计算机准入系统

刖R

端点准入系统从网络接入端点的安全控制入手，通过安全客户端、安全策、

略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施

企业安全策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网

络使用行为，保护网络安全。

伴随着网络应用技术的快速发展，网络信息安全问题也日益突出病毒泛

滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到企业的正常运行。如何

应对网络安全威胁，确保企业网络安全，为企业运行提供可靠的网络保障，已

经是每一个企业决策者不得不关注的问题，也是每一个网络管理员不得不面对

的挑战

目前，多数网络安全事件都事由脆弱的用户终端和''失控”的网络使用行

为引起。再企业网中，用户终端不及时升级细听不定和病毒库的现象普遍存在:

私设代理服务器的、私自访问外部网络、滥用企业禁用软件等行为也比比皆是

失控的用户终端一点介入网络，就等于给潜在的安全威胁敞开大门，使安全威

胁再更大范围内快速扩散。保证用户终端的安全、阻止威胁如今网络，对用户

的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前

企业网络安全管理继续解决的问题。

计算机端点准入系统研究

1概述

在互联网技术的发展应用过程中，伴随着网络应用软硬件技术的快速发展,

网络信息安全问题日益严重，新的安全威胁不断涌现，特别是企业集团、其数

据的特殊性和重要性、更成为黑客们攻击的重要对象，针对目前系统计算机犯

罪频率越来越高，手段越来越复杂，损失越来越大。

目前系统网络安全威胁主要有：

1.通过攻击接口进行非法入侵：根据各级局域网、广域网、及服务器接口

的情况，可以通过下面几种方式进行攻击：业务系统拒绝服务；通过猜测获得

内部主机其他服务的访问权限；内部网络拓扑信息外泄；局域网中数据的截获。

2.针对系统自身存在缺陷进行攻击：利用系统（包括操作系统、支撑软件及

应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的

防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他

系统。此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。

网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业集团机

构及用户免受网络安全问题威胁的重要措施。根据调查表明，网络安全的威胁

60%来自网络内部，网络用户不及时升级系统补丁、升级病毒库的现象普遍存

在；私设代理服务器、私自访问外部网络、使用网络管理员禁止使用的软件等

行为在金融系统内部网络中也比比皆是。如果只是通过防火墙和在网络设备上

配置一系列访问控制策略是无法完全避免各种安全威胁的，而必须从用户接入

终端-网络设备-中心服务器提供一系列端到端的安全解决方案。所以首先要从网

络接入端点的安全控制入手，对接入网络的用户终端强制实施企业安全策略，

加强网络用户终端的主动防御能力。

针对接入层用户的安全威胁，特别是来自应用层面的安全隐患，防止黑客对

核心层设备及服务器的攻击，我们必须在接入层设置强大的安全屏障，推出了

端点准入系统解决方案，该方案从网络用户终端准入控制入手，整合网络接入

控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三

方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端

用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。

计算机端点准入系统研究

端点准入的全新系统架构将整个内网安全防护策略划分为逻辑上的三个部

-1.内网边界安全防护

・此部分架构实现对来自局域网络外部的安全威胁进行安全防护

■2.内网安全威胁防护

・此部分架构实现对来自局域网内部的安全威胁进行安全防护。

■3.外网移动用户安全介乎防护

