VRVedp北信源内网管理系统用户使用手册文档格式.docx
《VRVedp北信源内网管理系统用户使用手册文档格式.docx》由会员分享,可在线阅读,更多相关《VRVedp北信源内网管理系统用户使用手册文档格式.docx(94页珍藏版)》请在冰豆网上搜索。
系统用户分配与管理36
用户设置39
数据重整39
审计用户40
第三章北信源补丁及文件分发管理系统42
区域管理器补丁管理设置42
补丁下载配置42
文件分发策略配置43
策略中心43
补丁分发策略43
软件分发策略46
其他策略47
补丁分发47
补丁自动下载分发48
补丁下载服务器48
补丁库分类49
补丁下载转发代理49
客户端补丁检测
(一)50
客户端补丁检测
(二)52
第四章北信源主机监控审计系统53
策略中心53
行为管理及审计53
涉密检查策略55
其他策略55
数据查询55
第五章北信源移动存储介质使用管理系统57
策略中心57
可移动存储管理57
其他策略57
数据查询57
第六章北信源网络接入控制管理系统59
网关接入配置认证59
策略中心60
接入认证策略60
其他策略64
环境准备方法64
安装RADIUS(windowsIAS)64
各厂商交换机配置83
Cisco2950配置方法83
华为3COM3628配置84
锐捷RGS21配置87
第七章北信源接入认证网关89
网关接入配置认证89
策略中心90
第八章系统备份及系统升级92
系统数据库数据备份及还原92
系统组件升级92
区域管理器、扫描器模块升级92
升级网页管理平台93
客户端注册程序升级93
检查系统是否升级成功93
级联管理模式升级及配置93
附录95
附录
(一)北信源内网安全管理系统名词注释95
附录
(二)移动存储设备认证工具操作说明95
USB标签制作95
USB标签制作工具97
USB标签制作历史查询108
移动存储审计策略109
移动存储审计数据110
附录(三)主机保护工具操作说明110
附录(四)组态报表管理系统操作说明111
模版制定111
报表输出117
附录(五)报警平台操作说明120
设置120
日志查询123
窗口123
更换界面124
帮助124
附录(六)漫游功能说明124
漫游功能介绍124
漫游功能配置126
附录(七)IIS服务器配置说明130
WIN2003-32位IIS配置说明130
WIN2003-64位IIS配置说明132
WIN2008-64位IIS配置说明134
图目录
图1-1北信源终端安全管理应用拓扑4
图2-1创建新策略5
图2-2下发策略6
图2-3策略控制6
图2-4硬件设备控制8
图2-5软件安装监控策略10
图2-6进程执行监控策略11
图2-7进程保护策略12
图2-8协议防火墙策略15
图2-9注册表16
图2-10IP与MAC绑定策略17
图2-11防违规外联策略19
图2-12违规提示19
图2-13文件备份路径设置23
图2-14注册码配置25
图2-15阻断违规接入控制设置26
图2-16本地注册情况信息26
图2-17本地设备资源信息27
图2-18本地设备类型统计27
图2-19软件变化信息28
图2-20注册日志信息29
图2-21交换机扫描管理配置32
图2-22设备信息统计图表33
图2-23级联设备信息34
图2-24级联设备系统类型统计34
图2-25级联管理控制35
图2-26下级级联区域管理器信息35
图2-27区域管理器状态信息35
图2-28区域扫描器状态信息35
图2-29级联上报数据36
图2-30系统用户列表36
图2-31添加系统用户界面37
图2-32用户管理列表37
图2-33终端控制权限38
图2-34屏幕监控权限38
图2-35密码初始化提示框39
图2-36密码初始化完成提示框39
图2-37修改admin用户密码39
图2-38数据重整信息表40
图2-39审计用户登录40
图3-1区域管理器补丁管理设置42
图3-2分发参数设置43
图3-3补丁自动分发45
图3-4补丁下载服务器界面48
图3-5补丁下载服务器设置49
图3-6补丁代理传发支持50
图3-7补丁下载设置50
图3-8登录页面51
图3-9工具下载页面51
图3-10补丁检测中心52
图3-11客户端补丁漏打检测52
图6-1网关接入认证59
图6-2重定向配置60
图6-3用户添加60
图6-4补丁与杀毒软件认证策略61
图6-5接入认证策略62
图6-6802.1x认证界面63
图6-7802.1x认证界面63
图6-8安全检查没有通过,802.1x不启动认证63
图6-9认证失败63
图6-10添加Internet验证服务组件65
图6-11IAS配置界面65
图6-12新建RADIUS客户端66
图6-13新建RADIUS客户端66
图6-14新建远程访问策略67
图6-15设置远程访问策略67
图6-16设置远程访问策略68
图6-17设置远程访问策略选择用户68
图6-18设置远程访问策略使用MD5质询69
