VRVedp北信源内网管理系统用户使用手册.doc

北信源内网安全管理系统北信源内网安全管理系统 用户使用手册用户使用手册 北京北信源软件股份有限公司北京北信源软件股份有限公司 二二一一一一年年 支持信息支持信息 I 支持信息支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问 我公司网站 或者致电我司客服中心获得帮助和支持！ 热线支持：400-8188-110 客户服务电话86/87 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服 中心，感谢您对我公司产品的信任和支持！ 目录目录 I 正文目录正文目录 第一章第一章概述概述.1 特别说明 .1 产品构架 .1 应用构架 .3 第二章第二章北信源内网安全管理系统北信源内网安全管理系统.5 策略中心 .5 策略管理中心5 网关接入认证配置26 阻断违规接入管理26 补丁分发 .26 数据查询 .26 本地注册情况统计26 本地设备资源统计27 本地设备类型统计27 USB标签信息查询27 设备信息查询27 审计数据查询29 分发数据查询29 非Windows操作系统设备.29 终端管理 .30 终端管理.30 行为控制.30 远程协助.31 运维监控 .31 报表管理 .32 报警管理 .32 报警数据查询33 本地区域报警数据统计33 本地报警数据汇总33 级联总控 .33 级联注册情况统计33 级联设备资源统计33 级联设备类型统计34 级联管理控制34 区域管理器状态查询35 区域扫描器状态查询35 级联上报数据36 级联报警数据36 系统维护 .36 系统用户分配与管理36 用户设置.39 数据重整.39 审计用户.40 第三章第三章北信源补丁及文件分发管理系统北信源补丁及文件分发管理系统42 区域管理器补丁管理设置42 补丁下载配置42 文件分发策略配置43 策略中心 .43 目录目录 II 补丁分发策略43 软件分发策略46 其他策略.47 补丁分发 .47 补丁自动下载分发48 补丁下载服务器48 补丁库分类49 补丁下载转发代理49 客户端补丁检测（一）50 客户端补丁检测（二）52 第四章第四章北信源主机监控审计系统北信源主机监控审计系统 .53 策略中心 .53 行为管理及审计53 涉密检查策略55 其他策略.55 数据查询 .55 第五章第五章北信源移动存储介质使用管理系统北信源移动存储介质使用管理系统 57 策略中心 .57 可移动存储管理57 其他策略.57 数据查询 .57 第六章第六章北信源网络接入控制管理系统北信源网络接入控制管理系统59 网关接入配置认证59 策略中心 .60 接入认证策略60 其他策略.64 环境准备方法64 安装RADIUS (windows IAS).64 各厂商交换机配置83 Cisco2950配置方法83 华为3COM 3628配置.84 锐捷 RGS21 配置87 第七章第七章北信源接入认证网关北信源接入认证网关.89 网关接入配置认证89 策略中心 .90 第八章第八章系统备份及系统升级系统备份及系统升级.92 系统数据库数据备份及还原92 系统组件升级92 区域管理器、扫描器模块升级92 升级网页管理平台93 客户端注册程序升级93 检查系统是否升级成功93 级联管理模式升级及配置93 附录附录95 附录（一）北信源内网安全管理系统名词注释95 附录（二）移动存储设备认证工具操作说明95 USB标签制作95 USB标签制作工具97 目录目录 III USB标签制作历史查询108 移动存储审计策略109 移动存储审计数据110 附录（三）主机保护工具操作说明110 附录（四）组态报表管理系统操作说明111 模版制定.111 报表输出.117 附录（五）报警平台操作说明120 设置.120 日志查询.123 窗口.123 更换界面.124 帮助.124 附录（六）漫游功能说明124 漫游功能介绍124 漫游功能配置126 附录（七）IIS 服务器配置说明.130 WIN2003-32位IIS配置说明130 WIN2003-64位IIS配置说明132 WIN2008-64位IIS配置说明134 目录目录 IV 图目录图目录 图 1- 1 北信源终端安全管理应用拓扑4 图 2- 1 创建新策略5 图 2- 2 下发策略6 图 2- 3 策略控制6 图 2- 4 硬件设备控制8 图 2- 5 软件安装监控策略10 图 2- 6 进程执行监控策略11 图 2- 7 进程保护策略12 图 2- 8 协议防火墙策略15 图 2- 9 注册表 .16 图 2- 10IP 与 MAC 绑定策略.17 图 2- 11 防违规外联策略19 图 2- 12 违规提示 .19 图 2- 13 文件备份路径设置23 图 2- 14 注册码配置25 图 2- 15 阻断违规接入控制设置26 图 2- 16 本地注册情况信息26 图 2- 17 本地设备资源信息27 图 2- 18 本地设备类型统计27 图 2- 19 软件变化信息28 图 2- 20 注册日志信息29 图 2- 21 交换机扫描管理配置32 图 2- 22 设备信息统计图表33 图 2- 23 级联设备信息34 图 2- 24 级联设备系统类型统计34 图 2- 25 级联管理控制35 图 2- 26 下级级联区域管理器信息35 图 2- 27 区域管理器状态信息35 图 2- 28 区域扫描器状态信息35 图 2- 29 级联上报数据36 图 2- 30 系统用户列表36 图 2- 31 添加系统用户界面37 图 2- 32 用户管理列表37 图 2- 33 终端控制权限38 图 2- 34 屏幕监控权限38 图 2- 35 密码初始化提示框39 图 2- 36 密码初始化完成提示框39 图 2- 37 修改ADMIN用户密码 39 图 2- 