DLP Safeboot測試手冊.doc

McAfee 數(shù)據(jù)保護解決方案測試手冊數(shù)據(jù)保護解決方案測試手冊 MCAFEE 數(shù)據(jù)保護解決方案測試手冊數(shù)據(jù)保護解決方案測試手冊 1 1 測試環(huán)境說明 2 2 測試環(huán)境安裝步驟 2 2 1 安裝 DLP Safeboot 服務(wù)器 2 2 1 1 安裝 SQL2005 數(shù)據(jù)庫 2 2 1 2 安裝 EPO 服務(wù)器 6 2 1 3 安裝 DLP 服務(wù)器 7 2 1 4 安裝 Safeboot 服務(wù)器 13 2 1 實現(xiàn) Safeboot 與 ePO 集成 16 2 2 安裝 XP 客戶端 27 2 2 1 EPO 代理程序安裝部署 27 2 2 2 部署 DLP 代理程序 32 2 2 3 部署 Safeboot 硬盤加密客戶端程序 35 2 2 4 部署 Safeboot 文件和文件夾加密客戶端 36 3 策略設(shè)置 37 3 1DLP 策略設(shè)置 37 3 1 1 設(shè)備管理功能策略設(shè)置 37 3 1 2 數(shù)據(jù)丟失預(yù)防策略設(shè)置 46 3 2 端點加密策略設(shè)置 68 3 2 1 DE 策略設(shè)置 68 3 2 3 CE 策略設(shè)置 68 1 測試環(huán)境說明測試環(huán)境說明 本測試采用的軟件版本如下 DLP Safeboot 服務(wù)器 操作系統(tǒng)Windows 2003 SP2 數(shù)據(jù)庫SQL2005 SP2 EPO 服務(wù)器4 0 SP3 DLP 服務(wù)器V2 2 Safeboot 服務(wù)器V5500 XP 客戶端 操作系統(tǒng)Windows XP SP3 DLP 客戶端V2 2 Safeboot 客戶端DE V5 0 CE V3 1 測試環(huán)境搭建了一個 AD 域 具體如下 AD 域控制器 MCAFEE EPO LAB COM AD 域內(nèi)計算機 MCAFEE XPCLIENT LAB COM 域管理員 密碼 administrator mcafee123 域用戶 密碼 test mcafee123 XP 客戶端本機管理員 密碼 test mcafee123 具體操作為將 test 加入到 XP 本地管理員組 中 服務(wù)器 IP 192 168 1 201 24 客戶端 IP 192 168 1 200 24 2 測試環(huán)境安裝步驟測試環(huán)境安裝步驟 2 1 安裝安裝 DLP Safeboot 服務(wù)器服務(wù)器 服務(wù)器安裝大體分為數(shù)據(jù)庫安裝 EPO 服務(wù)器安裝 DLP 服務(wù)器安裝 Safeboot 服務(wù) 器安裝和 Safeboot 與 EPO 集成 步 2 1 1 安裝安裝 SQL2005 數(shù)據(jù)庫數(shù)據(jù)庫 1 安裝 IIS 打開控制面板 選擇添加安裝程序 選擇 安裝 Windows 組件 如下圖所 示選中 應(yīng)用程序服務(wù)器 點擊 詳細(xì)信息 彈出對話框 選中 Internet 信息服務(wù) 點擊 確定 再點擊 下一步 插入 Windows2003 光盤 開始安裝 2 安裝 NET 2 0 如果是中文的操作系統(tǒng) 需要再安裝 NET 2 0 語言包 安裝完成后 如下圖所示選擇 開始 所有程序 管理工具 Internet 信息管理服務(wù)器 3 在彈出的對話框中選擇 默認(rèn)網(wǎng)站 右鍵點擊 屬性 如下圖所示 4 彈出新的對話框 選擇 ASP NET 選項卡 如下圖所示驗證 ASP NET 版本為 2 X XXX 5 安裝 SQL2005 安裝的組件需要包括數(shù)據(jù)庫服務(wù) 報告服務(wù) 工具包 3 個選項 如下 圖所示 安裝完后再打 SP2 安裝 SP2 需要重新啟動服務(wù)器才能夠生效 6 系統(tǒng)重啟后點擊 開始 所有程序 Microsoft SQL Server 2005 Configuration Tools SQL Server Configuration Manager 如下圖所示 7 在彈出的的對話框選中選擇 Protocols for MSSQLSERVER 如下圖所示需要 Enable 兩 個協(xié)議 