Controller_V100R001C00SPC100_终端安全管理培训.ppt

修订记录 本页不打印 讲师授课建议 1 xxx 华为AgileController终端安全管理部署 前言 企业网络中存在大量的PC终端 企业虽然部署了杀毒软件和安全设备 但是依然可能存在很多安全问题 例如终端操作系统的漏洞 随意使用软件导致恶意软件入侵 终端管控不严导致的信息资产泄漏等 为了解决这些问题 华为AgileController产品推出了终端安全管理相关的特性 本课程介绍AgileController产品终端安全特性的部署和配置 目标 学完本课程后 您将能够 了解AgileController终端安全特性的应用场景了解AgileController终端安全特性的功能实现掌握AgileController终端安全特性配置部署方法掌握AgileController终端安全特性故障处理方法 目录 AgileController终端安全特性应用场景AgileController终端安全特性功能实现AgileController终端安全特性配置部署AgileController终端安全特性故障处理 终端安全管理业界现状和发展趋势 I 2001年以前 终端安全主要依赖于防病毒 反间谍软件技术 随着技术变化和安全威胁的花样翻新 终端安全事件屡屡发生 导致了用户对防病毒软件的不信任 以至于引发了防病毒软件是否卖 过期药 的激烈讨论 II 2001年到2009年 终端安全由简单的病毒防护 发展到以准入控制 终端安全 行为管控的一体化解决方案III 2009年以后 随着移动办公用户的快速增长 终端安全管理的范畴由传统PC机的管理扩展到智能终端以及各种IP设备的泛终端统一管理 终端安全的管理方针由以前的事件驱动发展为主动防御 综合防范 强化体验 泛终端安全 终端体验管理 终端病毒防护 一体化终端安全 全球企业终端安全发展成熟度 III 2009 II 2001 2009 I 2001年前 当前阶段 泛终端各种类型终端统一管理物理 虚拟统一管理 终端安全管理4大发展趋势 全功能准入控制 安全管理被动防御 主动控制 平台化全网联动协同开放集成能力 个性化桌面管家应用桌面用户服务 特点 通过终端安全检查确保终端安全合规 安检不通过禁止接入网络 安检通过授权接入网络 产生违规接入记录 严格 宽松 安全检查策略模板 检查防病毒软件检查补丁 ServicePack检查可疑注册项 进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性强制DHCP检查同时使用多网卡用户接入IP MAC绑定 安全检查策略模板 检查防病毒软件检查补丁 认证后域 认证后域 Controller Controller 保护AV等安全产品的投资价值减少恶意代码传播 提升资源可用性 减少服务中断风险减少信息泄密风险降低终端威胁网络的风险提供准确实时的企业遵从信息 丰富的安全检查策略 针对不同的用户角色或部门定义不同安全规则支持企业安全管理制度的演进 基于角色的动态策略控制 特点 一键修复 降低终端管理维护成本 安全检查 修复完毕 授权接入网络 认证后域 一键式自动修复 自动部署指定版本的防病毒软件防病毒软件强联动 自动更新病毒库自动修复补丁根据链接指导安装指定软件注册表键值自动修复屏保设置自动修复共享目录自动删除 安检不通过禁止接入网络 检查防病毒软件检查补丁 ServicePack检查可疑注册项 进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性 一键式智能自动修复 实现终端自我管理 降低管理成本 特点 桌面安全标准化 降低病毒感染风险 丰富的行为管理手段 促进企业桌面标准化 控制非办公软件使用 控制各类IM 炒股 网游 媒体下载 要求 MSOffice2003 SP3orlater 2007 要求AdobeReader6 0 7 0 8 0 控制非法的web访问 要求 特定时间段 不允许访问xx站点如新闻网站 要求 禁止通过Proxy进行上网 要求 上班时间禁止访问互联网 只允许安装标准软件 实现桌面办公标准化 控制非法的web访问 提高工作效率 禁止非标软件的安装 降低病毒感染风险 特点 终端外设管理和行为监控 设置禁用和启用外设接口 如果禁用场景下 使用这些受控设备 Controller代理将会记录终端用户使用这些受控设备的行为并上报设置是否禁用USB移动存储设备 对移动存储设备中的文件可进行加密或只读控制功能 监视终端用户在终端主机的本地硬盘进行的文件操作 需要指定文件类型 