中軟統(tǒng)一終端安全管理平臺v90使用手冊

1、u非常感謝您選用我們的，本手冊用于指導用戶怎樣使用中軟統(tǒng)一終端安全管理系統(tǒng) V9.0（中文簡稱終端安全管理系統(tǒng)），請您在使用本系統(tǒng)前，詳細閱讀本手冊。本手冊和系統(tǒng)一并出售且僅提供電子文檔。Copyright © 2012 by CS&S，中國軟件與技術服務所有。u中軟統(tǒng)一終端安全管理系統(tǒng) V9.0 是中國軟件與技術服務研發(fā)的受或方法法律保護的商業(yè)軟件。遵律是共同的責任，任何人本軟件和手冊，權利人將人，不得以及出于任何目的或者責任并保留要求賠償?shù)臋嗬?。u任何人或?qū)嶓w由于該手冊提供的信息造成的任何損失或損害，中國軟件與技術服務股不承擔任何義務或責任。份系統(tǒng)中文名稱：中軟統(tǒng)一終端安

2、全管理系統(tǒng)V9.0開發(fā)：中國軟件與技術服務本系統(tǒng)的：中國軟件與技術服務地址：北京市海淀區(qū)學院南路 55 號中軟：郵箱：waterdam，100081前言近年來，內(nèi)網(wǎng)安全問題已經(jīng)逐漸引起了各級的廣泛重視，企業(yè)安全意識增強，安全投入增加，但是安全卻不斷在增多。分析其主要是因為安全解決方案存在缺陷，內(nèi)網(wǎng)終端安全管理涉及多種基本的安全服務，是一個立體的、多方位、多層次的系統(tǒng)問題。為此，中軟公司在復用防水墻系統(tǒng)成熟技術的基礎上，引入先進的內(nèi)網(wǎng)安全管理理念和新的內(nèi)網(wǎng)安全管理技術重新搭建系統(tǒng)體系結構，研發(fā)了中軟統(tǒng)一終端安全管理系統(tǒng) V9.0。本手冊詳細介紹了中軟統(tǒng)一終端安全管理系統(tǒng) V9.0 基礎功能的使用

3、方法和操作技巧，為用戶在使用本系統(tǒng)時提供參考，全手冊共分十四章。uuuuuuuuuuuuuu第一章：系統(tǒng)概述第二章：體系結構和運行環(huán)境第三章：初識臺第四章：組織結構管理第五章：安全策略配置第六章：響應與知識庫管理第七章：審批管理第八章：統(tǒng)計審計分析第九章：系統(tǒng)參數(shù)設置第十章：服務器級聯(lián)第十一章：服務器操作指南 第十二章：客戶端操作指南 第十三章：離線審計操作指南第十四章：技術支持為了方便讀者閱讀，我們在書中設計了兩個小圖標，它們分別代表：注意： 告訴用戶應特別注意的地方。提示：給用戶提個醒或介紹使用經(jīng)驗和心得。本書內(nèi)容全面，深入淺出，適合使用、配置終端安全管理系統(tǒng)的用戶讀者；檢測、評估主機與審

4、計系統(tǒng)的技術和，以及希望使用終端安全管理系統(tǒng)協(xié)助對其組織、機構或企業(yè)進行管理的管理等。本手冊適用于中軟統(tǒng)一終端安全管理系統(tǒng) V9.0 的 9.0.X 版本的使用，隨相應版本的光盤附帶，對該的其他版本，如未作特殊說明或者更新，該手冊同樣適用。本手冊在編寫過程中，盡管我們做了最大努力力求完美和準確，但由于水平有限，難免存在疏漏和缺陷之處。如果您對本手冊有任何疑問、意見或建議，請與我們幫助。感謝您對我們的支持和中國軟件與技術服務2018 年 9 月目錄第一章 系統(tǒng)概述1第二章 體系結構和運行環(huán)境22.1 系統(tǒng)體系結構22.2 推薦硬件需求32.3 推薦軟件需求4第三章 初識臺5登錄臺53.1普通用戶

5、登錄5KEY 用戶登錄6臺連接診斷6臺使用..43.2 界面介紹93.3 快速入門11添加組織和11添加管理員帳戶13向客戶端下發(fā)策略15查看日志信息..43.4菜單功能介紹17修改17修改 KEY17同步域帳戶18修改服務器初始化信息23修改個人信息23組織結構信息統(tǒng)計24策略應用狀況統(tǒng)計24口令管理25切換用戶26鎖定臺26幫助27. 2.....第四章 組織結構管理294.1組織結構界面29i與計算機30

6、管理30計算機管理49群組管理60刪除用戶管理67計算機離線情況68客戶端健康檢查情況69審核69與權限70管理70用戶管理74舉例說明8....3第五章 安全策略配置855.1 策略定義855.2 快速策略配置855.3 策略集885.3.1 策略集界面885.3.2 策略集使用方法895.4 群組策略945.4.1 群組策略界面955.4.2 群組策略使用方法95第六章 響應與知識庫管理1016.1知識庫管理101類型定義10.2配置信息定義1036.2警報處理106第

7、七章 審批管理1097.1 流程模板設置1097.1.1 員工審批模板109審批模板1167.1.2審批流程配置122審批管理125審批員級別管理127級別審批流程127.5ii7.6審批參數(shù)設置129第八章 統(tǒng)計審計分析131一般方法131高級使用方法13.1過濾1368.2.2選擇列1378.2.3導出1388.2.4分析1388.2.5偏好設置142第九章 系統(tǒng)參數(shù)設置1449.1服務器端參數(shù)配置144參數(shù)設置144自動分組配置項145服務器空間配置146審批文件管理參數(shù)設置146日志路徑設置147網(wǎng)關配置147SMTP 服務器配置148帳戶安全設

