相关策略设置。主机安全策略用户密码策略功效说明:此策略能够对系统当地密码策略、当地帐户锁定策略、系统屏保进行设置,同时能够检测系统密码弱口令,除系统自定义弱口令外,用户能够自己添加自定义弱口令集。参数说明:参数说明检测到系统弱口令后当系统检测到用户端采取了弱口令后能够采取“上报”、“提醒”两种方
36、法,即上报给区域管理器或依据管理员设置提醒信息给用户端发出提醒。附加弱口令列表依据各单位名称等不一样,自己添加需要探测弱口令,每个弱口令之间用,分隔。表2- 5用户密码策略参数说明注意事项:1在windows系统密码策略中,策略是指密码长度。2“弱口令检验”和“当地账户锁定策略”不能同时设置,不然弱口令用户可能会被锁定,无法使用!也不能对同一台计算机分配两个这么策略。3检测系统弱口令,原理是使用每个列表中弱口令来尝试登录计算机,它并不修改任何windows系统文件,本策略不会造成任何计算机不稳定状态。4用户密码策略:只适适用于标准版操作系统,番茄花园版不支持;系统屏保设置:重启后生效;弱口令列
37、表需要手动添加。用户权限策略功效说明:检验系统用户、系统用户组权限改变和系统用户、系统用户组增加或降低。 当以上某一条件符合时,则弹出对应提醒信息。依据需要,在对应菜单中选择上报或在用户端提醒报警方法,还有两种报警方法同时启用方法,假如选择中有提醒信息选项,将在用户端弹出管理员设定提醒信息窗口。注意事项:1本策略各项均在Windows系统控制面板中“用户和密码”项或控制面板中管理工具文件夹里计算机管理程序中用户菜单来实现,本策略只提供对应监测功效,不对您修改善行限制。协议防火墙策略功效说明:本策略是基于多种网络协议原理和多种网络软件对网络实际应用,用来控制多种网络使用和计算机端口使用,起到防火
38、墙作用。参数说明端口连接控制规则协议类型计算机能够进行很多网络应用,多种应用全部是基于网络上服务器提供服务。不一样服务是采取不一样端口提供,经过这种端口方法,计算机才能够和外界进行互不干扰通信。Tcp/udp协议,网络通信协议,基础上全部网络服务全部使用它们作为通信标准。系统在这里经过控制计算机端口和对应网络协议,对计算机用户网络操作进行监管。我们能够经过在windows下dos窗口输入“netstat a”命令来查看本机打开端口和多种端口正在被哪种服务使用,且这个服务使用是哪种协议。同时,我们也能够经过软件相关说明文档得到这些信息。我们在端口处填入我们查询到需要控制软件使用端口,在协议选择下
39、拉菜单中选择对应tcp/udp协议。“当地端口”和“远程端口”两个选项,其中,当地端口是指在网络使用中,当地计算机使用端口,假如选择这个选项,则在本策略对象范围内计算机无法开启使用该端口服务;远程端口是指在网络使用中,当地计算机能够开启本服务,不过无法访问远程计算机提供对应服务端口。管制方法“禁用填充项中指定端口,开放其它端口”选项是指仅禁用在上边填写端口和其所对应服务,同时开放其它全部端口,使其能够使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中端口和其所对应服务,并不改变其它端口现在状态。“开放填充项中指定端口,禁用其它端口”是指,仅开放在上边填写端口和其所对应服务,同时关闭其
40、它全部关口和网络服务,“开放填充项中指定端口”是指开放在上边填写端口和其相对应服务,并不改变其它端口现在状态。选定需要选项后,点击“添加端口连接控制规则”按钮,所设定控制将出现在页面下端控制列表中。ICMP协议控制规则指系统对ICMP协议控制,关键是经过判定计算机间相互通信是否正常来判定。通常来说,只要实施MS-DOS窗口下ping命令即可系统对icmp协议控制,关键是经过判定计算机间相互通信是否正常来判定。通常来说,只需要实施ms-dos 窗口下ping命令即可。“严禁ping入”是指不许可其它计算机(包含局域网计算机和远程计算机)用ping命令来检测当地计算机通信状态。“严禁ping出”是
41、指不许可设置对象用户机用ping命令来检测其它计算机(包含局域网计算机和远程计算机)通信状态。“严禁双向”同时严禁任意两台计算机(最少有一台是当地计算机)通信检测。设定好后,点击“添加icmp协议控制规则”按钮,所设定控制将出现在页面下端控制列表中。IP访问控制规制ip地址输入需要限制网络使用计算机ip地址或ip地址范围。管制方法“只许可填充项中ip地址访问自己,严禁其它ip地址访问”是指,在设定ip地址范围内计算机,每台计算机能使用策略生效范围内计算机网络资源,其它计算机无法访问该策略范围内计算机。“只许可自己访问填充项中ip地址,严禁访问其它ip地址”是指,本策略生效范围内计算机只能访问在
42、设定ip地址范围内计算机网络服务,不能访问其它计算机提供网络服务。设定好后,点选“添加ip访问控制规则”,所设定控制将出现在页面下端控制列表中。以上多种选项在设定后,假如需要去掉,只要在控制列表中,点选,然后点击下边“删除规则”按钮。超级IP指是本IP不受上边制订全部策略限制。默认内网管理服务器IP为超级IP超级端口指本端口和所对应服务不受上边制订全部策略限制表2- 6协议防火墙策略参数说明策略实例:以下图所设置一个样例表示:只开放当地计算机80端口;只许可192.168.0.11-192.168.0.120该IP地址段中IP访问当地计算机;严禁其它计算机ping入。图2- 8协议防火墙策略注意事项:1
浙ICP备2021020529号-1 | 浙B2-20240490 
