桌面管理产品手册.doc

1、 NetStrong使用说明书 网强信息技术（上海）有限公司 2010-6-30 1. . 版权声明 法律声明 本文档中的信息如有更改，恕不另行通知。 ©（2009）NetStrong Information Technology (Shanghai) Corporation Limited。版权所有，翻印必究。 未经NetStrong Information Technology (Shanghai) Corporation Limited书面许可，除非版权法允许，不准以任何形式对本文档进行复制、改编或翻译。 网强®信

2、息技术（上海）有限公司对本手册不作任何担保 包括但不限于适销性和特定用途适用性的隐含担保。网强®信息技术（上海）有限公司对本手册中包含的错误以及与其功能或使用有关的直接、间接、特殊、偶发或者继发性损失不负任何责任。 保修 网强®信息技术（上海）有限公司承诺若是在保修期间（自您收到软件之日起的三十天内）装载软件的介质确实出现质量问题，网强®信息技术（上海）有限公司将视情况而定，绝对负责更换相同类型的软件介质产品。网强®信息技术（上海）有限公司保证，更换的软件介质，其品质完全相同。 可以从当地销售与服务机构索取适用于您所购买的NetStrong网强®产品及更换部件的特定保修条款。

3、有限权利许可 与许可协议一起提供的软件是网强®信息技术（上海）有限公司或其授权者的财产，受到版权法的保护。网强®(信息技术（上海）有限公司拥有该软件最终所有权，您只要接受本许可协议，即可具有一定的使用权利。 除非本许可证协议的补充协议有所修改，否则您使用本软件的权利和义务仅限如下： （1） 若在装载本软件的介质中只包含一个版本，则只能安装一套软件，若介质中包含该软件的多个版本，则只能安装和使用其中一个版本的副本。 （2） 对软件介质中装载的文件进行备份，或者复制到计算机硬盘中而将原始文件作为档案进行保存。 （3） 若您不保留该软件的副本，并接受被转让人同意遵守本许可协议的条件，在您向

4、网强®信息技术（上海）有限公司发出书面通知以后，得到网强®信息技术（上海）有限公司的官方允许，可以将该软件介质永久性的转让给个人或公司实体。 （4） 不可以复制复制本软件附带的相关文档 （5） 不可以再次授权、出租、或出借本软件的任何部分 （6） 不可以通过反向工程、反编译、反汇编、修改、翻译和其他方法来试图获取该软件的源代码，或用该软件进行派生工作。 商标许可 NetStrong，网强® 是在中国的注册商标由 NetStrong Information Technology (Shanghai) Corporation Limited独家授权。 本文档中使用的商标

5、Intel和Pentium是Intel Corporation的注册商标；Microsoft、Windows、Windows NT是Microsoft Corporation的注册商标。 本文档中述及的其它商标和产品名称是指拥有相应商标和产品名称的公司或其制造的产品，NetStrong Information Technology (Shanghai) Corporation Limited对其它公司的商标和产品名称不拥有任何专利权。 注意： （1） 本操作手册需要统一制作和印刷，软件中包含的某些功能模块需要另外购买，因此不能保证所安装的软件产品中具有本操作手册中所描述的某些功能模

6、块。 （2） 网强®信息技术（上海）有限公司仅允许您在接受许可协议中的各项条款的情况下，才可以使用本软件产品。请仔细阅读各项条款。 目录 第一章 服务器部署 1 l 服务器要求 1 n 服务器硬件要求 1 n 服务器软件要求 1 l 服务器软件配置 1 n 安装IIS和SMTP 1 n Office组件配置 3 l 服务器安装 4 第二章 服务器基本配置 5 l 基本配置 5 n 创建域并添加域管理范围 5 n 添加组织结构 6 n 更新注册程序和打包注册程序 6 第三章 客户端部署 9 l 客户端部署 9 n

7、 网页注册方式 9 n 分发客户端注册程序 11 第四章 功能点说明 13 l 系统分析 13 n 事件统计 13 n 资源统计 13 n 注册统计 14 n 设备统计 15 l 系统管理 16 n 全局配置 16 n 系统配置 16 u 扫描器管理 16 n 注册管理 17 u 注册程序管理 17 u 终端升级控制 17 u 设备注册控制 17 u 注册终端卸载 18 u 未注册阻断列表 18 n 系统用户 19 u 用户管理 19 u 系统权限 20 n 登录用户 21 u 我的用户 21 u 访问权限 21 n 数据库管理 21 n 系统

