- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESMAV终端安全管理系统
配置指导
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便网络或设备系统管理员对新华三技术有限公司(以下简称H3C)的H3C i-Ware Software,Version 3.1,ESS 6902P08终端安全管理系统或终端安全管理系统(团队版)进行配置操作及维护,管理员可以通过Web界面直观和便捷地管理和维护该系统。
建议使用1920*1080或以上分辨率的显示器显示Web页面。
建议使用chrome或firefox浏览器登录Web管理。
控制中心部署完成后,首次使用控制中心时必须在控制中心导入授权。
打开Web浏览器,使用HTTPS协议在地址栏输入控制中心地址和端口,输入格式:https://ServerIP:7443,请将ServerIP替换为控制中心实际IP地址,例如浏览器地址栏输入“https://192.168.10.10:7443”,页面提示用户导入授权。
使用手机APP扫一扫功能扫描图片二维码,或互联网环境下点击“License使用指南”链接打开授权文件使用指南查看授权文件说明,在获取授权文件后,点击<导入授权文件>,如下图所示。
图2-1 提示导入授权
点击<导入授权>按钮,在弹出的页面选择授权文件,“导入后自动绑定到根分组”保持默认勾选状态,点击<确定>按钮,如下图所示。
图2-2 选择授权文件导入
请备份妥善保持已经获取的授权文件。
授权文件导入成功后,页面自动刷新,显示Web登录界面,如下图所示。
图2-3 控制中心登录界面
控制中心在出厂时内置有默认的Web登录账户信息。
默认的Web登录账户信息包括:
· 用户名:“admin”
· 密码:“admin”
输入系统内置的Web登录账户信息,点击<登录>按钮。
首次登录admin账户,提示修改默认密码。
图2-4 修改登录密码
登录admin账户后,Web页面如下图所示。
图2-5 管理员视图
首次登录时,系统会要求用户立即修改缺省登录密码,请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
打开浏览器,在地址栏输入控制中心IP地址(如输入“192.168.10.10”),出现客户端下载页面,选择相应的客户端点击<下载客户端>按钮开始下载客户端。
图2-6 客户端下载页面
使用管理员权限运行下载的客户端,安装成功后客户端后会自动向控制中心注册上线。
浏览器与控制中心之间通过HTTS协议进行登录管理。
打开浏览器,在地址栏输入控制中心地址和端口,输入格式:https://ServerIP:7443(请将ServerIP替换为控制中心实际IP地址,如“https://192.168.10.10:7443”),显示输入账户信息登录页面。
输入系统管理员账户和密码登录控制中心,登录后首页内容为终端概览,展示了在控制中心已注册的终端概况、威胁趋势、高危终端和病毒、防护概况、待处置事项、安全防护和设备状态信息等。
图2-8 登录首页
安全概况从安全、低可疑、高可疑、已沦陷、未知五种安全等级对全网终端的进行归类统计。
图2-9 安全概况
在“安全概况”中,根据终端已感染的病毒种类和数量、是否产生异常通信链路、是否存在系统可疑账号等威胁信息,将在控制中心注册终端的安全概况分为“安全终端”、“低可疑终端”、“高可疑终端”、“已沦陷终端”和“未知终端”五个安全等级,系统统计数据给出了不同安全状态的终端数量和比例,并用环形图形式以不同颜色区分显示。
表2-1 安全概况名词解释
|
编号 |
名词 |
说明 |
|
1 |
安全终端 |
没有以下任何情况的终端。 |
|
2 |
低可疑终端 |
有其他病毒的终端。 |
|
3 |
高可疑终端 |
有其他病毒≥3或异常通信链路的终端。 |
|
4 |
已沦陷终端 |
有勒索病毒、Webshell、挖矿木马,其他病毒≥6或可疑账号的终端。 |
|
5 |
未知终端 |
终端安全状态未知,重新对终端扫描后状态更新,当终端列表没有健康状态显示未知状态的终端时,安全概况不显示未知终端统计。 |
展示了病毒、事件和勒索威胁趋势。
图2-10 威胁趋势
表2-2 威胁趋势名词解释
|
编号 |
名词 |
说明 |
|
1 |
病毒 |
当日的病毒数量总和。 |
|
2 |
事件 |
当日的异常通信链路端点、资源消耗异常端点数量总和。 |
|
3 |
勒索 |
当日的勒索病毒数量总和。 |
点击“病毒”可以在威胁趋势中隐去病毒威胁的安全数据,再次点击“病毒”时在威胁趋势中展示病毒威胁的安全数据;同样可以隐去和展示事件、勒索的安全趋势。
存在病毒数量最多的10个端点。
图2-11 高危终端(TOP10)
红色柱状图表示病毒数量危险值,每个终端IP对应一个终端危险值。用鼠标移动到柱状图上,可以展示更多信息,如终端名称、Mac地址、私有IP、公有IP、病毒数量等信息。将鼠标移动到IP地址为192.168.31.205的高危终端上,显示信息如下。
图2-12 高危终端详情
按照病毒名称分类统计病毒数量,显示数量最多的10种病毒名称和数量。
图2-13 高危病毒(TOP10)
在高危病毒TOP10视图栏,可以展示24小时和最近7天蔓延的前TOP10病毒。
图2-14 病毒蔓延速度展示
鼠标移动到柱状图上,可以展示病毒的SHA256哈希值。
图2-15 高危病毒详情
从8个维度实时展现系统的安全防护概况。
图2-16 待处置威胁
表2-3 名词解释
|
编号 |
名词 |
说明 |
|
1 |
发现恶意代码 |
发现的未处理的病毒病总数,处理过的病毒不显示在防护概况,处理过的病毒可在数据检索中查询。 |
|
2 |
发现勒索病毒 |
发现的未处理的勒索病毒总数,处理过的不显示在防护概况。 |
|
3 |
发现webshell后门 |
发现的未处理的webshell后门总数,处理过的不显示在防护概况。 |
|
4 |
发现挖矿木马 |
发现的未处理的挖矿木马总数,处理过的不显示在防护概况。 |
|
5 |
主机异常通信链路 |
发现的WiFi连接、网络违规外联终端总数。 |
|
6 |
主机资源消耗异常 |
发现的主机资源(CPU、内存、硬盘)使用异常终端总数。 |
|
7 |
隔离终端 |
已被网络隔离的终端总数。 |
|
8 |
弱口令 |
发现的弱口令账户总数。 |
管理员通过平台已处置、客户端自动处置或由用户使用客户端处置的威胁事件,点击下钻到威胁检测菜单已处置页面。
图2-17 已处置威胁
表2-4 名词解释
|
编号 |
名词 |
说明 |
|
1 |
恶意代码 |
平台统计的已处理的恶意代码数,包含忽略处置方式。 |
|
2 |
勒索病毒 |
平台统计的已处理的勒索病毒数,包含忽略处置方式。 |
|
3 |
webshell后门 |
平台统计的已处理的webshell后门数,包含忽略处置方式。 |
|
4 |
挖矿木马 |
平台统计的已处理的挖矿木马数,包含忽略处置方式。 |
|
5 |
漏洞修复 |
平台统计的Windows系统漏洞处理数,包括已修复漏洞和已忽略漏洞。 |
|
6 |
行为检测 |
平台统计的已处理的危险行检测、勒索病毒行为、勒索诱捕事件、挖矿木马行为和内存防御事件数。 |
|
7 |
勒索病毒行为 |
平台统计的勒索行为攻击防御数,如勒索命令,包括告警和拦截。 |
|
8 |
勒索病毒诱捕 |
平台统计的通过勒索诱捕功能捕获的勒索病毒事件数。 |
|
9 |
内存防御 |
平台统计的通过powershell命令攻击、VBS脚本攻击和利用应用软件(office、pdf、浏览器、视频播放器)攻击的防御事件数,包括告警和拦截。 |
系统捕捉到安全事件,等待管理员用户或系统自行处置。
待处置事项包括:病毒事件、异常通信链路、资源消耗异常、可疑账号、管理员弱口令。
图2-18 待处理事项
事件信息内容包括“主机名”、“IP地址”、“时间”;通过右侧滚动条可以上下滑动浏览更多待处理的事件。
只显示时间最新的20条待处理事项。
展示终端软硬件国产化比例和终端基线检查合格率、终端版本升级率、病毒库升级率和终端补丁修复率。
图2-19 安全防护
表2-5 终端国产化名词解释
|
编号 |
名词 |
说明 |
|
1 |
全国产 |
在控制中心中注册的,使用国产操作系统和CPU的终端数占注册终端总数的比例。 |
|
2 |
国产硬件 |
在控制中心中注册的,使用国产CPU的终端数占注册终端总数的比例。 |
|
3 |
国产Linux |
在控制中心中注册的,使用国产操作系统的终端数占注册终端总数的比例。 |
表2-6 检测合格率名词解释
|
编号 |
名词 |
说明 |
|
1 |
基线检查合格率 |
基线核查结果,合格终端数与控制中心注册终端数的比值。 |
|
2 |
终端版本升级率 |
升级到最新版本的终端与控制中心注册终端数的比例。 |
|
3 |
终端病毒库升级率 |
病毒库和人工智能模型升级到最新版的终端数与控制中心注册终端数的比例。 |
|
4 |
终端补丁修复率 |
通过控制中心执行终端漏洞扫描,完成漏洞修复的终端与Windows终端总数比例。 只统计严重漏洞和重要漏洞,控制中心执行终端漏洞修复模式时,不会实时更新补丁修复率,需要在控制中心再次执行漏洞扫描。 |
展示了在控制中心注册的终端总数和在线终端数。
图2-20 受控终端
展示了在控制中心注册的Windows操作系统计算机总数和Linux操作系统(含国产操作系统)计算机总数。
图2-21 终端类型
探测发现全网未安装客户端的终端总数和首次发现的未安装客户端的终端数量(相同的终端只计算1次)。
图2-22 未受控终端
最新发现的终端,是通过在“安全运维>终端发现”页面,创建扫描任务新探测到的终端,未受控终端在安装客户端软件后,系统会自动将其从未受控终端中移除。
显示了等待管理员处置的安全事件总数和终端总数。
图2-23 管理员事项
显示服务器CPU、内存、硬盘资源使用情况。
在首页右上角,点击资源监控图标
打开服务器资源使用,如下图所示。
图2-24 监控服务器资源
显示了控制中心病毒库升级时间、AI模型升级时间和安全守护时间。
图2-25 设备状态
图2-26 安全守护时间
网络内计算机终端安装客户端软件后,终端安全管理系统可快速获得计算机终端名称信息、终端IP地址、终端健康状态、安全评分(需策略中心开启配置)、系统类型和平台架构等信息,系统管理员可以通过“终端管理”功能项对已安装客户端软件的全网终端进行分组管理、策略管理和即时命令下发等操作。
终端管理页面左侧视图区域为终端分组管理、右侧视图区域为终端列表,如下图所示。
图2-27 终端管理视图
查看终端列表信息,如下图所示。
图2-28 终端列表
终端列表显示了网内已安装客户端的全部终端。终端列表展示的内容有终端名称、IP地址(若公网地址和私有地址相同,公网地址以“-”表示)、MAC地址、健康状态、引擎状态、基线核查、终端分组、策略集、策略执行状态、安全评分、操作系统、虚拟化平台、硬件架构、客户端组件版本、病毒库升级日期、终端上线和下线时间等;显示终端列表更多内容,请点击右侧的“…”图标勾选需要显示的列,如图所示。
图2-29 终端列表显示更多
在终端列表可对选定的终端执行移动到组、策略分发、取消策略、立即升级、远程协助、即时消息、卸载客户端、执行网络隔离、取消网络隔离、系统重启或关机等操作和查看终端详情信息,可设置终端备注名称、修改终端资产信息和查看终端详情信息。
在终端列表对终端勾选,点击<更多操作>按钮显示终端即时命令,如下图所示。
图2-30 即时命令
在即时命令选项,<隔离终端>命令执行后当终端重启时恢复网络,<移除终端>功能仅对离线终端生效,不能移除在线终端;当发生其他原因显示终端未授权时,可使用<更新授权>功能对终端重新分配授权。
在终端列表对终端勾选,点击<即时消息>按钮,弹出安全通告编辑对话框,输入即时消息标题、内容、紧急程度后点击<确定>按钮,如下图所示。
图2-31 即时消息
即时消息下发成功后,接收消息的终端屏幕弹出提示消息,如下图所示。
图2-32 客户端弹出即时消息
该功能对Linux操作上只有命令行的客户端无效、只对有UI的客户端的生效,当终端用户阅读即时消息后该消息不会存储在客户端。
在终端列表对终端勾选,点击<立即升级>按钮对在线终端执行病毒库、客户端程序的立即升级。
立即升级客户端程序功能,须先在“系统管理>系统升级>客户端升级”配置页面,添加需要升级的客户端IP地址段。
远程协助功能提供给管理员的远程到终端计算机进行工作协助、问题排查的便捷途径,Windows操作系统使用远程桌面、Linux系统使用远程Shell连接到终端,且客户端配置为允许管理员远程协助时才能使用远程协助功能,管理员不能任意连接到终端计算机。
(1) 配置远程协助策略
在WEB管理页面,选择“安全策略>基本策略”配置页面将“客户端显示远程协助配置选项”开启, Windows操作系统上打开客户端界面右上角<设置>图标,将“远程协助”设置为<启用远程协助>,如下图所示。
图2-33 WEB安全策略将<客户端显示远程协助配置选项>开启
在需要远程协助的Windows客户端设置界面,将<启用远程协助>功能打开,如下图所示。
图2-34 客户端启用远程协助功能
在需要远程协助的Linux客户端,进入目录“/KvEdr”,以root权限执行开启允许远程协助功能命令,如下图所示。
命令:
图2-35 Linux命令行开启远程协助功能
(2) 连接远程终端
在终端列表选择,选择已配置允许远程协助的Winsdows终端,点击<远程协助>按钮,远程后如下图所示。
图2-36 Windows远程协助
在终端列表选择,选择已配置允许远程协助的Linux终端,点击<远程协助>按钮,远程后如下图所示。
图2-37 Linux远程协助
在终端列表页面,可按照终端IP地址、唯一标识、终端名称、MAC地址、操作系统类型、虚拟化、硬件架构、授权状态、责任人、资产编号、使用位置等信息查询终端。终端查询如下图所示。
图2-38 终端查询选项
例如,按操作系统类型查询终端,如下图所示。
图2-39 按操作系统查询
终端列表的显示列是可配置的,系统管理员根据关注点,配置终端列表显示的列内容。点击终端列表顶端标题行最右侧的省略号,在“表格显示数据”通过打钩或去掉勾选,来配置终端列表显示的列内容,如下图所示。
图2-40 终端列表显示配置
在终端列表选择要查看的列表视图,能够切换到版本视图、资产视图、全量视图查看终端列表。
图2-41 选择列表视图
终端列表的<导出>功能实现将查询到的终端信息导出报表。
终端分组管理用于创建树形单位组织机构,也可以根据终端IP地址实现自动化分组。
进入“终端管理”页面,在页面左侧区域建立分组名称。
(1) 分组编辑
查看未分组终端、分组策略分发、重命名、导出分组终端、添加/删除分组。
选中一级分组,第1个功能图标可查看全部终端或未分组终端。
图2-42 点击查看未分组终端
图2-43 点击查看全部终端
第2个功能图标可对根分组下发安全策略,第3个图标对分组取消安全策略,如下图所示。
图2-44 对根分组下发策略
图2-45 对根分组取消策略
第4个功能图标实现导出分组、导入分组和自动分组功能,导出的分组名称为“export_group.json”,可将导出的分组导入控制中心,如下图所示。
图2-46 备份分组和自动分组
也可根据添加的IP分组规则执行自动分组。
第5个功能图标实现分组添加、重命名和导出分组终端。
图2-47 备份分组和自动分组
点击<添加>按键,输入下级分组名称点击<确定>,对本分组添加下级分组。
图2-48 添加下级分组
系统支持10级以上分组层级。
图2-49 十级分组层级
图2-50 重命名分组
图2-51 导出分组终端
(2) 分组排序
左键选中分组名称稍作停留,保持鼠标左键按下状态上移或下移将分组拖动排序。
图2-52 移动分组
在终端列表中选中1台或多台终端勾选,点击<移动到组>按钮。
图2-53 移动到组
在展开的单位分组树,选择相应的分组后点击<确定>按钮,如下图所示。
图2-54 选择分组
在终端分组视图区域选中分组,如上海市,在终端列表点击分组规则,如下图所示。
图2-55 选中分组名称和规则
在分组规则设置中,点击<新增规则>按钮,弹出新增策略规则对话框,输入分组对应的IP地址段,如下图所示。
图2-56 输入分组对应的IP地址段
自动分组命令使用前须先对分组添加分组规则,将分组和指定的IP地址段绑定。
在创建自动分组规则前已经注册上线的终端,需手动执行自动分组命令将终端划分到相应的分组,对创建自动分组规则后安装注册的终端,终端上线后会自动寻找分组,无需手工执行自动分组命令。
对于非连续的IP地址段,可以多次执行添加分组规则。
