【文章內(nèi)容簡介】 程序的名稱，源文件名可以通過鼠標(biāo)右鍵點擊可執(zhí)行文件找到。填入需要監(jiān)控的源文件名稱后，點選【添加控制】按鈕，如果想要控制更多的源文件，輸入源文件名稱后，繼續(xù)點選【添加控制】按鈕，以此類推?？梢栽O(shè)置更多的需監(jiān)控項目?？刂茽顟B(tài)針對具體的進(jìn)程、產(chǎn)品、源文件，具體的控制狀態(tài)有三種，包括“禁止運行”、“必須運行”和“允許運行”，這個具體選擇可以根據(jù)管理員的需要自行設(shè)定。如果想要取消對某個軟件的控制，請在列表處選定具體的進(jìn)程、產(chǎn)品、源文件的名稱，然后點擊【刪除控制】按鈕。其他進(jìn)程處理選中“允許運行”并勾中“除以上列表的進(jìn)程外,不允許其他進(jìn)程執(zhí)行”，則表示只允許進(jìn)程列表中的進(jìn)程運行，其他進(jìn)程均視為違規(guī)，即實現(xiàn)對進(jìn)程運行的限制功能。以上各種情況的違規(guī)處理指選定的對象如果違反了上述的監(jiān)控策略的處理方法。關(guān)機(jī)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機(jī)進(jìn)行2分鐘后自動關(guān)機(jī)的處理，同時，該計算機(jī)彈出管理員設(shè)定的提示信息。表2 4進(jìn)程執(zhí)行監(jiān)控策略參數(shù)說明策略實例： 圖2 6進(jìn)程執(zhí)行監(jiān)控策略注意事項：1．進(jìn)程名稱、產(chǎn)品名稱、源文件名之間是“或”的關(guān)系，填入其中一項或多項均可實現(xiàn)監(jiān)控功能，其中，產(chǎn)品名稱，主要用于監(jiān)控一系列軟件的使用，比如說，qq不同版本的程序名不一樣，但是產(chǎn)品名稱是相同的。源程序名的作用，主要是為了防止可執(zhí)行程序被人手動修改名稱而避過安全系統(tǒng)的管理策略。2．本策略設(shè)置時，建議在高級設(shè)置策略觸發(fā)方式中，選中啟動時觸發(fā)和間隔觸發(fā)，間隔時間5分鐘左右。3．啟動路徑為全路徑或系統(tǒng)默認(rèn)路徑。進(jìn)程保護(hù)策略功能說明：設(shè)置需要保護(hù)的用戶進(jìn)程，防止被保護(hù)的進(jìn)程被非法關(guān)閉。策略實例：圖2 7進(jìn)程保護(hù)策略注意事項：1．這里的進(jìn)程保護(hù)是指使用windows任務(wù)管理器和一般的應(yīng)用程序無法終止該程序。2．這里的被保護(hù)進(jìn)程，仍然可以在策略中心的“進(jìn)程執(zhí)行監(jiān)控”中進(jìn)行終止，請管理員注意相關(guān)策略的設(shè)置。主機(jī)安全策略用戶密碼策略功能說明：此策略可以對系統(tǒng)的本地密碼策略、本地帳戶鎖定策略、系統(tǒng)屏保進(jìn)行設(shè)置，同時可以檢測系統(tǒng)密碼弱口令，除系統(tǒng)自定義的弱口令外，用戶可以自己添加自定義弱口令集。參數(shù)說明：參數(shù)說明檢測到系統(tǒng)弱口令后當(dāng)系統(tǒng)檢測到客戶端采用了弱口令后可以采用“上報”、“提示”兩種方式，即上報給區(qū)域管理器或者根據(jù)管理員設(shè)置的提示信息給客戶端發(fā)出提示。附加弱口令列表根據(jù)各單位名稱等不同，自己添加需要探測的弱口令，每個弱口令之間用,分隔。表2 5用戶密碼策略參數(shù)說明注意事項：1．在windows系統(tǒng)密碼策略中，策略是指密碼的長度。2．“弱口令檢查”與“本地賬戶鎖定策略”不能同時設(shè)置，否則弱口令用戶可能會被鎖定，無法使用！也不能對同一臺計算機(jī)分配兩個這樣的策略。3．檢測系統(tǒng)弱口令，原理是使用每個列表中的弱口令來嘗試登錄計算機(jī)，它并不修改任何windows系統(tǒng)文件，本策略不會造成任何的計算機(jī)不穩(wěn)定狀態(tài)。