8、日志 22 u 登陆日志 22 u 操作日志 22 l 资产管理 23 n 设备管理 23 u 注册设备管理 23 u 分组管理 26 u 未注册设备管理 27 u 设备开关机 27 n 资产统计 27 u 软件资产分类 28 u 硬件资产 28 u 软件资产 28 u IP资源统计 29 u 硬件变更 29 u 软件变更 30 l 策略介绍 31 n 什么是策略 31 n 策略由哪几部分组成 31 n 策略的种类 31 n 策略的执行方式 31 n 策略怎么配置 31 u 策略创建 31 u 基本策略 31 u 高级选项 31 u 分配对象

9、32 n 策略的日志 32 l 接入控制 33 n 控制策略 33 u 非法外联控制 33 u IEEE 802.1x认证 35 n 日志查询 35 u 非法外联控制日志 35 l 终端安全 36 n 系统知识库 36 u 知识库采集配置 36 u 文件知识库 36 n 终端服务 36 u 终端点对点服务 36 u 远程协助 38 u 文件分发 40 u 软件部署与安装检查 41 n 安全策略 41 u 进程执行控制 41 u 服务执行控制 42 u 外设接口控制 42 u 网络接口控制 43 u 防火墙策略 43 u 用户账号策略 43 u A

10、rp防护 44 u 共享管理 45 n 事件日志 45 u 文件分发日志 45 u 软件部署日志 45 u 进程执行控制日志 45 u 服务执行控制日志 46 u 外接接口控制日志 46 u 网络接口控制日志 46 u 用户帐号事件日志 47 u 共享事件查询日志 47 l 用户行为 48 n 配置管理 48 u URL仓库 48 n 行为策略 48 u 上网行为审计 48 u 上网行为控制 49 u FTP行为审计 50 u FTP行为控制 51 u 本地文件审计 51 u 剪贴板审计 52 u 光驱使用控制 52 u 邮件行为审计 52 u 邮

11、件行为控制 53 u 访问共享审计 54 u 即时通讯审计 54 n 用户行为日志 55 u 上网行为审计日志 55 u 上网行为控制日志 55 u FTP行为审计日志 55 u FTP行为控制日志 55 u 本地文件审计日志 55 u 剪贴板审计日志 55 u 光驱使用记录日志 55 u 邮件行为审计日志 55 u 邮件行为控制日志 56 u 共享行为审计日志 56 u 即时通讯审计日志 56 l 运维管理 57 n 运维策略 57 u 网络数据包捕获 57 n 运维查询 58 u 网络数据包统计分析 58 u 网络数据包事件日志 58 l 移动介质

12、 60 n 安全移动介质的制作 60 n 安全介质标签管理使用说明 62 u 什么是“标签” 62 u 怎么管理标签 62 u 为安全移动介质打上标签 63 n 移动介质的管理 63 u 安全移动介质的使用管理 63 u 移动介质策略管理 64 n 操作日志 65 u 安全介质操作日志 65 u 安全介质使用日志 66 u 普通介质使用日志 66 u 安全介质变更日志 66 n 安全移动介质的注销和重新注册 67 n 客户端安全浏览器UDE的使用说明 67 u 安全移动介质在内网中的使用 67 u 安全移动介质在外网中的使用 69 l 补丁分发 70 n

13、分发配置 70 u 补丁列表 70 n 补丁策略 71 u 补丁测试策略 71 u 补丁安装策略 72 u 补丁卸载策略 72 n 统计分析 72 u 补丁策略分析 72 u 全网补丁安全分析 73 u 终端补丁统计 73 u 补丁安装结果分析 73 u 补丁分发日志统计 74 u 补丁卸载日志统计 74 l 级联管理 75 n 级联管理 75 u 级联配置 75 u 级联审核 76 u 管理中心拓扑 76 u 管理中心日志 77 n 安全策略 77 n 行为策略 77 n 站点策略 77 n 级联订阅 78 u 订阅策略 78 n 级联数据 7

14、8 u 级联设备 78 u 级联数据日志 79 u 级联数据分析 79 l 系统报表 79 n 报表管理 79 u 报表管理 79 n 报表策略 80 u 数据统计分析 80 u 图形统计报表 81 u 对比分析报表 82 u 临时报表 82 n 报表日志 82 u 报表日志 82 1. 第一章 服务器部署 l 服务器要求 n 服务器硬件要求 u CPU推荐四核1.6（及其以上） 最低双核 2.0 u 内存推荐4G（及其以上） 最低2G u 硬盘推荐500G（及其以上） 最小80G u 网卡推荐1000M网卡（及其以上）