38 数据重整信息表40 图 2- 39 审计用户登录40 图 3- 1 区域管理器补丁管理设置42 图 3- 2 分发参数设置43 图 3- 3 补丁自动分发45 图 3- 4 补丁下载服务器界面48 图 3- 5 补丁下载服务器设置49 图 3- 6 补丁代理传发支持50 图 3- 7 补丁下载设置50 图 3- 8 登录页面51 图 3- 9 工具下载页面51 目录目录 V 图 3- 10 补丁检测中心52 图 3- 11 客户端补丁漏打检测52 图 6- 1 网关接入认证59 图 6- 2 重定向配置60 图 6- 3 用户添加60 图 6- 4 补丁与杀毒软件认证策略61 图 6- 5 接入认证策略62 图 6- 6 8021X认证界面 .63 图 6- 7 8021X认证界面 .63 图 6- 8 安全检查没有通过，802.1X不启动认证 63 图 6- 9 认证失败63 图 6- 10 添加 INTERNET验证服务组件.65 图 6- 11 IAS 配置界面65 图 6- 12 新建 RADIUS 客户端 .66 图 6- 13 新建 RADIUS 客户端 .66 图 6- 14 新建远程访问策略67 图 6- 15 设置远程访问策略67 图 6- 16 设置远程访问策略68 图 6- 17 设置远程访问策略选择用户68 图 6- 18 设置远程访问策略使用 MD5 质询69 图 6- 19 设置远程访问策略新建的策略69 图 6- 20 选择 DAY-AND-TIME-RESTRICTIONS.70 图 6- 21 选择允许 .70 图 6- 22 设置属性 .71 图 6- 23 添加属性值VLAN71 图 6- 24 添加属性值 802.72 图 6- 25 添加属性值 600.72 图 6- 26 添加属性值 600.73 图 6- 27 编辑拨入配置文件73 图 6- 28 新建连接请求策略74 图 6- 29 为策略取名字74 图 6- 30 策略配置 .75 图 6- 31 添加远程登录用户75 图 6- 32 设置用户属性76 图 6- 33 设置TEST用户76 图 6- 34 设置启用 .77 图 6- 35 VRV EDP AGENT认证成功.77 图 6- 36 创建用户界面78 图 6- 37 用户添加 .78 图 6- 38 设置用户密码79 图 6- 39 进入 NETWORK CONFIGURATION79 图 6- 40 AAA CLIENT 配置80 图 6- 41 AAA SERVER 配置80 图 6- 42 进入 INTERFACE CONFIGURATION.81 图 6- 43 进入 RADIUS(IETF).81 图 6- 44 进入 GROUP SETUP82 图 6- 45 进入 EDIT SETTINGSP.82 图 7- 1 网关接入认证89 图 7- 2 重定向配置90 图 7- 3 用户添加90 图 7- 4 网关接入认证策略90 图 8- 1 级联管理配置94 附图- 1 修改用户 ADMIN USB 标签96 目录目录 VI 附图- 2 下载 DEVICENUMBER.EXE96 附图- 3 全局参数.97 附图- 4 USBTOOL登录.99 附图- 5 USBTOOL界面.99 附图- 6 分区格式化.100 附图- 7 制作移动硬盘标签 1100 附图- 8 制作移动硬盘标签 2101 附图- 9 制作移动硬盘标签 3101 附图- 10 制作移动硬盘标签 4101 附图- 11 制作移动硬盘标签 5102 附图- 12 制作移动硬盘标签 6102 附图- 13 制作移动硬盘标签 7103 附图- 14 制作移动硬盘标签 8103 附图- 15 制作移动硬盘标签 9103 附图- 16 制作移动硬盘标签 10104 附图- 17 制作移动硬盘标签 11104 附图- 18 3 个分区的优盘和移动硬盘内网登录界面 105 附图- 19 整盘加密的优盘和移动硬盘内网登录界面.105 附图- 20 外网插入 3 个分区的优盘或移动硬盘盘符.105 附图- 21 交换区登录界面.106 附图- 22 外网插入整盘加密优盘或移动盘符.106 附图- 23 信息提示.106 附图- 24 USBTOOL登录.107 附图- 25 USBTOOL界面.107 附图- 26 初始化密码.108 附图- 27 标签历史查询.108 附图- 28 访问控制配置说明.110 附图- 29 DOS/DDOS 配置说明111 附图- 30 创建模板.112 附图- 31 确定报表标题及报表尾.112 附图- 32 定义报表输入项.113 附图- 33 确定输出条件.113 附图- 34 确定关联.114 附图- 35 保存模板.115 附图- 36 修改模板名称.115 附图- 37 修改模版的输出标题和表尾.116 附图- 38 修改输出列选项.116 附图- 39 修改关联选项.117 附图- 40 修改时间范围统计.117 附图- 41 模板预览.118 附图- 42 输出EXCEL报表模板信息.118 附图- 43 时间定义.119 附图- 44 模板导入.119 附图- 45 模板导出.120 附图- 46 报警平台设置.120 附图- 47 高级设置.121 附图- 48 报警设置上.122 附图- 49 报警设置下.122 附图- 50 日志查询.123 附图- 51 报警中心界面.123 附图- 52 漫游示意.125 附图- 53 结合接入认证漫游示意图.125 附图- 54 CA 服务器界面 .126 目录目录 VII 附图- 55 区域管理器配置界面.126 附图- 56 客户端迁移策略配置界面.127 附图- 57 重原管理区漫游出去的客户端.127 附图- 58 漫游到新管理器的客户端.128 附图- 59 进去漫游组中的漫游客户端.128 