- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (10.70 MB)
终端安全管理系统防病毒由控制中心、客户端两部分组成,是集恶意代码防护、桌面安全管理于一体的全新一代终端安全管理防御系统。
系统建立统一管理的终端安全整体防护体系,有组织有计划地监测和分析终端安全状态,统一配置终端安全策略,提供终端的安全保障能力,确保终端系统正常、高效的运行彻底解决终端安全威胁的全生命周期管理,包括事前预警防范、事中应急处置、事后追责溯源,完成终端安全威胁闭环。
由部署在服务端的控制中心和用户终端上的客户端组成。
· 控制中心:部署在服务端,对终端安全管理,制定和下发安全策略、提供安全数据存储和查询。
· 客户端:安装运行在客户机,执行安全策略、采集终端信息、上报安全日志。
系统架构,如下图所示。
图1-1 系统架构图
管理员通过浏览器,可以方便的从网络内任意终端登录控制中心,实现对全网终端的查看管理、安全评估、病毒和漏洞扫描以及进行安全事件检索查证等。
用户网络的客户端若不能访问互联网资源,需要在用户内网中部署1台WSUS补丁服务器供补丁服务;WSUS补丁服务器同步补丁需要一定的时间(取决于网络带宽和同步补丁量,第1次全量同步一般需要3~4天),请提前准备WSUS补丁服务器并同步补丁;若没有漏洞补丁修复需求,可以不部署WSUS补丁服务器。
控制中心由功能角色不同的服务器构件组成,所有服务器构件集成在Docker容器中,适用于用户终端规模不大(5000台左右)的应用场景。通过运行控制中心安装脚本提供一键式安装,安装脚本会自动检测系统Docker环境、安装运行Docker软件和控制中心软件,部署步骤简便易操作。
若用户网络环境中终端数量规模较大(远超5000台),应部署多台Docker控制中心,或采取分布式部署模式,将控制中心服务器构件部署在多台高性能物理服务器上运行。
终端安全管理系统防病毒兼容大多数网络环境,举几个常见的网络环境说明。
兼容此网络环境,网络可达即可。
兼容此网络环境,网络可达即可。
图1-2 源地址NAT网络
终端安全管理系统防病毒兼容此网络环境,网络拓扑如下图所示。
图1-3 兼容NAT网络单侧部署
兼容此网络环境。
该网络环境下,用户区域A和用户区域B位于NAT设备两侧,且存在旁路使得用于区域A可以访问NAT设备接口B,网络拓扑如下图所示。
图1-4 兼容NAT网络双侧部署
兼容此网络环境。
在该网络环境中,网络A和网络B中均存在用户终端。用户区域A和用户区域B的终端均需要访问控制中心,且用户区域B的终端是需要NAT设备经过地址端口映射访问控制中心、用户区域A未经过该NAT设备访问控制中心。
图1-5 兼容的NAT网络环境
支持多网卡业务域网络隔离环境,控制中心上存在多张网卡,每个网卡绑定一个业务域,业务域彼此隔离。每个业务域的终端计算机通过浏览器访问控制中心对应IP 80端口页面下载所需的客户端软件,安装运行即可。
一、操作系统安装过程中,需要注意以下事项。
1.安装信息摘要界面,“系统>安装位置”将根目录“/”空间设置成硬盘容量的90%或以上。
二、控制中心安装过程中,需要注意以下事项。
1. 必须使用root账户权限安装控制中心软件。
2.系统防火墙(firewalld)处于启用状态。
3.不安装Selinux组件
终端安全管理系统防病毒控制中心运行于x86计算平台,硬件需求如下配置:
|
在线客户端数量 |
CPU |
内存 |
硬盘 |
备注 |
|
