某公司內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)

天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)安裝配置手冊（V）啟明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)V 安裝配置手冊版權(quán)聲明北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)有限公司。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途?！疤飓憽睘楸本﹩⒚餍浅叫畔踩夹g(shù)有限公司的注冊商標(biāo)，不得侵犯。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息安全技術(shù)有限公司在編寫該文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息安全技術(shù)有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。目 錄版權(quán)聲明1免責(zé)條款1信息反饋11綜述42安裝環(huán)境及要求43.天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)主要組件介紹63.1.服務(wù)器組件63.1.1.中心策略服務(wù)器63.1.2.本地策略服務(wù)器63.1.3.資產(chǎn)管理服務(wù)器63.1.4.Radius服務(wù)器63.1.5.攻擊告警服務(wù)器73.1.6.軟件分發(fā)服務(wù)器73.1.7.HOD遠(yuǎn)程桌面服務(wù)器73.2.策略網(wǎng)關(guān)組件73.2.1.策略網(wǎng)關(guān)代理73.2.2.中性策略網(wǎng)關(guān)83.2.3.IIS策略網(wǎng)關(guān)83.2.4.ISA策略網(wǎng)關(guān)83.2.5.EXCHANGE策略網(wǎng)關(guān)83.2.6.DNS策略網(wǎng)關(guān)及旁路監(jiān)聽式DNS策略網(wǎng)關(guān)83.2.7.客戶端93.2.8.按需支援管理端93.2.9.客戶端打包程序94.天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的安裝94.1.快速安裝104.1.1快速安裝部署104.1.2基本配置274.2.自定義安裝324.2.1自定義安裝中心服務(wù)器324.3.本地服務(wù)器的安裝配置334.3.1添加策略服務(wù)器384.4.策略網(wǎng)關(guān)配置384.4.1添加策略網(wǎng)關(guān)代理394.4.2安裝中性策略網(wǎng)關(guān)394.5.遠(yuǎn)程桌面的系統(tǒng)配置464.5.1安裝添加遠(yuǎn)程桌面服務(wù)器464.5.2添加遠(yuǎn)程桌面管理員464.5.3安裝按需支援管理員端程序474.5.4用戶請求管理員遠(yuǎn)程幫助494.6.軟件分發(fā)安裝與配置494.6.1安裝軟件分發(fā)服務(wù)器494.6.2配置軟件分發(fā)504.7.安裝資產(chǎn)服務(wù)器514.8.安裝告警服務(wù)器524.9.安裝RADIUS服務(wù)器534.10客戶端的打包及分發(fā)541 綜述天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的集端點主動安全防護(hù)和桌面管理于一身，具有世界領(lǐng)先水平的產(chǎn)品體系架構(gòu)，從根本上解決了客戶端從蠕蟲病毒的主動防御、可靠的補(bǔ)丁管理、非授權(quán)訪問控制、端點準(zhǔn)入控制、桌面運行環(huán)境的標(biāo)準(zhǔn)化和自動化管理等一系列問題，幫助用戶創(chuàng)建高可靠、高可用和高安全級別的可信任網(wǎng)絡(luò)環(huán)境。 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)架構(gòu)如下圖所示。主要由策略服務(wù)器、天珣客戶端、策略網(wǎng)關(guān)組成。策略服務(wù)器包括中心服務(wù)器、本地服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、radius服務(wù)器、告警服務(wù)器等組件，所有功能服務(wù)器集中管理，組件可根據(jù)具體情況增減。數(shù)據(jù)庫采用SQL SERVER，統(tǒng)一管理報警日志及審計等數(shù)據(jù)。2 安裝環(huán)境及要求客戶端（Clients） 計算機(jī)沒有很高的系統(tǒng)要求?？蛻舳塑浖?也被稱CC)可以被安裝在Windows 系統(tǒng)之上，包括 Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7 數(shù)據(jù)庫支持32位 Microsoft SQL Server 2000，32/64位 Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服務(wù)器（Server） 是整個策略架構(gòu)的管理中心、策略中心。必須運行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平臺上。中心服務(wù)器通過web方式管理，要求安裝IIS服務(wù)器。