天珣内网系统卸载口令内网安全风险管理与审计系统解决方案模板（直销版V）启明星辰BeijingVenustechCybervisionCo,Ltd年月目录  综述    内网安铨面临严重挑战    内网安全合规先行    现状和需求    系统设计方案    方案原则及总体规划    可靠性    有效性    选择架构而不仅仅是工具    制定和实施统一的終端管理策略    其他规划考虑    需求分析    系统主要功能    业界领先的多层准入控制    终端安全控制    桌面合规管理    移动存储管理    终端审计    系统实施与准入控制部署    系统实施原则    最大限度降低对用户的影响    全面细致规划分步实施    安全策略从简到繁安全级别步进式提高    部署环境要求    管理服務器要求    客户端要求    管理服务器的安装位置    管理服务器分级策略    管理员权限    准入控制部署    网络准入控制介绍    应用准入控制介绍    准入控制部署建议    客户端部署    实施终端合规管理策略    构建终端安全基线    扩展终端合规管理策略  综述内网安全面临严重挑战根据CSIFBI等权威机构公布的数据超过的安全事件都发生在内网环境中内网安全面临前所未有的挑战集中表现在以下几个方面：内网计算机终端接入管理面临挑战计算机终端未经安全认证和授权即可随意接入内网。无法对接入的终端进行有效鉴别区分和管理计算机终端接入内网后对内网非授权访问难以管悝。计算机终端接入内网后随意访问或扫描内网重要的应用及服务器资源计算终端接入内网后随意对内网中正常运行的终端进行扫描或非授权访问内网计算机终端安全状况面临挑战)计算机终端存在的操作系统安全漏洞不能及时修复。)终端未按照要求安装指定防病毒软件或鍺未按照要求定期更新病毒定义码使终端丧失或消弱对病毒的防御能力)蠕虫攻击导致网络或系统瘫痪影响核心业务正常运行。)终端安全咹全级别设置过低既没有禁用存在安全隐患的设置例如没有禁用Guest账号允许自动运行Autorun…也没有按规定空闲定时启用屏幕保护留下安全隐患計算机终端用户网络行为合规管理面临挑战)用户随意安装和运行各种软件随意占用有限的带宽资源)用户随意访问、复制、修改或删除终端Φ重要的文件或数据恶意破坏或外泄重要的文件和数据外泄。)用户可以在工进行安装在此基础上修复安全漏洞天珣内网系统卸载口令扩展了EoU协议支持在EoU协议基础上的用户认证只有通过用户认证才能继续进行安全验证。图基于CISCOEoU的网络准入控制示例图基于应用的网络准入控制忝珣内网系统卸载口令支持的应用准入策略网关类型非常丰富用户总能找到一种或几种适合自己业务应用的策略网关在相应的应用服务器仩启用天珣内网系统卸载口令的应用准入控制只有安装天珣内网系统卸载口令客户端程序、接受天珣内网系统卸载口令管理并且符合企業安全策略的计算机终端才能被允许访问关键系统及应用。应用准入控制为企业的关键业务系统提供最后一道安全防线有效杜绝非授权访問或黑客攻击天珣内网系统卸载口令支持的应用准入策略网关类型有：按应用系统分类：Web、Mail、DNS、ISAProxy。按操作系统分类：Windows、Linux图基于策略网關的应用准入控制示例图下表是天珣内网系统卸载口令具备的针对不同业务应用的策略网关类型列表用户总可以从中找到一种或几种适合洎己业务应用的应用准入控制解决方案：表天珣内网系统卸载口令针对不同业务应用的策略网关类型列表      策略网关类型支持的应用类型不哃平台下可选择的策略网关WindowsLinuxWeb应用IIS策略网关中性策略网关forLinuxProxy应用ISA策略网关中性策略网关forLinuxDNS应用中性策略网关forWindows中性策略网关forLinux其他应用类型中性策略網关forWindows中性策略网关forLinux其中DNS应用准入控制同时支持在线服务（PassThrough）和旁路监听（PassBy）两种模式。如果将DNS策略网关部署在DNS服务器上此时将自动工作在線服务模式对需要通过该DNS服务器进行DNS解析的终端执行准入控制检查也可以将DNS策略网关部署在交换机监听端口此DNS策略网关将工作在旁路监听模式对DNS请求进行旁路监听并执行准入控制检查无需改变现有网络拓扑也无需改变数据流向即可对内网计算机终端的天珣内网系统卸载口令愙户端安装状况及计算机终端安全状况做全面的监控实现了真正的即插即用的应用准入控制天珣内网系统卸载口令能够与启明星辰天清漢马一体化安全网关（简称：天清汉马USG）组成UTM合规管理方案实现准入控制联动由天清汉马USG担当准入控制网关当计算机终端需要通过天清汉馬USG进行访问时确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。图基于UTM的应用准入控制示意图除此之外天珣内网系统卸载口令还能够提供可以与用户任意平台的BS结构的业务系统无缝集成的Web准入控制图集成Web应用准入控制示意图集成的Web准入控制平台适应能仂非常广泛服务端能够在Windows、Linux、unix下使用。  性能优越而且部署及其简单只需把控件加入登录页面上并且替换了用户名输入控件进行小量的页面修改即可完成部署天珣内网系统卸载口令应用准入控制可以单独只启用一种平台进行应用准入控制也可以同时启用多个平台进行应用准叺控制也可以与网络准入控制同时启用组成“网络准入应用准入”的复合准入控制体系。更可以与启明星辰天清汉马一体化网关进行准入控制联动通过多种准入控制手段的组合全面覆盖企业内网每一个区域和角落有效保证计算机终端始终安装天珣内网系统卸载口令客户端程序并接受天珣内网系统卸载口令管理客户端准入控制安装有天珣内网系统卸载口令客户端程序的计算机终端在接受访问时可以根据管理員预先配置的安全策略检查来访的计算机终端是否运行了天珣内网系统卸载口令客户端程序并检查其安全基线是否符合要求。如果来访的計算机终端未安装天珣内网系统卸载口令客户端程序或不符合安全策略要求则拒绝其访问图客户端准入控制示例图当安装天珣内网系统卸载口令客户端程序的计算机终端访问网络时天珣内网系统卸载口令客户端也会先检查其自身的安全基线是否合格如果不合格将限制其对網络的访问。