附图- 60 漫游回原管理器的客户端.129 附图- 61 漫游查询状态选项.129 附图- 62 IIS 服务管理器130 附图- 63 虚拟目录属性.131 附图- 64 选择用户域组.131 附图- 65 用户域组高级选项.132 附图- 66 用户属性变更.132 附图- 67 命令执行结果.133 附图- 68 输出结果.133 附图- 70 添加角色向导.134 表目录表目录 表 2- 1 策略的高级设置参数说明7 表 2- 2 硬件设备控制参数说明8 表 2- 3 软件安装监控策略参数说明9 表 2- 4 进程执行监控策略参数说明11 表 2- 5 用户密码策略参数说明13 表 2- 6 协议防火墙策略参数说明15 表 2- 7 注册表检查策略参数说明15 表 2- 8IP 与 MAC 绑定策略参数说明.16 表 2- 9 杀毒软件运行监控17 表 2- 10 防违规外联策略参数说明19 表 2- 11 运行资源监控策略参数说明20 表 2- 12 进程异常监控策略参数说明21 表 2- 13 流量采样策略参数说明21 表 2- 14 流量控制策略参数说明22 表 2- 15 消息推送策略参数说明23 表 2- 16 客户端文件备份策略参数说明23 表 2- 17 终端配置策略参数说明24 表 3- 1 区域管理器补丁管理参数说明42 表 3- 2 补丁自动分发策略参数说明44 表 3- 3 人工选择补丁分发策略参数说明46 表 3- 4 普通文件分发策略参数说明46 表 3- 5 补丁下载设置参数说明51 表 4- 1 文件输出审计策略参数说明53 表 4- 2 上网访问审计策略参数说明54 表 4- 3 文件内容检查策略参数说明55 表 6- 1 补丁与杀毒软件认证策略参数说明61 表 6- 2 VIFR 接入认证策略参数说明64 附表- 1 移动存储审计策略参数说明.110 概述概述 错误！未找到引用源。 1 第一章第一章 概述概述 特别说明特别说明 北信源终端安全管理系列产品由北信源内网安全管理系统、北信源 补丁及文件分发管理系统、北信源主机监控审计系统、北信源移 动存储介质使用管理系统、北信源网络接入控制管理系统及北信 源接入认证网关6 大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为 最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电 子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品 为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买 北信源内网安全管理系统或北信源补丁及文件分发管理系统等其 中之一产品，本说明书的其它功能将不具备。 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理 系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软 件时，北信源公司认为您已经阅读了本使用手册。 产品构架产品构架 北信源终端安全管理产品由 8 部分组成：WinPcap 程序、SQL Server 管理 信息库（安装包：环境初始化程序）、Web 中央管理配置平台（安装包： 网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已 作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补 丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序环境初始化程序 SQL Server 管理信息库，建立北信源终端安全管理产品的初始化数据库。 初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫 描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化 概述概述 错误！未找到引用源。 2 信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行 遍历搜索对比，根据规则要求在管理平台上报警。 网页管理平台（网页管理平台（web 管理平台）管理平台） Web 中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描 器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、 报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage 区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设 备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注 册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采 集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客 户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现 系统数据逐级上报（转发），对网络终端的多级管理。 