15、 最低100M网卡 n 服务器软件要求 u Windows Server 2003系统（至少安装SP1补丁，建议安装SP2补丁） u Microsoft SQL Server 2005中文版（标准版、企业版）及其以上版本（不支持MS SQL Server 2000 数据库） u Microsoft Office 2003及其以上版本（至少安装Word和Excel） u IIS 6.0（需要安装SMTP服务） u Microsoft Framework.Net 2.0 l 服务器软件配置 n 安装IIS和SMTP 首先在服务器光驱中放入Windows Server 2003

16、的安装光盘。依次打开【控制面板 – 添加或删除程序 – 添加/删除Windows组件】，并找到应用“应用程序服务器”，点击进入之后，找到“Internet信使服务（IIS）”，在其前边点上对勾，再从“Internet信使服务（IIS）”点击进去，找到“SMTP Service”并在其前边点上对勾。然后依次点击“确定”，如果弹出插入光盘的提示，请先核对光盘是否正确，光驱是否能够正常读取光盘，以及Windows提示的安装位置是否正确，如果安装位置不正确，需要用户手工输入正确的文件地址。选择IIS部分的操作截图如下： 对SMTP服务的中继服务进行配置，如下图所示： 安装完成IIS

17、之后，需要确保IIS上的“Web服务扩展”中的Asp 2.0项启用（由于IIS和Microsoft Framework.Net 2.0的安装顺序可能会导致“Web服务扩展”中的Asp.Net 2.0组件被禁用的情况， n Office组件配置 依次打开【控制面板 – 管理工具 – 组件服务】，并在【组件服务】中依次找到【组建服务 – 计算机 – 我的计算机 – DCOM配置】，在【DCOM配置】中找到【Microsoft Excel 应用程序】和【Microsoft Word 文档】项，对其“属性”中“安全”选项卡中【启动和激活权限】、【访问权限】、【配置权限】三项中分别添加“NETWOR

18、K SERVICE”用户，并对该用户赋予全部权限，如下图所示： l 服务器安装 双击setup.exe启动安装程序，依次选择MS SQL Server数据库服务器，并输入管理员用户名和密码，选择安装目录，进行安装即可。 第二章 服务器基本配置 在使用系统之前需要对系统进行基本的配置，配置需要通过IE浏览器（IE6、IE7、IE8）或者IE内核的浏览器进行配置，并使IE浏览器打开JavaScript脚本支持（不支持：Mozilla Firefox、Netscape Navigator、Opera、Google Chrome等非IE内核浏览器）。 使用浏览器登录到管理平台，需

19、要注意区分主机名和虚拟目录名，登录账号和密码为安装程序中设置的用户名和密码。 特别注意：第一次登录的时候，需要选择本套系统的工作模式：【集权模式】和【三权分离】，如下图所示： 一旦选择了工作模式，在以后的使用中即无法修改其工作模式。请根据页面提示信息，选择适合的工作模式。 l 基本配置 n 创建域并添加域管理范围 “域”是用来对内网中的设备以IP为依据，进行管理的集合。首先需要添加一个“域”，域的名称可以是任意的，便于管理员管理即可，“域”的管理范围有以下三种【管理IP】、【扫描IP】、【保留IP】。 u 【管理IP】：一个IP范围或一个IP地址，本管理IP范围内的计算机可以

20、在服务器上进行注册并接受管理，在该范围内的未注册设备会被阻断网络通讯。 u 【扫描IP】：一个IP范围或一个IP地址，本扫描IP范围内的计算机可以在服务器上进行注册并接受管理，在改范围内的未注册设备不会被阻断网络通讯。 u 【保留IP】：一个IP范围或一个IP地址，本保留IP范围内的计算机无法在服务器上进行注册也无法接受管理。 如下图所示： n 添加组织结构 组织结构是便于管理员对本系统所管辖范围内的计算机从逻辑上进行区分，建议该逻辑采用行政级别划分。 n 更新注册程序和打包注册程序 完成了对域的配置和组织结构的配置之后，就可以对客户端的注册程序进行配置了，如下图所示：

