LANdeskESA操作配置文檔

終端安全審計(jì)（ESA）操作配置文檔

目錄1. ESA入門（EndpointSecurityAudit） 42. 系統(tǒng)配置（Systemconfiguration） 4服務(wù)器的最低建議配置 4客戶端的最低建議配置 53. 操作指南（OperationsGuide） 53.1終端審計(jì)管理 5文件打印審計(jì) 8活動(dòng)窗口審計(jì) 9剪切板審計(jì) 11屏幕錄像審計(jì) 13文件操作審計(jì) 17系統(tǒng)變更審計(jì) 18系統(tǒng)使用審計(jì) 19應(yīng)用程序?qū)徲?jì) 21存儲(chǔ)設(shè)備審計(jì) 233.2日志警告管理 25日志警告管理 253.3支持平臺(tái) 26

ESA入門（EndpointSecurityAudit）工具欄日志警告管理：給系統(tǒng)管理員提供需要的郵件通知數(shù)據(jù)庫備份管理：建立過去數(shù)據(jù)的安全備份機(jī)制終端審計(jì)管理：提供終端審計(jì)管理的管理界面，查看設(shè)備的審計(jì)日志終端管理界面提供直觀的客戶端管理界面提供給管理員查看的日志查詢界面系統(tǒng)配置（Systemconfiguration）服務(wù)器的最低建議配置操作系統(tǒng)：WindowsServer2008R2數(shù)據(jù)庫：SQLServer2008R2.NETFramework4.下載地址/en-us/download/details.aspx?id=17718IIS&WebDAV的安裝配置指定防火墻或其他安全軟件設(shè)置的允許ESAHTTP端口訪問CPU：IntelCorei3內(nèi)存：4G硬盤：可用空間500G操作系統(tǒng)：WindowsServer2008數(shù)據(jù)庫：MicrosoftSQLServer2008Standard客戶端的最低建議配置CPU：IntelCeleron內(nèi)存：512M硬盤：可用空間20G操作指南（OperationsGuide）3.1終端審計(jì)管理菜單欄新建組（審計(jì)設(shè)備分組）可以根據(jù)客戶的組織結(jié)構(gòu)來管理審計(jì)的信息右擊活動(dòng)客戶端>>新建組然后把屬于財(cái)務(wù)部的設(shè)備拖到相應(yīng)的組重命名（組名稱的重命名）刪除組全局配置核心服務(wù)器連接配置連接超時(shí)時(shí)間：用以判斷是否與核心服務(wù)器斷開連接連接失敗重試間隔：與核心服務(wù)器斷開連接后，系統(tǒng)將依此間隔時(shí)間向服務(wù)器嘗試連接客戶端輪詢周期：客戶端與核心服務(wù)器交互事件的間隔時(shí)間文件服務(wù)器連接配置連接超時(shí)時(shí)間：用以判斷是否與文件服務(wù)器連接失敗連接失敗重試間隔：與文件服務(wù)器斷開連接后，系統(tǒng)將依此間隔時(shí)間向服務(wù)器嘗試連接客戶端輪詢周期：客戶端在空閑時(shí)，與文件服務(wù)器的輪詢周期組配置（模塊審計(jì)配置）：主要是針對(duì)每臺(tái)審計(jì)設(shè)備進(jìn)行每個(gè)模塊的審計(jì)配置可以針對(duì)所有設(shè)備進(jìn)行審計(jì)模塊配置，也可以針對(duì)不同的組統(tǒng)一配置日志保留時(shí)間：客戶端未上傳的日志在本地保存的時(shí)間上傳時(shí)間間隔：客戶端兩次日志上傳事件的間隔時(shí)間當(dāng)磁盤空間使用超過設(shè)定的指定值時(shí)，系統(tǒng)停止所有審計(jì)日志功能首選文件服務(wù)器：若有多臺(tái)文件服務(wù)器，我們可以設(shè)置首選上傳文件服務(wù)器，緩解同臺(tái)服務(wù)器壓力生成客戶端：生成客戶端的安裝程序和卸載程序查看所有日志：查看所有審計(jì)模塊的日志終端分組窗口所有客戶端列出所有安裝ISMS客戶端的設(shè)備活動(dòng)客戶端列出所有目前正在使用的客戶端還可以對(duì)所有活動(dòng)客戶端進(jìn)行自定義分組，自定義各個(gè)組策略非活動(dòng)客戶端列出所有卸載過的或者停用的客戶端終端狀態(tài)管理窗口列出所有終端的詳細(xì)信息（電腦名稱、IP地址，最近訪問時(shí)間，以及各個(gè)模