- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载 (5.90 MB)
目 录
终端行为管理(EBM,Endpoint Behavior Manager)是基于iMC平台开发的业务组件,是一款结合终端行为审计和监控、用于加强信息安全建设的综合性产品,主要用于解决各企事业单位终端用户行为管理的问题。
EBM通过对网络数据采集、分析和识别,可以实时监测终端行为、网络行为及网络流量,发现并捕获各种敏感信息、违规行为,实时报警,实现对网络信息的智能关联分析和评估,以及安全事件的准确全程跟踪定位,为整体终端安全策略的制定提供权威可靠的支持。
EBM支持对用户行为进行全方位的管理和监控,主要功能如下。
终端行为策略是终端行为管理的实施依据。在终端行为策略中可以选择已经配置的外设管控、应用程序限制、网络访问限制等子策略,并设置策略生效的终端资产或用户。
终端安装iNode客户端。在完成资产注册后,iNode客户端向EBM服务器请求终端行为策略,根据策略对用户的终端行为进行管控,同时把产生的审计日志定时上报给服务器。
子策略即终端行为管理的具体策略,可以在终端行为策略页面中增加,也可以进入相应的子策略页面配置。
子策略类型如下:
· 外设管控策略
· 应用程序管控策略
¡ 窗口标题限制策略
¡ 软件版本限制策略
¡ 运行时长审计策略
· 网络访问限制策略
¡ 上网策略
¡ 共享策略
¡ 流量限制策略
· 聊天监控策略
· 文件操作策略
· 水印策略
¡ 打印水印策略
¡ 屏幕水印策略
¡ Office文档水印策略
· 剪切板控制策略
· 屏幕监控策略
· 系统事件监控策略
· 软件卸载策略
用户终端行为审计事件产生的记录将通过iNode客户端上报给EBM服务器,EBM服务器接收并保留,可以为管理员追踪和监控IT网络的安全状态提供依据。用户的终端行为如光驱刻录,打印操作等支持将具体的刻录、打印文件上传至EBM服务器,以供管理员下载查阅。
日志类型如下:
· 外设监控日志
· 应用程序使用日志
· 网络行为日志
· 聊天监控日志
· 文件操作日志
· 屏幕录制日志
· 终端系统日志
· 软件任务日志
· 提高审计工作效率,有效掌握企业的不规范操作行为:
¡ 更快、更准确地追溯违反操作规范的员工
¡ 减少违规操作可能带来的经济损失
· 避免法律和商业等风险:
¡ 对已经发生的用户行为提供有效的追究证据,避免公司与员工的诉讼风险
¡ 避免非法软件使用风险
¡ 预防核心数据泄漏
· 基于保护个人隐私的原则,规范员工工作行为,提高效率:
¡ 记录非正常工作行为
· 终端已安装iNode客户端。
· 终端已在桌面资产管理中完成了资产注册,并且状态为“在线”。
管理员可以根据快速入门的功能链接跳转至相应的页面,完成终端行为策略的配置,并查看相关日志,如图2-1所示。
操作步骤如下:
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 快速入门”菜单项,进入快速入门页面。
(2) 增加子策略。
¡ 单击“外设管控策略”链接,增加外设管控策略,包括磁盘限制、驱动器限制、外设使用审计、打印权限控制和光驱刻录限制,具体操作请参见3.2 外设管控策略。
¡ 单击“应用程序管控策略”链接,增加应用程序管控策略,根据窗口标题或软件版本对终端使用的应用程序进行限制,具体操作请参见3.3 应用程序管控策略。
¡ 单击“网络访问限制策略”链接,增加网络访问限制策略,包括上网策略、共享策略和流量限制策略,具体操作请参见3.4 网络访问限制策略。
¡ 单击“聊天监控策略”链接,增加聊天监控策略,用于对用户使用即时通讯工具进行聊天、传输文件、发送图片的行为进行审计,并支持对文件发送和接收进行阻断,具体操作请参见3.5 聊天监控策略。
¡ 单击“文件操作策略”链接,增加文件操作策略,监视并记录终端的文件操作,具体操作请参见3.6 文件操作策略。
¡ 单击“水印策略”链接,增加水印策略,包括打印水印策略和屏幕水印策略,具体操作请参见3.7 水印策略。
¡ 单击“剪切板控制策略”链接,增加剪切板控制策略,用于对终端上的进程以白名单或者黑名单的形式来限制使用系统剪切板,具体操作请参见3.8 剪切板控制策略。
¡ 单击“屏幕监控策略”链接,增加屏幕监控策略,用于对用户在终端上的行为进行录像或者截屏,并且支持对用户截图功能的使用进行管控,具体操作请参见3.9 屏幕监控策略。
¡ 单击“系统事件监控策略”链接,增加系统事件监控策略,上报终端的系统日志、登录日志以及操作系统用户变化等系统事件,具体操作请参见3.10 系统事件监控策略。
¡ 单击“软件卸载策略”链接,增加软件卸载策略,用于对终端计算机上的软件进行管理,卸载特定的软件,保障终端信息安全,具体操作请参见3.11 软件卸载策略。
(3) 增加终端行为策略。
单击“终端行为策略”链接,增加终端行为策略。选择先前已增加的子策略及生效资产,下发策略,具体操作请参见3.1 终端行为策略。
(4) 查看日志。
¡ 单击“外设管控日志”链接,查看光驱刻录监控日志、打印操作审计日志、USB设备插拔日志、蓝牙文件审计日志和蓝牙配对变更日志,具体操作请参见3.12.1 外设监控日志。
¡ 单击“应用程序使用日志”链接,查看应用程序使用日志,具体操作请参见3.12.2 应用程序使用日志。
¡ 单击“网络行为日志”链接,查看网页浏览记录、论坛发帖记录、邮件记录和聊天记录,具体操作请参见3.12.3 网络行为日志。
¡ 单击“聊天监控日志”链接,查看聊天记录及登录日志,具体操作请参见3.12.4 聊天监控日志。
¡ 单击“文件操作日志”链接,查看文件操作日志,具体操作请参见3.12.5 文件操作日志。
¡ 单击“屏幕监控日志”链接,查看终端PC上录屏或者截屏日志,具体操作请参见3.12.6 屏幕监控日志。
¡ 单击“终端系统日志”链接,查看系统用户改变日志、系统组改变日志、系统日志和用户登录日志,具体操作请参见3.12.7 终端系统日志。
终端行为策略是终端行为管理的实施依据。在终端行为策略中可以选择已经配置的外设管控、应用程序限制、网络访问限制等子策略,并设置策略生效的终端资产或用户。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 终端行为策略”菜单项,进入终端行为策略页面。单击<增加>按钮,进入增加终端行为策略页面,如图3-1所示。
参数说明:
· 基本信息:
缺省策略:当用户终端无法匹配任何行为策略时,默认下发缺省行为策略。系统中有且只有一个终端行为策略可以勾选为“缺省策略”。
· 子策略选择:
子策略选择是终端行为策略中的具体策略,一个行为策略可以包含多个子策略,增加方式有如下两种:单击<增加>按钮,在弹出的窗口中直接增加子策略;或单击<增加>按钮前方的下拉框,在弹出的下拉选项中选择已有子策略。
¡ 外设管控策略:用于限制磁盘、驱动器、外设、打印机和光盘刻录的运行。
¡ 窗口标题限制策略:属于应用程序管控策略,用于根据程序固定的窗口标题来终止程序的运行。
¡ 软件版本限制策略:属于应用程序管控策略,用于根据进程名或软件版本信息来限制软件的使用。
¡ 软件卸载策略:用于强制卸载指定软件。
¡ 进程运行时长审计策略:支持对应用程序有效使用时长进行记录。有效使用是指应用程序窗口打开并被用户操作,后台运行、关闭窗口或者窗口虽然打开但仅有鼠标、键盘操作都不算有效使用。
¡ 上网策略:属于网络访问限制策略,用于管控网络聊天内容(包括图片、附件等)、邮件发送内容、论坛发帖内容等。
¡ 共享策略:属于网络访问限制策略,用于限制网络共享行为,包含是否允许共享、远程共享文件过大阻断、远程文件敏感信息检测等功能。
¡ 流量限制策略:属于网络访问限制策略,用于根据IP端口或进程来对用户终端的整体流量进行管控,限制上行流量、下行流量、总流量等。
¡ 文件操作策略:用于监控用户在终端的文档操作行为。
¡ 打印水印策略:属于水印策略,用于在打印的纸质文档上添加文字、图片、二维码或点阵水印。
