Symantec桌面终端标准化管理系统测试方案_v2.doc

Symantec 桌面终端标准化管理系统测试桌面终端标准化管理系统测试 方案方案 赛门铁克软件 北京 有限公司赛门铁克软件 北京 有限公司 2020 年年 01 月月 文档信息文档信息 属性内容 文档名称 Symantec 桌面终端标准化管理系统测试方案 文档编号 文档版本 版本日期 文档状态 制作人 审阅人 版本变更记录版本变更记录 版本修订日期修订人描述 桌面终端标准化管理系统测试方案 I 目目 录录 第第 1 章章桌面终端标准化管理系统简介桌面终端标准化管理系统简介 3 第第 2 章章终端安全测试终端安全测试 3 2 1测试时间 3 2 2测试拓扑推荐 3 2 2 1无防火墙环境的拓扑要求 3 2 2 2存在防火墙环境的拓扑要求 3 2 3测试环境要求 3 2 3 1SEP 管理服务器软硬件配置要求 3 2 3 2SEP 客户端软硬件配置要求 3 2 4测试进度 3 2 5测试双方分工界面 3 2 6测试内容 3 2 6 1安装测试 3 2 6 2内存占用测试 3 2 6 3管理能力测试 3 2 6 4防病毒和间谍软件功能测试 3 2 6 5主动威胁防护功能测试 3 2 6 6网络威胁防护功能测试 3 2 6 7升级测试 3 2 6 8报表和监控 3 第第 3 章章终端管理测试终端管理测试 3 桌面终端标准化管理系统测试方案 II 3 1测试时间 3 3 2测试拓扑推荐 3 3 2 1Altiris测试网络拓扑连接图 3 3 3测试环境要求 3 3 4测试内容 3 3 4 1资产管理模块 3 3 4 2软件分发 3 3 4 3补丁管理 3 3 4 4系统管理架构 3 第第 4 章章准入控制测试准入控制测试 3 4 1测试时间 3 4 2测试拓扑推荐 3 4 3测试环境要求 3 4 4测试内容 3 4 4 1交换机准入控制 3 4 4 2网关准入控制 3 4 4 3DHCP在准入控制 3 4 5双方签字 3 桌面终端标准化管理系统测试方案 III 附图目录附图目录 附图 1 桌面终端标准化管理系统的 两个维度 一个基础 3 附图 2 SEP 11 0 无防火墙环境的测试拓扑 3 附图 3 SEP 11 0 在防火墙环境环境下的测试拓扑 3 附图 4 Altiris 测试网络拓扑连接图 3 附图 5 交换机准入控制的网络拓扑 3 附图 6 网关准入控制的网络拓扑 3 桌面终端标准化管理系统测试方案 IV 表格目录表格目录 表格 1 SEP 安装过程测试 3 表格 2 计算机基本状况说明 3 表格 3 SEP Agent 内存占用统计 3 表格 4 计算机基本状况说明 3 表格 5 SEP Agent 内存占用统计 3 表格 6 SEP 管理架构及能力测试 3 表格 7 SEP 防病毒和间谍软件能力测试 3 表格 8 主动威胁扫描测试 3 表格 9 外设控制测试 3 表格 10 进程控制测试 3 表格 11 注册表访问控制测试 3 表格 12 防火墙控制能力测试 3 表格 13 IPS 功能测试 3 表格 14 安全定义和软件版本升级测试 3 表格 15 报表和全局监控测试 3 表格 16 资产管理功能测试 3 表格 17 软件分发功能测试 3 表格 18 补丁管理功能测试 3 表格 19 系统管理架构测试 3 表格 20 交换机准入功能测试 3 表格 21 网关准入控制功能测试 3 桌面终端标准化管理系统测试方案 1 第第 1 章章 桌桌面面终终端端标标准准化化管管理理系系统统 简简介介 为了提高国家电网信息安全管理水平 规范内部网终端管理流程 保证内 部网信息系统的通畅 高效 安全运行 国家电网探索建立一个桌面终端标准 化管理系统 Symantec 提出相对应的解决方案 该方案旨在建立一个规范的终 端标准化管理平台 该平台将在如下终端管理领域提供相应的技术支撑 终端设备命名规范 安全口令规范 软件版权控制规范 身份识别规范 终端设备安全接入规范 桌面和屏幕管理规范 终端设备及信息媒介的使用与处置规范 操作系统使用规范 互联网 内联网访问和使用规范 恶意代码和计算机犯罪防御规范 该平台具有 两个维度 一个基础 两个维度中 一个是终端安全保护 另一个是终端系统管理 为了保障终端安全和管理功能的有效执行 还需要建 立健全终端强制检查的机制 终端准入控制承担起强制检查的角色 为系统的 有效性奠定了坚实的基础 桌面终端标准化管理系统测试方案 2 桌面终端标准化管理系统的桌面终端标准化管理系统的 两个维度 一个基础两个维度 一个基础 桌面终端标准化管理系统测试方案 3 第第 2 章章 终终端端安安全全 测测试试 2 1 测测试试时时间间 测试时间在 2 天左右 2 2 测测试试拓拓扑扑推推荐荐 测试环境中至少需要提供一台专用的硬件服务器作为 SEP 11 0 管理服务器 软硬件配置参见 2 2 1 的要求 和若干客户端 PC 配置要求参见 2 2 2 小节 并提供互联网接入环境以测试在线升级 为了确保此次测试能够收集足够的数据提供给后期作为参考 建议提供至 少 3 5 个客户端和服务器作为 SEP 客户端参与测试 2 2 1 无无防防火火墙墙环环境境的的拓拓扑扑要要求求 如果测试环境中没有防火墙设备 则可按以下组网拓扑进行测试环境的搭 建 SEP 11 0 无防火墙环境的测试拓扑无防火墙环境的测试拓扑 