平台从域控服务器(AD)同步计算机组织单位和计算机。
在终端分组更多菜单
,打开AD域同步设置。
图2-57 AD域同步
在AD域同步设置界面,配置AD域参数,如下图所示。
图2-58 AD域同步配置参数
填写AD域服务器的IP地址或域名,如上图中填写AD服务器IP地址192.168.31.130。
输入AD域服务器的管理员账号,管理员账号形式是“域管理员账号名称@域名”,例如填写:[email protected],
输入管理员密码。
基准目录(Base DN)内容修改第1个DC字段为域控服务器的域名字段,如域名是xjfz.com时将第1个DC字段内容从“Domain”修改成“xjfz”,例如填写:DC=xjfz,DC=com
组织框架路径添加,并设置第1个DC字段为域控服务器的域名字段,例如填写:DC=xjfz,DC=com
保持缺省配置项:服务器类型、组织过滤条件、组织段名称、终端过滤条件、终端名称字段。
其他配置参数可由管理员自主配置。
使用LDAP协议和AD同步时,使用的TCP 389端口号;使用LDAPS协议和AD同步时,使用的TCP 636端口号。
当使用LDAPS时需要先在AD服务器上配置使用证书。
分组备份与恢复将整个单位组织树进行备份,恢复到另一台控制中心。只能选中一级分组进行备份与恢复操作,无法对下级节点进行单独的备份与恢复。
选中“一级分组”,点击<导出分组>按钮将分组导出为文件“group_export.json”,导入分组时选择文件“group_export.json”导入即可。
图2-59 导入导出分组
执行组织单位导入导出分组操作时,使用系统生成的默认文件名,不要修改文件或文件名;
导入分组和导出分组只备份恢复组织单位树信息,不会保留终端与组织树的关联关系;
对控制中心导入分组时,导入的组织树备份文件会覆盖控制中心原有的组织树信息。
· 按终端下发策略:支持对单台或多台终端下发安全策略。
· 按分组下发策略:支持按照终端分组下发安全策略,可选择是否对子分组分发安全策略,缺省状态对子分组执行分发安全策略。
选择“终端管理”,在终端列表将终端勾选,点击<策略分发>按钮,弹出策略分发选择界面,选中安全策略名称后点击<下发策略>按钮,如下图所示。
图2-60 选择策略分发
对终端组进行策略分发仅对该分组内的当前终端生效,后续新加入到该分组的终端并不会执行之前给终端组下发的安全策略,若想安全策略对分组内新增终端同样生效需要重新执行对终端分组的策略分发。
在终端分组视图区域选中某一分组,点击<下发策略>按钮,如下图所示。
图2-61 对分组下发策略
弹出策略分发选择界面,选择策略名称、勾选策略分发范围包含下级子分组,点击<下发策略>按钮,如下图所示。
图2-62 选择分组策略
当勾选“策略分发范围包含下级子分组”时,下级节点终端自动更新策略集;当未勾选“策略分发范围包含下级子分组”时,只有本级内的终端自动更新策略集,不会更改子分组内的终端策略集。
下发安全策略后,终端列表自动显示策略执行状态,如下图所示。
图2-63 策略执行状态
鼠标移动到终端名称,双击终端名称展出终端详情信息,如下图所示。
图2-64 双击查看终端详情
在终端详情中,管理员可以查看终端概览、终端性能使用、操作系统启动项、系统服务、进程快照、终端硬件信息、已安装软件信息和存在的系统漏洞情况。
终端概览展现内容如下图所示。
图2-65 终端详情概览
终端概览展示的内容如下:
· 终端唯一标识:由控制中心自动生成,是计算机在终端安全管理系统的身份标志,全网唯一。
· 资产信息:硬件架构、操作系统、终端名称(计算机名)、MAC地址、终端品牌、型号(限品牌机)或虚拟化平台。
· IP地址:当终端通过NAT设备或方式访问网络连通终端安全管理系统控制中心时,系统会展示终端的公网IP地址、私有IP地址,否则公有IP地址和私有IP地址相同。
· 终端状态:显示终端在线、离线状态,上线时间、下线时间。
· 健康状态:安全状态、低可疑状态、高可疑状态、沦陷状态。
· 基线状态:合格/不合格,依据安全基线模板对终端安全评估的结果。
· 客户端组件信息:防病毒组件信息(包括组件版本、病毒库日期、人工智能模型日期),桌管组件版本、EDR组件版本等。
· 配置信息:终端分组和策略集配置。
展现了终端计算机CPU、内存、硬盘、网卡硬件资源配置和当前使用状态。
(1) CPU/内存性能
显示终端CPU名称、使用率、内存大小及使用率、主板信息。
图2-66 终端CPU/内存性能
(2) 硬盘性能
显示终端硬盘的名称、磁盘分区空间、磁盘温度等,终端安全管理系统不采集虚拟机硬盘参数和使用状态。
图2-67 终端硬盘性能
(3) 网卡性能
显示终端网卡描述、网卡带宽、网卡发送和接收的数据量。
图2-68 终端网卡性能
展现了终端上的系统账号信息、系统启动项、任务计划和系统服务。
(1) 账号信息
显示终端上存在的账户名、账户权限、账户是否克隆和账号启用状态,与终端上账号信息一致。
图2-69 系统信息-账号
(2) 启动项
启动项内容包括启动项名称、执行文件路径、注册表位置、启动项所属用户和启动项启用/禁用状态,与终端上的启动项一致。
图2-70 系统信息-启动项
(3) 计划任务
显终端上任务名称、路径、状态、执行路径、执行参数,与终端任务计划一致。
图2-71 系统信息-计划任务
(4) 系统服务
展现了终端上存在服务项内容,包括服务项名称、类型、路径、服务描述、启动方式等,与操作系统服务一致。
图2-72 系统信息-系统服务
在线终端即时进程快照信息。包括进程ID、进程创建时间、进程资源使用情况、进程路径等信息。
图2-73 进程列表
网络信息展现的是终端当前的网络连接行为和网络配置参数。
(1) 网络连接
显示连网的进程ID、创建时间、通信端口、通信协议和进程路径。
在终端详情界面,选择“网络信息>网路连接”,查看终端当前的网络连接。
图2-74 网络信息-网络连接
(2) 网络配置
显示网卡类型、IP地址、MAC地址、子网掩码、连网方式等。
在终端详情界面,选择“网络信息>网络配置”,查看终端当前的网络配置,可在网络配置页面的“网卡描述”切换其它网卡查看网卡信息。
图2-75 网络信息-网络配置
展示了主板信息、CPU/内存信息、硬盘信息、网卡信息、其它(光驱、显卡、音视频控制器)信息。
(1) 主板信息
在终端详情界面,选择“硬件信息>主板信息”,查看终端主板名称、版本、品牌、厂商信息。
图2-76 硬件信息-主板信息
(2) CPU/内存信息
在终端详情界面,选择“硬件信息>CPU/内存信息”,查看终端CPU名称、核数和内存大小信息。
图2-77 硬件信息-CPU/内存信息
(3) 硬盘信息
显示硬盘型号、物理序列号、大小、是否固态盘、传输模式、温度状态等信息。
在终端详情界面,选择“硬件信息>硬盘信息”,查看终端硬盘信息。
图2-78 硬件信息-硬盘信息
在硬盘信息界面,选择“硬盘名称”切换查看其它硬盘信息。
不显示虚拟机硬盘信息。
(4) 网卡信息
显示网卡IP、MAC、DNS配置、网卡描述和总线类型等信息。
在终端详情界面,选择“硬件信息>网卡信息”,查看终端网卡信息。
图2-79 硬件信息-网卡信息
(5) 其它硬件
在终端详情界面,选择“硬件信息>其它”,查看终端光驱和显卡信息。
图2-80 硬件信息-其它
展示终端上已安装软件的软件名称、软件发行商、安装时间、软件版本信息,如下图所示。
图2-81 软件信息
展示终端上存在的系统安全漏洞,包括漏洞名称、漏洞描述、危害等级和补丁下载地址。
图2-82 漏洞信息
在“终端列表”区域,将鼠标移动到某台终端上,左键点击终端的健康状态图标,显示该终端安全健康状态详情,如下图所示。
图2-83 点击健康状态查看详情
显示终端上存在的恶意代码、资源使用异常、通信链路异常、可疑账号和弱口令。
图2-84 健康概览
显示终端上存在的所有病毒,显示信息包括病毒类型、病毒名称、病毒路径等信息。
图2-85 恶意代码列表
显示勒索病毒名称、病毒路径、文件哈希信息。
图2-86 勒索病毒
显示Webshell后门名称、病毒路径、文件哈希信息。
图2-87 Webshell后门
显示挖矿木马名称、路径、文件哈希信息。
图2-88 挖矿木马
显示终端连接Wi-Fi信息、专网违规外联和互联网违规外联的异常通信链路。
图2-89 Wi-Fi异常通信链路
图2-90 专网违规外联
图2-91 互联网违规外联
显示终端CPU、内存、硬盘、网络流量使用异常的信息。
图2-92 资源异常
显示终端系统上存在的可疑账号、账号权限、是否克隆和使用状态信息。
图2-93 可疑账号信息
显示终端系统账户空口令、弱口令信息。
图2-94 系统账户弱口令
系统管理员创建的1个安全策略名称为1个安全策略集,1个安全策略集包括Windows安全策略和Linux安全策略,客户端在执行安全策略集时根据操作系统类型自动选择对应的安全策略执行。
1个安全策略集的安全策略配置项包括基本策略配置、病毒查杀配置、实时防护配置、信任名单配置、异常告警配置、漏洞修复配置、桌面管控配置和环境感知配置。
选择“策略中心”,策略中心视图左侧区域为策略列表,右侧区域为某个安全策略的配置项。
在策略列表中,点击策略添加按钮,如下图所示。
图2-95 添加策略
在弹出的对话框,输入策略名称,类型选择“策略”,如下图所示。
图2-96 输入策略名称
在策略管理页面,选中某条策略后可将该策略设置为默认策略,策略设置为默认策略时,后续注册上线的终端将自动执行默认策略,如下图所示。
图2-97 设置默认策略
选择“策略中心”,策略中心视图左侧区域为策略列表,在策略列表中选择一条安全策略集,策略中心视图右侧显示出该安全策略集的安全配置项,策略安全配置项如下图所示。
图2-98 策略配置项
在策略配置项页面,无Windows操作系统和Linux操作系统的配置项(如基本策略),表明该策略分发给终端后,Windows操作系统终端和Linux操作系统终端都会执行该策略项;显示Windows操作系统和Linux操作系统的配置项(如病毒查杀),客户端执行该条安全策略集时会根据自身系统类型自动选择Windows安全策略或Linux安全策略执行。
配置终端用户进行资产信息登记、查看管理员联系方式、客户端密码保护、自身安全防护、CPU和内存熔断设置、升级选项、自定义功能(客户端显示远程协助配置选项、客户端显示文件分发配置选项)、自定义客户端界面(隐藏漏洞修复页面、隐藏安全加固页面、隐藏安全工具页面)、免打扰模式、其他选项配置(客户端与控制中心时间同步)。
图2-99 基本配置
配置开启后,终端用户可以通过客户端填写终端资产和责任人信息,并在Web终端列表显示责任人、资产编号、信息编号、资产位置。
选择“资产登记”,弹出资产登记界面,单击<编辑>按钮,输入资产信息,点击<提交>上报控制中心资产信息。
图2-101 输入资产信息
配置开启后,终端用户查看系统管理员的联系方式,以便问题咨询和事件反馈。
图2-102 管理员填写联系方式
图2-103 客户端查看管理员信息
密码保护功能开启后,终端用户在退出、卸载客户端、修改控制IP地址或停止由控制中心下发的病毒扫描任务时执行密码保护策略,输入正确的密码后操作方可执行成功。
客户端退出时,需要输入密码验证。
图2-105 客户端密码保护策略
自身安全功能开启后,客户端进程、服务、文件、注册表项将启用保护状态,不能从任务管理器、系统服务中结束进程和服务。该功能针对Windows系统客户端,Linux系统客户端未实现该功能。
该功能默认未启用、由终端用户自主配置。
配置客户端对终端或服务器硬件资源的使用,当客户端对CPU或内存的使用达到设定阈值时,客户端执行熔断策略。
图2-106 客户端熔断策略
1.CPU熔断策略支持Windows 8系统或以上版本的系统,不支持Windows 7及以下操作系统;支持CentOS 7版本以上操作系统,不支持CentOS 6 操作系统。
2.CPU熔断阈值是指客户端对每核CPU上的使用阈值。
配置客户端软件和病毒库自动升级(默认配置)、定时升级和关闭自动升级功能。
配置客户端软件和病毒库自动升级(默认配置)、定时升级和关闭自动升级功能。
开启<客户端显示远程协助配置选项>和<客户端显示文件分发配置选项>后,客户端设置菜单
显示远程协助授权按钮、文件分发授权按钮。只有终端用户通过客户端授权后,管理员才能使用远程协助功能远程到终端计算机,或使用文件分发功能在平台往终端推送软件。
该功能默认为配置是禁用状态,必须由终端用户授权后才能正常使用。
图2-107 远程协助客户端授权
图2-108 文件分发客户端授权
控制客户端界面是否显示和隐藏漏洞修复功能界面、安全加固功能界面和安全工具界面,隐藏时终端用户无法使用对应的功能模块。
关闭状态下,当终端检测到病毒文件时会在桌面右下角弹窗提示;开启状态下,客户端检测到病毒时无弹窗提示。
开启<客户端本地时间自动与服务器进行同步>功能后,客户端会自动向控制中心服务器同步时间。
配置内容包括配置扫描文件类型、配置压缩包扫描、配置扫描引擎、配置病毒文件处理方式、配置扫描速度( 客户端资源占用)、配置定时扫描、Windows Defender工作模式、配置U盘自动扫描,如下图所示。
图2-109 配置Windows病毒查杀策略
图2-110 配置Linux病毒查杀策略
一般选择默认配置,系统管理员也可以自定义扫描文件类型。
“不扫描的文件后缀”为空时表示扫描所有类型文件,如配置病毒扫描时忽略以“txt”、“bat”为后缀的文件,文件后缀名使用英文逗号分割,配置如下图所示。
图2-111 设置忽略扫描文件类型
选择“扫描自定义文件后缀”只对特定类型的文件进行病毒扫描,当后缀为空时不对任何文件扫描,如配置为仅扫描以“rar”为后缀的文件,配置如下图所示。
图2-112 设置自定义扫描文件类型
配置病毒扫描时对超过设定大小的压缩包不扫描,对超过压缩层级的压缩文件不扫描、对超过设定值大小的单个文件不扫描;同时扫描文件大小还受到终端内存大小的限制,如下图。
图2-113 配置扫描压缩包
病毒扫描模块集成了传统的基因特征引擎、人工智能引擎、行为检测引擎和云查杀引擎,系统管理员可以配置使用哪种引擎查杀病毒,并可配置人工智能引擎查杀时的积极模式、均衡模式、谨慎模式,如下图所示。
图2-114 配置扫描引擎
配置病毒扫描时发现病毒文件或可疑文件后的处理方式,有仅上报、系统自动处理(隔离文件到安全区)、交由用户处理3种处理方式,一般选择默认配置
图2-115 配置病毒处理方式
提供病毒扫描时多线程、多任务支持,依据扫描过程对CPU资源消耗占用情况分为节能模式(扫描速度最慢)、高速模式(扫描速度居中)、极速模式(扫描速度最快)。
图2-116 配置扫描速度
资源占用配置的有效性对CPU要求见下表。
|
编号 |
资源占用 |
CPU配置要求 |
|
1 |
节能模式 |
无要求。 |
|
2 |
高速模式 |
CPU核数≥4且内存≥6G。 |
|
3 |
极速模式 |
CPU核数≥6且内存≥12G。 |
控制杀毒客户端和Windows Defender的工作模式,可控制只运行客户端软件,或者客户端软件与Windows Defender共同运行。
图2-117 配置扫描速度
配置客户端定时进行病毒扫描任务,支持按每天、每周、每月时间设置和快速扫描、全盘扫描和扫描速度配置。
图2-118 配置定时查杀
终端上接入U盘时客户端自动扫描U盘文件进行控制。
图2-119 U盘扫描
配置客户端文件实时防护的启用和禁用、防护级别、监控的文件类型和多引擎设置,配置勒索防御策略、挖矿防御策略和内存防御策略,配置界面如下图所示。
图2-120 配置实时防护
开启配置后,客户端对文件动作起到实时防护功能,客户端实时防护功能默认处于开启状态。
图2-121 防护状态
配置客户端文件实时防护等级,默认处于“中”等级。
图2-122 防护级别
配置客户端文件实时防护的文件对象,默认监控可执行文件和压缩文件。
图2-123 防护文件类型
支持防护文件类型设置过滤文件类型和指定文件类型防护,不同文件类型之间使用英文逗号分割。
客户端检测勒索命令行为并通过勒索诱捕功能,围猎勒索病毒攻击,客户端默认开启此功能。
图2-124 勒索防御
(2) 勒索行为防御
具有客户端界面的缺省策略,当探测到勒索行为发生时会弹窗提示,并进行30秒的倒计时,倒计时结束前可由终端用户选择阻止或忽略,选择阻止时会终止勒索行为并上报平台,选择忽略时仅上报平台不会隔离文件;倒计时结束时如果用户未做任何处置,客户端会默认阻止勒索行为并上报平台。
图2-125 勒索行为防御
只有命令行界面Linux操作系统上,客户端缺省的策略配置是阻止勒索行为并上报平台。
(3) 勒索诱捕