■此部分架构用于保证地区局域网内部移动用户所处的网络环境的变

换，以及当移动用户处于外网安全防护薄弱网络环境自身安全、介入地

区局域网安全

4

2端点准入系统功能介绍

2.1多层次的病毒，蠕虫防护

病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本

的解决办法，其中原因是多方面的，有人为的原因，也有技术上的原因。如

不安装病毒防护软件，病毒库未及时更新等等，也有技术上的原因，杀毒软

件、入侵防范系统等安全技术对新类型，新变异的病毒、蠕虫的防护能力往

往要落后一步，危害无法避免。使用端点准入，我们可以控制病毒、蠕虫的

危害程度。只要我们针对不同的原因采取有针对性切实有效的防护办法，就

会使病毒蠕虫的危害减少到最低限度

仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁。因此，在端

点准入系统中，对当前肆虐于网络环境中的大量病毒、蠕虫的威胁，实现了

多层次的安全防护策略，归结起来是：事前预防、事中隔离、时候修复。

端点准入支持的事前预防策略包括以下儿个方面

(1.通过主机安全网执行策略，定义强制保护SPA中的基于的入侵检测

防范模块的运行以及其特征库的及时更新，能够有效的保证对当前已知特征

的病毒蠕虫的入侵防范

(2.通过主机完整性策略，定义强制保护地区局域网在终端设备上部署

的第三方杀毒软件处于执行状态且病毒特征库及时更新，防止终端用户的关

闭，异常推出或特征库不完整。

(3.对于不符合安全策略中的主机完整性的设备，将首先被隔离到局域

网某一特定隔离区，在其中被自动地安装，升级，安全检查，以达到主机完

整性定义要求，之后被允许访问正常的网络资源。

(4.在端点准入系统中，所有的安全策略，包括病毒蠕虫防护策略都是

管理员通过集中的安全策略管理控制台施，对于普通用户是透明的。

•端点准入支持的事中隔离策略

当病毒蠕虫事件在地区局域网络内发生时，端点准入能够实现对病毒蠕虫

的有效隔离，从而有针对性的制定病毒蠕虫隔离策略，应用主机防火墙功能对

病毒蠕虫的网络访问进行阻断，保证病毒蠕虫不能继续向局域网内部扩散。

端点准入提供的时候定位修复策略

1.清楚病毒蠕虫需要知道病毒蠕虫的位置，既定位。定位之后，有针对性

计算机端点准入系统研究

的清除感染源，采取的策略可以时寻找有效的病毒蠕虫清理工具。

2.定制杀毒软件病毒库升级策略，及时升级病毒特征库，有效的清理网络

中的病毒蠕虫。

2.2全面的入侵防范

端点准入将传统的入侵防范从网络边界扩展到局域网终端设备，防范范围

从局域网边界扩展到所有的终端之上，将网络终端安全防护策略从传统的各自

为战发展到安全策略集中统一管理的有机防御体系。并且还为终端提供了主机

防火墙、主机入侵预防、操作系统保护、缓冲区溢出保护、系统锁定等全面的

安全保护机制，确保局域网每一个终端都可以有效应对各种攻击行为。

2.3终端设备安全完整性保证

主机完整性强制是端点准入系统的关键组建。它允许管理员定义、实施以

及回复主机系统的安全完整性。可定义的主机完整性包括：安全应用是否安全

欲行，特征数据是否及时更新以及系统安全设置。

2.4统一、有效的安全策略管理

统一、有效的安全策略管理是端点准入从安全管理角度地区局域网络安全

的解决方案。端点准入中为了克服局域网络管理存在的问题，将地区局域网络

安全管理技术以网络端点防护技术有效结合，针对网络管理中各种显示紧迫的

问题进行总体设计，引入多种独特的安全管理技术，满足网络安全管理要求的

全面解决方案

通过端点准入提供灵活用户分组和策略设置功能，管理员可以有效管理内网不

同用户身份的网络访问策略。管理员可以按照不同部门不同网络应用需求配置

相应规则。使得不同部门的用户智能在内网访问与其业务相关的应用服务器，

阻止越权访问行为。

6

3端点准入系统组成

3.1SEP的基本组件

端点准入（SygateEnterpriseProtection,简称SEP）系统，是一个全面的终

端安全管理方案，它确保每个终端在接入网络前是符合企业安全策略的。

端点准入系统由三个基本组件组成：

1.策略服务器、

2.强制服务器、

3.客户端防护代理软件。

3.1.1策略服务器

SygatePolicyManager:

