某公司內(nèi)網(wǎng)安全風(fēng)險(xiǎn)評估管理與審計(jì)系統(tǒng)

某公司內(nèi)網(wǎng)安全風(fēng)險(xiǎn)評估管理與審計(jì)系統(tǒng)某公司內(nèi)網(wǎng)安全風(fēng)險(xiǎn)評估管理與審計(jì)系統(tǒng)某公司內(nèi)網(wǎng)安全風(fēng)險(xiǎn)評估管理與審計(jì)系統(tǒng)天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝配置手冊（V）啟明星辰BeijingVenustechCybervisionCo.,Ltd.2012年11月PAGE54啟明星辰多層準(zhǔn)入內(nèi)網(wǎng)合規(guī)版權(quán)聲明北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)有限公司。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途?！疤飓憽睘楸本﹩⒚餍浅叫畔踩夹g(shù)有限公司的注冊商標(biāo)，不得侵犯。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息安全技術(shù)有限公司在編寫該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息安全技術(shù)有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。目錄版權(quán)聲明 1免責(zé)條款 1信息反饋 11 綜述 42 安裝環(huán)境及要求 43. 天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)主要組件介紹 63.1. 服務(wù)器組件 63.1.1. 中心策略服務(wù)器 63.1.2. 本地策略服務(wù)器 63.1.3. 資產(chǎn)管理服務(wù)器 63.1.4. Radius服務(wù)器 63.1.5. 攻擊告警服務(wù)器 73.1.6. 軟件分發(fā)服務(wù)器 73.1.7. HOD遠(yuǎn)程桌面服務(wù)器 73.2. 策略網(wǎng)關(guān)組件 73.2.1. 策略網(wǎng)關(guān)代理 73.2.2. 中性策略網(wǎng)關(guān) 83.2.3. IIS策略網(wǎng)關(guān) 83.2.4. ISA策略網(wǎng)關(guān) 83.2.5. EXCHANGE策略網(wǎng)關(guān) 83.2.6. DNS策略網(wǎng)關(guān)及旁路監(jiān)聽式DNS策略網(wǎng)關(guān) 83.2.7. 客戶端 93.2.8. 按需支援管理端 93.2.9. 客戶端打包程序 94. 天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的安裝 94.1. 快速安裝 104.1.1 快速安裝部署 104.1.2 基本配置 274.2. 自定義安裝 324.2.1 自定義安裝中心服務(wù)器 324.3. 本地服務(wù)器的安裝配置 334.3.1 添加策略服務(wù)器 384.4. 策略網(wǎng)關(guān)配置 384.4.1 添加策略網(wǎng)關(guān)代理 394.4.2 安裝中性策略網(wǎng)關(guān) 394.5. 遠(yuǎn)程桌面的系統(tǒng)配置 464.5.1 安裝添加遠(yuǎn)程桌面服務(wù)器 464.5.2 添加遠(yuǎn)程桌面管理員 464.5.3 安裝按需支援管理員端程序 474.5.4 用戶請求管理員遠(yuǎn)程幫助 494.6. 軟件分發(fā)安裝與配置 494.6.1 安裝軟件分發(fā)服務(wù)器 494.6.2 配置軟件分發(fā) 504.7. 安裝資產(chǎn)服務(wù)器 514.8. 安裝告警服務(wù)器 524.9. 安裝RADIUS服務(wù)器 534.10 客戶端的打包及分發(fā) 54綜述天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的集端點(diǎn)主動(dòng)安全防護(hù)和桌面管理于一身，具有世界領(lǐng)先水平的產(chǎn)品體系架構(gòu)，從根本上解決了客戶端從蠕蟲病毒的主動(dòng)防御、可靠的補(bǔ)丁管理、非授權(quán)訪問控制、端點(diǎn)準(zhǔn)入控制、桌面運(yùn)行環(huán)境的標(biāo)準(zhǔn)化和自動(dòng)化管理等一系列問題，幫助用戶創(chuàng)建高可靠、高可用和高安全級(jí)別的可信任網(wǎng)絡(luò)環(huán)境。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)架構(gòu)如下圖所示。主要由策略服務(wù)器、天珣客戶端、策略網(wǎng)關(guān)組成。策略服務(wù)器包括中心服務(wù)器、本地服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、radius服務(wù)器、告警服務(wù)器等組件，所有功能服務(wù)器集中管理，組件可根據(jù)具體情況增減。數(shù)據(jù)庫采用SQLSERVER，統(tǒng)一管理報(bào)警日志及審計(jì)等數(shù)據(jù)。安裝環(huán)境及要求客戶端（Clients）計(jì)算機(jī)沒有很高的系統(tǒng)要求?？蛻舳塑浖?也被稱CC)可以被安裝在Windows系統(tǒng)之上，包括Windows2000SP4,WindowsServer2003和32/64位WindowsXP，WindowsVista,32/64位WindowsServer2008，32/64位Windows7數(shù)據(jù)庫 支持32位MicrosoftSQLServer2000，32/64位MicrosoftSQLServer200532/64位MicrosoftSQLServer2008中心服務(wù)器（Server）是整個(gè)策略架構(gòu)的管理中心、策略中心。