MDM管理服务器后台应用软件安装配置手册.docxVIP

移动安全企业版(TMMS) 9.0趋势科技移动安全企业版(TMMS) 9.0产品安装标准程序（SOP） 趋势科技技术支持部2014年2月目录1 移动安全企业版(TMMS)9.0介绍41.1了解移动设备威胁41.2趋势科技移动安全v9.0概述41.3此版本(v9.0)的新增功能41.4 移动客户端安全的主要功能51.5 支持的功能72 规划服务器安装142.1 网络规划142.2 系统要求163 为安装准备服务器计算机193.1 一般先决条件193.2 iOS 支持先决条件203.3 BlackBerry 支持先决条件224. 安装TMMS组件234.1 安装主服务器234.2 安装通讯服务器264.3 配置通讯服务器284.4 配置iOS 通讯服务器设置294.5 安装短信发送器294.6 部署TMMS 客户端30移动客户端安全安装方法314.7 部署TMMS 客户端(iOS)324.8 升级到移动安全 v9.0374.9 删除服务器组件385附录41A-1对 SQL Server 使用 Windows 身份验证41A-2生成和配置苹果推送通知服务证书:41A-3生成和配置 SSL 证书:56A-4防火墙端口配置:561 移动安全企业版(TMMS)9.0介绍1.1 了解移动设备威胁由于标准化平台的使用及其不断增强的连接能力，移动设备越来越容易受到更多威胁。在移动平台上运行的恶意软件程序数量不断增加，越来越多的垃圾信息通过短信发送。新的内容来源（例如， WAP 和 WAP-Push）也被用于提供不需要的内容。除受恶意软件、垃圾信息及其他多余内容的威胁之外，移动设备还容易受到黑客和拒绝服务 (DoS) 攻击。现在，多数移动设备同样也具有传统上只应用于较大计算设备（例如，笔记本电脑和台式机）的网络连接，因此也成为此类攻击的目标。此外，移动设备盗用可能会危害个人数据或敏感数据。1.2趋势科技移动安全v9.0概述趋势科技 移动安全企业版是一套应用于移动设备的全面的安全解决方案。移动安全结合了趋势科技反恶意软件技术，能有效防范对移动设备的最新威胁。集成的防火墙和过滤功能使移动安全能够阻止发送到移动设备的不需要的网络通信。这些不需要的网络通信包括：通过 3G/GPRS 连接接收的短信、服务信息邮件和数据。此版本的移动安全独立于防毒墙网络版，并且可以作为独立应用程序单独在Windows 计算机上安装。此外，移动安全附带通用加密模块，可在 Symbian 和 Windows Mobile 设备上提供登录密码保护和数据加密功能。加密模块有助于防止因移动设备丢失或被盗而危及数据安全。注意: 趋势科技无法保证移动安全与文件系统加密软件之间的兼容性。提供类似功能（例如防恶意软件扫描、短信管理和防火墙保护）的软件产品也可能与移动安全不兼容。1.3此版本(v9.0)的新增功能独立管理服务器此版本的趋势科技移动安全独立于防毒墙网络版，并且可以直接在 Windows 计算机上安装。可选云通信服务器除了本地安装的通信服务器（本地通信服务器），此版本还提供使用在云中部署的通信服务器（云通信服务器）的选项。管理员不需要安装云通信服务器，它是由趋势科技维护的。Exchange 服务器集成提供与 Microsoft Exchange 服务器的集成，并支持使用Exchange ActiveSync 服务的 iOS、Android 和 WindowsPhone 移动设备。基于模板的策略让您能够创建、复制或删除安全策略，并将其分配给特定的移动设备组。支持多管理员帐户让您能够根据需要创建拥有可自定义的不同角色的多管理员帐户。最新设备状态使用最新设备状态列表显示移动设备的更多适当当前状态。iOS 设备配置让您能够将针对配置的配置文件推送到 iOS 移动设备，以配置VPN、Wi-Fi 和 Exchange ActiveSync 设置。iOS 移动设备的监管模式设备管理此版本还添加了对监管模式 iOS 移动设备的支持。控制台窗口管理让您能够以小部件的形式管理显示在控制台窗口中的信息。可以根据需要添加或删除小部件。服务器命令确认提供命令队列管理界面，可以显示每个从服务器执行的命令的当前状态。使用类别的应用程序控制可以使用允许列表和阻止列表来允许或阻止在 iOS 和 Android 移动设备上安装属于特定类别的应用程序。使用 QR 码的移动设备注册引入使用在用户电子邮件中发送的 QR 码进行的移动设备注册。功能锁定策略改进向功能锁定列表中添加了更多功能和操作系统组件，便于管理员控制它们在移动设备上的可用性。