桌面终端标准化管理系统测试方案 4 上图中 Microsoft AD 为可选 主要用于测试 SEP 11 0 与 AD 同步的功能 2 5 3 节管理能力测试中的测试用例 2 如果测试该功能 则需要增加服务器 2 2 2 存存在在防防火火墙墙环环境境的的拓拓扑扑要要求求 如果测试环境中存在防火墙 则可按以下组网拓扑进行测试环境的搭建 SEP 11 0 在防火墙环境环境下的测试拓扑在防火墙环境环境下的测试拓扑 上图中 Microsoft AD 为可选 主要用于测试 SEP 11 0 与 AD 同步的功能 2 5 3 节管理能力测试中的测试用例 2 如果测试该功能 则需要增加服务器 同时 防火墙需要配置以下规则以确保测试环境能够正常工作 1 允许客户端对 SEP 11 0 管理服务器的 http 80 和 https 8443 端口的访问 桌面终端标准化管理系统测试方案 5 2 允许 SEP 11 0 管理服务器对 Internet 的 http 80 访问 2 3 测测试试环环境境 要要求求 2 3 1 SEP 管管理理服服务务器器 软软硬硬件件配配置置要要求求 如果使用如果使用 32 位处理器的硬件服务器 则要求如下 位处理器的硬件服务器 则要求如下 CPU P4 2 0GHz 以上 内存内存 2G 以上 硬盘硬盘 10G 以上剩余空间 支持以下操作系统 支持以下操作系统 Windows Server 2003 Web Standard Enterprise Datacenter Edition Service Pack 1 或更高版本 推荐采用 Windows 2000 Professional Server Advanced Server Service Pack 3 或更高 版本 Windows XP Professional Service Pack 1 或更高版本 数据库支持 数据库支持 SQL Server 2005 或者 SQL Server 2004 with SP4 请务必打上该补丁 或者 SEP 内置的 Embedded DB 必须满足下列其他要求 必须满足下列其他要求 Internet Information Services Server 5 0 或更高版本 Internet Explorer 6 0 或更高版本 静态 IP 地址 桌面终端标准化管理系统测试方案 6 如果使用如果使用 64 位处理器的硬件服务器 则要求如下 位处理器的硬件服务器 则要求如下 仅限下列仅限下列 1 GHz x64 处理器 处理器 支持 Intel EM64T 的 Intel Xeon 处理器 支持 EM64T 的 Intel Pentium IV 处理器 AMD 64 位 Opteron 处理器 AMD 64 位 Athlon 处理器 注意 不支持 Itanium 管理组件是 32 位应用程序 内存内存 2G 以上 硬盘硬盘 10G 以上剩余空间 支持以下操作系统支持以下操作系统 Windows XP Professional x64 Edition Service Pack 1 或更高版本 Windows Server 2003 x64 Edition Service Pack 1 或更高版本 数据库支持 数据库支持 SQL Server 2005 或者 SEP 内置的 Embedded DB 必须满足下列其他要求 必须满足下列其他要求 Internet Information Services Server 5 0 或更高版本 Internet Explorer 6 0 或更高版本 静态 IP 地址 桌面终端标准化管理系统测试方案 7 2 3 2 SEP 客客户户端端软软硬硬件件配配置置要要求求 对于使用对于使用 32 位处理器的客户端 则要求如下 位处理器的客户端 则要求如下 CPU P4 1 2GHz 以上 内存内存 256M 以上 硬盘硬盘 1G 以上剩余空间 非常重要 支持以下操作系统 支持以下操作系统 Windows 2000 Professional Server Advanced Server Service Pack 3 或更 高版本 Windows XP Home Edition Professional Tablet PC Edition Windows Server 2003 Web Standard Enterprise Datacenter Edition Windows Vista x86 必须满足下列其他要求 必须满足下列其他要求 Internet Explorer 6 0 或更高版本 对于使用对于使用 64 位处理器的客户端 则要求如下 位处理器的客户端 则要求如下 仅限下列仅限下列 1 GHz x64 处理器 处理器 支持 Intel EM64T 的 Intel Xeon 处理器 支持 EM64T 的 Intel Pentium IV 处理器 AMD 64 位 Opteron 处理器 AMD 64 位 Athlon 处理器 注意 不支持 Itanium 桌面终端标准化管理系统测试方案 8 内存内存 256M 以上 硬盘硬盘 1G 以上剩余空间 非常重要 支持以下操作系统支持以下操作系统 Windows XP Professional x64 Edition Service Pack 1 或更高版本 