8、置148臺升級設置149溢出設置149用戶默認安全等級設置150客戶端更換配置150審批平臺服務器配置151服務器負載配置151服務器服務白配置152網(wǎng)絡接入認證配置153介質(zhì)流轉(zhuǎn)配置15........客戶端參數(shù)配置154日志上傳設置154時間同步設置154心跳信號設置155安全服務器設置155安全等級字樣設置155外聯(lián)地址列表設置156計算進程157iii...6

9、.8終端認證配置157第十章 服務器級聯(lián)15810.1概述15810.2 系統(tǒng)部署15810.3 通信方式15910.4 服務器級聯(lián)組織159導入159到服務器160審核下級服務器162登錄下級服務器163刪除下級服務器164下級組織結構自動上傳165License 級聯(lián)管理165.210.4.310.4.410.4.510.4.610.4.710.5級聯(lián)策略管理168基準策略編輯與下發(fā)168基準策略應用狀態(tài)171基準策略統(tǒng)計17.210.5.310.6 級聯(lián)警報17410.6.1 級聯(lián)警報策略17410.6.2 級聯(lián)警報查看17510

10、.7 級聯(lián)日志17610.7.1 級聯(lián)日志查看17610.8 級聯(lián)安全報表17710.8.1 級聯(lián)報表查看17710.8.2 級聯(lián)報表訂閱178第十一章 服務器操作指南18011.1 備份與恢復工具18011.1.1 數(shù)據(jù)導出18011.1.2 數(shù)據(jù)導入18211.1.3 數(shù)據(jù)清除18311.1.4 日志導出184的備份185的恢復18611.1.511.1.611.1.7定時備份187管理工具18911.2iv客戶端操作指南190第十二章接收、消息190用戶192修改帳戶193檢查更新193關于19412.412.5離線審計操作指南197第十三章技術支持200第十四章

11、附件一：名詞解釋201附件二：常見問題解答202v第一章 系統(tǒng)概述第一章 系統(tǒng)概述目前，計算機和計算機網(wǎng)絡已經(jīng)成為企業(yè)、和其它各種組織的重要信息載體和傳輸。但是，在享受計算機以及計算機網(wǎng)絡所帶來的方便性的同時，也出現(xiàn)了內(nèi)部和外部網(wǎng)絡安全問題。、檢測、內(nèi)以及其它外部網(wǎng)絡的系統(tǒng)，無法解決企業(yè)內(nèi)部的安全問題。據(jù) IDC報告顯示超過 85%的威脅來自于內(nèi)部，其危害程度更是遠遠超過所造成的損失，而這些威脅絕大部分是內(nèi)部各種和的操作行為所造成的。-U 盤，造成木馬在內(nèi)網(wǎng)橫行隨意的文件共享，造成涉密文件的泄漏使用脆弱口令，造成系統(tǒng)很容易被繞過系統(tǒng)漏洞不及時修復，造成系統(tǒng)很容易被外部主機的接入，導致敏感信息被

12、竊取不受的打印和刻錄，讓敏感信息唾手可得因為用戶安全意識的薄弱、企業(yè)的安全監(jiān)管措施、有效的終端安全防護的工具等眾多因素，導致企業(yè)內(nèi)部的終端難于管理，內(nèi)部可以輕松地將計算機中的信息通過移動設備、打印、刻錄、網(wǎng)絡等途徑泄露出去，而且嚴峻的。留下任何痕跡，企業(yè)內(nèi)網(wǎng)的安全合規(guī)性受到了這種現(xiàn)狀，中軟公司在 2001 年就開始致力于內(nèi)網(wǎng)安全防護系統(tǒng)的開發(fā)，先后向市場推出了中軟防水墻系統(tǒng) 7.0 版本、7.0+版本和 7.2 版本、中軟統(tǒng)一終端安全管理系統(tǒng) 8.0。隨著內(nèi)網(wǎng)安全管理的復雜化，中軟公司在復用防水墻系統(tǒng)成熟技術的基礎上，引入先進的內(nèi)網(wǎng)安全管理理念和新的內(nèi)網(wǎng)安全管理技術重新搭建系統(tǒng)體系結構，基于分

13、級保護標準要求和局相關安全合規(guī)產(chǎn)品標準，研發(fā)了中軟統(tǒng)一終端安全管理系統(tǒng) V9.0。該系統(tǒng)是以“木桶原理”為理論依據(jù)，以安全策略為驅(qū)動，按照 PDR 安全模型的“保護-檢測-響應”工作流程循環(huán)檢測，同時結合規(guī)定的“分級防護”指導方針，采用多種安全技術實現(xiàn)了對終端主機全方位、多層次的安全防護。按照“保護-檢測-響應”的工作流程逐步完善終端安全防護策略，并將處理方式和處理流程登錄到用戶知識庫，逐步形成內(nèi)網(wǎng)事故應急響應流程和共享安全解決方案的知識庫。中軟統(tǒng)一終端安全管理系統(tǒng) V9.0 是內(nèi)網(wǎng)安全管理的，是加強個人計算機內(nèi)部安全管理的重要工具，它充分利用、認證、和審計跟蹤等技術，對涉密信息、重要業(yè)務數(shù)據(jù)