TCP IP 和 Name Pipes 2 1 2 安裝安裝 EPO 服務(wù)器服務(wù)器 8 開始安裝 EPO 4 0 安裝之前需要打一個補丁 msxml msi 安裝 EPO 過程會進入如下 界面 需要設(shè)置多個端口號 代理與服務(wù)器通訊端口缺省為 80 必須更改為其他端口 避免與 IIS 沖突 其他端口可以自由選擇 但要避免與網(wǎng)絡(luò)上其他應(yīng)用的端口沖突 具體如下圖所示將缺省 80 更改為 8080 9 點擊下一步開始安裝 直到安裝結(jié)束 再安裝 EPO 4 0 補丁 3 同樣在端口設(shè)置頁面 選擇通訊端口 避免與網(wǎng)絡(luò)上其他應(yīng)用端口沖突 10 安裝成功后登陸到 EPO 管理界面 如下圖顯示點擊屏幕上方 軟件 選項按鈕 再選 擇左下角 簽入包 按鈕 11 在彈出的對話框中選 EPO 代理程序的最新版本軟件包 最新版本代理程序軟件包是位 于 EPO 安裝光盤 Agent 文件夾下的 MA400WIN ZIP 文件 成功后在軟件資料庫中可 以看到 Mcafee Agent for Windows 條目 EPO 服務(wù)器安裝成功 2 1 3 安裝安裝 DLP 服務(wù)器服務(wù)器 12 首先安裝 DLP 事件服務(wù)器 安裝之前必須保證 SQL2005 Report Service 正常啟用 如 下圖所示 選擇 開始 所有程序 Micorsoft SQL 2005 Configuration Tools Reporting Service Configuration 13 彈出對話框點擊 Connect 如下圖顯示則表明一切正常 可以開始安裝 DLP 服務(wù)器 14 開始安裝 DLP 服務(wù)器 運行安裝介質(zhì) DLP2 2 Manager Server 文件目錄下的可執(zhí)行文 件 DLPEventCollectorServiceInstaller msi 安裝結(jié)束后登陸到 EPO 管理界面 點擊 配置 選項按鈕 選擇 擴展 選項卡 點擊左下角 安裝擴展 按鈕 如下圖所 示 15 在彈出的對話框中選擇將 DLP2 2 Manager NAP 文件夾下的 DATALOSS2000 ZIP 文件 導(dǎo)入 如下圖所示 16 導(dǎo)入成功后點擊 系統(tǒng) 選項按鈕 選擇 DLP 策略 選項卡 會彈出一個安裝提示 選擇 安裝 如下圖所示 安裝 DLP 管理工具 17 安裝完成后會出現(xiàn)初始化向?qū)?先退出初始化向?qū)?應(yīng)出現(xiàn)如下界面 18 向 EPO 資料庫簽入 DLP 客戶端軟件安裝程序包 如下圖所示點擊 軟件 選項按鈕 選擇左下角 簽入包 按鈕 將 DLP2 2 Agent 文件夾下的 DLPAgentPackage zip 文件 倒入 導(dǎo)入成功后可以看到 Mcafee Data Loss Prevention 條目 19 創(chuàng)建 Whitelist 和 Evidence 文件夾 在 C 盤建立兩個文件夾 C DLP Resource Whitelist 和 C DLP Resource Evidence 右鍵文件夾選擇 共享和安 全 如圖所示 20 共享權(quán)限需要定制 首先將文件夾的共享設(shè)為完全控制 再選擇高級選項卡 刪除其 它具有繼承權(quán)限的用戶 增加一個測試用戶 如下圖所示在本測試環(huán)境中添加 testuser test 給此用戶創(chuàng)建文件和創(chuàng)建文件夾的權(quán)限 并應(yīng)用到子文件夾和 文件中 具體步驟見安裝手冊 Creating and Configuring repository folders 21 文件夾權(quán)限設(shè)置完畢后 登陸 EPO 管理界面 點擊 系統(tǒng) 選項按鈕 選擇 DLP 策 略 選項卡 選擇初始化向?qū)?