安装在一个或多个地区局域网服务器上，围绕一个中央数据库来配置，策

略管理服务器扮演一个军队司令的角色，帮组创建安全策略，规划部署技术，

指导士兵（客户端）如何保护网络。

策略服务器是控制客户端（SPA）和强制服务器的中心。管理员在此定义和

分发安全、强制策略。收集日志，维护地区局域网络的完整性。

策略升级和开发

策略管理服务器可以允许地区局域网向端点发下列项目

安全策略/防火墙策略

入侵预防特征库

端点准入客户端升级包

杀毒软件毒特征库

补丁和软件升级

VPN客户端和配置文件

自定义通知

以上项目是通过端点准入心跳和主机完整性修复的能力来分发的，客户端利用

心跳协议与管理服务器通讯。每当心跳发生时：

1SPA器发送一个请求，按组和用户分类来检查安全策略更新。如果有了新策

略，SPA请求管理服务器发送新策略。如果当前策略已经为最新则不发送新

策略。

2向策略服务器更新客户端日志。日志内容由管理员在策略/设置选项卡内设

计算机端点准入系统研究

定。

3SPA与管理服务器核实自己版本是否正确，如果步是则开始自动升级过程。

4管理服务器向SPA发送最新的IDS特征库版本号，然后SPA与自己的IDS

版本号比较，如果特征库已经过时,则向管理服务器发送获取新特征库请求。

策略复制

对于不只一个物理站点的地区局域网，例如由分级机构，用专用通讯链路

来连接泰安鬼，端点准入支持数据复制。复制就是步同地点或站点间的数据库

通过特别拷贝来共享数据过程。这样不同地点的用户可以都工作在本地的副本

之上，然后同步他们之间的变更。在端点准入环境内，数据库复制可以将以个

管理服务器上的变更同步到另外数据库上。

事件日志转发

通过事件日志转发端点准入能够将日志装法换成其他软件格式，这个服务可以

用来做日志的聚合和集中。系统管理员可以选择对哪些客户端，管理服务器和

强制服务器日志进行转发，并存储在文本文件内供第三方程序使用。端点准入

事件日志可以和其他程序，设备的日志一起递交给安全信息管理系统。

3.1.2强制服务器

通用强制保证端点在接入网络前是符合局域网安全策略的。强制策略涵盖

补丁级别，系统配置，杀毒、个人防护墙、入侵预防系统带的特征库版本是否

正确和及时更新等。部符合企业安全策略的设备会被管理员标帜出来，防止访

问网络，直至修复后再回复其网络访问的权限。

3.1.3端点准入客户端

SygateProtectionAgent:

客户端是安装在企业工作站、服务器（Windows平台）和个人终端上，SPA

提供了可配置的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马，

端口扫描和其他常见的攻击。作为响应，它能选择性的启用或阻止不同网络设

备，端口和组建的使用。SPA还负责按照Sygate策略管理服务器所设定的规则

对终端安全状态进行审核，并将检查结果报告给端点准入可选组建，作为是否

允许终端接入网络的的标准。

SPA设计为消除恶意或者是无意的入侵和滥用。SPA向SPM管理服务器回

报情况，并接受安全指令。按照SPM管理服务器端设置，SPA可以做到对大多

数普通用户完全不可见，对高级用户显示完全界面或者是下放部分管理控制。

以上差异和SPA运行时的控制模式相关，或者是和SPA的网络相关（端点准入

8

提供三种客户端管理模式：服务器管理模式，客户端控制模式，策略可仲裁的

高级用户模式）。

系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服

务器就会接受哪些安全策略并且执行。如果策略在后期变更，他们将自动分发

到SPA上。SPA还会跟踪试图违反安全策略的行为，并将安全事件日志传送给

SPM管理服务器。

安装有SPA的设备一启动，保护就会生效。因为策略在本地保留，设备不

惜在启动时连接核心管理服务器下载策略。另外，当设备连接到网络时，他的

SPA会向SPM管理服务器验证。如果设备没有SPM,它将步被任何运行端点准

入的网络允许。

3.2SEP架构

依照终端信息化管理标准和管理规范，并结合网络架构，部署二、三级管

理构架的SSEP防护系统。

•在总部搭建一级SEP站点，共有3台，其间采取自动同步与复制模式。

・一级的三个SEP站点，不承担具体的客户端管理职责，只接受二级站点

的接入。

•总部一级SEP站点会将统一的策略下发给各个二级站点。

・二级站点可以依照自身企业的安全需求，在安全策略的基础上进行个性

化定制。

・二级站点会将其制定的安全策略、相关状态汇总信息集中到总部的一级

站点中，方便集团进行统一管理。

・针对终端数量多、规模大的单位，需要进行单独设计：在该单位中心建

立二级站点，并接受一级站点的管理；同时在该单位其他分支局域网建

立三级站点，管理终端，形成集团、二级单位、各分支公司的三级管理

构架

・在二级站点中根据网络条件不同，会部署数量不等的LanEnforcer和

GatewayEnforcer,用以强制联网客户端必须满足安全策略。

•各个二级站点中的LanEnforcer和GatewayEnforcer由二级站点管理员进

行管理。

•三级站点中部署的LanEnforcer和GatewayEnforcer将由三级站点管理员

进行管理。

・针对一些单位的分支机构通过就地接入的方式接入其他单位网络的情

计算机端点准入系统研究

况，在管理中需要由接入单位为该类客户端单独划分客户端管理组，并

可由其所属单位管理员进行远程管理。

4系统运维管理

由于桌面安全管理系统将覆盖全集团所有终端，涉及众多单位，因而制定

了多项运维管理流程：

4.1策略管理流程

・集团制定基础的安全策略，并直接下发给二级站点。

10

・二级站点接受集团制定的安全策略作为基本策略，并可以根据自身的

需求添加其他个性化策略。

・三级站点从二级站点获得基本策略，并可以根据自身的需求添加其他

个性化策略。

•各级Enforcer将根据本地站点的安全策略，对客户端进行策略的强制。

・二级、三级将本地的策略汇总到一级站点，以备审核。

4.2信息收集流程

・客户端的各项安全信息及日志将自动发送至本地站点服务器。

・三级站点服务器将本地状态汇总信息自动发送至二级站点服务器。

・各个二级站点服务器将本站点的状态汇总信息自动发送至一级站点服务

器进行汇总。

・各级站点管理员可以通过对日志进行智能分析，获取本地站点的桌面安

全状况管理报告。

4.3项目管理流程

・项目实施部署阶段将由总部制定基础策略，并下发至各级站点。

・各级管理员可以在总部下发策略的基础上，添加各项个性化策略。

•总部管理员将依照管理报告，定期修改策略，完善终端管理策略。

・下属单位在实施个性化安全策略前应将安全策略报请上级单位审核批

准。

・各级管理员经过SEP产品培训后，总部将下发SEP系统策略管理权限。

计算机端点准入系统研究

级

站

点

图4-1CNPCSEP架构逻辑示意图

Figure4-1CNPCSEPlogicalarchitecturediagram

图4-2网络现状拓扑图

Figure4-2Networktopologystatus

12

Q牛，,，x”w»a«r------*•r«-

|口G…一•-

图4-3

Figure4-3

计算机端点准入系统研究

5SEP部署

14

5.1Enforcer部署注意事项

1GatawayEnforcer不能部署在路由器和路由器之间，因为GatewayEnforcer不

能透传路由协议，如果路由器之间运行是静态路由，则路由器之间可以部署。

2GatawayEnforcer不能部署在运行生成树协议的交换机之间，因为Gataway

Enforcer不能透传生成树协议

3GatawayEnforcer不能部署在Trunk链路上，因为GatawayEnforcer步能透传

VLAN协议

4GatawayEnforcer不能透传VIP协议

5GatawayEnforcer不能部署在设置了六安路捆绑协议的链路上，因为Gataway

Enforcer不识别链路捆绑协议。

6atawayEnforcer有两块网卡，每块网卡都需要有GatawayEnforcer所在子网的

IP地址。

7GatawayEnforcer支持当前主流厂商的IPSECVPN,MPLSVPN.

