完成hc agile controller终端安全管理特性

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031095Agile ControllerV1R11.00开发/优化者时间审核人开发类型（新开发/优化）王锐2014-8-12陈昊新开发丁祖贤2015-4-19优化本页不打印讲师授课建议：1、xxxHC13031095 Agile Controller终端安全管理特性 前言企业网络中存在大量的PC终端，企业虽然部署了杀毒软件和安全设备，但是依然可能存在很多安全问题，例如终端操作系统的漏洞、随意使用软件导致恶意软件入侵、终端管控不严导致的信息资产泄漏等。为了解决这些问题，华为Agile Controller产品推出了终端安全管理相关的特

2、性。本课程介绍Agile Controller产品终端安全特性的部署和配置。 目标学完本课程后，您将能够：了解Agile Controller终端安全特性的应用场景了解Agile Controller终端安全特性的功能实现掌握Agile Controller终端安全特性配置部署方法掌握Agile Controller终端安全特性故障处理方法 目录Agile Controller终端安全特性应用场景Agile Controller终端安全特性功能实现Agile Controller终端安全特性配置部署Agile Controller终端安全特性故障处理终端安全管理业界现状和发展趋势I ：2001

3、年以前，终端安全主要依赖于防病毒、反间谍软件技术，随着技术变化和安全威胁的花样翻新，终端安全事件屡屡发生，导致了用户对防病毒软件的不信任，以至于引发了防病毒软件是否卖“过期药”的激烈讨论。II ：2001年到2009年，终端安全由简单的病毒防护，发展到以准入控制、终端安全、行为管控的一体化解决方案。III：2009年以后，随着移动办公用户的快速增长，终端安全管理的范畴由传统PC机的管理扩展到智能终端以及各种IP设备的泛终端统一管理，终端安全的管理方针由以前的事件驱动发展为主动防御、综合防范、强化体验。泛终端安全&终端体验管理终端病毒防护一体化终端安全全球企业终端安全发展成熟度III. 2009

4、-II. 2001-2009I：2001年前当前阶段泛终端各种类型终端统一管理物理+虚拟统一管理终端安全管理4大发展趋势全功能准入控制+安全管理被动防御+主动控制平台化全网联动协同开放集成能力个性化桌面管家应用桌面用户服务特点-通过终端安全检查确保终端安全合规安检不通过禁止接入网络安检通过授权接入网络产生违规接入记录严 格宽 松安全检查策略模板检查防病毒软件检查补丁/ Service Pack检查可疑注册项/进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性强制DHCP 检查同时使用多网卡 用户接入IP/MAC绑定财务部总裁办安全检查策略模板 检查防病毒软件检查补

5、丁认证后域认证后域ControllerController保护AV等安全产品的投资价值。减少恶意代码传播，提升资源可用性，减少服务中断风险。减少信息泄密风险。降低终端威胁网络的风险。提供准确实时的企业遵从信息。丰富的安全检查策略针对不同的用户角色或部门定义不同安全规则。支持企业安全管理制度的演进。基于角色的动态策略控制特点-一键修复，降低终端管理维护成本用户安全检查修复完毕，授权接入网络认证后域一键式自动修复自动部署指定版本的防病毒软件。防病毒软件强联动，自动更新病毒库。自动修复补丁。根据链接指导安装指定软件。注册表键值自动修复。屏保设置自动修复。共享目录自动删除。安检不通过禁止接入网络检查防

6、病毒软件检查补丁/ Service Pack检查可疑注册项/进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性 一键式智能自动修复，实现终端自我管理,降低管理成本特点-桌面安全标准化、降低病毒感染风险丰富的行为管理手段，促进企业桌面标准化控制非办公软件使用控制各类 IM、炒股、网游、媒体下载要求：MS Office 2003(SP3 or later), 2007要求 Adobe Reader 6.0，7.0，8.0控制非法的web访问要求：特定时间段，不允许访问xx站点如新闻网站要求：禁止通过Proxy进行上网要求：上班时间禁止访问互联网只允许安装标准软件，实现

