某公司內網安全風險管理與審計系統(tǒng)

天珣內網安全風險管理與審計系統(tǒng)安裝配置手冊（V）啟明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月天珣內網安全風險管理與審計系統(tǒng)V 安裝配置手冊版權聲明北京啟明星辰信息安全技術有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外，其著作權或其他相關權利均屬于北京啟明星辰信息安全技術有限公司。未經北京啟明星辰信息安全技術有限公司書面同意，任何人不得以任何方式或形式對本手冊內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途。“天珣”為北京啟明星辰信息安全技術有限公司的注冊商標，不得侵犯。免責條款本文檔依據現(xiàn)有信息制作，其內容如有更改，恕不另行通知。北京啟明星辰信息安全技術有限公司在編寫該文檔的時候已盡最大努力保證其內容準確可靠，但北京啟明星辰信息安全技術有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。目 錄版權聲明1免責條款1信息反饋11綜述42安裝環(huán)境及要求43.天珣內網安全風險管理與審計系統(tǒng)主要組件介紹63.1.服務器組件63.1.1.中心策略服務器63.1.2.本地策略服務器63.1.3.資產管理服務器63.1.4.Radius服務器63.1.5.攻擊告警服務器73.1.6.軟件分發(fā)服務器73.1.7.HOD遠程桌面服務器73.2.策略網關組件73.2.1.策略網關代理73.2.2.中性策略網關83.2.3.IIS策略網關83.2.4.ISA策略網關83.2.5.EXCHANGE策略網關83.2.6.DNS策略網關及旁路監(jiān)聽式DNS策略網關83.2.7.客戶端93.2.8.按需支援管理端93.2.9.客戶端打包程序94.天珣內網安全風險管理與審計系統(tǒng)的安裝94.1.快速安裝104.1.1快速安裝部署104.1.2基本配置274.2.自定義安裝324.2.1自定義安裝中心服務器324.3.本地服務器的安裝配置334.3.1添加策略服務器384.4.策略網關配置384.4.1添加策略網關代理394.4.2安裝中性策略網關394.5.遠程桌面的系統(tǒng)配置464.5.1安裝添加遠程桌面服務器464.5.2添加遠程桌面管理員464.5.3安裝按需支援管理員端程序474.5.4用戶請求管理員遠程幫助494.6.軟件分發(fā)安裝與配置494.6.1安裝軟件分發(fā)服務器494.6.2配置軟件分發(fā)504.7.安裝資產服務器514.8.安裝告警服務器524.9.安裝RADIUS服務器534.10客戶端的打包及分發(fā)541 綜述天珣內網安全風險管理與審計系統(tǒng)的集端點主動安全防護和桌面管理于一身，具有世界領先水平的產品體系架構，從根本上解決了客戶端從蠕蟲病毒的主動防御、可靠的補丁管理、非授權訪問控制、端點準入控制、桌面運行環(huán)境的標準化和自動化管理等一系列問題，幫助用戶創(chuàng)建高可靠、高可用和高安全級別的可信任網絡環(huán)境。 天珣內網安全風險管理與審計系統(tǒng)架構如下圖所示。主要由策略服務器、天珣客戶端、策略網關組成。策略服務器包括中心服務器、本地服務器、補丁分發(fā)服務器、radius服務器、告警服務器等組件，所有功能服務器集中管理，組件可根據具體情況增減。數(shù)據庫采用SQL SERVER，統(tǒng)一管理報警日志及審計等數(shù)據。2 安裝環(huán)境及要求客戶端（Clients） 計算機沒有很高的系統(tǒng)要求。客戶端軟件(也被稱CC)可以被安裝在Windows 系統(tǒng)之上，包括 Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7 數(shù)據庫支持32位 Microsoft SQL Server 2000，32/64位 Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服務器（Server） 是整個策略架構的管理中心、策略中心。