监视的文件操作包括 创建文件复制文件编辑文件重命名文件删除文件 外设接口管理 文件操作审计 控制各种非法外联行为 Printer 串口 并口 蓝牙 红外 MMC卡 SD卡 各类FlashDisk 数码相机 USB 管理员配置策略并下发 终端按照策略监控指定操作 Modem拨号 ADSL拨号 VPN拨号 非法Proxy服务器 ISDN拨号 同时使用内外网 监控终端主机是否非法连入互联网 可提供阻断与违规代理服务器或网络的连接 并上报可监控Windows自带网络连接拨号程序建立的拨号连接状态 目录 AgileController终端安全特性应用场景AgileController终端安全特性功能实现AgileController终端安全特性配置部署AgileController终端安全特性故障处理 终端安全技术架构 1 通过MC管理中心可以集中配置和分发策略到下级终端安全管理服务器2 终端安全客户端按照分配的安全策略对终端进行检查 检查通过后服务器可以通知准入控制设备给终端开放网络权限 如果检查不通过 可以对终端进行隔离修复 多级管理模型 安全策略与准入控制联动流程 主要内容 与硬件SACG联动流程与802 1X联动流程与PORTAL交换机联动流程 联动流程 硬件SACG 1 上线流程示意图 联动流程 硬件SACG 上线流程说明1 第一步 建立SSL通道 保护通信2 第二步 身份认证 验证用户合法性3 第三步 更新安全策略参数终端使用新的策略参数进行安全检查4 第四步 终端上报安全检查结果根据结果配置结果以及安全检查结果 判断进入认证后域或者隔离域 给FW下发上线消息 消息携带认证后域 隔离域参数当从FW接收到上线成功的消息 则通知终端认证通过或者被隔离 联动流程 硬件SACG 1 切换域流程示意图 以隔离域 后域举例 终端位于隔离域 终端用户点击修复 假设违规可以自动修复 修复后自动进入后域 联动流程 硬件SACG SACG准入控制切换流程说明如下几种情况会触发切换操作 1 处于隔离状态 终端用户点击修复操作 完成严重违规的修复 2 处理隔离状态 终端用户手工进行修复 然后点击重新检查操作3 处于隔离状态 终端用户手工进行修复 然后点击注销 再点击认证操作4 处于隔离状态 AgileControllerAGENT从服务器下载了新的策略参数 重新执行安全检查后严重违规消除5 处于认证后域状态 AgileControllerAGENT周期检查终端的安全状态需要被隔离 联动流程 802 1X交换机 802 1X准入控制流程比较复杂 涉及如下几个问题 1 802 1X认证通过前 可能无法连接网络 1X端口被关闭 这会导致 终端代理在认证通过前 无法与AgileController服务器通信 更新安全策略终端802 1X认证通过前进行安全检查的参数是本地参数 可能与服务器不一致 在认证通过后重新连接服务器后 需要更新参数当更新参数后 使用新的参数进行安全检查时 安全检查的结果可能会发生变化 需要调整终端的隔离域 认证后域状态2 如果采用动态VLAN模式 隔离域 认证后域将划分在不同的VLAN上由于不同的VLAN使用不同的IP地址 这要求 网络中需要使用DHCP获取IP地址每次认证通过后 都需要重新获取IP地址 以便在正确的VLAN中正常使用网络3 如果终端加入了AD域在终端没有通过802 1X认证前 无法与AD服务器通信 终端只能离线认证 联动流程 802 1X交换机 802 1X准入控制流程包括两个阶段的认证 1 802 1X认证2 AgileControllerAgentT与服务器认证为什么要俩阶段认证 1 802 1X是一个相对独立的认证流程 在没有认证前AgileControllerAGNET与服务器无法通信2 802 1X认证后 AgileControllerAGNET需要与服务器通信 更新策略 开展其他业务3 从灵活的角度看 甚至还有可能在802 1X下 某些重要的资源前部署SACG总结 考虑到后续业务流程的 把802 1X做成一个相对独立的业务 1X认证后再做一个通用的认证流程 联动流程 802 1X交换机 基本业务流程 联动流程 802 1X交换机 有线802 1X基本认证流程说明第一阶段的安全检查结果与第二阶段的安全检查结果一致 安全认证通过 被隔离1 终端AgileControllerAGENT通过发送EAPOL START 触发交换机发起1X认证流程2 交换机发送EAP Request Identity 开始1X的认证流程3 AgileControllerAGENT发送EAP Response Identity消息 