4..如果需要让某一条策略暂时不使用,可通过【停用】按钮使策略失效,需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略,则直接按【删除】按钮即可。如下图所示, 图2- 3策略控制 策略的高级设置
策略的高级设置用于策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
参数 策略名称 风险级别 停用锁定 策略状态 策略存活时间范围 策略无效工作日 策略无效时间段 策略有效用户 说明 此处可以修改策略名称 分为低、中、高三个级别 选中【锁定对策略的停用操作】后,策略列表中的【停用】功能将不起作用,用于防止用户的误操作。 制定策略的状态:启动/停止 即策略以天为单位的存活时间段 即可在一星期中选中一天或多天使策略无效 即策略以分为单位的无效的时间段 指登录操作系统的用户。当执行该策略时,先判断此用户是不是有效用户,是有效用户则执行,否则不执行。 有效网关:客户端所在内网的网关;当执行该策略时,先判断是不是有效网管,是则执行该策略,否则不执行。 内网:能与本服务器通讯的属于内网;外网:与本服务器不能通讯,且不能与客户端所在网关通讯的属于外网。 克隆机:将已经注册了本系统的客户端的系统做成镜像(gost),还原到某计算机上,则该计算机称之为克隆机。只有克隆机(gost系统)执行本策略,非克隆机不执行。 策略有效网关 策略有效网络 克隆机策略 表2- 1策略的高级设置参数说明 策略下发结果查询
可以通过以下两种方式查看策略的下发情况: (1)策略管理中心-->策略下发查询 (2)终端管理-->终端管理-->当前执行策略
注:策略分发间隔默认为1分钟;有的策略需要重新启动生效,请看每条策略的具体说明。具有审计功能的策略,审计数据可以在“数据查询?审计数据查询”中查看。 黑白名单编辑 进程黑白名单
进程黑白名单在“进程监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括:进程名、产品名、源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。 软件黑白名单
软件黑白名单在“软件安装监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。 URL黑白名单编辑
URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。 端口黑白名单编辑
端口黑白名单在“协议防火墙策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。 硬件设备控制 硬件设备控制
功能说明:控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。 参数说明:
参数 不处理、启用、禁用 例外 说明 本策略中所能控制的硬件,都需要能够在windows系统设备管理器中进行禁止和启用。 选择【启用】时将禁用例外中的设备,选择【禁用】时将启用例外中的设备,【不处理】选项保持原来的状态无变化,提高系统管理性能,如果对某项不关心可以选择该项。 例外设备添加方法:右击我的电脑?属性?硬件?设备管理器,出现设备列表。 选中此项时:如果有多条此类策略,终端执行效果将是多条策略设置叠加后执行的效果。 如果不选择该项,终端只支持单独一条策略,新下发的策略将覆盖原来的策略配置。 默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备,如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。 该策略控制叠加到之前的策略基础之上 取消对设备管理器的的拦截操作 审计结果处理 上报服务器:就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地,等客户端接回网络时再上报到服务器。 记录到本地文件:会在本地生成文件记录审计信息。起到在本地备份的作用。 表2- 2硬件设备控制参数说明 注意事项:
1.如果要对原来禁用的设备启用,最好是明确的为该设备制定一条启用策略。
2.禁用u盘、软驱、光驱等一部分功能,在行为管理与审计策略中的可移动存储审计策略中也可完成,功能上没有什么区别,用户可以根据自己的习惯,自行设定。 策略实例:允许使用光驱,但是禁止使用刻录光驱。
比如有两个光盘驱动器,分别为:Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745 DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱,如果要禁止刻录光驱,则可以将光驱项设置为\允许\,在【例外】中输入\或其中的一部分,只要能通过该标志确认是一个可刻录光驱即可。 因为基本上可刻录光驱都带有\字样,【例外】中可以输入\。多个例外之间用分号(\(英文半角格式)分隔,如下图所示: 图2- 4硬件设备控制 进程及软件管理 软件安装监控
功能说明:用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。 参数说明:
参数 说明 软件名 其他软件处理 以上软件安装违规处理 设置需要进行控制的软件名称,填入需要监控的软件名称后,点选【添加控制】按钮,如果想要控制更多的软件,输入软件名称后,继续点选【添加控制】按钮,以此类推,可以继续添加需要控制的软件。同一类软件可以使用具体的策略,包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项,这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制,请在列表处选定软件的名称,然后点击【删除控制】按钮。 还可以添加系统定义的黑名单和自定义的黑名单,并分别配置违规处理措施、高级设置项。 当选中“允许安装软件”,再勾中“除以上列表的软件外,安装了其他任何软件都视为违规项”,表示只允许安装列表中的软件,安装其他软件均视为违规,即实现对软件安装的限制功能。 当选中“控制状态”是“禁止安装软件”,同时选中【其他软件处理】复选框,那么安装任何软件都是违规的。 指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式,是指不处理违反策略的对象,但是,相关的违规记录可以在Web管理器中查询。仅提示方式,是指当选定对象的用户如果违反了策略,将在客户端弹出管理员设置的提示信息。断开网络方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行断离网络的处理,同时,该计算机弹出管理员设定的提示信息。 表2- 3软件安装监控策略参数说明 策略实例:
图2- 5软件安装监控策略 注意事项:
1.“软件名”要和控制面板中添加删除程序里的软件程序名一样,该功能支持模糊查询技术,例如在要检查是否安装了QQ,可能因为各种版本不一样,在“添加删除程序”里显示的是QQ2004或QQ2005,这时您可以只输入QQ。
2.静默卸载功能不支持模糊匹配,需要填写跟添加删除程序中的名称完全相同。
3.为了维护方便,建议管理员将施行安装或禁止安装的需求不同的软件,放在不同的策略中管理,如果同一软件在不同策略中的设置不同,那么,取最后一个策略设置为准。
4.本策略设置时,建议在高级设置,策略触发方式中,选中启动时触发和间隔触发选中,间隔时间10分钟左右。 进程执行监控
功能说明:用于监控客户端运行的进程,并做相应处理。先添加需要监控的进程信息,再配置违规处理措施。 参数说明:
参数 进程/服务名 说明 需要进行监控的进程或服务名称,进程的名产品名称 源文件名 控制状态 其他进程处理 以上各种情况的违规处理 称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后,点选【添加控制】按钮,如果想要控制更多的进程,输入进程名称后,继续点选【添加控制】按钮,以此类推。 进程名获取方法:右击任务栏选择“任务管理器”。 “进程/服务名”处也可填写“*”,例如,进程/服务名:*,产品名称:Microsoft Office 11 Professional,控制状态:必须运行,即表示必须运行Microsoft Office 11 Professional产品的所有进程。 需要进行监控的产品的名称,产品的名称可以从需要监控的文件,鼠标右键点击需要监控的可执行文件,从其中的产品名称中看到,填入需要监控的产品名称后,点选【添加控制】按钮,如果想要控制更多的产品名称,输入产品名称后,继续点选【添加控制】按钮,以此类推。 需要进行监控的具体可执行程序的名称,源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后,点选【添加控制】按钮,如果想要控制更多的源文件,输入源文件名称后,继续点选【添加控制】按钮,以此类推。可以设置更多的需监控项目。 针对具体的进程、产品、源文件,具体的控制状态有三种,包括“禁止运行”、“必须运行”和“允许运行”,这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制,请在列表处选定具体的进程、产品、源文件的名称,然后点击【删除控制】按钮。 选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”,则表示只允许进程列表中的进程运行,其他进程均视为违规,即实现对进程运行的限制功能。 指选定的对象如果违反了上述的监控策略的处理方法。关机方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行2分钟后自动关机的处理,同时,该计算机弹出管理员设定的提示信息。 表2- 4进程执行监控策略参数说明 策略实例:
图2- 6进程执行监控策略 注意事项:
1.进程名称、产品名称、源文件名之间是“或”的关系,填入其中一项或多项均可实现监控功能,其中,产品名称,主要用于监控一系列软件的使用,比如说,qq不同版本的程序名不一样,但是产品名称是相同的。源程序名的作用,主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。
2.本策略设置时,建议在高级设置-->策略触发方式中,选中启动时触发和间隔触发,间隔时间5分钟左右。
3.启动路径为全路径或系统默认路径。 进程保护策略
功能说明:设置需要保护的用户进程,防止被保护的进程被非法关闭。 策略实例:
图2- 7进程保护策略 注意事项:
1.这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。
2.这里的被保护进程,仍然可以在策略中心的“进程执行监控”中进行终止,请管理员注意相关策略的设置。
主机安全策略 用户密码策略
功能说明:此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置,同时可以检测系统密码弱口令,除系统自定义的弱口令外,用户可以自己添加自定义弱口令集。 参数说明:
参数 检测到系统弱口令后 说明 当系统检测到客户端采用了弱口令后可以采用“上报”、“提示”两种方式,即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。 根据各单位名称等不同,自己添加需要探测的弱口令,每个弱口令之间用\分隔。 附加弱口令列表 表2- 5用户密码策略参数说明 注意事项:
1.在windows系统密码策略中,策略是指密码的长度。
2.“弱口令检查”与“本地账户锁定策略”不能同时设置,否则弱口令用户可能会被锁定,无法使用!也不能对同一台计算机分配两个这样的策略。
3.检测系统弱口令,原理是使用每个列表中的弱口令来尝试登录计算机,它并不修改任何windows系统文件,本策略不会造成任何的计算机不稳定状态。
4.用户密码策略:只适用于标准版操作系统,番茄花园版不支持;系统屏保设置:重启后生效;弱口令列表需要手动添加。 用户权限策略
功能说明:检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。 当以上的某一条件符合时,则弹出相应的提示信息。
根据需要,在相应的菜单中选择上报或者在客户端提示的报警方式,还有两种报警方式同时启用的方式,如果选择中有提示信息选项,将在客户端弹出管理员设定的提示信息窗口。 注意事项:
1.本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的,本策略只提供相应的监测功能,不对您的修改进行限制。 协议防火墙策略
功能说明:本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用,用来控制各种网络使用和计算机端口的使用,起到防火墙的作用。
参数 端口连接控制规则 协议类型 说明 计算机可以进行很多网络应用,各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的,通过这
北信源内网安全管理系统用户使用手册