其對硬件要求的高低應(yīng)根據(jù)所管理的客戶端數(shù)量的多少來定，其中，服務(wù)器安裝要求的最低配置如下：硬件：CPUPIII 1G或以上Memory1G或以上硬盤40G空閑軟件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心服務(wù)器、攻擊告警服務(wù)器需要安裝SQL Server數(shù)據(jù)庫，可根據(jù)現(xiàn)場環(huán)境選擇獨立安裝或集中安裝于中心服務(wù)器，若安裝于中心服務(wù)器，請確保中心服務(wù)器有足夠的內(nèi)存和硬盤空間。策略網(wǎng)關(guān)代理(Plug-in Proxy)：管理所有關(guān)聯(lián)的策略網(wǎng)關(guān)，策略網(wǎng)關(guān)代理從Local Server上取插件策略。當(dāng)策略網(wǎng)關(guān)激活時，策略網(wǎng)關(guān)代理將策略發(fā)送給各個關(guān)聯(lián)的策略網(wǎng)關(guān)。策略網(wǎng)關(guān)代理的主要作用在于可以將安裝在多個應(yīng)用服務(wù)器上的有相同插件策略的插件策略網(wǎng)關(guān)交給同一個策略網(wǎng)關(guān)代理管理，從而簡化管理員的配置；同時，各個插件策略網(wǎng)關(guān)可相互共享CC的狀態(tài)，如CC1在插件1上通過了認(rèn)證，那么通過插件2訪問時就無需第2次認(rèn)證，提高系統(tǒng)性能。IIS策略網(wǎng)關(guān)、ISA策略網(wǎng)關(guān)、Exchange策略網(wǎng)關(guān)以及中性策略網(wǎng)關(guān)：策略檢查點（checkpoint），與CC配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)從關(guān)聯(lián)的策略網(wǎng)關(guān)代理上取插件策略。3. 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)主要組件介紹天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)為CSC架構(gòu)，即天珣客戶端（Clients）、策略服務(wù)器（Server）、策略網(wǎng)關(guān)（Check Point）。3.1. 服務(wù)器組件3.1.1. 中心策略服務(wù)器所有策略集中存放的地方，系統(tǒng)中唯一的Web管理控制臺也與中心服務(wù)器集成在一起。管理員從Web管理控制臺登錄到Center Server，進(jìn)行策略配置，報表查詢。Center Server同時兼作一個Local Server。3.1.2. 本地策略服務(wù)器本地策略服務(wù)器是客戶端日常取策略的地方，也是客戶端發(fā)送報表的目的地。本地策略服務(wù)器從Center Server同步得到策略。設(shè)置本地策略服務(wù)器的目的是為了適應(yīng)企業(yè)大區(qū)域的分布式分級管理架構(gòu)。本地策略服務(wù)器從中心策略服務(wù)器獲取策略，客戶端直接與本地策略服務(wù)器通訊。3.1.3. Radius服務(wù)器Radius服務(wù)器是天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入的必須組件。結(jié)合各類LDAP認(rèn)證，使用802.1x協(xié)議或EOU協(xié)議在交換機(jī)網(wǎng)絡(luò)端口實施網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，確保只有通過認(rèn)證的客戶端接入并訪問網(wǎng)絡(luò)。3.1.4. 攻擊告警服務(wù)器攻擊告警服務(wù)器兼作為攻擊日志告警服務(wù)器和終端審計日志服務(wù)器，收集由客戶端發(fā)來的攻擊告警信息和終端審計信息。并在中心服務(wù)器管理界面，可進(jìn)行統(tǒng)計和分類查詢。3.1.5. 軟件分發(fā)服務(wù)器通過軟件分發(fā)服務(wù)器可建立軟件安裝包，可根據(jù)目標(biāo)地址或地址段、指定時間段分發(fā)軟件包或自定義文件。3.1.6. HOD遠(yuǎn)程桌面服務(wù)器HOD遠(yuǎn)程桌面服務(wù)器用于記錄在線的遠(yuǎn)程桌面管理員的相關(guān)信息，為其關(guān)聯(lián)管理網(wǎng)段后，管理網(wǎng)段內(nèi)的用戶就可使用客戶端集成的遠(yuǎn)程桌面客戶端，向在線管理員發(fā)起遠(yuǎn)程桌面幫助請求。3.2. 策略網(wǎng)關(guān)組件作為系統(tǒng)及應(yīng)用準(zhǔn)入的準(zhǔn)入控制點，檢查訪問者的客戶端運行狀態(tài)，與客戶端配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)從策略網(wǎng)關(guān)代理上取策略網(wǎng)關(guān)策略。有時策略網(wǎng)關(guān)策略又叫插件策略。策略網(wǎng)關(guān)分為中性策略網(wǎng)關(guān)和IIS、ISA Proxy、Email、DNS等插件策略網(wǎng)關(guān)。3.2.1. 策略網(wǎng)關(guān)代理策略網(wǎng)關(guān)的管理者。所有的策略網(wǎng)關(guān)都直接連接到策略網(wǎng)關(guān)代理，從策略網(wǎng)關(guān)代理獲取策略，接受管理。而策略網(wǎng)關(guān)代理直接指向策略服務(wù)器，并從策略服務(wù)器獲取策略。