必須運(yùn)行2003SERVERSP1(32/64)或2008ServerSP1(64)的平臺(tái)上。中心服務(wù)器通過web方式管理，要求安裝IIS服務(wù)器。其對硬件要求的高低應(yīng)根據(jù)所管理的客戶端數(shù)量的多少來定，其中，服務(wù)器安裝要求的最低配置如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盤 40G空閑軟件：Windows2003ServerSP1以上InternetInformationServices6.0以上DotNetFramework2.0MDAC2.7或以上中心服務(wù)器、攻擊告警服務(wù)器需要安裝SQLServer數(shù)據(jù)庫，可根據(jù)現(xiàn)場環(huán)境選擇獨(dú)立安裝或集中安裝于中心服務(wù)器，若安裝于中心服務(wù)器，請確保中心服務(wù)器有足夠的內(nèi)存和硬盤空間。策略網(wǎng)關(guān)代理(Plug-inProxy)：管理所有關(guān)聯(lián)的策略網(wǎng)關(guān)，策略網(wǎng)關(guān)代理從LocalServer上取插件策略。當(dāng)策略網(wǎng)關(guān)激活時(shí)，策略網(wǎng)關(guān)代理將策略發(fā)送給各個(gè)關(guān)聯(lián)的策略網(wǎng)關(guān)。策略網(wǎng)關(guān)代理的主要作用在于可以將安裝在多個(gè)應(yīng)用服務(wù)器上的有相同插件策略的插件策略網(wǎng)關(guān)交給同一個(gè)策略網(wǎng)關(guān)代理管理，從而簡化管理員的配置；同時(shí)，各個(gè)插件策略網(wǎng)關(guān)可相互共享CC的狀態(tài)，如CC1在插件1上通過了認(rèn)證，那么通過插件2訪問時(shí)就無需第2次認(rèn)證，提高系統(tǒng)性能。IIS策略網(wǎng)關(guān)、ISA策略網(wǎng)關(guān)、Exchange策略網(wǎng)關(guān)以及中性策略網(wǎng)關(guān)：策略檢查點(diǎn)（checkpoint），與CC配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)從關(guān)聯(lián)的策略網(wǎng)關(guān)代理上取插件策略。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)主要組件介紹天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)為CSC架構(gòu)，即天珣客戶端（Clients）、策略服務(wù)器（Server）、策略網(wǎng)關(guān)（CheckPoint）。服務(wù)器組件中心策略服務(wù)器所有策略集中存放的地方，系統(tǒng)中唯一的Web管理控制臺(tái)也與中心服務(wù)器集成在一起。管理員從Web管理控制臺(tái)登錄到CenterServer，進(jìn)行策略配置，報(bào)表查詢。CenterServer同時(shí)兼作一個(gè)LocalServer。本地策略服務(wù)器本地策略服務(wù)器是客戶端日常取策略的地方，也是客戶端發(fā)送報(bào)表的目的地。本地策略服務(wù)器從CenterServer同步得到策略。設(shè)置本地策略服務(wù)器的目的是為了適應(yīng)企業(yè)大區(qū)域的分布式分級(jí)管理架構(gòu)。本地策略服務(wù)器從中心策略服務(wù)器獲取策略，客戶端直接與本地策略服務(wù)器通訊。Radius服務(wù)器Radius服務(wù)器是天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入的必須組件。結(jié)合各類LDAP認(rèn)證，使用802.1x協(xié)議或EOU協(xié)議在交換機(jī)網(wǎng)絡(luò)端口實(shí)施網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，確保只有通過認(rèn)證的客戶端接入并訪問網(wǎng)絡(luò)。攻擊告警服務(wù)器攻擊告警服務(wù)器兼作為攻擊日志告警服務(wù)器和終端審計(jì)日志服務(wù)器，收集由客戶端發(fā)來的攻擊告警信息和終端審計(jì)信息。并在中心服務(wù)器管理界面，可進(jìn)行統(tǒng)計(jì)和分類查詢。軟件分發(fā)服務(wù)器通過軟件分發(fā)服務(wù)器可建立軟件安裝包，可根據(jù)目標(biāo)地址或地址段、指定時(shí)間段分發(fā)軟件包或自定義文件。HOD遠(yuǎn)程桌面服務(wù)器HOD遠(yuǎn)程桌面服務(wù)器用于記錄在線的遠(yuǎn)程桌面管理員的相關(guān)信息，為其關(guān)聯(lián)管理網(wǎng)段后，管理網(wǎng)段內(nèi)的用戶就可使用客戶端集成的遠(yuǎn)程桌面客戶端，向在線管理員發(fā)起遠(yuǎn)程桌面幫助請求。策略網(wǎng)關(guān)組件作為系統(tǒng)及應(yīng)用準(zhǔn)入的準(zhǔn)入控制點(diǎn)，檢查訪問者的客戶端運(yùn)行狀態(tài)，與客戶端配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)從策略網(wǎng)關(guān)代理上取策略網(wǎng)關(guān)策略。有時(shí)策略網(wǎng)關(guān)策略又叫插件策略。策略網(wǎng)關(guān)分為中性策略網(wǎng)關(guān)和IIS、ISAProxy、Email、DNS等插件策略網(wǎng)關(guān)。策略網(wǎng)關(guān)代理策略網(wǎng)關(guān)的管理者。所有的策略網(wǎng)關(guān)都直接連接到策略網(wǎng)關(guān)代理，從策略網(wǎng)關(guān)代理獲取策略，接受管理。