具有客户端界面的缺省策略,当成功勒索诱捕时会弹窗提示,并进行30秒的倒计时,倒计时结束前可由终端用户选择阻止或忽略,选择阻止时会隔离勒索病毒文件并上报平台,选择忽略时仅上报平台不会隔离文件;倒计时结束时如果用户未做任何处置,客户端会默认隔离勒索病毒文件并上报平台。
图2-126 勒索诱捕
只有命令行界面Linux操作系统上,客户端缺省的策略配置是隔离勒索病毒文件并上报平台。
客户端检测到挖矿木马程序访问恶意域名地址等挖矿行为时,对挖矿木马查杀,客户端默认开启此功能。
图2-127 挖矿防御
具有客户端界面的缺省策略,当发现挖矿行为时会弹窗提示,并进行30秒的倒计时,倒计时结束前可由终端用户选择阻止或忽略,选择阻止时会隔离挖矿木马文件并上报平台,选择忽略时仅上报平台不会隔离文件;倒计时结束时如果用户未做任何处置,客户端会默认隔离挖矿木马并上报平台。
图2-128 挖矿木马行为
只有命令行界面Linux操作系统上,客户端缺省的策略配置是隔离挖矿木马并上报平台。
对powershell命令、vbs命令脚本检测防御,阻止恶意命令和脚本运行;对Office办公软件、PDF阅读器、浏览器、视频播放器打开文件实时检测,通过应用软件运行恶意命令的行为检测防御;客户端默认开启此功能。
图2-129 内存防御配置
(2) 脚本防御
客户端检测终端执行的异常powshell命令和VBS脚本,拦截告警上报平台。
当发现恶意脚本命令运行时会弹窗提示,并进行30秒的倒计时,倒计时结束前可由终端用户选择阻止或忽略,选择阻止时会阻止恶意命令并上报平台,选择忽略时仅上报平台不会拦截;倒计时结束时如果用户未做任何处置,客户端会默认阻止并上报平台。
图2-130 powershell命令防御
图2-131 VBS脚本防御
(3) 应用程序加固防御
对Microsoft Office/WPS/Adobe PDF/福昕阅读器/IE/Edge/Chrome/Media Player/VLC应用程序安加固,客户端检测应用程序运行异常命令时拦截告警上报平台。
当发现应用程序运行异常命令时会弹窗提示,并进行30秒的倒计时,倒计时结束前可由终端用户选择阻止或忽略,选择阻止时会阻止异常命令并上报平台,选择忽略时仅上报平台不会拦截;倒计时结束时如果用户未做任何处置,客户端会默认阻止并上报平台。例如Microsoft Office运行异常命令时被客户端检测拦截,如下图。
图2-132 Office应用加固防御
客户端防御对终端发起的ARP病毒攻击,该功能默认关闭,需要策略开启后功能正常使用。
图2-133 Windows系统ARP防御
设置客户端病毒扫描的信任白名单,支持设置文件和目录白名单、设置文件哈希白名单、设置厂商证书签名白名单和行为白名单,客户端执行病毒扫描时不会查杀白名单文件,对误报误杀的文件可以通过将文件加入信任名单处理。
选择“信任名单>Winodows>路径白名单”,在路径编辑框中输入目录路径,如输入“C:\Users\xjwd\Desktop\avtest300\”,点击<添加>按钮设置目录白名单,如下图所示。
图2-134 设置Windows路径白名单
在路径编辑框中输入文件全路径,点击<添加>按钮设置文件白名单,如下图所示。
图2-135 设置Windows文件白名单
配置Linux路径白名单,在路径编辑框中输入目录路径“/root/桌面/avtest300/”,点击<添加>按钮设置Linux目录白名单,如下图所示。
图2-136 设置Linux路径白名单
在路径编辑框中输入文件全路径“/bin/test.sh”,点击<添加>按钮设置Linux文件白名单,如下图所示。
图2-137 设置Linux文件白名单
配置路径白名单:Windows目录必须以“\”为结尾,Linux目录必须以“/”为结尾,目录
配置完成后,对整个目录下的文件及其子目录下的文件生效。
配置文件白名单:文件路径中填入文件绝对路径,精确匹配。
支持通配符:单个字符通配符为英文格式问号(?)、字符串通配符为星号(*),通配符(?)不能使用在“\”或“/”结尾的目录白名单,如添加的“C:\test?\”是无效设置、应设置为“C:\test*”。
使用字符串通配符设置白名单,对以docx后缀的所有文件设置信任免杀,如下图所示。
图2-138 使用通配符设置文件白名单
使用字符串通配符设置白名单,对C盘下以test开头的目录和文件设置信任免杀,如下图所示。
图2-139 使用通配符设置目录白名单
使用字符串通配符设置白名单,对路径中包含字符串“Oracle”的路径设置免杀,如下图所示。
图2-140 使用通配符设置路径白名单
选择“信任名单>Windows>文件哈希白名单”,在“sha256”编辑框输入文件哈希后点击<添加>按钮。
图2-141 设置Windows文件哈希白名单
图2-142 设置Linux文件哈希白名单
在新增哈希白名单设置界面,必须要填写文件的sha256值,路径可以不填写。
确保输入的文件sha256长度、数值准确无误,可通过Windows客户端自带的安全工具软件计算文件sha256值。
选择“信任名单>Windows>签名证书白名单”,在“签名证书厂商”编辑框输入软件的数字签名信息,点击<添加>按钮,如下图所示。
图2-143 签名证书白名单设置
1.查看软件数字证书签名者信息,选中软件后右键打开文件属性,选中“数字签名”,在签名列表中显示签名者信息,点击<详细信息>按钮,在展开的界面上复制签名者信息,添加到控制中心证书白名单。
2.验证证书有效性用于验证数字签名证书是否在有效时间内,关闭后只验证文件是否为合法者签名不验证时间有效性。
由于Linux操作系统厂商来源众多及系统的开源化,文件并非由特定厂商统一签名,Linux系统目前不支持签名证书白名单设置。
选择“信任名单>Windows>行为白名单”,在“行为白名单”编辑框输入运行参数,点击<添加>按钮,如下图所示。
图2-144 行为白名单设置
异常告警功能探测终端上的CPU、内存、硬盘使用状态,对硬件资源使用异常的终端检测告警,如下图所示。
图2-145 异常告警设置
选择“策略中心>异常告警”,通过“开启终端异常和故障告警”开关打开告警功能,开启异常告警功能后,系统会定期对终端资源进行检测,检测周期最短3分钟,选择告警项和配置参数并点击<保存>按钮。
表2-8 异常告警
|
编号 |
采集项名称 |
采集数据内容 |
|
1 |
CPU监控 |
对CPU使用率监控,若配置每3分钟检测一次,连续检测3次、告警阈值设置超过90%,则连续9分钟内CPU使用超过90%时会产生CPU告警。 |
|
2 |
内存监控 |
对物理内存使用率监控,若配置每3分钟检测一次,连续检测3次、告警阈值设置超过90%,则连续9分钟内物理内存使用超过90%时会产生内存告警。 |
|
3 |
硬盘监控 |
对硬盘使用率监控,若配置每3分钟检测一次,连续检测3次、告警阈值设置超过90%,则连续9分钟硬盘使用超过存储空间的90%时会产生硬盘告警;对于多硬盘主机,当磁盘使用超过总容量90%时会产生告警,单个数据磁盘使用超过90%且未超过总容量90%时不会告警;Windows系统所在分区使用超过90%时也会产生告警。 硬盘监控功能对虚拟机无效。 |
|
4 |
流量监控 |
对网卡上的数据流量监控,若配置每3分钟检测一次,连续检测3次、告警阈值设置超过90%,则连续9分钟网卡使用带宽的90%时会产生流量告警;对于多网卡终端,只要1个网卡达到流量告警值时就会产生告警信息。 |
系统采集的异常告警信息,可选择“威胁检测>安全事件>主机资源消耗异常”或选择“数据检索>异常告警”进行查询。
终端安全管理系统不采集虚拟机硬盘信息,若虚拟机磁盘使用率超过阈值时,不会产生告警。
对Windows操作系统安全漏洞的提供统一的补丁加固,由于Linux操作系统不存在统一的漏洞补丁,不支持Linux系统漏洞补丁修复。
选择“策略中心>漏洞修复>修复策略”,将“漏洞修复”开启,显示漏洞修复策略配置界面,支持互联网环境、内网WSUS环境和本地扫描3种工作模式,如下图所示。
图2-146 漏洞修复工作模式选择
3种工作模式的应用场景。
· 互联网环境:该工作模式适用于客户机可以访问互联网资源情形,不需要单独部署WSUS补丁服务器,客户端使用微软提供的WSUS补丁服务器给终端提供补丁服务,该模式面向政企单位外网。
· 内网WSUS环境:该工作模式适用于用户网络与互联网隔离的情形,客户机无法访问互联网资源或客户机只能访问特定互联网资源无法自由访问互联网资源,需要在用户内网单独部署内网WSUS补丁服务器给终端提供补丁服务,该模式面向政企单位内网。
· 本地扫描:客户端使用自身携带的漏洞库特征,并从已配置好的补丁服务器下载补丁(通过HTTP或HTTPS下载补丁文件,本地扫描时获取补丁文件方式阅读2.8.2 升级章节)。
(1) 互联网环境
选择“互联网环境”后点击<保存>按钮,客户端执行漏洞扫描后,点击<修复>按钮时从互联网下载安装补丁。
图2-147 点击<修复>按钮
(2) 内网WSUS环境
用户内网中,若客户机已加入网络域并且管理员在域服务器上统一设置了漏洞修复策略,则在终端安全管理系统上配置漏洞修复策略为“不设置WSUS参数”,如下图所示。
图2-148 网络域环境下补丁修复模式配置
1.域网络环境下,在域服务器上配置了漏洞修复策略,从控制中心下发的漏洞修复策略不再生效。
2.漏洞修复功能无法在家庭版操作系统上使用。
用户内网中,若客户机未使用域服务器配置漏洞修复策略或未加入域环境,可使用便捷配置(IP和端口)、高级配置模式/专家配置模式(导入配置文件)。
便捷模式配置,填入用户网络中实际部署的WSUS补丁服务器的IP地址和端口即可,端口使用默认的8530,点击<保存提交>按钮完成配置。
一般情况下,内网WSUS补丁服务选择便捷模式即可。
图2-149 WSUS补丁服务便捷配置
高级配置模式/专家配置模式,通过修改WSUS补丁服务器参数配置文件,并上传到控制中心。
图2-150 WSUS补丁服务高级配置
WSUS参数设置如下图所示。
图2-151 内网WSUS配置文件参数
(3) 本地扫描
本地扫描,使用客户端携带的本地漏洞库扫描,从控制中心下载补丁或将从第三服务器下载补丁(能够提供HTTP或HTTPS文件下载服务)。
图2-152 本地扫描配置
本地扫描时,获取补丁文件步骤请参考2.8.2 章节。
终端上的已安装软件和微软个别补丁可能会存在冲突导致系统蓝屏或软件异常的问题,或者微软发布的极个别补丁在终端上安装后存在系统异常问题,为避免这种情况发生,系统提供忽略特定漏洞的功能,客户端执行漏洞扫描修复时跳过设置的忽略漏洞。
选择“策略中心>漏洞修复>忽略补丁”,显示忽略补丁页面,在补丁编号输入框输入补丁编号,点击<添加>按钮和<保存提交>按钮完成,如下图所示。
图2-153 忽略补丁设置
对终端出入站访问进行网络管控、对终端外设使用进行外设管控,并对企业或单位内部网络的终端违规接入互联网或其它非法网络的行为进行违规外联告警。
基于源地址、目的地址、源端口、目的端口、协议类型五元组的主机防火墙,控制外部对终端发起的数据访问(入站规则)和终端向外部发起的数据访问(出站规则),精准管控网络访问和阻断网络入侵行为。
选择“桌面管控>Windows>网络管控”,打开“网络管控”开关,显示查看和添加网络管控规则配置页面。
图2-154 网络管控设置
在“网络管控”配置界面,选中“入站规则”点击<新增规则>按钮,显示弹出新增入站规则界面。
图2-155 新增入站规则配置
在“新增规则”配置界面,输入终端的IP地址和端口,地址和端口编辑框输入星号“*”时表示所有地址和端口;五元组协议类型可以选择TCP/UDP/ICMP或者选择“所有”;选中处理方式并应用规则后点击<保存提交>按钮使规则生效。
支持IP地址编辑框输入单个IP地址或IP地址段(如192.168.31.10/24)、不支持英文逗号分割多个IP地址方式填写;支持端口编辑框输入单个端口或端口范围(如135-139)、不支持英文逗号分割多个端口方式填写。
例如,在入站规则配置中,本地IP填写星号“*”、本地端口填写“445”,远程IP和远程端口填写星号“*”、协议类选择所有、处理方式选择“阻止”,该规则表示阻断外部所有IP对本终端的445端口请求访问。
IPv6网络管控策略配置与IPv4网络管控策略配置步骤类似,如下图。
图2-156 新增IPv6入站规则
添加多条规则时,后添加的规则优先生效。
序号小的规则优先级高,通过“移动”调整规则排序。
网络管控功能,不支持对Windows XP/Windows Server 2003系统。
支持进程白名单、进程黑名单、进程红名单三种进程管控模式。
进程管控优先级:进程红名单>进程黑名单>进程白名单
(1) 进程白名单
进程白名单模式下,已选白名单库中的进程能够在终端启用运行,可配置放行操作系统进程运行、具有厂商合法签名程序的运行;其他非白名单库的进程不能运行。
配置进程白名单步骤:
页面<进程管控>菜单启用、<进程白名单>开启。
编辑全局进程库,选择<白名单>,点击<添加白名单库>,输入白名单库名称,如下图。
图2-157 编辑全局白名单库
添加白名单进程,选中添加的白名单库名称,点击<添加白名单进程>按钮,输入白名单进程路径(必填)、软件名称等信息,如下图。
图2-158 编辑全局白名单库
1.通配符“*”标识任意字符串,例如路径使用“*oracle*”时,只要路径含有“oracle”字符的进程都会加入白名单库中;
2.放行厂商软件进程时,签名证书字段可输入厂商的数字签名,其他字段输入星号“*”。
启用白名单库,在“待选择的进程白名单库”中勾选白名单库,点击符号“>”将白名单库移动到“已选择的进程白名单库”,并点击页面上方的<保存提交>按钮,使得白名单生效,如下图。
图2-159 启用白名单库
取消白名单库步骤,在“已选择的进程白名单库”中勾选白名单库,点击符号“<”将白名单库移动到“待选择的进程白名单库”,并点击页面上方的<保存提交>按钮,如下图。
图2-160 取消白名单库
1.从白名单库删除进程后,再次运行进程时无法启动该进程。
2.关闭<进程白名单>功能或<进程管控>功能后,取消对终端的进程管控策略。
(2) 进程黑名单
进程黑名单模式下,已选黑名单库中的进程禁止在终端启用运行,其他进程能够在终端启动运行。
配置进程黑名单步骤:
页面<进程管控>菜单启用、<进程黑名单>开启。
编辑全局进程库,选择<黑名单>,点击<添加黑名单库>,输入黑名单库名称,如下图。
图2-161 编辑全局黑名单库
添加黑名单进程,选中添加的黑名单库名称,点击<添加黑名单进程>按钮,输入黑名单进程路径(必填)、软件名称等信息,如下图。
图2-162 编辑全局黑名单库
1.通配符“*”标识任意字符串,例如路径使用“*test*”时,只要路径含有“test”字符的进程都会加入黑名单库中;
2.禁用厂商软件进程时,签名证书字段可输入厂商的数字签名,其他字段输入星号“*”。
启用黑名单库,在“待选择的进程黑名单库”中勾选黑名单库,点击符号“>”将黑名单库移动到“已选择的进程黑名单库”,并点击页面上方的<保存提交>按钮,使得黑名单生效,如下图。
图2-163 启用黑名单库
取消黑名单库步骤,在“已选择的进程黑名单库”中勾选黑名单库,点击符号“<”将黑名单库移动到“待选择的进程黑名单库”,并点击页面上方的<保存提交>按钮,如下图。
图2-164 取消黑名单库
1.从黑名单库删除进程后,再次运行进程时可以正常启动该进程。
2.关闭<进程黑名单>功能或<进程管控>功能后,取消对终端的进程管控策略。
(3) 进程红名单
进程红名单模式下,已选红名单库中的进程运行受到保护,当客户端发现红名单进程意外退出时会自动启动红名单进程。
配置进程红名单步骤:
页面<进程管控>菜单启用、<进程红名单>开启。
编辑全局进程库,选择<红名单>,点击<添加红名单库>,输入红名单库名称,如下图。
图2-165 编辑全局红名单库
添加红名单进程,选中添加的红名单库名称,点击<添加红名单进程>按钮,输入红名单进程路径(必填)、启动参数和运行权限,如下图。
图2-166 编辑全局黑名单库
红名单不支持使用通配符。
启用红名单库,在“待选择的进程红名单库”中勾选红名单库,点击符号“>”将红名单库移动到“已选择的进程红名单库”,并点击页面上方的<保存提交>按钮,使得红名单生效,如下图。
图2-167 启用红名单库
取消红名单库步骤,在“已选择的进程红名单库”中勾选红名单库,点击符号“<”将红名单库移动到“待选择的进程红名单库”,并点击页面上方的<保存提交>按钮,如下图。
图2-168 取消红名单库
1.从红名单库删除进程后,不再对该运行进程做守护。
2.关闭<进程红名单>功能或<进程管控>功能后,取消对终端的进程管控策略。
