DLP Safeboot測(cè)試手冊(cè).doc

McAfee 數(shù)據(jù)保護(hù)解決方案測(cè)試手冊(cè)數(shù)據(jù)保護(hù)解決方案測(cè)試手冊(cè) MCAFEE 數(shù)據(jù)保護(hù)解決方案測(cè)試手冊(cè)數(shù)據(jù)保護(hù)解決方案測(cè)試手冊(cè) 1 1 測(cè)試環(huán)境說明 2 2 測(cè)試環(huán)境安裝步驟 2 2 1 安裝 DLP Safeboot 服務(wù)器 2 2 1 1 安裝 SQL2005 數(shù)據(jù)庫 2 2 1 2 安裝 EPO 服務(wù)器 6 2 1 3 安裝 DLP 服務(wù)器 7 2 1 4 安裝 Safeboot 服務(wù)器 13 2 1 實(shí)現(xiàn) Safeboot 與 ePO 集成 16 2 2 安裝 XP 客戶端 27 2 2 1 EPO 代理程序安裝部署 27 2 2 2 部署 DLP 代理程序 32 2 2 3 部署 Safeboot 硬盤加密客戶端程序 35 2 2 4 部署 Safeboot 文件和文件夾加密客戶端 36 3 策略設(shè)置 37 3 1DLP 策略設(shè)置 37 3 1 1 設(shè)備管理功能策略設(shè)置 37 3 1 2 數(shù)據(jù)丟失預(yù)防策略設(shè)置 46 3 2 端點(diǎn)加密策略設(shè)置 68 3 2 1 DE 策略設(shè)置 68 3 2 3 CE 策略設(shè)置 68 1 測(cè)試環(huán)境說明測(cè)試環(huán)境說明 本測(cè)試采用的軟件版本如下 DLP Safeboot 服務(wù)器 操作系統(tǒng)Windows 2003 SP2 數(shù)據(jù)庫SQL2005 SP2 EPO 服務(wù)器4 0 SP3 DLP 服務(wù)器V2 2 Safeboot 服務(wù)器V5500 XP 客戶端 操作系統(tǒng)Windows XP SP3 DLP 客戶端V2 2 Safeboot 客戶端DE V5 0 CE V3 1 測(cè)試環(huán)境搭建了一個(gè) AD 域 具體如下 AD 域控制器 MCAFEE EPO LAB COM AD 域內(nèi)計(jì)算機(jī) MCAFEE XPCLIENT LAB COM 域管理員 密碼 administrator mcafee123 域用戶 密碼 test mcafee123 XP 客戶端本機(jī)管理員 密碼 test mcafee123 具體操作為將 test 加入到 XP 本地管理員組 中 服務(wù)器 IP 192 168 1 201 24 客戶端 IP 192 168 1 200 24 2 測(cè)試環(huán)境安裝步驟測(cè)試環(huán)境安裝步驟 2 1 安裝安裝 DLP Safeboot 服務(wù)器服務(wù)器 服務(wù)器安裝大體分為數(shù)據(jù)庫安裝 EPO 服務(wù)器安裝 DLP 服務(wù)器安裝 Safeboot 服務(wù) 器安裝和 Safeboot 與 EPO 集成 步 2 1 1 安裝安裝 SQL2005 數(shù)據(jù)庫數(shù)據(jù)庫 1 安裝 IIS 打開控制面板 選擇添加安裝程序 選擇 安裝 Windows 組件 如下圖所 示選中 應(yīng)用程序服務(wù)器 點(diǎn)擊 詳細(xì)信息 彈出對(duì)話框 選中 Internet 信息服務(wù) 點(diǎn)擊 確定 再點(diǎn)擊 下一步 插入 Windows2003 光盤 開始安裝 2 安裝 NET 2 0 如果是中文的操作系統(tǒng) 需要再安裝 NET 2 0 語言包 安裝完成后 如下圖所示選擇 開始 所有程序 管理工具 Internet 信息管理服務(wù)器 3 在彈出的對(duì)話框中選擇 默認(rèn)網(wǎng)站 右鍵點(diǎn)擊 屬性 如下圖所示 4 彈出新的對(duì)話框 選擇 ASP NET 選項(xiàng)卡 如下圖所示驗(yàn)證 ASP NET 版本為 2 X XXX 5 安裝 SQL2005 安裝的組件需要包括數(shù)據(jù)庫服務(wù) 報(bào)告服務(wù) 工具包 3 個(gè)選項(xiàng) 如下 圖所示 安裝完后再打 SP2 安裝 SP2 需要重新啟動(dòng)服務(wù)器才能夠生效 6 系統(tǒng)重啟后點(diǎn)擊 開始 所有程序 Microsoft SQL Server 2005 Configuration Tools SQL Server Configuration Manager 如下圖所示 7 在彈出的的對(duì)話框選中選擇 Protocols for MSSQLSERVER 如下圖所示需要 Enable 兩 個(gè)協(xié)議 TCP IP 和 Name Pipes 2 1 2 安裝安裝 EPO 服務(wù)器服務(wù)器 8 開始安裝 EPO 