瑞星卡卡安全论坛企业产品讨论区瑞星ESM防病毒终端安全防护系统 瑞星企业终端安全管理系统软件快速使用指南

12   2  /  2  页   跳转

[经验分享] 瑞星企业终端安全管理系统软件快速使用指南

回复: 瑞星企业终端安全管理系统软件快速使用指南

5.1.7 创建瑞星客户端行为审计策略模板

一、    瑞星客户端行为审计-默认策略
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-默认策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【文档审计】、【文档打印审计】、【邮件审计】、【设备审计】、【网络审计】、【联网程序管理】、【对外攻击拦截】、【共享资源管控】、【网络流量管理】和【非法外联管控】十大类审计内容,可以做到对客户端的各种使用行为进行有效监控。
点击各审计类型右侧功能,增加数量无限制,删除时类型模板无法删除。
一、    文档审计
对客户端机器上的各种行为进行监控并产生日志,以备查询管理。
审计类型:
a)    仅记录操作:触发规则仅记录日志并将相关日志上传管理中心。
b)    禁止并记录操作:触发规则后禁止操作并记录上传日志。
介质类型:可勾选硬盘、光盘、可移动盘和网络盘
    目标文件名:输入.txt/.mpp/.docx/.exe等文件类型或输入具体文件(如123.txt)当发生相关行为时以预设方式反馈信息。多条记录以“|”分隔,如:*.doc|%system%\*.txt。
        行为类型:可勾选创建、访问、修改、重命名、复制、移动、删除。
    有效时间:审计有效的时间范围,设置频率每天(xx:xx~xx:xx)/每周的某一天或某几天的xx:xx~xx:xx时间内/时间段。
气泡通知:触发规则后以弹框的形式通知管理员。
锁定计算机:触发规则后锁定计算机,禁止使用。
        离线生效:客户端上线后将离线时间内生成的文档审计日志上传管理中心。
二、    文档打印审计
该功能用于记录完整的打印日志,实现对打印资源的有效管理,降低打印成本,并保证组织的信息安全。记录信息包括:打印的时间、终端、用户、应用程序、打印机类型、打印机名称、文档标题、打印页数等信息。
可选择:
a)    记录打印审计:当打印文件时记录相关信息并将日志上传管理中心。
b)    禁用打印机:不允许计算机使用打印机。
三、    邮件监控
该功能用于全面记录POP3/SMTP、EXCHANGE邮件收到及发送的邮件的全部内容,包括收件人、发件人、邮件标题、邮件正文和附件内容。
规则名:输入本策略的相关信息或目的。
动作:可勾选:
a)    发送:发送邮件时审计。
b)    接收:接收邮件时审计。
        发送者:发送人的名称或邮箱地址。
        接收者:接收人的名称或邮箱地址。
        邮件主题:邮件名称。
仅监控包含附件的邮件:邮件中有附件时监控生效。
        拦截:拦截触发规则的邮件。
        提示:发送人/接收人/主题是并列的关系,同时满足三者条件审计才会生效。
        邮件端口策略:端口号及端口协议
四、    设备审计
管理员可设置策略,对以下设备派发允许或禁止使用策略:光驱、1394、蓝牙、串口、并口、PCMCIA卡和红外设备。
五、    网络审计
包括【拨号控制】和【网页浏览控制】两方面内容,可以对客户的网络行为进行有效的监控管理,保护企业资产的安全。
启用拨号控制
            拨号方式:可勾选禁用VPN、禁用ADSL、禁用MODEM。
            有效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
启用网页浏览控制
            URL:输入要监控的网址。
有效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
禁止访问并跳转URL:当触发规则时跳转至该网址。
离线生效:客户端上线后将离线时间内生成的文档审计日志上传管理中心。
气泡通知:当触发规则弹出气泡提示警示用户
启用网页浏览记录
    记录所有访问的网址并上传管理中心。
六、    联网程序管理
该功能用于记录、控制客户端上的程序连接网络的行为,这些行为包括是否允许联网,以及联网的时间段。
离线生效:客户端离线时间内功能仍然生效
开启瑞星信任程序智能识别:内置信任程序允许联网
未知程序联网策略:不在规则内程序的联网策略设置
进程规则列表:用于设置各进程或者软件的联网策略,可设置多条规则
七、    对外攻击拦截
该功能可以防范网络僵尸,傀儡僵尸等等多种僵尸网络服务端对外发送攻击数据包。
离线生效:客户端离线时间内功能仍然生效
提示用户:一旦检测到攻击,弹出气泡提示警示用户
支持勾选多种对外攻击拦截:拦截SYN攻击、拦截ICMP攻击、拦截UDP攻击
八、    共享资源管控
该功能可以查看每个终端的共享状态,控制共享的资源,并且可以查看、限制资源的访问权限。
离线生效:客户端离线时间内功能仍然生效
记录日志:记录日志并上传到数据中心
要关闭的默认共享:用于关闭终端的默认共享
九、    网络流量管理
    该功能用于记录终端的某个时间段网络总流量,以及某个时刻的流速。
    记录联网程序日志:勾选后能够记录日志并上传到数据中心
    记录终端流量日志:勾选后记录相关日志并上传到数据中心
定时报告时间间隔:提供10、20、30、60、120五种间隔进行选择,默认为10分钟
管理规则:
        启动规则:规则是否生效
        离线生效:客户端离线时间内功能仍然生效
        下载限速:设置最大流量限制
        功能生效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段
十、    非法外联管控
该支持监控内部网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)是否与Internet联通,并产生告警信息、对违规者可锁定计算机或断网。
离线生效:客户端离线时间内功能仍然生效
提示用户:勾选后触发规则后弹气泡提示用户
检查方式:提供智能检查和定时检查两种方式
检查到非法外联时:提供锁定计算机和隔离两种处理方式
点击【保存】模板创建成功;点击【取消】不保存。