对USB移动存储设备、光驱、USB外置网卡、无线网卡、手机/平板、图像设备(摄像头)、蓝牙、打印机等外设设备控制;可对USB端口、串口、并口等计算机外围端口配置启用/禁用;支持添加端口外设的黑、白名单功能。
(1) 外设启用/禁用状态
选择“桌面管控>Windows>外设管控”,开启外设管控开关,显示外设管控配置界面。
图2-169 Windows外设管控配置
表2-9 外设管控
|
编号 |
管控设备名称 |
外设控制说明 |
|
1 |
USB移动存储 |
控制USB接口的移动存储设备在终端上使用,可配置使用方式为设备读写、只读或禁用设备使用,默认不控制;不会影响USB接口的键盘鼠标正常使用。 |
|
2 |
光驱 |
控制光驱/移动光驱设备在终端上使用,可配置使用方式为设备读写、只读或禁用设备使用,默认不控制。 |
|
3 |
USB外置网卡 |
禁用、启用控制。 |
|
4 |
无线网卡 |
禁用、启用控制。 |
|
5 |
手机/平板 |
禁用、启用控制。 |
|
6 |
蓝牙 |
禁用、启用控制。 |
|
7 |
打印机 |
禁用、启用控制。 |
|
8 |
调制解调器 |
禁用、启用控制。 |
|
9 |
红外 |
禁用、启用控制。 |
|
10 |
软驱 |
禁用、启用控制。 |
|
11 |
USB端口控制 |
禁用、启用控制,禁用后会禁用USB端口(不影响USB键盘鼠标使用),例如禁用USB移动存储设备和USB网卡,一般选择开启或不控制。 |
|
12 |
串口控制 |
禁用、启用控制,禁用后无法使用串口通信。 |
|
13 |
并口控制 |
禁用、启用控制,禁用后无法使用并口通信。 |
|
14 |
1394通信控制 |
禁用、启用控制,禁用后无法使用1394火线通信。 |
|
15 |
PCMCIA |
禁用、启用控制,禁用后无法使用PCMCIA卡通信。 |
|
16 |
外设和端口黑名单 |
添加到黑名单的外设和端口,禁用在该终端上使用。 |
|
17 |
外设和端口白名单 |
添加到白名单的外设和端口,允许外设和端口在该终端上正常使用(即使外设控制策略已配置为禁止)。 |
选择“桌面管控>Linux>外设管控”,开启外设管控开关,显示外设管控配置界面。
图2-170 Linux外设管控配置
1.当外设策略从禁用变为不控制状态时,因终端上的设备状态保持(不控制即保持之前的状态)所以无法直接使用外设,需要将外设策略修改为启用状态、读写状态或在在设备管理器启用设备后才可正常使用。
2.Linux光驱管控,当光驱控制策略状态从禁用策略切换到启用策略时,需要再次插拔USB光驱才能正常使用USB光驱;对内置光驱从禁用策略切换到启用策略时需要重启Linux计算机才能正常使用内置光驱。
外设和端口白名单设置后,即使策略禁用外设使用,白名单中的外设仍然可以正常使用(白名单优先)。
Windows系统添加设备白名单步骤:
打开终端计算机设备管理器,查看被禁用设备,终端上的移动光驱、移动硬盘、U盘已经被策略禁用,光驱在“DVD-CD/ROM驱动器”节点下、移动硬盘和U盘在“磁盘驱动器”节点下,如下图所示。
图2-171 查看被禁用设备
添加光驱白名单。
在设备属性界面,在DVD/CD-ROM驱动器节点下找到光驱,左键选中需要开启白名单的光驱,右键点击<属性>,如下图所示。
图2-172 打开设备属性
在设备属性界面,点击<详细信息>,属性选择“设备描述”(如果属性中有“友好名称”则必须使用友好名称),选中值,右键复制后临时保存,如下图所示。
图2-173 查看设备描述
在设备属性界面,点击<详细信息>,属性选择“硬件id”,可能会出现多个硬件id,选中与设备管理器中的光驱描述名称相似的字符最长的硬件id,右键复制后临时保存,如下图所示。
图2-174 查看硬件id
在外设控制页面的外设和白名控制选项,点击<添加>按钮弹出添加外设白名单选项,名称输入设备描述如“CD-ROM Drive”、类别选择“DVD/CD-ROM驱动器”、标识输入硬件id如“USBSTOR\CdRomDell____DVD+/-RW_DW316__A1C2”,如下图所示。
图2-175 添加光驱外设白名单
点击<确定 >按钮,点击<保存提交>按钮保存策略,光驱白名单设置完成。
添加U盘白名单。
设备管理器打开U盘属性,在详细信息页面,查看设备友好名称,复制设备友好名称并临时保存,如下图所示。
图2-176 查看设备友好名称
查看设备id ,可能会出现多个硬件id,选中与设备管理器中的U盘描述名称相似的字符最长的硬件id,右键复制后临时保存,如下图所示。
图2-177 查看U盘硬件id
在添加外设白名单界面,名称输入设备友好名称如“Kingston DataTraveler 3.0 USB Device”、类别选择“磁盘驱动器”、标识输入硬件id如“USBSTOR\DiskKingstonDataTraveler_3.0____”,如下图所示。
图2-178 添加U盘外设白名单
点击<确定 >按钮,点击<保存提交>按钮保存策略,U盘白名单设置完成。
添加移动硬盘白名单。
设备管理器打开移动硬盘属性,在详细信息页面,查看设备显示名称,复制设备显示名称并临时保存,如下图所示。
图2-179 查看设备显示名称
查看设备id ,可能会出现多个硬件id,选中与设备管理器中的移动硬盘描述名称相似的字符串最长的硬件id,右键复制后临时保存,如下图所示。
图2-180 查看移动硬盘硬件id
在添加外设白名单界面,名称输入设备显示名称如“JMicron Generic USB Device”、类别选择“磁盘驱动器”、标识输入硬件id如“USBSTOR\DiskJMicron_Generic_________2022”,如下图所示。
图2-181 添加移动硬盘外设白名单
点击<确定 >按钮,点击<保存提交>按钮保存策略,移动硬盘白名单设置完成。
设备属性优先使用友好名称,当部分设备在系统中没有友好名称时使用显示名称,在添加外设和端口白名单编辑框界面,名称输入编辑框输入查看到的设备友好名称、显示名称或设备描述。
保证选择的类型与该设备在设备管理器中挂载节点名称保持一致。
当将一个设备同时加入白名单和黑名单时,白名单有效。
Linux系统添加设备白名单步骤:
在Linux终端查看U盘或光驱设备信息,命令:lsblk -O
图2-182 Linux系统查看U盘或光驱外设信息
能够查看到U盘的厂商(VENDOR)、序列号SN(SERIAL)、MODEL信息,添加U盘白名单时需要用到厂商(VENDOR)、序列号SN(SERIAL)字段信息、添加光驱白名单时需要用到厂商(VENDOR)、MODEL信息。
在Linux外设白名单配置页面,点击<添加>按钮后在弹出的页面添加外设白名单,名称字段可由管理员自定义输入,厂商字段输入上图查看的VENDOR字段值,当外设是U盘时标识字段输入SERIAL值、当外设是光驱时输入MODEL值,如下图所示。
图2-183 配置U盘或光驱白名单
Windows平台上添加外设白名单时名称字段必须是查看到的设备友好名称或显示名称,不允许管理员自定义输入;Linux平台上添加外设白名单时名称字段允许管理员自定义输入。
(3) 外设和端口黑名单
外设和端口黑名单配置与白名单配置类似,添加到黑名单的设备不能在终端上正常使用。
对企业或单位内部网络的终端违规接入互联网或其它非法网络的行为进行违规外联告警,并对发现的网络违规外联终端采取安全处置策略。
违规外联检测的类型包括:
· Wi-FI热点外联检测
· 互联网违规外联检测
· 专网违规外联检测
(1) Wi-Fi热点外联检测
应用场景:不允许网络内的终端私自连接Wi-Fi热点上网。
选择“策略中心>桌面管控>Windows>违规外联”,开启<Wi-Fi热点外联检测>开关。
图2-184 Wi-Fi热点外联检测配置
在“Wi-Fi热点外联”配置界面,对Wi-Fi外联终端可配置执行“异常通信链路告警”、“切断网络”、“锁定屏幕”安全策略;若不采取任何安全策略,当发生Wi-Fi热点外联时会被记录下来但不会显示在首页告警信息中,可以通过选择“数据检索>Wi-Fi连接”来查询。
在“Wi-Fi热点外联”配置界面,点击<合法热点列表>添加Wi-Fi热点,连接合法热点列表中的热点网络时不会产生告警、断网或锁屏策略,但终端发生违规外联时也会被记录下来,可以通过选择“数据检索>Wi-Fi连接”来查询。
(2) 互联网违规外联检测
应用场景:企业或单位不允许网络内的终端私自接入互联网。
选择“策略中心>桌面管控>Windows>违规外联”,打开互联网违规外联检测开关,默认配置为“白名单工作模式”。
图2-185 互联网违规外联检测配置
· 白名单工作模式:在开启了网络采集策略的情况下,每5分钟检测一次违规外联事件,当本地网络连接源地址或目的地址出现白名单外的IP地址时开启取证探测,一旦成功访问互联网会产生违规外联告警。在没有开启网络采集策略时,每1分钟自动检测一次违规外联事件,此时无论本地网络连接的IP是否在白名单(或白名单配置为空),只要终端成功访问互联网,都会产生违规外联告警。
· 黑名单工作模式:在开启了网络采集策略情况下,当本地网络连接中出现黑名单内的IP地址时开启取证探测,一旦成功访问互联网会产生违规外联告警;在没有开启网络采集策略时,终端每1分钟检测与互联网之间的网络通信、只要终端成功访问互联网就会产生违规外联告警。
· 取证服务器:部署在互联网,终端发生互联网违规外联时的取证,取证信息以内网终端和互联网之间的跨网流量为证明依据,可用于抗抵赖和保障零误报,系统管理员可以在“互联网违规外联”配置页面自定义取证服务器地址。
· 发现互联网违规外联:对互联网违规外联的终端采取的安全策略,包括产生告警、断网或锁屏。
请勿将取证服务器IP地址加入白名单列表。
(3) 专网违规外联检测
应用场景:单位或企业内部拥有多个业务不同、互相隔离的网络,不同业务域网络的终端不允许跨网访问。
选择“策略中心>桌面管控>Windows>违规外联”,打开专网违规外联检测开关,开启外联检测功能
图2-186 专网违规外联检测配置
专网违规外联检测配置必须配置取证服务器。
自定义取证服务器时,确保取证服务器使用的TCP协议443端口可以正常访问。
拦截Windows系统上软件的广告弹窗,缺省状态时客户端未启用该功能。
图2-187 配置弹窗拦截
检测Windows系统上使用下载器下载软件、捆绑安装软件的行为。
图2-188 软件拦截
可对在线终端进行实时或定期的安全评分,安全评分执行间隔建议30分钟或以上,安全评分项配置如下图所示。
图2-189 环境感知配置
图2-190 环境感知配置
病毒扫描、漏洞扫描、弱口令和基线核查结果产生实时安全评分,其它安全评分项由系统定期核查。
要求客户端程序版本必须是大于1.22.12.1,为保证安全运维功能正常使用,请及时升级客户端版本。
管理员远程执行终端病毒扫描、安全基线核查、漏洞扫描、未知终端发现,下发安全通告信息和执行文件分发功能,便于系统管理员安全执勤任务和运维工作。
选择“安全运维>病毒查杀”,点击<创建任务>按钮,弹出创建病毒查杀任务界面,输入任务名称,任务类型选择“全盘查杀”或“快速查杀”,扫描方式可以选择“极速”、“高速”、“节能”;发现病毒处理方式可以选择“不处理”或“隔离病毒文件”,扫描终端范围选择可以按照组织单位进行病毒查杀、选择在线终端、IP筛选终端进行病毒查杀,在线病毒查杀任务配置如下图所示。
图2-191 安全运维-病毒查杀任务配置
查看病毒查杀任务状态,停止或取消任务后,终端停止杀毒,任务完成后可导出任务查杀报表。
图2-192 查看病毒查杀任务状态
在病毒查杀任务列表,点击<详情>菜单查看终端病毒查杀结果,显示查杀文件数、病毒数,点击病毒清单后显示本次扫描任务发现的病毒文件。
图2-193 查看病毒查杀任务详情
选择某台终端查看病毒清单,查看该终端上病毒感染详情和是否处置信息,如下图所示。
图2-194 查看终端的病毒清单详情
当创建病毒扫描任务时选择“不处理”,需要在<威胁检测>页面处置扫描出的病毒。
对任务状态显示“完成”病毒查杀任务,可以导出报表。
点击<导出>按钮,页面提示管理员下载《终端安全管理系统查杀报告》,点<下载>按钮可下载报告。
图2-195 导出报表
系统管理员可以使用预定义的安全基线模板,对在线终端的安全配置项进行基线核查,系统支持管理员对预定义基线模板做出适当的自定义调整。
(1) Windows核查模板
Windows基线核查模板检查项。
表2-10 Windows基线核查说明
|
编号 |
基线核查项名称 |
基线核查项内容说明 |
|
1 |
密码策略 |
核查密码复杂性、密码长度最小值、密码最长使用期限配置和弱口令。 |
|
2 |
账户锁定策略 |
核查账户锁定配置、账户锁定时间配置。 |
|
3 |
账号检查 |
核查是否开启Guest账户使用、是否开启开机系统自动登录配置,核查系统终中是否存在隐藏的克隆账户。 |
|
4 |
默认共享检查 |
核查是否开启了系统默认的共享路径。 |
|
5 |
安全审计策略 |
核查系统安全审核策略的配置,包括策略更改审计配置、登录事件审计配置、对象访问审计配置、系统事件审计配置、账户管理审计配置等共9项安全审计策略配置。 |
|
6 |
Windows开启防火墙 |
核查Windows防火墙的是否开启。 |
|
7 |
Windows自动更新 |
核查Windows自动更新开关。 |
|
8 |
非必须服务 |
核查Remote Registry服务、Windows Remote Management服务、Telnet服务、Print Spooler服务、Server服务、Remote Desktop Services服务、WLAN AutoConfig服务、Task Scheduler服务是否关闭。 |
|
9 |
非必须端口 |
核查135端口、139端口、445端口、3389端口、5355端口是否关闭。 |
|
10 |
防暴力破解 |
核查网络访问不允许SAM账户和共享的匿名枚举配置。 |
|
11 |
网络入侵防范 |
核查源路由欺骗保护配置、碎片攻击保护配置、防SYN洪水攻击配置。 |
|
12 |
屏保密码保护 |
核查终端本地屏保时间、屏保密码配置。 |
|
13 |
自动播放 |
核查Windows系统自动播放配置。 |
|
14 |
防病毒软件 |
核查防病毒软件安装情况。 |
(2) Linux基线模板
Linux基线核查模板检查项。
表2-11 Linux基线核查说明
|
编号 |
基线核查项名称 |
基线核查项内容说明 |
|
1 |
密码策略 |
核查密码复杂性、密码长度最小值、密码最长使用期限配置和弱口令。 |
|
2 |
账户锁定策略 |
核查账户锁定配置、账户锁定时间配置。 |
|
3 |
账号检查 |
核查禁用非root超级账户配置、核查禁用非wheel组账户切换root权限配置。 |
|
4 |
开启防火墙 |
核查防火墙是否开启且随机启动配置。 |
|
5 |
非必须服务 |
核查inet服务、telnet服务、ftp服务、portmap/rpcbind服务、rlogin服务、smbd服务、lpd服务是否关闭且不随机启动配置 |
|
6 |
SSH安全监测 |
核查SSH协议版本、SSH登录配置。 |
|
7 |
防病毒软件 |
核查防病毒软件安装情况。 |
自动修复不合格项会导致终端共享、打印、远程桌面等功能无法使用,请谨慎开启自动修复。
选择“安全运维>基线核查”,进入基线核查页面,对终端勾选,点击<创建任务>按钮,在弹出的页面勾选终端,点击<确定>按钮,如下图所示。
图2-196 选定终端基线核查
支持创建基线模板定时任务,创建每天、每周、每月,固定时长间隔的基线核查定时任务。
图2-197 配置基线核查定时扫描
基线核查任务页面显示任务状态,点击详情查看终端基线扫描结果,如下图所示。
图2-198 终端执行基线核查结果
选择1台基线核查完成的终端,点击<详情>按钮弹出基线核查结果界面,如下图所示。
图2-199 查看基线核查结果
对在线的Windows操作系统终端进行系统安全漏扫扫描。
策略中心-漏洞扫描策略中配置WSUS方式时,需要部署WSUS补丁服务器。
本地扫描时,需要上传补丁文件到控制中心或第三方服务器。
选择“安全运维>漏洞扫描”,点击<创建任务>按钮,在弹出的页面上选择终端或分组,如下图所示,如下图所示。
图2-200 创建漏洞扫描任务
支持扫描模式(不修复),扫描并修复模式,漏洞扫描功能支持创建定时任务。
漏洞扫描完成后,页面显示出终端漏洞扫描的结果,如下图所示。
图2-201 漏洞扫描结果
使用Nmap协议和Arp协议探测网络中活跃的未知IP,扫描出未安装客户端软件的资产。
在“安全运维>终端发现”界面,点击“创建任务”,选择默认的自动选择终端执行,如下图。
图2-202 创建终端发现任务
