20130528-安裝配置手冊V10-天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)V6694Patch66940100

天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)安裝配置手冊〔V.4〕啟明星辰BeijingVenustechCybervisionCo.,Ltd.2021年11月版權聲明北京啟明星辰信息平安技術版權所有，并保存對本文檔及本聲明的最終解釋權和修改權。本文檔中出現(xiàn)的任何文字表達、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權或其他相關權利均屬于北京啟明星辰信息平安技術。未經(jīng)北京啟明星辰信息平安技術書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何局部進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或局部用于商業(yè)用途?！疤飓懆暈楸本﹩⒚餍浅叫畔⑵桨布夹g的注冊商標，不得侵犯。免責條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息平安技術在編寫該文檔的時候已盡最大努力保證其內(nèi)容準確可靠，但北京啟明星辰信息平安技術不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承當責任。目錄版權聲明 1免責條款 1信息反應 11 綜述 42 安裝環(huán)境及要求 43. 天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)主要組件介紹 63.1. 效勞器組件 63.1.1. 中心策略效勞器 63.1.2. 本地策略效勞器 63.1.3. 資產(chǎn)管理效勞器 63.1.4. Radius效勞器 63.1.5. 攻擊告警效勞器 73.1.6. 軟件分發(fā)效勞器 73.1.7. HOD遠程桌面效勞器 73.2. 策略網(wǎng)關組件 73.2.1. 策略網(wǎng)關代理 73.2.2. 中性策略網(wǎng)關 83.2.3. IIS策略網(wǎng)關 83.2.4. ISA策略網(wǎng)關 83.2.5. EXCHANGE策略網(wǎng)關 83.2.6. DNS策略網(wǎng)關及旁路監(jiān)聽式DNS策略網(wǎng)關 83.2.7. 客戶端 93.2.8. 按需支援管理端 93.2.9. 客戶端打包程序 94. 天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的安裝 94.1. 快速安裝 10 快速安裝部署 10 根本配置 274.2. 自定義安裝 32 自定義安裝中心效勞器 324.3. 本地效勞器的安裝配置 33 添加策略效勞器 384.4. 策略網(wǎng)關配置 38 添加策略網(wǎng)關代理 39 安裝中性策略網(wǎng)關 394.5. 遠程桌面的系統(tǒng)配置 46 安裝添加遠程桌面效勞器 46 添加遠程桌面管理員 46 安裝按需支援管理員端程序 47 用戶請求管理員遠程幫助 494.6. 軟件分發(fā)安裝與配置 49 安裝軟件分發(fā)效勞器 49 配置軟件分發(fā) 504.7. 安裝資產(chǎn)效勞器 514.8. 安裝告警效勞器 524.9. 安裝RADIUS效勞器 53 客戶端的打包及分發(fā) 54綜述天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的集端點主動平安防護和桌面管理于一身，具有世界領先水平的產(chǎn)品體系架構，從根本上解決了客戶端從蠕蟲病毒的主動防御、可靠的補丁管理、非授權訪問控制、端點準入控制、桌面運行環(huán)境的標準化和自動化管理等一系列問題，幫助用戶創(chuàng)立高可靠、高可用和高平安級別的可信任網(wǎng)絡環(huán)境。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)架構如下列圖所示。主要由策略效勞器、天珣客戶端、策略網(wǎng)關組成。策略效勞器包括中心效勞器、本地效勞器、補丁分發(fā)效勞器、radius效勞器、告警效勞器等組件，所有功能效勞器集中管理，組件可根據(jù)具體情況增減。數(shù)據(jù)庫采用SQLSERVER，統(tǒng)一管理報警日志及審計等數(shù)據(jù)。安裝環(huán)境及要求客戶端〔Clients〕計算機沒有很高的系統(tǒng)要求?？