iOS 批量购买计划支持让您能够将通过苹果批量购买计划购买的 iOS 应用程序导入移动安全管理 Web 控制台。最新移动安全客户端界面引入了 Android 和 iOS 移动安全客户端的新用户界面。与 MARS 集成提供服务器和 Android 移动安全客户端与趋势科技移动应用程序声誉服务 (MARS) 的集成，以降低应用程序安全风险并提高资源利用率。管理员报告下载让您能够从移动安全管理 Web 控制台下载管理员报告。策略违例日志提供 Android 移动设备的策略违例日志。与趋势科技防毒墙控制管理中心集成趋势科技移动安全提供与趋势科技防毒墙控制管理中心的集成。通过此集成，防毒墙控制管理中心管理员能够将企业策略传送到移动设备，并能够在防毒墙控制管理中心查看移动安全控制台窗口。1.4 移动客户端安全的主要功能防恶意软件扫描移动安全结合了趋势科技防恶意软件技术，可有效检测威胁并防止攻击者利用移动设备上的漏洞。移动安全特别设计用于扫描移动威胁，允许用户隔离和删除受感染文件。防火墙移动安全包括趋势科技防火墙模块，此模块具有多个用于过滤网络通信的预定义安全级别。您也可定义自己的过滤规则，并过滤来自特定 IP 地址和特定端口的网络通信。入侵检测系统 (IDS) 可阻止向移动设备连续发送多个数据包的尝试。通常，这些尝试会构成拒绝服务 (DoS) 攻击，并导致移动设备因过于繁忙而无法接受其他连接。Web 安全随着移动设备技术的提升，移动威胁的复杂性也在增加。趋势科技移动安全提供 Web 信誉和家长控制，用以保护您的移动设备免受不安全网站的侵扰，以及可能包含儿童、青少年和其他家庭人员不宜内容的网站的侵扰。您可以根据需要的设置修改 Web 信誉和家长控制设置级别。移动安全还将在Web 信誉或家长控制的专门日志中保留它们所阻止的网站日志。反垃圾短信移动设备通常会通过短信传输接收到不需要的消息或垃圾信息。要将不需要的短信过滤到垃圾信息文件夹，可指定发送所有这些将被视为垃圾信息的短信的电话号码，或指定批准的电话号码列表并配置移动安全使其过滤来自不在允许列表的发件人的所有消息。还可以过滤无法识别的短信或没有发件人电话号码的消息。您的移动设备会自动将这些消息存储到收件箱的垃圾信息文件夹。注意： 反垃圾短信功能不适用于没有电话功能的移动设备。电话过滤移动安全可以过滤来自服务器的来电或去电。可以配置移动安全阻止来自特定电话号码的来电，或指定移动设备可以呼叫的允许电话号码列表。移动安全还可以让移动设备用户指定自己的阻止或允许列表，以过滤不想接听的来电。注意： 电话过滤功能不适用于没有电话功能的移动设备。服务信息防护服务信息是一种将内容自动传递到移动设备的有效方法。为发动内容传送，它会向用户发送特殊的短信（称为服务信息） 。通常，这些消息包含关于内容的信息，并用作用户可接受或拒绝内容的方法。恶意用户会发出不正确或非信息的服务信息，目的是欺骗用户接受可能包括不需要的应用程序、系统设置甚至恶意软件的内容。移动安全允许用户使用可信发件人列表来过滤服务信息，并防止不需要的内容进入移动设备。注意： 服务信息防护功能不适用于没有电话功能的移动设备。身份验证安装移动客户端安全后，移动设备与用户相关联。用户必须键入密码（亦称开机密码）才能登录到移动设备。数据加密移动安全为存储在移动设备和内存卡上的数据提供了动态数据加密。可指定要加密的数据类型和要使用的加密算法。定期更新为防范最新威胁，可手动更新移动安全或将其配置为自动更新。为了节约成本，可以为漫游移动设备设置不同的更新“频率”。更新包括组件更新和移动安全程序补丁更新。日志管理服务器包括以下移动客户端安全日志： 恶意软件防护日志 Web 威胁防护日志 加密日志 防火墙日志 事件日志可在移动设备上查看到以下日志： Windows Mobile 和 Symbian： 病毒/ 恶意软件日志 防火墙日志 反垃圾短信日志 服务信息防护日志 任务日志 违例日志 Android： 恶意软件扫描历史日志 隐私扫描历史日志 Web 阻止历史日志 来电阻止历史日志 短信阻止历史日志 更新历史日志1.5 支持的功能下表展示了趋势科技移动安全在不同平台上支持的功能列表：表1-1 趋势科技移动安全 9.0 功能矩阵2 规划服务器安装2.1 网络规划移动安全企业版 9.0 包括下列四个组件： 管理服务器 通信服务器 短信发送器（可选） 移动安全客户端 ( MDA )根据公司需要，可以使用不同的客户机服务器通信方法实施移动安全。也可选择在网络中使用一种客户机服务器通信方法或任意几种方法的组合。