Controller_V100R001C00SPC100_终端安全管理培训.ppt

1、修订记录,本页不打印,1、xxx,华为Agile Controller终端安全管理部署,前言,企业网络中存在大量的PC终端，企业虽然部署了杀毒软件和安全设备，但是依然可能存在很多安全问题，例如终端操作系统的漏洞、随意使用软件导致恶意软件入侵、终端管控不严导致的信息资产泄漏等。为了解决这些问题，华为Agile Controller产品推出了终端安全管理相关的特性。 本课程介绍Agile Controller产品终端安全特性的部署和配置。,目标,学完本课程后，您将能够: 了解Agile Controller终端安全特性的应用场景 了解Agile Controller终端安全特性的功能实现 掌握Ag

2、ile Controller终端安全特性配置部署方法 掌握Agile Controller终端安全特性故障处理方法,目录,Agile Controller终端安全特性应用场景 Agile Controller终端安全特性功能实现 Agile Controller终端安全特性配置部署 Agile Controller终端安全特性故障处理,终端安全管理业界现状和发展趋势,I ：2001年以前，终端安全主要依赖于防病毒、反间谍软件技术，随着技术变化和安全威胁的花样翻新，终端安全事件屡屡发生，导致了用户对防病毒软件的不信任，以至于引发了防病毒软件是否卖“过期药”的激烈讨论。 II ：2001年到200

3、9年，终端安全由简单的病毒防护，发展到以准入控制、终端安全、行为管控的一体化解决方案 III. 2009年以后，随着移动办公用户的快速增长，终端安全管理的范畴由传统PC机的管理扩展到智能终端以及各种IP设备的泛终端统一管理，终端安全的管理方针由以前的事件驱动发展为主动防御、综合防范、强化体验。,泛终端安全&终端体验管理,终端病毒防护,一体化终端安全,全球企业终端安全发展成熟度,III. 2009-,II. 2001-2009,I：2001年前,当前阶段,泛终端 各种类型终端统一管理 物理+虚拟统一管理,终端安全管理4大发展趋势,全功能 准入控制+安全管理 被动防御+主动控制,平台化 全网联动协

4、同 开放集成能力,个性化 桌面管家应用 桌面用户服务,特点-通过终端安全检查确保终端安全合规,安检不通过 禁止接入网络,安检通过 授权接入网络,产生违规接入记录,严 格,宽 松,安全检查策略模板,检查防病毒软件 检查补丁/ Service Pack 检查可疑注册项/进程 检查软件黑白名单 检查非法端口使用 检查开启不安全服务 检查非法共享 检查账号安全性 强制DHCP 检查同时使用多网卡 用户接入IP/MAC绑定,安全检查策略模板,检查防病毒软件 检查补丁,认证后域,认证后域,Controller,Controller,保护AV等安全产品的投资价值 减少恶意代码传播，提升资源可用性，减少服务中

5、断风险 减少信息泄密风险 降低终端威胁网络的风险 提供准确实时的企业遵从信息,丰富的安全检查策略,针对不同的用户角色或部门定义不同安全规则 支持企业安全管理制度的演进,基于角色的动态策略控制,特点-一键修复，降低终端管理维护成本,安全检查,修复完毕， 授权接入网络,认证后域,一键式自动修复,自动部署指定版本的防病毒软件 防病毒软件强联动，自动更新病毒库 自动修复补丁 根据链接指导安装指定软件 注册表键值自动修复 屏保设置自动修复 共享目录自动删除,安检不通过禁止接入网络,检查防病毒软件 检查补丁/ Service Pack 检查可疑注册项/进程 检查软件黑白名单 检查非法端口使用 检查开启不安

6、全服务 检查非法共享 检查账号安全性 ,一键式智能自动修复，实现终端自我管理,降低管理成本,特点-桌面安全标准化、降低病毒感染风险,丰富的行为管理手段，促进企业桌面标准化,控制非办公软件使用,控制各类 IM、炒股、网游、媒体下载,要求：MS Office 2003(SP3 or later), 2007,要求 Adobe Reader 6.0，7.0，8.0,控制非法的web访问,要求：特定时间段，不允许访问xx站点如新闻网站,要求：禁止通过Proxy进行上网,要求：上班时间禁止访问互联网,只允许安装标准软件，实现桌面办公标准化,控制非法的web访问，提高工作效率,禁止非标软件的安装，降低病毒