Windows Server 2003 x64 Edition Service Pack 1 或更高版本 Windows Vista x64 必须满足下列其他要求 必须满足下列其他要求 Internet Explorer 6 0 或更高版本 2 4 测测试试进进度度 现场测试预计 3 5 个工作日完成 非现场测试主要是由客户端人员使用 SEP 客户端软件 最长期限不应超过 30 天 2 5 测测试试双双方方分分工工界界面面 甲方 国家电网 1 提供良好的测试工作环境 包括工位及通讯设施 2 按照本方案中测试拓扑及测试环境要求搭建测试环境 并具备测试 条件 3 甲方工程师要全程配合和跟踪测试过程 4 测试完毕签署测试报告 乙方 赛门铁克软件 北京 有限公司 1 准备 SEP 11 0 测试产品软件及许可 Altiris 测试产品的软件及许可 证 桌面终端标准化管理系统测试方案 9 2 负责完成所有测试项目 3 负责解答测试过程中甲方提出的相关技术问题 4 测试完毕签署测试报告 2 6 测测试试内内容容 下文测试内容为测试工作的最大集 如果测试条件不满足或甲方根据实际 情况进行选择性测试 则乙方通过展示产品操作手册或其它资料的方式向甲方 负责人证明未测项的可实现性 2 6 1 安安装装测测试试 测试项目测试用例及方法正确结果测试结果备注 使用 SEP 11 0 的中文安装光盘 安装 SEP 管理服务器 安装过程无 异常 通过 未测试 未通过 测试用例 1 本 地光盘或软件包 安装 通过 未测试 未通过 测试用例 2 共 享安装 通过 未测试 未通过 SEP 管理 服务器及 客户端的 安装 客户端提供多 种安装方式 包括 本地 光盘或软件包 安装 共享安 装 远程客户 端安装 使用 第三方软件分 发工具 如 SMS 安装 使 用 AD 安装等 测试用例 3 Web 方式安装 安装过程无 异常 通过 未测试 未通过 桌面终端标准化管理系统测试方案 10 客户端可以在以下功能中选择安 装 1 防病毒和防间谍软件 2 主动型威胁扫描 前提条件为 功能 1 选中 3 应用程序与设备控制 前提条 件为 功能 4 选中 4 网络威胁防护 测试方法 通过 SEP 管理界面的 管理员 安装软件包 客户端安 装功能集 添加客户端安 装功能集 进行功能选择设定 定制功能的 安装包能正 常在客户端 安装 并能 显示其定制 的功能 通过 未测试 未通过 客户端支持的操作系统 32 位 Windows 2000 Professional Server Advanced Server Service Pack 3 或更高版本 Windows XP Home Edition Professional Tablet PC Edition Windows Server 2003 Web Standard Enterprise Datac enter Edition Windows Vista x86 甲方可任选 2 3 种平台进行测试 在所选平台 上能正常安 装 SEP 11 0 客户端软件 安装过程无 异常 通过 未测试 未通过 桌面终端标准化管理系统测试方案 11 客户端支持的操作系统 64 位 Windows XP Professional x64 Edition Service Pack 1 或更高 版本 Windows Server 2003 x64 Edition Service Pack 1 或更高 版本 Windows Vista x64 甲方可任选 2 3 种平台进行测试 在所选平台 上能正常安 装 SEP 11 0 客户端软件 安装过程无 异常 通过 未测试 未通过 连通性 测试用例 客户端与 SEP 管理服 务器连通 测试方法 1 查看客户端右下角 SEP 盾牌上 有显示绿点 2 通过 SEP 管理界面的 客户端 客户端所在的组名 客户端 查看安装 SEP 客户端 的计算机显示在线状态 客户端可以 和管理服务 器进行正常 连接并通信 通过 未测试 未通过 SEP 安装过程测试 2 6 2 内内存存占占用用 测测试试 在安装 SEP Agent 的终端上 使用微软官方工具 Process Explorer 查看 SEP Agent 的进程 并记录其内存的占用 2 6 2 1 内内存存占占用用测测试试用用例例 1 请根据下表先统计运行计 SEP Agent 的计算机基本状况 CPU 桌面终端标准化管理系统测试方案 12 物理内存 可用硬盘空间 操作系统 计算机基本状况说明 然后统计在该计算上 SEP Agent 所有进程的内存资源占用情况 并填写 下表 服务名称二进制名称内存占用 KB Symantec Management ClientSmc exe Symantec Event ManagerccSvcHst exe Symantec Endpoint ProtectionRtvscan exe SMC GUISmcGui exe ccAppccApp exe Symantec Network Access Control 如果安装网络准入组 件或启用 SNAC 的许可 SNAC exe 总计 SEP Agent 内存占用统计 2 6 2 2 内内存存占占用用测测试试用用例例 2 请根据下表先统计运行计 SEP Agent 的计算机基本状况 CPU 物理内存 