趋势科技移动安全支持三种部署型号： 基本安全型号（单服务器安装） 包含云通信服务器的增强安全型号（双服务器安装） 包含本地通信服务器的增强安全型号（双服务器安装）本地和云通信服务器比较下表提供了本地通信服务器 (LCS) 和云通信服务器 (CCS) 的比较。功能云通信服务器本地通信服务器是否需要安装否是支持的用户身份验证方法注册密钥Active Directory 或注册密钥Android 客户端定制不支持支持管理 Symbian 移动设备支持不支持支持管理 Windows Mobile 设备不支持支持基本安全型号（单服务器安装）基本安全型号支持在同一计算机上安装通信服务器和管理服务器。下图显示了在典型基本安全型号中包含的所有移动安全组件。图1-1 显示了在典型基本安全型号中包含的各个移动安全组件。图 1-1. 基本安全型号包含云通信服务器的增强安全型号（双服务器安装）增强安全型号支持在云中部署通信服务器。 图1-2 显示了在典型增强安全型号中包含的各个移动安全组件。 图 1-2. 包含云通信服务器的增强安全型号包含本地通信服务器的增强安全型号（双服务器安装）增强安全型号支持在两个不同的服务器计算机上安装通讯服务器和主服务器。图1-3 显示了在典型增强安全型号中包含的各个移动安全组件。警告！ 趋势科技强烈建议在两个服务器计算机上部署增强安全型号。该型号提供了最大程度的防护。图 1-3. 包含本地通信服务器的增强安全型号管理服务器管理服务器是一个插件程序，用户可通过此程序从防毒墙网络版 Web 控制台控制移动客户端安全。移动设备注册后，即可配置移动客户端安全策略并执行更新。通信服务器通信服务器处理管理服务器与移动客户端安全之间的通信。通信服务器允许管理服务器管理企业内部网外部的移动客户端安全。移动客户端安全可连接到通信服务器的公共 IP 地址。可使用防毒墙网络版 Web 控制台配置通信服务器的策略。短信发送器短信发送器被分配给通过 WLAN 或 ActiveSync（版本 4.0 或更高版本）连接到通信服务器的移动设备。短信发送器从服务器接收命令，然后通过发送短信将命令中继到移动设备。可通过短信通知移动设备执行以下任务： 下载和安装移动客户端安全 将移动客户端安全注册到移动安全服务器 从移动安全服务器更新移动客户端安全组件 擦除、锁定或定位远程移动设备 与移动安全服务器同步策略移动客户端安全在支持的平台上使用这些安装方法之一安装移动客户端安全：短信通知、电子邮件通知、内存卡和手动安装。移动客户端安全可提供对恶意软件、不需要的短信/服务信息或网络通信的无缝防护。用户在移动设备上发送/接收消息和打开文件时，可享受到实时扫描、防火墙保护和数据加密带来的好处。2.2 系统要求在网络中安装各个移动安全组件之前，请查看以下要求。有关移动安全组件的信息，请参阅移动安全企业版 9.0 管理员指南。表 1-2 系统要求3 为安装准备服务器计算机3.1 一般先决条件您需要执行以下操作，为针对所有移动设备平台的安装做好服务器计算机准备工作。1. SQL Server 安装安装以下一种 SQL Server 版本： Microsoft SQL Server 2005 （或精简版）有关详细的 SQL Server 2005 安装程序，请参阅以下 URL：/zh-cn/library/ms143516(v=SQL.90).aspx Microsoft SQL Server 2008/2008 R2 （或精简版）有关详细的 SQL Server 2008 安装程序，请参阅以下 URL：/zh-cn/library/ms143219(v=SQL.100).aspx 对于 Microsoft SQL Server 2012 （或 Express 版）：/zh-cn/library/bb500395(v=SQL.110).aspx趋势科技建议对 SQL Server 使用 SQL Server 身份验证方法，而非 Windows身份验证。然而，您也可以为 SQL Server 配置 Windows 身份验证。有关详细信息，请参阅对 SQL Server 使用 Windows 身份验证。2. Active Directory 服务帐户访问权（可选）注意： 只有在您计划使用 Active Directory 进行用户身份验证或从 Active Directory导入用户的情况下，才需要执行此步骤。否则可跳过此步骤。为移动安全 9.0 创建 Active Directory 服务帐户，并至少为该帐户分配对Active Directory 的只读访问权限。