必須運行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平臺上。中心服務器通過web方式管理，要求安裝IIS服務器。其對硬件要求的高低應根據所管理的客戶端數(shù)量的多少來定，其中，服務器安裝要求的最低配置如下：硬件：CPUPIII 1G或以上Memory1G或以上硬盤40G空閑軟件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心服務器、攻擊告警服務器需要安裝SQL Server數(shù)據庫，可根據現(xiàn)場環(huán)境選擇獨立安裝或集中安裝于中心服務器，若安裝于中心服務器，請確保中心服務器有足夠的內存和硬盤空間。策略網關代理(Plug-in Proxy)：管理所有關聯(lián)的策略網關，策略網關代理從Local Server上取插件策略。當策略網關激活時，策略網關代理將策略發(fā)送給各個關聯(lián)的策略網關。策略網關代理的主要作用在于可以將安裝在多個應用服務器上的有相同插件策略的插件策略網關交給同一個策略網關代理管理，從而簡化管理員的配置；同時，各個插件策略網關可相互共享CC的狀態(tài)，如CC1在插件1上通過了認證，那么通過插件2訪問時就無需第2次認證，提高系統(tǒng)性能。IIS策略網關、ISA策略網關、Exchange策略網關以及中性策略網關：策略檢查點（checkpoint），與CC配合強制用戶滿足策略。策略網關從關聯(lián)的策略網關代理上取插件策略。3. 天珣內網安全風險管理與審計系統(tǒng)主要組件介紹天珣內網安全風險管理與審計系統(tǒng)為CSC架構，即天珣客戶端（Clients）、策略服務器（Server）、策略網關（Check Point）。3.1. 服務器組件3.1.1. 中心策略服務器所有策略集中存放的地方，系統(tǒng)中唯一的Web管理控制臺也與中心服務器集成在一起。管理員從Web管理控制臺登錄到Center Server，進行策略配置，報表查詢。Center Server同時兼作一個Local Server。3.1.2. 本地策略服務器本地策略服務器是客戶端日常取策略的地方，也是客戶端發(fā)送報表的目的地。本地策略服務器從Center Server同步得到策略。設置本地策略服務器的目的是為了適應企業(yè)大區(qū)域的分布式分級管理架構。本地策略服務器從中心策略服務器獲取策略，客戶端直接與本地策略服務器通訊。3.1.3. Radius服務器Radius服務器是天珣內網安全風險管理與審計系統(tǒng)網絡準入的必須組件。結合各類LDAP認證，使用802.1x協(xié)議或EOU協(xié)議在交換機網絡端口實施網絡準入認證，確保只有通過認證的客戶端接入并訪問網絡。3.1.4. 攻擊告警服務器攻擊告警服務器兼作為攻擊日志告警服務器和終端審計日志服務器，收集由客戶端發(fā)來的攻擊告警信息和終端審計信息。并在中心服務器管理界面，可進行統(tǒng)計和分類查詢。3.1.5. 軟件分發(fā)服務器通過軟件分發(fā)服務器可建立軟件安裝包，可根據目標地址或地址段、指定時間段分發(fā)軟件包或自定義文件。3.1.6. HOD遠程桌面服務器HOD遠程桌面服務器用于記錄在線的遠程桌面管理員的相關信息，為其關聯(lián)管理網段后，管理網段內的用戶就可使用客戶端集成的遠程桌面客戶端，向在線管理員發(fā)起遠程桌面幫助請求。3.2. 策略網關組件作為系統(tǒng)及應用準入的準入控制點，檢查訪問者的客戶端運行狀態(tài)，與客戶端配合強制用戶滿足策略。策略網關從策略網關代理上取策略網關策略。有時策略網關策略又叫插件策略。策略網關分為中性策略網關和IIS、ISA Proxy、Email、DNS等插件策略網關。3.2.1. 策略網關代理策略網關的管理者。所有的策略網關都直接連接到策略網關代理，從策略網關代理獲取策略，接受管理。而策略網關代理直接指向策略服務器，并從策略服務器獲取策略。連接到同一個策略網關代理的所有策略網關使用相同的策略。設置策略網關代理這個角色的目的是簡化策略網關的配置，因為有時一個企業(yè)需要安裝多個策略網關，而每個策略網關的策略相同。