桌面管理產(chǎn)品手冊范本

1、NetStrong使用說明書網(wǎng)強信息技術（）2010-6-30聲明法律聲明本文檔中的信息如有更改，恕不另行通知。（2009）NetStrong Information Technology (Shanghai) Corporation Limited。所有，翻印必究。未經(jīng)NetStrong Information Technology (Shanghai) Corporation Limited書面許可，除非法允許，不準以任何形式對本文檔進行復制、改編或翻譯。網(wǎng)強信息技術（）對本手冊不作任何擔保包括但不限于適銷性和特定用途適用性的隱含擔保。網(wǎng)強信息技術（）對本手冊中包含的錯誤以及與其功能或使用

2、有關的直接、間接、特殊、偶發(fā)或者繼發(fā)性損失不負任何責任。保修網(wǎng)強信息技術（）承諾若是在保修期間（自您收到軟件之日起的三十天）裝載軟件的介質(zhì)確實出現(xiàn)質(zhì)量問題，網(wǎng)強信息技術（）將視情況而定，絕對負責更換相同類型的軟件介質(zhì)產(chǎn)品。網(wǎng)強信息技術（）保證，更換的軟件介質(zhì)，其品質(zhì)完全相同?？梢詮漠?shù)劁N售與服務機構索取適用于您所購買的NetStrong網(wǎng)強產(chǎn)品及更換部件的特定保修條款。有限權利許可與許可協(xié)議一起提供的軟件是網(wǎng)強信息技術（）或其授權者的財產(chǎn)，受到法的保護。網(wǎng)強(信息技術（）擁有該軟件最終所有權，您只要接受本許可協(xié)議，即可具有一定的使用權利。除非本許可證協(xié)議的補充協(xié)議有所修改，否則您使用本軟件的權

3、利和義務僅限如下：（1） 若在裝載本軟件的介質(zhì)中只包含一個版本，則只能安裝一套軟件，若介質(zhì)中包含該軟件的多個版本，則只能安裝和使用其中一個版本的副本。（2） 對軟件介質(zhì)中裝載的文件進行備份，或者復制到計算機硬盤中而將原始文件作為檔案進行保存。（3） 若您不保留該軟件的副本，并接受被轉讓人同意遵守本許可協(xié)議的條件，在您向網(wǎng)強信息技術（）發(fā)出書面通知以后，得到網(wǎng)強信息技術（）的官方允許，可以將該軟件介質(zhì)永久性的轉讓給個人或公司實體。（4） 不可以復制復制本軟件附帶的相關文檔（5） 不可以再次授權、出租、或出借本軟件的任何部分（6） 不可以通過反向工程、反編譯、反匯編、修改、翻譯和其他方法來試圖獲取

4、該軟件的源代碼，或用該軟件進行派生工作。商標許可NetStrong，網(wǎng)強 是在中國的注冊商標由 NetStrong Information Technology (Shanghai) Corporation Limited獨家授權。本文檔中使用的商標：Intel和Pentium是Intel Corporation的注冊商標；Microsoft、Windows、Windows NT是Microsoft Corporation的注冊商標。本文檔中述及的其它商標和產(chǎn)品名稱是指擁有相應商標和產(chǎn)品名稱的公司或其制造的產(chǎn)品，NetStrong Information Technology (Shangha

5、i) Corporation Limited對其它公司的商標和產(chǎn)品名稱不擁有任何專利權。注意：（1） 本操作手冊需要統(tǒng)一制作和印刷，軟件中包含的某些功能模塊需要另外購買，因此不能保證所安裝的軟件產(chǎn)品中具有本操作手冊中所描述的某些功能模塊。（2） 網(wǎng)強信息技術（）僅允許您在接受許可協(xié)議中的各項條款的情況下，才可以使用本軟件產(chǎn)品。請仔細閱讀各項條款。目錄第一章服務器部署1l服務器要求1n服務器硬件要求1n服務器軟件要求1l服務器軟件配置1n安裝IIS和SMTP1nOffice組件配置3l服務器安裝4第二章服務器基本配置5l基本配置5n創(chuàng)建域并添加域管理圍5n添加組織結構6n更新注冊程序和打包注冊程

6、序6第三章客戶端部署9l客戶端部署9n網(wǎng)頁注冊方式9n分發(fā)客戶端注冊程序11第四章功能點說明13l系統(tǒng)分析13n事件統(tǒng)計13n資源統(tǒng)計13n注冊統(tǒng)計14n設備統(tǒng)計15l系統(tǒng)管理16n全局配置16n系統(tǒng)配置16u掃描器管理16n注冊管理17u注冊程序管理17u終端升級控制17u設備注冊控制17u注冊終端卸載18u未注冊阻斷列表18n系統(tǒng)用戶19u用戶管理19u系統(tǒng)權限20n登錄用戶21u我的用戶21u訪問權限21n數(shù)據(jù)庫管理21n系統(tǒng)日志22u登陸日志22u操作日志22l資產(chǎn)管理23n設備管理23u注冊設備管理23u分組管理26u未注冊設備管理27u設備開關機27n資產(chǎn)統(tǒng)計27u軟件資產(chǎn)分類28

7、u硬件資產(chǎn)28u軟件資產(chǎn)28uIP資源統(tǒng)計29u硬件變更29u軟件變更30l策略介紹31n什么是策略31n策略由哪幾部分組成31n策略的種類31n策略的執(zhí)行方式31n策略怎么配置31u策略創(chuàng)建31u基本策略31u高級選項31u分配對象32n策略的日志32l接入控制33n控制策略33u非法外聯(lián)控制33uIEEE 802.1x認證35n日志查詢35u非法外聯(lián)控制日志35l終端安全36n系統(tǒng)知識庫36u知識庫采集配置36u文件知識庫36n終端服務36u終端點對點服務36u遠程協(xié)助38u文件分發(fā)40u軟件部署與安裝檢查41n安全策略41u進程執(zhí)行控制41u服務執(zhí)行控制42u外設接口控制42u網(wǎng)絡接口控