¡ 屏幕水印策略:属于水印策略,用于在终端全屏幕或指定的应用程序窗口添加包含时间、终端名称、IP地址等指定内容的水印。
¡ Office文档水印策略:用于给从浏览器下载的Office文件打上自定义水印,目前支持的文件后缀有xlsx、docx和pptx,支持的浏览器有2345浏览器、360极速浏览器、360安全浏览器、谷歌浏览器、火狐浏览器、IE浏览器、QQ浏览器和搜狗浏览器。
¡ 系统事件监控策略:用于监控并记录终端用户变化事件及系统事件。
¡ 聊天监控策略:用于监控并记录终端用户聊天软件登录情况及聊天内容。
¡ 剪切板控制策略:提供对受控进程的剪切、粘贴操作进行控制的功能。
¡ 屏幕监控策略:用于监控并记录终端用户的屏幕使用情况。
· 生效方式:
设置策略生效的资产、资产分组、用户和用户分组。当终端匹配到多个终端行为策略时,策略生效优先级为资产>资产分组>用户>用户分组。
¡ 按资产:使能“按资产”项,单击<选择资产>按钮,弹出资产选择窗口,按需勾选策略授发的资产。
¡ 按资产分组:使能“按资产分组”项,按需勾选策略授发的资产分组。
¡ 按用户:使能“按用户”项,单击<选择用户>按钮,弹出选择用户窗口,按需勾选策略授发的用户。
¡ 按用户分组:使能“按用户分组”项,按需勾选策略授发的用户分组。
软件卸载策略配置及日志查看的功能属于桌面资产管理组件,需在桌面资产管理组件中进行配置。
外设管控策略的主要功能是对磁盘、驱动器和光驱刻录等进行限制管控。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设管控策略”菜单项,进入外设管控策略页面。单击<增加>按钮,进入增加外设管控策略页面,如图3-2所示。
参数说明:
· 磁盘限制:
磁盘限制:支持选择阻止或不阻止可移动磁盘、网络盘(网上邻居)、光盘(光驱)可执行文件运行及设备自动运行。
¡ 阻止可执行文件运行:指禁止磁盘中的可执行文件运行,如.exe文件。
¡ 阻止设备自动运行:指禁止磁盘的自动运行,如用户插入可自动运行的U盘,U盘会被禁止自动运行。
· 驱动限制:
驱动器限制:支持设置是否允许使用软盘驱动器、光驱驱动器及USB设备,或设置为只读模式。
· 外设使用审计:
¡ USB设备类型识别:勾选后支持识别USB的设备类型。
¡ 外设(蓝牙)接入使用情况审计:勾选后支持识别通过蓝牙传输的文件并进行审计。
¡ 蓝牙文件备份阈值(MB):勾选“外设(蓝牙)接入使用情况审计”后显示该项,指超过阈值的单个文件不进行备份,单位为MB,默认为20MB。
· 打印权限控制:
支持设置“允许所有打印机打印”、“禁止打印”或“允许指定的文件后缀打印”。文件后缀必须以“.”开头,如“.xlsx”、“.doc”等。
· 光驱刻录限制:
¡ 开启刻录监视:光驱驱动器选择“禁止使用”,且使用刻录工具进行刻录时,勾选此项会对用户刻录行为进行监视。
¡ 开启刻录文件备份:勾选“开启刻录监视”后显示该项,用于监控用户刻录行为,并对刻录文件进行备份。
¡ 刻录备份文件阈值(MB):勾选“开启刻录文件备份”后显示该项,指超过阈值的单个文件不进行备份,单位为MB。默认为0,代表不限制备份文件的大小。
· 其它外设管控:
允许手机MTP拷贝:MTP模式是微软制订的一套媒体传输协议,支持在设备之间进行多媒体文件交换的通信协议,当勾选此项以后用户可以使用手机从PC上拷贝文件。
应用程序管控策略的主要功能是对终端使用的应用程序进行限制,分为窗口标题限制策略、软件版本限制策略及运行时长审计策略。
系统支持对固定标题窗口的访问限制,规避网络上隐藏的病毒、木马、网络钓鱼等安全风险。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 应用程序管控策略”菜单项,进入应用程序管控策略页面。
(2) 单击“窗口标题限制策略”页签,进入窗口标题限制策略页面。单击<增加>按钮,进入增加窗口标题限制策略页面,如图3-3所示。
(3) 填写策略名称及描述。
(4) 单击<增加窗口标题>按钮,弹出增加窗口标题窗口,填写窗口标题名称及描述信息,如图3-4所示。当程序窗口标题出现指定的名称时,阻止该程序的运行。
系统支持对终端桌面软件版本进行使用限制,比如:限制只能使用Office 2010及以上版本,其它版本不可使用,从而对企业内部使用的软件版本进行规范化管理。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 应用程序管控策略”菜单项,进入应用程序管控策略页面。
(2) 单击“软件版本限制策略”页签,进入软件版本限制策略页面。单击<增加>按钮,进入增加软件版本限制策略页面,如图3-5所示。
(3) 填写策略名称及描述。
(4) 单击<增加软件版本限制>按钮,弹出增加软件版本限制窗口,按需增加软件版本限制,如图3-6所示。
参数说明:
¡ 进程名称:软件运行的进程名称,即终端的任务管理器中软件对应的进程映像名称。
¡ 限制方式:分为禁止当前版本(只匹配软件MD5值)、禁止当前进程(匹配软件MD5值或进程名称)和允许运行版本(只匹配软件MD5值)三种。
¡ 软件原始文件名:软件原始安装时的文件名称。
¡ 软件MD5值:点击“MD5工具”链接,下载工具计算出的软件的MD5值。
¡ 描述:软件版本限制的描述信息,方便管理员管理。
系统支持对应用程序进程有效使用情况进行审计,便于分析应用程序进程使用情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 应用程序管控策略”菜单项,进入应用程序管控策略页面。
(2) 单击“运行时长审计策略”页签,进入运行时长审计策略页面。单击<增加>按钮,进入增加运行时长审计策略页面,如图3-7所示。
(3) 填写策略名称及描述,并按需填写超时时间及最短有效时间。
参数说明:
¡ 超时时间(秒):取值范围0~600,单位为秒。超过此时间,若鼠标或者键盘仍然没有动作,则认为进程窗口不再为活动状态,不再记录运行时长。其中,0表示不设置超时时间。
¡ 最短有效时间(秒):取值范围0~600,单位为秒。若窗口活动小于此时间,则不计为有效时间,此值可避免极端情况(如进程异常、终端中病毒等)窗口不断切换,造成大量日志记录。
(4) 单击“应用程序进程列表”区域的<增加>按钮,弹出增加进程窗口,填写进程名称及描述,如图3-8所示。其中,进程名称为应用程序的进程名称,是应用程序的进程标识。
网络访问限制策略的主要功能是对终端上网行为、共享行为及网络流量的管控。防止机密信息经由电子邮件、网络聊天等方式泄露,及时发现网络滥用问题并有效的限制各种工作需求之外的流量,合理分配宽带,保证关键业务的正常带宽。
系统支持对上网行为进行管控,包含对聊天内容、聊天图片、聊天工具的管控,对POP Mail和Web Mail邮件内容及附件的管控,以及对网页访问、论坛发帖的管控等。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络访问限制策略”菜单项,进入网络访问限制策略页面,如图3-9所示。
可在“上网策略查询”区域中按需输入策略名称或描述,单击<查询>按钮,将符合条件的上网策略显示在上网策略列表中。单击<重置>按钮,清空查询信息。
(2) 单击“上网策略列表”区域中的<增加>按钮,进入增加上网策略页面,如图3-10所示。
策略信息参数说明:
管理员可按需勾选针对网页访问、邮件、FTP操作以及Telnet操作的各类管控策略。通常结合终端数据管理组件一起使用,检测终端行为是否涉及敏感内容。
¡ 网页粘贴审计:可以对粘贴的网页信息进行审计。
¡ 禁止网络上载文件:可以禁止网络上载文件。
¡ 网络上载文件审计:可以对网络上载的文件信息进行审计。
¡ 网页浏览记录:可以对网页浏览记录内容进行审计。
¡ 论坛发帖审计:可以对论坛发帖信息进行审计。
¡ POP Mail邮件内容审计:对收发的邮件内容进行审计。