3.2.2. 中性策略網關中性策略網關，也叫做中性插件，是安裝在任意的X32位的Windows 2000 /2003/2008服務器或Linux的服務器上，執(zhí)行應用準入控制，它與安裝的服務器操作系統(tǒng)有關，而與該服務器運行何種應用無關。當終端訪問到該服務器，都需要進行安全基線檢查，若不符合安全策略，將被拒絕訪問該服務器，并給出提示信息（只有基于http訪問，才能正確提示）。其中安全基線包括是否安裝客戶端軟件、安裝客戶端軟件的終端是否達到安全策略要求。3.2.3. IIS策略網關部署在IIS服務器上，對所有訪問該WEB服務器的終端實施應用準入控制，檢查終端是否符合安全策略，若不符合策略，則拒絕訪問，并給出提示信息。3.2.4. ISA策略網關對所有通過ISA服務器上網的終端，實施應用準入控制，若不符合安全策略，則不允許終端通過ISA訪問INTERNET，并給出提示信息。3.2.5. EXCHANGE策略網關部署在Exchange郵件服務器上，對訪問EXCHANGE郵件服務器的終端實施應用準入控制，檢查客戶端是否符合安全策略。對于不符合安全策略的終端，Exchange策略網關將阻斷其郵件服務，并給出提示信息。（只支持EXCHANGE 2003郵件服務器）3.2.6. DNS策略網關及旁路監(jiān)聽式DNS策略網關普通DNS策略網關部署在DNS服務器上，對需要進行DNS域名解析的終端實施準入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，DNS策略網關將阻斷其DNS請求，并給出提示信息。如果是旁路監(jiān)聽式DNS策略網關，則可部署在DNS服務器上也可部署在互聯(lián)網出口的某臺服務器上對所有DNS請求進行監(jiān)聽。如果是在DNS服務器上，那么功能與傳統(tǒng)DNS策略網關相同，如果不是，那么旁聽式的DNS網關必須安裝在鏈接互聯(lián)網出口交換機上的某臺交換機上，對這臺交換機上的其他端口的DNS請求進行鏡像，并在旁聽式DNS網關的端口上進行監(jiān)聽，對需要進行DNS解析的終端實施準入控制，檢查終端是否符合安全策略，對于不符合安全策略的終端，旁聽式DNS策略網關將阻斷其DNS請求，并給出提示信息。3.2.7. 客戶端每臺終端都必須安裝客戶端（CC）。客戶端是安裝在每個被策略管理的用戶的電腦上的代理程序。執(zhí)行企業(yè)策略，安全基線檢查，客戶端準入控制，訪問控制，主動安全防御，資產管理，遠程幫助，軟件分發(fā)，移動存儲認證和控制，終端行為審計終端相關功能。從本地策略服務器上取策略，向本地策略服務器發(fā)送報表，當用戶不滿足策略時，向用戶提示相關信息。3.2.8. 按需支援管理端如果安裝了按需支援（HOD）的遠程桌面服務器，需要在承擔遠程支持服務的管理員電腦上安裝按需支援管理端軟件。安裝完成后，如果有終端用戶發(fā)來遠程支持請求，遠程支持管理員就可以收到請求信息，并直接進行遠程協(xié)助。3.2.9. 客戶端打包程序客戶端代理軟件的打包程序?？蛻舳舜虬绦驅⒑椭行姆掌饕黄鸢惭b。打包程序將服務器IP地址、指定安裝目錄、是否靜默安裝、是否采用網絡準入等參數(shù)與安裝程序打包成可執(zhí)行文件。4. 天珣內網安全風險管理與審計系統(tǒng)的安裝安裝部署共有兩種安裝選項：快速安裝和自定義安裝。運行Autorun.exe后出現(xiàn)以下主安裝界面。4.1. 快速安裝快速安裝默認安裝服務器的以下組件：中心策略服務器、中心同步服務器、天珣服務狀態(tài)監(jiān)控服務、遠程桌面服務器、攻擊告警服務器、RADIUS服務器、策略網關代理服務器、中性策略網關、DNS策略網關、軟件分發(fā)服務器、客戶端打包程序，服務器卸載工具。快速安裝選項的目的是一次安裝所有服務器相關的組件及DNS準入控制組件，如果部署在網絡出口，則可利用DNS準入達到即插即用的效果。對中小應用環(huán)境，我們的方案首推這種即插即用的部署。4.1.1 快速安裝部署1 快速安裝。將天珣內網安全風險管理與審計系統(tǒng)安裝光盤放入光驅，可直接進入安裝選擇界面。請點擊“快速安裝” 。2 進入天珣內網安全風險管理與審計系統(tǒng)服務器的快速安裝界面。