有关为 Windows 2008 创建 Active Directory 帐户的信息，请参阅以下 URL：/zh-cn/library/dd894463(WS.10).aspx有关详细的 Active Directory 安装程序，请参阅以下 URL：/zh-cn/library/cc757211(WS.10).aspx3. 路由器/防火墙访问规则应用以下几组规则： 如果打算使用 Active Directory，管理服务器应该能够连接到 Active Directory 服务器。如果使用防火墙，确保为管理服务器在防火墙设置中添加一个例外。 管理服务器应能够连接安装有趋势科技移动安全数据库的 SQL Server。如果使用防火墙，确保在 SQL 服务器和管理服务器中的防火墙设置中添加一个例外。 为端口 4343 添加一个例外，确保管理服务器和通信服务器之间的 https 连接 为端口 80 和 443 添加例外，确保所有移动设备都能连接到通信服务器。注意：用于管理服务器和通信服务器连接及设备到通信服务器连接的端口可以修改3.2 iOS 支持先决条件1. 证书颁发机构（可选）为 iOS 移动设备安装证书颁发机构。有关详细的证书颁发机构安装过程，请参阅以下 URL：/zh-cn/library/ff720354.aspx注意： 如果您想要使用适用于 iOS 移动设备的 SCEP，则需要证书颁发机构。如果您不想使用 SCEP，则无需安装证书颁发机构。2. 简单证书注册协议 (SCEP) （可选）注意： 如果您不想为 iOS 移动设备使用 SCEP，那么您需要在安装主服务器和通讯服务器之后，在通讯服务器设置中禁用它。有关步骤，请参阅第 4-7 页的配置 iOS 通讯服务器设置。若已在 Windows Server 2008 上安装了 SCEP，请安装 Windows 服务器网络设备注册服务。有关网络设备注册服务的安装与部署过程，请参阅以下 URL：/solution/en-us/1060187.aspx或/en-us/library/ff955646(WS.10).aspx。注意： 如果您想要使用 SCEP，趋势科技建议您在 Windows Server 2008 上使用SCEP。若已在 Windows Server 2003 上安装 SCEP，请安装 SCEP 证书服务附加程序。进入以下 URL 下载 SCEP 证书服务附加程序：/solution/en-us/1060258.aspx或/downloads/details.aspx?FamilyID=9F306763-D036-41D8-8860-1636411B2D01&displaylang=e&displaylang=en3. 系统时钟验证确保 SCEP 服务器、通讯服务器和主服务器的系统时钟的时间设置正确。4. 修改证书颁发机构的策略模块属性a. 在安装有证书颁发机构的计算机上，打开证书颁发机构管理控制台。b. 单击策略模块选项卡，然后单击属性。c. 选中遵循证书模板中的设置（如果适用）。否则，自动颁发证书。d. 单击确定。5. 苹果推送通知服务 (APNs) 证书若要在 iOS4 或以上版本的移动设备上使用移动设备管理 (MDM) 功能，请从 Apple 处获得苹果推送通知服务 (APNs) 证书。有关详细步骤，请参阅附录A-2,生成和配置苹果推送通知服务证书。6. 路由器/防火墙访问规则应用以下几组规则： iOS 移动设备应能够连接通讯服务器。 如果您使用 SCEP，则： 通讯服务器应能够连接 SCEP 服务器。 当注册到移动安全服务器时，iOS 移动设备应能够直接连接 SCEP 服务器。 配置以下端口： TCP 端口 2195 允许在 TCP 端口 2195 上建立通讯服务器到苹果推送通知服务的出站连接。苹果推送通知服务的主机名是。 端口 5223 对于 iOS 设备，要接收来自 Apple 服务器的推送通知，您必须打开端口 5223，特别是当连接通过端口 5223 受阻的 Wi-Fi 网络时。然而，若移动设备使用的是 3G 网络，则不必打开此端口。7. SSL 服务器证书（用于 HTTPS 通信）若要使用安全的 HTTP (HTTPS) 服务实现移动设备与通讯服务器之间的通信，请从公认的公共证书颁发机构处获取 SSL 服务器证书或生成专用 SSL 服务器证书，并将其安装在通讯服务器上。有关详细步骤，请参阅附录 A-3, 生成和配置 SSL 证书 。iOS 5.x 移动设备仅支持 HTTPS。