7、桌面办公标准化控制非法的web访问，提高工作效率禁止非标软件的安装，降低病毒感染风险特点-终端外设管理和行为监控设置禁用和启用外设接口，如果禁用场景下，使用这些受控设备，Controller代理将会记录终端用户使用这些受控设备的行为并上报设置是否禁用USB移动存储设备，对移动存储设备中的文件可进行加密或只读控制功能监视终端用户在终端主机的本地硬盘进行的文件操作（需要指定文件类型）。监视的文件操作包括：创建文件 复制文件 编辑文件 重命名文件 删除文件外设接口管理文件操作审计控制各种非法外联行为Printer串口/并口蓝牙红外MMC卡SD卡各类Flash Disk数码相机USB管理员配置策略并下

8、发终端按照策略监控指定操作Modem拨号ADSL拨号VPN拨号非法Proxy服务器ISDN拨号同时使用内外网监控终端主机是否非法连入互联网。可提供阻断与违规代理服务器或网络的连接，并上报可监控Windows自带网络连接拨号程序建立的拨号连接状态 目录Agile Controller终端安全特性应用场景Agile Controller终端安全特性功能实现Agile Controller终端安全特性配置部署Agile Controller终端安全特性故障处理终端安全技术架构 WAN MCMC管理员认证前域认证后域A分行准入控制网关安全管理器SC1SM1认证前域认证后域B分行准入控制网关SC2SM2

9、防病毒修复补丁修复安全管理器防病毒修复补丁修复1.通过MC管理中心可以集中配置和分发策略到下级终端安全管理服务器。2.终端安全客户端按照分配的安全策略对终端进行检查，检查通过后服务器可以通知准入控制设备给终端开放网络权限，如果检查不通过，可以对终端进行隔离修复。多级管理模型安全策略与准入控制联动流程主要内容：与硬件SACG联动流程与802.1X联动流程与PORTAL交换机联动流程硬件SACG-上线流程上线流程示意图 硬件SACG-切换域流程切换域流程示意图（以隔离域后域举例） 终端位于隔离域终端用户点击修复(假设违规可以自动修复)修复后自动进入后域802.1X准入流程涉及的问题802.1X认证

10、通过前可能无法连接网络：无法连接Agile Controller及时更新安全策略；本地安全检查参数与服务器可能不一致。如果采用动态VLAN可能导致终端IP地址变化：需要部署DHCP；认证通过后重新获得IP地址。如果终端加入AD域，通过认证前无法与AD服务器通信：通过802.1X认证前只能进行离线认证。802.1X准入控制流程的两个阶段802.1X准入控制流程包括两个阶段的认证：1. 802.1X认证 2. Agile Controller AgentT与服务器认证。为什么要俩阶段认证：802.1X 是一个相对独立的认证流程，在没有认证前Agile Controller AGNET与服务器无法通

11、信。802.1X认证后， Agile Controller AGNET需要与服务器通信，更新策略，开展其他业务。从灵活的角度看，甚至还有可能在802.1X下，某些重要的资源前部署SACG。总结：考虑到后续业务流程的，把802.1X做成一个相对独立的业 务，1X认证后再做一个通用的认证流程。802.1X-联动流程基本业务流程802.1X-上线流程补充说明 关于身份认证的说明：普通账号认证: 从数据库获取该账号的口令，进行身份校验。LDAP/AD账号认证: 检查该账号是否存在，账号存在则先认证通过。证书认证: 当前不支持证书认证。第一阶段的认证完成，开始第二阶段的认证流程：第二阶段的认证流程与普通

12、SACG的认证流程一致。如果在第二阶段，发现身份验证失败，则Agile Controller AGENT会注销802.1X，关闭端口。802.1X-认证切换流程当需要从隔离域切换认证后域，或者需要从认证后域切换隔离域的时候，都需要关闭1X的端口，重新走一次1X的认证流程。触发条件：处于隔离状态，终端用户点击修复操作（完成严重违规的修复）。处理隔离状态，终端用户手工进行修复，然后点击重新检查操作。处于隔离状态，终端用户手工进行修复，然后点击注销，再点击认证操作。处于隔离状态， Agile Controller AGENT从服务器下载了新的策略参数，重新执行安全检查后严重违规消除。处于认证后域状态