21、 其中组织结构是属于注册信息中的必选项，而其它的信息可由管理员进行配置，可以选择相应的注册信息是否是“必填项”。如果选用了【静默注册】则注册密码项不生效。 注册密码：用于客户端通过浏览器进行注册的时候进行身份认证，建议在非系统部署阶段将该密码进行修改，以提高内网系统中的设备的可信性。 DMZ通讯IP：适用于需要将服务器的IP地址在和被管理设备进行IP地址转换的情况下适用，例如将NetStrong服务器安装到了DMZ服务区，或者适用NAT进行了地址转换等情况。DMZ通讯IP地址需要配置成被转换的地址，而非当前服务器的真实IP地址；而DMZ的通讯端口需要和服务器的688端口做好映射关系，在通

22、讯端口配置好映射的端口即可。（如果没有IP地址转换的话，则无需进行DMZ项的配置） 注册信息项扩展：当系统默认的注册信息项不能满足实际需求的时候，管理员可以通过点击【系统管理>注册管理>注册程序配置】页面上的【编辑扩展字段】按钮，对需要的信息进行扩充。目前扩充的信息有两种形式：“文本框”和“列表框”。 如下图所示。 特别注意：当管理员变更了【域管理范围】、【组织结构】、【注册信息项】、【注册密码】的时候，务必要点击页面上的【打包注册程序】进行打包，只有经过打包，注册页面以及相应的注册信息才会进行更新。 *打包：对注册程序的更新以及重新制作的过程。 完成了上述三步之后，即完成了

23、服务器基本配置，就可以开始进行客户端注册了。 在操作接口上有【系统配置向导】按钮，点击它可弹出服务器基本配置向导，可按照该提示完成服务器基本配置，如下图所示： 第三章 客户端部署 l 客户端部署 客户端部署有以下两种方式：一是采用网页注册的方式；二是采用分发客户端注册程序的方式。下面就两种部署方式分别进行介绍。 n 网页注册方式 网页注册：为用户提供了通过IE浏览器（或者基于IE浏览器的） 下面详细介绍操作流程。 1) 首先安装好web控制中心和中心服务器。使得客户端可以通过web控制中心页面正常的访问中心服务器。 如下图所示： 终端用户可以通过IE浏览器正常访

24、问web控制中心 确保中心服务器正常启动、进程正常运行 2) 终端用户访问web控制中心 点击web控制中心页面上的“客户端注册”按钮进行注册。如第一次注册会提示客户端未安装注册插件，根据IE安全级别设置的不同可能会阻止IE下载ActiveX插件或者停止安装Active插件下载。如下图所示： 打开IE的“Internet 选项”，找到“安全”选项卡，将“可信站点”的安全级别设置为“低”（根据IE版本不同，该项设置的最低安全描述可能会是“中低”，如遇到该情况，请在“本地Intranet”中进行web控制中心平台的设置），并在“站点”中添加web控制中心的访问地址。如下图所示：

25、 对web控制中心的地址进行添加 依次确定之后，重新访问注册页面，会根据IE安全级别设置的不同分别弹出以下两种对话框。 点击“是”允许ActiveX进行交互操作 点击“安装”进行IE插件安装 依次添入注册信息，并点击注册按钮完成注册。 3) 客户端重新注册 客户端允许重新注册，重新注册的过程同上一步。会弹出询问对话框，点击“确定”进行重新注册。 重新注册 n 分发客户端注册程序 1) 在通过“系统配置向导”进行基本配置并完成“打包注册程序”步骤后，客户端注册程序就已生成在服务器目录。只需将该注册程序拷贝出来分发给客户端即可完成客户端注册。 注意：以分发客户端注

26、册程序的方式进行客户端注册的时候，要求在进行系统基本信息配置的时候，不能配置注册密码，即在操作“更新注册程序”步骤的时候请不要勾选启用“注册密码”选项；如启用过，请关闭“注册密码”选项，并依次点击“确定更新”和“打包注册程序”按钮。如下图所示。 打包注册程序前请确认“注册密码”选项没有启用 2) 在服务器上找到安装中心控制台的安装目录，并依次打开...\NetStrong\WebConsole\bin\DownLoad，在该目录下存在一个由数字描述的文件夹，打包好的客户端注册程序就在该目录下。 3) 将找到的RegistPkt.exe文件进行分发，完成客户端注册过程。 说明1：使用