7、感染风险,特点-终端外设管理和行为监控,设置禁用和启用外设接口，如果禁用场景下，使用这些受控设备，Controller代理将会记录终端用户使用这些受控设备的行为并上报 设置是否禁用USB移动存储设备，对移动存储设备中的文件可进行加密或只读控制功能,监视终端用户在终端主机的本地硬盘进行的文件操作（需要指定文件类型）。 监视的文件操作包括： 创建文件 复制文件 编辑文件 重命名文件 删除文件,外设接口管理,文件操作审计,控制各种非法外联行为,Printer,串口/并口,蓝牙,红外,MMC卡,SD卡,各类Flash Disk,数码相机,USB,管理员配置策略并下发,终端按照策略监控指定操作,Mode

8、m拨号,ADSL拨号,VPN拨号,非法Proxy服务器,ISDN拨号,同时使用内外网,监控终端主机是否非法连入互联网。可提供阻断与违规代理服务器或网络的连接，并上报 可监控Windows自带网络连接拨号程序建立的拨号连接状态,目录,Agile Controller终端安全特性应用场景 Agile Controller终端安全特性功能实现 Agile Controller终端安全特性配置部署 Agile Controller终端安全特性故障处理,终端安全技术架构,1.通过MC管理中心可以集中配置和分发策略到下级终端安全管理服务器 2.终端安全客户端按照分配的安全策略对终端进行检查，检查通过后服务

9、器可以通知准入控制设备给终端开放网络权限，如果检查不通过，可以对终端进行隔离修复,多级管理模型,安全策略与准入控制联动流程,主要内容： 与硬件SACG联动流程 与802.1X联动流程 与PORTAL交换机联动流程,联动流程-硬件SACG,1. 上线流程示意图,联动流程-硬件SACG,上线流程说明 1）第一步： 建立SSL通道，保护通信 2）第二步： 身份认证，验证用户合法性 3）第三步： 更新安全策略参数 终端使用新的策略参数进行安全检查 4）第四步： 终端上报安全检查结果 根据结果配置结果以及安全检查结果，判断进入认证后域或者隔离域，给FW下发上线消息，消息携带认证后域/隔离域参数 当从FW

10、接收到上线成功的消息，则通知终端认证通过或者被隔离。,联动流程-硬件SACG,1. 切换域流程示意图（以隔离域后域举例） 终端位于隔离域终端用户点击修复(假设违规可以自动修复)修复后自动进入后域,联动流程-硬件SACG,SACG准入控制切换流程说明 如下几种情况会触发切换操作： 1）处于隔离状态，终端用户点击修复操作（完成严重违规的修复） 2）处理隔离状态，终端用户手工进行修复，然后点击重新检查操作 3）处于隔离状态，终端用户手工进行修复，然后点击注销，再点击认证操作 4）处于隔离状态，Agile Controller AGENT从服务器下载了新的策略参数，重新执行安全检查后严重违规消除 5）

11、处于认证后域状态， Agile Controller AGENT周期检查终端的安全状态需要被隔离,联动流程-802.1X交换机,802.1X准入控制流程比较复杂，涉及如下几个问题： 1. 802.1X认证通过前，可能无法连接网络（1X端口被关闭） 这会导致： 终端代理在认证通过前，无法与Agile Controller服务器通信，更新安全策略 终端802.1X认证通过前进行安全检查的参数是本地参数，可能与服务器不一致，在认证通过后重新连接服务器后，需要更新参数 当更新参数后，使用新的参数进行安全检查时，安全检查的结果可能会发生变化，需要调整终端的隔离域/认证后域状态 2. 如果采用动态VLAN

12、模式，隔离域/认证后域将划分在不同的VLAN上 由于不同的VLAN使用不同的IP地址，这要求： 网络中需要使用DHCP获取IP地址 每次认证通过后，都需要重新获取IP地址，以便在正确的VLAN中正常使用网络 3. 如果终端加入了AD域 在终端没有通过802.1X认证前，无法与AD服务器通信，终端只能离线认证,联动流程-802.1X交换机,802.1X准入控制流程包括两个阶段的认证： 1. 802.1X认证 2. Agile Controller AgentT与服务器认证 为什么要俩阶段认证： 1. 802.1X 是一个相对独立的认证流程，在没有认证前Agile Controller AGNET

13、与服务器无法通信 2. 802.1X认证后， Agile Controller AGNET需要与服务器通信，更新策略，开展其他业务 3. 从灵活的角度看，甚至还有可能在802.1X下，某些重要的资源前部署SACG 总结：考虑到后续业务流程的，把802.1X做成一个相对独立的业务，1X认证后再做一个通用的认证流程,联动流程-802.1X交换机,基本业务流程,联动流程-802.1X交换机,有线802.1X基本认证流程说明 第一阶段的安全检查结果与第二阶段的安全检查结果一致-安全认证通过/被隔离 1. 终端Agile Controller AGENT通过发送EAPOL-START，触发交换机发起1X

14、认证流程 2. 交换机发送EAP-Request/Identity，开始1X的认证流程 3. Agile Controller AGENT发送EAP-Response/Identity消息，该消息携带终端的账号信息 4. 交换机收到EAP-Response/Identity消息，把该消息封装成Radius报文，发送给Agile Controller服务器（ Agile Controller服务器提供Radius服务） 5. Agile Controller服务器决定使用MD5的方式进行认证，使用Radius协议封装EAP-Request/MD5-Challenge消息，发送给交换机； 6. 交

15、换机转发EAP-Request/MD5-Challenge给终端Agile Controller AGENT 7. Agile Controller AGENT计算MD5值，根据离线策略做安全检查，把MD5值和安全检查结果，通过EAP-Response/MD5，发送给交换机 8. 交换机通过Radius封装，转发EAP-Response/MD5,联动流程-802.1X交换机,有线802.1X基本认证流程说明-续 9. TSM服务器收到该EAP-Response/MD5后，首先检查身份是否OK，然后检查安全检查结果，根据安全检查结果/以及系统配置，决定是否发送VLAN参数 关于身份认证的说明：

16、1）普通账号认证，则从数据库获取该账号的口令，进行身份校验 2）LDAP/AD账号认证：检查该账号是否存在，账号存在则先认证通过 3）证书认证：当前不支持证书认证 10. 当Agile Controller安全代理收到EAP-SUCCESS的消息，确认802.1X认证通过 这时候Agile Controller AGENT会检查终端的IP地址获取方式，如果是使用DHCP获取IP地址，则触发获取IP地址。 到此：第一阶段的认证完成，开始第二阶段的认证流程 第二阶段的认证流程与普通SACG的认证流程一致。 如果在第二阶段，发现身份验证失败，则Agile Controller AGENT会注销802

17、.1X，关闭端口。,联动流程-802.1X交换机,有线802.1X认证切换流程说明 基于802.1X的业务特点，当需要从隔离域切换认证后域，或者需要从认证后域切换隔离域的时候，都需要关闭1X的端口，重新走一次1X的认证流程。 如下几种情况会触发切换操作： 1）处于隔离状态，终端用户点击修复操作（完成严重违规的修复） 2）处理隔离状态，终端用户手工进行修复，然后点击重新检查操作 3）处于隔离状态，终端用户手工进行修复，然后点击注销，再点击认证操作 4）处于隔离状态， Agile Controller AGENT从服务器下载了新的策略参数，重新执行安全检查后严重违规消除 5）处于认证后域状态， A

18、gile Controller AGENT周期检查终端的安全状态需要被隔离,联动流程-PORTAL认证流程,基本业务流程,联动流程-PORTAL认证流程,基本认证流程说明 1. Agile Controller安全代理/WEB AGENT/WEB认证客户端与SC服务器完整认证流程； 2. SC服务器根据终端所在的IP地址，查找到对应的PORTAL接入设备，并且给该设备发送PORTAL上线消息（如果查询发现有多个PORTAL接入设备，则发送多个PORTAL上线消息），消息中携带终端的安全检查结果和终端的账号信息； 3. 交换机收到PORTAL上线消息，构造RADIUS认证请求报文，发送给RADI

19、US服务器（RADIUS服务器可能与SC是同一个服务器，也可能不是同一个，取决于配置），消息中携带终端的安全检查结果和终端的账号信息； 4. RADIUS认证成功，根据账号，以及安全检查的结果，给交换机下发RADIUS ACCEPT的消息，并且在消息中携带ACL规则； 5. 交换机收到RADIUS ACCEPT后，给PORTAL服务器发送应答消息，告知认证成功； 6. PORTAL服务器通知终端认证通过。,联动流程-PORTAL认证流程,隔离域/认证后域切换流程,联动流程-PORTAL认证流程,隔离域/认证后域切换流程说明 1. 假设终端已经进行了安全认证，并且因为终端的某些原因，导致终端被隔

20、离； 2. 终端用户执行修复操作； 3. 修复完成后， Agile Controller安全代理给SC服务器发送安全认证消息，请求进入认证后域； 4. SC服务器构造PORTAL上线请求消息，发送给交换机； 5. 交换机应答，告知该用户已经在线； 6. PORTAL服务器给交换机下发一个COA消息（需要在交换机上配置COA服务器，把所有的SC服务器都加入到COA服务器中）； 7. 交换机处理该COA消息成功，返回一个应答OK； 8. SC服务器通知终端代理，终端上线OK。,目录,Agile Controller终端安全特性应用场景 Agile Controller终端安全特性功能实现 Agil