如下圖所示 具體設(shè)置見手冊 Initializing the DLP Policy Manager 22 安裝 DLP 的報告服務(wù)器 運行安裝源文件 DLP2 2 Manager DLP Reports 目錄下的 ReportingServicesInstallation exe 安裝成功后需要更新軟件 License 如下圖點擊 系 統(tǒng) 選項按鈕 選擇 DLP 策略 選項卡 點擊 幫助 菜單 選擇 更新許可 將 DLP2 2 DLP2 2LicenseKey txt 文件中的 License 替換 23 如下圖所示 更新完成后許可類型變?yōu)?McAfee 主機 DLP 完全許可 重新登陸 EPO 許可生效 DLP 服務(wù)器安裝完成 2 1 4 安裝安裝 Safeboot 服務(wù)器服務(wù)器 24 安裝 Safeboot5500 服務(wù)器 將壓縮包解壓 運行 Setup 安裝過程選擇端點加密和文 件夾加密兩個選項 如下圖所示 25 安裝完成后 首先創(chuàng)建 Safeboot 數(shù)據(jù)庫 點擊 開始 所有程序 McAfee Endpoint Encryption Manager Endpoint Encryption Manager 按照向?qū)нM行配置 進行到如下圖所示界面輸入用戶名密碼 26 數(shù)據(jù)庫創(chuàng)建成功后彈出登陸界面 登陸成功后進入如下界面 選擇 Endpoint Encryption Servers 雙擊后如圖點擊右鍵 選擇 new server 27 在彈出的界面中數(shù)據(jù)服務(wù)器的配置 本測試選擇本機為 Safetoot Server 如下圖 28 創(chuàng)建成功后點擊 開始 所有程序 McAfee Endpoint Encryption Manager Endpoint Encryption Database Server 進入登陸界面 輸入用戶名密碼 admin mcafee123 彈出如下對話框 點擊 OK 29 登陸成功后 如下圖所示點擊菜單 File Start Service 啟動服務(wù) Safeboot 服務(wù) 器配置完成 2 1 實現(xiàn) 實現(xiàn) Safeboot 與與 ePO 集成集成 30 Safeboot 服務(wù)器配置完成 接下來將報告與 EPO 進行集成 登陸到 EPO 管理界面 點擊 配置 選項按鈕 選擇 擴展 選項卡 點擊左下角 安裝擴展 按鈕 選擇 安裝介質(zhì) EPO Endpoint Encryption for Files and Folders EPO4 目錄下的 SbCe3 zip 如 下圖所示將 CE 的報告集成到 EPO 同樣選擇 EPO Endpoint Encryption for PC EPO4 目 錄下的 SbDe5 zip 將 DE 的報告集成到 EPO 31 擴展完成后 點擊 報告 選項按鈕 如下圖所示可以看到 4 個新建查詢 報告集成 完成 32 登陸 Safeboot 管理界面 如圖雙擊 Endpoint Encryption Users 在右側(cè)界面右鍵選擇 Creat User 添加一個 test 用戶 33 如下圖所示右鍵 Endpoint Encrytion Machines 選擇 Add User 34 將新創(chuàng)建的用戶 test 與 Endpoint Encryption Machines 綁定 如下圖所示 35 如下圖雙擊 Endpoint Encryption Keys 在右側(cè)界面右鍵選擇 Add key 添加一個 test key 密鑰 36 雙擊 test key 彈出如下對話框 將 Admin 和新建的 Users 用戶添加到 Users 中 點 擊 Apply 應(yīng)用 37 如下圖雙擊 Endpoint Encryption for Files and Folders Policies 在右側(cè)界面右鍵選擇 Add 添加一個 test policy 策略 38 雙擊 test policy 彈出如下對話框 選擇 Allow user local keys 彈出新的對話框 39 在新的對話框中選中 test key 如下圖所示 點擊 OK 再點擊 Apply 40 設(shè)置完成后 進入如下界面如下界面右鍵 Endpoint Encrytion Machines 選擇 Create installation set 41 在創(chuàng)建過程中會彈出如下對話框 選中 Perform Installation Silently 和 Automatically Restart Mchine 兩個復(fù)選框 點擊 完成 生成 DE 安裝包 EEPC EXE 42 進入如下界面右鍵 Endpoint Encrytion for Files and Folders Policies 選擇 Creat installation set 