桌面终端标准化管理系统测试方案 13 可用硬盘空间 操作系统 计算机基本状况说明 然后统计在该计算上 SEP Agent 所有进程的内存资源占用情况 并填写 下表 服务名称二进制名称内存占用 KB Symantec Management ClientSmc exe Symantec Event ManagerccSvcHst exe Symantec Endpoint ProtectionRtvscan exe SMC GUISmcGui exe ccAppccApp exe Symantec Network Access Control 如果安装网络准入组 件或启用 SNAC 的许可 会出 现该进程 SNAC exe 总计 SEP Agent 内存占用统计 2 6 3 管管理理能能力力测测试试 测试项目测试用例及方法正确结果测试结果备注 分级管理 测试用例 客户端分组管理 测试方法 通过在 SEP 管理 实现与管理架构 一致的多级客户 端组的创建 通过 未测试 桌面终端标准化管理系统测试方案 14 系统内创建多级客户端组 即组内嵌套 模拟现实组 织架构的方式实现分级管理 步骤如下 1 首先创建客户端组 通过 SEP 管理界面的 客户端 创建客户端组 实现 2 选择需要移入该组的客户 端图标 右键点击 选择 移动 将其移到创建的新 组中 未通过 测试用例 将 AD 中的 OU 信 息导入 SEP 管理服务器中 实现客户端组织信息的完整 复制 测试方法 前提条件为已经建立好 AD 服 务器和域用户 1 在 SEP 管理界面上 管理 员 服务器 中找到 SEP 管理服务器图标 右键选 择 属性 在 服务器属性 对话框中选择 目录服务器 选择 添加 弹出 添加目 录服务器 对话框 依次填 SEP 管理服务器 与 AD 正常连接 并能同步 处在 用户模式中的客 户端可自动进入 其所属的 OU 通过 未测试 未通过 桌面终端标准化管理系统测试方案 15 入 名称 服务器 IP 地址 或名称 用户名 密码 等信息后 确认 进行与 AD 的连接 2 回到 SEP 管理界面 客户 端 查看客户端 界 面 右键点击 Global 选 择 导入组织单位或容器 将指定的 AD 信息导入 SEP 管 理服务器中 测试用例 用户权限分成系 统管理员 管理员和受限的 管理员三种权限 测试方法 通过 SEP 管理界面的 管理 员 管理员 添加管理员 对话框验证 实现三种类型的 管理员权限划分 通过 未测试 未通过 分权管理 测试用例 授予管理员管理 一个或若干个客户端组的管 理权限 测试方法 1 通过 SEP 管理界面的 管 理员 管理员 添加管理员 对话框 输 入 用户名 密码 等信息 实现分级分权管 理 通过 未测试 未通过 桌面终端标准化管理系统测试方案 16 选择 受限的管理员 选中 管理客户端组 后点击 组权限 选择其要管理 的组赋予 完全访问权 其 余组为 无访问权 确认后 退出 SEP 管理界面 2 以刚刚创建的管理员用户 名登录 验证其管理权限 管理域设 置 测试用例 建多个可管理的 域 不同域中的策略相互独 立 不同域管理员不能查看 其它域上的数据 系统管理 员可以看到汇总的数据 测试方法 1 通过 SEP 管理界面 管理 员 域 添 加域 添加一个新的域后 选择 管理域 将受管理的 域切换为新建的域 2 通过 管理员 安 装软件包 客户端安 装软件包 导出客户 端安装软件包 生成新的 SEP Agent 安装软件包 3 在客户端安装后 客户端 自动连到新的域 不同域中的策 略相互独立 不同域管理员 不能查看其它 域上的数据 系统管理员可 以看到汇总的 数据 通过 未测试 未通过 桌面终端标准化管理系统测试方案 17 控制模式 选择 测试用例 提供三种控制模 式可供用户选择 1 服务器 控制 2 混合控制 3 客户 端控制 以适应不同环境要 求 测试方法 1 在 SEP 管理界面 客户端 中选中相关组 在右侧信息 中选中 策略 特定 于位置的设置 客户 端用户界面控制设置 中选 择 缺省为 服务器控制 可以选择控制模 式 通过 未测试 未通过 自动备份 数据库 测试用例 SEP 管理服务器所 有数据可自动备份 防止数 据库损坏 并提供数据恢复 工具 快速修复受损数据库 测试方法 1 在 SEP 管理界面 管理员 服务器 界面上 选 中数据库服务器 在 任务 栏中 选择 备份设置 在 对话框中选中 备份日志 要保留的最新备份数据 缺省为 3 在 调度设置 中 设置每天调度进行测试 数据库可自动备 份 并提供恢复 工具进行恢复 通过 未测试 未通过 桌面终端标准化管理系统测试方案 18 2 到了调度备份的时间后 查看在 SEP 管理服务器的安 装目录 C Program Files Symantec Symantec Endpoint Protection Manager data backup 下生 成以备份开始时间命名的 zip 压缩文件 即为数据库备 份文件 HA LB 机 制 测试用例 支持在同一站点 中部署多台 SPM 管理服务器 实现负载的分担和冗余 测试方法 1 重新安装一台 SEP 管理服 务器 并加入已经建好的管 理站点 2 在 SEP 管理服务器管理界 面 策略 策略组件 管理服务器列表 中 点击 添加管理服务器列表 后 弹出 管理服务器列表 对话框 选择 添加 