4 0 安裝之前需要打一個(gè)補(bǔ)丁 msxml msi 安裝 EPO 過程會(huì)進(jìn)入如下 界面 需要設(shè)置多個(gè)端口號(hào) 代理與服務(wù)器通訊端口缺省為 80 必須更改為其他端口 避免與 IIS 沖突 其他端口可以自由選擇 但要避免與網(wǎng)絡(luò)上其他應(yīng)用的端口沖突 具體如下圖所示將缺省 80 更改為 8080 9 點(diǎn)擊下一步開始安裝 直到安裝結(jié)束 再安裝 EPO 4 0 補(bǔ)丁 3 同樣在端口設(shè)置頁面 選擇通訊端口 避免與網(wǎng)絡(luò)上其他應(yīng)用端口沖突 10 安裝成功后登陸到 EPO 管理界面 如下圖顯示點(diǎn)擊屏幕上方 軟件 選項(xiàng)按鈕 再選 擇左下角 簽入包 按鈕 11 在彈出的對(duì)話框中選 EPO 代理程序的最新版本軟件包 最新版本代理程序軟件包是位 于 EPO 安裝光盤 Agent 文件夾下的 MA400WIN ZIP 文件 成功后在軟件資料庫中可 以看到 Mcafee Agent for Windows 條目 EPO 服務(wù)器安裝成功 2 1 3 安裝安裝 DLP 服務(wù)器服務(wù)器 12 首先安裝 DLP 事件服務(wù)器 安裝之前必須保證 SQL2005 Report Service 正常啟用 如 下圖所示 選擇 開始 所有程序 Micorsoft SQL 2005 Configuration Tools Reporting Service Configuration 13 彈出對(duì)話框點(diǎn)擊 Connect 如下圖顯示則表明一切正常 可以開始安裝 DLP 服務(wù)器 14 開始安裝 DLP 服務(wù)器 運(yùn)行安裝介質(zhì) DLP2 2 Manager Server 文件目錄下的可執(zhí)行文 件 DLPEventCollectorServiceInstaller msi 安裝結(jié)束后登陸到 EPO 管理界面 點(diǎn)擊 配置 選項(xiàng)按鈕 選擇 擴(kuò)展 選項(xiàng)卡 點(diǎn)擊左下角 安裝擴(kuò)展 按鈕 如下圖所 示 15 在彈出的對(duì)話框中選擇將 DLP2 2 Manager NAP 文件夾下的 DATALOSS2000 ZIP 文件 導(dǎo)入 如下圖所示 16 導(dǎo)入成功后點(diǎn)擊 系統(tǒng) 選項(xiàng)按鈕 選擇 DLP 策略 選項(xiàng)卡 會(huì)彈出一個(gè)安裝提示 選擇 安裝 如下圖所示 安裝 DLP 管理工具 17 安裝完成后會(huì)出現(xiàn)初始化向?qū)?先退出初始化向?qū)?應(yīng)出現(xiàn)如下界面 18 向 EPO 資料庫簽入 DLP 客戶端軟件安裝程序包 如下圖所示點(diǎn)擊 軟件 選項(xiàng)按鈕 選擇左下角 簽入包 按鈕 將 DLP2 2 Agent 文件夾下的 DLPAgentPackage zip 文件 倒入 導(dǎo)入成功后可以看到 Mcafee Data Loss Prevention 條目 19 創(chuàng)建 Whitelist 和 Evidence 文件夾 在 C 盤建立兩個(gè)文件夾 C DLP Resource Whitelist 和 C DLP Resource Evidence 右鍵文件夾選擇 共享和安 全 如圖所示 20 共享權(quán)限需要定制 首先將文件夾的共享設(shè)為完全控制 再選擇高級(jí)選項(xiàng)卡 刪除其 它具有繼承權(quán)限的用戶 增加一個(gè)測(cè)試用戶 如下圖所示在本測(cè)試環(huán)境中添加 testuser test 給此用戶創(chuàng)建文件和創(chuàng)建文件夾的權(quán)限 并應(yīng)用到子文件夾和 文件中 具體步驟見安裝手冊(cè) Creating and Configuring repository folders 21 文件夾權(quán)限設(shè)置完畢后 登陸 EPO 管理界面 點(diǎn)擊 系統(tǒng) 選項(xiàng)按鈕 選擇 DLP 策 略 選項(xiàng)卡 選擇初始化向?qū)?如下圖所示 具體設(shè)置見手冊(cè) Initializing the DLP Policy Manager 22 安裝 DLP 的報(bào)告服務(wù)器 運(yùn)行安裝源文件 DLP2 2 Manager DLP Reports 目錄下的 ReportingServicesInstallation exe 安裝成功后需要更新軟件 License 如下圖點(diǎn)擊 系 統(tǒng) 選項(xiàng)按鈕 選擇 DLP 策略 選項(xiàng)卡 點(diǎn)擊 幫助 菜單 選擇 更新許可 將 DLP2 2 DLP2 2LicenseKey txt 文件中的 License 替換 23 如下圖所示 更新完成后許可類型變?yōu)?McAfee 