该消息携带终端的账号信息4 交换机收到EAP Response Identity消息 把该消息封装成Radius报文 发送给AgileController服务器 AgileController服务器提供Radius服务 5 AgileController服务器决定使用MD5的方式进行认证 使用Radius协议封装EAP Request MD5 Challenge消息 发送给交换机 6 交换机转发EAP Request MD5 Challenge给终端AgileControllerAGENT7 AgileControllerAGENT计算MD5值 根据离线策略做安全检查 把MD5值和安全检查结果 通过EAP Response MD5 发送给交换机8 交换机通过Radius封装 转发EAP Response MD5 联动流程 802 1X交换机 有线802 1X基本认证流程说明 续9 TSM服务器收到该EAP Response MD5后 首先检查身份是否OK 然后检查安全检查结果 根据安全检查结果 以及系统配置 决定是否发送VLAN参数关于身份认证的说明 1 普通账号认证 则从数据库获取该账号的口令 进行身份校验2 LDAP AD账号认证 检查该账号是否存在 账号存在则先认证通过3 证书认证 当前不支持证书认证10 当AgileController安全代理收到EAP SUCCESS的消息 确认802 1X认证通过这时候AgileControllerAGENT会检查终端的IP地址获取方式 如果是使用DHCP获取IP地址 则触发获取IP地址 到此 第一阶段的认证完成 开始第二阶段的认证流程第二阶段的认证流程与普通SACG的认证流程一致 如果在第二阶段 发现身份验证失败 则AgileControllerAGENT会注销802 1X 关闭端口 联动流程 802 1X交换机 有线802 1X认证切换流程说明基于802 1X的业务特点 当需要从隔离域切换认证后域 或者需要从认证后域切换隔离域的时候 都需要关闭1X的端口 重新走一次1X的认证流程 如下几种情况会触发切换操作 1 处于隔离状态 终端用户点击修复操作 完成严重违规的修复 2 处理隔离状态 终端用户手工进行修复 然后点击重新检查操作3 处于隔离状态 终端用户手工进行修复 然后点击注销 再点击认证操作4 处于隔离状态 AgileControllerAGENT从服务器下载了新的策略参数 重新执行安全检查后严重违规消除5 处于认证后域状态 AgileControllerAGENT周期检查终端的安全状态需要被隔离 联动流程 PORTAL认证流程 基本业务流程 联动流程 PORTAL认证流程 基本认证流程说明1 AgileController安全代理 WEBAGENT WEB认证客户端与SC服务器完整认证流程 2 SC服务器根据终端所在的IP地址 查找到对应的PORTAL接入设备 并且给该设备发送PORTAL上线消息 如果查询发现有多个PORTAL接入设备 则发送多个PORTAL上线消息 消息中携带终端的安全检查结果和终端的账号信息 3 交换机收到PORTAL上线消息 构造RADIUS认证请求报文 发送给RADIUS服务器 RADIUS服务器可能与SC是同一个服务器 也可能不是同一个 取决于配置 消息中携带终端的安全检查结果和终端的账号信息 4 RADIUS认证成功 根据账号 以及安全检查的结果 给交换机下发RADIUSACCEPT的消息 并且在消息中携带ACL规则 5 交换机收到RADIUSACCEPT后 给PORTAL服务器发送应答消息 告知认证成功 6 PORTAL服务器通知终端认证通过 联动流程 PORTAL认证流程 隔离域 认证后域切换流程 联动流程 PORTAL认证流程 隔离域 认证后域切换流程说明1 假设终端已经进行了安全认证 并且因为终端的某些原因 导致终端被隔离 2 终端用户执行修复操作 3 修复完成后 AgileController安全代理给SC服务器发送安全认证消息 请求进入认证后域 4 SC服务器构造PORTAL上线请求消息 发送给交换机 5 交换机应答 告知该用户已经在线 6 PORTAL服务器给交换机下发一个COA消息 需要在交换机上配置COA服务器 把所有的SC服务器都加入到COA服务器中 7 交换机处理该COA消息成功 返回一个应答OK 8 SC服务器通知终端代理 终端上线OK 目录 AgileController终端安全特性应用场景AgileController终端安全特性功能实现AgileController终端安全特性配置部署AgileController终端安全特性故障处理 