桌面管理產(chǎn)品手冊(cè)范本

1、NetStrong使用說明書網(wǎng)強(qiáng)信息技術(shù)（）2010-6-30聲明法律聲明本文檔中的信息如有更改，恕不另行通知。（2009）NetStrong Information Technology (Shanghai) Corporation Limited。所有，翻印必究。未經(jīng)NetStrong Information Technology (Shanghai) Corporation Limited書面許可，除非法允許，不準(zhǔn)以任何形式對(duì)本文檔進(jìn)行復(fù)制、改編或翻譯。網(wǎng)強(qiáng)信息技術(shù)（）對(duì)本手冊(cè)不作任何擔(dān)保包括但不限于適銷性和特定用途適用性的隱含擔(dān)保。網(wǎng)強(qiáng)信息技術(shù)（）對(duì)本手冊(cè)中包含的錯(cuò)誤以及與其功能或使用

2、有關(guān)的直接、間接、特殊、偶發(fā)或者繼發(fā)性損失不負(fù)任何責(zé)任。保修網(wǎng)強(qiáng)信息技術(shù)（）承諾若是在保修期間（自您收到軟件之日起的三十天）裝載軟件的介質(zhì)確實(shí)出現(xiàn)質(zhì)量問題，網(wǎng)強(qiáng)信息技術(shù)（）將視情況而定，絕對(duì)負(fù)責(zé)更換相同類型的軟件介質(zhì)產(chǎn)品。網(wǎng)強(qiáng)信息技術(shù)（）保證，更換的軟件介質(zhì)，其品質(zhì)完全相同?？梢詮漠?dāng)?shù)劁N售與服務(wù)機(jī)構(gòu)索取適用于您所購買的NetStrong網(wǎng)強(qiáng)產(chǎn)品及更換部件的特定保修條款。有限權(quán)利許可與許可協(xié)議一起提供的軟件是網(wǎng)強(qiáng)信息技術(shù)（）或其授權(quán)者的財(cái)產(chǎn)，受到法的保護(hù)。網(wǎng)強(qiáng)(信息技術(shù)（）擁有該軟件最終所有權(quán)，您只要接受本許可協(xié)議，即可具有一定的使用權(quán)利。除非本許可證協(xié)議的補(bǔ)充協(xié)議有所修改，否則您使用本軟件的權(quán)

3、利和義務(wù)僅限如下：（1） 若在裝載本軟件的介質(zhì)中只包含一個(gè)版本，則只能安裝一套軟件，若介質(zhì)中包含該軟件的多個(gè)版本，則只能安裝和使用其中一個(gè)版本的副本。（2） 對(duì)軟件介質(zhì)中裝載的文件進(jìn)行備份，或者復(fù)制到計(jì)算機(jī)硬盤中而將原始文件作為檔案進(jìn)行保存。（3） 若您不保留該軟件的副本，并接受被轉(zhuǎn)讓人同意遵守本許可協(xié)議的條件，在您向網(wǎng)強(qiáng)信息技術(shù)（）發(fā)出書面通知以后，得到網(wǎng)強(qiáng)信息技術(shù)（）的官方允許，可以將該軟件介質(zhì)永久性的轉(zhuǎn)讓給個(gè)人或公司實(shí)體。（4） 不可以復(fù)制復(fù)制本軟件附帶的相關(guān)文檔（5） 不可以再次授權(quán)、出租、或出借本軟件的任何部分（6） 不可以通過反向工程、反編譯、反匯編、修改、翻譯和其他方法來試圖獲取

4、該軟件的源代碼，或用該軟件進(jìn)行派生工作。商標(biāo)許可NetStrong，網(wǎng)強(qiáng) 是在中國的注冊(cè)商標(biāo)由 NetStrong Information Technology (Shanghai) Corporation Limited獨(dú)家授權(quán)。本文檔中使用的商標(biāo)：Intel和Pentium是Intel Corporation的注冊(cè)商標(biāo)；Microsoft、Windows、Windows NT是Microsoft Corporation的注冊(cè)商標(biāo)。本文檔中述及的其它商標(biāo)和產(chǎn)品名稱是指擁有相應(yīng)商標(biāo)和產(chǎn)品名稱的公司或其制造的產(chǎn)品，NetStrong Information Technology (Shangha

5、i) Corporation Limited對(duì)其它公司的商標(biāo)和產(chǎn)品名稱不擁有任何專利權(quán)。注意：（1） 本操作手冊(cè)需要統(tǒng)一制作和印刷，軟件中包含的某些功能模塊需要另外購買，因此不能保證所安裝的軟件產(chǎn)品中具有本操作手冊(cè)中所描述的某些功能模塊。（2） 網(wǎng)強(qiáng)信息技術(shù)（）僅允許您在接受許可協(xié)議中的各項(xiàng)條款的情況下，才可以使用本軟件產(chǎn)品。請(qǐng)仔細(xì)閱讀各項(xiàng)條款。目錄第一章服務(wù)器部署1l服務(wù)器要求1n服務(wù)器硬件要求1n服務(wù)器軟件要求1l服務(wù)器軟件配置1n安裝IIS和SMTP1nOffice組件配置3l服務(wù)器安裝4第二章服務(wù)器基本配置5l基本配置5n創(chuàng)建域并添加域管理圍5n添加組織結(jié)構(gòu)6n更新注冊(cè)程序和打包注冊(cè)程

6、序6第三章客戶端部署9l客戶端部署9n網(wǎng)頁注冊(cè)方式9n分發(fā)客戶端注冊(cè)程序11第四章功能點(diǎn)說明13l系統(tǒng)分析13n事件統(tǒng)計(jì)13n資源統(tǒng)計(jì)13n注冊(cè)統(tǒng)計(jì)14n設(shè)備統(tǒng)計(jì)15l系統(tǒng)管理16n全局配置16n系統(tǒng)配置16u掃描器管理16n注冊(cè)管理17u注冊(cè)程序管理17u終端升級(jí)控制17u設(shè)備注冊(cè)控制17u注冊(cè)終端卸載18u未注冊(cè)阻斷列表18n系統(tǒng)用戶19u用戶管理19u系統(tǒng)權(quán)限20n登錄用戶21u我的用戶21u訪問權(quán)限21n數(shù)據(jù)庫管理21n系統(tǒng)日志22u登陸日志22u操作日志22l資產(chǎn)管理23n設(shè)備管理23u注冊(cè)設(shè)備管理23u分組管理26u未注冊(cè)設(shè)備管理27u設(shè)備開關(guān)機(jī)27n資產(chǎn)統(tǒng)計(jì)27u軟件資產(chǎn)分類28

7、u硬件資產(chǎn)28u軟件資產(chǎn)28uIP資源統(tǒng)計(jì)29u硬件變更29u軟件變更30l策略介紹31n什么是策略31n策略由哪幾部分組成31n策略的種類31n策略的執(zhí)行方式31n策略怎么配置31u策略創(chuàng)建31u基本策略31u高級(jí)選項(xiàng)31u分配對(duì)象32n策略的日志32l接入控制33n控制策略33u非法外聯(lián)控制33uIEEE 802.1x認(rèn)證35n日志查詢35u非法外聯(lián)控制日志35l終端安全36n系統(tǒng)知識(shí)庫36u知識(shí)庫采集配置36u文件知識(shí)庫36n終端服務(wù)36u終端點(diǎn)對(duì)點(diǎn)服務(wù)36u遠(yuǎn)程協(xié)助38u文件分發(fā)40u軟件部署與安裝檢查41n安全策略41u進(jìn)程執(zhí)行控制41u服務(wù)執(zhí)行控制42u外設(shè)接口控制42u網(wǎng)絡(luò)接口控

8、制43u防火墻策略43u用戶賬號(hào)策略43uArp防護(hù)44u共享管理45n事件日志45u文件分發(fā)日志45u軟件部署日志45u進(jìn)程執(zhí)行控制日志45u服務(wù)執(zhí)行控制日志46u外接接口控制日志46u網(wǎng)絡(luò)接口控制日志46u用戶事件日志47u共享事件查詢?nèi)罩?7l用戶行為48n配置管理48uURL倉庫48n行為策略48u上網(wǎng)行為審計(jì)48u上網(wǎng)行為控制49uFTP行為審計(jì)50uFTP行為控制51u本地文件審計(jì)51u剪貼板審計(jì)52u光驅(qū)使用控制52u行為審計(jì)52u行為控制53u訪問共享審計(jì)54u即時(shí)通訊審計(jì)54n用戶行為日志55u上網(wǎng)行為審計(jì)日志55u上網(wǎng)行為控制日志55uFTP行為審計(jì)日志55uFTP行為控制