终端发现功能支持创建定时任务。
终端发现任务页面,<终端总览>菜单下查看被探测终端的IP地址、MAC地址等资产信息,发现者IP及发现者所属分组,如下图所示。
图2-203 终端发现结果
若被探测终端上开启了防火墙规则,可能导致无法识别终端的操作系统类型信息。
探测过程采取了防网络流量激增的措施,不会对网络负载有影响。
终端总览页面点击<导出>按钮,将终端发现结果导出记录,点击<下载>按钮下载《终端发现报表》,如下图所示。
图2-204 导出终端发现报表
当正在执行终端发现扫描任务时,不能执行报表导出操作。
对终端下发安全通告,可设置安全通告的时间有效性和对指定终端下发安全通告。
在线终端即时接收安全通告,离线终端在安全通告有效时间内上线后自动获取安全通告。
在安全运维页面,点击安全通告>添加通告,弹出下发安全通告对话框,如下图所示。
图2-205 编辑安全通告
点击下一步,选择终端或单位下发安全通告,如下图所示。
图2-206 选择终端下发安全通告
客户端接收并显示安全通告,如下图所示。
图2-207 客户端显示安全通告
1.使用文件分发功能,需策略中心-基本策略开启<客户端显示文件分发配置选项>,并在客户端授权接收平台文件,否则功能无法使用。
2.包含本产品研制厂商合法数字签名的PE可执行文件,其文件推送不受客户端文件分发状态的限制。
图2-208 创建文件分发任务
威胁检测显示了待处置威胁和已处置威胁信息。待处置威胁包括:病毒威胁检测、安全事件威胁检测、弱口令,支持系统管理员采取对被攻击的或受到威胁的终端下发通告和执行网络隔离;已处置威胁包括:病毒威胁(忽略或已处置的勒索病毒、挖矿木马、webshell)、漏洞修复(已修复系统漏洞)、行为检测(勒索病毒行为、勒索病毒诱捕、挖矿木马行为、内存攻击防御)。
(1) 病毒威胁
展示了终端上全部病毒、勒索病毒、Webshell病毒和挖矿病毒的终端,如下图所示。
图2-209 病毒威胁
点击<处置威胁>按钮,弹出对话框显示病毒详情和处置手段,可执行清除、信任和忽略操作,如下图所示。
图2-210 病毒处置
病毒威胁检测显示的病毒数据是管理员通过控制中心的安全巡检页面下发病毒扫描的结果或客户端执行全盘扫描的结果,客户端执行快速扫描时不会将扫描的结果更新到病毒威胁检测页面。
(2) 安全事件
展示了主机异常通信链路(连接Wi-Fi、非法外联)和主机资源使用异常的终端,可对终端执行网路隔离或下发安全通告,如下图所示。
图2-211 安全事件
(3) 账户弱口令
展示了终端上存在的弱口令账户和分类,包括管理员弱口令、空口令、普通账户弱口令空口令,如下图所示。
图2-212 账户弱口令
(1) 病毒威胁
已处置的病毒威胁数据,展示终端名称、IP地址、处置病毒的操作类型、病毒文件类型、病毒标签、病毒文件名称、病毒路径和病毒哈希等,如下图。
图2-213 病毒威胁
(2) 漏洞修复
显示了Windows系统漏洞的修复记录,包括终端IP地址、漏洞名称、漏洞编号、漏洞发布日期和漏洞链接等信息,如下图。
图2-214 漏洞修复
(3) 行为检测
显示勒索诱捕、挖矿木马、命令攻击内存防御等已处置事件和攻击步骤序列图,如下图所示。
图2-215 处置挖矿木马
点击攻击步骤序列图,展示攻击进程父子关系、命令行参数等信息,如下图。
图2-216 攻击步骤序列图
图2-217 挖矿木马进程详情
数据检索接口是终端安全事件数据信息仓库,可进行日志检索、威胁检索。
产品为ESM-AV授权时,无信息采集产生的日志、无入侵防御产生的日志。
内容包括资源占用异常、WiFi连接、代理部署、违规外联、病毒查杀、漏洞修复、升级日志和行为检测日志,给管理员提供了按照事件类型分类查询的接口,可按照事件时间、终端IP、事件类型组合查询。
图2-218 日志检索
数据检索过滤条件支持详细筛选,如选择行为检测事件类型,点击行为类型过滤,如下图所示。
图2-219 详细过滤筛选
检索终端运行特定文件、终端访问特定IP、RUL、DNS的高危事件。
类型选择“哈希”,检索内容可输入文件的md5、sha1、sha256哈希值进行进程文件检索。
威胁检索页面,如下图所示。
图2-220 威胁检索
启用账号三权分立功前,须先导出授权信息备份,并在授权导入页面将授权文件删除,使用三权分立的系统管理员账号(system)重新导入授权,否则开启三权分立功能后系统管理员账号(system)视角无法查看admin在平台上已经导入的授权信息。
产品续期导入授权、追加授权类型。
使用手机APP扫一扫图片二维码,或点击“License使用指南”链接获取授权文件使用指南,获取授权文件后,点击<导入授权>,选择授权文件导入。
图2-221 授权导入配置
系统支持导入多个授权文件,导入授权文件后,须在授权绑定页面将授权文件与分组绑定,该分组内的终端自动获取授权。若授权文件未与任何分组绑定,管理页面会显示终端未授权。
一般情况下将授权文件绑定到根分组即可。
当距离系统授权到期时间还有1个月时,会弹出授权提醒,如下图所示。
图2-222 授权提醒
将导入的授权文件按照操作系统种类、数量拆分成若干子授权,已拆分的子授权可灵活的和终端分组绑定,实现分组具有独立的授权,分组授权使用完毕后会使用根分组的授权。
图2-223 授权拆分配置
待拆分的授权必须是未绑定分组的授权,或者在授权绑定页面先解绑后才可以进行授权拆分操作。
进行授权拆分后,可将拆分的授权分别绑定到不同的分组,使授权机制更高效灵活。
将导入的授权或拆分的授权与分组绑定,绑定后会更新该分组的授权的操作系统类型和数量。
图2-224 授权拆分配置
一个分组可绑定多个授权文件,当分组绑定多个授权文件或拆分授权时,点击<授权排序>按钮,上下拖动授权后点击<确定提交>按钮,该分组将优先使用排序靠前的授权文件。
图2-225 授权排序
配置控制中心升级、客户端升级、病毒库和漏洞规则库升级。
选择“系统管理>系统升级>控制中心升级”,点击<上传并升级>按钮,在弹出的页面选择控制中心升级包。
图2-226 控制中心升级
升级完成后,如果界面显示异常,请刷新浏览器缓存后再次登录Web管理页面。
控制中心升级只能将相邻的版本由低向高逐个版本升级,不能跨版本升级。
(1) 升级包类型
客户端升级程序如下表。
表2-12 客户端升级包
|
编号 |
升级包名称 |
说明 |
|
1 |
pack_h3c_edr_x86_windows_2.2309.5.0.zip |
32位Windows客户端升级包 |
|
2 |
pack_h3c_edr_x86_64_windows_2.2309.5.0.zip |
64位Windows客户端升级包 |
|
3 |
pack_h3c_edr_x86_64_linux_2.2309.4.0.zip |
64位X86平台Linux客户端升级包 |
|
4 |
pack_h3c_edr_arm64_linux_2.2309.4.0.zip |
64位Arm平台Linux客户端升级包 |
|
5 |
pack_h3c_edr_loongarch64_linux_2.2309.4.0.zip |
64位龙芯3A5000平台客户端升级包 |
|
6 |
pack_h3c_edr_mips64el_linux_2.2309.4.0.zip |
64位龙芯3A4000平台客户端升级包 |
|
7 |
pack_h3c_edr_sw_64_linux_2.2309.4.0.zip |
64位申威平台客户端升级包 |
(2) 上传升级包
选择“系统管理>系统升级>客户端升级”,点击<软件升级>按钮,打开软件升级页面,点击<上传并升级>按钮,选择客户端软件升级包,将升级包上传至控制中心。
图2-227 上传客户端升级包
(3) 配置升级范围
导入客户端软件升级包后,并在指定需要升级的终端地址段范围,只有落在该地址段内的终端才会升级。如下图所示。
图2-228 置客户端升级范围
配置了客户端升级范围后,在线的客户端会定期查询并自动升级客户端程序,为将升级负载均衡化,客户端升级周期为4小时查询一次。
选择“系统管理>系统升级>病毒库升级”,病毒库升级配置界面分为左右两部分,分别用于配置传统基因特征病毒库升级(简称“病毒库升级”)和人工智能模型、规则库、IP端情报库等升级(简称“人工智能模型”)升级,点击<上传并升级>按钮,分别选择对应的升级包导入控制中心,如下图所示。
图2-229 病毒库升级配置
病毒库升级配置完成后,在线的客户端会自动完成软件更新或病毒库更新。为将升级负载均衡化,客户端升级周期为4小时查询一次。
当<策略中心>配置互联网模式或内网WSUS模式时,不需要单独进行补丁库升级,WSUS补丁服务器更新WSUS补丁时会自动更新WSUS补丁库。
当<策略中心>配置本地漏洞扫描时,需要更新补丁库和补丁文件。
(1) 漏洞特征库升级
点击并上传漏洞特征库文件,如下图所示。
图2-230 病毒库升级配置
(2) 补丁文件上传
漏洞修复有几种模式:
1. 当使用本地漏洞扫描时,建议将补丁放在第三方服务器(提供HTTP或HTTPS文件下载服务),建议将补丁放在可下载文件的服务器上。
2. 当使用本地漏洞扫描,且将补丁文件放置在控制中心服务器,需要控制中心根目录“/”额外增加1T大小的硬盘,对磁盘消耗较大。
3. 当WSUS补丁服务器时,更新WSUS补丁服务器会自动更新补丁特征库和补丁文件,不需要单独上传补丁,WSUS补丁服务器部署步骤请参看开局指导书附录。
4. 当使用互联网模式时,不需要更新补丁库和上传补丁文件,前提是客户端能访问互联网。
本地扫描方式下,获取补丁下载链接。
对终端下发本地扫描策略,扫描完成后查看终端上存在的漏洞信息,显示补丁文件下载地址。
在安全运维菜单创建漏洞扫描任务,查看补丁下载链接,如下图所示。
图2-231 查看补丁下载链接
也可通过点击终端详情后,在漏洞信息查看补丁下载链接。
访问补丁下载链接下载补丁文件。
创建补丁文件目录结构,共三级结构:
一级目录:patch
二级目录:windows
三级目录:2023-04-10,可创建多个三级目录,日期格式要求用横线分割。
将下载的补丁文件在三级目录下,目录结构如下图。
图2-232 补丁文件目录
将补丁目录整体上传到运控中心服务器,如下图。
图2-233 上传补丁目录
执行导入补丁命令:
/kvedr_storage/bin/impatch.sh /root/patch/
图2-234 执行导入补丁命令
页面显示已导入的补丁列表,如下图所示。
图2-235 WEB查看上传的补丁
创建不同功能权限的角色,并通过角色和账户绑定关系设置账户权限。
选择“系统管理>角色管理”,点击<添加>按钮,输入角色名称并选择对该角色分配的权限模块功能模块,如下图所示。
图2-236 添加角色
· 默认账户:admin
· 默认密码:admin
登录admin账户创建其他管理员账户。
选择“系统管理>账户管理”,点击<添加>按钮,输入姓名、账号(Web登录使用)、密码后点击<确定>按钮,如下图所示。
图2-237 添加账户
授权账号的管理范围和管理权限,创建的账户必须经过授权后才能对终端管理。
选择创建的账户,点击<授权>按钮,如下图所示。
图2-238 账户授权
在弹出的账户授权界面,选择“分组”,选择分组树给账户分配管理范围,如下图所示。
图2-239 添加账户
在弹出的账户授权界面,选择“角色”,选择角色给账户的分配管理权限,如下图所示。
在完成账户授权后,可以使用新创建的账户Web登录控制中心。
配置尝试登录账户超过阈值后对账户锁定策略,锁定期间内账户不能登录,配置超时未操作退出登录账户策略。
图2-240 设置WEB账户密码安全策略
只有admin账户能够设置密码安全策略,设置对全部账户生效。
启用账号三权分立功前,须先导出授权信息备份,并在授权导入页面将授权文件删除,使用三权分立的系统管理员账号(system)重新导入授权,否则开启三权分立功能后系统管理员账号(system)视角无法查看admin在平台上已经导入的授权信息。
三权分立功能将禁用admin账号登录管理平台页面,且不能从页面恢复使用admin账号登录。
开启三权分立功能后系统生成系统管理员(system)、安全管理员(safety)、安全审计员(audit)三种角色的管理员。
· system账号:默认密码system,主要权限是产品授权管理、角色管理、网络配置和数据备份配置。
· safety账号:默认密码safety,主要权限是终端概览查看、终端管理、策略中心、安全运维、威胁检测、数据检索、系统升级、外部接口、云查管理、告警设置等。
· audit账号:默认密码audit,主要权限是数据检索、系统报表、审计日志和数据清理配置。
控制中心提供对安全态势系统等其他设备的外部接口,通过外部接口调用实现syslog日志上报设置上报、远程运维设置、接口授权设置和环境感知上报设置。
选择“系统管理>外部接口>syslog服务器配置”,输入Syslog服务器的IP地址和端口,点击<应用>按钮,如下图所示。
图2-241 Syslog服务器配置
选择“系统管理>外部接口>syslog上报配置”,开启需要上报的日志类型,点击<应用>按钮,如下图所示。
图2-242 Syslog上报设置
允许调用服务器接口,对服务器重启或关机,缺省状态下重启和关机接口处于关闭状态,如下图。
图2-243 远程运维接口配置
选择“系统管理>外部接口>环境感知设置”,将上报状态设置为“开启”、填写上报的URL地址后点击<确定>按钮,如下图所示。
图2-244 安全评分上报配置
接口授权设置通过创建一个APIKey,提供接口调用使用。
选择“系统管理>外部接口>接口授权设置”,点击<添加授权>按钮,输入appname名称,如下图所示。
图2-245 添加授权
配置全网客户端升级带宽管理、文件分发带宽管理和心跳周期,设置客户端默认连接的控制中心IP地址和域名,配置使用的管理端口。
点击全局参数,升级带宽和心跳周期配置,如下图所示。
图2-246 升级带宽和心跳周期配置
在网带宽资源紧张有限时,可适当减少最大支持同时在线升级终端数、降低带宽占用、增加心跳时间;在网带宽资源充足时,可适当增加最大支持同时在线升级终端数、增加带宽占用、缩短心跳时间。
客户端默认连接的控制中心IP地址和域名配置,如下图所示。
图2-247 升级带宽和心跳周期配置
当选择默认自动获取时,下载的客户端地址为通过浏览器访问控制中心时输入的IP地址;当选择自定义后,可以配置客户端软在安装后自动连接的控制中心IP地址或域名地址。
终端安全管理系统上通过自定义配置的默认管理中心IP地址/域名只有在和安管一体机集成部署时配置终端安全IP地址或者终端安全管理系统(团队版)部署时配置域名;其他情况下一般不做配置。
点击端口参数设置,Web管理默认使用HTTPS协议7443端口,客户端下载默认使用HTTP协议80端口,支持管理员更改Web管理端口、客户端下载端口,如下图所示。
图2-248 端口配置
服务器升级时使用HTTPS协议8443端口,更改服务端口时请勿冲突。
自动清理控制中心的磁盘存储的安全事件数据和日志数据,以免磁盘空间耗尽;自动清理离线超过一定时间的终端信息,配置如下图所示。
图2-249 数据清理配置
因网络故障等原因可能导致终端离线,建议离线终端清理时间设置在30天以上。
导出控制中心生成的全网终端风险报告(支持导出HTML/PDF格式)、系统补丁报表和基线核查报表,如下图所示。
图2-250 导出报表
记录了导出报表记录,管理员查询报表点击<下载>按钮后下载报表到本地,如下图所示。
图2-251 导出记录
病毒扫描报表只记录本次病毒巡检任务对在线终端的扫描结果;基线核查记录对在线终端本次基线巡检任务和离线终端的最近一次基线巡检任务结果;终端风险报告时间配置只对终端发现有效,对病毒和弱口令等风险信息导出最新的风险数据。
系统支持公告发布,终端用户使用浏览器输入控制中心IP地址浏览已发布公告。
选择“系统管理>发布公告”,输入公告标题、内容后点击<保存提交>按钮,如下图所示。
图2-252 发布公告
管理员通过Web登录控制中心,对控制中心服务器的IP地址、默认网关地址、DNS地址、路由网关进行配置,如下图所示。
图2-253 网络配置
在网络配置页面,点击<配置>按钮,打开<配置列表>页面。
弹出网络配置列表页面,如下图所示。
图2-254 配置列表
在配置列表页面,点击<配置>菜单,对IPv4/IPv6网络的配置网卡参数。
设置开机后网卡自动连接和网卡工作模式,自动连接配置选中“开启”,工作模式选择“手动”,如下图所示。
图2-255 工作模式配置
服务器一般需要手动配置静态IP。
因为自动获取IP模式下服务器可能发生IP地址变化、导致客户端无法正常连接到控制中心。
请勿将所有网卡激活状态关闭,以免无法通过网络登录控制中心。