13、， Agile Controller AGENT周期检查终端的安全状态需要被隔离。PORTAL-认证流程基本业务流程PORTAL-域切换流程隔离域/认证后域切换流程 目录Agile Controller终端安全特性应用场景Agile Controller终端安全特性功能实现Agile Controller终端安全特性配置部署Agile Controller终端安全特性故障处理定制终端安全客户端安装包 Agile Controller终端安全特性只有在全功能版的客户端中才具有，通过发布包中的客户端定制向导可以定制出全功能版的安全客户端，如下：终端安全客户端安全检查结果展示 Agile Contr

14、oller终端安全客户端的安全检查界面如下，客户端可以按照终端用户配置的策略模版进行安全策略的检查，将检查结果按照不安全项和安全项分别进行展示，并可以查看每一条不安全检查结果的详细内容：Agile Controller安全策略分类检查类策略：检查类策略主要用于检查终端的一些静态设置，例如屏保是否设置、防病毒软件是否安装、软件是否安装等。监控类策略：监控类策略主要用于实时监测系统发生的事件，如是否开启/关闭了某个进程，是否使用PPPOE拨号接入网络等，一旦监测到事件发生，可以采取一些控制。用户自定义策略：R2C07后版本提供了一个用户自定义策略的工具，用户可以利用该工具，编辑一些检查的检查项，满

15、足简单的安全管理需求。策略名称说明WinLinux1检查防病毒软件检查终端是否安装指定的防病毒软件及是否运行、版本是否正确、病毒库是否及时更新2检查操作系统补丁检查终端是否已安装指定的补丁，并提供自动修复功能3检查注册表配置检查终端的注册表配置是否符合要求，并提供自动修复功能4检查计算机名检查终端的计算机名是否符合命名规则5检查屏保设置检查终端屏保的参数是否符合要求，并提供自动修复功能6检查文件共享检查终端文件共享的账号以及权限是否符合要求，并提供自动修复功能7检查系统冗余账号检查终端的系统账号是否长时间未登录或者从未登陆过8检查账户安全检查终端账户安全性9检查打印机共享检查本地打印机共享的账

16、号以及权限是否符合要求，并提供自动修复功能10检查端口根据指定的端口或端口段信息，检查终端开放的端口是否符合要求11检查软件黑白名单检查终端安装的软件是否符合要求12检查磁盘分区信息检查磁盘分区的数量、大小、类型和隐藏分区13检查IE补丁检查终端已安装的IE版本和补丁包信息14检查Office补丁检查终端依安装的Office软件版本和补丁包信息15检查数据库补丁检查终端已安装的SQL Server数据库版本和补丁包信息安全检查策略策略名称说明WinLinux1监视网卡利用率监视网卡的使用情况2监控USB存储设备监控终端USB存储设备的访问，并提供文件监视功能3监控DHCP设置监控终端DHCP属

17、性的设置情况，并提供自动修复功能4监控非法外联监控终端的Proxy设置和路由是否符合要求，并提供终端系统和指定网络地址之间的连通性检查5监视终端打印监视终端打印操作6监控本地服务监控指定服务的状态和启动类型7监控网络应用程序监控终端的网络应用程序访问网络的情况8监控屏幕拷贝禁止终端使用拷屏键，启用策略即生效9监控光驱禁止终端使用所有光驱设备，启用策略即生效10监控网络连接监控终端中Modem、ISDN、PPPoE、VPN等网络设备的运行状态11ARP防护提供对终端的ARP静态绑定功能，并能防止终端对网络发起ARP欺骗和泛洪攻击12监控访问站点监控终端网络站点的访问情况13监控多网卡监控终端是否