3 安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進行下一步操作?？梢渣c擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。 2）系統(tǒng)組件所用的SQL Server 可以選擇連接到本機或者其它機器的SQL Server。如果您想將系統(tǒng)組件所用的SQL Server部署在本機，本機又沒有安裝SQL Server。您可以選擇安裝SQL Server。您也可以選擇點擊檢測界面SQL Server旁邊的“安裝”按鈕，運行安裝光盤帶的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微軟公司開發(fā)的 SQL Server 2005的縮減版，這個版本是免費的，單個數(shù)據庫大小限制為4G）。進行解壓縮，壓縮完成后將如下圖：點擊下一步，進行組件的配置配置完成請點擊next,進行數(shù)據庫的安裝：點擊下一步，可以看到配置組件成功，繼而就可以安裝數(shù)據庫了。輸入用戶名和公司名，再點擊下一步：注意：為安裝的方便，請將數(shù)據庫所有的組件均選中，進行完全的安裝，數(shù)據庫建議使用6g的磁盤空間，所以請選擇適當?shù)拇疟P。選擇認證模式為混合模式，并輸入密碼，點擊下一步；選擇模式設置，點擊下一步；點擊安裝并等待安裝完畢。配置SQL SERVER數(shù)據庫1、打開SQL數(shù)據庫配置管理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip協(xié)議為tcp1433（當然也可以更改端口）如下：雙擊，彈出下圖，配置如下圖：Enabled選項默認為“No”，修改為“Yes”。注意：ip地址為安裝數(shù)據庫的實際ip地址，TCP Port請?zhí)顚憽?433”。點擊應用并重新啟動sql數(shù)據庫的服務如下圖： 安裝完SQL SERVER2005 EXPRESS之后。安裝檢測程序會自動開啟SQL Server 的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經安裝SQL數(shù)據庫, 天珣內網安全風險管理與審計安裝程序是不會幫助SQL Server 打開1433監(jiān)聽端口）。4 安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務器IP地址、初始管理網段地址等信息。1）指定服務器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務器IP地址,預置為當前服務器已連通網卡的地址，管理控制臺默認端口為8833，請確保8833端口未被其他應用占用；3）設置中心服務器中初始管理網段地址，預置是當前選擇網卡地址的子網網段；4）選擇使用管理模式；5）設置所用的SQL Server 的連接的參數(shù)；6）填寫創(chuàng)建數(shù)據庫的用戶的帳號。預置用戶名是tx_user ,密碼是 !QAZWSX#EDC$RF1qaz2wsx3edc4rf7）安裝程序將提示您選擇授權文件License.dat的路徑。License.dat文件請與啟明星辰聯(lián)系獲取最新的授權文件。點擊“瀏覽”選擇受權文件的路徑，選擇有效的授權文件如果服務,若沒有授權，需使用上級服務器分配的授權，則點擊使用上級授權.8）安裝檢查完成，點擊“安裝”進行快速安裝部署；5 快速安裝的安裝完各組件之后，安裝程序會自動運行客戶端打包程序進行客戶端安裝包的制作. 其中可以自行設置中心服務器地址，指定客戶端的安裝目錄以及客戶端的安裝模式?？偣部稍O置三種安裝模式，以普通模式安裝時會出現(xiàn)提示對話框，需由用戶進行“確認用戶許可” 、“選擇安裝目錄”等操作；以自動模式安裝時會出現(xiàn)安裝界面，但不需要用戶進行任何操作，客戶端將自動安裝至默認目錄；以靜默模式安裝時，正常情況下客戶端安裝過程中不會有任何提示，客戶端將自動安裝至默認目錄，如果安裝的是帶防火墻模塊的客戶端則安裝完畢后會有重新啟動計算機的提示。此外該打包程序還提供了多種選擇，用戶可靈活選擇客戶端安裝包是否包含802.1x交換機認證模塊。