二、    瑞星客户端行为审计-IP规则
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-IP规则】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【阻止黑客远程攻击】、【IP地址白名单】、【IP地址黑名单】、【端口设置】、和【自定义IP规则】。
A.    阻止黑客远程攻击
  • 离线生效:客户端离线时间内功能仍然生效
  • 发现攻击时提示用户:勾选后触发规则后弹气泡提示用户
  • 拦截后阻止此ip时间:提供1、2、3、4、5分钟5种选择
  • 防护规则:内置88条防护规则,用户可以点击显示对规则对规则进行逐条启用或禁用,默认为全部启用。
B.    IP地址白名单
  • 离线生效:客户端离线时间内功能仍然生效
  • IP地址白名单管理:可以对单个IP或者某个IP范围进行设置;支持多个ip白名单设置
C.    IP地址黑名单
  • 离线生效:客户端离线时间内功能仍然生效
  • 阻止访问时通知用户:匹配规则后弹出气泡提示用户
  • 记录日志:勾选后记录日志并上传到数据中心
  • IP地址黑名单管理:可以对单个IP或者某个IP范围进行设置;支持多个ip黑名单设置
D.    端口设置
  • 离线生效:客户端离线时间内功能仍然生效
  • 阻止访问时通知用户:匹配规则后弹出气泡提示用户
  • 端口管理:可对端口进行管理确认是否允许联网
  • 可以对单个端口号或者某个端口范围进行设置
  • 支持tcp、udp、tcp+udp三种协议方式
  • 可记录入站、出站及双向;
E.    自定义IP规则
  • 离线生效:客户端离线时间内功能仍然生效
  • 自定义IP规则列表(支持多条IP规则设置)
  • 启动该规则:确认是否启用此条规则
  • 阻止访问通知用户:是否触犯规则弹出气泡提示用户
  • 允许联网:匹配规则后是否允许联网
  • 规则名称:自定义规则名称
  • 可记录入站、出站及双向
  • 本地IP规则:支持单个IP或者某个IP范围进行设置
  • 远程IP规则:支持单个IP或者某个IP范围进行设置
  • 支持多种协议类型
  • 支持设置多组本地端口(最多5组)
  • 支持设置多组远程端口(最多5组)
点击【保存】模板创建成功;点击【取消】不保存。
最后编辑瑞星工程师12 最后编辑于 2012-12-20 14:39:45
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复: 瑞星企业终端安全管理系统软件快速使用指南