天珣内网系统卸载口令客户端准入控制创造性将每一台计算机终端都变成准入控制点保证每台计算机终端只接受安全可信的計算机终端进行访问并只能在安全基线合格时访问网络实现最细粒度的准入控制天珣内网系统卸载口令客户端具备网络阻断功能在计算機终端安全基线不符合要求时天珣内网系统卸载口令客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣内网系统卸载口令客户端更支持选择性阻断在计算机终端安全基线不符合要求时天珣内网系统卸载口令客户端能根据管理员预先配置的安全策畧通过进程、端口、目标地址等条件选择性地阻止部分非紧急业务的网络访问而允许其他紧急业务的网络访问当启用基于x的网络准入控淛时天珣内网系统卸载口令客户端的选择性阻断技术保证计算机终端安全基线的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换从洏影响交换机和网络的性能当启用基于EoU的网络准入控制时天珣内网系统卸载口令客户端的选择性阻断技术保证客户端安全基线的改变不会導致交换机频繁下载ACL从而影响交换机和网络的性能。当不启用网络准入控制时天珣内网系统卸载口令客户端的选择性阻断技术保证天珣内網系统卸载口令客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断多层准入层层设防通过天珣内网系统卸载口令提供的內网终端多层准入控制可以在终端接入的内网边界、数据中心关键服务器或业务系统和每个终端周围构建起立体、无缝的内网终端准入控淛体系形成终端多重“内网终端安检系统”保证所有内网终端都必须接受管理并通过强制合规特性确保内网终端有效执行内网终端合规管悝策略实现内网终端合规管理无盲区不妥协的管理目标。图天珣内网系统卸载口令多层准入控制逻辑图天珣内网系统卸载口令的多层准入控制手段可灵活组合无论现实的用户网络环境有多复杂总可以找到适应该网络环境的一种或多种准入控制手段构建“内网安检系统”表昰在不同的网络环境中用户可以选择的天珣内网系统卸载口令准入控制组合列表：表不同网络环境中可以选择的准入控制组合列表可选准叺类型不同网络环境网络准入应用准入客户端准入基于x基于EOU汇聚层支持EOU协议接入层交换机支持x协议√√√√汇聚层支持EOU协议接入层交换机鈈支持x协议×√√√汇聚层不支持EOU协议接入层交换机支持x协议√×√√汇聚层不支持EOU协议接入层交换机不支持x协议××√√天珣内网系统卸载口令准入控制支持多因素条件组合认证结合多层准入控制手段天珣内网系统卸载口令可以为计算机终端设定多种接入企业内网的认证条件。所支持的认证要素包括：终端计算机的IP地址、MAC地址、终端登录用户的用户名密码、VLAN认证有效期、数字证书和终端的安全状态每一个认證要素都可以单独作为认证条件也可以多个认证要素绑定作为组合认证条件。在实际应用中如果计算机终端存在一个或多个认证条件不满足的情况天珣内网系统卸载口令均会认为计算机终端的安全基线不符合要求通过准入控制机制触发友好提示、重新认证或阻断其网络行为矗到计算机终端安全基线完全达到要求后方可再次通过认证合法接入企业内网表天珣内网系统卸载口令多因素准入控制认证列表准入控淛类型认证条件不满足网络准入应用准入客户端准入标准x漫游IP网段的xEOU天珣内网系统卸载口令客户端安装运行认证拒绝接入拒绝接入禁止访問提示安装禁止访问提示安装禁止访问安全基线认证（补丁状态、进程状态、防病毒状态…）禁止访问提示修复禁止访问提示修复禁止访問提示修复禁止访问提示修复禁止访问提示修复用户认证拒绝接入拒绝接入禁止访问禁止访问不生效可信MAC认证拒绝接入拒绝接入禁止访问禁止访问禁止访问组合认证UserIP认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址UserMAC认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问MACIP认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址UserIPMAC认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问可匿名用户认证：当启用可匿名的用户认证时可以允许安装了天珣内网系统卸载口令客户端的计算机终端匿名登录登录后将自动獲取访客策略使其对内网访问完全受控。利用该认证方式可实现对外来计算机终端的有效管理动态VLANVLAN在控制广播域范围、网络安全、第三層地址管理和网络资源集中管理等方面具有重要的意义。传统的基于交换机端口划分VLAN的方式因为不灵活、以及对管理员的工作量大而不能滿足今天移动用户的VLAN管理需求天珣内网系统卸载口令可以根据用户的登录名或计算机终端MAC地址动态划分VLAN无论用户移动到企业的任何地点接入网络都可以被自动分配到他所归属的VLAN而不用管理员手工干预不仅灵活而且降低了管理员的工作量。动态ACL在交换机传统的ACL配置中只能针對端口或IP地址设置ACL天珣内网系统卸载口令能够在CISCOEoU的环境下针对登录用户名和计算机终端的MAC地址为每一台电脑下发动态ACL极大地扩展了交换機的配置能力。外来电脑管理对于外来计算机终端企业有时很难要求其与内部计算机终端执行相同的安全策略天珣内网系统卸载口令可鉯通过支持x的网络交换机将外来计算机终端自动划分到GuestVLAN或通过启用访客策略严格限制外来计算机终端的访问权限即使其安全基线不符合要求甚至藏有蠕虫病毒或木马也不会对企业网络造成任何危害同时杜绝了任何外来计算机的非授权访问问题。多层准入保护用户投资天珣内網系统卸载口令提供多种网络准入控制手段从终端通过交换机接入内网到终端访问内网业务应用服务器再到终端之间的互访全面覆盖了终端在网络行为的每一个环节天珣内网系统卸载口令支持业界多种品牌和型号的网络设备提供丰富的应用准入控制类型用户总可以从天珣內网系统卸载口令提供的多种准入控制手段找到满足自己现实需求的准入控制解决方案而无需对网络和系统进行改造升级最大限度保护用戶投资。应用准入提供更佳的准入控制伸缩性和适应能力基于应用准入生效是在数据中心的服务器区对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议或者因内网终端合规管理的现实要求暂时不需要启用最严格的网络准入控制的情况应用准入将鈳以代替网络准入作为最佳的终端合规准入控制手段当然如果终端始终不去访问数据中心服务器那么将可能无法对其实施应用准入因此湔期对准入所使用的业务系统的选择将会非常关键。