說明：打包客戶端工具的使用以winrar軟件為前提，在安裝客戶端打包工具前請確保操作系統(tǒng)中已經安裝有winrar軟件。制作客戶端包完成之后。關掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。此時快速安裝部署天珣內網安全風險管理與審計系統(tǒng)已經完成。6 安裝完成后，請先檢查%InstallFolder%configdatabase目錄的安全屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者已賦予everyone用戶完全控制權限。然后請進入服務控制器，若系統(tǒng)已經自動添加并運行“ES Center Server”服務，則表明中心服務器已經安裝配置成功。7 在天珣內網安全風險管理與審計系統(tǒng)中心服務器的默認安裝目錄C:Program FilesVenustechEndpoint SecurityESServer中，Config目錄是天珣內網安全風險管理與審計系統(tǒng)的Web管理站點主目錄；Download目錄是下載服務的根目錄，用于存放天珣內網安全風險管理與審計系統(tǒng)客戶端安裝包、系統(tǒng)補丁等相關的軟件。8 安裝程序會自動創(chuàng)建一個虛擬主機“天珣內網安全風險管理與審計系統(tǒng)配置服務”，這個虛擬主機對應上文所提到的“C:Program FilesVenustechEndpoint SecurityESServerconfig”目錄，對應的TCP端口則為8833。注意：由于系統(tǒng)8833端口可能事先被占用等原因，可能會造成策略服務器安裝設置虛擬站點不成功，在這種情況下請手動設置IIS，創(chuàng)建天珣內網安全風險管理與審計系統(tǒng)配置服務虛擬站點：1) 修改%InstallFolder%configdatabase目錄的安全屬性，使該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者賦予everyone用戶完全控制權限。2) 創(chuàng)建一個虛擬站點，作為web管理界面的入口。l 打開Internet服務管理器，右擊服務器名稱，點擊“新建Web站點”。l 根據提示進行到“IP地址和端口設置”，將端口變?yōu)椤?833”，其他設置保存為默認。天珣內網安全風險管理與審計系統(tǒng)的Web管理端口默認是8833，您也可以指定其他端口。當您使用其它端口時，您需要在“服務器設置”中修改服務器的管理端口信息。l 在指定Web站點主目錄時將目錄設為%InstallFolder% ESServer config，并將“允許匿名訪問此Web站點”選項去除。l 完成后續(xù)的步驟完成虛擬站點配置。l 從服務控制器中啟動ES Center Server Service，安裝配置中心Server完成。 安裝成功后，請在瀏覽器輸入網址（如http:/localhost:8833），進入天珣內網安全風險管理與審計系統(tǒng)配置服務虛擬站點，進行策略等相關設置，然后再安裝相應的策略網關。4.1.2 基本配置安裝完中心服務器，需要添加管理網段和IP組，設置保護網絡的邊界。4.1 2.1. 修改全局策略控制設置天珣內網安全風險管理與審計系統(tǒng)服務器和客戶端的一些開關性質的內容和最基本的參數(shù)，此處的參數(shù)決定策略系統(tǒng)的運行方式和后臺交互的頻度，以及全局范圍內的默認設置。說明：一般初步測試時，只需更改如下兩項的參數(shù)，其余參數(shù)可按需修改或保持默認值。客戶端啟動后發(fā)送報表時間，如果本地客戶端檢查了對方客戶端，對方客戶端的信息在本地有一個緩存，此處指定的時間就是緩存的時間，單位為分鐘。緩存一過期，又要重新檢查遠端的客戶端。這個時間也決定了客戶端最少多長時間向Primary Server發(fā)送一次報表（如果需要發(fā)送）。默認時間為15分鐘。一般在測試中可設置為稍短的時間，例如2分鐘，這樣可盡快看到測試效果。安全防護相關設置，在訪問控制策略中，如果沒有指定操作類型，則以此處設定的操作類型為準。4.1 2.2. 