21、e Controller终端安全特性配置部署 Agile Controller终端安全特性故障处理,定制终端安全客户端安装包,Agile Controller终端安全特性只有在全功能版的客户端中才具有，通过发布包中的客户端定制向导可以定制出全功能版的安全客户端，如下：,终端安全客户端安全检查结果展示,Agile Controller终端安全客户端的安全检查界面如下，客户端可以按照终端用户配置的策略模版进行安全策略的检查，将检查结果按照不安全项和安全项分别进行展示，并可以查看每一条不安全检查结果的详细内容：,安全策略简介-策略分类,Agile Controller安全策略分类：,检查类策略： 检

22、查类策略主要用于检查终端的一些静态设置，例如屏保是否设置、防病毒软件是否安装、软件是否安装等 监控类策略： 监控类策略主要用于实时监测系统发生的事件，如是否开启/关闭了某个进程，是否使用PPPOE拨号接入网络等，一旦监测到事件发生，可以采取一些控制 用户自定义策略： R2C07后版本提供了一个用户自定义策略的工具，用户可以利用该工具，编辑一些检查的检查项，满足简单的安全管理需求,安全检查策略,安全监控策略,安全策略简介-上传策略,1. 系统初始化向导说明： 安装完SM服务器，登录管理界面的时候，会提示用户使用初始化配置向导。 请注意：“下次不再提示”，勾选后，可以在 策略-终端管理-安全策略-

23、策略上传菜单下，上传策略包。,安全策略简介-上传策略,1. 上传License文件： 如果没有商用License文件，可以申请临时License文件,安全策略简介-上传策略,3. 上传策略包： 从发布光碟中获取：Policy Package.zip 上传该策略包文件,安全策略简介-上传策略,系统配置向导完成 1. 请注意：两个绿色的勾 2. 请注意：系统配置向导已经完成，勾选“下次不再提示”,安全策略简介-定义场所,1. 场所的概念： 场所用于定义当前终端所处的位置 应用场景： 当终端处于不同的场所的时候，会面临不同的安全问题，需要制定有针对性的安全策略。在安全性高的环境，可以定义比较宽松的安

24、全策略，在安全性比较差的环境，可以定义比较严格的安全策略。例如在公司内部进行办公相关业务的时候，这时候通常应该开放文件共享业务，让用户能够自由的交换文件。 2. 定义场所 场所只能通过上传的方式进行定义。现阶段初始的配置文件，可以从维护组获取。,安全策略-定义场所,3. 场所定义条件： 终端PC的IP地址 终端PC的网关地址 终端PC使用指定的DNS服务器 终端PC使用VPN网卡 终端PC在线离线状态 终端PC能否连通指定的IP地址/端口 场所识别条件可以进行OR AND 任意组合，形成一个场所的判断条件,安全策略-定义场所,4. 场所定义举例： 某个公司定义了三个场所： 1）办公场所： 终端

25、IP地址范围在/8，IP地址范围在/8、/8，则终端属于办公场所 2）VPN接入场所： 终端使用VPN接入网络，并且终端的网关地址(VPN网关)范围在/24，则终端属于VPN接入场所 3）其他场所： 不满足条件1）和条件2），则属于其他场所,安全策略-编辑和分配策略,1. 创建策略模板 给部门/账号/网络区域分配安全策略规则的时候，以策略模板为一个整体，进行分配和管理,安全策略-编辑和分配策略,策略模板参数说明： 1. 名称：给策略模板起一个好记的名称 名称最好有意义，例如研发区策略模板，非研发区策略模板；或者公共策略模板

26、，特定部门模板1，特定部门模板2 2. 描述： 给策略模板填写足够的描述，可以详细描写该策略模板的应用范围，例如特定部门模板1，推荐在描述部分说明哪些部门使用了该模板。 3. 父模板： 应用场景：公司有一个或者多个基准的安全策略，部门可以在公司策略的基础上，使用更多的策略。 可以把公司的策略定义为父模板，部门在继承公司策略的基础上，编辑部门的策略。 由于技术上的限制，只能做到： 如果父模板定义了策略A，那么子模板只能使用策略A，不允许在A的规则的基础上，新增规则。也就是说，这种继承是以策略为单位，不能以策略的规则为单位进行继承。,安全策略-编辑和分配策略,2. 选择策略并且编辑策略参数 当要启

27、用某个策略的时候，点击绿色箭头，再点击旁边的“齿轮”符号，开始编辑策略,安全策略-编辑和分配策略,3. 分配策略 点击“模板分配”，然后选择该策略模板使用的场所、选择使用该策略模板的部门/账号/网络区域 为了简化配置：一个策略模板只能分配给一个场所,安全策略支持的操作系统,Agile Controller的安全策略中每一种策略支持的操作系统是不一样的，有些策略只支持Windows系统，有些支持Linux系统。 策略模板中操作列可以看出来哪些策略是支持Linux的。 如果一个策略支持Windows和Linux，也有可能策略配置存在一些差异，主要原因是不同的操作系统下支持的程度可能有差异。,安全策