主機(jī) DLP 完全許可 重新登陸 EPO 許可生效 DLP 服務(wù)器安裝完成 2 1 4 安裝安裝 Safeboot 服務(wù)器服務(wù)器 24 安裝 Safeboot5500 服務(wù)器 將壓縮包解壓 運(yùn)行 Setup 安裝過程選擇端點(diǎn)加密和文 件夾加密兩個(gè)選項(xiàng) 如下圖所示 25 安裝完成后 首先創(chuàng)建 Safeboot 數(shù)據(jù)庫 點(diǎn)擊 開始 所有程序 McAfee Endpoint Encryption Manager Endpoint Encryption Manager 按照向?qū)нM(jìn)行配置 進(jìn)行到如下圖所示界面輸入用戶名密碼 26 數(shù)據(jù)庫創(chuàng)建成功后彈出登陸界面 登陸成功后進(jìn)入如下界面 選擇 Endpoint Encryption Servers 雙擊后如圖點(diǎn)擊右鍵 選擇 new server 27 在彈出的界面中數(shù)據(jù)服務(wù)器的配置 本測(cè)試選擇本機(jī)為 Safetoot Server 如下圖 28 創(chuàng)建成功后點(diǎn)擊 開始 所有程序 McAfee Endpoint Encryption Manager Endpoint Encryption Database Server 進(jìn)入登陸界面 輸入用戶名密碼 admin mcafee123 彈出如下對(duì)話框 點(diǎn)擊 OK 29 登陸成功后 如下圖所示點(diǎn)擊菜單 File Start Service 啟動(dòng)服務(wù) Safeboot 服務(wù) 器配置完成 2 1 實(shí)現(xiàn) 實(shí)現(xiàn) Safeboot 與與 ePO 集成集成 30 Safeboot 服務(wù)器配置完成 接下來將報(bào)告與 EPO 進(jìn)行集成 登陸到 EPO 管理界面 點(diǎn)擊 配置 選項(xiàng)按鈕 選擇 擴(kuò)展 選項(xiàng)卡 點(diǎn)擊左下角 安裝擴(kuò)展 按鈕 選擇 安裝介質(zhì) EPO Endpoint Encryption for Files and Folders EPO4 目錄下的 SbCe3 zip 如 下圖所示將 CE 的報(bào)告集成到 EPO 同樣選擇 EPO Endpoint Encryption for PC EPO4 目 錄下的 SbDe5 zip 將 DE 的報(bào)告集成到 EPO 31 擴(kuò)展完成后 點(diǎn)擊 報(bào)告 選項(xiàng)按鈕 如下圖所示可以看到 4 個(gè)新建查詢 報(bào)告集成 完成 32 登陸 Safeboot 管理界面 如圖雙擊 Endpoint Encryption Users 在右側(cè)界面右鍵選擇 Creat User 添加一個(gè) test 用戶 33 如下圖所示右鍵 Endpoint Encrytion Machines 選擇 Add User 34 將新創(chuàng)建的用戶 test 與 Endpoint Encryption Machines 綁定 如下圖所示 35 如下圖雙擊 Endpoint Encryption Keys 在右側(cè)界面右鍵選擇 Add key 添加一個(gè) test key 密鑰 36 雙擊 test key 彈出如下對(duì)話框 將 Admin 和新建的 Users 用戶添加到 Users 中 點(diǎn) 擊 Apply 應(yīng)用 37 如下圖雙擊 Endpoint Encryption for Files and Folders Policies 在右側(cè)界面右鍵選擇 Add 添加一個(gè) test policy 策略 38 雙擊 test policy 彈出如下對(duì)話框 選擇 Allow user local keys 彈出新的對(duì)話框 39 在新的對(duì)話框中選中 test key 如下圖所示 點(diǎn)擊 OK 再點(diǎn)擊 Apply 40 設(shè)置完成后 進(jìn)入如下界面如下界面右鍵 Endpoint Encrytion Machines 選擇 Create installation set 41 在創(chuàng)建過程中會(huì)彈出如下對(duì)話框 選中 Perform Installation Silently 和 Automatically Restart Mchine 兩個(gè)復(fù)選框 點(diǎn)擊 完成 生成 DE 安裝包 EEPC EXE 42 進(jìn)入如下界面右鍵 Endpoint Encrytion for Files and Folders Policies 選擇 Creat installation set 43 在安裝過程中會(huì)彈出如下對(duì)話框 選中 Perform Installation Silently 