14、和技術專利等敏感信息的、和處理過程，實施安全保護；最大限度地防止敏感信息泄漏、被破壞和外傳，并完整涉及敏感信息的操作日志，以便日后審計或相關的泄密責任。中軟統(tǒng)一終端安全管理系統(tǒng) V9.0 從內(nèi)部安全體系架構和網(wǎng)絡管理層面上，實現(xiàn)了內(nèi)部安全的完美統(tǒng)一，有效降低了“堡壘從內(nèi)部攻破”的可能性。1第二章 體系結構和運行環(huán)境第二章體系結構和運行環(huán)境2.1 系統(tǒng)體系結構系統(tǒng)分為三個組件：客戶端、服務器和臺，系統(tǒng)采用分布式，集中式管理的工作模式。組件之間采用C/S 工作模式，組件的通信是采用 HTTP/HTTPS 加密傳輸方式。支持任意層級的服務器級聯(lián)，上下級服務器之間采用 HTTPS 協(xié)議進行。體系結構如

15、圖 2-1 所示。圖 2-1系統(tǒng)體系結構圖n客戶端：安裝在受保護的終端計算機上，實時監(jiān)測客戶端的用戶行為和安全狀態(tài)，實現(xiàn)客戶端安全策略管理。一旦發(fā)現(xiàn)用戶的行為或計算機的安全狀態(tài)異常，系統(tǒng)及時向服務器告警信息，并執(zhí)行預定義的應急響應策略。n服務器：安裝在專業(yè)的數(shù)據(jù)服務器上，需要數(shù)據(jù)庫的支持。通過安全認證建立與多個客戶端系統(tǒng)的連接，實現(xiàn)客戶端策略的和下發(fā)、日志的收集和。上下級服務器間基于 HTTPS 進行通信，實現(xiàn)組織結構、告警、日志統(tǒng)計信息等數(shù)據(jù)的搜集。2第二章 體系結構和運行環(huán)境n臺：人機交互界面，是管理員實現(xiàn)對系統(tǒng)管理的工具。通過安全認證建立與服務器的信任連接，實現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審

16、計和管理。臺、服務器、客戶端之間的通信關系如圖 2-2 所示。圖 2-2 組件之間的通信關系圖2.2推薦硬件需求表格 1 系統(tǒng)推薦硬件需求3客戶端個數(shù)<200200-500500-2000>2000服務器主機個數(shù)1111+服務器CPU P4 3.0GHz或更高RAM 2GBHDisk 120GB網(wǎng)卡 100M及以上CPU P4 3.0GHz或更高RAM 4GBHDisk 240GB 網(wǎng)卡 1000MCPU Xeon雙核2.0GHz或更高RAM 4GBHDisk 480GB 網(wǎng)卡 1000MCPU Xeon四核3.0GHz或更高RAM 8GBSCSI Disk 500G 10000轉(zhuǎn)

17、及以上網(wǎng)卡 1000M臺CPU P4 2.0 RAM 512MBHDisk 40GBCPU P4 2.0 RAM 1GBHDisk 40GBCPU P4 3.0 RAM 1GBHDisk 40GBCPU P4 3.0 RAM 1GBHDisk 80GB客戶端CPU P4 2.0/ RAM 512MB/ HDisk 40GB審計系統(tǒng)CPU P4 2.0/ RAM 512MB/ Hdisk 120GB （隨服務器變化）第二章體系結構和運行環(huán)境2.3推薦軟件需求表格 2 系統(tǒng)軟件需求提示：n 終端安全管理系統(tǒng)服務器，包括服務器軟件和支持數(shù)據(jù)庫。建議在主機上安裝終端安全管理系統(tǒng)服務器，并且關閉所有與終

18、端安全管理系統(tǒng)無關的不必要的服務。n 為保證用戶正常使用終端安全管理系統(tǒng)，最好將終端安全管理系統(tǒng)服務器、臺和客戶端分別運行于本最高補丁。的系統(tǒng)之上，同時用戶安裝前應將 Windows 版本進行升級，安裝各自版4操 作 系 統(tǒng)所需其他軟件支持服務器Windows Server 2003 32位/64位Windows Server 2008 R2 Windows Server 2012中標麒麟Linux服務器操作系統(tǒng) (32/64位)SQL Server 2000（SP4） SQL Server 2005企業(yè)版(SP4) SQL Server 2008企業(yè)版SQL Server 2012企業(yè)版本達

19、夢數(shù)據(jù)庫臺Windows XP Professional (Service Pack 3) Windows Server 2003 (Service Pack 2)Windows7（Ultimate / Enterprise / Business）(32位)Windows 10中標麒麟Linux操作系統(tǒng) (32/64位)Windows XP Professional (Service Pack 3) (32/64位) Windows Server 2003 (Service Pack 2)Windows Server 2008 R2客戶端Windows Server 2012Windows7（

20、Ultimate / Enterprise / Business）(32/64位)注：客戶端安裝Server 2008R2和Server 2012操作系統(tǒng)時，僅限部署主審和三合一子。Windows8.X (專業(yè)版 / 企業(yè)版) (32/64位) Windows 10第三章 初識臺第三章初識臺3.1 登錄臺3.1.1 普通用戶登錄1登錄管理工具導入臺前，檢查是否將硬件“加密鎖”安裝在終端安全管理系統(tǒng)服務器上，并通過。然后，雙擊臺桌面上“WBConsole”圖標，也可依次單擊臺的“開始程序CSSWBConsole”，進入登錄框，如圖 3-1 所示、如圖 3-2 所示。在終端安全管理系統(tǒng)臺登錄框中，