在网卡参数配置页面,设置服务器的IP、网关和DNS地址,如下图所示。
图2-256 配置IP地址
输入IP地址、掩码、网关(可填)、DNS服务器(可填),点击<确定>按钮,完成控制中心IP地址的修改。
当需要控制中心需要从互联网自动同步病毒库时,需要正确配置网关和DNS地址,确保控制中心宿主机能够访问互联网。
鼠标移至网掩码长度后的提示符
,可查看点分十进制的掩码配置和掩码长度的对应关系。
宿主机上修改网卡IP地址后,为使用新的IP地址需要对网卡先关闭再启动操作。
路由网关配置一般应用在服务器多网卡或多IP环境中,服务器只使用1个网卡和IP的情况下通常可以不用配置路由网关。
在<编辑网络配置>页面,在路由配置项点击<新增>按钮,输入目标网络地址、掩码长度和网关,如下图所示。
图2-257 配置路由网关
输入目标网络、掩码和网关地址后,点击<确定>按钮,完成控制中心路由网关配置。
默认路由(0.0.0.0的目标网络)的网关请勿在路由配置项添加,“默认网关”项填写默认网关即可。
当网卡配置文件与网卡绑定关系变更、网卡首次使用配置文件或其他原因未在web管理页面上显示出网卡信息时,需要检查网卡配置文件和网卡接口名称绑定关系,步骤如下。
列出网卡设备使用的网卡配置文件,命令:
nmcli c show
查看网卡配置文件(例如net2)和网卡设备ens37的接口名称是否绑定,命令:
nmcli c show net2
如果“connection.interface-name”值为空,如下图。
需执行将net2和网卡设备ens37的接口名称绑定,命令:
nmcli c modify net2 connection.interface-name ens37
1. 记录了管理员的登录、发布公告、策略制定操作行为日志信息和平台组件启停日志信息。
图2-258 操作日志
图2-259 系统日志
系统管理员在控制中心Web界面软件管理添加最常用软件,用户可非常方便的使用浏览器打开控制中心地址下载所需的软件。添加软件配置如下图所示。
图2-260 添加软件
启用云查情报库、用户添加自定义情报库黑名单或白名单,对本级运控中心下的所有终端生效,级联配置的服务器需要在每级节点上单独配置云查策略。
云安全计划,默认处于关闭状态,当加入“云安全计划”后,系统自动把可疑文件上传到云安全中心进行分析,该功能需要连通互联网。
云查杀,配置系统启用云查杀功能。
云查杀文件类型设置,配置云查杀时扫描的文件类型。
云查杀策略配置如下图所示。
图2-261 配置云查杀策略
管理员根据需要在增加平台黑样本情报或白样本情报,使用该功能需要先在云查杀策略页面将<启用自定义情报库>功能启用。
以管理员自定义添加黑样本哈希情报和白样本文件签名情报举例配置。
(1) 添加文件哈希情报库
点击文件哈希情报库>黑名单,点击<添加情报库>,在弹出界面输入黑名单库名称,如下图。
图2-262 添加黑名单文件哈希情报库
选中创建的黑名单库名称,点击<添加哈希>,在弹出的页面输入黑名单文件哈希sha256,如下图。
图2-263 添加黑名单样本sha256
同样的方法,可以添白名单文件哈希情报库。
(2) 添加签名证书情报库
点击签名证书情报库>白名单,点击<添加签名证书>,在弹出的界面输入文件厂商数字签名信息,如下图。
图2-264 添加白名单签名证书情报库
同样的方法,可以添加黑名单签名证书情报库。
(1) 提交样本文件
在客户端下载页面,点击<上传>样本,选择上报类型、上报文件、联系人信息后点击<提交>按钮,如下图。
图2-265 用户提交样本文件
(2) 查看样本文件
管理登录页面,进入系统管理>云查管理>上传样本页面,查看用户提交的误报文件和可疑文件,如下图。
图2-266 查看样本文件
可下载用户提交的样本文件并提交安全厂家进行分析。
用户自定义客户端显示的名称和图标、自定义控制中心WEB页面显示的名称和图标,如下图所示。
图2-267 自定义客户端界面
图2-268 自定义控制中心WEB界面
查看终端用户反馈的问题。
客户端提交问题反馈,如下图所示
图2-269 客户端反馈问题
图2-270 查看问题反馈
数据备份功能,只能用于相同版本的控制中心服务器备份恢复。
备份恢复系统的终端、策略、账户等关键配置信息。
点击<开始导出>后导出备份文件,如下图所示。
图2-271 数据备份
选择备份文件,点击<开始导入>按钮,当进度100%时完成恢复。
图2-272 数据恢复
更新客户端程序安装包、显示和隐藏客户端程序安装包,遇到客户端程序故障需要更新安装包时进行更新替换,如下图所示。
图2-273 更新客户端、显示/隐藏配置
当控制中心从6902P07升级到6902P08版本时,客户端下载页面显示的客户端版本未更新,可以在此页面更新客户端下载页面的程序版本到最新。
将6902P08版本控制中心安装包里面的客户端程序解压后,在客户端管理页面更新即可。
客户端解压目录如下图所示。
图2-274 客户端解压目录
通过邮件、企业微信、钉钉和手机短信的方式接收平台外发的告警信息,如平台授权到期、授权不足、磁盘剩余空间不足告警以及勒索、挖矿病毒告警。
点击系统管理>告警设置>告警通知,对告警通知方式设置。
(1) 邮箱告警
支持网易邮箱、新浪邮箱、QQ邮箱等主流邮箱告警配置。
第一步:在邮箱启用发送邮件服务
下面以网易邮箱告警配置步骤为例,其他邮箱配置方法类似。
点击邮箱设置,进入POP3/SMTP/IMAP设置页面,如下图所示。
图2-275 进入邮箱设置菜单
邮箱配置界面如下图所示
图2-276 邮箱设置界面
在开启服务内容配置项,将POP3/SMTP服务开启,开启过程页面会弹出二维码,用手机扫一扫并发送验证码,点击已发送后页面弹出授权密码,如下图所示。
图2-277 生成授权密码
复制授权密码保存,后面的配置步骤需要在平台上填写该授权密码。
邮箱设置启用POP3/SMTP服务后,服务开启状态和服务器地址如下图所示。
图2-278 已开启POP3/SMTP服务
后面的配置步骤需要在平台填写SMTP服务器地址。
第二步:在平台填写发送件邮箱信息和接收邮箱地址
打开管理平台邮箱告警设置页,填写上面步骤保存的发送者授权密码,发送者邮箱地址(开启POP3/STMP服务的邮箱),SMTP服务器地址,支持使用默认的非加密的25端口或SSL加密的465端口通信,填写接收告警信息的邮件地址,发送邮箱地址可以使用和发送邮箱相同的地址相同或者其他邮箱,配置完成如下图所示。
图2-279 开启邮箱告警配置
平台开启病毒事件告警,当客户端发现未处置的病毒时,邮箱接收到的病毒告警信息如下图所示。
图2-280 邮箱接收病毒告警
(2) 企业微信群消息告警
第一步:创建企业微信群机器人
在企业微信群(2个以上成员),在群聊天窗口右上角点击
找到添加群机器人按钮,如下图所示。
图2-281 添加微信群机器人按钮
在弹出的界面,点击添加机器人,如下图所示。
图2-282 添加机器人
在弹出的界面,点击新创建一个机器人,如下图所示。
图2-283 新创建一个机器人
输入机器人名称,点击添加机器人,如下图所示。
图2-284 新创建一个机器人
提示添加机器人成功,复制webhook地址中的key字段值,在平台设置企业微信告警配置中需要填写key值,如下图所示。
图2-285 复制key地址
第二步:平台配置企业微信告警
企业微信告警配置页面,点击添加,企业微信群机器人网络钩子输入key值,如下图所示。
图2-286 配置企业微信告警
企业微信群机器人网络钩子填写key的值,不是整个Webhook地址。
平台开启病毒事件告警,当客户端发现未处置的病毒时,企业微信群接收到的病毒告警信息如下图所示。
图2-287 企业微信收到病毒告警
(3) 钉钉群消息告警
第一步:添加群机器人
在钉钉群点击设置菜单,如下图所示。
图2-288 点击群设置
在群设置界面,点击机器人,如下图所示。
图2-289 点击机器人
点击添加机器人,如下图所示。
图2-290 点击机器人
在弹出的界面,点击添加机器人,如下图所示
图2-291 点击添加机器人
选择自定义,如下图所示。
图2-292 点击添加机器人
在弹出的页面,安全设置<加签>勾选,复制Webhook地址和加签数值保存,如下图所示。
图2-293 安全设置加签
第二步:平台配置钉钉告警
平台钉钉告警配置页面,令牌输入Webhook地址中的token值,加签输入钉钉机器人加签字符串,如下图所示。
图2-294 添加钉钉告警配置
令牌填写token数值,不是整个Webhook地址。
平台开启病毒事件告警,当客户端发现未处置的病毒时,钉钉群接收到的病毒告警信息如下图所示。
图2-295 钉钉收到病毒告警
(4) 手机短信告警
支持通过阿里云短信平台向安全管理员手机推送病毒告警短信。
第一步:在阿里云短信服务平台进行资产认证、签名和创建模板
在阿里云短信服务平台国内消息页面,资产管理菜单新增资质,并等待阿里云通过。
图2-296 新增资质
添加签名,例如填写公司名称,并等待阿里云通过审核。
图2-297 添加签名
终端安全管理系统短信告警配置页面需要输入签名,请保留签名信息。
添加模板,模板类型选择通知短信,关联上面步骤的签名、输入模板名称、模板内容。
模板内容变量格式使用${value},模板内容示例:${value} 终端安全管理系统
图2-298 添加模板
已通过审批的短信模板,如下图所示。
图2-299 添加模板
终端安全管理系统短信告警配置页面需要输入短信模板CODE,请保留模板CODE。
模板CODE示例:SMS_288300768
生成密钥标识和密钥内容,鼠标移动到阿里云账号登录页面右上角点击AccessKey管理,创建AccessKey ID和AccessKey Secret,如下图所示。
图2-300 点击AccessKey管理
完成AccessKey创后,请保存AccessKey ID和AccessKey Secret,如下图所示。
图2-301 创建AccessKey
终端安全管理平台短信告警配置页面需要输入AccessKey ID和AccessKey Secret。
第二步:在终端安全管理平台配置短信告警参数
在终端安全管理系统短信告警配置页面,输入密钥标识AccessKey ID对应的字符串值、输入密钥内容AccessKey Secret对应的字符串值、输入短信签名、短信模板,配置页面如下图所示。
图2-302 创建AccessKey
平台开启病毒事件告警,当客户端发现未处置的病毒时,手机短信收到的病毒告警信息如下图所示。
图2-303 手机接收病毒告警短信示例
配置平台磁盘不足外发告警阈值、授权不足外发告警触发阈值,发现病毒外发告警触发阈值,选择告警方式,如下图所示。
图2-304 告警事件配置
病毒告警事件只对发现但未处理的病毒外发告警。
在宿主机上安装控制中心服务时默认独占宿主机物理内存,支持修改控制中心服务对物理内存使用或者物理内存增大后扩大控制中心对物理内存使用。
进入目录,命令:cd /kvedr_storage/bin/
图2-305 进入目录
查看目录文件,命令:ls –l
图2-306 进入目录
物理内存更改的脚本文件,命令:./chmem.sh
图2-307 进入目录
脚本文件提示输入物理内存大小,输入合理的内存大小,如下图。
图2-308 进入目录
输入完成后控制中心服务自动重启。
用户部署环境中,控制中心服务占用的物理内存应不低于16G;
初次部署时,控制中心独占宿主机物理内存。
1.建议使用1920*1080或以上分辨率的显示器显示Web页面。
2.建议使用chrome或firefox浏览器登录Web管理。
终端安全管理系统(团队版)部署完成后,打开Web浏览器,使用HTTPS协议在地址栏输入控制中心地址和端口,输入格式:https://ServerIP:7443,请将ServerIP替换为控制中心实际IP地址,例如浏览器地址栏输入https://192.168.10.10:7443/,打开账号登录页面。
控制中心在出厂时内置有默认的系统管理员登录账户信息。
默认的Web登录账户信息包括:
· 用户名:“admin”
· 密码:“admin”
输入系统内置的系统管理员登录账户信息,点击<登录>按钮。
图3-1 登录系统管理员
首次登录admin账户,提示修改默认密码。
图3-2 修改登录密码
登录admin账户后,Web页面如下图所示。
图3-3 系统管理员视图
首次登录时,系统会要求用户立即修改缺省登录密码,请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
概览信息展示:租户总数、活跃租户数、授权使用情况、软件版本信息、平台版本和客户端升级包级病毒库版本、客户端操作系统类型和数量信息、授权即将不足租户、授权已经不足租户和控制中心的运行状态(CPU/内存/磁盘),如下图所示。
图3-4 概览
系统管理员将授权文件上传到授权池,通过授权绑定功能将授权池中的授权按照终端操作系统类型和数量分配给团队租户使用。
获取授权文件请联系新华三技术有限公司销售渠道。
请注明需要的产品部署方式团队版或标准网络版、产品授权类型(ESM或ESM-AM)、授权期限、终端授权数量:Windows桌面版数量、Windows Server版数量、Linux版授权数量。
获取授权文件后,使用admin账户登录系统管理页面,选择<授权池>,点击<导入授权>按钮,如下图所示。
图3-5 点击<导入授权>按钮
在弹出的页面,选择授权文件,点击<确定>按钮,如下图所示。
图3-6 导入授权文件
成功导入授权文件后,如下图所示。
图3-7 成功导入授权文件
在系统管理员页面,点击<授权绑定>按钮,显示授权绑定页面;在授权绑定页面右侧视图区域,点击选择公司,如下图所示。
图3-8 选择公司
在授权绑定页面选择公司后,操作类型选择“绑定授权”,选择占用授权时长、授权类型和各类型授权剩余数后,点击<搜索>按钮,搜索出可用的授权文件,选择可用的授权文件后点击<绑定>按钮,如下图所示。
图3-9 绑定授权
在弹出的授权拆分页面,输入分配给租户的终端授权数,如下图所示。
图3-10 分配授权
对团队或公司绑定授权后,团队管理员登录时可对本团队终端进行策略下发和安全管理。
终端安全管理系统(团队版)授权池中的授权只能按照授权类型和数量拆分给租户使使用,不能按照时间段再次拆分,一个授权一旦拆分给租户使用时将启用整个授权文件。
在授权绑定页面选择公司后,操作类型选择“查询授权”,点击<搜索>按钮,搜索出团队/公司使用的授权,点击<撤销>按钮,如下图所示。
图3-11 撤销授权
被撤销授权自动回收到授权池中,可以继续给其他租户使用。
在系统管理员页面,点击<授权查询>按钮,显示授权查询视图页面,授权查询页面显示空闲授权查询和租户授权查询。
在空闲授权查询页面,选择“产品类型”、“授权时长”、“授权启用时间-授权到期时间”和授权剩余数选项,点击<搜索>按钮,如下图所示。
图3-12 空闲授权查询
在租户授权查询页面,显示租户使用授权,如下图所示。
图3-13 租户授权查询
点击<详情>按钮,显示授权使用详情信息,如下图所示。
图3-14 租户授权使用详情
显示租户注册时间、租户公司名称、租户公司地址、注册手机号、注册天数、租户授权状态、是否活跃租户等信息,如下图所示。
日志信息记录了团队企业注册日志、管理员添加日志、授权导日志。
图3-15 企业注册日志
管理员添加日志记录了团队管理员的添加日志信息。
图3-16 管理员添加日志
授权日志记录了授权文件的导入、绑定和撤销日志。
图3-17 授权日志
通过角色管理功能对角色分配不同权限的功能模块,并可通过角色和账户绑定关系设置账户权限。
点击<添加>按钮,输入角色名称、勾选角色权限,点击<确定>按钮,完成添加角色,如下图所示。
图3-18 添加角色
添加系统管理员账户,通过将账户和角色绑定,对账户进行权限设置。
在账号管理页面,点击<添加>按钮,弹出添加账户页面,输入姓名、账号和密码,点击<确定>按钮,如下图所示。
图3-19 添加账户
在添加的一条账户信息右侧,点击<授权>按钮,如下图所示。
图3-20 点击<授权>
在弹出的角色选择页面,选择已创建的角色,点击<确定>,如下图所示。
图3-21 选择<角色>
配置控制中心升级、客户端升级、病毒库升级和漏洞规则库升级。
在系统升级页面选择控制中心升级,点击<上传并升级>按钮后选择控制中心升级包,如下图所示。
图3-22 升级控制中心
客户端升级包有32位Windows版客户端升级包、64位Windows版客户端升级包、64位x86平台Linux客户端升级包、64位ARM平台Linux客户端升级包。
|
编号 |
升级包名称 |
说明 |
|
1 |
pack_h3c_edr_x86_windows_2.2309.5.0.zip |
32位Windows客户端升级包 |