5.1.8 创建瑞星网络安全管理策略模板

一、    瑞星网络安全管理-安全管理策略
依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星网络安全管理-安全管理策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【客户端操作系统环境安全维护】、【ARP欺骗防御】和【网络安全准入】三方面内容。
A.    客户端操作系统环境安全维护,可勾选
  • 记录系统事件(包括:开机、关机、注销、锁定)
  • 禁用控制面板
  • 禁用计算机管理
  • 禁用计算机属性
  • 禁用网络连接管理
  • 禁用IE浏览器插件管理
B.    ARP欺骗防御
  • IP冲突时防止网络断开:匹配规则后可断网已保证网内的安全环境
  • 禁止本机对外发送ARP:防止其它终端机器继续感染
  • 阻止攻击时提示用户:匹配规则后弹出气泡提示用户
  • 离线生效:客户端离线时间内功能仍然生效
C.    网络安全准入
  • 高危漏洞过多时隔离客户端端并上报风险
        规则描述:可自定义规则名称
        检查数量:自定义检查数量
  • 未安装安全防护类软件时隔离客户端并上报风险
        规则描述:可自定义规则名称
        软件名称:设置需要检查的软件名称
        勾选任意安全软件
  • 违规时提示用户:匹配规则后弹出气泡提示用户
  • 离线生效:客户端离线时间内功能仍然生效
点击【保存】模板创建成功;点击【取消】不保存。
二、    瑞星网络安全管理-开机管理策略
此策略为出厂内置策略,不允许设置。
最后编辑瑞星工程师12 最后编辑于 2012-12-20 14:49:40
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复: 瑞星企业终端安全管理系统软件快速使用指南

5.2 使用已创建的模板

模板创建完成后,会以列表的形式展示在【策略模板】界面,点击相应的子产品会显示基于此子产品创建的模板。下面以【瑞星IT资产管理】为例介绍模板的用法。
依次点击【客户端管理】/【策略模板】/【瑞星IT资产管理】会显示已创建模板。

    将鼠标放在任意模板上会出现可用的操作项

1.    点击【详情】会在打开的窗口中显示此模板在之前设置的详细信息,也可以在此对策略模板进行修改。
2.    点击【分配】会弹出【分配策略】窗口。

策略只可分配到根管理组(普通组),而黑名单组和未知计算机组不接受分配。目前在根管理组(普通组)有两个子组:测试组和开发组。其中开发组可勾选而测试组是灰色的拒绝勾选,因为测试组开启了【继承策略】而开发组未开启【继承策略】所以有此差别。
设置完成后,点击【确定】策略就分配到相应的组织。
继承策略:当子组具有父组的情况下才有此功能,继承就是把父组的策略内容同步下来,这样在子组也就可以使用这些策略,继承时不继承任务的应用对象,只是继承任务内容本身。
父组:即子组的上级组(例如:根管理组是父组,测试组和开发组是子组)。
3.    点击【复制】会弹出【复制策略】窗口。

在新策略名中输入需要名称(如果不输入名称,系统会自动为副本编号如:副本1/副本2;若复制的是副本,复制几次名称中会自动增加几个“副本”),点击【确定】即可。
作用:复制策略模板功能的主要作用在于,当新建策略模板较为复杂且存在相似模板时,复制此模板后在【详情】中做简单修改即可。
4.    点击【删除】,将不需要的策略模板删除。
最后编辑瑞星工程师12 最后编辑于 2012-12-20 14:50:57
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT