1、北信源內網平安管理系統用戶使用手冊北京北信源軟件股份支持信息在北信源內網平安管理系統使用過程中，如您有任何疑問都可以通過訪問我公司網站：vrv或者致電我司客服中心獲得幫助和支持！熱線支持：400-8188-110客戶效勞86/87在您使用該產品過程中，如果有好的意見或建議的話也請聯系我們的客服中心，感謝您對我公司產品的信任和支持！正文目錄第一章概述1特別說明1產品構架1應用構架3第二章北信源內網平安管理系統5策略中心5策略管理中心5網關接入認證配置26阻斷違規接入管理26補丁分發26數據查詢26本地注冊情況統計26本地設備資源統計27本地設備類型統計27USB標簽信

2、息查詢27設備信息查詢27審計數據查詢29分發數據查詢29非Windows操作系統設備29終端管理30終端管理30行為控制30遠程協助31運維監控31報表管理32報警管理32報警數據查詢33本地區域報警數據統計33本地報警數據匯總33級聯總控33級聯注冊情況統計33級聯設備資源統計33級聯設備類型統計34級聯管理控制34區域管理器狀態查詢35區域掃描器狀態查詢36級聯上報數據36級聯報警數據36系統維護36系統用戶分配與管理37用戶設置39數據重整40審計用戶40第三章北信源補丁及文件分發管理系統42區域管理器補丁管理設置42補丁下載配置42文件分發策略配置43策略中心43補丁分發策略43軟件

3、分發策略46其他策略47補丁分發47補丁自動下載分發48補丁下載效勞器48補丁庫分類49補丁下載轉發代理49客戶端補丁檢測一50客戶端補丁檢測二52第四章北信源主機監控審計系統53策略中心53行為管理及審計53涉密檢查策略55其他策略55數據查詢55第五章北信源移動存儲介質使用管理系統57策略中心57可移動存儲管理57其他策略57數據查詢57第六章北信源網絡接入控制管理系統59網關接入配置認證59策略中心60接入認證策略60其他策略64環境準備方法64安裝RADIUS(windowsIAS)64各廠商交換機配置83Cisco2950配置方法83華為3COM3628配置84銳捷RGS210己置8

4、7第七章北信源接入認證網關89網關接入配置認證89策略中心90第八章系統備份及系統升級92系統數據庫數據備份及復原92系統組件升級92區域管理器、掃描器模塊升級92升級網頁管理平臺93客戶端注冊程序升級93檢查系統是否升級成功93級聯管理模式升級及配置93附錄95附錄一北信源內網平安管理系統名詞注釋95附錄二移動存儲設備認證工具操作說明95USB標簽制作95USB標簽制作工具97USB標簽制作歷史查詢108移動存儲審計謀略109移動存儲審計數據110附錄三主機保護工具操作說明110附錄四組態報表管理系統操作說明111模版制定111報表輸出117附錄五報警平臺操作說明120設置120日志查詢12

5、3窗口123更換界面124幫助124附錄六漫游功能說明124漫游功能介紹124漫游功能配置126附錄七IIS效勞器配置說明130WIN2003-32位IIS配置說明130WIN2003-64位IIS配置說明132WIN2021-64位IIS配置說明134圖目錄圖1-1北信源終端平安管理應用拓撲4圖2-1創立新策略5圖2-2下發策略6圖2-3策略控制6圖2-4硬件設備控制9圖2-5軟件安裝監控策略10圖2-6進程執行監控策略11圖2-7進程保護策略12圖2-8協議防火墻策略15圖2-9注冊表16圖2-10IP與MAC綁定策略17圖2-11防違規外聯策略19圖2-12違規提示19圖2-13文件備份

6、路徑設置23圖2-14注冊碼配置25圖2-15阻斷違規接入控制設置26圖2-16本地注冊情況信息26圖2-17本地設備資源信息27圖2-18本地設備類型統計27圖2-19軟件變化信息28圖2-20注冊日志信息29圖2-21交換機掃描管理配置32圖2-22設備信息統計圖表33圖2-23級聯設備信息34圖2-24級聯設備系統類型統計34圖2-25級聯管理控制35圖2-26下級級聯區域管理器信息35圖2-27區域管理器狀態信息35圖2-28區域掃描器狀態信息36圖2-29級聯上報數據36圖2-30系統用戶列表37圖2-31添加系統用戶界面37圖2-32用戶管理列表37圖2-33終端控制權限38圖2-

7、34屏幕監控權限39圖2-35密碼初始化提示框39圖2-36密碼初始化完成提示框39圖2-37修改ADMIN用戶密碼40圖2-38數據重整信息表40圖2-39審計用戶登錄41圖3-1區域管理器補丁管理設置42圖3-2分發參數設置43圖3-3補丁自動分發45圖3-4補丁下載效勞器界面48圖3-5補丁下載效勞器設置49圖3-6補丁代理傳發支持50圖3-7補丁下載設置50圖3-8登錄頁面51圖3-9工具下載頁面51圖3-10補丁檢測中心52圖3-11客戶端補丁漏打檢測52圖6-1網關接入認證59圖6-2重定向配置60圖6-3用戶添加60圖6-4補丁與殺毒軟件認證策略61圖6-5接入認證策略62圖6-