|
2 |
pack_h3c_edr_x86_64_windows_2.2309.5.0.zip |
64位Windows客户端升级包 |
|
3 |
pack_h3c_edr_x86_64_linux_2.2309.4.0.zip |
64位X86平台Linux客户端升级包 |
|
4 |
pack_h3c_edr_arm64_linux_2.2309.4.0.zip |
64位Arm平台Linux客户端升级包 |
|
5 |
pack_h3c_edr_loongarch64_linux_2.2309.4.0.zip |
64位龙芯3A5000平台客户端升级包 |
|
6 |
pack_h3c_edr_mips64el_linux_2.2309.4.0.zip |
64位龙芯3A4000平台客户端升级包 |
|
7 |
pack_h3c_edr_sw_64_linux_2.2309.4.0.zip |
64位申威平台客户端升级包 |
在系统升级页面选择客户端升级,点击<上传并升级>按钮后选择客户端升级包,如下图所示。
图3-23 升级控制中心
客户端升级包上传完成后,选择升级包配置升级IP地址段,只有终端IP地址处于升级地址段的终端才会升级,如下图所示。
图3-24 配置客户端升级IP地址段
配置了客户端升级范围后,在线的客户端会定期查询并自动升级客户端程序,为将升级负载均衡化,客户端升级周期为4小时查询一次。
病毒库升级配置界面分为左右两部分,分别用于配置传统基因特征病毒库升级(简称“病毒库升级”)和人工智能模型、规则库、IP端情报库等升级(简称“人工智能模型”)升级,点击<上传并升级>按钮,分别选择对应的升级包导入控制中心,如下图所示。
图3-25 病毒库升级配置
病毒库升级配置完成后,在线的客户端会自动完成软件更新或病毒库更新。为将升级负载均衡化,客户端升级周期为4小时查询一次。
当<策略中心>配置互联网模式或内网WSUS模式时,不需要单独进行补丁库升级,WSUS补丁服务器更新WSUS补丁时会自动更新WSUS补丁库。
当<策略中心>配置本地漏洞扫描时,需要更新补丁库和补丁文件。
(1) 漏洞特征库升级
点击并上传漏洞特征库文件,如下图所示。
图3-26 病毒库升级配置
(2) 补丁文件上传
漏洞修复有几种模式:
1. 当使用本地漏洞扫描时,建议将补丁放在第三方服务器(提供HTTP或HTTPS文件下载服务),建议将补丁放在可下载文件的服务器上。
2. 当使用本地漏洞扫描,且将补丁文件放置在控制中心服务器,需要控制中心根目录“/”额外增加1T大小的硬盘,对磁盘消耗较大。
3. 当WSUS补丁服务器时,更新WSUS补丁服务器会自动更新补丁特征库和补丁文件,不需要单独上传补丁,WSUS补丁服务器部署步骤请参看开局指导书附录。
4. 当使用互联网模式时,不需要更新补丁库和上传补丁文件,前提是客户端能访互联网。
本地扫描方式下,获取补丁下载链接。
对终端下发本地扫描策略,扫描完成后查看终端上存在的漏洞信息,显示补丁文件下载地址。
在安全运维菜单创建漏洞扫描任务,查看补丁下载链接,如下图所示。
图3-27 查看补丁下载链接
也可通过点击终端详情后,在漏洞信息查看补丁下载链接。
访问补丁下载链接下载补丁文件。
创建补丁文件目录结构,共三级结构:
一级目录:patch
二级目录:windows
三级目录:2023-04-10,可创建多个三级目录,日期格式要求用横线分割。
将下载的补丁文件在三级目录下,目录结构如下图。
图3-28 补丁文件目录
将补丁目录整体上传到运控中心服务器,如下图。
图3-29 上传补丁目录
执行导入补丁命令:
/kvedr_storage/bin/impatch.sh /root/patch/
图3-30 执行导入补丁命令
页面显示已导入的补丁列表,如下图所示。
图3-31 WEB查看上传的补丁
配置全网客户端升级带宽管理和心跳周期、客户端默认连接的控制中心IP地址和域名,配置使用的管理端口。
升级带宽和心跳周期配置,如下图所示。
图3-32 升级带宽和心跳周期配置
在网带宽资源紧张有限时,可适当减少最大支持同时在线升级终端数、降低带宽占用、增加心跳时间;在网带宽资源充足时,可适当增加最大支持同时在线升级终端数、增加带宽占用、缩短心跳时间。
客户端默认连接的控制中心IP地址和域名配置,如下图所示。
图3-33 升级带宽和心跳周期配置
当选择默认自动获取时,下载的客户端地址为通过浏览器访问控制中心时输入的IP地址;当选择自定后,可以配置客户端软在安装后自动连接的控制中心IP地址或域名地址。
终端安全管理系统上通过自定义配置的默认管理中心IP地址/域名只有在和安管一体机集成部署时配置终端安全IP地址或者终端安全管理系统(团队版)部署时配置域名;其他情况下一般不做配置。
点击端口参数设置,Web管理默认使用HTTPS协议7443端口,客户端下载默认使用HTTP协议80端口,支持管理员更改Web管理端口、客户端下载端口,如下图所示。
图3-34 端口配置
服务器升级时使用HTTPS协议8443端口,更改服务端口时请冲突。
在网络配置页面,点击<配置>按钮,打开<配置列表>页面。
弹出网络配置列表页面,如下图所示。
图3-35 配置列表
在配置列表页面,点击<配置>菜单,对IPv4/IPv6网络的配置网卡参数。
设置开机后网卡自动连接和网卡工作模式,自动连接配置选中“开启”,工作模式选择“手动”,如下图所示。
图3-36 工作模式配置
服务器一般需要手动配置静态IP。
因为自动获取IP模式下服务器可能发生IP地址变化、导致客户端无法正常连接到控制中心。
请勿将所有网卡激活状态关闭,以免无法通过网络登录控制中心。
在网卡参数配置页面,设置服务器的IP、网关和DNS地址,如下图所示。
图3-37 配置IP地址
输入IP地址、掩码、网关(可填)、DNS服务器(可填),点击<确定>按钮,完成控制中心IP地址的修改。
当需要控制中心需要从互联网自动同步病毒库时,需要正确配置网关和DNS地址,确保控制中心宿主机能够访问互联网。
鼠标移至网掩码长度后的提示符
,可查看点分十进制的掩码配置和掩码长度的对应关系。
宿主机上修改网卡IP地址后,为使用新的IP地址需要对网卡先关闭再启动操作。
路由网关配置一般应用在服务器多网卡或多IP环境中,服务器只使用1个网卡和IP的情况下通常可以不用配置路由网关。
在<编辑网络配置>页面,在路由配置项点击<新增>按钮,输入目标网络地址、掩码长度和网关,如下图所示。
图3-38 配置路由网关
输入目标网络、掩码和网关地址后,点击<确定>按钮,完成控制中心路由网关配置。
默认路由(0.0.0.0的目标网络)的网关请勿在路由配置项添加,“默认网关”项填写默认网关即可。
请勿将控制中心的所有网卡配置为停用状态,以免导致系统管理员无法通过网络登录控制中心。
当网卡配置文件与网卡绑定关系变更、网卡首次使用配置文件或其他原因未在web管理页面上显示出网卡信息时,需要检查网卡配置文件和网卡接口名称绑定关系,步骤如下。
列出网卡设备使用的网卡配置文件,命令:
nmcli c show
查看网卡配置文件(例如net2)和网卡设备ens37的接口名称是否绑定,命令:
nmcli c show net2
如果“connection.interface-name”值为空,如下图。
需执行将net2和网卡设备ens37的接口名称绑定,命令:
nmcli c modify net2 connection.interface-name ens37
启用云查情报库、用户添加自定义情报库黑名单或白名单,对本级运控中心下的所有终端生效,级联配置的服务器需要在每级节点上单独配置云查策略。
云安全计划,默认处于关闭状态,当加入“云安全计划”后,系统自动把可疑文件上传到云安全中心进行分析,该功能需要连通互联网。
云查杀,配置系统启用云查杀功能。
云查杀文件类型设置,配置云查杀时扫描的文件类型。
云查杀策略配置如下图所示。
图3-39 配置云查杀策略
管理员根据需要在增加平台黑样本情报或白样本情报,使用该功能需要先在云查杀策略页面将<启用自定义情报库>功能启用。
以管理员自定义添加黑样本哈希情报和白样本文件签名情报举例配置。
(1) 添加文件哈希情报库
点击文件哈希情报库>黑名单,点击<添加情报库>,在弹出界面输入黑名单库名称,如下图。
图3-40 添加黑名单文件哈希情报库
选中创建的黑名单库名称,点击<添加哈希>,在弹出的页面输入黑名单文件哈希sha256,如下图。
图3-41 添加黑名单样本sha256
同样的方法,可以添白名单文件哈希情报库。
(2) 添加签名证书情报库
点击签名证书情报库>白名单,点击<添加签名证书>,在弹出的界面输入文件厂商数字签名信息,如下图。
图3-42 添加白名单签名证书情报库
同样的方法,可以添加黑名单签名证书情报库。
自定义控制中心WEB页面显示的名称和图标,如下图所示。
图3-43 自定义控制中心WEB界面
控制中心提供对安全态势系统等其他设备的外部接口,通过外部接口调用实现syslog日志设置、远程运维设置、接口授权设置以及环境感知设置(可与零信任联动)。
选择“系统管理>外部接口>syslog服务器配置”,输入Syslog服务器的IP地址和端口,点击<应用>按钮,如下图所示。
图3-44 Syslog服务器配置
选择“系统管理>外部接口>syslog上报配置”,开启需要上报的日志类型,点击<应用>按钮,如下图所示。
图3-45 Syslog上报设置
启用syslog日志上报功能,需在“策略中心>信息采集”中开启对应的功能采集项、“联动响应>联动规则”中添加对应的规则或终端进行了病毒扫描查杀任务。
选择上报的租户,被选择租户会上报日志和环境感知评分,如下图所示。
图3-46 选择租户
允许调用服务器接口,对服务器重启或关机,缺省状态下重启和关机接口处于关闭状态,如下图。
图3-47 远程运维接口配置
通过接口上报终端计算环境的安全评分,实现与零信任设备的联动。
选择“系统管理>外部接口>环境上报”,将上报状态设置为“开启”、填写接收端的URL地址后点击<应用>按钮,如下图所示。
图3-48 环境感知配置
接口授权设置通过创建一个APIKey,提供接口调用使用,也可以通过接口创建APIKEY。
选择“系统管理>外部接口>接口授权设置”,点击<添加授权>按钮,输入appname名称,如下图所示。
图3-49 添加授权
更新客户端程序安装包、显示和隐藏客户端程序安装包,遇到客户端程序故障需要更新安装包时进行更新替换,如下图所示。
图3-50 更新客户端、显示/隐藏配置
当控制中心从6902P07升级到6902P08版本时,客户端下载页面显示的客户端版本未更新,可以在此页面更新客户端下载页面的程序版本到最新。
将6902P08版本控制中心安装包里面的客户端程序解压后,在客户端管理页面更新即可。
客户端解压目录如下图所示。
图3-51 客户端解压目录
在宿主机上安装控制中心服务后后默认独占物理内存使用,支持限制控制中心服务对物理内存使用或者物理内存增大后变更控制中心对物理内存使用。
进入目录,命令:cd /kvedr_storage/bin/
图3-52 进入目录
查看目录文件,命令:ls –l
图3-53 进入目录
物理内存更改的脚本文件,允许命令:./chmem.sh
图3-54 进入目录
脚本文件提示输入物理内存大小,输入合理的内存大小,如下图。
图3-55 进入目录
输入完成后控制中心服务自动重启。
用户部署环境中,控制中心服务占用的物理内存应不低于16G;
初次部署时,控制中心独占宿主机物理内存。
在终端安全管理系统(团队版)Web登录页面:https://IP:7443
点击<注册账号>按钮,如下图所示。
图3-56 点击<注册账号>按钮
根据页面向导提示,输入公司名称和公司地址,阅读《终端安全管理系统团队版隐私政策》并勾选,点击<继续>按钮,如下图所示。
图3-57 点击<继续>按钮
根据页面向导提示,输入注册手机号、验证码、和密码后,点击<注册>按钮,如下图所示。
图3-58 点击<注册>按钮
页面弹出“注册成功”,如下图所示。
图3-59 提示“注册成功”
页面自动跳转至团队管理员视图,如下图所示。
图3-60 团队管理员视图
团队管理员视图页面右上角显示该团队的PIN码,团队PIN码是团队在系统终端的身份标识。
在团队管理员视图页面,将鼠标移动至右上角显示该团队的PIN码区域,显示团队信息和客户端下载信息,如下图所示。
图3-61 团队客户端下载信息
点击<批量安装部署>按钮,页面跳转至<终端部署>页面,如下图 所示。
图3-62 获取客户端途径
比如选择“员工自助部署”,将客户端下载链接复制并发送给团队成员,团队成员可通过访问该链接选择对应的客户端下载安装,如下图所示。
图3-63 下载客户端
团队版Windows客户端名称如下图所示。
图3-64 团队版Windows客户端
团队版Linux客户端名称如下图所示。
图3-65 团队版Linux客户端
下载后端客户端名称中包含有团队PIN码头,请勿修改客户端安装包名称,否则会导致客户端无法加入团队。
请参考2.2 章节终端概览配置。
请参考2.3 章节终端管理配置。
请参考2.4 章节策略管理配置。
请参考2.5 章节安全运维配置。
请参考2.6 章节威胁检测配置。
请参考2.7 章节数据检索配置。
请参考2.8 章节系统管理配置。
查看可用的参数列表,命令:/KvEdr/KvEdrCmd #注意字符大小写
图4-1 查看杀毒命令可用参数
参数:--fastscan ###快速进行病毒扫描,当命令末尾带“--kill”参数时会隔离扫描出的病毒文件。
命令:
/KvEdr/KvEdrCmd --fastscan
图4-2 执行快速扫描
快速扫描并隔离扫描出的病毒文件,命令:
/KvEdr/KvEdrCmd --fastscan –kill
图4-3 快速扫描并隔离病毒文件
参数:--scan ###对指定目录或文件进行病毒扫描,当命令末尾带“--kill”参数时会隔离病毒文件。
(1) 扫描文件
格式:
/KvEdr/KvEdrCmd --scan文件全路径名称
例如,对/avtest/0a1343ce3eb87312cc162ed400422a96.tar文件病毒扫描。
命令:
/KvEdr/KvEdrCmd --scan /avtest/0a1343ce3eb87312cc162ed400422a96.tar
图4-4 仅扫描文件
(2) 扫描隔离文件
格式:
/KvEdr/KvEdrCmd --scan文件全路径名称 --kill ###命令结尾带上“--kill”,隔离病毒文件
例如,对/avtest/0a1343ce3eb87312cc162ed400422a96.tar 进行病毒查杀。
命令:
/KvEdr/KvEdrCmd --scan /avtest/0a1343ce3eb87312cc162ed400422a96.tar --kill
图4-5 扫描并隔离病毒
(3) 扫描目录
格式:
/KvEdr/KvEdrCmd –scan 目录全路径名称
例如,对/avtest/目录进行病毒扫描。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ ###仅扫描不隔离病毒文件。
图4-6 扫描目录
(4) 扫描目录隔离文件
格式:
/KvEdr/KvEdrCmd –scan 目录全路径名称 --kill ###命令结尾带上“--kill”,隔离目录下的病毒文件。
例如,对/avtest/目录进行病毒查杀。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --kill
图4-7 查杀目录
参数:--speed ###执行病毒扫描或病毒查杀时的查杀速度。
参数值说明:0表示普通速度(对cpu核数无要求,默认值);
1表示高速运行(要求:CPU核数≥4且内存≥6G);
2表示极速运行(要求:CPU核数≥6且内存≥12G)。
格式:
/KvEdr/KvEdrCmd --scan目录或文件 --speed 参数值
(1) 普通速度
对/avtest/目录进行普通速度病毒扫描。 ###参数--speed 0可以省略。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --speed 0
图4-8 普通速度扫描
对/avtest/目录进行普通速度病毒查杀。 ###参数--speed 0可以省略。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --kill --speed 0
图4-9 普通速度查杀
(2) 高速扫描