4．用戶密碼策略：只適用于標(biāo)準(zhǔn)版操作系統(tǒng)，番茄花園版不支持；系統(tǒng)屏保設(shè)置：重啟后生效；弱口令列表需要手動添加。用戶權(quán)限策略功能說明：檢查系統(tǒng)用戶、系統(tǒng)用戶組的權(quán)限的改變和系統(tǒng)用戶、系統(tǒng)用戶組的增加或減少。 當(dāng)以上的某一條件符合時，則彈出相應(yīng)的提示信息。根據(jù)需要，在相應(yīng)的菜單中選擇上報或者在客戶端提示的報警方式，還有兩種報警方式同時啟用的方式，如果選擇中有提示信息選項，將在客戶端彈出管理員設(shè)定的提示信息窗口。注意事項：1．本策略的各項均在Windows系統(tǒng)控制面板中的“用戶與密碼”項或者控制面板中的管理工具文件夾里的計算機(jī)管理程序中的用戶菜單來實現(xiàn)的，本策略只提供相應(yīng)的監(jiān)測功能，不對您的修改進(jìn)行限制。協(xié)議防火墻策略功能說明：本策略是基于各種網(wǎng)絡(luò)協(xié)議的原理和各種網(wǎng)絡(luò)軟件對網(wǎng)絡(luò)的實際應(yīng)用，用來控制各種網(wǎng)絡(luò)使用和計算機(jī)端口的使用，起到防火墻的作用。參數(shù)說明端口連接控制規(guī)則協(xié)議類型計算機(jī)可以進(jìn)行很多網(wǎng)絡(luò)應(yīng)用，各種應(yīng)用都是基于網(wǎng)絡(luò)上服務(wù)器提供的服務(wù)。不同的服務(wù)是采用不同的端口提供的，通過這種端口的方式，計算機(jī)才可以與外界進(jìn)行互不干擾的通信。Tcp/udp協(xié)議，網(wǎng)絡(luò)通信協(xié)議，基本上所有的網(wǎng)絡(luò)服務(wù)都使用它們作為通信的標(biāo)準(zhǔn)。系統(tǒng)在這里通過控制計算機(jī)的端口和相應(yīng)的網(wǎng)絡(luò)協(xié)議，對計算機(jī)用戶的網(wǎng)絡(luò)操作進(jìn)行監(jiān)管。我們可以通過在windows下的dos窗口輸入“netstat –a”命令來查看本機(jī)打開的端口和各種端口正在被哪種服務(wù)使用的，且這個服務(wù)使用的是哪種協(xié)議。同時，我們也可以通過軟件相關(guān)的說明文檔得到這些信息。我們在端口處填入我們查詢到的需要控制的軟件使用的端口，在協(xié)議選擇下拉菜單中選擇相應(yīng)的tcp/udp協(xié)議?！氨镜囟丝凇焙汀斑h(yuǎn)程端口”兩個選項，其中，本地端口是指在網(wǎng)絡(luò)的使用中，本地計算機(jī)使用的端口，如果選擇這個選項，則在本策略的對象范圍內(nèi)的計算機(jī)無法啟動使用該端口的服務(wù)；遠(yuǎn)程端口是指在網(wǎng)絡(luò)的使用中，本地計算機(jī)可以啟動本服務(wù)，但是無法訪問遠(yuǎn)程計算機(jī)提供相應(yīng)服務(wù)的端口。管制方式“禁用填充項中指定端口，開放其他端口”選項是指僅禁用在上邊填寫的端口和其所對應(yīng)的服務(wù)，同時開放其他所有的端口，使其可以使用網(wǎng)絡(luò)服務(wù)?！敖锰畛漤椫兄付ǘ丝凇边x項是指僅禁用填充項中的端口和其所對應(yīng)的服務(wù)，并不改變其他端口目前的狀態(tài)。“開放填充項中指定端口，禁用其他端口”是指，僅開放在上邊填寫的端口和其所對應(yīng)的服務(wù)，同時關(guān)閉其他所有的關(guān)口和網(wǎng)絡(luò)服務(wù)，“開放填充項中指定端口”是指開放在上邊填寫的端口和其相對應(yīng)的服務(wù)，并不改變其他端口目前的狀態(tài)。選定需要的選項后，點擊“添加端口連接控制規(guī)則”按鈕，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。