8、6802.1X認證界面63圖6-7802.1X認證界面63圖6-8平安檢查沒有通過，802.1X不啟動認證63圖6-9認證失敗63圖6-10添加INTERNET僉證效勞組件65圖6-11IAS配置界面65圖6-12新建RADIUS客戶端66圖6-13新建RADIUS客戶端66圖6-14新建遠程訪問策略67圖6-15設置遠程訪問策略67圖6-16設置遠程訪問策略68圖6-17設置遠程訪問策略選擇用戶68圖6-18設置遠程訪問策略使用MD5質詢69圖6-19設置遠程訪問策略新建的策略69圖6-20選擇DAY-AND-TIME-RESTRICTIONS70圖6-21選擇允許70圖6-22設置屬性71

9、圖6-23添加屬性值VLAN71圖6-24添加屬性值80272圖6-25添加屬性值60072圖6-26添加屬性值60073圖6-27編輯撥入配置文件73圖6-28新建連接請求策略74圖6-29為策略取名字74圖6-30策略配置75圖6-31添加遠程登錄用戶75圖6-32設置用戶屬性76圖6-33設置TES傭戶76圖6-34設置啟用77圖6-35VRVEDPAGENTU證成功77圖6-36創立用戶界面78圖6-37用戶添加78圖6-38設置用戶密碼79圖6-39進入NETWORCONFIGURATION79圖6-40AAACLIENT配置80圖6-41AAASERVER配置80圖6-42進入IN

10、TERFACEONFIGURATION81圖6-43進入RADIUS(IETF)81圖6-44進入6OUPSETUP82圖6-45進入EDITSETTINGSP82圖7-1網關接入認證89圖7-2重定向配置90圖7-3用戶添加90圖7-4網關接入認證策略90圖8-1級聯管理配置94附圖-1修改用戶ADMINUSB標簽96附圖-2下載DEVICNUMBEREXE96附圖-3全局參數97附圖-4USBTOOL登錄99附圖-5USBTOOL界面99附圖-6分區格式化100附圖-7制作移動硬盤標簽1100附圖-8制作移動硬盤標簽2101附圖-9制作移動硬盤標簽3101附圖-10制作移動硬盤標簽4101

11、附圖-11制作移動硬盤標簽5102附圖-12制作移動硬盤標簽6102附圖-13制作移動硬盤標簽7103附圖-14制作移動硬盤標簽8103附圖-15制作移動硬盤標簽9103附圖-16制作移動硬盤標簽10104附圖-17制作移動硬盤標簽11104附圖-183個分區的優盤和移動硬盤內網登錄界面105附圖-19整盤加密的優盤和移動硬盤內網登錄界面105附圖-20外網插入3個分區的優盤或移動硬盤盤符105附圖-21交換區登錄界面106附圖-22外網插入整盤加密優盤或移動盤符106附圖-23信息提示106附圖-24USBTOO匿錄107附圖-25USBTOOL界面107附圖-26初始化密碼108附圖-27

12、標簽歷史查詢108附圖-28訪問控制配置說明110附圖-29DOS/DDOS配置說明111附圖-30創立模板112附圖-31確定寸艮表標題及寸艮表尾112附圖-32定義報表輸入項113附圖-33確定輸出條件113附圖-34確定關聯114附圖-35保存模板115附圖-36修改模板名稱115附圖-37修改模版的輸出標題和表尾116附圖-38修改輸出列選項116附圖-39修改關聯選項117附圖-40修改時間范圍統計117附圖-41模板預覽118附圖-42輸出EXCE報表模板信息118附圖-43時間定義119附圖-44模板導入119附圖-45模板導出120附圖-46報警平臺設置120附圖-47高級設置

13、121附圖-48報警設置上122附圖-49報警設置下122附圖-50日志查詢123附圖-51報警中心界面123附圖-52漫游示意125附圖-53結合接入認證漫游示意圖125附圖-54CA效勞器界面126附圖-55區域管理器配置界面126附圖-56客戶端遷移策略配置界面127附圖-57重原管理區漫游出去的客戶端127附圖-58漫游到新管理器的客戶端128附圖-59進去漫游組中的漫游客戶端128附圖-60漫游回原管理器的客戶端129附圖-61漫游查詢狀態選項129附圖-62IIS效勞管理器130附圖-63虛擬目錄屬性131附圖-64選擇用戶域組131附圖-65用戶域組高級選項132附圖-66用戶屬

14、性變更132附圖-67命令執行結果133附圖-68輸出結果133附圖-70添加角色向導134表目錄表2-1策略的高級設置參數說明7表2-2硬件設備控制參數說明8表2-3軟件安裝監控策略參數說明9表2-4進程執行監控策略參數說明11表2-5用戶密碼策略參數說明13表2-6協議防火墻策略參數說明15表2-7注冊表檢查策略參數說明16表2-8IP與MAC綁定策略參數說明16表2-9殺毒軟件運行監控17表2-10防違規外聯策略參數說明19表2-11運行資源監控策略參數說明20表2-12進程異常監控策略參數說明21表2-13流量采樣策略參數說明21表2-14流量控制策略參數說明22表2-15消息推送策略

15、參數說明23表2-16客戶端文件備份策略參數說明23表2-17終端配置策略參數說明24表3-1區域管理器補丁管理參數說明43表3-2補丁自動分發策略參數說明44表3-3人工選擇補丁分發策略參數說明46表3-4普通文件分發策略參數說明46表3-5補丁下載設置參數說明51表4-1文件輸出審計謀略參數說明53表4-2上網訪問審計謀略參數說明54表4-3文件內容檢查策略參數說明55表6-1補丁與殺毒軟件認證策略參數說明61表6-2VIFR接入認證策略參數說明64附表-1移動存儲審計謀略參數說明110第一章概述特別說明北信源終端平安管理系列產品由？北信源內網平安管理系統？、？北信源補丁及文件分發管理系統