8GatawayEnforcer不能部署在企业边缘防火墙与外网之间。

9GatawayEnforcer需要打开UDP39999保证Ageant代理和GatawayEnforcer

之间的通信

10GatawayEnforcer需要打开UDP1812保证交换机和GatawayEnforcer之间的

通信。

11GatawayEnforcer不能部署在负载均衡设备之间。

12LANEnforcer支持CISCO交换机和CISCOIP电话环境中对Agent认证。

13DHCPPlugin插件只能安装在MicrosoftDHCP服务器上使用，其他厂商

DHCP服务器需要单独使用DHCPEnforcer进行准入控制。

5.2服务器命名规则

5.2.1.站点命名规则

(1一级站点名规则

“总部名称缩写”+“服务器类型”+“站点数量编号”

例如“CNPC-SPM-A”(中国石油集团公司总部SPM站点A)

“PTR-SPM-A”(中国石油股份公司总部SPM)

(2二级站定命名规则

“二级单位名称第一个字母”+“下属单位名称第一个字母”+“站点类型S”+

“站点数量编号”，没有可以忽略，如果多个站点，在其后加数字(1,2,3.……)

加以区分。

计算机端点准入系统研究

S代表Site

S1代表该单位第一个站点

举例：“LHYTGS-S1”（辽河油田公司第一个站点）

“DQYT-S2”（大庆油田第二个站点）

5.2.2站点服务器命名规则

（1.一级站点服务器命名规则

“总部名称缩写”+“服务器类型”+“服务器数量编号”

举例：“CNPC-SPM-A”（中国石油集团公司总部SPM服务器A）

“PTR-SPM-A”（中国石油股份工资总部SPM服务器A）

（2.二级站点服务器命名规则

“二级单位名称拼音第一字母”+“下属单位名称拼音第一字母”+“服务器类

型”+“服务器数量编号”，没有可以忽略。如果多个服务器，在其后加数字（1、

2、3.......）加以区分。

注意：

•所有服务器名字字符综合部能超过15个字符。

•P代表SPM,L代表LANEnforcer,G代表GatewayEnforcer

•Pl代表该站点第一台SPM服务器，G2代表该站点第二台GatewayEnforcer

服务器，如此类推

举例：

“KTY-P1”（勘探院第一台SPM服务器）

“DGYTGS-P1”（大概油田公司第一台SPM服务器）

5.2.3二级单位域名命名规则

“二级单位名称拼音第一字母”+“下属单位名称拼音第一字母"，没有可以忽

略。

举例：“Ihyths”（辽河油田公司的域）

“dgytjt”（大港油田集团的域）

5.2.4三级单位组命名规则

根据各个单位名称，以中文的方式创建一个大组，此组表示此单位的第一个管

理单元，各个单位根据实际需求，可在这个管理单元下创建组织结构。

5.2.5数据库规则

•SOL,Server用户名统一，其初始密码统一

•SPM数据库配置中创建SEM5数据库的初始密码统一

16

•SPM配置中的数据库库数据根路径统一

5.2.6SPM服务器密码规则

•SPM预共享密钥统一

•SPM二级单位管理员初始密码统一

5.2.7Enforcer服务器组命名规则

“二级单位名称拼音第一字母”+“下属单位名称第一字母”+“服务器组类型”

+“服务器数量编号”，没有可以忽略。

•LG代表LANEnforcer服务器组，GG代表GatewayEnforcer服务器组

•GG1代表该站点第一个GatewayEnforcer服务器组，GG2代表该站点第二

个GatewayEnforcer服务器组，如此类推

5.3部署配置建议

5.3.1服务器硬件参考

策略服务器硬件及操作系统需求列表

表5-1策略服务器硬件及操作系统需求列表

Table5-1PolicyServerhardwareandoperatingsystem

requirementslist

分类SPM（1台）LanEnforcer（2台）

Process两颗IntelXeon3.0IntelXeon2GHzX1

GHZor

Faster

L2Cache2MB2MB

Memory2Gorhigher2Gorhigher

HDDInterfaceSCSI320orfasterSATAORSCSI

HDDSize5x73G1X73G

HDD容错RAID5

NIC100/1000NIC两块10/100/1000NIC（建议使用INTEL千兆网卡）

OSMicrosoftRedHatEnterpriseLinux

Windows2003版本3Update4（内核版

Server本2.4.21-27.EL）

计算机端点准入系统研究

Recommended32-bitEdition32-bitEdition

Platform

DATABASESQLSERVER

2000(SP4)

