北信源内网安全管理系统用户使用手册.docx

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！支持信息 I正文目录第一章概述1特别说明1产品构架1应用构架3第二章北信源内网安全管理系统5策略中心5策略管理中心5网关接入认证配置26阻断违规接入管理26补丁分发26数据查询26本地注册情况统计26本地设备资源统计27本地设备类型统计27USB标签信息查询27设备信息查询27审计数据查询29分发数据查询29非Windows操作系统设备29终端管理30终端管理30行为控制30远程协助31运维监控31报表管理32报警管理32报警数据查询33本地区域报警数据统计33本地报警数据汇总33级联总控33级联注册情况统计33级联设备资源统计33级联设备类型统计34级联管理控制34区域管理器状态查询35区域扫描器状态查询35级联上报数据36级联报警数据36系统维护36系统用户分配与管理36用户设置39数据重整39审计用户40第三章北信源补丁及文件分发管理系统42区域管理器补丁管理设置42补丁下载配置42文件分发策略配置43策略中心43补丁分发策略43软件分发策略46其他策略47补丁分发47补丁自动下载分发48补丁下载服务器48补丁库分类49补丁下载转发代理49客户端补丁检测（一）50客户端补丁检测（二）52第四章北信源主机监控审计系统53策略中心53行为管理及审计53涉密检查策略55其他策略55数据查询55第五章北信源移动存储介质使用管理系统57策略中心57可移动存储管理57其他策略57数据查询57第六章北信源网络接入控制管理系统59网关接入配置认证59策略中心60接入认证策略60其他策略64环境准备方法64安装RADIUS (windows IAS)64各厂商交换机配置83Cisco2950配置方法83华为3COM 3628配置84锐捷RGS21配置87第七章北信源接入认证网关89网关接入配置认证89策略中心90第八章系统备份及系统升级92系统数据库数据备份及还原92系统组件升级92区域管理器、扫描器模块升级92升级网页管理平台93客户端注册程序升级93检查系统是否升级成功93级联管理模式升级及配置93附录95附录（一）北信源内网安全管理系统名词注释95附录（二）移动存储设备认证工具操作说明95USB标签制作95USB标签制作工具97USB标签制作历史查询108移动存储审计策略109移动存储审计数据110附录（三）主机保护工具操作说明110附录（四）组态报表管理系统操作说明111模版制定111报表输出117附录（五）报警平台操作说明120设置120日志查询123窗口123更换界面124帮助124附录（六）漫游功能说明124漫游功能介绍124漫游功能配置126附录（七）IIS服务器配置说明130WIN2003-32位IIS配置说明130WIN2003-64位IIS配置说明132WIN2008-64位IIS配置说明134图目录图1- 1北信源终端安全管理应用拓扑4图2- 1创建新策略5图2- 2下发策略6图2- 3策略控制6图2- 4硬件设备控制8图2- 5软件安装监控策略10图2- 6进程执行监控策略11图2- 7进程保护策略12图2- 8协议防火墙策略15图2- 9注册表16图2- 10IP与MAC绑定策略17图2- 11防违规外联策略19图2- 12违规提示19图2- 13文件备份路径设置23图2- 14注册码配置25图2- 15阻断违规接入控制设置26图2- 16本地注册情况信息26图2- 17本地设备资源信息27图2- 18本地设备类型统计27图2- 19软件变化信息28图2- 20注册日志信息29图2- 21交换机扫描管理配置32图2- 22设备信息统计图表33图2- 23级联设备信息34图2- 24级联设备系统类型统计34图2- 25级联管理控制35图2- 26下级级联区域管理器信息35图2- 27区域管理器状态信息35图2- 28区域扫描器状态信息35图2- 29级联上报数据36图2- 30系统用户列表36图2- 31添加系统用户界面37图2- 32用户管理列表37图2- 33终端控制权限38图2- 34屏幕监控权限38图2- 35密码初始化提示框39图2- 36密码初始化完成提示框39图2- 37修改admin用户密码39图2- 38数据重整信息表40图2- 39审计用户登录40图3- 1区域管理器补丁管理设置42图3- 2分发参数设置43图3- 3补丁自动分发45图3- 4补丁下载服务器界面48图3- 5补丁下载服务器设置49图3- 6补丁代理传发支持50图3- 7补丁下载设置50图3- 8登录页面51图3- 9工具下载页面51图3- 10补丁检测中心52图3- 11客户端补丁漏打检测52图6- 1网关接入认证59图6- 2重定向配置60图6- 3用户添加60图6- 4补丁与杀毒软件认证策略61图6- 5接入认证策略62图6- 6 8021x认证界面63图6- 7 8021x认证界面63图6- 8安全检查没有通过，802.1x不启动认证63图6- 9认证失败63图6- 10添加Internet验证服务组件65图6- 11 IAS配置界面65图6- 12新建RADIUS客户端66图6- 13新建RADIUS客户端66图6- 14新建远程访问策略67图6- 15设置远程访问策略67图6- 16设置远程访问策略68图6- 17设置远程访问策略选择用户68图6- 18设置远程访问策略使用MD5质询69图6- 