18、存在多网卡处于连接状态，并提供禁用网卡的功能14监视文件操作监视终端增加、删除、修改等文件操作15监控IP访问根据配置的IP和端口规则控制终端的网络访问，并提供ICMP和网络邻居的控制功能16监控进程监控指定进程在终端的运行情况17监控系统设备提供对终端蓝牙设备、红外设备、SD/MMC控制器等系统设备的禁用功能18监控网络流量根据指定的协议和端口进行网络流量统计，并对流量超过阈值的终端提供网络阻断功能安全监控策略安全策略-初始化向导1. 系统初始化向导说明： 安装完SM服务器，登录管理界面的时候，会提示用户使用初始化配置向导。 请注意：“下次不再提示”，勾选后，可以在 策略-终端管理-安全策略

19、-策略上传菜单下，上传策略包。安全策略-License上传2. 上传License文件： 如果没有商用License文件，可以申请临时License文件。安全策略-上传安全策略3. 上传策略包： 从发布光碟中获取：Policy Package.zip上传该策略包文件。安全策略-配置向导完成4.系统配置向导完成: 1. 请注意：两个绿色的勾。 2. 请注意：系统配置向导已经完成，勾选“下次不再提示”。安全策略-定义场所1. 场所的概念：场所用于定义当前终端所处的位置。 应用场景： 当终端处于不同的场所的时候，会面临不同的安全问题，需要制定有针对性的安全策略。在安全性高的环境，可以定义比较宽松的安

20、全策略，在安全性比较差的环境，可以定义比较严格的安全策略。例如在公司内部进行办公相关业务的时候，这时候通常应该开放文件共享业务，让用户能够自由的交换文件。2. 定义场所： 场所只能通过上传的方式进行定义。现阶段初始的配置文件，可以从维护组获取。安全策略-场所定义条件3. 场所定义条件：终端PC的IP地址终端PC的网关地址终端PC使用指定的DNS服务器终端PC使用VPN网卡终端PC在线离线状态终端PC能否连通指定的IP地址/端口 场所识别条件可以进行OR AND 任意组合，形成一个场所的判断条件。安全策略-场所定义举例某个公司定义了三个场所：1）办公场所：终端IP地址范围在/8，IP地址范围在/

21、8、/8，则终端属于办公场所。2）VPN接入场所：终端使用VPN接入网络，并且终端的网关地址(VPN网关)范围在/24，则终端属于VPN接入场所。3）其他场所：不满足条件1）和条件2），则属于其他场所。安全策略-创建策略模板给部门/账号/网络区域分配安全策略规则的时候，以策略模板为一个整体，进行分配和管理。 安全策略-策略模板参数说明名称：给策略模板起一个好记的名称，名称最好有意义。例如研发区策略模板，非研发区策略模板；或者公共策略模板，特定部门模板1，特定部门模板2。描述：给策略模板填写足够的描述，可以详细描写该策略模板的应用范围。例如特定部门模板1，推荐在描述部分说明哪些部门使用该模板。父

22、模板：公司有一个或者多个基准的安全策略，部门可以在公司策略的基础上，使用更多的策略。安全策略-选择策略并且编辑策略参数当要启用某个策略的时候，点击绿色箭头，再点击旁边的“齿轮”符号，开始编辑策略。安全策略-分配策略点击“模板分配”，然后选择该策略模板使用的场所、选择使用该策略模板的部门/账号/网络区域。为了简化配置：一个策略模板只能分配给一个场所。安全策略支持的操作系统Agile Controller的安全策略中每一种策略支持的操作系统是不一样的，有些策略只支持Windows系统，有些支持Linux系统。策略模板中操作列可以看出来哪些策略是支持Linux的。如果一个策略支持Windows和Li

23、nux，也有可能策略配置存在一些差异，主要原因是不同的操作系统下支持的程度可能有差异。 目录Agile Controller终端安全特性应用场景Agile Controller终端安全特性功能实现Agile Controller终端安全特性配置部署检查类策略详细配置说明监控类策略详细配置说明Agile Controller终端安全特性故障处理检查类策略-安全策略公共参数说明以屏保策略为例说明检查类策略-安全策略公共参数说明参数7.修复建议： 当终端出现违规的时候，在Agile Controller AGENT、WebAgent显示的修复建议信息。 包含一段文字描述，一个URL链接。 支持配置中