定制终端安全客户端安装包 AgileController终端安全特性只有在全功能版的客户端中才具有 通过发布包中的客户端定制向导可以定制出全功能版的安全客户端 如下 终端安全客户端安全检查结果展示 AgileController终端安全客户端的安全检查界面如下 客户端可以按照终端用户配置的策略模版进行安全策略的检查 将检查结果按照不安全项和安全项分别进行展示 并可以查看每一条不安全检查结果的详细内容 安全策略简介 策略分类 AgileController安全策略分类 检查类策略 检查类策略主要用于检查终端的一些静态设置 例如屏保是否设置 防病毒软件是否安装 软件是否安装等监控类策略 监控类策略主要用于实时监测系统发生的事件 如是否开启 关闭了某个进程 是否使用PPPOE拨号接入网络等 一旦监测到事件发生 可以采取一些控制用户自定义策略 R2C07后版本提供了一个用户自定义策略的工具 用户可以利用该工具 编辑一些检查的检查项 满足简单的安全管理需求 安全检查策略 安全监控策略 安全策略简介 上传策略 1 系统初始化向导说明 安装完SM服务器 登录管理界面的时候 会提示用户使用初始化配置向导 请注意 下次不再提示 勾选后 可以在策略 终端管理 安全策略 策略上传菜单下 上传策略包 安全策略简介 上传策略 1 上传License文件 如果没有商用License文件 可以申请临时License文件 安全策略简介 上传策略 3 上传策略包 从发布光碟中获取 PolicyPackage zip上传该策略包文件 安全策略简介 上传策略 系统配置向导完成1 请注意 两个绿色的勾2 请注意 系统配置向导已经完成 勾选 下次不再提示 安全策略简介 定义场所 1 场所的概念 场所用于定义当前终端所处的位置应用场景 当终端处于不同的场所的时候 会面临不同的安全问题 需要制定有针对性的安全策略 在安全性高的环境 可以定义比较宽松的安全策略 在安全性比较差的环境 可以定义比较严格的安全策略 例如在公司内部进行办公相关业务的时候 这时候通常应该开放文件共享业务 让用户能够自由的交换文件 2 定义场所场所只能通过上传的方式进行定义 现阶段初始的配置文件 可以从维护组获取 安全策略 定义场所 3 场所定义条件 终端PC的IP地址终端PC的网关地址终端PC使用指定的DNS服务器终端PC使用VPN网卡终端PC在线离线状态终端PC能否连通指定的IP地址 端口场所识别条件可以进行ORAND任意组合 形成一个场所的判断条件 安全策略 定义场所 4 场所定义举例 某个公司定义了三个场所 1 办公场所 终端IP地址范围在10 0 0 0 8 IP地址范围在132 0 0 0 8 133 0 0 0 8 则终端属于办公场所2 VPN接入场所 终端使用VPN接入网络 并且终端的网关地址 VPN网关 范围在10 72 55 0 24 则终端属于VPN接入场所3 其他场所 不满足条件1 和条件2 则属于其他场所 安全策略 编辑和分配策略 1 创建策略模板给部门 账号 网络区域分配安全策略规则的时候 以策略模板为一个整体 进行分配和管理 安全策略 编辑和分配策略 策略模板参数说明 1 名称 给策略模板起一个好记的名称名称最好有意义 例如研发区策略模板 非研发区策略模板 或者公共策略模板 特定部门模板1 特定部门模板22 描述 给策略模板填写足够的描述 可以详细描写该策略模板的应用范围 例如特定部门模板1 推荐在描述部分说明哪些部门使用了该模板 3 父模板 应用场景 公司有一个或者多个基准的安全策略 部门可以在公司策略的基础上 使用更多的策略 可以把公司的策略定义为父模板 部门在继承公司策略的基础上 编辑部门的策略 由于技术上的限制 只能做到 如果父模板定义了策略A 那么子模板只能使用策略A 不允许在A的规则的基础上 新增规则 也就是说 这种继承是以策略为单位 不能以策略的规则为单位进行继承 安全策略 编辑和分配策略 2 选择策略并且编辑策略参数当要启用某个策略的时候 点击绿色箭头 再点击旁边的 齿轮 符号 开始编辑策略 安全策略 编辑和分配策略 3 分配策略点击 模板分配 然后选择该策略模板使用的场所 选择使用该策略模板的部门 账号 网络区域为了简化配置 一个策略模板只能分配给一个场所 安全策略支持的操作系统 AgileController的安全策略中每一种策略支持的操作系统是不一样的 有些策略只支持Windows系统 有些支持Linux系统 策略模板中操作列可以看出来哪些策略是支持Linux的 如果一个策略支持Windows和Linux 也有可能策略配置存在一些差异 