图6-19设置远程访问策略新建的策略69
图6-20选择Day-And-Time-Restrictions70
图6-21选择允许70
图6-22设置属性71
图6-23添加属性值vlan71
图6-24添加属性值80272
图6-25添加属性值60072
图6-26添加属性值60073
图6-27编辑拨入配置文件73
图6-28新建连接请求策略74
图6-29为策略取名字74
图6-30策略配置75
图6-31添加远程登录用户75
图6-32设置用户属性76
图6-33设置test用户76
图6-34设置启用77
图6-35VRVEDPAgent认证成功77
图6-36创建用户界面78
图6-37用户添加78
图6-38设置用户密码79
图6-39进入NetworkConfiguration79
图6-40AAAClient配置80
图6-41AAAServer配置80
图6-42进入InterfaceConfiguration81
图6-43进入RADIUS(IETF)81
图6-44进入GroupSetup82
图6-45进入EditSettingsp82
图7-1网关接入认证89
图7-2重定向配置90
图7-3用户添加90
图7-4网关接入认证策略90
图8-1级联管理配置94
附图-1修改用户adminUSB标签96
附图-2下载DeviceNumber.exe96
附图-3全局参数97
附图-4UsbTool登录99
附图-5UsbTool界面99
附图-6分区格式化100
附图-7制作移动硬盘标签1100
附图-8制作移动硬盘标签2101
附图-9制作移动硬盘标签3101
附图-10制作移动硬盘标签4101
附图-11制作移动硬盘标签5102
附图-12制作移动硬盘标签6102
附图-13制作移动硬盘标签7103
附图-14制作移动硬盘标签8103
附图-15制作移动硬盘标签9103
附图-16制作移动硬盘标签10104
附图-17制作移动硬盘标签11104
附图-183个分区的优盘和移动硬盘内网登录界面105
附图-19整盘加密的优盘和移动硬盘内网登录界面105
附图-20外网插入3个分区的优盘或移动硬盘盘符105
附图-21交换区登录界面106
附图-22外网插入整盘加密优盘或移动盘符106
附图-23信息提示106
附图-24UsbTool登录107
附图-25UsbTool界面107
附图-26初始化密码108
附图-27标签历史查询108
附图-28访问控制配置说明110
附图-29DOS/DDOS配置说明111
附图-30创建模板112
附图-31确定报表标题及报表尾112
附图-32定义报表输入项113
附图-33确定输出条件113
附图-34确定关联114
附图-35保存模板115
附图-36修改模板名称115
附图-37修改模版的输出标题和表尾116
附图-38修改输出列选项116
附图-39修改关联选项117
附图-40修改时间范围统计117
附图-41模板预览118
附图-42输出excel报表模板信息118
附图-43时间定义119
附图-44模板导入119
附图-45模板导出120
附图-46报警平台设置120
附图-47高级设置121
附图-48报警设置上122
附图-49报警设置下122
附图-50日志查询123
附图-51报警中心界面123
附图-52漫游示意125
附图-53结合接入认证漫游示意图125
附图-54CA服务器界面126
附图-55区域管理器配置界面126
附图-56客户端迁移策略配置界面127
附图-57重原管理区漫游出去的客户端127
附图-58漫游到新管理器的客户端128
附图-59进去漫游组中的漫游客户端128
附图-60漫游回原管理器的客户端129
附图-61漫游查询状态选项129
附图-62IIS服务管理器130
附图-63虚拟目录属性131
附图-64选择用户域组131
附图-65用户域组高级选项132
附图-66用户属性变更132
附图-67命令执行结果133
附图-68输出结果133
附图-70添加角色向导134
表目录
表2-1策略的高级设置参数说明7
表2-2硬件设备控制参数说明8
表2-3软件安装监控策略参数说明9
表2-4进程执行监控策略参数说明11
表2-5用户密码策略参数说明13
表2-6协议防火墙策略参数说明15
表2-7注册表检查策略参数说明15
表2-8IP与MAC绑定策略参数说明16
表2-9杀毒软件运行监控17
表2-10防违规外联策略参数说明19
表2-11运行资源监控策略参数说明20
表2-12进程异常监控策略参数说明21
表2-13流量采样策略参数说明21
表2-14流量控制策略参数说明22
表2-15消息推送策略参数说明23
表2-16客户端文件备份策略参数说明23
表2-17终端配置策略参数说明24
表3-1区域管理器补丁管理参数说明42
表3-2补丁自动分发策略参数说明44
表3-3人工选择补丁分发策略参数说明46