而策略網(wǎng)關(guān)代理直接指向策略服務(wù)器，并從策略服務(wù)器獲取策略。連接到同一個(gè)策略網(wǎng)關(guān)代理的所有策略網(wǎng)關(guān)使用相同的策略。設(shè)置策略網(wǎng)關(guān)代理這個(gè)角色的目的是簡化策略網(wǎng)關(guān)的配置，因?yàn)橛袝r(shí)一個(gè)企業(yè)需要安裝多個(gè)策略網(wǎng)關(guān)，而每個(gè)策略網(wǎng)關(guān)的策略相同。中性策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)，也叫做中性插件，是安裝在任意的X32位的Windows2000/2003/2008服務(wù)器或Linux的服務(wù)器上，執(zhí)行應(yīng)用準(zhǔn)入控制，它與安裝的服務(wù)器操作系統(tǒng)有關(guān)，而與該服務(wù)器運(yùn)行何種應(yīng)用無關(guān)。當(dāng)終端訪問到該服務(wù)器，都需要進(jìn)行安全基線檢查，若不符合安全策略，將被拒絕訪問該服務(wù)器，并給出提示信息（只有基于http訪問，才能正確提示）。其中安全基線包括是否安裝客戶端軟件、安裝客戶端軟件的終端是否達(dá)到安全策略要求。IIS策略網(wǎng)關(guān)部署在IIS服務(wù)器上，對所有訪問該WEB服務(wù)器的終端實(shí)施應(yīng)用準(zhǔn)入控制，檢查終端是否符合安全策略，若不符合策略，則拒絕訪問，并給出提示信息。ISA策略網(wǎng)關(guān)對所有通過ISA服務(wù)器上網(wǎng)的終端，實(shí)施應(yīng)用準(zhǔn)入控制，若不符合安全策略，則不允許終端通過ISA訪問INTERNET，并給出提示信息。EXCHANGE策略網(wǎng)關(guān)部署在Exchange郵件服務(wù)器上，對訪問EXCHANGE郵件服務(wù)器的終端實(shí)施應(yīng)用準(zhǔn)入控制，檢查客戶端是否符合安全策略。對于不符合安全策略的終端，Exchange策略網(wǎng)關(guān)將阻斷其郵件服務(wù)，并給出提示信息。（只支持EXCHANGE2003郵件服務(wù)器）DNS策略網(wǎng)關(guān)及旁路監(jiān)聽式DNS策略網(wǎng)關(guān)普通DNS策略網(wǎng)關(guān)部署在DNS服務(wù)器上，對需要進(jìn)行DNS域名解析的終端實(shí)施準(zhǔn)入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息。如果是旁路監(jiān)聽式DNS策略網(wǎng)關(guān)，則可部署在DNS服務(wù)器上也可部署在互聯(lián)網(wǎng)出口的某臺(tái)服務(wù)器上對所有DNS請求進(jìn)行監(jiān)聽。如果是在DNS服務(wù)器上，那么功能與傳統(tǒng)DNS策略網(wǎng)關(guān)相同，如果不是，那么旁聽式的DNS網(wǎng)關(guān)必須安裝在鏈接互聯(lián)網(wǎng)出口交換機(jī)上的某臺(tái)交換機(jī)上，對這臺(tái)交換機(jī)上的其他端口的DNS請求進(jìn)行鏡像，并在旁聽式DNS網(wǎng)關(guān)的端口上進(jìn)行監(jiān)聽，對需要進(jìn)行DNS解析的終端實(shí)施準(zhǔn)入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，旁聽式DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息?？蛻舳嗣颗_(tái)終端都必須安裝客戶端（CC）?？蛻舳耸前惭b在每個(gè)被策略管理的用戶的電腦上的代理程序。執(zhí)行企業(yè)策略，安全基線檢查，客戶端準(zhǔn)入控制，訪問控制，主動(dòng)安全防御，資產(chǎn)管理，遠(yuǎn)程幫助，軟件分發(fā)，移動(dòng)存儲(chǔ)認(rèn)證和控制，終端行為審計(jì)終端相關(guān)功能。從本地策略服務(wù)器上取策略，向本地策略服務(wù)器發(fā)送報(bào)表，當(dāng)用戶不滿足策略時(shí)，向用戶提示相關(guān)信息。按需支援管理端如果安裝了按需支援（HOD）的遠(yuǎn)程桌面服務(wù)器，需要在承擔(dān)遠(yuǎn)程支持服務(wù)的管理員電腦上安裝按需支援管理端軟件。安裝完成后，如果有終端用戶發(fā)來遠(yuǎn)程支持請求，遠(yuǎn)程支持管理員就可以收到請求信息，并直接進(jìn)行遠(yuǎn)程協(xié)助?？蛻舳舜虬绦蚩蛻舳舜碥浖拇虬绦??？蛻舳舜虬绦?qū)⒑椭行姆?wù)器一起安裝。打包程序?qū)⒎?wù)器IP地址、指定安裝目錄、是否靜默安裝、是否采用網(wǎng)絡(luò)準(zhǔn)入等參數(shù)與安裝程序打包成可執(zhí)行文件。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的安裝安裝部署共有兩種安裝選項(xiàng)：快速安裝和自定義安裝。運(yùn)行Autorun.exe后出現(xiàn)以下主安裝界面?？焖侔惭b快速安裝默認(rèn)安裝服務(wù)器的以下組件：中心策略服務(wù)器、中心同步服務(wù)器、天珣服務(wù)狀態(tài)監(jiān)控服務(wù)、遠(yuǎn)程桌面服務(wù)器、攻擊告警服務(wù)器、RADIUS服務(wù)器、策略網(wǎng)關(guān)代理服務(wù)器、中性策略網(wǎng)關(guān)、DNS策略網(wǎng)關(guān)、軟件分發(fā)服務(wù)器、客戶端打包程序，服務(wù)器卸載工具?？焖侔惭b選項(xiàng)的目的是一次安裝所有服務(wù)器相關(guān)的組件及DNS準(zhǔn)入控制組件，如果部署在網(wǎng)絡(luò)出口，則可利用DNS準(zhǔn)入達(dá)到即插即用的效果。對中小應(yīng)用環(huán)境，我們的方案首推這種即插即用的部署。快速安裝部署快速安裝。將天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。