連接到同一個策略網(wǎng)關(guān)代理的所有策略網(wǎng)關(guān)使用相同的策略。設(shè)置策略網(wǎng)關(guān)代理這個角色的目的是簡化策略網(wǎng)關(guān)的配置，因為有時一個企業(yè)需要安裝多個策略網(wǎng)關(guān)，而每個策略網(wǎng)關(guān)的策略相同。3.2.2. 中性策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)，也叫做中性插件，是安裝在任意的X32位的Windows 2000 /2003/2008服務(wù)器或Linux的服務(wù)器上，執(zhí)行應(yīng)用準(zhǔn)入控制，它與安裝的服務(wù)器操作系統(tǒng)有關(guān)，而與該服務(wù)器運行何種應(yīng)用無關(guān)。當(dāng)終端訪問到該服務(wù)器，都需要進(jìn)行安全基線檢查，若不符合安全策略，將被拒絕訪問該服務(wù)器，并給出提示信息（只有基于http訪問，才能正確提示）。其中安全基線包括是否安裝客戶端軟件、安裝客戶端軟件的終端是否達(dá)到安全策略要求。3.2.3. IIS策略網(wǎng)關(guān)部署在IIS服務(wù)器上，對所有訪問該WEB服務(wù)器的終端實施應(yīng)用準(zhǔn)入控制，檢查終端是否符合安全策略，若不符合策略，則拒絕訪問，并給出提示信息。3.2.4. ISA策略網(wǎng)關(guān)對所有通過ISA服務(wù)器上網(wǎng)的終端，實施應(yīng)用準(zhǔn)入控制，若不符合安全策略，則不允許終端通過ISA訪問INTERNET，并給出提示信息。3.2.5. EXCHANGE策略網(wǎng)關(guān)部署在Exchange郵件服務(wù)器上，對訪問EXCHANGE郵件服務(wù)器的終端實施應(yīng)用準(zhǔn)入控制，檢查客戶端是否符合安全策略。對于不符合安全策略的終端，Exchange策略網(wǎng)關(guān)將阻斷其郵件服務(wù)，并給出提示信息。（只支持EXCHANGE 2003郵件服務(wù)器）3.2.6. DNS策略網(wǎng)關(guān)及旁路監(jiān)聽式DNS策略網(wǎng)關(guān)普通DNS策略網(wǎng)關(guān)部署在DNS服務(wù)器上，對需要進(jìn)行DNS域名解析的終端實施準(zhǔn)入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息。如果是旁路監(jiān)聽式DNS策略網(wǎng)關(guān)，則可部署在DNS服務(wù)器上也可部署在互聯(lián)網(wǎng)出口的某臺服務(wù)器上對所有DNS請求進(jìn)行監(jiān)聽。如果是在DNS服務(wù)器上，那么功能與傳統(tǒng)DNS策略網(wǎng)關(guān)相同，如果不是，那么旁聽式的DNS網(wǎng)關(guān)必須安裝在鏈接互聯(lián)網(wǎng)出口交換機(jī)上的某臺交換機(jī)上，對這臺交換機(jī)上的其他端口的DNS請求進(jìn)行鏡像，并在旁聽式DNS網(wǎng)關(guān)的端口上進(jìn)行監(jiān)聽，對需要進(jìn)行DNS解析的終端實施準(zhǔn)入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，旁聽式DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息。3.2.7. 客戶端每臺終端都必須安裝客戶端（CC）?？蛻舳耸前惭b在每個被策略管理的用戶的電腦上的代理程序。執(zhí)行企業(yè)策略，安全基線檢查，客戶端準(zhǔn)入控制，訪問控制，主動安全防御，資產(chǎn)管理，遠(yuǎn)程幫助，軟件分發(fā)，移動存儲認(rèn)證和控制，終端行為審計終端相關(guān)功能。從本地策略服務(wù)器上取策略，向本地策略服務(wù)器發(fā)送報表，當(dāng)用戶不滿足策略時，向用戶提示相關(guān)信息。3.2.8. 按需支援管理端如果安裝了按需支援（HOD）的遠(yuǎn)程桌面服務(wù)器，需要在承擔(dān)遠(yuǎn)程支持服務(wù)的管理員電腦上安裝按需支援管理端軟件。安裝完成后，如果有終端用戶發(fā)來遠(yuǎn)程支持請求，遠(yuǎn)程支持管理員就可以收到請求信息，并直接進(jìn)行遠(yuǎn)程協(xié)助。3.2.9. 客戶端打包程序客戶端代理軟件的打包程序?？蛻舳舜虬绦?qū)⒑椭行姆?wù)器一起安裝。打包程序?qū)⒎?wù)器IP地址、指定安裝目錄、是否靜默安裝、是否采用網(wǎng)絡(luò)準(zhǔn)入等參數(shù)與安裝程序打包成可執(zhí)行文件。4. 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的安裝安裝部署共有兩種安裝選項：快速安裝和自定義安裝。運行Autorun.exe后出現(xiàn)以下主安裝界面。4.1. 快速安裝快速安裝默認(rèn)安裝服務(wù)器的以下組件：中心策略服務(wù)器、中心同步服務(wù)器、天珣服務(wù)狀態(tài)監(jiān)控服務(wù)、遠(yuǎn)程桌面服務(wù)器、攻擊告警服務(wù)器、RADIUS服務(wù)器、策略網(wǎng)關(guān)代理服務(wù)器、中性策略網(wǎng)關(guān)、DNS策略網(wǎng)關(guān)、軟件分發(fā)服務(wù)器、客戶端打包程序，服務(wù)器卸載工具?？焖侔惭b選項的目的是一次安裝所有服務(wù)器相關(guān)的組件及DNS準(zhǔn)入控制組件，如果部署在網(wǎng)絡(luò)出口，則可利用DNS準(zhǔn)入達(dá)到即插即用的效果。