因此，若要管理 iOS 5.x 移动设备，则必须使用 HTTPS 与通讯服务器通信，并在通讯服务器上配置 SSL 证书。注意： 由于只有通讯服务器与移动设备通信，因此您无需在主服务器上配置 SSL证书。8. 验证 SCEP 服务器的配置（可选）如果您已为 iOS 移动设备设置了 SCEP，请执行以下步骤以验证服务器配置： 对于在 Windows Server 2008 上运行的 SCEP，请从通讯服务器访问以下 URL： http:/certsrv/mscep_admin注意： 使用 URL 中的实际 SCEP 服务器 IP 地址替换 。对于在 Windows Server 2003 上运行的 SCEP，请从通讯服务器访问以下 URL： http:/certsrv/mscep注意： 使用 URL 中的实际 SCEP 服务器 IP 地址替换 。若显示类似于图2-1. 配置验证 的网页，则说明您的服务器配置正确：图 2-1. 配置验证注意： iOS 移动设备注册后，将能够访问以下 URL：http:/certsrv/mscepiOS 移动设备只需要连接 SCEP 服务器就可进行注册，无需将此连接用于其他用途。3.3 BlackBerry 支持先决条件1. BlackBerry 企业服务器安装 BlackBerry 企业服务器 (BES)。有关 BES 5.x 的更多信息，请参阅以下 URL：/apps-software/server/5/.和2. BES 用户管理工具若要在 BlackBerry 设备上使用移动安全，请在主服务器上安装 BES 用户管理工具。下载 BES 用户管理工具：a. 请访问以下 URL：/support/downloads/b. 单击商业软件列表中的 BlackBerry 企业服务器资源工具包，然后阅读网页上的说明，了解如何从 BlackBerry Enterprise Server Resource Kit v5.0 Service Pack 2 下载 BlackBerry Enterprise Server User Administration Tool v5.0 Service Pack 2。3. BlackBerry 移动设备激活您必须先激活 BlackBerry 移动设备，才能使用移动安全来管理它们。有关详细信息，请参阅以下 URL：4. 路由器/防火墙访问规则配置以下端口： TCP 端口 3101 允许在 TCP 端口 3101 上建立 BES 到 BlackBerry 基础架构 (BBI) 的出站连接。 打开管理服务器和 BES 命令工具的 TCP 端口 443。4. 安装TMMS组件4.1 安装主服务器在安装主服务器之前，请确保您已安装以下各项： 请确保移动安全组件满足指定的系统要求。此外，可能还需要计算网络拓扑，并确定想要安装的移动安全服务器组件要安装主服务器，请执行以下步骤：1. 从以下位置下载管理服务器安装程序：/index.php?regs=CH&clk=latest&clkval=4231&lang_loc=12. 将下载的文件解压缩，然后运行管理服务器安装程序：MdmServerSetup.exe显示欢迎窗口。3. 单击下一步。显示许可协议窗口。4. 选中我同意复选框并单击下一步。显示数据库选项窗口。(如果未安装PHP组件则会显示要求安装)5. 执行下列操作之一： 如果您尚未安装任何数据库或者要为移动安全创建新的数据库：a. 选择在此计算机上安装 Microsoft SQL Server 2005 Express，并单击下一步。显示数据库设置窗口。b. 为新数据库键入密码，并单击下一步。显示安装进度窗口，并显示当前安装状态。c. 安装完成后，单击下一步。显示服务器连接设置窗口。 如果您已经安装了数据库并且希望使用现有数据库：a. 选择连接到现有数据库并单击下一步。显示现有数据库窗口。b. 键入现有数据库服务器信息并单击下一步。显示服务器连接设置窗口。6. 从下拉列表中选择 IP 地址并键入服务器端口号，单击下一步。7. 选择安装移动安全的位置，并单击下一步。8. 单击安装，开始安装。将出现安装进度窗口。安装完成后，会显示趋势科技移动安全安装完成窗口。9. 单击完成。10. 使用以下 URL 结构登录管理 Web 控制台：https:/:/mdm/web注意：将 替换为实际 IP 地址，将 替换为管理服务器的实际端口号。将显示以下窗口。11.在提供的文本框中键入用户名和密码，并单击登录。注意：管理 Web 控制台的缺省用户名为“root”，密码为“mobilesecurity”.首次登录后，确保更改用户root 的管理员密码。有关步骤，请参阅 管理员指南中的编辑管理员帐户。 重要信息：如果使用 Internet Explorer 访问管理 Web 控制台，请确保以下事项： Web 站点的兼容性视图选项已关闭。 浏览器中已启用 JavaScript。12. 如果这是您首次访问管理控制台，将会显示产品使用授权窗口；否则，请单击管理 产品使用授权，然后单击新激活码。在提供的文本框中键入激活码，并单击保存。请验证产品注册是否成功。单击控制台以显示控制台窗口。如果产品注册成功，应该会看到“趋势科技移动安全 9.0 已经激活。”的消息。完成注册后，会显示入门窗口，其将指导您逐步完成初始设置。注意： 移动安全需要 Java 运行时环境 (JRE)，以从主服务器上的应用程序管理模块上传 .apk 文件。安装主服务器时将自动安装 JRE。但是如果安装主服务器的计算机上已安装 JRE，则安装主服务器时不会安装 JRE。如果现有 JRE 版本低于1.6，则需要手动卸载 JRE，并安装 1.6 版或更高版本。4.2 安装通讯服务器注意： 开始安装通讯服务器之前，请确保计算机上已安装 IIS Web 服务器。利用 IIS Web 服务器，通讯服务器支持 HTTP 和 HTTPS 两种连接类型。要安装通讯服务器，请执行以下步骤：1. 登录到要安装通信服务器的计算机上的管理 Web 控制台。2. 单击管理 通信服务器设置。3. 单击通用设置选项卡。4. 从下拉列表中选择本地通信服务器，然后单击单击此处下载链接，将安装包下载到要安装通信服务器的计算机上。5. 双击安装文件，启动安装过程。显示欢迎窗口。6. 单击下一步。显示许可协议窗口。7. 选择我接受该许可协议中的条款，并单击下一步。显示移动设备的通信服务器连接设置窗口。8. 从下拉列表中选择 IP 地址，并键入通信服务器的 HTTP 和 HTTPs 端口号。通信服务器与移动设备进行通信时将使用此窗口中的 IP 地址和端口号。注意：趋势科技建议您为 IP 地址选择所有。9. 单击下一步。显示管理服务器的通信服务器连接设置窗口。10. 从下拉列表中选择 IP 地址，并键入通信服务器的 HTTPs 端口号。通信服务器与管理服务器进行通信时将使用此窗口中的 IP 地址和端口号。注意：趋势科技建议您为 IP 地址选择所有。11. 单击下一步。显示服务器证书窗口。12. 执行下列操作之一： 如果已经拥有用于 iOS 移动设备注册的 SSL 证书，执行以下操作：a. 选择导入现有的 .pfx 或 .p12 证书文件并单击下一步。显示导入证书窗口。b. 单击浏览并从硬盘中选择公共证书。c. 在密码文本框中键入证书密码。如果该证书没有密码，则将此文本框留空。d. 单击下一步。 如果没有用于 iOS 移动设备注册的 SSL 证书，或者需要创建新的证书，执行以下操作：a. 选择创建新的专用证书并单击下一步。显示创建证书窗口。b. 在通用名称文本框中键入通信服务器 IP 地址，并在密码文本框中键入证书密码。c. 单击下一步。13.注意： 若安装失败，请确保为 Internet 信息服务 (IIS) 安装 ISAPI 扩展程序功能。另外请确保安装具有管理员权限的通讯服务器。4.3 配置通讯服务器通讯服务器与移动设备之间的通信设置：对于基本安全型号（单服务器安装） ，通讯服务器和主服务器的缺省端口如下： HTTP 端口：8080 HTTPS 端口：4343对于增强安全型号（双服务器安装），通讯服务器的缺省端口如下： HTTP 端口：8080 HTTPS 端口：4343通讯服务器与主服务器之间的通信设置： 使用缺省端口号 4343 进行连接。 4.4 配置iOS通讯服务器设置要配置 iOS 通讯服务器设置，请执行以下步骤：1. 登录到防毒墙网络版 Web 控制台。2. 单击主菜单中的插件管理器。3. 单击管理 通讯服务器设置。4.在 iOS 设置选项卡上，配置以下各项：苹果推送通知服务 (APNs) 设置: 证书类型:选择您的证书类型。 证书:从下拉列表中选择苹果推送通知服务证书，或上传新证书。客户端概要文件签名凭证： 客户端概要文件签名凭证:从下拉列表中选择签名凭证证书，或上传新证书。单击保存。4.5 安装短信发送器短信发送器是一种 Windows Mobile 设备，仅在您希望通过发送短信来从移动安全服务器向用户推送通知时，才需要安装此程序。短信发送器被分配给通过网络连接连接到管理服务器的 Android 移动设备。