21、填寫服務器地址、用戶名和，然后單擊“確定”按鈕，進入終端安全管理系統(tǒng)臺。圖 3-1臺桌面圖標圖 3-2臺登錄界面注意：（1）首次登錄臺時需要以管理員運行，系統(tǒng)自動導入服務器。初始登錄的“用戶名”和“用戶?！?，為系統(tǒng)內(nèi)置的“用戶名”和“”，登錄后可以修改，也可新增管理員和（2）系統(tǒng)內(nèi)置管理用戶有兩個：管理員admin,1234567a；安全官security1234567a。系統(tǒng)內(nèi)置四個：管理員、安全官、操作員、審計員。5第三章 初識臺3.1.2 KEY 用戶登錄當臺設置某一個用戶與指定的 KEY 關聯(lián)時，該用戶可以使用 KEY 登錄。將 KEY臺，選擇“認證KEY”登錄方式，如圖 3-3 所示

22、。選擇 KEY 設備類型和認證 KEY，輸入KEY，單擊“確定”按扭，登錄臺。圖 3-3 KEY 用戶登錄臺提示：臺用戶與 KEY 的關聯(lián)，參見“關聯(lián) KEY”章節(jié)。如果設置 KEY 用戶只能使用 KEY 方式登錄時，該用戶將無法使用用戶名和的“普通”方式登錄，只能使用指定的 KEY 登錄臺。3.1.3臺連接診斷1臺登錄服務器時，系統(tǒng)將依次服務器 IP 地址連接狀態(tài)、服務器端口 8443 是否打開、服務器服務是否啟動、通信是否正確。如果登錄失敗，將彈出“無法連接服務器”消息框，提示用戶出錯，如圖 3-4、3-5 所示。6第三章初識臺圖 3-4登錄臺失敗消息框（1）圖 3-5登錄臺失敗消息框（2

23、）2用戶將查找的問題逐項解決后，以正確的方式登錄臺，連接服務器。3.1.4臺使用1當管理員登錄時，已有相同的管理員用戶在另一位置登錄，會彈出提示框，如圖 3-6 所示。管理員可以強制登錄，也可換用其他帳戶登錄，保證不能有同名帳戶同時登錄。7第三章 初識臺圖 3-6 管理員單一登錄2臺登錄時，若版本與服務器所要求的不匹配，會提示用戶“本臺版本與服務器的版本不兼容，請升級到×.×.××.×××及以上版本!”，如圖 3-7 所示。其中“×.×.××.×××”為服

24、務器所要求臺的最低版本。圖 3-7 服務器與臺兼容性3定，如圖設置。臺登錄時，如果嘗試次數(shù)超過了服務器參數(shù)中帳戶安全設置的次數(shù)，臺將被鎖示。超過鎖定時間自動，或者由系統(tǒng)管理員（默認 admin），詳見帳戶安全提示：重試機制。臺用戶錯誤鎖定功能只普通用戶，不key 用戶，key 有的圖 3-8臺帳戶被鎖定4登錄后，如果在指定的時間間隔內(nèi)不操作接服務器失效提示框，如圖 3-9 所示。重新輸入10 所示。臺（詳見帳戶安全設置），則自動鎖定，出現(xiàn)連后，才可重回原來的臺操作界面，如圖 3-8第三章初識臺圖 3-9臺連接服務器失效圖 3-10 重新輸入再次登錄臺5臺 KEY 用戶在使用臺的過程中，如果 K

25、EY 被拔下，10 秒鐘以內(nèi)，臺將自動。點擊鎖定，如圖 3-11 所示。若正確的 KEY，并輸入正確的，點擊“確定”后可進行“取消”，則臺。圖 3-11 拔出KEY臺自動鎖定3.2 界面介紹我們以系統(tǒng)默認的 admin 用戶登錄中軟統(tǒng)一終端安全管理系統(tǒng) V9.0臺，顯示界面如圖 3-12 所示。臺采用單文檔-多視圖結構設計，大體由六部組織成：1. 菜單欄2. 工具條3. 組織結構4. 信息顯示窗5. 功能操作區(qū) 6. 系統(tǒng)狀態(tài)區(qū)9第三章 初識臺注意：不同的用戶登錄臺界面會有所差異，具體的用戶界面取決于您所的證和當前用戶權限范圍。文檔中帶（*）號的為可選組件。圖 3-12臺操作界面u菜單欄：包括

26、文件、設置、工具和幫助四項。主要提供切換用戶、修改修改個人信息、組織結構信息統(tǒng)計、客戶端卸載口令管理、幫助和查看、同步域帳戶、信息等功能。u工具條：包括組織結構管理、系統(tǒng)參數(shù)設置。不同的用戶登錄，顯示的不同工具條。操作員登錄，將顯示安全管理中心、內(nèi)網(wǎng)安全掃描、響應與知識庫、統(tǒng)計審計分析等。u組織結構：顯示臺組織結構和策略集。通過下方的過濾按鈕，可以查看用戶、在線用戶和離線用戶以及主機、主機和離線主機等信息。u信息顯示窗：管理員登錄時，顯示所選或計算機；操作員登錄時,顯示具體的策略內(nèi)容。u功能操作區(qū)：管理員登錄時，顯示操作功能項；操作員登錄時，顯示失泄密防護策略、主機安全策略、策略、管理、資產(chǎn)查