43 在安裝過程中會彈出如下對話框 選中 Perform Installation Silently 和 Automatically Restart Mchine 兩個復(fù)選框 輸入卸載密碼 點擊 完成 會生成 CE 安裝包 EEEF Setup EXE 44 安裝完成后訪問目錄 C Program Files McAfee Endpoint Encryption Manager 會生成兩個 安裝文件 EEEF Setup exe 和 EEPC exe 如下圖所示 需要將這兩個文件簽名 生成 EPO 的標(biāo)準(zhǔn)安裝包 45 將 EEFF Setup exe 和 EEPC exe 這兩個文件拷貝到一個根目錄的文件夾下 如 C Install 創(chuàng)建 DE 和 CE 2 個子文件夾 將解壓的 Safeboot 的安裝源文件 EPO Endpoint Encryption for PC Package 目錄下 de detect mcs 和 pkgcatalog xml 拷貝 到其中 C Install DE 子文件夾下 將生成的安裝包 EEPC exe 也拷貝到這個子文件夾下 把 eposign exe 拷貝到 C Install 目錄下 用記事本程序打開 pkgcatalog xml 文件 如 下圖所示 更改 InstallCommand 為 EEPC EXE 46 更改完成后保存關(guān)閉 以命令行方式進入 C Install 目錄 如下圖運行命令 eposign C install DE pkgcatalog xml mcs a 47 命令運行成功后在 C Install DE 子文件夾下將生成一個 pkgcatalog z 文件 如圖所示 將 DE 文件夾壓縮成 ZIP 包 創(chuàng)建 Safeboot DE 客戶端安裝程序包成功 48 同樣再將解壓的 Safeboot 的安裝源文件 EPO Endpoint Encryption for files and Folders Package 目錄下 ce detect mcs 和 pkgcatalog xml 拷貝到 C Install CE 子文件夾下 將生成的安裝包 EEFF Setup exe 也拷貝到這個子文件夾下 用記事本程序打開此目錄 下的 pkgcatalog xml 文件 更改 InstallCommand 為 EEFF Setup EXE 以命令行方 式進入 C Install 目錄 運行命令 eposign C install CE pkgcatalog xml mcs a 將生 成一個 pkgcatalog z 文件 如下圖所示將 CE 文件夾壓縮成 ZIP 包 創(chuàng)建 Safeboot CE 客戶端安裝程序包成功 49 登陸 EPO 點擊 軟件 選項按鈕 選擇左下角 簽入包 按鈕 將前面生成的 Safeboot 客戶端程序軟件包倒入 如下圖所示選擇壓縮包 DE zip 再導(dǎo)入壓縮包 CE zip 50 導(dǎo)入成功后在軟件資料庫中可以看到 Safeboot Device Encryption 和 Safeboot Content Encryption 2 個條目 如下圖所示 服務(wù)器安裝結(jié)束 2 2 安裝安裝 XP 客戶端客戶端 客戶端安裝大體分為 EPO 代理安裝 DLP 代理部署 Safeboot 客戶端部署 3 個 步驟 2 2 1 EPO 代理程序安裝部署代理程序安裝部署 1 啟動 XP 客戶端 登陸到 LAB 域 在 EPO 服務(wù)器上點擊 開始 所有程序 管 理工具 Active Directory 用戶和計算機 如下圖所示 在 Computers 容器中可以看 到一臺主機 MCAFEE XPCLIENT 2 登陸 EPO 點擊 系統(tǒng) 系統(tǒng)樹 組 選項卡 如下圖所示 點擊 新建子組 3 在彈出的對話框中輸入新建組的名稱 LAB 如下圖所示鼠標(biāo)選中 LAB 點擊 同步類型 無 編輯 4 彈出的界面中選擇 Active Directory 輸入 Active Directory 域 LAB 在憑據(jù)欄輸 入域名和管理員 密碼 點擊 瀏覽 如下圖所示 5 在彈出的對話框中選擇 Computers 點擊確定 如下圖所示 6 回到前一個頁面 點擊 立即同步 再選擇 保存 進入下一個界面 再點擊 系 統(tǒng) 可以看到 LAB 組中已經(jīng)有一臺新的主機 MCAFEE XPCLIENT 