主要原因是不同的操作系统下支持的程度可能有差异 安全策略配置 提纲 主要内容 检查类策略详细配置说明监控类策略详细配置说明 检查类策略 安全策略公共参数说明 以屏保策略为例说明 检查类策略 安全策略公共参数说明 1 在终端显示策略检查结果如果勾选 则安全检查的结果会在AgileController代理 WebAgent的界面上显示如果不勾选 不管终端是否违规 都不会显示2 上报违规信息终端产生的违规信息 需要上报到服务器 只有上报到服务器才能查看报表 3 离线运行当AgileControllerAGENT没有连接服务器的时候 策略保持运行 勾选该选项后 代理一启动 策略就保持运行 4 出现严重违规禁止接入网络是否与准入控制联动 如果不勾选该选项 即使把违规级别定义为严重 终端严重违规也不会进入隔离域 5 检查周期策略执行的周期 例如每60分钟执行一次检查 该值可以配置 最小值 5分钟6 启用自动修复提供该选项原因 虽然系统提供自动修复 但是某些违规不一定适合使用自动修复 检查类策略 安全策略公共参数说明 7 修复建议当终端出现违规的时候 在AgileControllerAGENT WebAgent显示的修复建议信息包含一段文字描述 一个URL链接支持配置中文 英文修复建议 终端根据AgileControllerAGENT WebAgent的语言类型 自动选择修复建议显示的语言 检查类策略 检查屏保设置 检查屏保设置目的 启用屏保 能够保证用户离开终端的几分钟内 就可以锁定计算机 防止计算机被其他人滥用 屏保的功能虽然简单 但是该功能很重要 检查的内容 1 检查终端是否启用屏保功能2 屏保是否启用密码保护3 启动屏保的时间提供自动修复功能 修复的效果 设置终端启用屏保 并且设置屏保的时间 配置的时间 屏保恢复的时候需要输入密码操作系统说明 此策略支持Windows和Linux操作系统 检查类策略 检查屏保设置 检查类策略 检查注册表设置 检查注册表设置目的 启用检查注册表配置策略是检查注册表的重要子键与键值是否符合要求 如果注册表不包含该策略强制要求的 子键与键值 或者包含该策略禁止存在的 子键与键值 则该策略的检查结果为违规 通过该策略可以检查终点系统安装的软件或者设置的组策略是否符合要求 例如 可以通过该策略检查终端是否启用了Windows防火墙 检查的内容 1 支持多种键值检查类型 包括键值须存在 键值须不存在 键须存在 键须不存在 2 支持多种键值类型 包括REG SZ 字符串值 REG DWORD DWORD值 提供自动修复功能 修复的效果 在指定的键值路径下设置或者删除键值 或者修改键值为要求的数值 检查类策略 检查注册表 检查类策略 检查防病毒软件 检查防病毒软件目的 安装杀毒软件 杀毒软件正常运行 以及杀毒软件的病毒库正常更新 是终端安全的重要保证 检查的内容 1 检查终端是否已经安装了指定的杀毒软件 一个企业可以指定多个可以使用的杀毒软件 2 检查杀毒软件是否已经运行3 检查杀毒软件的病毒库是否更新4 检查杀毒软件的是否需要升级 版本是否是最新的 提供手工修复功能 对江民 金山的企业版杀毒软件供防病毒软件的强联动功能 自动更新病毒库 支持认证后启动杀毒功能 能够定义启动后扫描病毒的路径 包括内存 系统目录 以及自定义的路径等 当终端存在无法查杀的病毒时 与接入控制设备联动对终端进行隔离 检查类策略 检查防病毒软件 检查类策略 检查防病毒软件 安全策略 检查打印机共享 检查打印机共享目的 检查安装在本地的打印机是否共享给其他人使用检查终端是否开启打印机共享 以及是否限制共享权限检查的内容 是否开启打印机共享检查打印权限共享给哪些账号检查打印机共享的权限 打印 管理打印机 管理文档提供自动修复功能 自动修复的时将取消共享 或者删除指定账号的共享权限 安全策略 检查打印机共享 安全策略 检查端口 检查端口的目的 通过检查主机侦听的端口 判断主机是否安装了什么软件 例如通过该功能 可以检查主机是否开启DHCP服务功能说明 可以只检查侦听端口 也可以检查所有端口 包括处于TIME WAIT类的端口周期对终端的端口进行检查 检查的周期可以配置 安全策略 检查磁盘分区信息 检查磁盘分区信息的目的 检查磁盘是否存在隐藏分区检查是否有其他类型的分区 协助判断是否安装了LINUX等其他类型的操作系统局限性说明 检查逻辑分区的时候 只能检查Windows能够识别的分区 安全策略 检查账号安全 检查账号安全目的 该策略检查终端主机的账户设置是否符合要求 如果终端用户账户密码存在配置的弱密码规则或者终端的密码策略不符合安全规则 