新服 务器 依次输入已经存在的 两台 SEP 管理服务器地址后 确认 3 将新建的管理服务器列表 分配至要测试的客户端组 客户端能发现所 有的 SEP 管理服 务器 并自动切 换 通过 未测试 未通过 桌面终端标准化管理系统测试方案 19 4 等待几分钟后 停掉原 SEP 管理服务器 查看客户端的 管理服务器地址 在客户端 界面右上角 帮助和支持 疑难解答 中显示 有无 变化 SEP 管理架构及能力测试 2 6 4 防防病病毒毒 和和间间谍谍软软件件 功功能能测测试试 测试 项目 测试用例及方法正确结果测试结果备注 支持自动防护 按需扫描和调度扫描 测试用例 文件系统自动防护 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中添加一条新的 策略 启用 文件系统自动防护 选项 并分 发到客户端组 2 在 SEP 客户端机器上访问 http www eicar org anti virus test file htm 选择测试样本进行测试 能自动检 测出 EICAR 病 毒样本 通过 未测试 未通过 扫描 和防 护 防病毒软件与终端计算机的交互 测试用例 可以在发现病毒或安全风险的受感 染计算机上显示消息 以通知终端操作人员 1 在上个用例中 确认是否在客户端弹出发现 通过 未测试 未通过 桌面终端标准化管理系统测试方案 20 病毒的通知框 2 是否弹出通知框 可在 SEP 管理服务器界面 策略 防病毒和防间谍软件 策略 文件系统自动防护 通知 配置 项中进行配置 支持对文件系统自动防护扫 Lotus Notes 和 Outlook 的自动防护电子邮件附件扫描 以及针对使用 POP3 或 SMTP 通信协议的 Internet 电子邮件与附件的自动防护扫描 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中添加一条新的 策略 验证 Internet 电子邮件自动防护 Outlook 和 Lotus Notes 的自动防护电子邮 件 存在该配 置项 SEP 客户 端能接收 到该配置 通过 未测试 未通过 性能 优化 测试用例 在管理员调度扫描和按需扫描配置 中提供三种扫描优化选项 最佳扫描性能 平 衡性能和最佳应用程序性能 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中选择 管理员 定义扫描 添加一个管理员定义扫描 在 扫 描详细信息 界面中点击 高级扫描选项 优化 分三次选择 最佳扫描性能 平衡性能 和 最佳应用程序性能 并应用 到 SEP 客户端 在 最佳 应用程序 性能 情 况下 调 度扫描对 日常工作 基本没有 影响 通过 未测试 未通过 桌面终端标准化管理系统测试方案 21 2 在 SEP 客户端观察调度扫描的执行情况 体 会三种不同性能优化方式的区别 可疑 病毒 的提 交 测试用例 将被隔离的病毒 文件 通 SEP 系统 提交给 Symantec 病毒处理中心 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中选择 提交 隔离的项 中选择 允许客户端计算机手动 将隔离项发送至 Symantec 安全响应中心 后确 认 将该策略分发到客户端组 2 在 SEP 客户端上选择 查看隔离区 选中一 项要提交的内容 点击 提交 按提示步骤提 交给 Symantec 可以将可 以样本提 交给 Symantec 病毒响应 中心分析 通过 未测试 未通过 SEP 防病毒和间谍软件能力测试 2 6 5 主主动动威威胁胁防防护护功功能能 测测试试 2 6 5 1 主主动动威威胁胁扫扫描描 SEP11 0 内置行为检测引擎 通过监控应用程序行为来判断其危害 在没 有病毒定义码的情况下可以检测出特络伊木马 蠕虫和击键记录程序 提高主 动性防御能力 测试用例使用主动威胁扫描引擎发现键盘记录程序 测试方法1 在 SEP 管理服务器管理界面 策略 防病毒和防间 谍软件 策略中添加一条新的策略 编辑该策略选择 主动型 威胁扫描 选中 扫描击键记录程序 取消 使 用 Symantec 定义的默认值 敏感度 调整为 高 在 桌面终端标准化管理系统测试方案 22 扫描频率 中 选中 使用自定义扫描频率 后 启用 立 即扫描新进程 完成后点击确认 应用该策略 2 在使用了该策略的 SEP 客户端上运行 fakekeylogger exe 程 序 等待几分钟后观察结果 正确结果主动威胁扫描引擎可以发现运行的 Keylogger 程序 测试结果 通过 未测试 未通过 备注 主动威胁扫描测试 2 6 5 2 外外设设管管理理 SEP 11 0 提供对客户端计算机的外设管理功能 能对用户在设备管理器上 看到的任意系统设备进行控制 例如硬盘 光驱 软驱 USB 设备 PCMCIA 设 备 红外 1394 火线 SCSI 并口 串口等 测试用例禁止 U 盘的使用 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 设备控制 在 禁止的设备 一项中 添加 USB 设备 完成后点击确认 应用该策略 2 确认 SEP 客户端已经接收到该策略后 在客户端计算机上插 入 U 盘 查看能否使用 正确结果U 盘不能使用 