27、看的具體項。u系統(tǒng)狀態(tài)區(qū)：顯示臺操作日志和系統(tǒng)日志。點擊“操作日志”左上方的上、下小箭頭可以展開或伸縮系統(tǒng)狀態(tài)區(qū)。10第三章 初識臺3.3 快速入門用戶以 admin 初次登錄臺，可能感到無從下手。下面我們做幾個例子，告訴用戶如何添加組織和，怎樣建立管理員帳戶分配和權限，以及如何向客戶端下發(fā)策略、查看日志信息等，這樣用戶就會對整個系統(tǒng)有個初步認識。3.3.1 添加組織和u 添加組織（1）用戶初次以 admin 登錄臺后，看到的組織結構為空，只顯示根組織。單擊右鍵菜單“添加組織”，或者單擊操作列表中的“添加組織”，如圖 3-13 所示。圖 3-13 添加組織（2）在彈出的添加組織界面中，輸入組織

28、結構名稱和描述信息后，單擊“確定”按鈕，如圖 3-14 所示。圖 3-14 輸入組織信息（3）在組織結構中能夠看到剛添加的組織名稱。用戶可根據(jù)需要添加多個組織節(jié)點，建立的組織結構，如圖 3-15 所示。11第三章 初識臺圖 3-15 新建的組織節(jié)點u 添加用戶（1）建立了組織后，在組織下添加用戶。在組織結構中選擇節(jié)點，單擊右鍵菜單，選擇“添加用戶”菜單項，或者單擊操作列表中的“添加用戶”，如圖 3-16 所示圖 3-16 添加用戶（2）在彈出的添加用戶界面中，輸入用戶名、真實名、出生年月和等相關信息后，單擊“確定”按鈕，組織結構中顯示出新增加的用戶，如圖 3-17 所示。注意：項一定要輸入，長

29、度不小于 6 位。一定要記住，客戶端時需要。圖 3-17 輸入用戶信息12第三章 初識臺（3）同樣方法，根據(jù)需要添加多個新用戶，如圖 3-18 所示。提示：建立組織和用戶后，參考安裝手冊，在其它、登錄。上安裝客戶端，以上面建立的用戶圖 3-18 新增的用戶3.3.2 添加管理員帳戶前面我們講到，該系統(tǒng)提供了兩個內(nèi)置帳戶：管理員 admin 和安全官 security。該系統(tǒng)是分級分權管理的，從下表我們可以看出，這兩個默認的帳戶都不能下發(fā)策略。下面我們添加一個操作員（operator）帳戶，為后面的下發(fā)策略做準備。（1）以 admin 登錄臺，單擊組織結構管理和權限用戶管理，進入用戶管理界面，顯

30、示內(nèi)置的兩個帳戶，如圖 3-19 所示。圖 3-19 用戶管理（2）單擊“增加用戶”菜單，彈出增加用戶界面。輸入用戶名和，選擇和管理范圍（內(nèi)置四個：管理員、操作員、安全官、審計員），最后單擊“確定”按鈕。如圖 3-20 所示：13第三章初識臺圖 3-20 增加用戶界面（3）在用戶列表中可以看到剛添加的用戶“operator”，如圖 3-21 所示。但此用戶能使用，下面進行用戶審核。審核不圖 3-21 用戶列表（4）以默認的 security 用戶登錄，進入用戶管理界面，如圖 3-22 所示。選擇要審核的用戶“operator”，單擊右鍵菜單“審核通過”，此用戶即被審核通過，可以使用。圖 3-2

31、2 用戶管理（5）用戶也可單擊右側(cè)操作列表中的“審核狀態(tài)”，在“審核狀態(tài)”界面中，通過下拉框選擇“審核通過”，單擊“確定”按鈕，如圖 3-23 所示。新建的用戶 operator 審核通過后，即可使用。14第三章初識臺圖 3-23 審核用戶狀態(tài)（6）現(xiàn)在以 operator 用戶登錄臺，將能制定和下發(fā)策略。3.3.3 向客戶端下發(fā)策略以操作員 operator登錄臺，單擊安全管理中心失泄密防護策略視圖，進入失泄密策略編輯界面。下面我們舉一個例子，制定一個略項不一樣，僅做參考。介質(zhì)策略向用戶下發(fā)。不同的系統(tǒng)策（1）在左邊“視圖”中選定一個用戶，單擊右邊策略項中的“介質(zhì)”“可移動介質(zhì)”，進入“可移

32、動介質(zhì)”策略編輯頁面，如圖 3-24 所示。圖 3-24 編輯可移動介質(zhì)策略選項說明：自由使用移動使用移動設備：對客戶端使用移動設備不做限制，可以任意使用；設備；設備：不客戶端使用移動15第三章 初識臺移動設備設置為只讀：只客戶端使用移動設備進行讀操作；客戶端使用移動使用移動設備拷貝，但拷貝數(shù)據(jù)加密：設備進行拷貝，但拷貝的數(shù)據(jù)都是加密。自由使用移動，拷貝文件名：客戶端使用移動設備，但拷貝文件名。如果同時選擇下面選項，那么也拷貝文件的內(nèi)容。（2）我們選擇“自由使用移動按鈕，將策略下發(fā)到客戶端，下發(fā)，拷貝文件名和文件內(nèi)容”策略，的“應用到”后會彈出提示框，如圖 3-25 所示。圖 3-25 應用策