如下圖所示 7 選中 MCAFEE XPCLIENT 如下圖點擊 部署代理 按鈕 彈出一個新的對話框 8 在界面中輸入域名 管理員密碼 點擊確定 如下圖所示 9 EPO 服務(wù)器轉(zhuǎn)入 報告 服務(wù)器任務(wù)日志 顯示代理部署進度 到 XP 客戶端顯示 代理程序正在安裝 安裝成功后如下圖顯示 10 登陸到 EPO 服務(wù)器 如下圖點擊 系統(tǒng) 系統(tǒng)樹 LAB 系統(tǒng) 選中主機系 統(tǒng) MCAFEE XPCLIENT 點擊 更多操作 選中 修改單個系統(tǒng)策略 進入下一個 界面 11 在 產(chǎn)品 欄選中 McAfee Agent 點擊 My Default 進入代理策略配置界面 選中 顯示 McAfee 系統(tǒng)任務(wù)欄圖標(biāo) 如下圖所示 點擊 保存 策略生效 12 回到 系統(tǒng) 系統(tǒng)樹 LAB 系統(tǒng) 頁面 選中 MCAFEE XPCLIENT 主機 點擊 喚醒代理 如下圖所示 13 進入下一個頁面 點擊確定 回到 XP 客戶端 在屏幕的右下角出現(xiàn)代理程序標(biāo)示 如下圖所示 2 2 2 部署部署 DLP 代理程序代理程序 14 客戶端代理安裝成功后 定義客戶端程序?qū)嵤┤蝿?wù) 將 DLP 和 Safeboot 的客戶端程序 下發(fā)到客戶端 登陸 EPO 點擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 如下 圖所示選中 MCAFEE XPCLIENT 點擊 更多操作 選中 修改單個系統(tǒng)上的任務(wù) 15 進入下一個界面點擊 新建任務(wù) 進入下一個界面名稱欄填寫 Deloy DLP 類型 欄選擇 產(chǎn)品部署 McAfee Agent 如下圖所示 16 進入下一個界面 產(chǎn)品和組件欄選擇 McAfee Data Loss Prevention 2 0 0 0 如下圖 所示 17 點擊 下一步 進入下一個界面 在計劃類型欄選擇 立即運行 如下圖所示 18 點擊 下一步 進入下一個界面 再點擊 保存 任務(wù)定義完成 轉(zhuǎn)到 XP 客戶端界 面 點擊 EPO 代理圖標(biāo) 再點中 McAfee Agent 再點中 狀態(tài)監(jiān)視器 如下圖所 示 19 界面彈出代理程序狀態(tài) 系統(tǒng)正在安裝 DLP 代理程序 如下圖所示 20 安裝完成后會彈出對話框要求重新啟動機器 重啟完成后點擊 EPO 代理程序圖標(biāo) 點 擊 關(guān)于 彈出如下對話框 顯示 DLP 代理程序安裝成功 2 2 3 部署部署 Safeboot 硬盤加密客戶端程序硬盤加密客戶端程序 21 登陸 EPO 點擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 選中 MCAFEE XPCLIENT 定義一個新的任務(wù) 部署硬盤加密客戶端 如下圖所示 22 任務(wù)定義為立即執(zhí)行 部署成功后 系統(tǒng)需要重新啟動 進入操作系統(tǒng)啟動界面以前 會出現(xiàn)如下界面 輸入用戶名 test 和缺省密碼 12345 系統(tǒng)會提示更改密碼 更 改完成后進入 Windows 啟動界面 23 啟動完成后界面右下角出現(xiàn)加密程序圖標(biāo) 點擊后選擇 show status 看到如下界面 硬盤加密部署成功 2 2 4 部署部署 Safeboot 文件和文件夾加密客戶端文件和文件夾加密客戶端 24 登陸 EPO 點擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 選中 MCAFEE XPCLIENT 定義一個新的任務(wù) 部署內(nèi)容加密客戶端 如下圖所示 25 任務(wù)定義為立即執(zhí)行 部署成功后 系統(tǒng)需要重新啟動 啟動完成后界面右下角出現(xiàn) 加密程序圖標(biāo) 點擊后選擇 show status 看到如下界面 文件和文件夾加密部署成 功 3 策略設(shè)置策略設(shè)置 3 1DLP 策略設(shè)置策略設(shè)置 3 1 1 設(shè)備管理功能策略設(shè)置設(shè)備管理功能策略設(shè)置 添加一條策略 對于 test 用戶而言 只允許特定的 USB 使用 