ICMP協(xié)議控制規(guī)則指系統(tǒng)對ICMP協(xié)議的控制，主要是通過判斷計算機(jī)間的互相通信是否正常來判斷的。一般來說，只要執(zhí)行MSDOS窗口下的ping命令即可系統(tǒng)對icmp協(xié)議的控制，主要是通過判斷計算機(jī)間的互相通信是否正常來判斷的。一般來說，只需要執(zhí)行msdos 窗口下的ping命令即可?！敖筽ing入”是指不允許其他計算機(jī)（包括局域網(wǎng)計算機(jī)和遠(yuǎn)程計算機(jī)）用ping命令來檢測本地計算機(jī)通信狀態(tài)?！敖筽ing出”是指不允許設(shè)置的對象客戶機(jī)用ping命令來檢測其他計算機(jī)（包括局域網(wǎng)計算機(jī)和遠(yuǎn)程計算機(jī)）的通信狀態(tài)。“禁止雙向”同時禁止任意兩臺計算機(jī)（至少有一臺是本地計算機(jī)）的通信檢測。設(shè)定好后，點擊“添加icmp協(xié)議控制規(guī)則”按鈕，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。IP訪問控制規(guī)制ip地址輸入需要限制網(wǎng)絡(luò)使用的計算機(jī)的ip地址或ip地址范圍。管制方式“只允許填充項中ip地址訪問自己，禁止其余ip地址訪問”是指，在設(shè)定的ip地址范圍內(nèi)的計算機(jī)，每臺計算機(jī)能使用策略生效范圍內(nèi)的計算機(jī)的網(wǎng)絡(luò)資源，其他的計算機(jī)無法訪問該策略范圍內(nèi)的計算機(jī)?！爸辉试S自己訪問填充項中ip地址，禁止訪問其余ip地址”是指，本策略生效范圍內(nèi)的計算機(jī)只能訪問在設(shè)定的ip地址范圍內(nèi)的計算機(jī)的網(wǎng)絡(luò)服務(wù)，不能訪問其他計算機(jī)提供的網(wǎng)絡(luò)服務(wù)。設(shè)定好后，點選“添加ip訪問控制規(guī)則”，所設(shè)定的控制將出現(xiàn)在頁面下端的控制列表中。以上各種選項在設(shè)定后，如果需要去掉，只要在控制列表中，點選，然后點擊下邊的“刪除規(guī)則”按鈕。超級IP指的是本IP不受上邊制定的所有策略的限制。默認(rèn)內(nèi)網(wǎng)管理服務(wù)器IP為超級IP超級端口指本端口和所對應(yīng)的服務(wù)不受上邊制定的所有策略的限制表2 6協(xié)議防火墻策略參數(shù)說明策略實例：如下圖所設(shè)置的一個樣例表示：只開放本地計算機(jī)的80端口；；禁止其他計算機(jī)ping入。圖2 8協(xié)議防火墻策略注意事項：1．此策略需要管理員對網(wǎng)絡(luò)協(xié)議和計算機(jī)端口有一定的認(rèn)識，請慎重制定。通過對端口和協(xié)議對計算機(jī)用戶的網(wǎng)絡(luò)操作進(jìn)行監(jiān)管。注冊表檢查策略功能說明：監(jiān)測客戶端的注冊表內(nèi)容和該內(nèi)容的設(shè)定值，防止注冊表被病毒或其他惡意程序修改，起到對計算機(jī)的安全防護(hù)作用。參數(shù)說明：參數(shù)說明注冊表項名稱在【運行】項輸入“regedit”然后點確定。出現(xiàn)注冊表窗口，在左邊窗口顯示的就是注冊表項的名稱鍵名在注冊表窗口中，右邊窗口中的名稱標(biāo)題下的內(nèi)容就是鍵名值類型同注冊表右邊窗口的值類型的三個選項 “reg_sz”、“reg_dword”、“reg_binary”鍵值在注冊表右邊窗口中的數(shù)據(jù)標(biāo)題下的內(nèi)容就是鍵值檢測條件根據(jù)需要選擇相應(yīng)的條件適合操作系統(tǒng)根據(jù)對象的計算機(jī)操作系統(tǒng)狀況進(jìn)行選擇具體的操作系統(tǒng)控制操作如果要刪除注冊表項請確認(rèn)該項對系統(tǒng)的正常使用不會造成影響。