蛻舳塑浖?也被稱CC)可以被安裝在Windows系統(tǒng)之上，包括Windows2000SP4,WindowsServer2003和32/64位WindowsXP，WindowsVista,32/64位WindowsServer2021，32/64位Windows7數(shù)據(jù)庫 支持32位MicrosoftSQLServer2000，32/64位MicrosoftSQLServer200532/64位MicrosoftSQLServer2021中心效勞器〔Server〕是整個策略架構的管理中心、策略中心。必須運行2003SERVERSP1(32/64)或2021ServerSP1(64)的平臺上。中心效勞器通過web方式管理，要求安裝IIS效勞器。其對硬件要求的上下應根據(jù)所管理的客戶端數(shù)量的多少來定，其中，效勞器安裝要求的最低配置如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盤 40G空閑軟件：Windows2003ServerSP1以上以上或以上中心效勞器、攻擊告警效勞器需要安裝SQLServer數(shù)據(jù)庫，可根據(jù)現(xiàn)場環(huán)境選擇獨立安裝或集中安裝于中心效勞器，假設安裝于中心效勞器，請確保中心效勞器有足夠的內(nèi)存和硬盤空間。策略網(wǎng)關代理(Plug-inProxy)：管理所有關聯(lián)的策略網(wǎng)關，策略網(wǎng)關代理從LocalServer上取插件策略。當策略網(wǎng)關激活時，策略網(wǎng)關代理將策略發(fā)送給各個關聯(lián)的策略網(wǎng)關。策略網(wǎng)關代理的主要作用在于可以將安裝在多個應用效勞器上的有相同插件策略的插件策略網(wǎng)關交給同一個策略網(wǎng)關代理管理，從而簡化管理員的配置；同時，各個插件策略網(wǎng)關可相互共享CC的狀態(tài)，如CC1在插件1上通過了認證，那么通過插件2訪問時就無需第2次認證，提高系統(tǒng)性能。IIS策略網(wǎng)關、ISA策略網(wǎng)關、Exchange策略網(wǎng)關以及中性策略網(wǎng)關：策略檢查點〔checkpoint〕，與CC配合強制用戶滿足策略。策略網(wǎng)關從關聯(lián)的策略網(wǎng)關代理上取插件策略。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)主要組件介紹天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)為CSC架構，即天珣客戶端〔Clients〕、策略效勞器〔Server〕、策略網(wǎng)關〔CheckPoint〕。效勞器組件中心策略效勞器所有策略集中存放的地方，系統(tǒng)中唯一的Web管理控制臺也與中心效勞器集成在一起。管理員從Web管理控制臺登錄到CenterServer，進行策略配置，報表查詢。CenterServer同時兼作一個LocalServer。本地策略效勞器本地策略效勞器是客戶端日常取策略的地方，也是客戶端發(fā)送報表的目的地。本地策略效勞器從CenterServer同步得到策略。設置本地策略效勞器的目的是為了適應企業(yè)大區(qū)域的分布式分級管理架構。本地策略效勞器從中心策略效勞器獲取策略，客戶端直接與本地策略效勞器通訊。Radius效勞器Radius效勞器是天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)網(wǎng)絡準入的必須組件。結合各類LDAP認證，使用協(xié)議或EOU協(xié)議在交換機網(wǎng)絡端口實施網(wǎng)絡準入認證，確保只有通過認證的客戶端接入并訪問網(wǎng)絡。攻擊告警效勞器攻擊告警效勞器兼作為攻擊日志告警效勞器和終端審計日志效勞器，收集由客戶端發(fā)來的攻擊告警信息和終端審計信息。并在中心效勞器管理界面，可進行統(tǒng)計和分類查詢。軟件分發(fā)效勞器通過軟件分發(fā)效勞器可建立軟件安裝包，可根據(jù)目標地址或地址段、指定時間段分發(fā)軟件包或自定義文件。HOD遠程桌面效勞器HOD遠程桌面效勞器用于記錄在線的遠程桌面管理員的相關信息，為其關聯(lián)管理網(wǎng)段后，管理網(wǎng)段內(nèi)的用戶就可使用客戶端集成的遠程桌面客戶端，向在線管理員發(fā)起遠程桌面幫助請求。策略網(wǎng)關組件作為系統(tǒng)及應用準入的準入控制點，檢查訪問者的客戶端運行狀態(tài)，與客戶端配合強制用戶滿足策略。策略網(wǎng)關從策略網(wǎng)關代理上取策略網(wǎng)關策略。