USB 键盘和鼠标不受影响 测试结果 通过 未测试 未通过 备注 外设控制测试 桌面终端标准化管理系统测试方案 23 2 6 5 3 进进程程控控制制 SEP 11 0 的进程控制功能 使管理员能够了解到用户和计算机的网络行为 并且可以方便地调整用户和计算机的行为使之符合企业安全策略的要求 对于指定的进程 可以设置根据客户端组的不同设置对该进程的动作反应 如忽视 允许 阻止 结束应用程序等 测试用例禁止 U 盘上 exe 文件的运行 阻止 U 盘传播病毒 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 应用程序控制 在 应用程序控制规则集 中点击 添加 弹出 添加应用程 序控制规则集 对话框 选中 规则 1 在 将此规则应用于 下列进程 部分 点击 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 表示此规则适用 于所有应用程序 确认后返回 2 选中 规则 1 点击左下角 添加 按钮 选择 添加条件 启动进程尝试 在 启动进程尝试 的 属性 页的 应用于下列进程 部分 选择 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 exe 表 示此规则适用于所有 exe 程序 选中 仅匹配下列驱动器上的 进程 后 选择 可移动驱动器 确认后返回 属性 页面 3 选择 操作 页面 选中 禁止访问 选中 通知用户 输入 禁止在 U 盘上运行 exe 通知信息后 确定 在 应 用程序控制规则集 界面 将该规则应用的环境改为 生产 缺省为 测试 4 将该应用程序控制策略应用到所选的客户端组 5 确认 SEP 客户端已经接收到该策略后 在客户端计算机上插 入带有 exe 文件的 U 盘 点击该 exe 文件 查看能否运行 是 桌面终端标准化管理系统测试方案 24 否弹出 禁止在 U 盘上运行 exe 的提示 正确结果Exe 程序无法在 U 盘上被运行 测试结果 通过 未测试 未通过 备注 进程控制测试 2 6 5 4 注注册册表表访访问问控控制制 SEP 11 0 的注册表访问控制功能 可以实现控制任意应用程序对注册表中 的任意一个键或者键值的访问控制 包括对 读取 创建 删除或写入尝试 等动作的控制 测试用例禁止在系统启动项中添加任何键或键值 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 应用程序控制 在 应用程序控制规则集 中点击 添加 弹出 添加应用程 序控制规则集 对话框 选中 规则 1 在 将此规则应用于 下列进程 部分 点击 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 表示此规则适用 于所有应用程序 确认后返回 2 选中 规则 1 点击左下角 添加 按钮 选择 添加条件 注册表访问尝试 在 注册表访问尝试 的 属性 页的 应用于下列注册表项 部分 选择 添加 弹出 编辑 注册表定义 对话框 在 注册表项 中 输入以下键值 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 桌面终端标准化管理系统测试方案 25 其余项为缺省 3 选择 操作 页面 在 读取尝试 部分 选择 允许访问 在 创建 删除或写入尝试 部分 选择 禁止访问 选中 通知用户 输入 请勿修改此部分注册表 通知信息后 确定 在 应用程序控制规则集 界面 将该规则应用的环 境改为 生产 缺省为 测试 4 将该应用程序控制策略应用到所选的客户端组 5 确认 SEP 客户端已经接收到该策略后 在该计算机上编辑注 册项 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 查看能否成功 是否弹出 请勿修改此部分注册表 的提示 正确结果相应注册表项只能读取 不能创建新的键或键值 测试结果 通过 未测试 未通过 备注 注册表访问控制测试 2 6 6 网网络络威威胁胁防防护护功功能能 测测试试 2 6 6 1 防防火火墙墙控控制制能能力力测测试试 SEP 11 0 中内置了业界最优秀的个人防火墙 Gartner 个人防火墙的神奇 四象限 可以非常方便地通过 SEP 管理服务器进行集中的策略管理和分发 该防火墙能够 针对特定应用程序应用防火墙规则 提供对主机信息的防火墙控制 包括域名 MAC 地址 IP 地址 IP 桌面终端标准化管理系统测试方案 26 地址段 IP 子网段 提供对通信时间的防火墙控制 包括指定月 指定日 时 分 秒 星期 工作日等级别 提供对协议 端口的防火墙控制 包括 TCP UDP ICMP IP 等协议 和各种端口管理 提供对流量的不同方向管理 incoming outgoing 或者是双向的不 同策略 对网络流量同时提供对基于 源 目的 和 本地 远程 的管理 提供网络适配器的动态策略 VPN 拨号 无线网卡 以太网卡 动态地采取不同的安全策略以消除和网络连接方式 以太网 拨号 无线网 络 VPN 相关的威胁 对抗 IP MAC 欺骗 防止黑客通过伪装 IP MAC 地址的手段来劫持通 讯数据 对抗使用协议驱动的攻击行为 防止恶意应用程序使用自己的协议 驱动来绕过防火墙 测试用例创建防火墙规则 禁止客户端访问除 网站 外的其他任何网站 测试方法1 在 SEP 管理服务器管理界面 策略 防火墙策略 中添加一个新的防火墙策略 在 防火墙规则 对话框中选择 规则 在 规则 窗口的蓝线以上部分 创建两条规则 1 允许访问 2 禁止访问其它 Internet 80 端口 2 将该防火墙策略应用到所选的客户端组 3 确认 SEP 客户端收到策略后 在 SEP 客户端计算机上使用浏 桌面终端标准化管理系统测试方案 27 览器浏览 和其它网站 查看效果 正确结果除 外 其余网站都不能访问 测试结果 通过 未测试 未通过 备注 防火墙控制能力测试 2 6 6 2 网网络络入入侵侵防防护护功功能能测测试试 SEP 11 0 带有基于特征库的入侵检测引擎 使得管理员能够根据已知恶意 通讯的模式来阻断入侵 并且提供自定义特征库的编辑 供用户自行定义对通 信内容的管理 如对指定字符串 特征的过滤等 测试用例IPS 功能演示 测试方法1 在 SEP 管理服务器管理界面 策略 入侵防护策略 中选择系统自带的入侵防护策略 鼠标双击后显示 入侵防护 策略 对话框 选中 例外 添加 后出现 IPS 签名库 可以查看能检测到哪些攻击 2 对应用缺省入侵防护策略的 SEP 客户端使用流光等扫描软件 进行扫描 查看报警 正确结果IPS 特征分类明确 能有效检测到攻击 测试结果 通过 未测试 未通过 备注 IPS 功能测试 2 6 7 升升级级测测试试 测试 测试用例及方法正确结果测试结果备注 桌面终端标准化管理系统测试方案 28 项目 测试用例 1 SEP 管理服务器自动在线升级安全 定义后 分发给 SEP 客户端 需要 SEP 管理服 务器能够访问 Internet 自动在线更新的全 定义包括 病毒定义 解压缩程序特征 主动 威胁扫描启发式特征 主动威胁扫描商业应用 程序列表 入侵防护特征等 测试方法 1 在 SEP 管理服务器管理界面 策略 Liveupdate 策略 将系统缺省的 Liveupdate 应用到相关客户端组 2 在 SEP 管理服务器管理界面 管理员 服务器 查看服务器 界面下 选 中站点图标 右键选中 属性 弹出 站点属 性 对话框 选中 Liveupdate 下载 调度 改为 每日 将 选择下载开始时段 的时间定义为离当前较近的时间后点击 确定 3 等待一段时间后查看 SEP 管理服务器和 SEP 客户端的安全定义状态是否更新 SEP 管理 服务器和 SEP 客户 端均能获 得新的安 全定义更 新 通过 未测试 未通过 安全 定义 升级 测试用例 2 管理服务器手动更新后 自动更 新 SEP 客户端 测试方法 1 首先从 Symantec 官方网站下载给 SEP 11 0 专用的后缀名为 jdb 的 intelligent updater 升级包 下载地址为 SEP 管理 服务器和 SEP 客户 端均能获 得新的病 毒和间谍 软件的安 通过 未测试 未通过 桌面终端标准化管理系统测试方案 29 pages CS SAVCE html 然后将该 jdb 文件放到 SPM 的目录下 C Program Files Symantec Symantec Endpoint Protection Manager data inbox content incoming 即可 2 等待一段时间 查看 SEP 管理服务器和 SEP 客户端的安全定义状态是否更新 全定义更 新 软件 版本 在线 升级 测试用例 在客户端安装英文版低版本的 SEP Agent 当前阶段 SEP Agent 中文版只有一个正 式发布版 所以只能采用英文版低版本的 SEP Agent 然后通过 SEP 管理服务器将其在线升 级到最新的中文版 SEP Agent 无需客户端操 作人员干预 注 此测试用例不受 Symantec 官 方支持 仅用作演示说明 Symantec 官方支持 同种语言版本的 Agent 从低版本自动升级到高 版本 不支持不同语言版本的 Agent 的交叉升 级 通过 未测试 未通过 安全定义和软件版本升级测试 2 6 8 报报表表和和监监控控 测试 项目 测试用例及方法正确结果测试结果备注 全局 监控 测试用例 1 提供统一的 全局监控界面 测试方法 全局监控 Portal 工 作正常 通过 未测试 桌面终端标准化管理系统测试方案 30 1 在 SEP 管理服务器管理界面上选择 主页 在该页面可查看全局安全状态 病毒定义分发 状况 安全风险状况 计算机状态摘要 全球 安全威胁状况 未通过 测试用例 2 可定制感兴趣的报告在首页显示 测试方法 1 在 SEP 管理服务器管理界面上选择 主页 点击右下角的 报告收藏夹 旁边的 号 弹出 报告收藏夹显示列表 根据关心的内容 定制三个报表 定制的报 告在首先 准确显示 通过 未测试 未通过 测试用例 提供八大类报告模版 包括 审核 应用程序与设备控制 遵从性 风险 计 算机状态 网络威胁防护 扫描 系统 测试方法 1 在 SEP 管理服务器管理界面上选择 报告 快速报告 点击 报告类型 进行查看 八种报告 模板供选 择使用 通过 未测试 未通过 报表 测试用例 2 设定过滤器条件 产生报告 测试方法 任选一种报告模板 将时间范围定义为最近两 天 产生报告 报告能够 正常产生 通过 未测试 未通过 报表和全局监控测试 