和 Automatically Restart Mchine 兩個(gè)復(fù)選框 輸入卸載密碼 點(diǎn)擊 完成 會(huì)生成 CE 安裝包 EEEF Setup EXE 44 安裝完成后訪問目錄 C Program Files McAfee Endpoint Encryption Manager 會(huì)生成兩個(gè) 安裝文件 EEEF Setup exe 和 EEPC exe 如下圖所示 需要將這兩個(gè)文件簽名 生成 EPO 的標(biāo)準(zhǔn)安裝包 45 將 EEFF Setup exe 和 EEPC exe 這兩個(gè)文件拷貝到一個(gè)根目錄的文件夾下 如 C Install 創(chuàng)建 DE 和 CE 2 個(gè)子文件夾 將解壓的 Safeboot 的安裝源文件 EPO Endpoint Encryption for PC Package 目錄下 de detect mcs 和 pkgcatalog xml 拷貝 到其中 C Install DE 子文件夾下 將生成的安裝包 EEPC exe 也拷貝到這個(gè)子文件夾下 把 eposign exe 拷貝到 C Install 目錄下 用記事本程序打開 pkgcatalog xml 文件 如 下圖所示 更改 InstallCommand 為 EEPC EXE 46 更改完成后保存關(guān)閉 以命令行方式進(jìn)入 C Install 目錄 如下圖運(yùn)行命令 eposign C install DE pkgcatalog xml mcs a 47 命令運(yùn)行成功后在 C Install DE 子文件夾下將生成一個(gè) pkgcatalog z 文件 如圖所示 將 DE 文件夾壓縮成 ZIP 包 創(chuàng)建 Safeboot DE 客戶端安裝程序包成功 48 同樣再將解壓的 Safeboot 的安裝源文件 EPO Endpoint Encryption for files and Folders Package 目錄下 ce detect mcs 和 pkgcatalog xml 拷貝到 C Install CE 子文件夾下 將生成的安裝包 EEFF Setup exe 也拷貝到這個(gè)子文件夾下 用記事本程序打開此目錄 下的 pkgcatalog xml 文件 更改 InstallCommand 為 EEFF Setup EXE 以命令行方 式進(jìn)入 C Install 目錄 運(yùn)行命令 eposign C install CE pkgcatalog xml mcs a 將生 成一個(gè) pkgcatalog z 文件 如下圖所示將 CE 文件夾壓縮成 ZIP 包 創(chuàng)建 Safeboot CE 客戶端安裝程序包成功 49 登陸 EPO 點(diǎn)擊 軟件 選項(xiàng)按鈕 選擇左下角 簽入包 按鈕 將前面生成的 Safeboot 客戶端程序軟件包倒入 如下圖所示選擇壓縮包 DE zip 再導(dǎo)入壓縮包 CE zip 50 導(dǎo)入成功后在軟件資料庫中可以看到 Safeboot Device Encryption 和 Safeboot Content Encryption 2 個(gè)條目 如下圖所示 服務(wù)器安裝結(jié)束 2 2 安裝安裝 XP 客戶端客戶端 客戶端安裝大體分為 EPO 代理安裝 DLP 代理部署 Safeboot 客戶端部署 3 個(gè) 步驟 2 2 1 EPO 代理程序安裝部署代理程序安裝部署 1 啟動(dòng) XP 客戶端 登陸到 LAB 域 在 EPO 服務(wù)器上點(diǎn)擊 開始 所有程序 管 理工具 Active Directory 用戶和計(jì)算機(jī) 如下圖所示 在 Computers 容器中可以看 到一臺(tái)主機(jī) MCAFEE XPCLIENT 2 登陸 EPO 點(diǎn)擊 系統(tǒng) 系統(tǒng)樹 組 選項(xiàng)卡 如下圖所示 點(diǎn)擊 新建子組 3 在彈出的對(duì)話框中輸入新建組的名稱 LAB 如下圖所示鼠標(biāo)選中 LAB 點(diǎn)擊 同步類型 無 編輯 4 彈出的界面中選擇 Active Directory 輸入 Active Directory 域 LAB 在憑據(jù)欄輸 入域名和管理員 密碼 點(diǎn)擊 瀏覽 如下圖所示 5 在彈出的對(duì)話框中選擇 Computers 點(diǎn)擊確定 如下圖所示 6 回到前一個(gè)頁面 點(diǎn)擊 立即同步 再選擇 保存 進(jìn)入下一個(gè)界面 再點(diǎn)擊 系 統(tǒng) 可以看到 LAB 組中已經(jīng)有一臺(tái)新的主機(jī) MCAFEE XPCLIENT 如下圖所示 7 選中 MCAFEE XPCLIENT 如下圖點(diǎn)擊 部署代理 按鈕 彈出一個(gè)新的對(duì)話框 8 在界面中輸入域名 管理員密碼 點(diǎn)擊確定 