0-200台 |
8核 |
16G |
2T |
确保控制中心功能正常运行最低配置,要求:内存>=16G、CPU>=8核。 |
|
200-500台 |
8核 |
32G |
2T |
|
|
500-1000台 |
16核 |
64G |
4T |
|
|
1000-5000台 |
24核 |
128G |
4T |
|
|
5000-10000台 |
部署2台控制中心,或分布式部署控制中心 |
|||
|
1万台以上 |
部署多台控制中心,或分布式部署控制中心 |
|||
采用分布式部署控制中心方案时,无法使用安装脚本一键式部署,请联系新华三技术人员进行控制中心的部署与配置。
系统要求: CentOS7.5 1804
CentOS7.5系统镜像下载链接:
http://repos-va.psychz.net/centos/7.5.1804/isos/x86_64/CentOS-7-x86_64-DVD-1804.iso
如果是虚拟机环境,也要满足以上条件(支持虚拟机平台VMware 、CAS平台)。
IP地址静态,且确定;
如在虚拟化平台上CentOS7.5 1804硬件配置如下:
图2-1 服务器硬件配置
操作系统安装过程中,需要注意2点配置选项。
1.安装信息摘要界面,“系统>安装位置”将根目录“/”空间设置成硬盘容量的90%或以上。
启动操作系统安装镜像,在系统安装选择界面,选择“Install CentOS 7 ”,按回车键确定。
图2-2 选择“Install CentOS 7”
选择语言,选择简体中文。
图2-3 选择安装语言
在安装信息摘要界面,系统>安装位置,系统默认使用自动分区,此时需要手动修改根目录“/”的磁盘空间大小,尽量分配更多的空间给系统根目录“/”。如果硬盘空间2T,将根目录“/”空间设置成接近2T大小。
图2-4 安装位置系统默认使用“自动分区”
打开安装位置,选中“我要配置分区(I)”后点击<完成>按钮。
图2-5 选中“我要配置分区”后点击<完成>
手动分区配置界面,点击“+”符号,手动创建磁盘分区。
图2-6 增加磁盘分区
磁盘分区的原则是根目录“/”占用磁盘空间的90%以上,交换分区(swap)占用的磁盘空间大概是物理内存的1倍左右,其它分区空间大小只要保证划分磁盘分区工作顺利进行即可。
创建磁盘根目录“/”分区,分配空间大小为“2000G”。
图2-7 创建根目录“/”分区
创建磁盘交换分区(swap),分配空间大小32G,交换分区一般为物理内存1倍左右即可。
图2-8 创建交换分区
创建磁盘启动分区,大小为5G,对启动分区空间大小没有特别要求,顺利进行分区即可。
图2-9 创建启动分区
创建磁盘”biosboot”分区,大小为5G,对该分区空间大小没有特别要求,顺利进行分区即可。
图2-10 创建biosboot分区
磁盘分区划分后,如下图所示,如果对刚刚划分的磁盘分区不满意,继续重新规划磁盘分区,直至得到合理的磁盘分区。
图2-11 磁盘分区大小设置
点击<完成>按钮,在弹出的对话框中点击<接受更改>按钮,确认磁盘分区。
图2-12 接收磁盘分区配置
点击<开始安装>按钮,开始在磁盘上安装操作系统。
图2-13 点击“开始”按钮
配置-用户设置界面上,点击“ROOT密码”设置root账户密码。
图2-14 设置ROOT账户密码
连续输入2次root账户密码后,点击<完成>按钮,root密码非常重要,一定要牢记且不可外泄。
设置ROOT账户密码时禁止使用弱口令,必须牢记该密码且不可向他人泄露!