16、？、？北信源主機監控審計系統？、短匕信源移動存儲介質使用管理系統？、？北信源網絡接入控制管理系統？及？1匕信源接入認證網關？6大套件構成。本手冊內容將隨著北信源軟件的不斷升級而改變（以光盤中電子版發行時為最新版），恕不另行通知。需要者請從北信源公司網站下載本手冊的最新電子版或者直接聯系北信源公司索取。本手冊與本系統的安裝配置手冊中的所有圖片均為示意圖，請以實際產品為準。本使用手冊為北信源終端平安管理系列產品通用說明書。假設您獨立購置北信源內網平安管理系統？或？北信源補丁及文件分發管理系統？等其中之一產品，本說明書的其它功能將不具備。感謝您購置北京北信源軟件股份研制開發的北信源終端平安管理系列產

17、品。請在使用本軟件之前認真閱讀本使用手冊，當您開始使用該軟件時，北信源公司認為您已經閱讀了本使用手冊。產品構架北信源終端平安管理產品由8局部組成：WinPcap程序、SQLServer管理信息庫安裝包：環境初始化程序、Web中央管理配置平臺安裝包：網頁管理平臺、區域管理器（安裝包：RegionManage,原區域掃描器已作為模塊集成到區域管理器）、客戶端注冊程序安裝包：注冊程序、補丁下載效勞器、管理器主機保護模塊、報警中心模塊。環境初始化程序SQLServer管理信息庫，建立北信源終端平安管理產品的初始化數據庫。初始化的信息包括：網絡客戶端設備屬性信息、區域管理器信息、設備掃描器信息、區域管理

18、范圍信息、注冊未注冊機器信息、設備屬性變化信息、報警信息等。掃描器將設備最新狀態信息同數據庫中原有信息進行遍歷搜索比照，根據規那么要求在管理平臺上報警。網頁管理平臺web管理平臺Web中央管理配置平臺，本系統的管理配置中心。包括區域管理器、掃描器、注冊客戶端的功能參數設定，網絡設備信息發現、系統應用策略制訂、報警信息顯示、定義任務功能制訂、系統用戶維護等配置操作。RegionManage區域管理器，系統數據處理中心，負責與管理信息數據庫通訊掃描終端設備、控制效勞器、客戶端之間的信息、指令的下達、接受。比方：接收注冊程序提供的用戶信息，將用戶信息用戶填寫的物理信息和系統自動采集的硬件信息并行存入

19、數據庫；接受來自控制臺的命令操作，發送到客戶端、掃描器執行。對于存在多級管理要求的廣域網，網絡中可以存在多個區域管理器，實現系統數據逐級上報轉發，對網絡終端的多級管理。區域管理器內置網絡掃描器，掃描器用來發現網絡的終端設備。將發現的設備信息交由區域管理器處理。、設備最新狀態信息報送至區域管理器，由區域管理器處理后，同數據庫中原有信息進行遍歷搜索比照，根據管理規那么在管理平臺上報警。掃描器配合區域管理器進行工作，可以在分級模式下使用。掃描器只依據Web管理平臺中配置的工作范圍進行掃描，如果終端IP超越其范圍，將不負責執行操作。Winpcap程序嗅探驅動軟件，監聽共享網絡上傳送的數據。客戶端注冊程

20、序將接收并執行效勞器下發的指令。該程序可以在“工具下載-用戶注冊器下載處下載。訪問指定網站自動獲得，用戶填寫必要的信息后，運行該程序，區域管理器將收到注冊終端的相關信息，同時終端可以接收、執行各種下發的指令。注冊程序自動探測系統硬件信息，連同用戶填寫的信息一同上報區域管理器。用戶將本機注冊信息發送到區域管理器后，區域管理器自動將客戶端駐留程序應用策略發送給用戶，并自動更新?？蛻舳笋v留程序功能：進行本機硬件屬性信息變化監視；進行本機IP、MAC地址變化審計；本機系統補丁、軟件安裝、運行進程狀況監測；探測本機是否有違規聯網行為，在內網管理中心或外網報警平臺報警；接受Web管理平臺的管理命令；阻斷本

21、機非法外聯行為；執行Web管理平臺下發的各種策略操作。補丁下載效勞器安裝在與Internet網絡連接的機器上，用于實時下載補丁廠商發布的補丁。管理器主機保護模塊管理器主機保護模塊可根據管理器或其他效勞器具體使用的端口、網絡協議、通信IP范圍和具體的其他網絡應用來定義該電腦使用的平安級較高的網絡配置，從而防止該電腦受到惡意的IP沖突以及各種網絡、病毒攻擊。報警中心模塊安裝在可與區域管理器所在效勞器正常通訊的電腦上，本模塊可以根據管理員在系統中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使效勞、SNMPTrap、短信等多種報警方式。應用構架北信源終端平安管理應用于局域網、廣域網構架，支持