刪除項會同時刪除該項下的子項和鍵。表2 7注冊表檢查策略參數(shù)說明圖2 9注冊表注意事項：1．本策略只提供注冊表檢測功能，不進(jìn)行修改注冊表內(nèi)容的操作。IP與MAC綁定策略功能說明：實行IP與MAC綁定。當(dāng)IP與MAC綁定發(fā)生變化時，可對其實施自動恢復(fù)、彈出提示框、或斷開網(wǎng)絡(luò)并持續(xù)阻斷該計算機(jī)等控制。參數(shù)說明：參數(shù)說明客戶端特性設(shè)置：客戶端IP,MAC綁定點選該選項，才可以使用本策略的功能。Ip與mac綁定是指客戶端計算機(jī)在局域網(wǎng)中標(biāo)識身份的地址和計算機(jī)的網(wǎng)卡標(biāo)識號碼的匹配。當(dāng)綁定發(fā)生變化指客戶端計算機(jī)用戶修改了自己的ip地址，這時，網(wǎng)卡的mac將于新的ip地址相匹配，就不能與原來的ip地址匹配，這就是ip、mac綁定發(fā)生變化。系統(tǒng)根據(jù)這種情況給出4種處理方式，“不處理”、“自動恢復(fù)”、“斷開網(wǎng)絡(luò)”，并且提示管理員設(shè)定的信息、“僅提示”只提示管理員設(shè)定的信息。表2 8IP與MAC綁定策略參數(shù)說明策略實例：圖2 10IP與MAC綁定策略注意事項：1．“客戶端IP,MAC綁定”選項絕對不能在動態(tài)IP的設(shè)備上使用。2．一般常規(guī)性的網(wǎng)絡(luò)應(yīng)用中，只要設(shè)定自動恢復(fù)ip和除網(wǎng)絡(luò)管理員的賬戶其他帳戶均有效即可。殺毒軟件運行監(jiān)控策略功能說明：檢查客戶機(jī)是否安裝殺毒軟件，并做提示、斷開、重啟計算機(jī)等操作。參數(shù)說明：參數(shù)說明若客戶端未運行病毒防火墻“不處理”、“自動重啟”當(dāng)系統(tǒng)發(fā)現(xiàn)客戶端未安裝殺毒軟件時，將彈出管理員設(shè)定的提示信息，并且2分鐘后自動重新啟動、“斷開網(wǎng)絡(luò)”斷開和網(wǎng)絡(luò)的連接，并彈出管理員設(shè)定的提示信息、“僅提示”只發(fā)給客戶端提示信息。殺毒軟件升級設(shè)置用于自動升級殺毒軟件。這此功能生效的條件是需要把殺毒軟件的升級文件放到VRV\RegionManage\Distribute\AntiVirusUpdate目錄中相應(yīng)的殺毒軟件升級文件夾中，目前支持的可升級的殺毒軟件有北信源、macfee、瑞星、諾頓等。表2 9殺毒軟件運行監(jiān)控補丁分發(fā)策略、軟件分發(fā)策略請參照第三章北信源補丁及文件分發(fā)管理系統(tǒng)接入認(rèn)證策略請參照第六章北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)和第七章北信源接入認(rèn)證網(wǎng)關(guān)。違規(guī)外聯(lián)監(jiān)控防違規(guī)外聯(lián)策略功能說明：監(jiān)視違規(guī)網(wǎng)絡(luò)連接（modem撥號、雙網(wǎng)卡、代理等），并對違規(guī)行為做出相應(yīng)的處理，檢測計算機(jī)的網(wǎng)絡(luò)使用是否符合制定的原則，對不符合原則的計算機(jī)進(jìn)行處理。參數(shù)說明：參數(shù)說明違規(guī)監(jiān)控設(shè)置通過設(shè)置，檢測策略應(yīng)用的對象的客戶端是否能和外網(wǎng)通信來判斷該計算機(jī)是否違反了管理員制定的規(guī)則。 “外網(wǎng)地址”選項，是利用系統(tǒng)的功能，對這兩個地址，進(jìn)行檢測，當(dāng)可以與這兩個網(wǎng)站通信時，視為本機(jī)違反策略。“客戶端所限定使用的網(wǎng)段”是指，如果客戶端訪問的ip地址超過了在這個選項中設(shè)置的范圍，也視為本機(jī)違反策略。