如下圖所示 9 EPO 服務(wù)器轉(zhuǎn)入 報(bào)告 服務(wù)器任務(wù)日志 顯示代理部署進(jìn)度 到 XP 客戶端顯示 代理程序正在安裝 安裝成功后如下圖顯示 10 登陸到 EPO 服務(wù)器 如下圖點(diǎn)擊 系統(tǒng) 系統(tǒng)樹 LAB 系統(tǒng) 選中主機(jī)系 統(tǒng) MCAFEE XPCLIENT 點(diǎn)擊 更多操作 選中 修改單個(gè)系統(tǒng)策略 進(jìn)入下一個(gè) 界面 11 在 產(chǎn)品 欄選中 McAfee Agent 點(diǎn)擊 My Default 進(jìn)入代理策略配置界面 選中 顯示 McAfee 系統(tǒng)任務(wù)欄圖標(biāo) 如下圖所示 點(diǎn)擊 保存 策略生效 12 回到 系統(tǒng) 系統(tǒng)樹 LAB 系統(tǒng) 頁面 選中 MCAFEE XPCLIENT 主機(jī) 點(diǎn)擊 喚醒代理 如下圖所示 13 進(jìn)入下一個(gè)頁面 點(diǎn)擊確定 回到 XP 客戶端 在屏幕的右下角出現(xiàn)代理程序標(biāo)示 如下圖所示 2 2 2 部署部署 DLP 代理程序代理程序 14 客戶端代理安裝成功后 定義客戶端程序?qū)嵤┤蝿?wù) 將 DLP 和 Safeboot 的客戶端程序 下發(fā)到客戶端 登陸 EPO 點(diǎn)擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 如下 圖所示選中 MCAFEE XPCLIENT 點(diǎn)擊 更多操作 選中 修改單個(gè)系統(tǒng)上的任務(wù) 15 進(jìn)入下一個(gè)界面點(diǎn)擊 新建任務(wù) 進(jìn)入下一個(gè)界面名稱欄填寫 Deloy DLP 類型 欄選擇 產(chǎn)品部署 McAfee Agent 如下圖所示 16 進(jìn)入下一個(gè)界面 產(chǎn)品和組件欄選擇 McAfee Data Loss Prevention 2 0 0 0 如下圖 所示 17 點(diǎn)擊 下一步 進(jìn)入下一個(gè)界面 在計(jì)劃類型欄選擇 立即運(yùn)行 如下圖所示 18 點(diǎn)擊 下一步 進(jìn)入下一個(gè)界面 再點(diǎn)擊 保存 任務(wù)定義完成 轉(zhuǎn)到 XP 客戶端界 面 點(diǎn)擊 EPO 代理圖標(biāo) 再點(diǎn)中 McAfee Agent 再點(diǎn)中 狀態(tài)監(jiān)視器 如下圖所 示 19 界面彈出代理程序狀態(tài) 系統(tǒng)正在安裝 DLP 代理程序 如下圖所示 20 安裝完成后會(huì)彈出對(duì)話框要求重新啟動(dòng)機(jī)器 重啟完成后點(diǎn)擊 EPO 代理程序圖標(biāo) 點(diǎn) 擊 關(guān)于 彈出如下對(duì)話框 顯示 DLP 代理程序安裝成功 2 2 3 部署部署 Safeboot 硬盤加密客戶端程序硬盤加密客戶端程序 21 登陸 EPO 點(diǎn)擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 選中 MCAFEE XPCLIENT 定義一個(gè)新的任務(wù) 部署硬盤加密客戶端 如下圖所示 22 任務(wù)定義為立即執(zhí)行 部署成功后 系統(tǒng)需要重新啟動(dòng) 進(jìn)入操作系統(tǒng)啟動(dòng)界面以前 會(huì)出現(xiàn)如下界面 輸入用戶名 test 和缺省密碼 12345 系統(tǒng)會(huì)提示更改密碼 更 改完成后進(jìn)入 Windows 啟動(dòng)界面 23 啟動(dòng)完成后界面右下角出現(xiàn)加密程序圖標(biāo) 點(diǎn)擊后選擇 show status 看到如下界面 硬盤加密部署成功 2 2 4 部署部署 Safeboot 文件和文件夾加密客戶端文件和文件夾加密客戶端 24 登陸 EPO 點(diǎn)擊 系統(tǒng) 系統(tǒng)數(shù) LAB 系統(tǒng) 選中 MCAFEE XPCLIENT 定義一個(gè)新的任務(wù) 部署內(nèi)容加密客戶端 如下圖所示 25 任務(wù)定義為立即執(zhí)行 部署成功后 系統(tǒng)需要重新啟動(dòng) 啟動(dòng)完成后界面右下角出現(xiàn) 加密程序圖標(biāo) 點(diǎn)擊后選擇 show status 看到如下界面 文件和文件夾加密部署成 功 3 策略設(shè)置策略設(shè)置 3 1DLP 策略設(shè)置策略設(shè)置 3 1 1 設(shè)備管理功能策略設(shè)置設(shè)備管理功能策略設(shè)置 添加一條策略 對(duì)于 test 用戶而言 只允許特定的 USB 使用 其他所有的 USB 都禁 止使用 此策略屬于 device