對中小應(yīng)用環(huán)境，我們的方案首推這種即插即用的部署。4.1.1 快速安裝部署1 快速安裝。將天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。請點擊“快速安裝” 。2 進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)服務(wù)器的快速安裝界面。3 安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進(jìn)行下一步操作?？梢渣c擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。 2）系統(tǒng)組件所用的SQL Server 可以選擇連接到本機(jī)或者其它機(jī)器的SQL Server。如果您想將系統(tǒng)組件所用的SQL Server部署在本機(jī)，本機(jī)又沒有安裝SQL Server。您可以選擇安裝SQL Server。您也可以選擇點擊檢測界面SQL Server旁邊的“安裝”按鈕，運行安裝光盤帶的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微軟公司開發(fā)的 SQL Server 2005的縮減版，這個版本是免費的，單個數(shù)據(jù)庫大小限制為4G）。進(jìn)行解壓縮，壓縮完成后將如下圖：點擊下一步，進(jìn)行組件的配置配置完成請點擊next,進(jìn)行數(shù)據(jù)庫的安裝：點擊下一步，可以看到配置組件成功，繼而就可以安裝數(shù)據(jù)庫了。輸入用戶名和公司名，再點擊下一步：注意：為安裝的方便，請將數(shù)據(jù)庫所有的組件均選中，進(jìn)行完全的安裝，數(shù)據(jù)庫建議使用6g的磁盤空間，所以請選擇適當(dāng)?shù)拇疟P。選擇認(rèn)證模式為混合模式，并輸入密碼，點擊下一步；選擇模式設(shè)置，點擊下一步；點擊安裝并等待安裝完畢。配置SQL SERVER數(shù)據(jù)庫1、打開SQL數(shù)據(jù)庫配置管理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip協(xié)議為tcp1433（當(dāng)然也可以更改端口）如下：雙擊，彈出下圖，配置如下圖：Enabled選項默認(rèn)為“No”，修改為“Yes”。注意：ip地址為安裝數(shù)據(jù)庫的實際ip地址，TCP Port請?zhí)顚憽?433”。點擊應(yīng)用并重新啟動sql數(shù)據(jù)庫的服務(wù)如下圖： 安裝完SQL SERVER2005 EXPRESS之后。安裝檢測程序會自動開啟SQL Server 的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫, 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計安裝程序是不會幫助SQL Server 打開1433監(jiān)聽端口）。4 安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務(wù)器IP地址、初始管理網(wǎng)段地址等信息。1）指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務(wù)器IP地址,預(yù)置為當(dāng)前服務(wù)器已連通網(wǎng)卡的地址，管理控制臺默認(rèn)端口為8833，請確保8833端口未被其他應(yīng)用占用；3）設(shè)置中心服務(wù)器中初始管理網(wǎng)段地址，預(yù)置是當(dāng)前選擇網(wǎng)卡地址的子網(wǎng)網(wǎng)段；4）選擇使用管理模式；5）設(shè)置所用的SQL Server 的連接的參數(shù)；6）填寫創(chuàng)建數(shù)據(jù)庫的用戶的帳號。預(yù)置用戶名是tx_user ,密碼是 !QAZWSX#EDC$RF1qaz2wsx3edc4rf7）安裝程序?qū)⑻崾灸x擇授權(quán)文件License.dat的路徑。License.dat文件請與啟明星辰聯(lián)系獲取最新的授權(quán)文件。點擊“瀏覽”選擇受權(quán)文件的路徑，選擇有效的授權(quán)文件如果服務(wù),若沒有授權(quán)，需使用上級服務(wù)器分配的授權(quán)，則點擊使用上級授權(quán).8）安裝檢查完成，點擊“安裝”進(jìn)行快速安裝部署；5 快速安裝的安裝完各組件之后，安裝程序會自動運行客戶端打包程序進(jìn)行客戶端安裝包的制作. 其中可以自行設(shè)置中心服務(wù)器地址，指定客戶端的安裝目錄以及客戶端的安裝模式?？偣部稍O(shè)置三種安裝模式，以普通模式安裝時會出現(xiàn)提示對話框，需由用戶進(jìn)行“確認(rèn)用戶許可” 、“選擇安裝目錄”等操作；以自動模式安裝時會出現(xiàn)安裝界面，但不需要用戶進(jìn)行任何操作，客戶端將自動安裝至默認(rèn)目錄；以靜默模式安裝時，正常情況下客戶端安裝過程中不會有任何提示，客戶端將自動安裝至默認(rèn)目錄，如果安裝的是帶防火墻模塊的客戶端則安裝完畢后會有重新啟動計算機(jī)的提示。此外該打包程序還提供了多種選擇，用戶可靈活選擇客戶端安裝包是否包含802.1x交換機(jī)認(rèn)證模塊。說明：打包客戶端工具的使用以winrar軟件為前提，在安裝客戶端打包工具前請確保操作系統(tǒng)中已經(jīng)安裝有winrar軟件。制作客戶端包完成之后。關(guān)掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。