24、文/英文修复建议，终端根据Agile Controller AGENT、WebAgent的语言类型，自动选择修复建议显示的语言。检查类策略-检查屏保设置启用屏保，能够保证用户离开终端的几分钟内，就可以锁定计算机，防止计算机被其他人滥用。屏保的功能虽然简单，但是该功能很重要。内容：检查终端是否启用屏保功能；检查屏保是否启用密码保护；检查启动屏保的时间。自动修复功能：设置终端启用屏保，并且设置屏保的时间=配置的时间，屏保恢复的时候需要输入密码。此策略支持Windows和Linux操作系统。检查类策略-检查屏保设置 检查类策略-检查注册表设置目的：启用检查注册表配置策略是检查注册表的重要子键与键值是

25、否符合要求。检查内容：支持多种键值检查类型，包括键值须存在，键值须不存在，键须存在，键须不存在；支持多种键值类型，包括REG_SZ(字符串值)，REG_DWORD (DWORD值)。 自动修复功能：在指定的键值路径下设置或者删除键值，或者修改键值为要求的数值。检查类策略-检查注册表检查类策略-检查防病毒软件目的：安装杀毒软件，杀毒软件正常运行，以及杀毒软件的病毒库正常更新，是终端安全的重要保证。检查的内容：检查终端是否已经安装了指定的杀毒软件(一个企业可以指定多个可以使用的杀毒软件)；检查杀毒软件是否已经运行；检查杀毒软件的病毒库是否更新；检查杀毒软件的是否需要升级（版本是否是最新的）。提供手

26、工修复功能。检查类策略-检查防病毒软件检查类策略-检查防病毒软件安全策略-检查打印机共享检查打印机共享目的：检查安装在本地的打印机是否共享给其他人使用；检查终端是否开启打印机共享，以及是否限制共享权限。检查的内容：是否开启打印机共享；检查打印权限共享给哪些账号；检查打印机共享的权限：打印、管理打印机、管理文档。提供自动修复功能：自动修复的时将取消共享，或者删除指定账号的共享权限。安全策略-检查打印机共享安全策略-检查端口检查端口的目的：通过检查主机侦听的端口，判断主机是否安装了什么软件，例如通过该功能，可以检查主机是否开启DHCP服务。功能说明：可以只检查侦听端口，也可以检查所有端口，包括处于

27、TIME_WAIT类的端口；周期对终端的端口进行检查，检查的周期可以配置。安全策略-检查磁盘分区信息检查磁盘分区信息的目的：检查磁盘是否存在隐藏分区；检查是否有其他类型的分区，协助判断是否安装了LINUX等其他类型的操作系统。局限性说明：检查逻辑分区的时候，只能检查Windows能够识别的分区。安全策略-检查账号安全目的：检查终端主机的账户设置是否符合要求。检查的内容：检查操作系统是否存在弱密码；支持检查本地账号，以及在本机登录过，存在缓存信息的域账号；检查本地密码策略；检查某个账号是否加入特定群组；检查用户权限策略；提供自动修复功能。安全策略-检查账号安全安全策略-检查文件共享检查文件共享目

28、的：检查终端是否设置文件夹共享给其他人使用；检查终端设置的文件夹共享账号及权限是否符合安全规则。检查的内容：终端是否存在共享文件夹；终端共享文件夹给哪些账号；终端共享文件夹设置的权限：读权限/读者、写权限/参与者、完全控制/共有者。提供自动修复功能：自动修复的时将取消终端所有共享文件夹设置，或者删除所有文件夹对指定账号的共享权限。支持Windows和Linux操作系统。安全策略-检查文件共享安全策略-检查系统冗余账号检查系统冗余账号的目的：检查终端的系统账号是否长时间未登录或者从未登录过，方便管理员对账号进行管理。检查系统冗余账号的内容：检查终端账号未登录超过冗余天数的账号；检查终端从未登录过