其他所有的 USB 都禁 止使用 此策略屬于 device control 的功能 1 將允許使用的 USB 插入電腦 打開 設(shè)備管理器 右鍵 屬性 如下圖 2 點擊 Details 選項卡 如下圖可以看到有關(guān) USB 的一些標(biāo)識信息 其含義分別是 VID 是設(shè)備生產(chǎn)廠商的標(biāo)識 PID 是 USB 設(shè)備的類型標(biāo)識 3 登陸 EPO 訪問 DLP 策略設(shè)置頁面 點擊 策略分配 用戶分配組 鼠標(biāo)右鍵選 擇 添加新用戶分配組 命名為 LAB 4 雙擊 LAB 點擊 添加 彈出如下對話框 再點擊 搜索 會列出 LAB 域中所 有的可用對象 如下圖所示 選中 testuser 的復(fù)選框 5 點擊確定 test 用戶已經(jīng)被加入到 DLP 策略用戶用戶組當(dāng)中 如下圖再點擊 設(shè)備管 理 設(shè)備定義 選擇菜單 添加新可移動存儲設(shè)備定義 將其命名為 允許的 USB 6 雙擊 允許的 USB 彈出的對話框中選擇 USB 供應(yīng)商 ID 產(chǎn)品 ID 彈出新的對話 框 如下圖所示將輸入供應(yīng)商 ID0411 產(chǎn)品 ID00DC 7 再新添加一個可移動存儲設(shè)備定義 命名為 所有的 USB 如下圖所示雙擊 所有 的 USB 彈出對話框中選擇總線類型 在新的對話框中選中 USB 復(fù)選框 8 確定后再點擊 設(shè)備管理 設(shè)備規(guī)則 如下圖所示添加一個 可移動存儲設(shè)備規(guī)則 命名為 USB 設(shè)備規(guī)則 9 雙擊 USB 設(shè)備規(guī)則 如下圖所示對 允許的 USB 選中 排除 單選框 對所有 USB 選中 包括 單選框 10 點擊下一步 選擇 阻止 復(fù)選框 選擇事件的嚴(yán)重性 如下圖所示 11 再點擊下一步 選中 LAB 復(fù)選框 點擊完成 如下圖所示 12 點擊菜單上 啟用 按鈕 使策略生效 如下圖所示 設(shè)備管理策略設(shè)置完成 此策 略應(yīng)該能夠只允許域用戶 TEST 使用特定的 USB 其他 USB 不能正常使用 13 點擊應(yīng)用 將此策略應(yīng)用到 EPO 使策略下發(fā)到 XP 客戶端 使策略生效 如下圖所 示 14 啟動 XP 客戶端 以 LAB test 用戶的身份登陸 將定義的 USB 插入 如下圖所示 該 USB 正常使用 15 插入另外的 USB 設(shè)備到 XP 客戶端 如圖顯示設(shè)備被禁用 規(guī)則有效 3 1 2 數(shù)據(jù)丟失預(yù)防策略設(shè)置數(shù)據(jù)丟失預(yù)防策略設(shè)置 數(shù)據(jù)丟失保護策略設(shè)置分為 4 大步 定義標(biāo)記類型 找出敏感數(shù)據(jù) 將敏感數(shù)據(jù)與標(biāo) 記類型相關(guān)聯(lián)和設(shè)置保護措施 1 登陸 EPO 點擊 系統(tǒng) DLP 策略 定義 標(biāo)記 如下圖所示 定義兩個標(biāo) 記 一個是基于內(nèi)容的標(biāo)記 銷售 另一個是普通標(biāo)記 銷售文件 如下圖所示 2 點擊 定義 安全文本模式 點擊菜單 添加新 安全文本模式 如下圖所示 3 雙擊 銷售 彈出如下對話框點擊 添加 在文本欄輸入 銷售 4 點擊 定義 文件服務(wù)器 如下圖鼠標(biāo)右鍵選擇 掃描 按 LDAP 選項列出網(wǎng) 絡(luò)服務(wù)器 5 彈出如下對話框 點擊 搜索 選中主機 MCAFEE EPO 點擊確定 6 點擊 應(yīng)用程序 企業(yè)應(yīng)用程序列表 如下圖點擊 表視圖 樹視圖 相互切換 7 登陸 XP 客戶端 將 Program Files 文件夾共享 登陸 EPO 如下圖點擊 掃描應(yīng) 用程序 彈出對話框 選擇 開始 彈出對話框 再選中 mcafee xpclient 上共享 的 Program Files 目錄 點擊確定 開始掃描 8 掃描結(jié)束后 如圖所示列出了發(fā)現(xiàn)的新應(yīng)用程序 點擊確定 再點擊 合并 9 合并完成后 彈出如下對話框 點擊確定 關(guān)閉 掃描應(yīng)用程序 對話框 關(guān)閉 XP 客戶端 Program Files 