区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的 设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器， 由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理 规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据 Web 管理平台中配置的工作范围进行扫描，如果终端 IP 超越其范围，将不 负责执行操作。 Winpcap 程序程序 嗅探驱动软件，监听共享网络上传送的数据。 客户端注册程序客户端注册程序 将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注册器 下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该 程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行 各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息 一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管 理器自动将客户端驻留程序应用策略发送给用户，并自动更新。 客户端驻留程序功能： 进行本机硬件属性信息变化监视； 进行本机 IP、MAC 地址变化审计； 本机系统补丁、软件安装、运行进程状况监测； 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 接受 Web 管理平台的管理命令； 阻断本机非法外联行为； 概述概述 错误！未找到引用源。 3 执行 Web 管理平台下发的各种策略操作。 补丁下载服务器补丁下载服务器 安装在与 Internet 网络连接的机器上，用于实时下载补丁厂商发布的补丁。 管理器主机保护模块管理器主机保护模块 管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协 议、通信 IP 范围和具体的其他网络应用来定义该计算机使用的安全级较高 的网络配置，从而防止该计算机受到恶意的 IP 冲突以及各种网络、病毒攻 击。 报警中心模块报警中心模块 安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据 管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、 信使服务、SNMP Trap、手机短信等多种报警方式。 应用构架应用构架 北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的 内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、 网络安全隔离度监控等。 系统应用主要分为以下两种构架： 基本构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网 范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的 所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、 省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集 中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同 时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员 对整个网络的设备状况也能够完全掌握。 概述概述 错误！未找到引用源。 4 图 1- 1 北信源终端安全管理应用拓扑 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 5 第二章第二章 北信源内网安全管理系统北信源内网安全管理系统 策略中心策略中心 策略管理中心策略管理中心 策略的使用策略的使用 策略的创建和分发策略的创建和分发 1.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在 右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始 创建策略。 图 2- 1 创建新策略 注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应 该在策略内容中出现。否则可能会出现无法预料的系统错误。 这些字符包 括：“策略下发查询 (2)终端管理终端管理当前执行策略 注：策略分发间隔默认为 1 分钟；有的策略需要重新启动生效，请看每 条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询 审计数据查询”中查看。 黑白名单编辑黑白名单编辑 进程黑白名单进程黑白名单 进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑 名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、 源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。 软件黑白名单软件黑白名单 软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定 义黑名单和用户自定义黑白名单。 URL 黑白名单编辑黑白名单编辑 URL 黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用， 这部分包含系统预定义黑名单和用户自定义黑白名单。 