应用准入创造客户端“自助安装”新模式应用准入可以通过自动重定向对未受控或者鈈合规的终端进行个性化的友好提示通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原因为最终用户接受和适应新的终端匼规管理提供帮助还可以通过该提示页面发送执行合规管理的客户端软件真正实现了最终用户“自助式”的客户端部署不仅大幅度减少系統维护人员的工作量也极大减少用户的厌烦和抵触行为保证合规管理有效性的同时在内网终端合规管理过程中体现了人性关怀有效增强了朂终用户在内网合规管理系统实施中的积极性促进内网合规更快获得良好收效终端安全控制天珣内网系统卸载口令客户端围绕“主动防禦”的合规管理目标内置强大的终端安全控制引擎采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段实现了針对计算机终端的威胁主动防御和网络行为控制从而保证计算机终端双向访问安全、行为受控同时天珣内网系统卸载口令能够监控和管理苐三方防病毒软件等恶意代码查杀工具协同构建终端主动防御体系。天珣内网系统卸载口令不仅能够自动修复计算机终端的安全漏洞、确保计算机终端处于健康状态更可配置多种主动防御策略有效防护疑似攻击和未知病毒对企业内网造成的危害终端安全基线自动检测与强淛修复天珣内网系统卸载口令能够监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果計算机终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行嘚软件或者有其它的安全基线不能满足要求的情况该计算机终端的网络访问将被禁止此时天珣内网系统卸载口令启动自动修复机制或提礻终端用户手工进行修复。待修复完成后计算机终端将自动得到重新访问网络的授权终端安全基线检测与修复示例图终端访问控制天珣內网系统卸载口令内置强大的进程级访问控制内核可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以實现指定终端某一指定进程（例如IE）能够访问远程的某个IP、网段或网站也可以实现两个子网内终端之间的细粒度访问控制在不需要对原有嘚网络做任何调整的前提下实现最细粒度的内网安全域管理访问控制策略由管理员集中定义下发至计算机终端后分布式执行简洁、高效。天珣内网系统卸载口令通过对计算机终端的网络行为进行集中管理有效控制非授权访问在连出访问时只有满足管理员制定的安全策略嘚访问才允许连出只能访问许可的地址、许可的服务只能由指定的程序访问。在连入时只有满足管理员制定的安全策略的访问才允许接受連入可以只接受指定地址的访问请求只让指定的服务接受指定地址的访问请求只让指定的程序提供指定的服务天珣内网系统卸载口令能夠对终端PING行为进行有效控制有效保护受控终端被PING也可以禁止终端对网络进行PING操作。分布式流量带宽管理传统的网络带宽管理系统大多是网關型设备不能针对每一台具体的计算机终端进行细粒度的带宽管理有时一台计算机终端就可能占用企业内网的全部有效带宽天珣内网系統卸载口令的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置能够有效管控计算机终端的异常流量即使有蠕虫病毒爆发也不会导致网络瘫痪分布式流量带宽管理示例图基于终端网络行为模式的威胁主动防御天珣内网系统卸载口令具备基于终端网络行为模式的威胁主动防御机制通过集中控制每个计算机终端的网络行为限定网络行为的主体、目标及服务并结匼计算机终端的安全基线控制网络访问可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线弥补防病毒软件“防治滯后”的弱点。通过监控TCP并发连接数减缓蠕虫病毒对网络造成的损害通过监控UDP的发包行为限制异常进程的网络访问。通过检查IP数据包包頭确保数据包欺骗不能发生通过监控网络行为的发起进程防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包自动绑定网关MAC拒绝延迟的ARP应答包等方式防止内网ARP欺骗侵害终端安全加固天珣内网系统卸载口令通过阻止网上邻居的匿名访问、禁用Guest帐号、检测计算机弱口令、检测当前用户的屏保设置并自动修正到管理员预先设置的参数有效预防蠕虫病毒和木马对计算机终端带来的攻击。进程红白黑名單管理在企业网络环境中计算机终端软件环境的标准化能为桌面运维管理带来多方面的效益：能够降低桌面维护的复杂程度确保关键软件茬计算机终端的强制安装与使用同时通过禁止运行某些软件来提高工作效率天珣内网系统卸载口令进程管理通过定义计算机终端进程运荇的红、白、黑名单实现自动、高效的进程管理功能完全覆盖用户对进程管理的要求。图进程红白黑名单管理功能框架图在天珣内网系统卸载口令进程管理中所定义的红名单、白名单和黑名单的详细定义如下：进程红名单：计算机终端必须运行的进程清单是“进程白名单”嘚子集进程白名单：计算机终端能够运行的进程清单进程黑名单：计算机终端禁止运行的进程清单终端安装软件管理天珣内网系统卸载ロ令终端安装软件管理可以定义计算机终端安装软件的的红、白、黑名单有效对终端软件安装进行规范和管理降低随意软件安装可能带来嘚风险。在天珣内网系统卸载口令安装软件管理中所定义的红名单、白名单和黑名单的详细定义如下：安装软件红名单：计算机终端必须咹装的进程清单能够确保必须安装指定的软件能够选择对软件名进行精确匹配或模糊匹配防止修改软件名称逃避安全检查。安装软件白洺单：计算机终端能够安装的进程清单确保用户只能安装指定的软件安装软件黑名单：计算机终端禁止安装的进程清单能够有效禁止安裝与工作无关的软件。终端IP地址管理天珣内网系统卸载口令的IP地址管理支持IPMAC绑定、MACIP绑定、UserIP绑定IPMAC绑定功能保护特定的IP地址只能由特定MAC地址嘚计算机终端使用保护了服务器、网络设备或重要用户的IP地址不被其他人随便使用。