9、日志55u本地文件審計(jì)日志55u剪貼板審計(jì)日志55u光驅(qū)使用記錄日志55u行為審計(jì)日志55u行為控制日志56u共享行為審計(jì)日志56u即時(shí)通訊審計(jì)日志56l運(yùn)維管理57n運(yùn)維策略57u網(wǎng)絡(luò)數(shù)據(jù)包捕獲57n運(yùn)維查詢58u網(wǎng)絡(luò)數(shù)據(jù)包統(tǒng)計(jì)分析58u網(wǎng)絡(luò)數(shù)據(jù)包事件日志58l移動(dòng)介質(zhì)60n安全移動(dòng)介質(zhì)的制作60n安全介質(zhì)標(biāo)簽管理使用說明62u什么是“標(biāo)簽”62u怎么管理標(biāo)簽62u為安全移動(dòng)介質(zhì)打上標(biāo)簽63n移動(dòng)介質(zhì)的管理63u安全移動(dòng)介質(zhì)的使用管理63u移動(dòng)介質(zhì)策略管理64n操作日志65u安全介質(zhì)操作日志65u安全介質(zhì)使用日志66u普通介質(zhì)使用日志66u安全介質(zhì)變更日志66n安全移動(dòng)介質(zhì)的注銷和重新注冊(cè)6

10、7n客戶端安全瀏覽器UDE的使用說明67u安全移動(dòng)介質(zhì)在網(wǎng)中的使用67u安全移動(dòng)介質(zhì)在外網(wǎng)中的使用69l補(bǔ)丁分發(fā)70n分發(fā)配置70u補(bǔ)丁列表70n補(bǔ)丁策略71u補(bǔ)丁測試策略71u補(bǔ)丁安裝策略72u補(bǔ)丁卸載策略72n統(tǒng)計(jì)分析72u補(bǔ)丁策略分析72u全網(wǎng)補(bǔ)丁安全分析73u終端補(bǔ)丁統(tǒng)計(jì)73u補(bǔ)丁安裝結(jié)果分析73u補(bǔ)丁分發(fā)日志統(tǒng)計(jì)74u補(bǔ)丁卸載日志統(tǒng)計(jì)74l級(jí)聯(lián)管理75n級(jí)聯(lián)管理75u級(jí)聯(lián)配置75u級(jí)聯(lián)審核76u管理中心拓?fù)?6u管理中心日志77n安全策略77n行為策略77n站點(diǎn)策略77n級(jí)聯(lián)訂閱78u訂閱策略78n級(jí)聯(lián)數(shù)據(jù)78u級(jí)聯(lián)設(shè)備78u級(jí)聯(lián)數(shù)據(jù)日志79u級(jí)聯(lián)數(shù)據(jù)分析79l系統(tǒng)報(bào)表79n報(bào)表管理

11、79u報(bào)表管理79n報(bào)表策略80u數(shù)據(jù)統(tǒng)計(jì)分析80u圖形統(tǒng)計(jì)報(bào)表81u對(duì)比分析報(bào)表82u臨時(shí)報(bào)表82n報(bào)表日志82u報(bào)表日志82第一章 服務(wù)器部署l 服務(wù)器要求n 服務(wù)器硬件要求u CPU推薦四核1.6（及其以上） 最低雙核 2.0u 存推薦4G（及其以上） 最低2Gu 硬盤推薦500G（及其以上）最小80Gu 網(wǎng)卡推薦1000M網(wǎng)卡（及其以上）最低100M網(wǎng)卡n 服務(wù)器軟件要求u Windows Server 2003系統(tǒng)（至少安裝SP1補(bǔ)丁，建議安裝SP2補(bǔ)?。﹗ Microsoft SQL Server 2005中文版（標(biāo)準(zhǔn)版、企業(yè)版）及其以上版本（不支持MS SQL Server 20

12、00 數(shù)據(jù)庫）u Microsoft Office 2003及其以上版本（至少安裝Word和Excel）u IIS 6.0（需要安裝SMTP服務(wù)）u Microsoft Framework.Net 2.0l 服務(wù)器軟件配置n 安裝IIS和SMTP首先在服務(wù)器光驅(qū)中放入Windows Server 2003的安裝光盤。依次打開【控制面板 添加或刪除程序 添加/刪除Windows組件】，并找到應(yīng)用“應(yīng)用程序服務(wù)器”，點(diǎn)擊進(jìn)入之后，找到“Internet信使服務(wù)（IIS）”，在其前邊點(diǎn)上對(duì)勾，再從“Internet信使服務(wù)（IIS）”點(diǎn)擊進(jìn)去，找到“SMTP Service”并在其前邊點(diǎn)上對(duì)勾。然后

13、依次點(diǎn)擊“確定”，如果彈出插入光盤的提示，請(qǐng)先核對(duì)光盤是否正確，光驅(qū)是否能夠正常讀取光盤，以及Windows提示的安裝位置是否正確，如果安裝位置不正確，需要用戶手工輸入正確的文件地址。選擇IIS部分的操作截圖如下：對(duì)SMTP服務(wù)的中繼服務(wù)進(jìn)行配置，如下圖所示：安裝完成IIS之后，需要確保IIS上的“Web服務(wù)擴(kuò)展”中的Asp 2.0項(xiàng)啟用（由于IIS和Microsoft Framework.Net 2.0的安裝順序可能會(huì)導(dǎo)致“Web服務(wù)擴(kuò)展”中的Asp.Net 2.0組件被禁用的情況，n Office組件配置依次打開【控制面板 管理工具 組件服務(wù)】，并在【組件服務(wù)】中依次找到【組建服務(wù) 計(jì)算機(jī)

14、 我的計(jì)算機(jī) DCOM配置】，在【DCOM配置】中找到【Microsoft Excel 應(yīng)用程序】和【Microsoft Word 文檔】項(xiàng)，對(duì)其“屬性”中“安全”選項(xiàng)卡中【啟動(dòng)和激活權(quán)限】、【訪問權(quán)限】、【配置權(quán)限】三項(xiàng)中分別添加“NETWORK SERVICE”用戶，并對(duì)該用戶賦予全部權(quán)限，如下圖所示：l 服務(wù)器安裝雙擊setup.exe啟動(dòng)安裝程序，依次選擇MS SQL Server數(shù)據(jù)庫服務(wù)器，并輸入管理員用戶名和密碼，選擇安裝目錄，進(jìn)行安裝即可。第二章 服務(wù)器基本配置在使用系統(tǒng)之前需要對(duì)系統(tǒng)進(jìn)行基本的配置，配置需要通過IE瀏覽器（IE6、IE7、IE8）或者IE核的瀏覽器進(jìn)行配置，并

15、使IE瀏覽器打開JavaScript腳本支持（不支持：Mozilla Firefox、Netscape Navigator、Opera、Google Chrome等非IE核瀏覽器）。使用瀏覽器登錄到管理平臺(tái)，需要注意區(qū)分主機(jī)名和虛擬目錄名，登錄賬號(hào)和密碼為安裝程序中設(shè)置的用戶名和密碼。特別注意：第一次登錄的時(shí)候，需要選擇本套系統(tǒng)的工作模式：【集權(quán)模式】和【三權(quán)分離】，如下圖所示：一旦選擇了工作模式，在以后的使用中即無法修改其工作模式。請(qǐng)根據(jù)頁面提示信息，選擇適合的工作模式。l 基本配置n 創(chuàng)建域并添加域管理圍“域”是用來對(duì)網(wǎng)中的設(shè)備以IP為依據(jù)，進(jìn)行管理的集合。首先需要添加一個(gè)“域”，域的名稱