短信发送器从服务器接收命令，然后通过发送短信将命令中继到移动设备。可通过短信通知移动设备执行以下任务： 下载和安装移动安全代理 将移动安全代理客户端到移动安全服务器 从移动安全服务器更新移动安全代理组件 与移动安全服务器同步策略 擦除、锁定或定位远程移动设备注意： 若您不使用短信发送器，也只有远程锁定和远程擦除指令不会被推送到Windows Mobile 设备。但是，所有其他功能均可正常使用。同时，即使不使用短信发送器，对于 iOS、Android、BlackBerry 和 Symbian 移动设备，移动安全的所有功能仍可正常使用。要安装短信发送器，请执行以下步骤：1. 在管理服务器上，将安装文件从文件夹 Mobile SecuritySmsSender复制到支持设备的内存卡。2. 将内存卡插入设备并运行安装文件，以安装短信发送器程序。安装完成后，短信发送器应用程序图标将会出现在应用程序列表中。4.6 部署TMMS客户端支持的移动设备和平台在移动设备上安装和使用移动安全移动客户端安全程序（也称为移动客户端安全）前，请确保移动设备满足以下要求。移动设备的存储卡和内存要求移动客户端安全安装方法您可以使用以下一种方法，在移动设备上安装移动客户端安全： 通过短信或电子邮件安装 向移动设备发送含有移动客户端安全安装 URL的短信，或向用户的电子邮件地址发送含有该 URL 的电子邮件。用户需要访问短信或电子邮件中的 URL，然后向通讯服务器注册移动设备。如果您想要发送短信通知，还需安装短信发送器。 通过 Web 浏览器安装 在 Web 浏览器中打开以下 URL，以在移动设备上自动下载和安装移动客户端安全：http:/mobile或https:/mobile 内存卡 对于 Symbian 或 Windows 平台，从主服务器下载安装文件，并将解 压缩文件复制到内存卡。将内存卡插入到移动设备后，自动安装移动客户端安全。手动安装 需要将安装文件传输到各个移动设备，并运行安装程序。安装完成后， 需要将移动客户端安全注册到通讯服务器手动安装TMMS客户端打开TMMS控制台，点击管理 -设备注册设置-代理安装.选择适用于 Android 2.1 或以上版本的移动客户端安全”，然后点击下载安装程序.解压缩安装包后把APK文件传至手机中，再手机上进行安装.注册设备至TMMS服务器1. 安装包安装完毕后，点击TMMS图标2. 目前提供两种方式接入，QR码接入和手动注册，QR码扫描完毕后自动注册3. 手动注册，若您使用趋势云服务器，则需要直接填写邮件中或管理员分配的注册秘钥若您使用本地服务器 4.7 部署TMMS客户端(iOS)要在 iOS 移动设备上安装配置概要文件，请执行以下步骤：1. 在 iOS 移动设备上，打开 Safari Web 浏览器，然后进入下列 URL：http:/mobile或https:/mobile注意：如果使用自颁发SSL证书，在IOS 4设备注意的时候需要先手动取消HTTPS加密，使用HTTP的方式注册，注册完成后再启用HTTPS;原因是Apple厂商限制，iOS 4版本终端设备不支持自颁发的SSL证书。注意： 如果管理员要求进行身份验证，则将显示需要身份验证弹出对话框。键入您的域帐户（或用户名）和密码，然后点击登录。2. 在安装配置概要文件窗口上，点击安装，然后在弹出的确认对话框上点击立即安装。3. 如果移动设备需要密码，则在显示的输入密码窗口键入密码，然后点击完成。显示正在安装配置概要文件窗口。4. 点击警告确认窗口上的安装。配置概要文件安装进程开始。进程完成后，显示配置概要文件已安装窗口。5. 点击完成。在 iOS 移动设备上安装 SSL 证书：注意：因为在此安装示例中我们所使用的SSL证书并不是证书提供商处购买公共 SSL 证书，所以此SSL证书并不会被IOS设备信任。所以需要使用iPhone 配置实用程序将根证书导入IOS设备.(如果使用的SSL证书为证书提供商处购买公共 SSL 证书请跳过这一步)打开IIS管理器，右键点击Officescan站点，选择目录安全性，然后点击服务器证书，点击查看当前证书。在证书路径里点击根证书，再点“查看证书”在弹出的新证书窗口里选择“详细”-“保存到文件”在连接iphone的电脑上右击该证书证书，选择“安装证书”，将证书放入“个人”里。从以下 URL 下载并安装 iPhone 配置实用程序：/downloads/打开iphone配置工具，创建profile，在credential里选择刚刚导入的书。安装创建的profile。