control 的功能 1 將允許使用的 USB 插入電腦 打開 設(shè)備管理器 右鍵 屬性 如下圖 2 點(diǎn)擊 Details 選項(xiàng)卡 如下圖可以看到有關(guān) USB 的一些標(biāo)識(shí)信息 其含義分別是 VID 是設(shè)備生產(chǎn)廠商的標(biāo)識(shí) PID 是 USB 設(shè)備的類型標(biāo)識(shí) 3 登陸 EPO 訪問 DLP 策略設(shè)置頁面 點(diǎn)擊 策略分配 用戶分配組 鼠標(biāo)右鍵選 擇 添加新用戶分配組 命名為 LAB 4 雙擊 LAB 點(diǎn)擊 添加 彈出如下對(duì)話框 再點(diǎn)擊 搜索 會(huì)列出 LAB 域中所 有的可用對(duì)象 如下圖所示 選中 testuser 的復(fù)選框 5 點(diǎn)擊確定 test 用戶已經(jīng)被加入到 DLP 策略用戶用戶組當(dāng)中 如下圖再點(diǎn)擊 設(shè)備管 理 設(shè)備定義 選擇菜單 添加新可移動(dòng)存儲(chǔ)設(shè)備定義 將其命名為 允許的 USB 6 雙擊 允許的 USB 彈出的對(duì)話框中選擇 USB 供應(yīng)商 ID 產(chǎn)品 ID 彈出新的對(duì)話 框 如下圖所示將輸入供應(yīng)商 ID0411 產(chǎn)品 ID00DC 7 再新添加一個(gè)可移動(dòng)存儲(chǔ)設(shè)備定義 命名為 所有的 USB 如下圖所示雙擊 所有 的 USB 彈出對(duì)話框中選擇總線類型 在新的對(duì)話框中選中 USB 復(fù)選框 8 確定后再點(diǎn)擊 設(shè)備管理 設(shè)備規(guī)則 如下圖所示添加一個(gè) 可移動(dòng)存儲(chǔ)設(shè)備規(guī)則 命名為 USB 設(shè)備規(guī)則 9 雙擊 USB 設(shè)備規(guī)則 如下圖所示對(duì) 允許的 USB 選中 排除 單選框 對(duì)所有 USB 選中 包括 單選框 10 點(diǎn)擊下一步 選擇 阻止 復(fù)選框 選擇事件的嚴(yán)重性 如下圖所示 11 再點(diǎn)擊下一步 選中 LAB 復(fù)選框 點(diǎn)擊完成 如下圖所示 12 點(diǎn)擊菜單上 啟用 按鈕 使策略生效 如下圖所示 設(shè)備管理策略設(shè)置完成 此策 略應(yīng)該能夠只允許域用戶 TEST 使用特定的 USB 其他 USB 不能正常使用 13 點(diǎn)擊應(yīng)用 將此策略應(yīng)用到 EPO 使策略下發(fā)到 XP 客戶端 使策略生效 如下圖所 示 14 啟動(dòng) XP 客戶端 以 LAB test 用戶的身份登陸 將定義的 USB 插入 如下圖所示 該 USB 正常使用 15 插入另外的 USB 設(shè)備到 XP 客戶端 如圖顯示設(shè)備被禁用 規(guī)則有效 3 1 2 數(shù)據(jù)丟失預(yù)防策略設(shè)置數(shù)據(jù)丟失預(yù)防策略設(shè)置 數(shù)據(jù)丟失保護(hù)策略設(shè)置分為 4 大步 定義標(biāo)記類型 找出敏感數(shù)據(jù) 將敏感數(shù)據(jù)與標(biāo) 記類型相關(guān)聯(lián)和設(shè)置保護(hù)措施 1 登陸 EPO 點(diǎn)擊 系統(tǒng) DLP 策略 定義 標(biāo)記 如下圖所示 定義兩個(gè)標(biāo) 記 一個(gè)是基于內(nèi)容的標(biāo)記 銷售 另一個(gè)是普通標(biāo)記 銷售文件 如下圖所示 2 點(diǎn)擊 定義 安全文本模式 點(diǎn)擊菜單 添加新 安全文本模式 如下圖所示 3 雙擊 銷售 彈出如下對(duì)話框點(diǎn)擊 添加 在文本欄輸入 銷售 4 點(diǎn)擊 定義 文件服務(wù)器 如下圖鼠標(biāo)右鍵選擇 掃描 按 LDAP 選項(xiàng)列出網(wǎng) 絡(luò)服務(wù)器 5 彈出如下對(duì)話框 點(diǎn)擊 搜索 選中主機(jī) MCAFEE EPO 點(diǎn)擊確定 6 點(diǎn)擊 應(yīng)用程序 企業(yè)應(yīng)用程序列表 如下圖點(diǎn)擊 表視圖 樹視圖 相互切換 7 登陸 XP 客戶端 將 Program Files 文件夾共享 登陸 EPO 如下圖點(diǎn)擊 掃描應(yīng) 用程序 彈出對(duì)話框 選擇 開始 彈出對(duì)話框 再選中 mcafee xpclient 上共享 的 Program Files 目錄 點(diǎn)擊確定 開始掃描 8 掃描結(jié)束后 如圖所示列出了發(fā)現(xiàn)的新應(yīng)用程序 點(diǎn)擊確定 再點(diǎn)擊 合并 9 合并完成后 彈出如下對(duì)話框 點(diǎn)擊確定 關(guān)閉 掃描應(yīng)用程序 