有時策略網(wǎng)關策略又叫插件策略。策略網(wǎng)關分為中性策略網(wǎng)關和IIS、ISAProxy、Email、DNS等插件策略網(wǎng)關。策略網(wǎng)關代理策略網(wǎng)關的管理者。所有的策略網(wǎng)關都直接連接到策略網(wǎng)關代理，從策略網(wǎng)關代理獲取策略，接受管理。而策略網(wǎng)關代理直接指向策略效勞器，并從策略效勞器獲取策略。連接到同一個策略網(wǎng)關代理的所有策略網(wǎng)關使用相同的策略。設置策略網(wǎng)關代理這個角色的目的是簡化策略網(wǎng)關的配置，因為有時一個企業(yè)需要安裝多個策略網(wǎng)關，而每個策略網(wǎng)關的策略相同。中性策略網(wǎng)關中性策略網(wǎng)關，也叫做中性插件，是安裝在任意的X32位的Windows2000/2003/2021效勞器或Linux的效勞器上，執(zhí)行應用準入控制，它與安裝的效勞器操作系統(tǒng)有關，而與該效勞器運行何種應用無關。當終端訪問到該效勞器，都需要進行平安基線檢查，假設不符合平安策略，將被拒絕訪問該效勞器，并給出提示信息〔只有基于訪問，才能正確提示〕。其中平安基線包括是否安裝客戶端軟件、安裝客戶端軟件的終端是否到達平安策略要求。IIS策略網(wǎng)關部署在IIS效勞器上，對所有訪問該WEB效勞器的終端實施應用準入控制，檢查終端是否符合平安策略，假設不符合策略，那么拒絕訪問，并給出提示信息。ISA策略網(wǎng)關對所有通過ISA效勞器上網(wǎng)的終端，實施應用準入控制，假設不符合平安策略，那么不允許終端通過ISA訪問INTERNET，并給出提示信息。EXCHANGE策略網(wǎng)關部署在Exchange郵件效勞器上，對訪問EXCHANGE郵件效勞器的終端實施應用準入控制，檢查客戶端是否符合平安策略。對于不符合平安策略的終端，Exchange策略網(wǎng)關將阻斷其郵件效勞，并給出提示信息?！仓恢С諩XCHANGE2003郵件效勞器〕DNS策略網(wǎng)關及旁路監(jiān)聽式DNS策略網(wǎng)關普通DNS策略網(wǎng)關部署在DNS效勞器上，對需要進行DNS域名解析的終端實施準入控制，檢查終端是否符合平安策略，對于不符合平安策略的終端，DNS策略網(wǎng)關將阻斷其DNS請求，并給出提示信息。如果是旁路監(jiān)聽式DNS策略網(wǎng)關，那么可部署在DNS效勞器上也可部署在互聯(lián)網(wǎng)出口的某臺效勞器上對所有DNS請求進行監(jiān)聽。如果是在DNS效勞器上，那么功能與傳統(tǒng)DNS策略網(wǎng)關相同，如果不是，那么旁聽式的DNS網(wǎng)關必須安裝在鏈接互聯(lián)網(wǎng)出口交換機上的某臺交換機上，對這臺交換機上的其他端口的DNS請求進行鏡像，并在旁聽式DNS網(wǎng)關的端口上進行監(jiān)聽，對需要進行DNS解析的終端實施準入控制，檢查終端是否符合平安策略，對于不符合平安策略的終端，旁聽式DNS策略網(wǎng)關將阻斷其DNS請求，并給出提示信息。客戶端每臺終端都必須安裝客戶端〔CC〕。客戶端是安裝在每個被策略管理的用戶的電腦上的代理程序。執(zhí)行企業(yè)策略，平安基線檢查，客戶端準入控制，訪問控制，主動平安防御，資產(chǎn)管理，遠程幫助，軟件分發(fā)，移動存儲認證和控制，終端行為審計終端相關功能。從本地策略效勞器上取策略，向本地策略效勞器發(fā)送報表，當用戶不滿足策略時，向用戶提示相關信息。按需支援管理端如果安裝了按需支援〔HOD〕的遠程桌面效勞器，需要在承當遠程支持效勞的管理員電腦上安裝按需支援管理端軟件。安裝完成后，如果有終端用戶發(fā)來遠程支持請求，遠程支持管理員就可以收到請求信息，并直接進行遠程協(xié)助。客戶端打包程序客戶端代理軟件的打包程序。客戶端打包程序將和中心效勞器一起安裝。打包程序將效勞器IP地址、指定安裝目錄、是否靜默安裝、是否采用網(wǎng)絡準入等參數(shù)與安裝程序打包成可執(zhí)行文件。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的安裝安裝部署共有兩種安裝選項：快速安裝和自定義安裝。運行后出現(xiàn)以下主安裝界面?？焖侔惭b快速安裝默認安裝效勞器的以下組件：中心策略效勞器、中心同步效勞器、天珣效勞狀態(tài)監(jiān)控效勞、遠程桌面效勞器、攻擊告警效勞器、RADIUS效勞器、策略網(wǎng)關代理效勞器、中性策略網(wǎng)關、DNS策略網(wǎng)關、軟件分發(fā)效勞器、客戶端打包程序，效勞器卸載工具。快速安裝選項的目的是一次安裝所有效勞器相關的組件及DNS準入控制組件，如果部署在網(wǎng)絡出口，那么可利用DNS準入到達即插即用的效果。