添加策略服務器 配置天珣內網安全風險管理與審計系統(tǒng)的第一步。天珣內網安全風險管理與審計系統(tǒng)支持分布式多服務器架構。天珣內網安全風險管理與審計系統(tǒng)需要一個中心服務器，也只需一個中心服務器。同時也至少需要一個本地服務器，本地服務器可由中心服務器兼任。所以中心服務器同時也是一個本地服務器。當您配置中心服務器時，同時也是在配置其兼任的本地服務器，請在其“中心服務器IP地址”欄位上填寫自己的IP地址。（快速安裝模式和自定義安裝中心服務器都已經默認配置中心策略服務器的參數(shù)）4.1 2.3. 添加管理網段 配置天珣內網安全風險管理與審計系統(tǒng)的第二步。管理網段一般配置一個大的網段，包括一個企業(yè)園區(qū)，或一個辦公區(qū)域；管理網段可以包含很多小的網段，比如開發(fā)部的子網段等，這些小網段共享相同的本地服務器，下載服務器，補丁安裝策略。例如：0-52點擊管理網段設置，顯示所有的server，用戶選中一個server，進入該server的管理網段的管理。先顯示這個server的所有的管理網段。權限：普通用戶只能修改自己所管理的管理網段的下載服務器信息，其他信息由全局管理員進行配置。點擊添加可添加不同的管理網段。可以為不同的管理網段指定不同的下載服務器，默認的下載服務器位于Primary Server上的HTTP :/localserver:8833/download/。4.1 2.4. 添加IP組IP是管理網段的一個子網段，天珣內網安全風險管理與審計系統(tǒng)的策略作用對象分別為IP地址和用戶，IP組是IP地址策略作用的最小單位。點擊“IP組”，用戶可選擇按照服務器及管理網段分類查看IP組。每個用戶可以添加IP組，修改、刪除自己所管理的IP組點擊“添加”，添加IP組。填入IP組的名稱和IP地址。選擇所屬的服務器和管理網段。排除的IP地址：填寫在IP地址段中不需要包含的IP地址。本IP組應用的策略：通過查看及編輯按鈕進行此IP組的相應策略配置。若此IP組還沒有設置策略的話，則會在此處提示用戶“還沒有應用策略”。認證策略：選擇IP內的CC是否啟用用戶登錄和可信MAC，UMI綁定策略。4.2. 自定義安裝自定義安裝是可選擇地安裝服務器各組件。可分別選擇安裝各服務器組件的安裝程序，以便高級用戶單獨安裝一些服務組件或重裝維護一些服務器組件。4.2.1 自定義安裝中心服務器自定義安裝中心服務的安裝界面與快速安裝類似。有區(qū)別的是自定義安裝中心服務器可以根據需要其它組件安裝（注意：默認自定義安裝中心服務器時，至少要安裝中心服務器和軟件分發(fā)服務器。具體操作可見上面的快速安裝。4.3. 本地服務器的安裝配置1 點擊“安裝天珣本地服務器”進入天珣內網安全風險管理與審計系統(tǒng)服務器的本地服務器安裝界面。2 本地服務器安裝程序檢測系統(tǒng)環(huán)境。1）系統(tǒng)必須安裝 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系統(tǒng)還未安裝上述的系統(tǒng)組件。則不能進行下一步操作?？梢渣c擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。 2）系統(tǒng)組件所用的SQL Server 可以選擇連接到本機或者其它機器的SQL Server。如果您想將系統(tǒng)組件所用的SQL Server部署在本機。本機又沒有安裝SQL Server。您可以選擇方式安裝SQL Server。您也可以選擇點擊檢測界面SQL Server旁邊的“安裝”按鈕，運行安裝光盤帶的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微軟公司開發(fā)的 SQL Server 2005的縮減版，這個版本是免費的，單個數(shù)據庫大小限制為4G）。3）安裝完SQL SERVER2005 EXPRESS之后。安裝檢測程序會自動開啟SQL Server 的1433監(jiān)聽端口。（注意：如果系統(tǒng)已經安裝SQL數(shù)據庫, 天珣內網安全風險管理與審計安裝程序是不會幫助SQL Server 打開1433監(jiān)聽端口）。 