16、可以是任意的，便于管理員管理即可，“域”的管理圍有以下三種【管理IP】、【掃描IP】、【保留IP】。u 【管理IP】：一個(gè)IP圍或一個(gè)IP地址，本管理IP圍的計(jì)算機(jī)可以在服務(wù)器上進(jìn)行注冊(cè)并接受管理，在該圍的未注冊(cè)設(shè)備會(huì)被阻斷網(wǎng)絡(luò)通訊。u 【掃描IP】：一個(gè)IP圍或一個(gè)IP地址，本掃描IP圍的計(jì)算機(jī)可以在服務(wù)器上進(jìn)行注冊(cè)并接受管理，在改圍的未注冊(cè)設(shè)備不會(huì)被阻斷網(wǎng)絡(luò)通訊。u 【保留IP】：一個(gè)IP圍或一個(gè)IP地址，本保留IP圍的計(jì)算機(jī)無法在服務(wù)器上進(jìn)行注冊(cè)也無法接受管理。如下圖所示：n 添加組織結(jié)構(gòu)組織結(jié)構(gòu)是便于管理員對(duì)本系統(tǒng)所管轄圍的計(jì)算機(jī)從邏輯上進(jìn)行區(qū)分，建議該邏輯采用行政級(jí)別劃分。n 更新注

17、冊(cè)程序和打包注冊(cè)程序完成了對(duì)域的配置和組織結(jié)構(gòu)的配置之后，就可以對(duì)客戶端的注冊(cè)程序進(jìn)行配置了，如下圖所示：其中組織結(jié)構(gòu)是屬于注冊(cè)信息中的必選項(xiàng)，而其它的信息可由管理員進(jìn)行配置，可以選擇相應(yīng)的注冊(cè)信息是否是“必填項(xiàng)”。如果選用了【靜默注冊(cè)】則注冊(cè)密碼項(xiàng)不生效。注冊(cè)密碼：用于客戶端通過瀏覽器進(jìn)行注冊(cè)的時(shí)候進(jìn)行身份認(rèn)證，建議在非系統(tǒng)部署階段將該密碼進(jìn)行修改，以提高網(wǎng)系統(tǒng)中的設(shè)備的可信性。DMZ通訊IP：適用于需要將服務(wù)器的IP地址在和被管理設(shè)備進(jìn)行IP地址轉(zhuǎn)換的情況下適用，例如將NetStrong服務(wù)器安裝到了DMZ服務(wù)區(qū)，或者適用NAT進(jìn)行了地址轉(zhuǎn)換等情況。DMZ通訊IP地址需要配置成被轉(zhuǎn)換的地址

18、，而非當(dāng)前服務(wù)器的真實(shí)IP地址；而DMZ的通訊端口需要和服務(wù)器的688端口做好映射關(guān)系，在通訊端口配置好映射的端口即可。（如果沒有IP地址轉(zhuǎn)換的話，則無需進(jìn)行DMZ項(xiàng)的配置）注冊(cè)信息項(xiàng)擴(kuò)展：當(dāng)系統(tǒng)默認(rèn)的注冊(cè)信息項(xiàng)不能滿足實(shí)際需求的時(shí)候，管理員可以通過點(diǎn)擊【系統(tǒng)管理注冊(cè)管理注冊(cè)程序配置】頁面上的【編輯擴(kuò)展字段】按鈕，對(duì)需要的信息進(jìn)行擴(kuò)充。目前擴(kuò)充的信息有兩種形式：“文本框”和“列表框”。如下圖所示。特別注意：當(dāng)管理員變更了【域管理圍】、【組織結(jié)構(gòu)】、【注冊(cè)信息項(xiàng)】、【注冊(cè)密碼】的時(shí)候，務(wù)必要點(diǎn)擊頁面上的【打包注冊(cè)程序】進(jìn)行打包，只有經(jīng)過打包，注冊(cè)頁面以及相應(yīng)的注冊(cè)信息才會(huì)進(jìn)行更新。*打包：對(duì)注冊(cè)

19、程序的更新以及重新制作的過程。完成了上述三步之后，即完成了服務(wù)器基本配置，就可以開始進(jìn)行客戶端注冊(cè)了。在操作接口上有【系統(tǒng)配置向?qū)А堪粹o，點(diǎn)擊它可彈出服務(wù)器基本配置向?qū)?，可按照該提示完成服?wù)器基本配置，如下圖所示：第三章 客戶端部署l 客戶端部署客戶端部署有以下兩種方式：一是采用網(wǎng)頁注冊(cè)的方式；二是采用分發(fā)客戶端注冊(cè)程序的方式。下面就兩種部署方式分別進(jìn)行介紹。n 網(wǎng)頁注冊(cè)方式網(wǎng)頁注冊(cè)：為用戶提供了通過IE瀏覽器（或者基于IE瀏覽器的）下面詳細(xì)介紹操作流程。1) 首先安裝好web控制中心和中心服務(wù)器。使得客戶端可以通過web控制中心頁面正常的訪問中心服務(wù)器。如下圖所示：終端用戶可以通過IE瀏覽器

20、正常訪問web控制中心確保中心服務(wù)器正常啟動(dòng)、進(jìn)程正常運(yùn)行2) 終端用戶訪問web控制中心點(diǎn)擊web控制中心頁面上的“客戶端注冊(cè)”按鈕進(jìn)行注冊(cè)。如第一次注冊(cè)會(huì)提示客戶端未安裝注冊(cè)插件，根據(jù)IE安全級(jí)別設(shè)置的不同可能會(huì)阻止IE下載ActiveX插件或者停止安裝Active插件下載。如下圖所示：打開IE的“Internet 選項(xiàng)”，找到“安全”選項(xiàng)卡，將“可信站點(diǎn)”的安全級(jí)別設(shè)置為“低”（根據(jù)IE版本不同，該項(xiàng)設(shè)置的最低安全描述可能會(huì)是“中低”，如遇到該情況，請(qǐng)?jiān)凇氨镜豂ntranet”中進(jìn)行web控制中心平臺(tái)的設(shè)置），并在“站點(diǎn)”中添加web控制中心的訪問地址。如下圖所示：對(duì)web控制中心的地址

21、進(jìn)行添加依次確定之后，重新訪問注冊(cè)頁面，會(huì)根據(jù)IE安全級(jí)別設(shè)置的不同分別彈出以下兩種對(duì)話框。點(diǎn)擊“是”允許ActiveX進(jìn)行交互操作點(diǎn)擊“安裝”進(jìn)行IE插件安裝依次添入注冊(cè)信息，并點(diǎn)擊注冊(cè)按鈕完成注冊(cè)。3) 客戶端重新注冊(cè)客戶端允許重新注冊(cè)，重新注冊(cè)的過程同上一步。會(huì)彈出詢問對(duì)話框，點(diǎn)擊“確定”進(jìn)行重新注冊(cè)。重新注冊(cè)n 分發(fā)客戶端注冊(cè)程序1) 在通過“系統(tǒng)配置向?qū)А边M(jìn)行基本配置并完成“打包注冊(cè)程序”步驟后，客戶端注冊(cè)程序就已生成在服務(wù)器目錄。只需將該注冊(cè)程序拷貝出來分發(fā)給客戶端即可完成客戶端注冊(cè)。注意：以分發(fā)客戶端注冊(cè)程序的方式進(jìn)行客戶端注冊(cè)的時(shí)候，要求在進(jìn)行系統(tǒng)基本信息配置的時(shí)候，不能配置注

22、冊(cè)密碼，即在操作“更新注冊(cè)程序”步驟的時(shí)候請(qǐng)不要勾選啟用“注冊(cè)密碼”選項(xiàng)；如啟用過，請(qǐng)關(guān)閉“注冊(cè)密碼”選項(xiàng)，并依次點(diǎn)擊“確定更新”和“打包注冊(cè)程序”按鈕。如下圖所示。打包注冊(cè)程序前請(qǐng)確認(rèn)“注冊(cè)密碼”選項(xiàng)沒有啟用2) 在服務(wù)器上找到安裝中心控制臺(tái)的安裝目錄，并依次打開.NetStrongWebConsolebinDownLoad，在該目錄下存在一個(gè)由數(shù)字描述的文件夾，打包好的客戶端注冊(cè)程序就在該目錄下。3) 將找到的RegistPkt.exe文件進(jìn)行分發(fā)，完成客戶端注冊(cè)過程。說明1：使用客戶端注冊(cè)程序進(jìn)行注冊(cè)的用戶，其組織結(jié)構(gòu)會(huì)被列到第一個(gè)根目錄下。說明2：使用其它的系統(tǒng)分發(fā)RegistPkt.