對中小應用環(huán)境，我們的方案首推這種即插即用的部署?？焖侔惭b部署快速安裝。將天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)安裝光盤放入光驅，可直接進入安裝選擇界面。請點擊“快速安裝〞。進入天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)效勞器的快速安裝界面。安裝程序檢測系統(tǒng)環(huán)境。1〕系統(tǒng)必須安裝“或以上版本〞,“IIS〞和“DotNetFramework2.或者以上版本〞。系統(tǒng)還未安裝上述的系統(tǒng)組件。那么不能進行下一步操作?？梢渣c擊旁邊的“安裝〞按鈕安裝所需的系統(tǒng)組件。2〕系統(tǒng)組件所用的SQLServer可以選擇連接到本機或者其它機器的SQLServer。如果您想將系統(tǒng)組件所用的SQLServer部署在本機，本機又沒有安裝SQLServer。您可以選擇安裝SQLServer。您也可以選擇點擊檢測界面SQLServer旁邊的“安裝〞按鈕，運行安裝光盤帶的里的SQLSERVER2005EXPRESS版本?！沧⒁猓篠QLServerExpress2005是由微軟公司開發(fā)的SQLServer2005的縮減版，這個版本是免費的，單個數(shù)據(jù)庫大小限制為4G〕。進行解壓縮，壓縮完成后將如下列圖：點擊下一步，進行組件的配置配置完成請點擊next,進行數(shù)據(jù)庫的安裝：點擊下一步，可以看到配置組件成功，繼而就可以安裝數(shù)據(jù)庫了。輸入用戶名和公司名，再點擊下一步：注意：為安裝的方便，請將數(shù)據(jù)庫所有的組件均選中，進行完全的安裝，數(shù)據(jù)庫建議使用6g的磁盤空間，所以請選擇適當?shù)拇疟P。選擇認證模式為混合模式，并輸入密碼，點擊下一步；選擇模式設置，點擊下一步；點擊安裝并等待安裝完畢。配置SQLSERVER數(shù)據(jù)庫1、翻開SQL數(shù)據(jù)庫配置管理工具〔SQLServerConfigurationManager〕配置SQLEXPRESS的ip協(xié)議為tcp1433〔當然也可以更改端口〕如下：雙擊ＴＣＰ／ＩＰ，彈出下列圖，配置如下列圖：Enabled選項默認為“No〞，修改為“Yes〞。注意：ip地址為安裝數(shù)據(jù)庫的實際ip地址，TCPPort請?zhí)顚憽?433〞。點擊應用并重新啟動sql數(shù)據(jù)庫的效勞如下列圖：安裝完SQLSERVER2005EXPRESS之后。安裝檢測程序會自動開啟SQLServer的1433監(jiān)聽端口。〔注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫,天珣內(nèi)網(wǎng)平安風險管理與審計安裝程序是不會幫助SQLServer翻開1433監(jiān)聽端口〕。安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心效勞器IP地址、初始管理網(wǎng)段地址等信息。1〕指定效勞器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2〕指定中心效勞器IP地址,預置為當前效勞器已連通網(wǎng)卡的地址，管理控制臺默認端口為8833，請確保8833端口未被其他應用占用；3〕設置中心效勞器中初始管理網(wǎng)段地址，預置是當前選擇網(wǎng)卡地址的子網(wǎng)網(wǎng)段；4〕選擇使用管理模式；5〕設置所用的SQLServer的連接的參數(shù)；6〕填寫創(chuàng)立數(shù)據(jù)庫的用戶的帳號。預置用戶名是tx_user,密碼是!QAZ@WSX#EDC$RF1qaz2wsx3edc4rf7〕安裝程序將提示您選擇授權文件的路徑。文件請與啟明星辰聯(lián)系獲取最新的授權文件。點擊“瀏覽〞選擇受權文件的路徑，選擇有效的授權文件如果效勞,假設沒有授權，需使用上級效勞器分配的授權，那么點擊使用上級授權.8〕安裝檢查完成，點擊“安裝〞進行快速安裝部署；快速安裝的安裝完各組件之后，安裝程序會自動運行客戶端打包程序進行客戶端安裝包的制作.其中可以自行設置中心效勞器地址，指定客戶端的安裝目錄以及客戶端的安裝模式。總共可設置三種安裝模式，以普通模式安裝時會出現(xiàn)提示對話框，需由用戶進行“確認用戶許可〞、“選擇安裝目錄〞等操作；以自動模式安裝時會出現(xiàn)安裝界面，但不需要用戶進行任何操作，客戶端將自動安裝至默認目錄；以靜默模式安裝時，正常情況下客戶端安裝過程中不會有任何提示，客戶端將自動安裝至默認目錄，如果安裝的是帶防火墻模塊的客戶端那么安裝完畢后會有重新啟動計算機的提示。