对/avtest/目录进行高速病毒扫描。 ###命令末尾使用参数--speed 1。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --speed 1
图4-10 高速扫描命令
对/avtest/目录进行高速病毒查杀。 ###命令末尾使用参数--speed 1。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --kill --speed 1
图4-11 高速查杀命令
(3) 极速扫描
对/avtest/目录进行极速病毒扫描。 ###命名末尾使用参数--speed 2。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --speed 2
图4-12 极速扫描命令
对/avtest/目录进行极速病毒查杀。 ###命名末尾使用参数--speed 2。
命令:
/KvEdr/KvEdrCmd --scan /avtest/ --kill --speed 2
图4-13 极速扫描命令
(1) 查看文件实时防护状态
命令:
/KvEdr/KvEdrCmd --get protection file_mon
图4-14 极速扫描命令
开启状态显示file_mon:enable
未开启状态显示file_mon:disable
(2) 开启文件实时防护
命令:
/KvEdr/KvEdrCmd --set protection file_mon enable
图4-15 开启实时防护
(3) 关闭文件实时防护
命令:
/KvEdr/KvEdrCmd --set protection file_mon disable
图4-16 关闭实时防护
参数:--list ###列出病毒隔离区文件。
命令:
/KvEdr/KvEdrCmd --list
图4-17 查看病毒隔离区命令
(1) 恢复文件到原始目录
参数:--recover ###将文件从隔离区恢复,默认恢复到文件原始位置。
格式:
/KvEdr/KvEdrCmd --recover index ###把隔离区第index个文件恢复到初始位置。
例如,把index为1的文件从隔离区恢复到初始位置。
命令:
/KvEdr/KvEdrCmd --recover 1
图4-18 恢复隔离区指定文件到原始目录
把隔离区的文件全部恢复到初始位置。
命令:
/KvEdr/KvEdrCmd --recover all
图4-19 恢复隔离区所有文件到原始目录
(2) 恢复文件到指定目录
参数:--dir ###将文件从隔离区恢复到指定目录,与--recover参数一起使用。
格式:
/KvEdr/KvEdrCmd --recover index --dir 指定路径
例如,将隔离区index为1的文件恢复到/virustest/目录。
命令:
/KvEdr/KvEdrCmd --recover 1 --dir /virustest/
图4-20 恢复指定文件到指定目录
查看/virustest/目录下是否存在恢复的文件,恢复隔离区文件到指定目录时会在该目录下创建文件被隔离前路径,例如原始位置/avtest/目录下的样本文件恢复到目录/virustest/时会自动在该目录下创建路径/avtest/。
命令:
ls /virustest/avtest/
图4-21 查看恢复的文件
参数:--clear ###将文件从隔离区中清除,特别注意,文件被清除后不可恢复。
格式:
/KvEdr/KvEdrCmd --clear index
例如,将隔离区中index为0的病毒从隔离区中清除。
命令:
/KvEdr/KvEdrCmd --clear 0
图4-22 清理隔离区指定文件
清理隔离区中的所有文件。
命令:
/KvEdr/KvEdrCmd --clear index all ###特别注意,文件被清除后不可恢复。
图4-23 清理隔离区所有文件
参数:--add-trust ###将文件或目录添加到信任区,病毒扫描时不查杀信任区的文件。
格式:
/KvEdr/KvEdrCmd --add-trust 目录或全路径文件
例如,将文件/root/avtest/test.bin 添加到信任区。
命令:
/KvEdr/KvEdrCmd --add-trust /root/avtest/test.bin
图4-24 添加指定文件到信任区
例如,将目录/avtest/添加到信任区。
命令:
/KvEdr/KvEdrCmd --add-trust / avtest/
图4-25 添加指定目录到信任区
参数:--list-trust ###查看已经添加到信任区的文件或目录。
查看本地添加的信任区,命令:
/KvEdr/KvEdrCmd --list-trust local
图4-26 查看本地添加的信任区
查看安全中心设置的信任区,命令:
./KvEdrCmd --list-trust server
图4-27 查看安全中心设置的信任区
参数:--del-trust
格式:
/KvEdr/KvEdrCmd --del-trust index ###只能删除本地信任区,无法删除平台策略配置的信任区。
例如,将index为0的目录从本地信任区移除。
命令:
/KvEdr/KvEdrCmd --del-trust 0 ###注意root权限运行。
图4-28 移除信任区指定目录
例如,将index为1的文件从信任区移除。
命令:
/KvEdr/KvEdrCmd --del-trust 1
图4-29 移除信任区指定文件
清除信任区内所有文件或目录。
命令:
./KvEdrCmd --del-trust all
图4-30 清除信任区
(1) 开启勒索功能。
命令:
/KvEdr/KvEdrCmd --set ransom trapping enable
图4-31 启用勒索诱捕功能
(2) 关闭勒索功能。
命令:
/KvEdr/KvEdrCmd --set ransom trapping disable
图4-32 关闭勒索诱捕功能
(3) 查看勒索诱捕策略
命令:
/KvEdr/KvEdrCmd --get ransom trapping
图4-33 查看勒索诱捕开启状态
开启勒索行为防御。
命令:
KvEdrCmd --set behavior ransom_group_enable enable
图4-34 开启勒索行为防御
关闭勒索行为防御。
命令:
/KvEdr/KvEdrCmd --set behavior ransom_group_enable disable
图4-35 关闭勒索行为防御
查看勒索行为防御策略。
命令:
/KvEdr/KvEdrCmd --get behavior ransom_group_enable
图4-36 查看勒索行为防御开启状态
(1) 开启脚本防御策略
命令:
KvEdrCmd --set behavior shell_group_enable enable
图4-37 开启脚本防御
(2) 关闭脚本防御策略
命令:
/KvEdr/KvEdrCmd --set behavior shell_group_enable disable
图4-38 关闭脚本防御
(3) 查看脚本防御策略
命令:
/KvEdr/KvEdrCmd --get behavior shell_group_enable
图4-39 查看脚本防御策略
对OFFICE办公软件加固、PDF阅读器加固、WEB浏览器加固、视频播放器加固。
(1) OFFICE办公软件加固
开启加固命令:
/KvEdr/KvEdrCmd --set behavior office_group_enable enable
图4-40 启用OFFICE办公软件加固
关闭加固命令:
/KvEdr/KvEdrCmd --set behavior office_group_enable disable
图4-41 关闭OFFICE办公软件加固
查看加固策略命令:
/KvEdr/KvEdrCmd --get behavior office_group_enable
图4-42 查看OFFICE办公软件加固
(2) PDF阅读器加固
开启加固命令:
/KvEdr/KvEdrCmd --set behavior pdfreader_group_enable enable
图4-43 启用PDF阅读器加固
关闭加固命令:
/KvEdr/KvEdrCmd --set behavior pdfreader_group_enable disable
图4-44 关闭PDF阅读器加固
查看加固策略命令:
/KvEdr/KvEdrCmd --get behavior pdfreader_group_enable
图4-45 查看PDF阅读器加固
(3) WEB浏览器加固
开启加固命令:
/KvEdr/KvEdrCmd --set behavior webbrowser_group_enable enable
图4-46 启用WEB浏览器加固
关闭加固命令:
/KvEdr/KvEdrCmd --set behavior webbrowser_group_enable disable
图4-47 关闭WEB浏览器加固
查看加固策略命令:
/KvEdr/KvEdrCmd --get behavior webbrowser_group_enable
图4-48 查看WEB浏览器加固策略
(4) 视频播放器加固
开启加固命令:
/KvEdr/KvEdrCmd --set behavior videoplayer_group_enable enable
图4-49 启用视频播放器加固
关闭加固命令:
/KvEdr/KvEdrCmd --set behavior videoplayer_group_enable disable
图4-50 关闭视频播放器加固
查看视频播放器加固策略命令:
/KvEdr/KvEdrCmd --get behavior videoplayer_group_enable
图4-51 查看视频播放器加固策略
(1) 开启接入U盘时扫描
接入U盘时,自动扫描U盘文件。
命令:
/KvEdr/KvEdrCmd --set anti_virus usb_disk_scan enable
图4-52 配置接入U盘时自动扫描U盘
(2) 关闭接入U盘时扫描
接入U盘时,不会自动扫描U盘文件。
命令:
/KvEdr/KvEdrCmd --set anti_virus usb_disk_scan disable
图4-53 配置接入U盘时不自动扫描U盘
(3) 查看U盘扫描策略
命令:
/KvEdr/KvEdrCmd --get anti_virus usb_disk_scan
图4-54 查看U盘自动扫描开启状态
###注意平台基本策略已配置<客户端显示远程协助配置选项>。
(1) 客户端授权远程协助功能
命令:
/KvEdr/KvEdrCmd --set assistance mode enable
图4-55 开启远程协助功能
(2) 客户端关闭远程协助功能
命令:
/KvEdr/KvEdrCmd --set assistance mode disable
图4-56 关闭远程协助功能
###注意平台基本策略已配置<客户端显示文件分发配置选项>
(1) 客户端许可接收平台分发文件
命令:
/KvEdr/KvEdrCmd --set filedist mode download-only
图4-57 只接收文件
(2) 客户端许可接收平台分发文件并运行
命令:
/KvEdr/KvEdrCmd --set filedist mode download-and-exec
图4-58 接收并执行文件
(3) 客户端禁止接收平台分发的文件
命令:
/KvEdr/KvEdrCmd --set filedist mode disable
图4-59 禁用文件分发功能
(4) 查看客户端文件分发策略
/KvEdr/KvEdrCmd --get filedist
图4-60 查看客户端分级分发策略
(1) 查看控制中心IP
命令:
/KvEdr/KvEdrCmd --get server domain
图4-61 查看控制中心IP地址
(2) 设置控制中心IP
命令:
/KvEdr/KvEdrCmd --set server domain 192.168.31.182
图4-62 设置控制中心IP地址
该命令用于团队版客户端修改所属团队PIN码,标准版不适用。
(1) 团队版客户端查看团队PIN码
命令:
/KvEdr/KvEdrCmd --show-pin
图4-63 查看团队PIN码
(2) 团队版客户端修改团队PIN码
命令:
/KvEdr/KvEdrCmd --change-pin 75152194
图4-64 修改团队PIN码
查看客户端程序和病毒库版本。
命令:
/KvEdr/KvEdrCmd --version
图4-65 查看客户端版本
参数:--update
必须使用root权限升级病毒库和客户端程序。
(1) 升级病毒库
命令:
sudo /KvEdr/KvEdrCmd --update prog ###注意使用root权限
图4-66 升级病毒库命令
(2) 升级人工智能模型
命令:
sudo /KvEdr/KvEdrCmd --update model ##注意使用root权限
图4-67 升级人工智能模型命令
(3) 升级客户端程序
命令:sudo /KvEdr/KvEdrCmd --update prog ###注意使用root权限
图4-68 升级客户端程序命令
(1) 查看实时防护日志
参数:--list-log
查看实时防护隔离病毒日志。
命令:
/KvEdr/KvEdrCmd --list-log
图4-69 查看病毒清除日志
(2) 删除实时防护日志
参数:--del-log
删除实时防护日志信息。
删除指定的日志,例如删除index=14的这条日志。
命令:
/KvEdr/KvEdrCmd --del-log 14
图4-70 删除指定的日志信息
删除所有实时防护日志,命令:
/KvEdr/KvEdrCmd --del-log all
图4-71 删除所有实时防护日志
(1) 基因引擎
启用基因杀毒引擎命令:
/KvEdr/KvEdrCmd --set anti_virus gene_engine_enable enable
图4-72 开启基因杀毒引擎
关闭基因杀毒引擎命令:
/KvEdr/KvEdrCmd --set anti_virus gene_engine_enable disable
图4-73 关闭基因杀毒引擎
查看基因杀毒引擎工作状态命令:
/KvEdr/KvEdrCmd --get anti_virus gene_engine_enable
图4-74 查看基因杀毒引擎工作状态
(2) 人工智能引擎
启用人工智能杀毒引擎命令:
/KvEdr/KvEdrCmd --set anti_virus ai_engine_enable enable
图4-75 开启人工智能杀毒引擎
关闭人工智能杀毒引擎命令:
/KvEdr/KvEdrCmd --set anti_virus ai_engine_enable disable
图4-76 关闭人工智能杀毒引擎
查看人工智能杀毒引擎工作状态命令:
/KvEdr/KvEdrCmd --get anti_virus ai_engine_enable
图4-77 查看人工智能杀毒引擎工作状态
(3) 行为检测引擎
启用行为检测杀毒引擎命令:
/KvEdr/KvEdrCmd --set behavior general_group_enable enable
图4-78 启用行为检测杀毒引擎
关闭行为检测杀毒引擎命令:
/KvEdr/KvEdrCmd --set behavior general_group_enable disable
图4-79 关闭行为检测杀毒引擎
查看行为检测杀毒引擎工作状态命令:
/KvEdr/KvEdrCmd --get behavior general_group_enable
图4-80 查看行为检测杀毒引擎工作状态
(4) 云查杀引擎
启用云查杀引擎命令:
/KvEdr/KvEdrCmd --set anti_virus cloud_engine_enable enable
图4-81 启用云查杀引擎
关闭云查杀引擎命令:
/KvEdr/KvEdrCmd --set anti_virus cloud_engine_enable disable
图4-82 关闭云查杀引擎
查看云查引擎工作状态命令:
/KvEdr/KvEdrCmd --get anti_virus cloud_engine_enable
图4-83 查看云查杀引擎工作状态
支持