23、exe的時(shí)候，讓客戶端自動(dòng)運(yùn)行的話，不需要對(duì)RegistPkt.exe程序進(jìn)行參數(shù)設(shè)置。第四章 功能點(diǎn)說明l 系統(tǒng)分析本節(jié)容介紹了系統(tǒng)分析功能下所展現(xiàn)的數(shù)據(jù)的含義以及相應(yīng)的操作。系統(tǒng)分析下主要展現(xiàn)了終端用戶行為日志統(tǒng)計(jì)、終端設(shè)備資源統(tǒng)計(jì)、網(wǎng)用戶注冊(cè)統(tǒng)計(jì)和網(wǎng)設(shè)備統(tǒng)計(jì)。n 事件統(tǒng)計(jì)事件統(tǒng)計(jì)主要對(duì)網(wǎng)終端用戶行為的記錄進(jìn)行數(shù)量統(tǒng)計(jì)，并可根據(jù)用戶行為類型進(jìn)行用戶定義時(shí)間段的走勢分析?？蛇x取按照日、周、月、季度和自定義圍進(jìn)行展現(xiàn)。n 資源統(tǒng)計(jì)資源統(tǒng)計(jì)對(duì)網(wǎng)終端設(shè)備進(jìn)行統(tǒng)計(jì)，從主要的硬件（CPU、硬盤、存）對(duì)網(wǎng)終端資源進(jìn)行展現(xiàn)，除此之外對(duì)網(wǎng)終端設(shè)備的軟件（操作系統(tǒng)、殺毒軟件）進(jìn)行信息采集，進(jìn)行展現(xiàn)。n 注冊(cè)統(tǒng)

24、計(jì)注冊(cè)統(tǒng)計(jì)對(duì)網(wǎng)中所能掃描到的網(wǎng)段中的設(shè)備進(jìn)行掃描，并對(duì)注冊(cè)設(shè)備和未注冊(cè)設(shè)備進(jìn)行統(tǒng)計(jì)。同時(shí)提供對(duì)歷史注冊(cè)情況的查詢功能。n 設(shè)備統(tǒng)計(jì)設(shè)備統(tǒng)計(jì)提供了對(duì)可掃描的網(wǎng)段的設(shè)備的注冊(cè)情況按照是否在線和設(shè)備類型進(jìn)行統(tǒng)計(jì)的展現(xiàn)。l 系統(tǒng)管理系統(tǒng)管理提供了對(duì)管理本套系統(tǒng)的基本配置，主要包含以下幾方面的容：系統(tǒng)管理域配置、系統(tǒng)組織結(jié)構(gòu)配置、用戶注冊(cè)信息配置、下級(jí)管理員建立和權(quán)限分配、登錄用戶管理、數(shù)據(jù)庫查看、登錄日志查看等。n 全局配置在控制選項(xiàng)中對(duì)系統(tǒng)左上角的logo進(jìn)行配置，對(duì)遠(yuǎn)程協(xié)助的密碼進(jìn)行配置。n 系統(tǒng)配置系統(tǒng)配置中對(duì)系統(tǒng)域管理圍和網(wǎng)組織結(jié)構(gòu)進(jìn)行配置。這兩項(xiàng)配置需要在初次使用系統(tǒng)之前進(jìn)行配置，否則無常使

25、用本系統(tǒng)。詳細(xì)配置請(qǐng)參看“第二章 服務(wù)器基本配置-基本配置過程-創(chuàng)建域并添加域管理圍”和“第二章 服務(wù)器基本配置-基本配置過程-添加組織結(jié)構(gòu)”部分。u 掃描器管理掃描器管理實(shí)現(xiàn)了對(duì)網(wǎng)中設(shè)備進(jìn)行指定掃描器的操作。*掃描器：用來發(fā)送掃描器探測包的設(shè)備。如果一個(gè)域中安裝了任意一個(gè)代理程序，那么就會(huì)在該管理域中，對(duì)網(wǎng)上的設(shè)備進(jìn)行掃描。這樣專門的一個(gè)安裝了代理程序的設(shè)備，我們稱之為掃描器。掃描器的管理頁面如下：如上圖所示，在左側(cè)的“當(dāng)前掃描器”一欄中，顯示的是在當(dāng)前網(wǎng)段中正在充當(dāng)掃描器的設(shè)備。在右側(cè)的選擇列表中，可以選擇指定的掃描器，通過“添加”按鈕，將選中的掃描器放到“掃描器配置列表”中。如果掃描器配

26、置列表中的設(shè)備都關(guān)機(jī)的話，則會(huì)從開機(jī)設(shè)備中自動(dòng)的選擇一臺(tái)設(shè)備作為掃描器。出現(xiàn)如上圖所示的情況。如果要修改當(dāng)前“掃描器配置列表”，只需要更改掃描器配置列表（添加或者刪除掃描器），然后點(diǎn)擊“啟用更改配置”按鈕。如圖所示：n 注冊(cè)管理u 注冊(cè)程序管理注冊(cè)管理提供了客戶端注冊(cè)程序的配置功能，在該頁面上可以對(duì)客戶端注冊(cè)程序進(jìn)行配置。詳細(xì)配置請(qǐng)參看“第二章 服務(wù)器基本配置-基本配置過程-更新注冊(cè)程序和打包注冊(cè)程序”部分。u 終端升級(jí)控制終端升級(jí)控制提供了對(duì)終端設(shè)備代理程序（探頭程序），進(jìn)行升級(jí)的控制的功能。在網(wǎng)中部署好的設(shè)備，在升級(jí)情況下需要保證代理程序不會(huì)因?yàn)樯?jí)而造成災(zāi)難性破壞，例如藍(lán)屏、系統(tǒng)死機(jī)、代

27、理程序性能等現(xiàn)象。終端升級(jí)控制，允許小部分測試設(shè)備先進(jìn)行升級(jí)，通過測試之后再進(jìn)行大面積升級(jí)的功能。如圖：圖中提供了兩種升級(jí)方式：1、全網(wǎng)升級(jí)。2、升級(jí)以下列表中的對(duì)象。下面就這兩種方式進(jìn)行說明：全網(wǎng)升級(jí)：不需要配置“分配對(duì)象”，當(dāng)管理員決定對(duì)網(wǎng)中所有的設(shè)備進(jìn)行升級(jí)的時(shí)候，只需要選擇“全網(wǎng)升級(jí)”并對(duì)策略進(jìn)行保存和重啟就可以完成全網(wǎng)設(shè)備升級(jí)。升級(jí)以下列表中的對(duì)象：對(duì)升級(jí)對(duì)象進(jìn)行配置，僅僅對(duì)配置了的終端進(jìn)行升級(jí)。注意：在測試過程中升過級(jí)的設(shè)備，在配置了全網(wǎng)升級(jí)策略的時(shí)候，將不會(huì)再次升級(jí)。如果探頭重新安裝，則會(huì)在收到升級(jí)策略之后進(jìn)行升級(jí)。u 設(shè)備注冊(cè)控制設(shè)備注冊(cè)控制提供了對(duì)接入網(wǎng)設(shè)備注冊(cè)情況的管理。如

28、果接入的網(wǎng)設(shè)備沒有進(jìn)行注冊(cè)的話，則可以通過開啟對(duì)未注冊(cè)設(shè)備的阻斷，使未注冊(cè)設(shè)備無法上網(wǎng)。如果只是想要對(duì)未注冊(cè)的設(shè)備發(fā)出警告的話，則可以選擇警告提示即可。如圖所示：u 注冊(cè)終端卸載注冊(cè)終端卸載提供了對(duì)已經(jīng)注冊(cè)的設(shè)備的注冊(cè)終端進(jìn)行卸載的功能。如圖所示：終端卸載可以按照組織結(jié)構(gòu)、IP圍和設(shè)備對(duì)象分別進(jìn)行卸載，添加好卸載設(shè)備之后，點(diǎn)擊“確定卸載”按鈕確認(rèn)卸載。u 未注冊(cè)阻斷列表未注冊(cè)阻斷列表主要是在開啟了“設(shè)備注冊(cè)控制”中的“沒有注冊(cè)則阻斷聯(lián)網(wǎng)”功能之后（如下圖），設(shè)備的通訊被阻斷，其阻斷信息會(huì)在該頁面展現(xiàn)。對(duì)于沒有注冊(cè)且被阻斷的設(shè)備，管理員可以通過該頁面上的“取消阻斷”按鈕，對(duì)阻斷的非注冊(cè)設(shè)備取消斷