共享 10 點擊 應(yīng)用程序 應(yīng)用程序組 右鍵 添加新 應(yīng)用程序組 如下圖添加一個 敏感應(yīng)用程序 組 11 雙擊 敏感應(yīng)用程序 如下圖在彈出的對話框中選擇 microsoft coporation microsoft office 2003 excel exe 點擊確定 敏感程序定義完畢 12 在 EPO 服務(wù)器上建立一個文件夾 銷售文件 將此文件夾共享 如下圖所示 13 接下來需要定義 3 個標(biāo)記規(guī)則 標(biāo)記規(guī)則的目的是為了將被保護的數(shù)據(jù)與前面定義的 兩個標(biāo)記 基于內(nèi)容的標(biāo)記 銷售 和普通標(biāo)記 銷售文件 相關(guān)聯(lián) 希望達(dá)到如下 目的 任何包含關(guān)鍵字 銷售 的文件均為受保護的文件 由敏感程序 EXCEL 生成的文件后綴名為 XLS 的文件均為受保護的文件 在文件服務(wù)器 MCAFEE EPO 上共享的文件夾 銷售文件 下的文件均為受保 護的文件 14 登陸 EPO 點擊 系統(tǒng) DLP 策略 規(guī)則 標(biāo)記規(guī)則 鼠標(biāo)右鍵 添加新 基于內(nèi)容的標(biāo)記規(guī)則 15 將新添加的基于內(nèi)容的標(biāo)記規(guī)則定義為 關(guān)鍵字規(guī)則 如下圖所示雙擊后彈出如下對 話框 選擇之前已經(jīng)定義好的安全文本模式 銷售 點擊 下一步 16 在下一個對話框中選中 銷售 標(biāo)記 點擊完成 再點擊 啟用 將此規(guī)則生效 關(guān) 鍵字規(guī)則定義生效 17 鼠標(biāo)右鍵 添加新 基于應(yīng)用程序的標(biāo)記規(guī)則 添加一個 敏感程序規(guī)則 雙擊 后彈出如下對話框 選擇之前已經(jīng)定義的 敏感應(yīng)用程序 點擊下一步 18 跳過第二至第四步 在第五步選擇標(biāo)記 銷售文件 點擊完成 如下圖所示 再啟用 此規(guī)則 19 鼠標(biāo)右鍵 添加新 基于位置的標(biāo)記規(guī)則 添加一個 共享文件夾規(guī)則 雙擊后 彈出如下對話框 選擇 網(wǎng)絡(luò)文件服務(wù)器 20 點擊 MCAFEE EPO 在網(wǎng)絡(luò)路徑輸入共享路徑 再點擊添加 如下圖所示 21 將共享添加完成后確定進入下一步 跳過第二步到第四步 在最后一步選擇 銷售文 件 標(biāo)記 點擊完成 啟用此規(guī)則 22 接下來需要定義反應(yīng)規(guī)則 反應(yīng)規(guī)則是對數(shù)據(jù)進行保護的關(guān)鍵操作 反應(yīng)規(guī)則共有 9 種 包括應(yīng)用程序文件訪問保護規(guī)則 剪貼板保護規(guī)則 電子郵件保護規(guī)則 網(wǎng)絡(luò)文 件系統(tǒng)保護規(guī)則 網(wǎng)絡(luò)保護規(guī)則 打印保護規(guī)則 可移動存儲保護規(guī)則 屏幕捕捉保 護規(guī)則和 Web 發(fā)布保護規(guī)則 由于演示環(huán)境限制 只定義電子郵件保護規(guī)則 可移動 存儲保護規(guī)則 屏幕捕捉保護規(guī)則和 Web 發(fā)布保護規(guī)則 4 種 希望達(dá)到如下目的 對于包含關(guān)鍵字 或者從共享 mcafee 銷售文件 目錄下拷貝的文件 和微軟 EXCEL 程序生成的 xls 后綴的電子文檔表格文件不允許用郵件外發(fā) 不允 許被 USB 拷走 不允許被 Web 發(fā)布 對于從共享 mcafee 銷售文件 目錄下拷貝的文件 和微軟 EXCEL 程 序生成的 xls 后綴的電子文檔不允許被截屏 23 點擊 標(biāo)記 反應(yīng)規(guī)則 鼠標(biāo)右鍵選擇 添加新 可移動存儲保護規(guī)則 如下 圖所示 24 添加一個新規(guī)則 USB 保護規(guī)則 雙擊后彈出對話框 跳過第一步 進入第二步如 下圖所示 點擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 25 點擊下一步 跳過第三步和第四步 進入如下界面 勾中 阻止 復(fù)選框 定義事件 嚴(yán)重性等級 將嚴(yán)重性定義為高 26 點擊下一步 