8、制43u防火墻策略43u用戶賬號策略43uArp防護44u共享管理45n事件日志45u文件分發(fā)日志45u軟件部署日志45u進程執(zhí)行控制日志45u服務執(zhí)行控制日志46u外接接口控制日志46u網(wǎng)絡接口控制日志46u用戶事件日志47u共享事件查詢?nèi)罩?7l用戶行為48n配置管理48uURL倉庫48n行為策略48u上網(wǎng)行為審計48u上網(wǎng)行為控制49uFTP行為審計50uFTP行為控制51u本地文件審計51u剪貼板審計52u光驅(qū)使用控制52u行為審計52u行為控制53u訪問共享審計54u即時通訊審計54n用戶行為日志55u上網(wǎng)行為審計日志55u上網(wǎng)行為控制日志55uFTP行為審計日志55uFTP行為控制

9、日志55u本地文件審計日志55u剪貼板審計日志55u光驅(qū)使用記錄日志55u行為審計日志55u行為控制日志56u共享行為審計日志56u即時通訊審計日志56l運維管理57n運維策略57u網(wǎng)絡數(shù)據(jù)包捕獲57n運維查詢58u網(wǎng)絡數(shù)據(jù)包統(tǒng)計分析58u網(wǎng)絡數(shù)據(jù)包事件日志58l移動介質(zhì)60n安全移動介質(zhì)的制作60n安全介質(zhì)標簽管理使用說明62u什么是“標簽”62u怎么管理標簽62u為安全移動介質(zhì)打上標簽63n移動介質(zhì)的管理63u安全移動介質(zhì)的使用管理63u移動介質(zhì)策略管理64n操作日志65u安全介質(zhì)操作日志65u安全介質(zhì)使用日志66u普通介質(zhì)使用日志66u安全介質(zhì)變更日志66n安全移動介質(zhì)的注銷和重新注冊6

10、7n客戶端安全瀏覽器UDE的使用說明67u安全移動介質(zhì)在網(wǎng)中的使用67u安全移動介質(zhì)在外網(wǎng)中的使用69l補丁分發(fā)70n分發(fā)配置70u補丁列表70n補丁策略71u補丁測試策略71u補丁安裝策略72u補丁卸載策略72n統(tǒng)計分析72u補丁策略分析72u全網(wǎng)補丁安全分析73u終端補丁統(tǒng)計73u補丁安裝結果分析73u補丁分發(fā)日志統(tǒng)計74u補丁卸載日志統(tǒng)計74l級聯(lián)管理75n級聯(lián)管理75u級聯(lián)配置75u級聯(lián)審核76u管理中心拓撲76u管理中心日志77n安全策略77n行為策略77n站點策略77n級聯(lián)訂閱78u訂閱策略78n級聯(lián)數(shù)據(jù)78u級聯(lián)設備78u級聯(lián)數(shù)據(jù)日志79u級聯(lián)數(shù)據(jù)分析79l系統(tǒng)報表79n報表管理

11、79u報表管理79n報表策略80u數(shù)據(jù)統(tǒng)計分析80u圖形統(tǒng)計報表81u對比分析報表82u臨時報表82n報表日志82u報表日志82第一章 服務器部署l 服務器要求n 服務器硬件要求u CPU推薦四核1.6（及其以上） 最低雙核 2.0u 存推薦4G（及其以上） 最低2Gu 硬盤推薦500G（及其以上）最小80Gu 網(wǎng)卡推薦1000M網(wǎng)卡（及其以上）最低100M網(wǎng)卡n 服務器軟件要求u Windows Server 2003系統(tǒng)（至少安裝SP1補丁，建議安裝SP2補?。﹗ Microsoft SQL Server 2005中文版（標準版、企業(yè)版）及其以上版本（不支持MS SQL Server 20

12、00 數(shù)據(jù)庫）u Microsoft Office 2003及其以上版本（至少安裝Word和Excel）u IIS 6.0（需要安裝SMTP服務）u Microsoft Framework.Net 2.0l 服務器軟件配置n 安裝IIS和SMTP首先在服務器光驅(qū)中放入Windows Server 2003的安裝光盤。依次打開【控制面板 添加或刪除程序 添加/刪除Windows組件】，并找到應用“應用程序服務器”，點擊進入之后，找到“Internet信使服務（IIS）”，在其前邊點上對勾，再從“Internet信使服務（IIS）”點擊進去，找到“SMTP Service”并在其前邊點上對勾。然后

13、依次點擊“確定”，如果彈出插入光盤的提示，請先核對光盤是否正確，光驅(qū)是否能夠正常讀取光盤，以及Windows提示的安裝位置是否正確，如果安裝位置不正確，需要用戶手工輸入正確的文件地址。選擇IIS部分的操作截圖如下：對SMTP服務的中繼服務進行配置，如下圖所示：安裝完成IIS之后，需要確保IIS上的“Web服務擴展”中的Asp 2.0項啟用（由于IIS和Microsoft Framework.Net 2.0的安裝順序可能會導致“Web服務擴展”中的Asp.Net 2.0組件被禁用的情況，n Office組件配置依次打開【控制面板 管理工具 組件服務】，并在【組件服務】中依次找到【組建服務 計算機

14、 我的計算機 DCOM配置】，在【DCOM配置】中找到【Microsoft Excel 應用程序】和【Microsoft Word 文檔】項，對其“屬性”中“安全”選項卡中【啟動和激活權限】、【訪問權限】、【配置權限】三項中分別添加“NETWORK SERVICE”用戶，并對該用戶賦予全部權限，如下圖所示：l 服務器安裝雙擊setup.exe啟動安裝程序，依次選擇MS SQL Server數(shù)據(jù)庫服務器，并輸入管理員用戶名和密碼，選擇安裝目錄，進行安裝即可。第二章 服務器基本配置在使用系統(tǒng)之前需要對系統(tǒng)進行基本的配置，配置需要通過IE瀏覽器（IE6、IE7、IE8）或者IE核的瀏覽器進行配置，并

15、使IE瀏覽器打開JavaScript腳本支持（不支持：Mozilla Firefox、Netscape Navigator、Opera、Google Chrome等非IE核瀏覽器）。使用瀏覽器登錄到管理平臺，需要注意區(qū)分主機名和虛擬目錄名，登錄賬號和密碼為安裝程序中設置的用戶名和密碼。特別注意：第一次登錄的時候，需要選擇本套系統(tǒng)的工作模式：【集權模式】和【三權分離】，如下圖所示：一旦選擇了工作模式，在以后的使用中即無法修改其工作模式。請根據(jù)頁面提示信息，選擇適合的工作模式。l 基本配置n 創(chuàng)建域并添加域管理圍“域”是用來對網(wǎng)中的設備以IP為依據(jù)，進行管理的集合。首先需要添加一個“域”，域的名稱