3 安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要管理員指定中心服務器IP地址。1）指定服務器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G2）指定中心服務器IP地址3 ）根據需要其它組件安裝，可選擇的組件有：Radius服務器，策略網關代理服務器，告警及審計服務器，軟件分發(fā)服務器。4）安裝檢查完成。點擊安裝進行安裝。（安裝完成之后。即完成自定義本地服務器安裝，如果需要的其它服務器或者網關，組件等未安裝。還可以再點擊進入天珣策略系統(tǒng)網關或者天珣系統(tǒng)其它組件界面進行安裝。）4.3.1 添加策略服務器 配置天珣內網安全風險管理與審計系統(tǒng)的本地服務器。天珣內網安全風險管理與審計系統(tǒng)支持分布式多服務器架構。天珣內網安全風險管理與審計系統(tǒng)需要一個中心服務器，也只需一個中心服務器。同時也至少需要一個本地服務器，本地服務器可由中心服務器兼任。所以中心服務器同時也是一個本地服務器。當您配置中心服務器時，同時也是在配置其兼任的本地服務器，請在其“中心服務器IP地址”欄位上填寫自己的IP地址。如需添加另外一個本地服務器。即填寫在管理頁面中添加本地服務器地址和中心服務器的地址。若不是大于1000點的用戶，一般使用默認的使用中心服務器的數(shù)據庫連接參數(shù)。4.4. 策略網關配置策略網關是系統(tǒng)及應用準入的準入控制點，檢查訪問者的客戶端是否運行，與客戶端配合強制用戶滿足策略。策略網關的配置主要包括添加策略網關代理、安裝中性策略網關或IIS/ISA/EXCHANGE策略網關、配置準入控制的網段。4.4.1 添加策略網關代理策略網關代理代表一組策略網關，具有相同的管理功能，在策略配置時，將這一組策略網關作為一個管理對象來管理。建議提供網絡服務的服務器都安裝策略網關，以保護服務器的例如，WEB、EXCHANGE、ISA等服務，對訪問此服務的客戶端實施準入控制，確保服務器的安全。4.4.2 安裝中性策略網關放入光盤，選擇安裝天珣系統(tǒng)策略網關，得到如下圖所示：策略網關代理可以安裝在中心服務器上，中性策略網關可以自定義保護的端口號，用于一些使用指定端口的應用軟件，默認保護80和8080端口。安裝完成后，中性策略網關配置程序啟動進行驅動、端口檢查、可忽略檢查IP的配置。配置中性策略網關驅動程序。首先安裝驅動程序，當驅動程序已經安裝時，“安裝驅動”按鈕不可用。安裝完驅動程序后，驅動默認對所有的網卡進行監(jiān)控。如果運行中性策略網關的機器上有多塊網卡，需要將不直接與客戶端通訊的網卡選擇狀態(tài)改為不選中，然后點擊“應用網絡配置”按鈕使配置生效。如果安裝驅動后沒有顯示出監(jiān)控的網卡，請參考后面進行驅動的手工安裝配置。配置中性策略網關使用的策略網關代理地址、監(jiān)控TCP端口的范圍以及可忽略檢查的IP地址。程序默認監(jiān)控80和8080端口。點擊保存，完成中性策略網關配置。注意：如果在網絡驅動配置頁面成功安裝并設置了中性策略網關驅動程序，就不再需要進行手工驅動安裝。但對于某些存在問題的系統(tǒng)，可能會出現(xiàn)安裝驅動不成功的現(xiàn)象，此時需要手工安裝驅動程序以發(fā)現(xiàn)錯誤原因。如果安裝了錯誤的驅動，會導致系統(tǒng)不穩(wěn)定或崩潰。驅動安裝方法如下，打開本地連接的屬性，選擇安裝，再選擇服務，然后點添加。在選擇網絡服務對話框中，選擇“從磁盤安裝”,然后選擇中性策略網關目錄下的win2000或win2003子目錄中的netsf.inf文件（對Win2000，請安裝win2000子目錄下的驅動程序，對Win2003安裝win2003子目錄下面的驅動程序），選擇LPSGWIMD Driver組件，點擊確定開始安裝。安裝過程中可能會提示驅動沒有經過數(shù)字簽名認證，選擇繼續(xù)安裝，直到安裝完成。安裝完成后，在本地連接的屬性中可看到LPSGWIMD Driver。如果運行中性策略網關的機器上有多塊網卡，需要將不直接與客戶端通訊的網絡連接上的LPSGWIMD Driver選擇狀態(tài)改為不選中即不使用LPSGWIMD組件。