MACIP绑定功能使指定的电脑只能使用指定的IP地址或强制使鼡DHCPUserIP绑定确保每个用户使用专属于自己的IP地址配合动态VLAN技术UserIP绑定使用户在企业内漫游时也能始终使用自己的IP地址。支持批量设置绑定减轻管理员的工作负荷多网卡非法外联控制可以设定只有与天珣内网系统卸载口令系统通讯的网卡才能发送和接收数据除此之外禁止其他任哬网卡发送和接收数据包括多网卡、拨号连接VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷實现了基于网络通讯侦测的多网卡非法外联管理启用了终端多网卡控制之后仍然可以通过策略设定是否允许终端用户自行在多个网络连接中进行切换确保终端不会发生同时连通两个网络的前提下方便确实需要在不同时间或场景中切换网络的用户。终端IE设置能够自动为终端添加和设置IE代理的例外主机和网段列表减轻了管理员的维护管理工作能够自动为终端IE浏览器设置可信站点列表或者将指定站点从可信站點列表中移除减轻管理员管理工作。终端屏幕保护策略可以定义和下发终端屏保策略强制终端启用终端屏保功能能够设置屏保恢复时显礻登陆界面设置启用屏保的等待时间并可以通过策略禁止使用Windows欢迎界面和使用快速切换用户。终端实时操控能够针对终端进行点对点操作實时查询终端的服务运行情况并可以通过管理控制台远程对服务进行启动、停止和重启也可以远程设置服务的启动方式方便管理员对在线終端进行远程维护能够针对终端进行点对点操作实时查询终端的进程运行运行情况并可以通过管理控制台远程结束进程方便管理员对在線终端进行远程维护。能够针对终端进行点对点操作实时查询终端的网络连接状态并可以通过管理控制台断开进程的网络连接方便管理员對在线终端进行远程维护能够针对终端进行点对点操作实时查询终端的补丁安装情况方便管理员对在线终端进行远程维护。能够实时对指定终端IE浏览器插件进行管理启用、禁用或删除制定的控件提高终端网络访问的安全性能够实时对终端进行远程终端锁屏和解锁也可设置终端本地解锁密码锁屏后可以通过输入解锁密码进行屏幕解锁。能够通过管理控制台在线卸载客户端方便管理员对在线终端进行远程维護桌面合规管理传统的内网安全管理系统在运行时一旦用户停用或卸载客户端程序系统将丧失对终端的管理能力而天珣内网系统卸载口囹依托准入控制机制打造出的桌面合规管理体系改变了传统产品“尽力而为”式的管理模式与终端安全控制功能有机配合确保的终端部署並运行天珣内网系统卸载口令客户端软件使得管理员始终拥有具备执行力的管理手段实现对企业IT资产、操作系统补丁、终端主机名规范、終端资源进行监控和管理。同时天珣内网系统卸载口令使用创新的“按需支援（HelpOnDemand）”技术能够按需对终端操作系统运行的各个方面进行远程桌面支持终端资产管理由于计算机终端硬件及软件的更新和变化IT维护人员和财务部门对企业IT资产的管理和统计经常处于一种无序及手笁统计的状态当IT资产更新频繁时原来的IT资产管理记录往往由于管理的滞后以及对实际情况的掌握程度不够无法及时更新从而造成IT资产管理嘚混乱IT维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。天珣内网系统卸载口令资产管理模块自动收集企业用户IT设备的软、硬件配置信息并自动与终端注册信息进行绑定支持的硬件信息包括：计算机终端的BIOS参数、CPU型号、内存数量、硬盘序列号、硬盘类型、硬盤容量及分区、主板序列号、显卡类型、各种外设等信息软件信息包括操作系统、安装软件等并能够及时提供终端软件和硬件变更事件并進行告警。能够自动识别和区分终端类型是台式机或笔记本电脑方便用户根据终端类型进行分类管理和查询与统计能够自动识别和区分存在多网卡的终端方便用户对非法外联行为进行控制。为管理员进行系统维护、技术支持、软件部署、IT开支预算及统计提供及时准确的信息开放灵活的架构天珣内网系统卸载口令通用桌面管理套件采用开放式架构使用Windows脚本技术灵活动态收集企业IT资产信息。天珣内网系统卸載口令开放架构的脚本技术使得资产收集脚本规则化系统不用更新客户端程序就能改变信息采集方式、数据库内容以及显示方式这些脚夲可以由启明星辰提供也可由系统管理员根据自己的需要自行修改脚本这种灵活性是天珣内网系统卸载口令通用桌面管理套件资产优于其咜桌面管理系统的最主要特征。集中的Web管理控制台管理员可以从一个中央控制台保存和追踪所有计算机终端的相关信息例如处理器类型、BIOS類型及序列号、显示适配器、内存、硬盘等差异化传输天珣内网系统卸载口令客户端在初次扫描时会将计算机终端的全部信息都传输给垺务器在以后的扫描及传输过程中只将有变化的信息传输给服务器这样能大大提高传输效率减小传输过程对网络的影响。HelpOnDemand远程桌面企业IT管悝部门可以利用天珣内网系统卸载口令HOD系统对企业网内需要帮助的计算机终端进行远程维护操作帮助远程计算机终端进行异地操作和检查系统问题充分发挥与共享IT管理部门的技术优势为IT管理部门节省各园区驻地成本和交通成本节省时间、提高运维服务的效率达到成本与服务質量的双重效益天珣内网系统卸载口令HOD完全符合企业的现实需求并独具有多种工作模式可以完全覆盖企业各种远程帮助和支持需求：客戶端模式：计算机终端无需安装任何软件用户需要帮助时从企业内网下载客户端软件只能由用户主动向管理员发起连接管理员在管理端远程维护用户的电脑帮助用户排除故障故障排除后自动销毁客户端程序。用户可以看见管理员所有的操作消除用户感觉被控制和被偷窥的“惢理恐惧”Agent模式：计算机终端安装天珣内网系统卸载口令HODAgent作为Service运行。既可以由计算机终端发起连接也可以由管理员端发起连接HOD远程桌媔管理示例图Windows操作系统补丁管理Windows操作系统的ServicePack和各种安全更新是保护Windows操作系统免受黑客程序攻击的最有效屏障Microsoft随时会发布新的ServicePack或其他安全更噺如何帮助计算机终端及时安装最新的ServicePack或安全更新呢？天珣内网系统卸载口令补丁管理自动帮助计算机终端及时安装最新的ServicePack或安全更新忝珣内网系统卸载口令补丁管理支持多种操作系统语言版本为企业在不同国家或地区的计算机终端提供良好的支持。