16、可以是任意的，便于管理員管理即可，“域”的管理圍有以下三種【管理IP】、【掃描IP】、【保留IP】。u 【管理IP】：一個IP圍或一個IP地址，本管理IP圍的計算機可以在服務器上進行注冊并接受管理，在該圍的未注冊設備會被阻斷網(wǎng)絡通訊。u 【掃描IP】：一個IP圍或一個IP地址，本掃描IP圍的計算機可以在服務器上進行注冊并接受管理，在改圍的未注冊設備不會被阻斷網(wǎng)絡通訊。u 【保留IP】：一個IP圍或一個IP地址，本保留IP圍的計算機無法在服務器上進行注冊也無法接受管理。如下圖所示：n 添加組織結構組織結構是便于管理員對本系統(tǒng)所管轄圍的計算機從邏輯上進行區(qū)分，建議該邏輯采用行政級別劃分。n 更新注

17、冊程序和打包注冊程序完成了對域的配置和組織結構的配置之后，就可以對客戶端的注冊程序進行配置了，如下圖所示：其中組織結構是屬于注冊信息中的必選項，而其它的信息可由管理員進行配置，可以選擇相應的注冊信息是否是“必填項”。如果選用了【靜默注冊】則注冊密碼項不生效。注冊密碼：用于客戶端通過瀏覽器進行注冊的時候進行身份認證，建議在非系統(tǒng)部署階段將該密碼進行修改，以提高網(wǎng)系統(tǒng)中的設備的可信性。DMZ通訊IP：適用于需要將服務器的IP地址在和被管理設備進行IP地址轉換的情況下適用，例如將NetStrong服務器安裝到了DMZ服務區(qū)，或者適用NAT進行了地址轉換等情況。DMZ通訊IP地址需要配置成被轉換的地址

18、，而非當前服務器的真實IP地址；而DMZ的通訊端口需要和服務器的688端口做好映射關系，在通訊端口配置好映射的端口即可。（如果沒有IP地址轉換的話，則無需進行DMZ項的配置）注冊信息項擴展：當系統(tǒng)默認的注冊信息項不能滿足實際需求的時候，管理員可以通過點擊【系統(tǒng)管理注冊管理注冊程序配置】頁面上的【編輯擴展字段】按鈕，對需要的信息進行擴充。目前擴充的信息有兩種形式：“文本框”和“列表框”。如下圖所示。特別注意：當管理員變更了【域管理圍】、【組織結構】、【注冊信息項】、【注冊密碼】的時候，務必要點擊頁面上的【打包注冊程序】進行打包，只有經(jīng)過打包，注冊頁面以及相應的注冊信息才會進行更新。*打包：對注冊

19、程序的更新以及重新制作的過程。完成了上述三步之后，即完成了服務器基本配置，就可以開始進行客戶端注冊了。在操作接口上有【系統(tǒng)配置向?qū)А堪粹o，點擊它可彈出服務器基本配置向?qū)?，可按照該提示完成服務器基本配置，如下圖所示：第三章 客戶端部署l 客戶端部署客戶端部署有以下兩種方式：一是采用網(wǎng)頁注冊的方式；二是采用分發(fā)客戶端注冊程序的方式。下面就兩種部署方式分別進行介紹。n 網(wǎng)頁注冊方式網(wǎng)頁注冊：為用戶提供了通過IE瀏覽器（或者基于IE瀏覽器的）下面詳細介紹操作流程。1) 首先安裝好web控制中心和中心服務器。使得客戶端可以通過web控制中心頁面正常的訪問中心服務器。如下圖所示：終端用戶可以通過IE瀏覽器

20、正常訪問web控制中心確保中心服務器正常啟動、進程正常運行2) 終端用戶訪問web控制中心點擊web控制中心頁面上的“客戶端注冊”按鈕進行注冊。如第一次注冊會提示客戶端未安裝注冊插件，根據(jù)IE安全級別設置的不同可能會阻止IE下載ActiveX插件或者停止安裝Active插件下載。如下圖所示：打開IE的“Internet 選項”，找到“安全”選項卡，將“可信站點”的安全級別設置為“低”（根據(jù)IE版本不同，該項設置的最低安全描述可能會是“中低”，如遇到該情況，請在“本地Intranet”中進行web控制中心平臺的設置），并在“站點”中添加web控制中心的訪問地址。如下圖所示：對web控制中心的地址

21、進行添加依次確定之后，重新訪問注冊頁面，會根據(jù)IE安全級別設置的不同分別彈出以下兩種對話框。點擊“是”允許ActiveX進行交互操作點擊“安裝”進行IE插件安裝依次添入注冊信息，并點擊注冊按鈕完成注冊。3) 客戶端重新注冊客戶端允許重新注冊，重新注冊的過程同上一步。會彈出詢問對話框，點擊“確定”進行重新注冊。重新注冊n 分發(fā)客戶端注冊程序1) 在通過“系統(tǒng)配置向?qū)А边M行基本配置并完成“打包注冊程序”步驟后，客戶端注冊程序就已生成在服務器目錄。只需將該注冊程序拷貝出來分發(fā)給客戶端即可完成客戶端注冊。注意：以分發(fā)客戶端注冊程序的方式進行客戶端注冊的時候，要求在進行系統(tǒng)基本信息配置的時候，不能配置注

22、冊密碼，即在操作“更新注冊程序”步驟的時候請不要勾選啟用“注冊密碼”選項；如啟用過，請關閉“注冊密碼”選項，并依次點擊“確定更新”和“打包注冊程序”按鈕。如下圖所示。打包注冊程序前請確認“注冊密碼”選項沒有啟用2) 在服務器上找到安裝中心控制臺的安裝目錄，并依次打開.NetStrongWebConsolebinDownLoad，在該目錄下存在一個由數(shù)字描述的文件夾，打包好的客戶端注冊程序就在該目錄下。3) 將找到的RegistPkt.exe文件進行分發(fā)，完成客戶端注冊過程。說明1：使用客戶端注冊程序進行注冊的用戶，其組織結構會被列到第一個根目錄下。說明2：使用其它的系統(tǒng)分發(fā)RegistPkt.