打开手机浏览器输入安装链接进入安装界面，选择”同意”用户许可协议.https:/mobile输入域帐号进行安装验证.安装TMMS Profile文件. 4.8 升级到移动安全 v9.0趋势科技移动安全不提供从旧版本到 v9.0 的升级。但是，趋势科技提供迁移工具，可以将您的数据从旧版本迁移到最新安装的 v9.0。有关将您的数据从旧版本迁移到最新安装的 v9.0 的详细过程，请参阅以下链接：/solution/en-US/1098095.aspx4.9 删除服务器组件删除主服务器趋势科技移动安全可自动或手动删除主服务器：自动删除主服务器要自动删除主服务器，请执行以下步骤：1. 在 Windows 控制面板中双击程序和功能。显示卸载或更改程序窗口。2. 选择以下选项之一： 趋势科技本地通信服务器 卸载通信服务器 趋势科技移动安全 卸载管理服务器3. 单击卸载。此时将显示一个对话框。4. 在对话框中选择安装完成后自动关闭应用程序并重启，然后单击确定。5附录A-1对 SQL Server 使用 Windows 身份验证趋势科技建议对 SQL Server 使用 SQL Server 身份验证方法，而非 Windows身份验证。然而，您也可以为 SQL Server 配置 Windows 身份验证。要使用 Windows 身份验证，请执行以下步骤：1. 在 Active Directory 服务器中创建具有移动安全数据库访问权限的用户帐户。如果已经拥有具有所需访问权限的用户帐户，则可以跳过此步骤。a. 在 Active Directory 服务器中创建用户帐户。b. 启动 SQL Server Management Studio 并连接到移动安全数据库。c. 从对象资源管理器的树中展开 Security 文件夹。d. 右击登录，然后单击新登录。e. 从左侧的选择页面中单击常规，并执行以下操作：i. 在登录名文本框中键入在此过程步骤 a 本页 中创建的用户名并单击搜索。显示选择用户或组对话框。ii. 将用户名和域名一起（例如：domainnameusername）键入输入要选择的对象名称文本框中，并单击检查名称。iii. 单击确定。f. 从左侧的选择页面中选择服务器角色，并选择以下角色： public sysadming. 单击确定。对象资源管理器的 Logins 文件夹中会显示用户帐户。2. 将移动安全管理服务器添加到与 Active Directory 相同的域中。3. 在管理服务器中，导航到开始 管理员工具 计算机管理，并执行以下操作。a. 从左侧的树中展开本地用户和组文件夹，然后双击组。b. 右击管理员并单击属性。c. 单击常规选项卡上的添加按钮，并执行以下操作：i. 在登录名文本框中键入在此过程步骤 a 本页 中创建的用户名并单击搜索。显示选择用户、计算机、服务、帐户或组对话框。ii. 将用户名和域名一起（例如：domainnameusername）键入输入要选择的对象名称文本框中，并单击检查名称。iii. 单击确定。d. 单击管理员属性对话框上的确定。4. 在管理服务器中，转到以下位置：C:Program FilesTrend Micro Mobile Security或C:Program Files(x86)Trend Micro Mobile Security)5. 在文本编辑器中打开 TmDatabase.ini。如果 TmDatabase.ini 文件不存在，使用文本编辑器创建一个文件并将其命名为 TmDatabase.ini。6. 将以下文本添加到 TmDatabase.ini 文件：ConnectionStringFormat=Provider=sqloledb;Data Source=%server%;Initial Catalog=%database%;IntegratedSecurity=SSPI;7. 在管理服务器上，打开Windows 服务，然后双击移动安全管理服务。8. 在登录选项卡上，选择此帐户:，然后键入将访问数据库的帐户名称，并在密码和确认密码字段中键入密码，然后点击确定。9. 右击服务列表中的移动安全管理服务，然后单击重新启动。10. 在管理 Web 控制台中配置数据库设置：a. 登录到管理 Web 控制台。b. 单击管理 数据库设置。c. 键入数据库服务器 IP 地址、用户名、密码和数据库名称。d. 单击保存。A-2生成和配置苹果推送通知服务证书:使用 IIS 6.0 在 Windows 2003 Server 中生成和配置苹果推送通知服务