此時快速安裝部署天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)已經(jīng)完成。6 安裝完成后，請先檢查%InstallFolder%configdatabase目錄的安全屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者已賦予everyone用戶完全控制權(quán)限。然后請進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動添加并運行“ES Center Server”服務(wù)，則表明中心服務(wù)器已經(jīng)安裝配置成功。7 在天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)中心服務(wù)器的默認(rèn)安裝目錄C:Program FilesVenustechEndpoint SecurityESServer中，Config目錄是天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的Web管理站點主目錄；Download目錄是下載服務(wù)的根目錄，用于存放天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)客戶端安裝包、系統(tǒng)補(bǔ)丁等相關(guān)的軟件。8 安裝程序會自動創(chuàng)建一個虛擬主機(jī)“天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)配置服務(wù)”，這個虛擬主機(jī)對應(yīng)上文所提到的“C:Program FilesVenustechEndpoint SecurityESServerconfig”目錄，對應(yīng)的TCP端口則為8833。注意：由于系統(tǒng)8833端口可能事先被占用等原因，可能會造成策略服務(wù)器安裝設(shè)置虛擬站點不成功，在這種情況下請手動設(shè)置IIS，創(chuàng)建天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)配置服務(wù)虛擬站點：1) 修改%InstallFolder%configdatabase目錄的安全屬性，使該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者賦予everyone用戶完全控制權(quán)限。2) 創(chuàng)建一個虛擬站點，作為web管理界面的入口。l 打開Internet服務(wù)管理器，右擊服務(wù)器名稱，點擊“新建Web站點”。l 根據(jù)提示進(jìn)行到“IP地址和端口設(shè)置”，將端口變?yōu)椤?833”，其他設(shè)置保存為默認(rèn)。天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的Web管理端口默認(rèn)是8833，您也可以指定其他端口。當(dāng)您使用其它端口時，您需要在“服務(wù)器設(shè)置”中修改服務(wù)器的管理端口信息。l 在指定Web站點主目錄時將目錄設(shè)為%InstallFolder% ESServer config，并將“允許匿名訪問此Web站點”選項去除。l 完成后續(xù)的步驟完成虛擬站點配置。l 從服務(wù)控制器中啟動ES Center Server Service，安裝配置中心Server完成。 安裝成功后，請在瀏覽器輸入網(wǎng)址（如http:/localhost:8833），進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)配置服務(wù)虛擬站點，進(jìn)行策略等相關(guān)設(shè)置，然后再安裝相應(yīng)的策略網(wǎng)關(guān)。4.1.2 基本配置安裝完中心服務(wù)器，需要添加管理網(wǎng)段和IP組，設(shè)置保護(hù)網(wǎng)絡(luò)的邊界。4.1 2.1. 修改全局策略控制設(shè)置天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)服務(wù)器和客戶端的一些開關(guān)性質(zhì)的內(nèi)容和最基本的參數(shù)，此處的參數(shù)決定策略系統(tǒng)的運行方式和后臺交互的頻度，以及全局范圍內(nèi)的默認(rèn)設(shè)置。說明：一般初步測試時，只需更改如下兩項的參數(shù)，其余參數(shù)可按需修改或保持默認(rèn)值。客戶端啟動后發(fā)送報表時間，如果本地客戶端檢查了對方客戶端，對方客戶端的信息在本地有一個緩存，此處指定的時間就是緩存的時間，單位為分鐘。緩存一過期，又要重新檢查遠(yuǎn)端的客戶端。這個時間也決定了客戶端最少多長時間向Primary Server發(fā)送一次報表（如果需要發(fā)送）。默認(rèn)時間為15分鐘。一般在測試中可設(shè)置為稍短的時間，例如2分鐘，這樣可盡快看到測試效果。安全防護(hù)相關(guān)設(shè)置，在訪問控制策略中，如果沒有指定操作類型，則以此處設(shè)定的操作類型為準(zhǔn)。4.1 2.2. 添加策略服務(wù)器 配置天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的第一步。天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)支持分布式多服務(wù)器架構(gòu)。天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)需要一個中心服務(wù)器，也只需一個中心服務(wù)器。