塊的啟動(dòng)狀態(tài)）可以針對(duì)不同設(shè)備，做不同模塊的安全審計(jì)文件打印審計(jì)打印審計(jì)配置上傳監(jiān)聽數(shù)據(jù)限制設(shè)置（兩個(gè)條件滿足其一就會(huì)上傳）：時(shí)間限制：打印模塊審計(jì)日志的上傳時(shí)間間隔大小限制：打印模塊審計(jì)日志的上傳大小限制打印審計(jì)功能功能詳細(xì)信息審計(jì)詳細(xì)文件打印安全審計(jì)記錄當(dāng)前使用人的登陸賬號(hào)、電腦名稱、IP地址、打印機(jī)名稱；跟蹤記錄打印機(jī)打印數(shù)量和紙張/耗材使用量。內(nèi)容、打印機(jī)詳細(xì)、打印機(jī)IP、頁面計(jì)數(shù)、域名、登陸名、機(jī)器IP地址打印審計(jì)日志導(dǎo)出CSV格式的打印審計(jì)日志活動(dòng)窗口審計(jì)活動(dòng)窗口配置監(jiān)聽進(jìn)程：配置需要審計(jì)的進(jìn)程列表（為空監(jiān)聽所有進(jìn)程）非監(jiān)聽進(jìn)程：配置不需要審計(jì)的進(jìn)程列表（如果不為空，那么該列表的優(yōu)先級(jí)高于監(jiān)聽進(jìn)程列表）監(jiān)聽對(duì)話框標(biāo)題上傳限制（兩個(gè)條件滿足其一就會(huì)上傳）上傳監(jiān)聽數(shù)據(jù)限制，時(shí)間限制：兩次審計(jì)日志的時(shí)間間隔上傳監(jiān)聽數(shù)據(jù)限制，大小限制：審計(jì)文件的大小限制活動(dòng)窗口功能功能詳細(xì)信息審計(jì)信息活動(dòng)窗口安全審計(jì)記錄用戶使用的活動(dòng)窗口的標(biāo)題，活動(dòng)窗口的進(jìn)程名稱、登陸用戶。記錄用戶打游戲、上網(wǎng)炒股、聊天、使用非法軟件等詳細(xì)信息從而警告、規(guī)范員工行為操作；活動(dòng)窗口日志導(dǎo)出CSV格式的活動(dòng)窗口日志剪切板審計(jì)剪切板日志配置監(jiān)聽數(shù)據(jù)類型：監(jiān)聽文本信息：監(jiān)聽剪切板文本的內(nèi)容信息監(jiān)聽文件信息：監(jiān)聽剪切板的文件名稱上傳監(jiān)聽數(shù)據(jù)限制（兩個(gè)條件滿足其一就會(huì)上傳）時(shí)間限制：上傳剪切板日志的時(shí)間間隔大小限制：上傳剪切板日志的大小限制剪切板審計(jì)功能功能詳細(xì)信息審計(jì)信息剪切板安全審計(jì)記錄用戶對(duì)文本的剪切，復(fù)制等操作動(dòng)作記錄用戶對(duì)文檔等相關(guān)文件的剪切、復(fù)制操作動(dòng)作內(nèi)容、類型、時(shí)間、域名、登錄名、電腦名稱、IP地址、服務(wù)器時(shí)間剪切板審計(jì)日志導(dǎo)出CSV格式的剪切板審計(jì)日志屏幕錄像審計(jì)屏幕錄像配置截屏?xí)r間段：根據(jù)您的需求設(shè)置需要截屏的時(shí)間段監(jiān)聽進(jìn)程列表：添加需要進(jìn)行截圖監(jiān)聽的進(jìn)程截屏間隔：兩次截圖時(shí)間間隔只截取活動(dòng)窗口：只對(duì)監(jiān)聽進(jìn)程的窗口做截圖，不截取全桌面屏保時(shí)不截屏：當(dāng)電腦進(jìn)入屏保時(shí)，不進(jìn)行截圖上傳監(jiān)聽數(shù)據(jù)限制設(shè)置（兩個(gè)條件滿足其一就會(huì)上傳）：時(shí)間限制：兩次上傳數(shù)據(jù)的時(shí)間間隔大小限制：上傳文件的大小限制屏幕錄像審計(jì)功能功能詳細(xì)信息審計(jì)信息屏幕錄像安全審計(jì)支持基于特定時(shí)間和特定應(yīng)用程序的屏幕監(jiān)控；支持圖片內(nèi)容搜索、高比例壓縮占用磁盤空間少；支持屏幕連續(xù)播放、圖片文件導(dǎo)出等功能。