桌面管理产品手册.docx

桌面管理产品手册.docx

《桌面管理产品手册.docx》由会员分享，可在线阅读，更多相关《桌面管理产品手册.docx（104页珍藏版）》请在冰豆网上搜索。

桌面管理产品手册

NetStrong使用说明书

网强信息技术（上海）有限公司

2010-6-30

版权声明

法律声明

本文档中的信息如有更改，恕不另行通知。

©（2009）NetStrongInformationTechnology（Shanghai）CorporationLimited。

版权所有，翻印必究。

未经NetStrongInformationTechnology（Shanghai）CorporationLimited书面许可，除非版权法允许，不准以任何形式对本文档进行复制、改编或翻译。

网强®信息技术（上海）有限公司对本手册不作任何担保包括但不限于适销性和特定用途适用性的隐含担保。

网强®信息技术（上海）有限公司对本手册中包含的错误以及与其功能或使用有关的直接、间接、特殊、偶发或者继发性损失不负任何责任。

保修

网强®信息技术（上海）有限公司承诺若是在保修期间（自您收到软件之日起的三十天内）装载软件的介质确实出现质量问题，网强®信息技术（上海）有限公司将视情况而定，绝对负责更换相同类型的软件介质产品。

网强®信息技术（上海）有限公司保证，更换的软件介质，其品质完全相同。

可以从当地销售与服务机构索取适用于您所购买的NetStrong网强®产品及更换部件的特定保修条款。

有限权利许可

与许可协议一起提供的软件是网强®信息技术（上海）有限公司或其授权者的财产，受到版权法的保护。

网强®（信息技术（上海）有限公司拥有该软件最终所有权，您只要接受本许可协议，即可具有一定的使用权利。

除非本许可证协议的补充协议有所修改，否则您使用本软件的权利和义务仅限如下：

（1）若在装载本软件的介质中只包含一个版本，则只能安装一套软件，若介质中包含该软件的多个版本，则只能安装和使用其中一个版本的副本。

（2）对软件介质中装载的文件进行备份，或者复制到计算机硬盘中而将原始文件作为档案进行保存。

（3）若您不保留该软件的副本，并接受被转让人同意遵守本许可协议的条件，在您向网强®信息技术（上海）有限公司发出书面通知以后，得到网强®信息技术（上海）有限公司的官方允许，可以将该软件介质永久性的转让给个人或公司实体。

（4）不可以复制复制本软件附带的相关文档

（5）不可以再次授权、出租、或出借本软件的任何部分

（6）不可以通过反向工程、反编译、反汇编、修改、翻译和其他方法来试图获取该软件的源代码，或用该软件进行派生工作。

商标许可

NetStrong，网强®

是在中国的注册商标由NetStrongInformationTechnology（Shanghai）CorporationLimited独家授权。

本文档中使用的商标：

Intel和Pentium是IntelCorporation的注册商标；Microsoft、Windows、WindowsNT是MicrosoftCorporation的注册商标。

本文档中述及的其它商标和产品名称是指拥有相应商标和产品名称的公司或其制造的产品，NetStrongInformationTechnology（Shanghai）CorporationLimited对其它公司的商标和产品名称不拥有任何专利权。