同時也至少需要一個本地服務(wù)器，本地服務(wù)器可由中心服務(wù)器兼任。所以中心服務(wù)器同時也是一個本地服務(wù)器。當(dāng)您配置中心服務(wù)器時，同時也是在配置其兼任的本地服務(wù)器，請在其“中心服務(wù)器IP地址”欄位上填寫自己的IP地址。（快速安裝模式和自定義安裝中心服務(wù)器都已經(jīng)默認(rèn)配置中心策略服務(wù)器的參數(shù)）4.1 2.3. 添加管理網(wǎng)段 配置天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的第二步。管理網(wǎng)段一般配置一個大的網(wǎng)段，包括一個企業(yè)園區(qū)，或一個辦公區(qū)域；管理網(wǎng)段可以包含很多小的網(wǎng)段，比如開發(fā)部的子網(wǎng)段等，這些小網(wǎng)段共享相同的本地服務(wù)器，下載服務(wù)器，補(bǔ)丁安裝策略。例如：0-52點擊管理網(wǎng)段設(shè)置，顯示所有的server，用戶選中一個server，進(jìn)入該server的管理網(wǎng)段的管理。先顯示這個server的所有的管理網(wǎng)段。權(quán)限：普通用戶只能修改自己所管理的管理網(wǎng)段的下載服務(wù)器信息，其他信息由全局管理員進(jìn)行配置。點擊添加可添加不同的管理網(wǎng)段?？梢詾椴煌墓芾砭W(wǎng)段指定不同的下載服務(wù)器，默認(rèn)的下載服務(wù)器位于Primary Server上的HTTP :/localserver:8833/download/。4.1 2.4. 添加IP組IP是管理網(wǎng)段的一個子網(wǎng)段，天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的策略作用對象分別為IP地址和用戶，IP組是IP地址策略作用的最小單位。點擊“IP組”，用戶可選擇按照服務(wù)器及管理網(wǎng)段分類查看IP組。每個用戶可以添加IP組，修改、刪除自己所管理的IP組點擊“添加”，添加IP組。填入IP組的名稱和IP地址。選擇所屬的服務(wù)器和管理網(wǎng)段。排除的IP地址：填寫在IP地址段中不需要包含的IP地址。本IP組應(yīng)用的策略：通過查看及編輯按鈕進(jìn)行此IP組的相應(yīng)策略配置。若此IP組還沒有設(shè)置策略的話，則會在此處提示用戶“還沒有應(yīng)用策略”。認(rèn)證策略：選擇IP內(nèi)的CC是否啟用用戶登錄和可信MAC，UMI綁定策略。4.2. 自定義安裝自定義安裝是可選擇地安裝服務(wù)器各組件?？煞謩e選擇安裝各服務(wù)器組件的安裝程序，以便高級用戶單獨安裝一些服務(wù)組件或重裝維護(hù)一些服務(wù)器組件。4.2.1 自定義安裝中心服務(wù)器自定義安裝中心服務(wù)的安裝界面與快速安裝類似。有區(qū)別的是自定義安裝中心服務(wù)器可以根據(jù)需要其它組件安裝（注意：默認(rèn)自定義安裝中心服務(wù)器時，至少要安裝中心服務(wù)器和軟件分發(fā)服務(wù)器。具體操作可見上面的快速安裝。4.3. 本地服務(wù)器的安裝配置1 點擊“安裝天珣本地服務(wù)器”進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)服務(wù)器的本地服務(wù)器安裝界面。2 本地服務(wù)器安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進(jìn)行下一步操作。可以點擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。 2）系統(tǒng)組件所用的SQL Server 可以選擇連接到本機(jī)或者其它機(jī)器的SQL Server。如果您想將系統(tǒng)組件所用的SQL Server部署在本機(jī)。本機(jī)又沒有安裝SQL Server。您可以選擇方式安裝SQL Server。您也可以選擇點擊檢測界面SQL Server旁邊的“安裝”按鈕，運行安裝光盤帶的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微軟公司開發(fā)的 SQL Server 2005的縮減版，這個版本是免費的，單個數(shù)據(jù)庫大小限制為4G）。3）安裝完SQL SERVER2005 EXPRESS之后。安裝檢測程序會自動開啟SQL Server 的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫, 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計安裝程序是不會幫助SQL Server 打開1433監(jiān)聽端口）。 3 安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務(wù)器IP地址。1）指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務(wù)器IP地址3 ）根據(jù)需要其它組件安裝，可選擇的組件有：Radius服務(wù)器，策略網(wǎng)關(guān)代理服務(wù)器，告警及審計服務(wù)器，軟件分發(fā)服務(wù)器。4）安裝檢查完成。點擊安裝進(jìn)行安裝。（安裝完成之后。即完成自定義本地服務(wù)器安裝，如果需要的其它服務(wù)器或者網(wǎng)關(guān)，組件等未安裝。還可以再點擊進(jìn)入天珣策略系統(tǒng)網(wǎng)關(guān)或者天珣系統(tǒng)其它組件界面進(jìn)行安裝。）