则该策略的检查结果为违规 检查账号安全的内容 检查操作系统是否存在弱密码 采用密码本的方式 检查某个账号的密码是否为弱密码 支持检查本地账号 以及在本机登录过 存在缓存信息的域账号 只要该域账号没有被删除 可以离线登录的就可以检查 检查本地密码策略密码策略包括 密码长度最小值 密码最短存留期 密码最长存留期 复位账号锁定计数器 账户锁定时间 密码强度历史 账户锁定阈值 启用密码复杂度要求关于启用密码复杂度的说明不能包含用户的帐户名 不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符 英文大写字母 A到Z 英文小写字母 a到z 10个基本数字 0到9 非字母字符 例如 在更改或创建密码时执行复杂性要求 安全策略 检查账号安全 检查某个账号是否加入特定群组本地的Administrators组不应该包含DomainAdmin 防止域管理员登录本机 本地的Users组不应该包含DomainUsers 防止域用户登录本机 提供自动修复功能 检查账户密码策略提供自动修复功能 安全策略 检查账号安全 安全策略 检查文件共享 检查文件共享目的 检查终端是否设置文件夹共享给其他人使用 检查终端设置的文件夹共享账号及权限是否符合安全规则 检查的内容 终端是否存在共享文件夹终端共享文件夹给哪些账号终端共享文件夹设置的权限 读权限 读者 写权限 参与者 完全控制 共有者提供自动修复功能 自动修复的时将取消终端所有共享文件夹设置 或者删除所有文件夹对指定账号的共享权限 操作系统说明 此策略支持Windows和Linux操作系统 安全策略 检查文件共享 安全策略 检查系统冗余账号 检查系统冗余账号的目的 检查终端的系统账号是否长时间未登录或者从未登录过 方便管理员对账号进行管理 检查系统冗余账号的内容 检查终端账号未登录超过冗余天数的账号 检查终端从未登录过的账号 安全策略 检查软件黑白名单 检查软件黑白名单目的 检查终端主机安装的软件是否满足要求 检查软件黑白名单内容 白名单模式 检查只能安装的软件 对于白名单中的软件 该软件属于必须安装类软件 而终端主机未安装该软件 则属于违规行为 对于白名单中的软件 该软件不属于必须安装类软件 而终端主机未安装该软件 则不属于违规行为 白名单 黑名单模式 检查必须安装的软件和禁止安装的软件 如果终端主机未安装白名单中的任意一款软件 则属于违规行为 如果终端主机已经安装黑名单中的任意一款软件 则属于违规行为 如果终端主机已经安装白名单中的所有软件 并且没有安装黑名单中的任意一款软件 则不属于违规行为 操作系统说明 此策略支持Windows和Linux操作系统 安全策略 检查操作系统补丁 检查操作系统补丁目的 该策略检查终端主机是否已经安装MicrosoftWindows操作系统对应的补丁 确保终端主机不存在系统安全漏洞 如果终端主机未安装对应版本的补丁程序 AgileController代理将记录该操作系统的相关信息 并上报至数据库 供管理员查阅 检查操作系统补丁的内容 根据补丁的级别检查终端PC是否安装了特定级别的补丁 补丁级别包括关键 严重 重要 一般 未知 根据补丁列表检查终端PC是否安装了某个补丁 提供自动修复功能 提供例外补丁列表 允许某些补丁不检查 当存在冲突的时候 以例外补丁列表的要求为准 安全策略 检查操作系统补丁 安全策略 检查操作系统补丁 安全策略 检查Office补丁 检查Office补丁目的 该策略检查终端主机指定的Office版本是否安装对应的补丁程序 确保终端Office软件不存在安全漏洞 如果终端主机未安装对应版本的补丁程序 AgileController代理将记录违规信息 检查Office补丁内容 检查终端是否安装指定版本的Office软件 检查终端Office软件是否安装了对应的SP补丁 注 只有终端安装了配置的Office版本且没有安装符合要求的SP补丁时TSM代理才记录违规信息 例如 AgileController服务器配置要求Office2007必须安装SP1补丁 终端安装Office2003打SP3补丁终端不违规 终端安装Office2007打SP3补丁终端不违规 只有终端安装Office2007没有打补丁终端才违规 安全策略 检查IE补丁 检查IE补丁目的 该策略检查终端指定的IE InternetExplorer 版本是否安装对应的补丁程序 确保终端IE不存在安全漏洞 如果终端主机未安装对应版本的补丁程序 AgileController代理将记录违规信息 检查IE补丁内容 检查终端是否安装指定版本的IE浏览器 