端口黑白名单编辑端口黑白名单编辑 端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义 黑名单和用户自定义黑白名单。 硬件设备控制硬件设备控制 硬件设备控制硬件设备控制 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 8 功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移 动存储设备，也可以通过“可移动存储审计”策略来实现。 参数说明： 参数参数说明说明 不处理、启用、禁用本策略中所能控制的硬件，都需要能够在 windows 系统设备管理器中进行禁止和启用。 例外选择【启用】时将禁用例外中的设备，选择 【禁用】时将启用例外中的设备，【不处理】 选项保持原来的状态无变化，提高系统管理 性能，如果对某项不关心可以选择该项。 例外设备添加方法：右击我的电脑属性 硬件设备管理器，出现设备列表。 该策略控制叠加到之前 的策略基础之上 选中此项时：如果有多条此类策略，终端执行效果 将是多条策略设置叠加后执行的效果。 如果不选择该项，终端只支持单独一条策略，新下 发的策略将覆盖原来的策略配置。 取消对设备管理器的的 拦截操作 默认情况下下发该策略后将禁止用户在设备管理器 里启用/禁用任何设备，如果取消则可以在设备管 理器里启用/禁用设置为不处理的设备。 审计结果处理 上报服务器：就是将审计记录上报到服务器 并进行记录。当客户端脱离网络时无法上报 到服务器就记录到本地，等客户端接回网络 时再上报到服务器。 记录到本地文件：会在本地生成文件记录审计 信息。起到在本地备份的作用。 表 2- 2 硬件设备控制参数说明 注意事项： 1如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策 略。 2禁用 u 盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移 动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的 习惯，自行设定。 策略实例：允许使用光驱，但是禁止使用刻录光驱。 比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱 动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为“允许“， 在【例外】中输入“MATSHITA UJDA745 DVD/CDRW“或其中的一部分， 只要能通过该标志确认是一个可刻录光驱即可。 因为基本上可刻录光驱都 带有“CDRW“字样，【例外】中可以输入“CDRW“。多个例外之间用分号 (“;“)（英文半角格式）分隔，如下图所示： 图 2- 4 硬件设备控制 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 9 进程及软件管理进程及软件管理 软件安装监控软件安装监控 功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的 处理。 参数说明： 参数参数说明说明 软件名 设置需要进行控制的软件名称，填入需要监 控的软件名称后，点选【添加控制】按钮， 如果想要控制更多的软件，输入软件名称后， 继续点选【添加控制】按钮，以此类推，可 以继续添加需要控制的软件。同一类软件可 以使用具体的策略，包括“禁止安装软件”、 “必须安装软件”、“允许安装软件”三个 选项，这个具体选择可以根据管理员的需要 自行设定。如果想要取消对某个软件的控制， 请在列表处选定软件的名称，然后点击【删 除控制】按钮。 还可以添加系统定义的黑名单和自定义的黑 名单，并分别配置违规处理措施、高级设置 项。 其他软件处理 当选中“允许安装软件”，再勾中“除以上 列表的软件外，安装了其他任何软件都视为 违规项”，表示只允许安装列表中的软件， 安装其他软件均视为违规，即实现对软件安 装的限制功能。 当选中“控制状态”是“禁止安装软件”， 同时选中【其他软件处理】复选框，那么安 装任何软件都是违规的。 以上软件安装违规处 理 指选定的对象如果违反了上述的软件安装监 控策略的处理方法。不处理方式，是指不处 理违反策略的对象，但是，相关的违规记录 可以在 Web 管理器中查询。仅提示方式，是 指当选定对象的用户如果违反了策略，将在 客户端弹出管理员设置的提示信息。断开网 络方式，是指当本策略启用时，选定的策略 管理对象，如果违反了本策略，将对该计算 机进行断离网络的处理，同时，该计算机弹 出管理员设定的提示信息。 表 2- 3 软件安装监控策略参数说明 策略实例： 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 10 图 2- 5 软件安装监控策略 注意事项： 1“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能 支持模糊查询技术，例如在要检查是否安装了 QQ，可能因为各种版本不 一样，在“添加删除程序”里显示的是 QQ2004 或 QQ2005，这时您可以 只输入 QQ。 2静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全 相同。 3为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件， 放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么， 取最后一个策略设置为准。 4本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和 间隔触发选中，间隔时间 10 分钟左右。 进程执行监控进程执行监控 功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控 的进程信息，再配置违规处理措施。 参数说明： 参数参数说明说明 进程/服务名 需要进行监控的进程或服务名称，进程的名 称可以从 windows 的任务管理器的进程菜单 中查询。填入需要监控的进程名称后，点选 【添加控制】按钮，如果想要控制更多的进 程，输入进程名称后，继续点选【添加控制】 按钮，以此类推。 进程名获取方法：右击任务栏选择“任务管 理器”。 “进程/服务名”处也可填写“*”，例如，进 程/服务名：*，产品名称：Microsoft Office 11 Professional，控制状态：必须运行，即表示 必须运行 Microsoft Office 11 Professional 产品 的所有进程。 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 11 产品名称 需要进行监控的产品的名称，产品的名称可 以从需要监控的文件，鼠标右键点击需要监 控的可执行文件，从其中的产品名称中看到， 填入需要监控的产品名称后，点选【添加控 制】按钮，如果想要控制更多的产品名称， 输入产品名称后，继续点选【添加控制】按 钮，以此类推。 源文件名 需要进行监控的具体可执行程序的名称，源 文件名可以通过鼠标右键点击可执行文件找 到。填入需要监控的源文件名称后，点选 【添加控制】按钮，如果想要控制更多的源 文件，输入源文件名称后，继续点选【添加 控制】按钮，以此类推。可以设置更多的需 监控项目。 控制状态 针对具体的进程、产品、源文件，具体的控 制状态有三种，包括“禁止运行”、“必须 运行”和“允许运行”，这个具体选择可以 根据管理员的需要自行设定。如果想要取消 对某个软件的控制，请在列表处选定具体的 进程、产品、源文件的名称，然后点击【删 除控制】按钮。 其他进程处理 选中“允许运行”并勾中“除以上列表的进 程外,不允许其他进程执行”，则表示只允许 进程列表中的进程运行，其他进程均视为违 规，即实现对进程运行的限制功能。 以上各种情况的违规 处理 指选定的对象如果违反了上述的监控策略的 处理方法。关机方式，是指当本策略启用时， 选定的策略管理对象，如果违反了本策略， 将对该计算机进行 2 分钟后自动关机的处理， 同时，该计算机弹出管理员设定的提示信息。 表 2- 4 进程执行监控策略参数说明 策略实例： 图 2- 6 进程执行监控策略 注意事项： 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 12 1进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或 多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使 用，比如说，qq 不同版本的程序名不一样，但是产品名称是相同的。源程 序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系 统的管理策略。 2本策略设置时，建议在高级设置策略触发方式中，选中启动时触发 和间隔触发，间隔时间 5 分钟左右。 3启动路径为全路径或系统默认路径。 进程保护策略进程保护策略 功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。 策略实例： 图 2- 7 进程保护策略 注意事项： 1这里的进程保护是指使用 windows 任务管理器和一般的应用程序无法 终止该程序。 2这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终 止，请管理员注意相关策略的设置。 主机安全策略主机安全策略 用户密码策略用户密码策略 功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统 屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外， 用户可以自己添加自定义弱口令集。 参数说明： 参数参数说明说明 检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 13 用“上报”、“提示”两种方式，即上报给 区域管理器或者根据管理员设置的提示信息 给客户端发出提示。 附加弱口令列表根据各单位名称等不同，自己添加需要探测 的弱口令，每个弱口令之间用“,“分隔。 表 2- 5 用户密码策略参数说明 注意事项： 1在 windows 系统密码策略中，策略是指密码的长度。 2“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用 户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。 3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机， 它并不修改任何 windows 系统文件，本策略不会造成任何的计算机不稳定 状态。 4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏 保设置：重启后生效；弱口令列表需要手动添加。 用户权限策略用户权限策略 功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用 户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。 根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有 两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端 弹出管理员设定的提示信息窗口。 