4.3.1 添加策略服務(wù)器 配置天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)的本地服務(wù)器。天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)支持分布式多服務(wù)器架構(gòu)。天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)需要一個中心服務(wù)器，也只需一個中心服務(wù)器。同時也至少需要一個本地服務(wù)器，本地服務(wù)器可由中心服務(wù)器兼任。所以中心服務(wù)器同時也是一個本地服務(wù)器。當(dāng)您配置中心服務(wù)器時，同時也是在配置其兼任的本地服務(wù)器，請在其“中心服務(wù)器IP地址”欄位上填寫自己的IP地址。如需添加另外一個本地服務(wù)器。即填寫在管理頁面中添加本地服務(wù)器地址和中心服務(wù)器的地址。若不是大于1000點的用戶，一般使用默認(rèn)的使用中心服務(wù)器的數(shù)據(jù)庫連接參數(shù)。4.4. 策略網(wǎng)關(guān)配置策略網(wǎng)關(guān)是系統(tǒng)及應(yīng)用準(zhǔn)入的準(zhǔn)入控制點，檢查訪問者的客戶端是否運行，與客戶端配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)的配置主要包括添加策略網(wǎng)關(guān)代理、安裝中性策略網(wǎng)關(guān)或IIS/ISA/EXCHANGE策略網(wǎng)關(guān)、配置準(zhǔn)入控制的網(wǎng)段。4.4.1 添加策略網(wǎng)關(guān)代理策略網(wǎng)關(guān)代理代表一組策略網(wǎng)關(guān)，具有相同的管理功能，在策略配置時，將這一組策略網(wǎng)關(guān)作為一個管理對象來管理。建議提供網(wǎng)絡(luò)服務(wù)的服務(wù)器都安裝策略網(wǎng)關(guān)，以保護(hù)服務(wù)器的例如，WEB、EXCHANGE、ISA等服務(wù)，對訪問此服務(wù)的客戶端實施準(zhǔn)入控制，確保服務(wù)器的安全。4.4.2 安裝中性策略網(wǎng)關(guān)放入光盤，選擇安裝天珣系統(tǒng)策略網(wǎng)關(guān)，得到如下圖所示：策略網(wǎng)關(guān)代理可以安裝在中心服務(wù)器上，中性策略網(wǎng)關(guān)可以自定義保護(hù)的端口號，用于一些使用指定端口的應(yīng)用軟件，默認(rèn)保護(hù)80和8080端口。安裝完成后，中性策略網(wǎng)關(guān)配置程序啟動進(jìn)行驅(qū)動、端口檢查、可忽略檢查IP的配置。配置中性策略網(wǎng)關(guān)驅(qū)動程序。首先安裝驅(qū)動程序，當(dāng)驅(qū)動程序已經(jīng)安裝時，“安裝驅(qū)動”按鈕不可用。安裝完驅(qū)動程序后，驅(qū)動默認(rèn)對所有的網(wǎng)卡進(jìn)行監(jiān)控。如果運行中性策略網(wǎng)關(guān)的機(jī)器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)卡選擇狀態(tài)改為不選中，然后點擊“應(yīng)用網(wǎng)絡(luò)配置”按鈕使配置生效。如果安裝驅(qū)動后沒有顯示出監(jiān)控的網(wǎng)卡，請參考后面進(jìn)行驅(qū)動的手工安裝配置。配置中性策略網(wǎng)關(guān)使用的策略網(wǎng)關(guān)代理地址、監(jiān)控TCP端口的范圍以及可忽略檢查的IP地址。程序默認(rèn)監(jiān)控80和8080端口。點擊保存，完成中性策略網(wǎng)關(guān)配置。注意：如果在網(wǎng)絡(luò)驅(qū)動配置頁面成功安裝并設(shè)置了中性策略網(wǎng)關(guān)驅(qū)動程序，就不再需要進(jìn)行手工驅(qū)動安裝。但對于某些存在問題的系統(tǒng)，可能會出現(xiàn)安裝驅(qū)動不成功的現(xiàn)象，此時需要手工安裝驅(qū)動程序以發(fā)現(xiàn)錯誤原因。如果安裝了錯誤的驅(qū)動，會導(dǎo)致系統(tǒng)不穩(wěn)定或崩潰。驅(qū)動安裝方法如下，打開本地連接的屬性，選擇安裝，再選擇服務(wù)，然后點添加。在選擇網(wǎng)絡(luò)服務(wù)對話框中，選擇“從磁盤安裝”,然后選擇中性策略網(wǎng)關(guān)目錄下的win2000或win2003子目錄中的netsf.inf文件（對Win2000，請安裝win2000子目錄下的驅(qū)動程序，對Win2003安裝win2003子目錄下面的驅(qū)動程序），選擇LPSGWIMD Driver組件，點擊確定開始安裝。安裝過程中可能會提示驅(qū)動沒有經(jīng)過數(shù)字簽名認(rèn)證，選擇繼續(xù)安裝，直到安裝完成。安裝完成后，在本地連接的屬性中可看到LPSGWIMD Driver。如果運行中性策略網(wǎng)關(guān)的機(jī)器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)絡(luò)連接上的LPSGWIMD Driver選擇狀態(tài)改為不選中即不使用LPSGWIMD組件。安裝完成后，請進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動添加并運行“GatewayPlugin Service”服務(wù)，則表明中性策略網(wǎng)關(guān)已經(jīng)安裝配置成功。 