19设置远程访问策略新建的策略69图6- 20选择Day-And-Time-Restrictions70图6- 21选择允许70图6- 22设置属性71图6- 23添加属性值vlan71图6- 24添加属性值80272图6- 25添加属性值60072图6- 26添加属性值60073图6- 27编辑拨入配置文件73图6- 28新建连接请求策略74图6- 29为策略取名字74图6- 30策略配置75图6- 31添加远程登录用户75图6- 32设置用户属性76图6- 33设置test用户76图6- 34设置启用77图6- 35 VRV EDP Agent认证成功77图6- 36创建用户界面78图6- 37用户添加78图6- 38设置用户密码79图6- 39进入Network Configuration79图6- 40 AAA Client 配置80图6- 41 AAA Server 配置80图6- 42进入Interface Configuration81图6- 43进入RADIUS(IETF)81图6- 44进入Group Setup82图6- 45进入Edit Settingsp82图7- 1网关接入认证89图7- 2重定向配置90图7- 3用户添加90图7- 4网关接入认证策略90图8- 1级联管理配置94附图- 1修改用户 admin USB标签96附图- 2下载DeviceNumber.exe96附图- 3全局参数97附图- 4 UsbTool登录99附图- 5 UsbTool界面99附图- 6分区格式化100附图- 7制作移动硬盘标签1100附图- 8制作移动硬盘标签2101附图- 9制作移动硬盘标签3101附图- 10制作移动硬盘标签4101附图- 11制作移动硬盘标签5102附图- 12制作移动硬盘标签6102附图- 13制作移动硬盘标签7103附图- 14制作移动硬盘标签8103附图- 15制作移动硬盘标签9103附图- 16制作移动硬盘标签10104附图- 17制作移动硬盘标签11104附图- 18 3个分区的优盘和移动硬盘内网登录界面105附图- 19整盘加密的优盘和移动硬盘内网登录界面105附图- 20外网插入3个分区的优盘或移动硬盘盘符105附图- 21交换区登录界面106附图- 22外网插入整盘加密优盘或移动盘符106附图- 23信息提示106附图- 24 UsbTool登录107附图- 25 UsbTool界面107附图- 26初始化密码108附图- 27标签历史查询108附图- 28访问控制配置说明110附图- 29 DOS/DDOS配置说明111附图- 30创建模板112附图- 31确定报表标题及报表尾112附图- 32定义报表输入项113附图- 33确定输出条件113附图- 34确定关联114附图- 35保存模板115附图- 36修改模板名称115附图- 37修改模版的输出标题和表尾116附图- 38修改输出列选项116附图- 39修改关联选项117附图- 40修改时间范围统计117附图- 41模板预览118附图- 42输出excel报表模板信息118附图- 43时间定义119附图- 44模板导入119附图- 45模板导出120附图- 46报警平台设置120附图- 47高级设置121附图- 48报警设置上122附图- 49报警设置下122附图- 50日志查询123附图- 51报警中心界面123附图- 52漫游示意125附图- 53结合接入认证漫游示意图125附图- 54 CA服务器界面126附图- 55区域管理器配置界面126附图- 56客户端迁移策略配置界面127附图- 57重原管理区漫游出去的客户端127附图- 58漫游到新管理器的客户端128附图- 59进去漫游组中的漫游客户端128附图- 60漫游回原管理器的客户端129附图- 61漫游查询状态选项129附图- 62 IIS服务管理器130附图- 63虚拟目录属性131附图- 64选择用户域组131附图- 65用户域组高级选项132附图- 66 用户属性变更132附图- 67命令执行结果133附图- 68输出结果133附图- 70添加角色向导134表目录表2- 1策略的高级设置参数说明7表2- 2硬件设备控制参数说明8表2- 3软件安装监控策略参数说明9表2- 4进程执行监控策略参数说明11表2- 5用户密码策略参数说明13表2- 6协议防火墙策略参数说明15表2- 7注册表检查策略参数说明15表2- 8IP与MAC绑定策略参数说明16表2- 9杀毒软件运行监控17表2- 10防违规外联策略参数说明19表2- 11运行资源监控策略参数说明20表2- 12进程异常监控策略参数说明21表2- 13流量采样策略参数说明21表2- 14流量控制策略参数说明22表2- 15消息推送策略参数说明23表2- 16客户端文件备份策略参数说明23表2- 17终端配置策略参数说明24表3- 1区域管理器补丁管理参数说明42表3- 2补丁自动分发策略参数说明44表3- 3人工选择补丁分发策略参数说明46表3- 4普通文件分发策略参数说明46表3- 5补丁下载设置参数说明51表4- 1文件输出审计策略参数说明53表4- 2上网访问审计策略参数说明54表4- 3文件内容检查策略参数说明55表6- 1补丁与杀毒软件认证策略参数说明61表6- 2 VIFR接入认证策略参数说明64附表- 1移动存储审计策略参数说明110目录 VII第一章 概述特别说明北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6大套件构成。