對(duì)話框 關(guān)閉 XP 客戶端 Program Files 共享 10 點(diǎn)擊 應(yīng)用程序 應(yīng)用程序組 右鍵 添加新 應(yīng)用程序組 如下圖添加一個(gè) 敏感應(yīng)用程序 組 11 雙擊 敏感應(yīng)用程序 如下圖在彈出的對(duì)話框中選擇 microsoft coporation microsoft office 2003 excel exe 點(diǎn)擊確定 敏感程序定義完畢 12 在 EPO 服務(wù)器上建立一個(gè)文件夾 銷售文件 將此文件夾共享 如下圖所示 13 接下來需要定義 3 個(gè)標(biāo)記規(guī)則 標(biāo)記規(guī)則的目的是為了將被保護(hù)的數(shù)據(jù)與前面定義的 兩個(gè)標(biāo)記 基于內(nèi)容的標(biāo)記 銷售 和普通標(biāo)記 銷售文件 相關(guān)聯(lián) 希望達(dá)到如下 目的 任何包含關(guān)鍵字 銷售 的文件均為受保護(hù)的文件 由敏感程序 EXCEL 生成的文件后綴名為 XLS 的文件均為受保護(hù)的文件 在文件服務(wù)器 MCAFEE EPO 上共享的文件夾 銷售文件 下的文件均為受保 護(hù)的文件 14 登陸 EPO 點(diǎn)擊 系統(tǒng) DLP 策略 規(guī)則 標(biāo)記規(guī)則 鼠標(biāo)右鍵 添加新 基于內(nèi)容的標(biāo)記規(guī)則 15 將新添加的基于內(nèi)容的標(biāo)記規(guī)則定義為 關(guān)鍵字規(guī)則 如下圖所示雙擊后彈出如下對(duì) 話框 選擇之前已經(jīng)定義好的安全文本模式 銷售 點(diǎn)擊 下一步 16 在下一個(gè)對(duì)話框中選中 銷售 標(biāo)記 點(diǎn)擊完成 再點(diǎn)擊 啟用 將此規(guī)則生效 關(guān) 鍵字規(guī)則定義生效 17 鼠標(biāo)右鍵 添加新 基于應(yīng)用程序的標(biāo)記規(guī)則 添加一個(gè) 敏感程序規(guī)則 雙擊 后彈出如下對(duì)話框 選擇之前已經(jīng)定義的 敏感應(yīng)用程序 點(diǎn)擊下一步 18 跳過第二至第四步 在第五步選擇標(biāo)記 銷售文件 點(diǎn)擊完成 如下圖所示 再啟用 此規(guī)則 19 鼠標(biāo)右鍵 添加新 基于位置的標(biāo)記規(guī)則 添加一個(gè) 共享文件夾規(guī)則 雙擊后 彈出如下對(duì)話框 選擇 網(wǎng)絡(luò)文件服務(wù)器 20 點(diǎn)擊 MCAFEE EPO 在網(wǎng)絡(luò)路徑輸入共享路徑 再點(diǎn)擊添加 如下圖所示 21 將共享添加完成后確定進(jìn)入下一步 跳過第二步到第四步 在最后一步選擇 銷售文 件 標(biāo)記 點(diǎn)擊完成 啟用此規(guī)則 22 接下來需要定義反應(yīng)規(guī)則 反應(yīng)規(guī)則是對(duì)數(shù)據(jù)進(jìn)行保護(hù)的關(guān)鍵操作 反應(yīng)規(guī)則共有 9 種 包括應(yīng)用程序文件訪問保護(hù)規(guī)則 剪貼板保護(hù)規(guī)則 電子郵件保護(hù)規(guī)則 網(wǎng)絡(luò)文 件系統(tǒng)保護(hù)規(guī)則 網(wǎng)絡(luò)保護(hù)規(guī)則 打印保護(hù)規(guī)則 可移動(dòng)存儲(chǔ)保護(hù)規(guī)則 屏幕捕捉保 護(hù)規(guī)則和 Web 發(fā)布保護(hù)規(guī)則 由于演示環(huán)境限制 只定義電子郵件保護(hù)規(guī)則 可移動(dòng) 存儲(chǔ)保護(hù)規(guī)則 屏幕捕捉保護(hù)規(guī)則和 Web 發(fā)布保護(hù)規(guī)則 4 種 希望達(dá)到如下目的 對(duì)于包含關(guān)鍵字 或者從共享 mcafee 銷售文件 目錄下拷貝的文件 和微軟 EXCEL 程序生成的 xls 后綴的電子文檔表格文件不允許用郵件外發(fā) 不允 許被 USB 拷走 不允許被 Web 發(fā)布 對(duì)于從共享 mcafee 銷售文件 目錄下拷貝的文件 和微軟 EXCEL 程 序生成的 xls 后綴的電子文檔不允許被截屏 23 點(diǎn)擊 標(biāo)記 反應(yīng)規(guī)則 鼠標(biāo)右鍵選擇 添加新 可移動(dòng)存儲(chǔ)保護(hù)規(guī)則 如下 圖所示 24 添加一個(gè)新規(guī)則 USB 保護(hù)規(guī)則 雙擊后彈出對(duì)話框 跳過第一步 進(jìn)入第二步如 下圖所示 點(diǎn)擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 25 點(diǎn)擊下一步 跳過第三步和第四步 