28、略配置-提纲,主要内容： 检查类策略详细配置说明 监控类策略详细配置说明,检查类策略-安全策略公共参数说明,以屏保策略为例说明,检查类策略-安全策略公共参数说明,1. 在终端显示策略检查结果 如果勾选，则安全检查的结果会在Agile Controller代理/WebAgent的界面上显示 如果不勾选，不管终端是否违规，都不会显示 2. 上报违规信息 终端产生的违规信息，需要上报到服务器（只有上报到服务器才能查看报表） 3. 离线运行 当Agile Controller AGENT没有连接服务器的时候，策略保持运行。 勾选该选项后，代理一启动，策略就保持运行。 4. 出现严重违规禁止接入网络 是

29、否与准入控制联动，如果不勾选该选项，即使把违规级别定义为严重，终端严重违规也不会进入隔离域。 5. 检查周期 策略执行的周期，例如每60分钟执行一次检查，该值可以配置，最小值=5分钟 6. 启用自动修复 提供该选项原因：虽然系统提供自动修复，但是某些违规不一定适合使用自动修复,检查类策略-安全策略公共参数说明,7. 修复建议 当终端出现违规的时候，在Agile Controller AGENT、WebAgent显示的修复建议信息 包含一段文字描述，一个URL链接 支持配置中文/英文修复建议，终端根据Agile Controller AGENT、WebAgent的语言类型，自动选择修复建议显示的

30、语言,检查类策略-检查屏保设置,检查屏保设置目的： 启用屏保，能够保证用户离开终端的几分钟内，就可以锁定计算机，防止计算机被其他人滥用。 屏保的功能虽然简单，但是该功能很重要。 检查的内容： 1）检查终端是否启用屏保功能 2）屏保是否启用密码保护 3）启动屏保的时间 提供自动修复功能： 修复的效果：设置终端启用屏保，并且设置屏保的时间=配置的时间，屏保恢复的时候需要输入密码 操作系统说明： 此策略支持Windows和Linux操作系统。,检查类策略-检查屏保设置,检查类策略-检查注册表设置,检查注册表设置目的： 启用检查注册表配置策略是检查注册表的重要子键与键值是否符合要求。如果注册表不包含该

31、策略强制要求的“子键与键值”，或者包含该策略禁止存在的“子键与键值”，则该策略的检查结果为违规。 通过该策略可以检查终点系统安装的软件或者设置的组策略是否符合要求。例如：可以通过该策略检查终端是否启用了Windows 防火墙。 检查的内容： 1）支持多种键值检查类型，包括键值须存在，键值须不存在，键须存在，键须不存在。 2）支持多种键值类型，包括REG_SZ(字符串值)，REG_DWORD(DWORD值) 提供自动修复功能： 修复的效果：在指定的键值路径下设置或者删除键值，或者修改键值为要求的数值。,检查类策略-检查注册表,检查类策略-检查防病毒软件,检查防病毒软件目的： 安装杀毒软件，杀毒软

32、件正常运行，以及杀毒软件的病毒库正常更新，是终端安全的重要保证。 检查的内容： 1）检查终端是否已经安装了指定的杀毒软件(一个企业可以指定多个可以使用的杀毒软件) 2）检查杀毒软件是否已经运行 3）检查杀毒软件的病毒库是否更新 4）检查杀毒软件的是否需要升级（版本是否是最新的） 提供手工修复功能： 对江民、金山的企业版杀毒软件供防病毒软件的强联动功能：自动更新病毒库；支持认证后启动杀毒功能，能够定义启动后扫描病毒的路径，包括内存/系统目录，以及自定义的路径等，当终端存在无法查杀的病毒时，与接入控制设备联动对终端进行隔离；,检查类策略-检查防病毒软件,检查类策略-检查防病毒软件,安全策略-检查打

33、印机共享,检查打印机共享目的： 检查安装在本地的打印机是否共享给其他人使用 检查终端是否开启打印机共享，以及是否限制共享权限 检查的内容： 是否开启打印机共享 检查打印权限共享给哪些账号 检查打印机共享的权限：打印、管理打印机、管理文档 提供自动修复功能： 自动修复的时将取消共享，或者删除指定账号的共享权限。,安全策略-检查打印机共享,安全策略-检查端口,检查端口的目的： 通过检查主机侦听的端口，判断主机是否安装了什么软件，例如通过该功能，可以检查主机是否开启DHCP服务 功能说明： 可以只检查侦听端口，也可以检查所有端口，包括处于TIME_WAIT类的端口 周期对终端的端口进行检查，检查的周