29、的账号。安全策略-检查软件黑白名单目的：检查终端主机安装的软件是否满足要求。检查的内容：白名单模式，检查只能安装的软件：对于白名单中的软件，该软件属于必须安装类软件，而终端主机未安装该软件，则属于违规行为；对于白名单中的软件，该软件不属于必须安装类软件，而终端主机未安装该软件，则不属于违规行为。白名单+黑名单模式，检查必须安装的软件和禁止安装的软件：如果终端主机未安装白名单中的任意一款软件，则属于违规行为；如果终端主机已经安装黑名单中的任意一款软件，则属于违规行为；如果终端主机已经安装白名单中的所有软件，并且没有安装黑名单中的任意一款软件，则不属于违规行为。此策略支持Windows和Linux

30、操作系统。安全策略-检查操作系统补丁检查操作系统补丁目的：该策略检查终端主机是否已经安装Microsoft Windows操作系统对应的补丁。确保终端主机不存在系统安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录该操作系统的相关信息，并上报至数据库，供管理员查阅。检查操作系统补丁的内容：根据补丁的级别检查终端PC是否安装了特定级别的补丁，补丁级别包括关键、严重、重要、一般、未知；根据补丁列表检查终端PC是否安装了某个补丁。提供自动修复功能：提供例外补丁列表，允许某些补丁不检查，当存在冲突的时候，以例外补丁列表的要求为准。安全策略-检查操作系统补丁安全

31、策略-检查操作系统补丁安全策略-检查Office补丁检查Office补丁目的：该策略检查终端主机指定的Office版本是否安装对应的补丁程序，确保终端Office软件不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录违规信息。检查Office补丁内容：检查终端是否安装指定版本的Office软件；检查终端Office软件是否安装了对应的SP补丁。注：只有终端安装了配置的Office版本且没有安装符合要求的SP补丁时Agile Controller代理才记录违规信息。例如： Agile Controller服务器配置要求Office 2007必须安装

32、SP1补丁，终端安装Office 2003 打SP3补丁终端不违规，终端安装Office 2007 打SP3补丁终端不违 规，只有终端安装Office 2007 没有打补丁终端才违规。安全策略-检查IE补丁检查IE补丁目的：该策略检查终端指定的IE（Internet Explorer）版本是否安装对应的补丁程序，确保终端IE不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录违规信息。检查IE补丁内容：检查终端是否安装指定版本的IE浏览器；检查终端IE浏览器是否安装了对应的SP补丁。注：只有终端安装了配置的IE浏览器版本且没有安装符合要求的SP补丁

33、时Agile Controller代理才记录违规信息。例如： Agile Controller服务器配置要求IE 8必须安装SP1补丁，终端安装IE 6打SP3补丁终端不违规，终端安装IE 8打SP3补丁终端不违规，只有终端安装IE 8没有打补丁终端才违规。安全策略-检查数据库补丁检查数据库补丁目的：该策略检查终端指定的Microsoft SQL Server（简称SQL Server）数据库版本是否安装对应的补丁程序，确保终端SQL Server数据库不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录违规信息。检查数据库补丁内容：检查终端是否安

34、装指定版本的SQL Server数据库；检查终端的SQL Server数据库是否安装了对应的SP补丁。注：只有终端安装了配置的SQL Server数据库版本且没有安装符合要求的SP补丁时Agile Controller代理才记录违规信息。例如： Agile Controller服务器配置要求SQL Server 2008 必须安装SP1补丁，终端安装SQL Server 2005打SP3补丁终端不违规，终端安装SQL Server 2008打SP3补丁终端不违规，只有终端安装SQL Server 2008没有打补丁终端才违规。 目录Agile Controller终端安全特性应用场景Agile