33、略提示框（3）為了驗證策略在客戶端執(zhí)行情形，我們在客戶端往移動盤拷貝一個文件。然后，在的統(tǒng)計審計分析中查看日志信息。臺3.3.4 查看日志信息從內(nèi)置的分配我們知道，如果要查看日志信息，需要以審計員進入系統(tǒng)“統(tǒng)計審計分析”。下面介紹具體操作：（1）在臺新建一個審計員帳戶 auditor（參面 operator 帳戶的建立方法）。（2）以 auditor登錄臺，進入統(tǒng)計審計分析界面。在左邊的樹形結構中，按照日志類型一層一層往下找，你將看到移動器的帶出日志，包括你前面在客戶端往移動器拷貝的文件信息。單擊右鍵菜單，還可以備份文件內(nèi)容，如圖 3-26 所示。圖 3-26 移動器帶出日志16第三章 初識臺

34、3.4 菜單功能介紹菜單欄包括文件、設置、工具和幫助四項。主要提供切換用戶、修改、修改個人信息、同步域帳戶、組織結構信息統(tǒng)計、客戶端卸載口令管理和幫助等功能，下面一一介紹。3.4.1 修改前面我們講到，用戶第一次登錄都是以系統(tǒng)默認的用戶登錄的。為了系統(tǒng)的安全，用戶登錄后請及時修改理中詳述。，或者根據(jù)需要，創(chuàng)建新的用戶和。創(chuàng)建過程在后面的組織結構管（1）在菜單欄中，單擊“設置”“修改”，或按“Ctrl+Alt+X”快捷鍵，進入修改面，如圖 3-27 所示。界圖 3-27 修改界面（2）輸入新舊須滿足復雜度要求。后，單擊“確定”，下次登錄時以新登錄。新舊不能一樣，必3.4.2 修改 KEYKEY

35、用戶登錄后，彈出用戶的KEY臺后，在菜單的“設置”項中，可以看到“修改 KEY”的選項。點擊修改界面，如圖 3-28 所示。新舊不能一樣，必須滿足復雜度要求。用戶在 KEY正確的 KEY 的情況下，將修改修改界面中輸入舊和新，在KEY。 如果 KEY 用戶以普通方式登錄，當前并沒有正確的 KEY，則提示用戶KEY。提示：使用 KEY 用戶登錄臺前，首先要在用戶管理中，將臺用戶與 KEY 關聯(lián)起來，這樣才能使用KEY 用戶登錄。KEY 用戶登錄后，“修改 KEY”菜單項才可用。利用此菜單可更改臺 KEY 用戶。參見臺的啟動和關聯(lián) KEY 章節(jié)。17第三章初識臺圖 3-28 修改KEY3.4.3

36、同步域帳戶該系統(tǒng)可以導入域帳戶，并同步域帳戶，方便組織結構管理。在菜單欄中，選擇“設置”“同步域帳戶”，或按“Ctrl+Alt+T”快捷鍵，進入同步域帳戶界面，如圖 3-29 所示。管理員在界面上選擇域器類型，輸入域器地址、帳戶、和之后，選擇域帳戶同步參數(shù)，然后點擊“應用”按鈕，臺將給服務器下發(fā)應用域參數(shù)命令。圖 3-29 同步域帳戶18第三章 初識臺操作說明：（1）“測試”按鈕管理員在界面上輸入域器地址、帳戶、和臺。之后，點擊“測試”按鈕。服務器對用戶輸入的域參數(shù)進行驗證，將測試結果返回給（2）“導入組織”按鈕管理員在界面上輸入正確的域器地址、帳戶、和之后，的“應用”按鈕，檢測域參數(shù)的有效性

37、，如果有效，將域參數(shù)保存到配置文件中。單擊“導入組織”按鈕，則從域器中組織結構，導入到數(shù)據(jù)庫中。導入后，服務器給臺返回導入結果。臺第二次打開同步域帳戶窗口時，將自動從配置文件中欄將不可寫。域參數(shù)并顯示，此時“域器地址”和“”（3）“導入全部”按鈕“導入全部”是從域器中組織結構和組織結構下的用戶數(shù)據(jù)，將全部數(shù)據(jù)導入到數(shù)據(jù)庫中，它和“導入組織”原理一樣，不再詳述。（4）域帳戶同步參數(shù)并同步域帳戶有兩個選項：按需同步域帳戶數(shù)據(jù)和實時同步所有數(shù)據(jù)。按需同步域帳戶是指對于不在本系統(tǒng)中的域帳戶，當用戶時可以自動進行同步。實時同步所有數(shù)據(jù)是實時保持與域中帳戶數(shù)據(jù)的一致性，需先手動導入域的全部數(shù)據(jù)。提示：1服

38、務器只能與一個域同步更新；當用戶取消“器進行同步導入域帳戶。當導入后，系統(tǒng)默認與域器進行并同步域帳戶”導入后，服務器不再域器的變化。2. 在進行組織結構實時同步時，如果檢測到域中的刪除帳戶，則將該帳戶自動移動到“域中無效對象”的組織下，方便管理員確認后自行進行刪除操作。器3從域戶，與器導入的組織與用戶，當用戶驗證時，如果是域帳戶，這時驗證采用域帳臺上該用戶無關。4同步域帳戶時，域中，大量頻繁移動用戶時，器每個組織下用戶超過 1000 個時，容易出錯。在已同步的域臺將不斷刷新，可能會影響工作。器5. 目前支持 AD 域、OpenLDAP、Novell Directory、IBM TDS 四種類型