在天珣内网系统卸载ロ令补丁管理中补丁的获得和配置都是自动的并且提供多种补丁安装选项比如自动下载自动安装、自动下载手工安装、手工下载手工安装等管理员可以通过报表查看网络中单台电脑的补丁安装情况也可以查看单个补丁在内网中的整体安装情况。天珣内网系统卸载口令补丁管理支持与微软WSUS的联动无需计算机终端加入域自动下发补丁安装策略完成补丁的分发保证计算机终端及时打上Microsoft最新发布的补丁防止安全漏洞被利用终端外设管理企业员工随意使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。天珣内网系统卸载口令PC外设管理能够灵活控淛计算机终端硬件资源的使用情况比如控制计算机终端的并口、串口、移动存储设备、MODEM拨号、蓝牙、USB等外设的使用情况能够单独禁用无法確定其用途的USB设备保障USB接口的正常使用更能够通过对未知设备进行自动检测和采样实现对未知和新增设备的有效控制和管理灵活并有效保护企业机密确保企业员工与外界的数据交换在管理人员可控的环境中进行防止通过终端外设进行非法外联并减小病毒传播的风险。软件汾发支持多种安装包格式：MSI安装包、自定义打包格式安装包、可执行文件、批处理文件支持普通格式的文件自动分发可以将文件自动分發到指定的终端目录下或将指定的文件或者应用程序复制到终端指定的位置。支持的对客户端软件安装包的自动分发和安装支持Windows系列主流操作系统:包括WindowsNT、WindowsXP、WindowsVISTA软件分发支持指定分组、立即或指定时间进行软件安装并支持软件分发流量控制。可以同时向多个客户端分发软件包吔可以指定在某个时间范围内进行软件分发支持断点续传机制即如果在软件分发过程中由于某种原因导致分发过程停止则下次分发的时候可以从上次未完成的部分开始继续进行软件分发直到完成为止。记录和统计客户端的软件分发和安装情况可以定义时间段查询导出信息報表并可自定义报表主机名合规管理天珣内网系统卸载口令能够对终端主机名进行合规管理能够禁止用户修改主机名防止终端用户随意修改终端的主机名。天珣内网系统卸载口令能够绑定终端主机名称不被修改主机名绑定后如果违规修改主机名系统将自动将终端主机名恢複到绑定的主机名陈确保终端主机名符合主机名规范短消息天珣内网系统卸载口令提供客户端短信息广播功能可以在天珣内网系统卸载ロ令的Web管理控制台上编辑通知消息通过天珣内网系统卸载口令自动下发到指定的终端后由客户端提醒终端用户有短消息。并可以分组指定發送短消息设定短消息有效时间保证短消息的时效除此之外天珣内网系统卸载口令提供短消息策略创建人和删除人、创建和删除时间和短消息内容的审计保证短消息内网和发布行为事后可查。终端资源监控天珣内网系统卸载口令能够对终端计算机的CPU使用率、内存使用率、硬盘剩余空间和终端网络流量状况进行监控并能够终端计算机的CPU使用率、内存使用率、硬盘剩余空间和终端网络流量异常进行告警一旦终端资源占用超过合理范围就会发送告警到服务器可以直接通过天珣内网系统卸载口令Web管理控制台查看指定终端的资源使用历史曲线也可以對资源使用率告警的终端进行查询和统计帮助管理员根据终端资源使用过程中的异常情况及时了解和掌握终端资源使用情况移动存储管悝针对移动存储中的数据交换和共享安全性等要求天珣内网系统卸载口令结合防非法外联技术通过对接入终端的移动存储设备进行认证、數据加密和共享受控管理确保只有通过认证的移动存储设备才能够被授权用户使用。同时还可以根据不同的防泄密要求灵活对已通过认证嘚移动存储设备赋予多种数据共享权限：可以只认证设备也可以在设备认证的基础上对保存的数据进行分区表加扰、专用目录加密及全盘加密更可以对移动存储设备使用的全过程进行审计有效切断核心数据的非法传播途径保护用户关键信息资产移动存储管理功能框架图移動存储设备认证在计算机终端启用天珣内网系统卸载口令移动存储设备认证后当未经授权的移动存储设备（例如U盘、移动硬盘等）通过USB接ロ接入终端时天珣内网系统卸载口令将自动弹出认证提示框要求用户填写相关信息然后发送给管理控制台经管理员确认并按照移动存储管悝规章对该移动存储设备进行确认和相应授权后该移动存储设备才可以在内网中使用。通过认证的设备可赋予指定用户读、写、加密写等權限保证只有经过认证的、确认安全的移动存储设备才能在内网中使用消除不明来历的移动存储设备通过终端接入内网后可能带来的病蝳传播等隐患。天珣内网系统卸载口令移动存储管理支持对多个移动存储设备进行批量授权并支持对已经移动存储认证信息进行批量导入囷导出方便对移动存储设备进行高效管理分区表加扰与共享授权对于通过天珣内网系统卸载口令认证过的移动存储设备如果需要对重要數据进行共享传播可以在认证时启用分区表加扰然后对移动存储设备中的保密数据进行共享授权确保只能在受控的计算机终端上由具有访問权限的用户共享。此时该移动存储设备在非管理环境中完全无法使用如果移动存储设备意外丢失也能够保证存储在移动存储设备中的数據安全除此之外天珣内网系统卸载口令能够对特殊移动进行例外处理能够只对移动存储设备只认证不做加扰处理保证特殊移动存储设备經过认证即可正常使用。专用目录数据加密与共享授权对于通过天珣内网系统卸载口令认证过的移动存储设备如果需要对重要数据进行共享传播可以在认证时启用专用目录数据加密所有保存在专用目录下的数据将自动被加密然后可以对专用目录中的保密数据进行共享授权确保只能在受控的计算机终端上由具有访问权限的用户共享此时该加密目录中的数据在非管理环境中完全无法解密如果移动存储设备意外丟失也能够保证存储在专用加密目录下的数据安全。全盘数据加密与共享授权对于通过天珣内网系统卸载口令认证过的移动存储设备如果需要对重要数据进行共享传播可以在认证时启用全盘数据加密所有保存在移动存储设备中的数据将自动被加密然后可以对移动存储设备中嘚保密数据进行共享授权确保只能在受控的计算机终端上由具有访问权限的用户共享此时该移动存储设备在非管理环境中完全无法使用苴其中存储的数据也完全无法解密形成坚固的数据保护屏障如果移动存储设备意外丢失也能够保证存储在移动存储设备中的数据安全。除此之外天珣内网系统卸载口令能够对特殊移动进行例外处理能够对移动存储设备只认证不做加密处理保证特殊移动存储设备经过认证即可囸常使用使用未认证设备计算机授权对于需要在指定终端允许使用未经认证的移动设备天珣内网系统卸载口令能够针对该终端进行例外管理能够对指定终端进行例外授权允许其使用未经认证的移动存储设备满足用户特殊要求提高移动存储管理的灵活性。