¡ Web Mail网页邮件审计:对网页邮件进行审计。
¡ POP Mail邮件内容及附件控制:对POP类型邮件以及附件进行审计。
¡ FTP操作审计:对FTP上传下载文件进行审计。
¡ Telnet操作审计:对Telnet远程操作进行审计。
¡ 网盘审计:对网盘上传下载文件进行审计,当勾选该项时可以设置文件备份阈值,默认值为20(MB)。
系统支持对共享行为进行管控,包含是否允许共享以及共享文件过大时的阻断等功能。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络访问限制策略”菜单项,进入网络访问限制策略页面。单击“共享策略”页签,进入共享策略页面,如图3-11所示。
(2) 单击“共享策略列表”区域中的<增加>按钮,进入增加共享策略页面,如图3-12所示。
策略信息参数说明:
¡ 是否允许共享:允许时,可设置远程共享文件的敏感检测方式;禁止时,将彻底禁用网络共享,不再进行敏感检测。
¡ 敏感检测违规阻断方式:设置检测到敏感信息时的违规阻断方式,包括“禁用所有共享”和“取消包含敏感内容共享目录”两种,敏感内容需在终端数据管理组件中进行配置。
¡ 访问共享文件检测阈值:设置超过指定大小的共享文件不进行检测。
¡ 访问共享文件超过阈值处理方式:设置对超过指定大小的共享文件放行或者阻断。
在线视频、下载、P2P等多种带宽滥用行为极易造成网络拥堵,使得关键的业务无法正常展开,降低工作效率。系统支持对终端的流量进行限速,合理分配带宽,目前支持的限速模式有总体限速、按IP/端口限速、按进程限速等三种限速模式。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络访问限制策略”菜单项,进入网络访问限制策略页面。
(2) 单击“流量限制策略”页签,进入流量限制策略页面。单击<增加>按钮,进入增加流量限制策略页面,如图3-13所示。
参数说明:
¡ 总体限速配置:
根据网络总体的流量进行限速配置。支持的限制类型方式有两种,“合计流量”和“发送/接收流量”。策略描述中可填写总体限速配置的描述信息,方便管理员管理。
- 限制类型选择“合计流量”项:需设置总流量(KB/s),对终端根据总流量来进行网络限速。
- 限制类型选择“发送/接收流量”项:需设置上行流量和下行流量,对终端根据上下行流量进行网络限速。
¡ IP&端口方式限速配置:
单击<增加>按钮,进入增加IP&端口限速页面,如图3-14所示。可针对设置的IP地址范围、端口范围及协议类型来进行限速配置。
图3-14 增加IP&端口限速
¡ 进程方式限速配置:
单击<增加>按钮,进入增加进程限速页面,如图3-15所示。可针对不同的进程来进行限速配置。
聊天监控策略的主要功能是对终端上聊天软件的登录情况及聊天内容进行监控并按需记录终端的聊天内容。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 聊天监控策略”菜单项,进入聊天监控策略页面。单击<增加>按钮,进入增加聊天监控策略页面,如图3-16所示。
参数说明:
· 监控设置:
管理员可按需勾选针对常用聊天软件的监控设置,包括QQ、企业微信、钉钉、飞秋、微信、阿里旺旺。列表中标题功能说明如下:
¡ 聊天内容监控:勾选对应软件后将对该软件的聊天内容进行监控。
¡ 登录监控:勾选对应软件后将对该软件的登录及退出进行监控。
· 聊天内容监控高级选项:
管理员可按需设置聊天内容监控的高级选项,只有勾选“聊天内容监控”的聊天工具才可设置高级选项。
¡ 是否允许接收附件:限制勾选“聊天内容监控”的即时通讯工具接收附件。
¡ 是否允许发送附件:仅允许发送附件时才可设置发送文件备份阈值、监控聊天图片、监控聊天文件、限制聊天文件。
¡ 发送文件备份阈值(MB):通过聊天工具发送的文件大于此阈值时,则不将该文件备份在服务器上,此阈值建议设置为20。
¡ 聊天图片监控:勾选后将对发送的图片内容进行监控。
¡ 聊天文件监控:勾选后将对发送的文件内容进行监控。
文件操作策略的主要功能是按需监视或排除并记录终端用户的文件操作。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 文件操作策略”菜单项,进入文件操作策略页面。单击<增加>按钮,进入增加文件操作策略页面,如图3-17所示。
参数说明:
· 文件操作参数:
¡ 文件备份参数:设置备份创建、重命名、复制、读取或修改的文件。
¡ 备份文件阈值(MB):设置超过阈值的文件不进行备份,默认值为0,代表不限制大小。
¡ 监视磁盘类型:设置监视的磁盘类型,可以选择监视所有类型的磁盘、监视指定类型的磁盘或不监视所有类型的磁盘。磁盘类型包括本地磁盘、可移动磁盘、网络盘(网上邻居)及光盘(光驱)。
· 监视指定文件目录:
监视指定目录下的文件操作,支持模糊匹配路径,不匹配文件名。
单击<增加>按钮,弹出增加文件目录窗口,按需输入文件目录、描述,选择监视或排除,如图3-18所示。
参数说明:
¡ 监视:监视指定目录。
¡ 排除:排除该目录监视其他目录。
· 监视指定文件名:
a. 按需选择“不监视指定文件名”或“只监视指定文件名”,如图3-19所示。
b. 单击<增加>按钮,弹出增加文件名窗口。按需输入文件名及描述,如图3-20所示。其中,文件名无需配置携带文件后缀,如“test”。
· 监视操作文件的进程:
监视指定进程名的文件操作,如“notepad.exe”,必须选择或增加至少一个进程。
¡ 选择方式:单击<选择>按钮,进入选择进程页面,从系统预置的进程中选择一个或多个,如图3-21所示。
¡ 增加方式:单击<增加>按钮,进入增加进程页面,按需增加进程,如图3-22所示。
· 监视指定后缀的文件:
a. 按需选择“不监视指定后缀文件”或“只监视指定后缀文件”,如图3-23所示。
b. 监视指定后缀的文件操作,必须选择或增加至少一个进程。
- 选择方式:单击<选择>按钮,进入选择文件后缀页面,从系统预置的文件后缀中选择一个或多个,如图3-24所示。
- 增加方式:单击<增加>按钮,进入增加文件后缀页面,增加文件后缀,如图3-25所示。
水印策略的主要功能是在打印的纸质文档或终端屏幕上添加水印。系统支持多种水印类型,可满足不同业务场景水印需求。水印隐蔽性高,视觉影响效果极小,抗擦除能力强,能切实、有效地对数据泄密事件进行追溯。
系统支持在打印的纸质文档上强制添加帐号、时间等相关的文字水印、二维码水印、点阵水印以及图片水印。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 水印策略”菜单项,进入水印策略页面。单击“打印水印策略”页签进入打印水印策略。单击<增加>按钮,进入增加打印水印策略页面,如图3-26所示。
参数说明:
· 文字|二维码|点阵水印:
¡ 水印形式:水印展现的形式,支持文字水印、二维码水印和点阵水印。
¡ 水印内容:文字水印和二维码水印支持设置水印显示的内容,可包含时间、帐号名,也可以设置自定义内容。点阵水印的内容不能自定义,缺省使用资产ID作为点阵水印。
· 图片水印:
支持和其它类型水印形式组合使用。
¡ 图片水印位置:图片水印在页面的显示位置。
¡ 图片缩放大小:可设置的范围为20~500,单位为%。默认设置为100,代表图片为原始尺寸。
¡ 添加图片水印:单击<选择文件>按钮,选择需要添加的图片,选择图片后,单击<上传>按钮,上传图片水印。图片支持.bmp和.jpg格式,且图片大小不能超过200KB。
· 水印样式:
¡ 当“水印形式”选择为“文字水印”时,参数说明如下:
- 字体:水印文字的字体。
- 字体大小:水印文字的大小。
- 字体类型:可设置为空心字或实心字。
- 字体颜色:水印文字的颜色。
- 倾斜角度:水印的倾斜角度,范围0-3600,单位为0.1度。默认设置为0,代表不倾斜。
- 透明度:打印水印的透明度,范围0-255,默认设置为100。
- 水印位置:文字/二维码水印在页面的位置。