請點(diǎn)擊“快速安裝”。進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)服務(wù)器的快速安裝界面。安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝“MDAC2.7或以上版本”,“IIS”和“DotNetFramework2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進(jìn)行下一步操作?？梢渣c(diǎn)擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。2）系統(tǒng)組件所用的SQLServer可以選擇連接到本機(jī)或者其它機(jī)器的SQLServer。如果您想將系統(tǒng)組件所用的SQLServer部署在本機(jī)，本機(jī)又沒有安裝SQLServer。您可以選擇安裝SQLServer。您也可以選擇點(diǎn)擊檢測界面SQLServer旁邊的“安裝”按鈕，運(yùn)行安裝光盤帶的里的SQLSERVER2005EXPRESS版本。（注意：SQLServerExpress2005是由微軟公司開發(fā)的SQLServer2005的縮減版，這個(gè)版本是免費(fèi)的，單個(gè)數(shù)據(jù)庫大小限制為4G）。進(jìn)行解壓縮，壓縮完成后將如下圖：點(diǎn)擊下一步，進(jìn)行組件的配置配置完成請點(diǎn)擊next,進(jìn)行數(shù)據(jù)庫的安裝：點(diǎn)擊下一步，可以看到配置組件成功，繼而就可以安裝數(shù)據(jù)庫了。輸入用戶名和公司名，再點(diǎn)擊下一步：注意：為安裝的方便，請將數(shù)據(jù)庫所有的組件均選中，進(jìn)行完全的安裝，數(shù)據(jù)庫建議使用6g的磁盤空間，所以請選擇適當(dāng)?shù)拇疟P。選擇認(rèn)證模式為混合模式，并輸入密碼，點(diǎn)擊下一步；選擇模式設(shè)置，點(diǎn)擊下一步；點(diǎn)擊安裝并等待安裝完畢。配置SQLSERVER數(shù)據(jù)庫1、打開SQL數(shù)據(jù)庫配置管理工具（SQLServerConfigurationManager）配置SQLEXPRESS的ip協(xié)議為tcp1433（當(dāng)然也可以更改端口）如下：雙擊ＴＣＰ／ＩＰ，彈出下圖，配置如下圖：Enabled選項(xiàng)默認(rèn)為“No”，修改為“Yes”。注意：ip地址為安裝數(shù)據(jù)庫的實(shí)際ip地址，TCPPort請?zhí)顚憽?433”。點(diǎn)擊應(yīng)用并重新啟動(dòng)sql數(shù)據(jù)庫的服務(wù)如下圖：安裝完SQLSERVER2005EXPRESS之后。安裝檢測程序會(huì)自動(dòng)開啟SQLServer的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫,天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)安裝程序是不會(huì)幫助SQLServer打開1433監(jiān)聽端口）。安裝過程中，系統(tǒng)會(huì)提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務(wù)器IP地址、初始管理網(wǎng)段地址等信息。1）指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務(wù)器IP地址,預(yù)置為當(dāng)前服務(wù)器已連通網(wǎng)卡的地址，管理控制臺(tái)默認(rèn)端口為8833，請確保8833端口未被其他應(yīng)用占用；3）設(shè)置中心服務(wù)器中初始管理網(wǎng)段地址，預(yù)置是當(dāng)前選擇網(wǎng)卡地址的子網(wǎng)網(wǎng)段；4）選擇使用管理模式；5）設(shè)置所用的SQLServer的連接的參數(shù)；6）填寫創(chuàng)建數(shù)據(jù)庫的用戶的帳號(hào)。預(yù)置用戶名是tx_user,密碼是!QAZ@WSX#EDC$RF1qaz2wsx3edc4rf7）安裝程序?qū)⑻崾灸x擇授權(quán)文件License.dat的路徑。License.dat文件請與啟明星辰聯(lián)系獲取最新的授權(quán)文件。點(diǎn)擊“瀏覽”選擇受權(quán)文件的路徑，選擇有效的授權(quán)文件如果服務(wù),若沒有授權(quán)，需使用上級(jí)服務(wù)器分配的授權(quán)，則點(diǎn)擊使用上級(jí)授權(quán).8）安裝檢查完成，點(diǎn)擊“安裝”進(jìn)行快速安裝部署；快速安裝的安裝完各組件之后，安裝程序會(huì)自動(dòng)運(yùn)行客戶端打包程序進(jìn)行客戶端安裝包的制作.其中可以自行設(shè)置中心服務(wù)器地址，指定客戶端的安裝目錄以及客戶端的安裝模式。總共可設(shè)置三種安裝模式，以普通模式安裝時(shí)會(huì)出現(xiàn)提示對話框，需由用戶進(jìn)行“確認(rèn)用戶許可”、“選擇安裝目錄”等操作；以自動(dòng)模式安裝時(shí)會(huì)出現(xiàn)安裝界面，但不需要用戶進(jìn)行任何操作，客戶端將自動(dòng)安裝至默認(rèn)目錄；以靜默模式安裝時(shí)，正常情況下客戶端安裝過程中不會(huì)有任何提示，客戶端將自動(dòng)安裝至默認(rèn)目錄，如果安裝的是帶防火墻模塊的客戶端則安裝完畢后會(huì)有重新啟動(dòng)計(jì)算機(jī)的提示。此外該打包程序還提供了多種選擇，用戶可靈活選擇客戶端安裝包是否包含802.1x交換機(jī)認(rèn)證模塊。說明：打包客戶端工具的使用以winrar軟件為前提，在安裝客戶端打包工具前請確保操作系統(tǒng)中已經(jīng)安裝有winrar軟件。制作客戶端包完成之后。關(guān)掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。此時(shí)快速安裝部署天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)已經(jīng)完成。安裝完成后，請先檢查%InstallFolder%\config\database目錄的安全屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者已賦予everyone用戶完全控制權(quán)限。然后請進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動(dòng)添加并運(yùn)行“ESCenterServer”服務(wù)，則表明中心服務(wù)器已經(jīng)安裝配置成功。在天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中心服務(wù)器的默認(rèn)安裝目錄C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目錄是天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的Web管理站點(diǎn)主目錄；Download目錄是下載服務(wù)的根目錄，用于存放天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端安裝包、系統(tǒng)補(bǔ)丁等相關(guān)的軟件。安裝程序會(huì)自動(dòng)創(chuàng)建一個(gè)虛擬主機(jī)“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)配置服務(wù)”，這個(gè)虛擬主機(jī)對應(yīng)上文所提到的“C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\config”目錄，對應(yīng)的TCP端口則為8833。注意：由于系統(tǒng)8833端口可能事先被占用等原因，可能會(huì)造成策略服務(wù)器安裝設(shè)置虛擬站點(diǎn)不成功，在這種情況下請手動(dòng)設(shè)置IIS，創(chuàng)建天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)配置服務(wù)虛擬站點(diǎn)：修改%InstallFolder%\config\database目錄的安全屬性，使該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者賦予everyone用戶完全控制權(quán)限。創(chuàng)建一個(gè)虛擬站點(diǎn)，作為web管理界面的入口。打開Internet服務(wù)管理器，右擊服務(wù)器名稱，點(diǎn)擊“新建Web站點(diǎn)”。根據(jù)提示進(jìn)行到“IP地址和端口設(shè)置”，將端口變?yōu)椤?833”，其他設(shè)置保存為默認(rèn)。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的Web管理端口默認(rèn)是8833，您也可以指定其他端口。當(dāng)您使用其它端口時(shí)，您需要在“服務(wù)器設(shè)置”中修改服務(wù)器的管理端口信息。在指定Web站點(diǎn)主目錄時(shí)將目錄設(shè)為%InstallFolder%\ESServer\config，并將“允許匿名訪問此Web站點(diǎn)”選項(xiàng)去除。完成后續(xù)的步驟完成虛擬站點(diǎn)配置。從服務(wù)控制器中啟動(dòng)ESCenterServerService，安裝配置中心Server完成。安裝成功后，請?jiān)跒g覽器輸入網(wǎng)址（如http://localhost:8833），進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)配置服務(wù)虛擬站點(diǎn)，進(jìn)行策略等相關(guān)設(shè)置，然后再安裝相應(yīng)的策略網(wǎng)關(guān)?；九渲冒惭b完中心服務(wù)器，需要添加管理網(wǎng)段和IP組，設(shè)置保護(hù)網(wǎng)絡(luò)的邊界。修改全局策略控制設(shè)置天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)服務(wù)器和客戶端的一些開關(guān)性質(zhì)的內(nèi)容和最基本的參數(shù)，此處的參數(shù)決定策略系統(tǒng)的運(yùn)行方式和后臺(tái)交互的頻度，以及全局范圍內(nèi)的默認(rèn)設(shè)置。說明：一般初步測試時(shí)，只需更改如下兩項(xiàng)的參數(shù)，其余參數(shù)可按需修改或保持默認(rèn)值?？蛻舳藛?dòng)后發(fā)送報(bào)表時(shí)間，如果本地客戶端檢查了對方客戶端，對方客戶端的信息在本地有一個(gè)緩存，此處指定的時(shí)間就是緩存的時(shí)間，單位為分鐘。緩存一過期，又要重新檢查遠(yuǎn)端的客戶端。這個(gè)時(shí)間也決定了客戶端最少多長時(shí)間向PrimaryServer發(fā)送一次報(bào)表（如果需要發(fā)送）。默認(rèn)時(shí)間為15分鐘。一般在測試中可設(shè)置為稍短的時(shí)間，例如2分鐘，這樣可盡快看到測試效果。安全防護(hù)相關(guān)設(shè)置，在訪問控制策略中，如果沒有指定操作類型，則以此處設(shè)定的操作類型為準(zhǔn)。添加策略服務(wù)器配置天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的第一步。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持分布式多服務(wù)器架構(gòu)。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)需要一個(gè)中心服務(wù)器，也只需一個(gè)中心服務(wù)器。