39、。（5）高級配置同步數(shù)據(jù)時，如果不需要將所有數(shù)據(jù)都同步過來，只同步滿足一定條件的數(shù)據(jù)，這時用戶可以在高級配置項中，設置好同步條件，有條件同步數(shù)據(jù)。高級配置項設錯可能會造成組織結構請在充分理解各項意義的前提下操作。，19第三章 初識臺AD 域同步高級配置如圖 3-30 所示，帶（*）號的項不能為空，每項后面有提示說明。圖 3-30 AD 域高級配置項OpenLDAP 同步高級配置如圖 3-31 所示，每項的含義請參考后面的提示說明eDirectory 同步高級配置，類似“OpenLDAP 同步高級配置”的界面。Novell圖 3-31 OpenLDAP 同步高級配置20第三章初識臺Novell

40、eDirectory 同步高級配置項說明，如圖 3-32 所示。圖 3-32 Novell eDirectory 同步高級配置項說明21第三章 初識臺非標準 LDAP 高級配置（關系型結構）屬性配置與標準 LDAP 高級配置基本相同，僅父節(jié)點的同步方式不同。其中的組織 DN 和所屬組織的配置與組織節(jié)點中父組織同步方式的選擇是聯(lián)動的。以 IBM TDS 為例，配置界面如圖 3-33 所示：圖 3-33 IBM TDS 同步高級配置項（1）啟用了相關設置后，如果有組織，則將同步到組織下；否則，將同步到登錄 UEM 系統(tǒng)。如圖 3-34原組織下。啟用管理員同步，可以從域中同步和校驗管理員帳戶，所示：

41、圖 3-34 IBM TDS 同步高級配置項（2）22第三章 初識臺3.4.4 修改服務器初始化信息在菜單欄中，單擊“設置”“修改服務器信息”，彈出修改服務器信息界面，如圖 3-35 所示。輸入編碼和名稱，選擇所處地區(qū)，可以更改服務器安裝時的初始化信息。圖 3-35 修改服務器初始化信息3.4.5修改個人信息（1）在菜單欄中，單擊“設置”“修改個人信息”，或者按“Ctrl+Alt+U”快捷鍵，出現(xiàn)修改個人信息界面，如圖 3-36 所示。為了防止管理員帳號被竊取，管理員可以自行設定登錄帳號的 IP 范圍，最多支持 10 個 IP 范圍的設定。配置登錄 IP 范圍后，使用該范圍內(nèi)的 IP 地址能夠

42、正常登錄；使用不在該 IP 范圍內(nèi)的 IP 地址登錄，登錄失敗，且在 臺登錄日志中有對應的登錄失敗日志。IP范圍未設置時，不限制登錄 臺的 IP 地址。圖 3-36修改個人信息23第三章 初識臺（2）輸入郵箱地址和號，測試通過后，根據(jù)知識庫管理中的警報訂閱向該郵箱郵件，或者向該，如圖 3-37 所示。圖 3-37 測試郵件提示：修改個人信息輸入的郵箱和號，要和服務器端參數(shù)配置中（網(wǎng)關配置和 SMTP號用于接收知識庫管郵箱配置）測試通過的郵箱地址和接收者號碼相一致。該郵箱地址和理中訂閱的郵件警報和警報。3.4.6 組織結構信息統(tǒng)計單擊臺的“工具”“組織結構信息統(tǒng)計”，或按“Ctrl+Alt+Z”

43、快捷鍵進入組織結構信息統(tǒng)計界面，如圖 3-示。當系統(tǒng)的組織結構非常復雜，非常龐大時，我們很難計算出該系統(tǒng)了多少個用戶，多少個和計算機情況。主機，以及多少，多少離線等，在這里我們就可看到組織結構中的圖 3-38組織結構信息統(tǒng)計3.4.7 策略應用狀況統(tǒng)計當組織結構中的某些客戶端離線時，服務器下發(fā)的策略不能馬上應用，只有再次上線后才能得到應用。單擊“工具”“策略應用狀態(tài)統(tǒng)計”，顯示等待應用策略的用戶及計算機列表，可以按照用戶名、計算機名、IP 地址等進行條件，如圖 3-39 所示。24第三章初識臺圖 3-39 策略應用狀態(tài)統(tǒng)計3.4.8口令管理口令管理用于客戶端本地卸載、動態(tài)登錄口令、IP 地址更

44、改口令、終端補充打印等，將產(chǎn)生的隨機碼給臺管理，管理利用“口令管理”工具生成給用戶，用戶才能進行相應操作。單擊臺的“工具”“口令管理”，或按“Ctrl+Alt+C”快捷鍵，進入口令管理界面，如圖 3-40 所示。例如：選擇操作類型為客戶端卸載口令，輸入本地卸載時生成的隨機碼，單擊“生成”按鈕，即可得到卸載。，然后將該發(fā)給客戶端?？蛻舳溯斎朐摵?，即可自動圖 3-40客戶端卸載口令管理25第三章 初識臺3.4.9 切換用戶（1）在菜單欄中，單擊“文件”“切換用戶”或者按“Ctrl+Alt+Q”快捷鍵，出現(xiàn)是否切換用戶提示框，如圖 3-41 所示。單擊“確定”后，進入臺登錄界面。圖 3-41 切換用