此外該打包程序還提供了多種選擇，用戶可靈活選擇客戶端安裝包是否包含交換機認證模塊。說明：打包客戶端工具的使用以winrar軟件為前提，在安裝客戶端打包工具前請確保操作系統(tǒng)中已經(jīng)安裝有winrar軟件。制作客戶端包完成之后。關掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。此時快速安裝部署天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)已經(jīng)完成。安裝完成后，請先檢查%InstallFolder%\config\database目錄的平安屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者已賦予everyone用戶完全控制權限。然后請進入效勞控制器，假設系統(tǒng)已經(jīng)自動添加并運行“ESCenterServer〞效勞，那么說明中心效勞器已經(jīng)安裝配置成功。在天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)中心效勞器的默認安裝目錄C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目錄是天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的Web管理站點主目錄；Download目錄是下載效勞的根目錄，用于存放天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)客戶端安裝包、系統(tǒng)補丁等相關的軟件。安裝程序會自動創(chuàng)立一個虛擬主機“天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)配置效勞〞，這個虛擬主機對應上文所提到的“C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\config〞目錄，對應的TCP端口那么為8833。注意：由于系統(tǒng)8833端口可能事先被占用等原因，可能會造成策略效勞器安裝設置虛擬站點不成功，在這種情況下請手動設置IIS，創(chuàng)立天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)配置效勞虛擬站點：修改%InstallFolder%\config\database目錄的平安屬性，使該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者賦予everyone用戶完全控制權限。創(chuàng)立一個虛擬站點，作為web管理界面的入口。翻開Internet效勞管理器，右擊效勞器名稱，點擊“新建Web站點〞。根據(jù)提示進行到“IP地址和端口設置〞，將端口變?yōu)椤?833〞，其他設置保存為默認。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的Web管理端口默認是8833，您也可以指定其他端口。當您使用其它端口時，您需要在“效勞器設置〞中修改效勞器的管理端口信息。在指定Web站點主目錄時將目錄設為%InstallFolder%\ESServer\config，并將“允許匿名訪問此Web站點〞選項去除。完成后續(xù)的步驟完成虛擬站點配置。從效勞控制器中啟動ESCenterServerService，安裝配置中心Server完成。安裝成功后，請在瀏覽器輸入網(wǎng)址〔如://localhost:8833〕，進入天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)配置效勞虛擬站點，進行策略等相關設置，然后再安裝相應的策略網(wǎng)關。根本配置安裝完中心效勞器，需要添加管理網(wǎng)段和IP組，設置保護網(wǎng)絡的邊界。修改全局策略控制設置天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)效勞器和客戶端的一些開關性質的內(nèi)容和最根本的參數(shù)，此處的參數(shù)決定策略系統(tǒng)的運行方式和后臺交互的頻度，以及全局范圍內(nèi)的默認設置。說明：一般初步測試時，只需更改如下兩項的參數(shù)，其余參數(shù)可按需修改或保持默認值。客戶端啟動后發(fā)送報表時間，如果本地客戶端檢查了對方客戶端，對方客戶端的信息在本地有一個緩存，此處指定的時間就是緩存的時間，單位為分鐘。