23、exe的時候，讓客戶端自動運行的話，不需要對RegistPkt.exe程序進行參數(shù)設置。第四章 功能點說明l 系統(tǒng)分析本節(jié)容介紹了系統(tǒng)分析功能下所展現(xiàn)的數(shù)據(jù)的含義以及相應的操作。系統(tǒng)分析下主要展現(xiàn)了終端用戶行為日志統(tǒng)計、終端設備資源統(tǒng)計、網(wǎng)用戶注冊統(tǒng)計和網(wǎng)設備統(tǒng)計。n 事件統(tǒng)計事件統(tǒng)計主要對網(wǎng)終端用戶行為的記錄進行數(shù)量統(tǒng)計，并可根據(jù)用戶行為類型進行用戶定義時間段的走勢分析?？蛇x取按照日、周、月、季度和自定義圍進行展現(xiàn)。n 資源統(tǒng)計資源統(tǒng)計對網(wǎng)終端設備進行統(tǒng)計，從主要的硬件（CPU、硬盤、存）對網(wǎng)終端資源進行展現(xiàn)，除此之外對網(wǎng)終端設備的軟件（操作系統(tǒng)、殺毒軟件）進行信息采集，進行展現(xiàn)。n 注冊統(tǒng)

24、計注冊統(tǒng)計對網(wǎng)中所能掃描到的網(wǎng)段中的設備進行掃描，并對注冊設備和未注冊設備進行統(tǒng)計。同時提供對歷史注冊情況的查詢功能。n 設備統(tǒng)計設備統(tǒng)計提供了對可掃描的網(wǎng)段的設備的注冊情況按照是否在線和設備類型進行統(tǒng)計的展現(xiàn)。l 系統(tǒng)管理系統(tǒng)管理提供了對管理本套系統(tǒng)的基本配置，主要包含以下幾方面的容：系統(tǒng)管理域配置、系統(tǒng)組織結構配置、用戶注冊信息配置、下級管理員建立和權限分配、登錄用戶管理、數(shù)據(jù)庫查看、登錄日志查看等。n 全局配置在控制選項中對系統(tǒng)左上角的logo進行配置，對遠程協(xié)助的密碼進行配置。n 系統(tǒng)配置系統(tǒng)配置中對系統(tǒng)域管理圍和網(wǎng)組織結構進行配置。這兩項配置需要在初次使用系統(tǒng)之前進行配置，否則無常使

25、用本系統(tǒng)。詳細配置請參看“第二章 服務器基本配置-基本配置過程-創(chuàng)建域并添加域管理圍”和“第二章 服務器基本配置-基本配置過程-添加組織結構”部分。u 掃描器管理掃描器管理實現(xiàn)了對網(wǎng)中設備進行指定掃描器的操作。*掃描器：用來發(fā)送掃描器探測包的設備。如果一個域中安裝了任意一個代理程序，那么就會在該管理域中，對網(wǎng)上的設備進行掃描。這樣專門的一個安裝了代理程序的設備，我們稱之為掃描器。掃描器的管理頁面如下：如上圖所示，在左側的“當前掃描器”一欄中，顯示的是在當前網(wǎng)段中正在充當掃描器的設備。在右側的選擇列表中，可以選擇指定的掃描器，通過“添加”按鈕，將選中的掃描器放到“掃描器配置列表”中。如果掃描器配

26、置列表中的設備都關機的話，則會從開機設備中自動的選擇一臺設備作為掃描器。出現(xiàn)如上圖所示的情況。如果要修改當前“掃描器配置列表”，只需要更改掃描器配置列表（添加或者刪除掃描器），然后點擊“啟用更改配置”按鈕。如圖所示：n 注冊管理u 注冊程序管理注冊管理提供了客戶端注冊程序的配置功能，在該頁面上可以對客戶端注冊程序進行配置。詳細配置請參看“第二章 服務器基本配置-基本配置過程-更新注冊程序和打包注冊程序”部分。u 終端升級控制終端升級控制提供了對終端設備代理程序（探頭程序），進行升級的控制的功能。在網(wǎng)中部署好的設備，在升級情況下需要保證代理程序不會因為升級而造成災難性破壞，例如藍屏、系統(tǒng)死機、代

27、理程序性能等現(xiàn)象。終端升級控制，允許小部分測試設備先進行升級，通過測試之后再進行大面積升級的功能。如圖：圖中提供了兩種升級方式：1、全網(wǎng)升級。2、升級以下列表中的對象。下面就這兩種方式進行說明：全網(wǎng)升級：不需要配置“分配對象”，當管理員決定對網(wǎng)中所有的設備進行升級的時候，只需要選擇“全網(wǎng)升級”并對策略進行保存和重啟就可以完成全網(wǎng)設備升級。升級以下列表中的對象：對升級對象進行配置，僅僅對配置了的終端進行升級。注意：在測試過程中升過級的設備，在配置了全網(wǎng)升級策略的時候，將不會再次升級。如果探頭重新安裝，則會在收到升級策略之后進行升級。u 設備注冊控制設備注冊控制提供了對接入網(wǎng)設備注冊情況的管理。如

28、果接入的網(wǎng)設備沒有進行注冊的話，則可以通過開啟對未注冊設備的阻斷，使未注冊設備無法上網(wǎng)。如果只是想要對未注冊的設備發(fā)出警告的話，則可以選擇警告提示即可。如圖所示：u 注冊終端卸載注冊終端卸載提供了對已經(jīng)注冊的設備的注冊終端進行卸載的功能。如圖所示：終端卸載可以按照組織結構、IP圍和設備對象分別進行卸載，添加好卸載設備之后，點擊“確定卸載”按鈕確認卸載。u 未注冊阻斷列表未注冊阻斷列表主要是在開啟了“設備注冊控制”中的“沒有注冊則阻斷聯(lián)網(wǎng)”功能之后（如下圖），設備的通訊被阻斷，其阻斷信息會在該頁面展現(xiàn)。對于沒有注冊且被阻斷的設備，管理員可以通過該頁面上的“取消阻斷”按鈕，對阻斷的非注冊設備取消斷