34、期可以配置,安全策略-检查磁盘分区信息,检查磁盘分区信息的目的： 检查磁盘是否存在隐藏分区 检查是否有其他类型的分区，协助判断是否安装了LINUX等其他类型的操作系统 局限性说明： 检查逻辑分区的时候，只能检查Windows能够识别的分区；,安全策略-检查账号安全,检查账号安全目的： 该策略检查终端主机的账户设置是否符合要求。如果终端用户账户密码存在配置的弱密码规则或者终端的密码策略不符合安全规则，则该策略的检查结果为违规。 检查账号安全的内容： 检查操作系统是否存在弱密码，采用密码本的方式，检查某个账号的密码是否为弱密码； 支持检查本地账号，以及在本机登录过，存在缓存信息的域账号（只要该域账

35、号没有被删除，可以离线登录的就可以检查） 检查本地密码策略 密码策略包括：密码长度最小值、密码最短存留期、密码最长存留期、复位账号锁定计数器、账户锁定时间、密码强度历史、账户锁定阈值、启用密码复杂度要求 关于启用密码复杂度的说明 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符:英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。,安全策略-检查账号安全,检查某个账号是否加入特定群组 本地的Administrators组不应该包含D

36、omain Admin，防止域管理员登录本机；本地的Users组不应该包含Domain Users，防止域用户登录本机。 提供自动修复功能： 检查账户密码策略提供自动修复功能。,安全策略-检查账号安全,安全策略-检查文件共享,检查文件共享目的： 检查终端是否设置文件夹共享给其他人使用。 检查终端设置的文件夹共享账号及权限是否符合安全规则。 检查的内容： 终端是否存在共享文件夹 终端共享文件夹给哪些账号 终端共享文件夹设置的权限：读权限/读者、写权限/参与者、完全控制/共有者 提供自动修复功能： 自动修复的时将取消终端所有共享文件夹设置，或者删除所有文件夹对指定账号的共享权限。 操作系统说明：

37、此策略支持Windows和Linux操作系统。,安全策略-检查文件共享,安全策略-检查系统冗余账号,检查系统冗余账号的目的： 检查终端的系统账号是否长时间未登录或者从未登录过，方便管理员对账号进行管理。 检查系统冗余账号的内容： -检查终端账号未登录超过冗余天数的账号。 -检查终端从未登录过的账号。,安全策略-检查软件黑白名单,检查软件黑白名单目的： 检查终端主机安装的软件是否满足要求。 检查软件黑白名单内容： 白名单模式，检查只能安装的软件：对于白名单中的软件，该软件属于必须安装类软件，而终端主机未安装该软件，则属于违规行为。对于白名单中的软件，该软件不属于必须安装类软件，而终端主机未安装该

38、软件，则不属于违规行为。 白名单+黑名单模式，检查必须安装的软件和禁止安装的软件：如果终端主机未安装白名单中的任意一款软件，则属于违规行为。如果终端主机已经安装黑名单中的任意一款软件，则属于违规行为。如果终端主机已经安装白名单中的所有软件，并且没有安装黑名单中的任意一款软件，则不属于违规行为。 操作系统说明： 此策略支持Windows和Linux操作系统。,安全策略-检查操作系统补丁,检查操作系统补丁目的： 该策略检查终端主机是否已经安装Microsoft Windows操作系统对应的补丁。确保终端主机不存在系统安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller

39、代理将记录该操作系统的相关信息，并上报至数据库，供管理员查阅。 检查操作系统补丁的内容： 根据补丁的级别检查终端PC是否安装了特定级别的补丁，补丁级别包括关键、严重、重要、一般、未知； 根据补丁列表检查终端PC是否安装了某个补丁； 提供自动修复功能： 提供例外补丁列表，允许某些补丁不检查，当存在冲突的时候，以例外补丁列表的要求为准；,安全策略-检查操作系统补丁,安全策略-检查操作系统补丁,安全策略-检查Office补丁,检查Office补丁目的： 该策略检查终端主机指定的Office版本是否安装对应的补丁程序，确保终端Office软件不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Ag

40、ile Controller代理将记录违规信息。 检查Office补丁内容： 检查终端是否安装指定版本的Office软件； 检查终端Office软件是否安装了对应的SP补丁； 注：只有终端安装了配置的Office版本且没有安装符合要求的SP补丁时TSM代理才记录违规信息；例如： Agile Controller服务器配置要求Office 2007必须安装SP1补丁，终端安装Office 2003 打SP3补丁终端不违规，终端安装Office 2007 打SP3补丁终端不违规，只有终端安装Office 2007 没有打补丁终端才违规。,安全策略-检查IE补丁,检查IE补丁目的： 该策略检查终端指