29、網(wǎng)功能，也可以通過“設(shè)置阻斷”按鈕，持續(xù)對(duì)非注冊(cè)設(shè)備的斷網(wǎng)阻斷功能。如下圖：n 系統(tǒng)用戶系統(tǒng)用戶提供了對(duì)下級(jí)管理員的管理和權(quán)限分配的功能。u 用戶管理用戶管理：為頂級(jí)管理員或者有用戶管理權(quán)限功能的下級(jí)管理員創(chuàng)建下級(jí)管理員的功能。如圖所示：在用戶管理頁面可以創(chuàng)建下級(jí)“管理用戶”，每個(gè)創(chuàng)建出來的管理用戶，其初始密碼是123456。可以對(duì)用戶有效期進(jìn)行設(shè)置，默認(rèn)情況下用戶為永不過期的。*三權(quán)模式下的區(qū)別：在三權(quán)模式下，系統(tǒng)管理員可以創(chuàng)建管理用戶和策略管理用戶。日志管理員（audit）負(fù)責(zé)創(chuàng)建日志審計(jì)用戶。u 系統(tǒng)權(quán)限系統(tǒng)權(quán)限：新建用戶后，須對(duì)該新建用戶其分配權(quán)限和設(shè)置管理的對(duì)象。 如上圖所示，在“選

30、擇用戶名稱”處選擇要分配權(quán)限的用戶，并選擇要賦予該用戶的權(quán)限。完成為新建用戶權(quán)限選擇后，點(diǎn)擊“管理對(duì)象”選項(xiàng)卡，為該用戶選擇管理對(duì)象，點(diǎn)擊確定更新按鈕完成操作。n 登錄用戶u 我的用戶對(duì)當(dāng)前登陸用戶的用戶信息的顯示和當(dāng)前用戶密碼的修改。u 訪問權(quán)限訪問權(quán)限是某用戶對(duì)允許自己的“用戶名”登陸“管理中心控制臺(tái)”的IP地址的設(shè)置。若該登陸用戶對(duì)該項(xiàng)沒有進(jìn)行任何設(shè)置，則系統(tǒng)默認(rèn)為該用戶在網(wǎng)的任何IP地址的計(jì)算機(jī)上均允許訪問。如用戶設(shè)置的訪問權(quán)限為：允許訪問網(wǎng)段00，則只允許該用戶在00的IP地址的計(jì)算機(jī)登陸“管理中

31、心控制臺(tái)”， 禁止該用戶在其他IP地址的計(jì)算機(jī)上登陸“管理中心控制臺(tái)”。注：“訪問權(quán)限”是當(dāng)前登陸用戶為本身登陸管理中心控制臺(tái)進(jìn)行的IP地址的限制，該登陸用戶對(duì)該項(xiàng)的設(shè)置，不影響其他用戶的登陸。n 數(shù)據(jù)庫管理提供了服務(wù)器上數(shù)據(jù)庫和磁盤占用情況的統(tǒng)計(jì)，在磁盤剩余空間不足的時(shí)候，會(huì)提示管理員。如圖所示：n 系統(tǒng)日志u 登陸日志記錄登陸“管理中心控制臺(tái)”用戶的登陸時(shí)間、登錄地址、登陸狀態(tài)等信息。可根據(jù)相關(guān)條件進(jìn)行查詢。u 操作日志記錄所有登錄用戶在“管理中心控制臺(tái)”的所有操作?？筛鶕?jù)相關(guān)條件進(jìn)行查詢。l 資產(chǎn)管理n 設(shè)備管理u 注冊(cè)設(shè)備管理對(duì)已注冊(cè)設(shè)備相關(guān)信息的查看和管理。如下圖所示，在注冊(cè)設(shè)備列表

32、中顯示了所有當(dāng)前已注冊(cè)設(shè)備的IP地址、Mac地址、設(shè)備類型等信息，所顯示顯示的列，可通過點(diǎn)擊“自定義顯示列”按鈕進(jìn)行設(shè)置。通過點(diǎn)擊“自定義顯示列”按鈕，可對(duì)所顯示的注冊(cè)設(shè)備信息的容、順序和列長度進(jìn)行設(shè)置，如下圖所示。設(shè)置完成后點(diǎn)擊“確定更新”按鈕進(jìn)行保存?！白远x顯示列”的設(shè)置只對(duì)當(dāng)前登錄用戶自己顯示效果起作用，不影響其他用戶。已注冊(cè)設(shè)備，可通過選擇“檢索項(xiàng)”，輸入相關(guān)信息，如使用人、IP地址、聯(lián)系等信息進(jìn)行查詢。若需要對(duì)特定條件，如操作系統(tǒng)、公司部門、硬件信息等進(jìn)行查詢時(shí)，可通過點(diǎn)擊“高級(jí)查詢”按鈕查詢，如下圖所示。在“注冊(cè)設(shè)備信息列表”中所顯示的信息，可通過點(diǎn)擊“輸出Excel”按鈕，以E

33、XCEL格式導(dǎo)出所有的數(shù)據(jù)。點(diǎn)擊“注冊(cè)設(shè)備信息列表”中對(duì)應(yīng)的注冊(cè)設(shè)備，在界面底部信息欄中的“基本信息”“信息變更”、“軟件信息”、“硬件信息”、“安全狀態(tài)”、“安全事件”和“歷史變更” 選項(xiàng)卡中，會(huì)顯示該設(shè)備的相關(guān)信息?；拘畔ⅲ涸凇盎拘畔ⅰ边x項(xiàng)卡中顯示了注冊(cè)設(shè)備的“基本信息”、“注冊(cè)信息”、“網(wǎng)絡(luò)信息”和“擴(kuò)展信息”?！盎拘畔ⅰ敝酗@示了該注冊(cè)設(shè)備的設(shè)備名稱、操作系統(tǒng)、CPU和硬盤等設(shè)備的基本信息。“注冊(cè)信息”中顯示了該設(shè)備的注冊(cè)信息，如設(shè)備注冊(cè)時(shí)間及在注冊(cè)時(shí)輸入的相關(guān)信息?！熬W(wǎng)絡(luò)信息”中顯示了該設(shè)備的IP地址、Mac地址?！皵U(kuò)展信息”中顯示了該設(shè)備在注冊(cè)時(shí)輸入的擴(kuò)展信息。信息變更：在“信

34、息變更”選項(xiàng)卡中顯示當(dāng)前設(shè)備在注冊(cè)時(shí)輸入的信息，該信息可在此處進(jìn)行修改更新。如下圖所示，在對(duì)應(yīng)輸入框中進(jìn)行修改、編輯，點(diǎn)擊確定更新，完成信息更新操作。當(dāng)注冊(cè)設(shè)備所屬的組織改變時(shí)，可通過點(diǎn)擊“設(shè)備遷移”按鈕，在下圖“選擇目標(biāo)組織結(jié)構(gòu)”對(duì)話框中選擇新的組織，點(diǎn)擊確定按鈕完成組織結(jié)構(gòu)變更的操作。軟件信息：在“軟件信息”選項(xiàng)卡中，對(duì)當(dāng)前設(shè)備所安裝的軟件，按照“軟件知識(shí)庫”中設(shè)置的分類進(jìn)行顯示，如下圖所示。硬件信息：在“硬件信息”選項(xiàng)卡中顯示當(dāng)前設(shè)備的硬件信息，如下圖所示。安全狀態(tài)：在“安全狀態(tài)”選項(xiàng)卡中顯示當(dāng)前設(shè)備的殺毒軟件和補(bǔ)丁安裝情況，如下圖所示。安全事件：在“安全事件”選項(xiàng)卡中顯示當(dāng)前設(shè)備所觸發(fā)

35、的策略事件，如下圖所示，在每種策略事件中列出了所觸發(fā)的策略次數(shù)、“今日事件”、“歷史事件”和“歷史事件走勢分析”。可通過點(diǎn)擊“今日事件”、“歷史事件”和“歷史事件走勢分析”前的圖標(biāo)對(duì)其進(jìn)行查看，如點(diǎn)擊“進(jìn)程執(zhí)行控制”的“歷史事件”和“歷史事件走勢分析”圖標(biāo)，彈出“進(jìn)程執(zhí)行控制事件統(tǒng)計(jì)”圖。在下圖中，可通過點(diǎn)擊“上一月”和“下一月”，可對(duì)每個(gè)月的“歷史事件走勢分析”曲線圖進(jìn)行查看。歷史變更：在“歷史變更”選項(xiàng)卡中顯示當(dāng)前設(shè)備的軟、硬件變更信息，如下圖所示。u 分組管理對(duì)具有相似屬性的設(shè)備（使用人）可以通過分組管理，將設(shè)備（使用人）從邏輯上進(jìn)行分組，并在制訂策略的時(shí)候，通過對(duì)分配對(duì)象的配置對(duì)統(tǒng)一分