22、跨網段、跨地域的內網遠程客戶端管理及非法移動設備接入檢測、網內電腦違規聯網監視、網絡平安隔離度監控等。系統應用主要分為以下兩種構架：根本構架：對于一月網絡例如1個C類地址或假設干個C類地址的局域網范圍，可使用一套本系統軟件，通過一個管理器集中管理所屬區域內的所有設備。擴展構架：對于大規模的多個局域網或者跨地域廣域網包括基于國家、省、市、縣等多級管理模式的網絡結構，可使用本系統提供的多區域集中管理構架，即一個或多個網段各擁有一套獨立北信源終端平安管理的同時，將本級所有設備信息再轉發給上級管理數據庫，使得上一級管理人員對整個網絡的設備狀況也能夠完全掌握。圖1-1北信源終端平安管理應用拓撲第二章北信

23、源內網平安管理系統策略中心策略管理中心策略的使用策略的創立和分發1 .在“策略管理中心中左側的策略項中點擊需要制定的策略，然后在右側的【策略名】中輸入相應的策略名稱，單擊【創立新策略】按鈕開始創立策略。第略名：查詢創建新策略圖2-1創立新策略也注：在策略的定義中使用了一些特別的關鍵字符，這些特殊的字符不應該在策略內容中出現。否那么可能會出現無法預料的系統錯誤。這些字符包括："><'/="（大于，小于，單引號，反斜線，等于）。2 .根據實際需求配置策略，單擊【保存策略】完成策略的創立。由于各個策略項的配置過程都不一樣，下一節將具體介紹3 .下發策略，即指定

24、策略的執行對象。通過單擊【對象】按鈕，可按界面提示完成對象的分配。如以下圖所示：編輯啟用Q停用向答對象復制5htlp：/192.IE8.88.50-分配對分目部便第一步：選擇策咯分配方式廠按創建區庭分配技工F范園分配按操作素統分配按搜索謖備分配按日定也分配按注冊單位分配接注冊部門分配慢游設方臨時客戶端斯再設備下一步清空對象列表Inierne1L圖2-2下發策略4.如果需要讓某一條策略暫時不使用，可通過【停用】按鈕使策略失效，需要使用的時候再單擊【啟用】按鈕使策略生效。如果想要刪除某一條策略，那么直接按【刪除】按鈕即可。如以下圖所示，awq熊if?堂叫馥;:公：m黑喝.等Mm©%一軸事

25、第圖2-3策略控制策略的高級設置策略的高級設置用于策略的執行設置，包括策略狀態啟動、停止、策略存活時間策略執行的起止時間、策略執行觸發條件在何種條件下開始執行策略、策略無效時間規定時間內不執行策略、策略應用范圍本級區域、下級區域、所有區域、級聯策略類型等，有些策略還包括具體的觸發時間設置等。參數說明策略名稱此處可以修改策略名稱風險級別分為低、中、高三個級別停用鎖定選中【鎖定對策略的停用操作】后，策略列表中的【停用】功能將不起作用，用于防止用戶的誤操作。策略狀態制定策略的狀態：啟動/停止策略存活時間范圍即策略以天為單位的存活時間段策略無效工作日即可在一星期中選中一天或多天使策略無效策略無效時間段

26、即策略以分為單位的無效的時間段策略有效用戶指登錄操作系統的用戶。當執行該策略時，先判斷此用戶是不是有效用戶，是有效用戶那么執行，否那么不執行。策略有效網關有效網關：客戶端所在內網的網關；當執行該策略時，先判斷是不是有效網管，是那么執行該策略，否那么不執行。策略有效網絡內網：能與本效勞器通訊的屬于內網；外網：與本效勞器不能通訊，且不能與客戶端所在網關通訊的屬于外網?？寺C策略克隆機：將已經注冊了本系統的客戶端的系統做成鏡像gost，復原到某電腦上，那么該電腦稱之為克隆機。只有克隆機gost系統執行本策略，非克隆機不執行。表2-1策略的高級設置參數說明策略下發結果查詢可以通過以下兩種方式查看策略的

27、下發情況：策略管理中心->策略下發查詢終端管理->終端管理->當前執行策略小注：策略分發間隔默認為1分鐘；有的策略需要重新啟動生效，請看每條策略的具體說明。具有審計功能的策略，審計數據可以在“數據查詢審計數據查詢"中查看。黑白名單編輯進程黑白名單進程黑白名單在“進程監控策略中可以使用，這局部包含系統預定義黑名單和用戶自定義黑白名單。編輯進程黑白名單時包括：進程名、產品名、源文件名等；如果是效勞那么只可以加效勞名，同時可以加一些描述。軟件黑白名單軟件黑白名單在“軟件安裝監控策略中可以使用，這局部包含系統預定義黑名單和用戶自定義黑白名單。URL黑白名單編輯URL黑白名單

28、在“上網訪問審計策略、"上網控制策略中可以使用,這局部包含系統預定義黑名單和用戶自定義黑白名單。端口黑白名單編輯端口黑白名單在“協議防火墻策略中可以使用，這局部包含系統預定義黑名單和用戶自定義黑白名單。硬件設備控制硬件設備控制功能說明：控制各種硬件設備及接口的啟用或禁用，如果只想禁止使用移動存儲設備，也可以通過“可移動存儲審計”策略來實現。參數說明:參數說明不處理、啟用、禁用本策略中所能控制的硬件，都需要能夠在windows系統設備管理器中進行禁止和啟用。例外選擇【啟用】時將禁用例外中的設備，選擇【禁用】時將啟用例外中的設備，【不處理】選項保持原來的狀態無變化，提高系統管理性能，如果