29、網(wǎng)功能，也可以通過“設置阻斷”按鈕，持續(xù)對非注冊設備的斷網(wǎng)阻斷功能。如下圖：n 系統(tǒng)用戶系統(tǒng)用戶提供了對下級管理員的管理和權限分配的功能。u 用戶管理用戶管理：為頂級管理員或者有用戶管理權限功能的下級管理員創(chuàng)建下級管理員的功能。如圖所示：在用戶管理頁面可以創(chuàng)建下級“管理用戶”，每個創(chuàng)建出來的管理用戶，其初始密碼是123456。可以對用戶有效期進行設置，默認情況下用戶為永不過期的。*三權模式下的區(qū)別：在三權模式下，系統(tǒng)管理員可以創(chuàng)建管理用戶和策略管理用戶。日志管理員（audit）負責創(chuàng)建日志審計用戶。u 系統(tǒng)權限系統(tǒng)權限：新建用戶后，須對該新建用戶其分配權限和設置管理的對象。 如上圖所示，在“選

30、擇用戶名稱”處選擇要分配權限的用戶，并選擇要賦予該用戶的權限。完成為新建用戶權限選擇后，點擊“管理對象”選項卡，為該用戶選擇管理對象，點擊確定更新按鈕完成操作。n 登錄用戶u 我的用戶對當前登陸用戶的用戶信息的顯示和當前用戶密碼的修改。u 訪問權限訪問權限是某用戶對允許自己的“用戶名”登陸“管理中心控制臺”的IP地址的設置。若該登陸用戶對該項沒有進行任何設置，則系統(tǒng)默認為該用戶在網(wǎng)的任何IP地址的計算機上均允許訪問。如用戶設置的訪問權限為：允許訪問網(wǎng)段00，則只允許該用戶在00的IP地址的計算機登陸“管理中

31、心控制臺”， 禁止該用戶在其他IP地址的計算機上登陸“管理中心控制臺”。注：“訪問權限”是當前登陸用戶為本身登陸管理中心控制臺進行的IP地址的限制，該登陸用戶對該項的設置，不影響其他用戶的登陸。n 數(shù)據(jù)庫管理提供了服務器上數(shù)據(jù)庫和磁盤占用情況的統(tǒng)計，在磁盤剩余空間不足的時候，會提示管理員。如圖所示：n 系統(tǒng)日志u 登陸日志記錄登陸“管理中心控制臺”用戶的登陸時間、登錄地址、登陸狀態(tài)等信息?？筛鶕?jù)相關條件進行查詢。u 操作日志記錄所有登錄用戶在“管理中心控制臺”的所有操作?？筛鶕?jù)相關條件進行查詢。l 資產(chǎn)管理n 設備管理u 注冊設備管理對已注冊設備相關信息的查看和管理。如下圖所示，在注冊設備列表

32、中顯示了所有當前已注冊設備的IP地址、Mac地址、設備類型等信息，所顯示顯示的列，可通過點擊“自定義顯示列”按鈕進行設置。通過點擊“自定義顯示列”按鈕，可對所顯示的注冊設備信息的容、順序和列長度進行設置，如下圖所示。設置完成后點擊“確定更新”按鈕進行保存?！白远x顯示列”的設置只對當前登錄用戶自己顯示效果起作用，不影響其他用戶。已注冊設備，可通過選擇“檢索項”，輸入相關信息，如使用人、IP地址、聯(lián)系等信息進行查詢。若需要對特定條件，如操作系統(tǒng)、公司部門、硬件信息等進行查詢時，可通過點擊“高級查詢”按鈕查詢，如下圖所示。在“注冊設備信息列表”中所顯示的信息，可通過點擊“輸出Excel”按鈕，以E

33、XCEL格式導出所有的數(shù)據(jù)。點擊“注冊設備信息列表”中對應的注冊設備，在界面底部信息欄中的“基本信息”“信息變更”、“軟件信息”、“硬件信息”、“安全狀態(tài)”、“安全事件”和“歷史變更” 選項卡中，會顯示該設備的相關信息。基本信息：在“基本信息”選項卡中顯示了注冊設備的“基本信息”、“注冊信息”、“網(wǎng)絡信息”和“擴展信息”?！盎拘畔ⅰ敝酗@示了該注冊設備的設備名稱、操作系統(tǒng)、CPU和硬盤等設備的基本信息?！白孕畔ⅰ敝酗@示了該設備的注冊信息，如設備注冊時間及在注冊時輸入的相關信息。“網(wǎng)絡信息”中顯示了該設備的IP地址、Mac地址?！皵U展信息”中顯示了該設備在注冊時輸入的擴展信息。信息變更：在“信

34、息變更”選項卡中顯示當前設備在注冊時輸入的信息，該信息可在此處進行修改更新。如下圖所示，在對應輸入框中進行修改、編輯，點擊確定更新，完成信息更新操作。當注冊設備所屬的組織改變時，可通過點擊“設備遷移”按鈕，在下圖“選擇目標組織結構”對話框中選擇新的組織，點擊確定按鈕完成組織結構變更的操作。軟件信息：在“軟件信息”選項卡中，對當前設備所安裝的軟件，按照“軟件知識庫”中設置的分類進行顯示，如下圖所示。硬件信息：在“硬件信息”選項卡中顯示當前設備的硬件信息，如下圖所示。安全狀態(tài)：在“安全狀態(tài)”選項卡中顯示當前設備的殺毒軟件和補丁安裝情況，如下圖所示。安全事件：在“安全事件”選項卡中顯示當前設備所觸發(fā)

35、的策略事件，如下圖所示，在每種策略事件中列出了所觸發(fā)的策略次數(shù)、“今日事件”、“歷史事件”和“歷史事件走勢分析”?？赏ㄟ^點擊“今日事件”、“歷史事件”和“歷史事件走勢分析”前的圖標對其進行查看，如點擊“進程執(zhí)行控制”的“歷史事件”和“歷史事件走勢分析”圖標，彈出“進程執(zhí)行控制事件統(tǒng)計”圖。在下圖中，可通過點擊“上一月”和“下一月”，可對每個月的“歷史事件走勢分析”曲線圖進行查看。歷史變更：在“歷史變更”選項卡中顯示當前設備的軟、硬件變更信息，如下圖所示。u 分組管理對具有相似屬性的設備（使用人）可以通過分組管理，將設備（使用人）從邏輯上進行分組，并在制訂策略的時候，通過對分配對象的配置對統(tǒng)一分