36、組中是設(shè)備（使用人）分配一樣的策略。如圖所示：u 未注冊(cè)設(shè)備管理對(duì)當(dāng)前管理網(wǎng)段中沒有進(jìn)行注冊(cè)的設(shè)備進(jìn)行展現(xiàn)，如圖所示：u 設(shè)備開關(guān)機(jī)對(duì)已經(jīng)注冊(cè)了的設(shè)備的開、關(guān)機(jī)情況進(jìn)行記錄，并根據(jù)設(shè)備的使用情況，統(tǒng)計(jì)出來設(shè)備的使用率?？梢杂涗浽O(shè)備的開、關(guān)機(jī)頻率，根據(jù)時(shí)間段統(tǒng)計(jì)設(shè)備的開、關(guān)機(jī)數(shù)量。如圖所示：n 資產(chǎn)統(tǒng)計(jì)u 軟件資產(chǎn)分類軟件資產(chǎn)分類中統(tǒng)計(jì)了當(dāng)前所有已注冊(cè)設(shè)備上安裝的軟件，管理員可以根據(jù)實(shí)際的需求，對(duì)軟件資產(chǎn)進(jìn)行分類整理?！拔粗浖保褐邪怂械奈捶诸愜浖?，是系統(tǒng)的默認(rèn)分類，無法刪除?？梢酝ㄟ^“創(chuàng)建新類”按鈕，創(chuàng)建各種管理分類，再分別往分類中添加軟件列表。如圖所示：u 硬件資產(chǎn)硬件資產(chǎn)中記錄了當(dāng)

37、前注冊(cè)設(shè)備中硬件的統(tǒng)計(jì)，可以分別按照硬盤、CPU、存、光驅(qū)、顯卡、鼠標(biāo)、鍵盤、聲卡、主板進(jìn)行查看，點(diǎn)擊“查看清單”按鈕，可以對(duì)詳細(xì)信息進(jìn)行查看。如圖所示。u 軟件資產(chǎn)軟件資產(chǎn)，根據(jù)軟件資產(chǎn)分類列表中對(duì)軟件分類的劃分，按照組織結(jié)構(gòu)，對(duì)組織結(jié)構(gòu)中使用的軟件進(jìn)行統(tǒng)計(jì)。如圖所示：u IP資源統(tǒng)計(jì)對(duì)“系統(tǒng)域劃分”中所定義的IP地址圍，進(jìn)行是否占用和注冊(cè)的描述，如圖所示：圖中綠色圖標(biāo)表示該IP地址，已經(jīng)注冊(cè)，黃色表示該IP地址沒有注冊(cè)，但是已經(jīng)被占用，灰色表示該IP地址沒有被占用。u 硬件變更硬件變更中對(duì)當(dāng)前已經(jīng)注冊(cè)的設(shè)備產(chǎn)生的硬件變更進(jìn)行記錄。在終端設(shè)備安裝探頭的時(shí)候，會(huì)對(duì)當(dāng)前設(shè)備的硬件進(jìn)行“快照”操作

38、，當(dāng)注冊(cè)設(shè)備的硬件發(fā)生變更之后，則會(huì)對(duì)硬件信息進(jìn)行對(duì)比，將發(fā)生變化的信息上報(bào)給中心服務(wù)器。如圖所示：u 軟件變更軟件變更中對(duì)當(dāng)前已經(jīng)注冊(cè)的設(shè)備產(chǎn)生的軟件變更進(jìn)行記錄。在終端設(shè)備安裝探頭的時(shí)候，會(huì)對(duì)當(dāng)前設(shè)備的軟件進(jìn)行“快照”操作，當(dāng)注冊(cè)設(shè)備的軟件發(fā)生變更之后，則會(huì)對(duì)軟件信息進(jìn)行對(duì)比，將發(fā)生變化的信息上報(bào)給中心服務(wù)器。如圖所示：l 策略介紹n 什么是策略策略即是對(duì)終端管理的規(guī)定，可以理解成“管理規(guī)則”，我們可以針對(duì)不同的設(shè)備制定相同的規(guī)則，也可以針對(duì)同一個(gè)設(shè)備制定不同的規(guī)則。n 策略由哪幾部分組成策略由策略名稱、基本策略容、策略執(zhí)行時(shí)間、策略分配對(duì)象等幾部分組成；根據(jù)策略類型的不同，在某些特定的策

39、略中，可能會(huì)缺少上述容中的某些方面。n 策略的種類本系統(tǒng)中的策略可以分為基礎(chǔ)策略、審計(jì)策略和控制策略三種類型的策略。例如：進(jìn)程知識(shí)庫采集屬于基礎(chǔ)策略；上網(wǎng)行為審計(jì)屬于審計(jì)策略；外設(shè)接口、FTP行為控制等策略屬于控制策?？刂祁惒呗杂小疤幚矸绞健边x項(xiàng)，而基礎(chǔ)策略和審計(jì)策略沒有該選項(xiàng)。n 策略的執(zhí)行方式策略由管理平臺(tái)進(jìn)行配置，配置完成后，提交給中心服務(wù)器，由中心服務(wù)器統(tǒng)一分發(fā)給有策略的終端設(shè)備，終端保存策略，然后由終端執(zhí)行策略。n 策略怎么配置u 策略創(chuàng)建輸入策略名稱（必須的）、策略描述，點(diǎn)擊“創(chuàng)建策略”完成策略創(chuàng)建。不允許創(chuàng)建相同名稱的策略。策略創(chuàng)建成功之后，會(huì)自動(dòng)進(jìn)入到“基本策略”界面，并可以通

40、過該頁面的“高級(jí)選項(xiàng)”、“分配對(duì)象”Tab頁進(jìn)行不同的配置切換，如圖所示：u 基本策略基本策略頁面定義了一個(gè)策略的基本規(guī)則，各個(gè)策略之間主要的區(qū)別也在基本策略中進(jìn)行體現(xiàn)。例如進(jìn)程執(zhí)行策略和服務(wù)執(zhí)行策略的區(qū)別就是在于基本策略中控制對(duì)象的不同。后續(xù)各個(gè)章節(jié)具體功能的說明中，主要對(duì)基本策略中的容進(jìn)行說明。u 高級(jí)選項(xiàng)高級(jí)選項(xiàng)定義了制定的策略的執(zhí)行時(shí)間（即策略的生效時(shí)間）。默認(rèn)配置中策略生效時(shí)間是任意日期、任意時(shí)間?？梢愿鶕?jù)需求定義策略生效時(shí)間：可以定義策略生效時(shí)間段、按照每周時(shí)間進(jìn)行設(shè)置、可以定義特定的時(shí)間執(zhí)行。如圖所示：u 分配對(duì)象分配對(duì)象中對(duì)策略執(zhí)行對(duì)象進(jìn)行設(shè)置，可以按照組織結(jié)構(gòu)、IP圍、設(shè)備對(duì)

41、象、自定義組來進(jìn)行分配。如圖所示：n 策略的日志對(duì)于大多數(shù)的策略來說，策略都會(huì)產(chǎn)生日志，如下圖所示：從上圖可知，每個(gè)策略都會(huì)在相同的模塊中存在日志，因此在配置了策略之后，想要找到相應(yīng)的日志的話，只需要在相同的模塊中找到日志項(xiàng)即可。l 接入控制n 控制策略u(píng) 非法外聯(lián)控制非法外聯(lián)控制提供了對(duì)主機(jī)非法聯(lián)網(wǎng)、使用代理上網(wǎng)行為的監(jiān)控。在判斷非法聯(lián)網(wǎng)的時(shí)候，使用探測外網(wǎng)地址的方式來完成，因此在策略中需要配置一個(gè)“外網(wǎng)地址”，該地址是相對(duì)的（相對(duì)網(wǎng)地址而言），一般情況下，建議配置常用的、穩(wěn)定的外網(wǎng)地址，例如.google.hk或.baidu.，當(dāng)然也可以配置例如0等相對(duì)外網(wǎng)的地址。網(wǎng)