41、定的IE（Internet Explorer）版本是否安装对应的补丁程序，确保终端IE不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录违规信息。 检查IE补丁内容： 检查终端是否安装指定版本的IE浏览器； 检查终端IE浏览器是否安装了对应的SP补丁； 注：只有终端安装了配置的IE浏览器版本且没有安装符合要求的SP补丁时Agile Controller代理才记录违规信息；例如： Agile Controller服务器配置要求IE 8必须安装SP1补丁，终端安装IE 6打SP3补丁终端不违规，终端安装IE 8打SP3补丁终端不违规，只有终端安装IE

42、 8没有打补丁终端才违规。,安全策略-检查数据库补丁,检查数据库补丁目的： 该策略检查终端指定的Microsoft SQL Server（简称SQL Server）数据库版本是否安装对应的补丁程序，确保终端SQL Server数据库不存在安全漏洞。如果终端主机未安装对应版本的补丁程序， Agile Controller代理将记录违规信息。 检查数据库补丁内容： 检查终端是否安装指定版本的SQL Server数据库； 检查终端的SQL Server数据库是否安装了对应的SP补丁； 注：只有终端安装了配置的SQL Server数据库版本且没有安装符合要求的SP补丁时Agile Controller

43、代理才记录违规信息；例如： Agile Controller服务器配置要求SQL Server 2008 必须安装SP1补丁，终端安装SQL Server 2005打SP3补丁终端不违规，终端安装SQL Server 2008打SP3补丁终端不违规，只有终端安装SQL Server 2008没有打补丁终端才违规。,安全策略-监控DHCP设置,监控DHCP设置说明 检查终端是否使用DHCP获得IP地址 允许强制终端必须使用DHCP获得IP地址，并且不允许终端用户手工修改（把TCP/IP协议的”属性“按钮禁用） 提供选项： 检查所有的网卡； 仅检查连接SC控制服务器的网卡（离线的情况下，由于无法判

44、断哪个网卡连接服务器，在此选项情况下，不检查） 仅检查不连接SC控制服务器的网卡（离线的情况下，由于无法判断哪个网卡连接服务器，在此选项情况下，不检查） 缺陷： VISTA和Windows 7下，没有实现禁用配置IP属性的方法,安全策略-监控DHCP设置,安全策略-监控光驱,监控光驱说明： 把对光驱的控制，从外设管理，以及USB存储设备控制策略中抽取出来，用一个单独的策略进行管理，包括控制是否需要禁用光驱，是否禁止光驱刻录功能； 提供选项： 禁用刻录光驱的写功能，使用该功能终端主机能够从光驱设备读取信息，但终端刻录软件被禁止运行； 禁用所有光驱：该功能禁止终端所有光驱设备的使用，对例外光驱不进

45、行控制；,安全策略-监控非法外连,功能说明： 该策略监控终端主机是否能够通过非法途径连入互联网。当终端主机存在能够通过非法途径连入互联网的违规行为时，该策略提供阻断与违规代理服务器或网络的连接，并记录终端主机的违规信息。 提供选项： 允许终端主机通过所配置的合法路径（包括合法的代理服务器和路由）连接互联网。 该模式适用于允许终端主机访问互联网的场合。如果终端主机访问互联网的路径不符合要求，则终端主机存在违规。 禁止终端主机访问互联网。 该模式适用于禁止终端主机访问互联网的场合。如果终端主机能够访问互联网，则终端主机存在违规。 操作系统说明： 此策略支持Windows和Linux操作系统。,安全

46、策略-监控非法外连,安全策略-监控非法外连,安全策略-监控本地服务,功能说明： 该策略监控终端主机上Microsoft Windows服务的运行状况，通过配置策略参数强制启动或禁用某些Microsoft Windows服务，以便对通过Agile Controller代理接入的终端主机的本地服务进行监控。如果终端指定服务的启动类型或者服务状态不符合配置， Agile Controller代理将修改终端的指定服务的启动类型或者运行状态并记录违规信息。例如：通过该策略可以监控某些必要软件在终端的安装情况和运行情况。 监控规则：,安全策略-监控本地服务,安全策略-监控网络应用程序,功能说明： 该策略监

47、控终端主机的网络应用程序访问网络的情况。当终端用户运行需要访问网络的应用程序时， Agile Controller代理将决定是否允许该应用程序访问网络。 前置条件： Agile Controller代理安装包需定制安装主机防火墙，且安装Agile Controller代理后需要重启计算机确保Agile Controller主机防火墙生效。对64位系统Agile Controller代理还需要定制安装网络过滤驱动。 监控规则：,安全策略-监控网络应用程序,安全策略-监控网络连接,功能说明： 该策略监控Windows自带网络连接拨号程序建立的拨号连接状态和VPN连接状态。如果发现被管理员禁用的网络