- 图层位置:可设置为前景或背景。
- 打印上/下/左/右边距:打印水印在页面布局中的上/下/左/右边距,范围是1-200,默认情况下建议设置10。
- 水印上下/左右间距:上下/左右水印的间距,范围是1-200,默认情况下建议设置10。
¡ 当“水印形式”选择为“二维码水印”时,参数说明如下:
- 字体、字体类型、倾斜角度、图层位置不可选。
- 水印大小:二维码水印的大小。
- 颜色:二维码水印的颜色,仅支持黑色。
¡ 当“水印形式”选择为“点阵水印”时,参数说明如下:
- 字体、倾斜角度、图层位置不可选。
- 点阵大小:点阵水印的总体大小。
- 圆点大小:单个点阵的大小,范围是1-10,默认为2。
· 受控进程:
单击<选择进程>按钮,选择系统预置的进程进行监控;或单击<增加进程>按钮,手工增加需要监控的进程。仅受控进程打印时才会输出水印,不选择时,将对所有进程进行监控。
系统支持在全屏幕或指定的应用程序窗口中覆盖一层包含时间、终端名称、IP地址、MAC地址、帐号名等相关内容的水印。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 水印策略”菜单项,进入水印策略页面。单击“屏幕水印策略”页签,进入屏幕水印策略页面。单击<增加>按钮,进入增加屏幕水印策略页面,如图3-27所示。
参数说明:
· 基本信息:
¡ 水印形式:水印展现的形式,支持文字水印和点阵水印。
¡ 水印内容:当水印形式选择“文字水印”时,需要设置水印显示的内容,可以包含时间、终端名称、IP地址、MAC地址、帐号名,也可以自定义内容。
· 水印样式:
¡ 字体:水印文字的字体。
¡ 字体大小:水印文字的大小。
¡ 字体类型:水印文字的字体类型,可设置为空心字或实心字。
¡ 字体颜色:水印文字的颜色。
¡ 倾斜角度:水印文字的倾斜角度,范围0-360,单位为1度。默认设置为0,代表不倾斜。
¡ 透明度:水印的透明度,范围0-255,默认设置为150。
¡ 水印间距:每一块相邻屏幕水印之间的间距,默认设置为20。
¡ 点阵大小:当选择“点阵水印”时,需设置点阵水印的总体大小。
¡ 圆点大小:水印单个点阵的大小,范围是1-10,默认为2。
· 受控进程:
单击<选择进程>按钮,选择系统预置的进程进行监控;或者单击<增加进程>按钮,手工增加需要监控的进程。仅受控进程运行时会添加屏幕水印,不选择时,将对所有进程进行监控。
用于给从浏览器下载的Office文件打上自定义水印。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 水印策略”菜单项,进入水印策略页面。单击“Office文档水印策略”页签,进入Office文档水印策略页面。单击<增加>按钮,进入增加Office文档水印策略页面,如图3-28所示。
图3-28 增加Office文档水印策略
参数说明:
· 基本信息:
¡ 水印设置方式:设置打上水印的时机,目前支持下载文件时设置水印。
¡ 水印内容:自定义水印的文字内容。
¡ 文件后缀:支持打上水印的Office文档后缀类型,目前支持docx、xlsx、pptx三种。
· 水印样式:
¡ 字体:在水印上展现内容文字的字体。
¡ 字体大小:在水印上展现内容文字的字体大小,默认情况下建议设置20。
¡ 字体颜色:水印展现的颜色设置。
¡ 透明度:水印的透明度,范围0%-100%,0%表示透明,100%表示不透明。
¡ 水平对齐方式:水印在文档上的对齐方式,包括左对齐、居中、右对齐,也可以自定义距离左侧的距离,单位是cm。
¡ 垂直对齐方式:水印在文档上的垂直方式,包括顶端对齐、居中、底端对齐,也可以自定义距离顶端的距离,单位是cm。
¡ 倾斜样式:支持水平和倾斜两种样式。
· 浏览器列表:
目前支持2345浏览器、360极速浏览器、360安全浏览器、谷歌浏览器、火狐浏览器、IE浏览器、QQ浏览器和搜狗浏览器。
剪切板控制策略提供对受控进程的剪切及粘贴操作进行控制的功能。
单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 剪切板控制策略”菜单项,进入剪切板控制策略页面。单击<增加>按钮,进入增加剪切板控制策略页面,如图3-29所示。
参数说明:
· 基本信息:
¡ 剪切板粘贴控制方式,包括以下几种:
- 仅允许受控进程向外粘贴
- 禁止受控进程向外粘贴
- 仅允许受控进程间粘贴
- 禁止所有进程向外粘贴
- 禁用剪切板
- 不限制剪切板
¡ 允许粘贴的最大长度:限制进程粘贴剪切的文本内容的长度,单位:字节码,0代表不限制。
· 受控进程:
单击受控进程页签下的<选择受控进程>按钮,选择受控进程。如果当前不存在可供选择的受控进程,可以单击<增加>按钮,增加受控进程。
屏幕监控策略提供屏幕监控、指定时间间隔录制屏幕的功能。
单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 屏幕监控策略”菜单项,进入屏幕监控策略页面。单击“屏幕监控策略列表”区域的<增加>按钮,进入增加屏幕监控策略页面,如图3-30所示。
参数说明:
· 屏幕录制:
¡ 启用屏幕录制:勾选之后终端会对用户的所有行为进行录屏,并定时将录屏文件传回服务器。
¡ 录像间隔:勾选“启用屏幕录制”后展示此配置,用于指定终端的录像间隔,即每隔固定时间录制一帧图像,单位为秒。此时间设置过短会造成终端的负荷较大、录像文件较大、播放或者下载的时候比较耗时,建议设置为60秒。
· 屏幕截图:
启用屏幕截图:勾选之后终端会对指定进程进行监控,当进程启动或者读取敏感信息的时候则会触发截屏,并定时将截屏文件传回服务器。
单击“进程信息”区域的<增加>按钮,进入增加进程信息页面。该页面用于指定需要监控的进程的信息,包括进程名称和监控事件,监控事件则是会触发截屏的事件,包括读取敏感信息和进程启动两种。当勾选“读取敏感信息”项时,可增加敏感文件信息,如图3-31所示。
· 截屏功能限制:
¡ 启用屏幕功能限制:勾选之后终端会对终端PC的截屏功能使用做限制,包括禁用PrintSc键、进程截屏功能限制、禁止截屏加密文件、禁止截屏进程窗口。
¡ 禁用PrintSc键:勾选后,用户无法使用键盘上的PrintSc键进行截屏。
¡ 进程截屏功能限制:用于限制进程的截屏功能,包括“禁止截屏”和“允许截屏”。“禁止截屏”是禁止除“功能限制例外进程”列表之外进程的截屏功能;“允许截屏”是允许除“功能限制例外进程”列表之外进程的截屏功能。
¡ 禁止截屏加密文件:当有加密文件打开的时候,禁止除“加密文件例外进程”列表以外进程的截屏功能。这里的加密文件是指使用EDM组件的文件加密策略进行加密的文件,所以只在安装了EDM的时候页面才展示此功能。此外,当“进程截屏功能限制”为“允许截屏”的时候,“加密文件例外进程”与“功能限制例外进程”列表交集不允许截屏;当“进程截屏功能限制”为“禁止截屏”的时候,“加密文件例外进程”列表必须是“功能限制例外进程”列表的子集才禁止截屏。
¡ 禁止截屏进程窗口:当“窗口进程列表”中配置的进程打开时,禁止任何进程截屏。
系统事件监控策略的主要功能是上报系统日志、登录日志以及操作系统用户变化等系统事件。
单击“用户”页签,选择左侧导航树中的“终端行为管理 > 系统事件监控策略”菜单项,进入系统事件监控策略页面。单击“系统事件监控策略列表”区域的<增加>按钮,进入增加系统事件监控策略页面,如图3-32所示。
参数说明:
· 策略信息:
¡ 上报终端系统日志:勾选后,可以监控终端的系统事件,获取日志并上传。
¡ 日志级别:勾选“上报终端系统日志”后,需设置日志级别。日志级别包括错误、警告、信息、审核成功、审核失败。
¡ 上报终端登录日志:勾选后,可以监控终端帐户的登录日志。
¡ 上报系统状态变更日志:勾选后,可以监控并记录终端系统的状态变化情况。
¡ 上报终端操作系统用户变化事件:勾选后,可以监控并记录终端用户和组的变化情况。例如,终端新增用户时就会产生一条记录。