注意：

（1）本操作手册需要统一制作和印刷，软件中包含的某些功能模块需要另外购买，因此不能保证所安装的软件产品中具有本操作手册中所描述的某些功能模块。

（2）网强®信息技术（上海）有限公司仅允许您在接受许可协议中的各项条款的情况下，才可以使用本软件产品。

请仔细阅读各项条款。

目录

第一章服务器部署1

服务器要求1

服务器硬件要求1

服务器软件要求1

服务器软件配置1

安装IIS和SMTP1

Office组件配置3

服务器安装4

第二章服务器基本配置5

基本配置5

创建域并添加域管理范围5

添加组织结构6

更新注册程序和打包注册程序6

第三章客户端部署9

客户端部署9

网页注册方式9

分发客户端注册程序11

第四章功能点说明13

系统分析13

事件统计13

资源统计13

注册统计14

设备统计15

系统管理16

全局配置16

系统配置16

扫描器管理16

注册管理17

注册程序管理17

终端升级控制17

设备注册控制17

注册终端卸载18

未注册阻断列表18

系统用户19

用户管理19

系统权限20

登录用户21

我的用户21

访问权限21

数据库管理21

系统日志22

登陆日志22

操作日志22

资产管理23

设备管理23

注册设备管理23

分组管理26

未注册设备管理27

设备开关机27

资产统计27

软件资产分类28

硬件资产28

软件资产28

IP资源统计29

硬件变更29

软件变更30

策略介绍31

什么是策略31

策略由哪几部分组成31

策略的种类31

策略的执行方式31

策略怎么配置31

策略创建31

基本策略31

高级选项31

分配对象32

策略的日志32

接入控制33

控制策略33

非法外联控制33

IEEE802.1x认证35

日志查询35

非法外联控制日志35

终端安全36

系统知识库36

知识库采集配置36

文件知识库36

终端服务36

终端点对点服务36

远程协助38

文件分发40

软件部署与安装检查41

安全策略41

进程执行控制41

服务执行控制42

外设接口控制42

网络接口控制43

防火墙策略43

用户账号策略43

Arp防护44

共享管理45

事件日志45

文件分发日志45

软件部署日志45

进程执行控制日志45

服务执行控制日志46

外接接口控制日志46

网络接口控制日志46

用户帐号事件日志47

共享事件查询日志47

用户行为48

配置管理48

URL仓库48

行为策略48

上网行为审计48

上网行为控制49

FTP行为审计50

FTP行为控制51

本地文件审计51

剪贴板审计52

光驱使用控制52

邮件行为审计52

邮件行为控制53

访问共享审计54

即时通讯审计54

用户行为日志55

上网行为审计日志55

上网行为控制日志55

FTP行为审计日志55

FTP行为控制日志55

本地文件审计日志55

剪贴板审计日志55

光驱使用记录日志55

邮件行为审计日志55

邮件行为控制日志56

共享行为审计日志56

即时通讯审计日志56

运维管理57

运维策略57

网络数据包捕获57

运维查询58

网络数据包统计分析58

网络数据包事件日志58

移动介质60

安全移动介质的制作60

安全介质标签管理使用说明62

什么是“标签”62

怎么管理标签62

为安全移动介质打上标签63

移动介质的管理63

安全移动介质的使用管理63

移动介质策略管理64

操作日志65

安全介质操作日志65

安全介质使用日志66

普通介质使用日志66

安全介质变更日志66

安全移动介质的注销和重新注册67

客户端安全浏览器UDE的使用说明67

安全移动介质在内网中的使用67

安全移动介质在外网中的使用69

补丁分发70

分发配置70

补丁列表70

补丁策略71

补丁测试策略71

补丁安装策略72

补丁卸载策略72

统计分析72

补丁策略分析72

全网补丁安全分析73

终端补丁统计73

补丁安装结果分析73

补丁分发日志统计74

补丁卸载日志统计74

级联管理75

级联管理75

级联配置75

级联审核76

管理中心拓扑76

管理中心日志77

安全策略77

行为策略77

站点策略77

级联订阅78

订阅策略78

级联数据78

级联设备78

级联数据日志79

级联数据分析79

系统报表79

报表管理79

报表管理79

报表策略80

数据统计分析80

图形统计报表81

对比分析报表82

临时报表82

报表日志82

报表日志82

第一章服务器部署

●服务器要求

⏹服务器硬件要求

◆CPU推荐四核1.6（及其以上）最低双核2.0

◆内存推荐4G（及其以上）最低2G

◆硬盘推荐500G（及其以上）最小80G

◆网卡推荐1000M网卡（及其以上）最低100M网卡

⏹服务器软件要求

◆WindowsServer2003系统（至少安装SP1补丁，建议安装SP2补丁）

◆MicrosoftSQLServer2005中文版（标准版、企业版）及其以上版本（不支持MSSQLServer2000数据库）

◆MicrosoftOffice2003及其以上版本（至少安装Word和Excel）

◆IIS6.0（需要安装SMTP服务）

◆MicrosoftFramework.Net2.0

●服务器软件配置

⏹安装IIS和SMTP

首先在服务器光驱中放入WindowsServer2003的安装光盘。

依次打开【控制面板–添加或删除程序–添加/删除Windows组件】，并找到应用“应用程序服务器”，点击进入之后，找到“Internet信使服务（IIS）”，在其前边点上对勾，再从“Internet信使服务（IIS）”点击进去，找到“SMTPService”并在其前边点上对勾。