35、 Controller终端安全特性功能实现Agile Controller终端安全特性配置部署检查类策略详细配置说明监控类策略详细配置说明Agile Controller终端安全特性故障处理安全策略-监控DHCP设置监控DHCP设置说明：检查终端是否使用DHCP获得IP地址；允许强制终端必须使用DHCP获得IP地址，并且不允许终端用户手工修改（把TCP/IP协议的”属性“按钮禁用）。提供选项：检查所有的网卡；仅检查连接SC控制服务器的网卡（离线的情况下，由于无法判断哪个网卡连接服务器，在此选项情况下，不检查）；仅检查不连接SC控制服务器的网卡（离线的情况下，由于无法判断哪个网卡连接服务器，在此

36、选项情况下，不检查）；缺陷：VISTA和Windows 7下，没有实现禁用配置IP属性的方法。安全策略-监控DHCP设置安全策略-监控光驱监控光驱说明：把对光驱的控制，从外设管理，以及USB存储设备控制策略中抽取出来，用一个单独的策略进行管理，包括控制是否需要禁用光驱，是否禁止光驱刻录功能。提供选项：禁用刻录光驱的写功能，使用该功能终端主机能够从光驱设备读取信息，但终端刻录软件被禁止运行；禁用所有光驱：该功能禁止终端所有光驱设备的使用，对例外光驱不进行控制。安全策略-监控非法外连功能说明：该策略监控终端主机是否能够通过非法途径连入互联网。当终端主机存在能够通过非法途径连入互联网的违规行为时，该

37、策略提供阻断与违规代理服务器或网络的连接，并记录终端主机的违规信息。提供选项：允许终端主机通过所配置的合法路径（包括合法的代理服务器和路由）连接互联网。 该模式适用于允许终端主机访问互联网的场合。如果终端主机访问互联网的路径不符合要求，则终端主机存在违规；禁止终端主机访问互联网。 该模式适用于禁止终端主机访问互联网的场合。如果终端主机能够访问互联网，则终端主机存在违规。此策略支持Windows和Linux操作系统。安全策略-监控非法外连安全策略-监控非法外连安全策略-监控本地服务功能说明：该策略监控终端主机上Microsoft Windows服务的运行状况，通过配置策略参数强制启动或禁用某些M

38、icrosoft Windows服务，以便对通过Agile Controller代理接入的终端主机的本地服务进行监控。如果终端指定服务的启动类型或者服务状态不符合配置， Agile Controller代理将修改终端的指定服务的启动类型或者运行状态并记录违规信息。例如：通过该策略可以监控某些必要软件在终端的安装情况和运行情况。监控规则：安全策略-监控本地服务安全策略-监控网络应用程序功能说明：该策略监控终端主机的网络应用程序访问网络的情况。当终端用户运行需要访问网络的应用程序时， Agile Controller代理将决定是否允许该应用程序访问网络。前置条件：Agile Controller代

39、理安装包需定制安装主机防火墙，且安装Agile Controller代理后需要重启计算机确保Agile Controller主机防火墙生效。对64位系统Agile Controller代理还需要定制安装网络过滤驱动。监控规则：安全策略-监控网络应用程序安全策略-监控网络连接功能说明：该策略监控Windows自带网络连接拨号程序建立的拨号连接状态和VPN连接状 态。如果发现被管理员禁用的网络连接处于激活状态则属于违规行为， Agile Controller代理将会记录上述网络连接的开始和结束的时间，并自动断开连接，防止终端用户非法连接Internet。监控规则：安全策略-监控网络连接安全策略-监

40、控访问站点功能说明：该策略监控终端用户访问网站的行为。当终端用户访问设定的网站时， Agile Controller代理将根据预先设置的控制动作决定是否允许终端用户继续访问该网站，并记录该站点的相关信息。违规信息将上报至数据库，供管理员查阅。前置条件：Agile Controller安装包需定制安装主机防火墙，且安装Agile Controller代理后需要重启计算机确保Agile Controller主机防火墙生效。对64位系统Agile Controller代理还需要定制安装网络过滤驱动。监控规则：安全策略-监控访问站点安全策略-监控多网卡功能说明：该策略提供检查终端主机的网卡活动状态、禁

