SEPM操作手册0227.docx
《SEPM操作手册0227.docx》由会员分享,可在线阅读,更多相关《SEPM操作手册0227.docx(41页珍藏版)》请在冰豆网上搜索。
SEPM操作手册0227
交行开发中心SEPM
操作手册
编号
文档版本
修订人
修订日期
备注
1
V1.0
代刚
2012.02.19
2
V1.1
代刚
2012.02.25
增加网络环境信息
3
V1.2
代刚
2012.02.27
增加SEPM测试环境及相关设置
4
2013.10.25
SEPM、SNAC升级后相关变更信息
5
6
7
8
一、前言
1.1编写目的
《交行开发中心SEPM操作手册》的编写目的是为了使用户能够借助本手册的帮助,充分了解软件功能,方便软件维护相关人员对软件的日常维护及深入了解。
1.2应用环境及适用对象
1、应用环境交行开发中心
2、适用对象交行开发中心客户、SEPM软件操作相关技术人员
1.3术语与缩写解释
1.SEPMSymantecEndpointProtectManager
2.SEPSymantecEndpointProtect
3.SNACSymantec网络准入设备
二、软件概述
2.1功能
SEP是赛门铁克公司推广出的一款终端安全管理工具,集成防病毒功能,主机入侵检测系统,防火墙功能,软件管理,硬件管理和主机完整性检查、网络准入控制等功能。
用以管理员工使用的终端计算机设备,通过强制在计算机系统里安装SEP软件,这样终端计算机就始终在SEP的严密监控之下,根据管理员定义策略执行动作,例如不能使用某些程序,或者使用这些程序时会留下记录,不能使用某些设备等。
2.2运行环境
2.2.1硬件环境
名称
说明
主机名
(SEPM服务器一)
IP
182.119.171.218
CPU
IntelXeonE72402.13MHZ
内存
12G
备注
该服务器是Vmware下的虚拟机
名称
说明
主机名
(SEPM服务器二)
IP
182.119.171.219
CPU
IntelXeonE72402.13MHZ
内存
12G
备注
该服务器是Vmware下的虚拟机
2.2.2软件环境
名称
说明
操作系统
windowsserver2003sp2
软件
Symantecendpointprotectmanager11.0.6200.754
WindowsSQLserver2000
2.3网络环境
说明:
1、目前交行SEPM环境有两套,分别为SEPM11.6版本的生产环境和SEPM12.1版本的测试环境。
DLP只有一套生产环境。
2、SEPM11.6生产环境中包含设备为:
1台SEPM服务器、2台SNAC服务器、若干客户端;
SEPM12.1测试环境中包含设备为:
2台SEPM服务器(负载均衡及高可用)、2台SNAC服务器,两台客户端。
3、DLP环境(生产环境)包含设备:
1台Vontuenforce服务器、1台Endpointserver服务器、1台Monitor服务器、若干客户端。
2.3.1DLP环境服务器信息
软件
宿主机
生产环境
名称
用户名\密码
IP
用户名\密码
系统
备注
VontuEnforcer
Administrator\
182.119.171.246
administrator\
windowsserver2003x32
虚机
symantec
goodman83
Endpointserver
—
182.119.171.246
—
—
虚机
Monitorserver
—
182.119.173.196
Administrator\
windowsserver2003x64
实体机
agreeast
SEPM(负载均衡)
admin\asdf@123
182.119.171.218
administrator\
windowsserver2008x64
虚机
goodman83
SEPM(负载均衡)
admin\asdf@123
182.119.171.219
administrator\
windowsserver2008x64
虚机
goodman83
SNACK6100
root
182.119.171.243
Symantec@123
snac12.1
实体机
SNACK6100
root
182.119.171.242
Symantec@123
snac12.1
实体机
2.3.2服务器功能说明
1、VontuEnforcer