36、組中是設備（使用人）分配一樣的策略。如圖所示：u 未注冊設備管理對當前管理網(wǎng)段中沒有進行注冊的設備進行展現(xiàn)，如圖所示：u 設備開關機對已經(jīng)注冊了的設備的開、關機情況進行記錄，并根據(jù)設備的使用情況，統(tǒng)計出來設備的使用率?？梢杂涗浽O備的開、關機頻率，根據(jù)時間段統(tǒng)計設備的開、關機數(shù)量。如圖所示：n 資產(chǎn)統(tǒng)計u 軟件資產(chǎn)分類軟件資產(chǎn)分類中統(tǒng)計了當前所有已注冊設備上安裝的軟件，管理員可以根據(jù)實際的需求，對軟件資產(chǎn)進行分類整理?！拔粗浖保褐邪怂械奈捶诸愜浖?，是系統(tǒng)的默認分類，無法刪除?？梢酝ㄟ^“創(chuàng)建新類”按鈕，創(chuàng)建各種管理分類，再分別往分類中添加軟件列表。如圖所示：u 硬件資產(chǎn)硬件資產(chǎn)中記錄了當

37、前注冊設備中硬件的統(tǒng)計，可以分別按照硬盤、CPU、存、光驅(qū)、顯卡、鼠標、鍵盤、聲卡、主板進行查看，點擊“查看清單”按鈕，可以對詳細信息進行查看。如圖所示。u 軟件資產(chǎn)軟件資產(chǎn)，根據(jù)軟件資產(chǎn)分類列表中對軟件分類的劃分，按照組織結構，對組織結構中使用的軟件進行統(tǒng)計。如圖所示：u IP資源統(tǒng)計對“系統(tǒng)域劃分”中所定義的IP地址圍，進行是否占用和注冊的描述，如圖所示：圖中綠色圖標表示該IP地址，已經(jīng)注冊，黃色表示該IP地址沒有注冊，但是已經(jīng)被占用，灰色表示該IP地址沒有被占用。u 硬件變更硬件變更中對當前已經(jīng)注冊的設備產(chǎn)生的硬件變更進行記錄。在終端設備安裝探頭的時候，會對當前設備的硬件進行“快照”操作

38、，當注冊設備的硬件發(fā)生變更之后，則會對硬件信息進行對比，將發(fā)生變化的信息上報給中心服務器。如圖所示：u 軟件變更軟件變更中對當前已經(jīng)注冊的設備產(chǎn)生的軟件變更進行記錄。在終端設備安裝探頭的時候，會對當前設備的軟件進行“快照”操作，當注冊設備的軟件發(fā)生變更之后，則會對軟件信息進行對比，將發(fā)生變化的信息上報給中心服務器。如圖所示：l 策略介紹n 什么是策略策略即是對終端管理的規(guī)定，可以理解成“管理規(guī)則”，我們可以針對不同的設備制定相同的規(guī)則，也可以針對同一個設備制定不同的規(guī)則。n 策略由哪幾部分組成策略由策略名稱、基本策略容、策略執(zhí)行時間、策略分配對象等幾部分組成；根據(jù)策略類型的不同，在某些特定的策

39、略中，可能會缺少上述容中的某些方面。n 策略的種類本系統(tǒng)中的策略可以分為基礎策略、審計策略和控制策略三種類型的策略。例如：進程知識庫采集屬于基礎策略；上網(wǎng)行為審計屬于審計策略；外設接口、FTP行為控制等策略屬于控制策?？刂祁惒呗杂小疤幚矸绞健边x項，而基礎策略和審計策略沒有該選項。n 策略的執(zhí)行方式策略由管理平臺進行配置，配置完成后，提交給中心服務器，由中心服務器統(tǒng)一分發(fā)給有策略的終端設備，終端保存策略，然后由終端執(zhí)行策略。n 策略怎么配置u 策略創(chuàng)建輸入策略名稱（必須的）、策略描述，點擊“創(chuàng)建策略”完成策略創(chuàng)建。不允許創(chuàng)建相同名稱的策略。策略創(chuàng)建成功之后，會自動進入到“基本策略”界面，并可以通

40、過該頁面的“高級選項”、“分配對象”Tab頁進行不同的配置切換，如圖所示：u 基本策略基本策略頁面定義了一個策略的基本規(guī)則，各個策略之間主要的區(qū)別也在基本策略中進行體現(xiàn)。例如進程執(zhí)行策略和服務執(zhí)行策略的區(qū)別就是在于基本策略中控制對象的不同。后續(xù)各個章節(jié)具體功能的說明中，主要對基本策略中的容進行說明。u 高級選項高級選項定義了制定的策略的執(zhí)行時間（即策略的生效時間）。默認配置中策略生效時間是任意日期、任意時間?？梢愿鶕?jù)需求定義策略生效時間：可以定義策略生效時間段、按照每周時間進行設置、可以定義特定的時間執(zhí)行。如圖所示：u 分配對象分配對象中對策略執(zhí)行對象進行設置，可以按照組織結構、IP圍、設備對

41、象、自定義組來進行分配。如圖所示：n 策略的日志對于大多數(shù)的策略來說，策略都會產(chǎn)生日志，如下圖所示：從上圖可知，每個策略都會在相同的模塊中存在日志，因此在配置了策略之后，想要找到相應的日志的話，只需要在相同的模塊中找到日志項即可。l 接入控制n 控制策略u 非法外聯(lián)控制非法外聯(lián)控制提供了對主機非法聯(lián)網(wǎng)、使用代理上網(wǎng)行為的監(jiān)控。在判斷非法聯(lián)網(wǎng)的時候，使用探測外網(wǎng)地址的方式來完成，因此在策略中需要配置一個“外網(wǎng)地址”，該地址是相對的（相對網(wǎng)地址而言），一般情況下，建議配置常用的、穩(wěn)定的外網(wǎng)地址，例如.google.hk或.baidu.，當然也可以配置例如0等相對外網(wǎng)的地址。網(wǎng)