27、客户端注册程序进行注册的用户，其组织结构会被列到第一个根目录下。 说明2：使用其它的系统分发RegistPkt.exe的时候，让客户端自动运行的话，不需要对RegistPkt.exe程序进行参数设置。 第四章 功能点说明 l 系统分析 本节内容介绍了系统分析功能下所展现的数据的含义以及相应的操作。 系统分析下主要展现了终端用户行为日志统计、终端设备资源统计、内网用户注册统计和内网设备统计。 n 事件统计 事件统计主要对内网终端用户行为的记录进行数量统计，并可根据用户行为类型进行用户定义时间段的走势分析。可选取按照日、周、月、季度和自定义范围进行展现。 n 资源统计 资

28、源统计对内网终端设备进行统计，从主要的硬件（CPU、硬盘、内存）对内网终端资源进行展现，除此之外对内网终端设备的软件（操作系统、杀毒软件）进行信息采集，进行展现。 n 注册统计 注册统计对内网中所能扫描到的网段中的设备进行扫描，并对注册设备和未注册设备进行统计。同时提供对历史注册情况的查询功能。 n 设备统计 设备统计提供了对可扫描的网段内的设备的注册情况按照是否在线和设备类型进行统计的展现。 l 系统管理 系统管理提供了对管理本套系统的基本配置，主要包含以下几方面的内容：系统管理域配置、系统组织结构配置、用户注册信息配置、下级管理员建立和权限分配、登录用户管理、数

29、据库查看、登录日志查看等。 n 全局配置 在控制选项中对系统左上角的logo进行配置，对远程协助的密码进行配置。 n 系统配置 系统配置中对系统域管理范围和内网组织结构进行配置。这两项配置需要在初次使用系统之前进行配置，否则无法正常使用本系统。详细配置请参看“第二章 服务器基本配置-基本配置过程-创建域并添加域管理范围”和“第二章 服务器基本配置-基本配置过程-添加组织结构”部分。 u 扫描器管理 扫描器管理实现了对内网中设备进行指定扫描器的操作。 *扫描器：用来发送扫描器探测包的设备。如果一个域中安装了任意一个代理程序，那么就会在该管理域中，对内网上的设备进行扫描。这样专门

30、的一个安装了代理程序的设备，我们称之为扫描器。 扫描器的管理页面如下： 如上图所示，在左侧的“当前扫描器”一栏中，显示的是在当前网段中正在充当扫描器的设备。在右侧的选择列表中，可以选择指定的扫描器，通过“添加”按钮，将选中的扫描器放到“扫描器配置列表”中。 如果扫描器配置列表中的设备都关机的话，则会从开机设备中自动的选择一台设备作为扫描器。出现如上图所示的情况。 如果要修改当前“扫描器配置列表”，只需要更改扫描器配置列表（添加或者删除扫描器），然后点击“启用更改配置”按钮。如图所示： n 注册管理 u 注册程序管理 注册管理提供了客户端注册程序的配置功能，在该页面上可以对

31、客户端注册程序进行配置。详细配置请参看“第二章 服务器基本配置-基本配置过程-更新注册程序和打包注册程序”部分。 u 终端升级控制 终端升级控制提供了对终端设备代理程序（探头程序），进行升级的控制的功能。在内网中部署好的设备，在升级情况下需要保证代理程序不会因为升级而造成灾难性破坏，例如蓝屏、系统死机、代理程序性能等现象。终端升级控制，允许小部分测试设备先进行升级，通过测试之后再进行大面积升级的功能。如图： 图中提供了两种升级方式：1、全网升级。2、升级以下列表中的对象。下面就这两种方式进行说明： 全网升级：不需要配置“分配对象”，当管理员决定对内网中所有的设备进行升级的时候，只需

32、要选择“全网升级”并对策略进行保存和重启就可以完成全网设备升级。 升级以下列表中的对象：对升级对象进行配置，仅仅对配置了的终端进行升级。 注意：在测试过程中升过级的设备，在配置了全网升级策略的时候，将不会再次升级。如果探头重新安装，则会在收到升级策略之后进行升级。 u 设备注册控制 设备注册控制提供了对接入内网设备注册情况的管理。如果接入的内网设备没有进行注册的话，则可以通过开启对未注册设备的阻断，使未注册设备无法上网。如果只是想要对未注册的设备发出警告的话，则可以选择警告提示即可。如图所示： u 注册终端卸载 注册终端卸载提供了对已经注册的设备的注册终端进行卸载的功能。如图所