42、探測地址，可以配置常用的網(wǎng)地址，例如或54等類似的網(wǎng)關(guān)地址，如圖所示：探測地址：該地址僅僅用來代表“外網(wǎng)”的含義，并不需要用戶真正的去訪問該地址，才能進(jìn)行探測，而是由探頭自動(dòng)進(jìn)行對(duì)所設(shè)置的外網(wǎng)地址的探測。禁止使用代理上網(wǎng)：檢驗(yàn)使用IE代理上網(wǎng)，并自動(dòng)禁止IE代理上網(wǎng)。同時(shí)連接外網(wǎng)：在上述連接“外網(wǎng)”的基礎(chǔ)之上，再增加了對(duì)連接網(wǎng)的判斷，連接網(wǎng)的判斷基礎(chǔ)是是否能夠和中心服務(wù)器聯(lián)通。僅在外網(wǎng)：當(dāng)設(shè)備無法和中心服務(wù)器連通，而又能上“外網(wǎng)”的時(shí)候觸發(fā)該條件。脫離安全網(wǎng)：表示和網(wǎng)地址、中心服務(wù)器無常連通的情況，終端關(guān)機(jī)不屬于脫離安全網(wǎng)疇。在“僅在外網(wǎng)”的情況下發(fā)

43、送：與中心服務(wù)器失去通信時(shí)可以通過發(fā)送的形式提醒管理員發(fā)生了“僅在外網(wǎng)”的違規(guī)事件。在使用該功能前，需要配置發(fā)件人和收件人。u IEEE 802.1x認(rèn)證IEEE 802.1x策略實(shí)現(xiàn)了對(duì)802.1x系統(tǒng)的透明認(rèn)證功能，主要實(shí)現(xiàn)了以下兩個(gè)功能：1、對(duì)終端用戶而言實(shí)現(xiàn)了網(wǎng)絡(luò)接入透明認(rèn)證。2、對(duì)管理員而言實(shí)現(xiàn)了終端認(rèn)證口令統(tǒng)一管理，防止口令丟失。如上圖中，“用戶名稱”填寫802.1x的認(rèn)證用戶，“用戶密碼”填寫802.1x認(rèn)證用戶的認(rèn)證密碼。n 日志查詢u 非法外聯(lián)控制日志日志中記錄了對(duì)非法外聯(lián)策略產(chǎn)生的日志的記錄，如圖所示：l 終端安全n 系統(tǒng)知識(shí)庫u 知識(shí)庫采集配置對(duì)終端進(jìn)程采集進(jìn)行配置，可以

44、配置是否開啟采集終端進(jìn)程，并對(duì)是否進(jìn)行進(jìn)程文件上報(bào)進(jìn)行配置。如圖所示：u 文件知識(shí)庫文件知識(shí)庫用來對(duì)文件分發(fā)和軟件部署功能進(jìn)行文件、軟件庫支持。在文件知識(shí)庫中可以上傳文件、軟件到服務(wù)器上，再通過“文件分發(fā)”和“軟件部署”策略向終端分發(fā)文件、進(jìn)行軟件部署。如圖所示：通過“上傳文件”按鈕，上傳文件到相應(yīng)的文件目錄或軟件目錄下。如果在點(diǎn)擊上傳文件按鈕的時(shí)候，出現(xiàn)了如下提示：則需要將Web插件進(jìn)行安裝。安裝方法請(qǐng)見“第三章 客戶端部署 網(wǎng)頁注冊(cè)方式”章節(jié)的相關(guān)介紹。n 終端服務(wù)u 終端點(diǎn)對(duì)點(diǎn)服務(wù)終端點(diǎn)對(duì)點(diǎn)提供了對(duì)終端直接查看和設(shè)置的支持，找到需要操作的終端設(shè)備，點(diǎn)擊“確認(rèn)控制”按鈕，則會(huì)彈出點(diǎn)對(duì)點(diǎn)控制

45、程序。該功能需要Web插件支持，需要首先安裝Web插件。如圖所示：點(diǎn)對(duì)點(diǎn)功能中有以下幾方面的功能：1) 基本狀態(tài)查看：對(duì)終端存和CPU占用情況的展現(xiàn)。2) 終端安裝軟件查看：對(duì)終端安裝軟件的查看，支持對(duì)非交互安裝程序的直接卸載。（軟件列表來自于軟件安裝列表）3) 共享查看：對(duì)終端共享文件夾的查看。4) 終端安裝補(bǔ)丁查看：對(duì)終端安裝補(bǔ)丁情況的查看，包括已安裝補(bǔ)丁和未安裝補(bǔ)丁。5) 系統(tǒng)用戶查看：對(duì)終端系統(tǒng)的系統(tǒng)用戶進(jìn)行查看，能檢查這些用戶是否存在弱口令。6) 系統(tǒng)事件查看：對(duì)終端系統(tǒng)的系統(tǒng)日志進(jìn)行查看。7) 網(wǎng)絡(luò)接口管理：對(duì)終端網(wǎng)絡(luò)接口進(jìn)行查看，并可以修改終端網(wǎng)絡(luò)設(shè)置（修改某些網(wǎng)絡(luò)配置，會(huì)導(dǎo)致點(diǎn)

46、對(duì)點(diǎn)功能斷開，例如修改終端IP）8) 終端進(jìn)程管理：對(duì)終端上運(yùn)行的進(jìn)程、進(jìn)程的端口進(jìn)行查看，并可以通過點(diǎn)對(duì)點(diǎn)結(jié)束終端的進(jìn)程。9) 終端服務(wù)管理：對(duì)終端上運(yùn)行的服務(wù)進(jìn)行控制。點(diǎn)對(duì)點(diǎn)操作界面如下：u 遠(yuǎn)程協(xié)助遠(yuǎn)程協(xié)助提供了對(duì)終端操作界面接管的功能，使用的是VNC的接管模式，操作界面如下：輸入要接管的遠(yuǎn)程桌面的IP地址，點(diǎn)擊“確認(rèn)控制”按鈕，如果終端服務(wù)正常啟動(dòng)了之后（由于某些安全軟件的設(shè)置，可能會(huì)出現(xiàn)對(duì)終端服務(wù)進(jìn)程的限制行為，需要我們更改安全軟件的設(shè)置），會(huì)彈出如下對(duì)話框：可以選擇“觀看”和“控制”兩種模式（不選擇為控制模式），然后點(diǎn)擊“連接”按鈕會(huì)，會(huì)要求輸入遠(yuǎn)程協(xié)助的密碼（該密碼默認(rèn)為1234

47、56，在“系統(tǒng)管理-全局配置-控制選項(xiàng)”頁面進(jìn)行設(shè)置），如下所示：輸入正確的密碼后，會(huì)進(jìn)入到終端桌面界面，如圖所示：u 文件分發(fā)文件分發(fā)提供了對(duì)終端設(shè)備分發(fā)文件的功能，所分發(fā)的文件，必須由具有文件上傳功能的管理員首先將文件上傳到文件知識(shí)庫中才可以。文件分發(fā)通過策略的形式下發(fā)到終端設(shè)備上去。如圖所示：通過“添加文件”按鈕將文件知識(shí)庫中的文件添加到文件列表中，可以選擇“下載方式”、“運(yùn)行方式”、“下載失敗后的處理”等?？蛻舳嗽谑盏搅瞬呗灾?，會(huì)彈出如下對(duì)話框：上述存儲(chǔ)地址可以更改，默認(rèn)為最大剩余磁盤空間所在磁盤的IIMS目錄，根據(jù)策略的不同，還會(huì)彈出是否打開文件的詢問。在終端需要重新下載文件的時(shí)候

48、，可以通過終端助手（DeskHelper.exe進(jìn)程）托盤程序（根據(jù)版本的不同，可能托盤圖標(biāo)不會(huì)出現(xiàn)），進(jìn)行重新下載，如下圖所示：u 軟件部署與安裝檢查軟件部署與安裝檢查提供了和文件分發(fā)類似的功能，支持軟件的默認(rèn)安裝（需要軟件自身支持命令行，命令行需要管理員自行查找），除此之外，還支持對(duì)終端安裝軟件的探測策略，如下圖所示：提供了對(duì)軟件“下載方式”、“安裝方式”以及失敗后的處理。如果終端發(fā)現(xiàn)了有軟件未正確安裝或安裝的軟件不符合規(guī)定的時(shí)候，則會(huì)按照配置進(jìn)行相應(yīng)的處理。n 安全策略u(píng) 進(jìn)程執(zhí)行控制進(jìn)程執(zhí)行控制提供了對(duì)進(jìn)程的控制，是進(jìn)程控制策略的補(bǔ)充，在進(jìn)程執(zhí)行控制策略中，可以對(duì)單個(gè)或多個(gè)進(jìn)程進(jìn)行控制