软件卸载策略是对终端计算机上的软件进行管理,卸载特定的软件。
(1) 单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 软件卸载策略”菜单项,进入软件卸载策略页面。单击<增加>按钮,进入增加页面,如图3-33所示。
(2) 按需填写策略名称及描述。
(3) 单击<增加软件卸载策略>按钮,进入增加软件卸载策略页面,如图3-34所示。
参数说明:
¡ 策略名:软件卸载策略的标识,必须设置。
¡ 软件名:需要卸载软件的软件名称。
¡ 软件版本:需要卸载软件的版本号。
¡ 任务类型:软件卸载的方式,包括两种类型:
- 静默卸载(推荐):强制性卸载计算机中的软件。
- 普通卸载:通过软件的正常卸载流程卸载计算中的软件。
¡ 卸载参数:任务类型为普通卸载时需要配置的卸载参数。
¡ 备注:对软件卸载任务的一些额外描述。
¡ 有效结束时间:软件卸载策略的有效时间。
日志管理的主要功能是记录外设监控日志、应用程序使用日志、网络行为日志、聊天监控日志、文件操作日志、屏幕录制日志、软件任务日志以及终端系统日志,为管理员追踪和管控整个网络的安全状态提供依据。
当外设管控策略中勾选“开启刻录监视”时,系统可以记录终端用户的光驱刻录行为,并对刻录文件进行备份。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设监控日志”菜单项,进入外设管控日志页面。单击“光驱刻录监控日志”页签,进入光驱刻录监视日志页面,如图3-35所示。
¡ 光驱刻录监控日志查询:
支持按照刻录时间、资产编号、资产名称以及帐号名快速查询相关的日志记录。
¡ 光驱刻录监控日志列表:
记录了进行光驱刻录操作的帐号名、资产编号、资产名称、MAC地址、终端IP地址,以及刻录时间、刻录驱动器名称、刻录盘名称和刻录文件大小,并支持查看刻录详细信息。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当外设管控策略中设置允许打印机打印时,系统可以记录终端用户的打印操作,并对打印文件进行备份。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设监控日志”菜单项,进入外设管控日志页面。单击“打印操作审计日志”页签,进入打印操作审计日志页面,如图3-36所示。
¡ 打印操作审计日志查询:
支持按照打印时间、资产编号、资产名称、帐号名以及文件名称快速查询相关的日志记录。
¡ 打印操作审计日志列表:
记录了进行打印操作帐户名、资产编号、资产名称、MAC地址、终端IP地址,以及打印时间、打印机名称、打印的文件大小、文件名称、打印总页数和打印份数,并支持在线预览或下载备份的打印文件。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当外设管控策略中勾选“USB设备类型识别”时,系统可以对终端用户的USB插拔操作进行详细的记录。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设监控日志”菜单项,进入外设管控日志页面。单击“USB设备插拔日志”页签,进入USB设备插拔日志页面,如图3-37所示。
图3-37 USB设备插拔日志
¡ USB设备插拔日志查询:
支持按照插拔时间、资产编号、资产名称、帐号名以及事件类型快速查询相关的日志记录。
¡ USB设备插拔日志列表:
记录了进行USB设备插拔操作的终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、事件类型、插拔时间、USB的设备描述信息、设备类别及设备类型。
- 事件类型:分为插入、拔出、未知三种类型。
- 设备类型:包含U盘、移动硬盘、刻录机、鼠标、键盘、手机、摄像头、打印机、扫描仪、网卡设备、USB-CDROM等。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当外设管控策略中勾选“外设(蓝牙)接入使用情况审计”时,系统可以记录终端用户的蓝牙文件传输操作,并对蓝牙传输的文件进行备份。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设监控日志”菜单项,进入外设管控日志页面。单击“蓝牙文件审计日志”页签,进入蓝牙文件审计日志页面,如图3-38所示。
¡ 蓝牙文件审计日志查询:
支持按照操作时间、资产编号、资产名称、帐号名、操作类型以及文件名称快速查询相关的日志记录。
¡ 蓝牙文件审计日志列表:
记录了进行蓝牙文件传输的终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、蓝牙传输的文件名称、文件大小和操作类型,并支持下载备份的蓝牙传输文件。
- 文件大小:表示发送或接收文件大小,单位为KB。
- 操作类型:分为发送文件和接收文件两种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当外设管控策略中勾选“外设(蓝牙)接入使用情况审计”时,系统可以记录终端用户的蓝牙配对变更情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 外设监控日志”菜单项,进入外设管控日志页面。单击“蓝牙配对变更日志”页签,进入蓝牙配对变更日志页面,如图3-39所示。
¡ 蓝牙配对变更日志查询:
支持按照变更时间、资产编号、资产名称、帐号名以及变更类型快速查询相关的日志记录。
¡ 蓝牙配对变更日志列表:
记录了进行蓝牙配对变更的终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、变更时间、蓝牙的设备地址、设备名称、设备类型以及变更类型。
变更类型:分为添加和删除两种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
系统可以记录终端应用程序的使用情况,帮助管理者清楚地了解用户使用了哪些应用程序,以便合理的配置应用程序限制策略。
记录应用程序打开、关闭或者强制关闭指定窗口标题的事件。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 应用程序使用日志”菜单项,进入应用程序使用日志页面。单击“使用记录”页签,进入使用记录页面,如图3-40所示
¡ 使用记录查询:
支持按照操作时间、资产编号、资产名称、帐号名和日志类型,快速查询相关的日志记录。
¡ 使用记录列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、日志类型、日志描述以及进程名称。
- 帐号名:终端接入帐号,安装EIA组件后会显示此列。
- 登录名:终端操作系统登录帐号名,没有安装EIA的时候会显示此列。
- 日志类型:分为窗口标题、程序开启和程序关闭三种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
记录应用程序有效使用的时长,包括帐号信息、资产信息、进程信息及使用时间信息。有效使用是指应用程序窗口打开并被用户操作,后台运行、关闭窗口或者窗口虽然打开但仅有鼠标及键盘操作时不算运行时长。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 应用程序使用日志”菜单项,进入应用程序使用日志页面。单击“运行时长记录”页签,进入运行时长记录页面,如图3-41所示。
¡ 运行时长记录查询:
支持按照活动开始、结束时刻、资产编号、资产名称、帐号名和应用程序进程名,快速查询相关的日志记录。
¡ 运行时长记录列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、应用程序进程名、应用程序窗口标题、应用程序路径、活动开始结束时刻及单次活动时长。
- 帐号名:终端接入帐号,安装EIA组件后会显示此列。
