1.本策略的设置是针对进程的,注意不要和“进程执行监控”相冲突,引起系统的不稳定。 垃圾文件清理
功能说明:根据需要,在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹;在相应的文件类别中选择需要清理的文件类型。 注意事项:
1.FAT32文件系统中被删除的文件放置在回收站中,NTFS文件系统中直接删除。
2.请管理员设置时,注意相关的注释。正在使用的临时文件等文件,无法清除,需要清除的话,请先关闭相关的应用程序。 系统自动关机
功能说明:根据需要设定无键盘、鼠标动作时间自动关机,点选“关机前自动提示”,则在关机前在客户端弹出管理员设定的提示信息。 流量管理策略 流量采样策略
功能说明:通过设置选定用户(在本策略的对象中设定的)计算机的网络的平均流量和并发连接数,以及可疑发包等网络流量策略来审计网络的使用。 参数说明:
参数 流量采样阈值设定 并发连接可疑定义 发包可疑定义 表2- 13流量采样策略参数说明 注意事项:
1.此处仅对相应的流量数据进行统计,统计数据可在数据查询中进行查询。 流量控制策略
功能说明:根据系统对选定用户(在本策略的对象中设定的)网络使用的监测,协调整个网络的流量。 参数说明:
参数 客户端总流量 并发连接数可疑违规 说明 按照一定时间内的总的数据传输量求出的平均每秒流量数。管理员可以根据网络实际情况设定具体的数值流量和持续时间。 按照客户端计算机同时进行网络访问的数量来计算的网络连接数是否过多判断用户对网络的使用是否合规。 一般是指计算机接到了超出了正常网络服务使用中的接到数据包的范围,还有单位时间应该从网络上其他计算机上接到的icmp数据包数量。这里的数量值取得都是我们在流量采样策略中设定的相应的数值。 “上报”,是指内网安全管理系统自动将违反上述选定了的规则的计算机上报给区域管理器。 “自动阻断”:是指如果客户端计算机违反了上述规则的计算机断网处理,时间一般默认为5分钟左右;“永久阻断”:只要被阻断一次之后,必须通说明 这是按照一定时间内客户端计算机的平均网络使用流量计算的每秒平均流量数。推荐按照缺省建议设置。 这是按照客户端计算机同时进行网络访问的数量来计算的网络连接数。推荐按照缺省建议设置。 一般来说,推荐使用系统默认的数值,如果您有意修改以上的数据,建议您咨询网络管理员。 发包可疑违规 违规时客户端执行 过终端控制中的恢复网络连接功能才能恢复网络连接。 “客户端提示”,是指如果客户端计算机违反了上述规则,,则在客户端计算机上弹出管理员设定的消息。 表2- 14流量控制策略参数说明 注意事项:
1.本策略是根据对网络流量异常和icmp收发包异常的监控来实现功能的策略,本策略采用的大多数监控数据,是从流量采样策略中设定的。
2.收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成的,需要管理员多加注意。 3.本策略的设定要求对网络和网络协议有一定的了解,请在网络管理员的指导下设置,系统采用的默认值可以满足一般网络环境的要求。
4.并发连接数可疑或发包可疑的前提是客户端总流量走出设定。 消息推送策略 消息推送
功能说明:向选定用户(在本策略的对象中设定的)计算机发送消息通知,请求重注册信息以及要求升级等消息。 参数说明:
参数 说明 “仅消息通知”和普通的消息分发没有什么区别,在客户端计算机弹出管理员设置的消息。 “消息通知并确认回馈”是指在客户端计算机弹出管理员设置的消息,同时客户端计算机显示后,要求用户确认。 “重新注册”在客户端计算机弹出注册窗口,要求用户注册。 “客户端升级”弹出提示要求客户端升级的信息,不进行实际操作。 消息功能 表2- 15消息推送策略参数说明 消息推送扩展策略
功能说明:可以实现一段时间内持续地向选定用户(在本策略的对象中设定的)计算机发送消息。 备份策略 客户端文件备份
功能说明:对选定用户计算机进行指定文件的备份。 参数说明:
参数 文件/目录(全路径) 备份过滤 备份服务器IP 说明 设置需要备份的文件或目录的全路径。 指定需要备份的文件的后缀名,填入此项后仅备份指定后缀名文件,不填写则全部备份。 可以将设定备份在指定服务器的共享目录下 默认值为120分钟,最小值为3分钟。 间隔时间 表2- 16客户端文件备份策略参数说明 注意事项:
1.该功能通过共享文件夹拷贝方式备份,配置前需要确认所输入的用户名和密码对共享目录必须有写权限,如果以2003系统作为备份服务器,则需要将服务器改为使用经典登录才可用。 屏幕抓取策略
功能说明:在一定时间间隔内抓屏并备份到服务器上。
文件备份的路径设置在备份服务器程序里进行设置,如下图所示, 图2- 13文件备份路径设置 屏幕录像策略
功能说明:可以实现定时屏幕录像,并且可以设定录像时间长度。 终端配置策略 终端设置策略
功能说明:对客户端时间、ARP阻断以及各种信息的上报等进行设置。 参数说明:
参数 同步终端时间 自定义探头应答IP 说明 可同步客户端时间为服务器时间。 为了保证Agent不受冒充指令的干扰,Agent只接受来自管理器服务器的指令请求,如果的确需要接受其它IP的指令,则可以将该处添加IP并分配给终端设备。 可设置每次发送ARP欺骗包的间隔时间和持续时间。 当一个区域管理器出现故障,导致无法提供服务时,由此处指定的备用服务器接替原服务器继续提供服务,实现管理服务器的双机热备功能。 设备处于其他网络时,限制网络访问。 设备内存或硬盘变化时阻断通信。 防止ARP病毒对网关的欺骗。启用该功能后,会提示选择正确的网关地址。 可以取消系统默认共享。 不输入则允许任何共享名。多个共享名之间用半角分号(;)分隔。 当功能启用时,只可以启用原启用列表中默认的系统选项。 强制将计算机名修改为注册时输入的使用人项 在指定指定时间点卸载。 限制该机只允许使用域用户登录。 设置与策略对应的审计日志的上报时间间隔。 将终端补丁安装信息上报到服务器。 将终端系统首次运行的进程情况上报服务器。 将终端系统已安装的软件信息以增量式地上报到服务器,并且可以设定上报时间。 自定义ARP阻断置 备用区域管理IP 设备离网阻断 设备内存,硬盘阻断 绑定正确网关MAC防止ARP欺骗攻击 默认共享 指定只允许启用的共享名 设备安装多操作系统 注册用户与计算机名称关联 指定终端自动卸载 域用户登录限制 审计日志上报间隔 补丁信息上报 进程信息上报 软件信息上报 表2- 17终端配置策略参数说明 管理器策略
该功能用于在级联的情况下,设置下级服务器向上级上报的消息类别。 订阅级联审计数据策略
功能说明:订阅下级平台设备基本信息以及各种行为的审计日志。 终端升级管理策略
功能说明:客户端注册程序的升级。 注意事项:
1.该策略没有策略内容和启用/停用设置,可以指定一部分特定的终端自动升级,只需要将把需要自动升级的终端配置到策略对象中即可,不在对象中的终端设备是不会自动升级的。 以后每次服务器升级后只有对象中的终端会自动升级为最新版本,其余的还是以之前版本运行。
2.该策略适用于对新的版本进行测试,待测试完成后没有什么问题, 将该策略删除或把策略分给所有的终端实现整网统一升级。
3.整个系统仅允许使用一条这样的策略,并且不具备级联功能。 组合策略 组合策略分发
功能说明:根据需要选择几种类型的策略,再进一步选择某类策略下的某个策略,从而形成策略组。 注意事项:
1.其中各个子策略都必须为启用状态。 漫游策略分发
功能说明:只针对漫游客户端所发送的策略。 具体的漫游功能请参照附录六漫游功能说明。 临时客户端分发
功能说明:只针对临时客户端所发送的策略。
临时客户端:在“注册程序配置”中,通过配置“注册密码”项来实现指定客户端的使用限制。如下图所示,
图2- 14注册码配置 按对象分配策略 按设备分配
通过设备IP、设备名或使用人查询下发给该设备的策略,能够快速查找到相应的客户端正在执行的策略,并支持模糊查询。 按设备组分配
可以为自定义的用户添加策略,并且可以显示为每一组自定义的用户下发的策略,并且可以编辑或取消该策略。 策略下发查询
用户可以查看策略的下发情况,可以查询下载策略的设备IP、名称和下发时间等信息。 网关接入认证配置
请参照第六章北信源网络接入控制管理系统 阻断违规接入管理
当扫描器发现有未注册客户端的设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁,通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时提供了“警告信息”功能(必须开启信使服务)、IP、MAC绑定等功能,如下图所示: 图2- 15阻断违规接入控制设置 补丁分发
请参照第三章北信源补丁及文件分发管理系统 数据查询
数据查询是根据内网安全及补丁分发管理系统工作的结果,向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。其中大多数查询是与制定的策略对应的。 本地注册情况统计 图2- 16本地注册情况信息 本地设备资源统计 图2- 17本地设备资源信息
本地设备类型统计 图2- 18本地设备类型统计 USB标签信息查询 USB标签制作查询
查询USB标签制作记录。信息显示包括U盘编号、唯一序号、所属部门、 拥有人、 U盘状态 、 标签 和 操作说明等。 USB标签黑名单
查询USB黑名单记录。服务器会把USB标签黑名单发送给客户端,当插入的USB时,客户端检查此USB标签是否在黑名单中时,如果在将被禁止使用。 USB授权个数查询
查询USB授权个数。显示信息包括用户名称、USB授权个数和USB剩余授权个数。 设备信息查询 设备信息查询
查询信息包括计算机所属区域、单位、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。 根据▼▲符号对查询数据进行降序、升序排列列表。 注册资产查询
对已注册的客户端的设备进行设备资产查询,提供多个复合条件查询。 安装软件查询
对客户端的软件进行查询,可以根据软件类别,如必须安装的软件、禁止安装的软件等条件进行查询。 首次运行进程查询
依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。 共享目录查询
可以对设备的共享名称、共享路径和共享模式等信息进行查询。 设备IP占用情况列表
查询区域管理器所管辖的范围内的注册IP、未注册IP、空闲IP。 硬件变化查询
客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有变化(增添或卸载),则可通过该查询条件查到。 软件变化查询
当客户端安装注册程序时,会收集客户端安装软件的信息上报到服务器。服务器会比较当前安装软件和数据库保存的信息,来显示软件的变化。如下图所示, 图2- 19软件变化信息 注册日志查询
显示客户端注册状态信息,如下图所示, 图2- 20注册日志信息 操作系统安装查询
查看设备操作系统信息,包括操作系统UUID、操作系统名称和操作系统安装系统等信息。 计算机开关机查询
查看设备的开关机信息。在“终端策略”中选中“允许上报开关机时间”时,才可以查询到数据。 离线设备查询
可以查询离线设备的信息,包括所属区域、最后登录时间、已关机天数、使用人、联系电话和ip地址等信息。
北信源内网安全管理系统用户使用手册