33、示： 终端卸载可以按照组织结构、IP范围和设备对象分别进行卸载，添加好卸载设备之后，点击“确定卸载”按钮确认卸载。 u 未注册阻断列表 未注册阻断列表主要是在开启了“设备注册控制”中的“没有注册则阻断联网”功能之后（如下图），设备的通讯被阻断，其阻断信息会在该页面展现。 对于没有注册且被阻断的设备，管理员可以通过该页面上的“取消阻断”按钮，对阻断的非注册设备取消断网功能，也可以通过“设置阻断”按钮，持续对非注册设备的断网阻断功能。如下图： n 系统用户 系统用户提供了对下级管理员的管理和权限分配的功能。 u 用户管理 用户管理：为顶级管理员或者有用户管理权限功能的下

34、级管理员创建下级管理员的功能。如图所示： 在用户管理页面可以创建下级“管理用户”，每个创建出来的管理用户，其初始密码是123456。可以对用户有效期进行设置，默认情况下用户为永不过期的。 *三权模式下的区别：在三权模式下，系统管理员可以创建管理用户和策略管理用户。日志管理员（audit）负责创建日志审计用户。 u 系统权限 系统权限：新建用户后，须对该新建用户其分配权限和设置管理的对象。 如上图所示，在“选择用户名称”处选择要分配权限的用户，并选择要赋予该用户的权限。 完成为新建用户权限选择后，点击“管理对象”选项卡，为该用户选择管理对象，点击确定更新按钮完成操作

35、 n 登录用户 u 我的用户 对当前登陆用户的用户信息的显示和当前用户密码的修改。 u 访问权限 访问权限是某用户对允许自己的“用户名”登陆“管理中心控制台”的IP地址的设置。若该登陆用户对该项没有进行任何设置，则系统默认为该用户在内网的任何IP地址的计算机上均允许访问。如用户设置的访问权限为：允许访问网段192.168.1.1—192.168.1.100，则只允许该用户在192.168.1.1—192.168.1.100内的IP地址的计算机登陆“管理中心控制台”， 禁止该用户在其他IP地址的计算机上登陆“管理中心控制台”。 注：“访问权限”是当前登陆用户为本身登陆管理中

36、心控制台进行的IP地址的限制，该登陆用户对该项的设置，不影响其他用户的登陆。 n 数据库管理 提供了服务器上数据库和磁盘占用情况的统计，在磁盘剩余空间不足的时候，会提示管理员。如图所示： n 系统日志 u 登陆日志 记录登陆“管理中心控制台”用户的登陆时间、登录地址、登陆状态等信息。可根据相关条件进行查询。 u 操作日志 记录所有登录用户在“管理中心控制台”的所有操作。可根据相关条件进行查询。 l 资产管理 n 设备管理 u 注册设备管理 对已注册设备相关信息的查看和管理。如下图所示，在注册设备列表中显示了所有当前已注册设备的IP地址、Mac地址、设备类型等信息，所显

37、示显示的列，可通过点击“自定义显示列”按钮进行设置。 通过点击“自定义显示列”按钮，可对所显示的注册设备信息的内容、顺序和列长度进行设置，如下图所示。设置完成后点击“确定更新”按钮进行保存。“自定义显示列”的设置只对当前登录用户自己显示效果起作用，不影响其他用户。 已注册设备，可通过选择“检索项”，输入相关信息，如使用人、IP地址、联系电话等信息进行查询。若需要对特定条件，如操作系统、公司部门、硬件信息等进行查询时，可通过点击“高级查询”按钮查询，如下图所示。 在“注册设备信息列表”中所显示的信息，可通过点击“输出Excel”按钮，以EXCEL格式导出所有的数据。点击“注册设

38、备信息列表”中对应的注册设备，在界面底部信息栏中的“基本信息”“信息变更”、“软件信息”、“硬件信息”、“安全状态”、“安全事件”和“历史变更” 选项卡中，会显示该设备的相关信息。 基本信息：在“基本信息”选项卡中显示了注册设备的“基本信息”、“注册信息”、“网络信息”和“扩展信息”。 “基本信息”中显示了该注册设备的设备名称、操作系统、CPU和硬盘等设备的基本信息。 “注册信息”中显示了该设备的注册信息，如设备注册时间及在注册时输入的相关信息。 “网络信息”中显示了该设备的IP地址、Mac地址。 “扩展信息”中显示了该设备在注册时输入的扩展信息。 信息变更：在“信息变更”选项卡中