- 登录名:终端操作系统登录帐号名,没有安装EIA的时候会显示此列。
- 资产编号:终端资产注册时分配的资产编号。
- 资产名称:终端资产注册后上报的资产名称,对于PC端就是PC名称。
- MAC地址:桌面资产管理中的终端MAC地址。
- 终端IP地址:桌面资产管理中的终端IPv4地址。
- 应用程序进程名:在终端PC上对应到任务管理器中显示的进程名称,并非软件名称。
- 应用程序窗口标题:打开应用窗口的时候,窗口上显示的标题名称。
- 应用程序路径:应用程序在终端PC上的安装路径。
- 活动开始时刻:单次应用程序有效使用的开始时间,格式:yyyy-MM-dd HH:mm:ss。
- 活动结束时刻:单次应用程序有效使用的结束时间,格式:yyyy-MM-dd HH:mm:ss。
- 单次活动时长:单次应用程序有效使用的时长,是活动结束时刻与开始时刻的差值。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
(3) 可单击列表右上方的“统计图表”链接,进入运行时长统计图表页面。通过切换“员工有效工时统计”与“进程使用情况统计”页签,查看员工有效工时及进程使用情况的图标统计数据,如图3-42所示。
参数说明:
· 员工有效工时统计:
根据员工在PC上对进程的有效使用来统计员工一天的实际有效工作时长以及有效时长的组成成分,支持“个人统计”和“全网统计”两种统计方式,个人统计用于对指定员工一段时间内的有效工时进行分析,全网统计对指定的员工分组在一段时间内的有效工时进行分析。
¡ 统计时间:统计的开始时间和结束时间,时间精确到天,格式:yyyy-MM-dd。
¡ 统计方式:支持选择“按用户(组)”、“按资产(组)”,其中“按用户(组)”选项需要安装了EIA组件之后才会展示。
¡ 帐号名:用于“个人统计”的条件,当统计方式为“按用户(组)”的时候才会展示。
¡ 资产编号:用于“个人统计”的条件,当统计方式为“按资产(组)”的时候才会展示。
¡ 用户分组:用于“全网统计”的条件,当统计方式为“按用户(组)”的时候才会展示。
¡ 资产分组:用于“全网统计”的条件,当统计方式为“按资产(组)”的时候才会展示。
· 进程使用情况统计:
统计全网员工PC上的进程有效使用时长以及有效使用进程的用户数量。
¡ 统计时间:统计的开始时间和结束时间,时间精确到天,格式:yyyy-MM-dd。
¡ 统计方式:支持选择“按用户(组)”、“按资产(组)”,其中“按用户(组)”选项需要安装了EIA组件之后才会展示。
¡ 用户分组:当统计方式为“按用户(组)”的时候才会展示。
¡ 资产分组:当统计方式为“按资产(组)”的时候才会展示。
¡ 进程选择:选择需要统计的进程数支持选择多个进程。
当上网策略中勾选“网页浏览记录”时,系统可以记录终端用户的网页浏览情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“网页浏览记录”页签,进入网页浏览记录页面,如图3-43所示。
¡ 网页浏览记录查询:
支持按照网页浏览时间、资产编号、资产名称、帐号名以及网页标题快速查询相关的日志记录。
¡ 网页浏览记录列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址以及网页浏览时间、网站名称、网页标题、浏览URL和进程名称。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“网页浏览记录”时,系统可以对用户使用浏览器进行搜索的行为进行记录。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“浏览器搜索记录”页签,进入浏览器搜索记录页面,如图3-44所示。
¡ 浏览器搜索记录查询:
支持按照浏览时间、资产编号、资产名称、帐号名以及搜索内容快速查询相关的日志记录。
¡ 浏览器搜索记录列表:
记录了帐号名、资产编号、资产名称、MAC地址、终端IP地址、搜索内容、浏览时间、网站名称、网页标题及浏览URL。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“论坛发帖审计”时,系统可以记录终端用户的论坛发帖情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 >网络行为日志”菜单项,进入网络行为日志页面。单击“论坛发帖记录”页签,进入论坛发帖记录页面,如图3-45所示。
¡ 论坛发帖记录查询:
支持按照发帖时间、资产编号、资产名称、帐号名以及作者快速查询相关的日志记录。
¡ 论坛发帖记录列表:
记录了终端的帐号名、资产编号、MAC地址、资产名称、终端IP地址以及发帖时间、帖子URL、帖子标题、作者,并支持下载备份的论坛发帖内容。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“POP Mail邮件内容审计”或“Web Mail网页邮件审计”时,系统可以记录终端用户的邮件收发情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“邮件记录”页签,进入邮件记录页面,如图3-46所示。
¡ 邮件记录查询:
支持按照邮件记录时间、资产编号、资产名称、帐号名、收发标志以及文件名称快速查询相关的日志记录。
¡ 邮件记录列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、邮件接收/发送时间、收发标志、标题、发送者、接受者以及邮件是否有附件,附件的文件大小、文件名称,缓存到本地的路径,并支持下载备份的邮件附件。
- 邮件收发标志:分为POP Mail发送邮件、POP Mail接收邮件、IMAP Mail发送邮件、IMAP Mail接收邮件、Web Mail发送邮件及Web Mail接收邮件六个标志。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“FTP操作审计”时,系统可以记录终端用户的FTP操作情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“FTP操作记录”页签,进入FTP操作记录页面,如图3-47所示。
图3-47 FTP操作记录
¡ FTP操作查询:
支持按照操作时间、资产编号、资产名称、帐号名、操作类型以及本地文件名快速查询相关的操作记录。
¡ FTP操作记录列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、操作类型、FTP服务器地址、本地文件名以及服务器文件存储路径。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“Telnet操作审计”时,系统可以记录终端用户的Telnet操作情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“Telnet操作日志”页签,进入Telnet操作日志记录页面,如图3-48所示。
图3-48 Telnet操作日志
¡ Telnet操作日志查询:
支持按照操作时间、资产编号、资产名称、帐号名、命令行快速查询相关的Telnet操作记录。
¡ Telnet操作日志列表:
记录了执行Telnet操作的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、目标地址以及执行的命令。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当上网策略中勾选“网盘审计”时,系统可以记录终端用户的网盘操作情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 网络行为日志”菜单项,进入网络行为日志页面。单击“网盘操作记录”页签,进入网盘操作记录页面,如图3-49所示。