進(jìn)入如下界面 勾中 阻止 復(fù)選框 定義事件 嚴(yán)重性等級(jí) 將嚴(yán)重性定義為高 26 點(diǎn)擊下一步 勾中 LAB 用戶分配組 如下圖所示點(diǎn)擊完成 啟用此策略 此策略 將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的文件拷貝到 USB 同時(shí)也阻止將共享文 件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件拷貝到 USB 27 鼠標(biāo)右鍵選擇 添加新 電子郵件保護(hù)規(guī)則 如下圖所示添加一個(gè) 電子郵件保護(hù) 規(guī)則 雙擊后彈出新的對(duì)話框 跳過 第一步 進(jìn)入第二步 點(diǎn)擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 28 點(diǎn)擊下一步 跳過第三步和第四步進(jìn)入如下界面 勾中 阻止 和 存儲(chǔ)證據(jù) 復(fù)選 框 將事件嚴(yán)重性更改為高 點(diǎn)擊下一步 將策略分配給 LAB 用戶組 完成此策 略定義并啟用策略 此策略將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的文件通過郵 件發(fā)送 同時(shí)也阻止將共享文件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件發(fā)送出去 29 鼠標(biāo)右鍵選擇 添加新 Web 發(fā)布保護(hù)規(guī)則 如下圖所示添加一個(gè) 網(wǎng)頁發(fā)布保 護(hù)規(guī)則 雙擊后彈出新的對(duì)話框 跳過 第一步 進(jìn)入第二步 點(diǎn)擊 從列表中選擇 選擇 銷售 和 銷售文件 標(biāo)記 30 點(diǎn)擊下一步 跳過第三步和第四步進(jìn)入如下界面 勾中 阻止 復(fù)選框 將事件嚴(yán)重 性更改為高 點(diǎn)擊下一步 將策略分配給 LAB 用戶組 完成此策略定義并啟用策 略 此策略將阻止 LAB test 用戶將包含關(guān)鍵字 銷售 的通過網(wǎng)頁發(fā)布 同時(shí)也阻止 將共享文件夾 mcafee 銷售文件 目錄下的文件和 EXCEL 程序生成的文件 上網(wǎng)發(fā)布 31 鼠標(biāo)右鍵選擇 添加新 屏幕捕捉保護(hù)規(guī)則 如下圖所示添加一個(gè) 抓屏保護(hù)規(guī)則 雙擊后彈出新的對(duì)話框 跳過第一步和第二步 進(jìn)入第三步點(diǎn)擊 從列表中選擇 選擇 銷售文件 標(biāo)記 32 在第四步選擇 通知用戶 點(diǎn)擊下一步 將策略分配給 LAB 用戶組 完成此策略 定義并啟用策略 此策略將阻止 LAB test 用戶將共享文件夾 mcafee 銷售 文件 目錄下的文件和 EXCEL 程序生成的文件被截屏 33 如下圖所示點(diǎn)擊應(yīng)用將策略應(yīng)用到 EPO 策略設(shè)置生效 34 以 LAB test 身份登陸 XP 客戶端 新建一個(gè)名為 銷售 的 Word 文件 打開輸入 銷售 保存后關(guān)閉 點(diǎn)擊 開始 所有程序 運(yùn)行 輸入 mcafee epo 銷售文 件 將 銷售 ppt 拷貝到本地 打開 EXCEL 程序 隨意輸入一些內(nèi)容另存為 銷售 的 EXCEL 文件 如下圖所示桌面有銷售 doc 銷售 xls 銷售 ppt3 個(gè)文件 35 插入 USB 將桌面 3 個(gè)文件中的任意一個(gè)拷貝到移動(dòng)硬盤 如圖顯示均被阻止 說明 對(duì)于關(guān)鍵字 應(yīng)用程序種類 共享路徑定義的敏感數(shù)據(jù)均被保護(hù) 36 打開 Outlook 郵件客戶端 新建一個(gè)郵件 將 3 個(gè)文件中的任意一個(gè)作為附件發(fā)送 如圖所示全部被阻止 37 打開可以上傳文件的網(wǎng)頁 將 3 個(gè)文件中的任意一個(gè)上傳 如下圖所示 均被阻止 38 打開 銷售 xls 和 銷售 ppt 文件 按鍵 PrintScrn 如下圖所示均被阻止 39 將以上文件重新命名 重復(fù)相同的操作得到相同的結(jié)果 如下圖即使將文件用 WinRAR 程序做加密壓縮 得到的結(jié)果相同 但必須在 EPO 服務(wù)器上對(duì) WinRAR 程 序組做掃描才能夠生效 關(guān)于 DLP 策略的其他設(shè)置可以采用相似的方法設(shè)置 在此不 做贅述 3 2 端點(diǎn)加密策略設(shè)置端點(diǎn)加密策略設(shè)置 3 2 1 DE 策略設(shè)置策略設(shè)置 1 登陸 Safeboot Encryption Manager 如下圖點(diǎn)擊 Device 選項(xiàng)卡 雙擊