本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为；执行Web管理平台下发的各种策略操作。补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1- 1北信源终端安全管理应用拓扑第二章 北信源内网安全管理系统策略中心策略管理中心策略的使用策略的创建和分发1.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策略名称，单击【创建新策略】按钮开始创建策略。图2- 1创建新策略 注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。 这些字符包括：策略下发查询(2)终端管理-终端管理-当前执行策略 注：策略分发间隔默认为1分钟；有的策略需要重新启动生效，请看每条策略的具体说明。具有审计功能的策略，审计数据可以在“数据查询审计数据查询”中查看。黑白名单编辑进程黑白名单进程黑白名单在“进程监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括：进程名、产品名、源文件名等；如果是服务则只可以加服务名，同时可以加一些描述。软件黑白名单软件黑白名单在“软件安装监控”策略中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。URL黑白名单编辑URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。端口黑白名单编辑端口黑白名单在“协议防火墙策略”中可以使用，这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制硬件设备控制功能说明：控制各种硬件设备及接口的启用或禁用，如果只想禁止使用移动存储设备，也可以通过“可移动存储审计”策略来实现。参数说明：参数说明不处理、启用、禁用本策略中所能控制的硬件，都需要能够在windows系统设备管理器中进行禁止和启用。例外选择【启用】时将禁用例外中的设备，选择【禁用】时将启用例外中的设备，【不处理】选项保持原来的状态无变化，提高系统管理性能，如果对某项不关心可以选择该项。例外设备添加方法：右击我的电脑属性硬件设备管理器，出现设备列表。该策略控制叠加到之前的策略基础之上选中此项时：如果有多条此类策略，终端执行效果将是多条策略设置叠加后执行的效果。如果不选择该项，终端只支持单独一条策略，新下发的策略将覆盖原来的策略配置。取消对设备管理器的的拦截操作默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备，如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。审计结果处理上报服务器：就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地，等客户端接回网络时再上报到服务器。记录到本地文件：会在本地生成文件记录审计信息。起到在本地备份的作用。表2- 2硬件设备控制参数说明注意事项：1如果要对原来禁用的设备启用，最好是明确的为该设备制定一条启用策略。2禁用u盘、软驱、光驱等一部分功能，在行为管理与审计策略中的可移动存储审计策略中也可完成，功能上没有什么区别，用户可以根据自己的习惯，自行设定。策略实例：允许使用光驱，但是禁止使用刻录光驱。比如有两个光盘驱动器，分别为：Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱，如果要禁止刻录光驱，则可以将光驱项设置为允许，在【例外】中输入MATSHITA UJDA745 DVD/CDRW或其中的一部分，只要能通过该标志确认是一个可刻录光驱即可。 因为基本上可刻录光驱都带有CDRW字样，【例外】中可以输入CDRW。多个例外之间用分号(;)（英文半角格式）分隔，如下图所示：图2- 4硬件设备控制进程及软件管理软件安装监控功能说明：用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。参数说明：参数说明软件名设置需要进行控制的软件名称，填入需要监控的软件名称后，点选【添加控制】按钮，如果想要控制更多的软件，输入软件名称后，继续点选【添加控制】按钮，以此类推，可以继续添加需要控制的软件。同一类软件可以使用具体的策略，包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定软件的名称，然后点击【删除控制】按钮。还可以添加系统定义的黑名单和自定义的黑名单，并分别配置违规处理措施、高级设置项。其他软件处理当选中“允许安装软件”，再勾中“除以上列表的软件外，安装了其他任何软件都视为违规项”，表示只允许安装列表中的软件，安装其他软件均视为违规，即实现对软件安装的限制功能。当选中“控制状态”是“禁止安装软件”，同时选中【其他软件处理】复选框，那么安装任何软件都是违规的。以上软件安装违规处理指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式，是指不处理违反策略的对象，但是，相关的违规记录可以在Web管理器中查询。仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。表2- 3软件安装监控策略参数说明策略实例： 图2- 5软件安装监控策略注意事项：1“软件名”要和控制面板中添加删除程序里的软件程序名一样，该功能支持模糊查询技术，例如在要检查是否安装了QQ，可能因为各种版本不一样，在“添加删除程序”里显示的是QQ2004或QQ2005，这时您可以只输入QQ。2静默卸载功能不支持模糊匹配，需要填写跟添加删除程序中的名称完全相同。3为了维护方便，建议管理员将施行安装或禁止安装的需求不同的软件，放在不同的策略中管理，如果同一软件在不同策略中的设置不同，那么，取最后一个策略设置为准。4本策略设置时，建议在高级设置，策略触发方式中，选中启动时触发和间隔触发选中，间隔时间10分钟左右。进程执行监控功能说明：用于监控客户端运行的进程，并做相应处理。先添加需要监控的进程信息，再配置违规处理措施。参数说明：参数说明进程/服务名需要进行监控的进程或服务名称，进程的名称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后，点选【添加控制】按钮，如果想要控制更多的进程，输入进程名称后，继续点选【添加控制】按钮，以此类推。进程名获取方法：右击任务栏选择“任务管理器”。“进程/服务名”处也可填写“*”，例如，进程/服务名：*，产品名称：Microsoft Office 11 Professional，控制状态：必须运行，即表示必须运行Microsoft Office 11 Professional产品的所有进程。产品名称需要进行监控的产品的名称，产品的名称可以从需要监控的文件，鼠标右键点击需要监控的可执行文件，从其中的产品名称中看到，填入需要监控的产品名称后，点选【添加控制】按钮，如果想要控制更多的产品名称，输入产品名称后，继续点选【添加控制】按钮，以此类推。源文件名需要进行监控的具体可执行程序的名称，源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后，点选【添加控制】按钮，如果想要控制更多的源文件，输入源文件名称后，继续点选【添加控制】按钮，以此类推。可以设置更多的需监控项目。控制状态针对具体的进程、产品、源文件，具体的控制状态有三种，包括“禁止运行”、“必须运行”和“允许运行”，这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制，请在列表处选定具体的进程、产品、源文件的名称，然后点击【删除控制】按钮。其他进程处理选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”，则表示只允许进程列表中的进程运行，其他进程均视为违规，即实现对进程运行的限制功能。以上各种情况的违规处理指选定的对象如果违反了上述的监控策略的处理方法。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。表2- 4进程执行监控策略参数说明策略实例： 图2- 6进程执行监控策略注意事项：1进程名称、产品名称、源文件名之间是“或”的关系，填入其中一项或多项均可实现监控功能，其中，产品名称，主要用于监控一系列软件的使用，比如说，qq不同版本的程序名不一样，但是产品名称是相同的。源程序名的作用，主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。2本策略设置时，建议在高级设置-策略触发方式中，选中启动时触发和间隔触发，间隔时间5分钟左右。3启动路径为全路径或系统默认路径。进程保护策略功能说明：设置需要保护的用户进程，防止被保护的进程被非法关闭。策略实例：图2- 7进程保护策略注意事项：1这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。2这里的被保护进程，仍然可以在策略中心的“进程执行监控”中进行终止，请管理员注意相关策略的设置。主机安全策略用户密码策略功能说明：此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置，同时可以检测系统密码弱口令，除系统自定义的弱口令外，用户可以自己添加自定义弱口令集。参数说明：参数说明检测到系统弱口令后当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式，即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。附加弱口令列表根据各单位名称等不同，自己添加需要探测的弱口令，每个弱口令之间用,分隔。表2- 5用户密码策略参数说明注意事项：1在windows系统密码策略中，策略是指密码的长度。2“弱口令检查”与“本地账户锁定策略”不能同时设置，否则弱口令用户可能会被锁定，无法使用！也不能对同一台计算机分配两个这样的策略。3检测系统弱口令，原理是使用每个列表中的弱口令来尝试登录计算机，它并不修改任何windows系统文件，本策略不会造成任何的计算机不稳定状态。4用户密码策略：只适用于标准版操作系统，番茄花园版不支持；系统屏保设置：重启后生效；弱口令列表需要手动添加。用户权限策略功能说明：检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时，则弹出相应的提示信息。