45、戶提示框圖（2）在臺登錄框中，輸入其它已審核通過的用戶名和，單擊“確定”后，將以新用戶重新登錄臺，如圖 3-42 所示。圖 3-42 切換用戶界面3.4.10 鎖定臺臺的“文件”“鎖定臺”，或按“Ctrl+Alt+L”快捷鍵，可以主動鎖定單擊臺，如圖 3-43 所示。圖 3-43 鎖定臺單擊“最小化到托盤”按鈕，可將入，重新登錄，如圖 3-44 所示。臺最小化到系統(tǒng)托盤區(qū)。也可單擊“重新登錄”按鈕，輸26第三章 初識臺圖 3-44 重新登錄3.4.11 幫助信息”，或“Ctrl+Alt+J”，可以查看已單擊菜單欄“幫助”“查看的功能模塊，如圖3-45 所示。單擊菜單欄“幫助”“關于”，或“Ct

46、rl+Alt+A”，可以查看系統(tǒng)的版本號和信息。圖 3-45 查看信息27第三章 初識臺3.5單擊“文件”菜單下的“”（Ctrl+E），或者關閉臺，如圖 3-46 所示。臺窗口，系統(tǒng)將彈出提示框，確定后即可圖 3-46確定提示框28第四章 組織結構管理第四章組織結構管理用戶登錄終端安全管理系統(tǒng)臺后，在正式使用臺前，首先要建立的組織結構，設置用戶說明。及權限。這部分內(nèi)容在前面快速入門中做了簡單介紹，這一章我們按照菜單順序做詳細4.1 組織結構界面以默認系統(tǒng)管理員admin 登錄，單擊“組織結構管理”，進入組織結構管理界面，如圖 4-1 所示。圖 4-1組織結構界面1：顯示或計算機的組織結構樹形列

47、表。選中不同的節(jié)點，在子節(jié)點信息列表中顯示不同的信息；選中的節(jié)點不同，右鍵菜單也不同。2：地址欄，顯示左側(cè)選中節(jié)點的全路徑信息。格式為：“當前選中節(jié)點的類型：當前選中節(jié)點的路徑”。類型為“組織”、“”或“計算機”。路徑中，每一個節(jié)點用“/”隔開。3：顯示子節(jié)點信息列表。信息列表支持鼠標單選或多選，用戶可以根據(jù)各列之間可自由移動顯示位置，并可按每列的升序或降序排列。需要選擇可見列，4：操作列表，顯示各操作菜單項。在組織結構中選擇的節(jié)點不同，顯示的操作菜單項也不一樣。5：詳細信息列表，顯示選中節(jié)點的詳細信息?？娠@示選中的組織、如果在子節(jié)點信息列表同時選擇多行信息，這里只顯示選中的對象數(shù)?；蛴嬎銠C的

48、詳細信息，6：狀態(tài)過濾欄，根據(jù)用戶或計算機狀態(tài)，過濾顯示不同狀態(tài)的用戶或計算機。7：圖標示例欄，顯示或計算機各種圖標所代表的含義。29第四章 組織結構管理4.2與計算機該系統(tǒng)的管理是對組織結構中的用戶進行操作，計算機管理是對組織結構中的計算機進行操作。不同的用戶可以用同一臺計算機，同一用戶也可以用不同的計算機，用戶和計算機不是一對一的關系，它們是可以分離的，也可以在不同的組織下。在實際使用時，可以通過組織結構中右鍵菜單“關聯(lián)主機”或“關聯(lián)用戶”，來實現(xiàn)用戶和主機的關聯(lián)。4.2.1管理管理視圖中，管理員選中組織結構樹中的一個節(jié)點，根據(jù)選中的節(jié)點類型的不同，組織樹節(jié)點信息列表、操作列表和詳細信息中

49、，將分別顯示不同的信息。選擇組織節(jié)點、服右鍵菜務器級聯(lián)節(jié)點和節(jié)點顯示的內(nèi)容都不一樣，下面以節(jié)點為例說明。單擊選擇組織結構樹中的節(jié)點，界面如圖 4-2 所示。圖 4-2 組織結構視圖組織樹右鍵菜單所包含的菜單項為：刷新、搜索、遷移到、屬性、重置、刪除、恢復和“清除未”。其中，當且僅當被選中的為已刪除的時，菜單項“恢復用戶”才為可用狀態(tài)，“刪除”才為不可用狀態(tài)。當且僅當被選中的用狀態(tài)。為未時，菜單項“清除未”才為可的所有計算機列表，列名為“計算機名”、“IP 地址”、“狀態(tài)”、子節(jié)點信息列表中顯示該“操作系統(tǒng)”、“客戶端版本”、“安全等級”，該表的顯示列可以由管理員右鍵單擊顯示列表頭自定義選擇。子

50、節(jié)點信息列表的條目可以被單擊選中，支持單選或多選，根據(jù)選擇情況的不同，操作列表和詳細信息中，將分別顯示不同的信息。30第四章 組織結構管理操作列表中顯示以下功能按鈕：“屬性”、“重置”，“恢復用戶”，“更改所屬群組”。其中，當該為已刪除的時，“恢復用戶”按鈕可用，否則，“恢復用戶”按鈕不可用；“屬性”中，顯示該的詳細信息列表，列表內(nèi)容包括“用戶名”、“真實名”、“”、“出生年月”、“職位”、“所屬部門”、“”、“郵箱”、“描述”。 添加組織（1）在組織結構樹中選擇組織節(jié)點，單擊右鍵菜單，選擇“添加組織”菜單項，如圖 4-3 所示?；蛘咴诓僮髁斜碇?，選擇“添加組織”選項，出現(xiàn)添加組織界面。圖 4-