检查终端IE浏览器是否安装了对应的SP补丁 注 只有终端安装了配置的IE浏览器版本且没有安装符合要求的SP补丁时AgileController代理才记录违规信息 例如 AgileController服务器配置要求IE8必须安装SP1补丁 终端安装IE6打SP3补丁终端不违规 终端安装IE8打SP3补丁终端不违规 只有终端安装IE8没有打补丁终端才违规 安全策略 检查数据库补丁 检查数据库补丁目的 该策略检查终端指定的MicrosoftSQLServer 简称SQLServer 数据库版本是否安装对应的补丁程序 确保终端SQLServer数据库不存在安全漏洞 如果终端主机未安装对应版本的补丁程序 AgileController代理将记录违规信息 检查数据库补丁内容 检查终端是否安装指定版本的SQLServer数据库 检查终端的SQLServer数据库是否安装了对应的SP补丁 注 只有终端安装了配置的SQLServer数据库版本且没有安装符合要求的SP补丁时AgileController代理才记录违规信息 例如 AgileController服务器配置要求SQLServer2008必须安装SP1补丁 终端安装SQLServer2005打SP3补丁终端不违规 终端安装SQLServer2008打SP3补丁终端不违规 只有终端安装SQLServer2008没有打补丁终端才违规 安全策略 监控DHCP设置 监控DHCP设置说明检查终端是否使用DHCP获得IP地址允许强制终端必须使用DHCP获得IP地址 并且不允许终端用户手工修改 把TCP IP协议的 属性 按钮禁用 提供选项 检查所有的网卡 仅检查连接SC控制服务器的网卡 离线的情况下 由于无法判断哪个网卡连接服务器 在此选项情况下 不检查 仅检查不连接SC控制服务器的网卡 离线的情况下 由于无法判断哪个网卡连接服务器 在此选项情况下 不检查 缺陷 VISTA和Windows7下 没有实现禁用配置IP属性的方法 安全策略 监控DHCP设置 安全策略 监控光驱 监控光驱说明 把对光驱的控制 从外设管理 以及USB存储设备控制策略中抽取出来 用一个单独的策略进行管理 包括控制是否需要禁用光驱 是否禁止光驱刻录功能 提供选项 禁用刻录光驱的写功能 使用该功能终端主机能够从光驱设备读取信息 但终端刻录软件被禁止运行 禁用所有光驱 该功能禁止终端所有光驱设备的使用 对例外光驱不进行控制 安全策略 监控非法外连 功能说明 该策略监控终端主机是否能够通过非法途径连入互联网 当终端主机存在能够通过非法途径连入互联网的违规行为时 该策略提供阻断与违规代理服务器或网络的连接 并记录终端主机的违规信息 提供选项 允许终端主机通过所配置的合法路径 包括合法的代理服务器和路由 连接互联网 该模式适用于允许终端主机访问互联网的场合 如果终端主机访问互联网的路径不符合要求 则终端主机存在违规 禁止终端主机访问互联网 该模式适用于禁止终端主机访问互联网的场合 如果终端主机能够访问互联网 则终端主机存在违规 操作系统说明 此策略支持Windows和Linux操作系统 安全策略 监控非法外连 安全策略 监控非法外连 安全策略 监控本地服务 功能说明 该策略监控终端主机上MicrosoftWindows服务的运行状况 通过配置策略参数强制启动或禁用某些MicrosoftWindows服务 以便对通过AgileController代理接入的终端主机的本地服务进行监控 如果终端指定服务的启动类型或者服务状态不符合配置 AgileController代理将修改终端的指定服务的启动类型或者运行状态并记录违规信息 例如 通过该策略可以监控某些必要软件在终端的安装情况和运行情况 监控规则 安全策略 监控本地服务 安全策略 监控网络应用程序 功能说明 该策略监控终端主机的网络应用程序访问网络的情况 当终端用户运行需要访问网络的应用程序时 AgileController代理将决定是否允许该应用程序访问网络 前置条件 AgileController代理安装包需定制安装主机防火墙 且安装AgileController代理后需要重启计算机确保AgileController主机防火墙生效 对64位系统AgileController代理还需要定制安装网络过滤驱动 监控规则 安全策略 监控网络应用程序 安全策略 监控网络连接 功能说明 该策略监控Windows自带网络连接拨号程序建立的拨号连接状态和VPN连接状态 如果发现被管理员禁用的网络连接处于激活状态则属于违规行为 AgileController代理将会记录上述网络连接的开始和结束的时间 并自动断开连接 