根据需要，在相应的菜单中选择上报或者在客户端提示的报警方式，还有两种报警方式同时启用的方式，如果选择中有提示信息选项，将在客户端弹出管理员设定的提示信息窗口。注意事项：1本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的，本策略只提供相应的监测功能，不对您的修改进行限制。协议防火墙策略功能说明：本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用，用来控制各种网络使用和计算机端口的使用，起到防火墙的作用。参数说明端口连接控制规则协议类型计算机可以进行很多网络应用，各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的，通过这种端口的方式，计算机才可以与外界进行互不干扰的通信。Tcp/udp协议，网络通信协议，基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议，对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的，且这个服务使用的是哪种协议。同时，我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口，在协议选择下拉菜单中选择相应的tcp/udp协议。“本地端口”和“远程端口”两个选项，其中，本地端口是指在网络的使用中，本地计算机使用的端口，如果选择这个选项，则在本策略的对象范围内的计算机无法启动使用该端口的服务；远程端口是指在网络的使用中，本地计算机可以启动本服务，但是无法访问远程计算机提供相应服务的端口。管制方式“禁用填充项中指定端口，开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务，同时开放其他所有的端口，使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务，并不改变其他端口目前的状态。“开放填充项中指定端口，禁用其他端口”是指，仅开放在上边填写的端口和其所对应的服务，同时关闭其他所有的关口和网络服务，“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务，并不改变其他端口目前的状态。选定需要的选项后，点击“添加端口连接控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。ICMP协议控制规则指系统对ICMP协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只要执行MS-DOS窗口下的ping命令即可系统对icmp协议的控制，主要是通过判断计算机间的互相通信是否正常来判断的。一般来说，只需要执行ms-dos 窗口下的ping命令即可。“禁止ping入”是指不允许其他计算机（包括局域网计算机和远程计算机）用ping命令来检测本地计算机通信状态。“禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机（包括局域网计算机和远程计算机）的通信状态。“禁止双向”同时禁止任意两台计算机（至少有一台是本地计算机）的通信检测。设定好后，点击“添加icmp协议控制规则”按钮，所设定的控制将出现在页面下端的控制列表中。IP访问控制规制ip地址输入需要限制网络使用的计算机的ip地址或ip地址范围。管制方式“只允许填充项中ip地址访问自己，禁止其余ip地址访问”是指，在设定的ip地址范围内的计算机，每台计算机能使用策略生效范围内的计算机的网络资源，其他的计算机无法访问该策略范围内的计算机。“只允许自己访问填充项中ip地址，禁止访问其余ip地址”是指，本策略生效范围内的计算机只能访问在设定的ip地址范围内的计算机的网络服务，不能访问其他计算机提供的网络服务。设定好后，点选“添加ip访问控制规则”，所设定的控制将出现在页面下端的控制列表中。以上各种选项在设定后，如果需要去掉，只要在控制列表中，点选，然后点击下边的“删除规则”按钮。超级IP指的是本IP不受上边制定的所有策略的限制。默认内网管理服务器IP为超级IP超级端口指本端口和所对应的服务不受上边制定的所有策略的限制表2- 6协议防火墙策略参数说明策略实例：如下图所设置的一个样例表示：只开放本地计算机的80端口；只允许1-20该IP地址段中的IP访问本地计算机；禁止其他计算机ping入。图2- 8协议防火墙策略注意事项：1此策略需要管理员对网络协议和计算机端口有一定的认识，请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。注册表检查策略功能说明：监测客户端的注册表内容和该内容的设定值，防止注册表被病毒或其他恶意程序修改，起到对计算机的安全防护作用。参数说明：参数说明注册表项名称在【运行】项输入“regedit”然后点确定。出现注册表窗口，在左边窗口显示的就是注册表项的名称键名在注册表窗口中，右边窗口中的名称标题下的内容就是键名值类型同注册表右边窗口的值类型的三个选项 “reg_sz”、“reg_dword”、“reg_binary”键值在注册表右边窗口中的数据标题下的内容就是键值检测条件根据需要选择相应的条件适合操作系统根据对象的计算机操作系统状况进行选择具体的操作系统控制操作如果要删除注册表项请确认该项对系统的正常使用不会造成影响。