然后依次点击“确定”，如果弹出插入光盘的提示，请先核对光盘是否正确，光驱是否能够正常读取光盘，以及Windows提示的安装位置是否正确，如果安装位置不正确，需要用户手工输入正确的文件地址。

选择IIS部分的操作截图如下：

对SMTP服务的中继服务进行配置，如下图所示：

安装完成IIS之后，需要确保IIS上的“Web服务扩展”中的Asp2.0项启用（由于IIS和MicrosoftFramework.Net2.0的安装顺序可能会导致“Web服务扩展”中的Asp.Net2.0组件被禁用的情况，

⏹Office组件配置

依次打开【控制面板–管理工具–组件服务】，并在【组件服务】中依次找到【组建服务–计算机–我的计算机–DCOM配置】，在【DCOM配置】中找到【MicrosoftExcel应用程序】和【MicrosoftWord文档】项，对其“属性”中“安全”选项卡中【启动和激活权限】、【访问权限】、【配置权限】三项中分别添加“NETWORKSERVICE”用户，并对该用户赋予全部权限，如下图所示：

●服务器安装

双击setup.exe启动安装程序，依次选择MSSQLServer数据库服务器，并输入管理员用户名和密码，选择安装目录，进行安装即可。

第二章服务器基本配置

在使用系统之前需要对系统进行基本的配置，配置需要通过IE浏览器（IE6、IE7、IE8）或者IE内核的浏览器进行配置，并使IE浏览器打开JavaScript脚本支持（不支持：

MozillaFirefox、NetscapeNavigator、Opera、GoogleChrome等非IE内核浏览器）。

使用浏览器登录到管理平台，需要注意区分主机名和虚拟目录名，登录账号和密码为安装程序中设置的用户名和密码。

特别注意：

第一次登录的时候，需要选择本套系统的工作模式：

【集权模式】和【三权分离】，如下图所示：

一旦选择了工作模式，在以后的使用中即无法修改其工作模式。

请根据页面提示信息，选择适合的工作模式。

●基本配置

⏹创建域并添加域管理范围

“域”是用来对内网中的设备以IP为依据，进行管理的集合。

首先需要添加一个“域”，域的名称可以是任意的，便于管理员管理即可，“域”的管理范围有以下三种【管理IP】、【扫描IP】、【保留IP】。

◆【管理IP】：

一个IP范围或一个IP地址，本管理IP范围内的计算机可以在服务器上进行注册并接受管理，在该范围内的未注册设备会被阻断网络通讯。

◆【扫描IP】：

一个IP范围或一个IP地址，本扫描IP范围内的计算机可以在服务器上进行注册并接受管理，在改范围内的未注册设备不会被阻断网络通讯。

◆【保留IP】：

一个IP范围或一个IP地址，本保留IP范围内的计算机无法在服务器上进行注册也无法接受管理。

如下图所示：

⏹添加组织结构

组织结构是便于管理员对本系统所管辖范围内的计算机从逻辑上进行区分，建议该逻辑采用行政级别划分。

⏹更新注册程序和打包注册程序

完成了对域的配置和组织结构的配置之后，就可以对客户端的注册程序进行配置了，如下图所示：

其中组织结构是属于注册信息中的必选项，而其它的信息可由管理员进行配置，可以选择相应的注册信息是否是“必填项”。

如果选用了【静默注册】则注册密码项不生效。

注册密码：

用于客户端通过浏览器进行注册的时候进行身份认证，建议在非系统部署阶段将该密码进行修改，以提高内网系统中的设备的可信性。

DMZ通讯IP：

适用于需要将服务器的IP地址在和被管理设备进行IP地址转换的情况下适用，例如将NetStrong服务器安装到了DMZ服务区，或者适用NAT进行了地址转换等情况。

DMZ通讯IP地址需要配置成被转换的地址，而非当前服务器的真实IP地址；而DMZ的通讯端口需要和服务器的688端口做好映射关系，在通讯端口配置好映射的端口即可。

（如果没有IP地址转换的话，则无需进行DMZ项的配置）

注册信息项扩展：

当系统默认的注册信息项不能满足实际需求的时候，管理员可以通过点击【系统管理>注册管理>注册程序配置】页面上的【编辑扩展字段】按钮，对需要的信息进行扩充。

目前扩充的信息有两种形式：

“文本框”和“列表框”。

如下图所示。

特别注意：

当管理员变更了【域管理范围】、【组织结构】、【注册信息项】、【注册密码】的时候，务必要点击页面上的【打包注册程序】进行打包，只有经过打包，注册页面以及相应的注册信息才会进行更新。