该服务器负责接收monitor服务器、endpointserver发送来的数据,并根据自身设定的策略把接收到的事件分类统计并根据网络事件、端点事件这两类展现出来。
2、Endpointserver
该服务器负责接收客户端endpointagent发送过来的数据,并把这些数据发送给vontuenforcer服务器。
3、Monitor
该服务器负责把交换机端口镜像过来的数据发送给vontuenforcer服务器。
4、SEPM
该服务器集成防病毒功能,负责客户端入侵检测系统,防火墙功能,软件管理,硬件管理和主机完整性检查、网络准入控制策略等的定制。
。
5、SNACK6100
即lanenforcer该服务器负责客户端网络准入的控制。
6、SEP
该软件安装在客户端,负责接收SEPM定制的策略并执行。
7、Endpointagent
该软件安装在客户端,负责收集客户端的违规信息(违规信息主要包括端点的数据泄漏方式等信息,如通过USB、打印、扫描、传真等)并发送给Endpointserver。
三、软件常用操作说明
3.1软件登录
说明:
开始->程序-SymantecEndpointProteectManager->SymantecEndpointProteectManager控制台,如下图表1所示:
图表1
3.2策略(全局策略)
目前交行使用到的主要是SEP软件中的硬件管理和主机完整性检查功能,通过对终端计算机设备及网络设备的设置,起到数据保护的目的。
建议在该处设置部分通用的基本策略,其他具体策略可在相应组中设置。
全局策略设置类别如下(见图表2):
Ø防病毒和防间谍软件
Ø防火墙
Ø入侵防护
Ø应用能够程序与设备控制
Ø主机完整性
ØLiveUpdate集中式例外
3.2.1防病毒和防间谍软件
说明:
该策略设置如下图表2,为产品安装时自动创建。
可进行策略的添加、编辑、分配、撤回、更换、复制、导出、导入操作。
点击进入策略后,可以定义客户端定时扫描、文件系统自动防护、internet电子邮件自动防护、Microsoftoutlook自动防护、LotuNotes自动防护TruScan主动型威胁扫描、隔离、提交、其他,详情见下图。
由于目前交行开发中心使用的是Macfee防病毒软件而未使用Symantec防病毒软件,所以该策略未起效。
图表2
图表3概述
说明:
概述部分可设置策略名称及策略说明,并且可设置该策略是否启用。
显示创建者、最后一次修改时间,以及哪些组使用该策略。
由于交行目前未安装symantec防病毒模块所以该策略未启用。
3.2.2防火墙
说明:
该策略设置如下图表3,为产品安装时自动创建。
可进行策略的添加、编辑、分配、撤回、更换、复制、导出、导入操作。
进入策略后,可以看到策略概述、规则、只能通信过滤、通信与隐藏设置,详见下图标及说明所示。
图表4
图表5概述
说明:
概述部分可设置策略名称及策略说明,并且可设置该策略是否启用。
显示创建者、最后一次修改时间,以及哪些组使用该策略。
图表6规则
说明:
规则部分显示防火墙策略所设置的规则条目,这些条目是否启用,添加、编辑、删除规则。
编辑规则时可根据
Ø应用程序匹配:
可以添加可执行程序路径或者浏览本地程序文件来选择;
Ø主机匹配:
可以选择是目标计算机还是本地计算机,匹配内容选项有DNS主机、DNS域、IP地址、IP地址范围、MAC地址、子网;
Ø时间匹配:
可以根据开始时间、结束时间、月份、日期来设置;
Ø服务匹配:
可以根据服务名称包括DHCP服务器、DNS服务器、FTP服务器、HTTP服务器等来设置;
Ø适配器匹配:
可以根据适配器类型包括anyvpn、ethernet、wireless等来设置;
Ø屏幕保护程序匹配:
可以根据开、关、任意来设置;
Ø设置操作:
禁止、允许、询问;
图表7通知
说明:
通知部分设置当规则中设置策略针对禁止、询问某应用程序时,给预用户提示(提示内容可点击“设置更多文本”处添加)。
图表8
说明:
只能通信过滤部分设置防火墙对DHCP、DNS、WINS的启用。
图表9
说明:
通信与隐藏设置部分可设置“启用NeTBIOS”、“允许令牌环通信”、“启用反向DNS查找”、“启用防MAC欺骗”等。
3.2.3入侵防护
说明:
该策略设置如下图表4,为产品安装时自动创建,可进行策略的添加、编辑、分配、撤回、更换、复制、导出、导入操作。
进入策略后,可看到该策略的概述、设置、例外三个选项。
另外,入侵防护需要联外网(Symantec服务器)下载更新包且无法离线更新,交行内网环境无法进行更新。
详见下图标及说明。
图表10
图表11
说明:
概述部分可设置策略名称及策略说明,并且可设置该策略是否启用。
显示创建者、最后一次修改时间,以及哪些组使用该策略。
图表12
说明:
设置部分可选择是否启用入侵防护、是否启用拒绝服务检测、是否启用端口扫描检测、是否启用排除主机(主机可根据ip地址及子网来确定,见上图)、自动禁止攻击者的ip时间。
图表13
说明:
例外部分设置忽略检测内容,根据系统提供选项进行添加操作,详见上图列表。
3.2.4应用程序与设备控制
说明:
该策略设置如下图表5,为产品安装时自动创建。
目前交行开发中心涉及应用程序与设备控制策略的设置都在相应组策略中进行,这里不做设置,该策略未起效,具体策略设置是在客户端组中做设置。
图表14
3.2.5主机完整性
说明:
该策略设置如下图表6,为产品安装时自动创建。
目前交行开发中心涉及主机完整性检测策略的设置都阻碍相应组策略中进行,这里不做设置,详见下文客户端策略-主机完整性设置部分。
图表15
3.2.6LiveUpdate
说明:
该策略设置如下图表7,为产品安装时自动创建,主要设置客户端的定时更新等内容,目前未作设置。
图表16
3.2.7集中式例外
说明:
该策略设置如下图表8,为产品安装时自动创建,可以进行添加、导入、导出以及例外的选择、定义等操作,目前未作设置。
图表17
3.3策略组件
该处设置主要是为设备类策略设置提供组件选项,分为以下几种:
Ø调度扫描模版
Ø管理服务器列表
Ø文件指纹列表
Ø主机组
Ø网络服务
Ø网络适配器
Ø硬件设备
目前交行开发中心主要涉及到网络适配器、硬件设备两个组件的使用,下面会详细说明。
3.3.1网络适配器
说明:
1、该策略设置如下图表9,为产品安装时自动创建,主要应用于防火墙策略设置,为设置提供选项。
图表18
2、右键点击上图可添加适配器,添加内容见下图表所示,需要输入适配器类型、名称、标识三个信息。
3、适配器等硬件标识可通过工具DevView软件工具获取,获取方法为打开该软件,哦那个需要获取标识的硬件名称,右侧会显示该硬件的标识信息(guid、deviceid等),详见下图标所示。
图表19
3.3.2硬件设备
说明:
1、该策略如下图表10,为产品安装时自动创建。
主要应用于“应用程序与设备控制”-“设备控制”策略设置,为“禁用”、“例外”设置提供选项,目前该处已增加部分组件。
2、右键添加新硬件设备,输入设备类ID或者设备ID(可用工具DevViewer获取),见下图表11。
图表20
图表21
3.4客户端设置
交行开发中心目前有两个组(中心员工、外协员工)未生产环境,另外三个组(笔记本、外协员工(测试)、中心员工(测试))为测试组。
客户端选项设置分为:
客户端、策略、详细信息、安装软件包四项,见下图表22。
图表22
3.4.1客户端
说明:
1、点击客户端->组(中心员工)->客户端选项,可显示中心员工组所有客户端信息,包括每个客户端的计算机名、操作系统、所属域或组、IP地址、客户端版本、防火墙状态、DNS服务器、WINS服务器、MAC地址、网关、可用内存、可硬磁盘空间及总磁盘空等信息。
2、右键点击某个客户端可以对其执行删除、重启、扫描或者把该客户端转移到其他工作组中(该转移的客户端会同步转移后所属组的策略)等命令,详见下图表13。
图表23
3.4.2策略(组策略)
建议在组策略中设置相关策略,这样会更灵活且更有针对性(相对全局策略而言)。
这里以交行中心员工组为例,详见截图,其他各组策略方法设置均一致。
另外,系统安装时默认只有MyCompany下DefaultGroup组,可以右键MyConpany->添加新组,如下图表11。
组策略设置类别如下(见图表14):
Ø通信设置
Ø常规设置
Ø防病毒和防间谍软件策略
Ø防火墙策略
Ø入侵防护策略
Ø应用程序和设备控制策略
Ø网络准入策略
ØLiveUpdate设置策略
其中:
Ø“online”和“offline”分别指客户端是否与sepm服务器连接;
Ø“共享”策略为全局策略,对所有组都生效,“非共享”策略值为当前策略所在组生效;
目前主要应用的两个策略分别为“(交行开发中心)应用程序和设备控制策略”、“(交通银行软件开发中心)网络准入策略”,而且online与offline状态下策略设置相同,详见下图表15。
图表24
图表25
3.4.2.1通信设置
说明:
该策略如下图表16,包括服务器端的策略下发、客户端的信息上传等方式、时间间隔。
服务器策略下发:
推模式。
服务器端每隔5分钟会对与自己连接的客户端下发最新策略。
客户端数据上传:
目前交行开发中心设置服务器与客户端的通信间隔为5分钟。
图表26
3.4.2.2常规设置
说明:
该策略如下图表17,安全设置选项中包括启用802.1x验证、需要密码才能停止客户端服务、需要密码才能卸载客户端;防篡改选项中主要设置是否启用“防止Symantec安全软件被篡改或关闭”功能。
图表27
3.4.2.3应用程序和设备控制策略
说明:
该策略如下图表18,包括“应用程序控制”及“设备控制”两个模块,这两个模块的策略设置见2.3.1.1及2.3.1.2(如果组策略中没有“交行开发中心应用程序和设备控制策略”,可点击图表15中“添加策略”并从系统弹出的列表中选中该项)。
图表28
2.4.2.3.1应用程序控制策略
说明:
该策略如下图表19,目前交行开发中心启用“禁止向USB驱动器写入内容”、“记录写入到USB驱动器的文件”这两个策略,目的在于防止交行开发中心内部资料通过USB方式(主要为U盘)泄密。
另外,还可以禁止指定的应用程序运行、禁止对主机文件的修改等,需要具体分析处理。
图表29
2.4.2.3.2设备控制策略
说明:
该策略如下图表20,该策略针对计算机终端的硬件设备,分为“禁止的设备”、“不禁止的设备”两个模块,这两个模块所添加设备选项来源于2.2.2的“硬件设备”中。
“不禁止的设备”优先级要高于“禁止的设备”。
图表30
3.4.2.4主机完整性策略
说明:
该策略如下图表21,该策略会检查计算机终端系统是否满足下图中勾选的选项要求,如果满足则为主机完整性验证通过,如未满足则为主机完整性失败。
目前交行开发中心设置为主机完整性检查无论是否通过,都只提示,不对该计算机终端网络进行限制。
图表31
3.4.3详细信息
说明:
该处显示组的相关信息,如下图表22。
图表32
3.4.4软件安装包
说明:
该处显示相应组安装的软件包,也可右键空白处添加新的安装包(见),另外右键其中的软件包->编辑安装包,设定客户端的升级方式,确定升级时间、升级功能等,详见下图表23.
图表33
3.5管理员相关操作设置
3.5.1管理员添加、删除及权限设置
说明:
点击主界面(左侧)管理员->(左侧)管理员,可看到(左侧)任务栏属性:
重命名管理员、更改管理员密码、编辑管理员属性、删除管理员、添加管理员这五项操作,如下图表为编辑用户属性,下图表为添加新管理员。
可以编辑账户权限,密码使用期限,账户登陆尝试次数及超过登陆尝试次数后账户锁定时间。
图表34
图表35
3.5.2服务器相关设置
3.5.2.1服务器及相关术语简介
说明:
如下图表19所示,sepm服务器、数据库服务器概述。
Ø站点:
由一个或多个管理服务器、一个数据库(microsoftsqlserver或嵌入式数据库)以及可选的一个或多个Enforcer(同创位于相同的公司位置)所组成,你登录的站点为本地站点,可以直接加以修改,本地站点以外的站点都称为远程站点。
Ø管理服务器:
安装了SymantecEndpointProtectManager软件的计算机。
在管理服务i其处可以创建策略,并将之分配到不同的组织中,此外还可以执行监视、报告、记录日志、警报和其他处理任务。
单个站点的多个管理服务器可以提供故障转移和负载平衡功能。
Ø数据库服务器:
SymantecEndpointProtectManager所用的数据库,每个站点一个数据库。
数据库可以位于与管理服务器相同的计算机上,或者MicrosoftSQLServer则可位于不同的计算机上。
ØEnforcer:
SymantecNetworkAccessControl使用的Enforcer,用于允许和拒绝访问企业网络,Enforce有四种GatewayEnforcer、LANEnforcer(目前交行使用)、DHCPEnforcer、IntegratedEnforcer
图表36
3.5.2.2网络控制设置(Enforcer)
说明:
网络控制即下图表20的snac设置(右键snac->编辑)。
snac设置重点在于交换机的四项设置(基本信息交换机地址、VLAN、操作),下图表21、22、23、24及图注。
图表37
图表38
注:
选中snac设置框中交换机->编辑->弹出上图表21所示,其中基本信息包含上图表20中的交换机名称、型号、密码、RADUS组、交换机重新验证时间。
图表39
注:
该处可添加交换机地址段,以有选择的使某些地址受网络控制,如上图标22所示。
图表40
注:
该处可以添加vlan名称,以有选择的使某些vlan受网络控制,如上图表23所示。
图表41
注:
该处设置主机验证通过、失败、不可用时交换机端口状态(打开、关闭),目前设置为主机验证通过、失败、不可用时,交换机端口都打开,见上图表24。
3.5.3安装软件包
3.5.3.1客户端安装软件包
注:
该处显示软件所支持的所有版本系统的客户端安装包,为软件安装时生成,可以选中相应软件安装包->右键导出->选择导出路径、安装设置、使用的功能、策略设置、所属组侧露模式->确定,即可生成客户端安装软件,详细导出设置见下图表
图表42
3.5.3.2客户端安装设置
说明:
该处设置客户端安装2.4.3.2处导出的客户端安装软件包时安装包模式,目前采用静默安装、安装后不需要重启、启用安装日志记录这些模式,祥见下图表
图表43
3.5.3.3客户端安装功能
说明:
该处设置客户端安装功能的定义,在空白处右键添加客户端功能集。
在导出客户端时需要选择客户端功能,即选择这里提供的功能定义选项,详见下图表。
图表44
四、基本策略设定及常见问题排除
4.1策略设定概述
路径:
客户端->组->策略。
策略设定如下图表所示,常用策略设置如下:
1、通信设置
Ø服务器管理列表。
选择与所在组通信的服务器。
Ø下载。
设置客户端从服务器下载策略的模式,可以为推模式(服务器主动向客户端推送)或者拉模式(客户端主动向服务器获取)。
Ø上传。
是否获知在客户端计算机上运行的应用程序。
Ø检测信号时间间隔,用于下载、上传策略检测的时间。
Ø下载随机化。
是否启用下载随机化,及启用后随机时间间隔。
2、常规设置
安全设置。
是否启用:
需要密码才能打开客户端用户界面、需要密码才能停止客户端服务、是否需要密码才能导入导出策略、需要密码才能卸载客户、防止symantec安全软件被篡改或者关闭以及程序试图篡改或关闭symantec客户端时采取的操作(记录或阻止)。
3、应用程序与设备控制策略
图表45
4.2应用程序与设备控制策略
点击上图表中的“应用程序与设备控制策略”,可进入并编辑该策略。
该策略包括应用程序控制和设备控制两个部分,如下图表所示。
图表46
4.2.1应用程序控制
该策略默认有如下选项,可以做如下设置:
Ø设置对U盘设备的读、写控制
Ø禁止U盘设备中程序的运行
Ø禁止对主机文件的修改
Ø记录写入到USB驱动器程的文件
4.2.2设备控制
如果某用户所在组的策略设置USB禁止写,可能会导致某些USB设备(如打印机、扫描仪等)无法正常使用,这时候需要对该USB设备进行设备例外设置。
步骤如下:
1、找出要例外的设备ID
在一台USB未受限制的正常机器上用工具“DevViewer.exe”检测出要做USB例外设备的类ID或者设备ID.如下图45所示,guid为设备类ID,deviceid为设备ID。
这里为一个设备做例外,所以选择deviceid即可,guid影响范围比较广或者与其他设备控制有冲突,慎用并且需要做大量测试。
图表45
2、把设备ID或类ID添加到全局策略的硬件设备中。
策略->硬件设备,如下图46所示:
图表46
右键点击添加,如下图47所示,填入设备ID或者设备类ID.
图表47
3、把该设备添加设备控制策略中的不禁止设备列表。
找到该用户所在组,点击该组策略->应用程序和设备控制->设备控制,在不禁止的设备栏点击“添加”,在弹出列表中找到并选中上面添加的设备,点击完成,见下图48。
到此,对该用户的USB设备例外设置就已完成,客户端更新完策略后该组客户端即可对该USB设备例外设置生效。
目前交行对USB做例外的具体设置有USB接口打印机、USB接口摄像头。
图表48
4.3SEPM登录密码丢失
如果SEPM登录密码丢失,可以在系统安装路径下D:
\symantecendpointprotectmanager\tools目录下打开sepmresetpass.bat文件,这时管理员用户及密码都会初始为admin。
另外,可以设置账号尝试登录次数,超过尝试登陆次数后账号是否锁定,以及锁定后是否隔一定时间自动解锁。
以上设置可见2.5.1中图34设置。
4.4USB设备例外设置
4.5客
升级会员 