删除项会同时删除该项下的子项和键。表2- 7注册表检查策略参数说明图2- 9注册表注意事项：1本策略只提供注册表检测功能，不进行修改注册表内容的操作。IP与MAC绑定策略功能说明：实行IP与MAC绑定。当IP与MAC绑定发生变化时，可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。参数说明：参数说明客户端特性设置：客户端IP,MAC绑定点选该选项，才可以使用本策略的功能。Ip与mac绑定是指客户端计算机在局域网中标识身份的地址和计算机的网卡标识号码的匹配。当绑定发生变化指客户端计算机用户修改了自己的ip地址，这时，网卡的mac将于新的ip地址相匹配，就不能与原来的ip地址匹配，这就是ip、mac绑定发生变化。系统根据这种情况给出4种处理方式，“不处理”、“自动恢复”、“断开网络”，并且提示管理员设定的信息、“仅提示”只提示管理员设定的信息。表2- 8IP与MAC绑定策略参数说明策略实例：图2- 10IP与MAC绑定策略注意事项：1“客户端IP,MAC绑定”选项绝对不能在动态IP的设备上使用。2一般常规性的网络应用中，只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。杀毒软件运行监控策略功能说明：检查客户机是否安装杀毒软件，并做提示、断开、重启计算机等操作。参数说明：参数说明若客户端未运行病毒防火墙“不处理”、“自动重启”当系统发现客户端未安装杀毒软件时，将弹出管理员设定的提示信息，并且2分钟后自动重新启动、“断开网络”断开和网络的连接，并弹出管理员设定的提示信息、“仅提示”只发给客户端提示信息。杀毒软件升级设置用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRVRegionManageDistributeAntiVirusUpdate目录中相应的杀毒软件升级文件夹中，目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿等。表2- 9杀毒软件运行监控补丁分发策略、软件分发策略请参照第三章北信源补丁及文件分发管理系统接入认证策略请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。违规外联监控防违规外联策略功能说明：监视违规网络连接（modem拨号、双网卡、代理等），并对违规行为做出相应的处理，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理。参数说明：参数说明违规监控设置通过设置，检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。 “外网地址”选项，是利用系统的功能，对这两个地址，进行检测，当可以与这两个网站通信时，视为本机违反策略。“客户端所限定使用的网段”是指，如果客户端访问的ip地址超过了在这个选项中设置的范围，也视为本机违反策略。本选项需要填写ip地址范围，范围中间区域用“”来间隔。“采用探测外网方法”和 “客户端所限定使用的网段”这两种方法，是并列的，单独使用其中的一种或者两种同时使用都可以满足您的需要。禁止使用代理上网访问如果选择这个选项，则浏览器无法使用代理服务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。探头发现设备违规后的处理方式A：若客户端同时连接内外网，本选项一般指计算机同时能够访问单位内部网络和外部网络。在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。B：若客户端仅在外网，一般是指，客户没有在局域网中，只通过modem等网络设备上网的情况。在处理方式中，仅提示方式，是指当选定对象的用户如果违反了策略，将在客户端弹出管理员设置的提示信息。断开网络方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行断离网络的处理，同时，该计算机弹出管理员设定的提示信息。关机方式，是指当本策略启用时，选定的策略管理对象，如果违反了本策略，将对该计算机进行2分钟后自动关机的处理，同时，该计算机弹出管理员设定的提示信息。重新接回内网后进行安全检察，是指当计算机离开本网络，并且离开后进行了网络操作，则当计算机回到本网络的时候，提示用户进行安全检测。 表2- 10防违规外联策略参数说明策略实例：图2- 11防违规外联策略当执行该策略的客户端有违规外联事件发生时，客户端将弹出管理员设置的提示信息，如下图所示：图2- 12违规提示注意事项：1当计算机离开本地网络，并进行过联网后，回到网络仅提示安全检查，本系统并不对其进行具体的安全检查。2使用本策略，必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。行为管理及审计、涉密检查策略请参照第四章北信源主机监控审计系统可移动储存管理请参照第五章北信源移动存储介质使用管理系统主机运维策略运行资源监控策略功能说明：本策略主要针对服务器和重要主机而设计的，网管人员十分关心服务器和重要主机的运行状况，如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况，用户可以根据管理情