安裝完成后，請進入服務控制器，若系統(tǒng)已經自動添加并運行“GatewayPlugin Service”服務，則表明中性策略網關已經安裝配置成功。 添加準入控制的IP組通過添加策略網關準入控制的網段，確定對哪些訪問者進行狀態(tài)檢查。進入“準入控制應用準入”，點擊“準入控制的網段”從已配置的策略網關代理中選擇想配置的項目，然后為對應的策略網關添加、刪除其“需要檢查的IP組”，這些IP組可以有多個。該IP組中不滿足安全基線的客戶端，訪問策略網關所在的服務時將會被拒絕。若不同的策略網關需要檢查不同的IP組，可以安裝多個策略網關代理，并對不同的策略網關代理設定不同的檢查的IP組。 通過應用準入，強制用戶安裝客戶端當所選定的IP組中的機器訪問安裝了策略網關的服務器時，會強制終端用戶安裝客戶端。如下圖所示：點擊安裝程序，完成后。將不會出現(xiàn)該提示提示。以上提示信息，在“準入控制系統(tǒng)及應用準入策略網關”提示中設置,也可以選中”啟用”以啟用個性化提示頁面，該情況僅僅需要在提示頁面url中輸入需要提示的url即可。提示：再配置并啟用應用準入進行客戶端分發(fā)和安裝前，需要將位于：C:ProgramFilesVenustechEndpoint SecurityESServerCCClientOutput下的 ClientSetup.exe客戶端安裝包，復制一份到：C:Program FilesVenustechEndpoint SecurityESServerDownload目錄下面，當應用準入生效后，沒有安裝客戶端的用戶，可以通過上面的提示信息自助安裝客戶端。 即時更新策略網關策略在默認的情況下，策略網關代理在每次啟動時會更新策略，或在運行24小時后自動更新策略，策略網關代理獲取新的策略后會自動將新策略下發(fā)到策略網關。但有時需要策略網關即時更新策略，比如管理員修改了策略網關控制的網段，或策略版本進行了升級，需要強制客戶端即時生效，就需要即時更新策略網關策略。選擇服務器，然后選擇該服務器上的策略網關代理，點擊“更新策略網關策略”，系統(tǒng)先將所選的服務器與中心服務器進行同步，然后更新所選的策略網關代理及所屬策略網關策略。4.5. 遠程桌面的系統(tǒng)配置4.5.1 安裝添加遠程桌面服務器安裝天珣內網安全風險管理與審計系統(tǒng)中心服務器時，一般已集成安裝了按需支援遠程桌面服務器。系統(tǒng)默認全部管理網段的CC都開啟按需支援服務功能。這樣需要援助的用戶就可以通過服務器獲取在線管理員的列表。如果需要添加多個遠程桌面管理員需要做如下步驟：1、 在策略服務器操作系統(tǒng)中添加相應的管理員；2、 將該管理員加入策略系統(tǒng)的“管理員設置”中，并分配應有的權限；3、 添加管理員組，并管理相關管理員。4、 在“遠程桌面”服務中添加遠程桌面服務器并關聯(lián)相應網段。詳細配置步驟與方法請參見天珣內網安全風險管理與審計系統(tǒng)用戶手冊4.5.2 添加遠程桌面管理員如果是中心服務器安裝模式采用三權分立時。點擊“基本配置”“按需支持操作員”選項，添加遠程桌面管理員。如果中心服務器安裝模式采用的是windows 集成認證式時,添加用戶之后需在服務器系統(tǒng)帳戶中添加相應的用戶。4.5.3 安裝按需支援管理員端程序遠程桌面管理員需要安裝一個遠程桌面管理員端，標明自己在線，隨時可為用戶提供援助。將天珣內網安全風險管理與審計系統(tǒng)安裝光盤放入光驅，可直接進入安裝選擇界面。請點擊“安裝天珣系統(tǒng)其它組件”。進入安裝界面，選擇“安裝按需支援管理員端”安裝成功后，管理員輸入登錄ID和密碼登錄，標明自己在線可為用戶提供幫助。然后登錄輸入管理用戶帳號和密碼，即可完成登錄遠程幫助服務器。說明：管理員登錄遠程桌面管理員端后，初始狀態(tài)為在線，系統(tǒng)并未檢查其處于空閑狀態(tài)，但一般用戶可以請求該管理員進行遠程協(xié)助。4.5.4 用戶請求管理員遠程幫助用戶可右擊天珣內網安全風險管理與審計系統(tǒng)客戶端的圖標，選擇Help On Demand（按需支援），即可列出在線管理員列表，用戶雙擊其中任意一個狀態(tài)為空閑或（在線）管理員，即可與管理員建立連接，獲得幫助。4.6. 軟件