39、显示当前设备在注册时输入的信息，该信息可在此处进行修改更新。如下图所示，在对应输入框中进行修改、编辑，点击确定更新，完成信息更新操作。当注册设备所属的组织改变时，可通过点击“设备迁移”按钮，在下图“选择目标组织结构”对话框中选择新的组织，点击确定按钮完成组织结构变更的操作。 软件信息：在“软件信息”选项卡中，对当前设备所安装的软件，按照“软件知识库”中设置的分类进行显示，如下图所示。 硬件信息：在“硬件信息”选项卡中显示当前设备的硬件信息，如下图所示。 安全状态：在“安全状态”选项卡中显示当前设备的杀毒软件和补丁安装情况，如下图所示。 安全事件：在“安全事件”选项卡

40、中显示当前设备所触发的策略事件，如下图所示，在每种策略事件中列出了所触发的策略次数、“今日事件”、“历史事件”和“历史事件走势分析”。可通过点击“今日事件”、“历史事件”和“历史事件走势分析”前的图标对其进行查看，如点击“进程执行控制”的“历史事件”和“历史事件走势分析”图标，弹出“进程执行控制事件统计”图。 在下图中，可通过点击“上一月”和“下一月”，可对每个月的“历史事件走势分析”曲线图进行查看。 历史变更：在“历史变更”选项卡中显示当前设备的软、硬件变更信息，如下图所示。 u 分组管理 对具有相似属性的设备（使用人）可以通过分组管理，将设备（使用人）从逻辑上进行分组，

41、并在制订策略的时候，通过对分配对象的配置对统一分组中是设备（使用人）分配一样的策略。如图所示： u 未注册设备管理 对当前管理网段中没有进行注册的设备进行展现，如图所示： u 设备开关机 对已经注册了的设备的开、关机情况进行记录，并根据设备的使用情况，统计出来设备的使用率。可以记录设备的开、关机频率，根据时间段统计设备的开、关机数量。如图所示： n 资产统计 u 软件资产分类 软件资产分类中统计了当前所有已注册设备上安装的软件，管理员可以根据实际的需求，对软件资产进行分类整理。“未知软件”：中包含了所有的未分类软件，是系统的默认分类，无法删除。可以通过“创建新类”按钮

42、创建各种管理分类，再分别往分类中添加软件列表。如图所示： u 硬件资产 硬件资产中记录了当前注册设备中硬件的统计，可以分别按照硬盘、CPU、内存、光驱、显卡、鼠标、键盘、声卡、主板进行查看，点击“查看清单”按钮，可以对详细信息进行查看。如图所示。 u 软件资产 软件资产，根据软件资产分类列表中对软件分类的划分，按照组织结构，对组织结构中使用的软件进行统计。如图所示： u IP资源统计 对“系统域划分”中所定义的IP地址范围，进行是否占用和注册的描述，如图所示： 图中绿色图标表示该IP地址，已经注册，黄色表示该IP地址没有注册，但是已经被占用，灰色表示该IP地址没

43、有被占用。 u 硬件变更 硬件变更中对当前已经注册的设备产生的硬件变更进行记录。在终端设备安装探头的时候，会对当前设备的硬件进行“快照”操作，当注册设备的硬件发生变更之后，则会对硬件信息进行对比，将发生变化的信息上报给中心服务器。如图所示： u 软件变更 软件变更中对当前已经注册的设备产生的软件变更进行记录。在终端设备安装探头的时候，会对当前设备的软件进行“快照”操作，当注册设备的软件发生变更之后，则会对软件信息进行对比，将发生变化的信息上报给中心服务器。如图所示： l 策略介绍 n 什么是策略 策略即是对终端管理的规定，可以理解成“管理规则”，我们可以针对不同的设备

44、制定相同的规则，也可以针对同一个设备制定不同的规则。 n 策略由哪几部分组成 策略由策略名称、基本策略内容、策略执行时间、策略分配对象等几部分组成；根据策略类型的不同，在某些特定的策略中，可能会缺少上述内容中的某些方面。 n 策略的种类 本系统中的策略可以分为基础策略、审计策略和控制策略三种类型的策略。例如：进程知识库采集属于基础策略；上网行为审计属于审计策略；外设接口、FTP行为控制等策略属于控制策。控制类策略有“处理方式”选项，而基础策略和审计策略没有该选项。 n 策略的执行方式 策略由管理平台进行配置，配置完成后，提交给中心服务器，由中心服务器统一分发给有策略的终端设备，终端