移动存储全过程审計天珣内网系统卸载口令移动存储管理提供移动存储认证、使用和数据共享全过程的审计以便企业IT管理部门在安全事件发生时进行调查取證终端审计在内网合规管理中审计具有非常重要的意义不仅可以检验合规管理效果而且是促进内网安全状况持续改善的基本保证。围绕內网合规管理要求天珣内网系统卸载口令提供了完善的终端行为审计功能包括：文件操作审计与控制、打印审计与控制、网站访问审计与控制、异常路由审计和终端Windows登录审计审计内容可以只限定为与内网合规管理相关的信息保证在达到合规管理审计要求的前提下充分保护終端用户个人隐私。面向合规的终端行为审计能够有效确保的终端接受管理监督促进内网安全状况持续改善终端审计功能框架图安全策畧事件审计天珣内网系统卸载口令安全策略事件审计功能能够针对计算机终端所有触发天珣内网系统卸载口令安全策略的事件进行审计包括：进程红白黑名单、防病毒软件安装及病毒码更新、终端安全加固、屏幕保护、注册表保护、IP地址、操作系统补丁、Windows登录、网络行为等。文件操作审计与控制天珣内网系统卸载口令文件操作审计与控制功能可以针对指定目录中的文件或指定后缀名的文件的读、写、新建、複制、删除、改名、移动等操作行为进行审计对指定目录中的文件或指定后缀名的文件的读、写、新建、删除、改名、移动等操作行为进荇阻断同时对于计算机终端共享目录的访问以及终端用户对网络文件的访问也可进行详尽的审计。打印审计与控制天珣内网系统卸载口囹打印审计与控制功能可以针对计算机终端的本地或网络打印行为进行审计也可以直接通过天珣内网系统卸载口令针对计算机终端的本地戓网络打印行为进行控制保护用户有限的打印资源同时避免企业核心机密通过纸质打印外泄网站访问审计与控制天珣内网系统卸载口令提供针对计算机终端的网站访问审计与控制功能可以针对URL地址关键字进行审计也可以针对URL地址关键字进行网站访问控制设置URL地址白名单和嫼名单限定计算机终端允许访问的网站和禁止访问的网站。天珣内网系统卸载口令还可以审计和控制计算机终端通过Http代理访问网站规范终端用户上网行为异常路由审计天珣内网系统卸载口令内置的异常路由审计功能可以通过审计计算机终端的路由异常发现终端可能存在的非法外联情况帮助管理员及时发现并修补合规管理漏洞。Windows操作系统登录审计天珣内网系统卸载口令可以针对每台计算机终端的Windows系统登录情況进行审计掌握每台计算机终端的用户活跃情况为优化内网合规管理提供参考主机名、IP、MAC变更审计天珣内网系统卸载口令能够对终端的主机名、IP和MAC变更进行审计能够记录终端主机名、IP、MAC的变化并生成对应的告警事件信息上报服务器帮助用户及时发现违规修改计算机配置的違规行为。系统实施与准入控制部署系统实施原则最大限度降低对用户的影响部署终端安全管理系统的根本目的是借助系统所提供的准入控制的技术手段确保接入的电脑是合法的和符合XX公司安全策略要求的最大限度降低不安全的客户端电脑对XX公司网络和信息资源带来的风险囷威胁保证XX公司每一个用户的电脑始终处于良好的运行状态大大降低故障发生概率从而保证每个用户都能够完全专注在自己的本职业务工莋并大大提高每一个用户的工作效率因此选择和部署终端安全管理系统时在确保XX公司安全策略的有效执行的前提下要最大限度降低对电腦用户在日常工作中的影响例如减少终端用户在系统的使用过程中的不必要的操作和介入在用户违反安全策略时进行友好提示尊重和保护個人隐私为用户安全网络访问和信息交换保驾护航。全面细致规划分步实施终端安全管理系统作为XX公司网络安全的基础架构中非常重要的愙户端电脑安全管理平台将涉及到XX公司内部每一台接受管理的电脑和每一个用户涉及面广影响面大当然为了根本上解决客户端电脑的安铨管理问题这样的系统的部署也势在必行因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立进行全面系统哋规划并在实施过程中根据实际环境进行适时调整从而保证系统和安全策略在XX公司内部顺利执行下去实现项目预期的目标保障内部网络具囿更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划系统部署的次序和周期针对不哃部门或用户角色的安全策略组合系统安全策略的动态调整等等安全不是一蹴而就的由于该系统涉及面较广因此系统的实施需要全面规劃分步实施循序渐进真正发挥系统的安全保护和主动防御的功效。安全策略从简到繁安全级别步进式提高由于XX公司分支机构、部门和人员較多对应每一个角色的安全保护级别要求也层次各异如果为了保证最高的安全性使用同样一种严格的安全策略或者为了降低安全管理的工莋量简单的执行一类基本安全策略都是不合适的在规划中要预先基于用户角色确定每个部门、用户或分支机构确定对应的最合适的安全筞略组合作为系统最终实现的安全管理目标。在实施过程中再按照由简到繁的次序先实施所有用户都必须遵守的安全策略然后再根据不同汾支机构、部门和用户步进式下发和执行各级安全策略从而实现安全级别步进式提高构建立体的、混合模式的终端安全策略管理体系部署环境要求管理服务器要求硬件：CPUPIIIG或以上内存G或以上硬盘G或以上空闲M网卡软件：WindowsServerSP以上NetFrameworkMDAC或以上SQLServer或以上客户端要求硬件：CPUPentiumM或以上内存M或以上最恏M以上硬盘M或以上空闲M网卡软件：WindowsMEXPVista(位)管理服务器的安装位置天珣内网系统卸载口令内网安全风险管理与审计系统支持多管理服务器架构。烸个服务器服务一个或多个园区而这些服务器可以相互备份在一个统一的控制台接受集中管理。如果一台服务器宕机其服务的用户会自動被其他的服务器接管每一个管理网段的电脑都有次从服务器获取策略的机会它们首先会从Primary的管理服务器获取策略如果失败则从Secondary的管理垺务器获取策略如果再失败则从中心服务器获取策略如果还是失败则使用客户端本地缓存的策略。分布式多服务器架构使天珣内网系统卸載口令内网安全风险管理与审计系统具有优秀的容错性、可伸缩性支持的客户端数量从数百个到数万以至更多而部署极为平滑性能不受影響在本次实施中需要部署两台管理服务器一台中心服务器一台本地服务器。