5.3.2LANEnforcer交换机配置参考

步骤1：配置交换机主机名

#hostnameSwitch

Switch

其中switch为交换机主机名

步骤2：配置交换机IP地址

Switch#configureterminal

Switch(config)#interfaceVlanl

Switch(config)#ipaddress10.76.88.11.255.255.255.0

其中10.76.88.11为交换机IP地址,255.255.255.0为子网掩码

步骤3：

Switch(config)#aaanew-model

Switch(config)#aaaauthenticationdotlxdefaultgroupradius

Switch(config)#aaaauthorizationnetworkdefaultgroupradius

步骤5：配置radius服务器

Switch(config)#Radius-serverhost10.76.88.12auth-port1812acct-port1813key

petrochina

Switch(config)#radius-serverretransmit3

其中10.76.88.12为LANEnforcer的IP地址

步骤6：在全局开启802.1X

Switch(config)#dotlxsystem-auth-control

步骤7：

Switch(config)#interfaceFastEtherentO/1

18

Switch(config-if)#switchportmodeaccess

Switch(config-if)#dotlxtimeoutreauth-period30

Switch(config-if)#dotlxreauthentication

步骤8：在接口模式下开启dotlx

Switch(config-if)#dotlxport-controlauto

5.3.3H3C3600配置

步骤1：配置交换机主机名

[Quidway]sysnameH3C

[H3C]

其中H3C为交换机主机名

步骤2：配置交换机IP地址

[H3C]interfaceVlan-interfacel

[H3C-vlan-interface]ipaddress10.120.11.200.255.255.255.0

其中10.120.11.200为交换机IP地址255.255.255.0为子网掩码

步骤3：配置交换机网关

[H3C]iproute-static0.0.0.00.0.0.010.120.11.254perference60

其中10.120.11.254为交换机网关

步骤3配置radius服务器

[H3C]radiusschemetest

[H3C-radius-test]server-typestandard

[H3C-radius-test]primaryauthentication10.120.11.21

[H3C-radius-test]accoutingoptional

(H3C-radius-test]keyauthenticationpetrochina

[H3C-radius-test]timerresponse-timeout10

[H3C-radius-test]retryrealtime-formataccounting255

fH3C-radius-test]user-name-formatwithout-domain

其中10.12022.21为LANEnforcer的IP地址

计算机端点准入系统研究

步骤5：应用radius服务器

[H3C]domainsystem

[H3C-sip-H3C]schemeradiusradius-schemetest

步骤6：在全局开启802.1X

[H3C]dotlx

[H3C]dotlxtimerreauth-period60

[H3C]dotlxauthentication-methodeap

[H3C]ucdoirf-fabricauthentication-mode

步骤7：在接口模式配置dotlx参数

[H3C]interfaceEthrtnet1/0/2

[H3C-ethernetl/0/2]dotlxpro-methodportbased

[H3C-ethernet1/0/2]Dotixversion-check

[H3C-ethernetl/0/2]dotlxre-authenticate

步骤8：在接口模式下开启dotlx

[H3C-Ethernetl/0/2]dotlx

5.3.4客户端配置参考

表5-2客户端配置参考

Table5-2Clientconfigurationreference

分类

processPentiumIII700MHzorfaster

L2Cache

Memoey512Morhigher

HDDSATAORSCSIORSASORIDE

Interface

20

HDDSize至少40M剩余硬盘空间

块以太网网卡

NIC1

Windows2000professional(thoughSP4)

OS

Windows2000Server,advancedserverDatacenterserver(though

SP4)

WindowsXPHomeEditionorprofessional(thoughSP2)

WindowsVistaUltimate,32-bitversion

WindowsServer2003StandardopEnterprise(thoughSP1)