緩存一過期，又要重新檢查遠端的客戶端。這個時間也決定了客戶端最少多長時間向PrimaryServer發(fā)送一次報表〔如果需要發(fā)送〕。默認時間為15分鐘。一般在測試中可設置為稍短的時間，例如2分鐘，這樣可盡快看到測試效果。平安防護相關設置，在訪問控制策略中，如果沒有指定操作類型，那么以此處設定的操作類型為準。添加策略效勞器配置天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的第一步。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)支持分布式多效勞器架構。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)需要一個中心效勞器，也只需一個中心效勞器。同時也至少需要一個本地效勞器，本地效勞器可由中心效勞器兼任。所以中心效勞器同時也是一個本地效勞器。當您配置中心效勞器時，同時也是在配置其兼任的本地效勞器，請在其“中心效勞器IP地址〞欄位上填寫自己的IP地址?！部焖侔惭b模式和自定義安裝中心效勞器都已經(jīng)默認配置中心策略效勞器的參數(shù)〕添加管理網(wǎng)段配置天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的第二步。管理網(wǎng)段一般配置一個大的網(wǎng)段，包括一個企業(yè)園區(qū)，或一個辦公區(qū)域；管理網(wǎng)段可以包含很多小的網(wǎng)段，比方開發(fā)部的子網(wǎng)段等，這些小網(wǎng)段共享相同的本地效勞器，下載效勞器，補丁安裝策略。例如：點擊管理網(wǎng)段設置，顯示所有的server，用戶選中一個server，進入該server的管理網(wǎng)段的管理。先顯示這個server的所有的管理網(wǎng)段。權限：普通用戶只能修改自己所管理的管理網(wǎng)段的下載效勞器信息，其他信息由全局管理員進行配置。點擊添加可添加不同的管理網(wǎng)段。可以為不同的管理網(wǎng)段指定不同的下載效勞器，默認的下載效勞器位于PrimaryServer上的://localserver:8833/download/。添加IP組IP是管理網(wǎng)段的一個子網(wǎng)段，天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)的策略作用對象分別為IP地址和用戶，IP組是IP地址策略作用的最小單位。點擊“IP組〞，用戶可選擇按照效勞器及管理網(wǎng)段分類查看IP組。每個用戶可以添加IP組，修改、刪除自己所管理的IP組點擊“添加〞，添加IP組。填入IP組的名稱和IP地址。選擇所屬的效勞器和管理網(wǎng)段。排除的IP地址：填寫在IP地址段中不需要包含的IP地址。本IP組應用的策略：通過查看及編輯按鈕進行此IP組的相應策略配置。假設此IP組還沒有設置策略的話，那么會在此處提示用戶“還沒有應用策略〞。認證策略：選擇IP內(nèi)的CC是否啟用用戶登錄和可信MAC，U—M—I綁定策略。自定義安裝自定義安裝是可選擇地安裝效勞器各組件。可分別選擇安裝各效勞器組件的安裝程序，以便高級用戶單獨安裝一些效勞組件或重裝維護一些效勞器組件。自定義安裝中心效勞器自定義安裝中心效勞的安裝界面與快速安裝類似。有區(qū)別的是自定義安裝中心效勞器可以根據(jù)需要其它組件安裝〔注意：默認自定義安裝中心效勞器時，至少要安裝中心效勞器和軟件分發(fā)效勞器。具體操作可見上面的快速安裝。本地效勞器的安裝配置點擊“安裝天珣本地效勞器〞進入天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)效勞器的本地效勞器安裝界面。本地效勞器安裝程序檢測系統(tǒng)環(huán)境。1〕系統(tǒng)必須安裝“或以上版本〞,“IIS〞和“DotNetFramework2.或者以上版本〞。系統(tǒng)還未安裝上述的系統(tǒng)組件。那么不能進行下一步操作?？梢渣c擊旁邊的“安裝〞按鈕安裝所需的系統(tǒng)組件。2〕系統(tǒng)組件所用的SQLServer可以選擇連接到本機或者其它機器的SQLServer。如果您想將系統(tǒng)組件所用的SQLServer部署在本機。本機又沒有安裝SQLServer。您可以選擇方式安裝SQLServer。您也可以選擇點擊檢測界面SQLServer旁邊的“安裝〞按鈕，運行安裝光盤帶的里的SQLSERVER2005EXPRESS版本。〔注意：SQLServerExpress2005是由微軟公司開發(fā)的SQLServer2005的縮減版，這個版本是免費的，單個數(shù)據(jù)庫大小限制為4G〕。