¡ 网盘操作记录查询:
支持按照操作时间、资产编号、资产名称、帐号名、操作类型、应用及文件名快速查询相关的网盘操作记录。
¡ 网盘操作记录列表:
记录了执行网盘操作的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、操作类型、应用、文件名、文件大小、文件路径、本地文件路径、文件下载。
- 操作时间:用户每次使用网盘进行上传下载操作的时间,格式:yyyy-MM-dd HH:mm:ss。
- 操作类型:上传文件或下载文件。
- 应用:网盘应用程序名称,目前支持百度网盘。
- 文件名:上传或者下载的资源文件名称。
- 文件大小(KB):上传或者下载的资源文件的大小,单位是KB。
- 文件路径:上传或者下载的资源文件在网盘上的保存路径。
- 本地文件路径:上传时待上传文件在本地的路径,或者下载后保存在本地的路径。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当在聊天监控策略的监控设置列表中勾选“聊天内容监控”时,系统可以记录终端用户的聊天情况。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 聊天监控日志”菜单项,进入聊天监控日志页面。单击“聊天记录”页签,进入聊天记录页面,如图3-50所示。
¡ 聊天记录查询:
支持按照消息时间、资产编号、资产名称、帐号名、聊天记录类型和文件名称快速查询相关的日志记录。
¡ 聊天记录列表:
记录了帐号名、资产编号、资产名称、MAC地址,终端IP地址、消息时间、发送者信息、聊天记录类型、聊天工具类型,以及聊天传送文件的文件名称、文件大小、本地备份路径(即终端的备份路径),并支持查看聊天详细信息、下载备份的聊天传送文件。
- 聊天记录类型:分为文字记录、图片记录及文件记录三种类型。
- 聊天工具类型:分为QQ、微信、飞秋、钉钉、阿里旺旺和企业微信。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当在聊天监控策略的监控设置列表中勾选“登录监控”时,系统可以记录终端用户的聊天软件登录情况。
(1) 单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 聊天监控日志”菜单项,进入聊天监控日志页面。单击“登录记录”页签,进入登录记录页面,如图3-51所示。
¡ 登录记录查询:
支持按照操作时间、资产编号、资产名称、帐号名、登录类型和聊天工具类型快速查询相关的日志记录。
- 登录类型:分为登录和登出两种登录类型。
- 聊天工具类型:分为QQ、微信、飞秋、钉钉、旺旺和企业微信六种聊天工具。
¡ 登录记录列表:
记录了登录聊天软件的帐号名、资产编号、资产名称、MAC地址,终端IP地址、操作时间、登录类型、聊天工具类型,并支持查看详细信息。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当设置文件操作策略时,系统可以记录终端用户的文件操作行为,及时发现非法的文件访问、修改、删除、复制等行为,防止文件被非法篡改或泄露,同时当风险操作发生时,完善的备份机制还能进一步保护机密文件的安全。
单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 文件操作日志”菜单项,进入文件操作日志页面,如图3-52所示。
· 文件操作日志查询:
支持按照文件操作时间、资产编号、资产名称、帐号名、操作文件进程、文件名称以及操作类型快速查询相关的日志记录。
· 文件操作日志列表:
记录了执行文件操作的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作时间、创建时间、修改时间、操作文件进程、操作类型、文件名称、文件大小、源文件路径、目标文件路径,并支持查看文件操作详细信息、下载备份的操作文件。
¡ 文件操作类型:分为创建、重命名、删除、复制、读取和修改。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
(3) 可单击列表上方的<定制界面>按钮,对文件操作日志列表中显示项目进行定制。
当设置屏幕监控策略时,系统可以录制终端用户的屏幕,记录终端的屏幕行为。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 屏幕监控日志”菜单项,进入屏幕监控日志页面。单击“屏幕录制日志”页签,进入屏幕录制日志页面,如图3-53所示。
¡ 屏幕录制日志查询:
支持按照屏幕录制时间、资产编号、资产名称、帐号名以及录像文件名称快速查询相关的日志记录。
¡ 屏幕录制日志列表:
记录了被录制屏幕终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、录制时间、录像文件名称、录像索引文件UUID、录像数据文件UUID,并支持在线播放屏幕录像、下载屏幕录像。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
(3) 可单击列表右上方“视频文件下载任务”链接,进入视频文件下载任务页面,查看下载任务的进度、状态等信息。
当设置屏幕监控策略时,系统可以对终端某些进程的操作进行截图记录。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 屏幕监控日志”菜单项,进入屏幕监控日志页面。单击“屏幕截图日志”页签,进入屏幕截图日志页面,如图3-54所示。
¡ 屏幕截图日志查询:
支持按照事件发生时间、资产编号、资产名称、帐号名、进程名称及监控事件快速查询相关的日志记录。
¡ 屏幕截图日志列表:
记录了被截图屏幕中的帐号名、资产编号、资产名称、MAC地址、终端IP地址、事件发生时间、监控事件、进程名称、监控对象路径、文件下载。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当系统事件监控策略中勾选“上报终端操作系统用户变化事件”时,可以监控并记录终端的用户变化信息。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 终端系统日志”菜单项,进入终端系统日志页面。单击“系统用户变更日志”页签,进入系统用户变更日志页面,如图3-55所示。
¡ 系统用户改变日志查询:
支持按照变更时间、资产编号、资产名称、帐号名以及变更类型快速查询相关的日志记录。
¡ 系统用户改变日志列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、变更时间、当前用户名称、原用户名称、当前用户全名、原用户全名以及变更类型。
变更类型:分为增加、删除、姓名或全名修改三种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当系统事件监控策略中勾选“上报终端操作系统用户变化事件”时,可以监控并记录终端的用户组变化信息。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 终端系统日志”菜单项,进入终端系统日志页面。单击“系统组变更日志”页签,进入系统组变更日志页面,如图3-56所示。
¡ 系统组改变日志查询:
支持按照变更时间、资产编号、资产名称、帐号名以及变更类型快速查询相关的日志记录。
¡ 系统组改变日志列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、变更时间、分组名称以及变更类型。
变更类型:分为增加和删除两种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当系统事件监控策略中勾选“上报终端系统日志”时,可以监控并记录终端的系统事件。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 终端系统日志”菜单项,进入终端系统日志页面。单击“系统日志”页签,进入系统日志页面,如图3-57所示。