29、對某項不關心可以選擇該項。例外設備添加方法：右擊我的電腦屬性硬件設備管理器，出現設備列表。該策略控制疊加到之前的策略根底之上選中此項時：如果有多條此類策略，終端執行效果將是多條策略設置疊加后執行的效果。如果不選擇該項，終端只支持單獨一條策略，新下發的策略將覆蓋原來的策略配置。取消對設備管理器的的攔截操作默認情況下下發該策略后將禁止用戶在設備管理器里啟用/禁用任何設備，如果取消那么可以在設備管理器里啟用/禁用設置為不處理的設備。審計結果處理上報效勞器：就是將審計記錄上報到效勞器并進行記錄。當客戶端脫離網絡時無法上報到效勞器就記錄到本地，等客戶端接回網絡時再上報到效勞器。記錄到本地文件：會在本地生

30、成文件記錄審計信息。起到在本地備份的作用。表2-2硬件設備控制參數說明考前須知：1 .如果要對原來禁用的設備啟用，最好是明確的為該設備制定一條啟用策略。2 .禁用u盤、軟驅、光驅等一局部功能，在行為管理與審計謀略中的可移動存儲審計謀略中也可完成，功能上沒有什么區別，用戶可以根據自己的習慣，自行設定。策略實例：允許使用光驅，但是禁止使用刻錄光驅。比方有兩個光盤驅動器，分別為：GenericDVD-ROMSCSICdRomDevice和MATSHITAUJDA745DVD心DRW。從文字顯示上可以看出后面一個驅動器為刻錄光驅，如果要禁止刻錄光驅，那么可以將光驅項設置為"允許”,在【例外】

31、中輸入"MATSHITAUJDA745DVD心DRW"或其中的一局部，只要能通過該標志確認是一個可刻錄光驅即可。因為根本上可刻錄光驅都帶有"CDRW"字樣，【例外】中可以輸入"CDRW"。多個例外之間用分號（"；"）英文半角格式分隔，如以下圖所示：河岸；不處漫口3用至用淵Hp圖2-4硬件設備控制進程及軟件管理軟件安裝監控功能說明：用于監控客戶端安裝的軟件是否違規并對違規行為做出相應的處理。參數說明:參數說明軟件名設置需要進行控制的軟件名稱，填入需要監控的軟件名稱后，點選【添加控制】按鈕，如果想要控制更多的軟件，輸入

32、軟件名稱后，繼續點選【添加控制】按鈕，以此類推，可以繼續添加需要控制的軟件。同一類軟件可以使用具體的策略，包括“禁止安裝軟件''、"必須安裝軟件''、"允許安裝軟件''三個選項，這個具體選擇可以根據管理員的需要自行設定。如果想要取消對某個軟件的控制，請在列表處選定軟件的名稱，然后點擊【刪除控制】按鈕。還可以添加系統定義的黑名單和自定義的黑名單，并分別配置違規處理措施、高級設置項。其他軟件處理中選中“允許安裝軟件'，再勾中“除以上列表的軟件外，安裝了其他任何軟件都視為違規項"，表示只允許安裝列表中的軟件，安裝其

33、他軟件均視為違規，即實現對軟件安裝的限制功能。中選中“控制狀態是“禁止安裝軟件'，同時選中【其他軟件處理】復選框，那么安裝任何軟件都是違規的。以上軟件安裝違規處理指選定的對象如果違反了上述的軟件安裝監控策略的處理方法。不處理方式，是指不處理違反策略的對象，但是，相關的違規記錄可以在Web管理器中查詢。僅提示方式，是指中選定對象的用戶如果違反了策略，將在客戶端彈出管理員設置的提示信息。斷開網絡方式，是指當本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該電腦進行斷離網絡的處理，同時，該電腦彈出管理員設定的提示信息。表2-3軟件安裝監控策略參數說明策略實例:用！EIalrH!vMJ

34、4HF* 1二三：二k二圖2-5軟件安裝監控策略考前須知：1 .“軟件名要和控制面板中添加刪除程序里的軟件程序名一樣，該功能支持模糊查詢技術，例如在要檢查是否安裝了QQ,可能因為各種版本不一樣，在“添加刪除程序里顯示的是QQ2004或QQ2005,這時您可以只輸入QQo2 .靜默卸載功能不支持模糊匹配，需要填寫跟添加刪除程序中的名稱完全相同。3 .為了維護方便，建議管理員將施行安裝或禁止安裝的需求不同的軟件，放在不同的策略中管理，如果同一軟件在不同策略中的設置不同，那么，取最后一個策略設置為準。4 .本策略設置時，建議在高級設置，策略觸發方式中，選中啟動時觸發和間隔觸發選中，間隔時間10分鐘左

35、右。進程執行監控功能說明：用于監控客戶端運行的進程，并做相應處理。先添加需要監控的進程信息，再配置違規處理措施。參數說明：參數說明進程/效勞名需要進行監控的進程或效勞名稱，進程的名稱可以從windows的任務管理器的進程菜單中查詢。填入需要監控的進程名稱后，點選【添加控制】按鈕，如果想要控制更多的進程，輸入進程名稱后，繼續點選【添加控制】按鈕，以此類推。進程名獲取方法：右擊任務欄選擇“任務管理器"。“進程/效勞名處也可填寫“*；例如，進程/效勞名：*,產品名稱：MicrosoftOffice11Professional,控制狀態：必須運行，即表小必須運行MicrosoftOffice