42、探測地址，可以配置常用的網(wǎng)地址，例如或54等類似的網(wǎng)關地址，如圖所示：探測地址：該地址僅僅用來代表“外網(wǎng)”的含義，并不需要用戶真正的去訪問該地址，才能進行探測，而是由探頭自動進行對所設置的外網(wǎng)地址的探測。禁止使用代理上網(wǎng)：檢驗使用IE代理上網(wǎng)，并自動禁止IE代理上網(wǎng)。同時連接外網(wǎng)：在上述連接“外網(wǎng)”的基礎之上，再增加了對連接網(wǎng)的判斷，連接網(wǎng)的判斷基礎是是否能夠和中心服務器聯(lián)通。僅在外網(wǎng)：當設備無法和中心服務器連通，而又能上“外網(wǎng)”的時候觸發(fā)該條件。脫離安全網(wǎng)：表示和網(wǎng)地址、中心服務器無常連通的情況，終端關機不屬于脫離安全網(wǎng)疇。在“僅在外網(wǎng)”的情況下發(fā)

43、送：與中心服務器失去通信時可以通過發(fā)送的形式提醒管理員發(fā)生了“僅在外網(wǎng)”的違規(guī)事件。在使用該功能前，需要配置發(fā)件人和收件人。u IEEE 802.1x認證IEEE 802.1x策略實現(xiàn)了對802.1x系統(tǒng)的透明認證功能，主要實現(xiàn)了以下兩個功能：1、對終端用戶而言實現(xiàn)了網(wǎng)絡接入透明認證。2、對管理員而言實現(xiàn)了終端認證口令統(tǒng)一管理，防止口令丟失。如上圖中，“用戶名稱”填寫802.1x的認證用戶，“用戶密碼”填寫802.1x認證用戶的認證密碼。n 日志查詢u 非法外聯(lián)控制日志日志中記錄了對非法外聯(lián)策略產(chǎn)生的日志的記錄，如圖所示：l 終端安全n 系統(tǒng)知識庫u 知識庫采集配置對終端進程采集進行配置，可以

44、配置是否開啟采集終端進程，并對是否進行進程文件上報進行配置。如圖所示：u 文件知識庫文件知識庫用來對文件分發(fā)和軟件部署功能進行文件、軟件庫支持。在文件知識庫中可以上傳文件、軟件到服務器上，再通過“文件分發(fā)”和“軟件部署”策略向終端分發(fā)文件、進行軟件部署。如圖所示：通過“上傳文件”按鈕，上傳文件到相應的文件目錄或軟件目錄下。如果在點擊上傳文件按鈕的時候，出現(xiàn)了如下提示：則需要將Web插件進行安裝。安裝方法請見“第三章 客戶端部署 網(wǎng)頁注冊方式”章節(jié)的相關介紹。n 終端服務u 終端點對點服務終端點對點提供了對終端直接查看和設置的支持，找到需要操作的終端設備，點擊“確認控制”按鈕，則會彈出點對點控制

45、程序。該功能需要Web插件支持，需要首先安裝Web插件。如圖所示：點對點功能中有以下幾方面的功能：1) 基本狀態(tài)查看：對終端存和CPU占用情況的展現(xiàn)。2) 終端安裝軟件查看：對終端安裝軟件的查看，支持對非交互安裝程序的直接卸載。（軟件列表來自于軟件安裝列表）3) 共享查看：對終端共享文件夾的查看。4) 終端安裝補丁查看：對終端安裝補丁情況的查看，包括已安裝補丁和未安裝補丁。5) 系統(tǒng)用戶查看：對終端系統(tǒng)的系統(tǒng)用戶進行查看，能檢查這些用戶是否存在弱口令。6) 系統(tǒng)事件查看：對終端系統(tǒng)的系統(tǒng)日志進行查看。7) 網(wǎng)絡接口管理：對終端網(wǎng)絡接口進行查看，并可以修改終端網(wǎng)絡設置（修改某些網(wǎng)絡配置，會導致點

46、對點功能斷開，例如修改終端IP）8) 終端進程管理：對終端上運行的進程、進程的端口進行查看，并可以通過點對點結束終端的進程。9) 終端服務管理：對終端上運行的服務進行控制。點對點操作界面如下：u 遠程協(xié)助遠程協(xié)助提供了對終端操作界面接管的功能，使用的是VNC的接管模式，操作界面如下：輸入要接管的遠程桌面的IP地址，點擊“確認控制”按鈕，如果終端服務正常啟動了之后（由于某些安全軟件的設置，可能會出現(xiàn)對終端服務進程的限制行為，需要我們更改安全軟件的設置），會彈出如下對話框：可以選擇“觀看”和“控制”兩種模式（不選擇為控制模式），然后點擊“連接”按鈕會，會要求輸入遠程協(xié)助的密碼（該密碼默認為1234

47、56，在“系統(tǒng)管理-全局配置-控制選項”頁面進行設置），如下所示：輸入正確的密碼后，會進入到終端桌面界面，如圖所示：u 文件分發(fā)文件分發(fā)提供了對終端設備分發(fā)文件的功能，所分發(fā)的文件，必須由具有文件上傳功能的管理員首先將文件上傳到文件知識庫中才可以。文件分發(fā)通過策略的形式下發(fā)到終端設備上去。如圖所示：通過“添加文件”按鈕將文件知識庫中的文件添加到文件列表中，可以選擇“下載方式”、“運行方式”、“下載失敗后的處理”等?？蛻舳嗽谑盏搅瞬呗灾?，會彈出如下對話框：上述存儲地址可以更改，默認為最大剩余磁盤空間所在磁盤的IIMS目錄，根據(jù)策略的不同，還會彈出是否打開文件的詢問。在終端需要重新下載文件的時候

48、，可以通過終端助手（DeskHelper.exe進程）托盤程序（根據(jù)版本的不同，可能托盤圖標不會出現(xiàn)），進行重新下載，如下圖所示：u 軟件部署與安裝檢查軟件部署與安裝檢查提供了和文件分發(fā)類似的功能，支持軟件的默認安裝（需要軟件自身支持命令行，命令行需要管理員自行查找），除此之外，還支持對終端安裝軟件的探測策略，如下圖所示：提供了對軟件“下載方式”、“安裝方式”以及失敗后的處理。如果終端發(fā)現(xiàn)了有軟件未正確安裝或安裝的軟件不符合規(guī)定的時候，則會按照配置進行相應的處理。n 安全策略u 進程執(zhí)行控制進程執(zhí)行控制提供了對進程的控制，是進程控制策略的補充，在進程執(zhí)行控制策略中，可以對單個或多個進程進行控制