注意事项： 1本策略的各项均在 Windows 系统控制面板中的“用户与密码”项或者 控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的， 本策略只提供相应的监测功能，不对您的修改进行限制。 协议防火墙策略协议防火墙策略 功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实 际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。 参数参数说明说明 端口连接 控制规则 协议类型 计算机可以进行很多网络应用，各种应用 都是基于网络上服务器提供的服务。不同 的服务是采用不同的端口提供的，通过这 种端口的方式，计算机才可以与外界进行 互不干扰的通信。Tcp/udp 协议，网络通 信协议，基本上所有的网络服务都使用它 们作为通信的标准。系统在这里通过控制 计算机的端口和相应的网络协议，对计算 机用户的网络操作进行监管。我们可以通 过在 windows 下的 dos 窗口输入“netstat 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 14 a”命令来查看本机打开的端口和各种端 口正在被哪种服务使用的，且这个服务使 用的是哪种协议。同时，我们也可以通过 软件相关的说明文档得到这些信息。我们 在端口处填入我们查询到的需要控制的软 件使用的端口，在协议选择下拉菜单中选 择相应的 tcp/udp 协议。“本地端口”和 “远程端口”两个选项，其中，本地端口 是指在网络的使用中，本地计算机使用的 端口，如果选择这个选项，则在本策略的 对象范围内的计算机无法启动使用该端口 的服务；远程端口是指在网络的使用中， 本地计算机可以启动本服务，但是无法访 问远程计算机提供相应服务的端口。 管制方式 “禁用填充项中指定端口，开放其他端口” 选项是指仅禁用在上边填写的端口和其所 对应的服务，同时开放其他所有的端口， 使其可以使用网络服务。“禁用填充项中 指定端口”选项是指仅禁用填充项中的端 口和其所对应的服务，并不改变其他端口 目前的状态。“开放填充项中指定端口， 禁用其他端口”是指，仅开放在上边填写 的端口和其所对应的服务，同时关闭其他 所有的关口和网络服务，“开放填充项中 指定端口”是指开放在上边填写的端口和 其相对应的服务，并不改变其他端口目前 的状态。选定需要的选项后，点击“添加 端口连接控制规则”按钮，所设定的控制 将出现在页面下端的控制列表中。 ICMP 协议 控制规则 指系统对 ICMP 协议的控制，主要是通过判断计算机间的 互相通信是否正常来判断的。一般来说，只要执行 MS- DOS 窗口下的 ping 命令即可 系统对 icmp 协议的控制，主要是通过判断计算机间的互 相通信是否正常来判断的。一般来说，只需要执行 ms-dos 窗口下的 ping 命令即可。“禁止 ping 入”是指不允许其 他计算机（包括局域网计算机和远程计算机）用 ping 命令 来检测本地计算机通信状态。“禁止 ping 出”是指不允许 设置的对象客户机用 ping 命令来检测其他计算机（包括局 域网计算机和远程计算机）的通信状态。“禁止双向”同 时禁止任意两台计算机（至少有一台是本地计算机）的通 信检测。设定好后，点击“添加 icmp 协议控制规则”按 钮，所设定的控制将出现在页面下端的控制列表中。 ip 地址 输入需要限制网络使用的计算机的 ip 地 址或 ip 地址范围。 IP 访问控 制规制 管制方式 “只允许填充项中 ip 地址访问自己，禁 止其余 ip 地址访问”是指，在设定的 ip 地址范围内的计算机，每台计算机能使用 策略生效范围内的计算机的网络资源，其 他的计算机无法访问该策略范围内的计算 机。“只允许自己访问填充项中 ip 地址， 禁止访问其余 ip 地址”是指，本策略生 效范围内的计算机只能访问在设定的 ip 地址范围内的计算机的网络服务，不能访 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 15 问其他计算机提供的网络服务。设定好后， 点选“添加 ip 访问控制规则”，所设定 的控制将出现在页面下端的控制列表中。 以上各种选项在设定后，如果需要去掉， 只要在控制列表中，点选，然后点击下边 的“删除规则”按钮。 超级 IP 指的是本 IP 不受上边制定的所有策略的限制。默认内网管 理服务器 IP 为超级 IP 超级端口指本端口和所对应的服务不受上边制定的所有策略的限制 表 2- 6 协议防火墙策略参数说明 策略实例： 如下图所设置的一个样例表示：只开放本地计算机的 80 端口；只允许 1-20 该 IP 地址段中的 IP 访问本地计算机；禁止其他 计算机 ping 入。 图 2- 8 协议防火墙策略 注意事项： 1此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。 通过对端口和协议对计算机用户的网络操作进行监管。 注册表检查策略注册表检查策略 功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病 毒或其他恶意程序修改，起到对计算机的安全防护作用。 参数说明： 参数说明 注册表项名称 在【运行】项输入“regedit”然后点确定。出现注 册表窗口，在左边窗口显示的就是注册表项的名称 键名 在注册表窗口中，右边窗口中的名称标题下的内容 就是键名 值类型 同注册表右边窗口的值类型的三个选项 “reg_sz”、 “reg_dword”、“reg_binary” 键值在注册表右边窗口中的数据标题下的内容就是键值 检测条件根据需要选择相应的条件 适合操作系统 根据对象的计算机操作系统状况进行选择具体的操 作系统 控制操作如果要删除注册表项请确认该项对系统的正常使用 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 16 不会造成影响。