36、11Professional產品的所有進程。產品名稱需要進行監控的產品的名稱，產品的名稱可以從需要監控的文件，鼠標右鍵點擊需要監控的可執行文件，從其中的產品名稱中看至填入需要監控的產品名稱后，點選【添加控制】按鈕，如果想要控制更多的產品名稱，輸入產品名稱后，繼續點選【添加控制】按鈕，以此類推。源文件名需要進行監控的具體可執行程序的名稱，源文件名可以通過鼠標右鍵點擊可執行文件找至限填入需要監控的源文件名稱后，點選【添加控制】按鈕，如果想要控制更多的源文件，輸入源文件名稱后，繼續點選【添加控制】按鈕，以此類推。可以設置更多的需監控工程?？刂茽顟B針對具體的進程、產品、源文件，具體的控制狀態有三種，包

37、括“禁止運行'、"必須運行和"允許運行，這個具體選擇可以根據管理員的需要自行設定。如果想要取消對某個軟件的控制，請在列表處選定具體的進程、產品、源文件的名稱，然后點擊【刪除控制】按鈕。其他進程處理選中“允許運行并勾中"除以上列表的進程外，不允許其他進程執行，那么表示只允許進程列表中的進程運行，其他進程均視為違規，即實現對進程運行的限制功能。以上各種情況的違規處理指選定的對象如果違反了上述的監控策略的處理方法。關機方式，是指當本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該電腦進行2分鐘后自動關機的處理，同時，該電腦彈出管理員設定的提示信表2-4進

38、程執行監控策略參數說明策略實例:圖2-6進程執行監控策略考前須知:1 .進程名稱、產品名稱、源文件名之間是“或的關系，填入其中一項或多項均可實現監控功能，其中，產品名稱，主要用于監控一系列軟件的使用，比方說，qq不同版本的程序名不一樣，但是產品名稱是相同的。源程序名的作用，主要是為了防止可執行程序被人手動修改名稱而避過平安系統的管理策略。2 .本策略設置時，建議在高級設置-策略觸發方式中，選中啟動時觸發和間隔觸發，間隔時間5分鐘左右。3 .啟動路徑為全路徑或系統默認路徑。進程保護策略功能說明：設置需要保護的用戶進程，防止被保護的進程被非法關閉。策略實例：3H笈猶件官涉便h住護病笑卑M林：丹壽吳

39、廣笈吃SoilruzMitll3Z-arei，樂eWepary七cm七福若花訐含3常6：業二1回史."心春卜薩行赫賓那用f得EWirW將圖2-7進程保護策略考前須知：1 .這里的進程保護是指使用windows任務管理器和一般的應用程序無法終止該程序。2 .這里的被保護進程，仍然可以在策略中心的“進程執行監控中進行終止，請管理員注意相關策略的設置。主機平安策略用戶密碼策略功能說明：此策略可以對系統的本地密碼策略、本地帳戶鎖定策略、系統屏保進行設置，同時可以檢測系統密碼弱口令，除系統自定義的弱口令外，用戶可以自己添加自定義弱口令集。參數說明:參數說明檢測到系統弱口令后當系統檢測到客戶端采

40、用了弱口令后可以采用“上報'、"提示兩種方式，即上報給區域管理器或者根據管理員設置的提示信息給客戶端發出提示。附加弱口令列表根據各單位名稱等不同，自己添加需要探測的弱口令，每個弱口令之間用","分隔。表2-5用戶密碼策略參數說明考前須知：1 .在windows系統密碼策略中，策略是指密碼的長度。2 .“弱口令檢查與“本地賬戶鎖定策略不能同時設置，否那么弱口令用戶可能會被鎖定，無法使用！也不能對同一臺電腦分配兩個這樣的策略。3 .檢測系統弱口令，原理是使用每個列表中的弱口令來嘗試登錄電腦，它并不修改任何windows系統文件，本策略不會造成任何的電腦不穩定狀

41、態。4 .用戶密碼策略：只適用于標準版操作系統，番茄花園版不支持；系統屏保設置：重啟后生效；弱口令列表需要手動添加。用戶權限策略功能說明：檢查系統用戶、系統用戶組的權限的改變和系統用戶、系統用戶組的增加或減少。當以上的某一條件符合時，那么彈出相應的提示信息。根據需要，在相應的菜單中選擇上報或者在客戶端提示的報警方式，還有兩種報警方式同時啟用的方式，如果選擇中有提示信息選項，將在客戶端彈出管理員設定的提示信息窗口?？记绊氈?.本策略的各項均在Windows系統控制面板中的“用戶與密碼''項或者控制面板中的管理工具文件夾里的電腦管理程序中的用戶菜單來實現的，本策略只提供相應的監測

42、功能，不對您的修改進行限制。協議防火墻策略功能說明：本策略是基于各種網絡協議的原理和各種網絡軟件對網絡的實際應用，用來控制各種網絡使用和電腦端口的使用，起到防火墻的作用。參數說明端口連接控制規那么協議類型電胸可以進行很多網絡應用，各種應用都是基于網絡上效勞器提供的效勞。不同的效勞是采用不同的端口提供的，通過這種端口的方式，電腦才可以與外界進行互不干擾的通信。Tcp/udp協議，網絡通信協議，根本上所有的網絡效勞都使用它們作為通信的標準。系統在這里通過控制電腦的端口和相應的網絡協議，對電腦用戶的網絡操作進行監管。我們可以通過在windows下的dos窗口輸入“netstatW命令來查看本機翻開的