41、用无线网卡、监视无线网卡功能。如果终端主机的多个活动网卡， Agile Controller代理将禁用不符合要求的网卡，记录违规信息。提供选项：禁用无线网卡：如果终端存在无线网卡，将被禁用并记录违规；监视无线网卡：如果终端存在活动无线网卡，将记录无线网卡活动状态；检查是否存在多个网卡处于连接状态：如果终端存在多个可用网卡Agile Controller代理将记录违规；该三个选项根据需要可以选择任意其中一个，也可以同时选择多个，但是禁用无线网卡和监视无线网卡不能同时选中。安全策略-监控多网卡安全策略-监控系统设备功能说明：该策略支持软驱/串口/并口/红外/1394/Modem/PCMCIA/蓝牙

42、/SD/MMC卡/本地打印机等计算机外设的监控功能，支持配置禁止终端使用这些外部设备。监控规则：安全策略-监控系统设备安全策略-监控网络流量功能说明：该策略监控并统计一段时间某协议（HTTP、IP、SMTP、POP3等）或者本终端主机某端口的访问流量。通过发现该终端主机的异常流量来判断终端主机是否存在安全隐患（如该主机感染蠕虫病毒）。流量监控是指统计终端主机通过指定协议或指定端口接收和发送的报文大小的总和。如果终端主机包含多块网卡，则统计所有网卡的总流量。缺陷：该策略只支持Windows XP真实机，其他操作系统或者虚拟机不支持。前置条件：如果流量异常需要阻断网络，则Agile Control

43、ler代理需要定制主机防火墙功能且安装Agile Controller代理后需要重启终端是Agile Controller防火墙生效。流量统计规则：安全策略-监控网络流量安全策略-监视文件操作功能说明：该策略设置是否允许终端用户操作指定类型的文件（如“.doc”，“.bmp”）。在启用该策略的情况下，如果终端用户创建、编辑、重新命名、修改、删除文 件，TSM代理将会记录终端用户操作文件的行为，并记录违规信息。对临时目录下的文件操作将不进行监控。缺陷：在Microsoft Windows Vista和Microsoft Windows 7操作系统下该策略无法监控文件复制操作。监控规则：安全策略-

44、监视文件操作安全策略-监控进程功能说明：根据管理员配置的进程黑白名单检查终端主机运行的进程。如果发现终端主机运行黑名单中列出的进程，或者未运行白名单中列出的进程， Agile Controller代理将违规信息。对进程白名单可以配置接入控制功能。说明：无法监控隐藏进程（即通过Windows任务管理器无法查看的进程）；由于执行安全策略需要“system”、“smss.exe”、“csrss.exe”、“winlogon.exe”、“cmd.exe”、“tracert.exe”、“explorer.exe”、“services.exe”、“svchost.exe”、“lsass.exe”、“alg

45、.exe”、“spoolsv.exe”12个进程的支持， Agile Controller不会对上述12个进程进行监控；Agile Controller不会对自身进程进行监控。前置条件：Agile Controller代理必须定制安装文件过滤驱动。此策略支持Windows和Linux操作系统。监控规则：安全策略-监控进程安全策略-监控IP访问功能说明：该策略是通过Agile Controller代理主机防火墙禁止或者限制终端使用某种网络协议（TCP、UDP、ICMP、NetBIOS）进行网络相关操作。前置条件：Agile Controller代理必须定制了安装主机防火墙，且安装Agile Co

46、ntroller代理后必须重启计算机确保Agile Controller主机防火墙生效。监控规则：安全策略-监控IP访问安全策略-监控屏幕拷贝功能说明：该策略提供禁止终端用户使用拷屏键的功能。如果终端用户使用“PrtSc”或“Alt+PrtSc”拷屏键截取屏幕， Agile Controller代理将会禁止终端用户截取屏幕的行为。场景约束：该策略不能禁止各类画图软件进行拷屏。安全策略- ARP防护功能说明：该策略通过绑定网关的IP地址与MAC地址能够防御其他终端主机对本终端主机发起的ARP攻击。如果发现有ARP欺骗或者ARP泛洪， Agile Controller代理将会进行拦截，向终端用户发出警告并上报给数据库，供管理员查阅。前置条件：Agile Control