3〕安裝完SQLSERVER2005EXPRESS之后。安裝檢測程序會自動開啟SQLServer的1433監(jiān)聽端口?！沧⒁猓喝绻到y(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫,天珣內(nèi)網(wǎng)平安風險管理與審計安裝程序是不會幫助SQLServer翻開1433監(jiān)聽端口〕。安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心效勞器IP地址。1〕指定效勞器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2〕指定中心效勞器IP地址3〕根據(jù)需要其它組件安裝，可選擇的組件有：Radius效勞器，策略網(wǎng)關代理效勞器，告警及審計效勞器，軟件分發(fā)效勞器。4〕安裝檢查完成。點擊安裝進行安裝。〔安裝完成之后。即完成自定義本地效勞器安裝，如果需要的其它效勞器或者網(wǎng)關，組件等未安裝。還可以再點擊進入天珣策略系統(tǒng)網(wǎng)關或者天珣系統(tǒng)其它組件界面進行安裝?！程砑硬呗孕谄髋渲锰飓憙?nèi)網(wǎng)平安風險管理與審計系統(tǒng)的本地效勞器。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)支持分布式多效勞器架構。天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)需要一個中心效勞器，也只需一個中心效勞器。同時也至少需要一個本地效勞器，本地效勞器可由中心效勞器兼任。所以中心效勞器同時也是一個本地效勞器。當您配置中心效勞器時，同時也是在配置其兼任的本地效勞器，請在其“中心效勞器IP地址〞欄位上填寫自己的IP地址。如需添加另外一個本地效勞器。即填寫在管理頁面中添加本地效勞器地址和中心效勞器的地址。假設不是大于1000點的用戶，一般使用默認的使用中心效勞器的數(shù)據(jù)庫連接參數(shù)。策略網(wǎng)關配置策略網(wǎng)關是系統(tǒng)及應用準入的準入控制點，檢查訪問者的客戶端是否運行，與客戶端配合強制用戶滿足策略。策略網(wǎng)關的配置主要包括添加策略網(wǎng)關代理、安裝中性策略網(wǎng)關或IIS/ISA/EXCHANGE策略網(wǎng)關、配置準入控制的網(wǎng)段。添加策略網(wǎng)關代理策略網(wǎng)關代理代表一組策略網(wǎng)關，具有相同的管理功能，在策略配置時，將這一組策略網(wǎng)關作為一個管理對象來管理。建議提供網(wǎng)絡效勞的效勞器都安裝策略網(wǎng)關，以保護效勞器的例如，WEB、EXCHANGE、ISA等效勞，對訪問此效勞的客戶端實施準入控制，確保效勞器的平安。安裝中性策略網(wǎng)關放入光盤，選擇安裝天珣系統(tǒng)策略網(wǎng)關，得到如下列圖所示：策略網(wǎng)關代理可以安裝在中心效勞器上，中性策略網(wǎng)關可以自定義保護的端口號，用于一些使用指定端口的應用軟件，默認保護80和8080端口。安裝完成后，中性策略網(wǎng)關配置程序啟動進行驅動、端口檢查、可忽略檢查IP的配置。配置中性策略網(wǎng)關驅動程序。首先安裝驅動程序，當驅動程序已經(jīng)安裝時，“安裝驅動〞按鈕不可用。安裝完驅動程序后，驅動默認對所有的網(wǎng)卡進行監(jiān)控。如果運行中性策略網(wǎng)關的機器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)卡選擇狀態(tài)改為不選中，然后點擊“應用網(wǎng)絡配置〞按鈕使配置生效。如果安裝驅動后沒有顯示出監(jiān)控的網(wǎng)卡，請參考后面進行驅動的手工安裝配置。配置中性策略網(wǎng)關使用的策略網(wǎng)關代理地址、監(jiān)控TCP端口的范圍以及可忽略檢查的IP地址。程序默認監(jiān)控80和8080端口。點擊保存，完成中性策略網(wǎng)關配置。注意：如果在網(wǎng)絡驅動配置頁面成功安裝并設置了中性策略網(wǎng)關驅動程序，就不再需要進行手工驅動安裝。但對于某些存在問題的系統(tǒng)，可能會出現(xiàn)安裝驅動不成功的現(xiàn)象，此時需要手工安裝驅動程序以發(fā)現(xiàn)錯誤原因。如果安裝了錯誤的驅動，會導致系統(tǒng)不穩(wěn)定或崩潰。驅動安裝方法如下，翻開本地連接的屬性，選擇安裝，再選擇效勞，然后點添加。