添加準(zhǔn)入控制的IP組通過添加策略網(wǎng)關(guān)準(zhǔn)入控制的網(wǎng)段，確定對哪些訪問者進(jìn)行狀態(tài)檢查。進(jìn)入“準(zhǔn)入控制應(yīng)用準(zhǔn)入”，點擊“準(zhǔn)入控制的網(wǎng)段”從已配置的策略網(wǎng)關(guān)代理中選擇想配置的項目，然后為對應(yīng)的策略網(wǎng)關(guān)添加、刪除其“需要檢查的IP組”，這些IP組可以有多個。該IP組中不滿足安全基線的客戶端，訪問策略網(wǎng)關(guān)所在的服務(wù)時將會被拒絕。若不同的策略網(wǎng)關(guān)需要檢查不同的IP組，可以安裝多個策略網(wǎng)關(guān)代理，并對不同的策略網(wǎng)關(guān)代理設(shè)定不同的檢查的IP組。 通過應(yīng)用準(zhǔn)入，強(qiáng)制用戶安裝客戶端當(dāng)所選定的IP組中的機(jī)器訪問安裝了策略網(wǎng)關(guān)的服務(wù)器時，會強(qiáng)制終端用戶安裝客戶端。如下圖所示：點擊安裝程序，完成后。將不會出現(xiàn)該提示提示。以上提示信息，在“準(zhǔn)入控制系統(tǒng)及應(yīng)用準(zhǔn)入策略網(wǎng)關(guān)”提示中設(shè)置,也可以選中”啟用”以啟用個性化提示頁面，該情況僅僅需要在提示頁面url中輸入需要提示的url即可。提示：再配置并啟用應(yīng)用準(zhǔn)入進(jìn)行客戶端分發(fā)和安裝前，需要將位于：C:ProgramFilesVenustechEndpoint SecurityESServerCCClientOutput下的 ClientSetup.exe客戶端安裝包，復(fù)制一份到：C:Program FilesVenustechEndpoint SecurityESServerDownload目錄下面，當(dāng)應(yīng)用準(zhǔn)入生效后，沒有安裝客戶端的用戶，可以通過上面的提示信息自助安裝客戶端。 即時更新策略網(wǎng)關(guān)策略在默認(rèn)的情況下，策略網(wǎng)關(guān)代理在每次啟動時會更新策略，或在運行24小時后自動更新策略，策略網(wǎng)關(guān)代理獲取新的策略后會自動將新策略下發(fā)到策略網(wǎng)關(guān)。但有時需要策略網(wǎng)關(guān)即時更新策略，比如管理員修改了策略網(wǎng)關(guān)控制的網(wǎng)段，或策略版本進(jìn)行了升級，需要強(qiáng)制客戶端即時生效，就需要即時更新策略網(wǎng)關(guān)策略。選擇服務(wù)器，然后選擇該服務(wù)器上的策略網(wǎng)關(guān)代理，點擊“更新策略網(wǎng)關(guān)策略”，系統(tǒng)先將所選的服務(wù)器與中心服務(wù)器進(jìn)行同步，然后更新所選的策略網(wǎng)關(guān)代理及所屬策略網(wǎng)關(guān)策略。4.5. 遠(yuǎn)程桌面的系統(tǒng)配置4.5.1 安裝添加遠(yuǎn)程桌面服務(wù)器安裝天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)中心服務(wù)器時，一般已集成安裝了按需支援遠(yuǎn)程桌面服務(wù)器。系統(tǒng)默認(rèn)全部管理網(wǎng)段的CC都開啟按需支援服務(wù)功能。這樣需要援助的用戶就可以通過服務(wù)器獲取在線管理員的列表。如果需要添加多個遠(yuǎn)程桌面管理員需要做如下步驟：1、 在策略服務(wù)器操作系統(tǒng)中添加相應(yīng)的管理員；2、 將該管理員加入策略系統(tǒng)的“管理員設(shè)置”中，并分配應(yīng)有的權(quán)限；3、 添加管理員組，并管理相關(guān)管理員。4、 在“遠(yuǎn)程桌面”服務(wù)中添加遠(yuǎn)程桌面服務(wù)器并關(guān)聯(lián)相應(yīng)網(wǎng)段。詳細(xì)配置步驟與方法請參見天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)用戶手冊4.5.2 添加遠(yuǎn)程桌面管理員如果是中心服務(wù)器安裝模式采用三權(quán)分立時。點擊“基本配置”“按需支持操作員”選項，添加遠(yuǎn)程桌面管理員。如果中心服務(wù)器安裝模式采用的是windows 集成認(rèn)證式時,添加用戶之后需在服務(wù)器系統(tǒng)帳戶中添加相應(yīng)的用戶。4.5.3 安裝按需支援管理員端程序遠(yuǎn)程桌面管理員需要安裝一個遠(yuǎn)程桌面管理員端，標(biāo)明自己在線，隨時可為用戶提供援助。將天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。請點擊“安裝天珣系統(tǒng)其它組件”。進(jìn)入安裝界面，選擇“安裝按需支援管理員端”安裝成功后，管理員輸入登錄ID和密碼登錄，標(biāo)明自己在線可為用戶提供幫助。然后登錄輸入管理用戶帳號和密碼，即可完成登錄遠(yuǎn)程幫助服務(wù)器。說明：管理員登錄遠(yuǎn)程桌面管理員端后，初始狀態(tài)為在線，系統(tǒng)并未檢查其處于空閑狀態(tài)，但一般用戶可以請求該管理員進(jìn)行遠(yuǎn)程協(xié)助。4.5.4 用戶請求管理員遠(yuǎn)程幫助用戶可右擊天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)客戶端的圖標(biāo)，選擇Help On Demand（按需支援），即可列出在線管理員列表，用戶雙擊其中任意一個狀態(tài)為空閑或（在線）管理員，即可與管理員建立連接，獲得幫助。4.6. 軟件