*打包：

对注册程序的更新以及重新制作的过程。

完成了上述三步之后，即完成了服务器基本配置，就可以开始进行客户端注册了。

在操作接口上有【系统配置向导】按钮，点击它可弹出服务器基本配置向导，可按照该提示完成服务器基本配置，如下图所示：

第三章客户端部署

●客户端部署

客户端部署有以下两种方式：

一是采用网页注册的方式；二是采用分发客户端注册程序的方式。

下面就两种部署方式分别进行介绍。

⏹网页注册方式

网页注册：

为用户提供了通过IE浏览器（或者基于IE浏览器的）

下面详细介绍操作流程。

1）首先安装好web控制中心和中心服务器。

使得客户端可以通过web控制中心页面正常的访问中心服务器。

如下图所示：

终端用户可以通过IE浏览器正常访问web控制中心

确保中心服务器正常启动、进程正常运行

2）终端用户访问web控制中心

点击web控制中心页面上的“客户端注册”按钮进行注册。

如第一次注册会提示客户端未安装注册插件，根据IE安全级别设置的不同可能会阻止IE下载ActiveX插件或者停止安装Active插件下载。

如下图所示：

打开IE的“Internet选项”，找到“安全”选项卡，将“可信站点”的安全级别设置为“低”（根据IE版本不同，该项设置的最低安全描述可能会是“中低”，如遇到该情况，请在“本地Intranet”中进行web控制中心平台的设置），并在“站点”中添加web控制中心的访问地址。

如下图所示：

对web控制中心的地址进行添加

依次确定之后，重新访问注册页面，会根据IE安全级别设置的不同分别弹出以下两种对话框。

点击“是”允许ActiveX进行交互操作

点击“安装”进行IE插件安装

依次添入注册信息，并点击注册按钮完成注册。

3）客户端重新注册

客户端允许重新注册，重新注册的过程同上一步。

会弹出询问对话框，点击“确定”进行重新注册。

重新注册

⏹分发客户端注册程序

1）在通过“系统配置向导”进行基本配置并完成“打包注册程序”步骤后，客户端注册程序就已生成在服务器目录。

只需将该注册程序拷贝出来分发给客户端即可完成客户端注册。

注意：

以分发客户端注册程序的方式进行客户端注册的时候，要求在进行系统基本信息配置的时候，不能配置注册密码，即在操作“更新注册程序”步骤的时候请不要勾选启用“注册密码”选项；如启用过，请关闭“注册密码”选项，并依次点击“确定更新”和“打包注册程序”按钮。

如下图所示。

打包注册程序前请确认“注册密码”选项没有启用

2）在服务器上找到安装中心控制台的安装目录，并依次打开...\NetStrong\WebConsole\bin\DownLoad，在该目录下存在一个由数字描述的文件夹，打包好的客户端注册程序就在该目录下。

3）将找到的RegistPkt.exe文件进行分发，完成客户端注册过程。

说明1：

使用客户端注册程序进行注册的用户，其组织结构会被列到第一个根目录下。

说明2：

使用其它的系统分发RegistPkt.exe的时候，让客户端自动运行的话，不需要对RegistPkt.exe程序进行参数设置。

第四章功能点说明

●系统分析

本节内容介绍了系统分析功能下所展现的数据的含义以及相应的操作。

系统分析下主要展现了终端用户行为日志统计、终端设备资源统计、内网用户注册统计和内网设备统计。

⏹事件统计

事件统计主要对内网终端用户行为的记录进行数量统计，并可根据用户行为类型进行用户定义时间段的走势分析。

可选取按照日、周、月、季度和自定义范围进行展现。

⏹资源统计

资源统计对内网终端设备进行统计，从主要的硬件（CPU、硬盘、内存）对内网终端资源进行展现，除此之外对内网终端设备的软件（操作系统、杀毒软件）进行信息采集，进行展现。

⏹注册统计

注册统计对内网中所能扫描到的网段中的设备进行扫描，并对注册设备和未注册设备进行统计。

同时提供对历史注册情况的查询功能。

⏹设备统计

设备统计提供了对可扫描的网段内的设备的注册情况按照是否在线和设备类型进行统计的展现。

●系统管理

系统管理提供了对管理本套系统的基本配置，主要包含以下几方面的内容：

系统管理域配置、系统组织结构配置、用户注册信息配置、下级管理员建立和权限分配、登录用户管理、数据库查看、登录日志查看等。

⏹全局配置

在控制选项中对系统左上角的logo进行配置，对远程协助的密码进行配置。

⏹系统配置

系统配置中对系统域管理范围和内网组织结构进行配置。

这两项配置需要在初次使用系统之前进行配置，否则无法正常使用本系统。

详细配置请参看“第二章服务器基本配置-基本配置过程-创建域并添加域管理范围”和“第二章服务器基本配置-基本配置过程-添加组织结构”部分。

◆扫描器管理

扫描器管理实现了对内网中设备进行指定扫描器的操作。

*扫描器：

用来发送扫描器探测包的设备。

如果一个域中安装了任意一个代理程序，那么就会在该管理域中，对内网上的设备进行扫描。

这样专门的一个安装了代理程序的设备，我们称之为扫描器。

扫描器的管理页面如下：

如上图所示，在左侧的“当前扫描器”一栏中，显示的是在当前网段中正在充当扫描器的设备。

在右侧的选择列表中，可以选择指定的扫描器，通过“添加”按钮，将选中的扫描器放到“扫描器配置列表”中。

如果扫描器配置列表中的设备都关机的话，则会从开机设备中自动的选择一台设备作为扫描器。

出现如上图所示的情况。

如果要修改当前“扫描器配置列表”，只需要更改扫描器配置列表（添加或者删除扫描器），然后点击“启用更改配置”按钮。

如图所示：

⏹注册管理

◆注册程序管理

注册管理提供了客户端注册程序的配置功能，在该页面上可以对客户端注册程序进行配置。

详细配置请参看“第二章服务器基本配置-基本配置过程-更新注册程序和打包注册程序”部分。

◆终端升级控制

终端升级控制提供了对终端设备代理程序（探头程序），进行升级的控制的功能。

在内网中部署好的设备，在升级情况下需要保证代理程序不会因为升级而造成灾难性破坏，例如蓝屏、系统死机、代理程序性能等现象。

终端升级控制，允许小部分测试设备先进行升级，通过测试之后再进行大面积升级的功能。

如图：

图中提供了两种升级方式：

1、全网升级。

2、升级以下列表中的对象。

下面就这两种方式进行说明：

全网升级：

不需要配置“分配对象”，当管理员决定对内网中所有的设备进行升级的时候，只需要选择“全网升级”并对策略进行保存和重启就可以完成全网设备升级。

升级以下列表中的对象：

对升级对象进行配置，仅仅对配置了的终端进行升级。

注意：

在测试过程中升过级的设备，在配置了全网升级策略的时候，将不会再次升级。

如果探头重新安装，则会在收到升级策略之后进行升级。

◆设备注册控制

设备注册控制提供了对接入内网设备注册情况的管理。

如果接入的内网设备没有进行注册的话，则可以通过开启对未注册设备的阻断，使未注册设备无法上网。

如果只是想要对未注册的设备发出警告的话，则可以选择警告提示即可。

如图所示：

◆注册终端卸载

注册终端卸载提供了对已经注册的设备的注册终端进行卸载的功能。

如图所示：

终端卸载可以按照组织结构、IP范围和设备对象分别进行卸载，添加好卸载设备之后，点击“确定卸载”按钮确认卸载。

◆未注册阻断列表

未注册阻断列表主要是在开启了“设备注册控制”中的“没有注册则阻断联网”功能之后（如下图），设备的通讯被阻断，其阻断信息会在该页面展现。

对于没有注册且被阻断的设备，管理员可以通过该页面上的“取消阻断”按钮，对阻断的非注册设备取消断网功能，也可以通过“设置阻断”按钮，持续对非注册设备的断网阻断功能。

如下图：

⏹系统用户

系统用户提供了对下级管理员的管理和权限分配的功能。

◆用户管理

用户管理：

为顶级管理员或者有用户管理权限功能的下级管理员创建下级管理员的功能。

如图所示：

在用户管理页面可以创建下级“管理用户”，每个创建出来的管理用户，其初始密码是123456。

可以对用户有效期进行设置，默认情况下用户为永不过期的。

*三权模式下的区别：

在三权模式下，系统管理员可以创建管理用户和策略管理用户。

日志管理员（audit）负责创建日志审计用户。

◆系统权限