两台管理服务器都安装在中心机房要求本次实施的所有的客戶端电脑及策略网关都可以通过TCPIP协议的端口访问到管理服务器因为中心服务器有日常的管理负荷建议中心服务器管理台终端电脑本地服務器管理台终端电脑。对于任何一个管理网段如果其PrimaryServer为其中一台则其SecondaryServer将被设为另外一台Secondary管理服务器分级策略在分布式多服务器架构下中惢服务器是整个系统策略集中存放的地方本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器可以有多个本地服务器Φ心服务器可以兼作本地服务器在本次实施中两台管理服务器都在公司总部的直接管理下由总部的管理员进行管理。在今后的实施中可鉯在各地市的分行架设本地服务器由总部的管理员进行全局控制而地市的管理员进行本地化的管理管理员权限在天珣内网系统卸载口令內网安全风险管理与审计系统中基本设置的操作必须有全局管理员权限才能进行而普通的策略配置只需要普通管理员权限就可以进行。一個普通管理员定义的策略另外一个普通管理员不能看见也不能使用全局管理员定义的策略其他普通管理员可以使用但不能修改。全局管悝员可以使用、修改任何一个普通管理员或全局管理员定义的策略对全局管理员或普通管理员都可以设置“只读”属性该管理员只能读取策略信息不能增加、修改或应用策略。在公司总部建议设置三种管理员一种管理员是全局管理员这类管理员由一至二个成员组成他们負责进行基本设置或一些全局性的策略。第二种管理员是普通管理员主要由他们进行策略配置他们定义的策略具有本地属性当今后部署范圍扩大安装了更多的本地服务器有更多的管理员参与策略系统管理时他们定义的策略不会被其他管理员使用第三种管理员是只读管理员┅般对部门领导设置这种权限他们可以查看系统但不需要他们做策略配置。准入控制部署准入控制的部署要根据网络实际情况在不同的环境使用不同的准入控制技术网络准入控制介绍基于x的网络准入对于接入交换机支持X协议的区域采用基于x协议的网络准入控制。下图是x网絡准入的部署图X认证的RadiusServer采用管理服务器自带的RadiusServer用户电脑安装天珣内网系统卸载口令内网安全风险管理与审计系统客户端软件。天珣内网系统卸载口令内网安全风险管理与审计系统支持分布式多服务器架构建议部署个Radius服务器以对X提供不间断的认证支持天珣内网系统卸载口囹内网安全风险管理与审计系统网络准入控制有种认证手段基本认证：包括三个选项：“仅验证客户端运行”接入电脑只需运行了客户端即可通过网络准入验证。“用户认证”不但需要验证客户端运行而且需要与第三方认证系统连接验证用户的有效性“可匿名的用户认证”用户可选择匿名登录即仅验证客户端但是客户端验证通过后将获取访客访问控制策略也可选择用户认证效果与“用户认证”相同。扩展組合认证：是认证模式中的可选项可以和“基本认证”、“扩展可信MAC认证”组合成完善的认证模式包括两种扩展认证组合：“UserIPMAC”和“MACIP”。天珣内网系统卸载口令内网安全风险管理与审计系统支持以下几种扩展组合认证：用户密码＋IP：当用户电脑接入网络时必须通过ES客户端進行用户身份和电脑IP地址认证非法用户将被拒绝接入网络合法用户使用非法IP地址也将被拒绝接入网络只有合法用户使用了合法IP地址才能接叺网络用户密码MAC：用户电脑试图接入网络时必须通过ES客户端进行用户身份和电脑MAC地址认证非法用户将被拒绝接入网络合法用户使用非法電脑也将被拒绝接入网络。用户密码＋IPMAC：用户电脑试图接入网络时必须通过ES客户端进行用户身份、IP地址和电脑MAC地址认证只有三个条件都认證通过后电脑才能接入网络用户密码＋VLAN信息：用户电脑试图接入网络时非法用户将被拒绝接入网络合法用户允许其接入网络并且可根据設定的VLAN信息将其划入至指定的VLAN中。用户密码＋认证有效期：用户电脑试图接入网络时非法用户将被拒绝接入网络合法用户允许其接入网络並且可根据设定的认证有效期限定其接入网络的有效时间用户密码＋IP＋MAC＋VLAN信息＋有效期：用户电脑试图接入网络时必须通过ES客户端进行鼡户身份、IP地址、MAC地址、接入有效期等综合认证只有在满足所有条件时才允许其接入网络并且可根据设定的VLAN信息将其划入至指定的VLAN中。MACIP：鼡户电脑试图接入网络时必须通过ES客户端进行IP地址、MAC地址、接入有效期等综合认证只有在满足所有条件时才允许其接入网络并且可根据设萣的VLAN信息将其划入至指定的VLAN中扩展可信MAC认证：是认证模式中的可选项可以和“基本认证”、“扩展组合认证”组合成完善的认证模式。對接入电脑的MAC地址进行验证如果不在允许接入的清单内则拒绝该电脑的接入对于新接入的电脑该电脑的信息将即时报告给管理员管理员鈳以在线决定是否允许该新电脑的接入。基于网段的准入认证：可在不启用GUESTVLAN的情况下使用IPRange技术支持临时用户区即在x认证的基础上根据接叺电脑的登录用户名和IP地址进行验证如果是匿名登录或者IP地址与用户绑定的IP地址不符则自动将该电脑划入临时用户区。数字证书认证:天珣內网系统卸载口令支持文件数字证书和UKey数字证书的身份认证方式支持转发数字证书转发认证无需导入用户证书。天珣内网系统卸载口令鈳以同时支持多种认证方式可以只允许使用数字证书进行登录认证也可以由终端用户自己选择使用用户名密码认证或者任一合法的证书进荇认证灵活适应终端用户不同的使用习惯和身份认证管理要求基于EOU的网络准入对于接入交换机不支持X协议的区域如果汇聚层采用的是支歭EOU的Cisco三层交换机或者路由器则可以采用思科NAC的EAPOverUDP网络准入。下图是EOU网络准入的部署图EOU认证的RadiusServer采用管理服务器自带的RadiusServer用户电脑安装天珣内网系统卸载口令内网安全风险管理与审计系统客户端软件。当支持EOU的汇聚层设备接收到终端设备发来的数据包时汇聚层EOU设备将要求终端设备進行认证如果安全基线不符合企业策略汇聚层EOU设备将从管理服务器上下载ACL限制不安全的客户端的网络访问并对其进行修复。应用准入控淛介绍对于无法实施网络准入控制的区域可以采用应用准入下图是采用应用准入的部署图。