表3-4普通文件分发策略参数说明46
表3-5补丁下载设置参数说明51
表4-1文件输出审计策略参数说明53
表4-2上网访问审计策略参数说明54
表4-3文件内容检查策略参数说明55
表6-1补丁与杀毒软件认证策略参数说明61
表6-2VIFR接入认证策略参数说明64
附表-1移动存储审计策略参数说明110
第一章概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。
需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。
请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
产品构架
北信源终端安全管理产品由8部分组成:
WinPcap程序、SQLServer管理信息库(安装包:
环境初始化程序)、Web中央管理配置平台(安装包:
网页管理平台)、区域管理器(安装包:
RegionManage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:
注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序
SQLServer管理信息库,建立北信源终端安全管理产品的初始化数据库。
初始化的信息包括:
网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。
扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
网页管理平台(web管理平台)
Web中央管理配置平台,本系统的管理配置中心。
包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
RegionManage
区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。
比如:
接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;
接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上报(转发),对网络终端的多级管理。
区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。
将发现的设备信息交由区域管理器处理。
、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。
扫描器只依据Web管理平台中配置的工作范围进行扫描,如果终端IP超越其范围,将不负责执行操作。
Winpcap程序
嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序
将接收并执行服务器下发的指令。
该程序可以在“工具下载->
用户注册器下载”处下载。
访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。
注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。
用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
进行本机硬件属性信息变化监视;
进行本机IP、MAC地址变化审计;
本机系统补丁、软件安装、运行进程状况监测;
探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
接受Web管理平台的管理命令;
阻断本机非法外联行为;
执行Web管理平台下发的各种策略操作。
补丁下载服务器
安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMPTrap、手机短信等多种报警方式。
应用构架
北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:
对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
扩展构架:
对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源终端安全管理的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-1北信源终端安全管理应用拓扑
第二章北信源内网安全管理系统
策略中心
策略管理中心
策略的使用
策略的创建和分发
1..在“策略管理中心”中左侧的策略项中点击需要制定的策略,然后在右侧的【策略名】中输入相应的策略名称,单击【创建新策略】按钮开始创建策略。
图2-1创建新策略
注:
在策略的定义中使用了一些特别的关键字符,这些特殊的字符不应该在策略内容中出现。
