5.1.7 创建瑞星客户端行为审计策略模板

一、    瑞星客户端行为审计-默认策略
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-默认策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【文档审计】、【文档打印审计】、【邮件审计】、【设备审计】、【网络审计】、【联网程序管理】、【对外攻击拦截】、【共享资源管控】、【网络流量管理】和【非法外联管控】十大类审计内容，可以做到对客户端的各种使用行为进行有效监控。
点击各审计类型右侧功能，增加数量无限制，删除时类型模板无法删除。
一、    文档审计
对客户端机器上的各种行为进行监控并产生日志，以备查询管理。
审计类型：
a)    仅记录操作：触发规则仅记录日志并将相关日志上传管理中心。
b)    禁止并记录操作：触发规则后禁止操作并记录上传日志。
介质类型：可勾选硬盘、光盘、可移动盘和网络盘
    目标文件名：输入.txt/.mpp/.docx/.exe等文件类型或输入具体文件（如123.txt）当发生相关行为时以预设方式反馈信息。多条记录以“｜”分隔，如：*.doc|%system%\*.txt。
        行为类型：可勾选创建、访问、修改、重命名、复制、移动、删除。
    有效时间：审计有效的时间范围，设置频率每天（xx：xx~xx：xx）/每周的某一天或某几天的xx：xx~xx：xx时间内/时间段。
气泡通知：触发规则后以弹框的形式通知管理员。
锁定计算机：触发规则后锁定计算机，禁止使用。
        离线生效：客户端上线后将离线时间内生成的文档审计日志上传管理中心。
二、    文档打印审计
该功能用于记录完整的打印日志，实现对打印资源的有效管理，降低打印成本，并保证组织的信息安全。记录信息包括：打印的时间、终端、用户、应用程序、打印机类型、打印机名称、文档标题、打印页数等信息。
可选择：
a)    记录打印审计：当打印文件时记录相关信息并将日志上传管理中心。
b)    禁用打印机：不允许计算机使用打印机。
三、    邮件监控
该功能用于全面记录POP3/SMTP、EXCHANGE邮件收到及发送的邮件的全部内容，包括收件人、发件人、邮件标题、邮件正文和附件内容。
规则名：输入本策略的相关信息或目的。
动作：可勾选：
a)    发送：发送邮件时审计。
b)    接收：接收邮件时审计。
        发送者：发送人的名称或邮箱地址。
        接收者：接收人的名称或邮箱地址。
        邮件主题：邮件名称。
仅监控包含附件的邮件：邮件中有附件时监控生效。
        拦截：拦截触发规则的邮件。
        提示：发送人/接收人/主题是并列的关系，同时满足三者条件审计才会生效。
        邮件端口策略：端口号及端口协议
四、    设备审计
管理员可设置策略，对以下设备派发允许或禁止使用策略：光驱、1394、蓝牙、串口、并口、PCMCIA卡和红外设备。
五、    网络审计
包括【拨号控制】和【网页浏览控制】两方面内容，可以对客户的网络行为进行有效的监控管理，保护企业资产的安全。
启用拨号控制
            拨号方式：可勾选禁用VPN、禁用ADSL、禁用MODEM。
            有效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
启用网页浏览控制
            URL：输入要监控的网址。
有效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
禁止访问并跳转URL：当触发规则时跳转至该网址。
离线生效：客户端上线后将离线时间内生成的文档审计日志上传管理中心。
气泡通知：当触发规则弹出气泡提示警示用户
启用网页浏览记录
    记录所有访问的网址并上传管理中心。
六、    联网程序管理
该功能用于记录、控制客户端上的程序连接网络的行为，这些行为包括是否允许联网，以及联网的时间段。
离线生效：客户端离线时间内功能仍然生效
开启瑞星信任程序智能识别：内置信任程序允许联网
未知程序联网策略：不在规则内程序的联网策略设置
进程规则列表：用于设置各进程或者软件的联网策略，可设置多条规则
七、    对外攻击拦截
该功能可以防范网络僵尸，傀儡僵尸等等多种僵尸网络服务端对外发送攻击数据包。
离线生效：客户端离线时间内功能仍然生效
提示用户：一旦检测到攻击，弹出气泡提示警示用户
支持勾选多种对外攻击拦截：拦截SYN攻击、拦截ICMP攻击、拦截UDP攻击
八、    共享资源管控
该功能可以查看每个终端的共享状态，控制共享的资源，并且可以查看、限制资源的访问权限。
离线生效：客户端离线时间内功能仍然生效
记录日志：记录日志并上传到数据中心
要关闭的默认共享：用于关闭终端的默认共享
九、    网络流量管理
    该功能用于记录终端的某个时间段网络总流量，以及某个时刻的流速。
    记录联网程序日志：勾选后能够记录日志并上传到数据中心
    记录终端流量日志：勾选后记录相关日志并上传到数据中心
定时报告时间间隔：提供10、20、30、60、120五种间隔进行选择，默认为10分钟
管理规则：
        启动规则：规则是否生效
        离线生效：客户端离线时间内功能仍然生效
        下载限速：设置最大流量限制
        功能生效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段
十、    非法外联管控
该支持监控内部网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）是否与Internet联通，并产生告警信息、对违规者可锁定计算机或断网。
离线生效：客户端离线时间内功能仍然生效
提示用户：勾选后触发规则后弹气泡提示用户
检查方式：提供智能检查和定时检查两种方式
检查到非法外联时：提供锁定计算机和隔离两种处理方式
点击【保存】模板创建成功；点击【取消】不保存。