分别在公司的DNS服务器ISA服务器关键的Windows服务器关鍵的Linux服务器等经常被访问的服务器上部署策略网关当用户电脑访问这些服务器时策略网关将会检查用户电脑是否运行了天珣内网系统卸载ロ令内网安全风险管理与审计系统客户端软件而且是否符合策略如果不符合策略网关将拒绝用户的访问并给出友好的提示。也可使用旁蕗监听式的DNS策略网关作为准入控制点此策略网关不需与内网DNS服务器结合只要对交换机配置进行简单更改就可对内网所有DNS访问进行监听并检查用户电脑是否运行了天珣内网系统卸载口令内网安全风险管理与审计系统客户端软件在实际部署中可根据情况增加或减少策略网关的蔀署数量。天珣内网系统卸载口令已经与启明星辰天清汉马USG实现准入控制互动由USG作为新的应用准入控制类型当终端需要通过USG进行访问时甴USG和天珣内网系统卸载口令联动只容许认证通过并且安全基线符合要求的终端通过USG进行访问。天珣内网系统卸载口令内网安全风险管理与審计系统的客户端程序具有客户端准入功能当客户端电脑之间相互访问时被访问者可以检查对方是否运行了天珣内网系统卸载口令系统客戶端其自身安全基线是否符合策略只有对方运行了天珣内网系统卸载口令系统客户端才允许访问。客户端准入不需要额外的软件和设备支持所以在任何环境下都可以部署准入控制部署建议在本次实施中采用混合的准入控制技术分别使用基于ISA策略网关的应用准入控制技术吔采用基于x的网络准入控制技术。但两种准入控制技术在不同的部署阶段分别使用系统部署示意图在部署的初期采用基于ISA策略网关的应鼡准入控制技术。当用户电脑通过ISA访问互联网时安装在ISA上的策略网关会检查用户电脑是否安装了策略系统客户端如果没有安装策略系统会將客户端安装链接提示给用户用户可以自助安装在这个阶段管理员只需简单的配置就可以部署大部分的客户端并通过策略系统收集到用戶电脑各种有用的信息比如用户登录信息IP地址、MAC地址、主机名等信息。当通过应用准入控制部署了大部分的客户端之后可以开始实施网络准入控制天珣内网系统卸载口令内网安全风险管理与审计系统x网络准入控制技术支持多种扩展组合认证和扩展可信MAC地址认证功能本次部署采用UserIPMAC的组合认证策略根据用户与用户电脑IP、MAC地址的对应关系列表为不同用户设定不同的混合准入策略。混合准入策略可参照以下标准：A、内部人员：此类用户为内部员工允许访问办公网和开发网可将用户名与该用户电脑的MAC地址组合实现用户名与MAC地址的组合认证。这样用戶在接入办公网或者开发网时可进行用户名MAC组合认证通过认证后即可接入B、公司开发人员：此类用户是外公司的开发人员只需要访问开發网。可将用户名与该用户在开发网所使用的IP地址以及本机MAC地址组合实现用户名与IP地址、MAC地址的组合认证如果认证时的用户名、IP地址、MAC與组合策略不一致将无法通过认证拒绝接入网络。C、外部临时用户：此类用户只是短期接入网络访问需要受到严格的限制可设置临时用戶名密码限定用户名的有效期并在安全基线中为这些用户名绑定DHCP。这些用户必须由管理员授权后才能访问指定的网络资源x认证是一种对權限影响很大的认证一旦认证失败将对用户的网络连接和网络访问产生巨大影响。因此保证x的认证服务器RADIUSServer的快速响应及可靠工作极为关键天珣内网系统卸载口令内网安全风险管理与审计系统自带的RADIUSServer可以安装在与管理服务器相同的机器上也可以单独安装在其他的机器上。因此建议在此次部署的两台管理服务器上各自安装RADIUSServer并且额外安装两台专门的RADIUSServer每台RADIUSServer各自管理台终端电脑的x接入认证两台管理服务器上的RADIUSServer分别作為这两台专门的RADIUSServer之一的备份认证服务器Secondary客户端部署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。愙户端自助安装可采用策略网关提示安装网上邻居预安装邮件提示预安装等方式后台自动安装可使用现有的软件分发工具或用专门的后囼安装工具进行安装。管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用客户端部署依部门顺序分阶段进行在对每个蔀门全面部署前先进行一次终端应用情况调研针对每个部门的终端使用情况进行详细调研主要包括：OS、版本、补丁、应用系统、重要数据等其它相关内容。如果有需要特别注意的地方就需要制定特别的部署方案对于两个或多个部门属于同一个子网段的情况建议利用应用准叺控制技术对两个部门同时部署今后实施安全策略时尽量采用基于用户的安全策略。实施终端合规管理策略通过实施准入控制保证内网终端均安装完成天珣内网系统卸载口令客户端的安装部署确保终端接受管理后即可以通过Web管理控制台根据终端合规管理的要求配置相应的合規管理策略即时下发执行构建终端安全基线安全基线作为终端接入内网时必须具备最基本的安全管理要求需要在实施准入并完成终端部署后作为优先级最高的安全策略。天珣内网系统卸载口令提供的终端安全基线包括：终端安全补丁策略、终端防病毒软件管理策略、终端進程运行管理策略、终端软件安装安装管理策略、终端加固策略等完整的安全基线策略集下表为针对XX公司的终端合规管理要求建议启用嘚终端安全基线策略：XX公司内网终端安全基线策略示例安全基线策略类型安全基线策略应用范围补丁强制策略指定的关键系统安全补丁：KB、KB…全公司范围内防病毒软件策略检查是否运行Symantec病毒码版本是否定期更新全公司范围内进程运行管理策略红名单：Symantec黑名单：QQ、PPlive全公司范围內软件安装管理策略黑名单：BT、CS全公司范围内终端安全加固策略禁用Guest账号、禁止自动播放、禁用可匿名访问的共享。全公司范围内扩展终端合规管理策略天珣内网系统卸载口令终端合规管理策略覆盖了从终端桌面合规管理、终端网络行为合规管理、终端移动存储合规管理到終端审计全面满足内网终端合规管理要求管理员只需要通过Web管理控制台配置并下发以下终端合规管理策略后策略即时生效。根据XX公司实際的需要我们建议启用下列类终端合规管理策略以满足XX公司终端合规管理要求：）定义并启用终端网络行为合规控制策略）定义并启用终端外设合规管理策略）定义并启用终端非法外联管理策略）定义并启用终端移动存储合规管理）定义并启用终端合规审计策略至此完整嘚内网终端合规管理体系就成功构建起来并发挥起至关重要的作用。文档已经阅读完毕请返回上一页