49、，禁用或者啟動。如圖所示：進程控制列表中記錄著進程的基本信息，包括：進程名稱、源文件名、產(chǎn)品名稱、公司名稱?？刂祁愋停罕硎緦ι鲜鲞M程的控制方式，必須運行、禁止運行或者自動運行/ 自動禁止。處理方式：是控制類型策略中統(tǒng)一的處理項?！安惶幚怼贝韺`規(guī)的行為不進行處理，所產(chǎn)生的日志也會被標記為“正?！?；“僅提示”代表對違規(guī)的行為僅僅做提示，所產(chǎn)生的日志也會被標記為“輕級”；“斷開網(wǎng)絡”代表對違規(guī)的設備斷開網(wǎng)絡，所產(chǎn)生的日志也會被標記為“嚴重”；“關機”代表將違規(guī)的設備直接關機，所產(chǎn)生的日志也會被標記為“非常嚴重”。上報方式：是對違規(guī)行為的記錄，也就是對違規(guī)日志記錄的設置?！安簧蠄蟆奔床粚`規(guī)行為進

50、行記錄；“僅一次”對違規(guī)行為只記錄一次；“持續(xù)上報”如果違規(guī)行為是持續(xù)性的，那么在違規(guī)過程中將持續(xù)對違規(guī)事件進行上報；“間隔上報”對持續(xù)性的違規(guī)行為進行持續(xù)的違規(guī)日志上報。處理方式和上報方式將在后續(xù)介紹的控制類型的策略中多次出現(xiàn)，將不再贅述。u 服務執(zhí)行控制服務執(zhí)行控制對終端上運行的服務進行控制，如圖所示：u 外設接口控制外設接口控制提供了對終端外設設備使用控制，能控制多種外設的使用，如圖所示：策略配置非常簡單，只需選擇啟用、禁用即可。u 網(wǎng)絡接口控制網(wǎng)絡接口控制策略提供了對網(wǎng)卡相關設置綁定的功能：IP、Mac、DNS、網(wǎng)關、網(wǎng)卡改變綁定，在終端收到策略之后，會對當前的網(wǎng)絡狀態(tài)進行記錄，當發(fā)生

51、了網(wǎng)絡接口改變的時候會自動恢復到記錄時刻的狀態(tài)。如圖所示：u 防火墻策略防火墻策略提供了對設備訪問控制的功能，主要能實現(xiàn)對IP層，Tcp、Udp協(xié)議（通訊端口），和ping的允許和禁止，支持雙向（支持網(wǎng)絡數(shù)據(jù)流向控制），如圖所示：在配置上，配置IP控制策略，需要輸入IP或者IP段；Tcp和Udp需要配置端口；ICMP無需參數(shù)。u 用戶賬號策略用戶賬號策略用來對終端上存在的賬號進行弱口令檢測、用戶賬戶權限變更監(jiān)視、用戶組權限監(jiān)視功能。如圖所示：可以通過“查看系統(tǒng)弱口令配置”按鈕，來擴充弱口令庫，如圖所示：u Arp防護Arp防護提供了終端對重要服務器（或終端設備）、重要網(wǎng)絡設備的Arp保護，可以

52、對重要設備的IP和Mac進行綁定。如圖所示：u 共享管理共享管理提供了對終端共享文件的控制和管理，可以禁用共享或默認共享，可以監(jiān)視共享為只讀，監(jiān)視共享改變或者自動恢復等操作，如圖所示：n 事件日志u 文件分發(fā)日志對文件分發(fā)進行了記錄，對分發(fā)成功率進行統(tǒng)計，并提供了對日志的高級查詢功能，如圖所示：u 軟件部署日志對軟件分發(fā)進行記錄，并對軟件安裝情況進行記錄。u 進程執(zhí)行控制日志對進程執(zhí)行控制產(chǎn)生的違規(guī)日志進行記錄，如圖所示：u 服務執(zhí)行控制日志對服務執(zhí)行控制產(chǎn)生的違規(guī)日志進行記錄，如圖所示：u 外接接口控制日志記錄外設接口的違規(guī)使用記錄，如圖所示：u 網(wǎng)絡接口控制日志對網(wǎng)絡接口違規(guī)日志進行記錄，

53、包括非法修改IP、Mac、DNS等網(wǎng)絡配置。u 用戶事件日志對用戶賬戶策略中違規(guī)事件進行記錄。u 共享事件查詢?nèi)罩緦K端共享管理事件進行記錄，例如禁用共享、共享改變等。l 用戶行為n 配置管理u URL倉庫URL倉庫中完成了對網(wǎng)絡URL的分類和采集標準，在URL分類首先要對URL采集標準進行設定，可以按照域名（支持IP地址）、目錄名、標題包含字符、容包含字符四種方式進行URL采集。采集到的URL地址，可以設置為“自動生效”和“手動生效”兩種方式。按照標題和容進行采集的時候，生效規(guī)則可以按照“域名和目錄名”和“域名”兩種方式進行采集。如圖所示：在上圖中配置了一條采集策略，該采集策略按照URL域名

54、和目錄名中包含“news”和標題和容中包含“新聞”字樣為標準，當標題和容中有“新聞”字樣的時候，會將URL按照域名和目錄名的形式采集上來，并對該URL進行立即生效的處理?？梢酝ㄟ^右上角的“生效規(guī)則”、“規(guī)則采集列表”、“規(guī)則采集特征串列表”按鈕來進行頁面切換，來查看已經(jīng)生效的規(guī)則和等待生效的規(guī)則。在“生效規(guī)則”中，通過“遷移”和“全部遷移”按鈕來對已經(jīng)生效的URL進行分類間轉移。如圖：在“規(guī)則采集列表”中，通過“生效”和“全部生效”按鈕來使待生效的URL在分類中生效。如圖：n 行為策略u 上網(wǎng)行為審計上網(wǎng)行為審計對終端的http訪問進行審計，配合上述的URL分類進行細致化的劃分，如圖所示：本企業(yè)，專門用來對本企業(yè)進行審計；“全部”分類能夠?qū)K端訪問的全部的URL進行審計，“其它”分類是自定義分類之外的URL，而圖中例如“體育”、“新聞”等則是用戶自定義分類。審計容選項打開的話，會在審計URL地址的同時