勾中 LAB 用戶分配組 如下圖所示點擊完成 啟用此策略 此策略 將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的文件拷貝到 USB 同時也阻止將共享文 件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件拷貝到 USB 27 鼠標(biāo)右鍵選擇 添加新 電子郵件保護規(guī)則 如下圖所示添加一個 電子郵件保護 規(guī)則 雙擊后彈出新的對話框 跳過 第一步 進入第二步 點擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 28 點擊下一步 跳過第三步和第四步進入如下界面 勾中 阻止 和 存儲證據(jù) 復(fù)選 框 將事件嚴(yán)重性更改為高 點擊下一步 將策略分配給 LAB 用戶組 完成此策 略定義并啟用策略 此策略將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的文件通過郵 件發(fā)送 同時也阻止將共享文件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件發(fā)送出去 29 鼠標(biāo)右鍵選擇 添加新 Web 發(fā)布保護規(guī)則 如下圖所示添加一個 網(wǎng)頁發(fā)布保 護規(guī)則 雙擊后彈出新的對話框 跳過 第一步 進入第二步 點擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 30 點擊下一步 跳過第三步和第四步進入如下界面 勾中 阻止 復(fù)選框 將事件嚴(yán)重 性更改為高 點擊下一步 將策略分配給 LAB 用戶組 完成此策略定義并啟用策 略 此策略將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的通過網(wǎng)頁發(fā)布 同時也阻止 將共享文件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件 上網(wǎng)發(fā)布 31 鼠標(biāo)右鍵選擇 添加新 屏幕捕捉保護規(guī)則 如下圖所示添加一個 抓屏保護規(guī)則 雙擊后彈出新的對話框 跳過第一步和第二步 進入第三步點擊 從列表中選擇 選擇 銷售文件 標(biāo)記 32 在第四步選擇 通知用戶 點擊下一步 將策略分配給 LAB 用戶組 完成此策略 定義并啟用策略 此策略將阻止 LAB test 用戶將共享文件夾 mcafee 銷售 文件 目錄下的文件和 EXCEL 程序生成的文件被截屏 33 如下圖所示點擊應(yīng)用將策略應(yīng)用到 EPO 策略設(shè)置生效 34 以 LAB test 身份登陸 XP 客戶端 新建一個名為 銷售 的 Word 文件 打開輸入 銷售 保存后關(guān)閉 點擊 開始 所有程序 運行 輸入 mcafee epo 銷售文 件 將 銷售 ppt 拷貝到本地 打開 EXCEL 程序 隨意輸入一些內(nèi)容另存為 銷售 的 EXCEL 文件 如下圖所示桌面有銷售 doc 銷售 xls 銷售 ppt3 個文件 35 插入 USB 將桌面 3 個文件中的任意一個拷貝到移動硬盤 如圖顯示均被阻止 說明 對于關(guān)鍵字 應(yīng)用程序種類 共享路徑定義的敏感數(shù)據(jù)均被保護 36 打開 Outlook 郵件客戶端 新建一個郵件 將 3 個文件中的任意一個作為附件發(fā)送 如圖所示全部被阻止 37 打開可以上傳文件的網(wǎng)頁 將 3 個文件中的任意一個上傳 如下圖所示 均被阻止 38 打開 銷售 xls 和 銷售 ppt 文件 按鍵 PrintScrn 如下圖所示均被阻止 39 將以上文件重新命名 重復(fù)相同的操作得到相同的結(jié)果 如下圖即使將文件用 WinRAR 程序做加密壓縮 得到的結(jié)果相同 但必須在 EPO 服務(wù)器上對 WinRAR 程 序組做掃描才能夠生效 關(guān)于 DLP 策略的其他設(shè)置可以采用相似的方法設(shè)置 在此不 做贅述 3 2 端點加密策略設(shè)置端點加密策略設(shè)置 3 2 1 DE 策略設(shè)置策略設(shè)置 1 登陸 Safeboot Encryption Manager 如下圖點擊 Device 選項卡 雙擊