H3C SecCenter CSAP-ESM终端安全管理系统典型配置举例(E6901)-5W101

05-合规基线典型配置举例

1 简介

本文档介绍终端安全管理系统合规基线功能配置举例。合规基线功能包括对系统启动项进程、IE主页、特定软件安装、系统运行进程、杀毒软件安装、系统共享资源、远程桌面启用、Guest来宾账户启用，这八项的合规检查以及矫正。

本文主要介绍系统启动项进程、IE主页、特定软件安装和远程桌面启用，这四项的检查和矫正。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解合规安全基线检查特性。

3 组网

终端安全管理系统组网方式比较简单，只要网络可达即可。

在终端设备安装控制中心后，客户端可以自动连接到控制中心。管理员可直接通过WEB浏览器进行管理。

控制中心安装参见《H3C SecCenter CSAP-ESM终端安全管理系统安装指导》。

4 配置举例

4.1 合规基线配置

4.1.1 配置思路

· 登录控制中心桌面管理系统。

· 多个终端执行同一个策略。

· 设置禁止的系统启动程序：百度云盘。

· 设置IE主页百度主页可访问，QQ主页不可访问。

· 检查特定软件：百度网盘、腾讯QQ、企鹅游戏中心。

· 设置不允许客户端开启远程桌面。

4.1.2 配置步骤

1. 登录控制中心桌面管理系统

打开浏览器输入控制中心地址进入控制中心登录页面，点击<进入控制中心>进入账号登录页面，输入账号密码和验证码，初始账号为admin，密码为admin。

选择<桌面管理>，点击<登录>进入终端安全管理系统桌面管理首页。

图1 进入控制中心

图2 登录窗口

2. 设置分组

在【终端管理】-【组织结构】下创建分组。选择<localhost.localdomain>根节点，点击图标，弹出新建组对话框，输入组名称，点击<确定>按钮，新建组成功。

图3 新建分组

选中终端，选择<修改分组>按钮，选择需要移动的分组，点击<确定>按钮，则移动到该分组。将对多个终端移动到该分组。

图4 移动客户端分组

3. 进入策略管理，新建策略

新增策略：点击【新增策略】，切换为策略设置页面。

图5 新增策略

4. 设置禁止的系统启动程序：百度云盘

选择<资产安全检查策略>/<合规安全基线>，系统启动项进程，是否检查设为启用，强制矫正设为启用。点击<设置>按钮，打开<系统启动项设置>窗口，进程名称输入为BaiduYunGuanjia，相对路径输入*baidunetdisk*，状态设为禁止。点击<添加>按钮，则添加该启动项的设置。点击<确定>按钮，设置成功。

图6 系统启动项进程

图7 系统启动项进程设置

5. 设置IE主页百度主页可访问，QQ主页不可访问

选择<资产安全检查策略>/<合规安全基线>，IE主页修改项，是否检查设为启用，强制矫正设为启用。点击<设置>按钮，打开<IE主页修改项设置>窗口，URL输入为www.baidu.com，是否允许设置为允许，点击<添加>按钮；URL输入为www.qq.com，是否允许设置为禁止，点击<添加>按钮。点击<确定>按钮，设置成功。

图8 IE主页修改项

图9 IE主页修改项设置

6. 检查特定软件：百度网盘、腾讯QQ、企鹅游戏中心

选择<资产安全检查策略>/<合规安全基线>，特定软件安装，是否检查设为启用。点击<设置>按钮，打开<特定软件安装设置>窗口，软件名称输入为百度网盘，相对路径为*baidunetdisk*，，点击<添加>按钮；软件名称输入为腾讯QQ，相对路径为*，点击<添加>按钮；软件名称输入为企鹅游戏中心，相对路径为*，点击<添加>按钮。点击<确定>按钮，设置成功。

图10 特定软件安装