5.4策略服务器的安装配置

5.4.1SPM站点安装

1.放入安装光盘进入安装目录，双击SEYUP.EXE。根据提示点击下一步。

2.接受协议条款，选择“是"按钮

3.点击“浏览”选择SPM安装路径，SPM安装路径被设定为"D:\Program

Film\SymantecPolicyManager'5目录，点击下--步

4.创建SymantecPolicyManager程序文件，点击下一步

5.安装SPM,安装完成弹出信息，提示重新启动系统

6.选择“是，立即重新启动计算机“，重启计算机后才能惊醒SPM的数据库

的配置工作

5.4.2SPM站点配置

1.安装完SPM冲击电脑后会自动弹出SPM服务器配置想到界面，点击下一

步

2.输入相应的本机机器名和SPM之间使用的端口，SPM服务器数据根安装路

径，然后点击下一步

3.由于我们要生成新的数据库，所以应当生成一个新的站点，进入下一步

4.此时见面中看到的站点名就是新的站点的名称，管理员可以根据需要修改。

安装好之后是不能在改动了（此处需要注意，站点名称设置时把名称前面的

SITE删除），然后点击下一步

计算机端点准入系统研究

图5-1

Figure5-1

5.输入总部的站点服务器(输入主机名或者IP地址都可以，建议输入IP地址),

SPM使用的端口号，SPM服务器登录帐号和密码，此处注意：输入的是总

部站点SPM的登录名和密码

6.在分站点我们选择MSSOLServer作为数据库，进入下一步

7.创建一个新的数据库

8.接着输入新建MSSQLServer数据库用户名、密码和数据保存路径，这里数

据库根路径建议设为硬盘剩余空间最大的非系统盘

9.如果一切顺利，复制站点的SPM就成功安装好了门如果服务器开启了

WINDOWS防火墙会在初始化数据库时弹出WINDOWS安全警报窗口，选

择解除阻止

10.输入SPM总站点的用户名和密码，登陆SPM分站点服务器。

5.4.3建立二级分站点大组和组的管理员

1.建立二级分站大组

(1)、以ADMIN账号登陆SPM策略管理器，进入“策略”菜单，看到

有以个GLOBAL树，选中GLOBAL,点击右键，选择添加组

22

图5-2

Figure5-2

(2)、在弹出的窗口输入要创建的组的名称，二级分站点大组创建完成

(3)、这个大组可以选择接受/不接受父组管理，这里选择不接受父组管

理，方法是把“使用与父组相同的策略”前面的勾去掉

图5-3

Figure5-3

2.建立二级分站点大组的管理员并分配权限

(1)、登陆SPM策略管理服务器，进入“管理员”菜单，在“所以与

计算机端点准入系统研究

下有一个"SYSTEM”域，选中该域，点击右键，选择"添加管理员“，此处

要创建的为二级分站点的组的管理员。

QMimaEL

QmrjB

QlUt&X

图5-4

Figure5-4

(2)、在弹出窗口输入管理员名称、全名以及密码

(3)、选中新创建的管理员，点击''编辑属性”

(4)、在管理员属性界面里，选择“访问权限”菜单，选择二级分站的

大组管理员所具有的权限，勾上代表有管理其组的权限，反之则不具有，然

24

(5)、注销策略服务器，重新登录，用户名和密码输入刚创建的大组管理

员名称及密码，域输入“SYSTEM”，然后点击登陆

5.4.4建立二级分站组织架构

1.使用二级分站大组管理员账号登陆SPM测力额服务器。进入“策略”菜

单

2.选择建立的二级分站名称，点击右键，选择“添加组”

图5-6

Figure5-6

3.在弹出的窗口输入组名称，然后确定

4.我们看到二级分站下属部门的一个组创建完成，此下属部门的组默认是继

承他的父组“二级分站”组的策略。我们可以勾选“使用域父组相同的策略”