二、    瑞星客户端行为审计-IP规则
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-IP规则】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【阻止黑客远程攻击】、【IP地址白名单】、【IP地址黑名单】、【端口设置】、和【自定义IP规则】。
A.    阻止黑客远程攻击

• 离线生效：客户端离线时间内功能仍然生效

• 发现攻击时提示用户：勾选后触发规则后弹气泡提示用户

• 拦截后阻止此ip时间：提供1、2、3、4、5分钟5种选择

• 防护规则：内置88条防护规则，用户可以点击显示对规则对规则进行逐条启用或禁用，默认为全部启用。

B.    IP地址白名单

• 离线生效：客户端离线时间内功能仍然生效

• IP地址白名单管理：可以对单个IP或者某个IP范围进行设置；支持多个ip白名单设置

C.    IP地址黑名单

• 离线生效：客户端离线时间内功能仍然生效

• 阻止访问时通知用户：匹配规则后弹出气泡提示用户

• 记录日志：勾选后记录日志并上传到数据中心

• IP地址黑名单管理：可以对单个IP或者某个IP范围进行设置；支持多个ip黑名单设置

D.    端口设置

• 离线生效：客户端离线时间内功能仍然生效

• 阻止访问时通知用户：匹配规则后弹出气泡提示用户

• 端口管理：可对端口进行管理确认是否允许联网

• 可以对单个端口号或者某个端口范围进行设置

• 支持tcp、udp、tcp+udp三种协议方式

• 可记录入站、出站及双向；

E.    自定义IP规则

• 离线生效：客户端离线时间内功能仍然生效

• 自定义IP规则列表（支持多条IP规则设置）

• 启动该规则：确认是否启用此条规则

• 阻止访问通知用户：是否触犯规则弹出气泡提示用户

• 允许联网：匹配规则后是否允许联网

• 规则名称：自定义规则名称

• 可记录入站、出站及双向

• 本地IP规则：支持单个IP或者某个IP范围进行设置

• 远程IP规则：支持单个IP或者某个IP范围进行设置

• 支持多种协议类型

• 支持设置多组本地端口（最多5组）

• 支持设置多组远程端口（最多5组）

点击【保存】模板创建成功；点击【取消】不保存。

5.1.8 创建瑞星网络安全管理策略模板

一、    瑞星网络安全管理-安全管理策略
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星网络安全管理-安全管理策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【客户端操作系统环境安全维护】、【ARP欺骗防御】和【网络安全准入】三方面内容。
A.    客户端操作系统环境安全维护，可勾选

• 记录系统事件（包括：开机、关机、注销、锁定）

• 禁用控制面板

• 禁用计算机管理

• 禁用计算机属性

• 禁用网络连接管理

• 禁用IE浏览器插件管理

B.    ARP欺骗防御

• IP冲突时防止网络断开：匹配规则后可断网已保证网内的安全环境

• 禁止本机对外发送ARP：防止其它终端机器继续感染

• 阻止攻击时提示用户：匹配规则后弹出气泡提示用户

• 离线生效：客户端离线时间内功能仍然生效

C.    网络安全准入

• 高危漏洞过多时隔离客户端端并上报风险

        规则描述：可自定义规则名称
        检查数量：自定义检查数量

• 未安装安全防护类软件时隔离客户端并上报风险

        规则描述：可自定义规则名称
        软件名称：设置需要检查的软件名称
        勾选任意安全软件

• 违规时提示用户：匹配规则后弹出气泡提示用户
• 离线生效：客户端离线时间内功能仍然生效

点击【保存】模板创建成功；点击【取消】不保存。
二、    瑞星网络安全管理-开机管理策略
此策略为出厂内置策略，不允许设置。

5.2 使用已创建的模板

模板创建完成后，会以列表的形式展示在【策略模板】界面，点击相应的子产品会显示基于此子产品创建的模板。下面以【瑞星IT资产管理】为例介绍模板的用法。
依次点击【客户端管理】/【策略模板】/【瑞星IT资产管理】会显示已创建模板。

    将鼠标放在任意模板上会出现可用的操作项

1.    点击【详情】会在打开的窗口中显示此模板在之前设置的详细信息，也可以在此对策略模板进行修改。
2.    点击【分配】会弹出【分配策略】窗口。

策略只可分配到根管理组（普通组），而黑名单组和未知计算机组不接受分配。目前在根管理组（普通组）有两个子组：测试组和开发组。其中开发组可勾选而测试组是灰色的拒绝勾选，因为测试组开启了【继承策略】而开发组未开启【继承策略】所以有此差别。
设置完成后，点击【确定】策略就分配到相应的组织。
继承策略：当子组具有父组的情况下才有此功能，继承就是把父组的策略内容同步下来，这样在子组也就可以使用这些策略，继承时不继承任务的应用对象，只是继承任务内容本身。
父组：即子组的上级组（例如：根管理组是父组，测试组和开发组是子组）。
3.    点击【复制】会弹出【复制策略】窗口。

在新策略名中输入需要名称（如果不输入名称，系统会自动为副本编号如：副本1/副本2；若复制的是副本，复制几次名称中会自动增加几个“副本”），点击【确定】即可。
作用：复制策略模板功能的主要作用在于，当新建策略模板较为复杂且存在相似模板时，复制此模板后在【详情】中做简单修改即可。
4.    点击【删除】，将不需要的策略模板删除。

附件: 保证ESM正常运行的各操作系统下IIS的安装配置.zip (2018-7-23 22:35:16, 583.61 K)
该附件被下载次数 473

适合需要ESM正常运行，但不知道各操作系统下 IIS 如何配置的人