同時(shí)也至少需要一個(gè)本地服務(wù)器，本地服務(wù)器可由中心服務(wù)器兼任。所以中心服務(wù)器同時(shí)也是一個(gè)本地服務(wù)器。當(dāng)您配置中心服務(wù)器時(shí)，同時(shí)也是在配置其兼任的本地服務(wù)器，請?jiān)谄洹爸行姆?wù)器IP地址”欄位上填寫自己的IP地址。（快速安裝模式和自定義安裝中心服務(wù)器都已經(jīng)默認(rèn)配置中心策略服務(wù)器的參數(shù)）添加管理網(wǎng)段配置天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的第二步。管理網(wǎng)段一般配置一個(gè)大的網(wǎng)段，包括一個(gè)企業(yè)園區(qū)，或一個(gè)辦公區(qū)域；管理網(wǎng)段可以包含很多小的網(wǎng)段，比如開發(fā)部的子網(wǎng)段等，這些小網(wǎng)段共享相同的本地服務(wù)器，下載服務(wù)器，補(bǔ)丁安裝策略。例如：0-52點(diǎn)擊管理網(wǎng)段設(shè)置，顯示所有的server，用戶選中一個(gè)server，進(jìn)入該server的管理網(wǎng)段的管理。先顯示這個(gè)server的所有的管理網(wǎng)段。權(quán)限：普通用戶只能修改自己所管理的管理網(wǎng)段的下載服務(wù)器信息，其他信息由全局管理員進(jìn)行配置。點(diǎn)擊添加可添加不同的管理網(wǎng)段。可以為不同的管理網(wǎng)段指定不同的下載服務(wù)器，默認(rèn)的下載服務(wù)器位于PrimaryServer上的HTTP://localserver:8833/download/。添加IP組IP是管理網(wǎng)段的一個(gè)子網(wǎng)段，天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的策略作用對象分別為IP地址和用戶，IP組是IP地址策略作用的最小單位。點(diǎn)擊“IP組”，用戶可選擇按照服務(wù)器及管理網(wǎng)段分類查看IP組。每個(gè)用戶可以添加IP組，修改、刪除自己所管理的IP組點(diǎn)擊“添加”，添加IP組。填入IP組的名稱和IP地址。選擇所屬的服務(wù)器和管理網(wǎng)段。排除的IP地址：填寫在IP地址段中不需要包含的IP地址。本IP組應(yīng)用的策略：通過查看及編輯按鈕進(jìn)行此IP組的相應(yīng)策略配置。若此IP組還沒有設(shè)置策略的話，則會(huì)在此處提示用戶“還沒有應(yīng)用策略”。認(rèn)證策略：選擇IP內(nèi)的CC是否啟用用戶登錄和可信MAC，U—M—I綁定策略。自定義安裝自定義安裝是可選擇地安裝服務(wù)器各組件。可分別選擇安裝各服務(wù)器組件的安裝程序，以便高級(jí)用戶單獨(dú)安裝一些服務(wù)組件或重裝維護(hù)一些服務(wù)器組件。自定義安裝中心服務(wù)器自定義安裝中心服務(wù)的安裝界面與快速安裝類似。有區(qū)別的是自定義安裝中心服務(wù)器可以根據(jù)需要其它組件安裝（注意：默認(rèn)自定義安裝中心服務(wù)器時(shí)，至少要安裝中心服務(wù)器和軟件分發(fā)服務(wù)器。具體操作可見上面的快速安裝。本地服務(wù)器的安裝配置點(diǎn)擊“安裝天珣本地服務(wù)器”進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)服務(wù)器的本地服務(wù)器安裝界面。本地服務(wù)器安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝“MDAC2.7或以上版本”,“IIS”和“DotNetFramework2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進(jìn)行下一步操作?？梢渣c(diǎn)擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。2）系統(tǒng)組件所用的SQLServer可以選擇連接到本機(jī)或者其它機(jī)器的SQLServer。如果您想將系統(tǒng)組件所用的SQLServer部署在本機(jī)。本機(jī)又沒有安裝SQLServer。您可以選擇方式安裝SQLServer。您也可以選擇點(diǎn)擊檢測界面SQLServer旁邊的“安裝”按鈕，運(yùn)行安裝光盤帶的里的SQLSERVER2005EXPRESS版本。（注意：SQLServerExpress2005是由微軟公司開發(fā)的SQLServer2005的縮減版，這個(gè)版本是免費(fèi)的，單個(gè)數(shù)據(jù)庫大小限制為4G）。3）安裝完SQLSERVER2005EXPRESS之后。安裝檢測程序會(huì)自動(dòng)開啟SQLServer的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫,天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)安裝程序是不會(huì)幫助SQLServer打開1433監(jiān)聽端口）。安裝過程中，系統(tǒng)會(huì)提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務(wù)器IP地址。1）指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務(wù)器IP地址3）根據(jù)需要其它組件安裝，可選擇的組件有：Radius服務(wù)器，策略網(wǎng)關(guān)代理服務(wù)器，告警及審計(jì)服務(wù)器，軟件分發(fā)服務(wù)器。4）安裝檢查完成。點(diǎn)擊安裝進(jìn)行安裝。（安裝完成之后。即完成自定義本地服務(wù)器安裝，如果需要的其它服務(wù)器或者網(wǎng)關(guān)，組件等未安裝。還可以再點(diǎn)擊進(jìn)入天珣策略系統(tǒng)網(wǎng)關(guān)或者天珣系統(tǒng)其它組件界面進(jìn)行安裝。）