在選擇網(wǎng)絡效勞對話框中，選擇“從磁盤安裝〞,然后選擇中性策略網(wǎng)關目錄下的win2000或win2003子目錄中的文件〔對Win2000，請安裝win2000子目錄下的驅動程序，對Win2003安裝win2003子目錄下面的驅動程序〕，選擇LPSGWIMDDriver組件，點擊確定開始安裝。安裝過程中可能會提示驅動沒有經(jīng)過數(shù)字簽名認證，選擇繼續(xù)安裝，直到安裝完成。安裝完成后，在本地連接的屬性中可看到LPSGWIMDDriver。如果運行中性策略網(wǎng)關的機器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)絡連接上的LPSGWIMDDriver選擇狀態(tài)改為不選中——即不使用LPSGWIMD組件。安裝完成后，請進入效勞控制器，假設系統(tǒng)已經(jīng)自動添加并運行“GatewayPluginService〞效勞，那么說明中性策略網(wǎng)關已經(jīng)安裝配置成功。添加準入控制的IP組通過添加策略網(wǎng)關準入控制的網(wǎng)段，確定對哪些訪問者進行狀態(tài)檢查。進入“準入控制—>應用準入〞，點擊“準入控制的網(wǎng)段〞從已配置的策略網(wǎng)關代理中選擇想配置的工程，然后為對應的策略網(wǎng)關添加、刪除其“需要檢查的IP組〞，這些IP組可以有多個。該IP組中不滿足平安基線的客戶端，訪問策略網(wǎng)關所在的效勞時將會被拒絕。假設不同的策略網(wǎng)關需要檢查不同的IP組，可以安裝多個策略網(wǎng)關代理，并對不同的策略網(wǎng)關代理設定不同的檢查的IP組。通過應用準入，強制用戶安裝客戶端當所選定的IP組中的機器訪問安裝了策略網(wǎng)關的效勞器時，會強制終端用戶安裝客戶端。如下列圖所示：點擊安裝程序，完成后。將不會出現(xiàn)該提示提示。以上提示信息，在“準入控制—系統(tǒng)及應用準入—策略網(wǎng)關〞提示中設置,也可以選中〞啟用〞以啟用個性化提示頁面，該情況僅僅需要在提示頁面url中輸入需要提示的url即可。提示：再配置并啟用應用準入進行客戶端分發(fā)和安裝前，需要將位于：C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\CCClient\Output\下的客戶端安裝包，復制一份到：C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\Download目錄下面，當應用準入生效后，沒有安裝客戶端的用戶，可以通過上面的提示信息自助安裝客戶端。即時更新策略網(wǎng)關策略在默認的情況下，策略網(wǎng)關代理在每次啟動時會更新策略，或在運行24小時后自動更新策略，策略網(wǎng)關代理獲取新的策略后會自動將新策略下發(fā)到策略網(wǎng)關。但有時需要策略網(wǎng)關即時更新策略，比方管理員修改了策略網(wǎng)關控制的網(wǎng)段，或策略版本進行了升級，需要強制客戶端即時生效，就需要即時更新策略網(wǎng)關策略。選擇效勞器，然后選擇該效勞器上的策略網(wǎng)關代理，點擊“更新策略網(wǎng)關策略〞，系統(tǒng)先將所選的效勞器與中心效勞器進行同步，然后更新所選的策略網(wǎng)關代理及所屬策略網(wǎng)關策略。遠程桌面的系統(tǒng)配置安裝添加遠程桌面效勞器安裝天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)中心效勞器時，一般已集成安裝了按需支援遠程桌面效勞器。系統(tǒng)默認全部管理網(wǎng)段的CC都開啟按需支援效勞功能。這樣需要援助的用戶就可以通過效勞器獲取在線管理員的列表。如果需要添加多個遠程桌面管理員需要做如下步驟：在策略效勞器操作系統(tǒng)中添加相應的管理員；將該管理員參加策略系統(tǒng)的“管理員設置〞中，并分配應有的權限；添加管理員組，并管理相關管理員。在“遠程桌面〞效勞中添加遠程桌面效勞器并關聯(lián)相應網(wǎng)段。詳細配置步驟與方法請參見?天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)用戶手冊?添加遠程桌面管理員如果是中心效勞器安裝模式采用三權分立時。點擊“根本配置〞“按需支持操作員〞選項，添加遠程桌面管理員。如果中心效勞器安裝模式采用的是windows集成認證式時,添加用戶之后需在效勞器系統(tǒng)帳戶中添加相應的用戶。安裝按需支援管理員端程序遠程桌面管理員需要安裝一個遠程桌面管理員端，標明自己在線，隨時可為用戶提供援助。將天珣內(nèi)網(wǎng)平安風險管理與審計系統(tǒng)安裝光盤放入光驅，可直接進入安裝選擇界面。請點擊