本選項需要填寫ip地址范圍，范圍中間區(qū)域用“—”來間隔?！安捎锰綔y外網(wǎng)方法”和 “客戶端所限定使用的網(wǎng)段”這兩種方法，是并列的，單獨使用其中的一種或者兩種同時使用都可以滿足您的需要。禁止使用代理上網(wǎng)訪問如果選擇這個選項，則瀏覽器無法使用代理服務(wù)器訪問網(wǎng)絡(luò)，該選項可屏蔽瀏覽器使用內(nèi)網(wǎng)或者外網(wǎng)的大多數(shù)代理服務(wù)。探頭發(fā)現(xiàn)設(shè)備違規(guī)后的處理方式A：若客戶端同時連接內(nèi)外網(wǎng)，本選項一般指計算機(jī)同時能夠訪問單位內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。在處理方式中，僅提示方式，是指當(dāng)選定對象的用戶如果違反了策略，將在客戶端彈出管理員設(shè)置的提示信息。斷開網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機(jī)進(jìn)行斷離網(wǎng)絡(luò)的處理，同時，該計算機(jī)彈出管理員設(shè)定的提示信息。關(guān)機(jī)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機(jī)進(jìn)行2分鐘后自動關(guān)機(jī)的處理，同時，該計算機(jī)彈出管理員設(shè)定的提示信息。B：若客戶端僅在外網(wǎng)，一般是指，客戶沒有在局域網(wǎng)中，只通過modem等網(wǎng)絡(luò)設(shè)備上網(wǎng)的情況。在處理方式中，僅提示方式，是指當(dāng)選定對象的用戶如果違反了策略，將在客戶端彈出管理員設(shè)置的提示信息。斷開網(wǎng)絡(luò)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機(jī)進(jìn)行斷離網(wǎng)絡(luò)的處理，同時，該計算機(jī)彈出管理員設(shè)定的提示信息。關(guān)機(jī)方式，是指當(dāng)本策略啟用時，選定的策略管理對象，如果違反了本策略，將對該計算機(jī)進(jìn)行2分鐘后自動關(guān)機(jī)的處理，同時，該計算機(jī)彈出管理員設(shè)定的提示信息。重新接回內(nèi)網(wǎng)后進(jìn)行安全檢察，是指當(dāng)計算機(jī)離開本網(wǎng)絡(luò)，并且離開后進(jìn)行了網(wǎng)絡(luò)操作，則當(dāng)計算機(jī)回到本網(wǎng)絡(luò)的時候，提示用戶進(jìn)行安全檢測。 表2 10防違規(guī)外聯(lián)策略參數(shù)說明策略實例：圖2 11防違規(guī)外聯(lián)策略當(dāng)執(zhí)行該策略的客戶端有違規(guī)外聯(lián)事件發(fā)生時，客戶端將彈出管理員設(shè)置的提示信息，如下圖所示：圖2 12違規(guī)提示注意事項：1．當(dāng)計算機(jī)離開本地網(wǎng)絡(luò)，并進(jìn)行過聯(lián)網(wǎng)后，回到網(wǎng)絡(luò)僅提示安全檢查，本系統(tǒng)并不對其進(jìn)行具體的安全檢查。2．使用本策略，必須點選“允許探頭進(jìn)行違規(guī)聯(lián)網(wǎng)監(jiān)控”和“采用探測外網(wǎng)方法”兩個選項。行為管理及審計、涉密檢查策略請參照第四章北信源主機(jī)監(jiān)控審計系統(tǒng)可移動儲存管理請參照第五章北信源移動存儲介質(zhì)使用管理系統(tǒng)主機(jī)運維策略運行資源監(jiān)控策略功能說明：本策略主要針對服務(wù)器和重要主機(jī)而設(shè)計的，網(wǎng)管人員十分關(guān)心服務(wù)器和重要主機(jī)的運行狀況，如CPU、內(nèi)存、硬盤等關(guān)鍵硬件的信息就