添加策略服務(wù)器配置天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的本地服務(wù)器。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持分布式多服務(wù)器架構(gòu)。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)需要一個(gè)中心服務(wù)器，也只需一個(gè)中心服務(wù)器。同時(shí)也至少需要一個(gè)本地服務(wù)器，本地服務(wù)器可由中心服務(wù)器兼任。所以中心服務(wù)器同時(shí)也是一個(gè)本地服務(wù)器。當(dāng)您配置中心服務(wù)器時(shí)，同時(shí)也是在配置其兼任的本地服務(wù)器，請?jiān)谄洹爸行姆?wù)器IP地址”欄位上填寫自己的IP地址。如需添加另外一個(gè)本地服務(wù)器。即填寫在管理頁面中添加本地服務(wù)器地址和中心服務(wù)器的地址。若不是大于1000點(diǎn)的用戶，一般使用默認(rèn)的使用中心服務(wù)器的數(shù)據(jù)庫連接參數(shù)。策略網(wǎng)關(guān)配置策略網(wǎng)關(guān)是系統(tǒng)及應(yīng)用準(zhǔn)入的準(zhǔn)入控制點(diǎn)，檢查訪問者的客戶端是否運(yùn)行，與客戶端配合強(qiáng)制用戶滿足策略。策略網(wǎng)關(guān)的配置主要包括添加策略網(wǎng)關(guān)代理、安裝中性策略網(wǎng)關(guān)或IIS/ISA/EXCHANGE策略網(wǎng)關(guān)、配置準(zhǔn)入控制的網(wǎng)段。添加策略網(wǎng)關(guān)代理策略網(wǎng)關(guān)代理代表一組策略網(wǎng)關(guān)，具有相同的管理功能，在策略配置時(shí)，將這一組策略網(wǎng)關(guān)作為一個(gè)管理對象來管理。建議提供網(wǎng)絡(luò)服務(wù)的服務(wù)器都安裝策略網(wǎng)關(guān)，以保護(hù)服務(wù)器的例如，WEB、EXCHANGE、ISA等服務(wù)，對訪問此服務(wù)的客戶端實(shí)施準(zhǔn)入控制，確保服務(wù)器的安全。安裝中性策略網(wǎng)關(guān)放入光盤，選擇安裝天珣系統(tǒng)策略網(wǎng)關(guān)，得到如下圖所示：策略網(wǎng)關(guān)代理可以安裝在中心服務(wù)器上，中性策略網(wǎng)關(guān)可以自定義保護(hù)的端口號(hào)，用于一些使用指定端口的應(yīng)用軟件，默認(rèn)保護(hù)80和8080端口。安裝完成后，中性策略網(wǎng)關(guān)配置程序啟動(dòng)進(jìn)行驅(qū)動(dòng)、端口檢查、可忽略檢查IP的配置。配置中性策略網(wǎng)關(guān)驅(qū)動(dòng)程序。首先安裝驅(qū)動(dòng)程序，當(dāng)驅(qū)動(dòng)程序已經(jīng)安裝時(shí)，“安裝驅(qū)動(dòng)”按鈕不可用。安裝完驅(qū)動(dòng)程序后，驅(qū)動(dòng)默認(rèn)對所有的網(wǎng)卡進(jìn)行監(jiān)控。如果運(yùn)行中性策略網(wǎng)關(guān)的機(jī)器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)卡選擇狀態(tài)改為不選中，然后點(diǎn)擊“應(yīng)用網(wǎng)絡(luò)配置”按鈕使配置生效。如果安裝驅(qū)動(dòng)后沒有顯示出監(jiān)控的網(wǎng)卡，請參考后面進(jìn)行驅(qū)動(dòng)的手工安裝配置。配置中性策略網(wǎng)關(guān)使用的策略網(wǎng)關(guān)代理地址、監(jiān)控TCP端口的范圍以及可忽略檢查的IP地址。程序默認(rèn)監(jiān)控80和8080端口。點(diǎn)擊保存，完成中性策略網(wǎng)關(guān)配置。注意：如果在網(wǎng)絡(luò)驅(qū)動(dòng)配置頁面成功安裝并設(shè)置了中性策略網(wǎng)關(guān)驅(qū)動(dòng)程序，就不再需要進(jìn)行手工驅(qū)動(dòng)安裝。但對于某些存在問題的系統(tǒng)，可能會(huì)出現(xiàn)安裝驅(qū)動(dòng)不成功的現(xiàn)象，此時(shí)需要手工安裝驅(qū)動(dòng)程序以發(fā)現(xiàn)錯(cuò)誤原因。如果安裝了錯(cuò)誤的驅(qū)動(dòng)，會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定或崩潰。驅(qū)動(dòng)安裝方法如下，打開本地連接的屬性，選擇安裝，再選擇服務(wù)，然后點(diǎn)添加。在選擇網(wǎng)絡(luò)服務(wù)對話框中，選擇“從磁盤安裝”,然后選擇中性策略網(wǎng)關(guān)目錄下的win2000或win2003子目錄中的netsf.inf文件（對Win2000，請安裝win2000子目錄下的驅(qū)動(dòng)程序，對Win2003安裝win2003子目錄下面的驅(qū)動(dòng)程序），選擇LPSGWIMDDriver組件，點(diǎn)擊確定開始安裝。安裝過程中可能會(huì)提示驅(qū)動(dòng)沒有經(jīng)過數(shù)字簽名認(rèn)證，選擇繼續(xù)安裝，直到安裝完成。安裝完成后，在本地連接的屬性中可看到LPSGWIMDDriver。如果運(yùn)行中性策略網(wǎng)關(guān)的機(jī)器上有多塊網(wǎng)卡，需要將不直接與客戶端通訊的網(wǎng)絡(luò)連接上的LPSGWIMDDriver選擇狀態(tài)改為不選中——即不使用LPSGWIMD組件。安裝完成后，請進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動(dòng)添加并運(yùn)行“GatewayPluginService”服務(wù)，則表明中性策略網(wǎng)關(guān)已經(jīng)安裝配置成功。