43、端口和各種端口正在被哪種效勞使用的，且這個效勞使用的是哪種協議。同時，我們也可以通過軟件相關的說明文檔得到這些信息。我們在端口處填入我們查詢到的需要控制的軟件使用的端口，在協議選擇下拉菜單中選擇相應的tcp/udp協議。"本地端口"和"遠程端口兩個選項，其中，本地端口是指在網絡的使用中，本地電腦使用的端口，如果選擇這個選項，那么在本策略的對象范圍內的電腦無法啟動使用該端口的效勞；遠程端口是指在網絡的使用中，本地電腦可以啟動本效勞，但是無法訪問遠程電腦提供相應效勞的端口。管制方式“禁用填充項中指定端口，開放其他端口選項是指僅禁用在上邊填寫的端口和其所對應的效勞，同時

44、開放其他所有的端口，使具可以使用網絡效勞?！敖锰畛漤椫兄付ǘ丝谶x項是指僅禁用填充項中的端口和其所對應的效勞，并不改變其他端口目前的狀態。“開放填充項中指定端口，禁用其他端口是指，僅開放在上邊填寫的端口和其所對應的效勞，同時關閉其他所有的關口和網絡效勞，“開放填充項中指定端口是指開放在上邊填寫的端口和其相對應的效勞，并不改變其他端口目前的狀態。選定需要的選項后，點擊“添加端口連接控制規那么按鈕，所設定的控制將出現在頁面卜端的控制列表中。ICMP協議控制規那么指系統對ICMP協議的控制，主要是通過判斷電腦間的互相通信是否正常來判斷的。一般來說，只要執行MS-DOS窗口下的ping命令即可系統對i

45、cmp協議的控制，主要是通過判斷電腦間的互相通信是否正常來判斷的。一般來說，只需要執行ms-dos窗口下的ping命令即可。"禁止ping入"是指不允許其他電腦包括局域網電腦和遠程電腦用ping命令來檢測本地電腦通信狀態。"禁止ping出是指不允許設置的對象客戶機用ping命令來檢測其他電腦包括局域網電腦和遠程電腦的通信狀態。"禁止雙向”同時禁止任息曲日電腦至少有一臺是本地電腦的通信檢測。設定好后，點擊“添加icmp協議控制規那么按鈕，所設定的控制將出現在頁面卜端的控制列表中。IP訪問控制規制ip地址輸入需要限制網絡使用的電腦的ip地址或ip地址范圍。管

46、制方式“只允許填充項中ip地址訪問自己，禁止其余ip地址訪問是指，在設定的ip地址范圍內的電腦，每臺電腦能使用策略生效范圍內的電腦的網絡資源，其他的電腦無法訪問該策略范圍內的電腦。"只允許自己訪問填充項中ip地址，禁止訪問其余ip地址''是指，本策略生效范圍內的電腦只能訪問在設定的ip地址范圍內的電腦的網絡效勞，不能訪問其他電腦提供的網絡效勞。設定好后，點選“添加ip訪問控制規那么'，所設定的控制將出現在頁面卜端的控制列表中。以上各種選項在設定后，如果需要去掉，只要在控制列表中，點選，然后點擊下邊的“刪除規那么"按鈕。超級IP指的是本IP不受上邊制定

47、的所有策略的限制。默認內網管理效勞器IP為超級IP超級端口指本端口和所對應的效勞不受上邊制定的所有策略的限制表2-6協議防火墻策略參數說明策略實例：如以下圖所設置的一個樣例表示：只開放本地電腦的80端口；只允許192.168.0.11-192.168.0.120該IP地址段中的IP訪問本地電腦；禁止其他電腦ping入。If曲rEREVflM!H小町HIW4MUiUL花-2l-3.w：ID即:而*Fmw口日一一ft'WI.EZSr/Hakl.waEJ<評aril足WHtWUL靠"II-IgKutr"Cut0“塞內IHct-MiiFMNMain口二上18匚擊堤：*

48、-業：=：13旱方修育山!1,ig ，id i i ，囪EW ，i他造 W ui。Ch© * "UflkRE qwbi+mw幽&u，問通電，渣5白匚密KUWitmihtilR-LnUwaci ；H p 口 “電 圖2-8協議防火墻策略考前須知：1.此策略需要管理員對網絡協議和電腦端口有一定的認識，請慎重制定。通過對端口和協議對電腦用戶的網絡操作進行監管。注冊表檢查策略功能說明：監測客戶端的注冊表內容和該內容的設定值，防止注冊表被病毒或其他惡意程序修改，起到對電腦的平安防護作用。參數說明:參數說明注冊表項名稱在【運行】項輸入“regedit"然后點確定。出現

49、注冊表窗口，在左邊窗口顯示的就是注冊表項的名稱鍵名在注冊表窗口中，右邊窗口中的名稱標題下的內容就是鍵名值類型同注冊表右邊窗口的值類型的三個選項“reg_sz"、"reg_dword"、"reg_binary"鍵值在注冊表右邊窗口中的數據標題下的內容就是鍵值檢測條件根據需要選擇相應的條件適合操作系統根據對象的電腦操作系統狀況進行選擇具體的操作系統控制操作如果要刪除注冊表項請確認該項對系統的正常使用不會造成影響。刪除項會同時刪除該項下的子項和鍵。表2-7注冊表檢查策略參數說明圖2-9注冊表考前須知：1.本策略只提供注冊表檢測功能，不進行修改注冊表內