錄像時(shí)間、機(jī)器名稱、IP地址屏幕錄像審計(jì)日志批量選擇你需要在某個(gè)時(shí)間段查看的圖片>>右擊添加到縮略圖選擇某臺(tái)審計(jì)設(shè)備生成的縮略圖點(diǎn)擊播放，連續(xù)播放截屏圖片導(dǎo)出png格式的屏幕錄像圖片文件操作審計(jì)文件操作審計(jì)配置設(shè)置監(jiān)聽文件后綴：.txt/.exe/.doc監(jiān)聽目錄：指定客戶端監(jiān)聽文件審計(jì)日志的目錄例如：C:\farris非監(jiān)聽目錄：不對(duì)其監(jiān)聽的文件目錄上傳限制（兩個(gè)條件滿足其一就會(huì)上傳）時(shí)間限制：上傳文件操作日志的時(shí)間間隔大小限制：上傳文件操作日志的大小限制文件操作審計(jì)功能功能詳細(xì)信息審計(jì)信息文件操作安全審計(jì)記錄對(duì)文檔操作的用戶名、文檔名、時(shí)間、對(duì)該文檔進(jìn)行的操作包括新建、刪除、拷貝、粘貼、修改（內(nèi)容和文件屬性修改等）、重命名；提供文檔操作配置列表（對(duì)列表內(nèi)后綴名稱符合的文檔進(jìn)行審計(jì)）。記錄操作文檔的路徑、操作文檔的名稱、操作動(dòng)作、操作時(shí)間、機(jī)器名稱、域名、登陸名文件操作審計(jì)日志導(dǎo)出CSV格式的文件操作日志系統(tǒng)變更審計(jì)系統(tǒng)變更審計(jì)功能功能詳細(xì)信息審計(jì)信息系統(tǒng)安全使用審計(jì)記錄用戶在內(nèi)網(wǎng)以及外網(wǎng)的使用所有的IP地址；變更時(shí)間、登陸名稱、電腦名稱、Ip地址、OS版本、域名、時(shí)區(qū)系統(tǒng)變更審計(jì)日志導(dǎo)出CSV格式的系統(tǒng)變更日志系統(tǒng)使用審計(jì)系統(tǒng)使用審計(jì)功能功能詳細(xì)信息審計(jì)信息系統(tǒng)使用狀態(tài)審計(jì)記錄用戶的開機(jī)、關(guān)機(jī)時(shí)間。記錄用戶的鎖屏?xí)r間、解鎖時(shí)間。記錄用戶的注銷時(shí)間。內(nèi)容（開機(jī)、關(guān)機(jī)）、時(shí)間、域名、登陸名稱、電腦名稱、IP地址、服務(wù)器地址系統(tǒng)使用審計(jì)日志導(dǎo)出CSV格式的系統(tǒng)使用日志應(yīng)用程序?qū)徲?jì)應(yīng)用程序配置監(jiān)聽進(jìn)程：設(shè)置監(jiān)聽活動(dòng)窗口的進(jìn)程非監(jiān)聽進(jìn)程：提供除去系統(tǒng)的默認(rèn)啟動(dòng)的進(jìn)程，也可以自己增加非監(jiān)聽的進(jìn)程監(jiān)聽服務(wù)進(jìn)程：提供是否監(jiān)聽服務(wù)進(jìn)程上傳限制（兩個(gè)條件滿足其一就會(huì)上傳）上傳監(jiān)聽數(shù)據(jù)限制設(shè)置：時(shí)間限制上傳監(jiān)聽數(shù)據(jù)限制設(shè)置：大小設(shè)置應(yīng)用程序操作審計(jì)功能功能詳細(xì)信息記錄詳細(xì)應(yīng)用程序安全審計(jì)記錄用戶使用應(yīng)用軟件的使用人、使用機(jī)器、使用次數(shù)、使用時(shí)長(zhǎng)、使用進(jìn)程。產(chǎn)品名稱、產(chǎn)品版本、進(jìn)程名稱、運(yùn)行時(shí)間、CPU使用時(shí)間、開始時(shí)間、結(jié)束時(shí)間應(yīng)用程序操作審計(jì)日志導(dǎo)出CSV格式的應(yīng)用程序日志存儲(chǔ)設(shè)備審計(jì)存儲(chǔ)設(shè)備審計(jì)配置存儲(chǔ)設(shè)備審計(jì)功能功能詳細(xì)信息審計(jì)信息存儲(chǔ)設(shè)備安全審計(jì)記錄存儲(chǔ)設(shè)備的使用類型、使用時(shí)間內(nèi)容、操作、磁盤驅(qū)動(dòng)類型、標(biāo)題、時(shí)間、域名、登錄名、電腦名稱、IP地址存儲(chǔ)設(shè)備審計(jì)日志導(dǎo)出CSV格式的存儲(chǔ)設(shè)備審計(jì)日志3.2日志警告管理日志警告管理聯(lián)系人（右擊新建聯(lián)系人）郵件模板右擊新建郵件模板制定不同模板的郵件審計(jì)模板警告：通過建立警告規(guī)則，當(dāng)客戶端有日志上傳到服務(wù)器的時(shí)候，某一條記錄符合我們的警告條件，那么會(huì)通過發(fā)送郵件的方式或者該條記錄變色的方式來提醒管理員圖：添加警告條件警告的方式有以下兩種郵件通知（郵件標(biāo)題、郵件內(nèi)容完全可以自己定義