删除项会同时删除该项下的子项和 键。 表 2- 7 注册表检查策略参数说明 图 2- 9 注册表 注意事项： 1本策略只提供注册表检测功能，不进行修改注册表内容的操作。 IP 与与 MAC 绑定策略绑定策略 功能说明：实行 IP 与 MAC 绑定。当 IP 与 MAC 绑定发生变化时，可对其 实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。 参数说明： 参数参数说明说明 客户端特性设置： 客户端 IP,MAC 绑定 点选该选项，才可以使用本策略的功能。Ip 与 mac 绑定是指客户端计算机在局域网中标识身份的地址 和计算机的网卡标识号码的匹配。 当绑定发生变化 指客户端计算机用户修改了自己的 ip 地址，这时， 网卡的 mac 将于新的 ip 地址相匹配，就不能与原 来的 ip 地址匹配，这就是 ip、mac 绑定发生变化。 系统根据这种情况给出 4 种处理方式，“不处理”、 “自动恢复”、“断开网络”，并且提示管理员设 定的信息、“仅提示”只提示管理员设定的信息。 表 2- 8IP 与 MAC 绑定策略参数说明 策略实例： 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 17 图 2- 10IP 与 MAC 绑定策略 注意事项： 1“客户端 IP,MAC 绑定”选项绝对不能在动态 IP 的设备上使用。 2一般常规性的网络应用中，只要设定自动恢复 ip 和除网络管理员的账 户其他帐户均有效即可。 杀毒软件运行监控策略杀毒软件运行监控策略 功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机 等操作。 参数说明： 参数参数说明说明 若客户端未运行 病毒防火墙 “不处理”、“自动重启”当系统发现客户端未安 装杀毒软件时，将弹出管理员设定的提示信息，并 且 2 分钟后自动重新启动、“断开网络”断开和网 络的连接，并弹出管理员设定的提示信息、“仅提 示”只发给客户端提示信息。 杀毒软件升级设 置 用于自动升级杀毒软件。这此功能生效的条件是需 要把杀毒软件的升级文件放到 VRVRegionManageDistributeAntiVirusUpdate 目录 中相应的杀毒软件升级文件夹中，目前支持的可升 级的杀毒软件有北信源、macfee、瑞星、诺顿等。 表 2- 9 杀毒软件运行监控 补丁分发策略、软件分发策略补丁分发策略、软件分发策略 请参照第三章北信源补丁及文件分发管理系统 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 18 接入认证策略接入认证策略 请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。 违规外联监控违规外联监控 防违规外联策略防违规外联策略 功能说明：监视违规网络连接（modem 拨号、双网卡、代理等），并对违 规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对 不符合原则的计算机进行处理。 参数说明： 参数参数说明说明 违规监控设置 通过设置，检测策略应用的对象的客户端是否能和 外网通信来判断该计算机是否违反了管理员制定的 规则。 “外网地址”选项，是利用系统的功能，对这两个 地址，进行检测，当可以与这两个网站通信时，视 为本机违反策略。 “客户端所限定使用的网段”是指，如果客户端访 问的 ip 地址超过了在这个选项中设置的范围，也视 为本机违反策略。本选项需要填写 ip 地址范围，范 围中间区域用“”来间隔。 “采用探测外网方法”和 “客户端所限定使用的网 段”这两种方法，是并列的，单独使用其中的一种 或者两种同时使用都可以满足您的需要。 禁止使用代理上 网访问 如果选择这个选项，则浏览器无法使用代理服务器 访问网络，该选项可屏蔽浏览器使用内网或者外网 的大多数代理服务。 探头发现设备违 规后的处理方式 A：若客户端同时连接内外网，本选项一般指计算 机同时能够访问单位内部网络和外部网络。在处理 方式中，仅提示方式，是指当选定对象的用户如果 违反了策略，将在客户端弹出管理员设置的提示信 息。断开网络方式，是指当本策略启用时，选定的 策略管理对象，如果违反了本策略，将对该计算机 进行断离网络的处理，同时，该计算机弹出管理员 设定的提示信息。关机方式，是指当本策略启用时， 选定的策略管理对象，如果违反了本策略，将对该 计算机进行 2 分钟后自动关机的处理，同时，该计 算机弹出管理员设定的提示信息。 B：若客户端仅在外网，一般是指，客户没有在局 域网中，只通过 modem 等网络设备上网的情况。 在处理方式中，仅提示方式，是指当选定对象的用 户如果违反了策略，将在客户端弹出管理员设置的 提示信息。断开网络方式，是指当本策略启用时， 选定的策略管理对象，如果违反了本策略，将对该 计算机进行断离网络的处理，同时，该计算机弹出 管理员设定的提示信息。关机方式，是指当本策略 启用时，选定的策略管理对象，如果违反了本策略， 将对该计算机进行 2 分钟后自动关机的处理，同时， 该计算机弹出管理员设定的提示信息。重新接回内 北信源内网安全管理系统北信源内网安全管理系统 错误！未找到引用源。 19 网后进行安全检察，是指当计算机离开本网络，并 且离开后进行了网络操作，则当计算机回到本网络 的时候，提示用户进行安全检测。 表 2- 10 防违规外联策略参数说明 策略实例： 图 2- 11 防违规外联策略 当执行该策略的客户端有违规外联事件发生时，客户端将