49、，禁用或者啟動(dòng)。如圖所示：進(jìn)程控制列表中記錄著進(jìn)程的基本信息，包括：進(jìn)程名稱、源文件名、產(chǎn)品名稱、公司名稱?？刂祁愋停罕硎緦?duì)上述進(jìn)程的控制方式，必須運(yùn)行、禁止運(yùn)行或者自動(dòng)運(yùn)行/ 自動(dòng)禁止。處理方式：是控制類型策略中統(tǒng)一的處理項(xiàng)?！安惶幚怼贝韺?duì)違規(guī)的行為不進(jìn)行處理，所產(chǎn)生的日志也會(huì)被標(biāo)記為“正?！保弧皟H提示”代表對(duì)違規(guī)的行為僅僅做提示，所產(chǎn)生的日志也會(huì)被標(biāo)記為“輕級(jí)”；“斷開網(wǎng)絡(luò)”代表對(duì)違規(guī)的設(shè)備斷開網(wǎng)絡(luò)，所產(chǎn)生的日志也會(huì)被標(biāo)記為“嚴(yán)重”；“關(guān)機(jī)”代表將違規(guī)的設(shè)備直接關(guān)機(jī)，所產(chǎn)生的日志也會(huì)被標(biāo)記為“非常嚴(yán)重”。上報(bào)方式：是對(duì)違規(guī)行為的記錄，也就是對(duì)違規(guī)日志記錄的設(shè)置?！安簧蠄?bào)”即不對(duì)違規(guī)行為進(jìn)

50、行記錄；“僅一次”對(duì)違規(guī)行為只記錄一次；“持續(xù)上報(bào)”如果違規(guī)行為是持續(xù)性的，那么在違規(guī)過程中將持續(xù)對(duì)違規(guī)事件進(jìn)行上報(bào)；“間隔上報(bào)”對(duì)持續(xù)性的違規(guī)行為進(jìn)行持續(xù)的違規(guī)日志上報(bào)。處理方式和上報(bào)方式將在后續(xù)介紹的控制類型的策略中多次出現(xiàn)，將不再贅述。u 服務(wù)執(zhí)行控制服務(wù)執(zhí)行控制對(duì)終端上運(yùn)行的服務(wù)進(jìn)行控制，如圖所示：u 外設(shè)接口控制外設(shè)接口控制提供了對(duì)終端外設(shè)設(shè)備使用控制，能控制多種外設(shè)的使用，如圖所示：策略配置非常簡單，只需選擇啟用、禁用即可。u 網(wǎng)絡(luò)接口控制網(wǎng)絡(luò)接口控制策略提供了對(duì)網(wǎng)卡相關(guān)設(shè)置綁定的功能：IP、Mac、DNS、網(wǎng)關(guān)、網(wǎng)卡改變綁定，在終端收到策略之后，會(huì)對(duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)進(jìn)行記錄，當(dāng)發(fā)生

51、了網(wǎng)絡(luò)接口改變的時(shí)候會(huì)自動(dòng)恢復(fù)到記錄時(shí)刻的狀態(tài)。如圖所示：u 防火墻策略防火墻策略提供了對(duì)設(shè)備訪問控制的功能，主要能實(shí)現(xiàn)對(duì)IP層，Tcp、Udp協(xié)議（通訊端口），和ping的允許和禁止，支持雙向（支持網(wǎng)絡(luò)數(shù)據(jù)流向控制），如圖所示：在配置上，配置IP控制策略，需要輸入IP或者IP段；Tcp和Udp需要配置端口；ICMP無需參數(shù)。u 用戶賬號(hào)策略用戶賬號(hào)策略用來對(duì)終端上存在的賬號(hào)進(jìn)行弱口令檢測、用戶賬戶權(quán)限變更監(jiān)視、用戶組權(quán)限監(jiān)視功能。如圖所示：可以通過“查看系統(tǒng)弱口令配置”按鈕，來擴(kuò)充弱口令庫，如圖所示：u Arp防護(hù)Arp防護(hù)提供了終端對(duì)重要服務(wù)器（或終端設(shè)備）、重要網(wǎng)絡(luò)設(shè)備的Arp保護(hù)，可以

52、對(duì)重要設(shè)備的IP和Mac進(jìn)行綁定。如圖所示：u 共享管理共享管理提供了對(duì)終端共享文件的控制和管理，可以禁用共享或默認(rèn)共享，可以監(jiān)視共享為只讀，監(jiān)視共享改變或者自動(dòng)恢復(fù)等操作，如圖所示：n 事件日志u 文件分發(fā)日志對(duì)文件分發(fā)進(jìn)行了記錄，對(duì)分發(fā)成功率進(jìn)行統(tǒng)計(jì)，并提供了對(duì)日志的高級(jí)查詢功能，如圖所示：u 軟件部署日志對(duì)軟件分發(fā)進(jìn)行記錄，并對(duì)軟件安裝情況進(jìn)行記錄。u 進(jìn)程執(zhí)行控制日志對(duì)進(jìn)程執(zhí)行控制產(chǎn)生的違規(guī)日志進(jìn)行記錄，如圖所示：u 服務(wù)執(zhí)行控制日志對(duì)服務(wù)執(zhí)行控制產(chǎn)生的違規(guī)日志進(jìn)行記錄，如圖所示：u 外接接口控制日志記錄外設(shè)接口的違規(guī)使用記錄，如圖所示：u 網(wǎng)絡(luò)接口控制日志對(duì)網(wǎng)絡(luò)接口違規(guī)日志進(jìn)行記錄，

53、包括非法修改IP、Mac、DNS等網(wǎng)絡(luò)配置。u 用戶事件日志對(duì)用戶賬戶策略中違規(guī)事件進(jìn)行記錄。u 共享事件查詢?nèi)罩緦?duì)終端共享管理事件進(jìn)行記錄，例如禁用共享、共享改變等。l 用戶行為n 配置管理u URL倉庫URL倉庫中完成了對(duì)網(wǎng)絡(luò)URL的分類和采集標(biāo)準(zhǔn)，在URL分類首先要對(duì)URL采集標(biāo)準(zhǔn)進(jìn)行設(shè)定，可以按照域名（支持IP地址）、目錄名、標(biāo)題包含字符、容包含字符四種方式進(jìn)行URL采集。采集到的URL地址，可以設(shè)置為“自動(dòng)生效”和“手動(dòng)生效”兩種方式。按照標(biāo)題和容進(jìn)行采集的時(shí)候，生效規(guī)則可以按照“域名和目錄名”和“域名”兩種方式進(jìn)行采集。如圖所示：在上圖中配置了一條采集策略，該采集策略按照URL域名

54、和目錄名中包含“news”和標(biāo)題和容中包含“新聞”字樣為標(biāo)準(zhǔn)，當(dāng)標(biāo)題和容中有“新聞”字樣的時(shí)候，會(huì)將URL按照域名和目錄名的形式采集上來，并對(duì)該URL進(jìn)行立即生效的處理。可以通過右上角的“生效規(guī)則”、“規(guī)則采集列表”、“規(guī)則采集特征串列表”按鈕來進(jìn)行頁面切換，來查看已經(jīng)生效的規(guī)則和等待生效的規(guī)則。在“生效規(guī)則”中，通過“遷移”和“全部遷移”按鈕來對(duì)已經(jīng)生效的URL進(jìn)行分類間轉(zhuǎn)移。如圖：在“規(guī)則采集列表”中，通過“生效”和“全部生效”按鈕來使待生效的URL在分類中生效。如圖：n 行為策略u(píng) 上網(wǎng)行為審計(jì)上網(wǎng)行為審計(jì)對(duì)終端的http訪問進(jìn)行審計(jì)，配合上述的URL分類進(jìn)行細(xì)致化的劃分，如圖所示：本企業(yè)，專門用來對(duì)本企業(yè)進(jìn)行審計(jì)；“全部”分類能夠?qū)K端訪問的全部的URL進(jìn)行審計(jì)，“其它”分類是自定義分類之外的URL，而圖中例如“體育”、“新聞”等則是用戶自定義分類。審計(jì)容選項(xiàng)打開的話，會(huì)在審計(jì)URL地址的同時(shí)