¡ 系统日志查询:
支持按照日志记录时间、资产编号、资产名称、帐号名以及日志等级快速查询相关的日志记录。
¡ 系统日志列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、日志记录时间、日志名称、日志来源、日志记录编号、日志等级、事件ID和事件描述。
- 日志等级:分为错误、警告、信息、审核成功、审核失败五个等级。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当系统事件监控策略中勾选“上报终端系统状态变更日志”时,可以监控并记录终端的系统状态变更事件。
(1) 单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 终端系统日志”菜单项,进入终端系统日志页面。单击“系统状态变更日志”页签,进入系统状态变更日志页面,如图3-58所示。
¡ 系统状态变更日志查询:
支持按照日志记录时间、资产编号、资产名称、帐号名以及操作事件快速查询相关的日志记录。
¡ 系统状态变更日志列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、操作事件以及日志记录时间。
- 操作事件:分为开机、关机、意外关闭、睡眠、睡眠启动五个事件。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当系统事件监控策略中勾选“上报终端登录日志”时,可以监控并记录终端的用户登录事件。
(1) 单击“用户”页签,选择左侧导航树中的“终端行为管理 > 终端系统日志”菜单项,进入终端系统日志页面。单击“用户登录日志”页签,进入用户登录日志页面,如图3-59所示。
¡ 用户登录日志查询:
支持按照日志记录时间、资产编号、资产名称、帐号名、登录/注销用户名、事件类型以及登录类型快速查询相关的日志记录。
¡ 用户登录日志列表:
记录了终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、日志记录时间、登录/注销用户名、登录/注销域名、日志来源、事件类型和登录类型,并支持查看详细信息。
- 事件类型:分为登录成功、登录失败、注销三种类型。
- 登录类型:分为交互式登录、网络、批处理、服务、解锁、网络明文、新凭证、远程交互及缓存交互九种类型。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
当设置软件卸载策略时,系统将根据策略卸载特定的软件,保障终端信息安全。软件任务日志会对软件卸载行为进行统计,形成相关记录。
(1) 单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 软件任务日志”菜单项,进入软件任务日志页面,如图3-60所示。
¡ 软件任务日志查询:
支持按照操作时间、资产编号、资产名称以及帐号名快速查询相关的日志记录。
¡ 软件任务日志列表:
记录了执行软件卸载任务终端的帐号名、资产编号、资产名称、MAC地址、终端IP地址、当前任务执行到的步骤、卸载的软件名称、变更时间。
(2) 可单击列表上方的<导出>按钮,在下拉选项中选择“按选择导出”或“按查询导出”的方式,将日志导出。
单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 业务参数配置 > 大屏定制”菜单项,进入大屏定制页面,如图3-61所示。
· 系统内预置三种大屏视图:终端综合监控平台、终端行为监控平台、终端数据监控平台。
¡ 终端综合监控平台:展示违规事件统计、违规告警信息、违规资产Top 5、泄露方式Top 5、违规内容策略Top 5、网页浏览Top 5、窗体标题应用程序Top 5、邮件收发数量、光驱刻录文件、文件打印页数和USB设备插拔。
¡ 终端行为监控平台:展示聊天类型记录、邮件收发趋势、网页浏览记录、USB设备插拔、光驱刻录文件、文件打印页数、蓝牙传输文件、网页浏览Top 5、论坛发帖Top 5和窗体标题应用程序Top 5。
¡ 终端数据监控平台:展示违规事件记录、违规资产数量、违规告警信息、违反内容策略Top 5、违规告警类型Top 5、违规资产Top 5和泄露方式Top 5。
· 大屏定制功能涉及的操作如下:
¡ 新建视图:创建一个新的大屏监控视图,新建的大屏监控包括预览、编辑、复制、默认和删除功能。
¡ 预览:跳转到大屏监控页面供用户查看当前大屏监控视图中的数据。
¡ 编辑:跳转到大屏监控编辑页面,此页面可以定制大屏监控的参数与大屏监控元素。预置大屏监控视图无编辑功能。
¡ 复制:从预置的大屏监控模板中或者从操作员已经创建的大屏监控视图进行复制,创建新的大屏监控视图。
¡ 默认:指定当前大屏监控视图为默认的大屏监控视图。一个操作员有且只有一个默认的大屏监控视图,预置视图无法指定为默认大屏监控视图。如果当前大屏监控已经为默认大屏监控视图,则不能再指定其为默认或者删除该大屏监控视图,指定其它大屏监控视图为默认视图后,才可删除该视图。单击“大屏监控”菜单显示当前默认的大屏监控视图,如果当前没有指定默认大屏监控视图,则需要从预置大屏监控视图中选一个视图复制为默认大屏监控视图,建议使用操作员登录名作为视图名称。
- 如果系统同时部署EBM和EDM组件,新建视图时默认视图标题为“终端综合监控平台”。
- 如果系统仅部署EBM组件,新建视图时默认视图标题为“终端行为监控平台”。
¡ 删除:删除当前大屏监控视图,预置大屏监控视图与默认大屏监控视图不支持删除。
单击“用户”页签,选择左侧导航栏中的“终端行为管理 > 业务参数配置 > 系统参数配置”菜单项,进入系统参数配置页面,可以配置客户端的策略请求周期、日志上报间隔、每次日志上报最大条数、客户端本地数据保留时长、日志保留时长,并支持配置备份文件存储位置、本地存储目录,如图3-62所示。
参数说明:
· 基本设置:
¡ 策略请求周期(分钟):包括终端行为策略、外设管理策略、应用程序限制策略、文件操作、水印策略等策略的请求周期。该参数必须为1-1440之间的整数,缺省为720。
¡ 日志上报间隔(秒):包括外设监控、应用程序使用、网络行为、文件操作、终端系统等日志上报间隔。该参数必须为1-3600之间的整数,缺省为300。
¡ 每次日志上报最大条数:该参数决定了每次上报日志的最大条数。该参数必须为1-10000之间的整数,缺省为1000。
¡ 客户端本地数据保留时长(天):客户端本地数据(包含数据库和本地备份文件)保留时长,该参数必须为1-365之间的整数,缺省为7天。
¡ 日志保留时长(天):服务器日志记录和日志文件保留时长,单位为天。缺省为90天。
· 敏感检测高级设置(安装EDM组件时有效):
¡ 检测图片文件:检测图片文件中是否含有敏感信息。
¡ 检测文件中的图片:检测文件内容的插图中是否含有敏感信息。
· 备份文件存储设置:
¡ 存储位置:本地存储是指存储在终端行为策略服务器上,远程存储则是存储在单独的FTP服务器上。
¡ 本地存储目录:本地存储目录是指终端行为策略服务器上的目录。
¡ 远程存储服务器:存储位置选择“远程”时,需配置远程存储服务器,目前支持FTP协议。服务器信息包括IP地址、端口、存储目录等,在增加服务器的时候,需要输入FTP服务器的用户名和密码,用户必须具有查看、创建、上传、下载和删除权限。
由于某些异常原因,导致策略配置后提示通知终端数据服务器失败时,需单击“用户”页签,选择左侧导航树中的“终端行为管理 > 业务参数配置 > 系统配置手工生效”菜单项,手工下发系统配置,如图3-63所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