添加準(zhǔn)入控制的IP組通過添加策略網(wǎng)關(guān)準(zhǔn)入控制的網(wǎng)段，確定對哪些訪問者進(jìn)行狀態(tài)檢查。進(jìn)入“準(zhǔn)入控制—>應(yīng)用準(zhǔn)入”，點(diǎn)擊“準(zhǔn)入控制的網(wǎng)段”從已配置的策略網(wǎng)關(guān)代理中選擇想配置的項(xiàng)目，然后為對應(yīng)的策略網(wǎng)關(guān)添加、刪除其“需要檢查的IP組”，這些IP組可以有多個(gè)。該IP組中不滿足安全基線的客戶端，訪問策略網(wǎng)關(guān)所在的服務(wù)時(shí)將會(huì)被拒絕。若不同的策略網(wǎng)關(guān)需要檢查不同的IP組，可以安裝多個(gè)策略網(wǎng)關(guān)代理，并對不同的策略網(wǎng)關(guān)代理設(shè)定不同的檢查的IP組。通過應(yīng)用準(zhǔn)入，強(qiáng)制用戶安裝客戶端當(dāng)所選定的IP組中的機(jī)器訪問安裝了策略網(wǎng)關(guān)的服務(wù)器時(shí)，會(huì)強(qiáng)制終端用戶安裝客戶端。如下圖所示：點(diǎn)擊安裝程序，完成后。將不會(huì)出現(xiàn)該提示提示。以上提示信息，在“準(zhǔn)入控制—系統(tǒng)及應(yīng)用準(zhǔn)入—策略網(wǎng)關(guān)”提示中設(shè)置,也可以選中”啟用”以啟用個(gè)性化提示頁面，該情況僅僅需要在提示頁面url中輸入需要提示的url即可。提示：再配置并啟用應(yīng)用準(zhǔn)入進(jìn)行客戶端分發(fā)和安裝前，需要將位于：C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\CCClient\Output\下的ClientSetup.exe客戶端安裝包，復(fù)制一份到：C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\Download目錄下面，當(dāng)應(yīng)用準(zhǔn)入生效后，沒有安裝客戶端的用戶，可以通過上面的提示信息自助安裝客戶端。即時(shí)更新策略網(wǎng)關(guān)策略在默認(rèn)的情況下，策略網(wǎng)關(guān)代理在每次啟動(dòng)時(shí)會(huì)更新策略，或在運(yùn)行24小時(shí)后自動(dòng)更新策略，策略網(wǎng)關(guān)代理獲取新的策略后會(huì)自動(dòng)將新策略下發(fā)到策略網(wǎng)關(guān)。但有時(shí)需要策略網(wǎng)關(guān)即時(shí)更新策略，比如管理員修改了策略網(wǎng)關(guān)控制的網(wǎng)段，或策略版本進(jìn)行了升級(jí)，需要強(qiáng)制客戶端即時(shí)生效，就需要即時(shí)更新策略網(wǎng)關(guān)策略。選擇服務(wù)器，然后選擇該服務(wù)器上的策略網(wǎng)關(guān)代理，點(diǎn)擊“更新策略網(wǎng)關(guān)策略”，系統(tǒng)先將所選的服務(wù)器與中心服務(wù)器進(jìn)行同步，然后更新所選的策略網(wǎng)關(guān)代理及所屬策略網(wǎng)關(guān)策略。遠(yuǎn)程桌面的系統(tǒng)配置安裝添加遠(yuǎn)程桌面服務(wù)器安裝天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中心服務(wù)器時(shí)，一般已集成安裝了按需支援遠(yuǎn)程桌面服務(wù)器。系統(tǒng)默認(rèn)全部管理網(wǎng)段的CC都開啟按需支援服務(wù)功能。這樣需要援助的用戶就可以通過服務(wù)器獲取在線管理員的列表。如果需要添加多個(gè)遠(yuǎn)程桌面管理員需要做如下步驟：在策略服務(wù)器操作系統(tǒng)中添加相應(yīng)的管理員；將該管理員加入策略系統(tǒng)的“管理員設(shè)置”中，并分配應(yīng)有的權(quán)限；添加管理員組，并管理相關(guān)管理員。在“遠(yuǎn)程桌面”服務(wù)中添加遠(yuǎn)程桌面服務(wù)器并關(guān)聯(lián)相應(yīng)網(wǎng)段。詳細(xì)配置步驟與方法請參見《天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)用戶手冊》添加遠(yuǎn)程桌面管理員如果是中心服務(wù)器安裝模式采用三權(quán)分立時(shí)。點(diǎn)擊“基本配置”“按需支持操作員”選項(xiàng)，添加遠(yuǎn)程桌面管理員。如果中心服務(wù)器安裝模式采用的是windows集成認(rèn)證式時(shí),添加用戶之后需在服務(wù)器系統(tǒng)帳戶中添加相應(yīng)的用戶。安裝按需支援管理員端程序遠(yuǎn)程桌面管理員需要安裝一個(gè)遠(yuǎn)程桌面管理員端，標(biāo)明自己在線，隨時(shí)可為用戶提供援助。將天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。請點(diǎn)擊“安裝天珣系統(tǒng)其它組件”。進(jìn)入安裝界面，選擇“安裝按需支援管理員端”安裝成功后，管理員輸入登錄ID和密碼登錄，標(biāo)明自己在線可為用戶提供幫助。然后登錄輸入管理用戶帳號(hào)和密碼，即可完成登錄遠(yuǎn)程幫助服務(wù)器。說明：管理員登錄遠(yuǎn)程桌面管理員端后，初始狀態(tài)為在線，系統(tǒng)并未檢查其處于空閑狀態(tài)，但一般用戶可以請求該管理員進(jìn)行遠(yuǎn)程協(xié)助。用戶請求管理員遠(yuǎn)程幫助用戶可右擊天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端的圖標(biāo)，選擇HelpOnDemand（按需支援），即可列出在線管理員列表，用戶雙擊其中任意一個(gè)狀態(tài)為空閑或