50、容的操作。IP與MAC綁定策略功能說明：實行IP與MAC綁定。當IP與MAC綁定發生變化時，可對其實施自動恢復、彈出提示框、或斷開網絡并持續阻斷該電腦等控制。參數說明:參數說明客戶端特性設置：客戶端IP,MAC綁定點選該選項，才可以使用本策略的功能。Ip與mac綁定是指客戶端電腦在局域網中標識身份的地址和電腦的網卡標識號碼的匹配。當綁定發生變化指客戶端電腦用戶修改了自己的ip地址，這時，網卡的mac將于新的ip地址相匹配，就不能與原來的ip地址匹配，這就是ip、mac綁定發生變化。系統根據這種情況給出4種處理方式，"不處理、“自動恢復'、"斷開網絡，并且提示管理員設

51、定的信息、“僅提示只提示管理員設定的信息。表2-8IP與MAC綁定策略參數說明策略實例:咽咻肉g保檢用u理義無或上*處方得曲J?加R.法不修11Jl嚇尸制口肛US?mu*:西左線化1»茅曷也a目為ra提.、成：.4怦工#,月*岸月*KI#收理-甘fH喳4挖、四；，姑悻力msBti永工叫山.冬即加吐“£越月珥舄也劃二叫十里，站通畏u廂“虹吠附顯鼻）便標立輻gm修工一£心及當癖不如于用處此范國2才如曼J哥利型二嶺EH舊三或理!蹤女NEFLJHt&ii上凱卜為1見小于l用艷中坪3曲|jtWWEHt同相曲的升和仃居|，愀.逸呼吸事卞ET囹如曲峻.e/1Mn即：除&

52、#171;9»硼遮i酮L）twiw這p啊fiI3iFiS!”匚微聯:/是（.簞累月沿班則巨切和唇后當能胃：£=i；K前，干r可留三二的粽加洋司午.都手田戲和”辿班|湖式說即|訓本二百片圖2-101P與MAC綁定策略考前須知：1. “客戶端IP,MAC綁定''選項絕對不能在動態IP的設備上使用。2. 一般常規性的網絡應用中，只要設定自動恢復ip和除網絡管理員的賬戶其他帳戶均有效即可。殺毒軟件運行監控策略功能說明：檢查客戶機是否安裝殺毒軟件，并做提示、斷開、重啟電腦等操作。參數說明:參數說明假設客戶端未運行病毒防火墻“不處理、"自動重啟當系統發現客戶端

53、未安裝殺毒軟件時，將彈出管理員設定的提示信息，并且2分鐘后自動重新啟動、“斷開網絡斷開和網絡的連接，并彈出管理員設定的提示信息、“僅提示"只發給客戶端提示信息。殺毒軟件升級設置用于自動升級殺毒軟件。這此功能生效的條件是需要把殺毒軟件的升級文件放到VRVRegionManageDistributeAntiVirusUpdate目錄中相應的殺毒軟件升級文件夾中，目前支持的可升級的殺毒軟件有北信源、macfee、瑞星、諾頓等。表2-9殺毒軟件運行監控補丁分發策略、軟件分發策略請參照第三章北信源補丁及文件分發管理系統接入認證策略請參照第六章北信源網絡接入控制管理系統和第七章北信源接入認證網關

54、。違規外聯監控防違規外聯策略功能說明：監視違規網絡連接modem撥號、雙網卡、代理等，并對違規行為做出相應的處理，檢測電腦的網絡使用是否符合制定的原那么，對不符合原那么的電腦進行處理。參數說明:參數說明違規監控設置通過設置，檢測策略應用的對象的客戶端是否能和外網通信來判斷該電腦是否違反了管理員制定的規那么?！巴饩W地址選項，是利用系統的功能，對這兩個地址，進行檢測，當可以與這兩個網站通信時，視為本機違反策略?！翱蛻舳怂薅ㄊ褂玫木W段是指，如果客戶端訪問的ip地址超過了在這個選項中設置的范圍，也視為本機違反策略。本選項需要填寫ip地址范圍，范圍中間區域用“一'來間隔?！安捎锰綔y外網方法和“

55、客戶端所限定使用的網段這兩種方法，是并列的，單獨使用其中的一種或者兩種同時使用都可以滿足您的需要。禁止使用代理上網訪問如果選擇這個選項，那么瀏覽器無法使用代理效勞器訪問網絡，該選項可屏敝瀏覽器使用內網或者外網的大多數代理效勞。探頭發現設備違規后的處理方式A:假設客戶端同時連接內外網，本選項一般指電腦同時能夠訪問單位內部網絡和外部網絡。在處理方式中，僅提示方式，是指中選定對象的用戶如果違反了策略，將在客戶端彈出管理員設置的提示信息。斷開網絡方式，是指當本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該電腦進行斷離網絡的處理，同時，該電腦彈出管理員設定的提示信息。關機方式，是指當本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該電腦進行2分鐘后自動關機的處理，同時，該電腦彈出管理員設定的提示信息。B：假設客戶端僅在外網，一般是指，客戶沒有在局域網中，只通過