45、保存策略，然后由终端执行策略。 n 策略怎么配置 u 策略创建 输入策略名称（必须的）、策略描述，点击“创建策略”完成策略创建。不允许创建相同名称的策略。策略创建成功之后，会自动进入到“基本策略”界面，并可以通过该页面的“高级选项”、“分配对象”Tab页进行不同的配置切换，如图所示： u 基本策略 基本策略页面定义了一个策略的基本规则，各个策略之间主要的区别也在基本策略中进行体现。例如进程执行策略和服务执行策略的区别就是在于基本策略中控制对象的不同。后续各个章节具体功能的说明中，主要对基本策略中的内容进行说明。 u 高级选项 高级选项定义了制定的策略的执行时间（即策略的生效时

46、间）。 默认配置中策略生效时间是任意日期、任意时间。 可以根据需求定义策略生效时间：可以定义策略生效时间段、按照每周时间进行设置、可以定义特定的时间执行。如图所示： u 分配对象 分配对象中对策略执行对象进行设置，可以按照组织结构、IP范围、设备对象、自定义组来进行分配。如图所示： n 策略的日志 对于大多数的策略来说，策略都会产生日志，如下图所示： 从上图可知，每个策略都会在相同的模块中存在日志，因此在配置了策略之后，想要找到相应的日志的话，只需要在相同的模块中找到日志项即可。 l 接入控制 n 控制策略 u 非法外联控制 非法外联控制提供了对主机非法联

47、网、使用代理上网行为的监控。在判断非法联网的时候，使用探测外网地址的方式来完成，因此在策略中需要配置一个“外网地址”，该地址是相对的（相对内网地址而言），一般情况下，建议配置常用的、稳定的外网地址，例如.hk或，当然也可以配置例如192.168.1.20等相对外网的地址。 内网探测地址，可以配置常用的内网地址，例如192.168.1.1或192.168.1.254等类似的网关地址，如图所示： 探测地址：该地址仅仅用来代表“外网”的含义，并不需要用户真正的去访问该地址，才能进行探测，而是由探头自动进行对所设置的外网地址的探测。 禁止使用代理上网：检验使用IE代理上网，并自动禁止IE代理

48、上网。 同时连接内外网：在上述连接“外网”的基础之上，再增加了对连接内网的判断，连接内网的判断基础是是否能够和中心服务器联通。 仅在外网：当设备无法和中心服务器连通，而又能上“外网”的时候触发该条件。 脱离安全网：表示和内网地址、中心服务器无法正常连通的情况，终端关机不属于脱离安全网范畴。 在“仅在外网”的情况下发送邮件：与中心服务器失去通信时可以通过发送邮件的形式提醒管理员发生了“仅在外网”的违规事件。在使用该功能前，需要配置邮件发件人和收件人。 u IEEE 802.1x认证 IEEE 802.1x策略实现了对802.1x系统的透明认证功能，主要实现了以下两个功能：

49、1、对终端用户而言实现了网络接入透明认证。 2、对管理员而言实现了终端认证口令统一管理，防止口令丢失。 如上图中，“用户名称”填写802.1x的认证用户，“用户密码”填写802.1x认证用户的认证密码。 n 日志查询 u 非法外联控制日志 日志中记录了对非法外联策略产生的日志的记录，如图所示： l 终端安全 n 系统知识库 u 知识库采集配置 对终端进程采集进行配置，可以配置是否开启采集终端进程，并对是否进行进程文件上报进行配置。如图所示： u 文件知识库 文件知识库用来对文件分发和软件部署功能进行文件、软件库支持。在文件知识库中可以上传文件、软件到服务器上，再通过“文件分发”和“软件部署”策略向终端分发文件、进行软件部署。如图所示： 通过“上传文件”按钮，上传文件到相应的文件目录或软件目录下。如果在点击上传文件按钮的时候，出现了如下提示： 则需要将Web插件进行安装。安装方法请见“第三章 客户端部署 网页注册方式”章节的相关介绍。 n 终端服务 u 终端点对点服务 终端点对点提供了对终端直接查看和设置的支持，找到需要操作的终端设备，点击“确认控制”按钮，则会弹出点对点控制程序。该功能需要Web插件支持，需要首先安装Web插件。如图所示： 点对点功能中有以下几方面的功