防止终端用户非法连接Internet 监控规则 安全策略 监控网络连接 安全策略 监控访问站点 功能说明 该策略监控终端用户访问网站的行为 当终端用户访问设定的网站时 AgileController代理将根据预先设置的控制动作决定是否允许终端用户继续访问该网站 并记录该站点的相关信息 违规信息将上报至数据库 供管理员查阅 前置条件 AgileController安装包需定制安装主机防火墙 且安装AgileController代理后需要重启计算机确保AgileController主机防火墙生效 对64位系统AgileController代理还需要定制安装网络过滤驱动 监控规则 安全策略 监控访问站点 安全策略 监控多网卡 功能说明 该策略提供检查终端主机的网卡活动状态 禁用无线网卡 监视无线网卡功能 如果终端主机的多个活动网卡 AgileController代理将禁用不符合要求的网卡 记录违规信息 提供选项 禁用无线网卡 如果终端存在无线网卡 将被禁用并记录违规 监视无线网卡 如果终端存在活动无线网卡 将记录无线网卡活动状态 检查是否存在多个网卡处于连接状态 如果终端存在多个可用网卡AgileController代理将记录违规 该三个选项根据需要可以选择任意其中一个 也可以同时选择多个 但是禁用无线网卡和监视无线网卡不能同时选中 安全策略 监控多网卡 安全策略 监控系统设备 功能说明 该策略支持软驱 串口 并口 红外 1394 Modem PCMCIA 蓝牙 SD MMC卡 本地打印机等计算机外设的监控功能 支持配置禁止终端使用这些外部设备 监控规则 安全策略 监控系统设备 安全策略 监控网络流量 功能说明 该策略监控并统计一段时间某协议 HTTP IP SMTP POP3等 或者本终端主机某端口的访问流量 通过发现该终端主机的异常流量来判断终端主机是否存在安全隐患 如该主机感染蠕虫病毒 流量监控是指统计终端主机通过指定协议或指定端口接收和发送的报文大小的总和 如果终端主机包含多块网卡 则统计所有网卡的总流量 缺陷 该策略只支持WindowsXP真实机 其他操作系统或者虚拟机不支持 前置条件 如果流量异常需要阻断网络 则AgileController代理需要定制主机防火墙功能且 安装AgileController代理后需要重启终端是AgileController防火墙生效 流量统计规则 安全策略 监控网络流量 安全策略 监视文件操作 功能说明 该策略设置是否允许终端用户操作指定类型的文件 如 doc bmp 在启用该策略的情况下 如果终端用户创建 编辑 重新命名 修改 删除文件 TSM代理将会记录终端用户操作文件的行为 并记录违规信息 对临时目录下的文件操作将不进行监控 缺陷 在MicrosoftWindowsVista和MicrosoftWindows7操作系统下该策略无法监控文件复制操作 监控规则 安全策略 监视文件操作 安全策略 监控进程 功能说明 根据管理员配置的进程黑白名单检查终端主机运行的进程 如果发现终端主机运行黑名单中列出的进程 或者未运行白名单中列出的进程 AgileController代理将违规信息 对进程白名单可以配置接入控制功能 说明 无法监控隐藏进程 即通过Windows任务管理器无法查看的进程 由于执行安全策略需要 system smss exe csrss exe winlogon exe cmd exe tracert exe explorer exe services exe svchost exe lsass exe alg exe spoolsv exe 12个进程的支持 AgileController不会对上述12个进程进行监控 AgileController不会对自身进程进行监控 前置条件 AgileController代理必须定制安装文件过滤驱动 操作系统说明 此策略支持Windows和Linux操作系统 监控规则 安全策略 监控进程 安全策略 监控IP访问 功能说明 该策略是通过AgileController代理主机防火墙禁止或者限制终端使用某种网络协议 TCP UDP ICMP NetBIOS 进行网络相关操作 前置条件 AgileController代理必须定制了安装主机防火墙 且安装AgileController代理后必须重启计算机确保AgileController主机防火墙生效 监控规则 安全策略 监控IP访问 安全策略 监控屏幕拷贝 功能说明 该策略提供禁止终端用户使用拷屏键的功能 如果终端用户使用 PrtSc 或 Alt PrtSc 拷屏键截取屏幕 AgileContr