选项来选择它是否继承父组的策略

5.按照二级分站组织架构继续创建全部的组

5.4.5生成客户端安装包

1.使用二级分站大组管理员账号登陆SPM策略服务器。选择“客户端管理

器”菜单中的“当前软件包”，可以看到右侧有一系列的软件包，我们选中

uSYMANTECPROTECTIONV5l.XXXX”,然后点击“导出软件包”

计算机端点准入系统研究

图5-7

Figure5-7

2.在弹出窗口中输入安装包导出的目录，”为此软件包创建单个.EXE文件”

中选择要为那个组生成客户端安装包，“确定”开始生成安装包

图5-8

Figure5-8

26

图5-9

Figure5-9

3.完成后会弹出“已成功完成”的界面，安装完成。

计算机端点准入系统研究

28

6SEP常见问题及解决办法

1安装前注意事项

a、使用360安全卫士或Windows清理助手清理木马。

b、运行冲突检测程序，注意提示信息，卸载对话框提示的软件，并重启计算机。

c、对不符合要求的软件进行卸载：

卸载所有非诺顿防病毒软件（如：nod32、卡巴斯基、瑞星、江民、Macfee>

趋势等等），卸载完毕后重启计算机；

卸载所有防火墙（如：天网防火墙、杀毒软件自带防火墙等等），卸载完毕

重启计算机；

卸载其他冲突软件（如：魔法兔子、优化大师等等），卸载完毕重启计算机。

d、将诺顿升级至10.1.4.400（低于版本10.1.4.400的诺顿,下载新诺顿客户端,

覆盖安装即可）。

e、先安装SAV、SMS,最后安装SPA。

2、SMS客户端服务不能自动启动

现象：在安装完SMS、SPA后，SPA总是提示安装SMS软件，经检查发现SMS

服务需要手动启动，重起机器后也需要手动启动SMS。

解决方法1：修改注册表键值：HKEY_LOCAL_MACHINE-SYSTEM-

CurrentControlSetfconotrol-*SessionManagerEnvironmentf新建f可扩充字

符串值一复制Path的数据值，粘贴到新建可扩充字符串值一删除原Path字符串

值一把新建值改名为Path-重起机器。

计算机端点准入系统研究

(;；注珊表端儡ar

帮

文静9却S&)查看9收点英Q)

«1林L

+_jScsiPort芟型

Jlf笨

♦L_jS«cw«Pip«S«rv«rt-MG_SZ微值未设置)

川c

♦LJStcarilyProvidtriKEG_HPM_SZ%Syst«*Root%\z)rst«»32\c»d.«x«

ServerApplications闽H"

UG.SZNO

S«rvic,Curr«nt西f

iLB2G_SZ2

口S«rvic«GroupOrderK

闽uW»ndows_NT

t口ServiceProviderp-________

身KSyitMRoot*\syit«a32;SSyit«aRootX.XSyBt«nR

--JS«$sionManther

口AppCompatibility则COB;EXE.BATCMD.VBS..VBE;JS;JSE.fSF

字符串值⑸

士CjAppPttches四x86

二进制值@)

LJDOSDevices川x86Faaily6Hodtl15Stepping6,G*buib«Ibt«l

—值

」EnviromantDVOBDQ)6

—

」Extevtiv«.ia多字符串值尊)0£06

：

__|FildLenaaeOperationsia可扩充字符申值R)XSyste^ootX\TEMP

：

Ok"n・laRIG.nPWiD.SZ»yit«*Root*\TEBP

口KnovaDLLs，BIGnPAHD_SZXSystcaKoot*

♦_Jl«aoryManyenentsl

匚JPo*«r

Osrc

±OSul>Syst«as

(_JS«tup

♦口

5^9电场\HKBYDDCALiACMIUE\STSTEI\CnrrentControlSet\ControlASessionBanagerVEaviroruient

图6-1

Figure6-1

图6-2

Figure6-2

解决方法2：

30

运行团同

①、单击“开始”，单击“运行”，.E谙键入程序、文件夹、文档或Internet资源的名

i—J痂，Windows将为您打开它・

键入类型sysdm.cpl,然后单击“确定”。

打开@）：jsysdmcpll