桌面终端标准化管理系统测试方案 31 第第 3 章章 终终端端管管理理测测试试 3 1 测测试试时时间间 测试时间在两天左右 3 2 测测试试拓拓扑扑推推荐荐 3 2 1 Altiris 测测试试网网络络拓拓扑扑连连接接图图 Altiris 测试网络拓扑连接图测试网络拓扑连接图 3 3 测测试试环环境境要要求求 使用的设备清单使用的设备清单 一台 Windows 2003 Server 服务器作为 Altiris Server 服务器 桌面终端标准化管理系统测试方案 32 多台 Windows XP SP2 和 Windows 2000 工作站作为被管理的客户端 服务器端服务器端 硬件配置硬件配置 Pentium 4 2 4GHz 1GB RAM 10GB 以上的硬盘空间 NTFS系统分区 一块10 100兆 或千兆 以太网卡安装TCP IP协议 屏幕分辨率 1024x768 软件配置软件配置 Windows 2003 Server 跟新最新的补丁程序 Microsoft MSDE sp3 IIS 6 0 Windows 2003 系统中启用 ASP net Microsoft NET Framework 1 1 Microsoft 数据访问控制 MDAC 2 8 Internet Explorer 6 或更新版本 客户端 客户端 硬件配置硬件配置 Pentium 4 2 4GHz 512M RAM 10GB 以上的硬盘空间 NTFS系统分区 桌面终端标准化管理系统测试方案 33 一块10 100兆 或千兆 以太网卡安装TCP IP协议 屏幕分辨率 1024x768 软件配置软件配置 Windows 2000 Windows XP Internet Explorer 6 或更新版本 工具软件和应用程序 工具软件和应用程序 日常办公环境中使用到的应用程序 网络服务环境 网络服务环境 测试采用工作组或 AD 运行 DHCP DNS WINS 等相关的服务应用 确 保网络通信正常 3 4 测测试试内内容容 下文测试内容为测试工作的最大集 如果测试条件不满足或甲方根据实际 情况进行选择性测试 则乙方通过展示产品操作手册或其它资料的方式向甲方 负责人证明未测项的可实现性 3 4 1 资资产产管管理理模模块块 测试内容测试结果 Inventory Inventory 资产模块资产模块 可按操作系统和相关软件动态分 组 根据不同的操作系统和软件 自动归并到不同的组 通过 未测试 未通过 桌面终端标准化管理系统测试方案 34 可以添加删除集合 可以多层集 合 通过 未测试 未通过 显示pc的制造厂商 型号 序列 号 BIOS等详细硬件配置以及 IP MAC的网络信息 通过 未测试 未通过 显示pc中的软件 系统的详细信 息 通过 未测试 未通过 显示用户的详细信息 通过 未测试 未通过 资产的准确统计 通过 未测试 未通过 资产监控 自动 及时反映资产 变化 通过 未测试 未通过 资产的评估 通过 未测试 未通过 桌面终端标准化管理系统测试方案 35 支持多种设备和系统 通过 未测试 未通过 与Altiris其他解决方案无缝整合 通过 未测试 未通过 提供多种资产变更的通知策略 通过 未测试 未通过 很好的和AD进行集成 通过 未测试 未通过 安全B S架构 使用方便 通过 未测试 未通过 提供动态 灵活的报表 可准确 定位资产信息 通过 未测试 未通过 可以将报表导出CSV XML txt 等形式 可以用Excel进行编辑 并打印 通过 未测试 未通过 桌面终端标准化管理系统测试方案 36 提供多种自定义资产报表方式 丰富的报表模板 用 SQL 语句编 制自定义模板 利用报表向导制作属于自己的报 表 针对关键字段定义资产变更 事件 并以列表 平面图 三维 图进行形式 通过 未测试 未通过 备注 资产管理功能测试 3 4 2 软软件件分分发发 测试内容测试结果 支持软件分发带宽管理 通过 未测试 未通过 支持软件分发的断点续传 通过 未测试 未通过 SoftwareSoftware Delivery Delivery 软件分发软件分发 支持基于灵活策略的软件分发 通过 未测试 未通过 桌面终端标准化管理系统测试方案 37 可以设定软件分发计划 并针对 特定的对象 通过 未测试 未通过 分发多种类型的软件包 通过 未测试 未通过 软件静默安装 和交换式安装 通过 未测试 未通过 支持多点传送和Package Server 实现跨网络多级分发 通过 未测试 未通过 支持软件分发序列任务 通过 未测试 未通过 安全B S架构 使用方便 通过 未测试 未通过 支持软件迁移 通过 未测试 未通过 桌面终端标准化管理系统测试方案 38 跟踪软件分发的状态 通过 未测试 未通过 通过报表显示软件分发的纪录 并进行统计 通过 未测试 未通过 支持软件入口 Software Portal 通过 未测试 未通过 备注 软件分发功能测试 3 4 3 补补丁丁管管理理 测试内容测试结果 自动为客户端安装补丁程序 通过 未测试 未通过 PatchPatch ManagementManagement 补丁管理补丁管理 支持基于时间 对象 带宽等策 略的补丁分发 通过 未测试 未通过 桌面终端标准化管理系统测试方案 39 能够生成补丁更新和分发的详细 报表 通过 未测试 未通过 支持断点续传 多点传送 进行