48、连接处于激活状态则属于违规行为， Agile Controller代理将会记录上述网络连接的开始和结束的时间，并自动断开连接，防止终端用户非法连接Internet。 监控规则：,安全策略-监控网络连接,安全策略-监控访问站点,功能说明： 该策略监控终端用户访问网站的行为。当终端用户访问设定的网站时， Agile Controller代理将根据预先设置的控制动作决定是否允许终端用户继续访问该网站，并记录该站点的相关信息。违规信息将上报至数据库，供管理员查阅。 前置条件： Agile Controller安装包需定制安装主机防火墙，且安装Agile Controller代理后需要重启计算机确保Ag

49、ile Controller主机防火墙生效。对64位系统Agile Controller代理还需要定制安装网络过滤驱动。 监控规则：,安全策略-监控访问站点,安全策略-监控多网卡,功能说明： 该策略提供检查终端主机的网卡活动状态、禁用无线网卡、监视无线网卡功能。如果终端主机的多个活动网卡， Agile Controller代理将禁用不符合要求的网卡，记录违规信息。 提供选项： 禁用无线网卡：如果终端存在无线网卡，将被禁用并记录违规； 监视无线网卡：如果终端存在活动无线网卡，将记录无线网卡活动状态； 检查是否存在多个网卡处于连接状态：如果终端存在多个可用网卡Agile Controller代理将

50、记录违规。 该三个选项根据需要可以选择任意其中一个，也可以同时选择多个，但是禁用无线网卡和监视无线网卡不能同时选中。,安全策略-监控多网卡,安全策略-监控系统设备,功能说明： 该策略支持软驱/串口/并口/红外/1394/Modem/PCMCIA/蓝牙/SD/MMC卡/本地打印机等计算机外设的监控功能，支持配置禁止终端使用这些外部设备； 监控规则：,安全策略-监控系统设备,安全策略-监控网络流量,功能说明： 该策略监控并统计一段时间某协议（HTTP、IP、SMTP、POP3等）或者本终端主机某端口的访问流量。通过发现该终端主机的异常流量来判断终端主机是否存在安全隐患（如该主机感染蠕虫病毒）。流量

51、监控是指统计终端主机通过指定协议或指定端口接收和发送的报文大小的总和。如果终端主机包含多块网卡，则统计所有网卡的总流量。 缺陷： 该策略只支持Windows XP真实机，其他操作系统或者虚拟机不支持。 前置条件： 如果流量异常需要阻断网络，则Agile Controller代理需要定制主机防火墙功能且，安装Agile Controller代理后需要重启终端是Agile Controller防火墙生效。 流量统计规则：,安全策略-监控网络流量,安全策略-监视文件操作,功能说明： 该策略设置是否允许终端用户操作指定类型的文件（如“.doc”，“.bmp”）。在启用该策略的情况下，如果终端用户创建、

52、编辑、重新命名、修改、删除文件，TSM代理将会记录终端用户操作文件的行为，并记录违规信息。对临时目录下的文件操作将不进行监控。 缺陷： 在Microsoft Windows Vista和Microsoft Windows 7操作系统下该策略无法监控文件复制操作。 监控规则：,安全策略-监视文件操作,安全策略-监控进程,功能说明： 根据管理员配置的进程黑白名单检查终端主机运行的进程。如果发现终端主机运行黑名单中列出的进程，或者未运行白名单中列出的进程， Agile Controller代理将违规信息。对进程白名单可以配置接入控制功能。 说明： 无法监控隐藏进程（即通过Windows任务管理器无法

53、查看的进程）。 由于执行安全策略需要“system”、“smss.exe”、“csrss.exe”、“winlogon.exe”、“cmd.exe”、“tracert.exe”、“explorer.exe”、“services.exe”、“svchost.exe”、“lsass.exe”、“alg.exe”、“spoolsv.exe”12个进程的支持， Agile Controller不会对上述12个进程进行监控。 Agile Controller不会对自身进程进行监控。 前置条件： Agile Controller代理必须定制安装文件过滤驱动。 操作系统说明： 此策略支持Windows和Li

54、nux操作系统。 监控规则：,安全策略-监控进程,安全策略-监控IP访问,功能说明： 该策略是通过Agile Controller代理主机防火墙禁止或者限制终端使用某种网络协议（TCP、UDP、ICMP、NetBIOS）进行网络相关操作。 前置条件： Agile Controller代理必须定制了安装主机防火墙，且安装Agile Controller代理后必须重启计算机确保Agile Controller主机防火墙生效。 监控规则：,安全策略-监控IP访问,安全策略-监控屏幕拷贝,功能说明： 该策略提供禁止终端用户使用拷屏键的功能。如果终端用户使用“PrtSc”或“Alt+PrtSc”拷屏键截取屏幕， Agile Control