否则可能会出现无法预料的系统错误。
这些字符包括:
"
>
<
'
/="
(大于,小于,单引号,反斜线,等于)。
2.根据实际需求配置策略,单击【保存策略】完成策略的创建。
(由于各个策略项的配置过程都不一样,下一节将具体介绍)
3.下发策略,即指定策略的执行对象。
通过单击【对象】按钮,可按界面提示完成对象的分配。
如下图所示:
图2-2下发策略
4..如果需要让某一条策略暂时不使用,可通过【停用】按钮使策略失效,需要使用的时候再单击【启用】按钮使策略生效。
如果想要删除某一条策略,则直接按【删除】按钮即可。
如下图所示,
图2-3策略控制
策略的高级设置
策略的高级设置用于策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
参数
说明
策略名称
此处可以修改策略名称
风险级别
分为低、中、高三个级别
停用锁定
选中【锁定对策略的停用操作】后,策略列表中的【停用】功能将不起作用,用于防止用户的误操作。
策略状态
制定策略的状态:
启动/停止
策略存活时间范围
即策略以天为单位的存活时间段
策略无效工作日
即可在一星期中选中一天或多天使策略无效
策略无效时间段
即策略以分为单位的无效的时间段
策略有效用户
指登录操作系统的用户。
当执行该策略时,先判断此用户是不是有效用户,是有效用户则执行,否则不执行。
策略有效网关
有效网关:
客户端所在内网的网关;
当执行该策略时,先判断是不是有效网管,是则执行该策略,否则不执行。
策略有效网络
内网:
能与本服务器通讯的属于内网;
外网:
与本服务器不能通讯,且不能与客户端所在网关通讯的属于外网。
克隆机策略
克隆机:
将已经注册了本系统的客户端的系统做成镜像(gost),还原到某计算机上,则该计算机称之为克隆机。
只有克隆机(gost系统)执行本策略,非克隆机不执行。
表2-1策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况:
(1)策略管理中心-->
策略下发查询
(2)终端管理-->
终端管理-->
当前执行策略
策略分发间隔默认为1分钟;
有的策略需要重新启动生效,请看每条策略的具体说明。
具有审计功能的策略,审计数据可以在“数据查询审计数据查询”中查看。
黑白名单编辑
进程黑白名单
进程黑白名单在“进程监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
编辑进程黑白名单时包括:
进程名、产品名、源文件名等;
如果是服务则只可以加服务名,同时可以加一些描述。
软件黑白名单
软件黑白名单在“软件安装监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
URL黑白名单编辑
URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
端口黑白名单编辑
端口黑白名单在“协议防火墙策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
硬件设备控制
功能说明:
控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。
参数说明:
不处理、启用、禁用
本策略中所能控制的硬件,都需要能够在windows系统设备管理器中进行禁止和启用。
例外
选择【启用】时将禁用例外中的设备,选择【禁用】时将启用例外中的设备,【不处理】选项保持原来的状态无变化,提高系统管理性能,如果对某项不关心可以选择该项。
例外设备添加方法:
右击我的电脑属性硬件设备管理器,出现设备列表。
该策略控制叠加到之前的策略基础之上
选中此项时:
如果有多条此类策略,终端执行效果将是多条策略设置叠加后执行的效果。
如果不选择该项,终端只支持单独一条策略,新下发的策略将覆盖原来的策略配置。
取消对设备管理器的的拦截操作
默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备,如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。
审计结果处理
上报服务器:
就是将审计记录上报到服务器并进行记录。
当客户端脱离网络时无法上报到服务器就记录到本地,等客户端接回网络时再上报到服务器。
记录到本地文件:
会在本地生成文件记录审计信息。
起到在本地备份的作用。
表2-2硬件设备控制参数说明
注意事项:
1.如果要对原来禁用的设备启用,最好是明确的为该设备制定一条启用策略。
2.禁用u盘、软驱、光驱等一部分功能,在行为管理与审计策略中的可移动存储审计策略中也可完成,功能上没有什么区别,用户可以根据自己的习惯,自行设定。
策略实例:
允许使用光驱,但是禁止使用刻录光驱。
比如有两个光盘驱动器,分别为:
GenericDVD-ROMSCS
升级会员 