图2-15 输入Root账户密码
完成root密码设置后,返回操作系统安装进度界面。
图2-16 显示安装进度
系统安装完成后,点击<重启>按钮,重启操作系统。
图2-17 重启操作系统
系统安装完成并重启后,需要进行一些初始设置。
使用root账户登录系统,查看根目录“/”磁盘空间大小。
图2-18 查看磁盘空间
配置网络
在终端中执行“ip address”命令查看正在使用的网卡名称。
命令:
ip address
图2-19 查看网卡名称
执行“vim /etc/sysconfig/network-scripts/ifcfg-eth0”命令打开网卡配置脚本。
vim /etc/sysconfig/network-scripts/ifcfg-eth0
执行时请将命令中的网卡名替换为实际网卡名。
对网卡配置脚本文件添加或修改,如下配置参数:
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=eth0
UUID=a3f59ae6-4f5a-4f81-8be4-be5284b99521
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.31.101
PREFIX=24
GATEWAY=192.168.31.1
DNS1=114.114.114.114
DNS2=223.5.5.5
配置完成保存配置文件后,执行“service network restart”命令重启网络服务使配置生效,使用“ip address”命令查看配置是否正常生效。
图2-20 重启服务
设置系统时间
在终端执行“date -s”命令来设置系统时间,设置完成后通过“date”命令查看设置是否成功。
图2-21 配置系统日期和时间
z
控制中心标准情况下的安装,推荐是独立操作系统,不安装其它业务应用。
在服务器上部署控制中心,需要注意1点。
1. 必须使用root账户权限安装控制中心软件。
2.确保系统防火墙(firewalld服务)处于运行状态。
3.如果系统运行了Selinux服务,请将该功能关闭。
将产品包拷贝到用户机Windows系统的任意目录并解压。
解压产品包后包含文件:
· H3Ci-WareSoftware,Version3.1,ESS6902P05.zip
· md5.txt
比对解压后H3Ci-WareSoftware,Version3.1,ESS6902P05.zip文件的md5值与md5.txt中给出的md5值是否一致。
图2-22 计算控制中心安装包MD5值
图2-23 比对MD5值
检验服务器内存是否满足控制中心安装需求。
命令:
free -h
图2-24 查验服务器内存
服务器内存为32G,满足控制中心安装要求。
虚拟环境下,分配给控制中心服务器的内存为32G,但使用命令显示的内存大小可能会比32G略小,这种情况下满足控制中心安装要求。
为确保客户端能够访问控制中心和WSUS补丁服务器,需要在网络防火墙放行所需要的通信端口,控制中心服务端口列表如下。
表2-2 常规服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
|
HTTPS |
随机任意 |
9681 |
软件/病毒库升级服务 |
|
|
UDP |
随机任意 |
9683 |
系统调度服务 |
|
|
TCP |
随机任意 |
9685/9686 |
事务处理/云查服务 |
|
|
HTTP |
随机任意 |
9682 |
上报文件服务 |
|
|
HTTP |
随机任意 |
8530/8531 |
内网WSUS补丁服务(需要单独部署服务器) |
|
|
HTTPS |
随机任意 |
80/443 |
互联网WSUS补丁服务(不需要单独部署) |
表2-3 其它服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
|
HTTPS |
随机任意 |
7443 |
管理员登录Web服务 |
|
|
HTTP |
随机任意 |
5080 |
管理员登录Web服务 |
|
|
TCP |
随机任意 |
80 |
客户端下载服务 |
|
|
TCP |
随机任意 |
19687 |
客户端采集文件的下载服务 |
|
|
HTTPS |
随机任意 |
443 |
网络违规外联取证服务 |
检查控制中心宿主机服务器防火墙状态,确保防火墙处于使用状态,如下图所示。
图2-25 防火墙启用状态
必须保证Linux系统防火墙处于启动状态后,再安装控制中心软件。
控制中心安装包为名称:H3Ci-WareSoftware,Version3.1,ESS6902P05.zip。
通过网络或移动存储设备将控制中心安装包上传到服务器,查看已上传的控制中心安装包。
ls -l
控制中心安装包为“zip”格式文件,使用“unzip”命令解压控制中心安装包。
unzip H3Ci-WareSoftware,Version3.1,ESS6902P05.zip -d install
如果系统未安装unzip命令,会提示未找到命令,如下图。
图2-28 系统未安装unzip
如果控制中心可以连接互联网,请先安装unzip命令再解压控制中心安装包。
命令:yum install unzip
图2-29 在线安装unzip
如果控制中心处于内网环境,可将安装包在Windows系统解压成一个目录,再将整个目录上传至宿主机。
服务器操作系统未安装Docker环境软件,操作系统安装时默认不会安装Docker环境软件。
在CentOS 7.5操作系统平台上,控制中心安装脚本支持一键式安装Docker环境软件和控制中心软件。
cd H3Ci-WareSoftware,Version3.1,ESS6902P05
图2-30 进入解压目录
查看解压目录。
命令:
ls -l
图2-31 查看解压目录
文件“installer.sh”为控制中心安装脚本。
(2) 添加文件权限
给控制中心安装脚本文件添加可执行权限。
命令:
chmod +x installer.sh
图2-32 添加安装脚本可执行权限
(3) 执行安装脚本
执行控制中心安装脚本,开始安装控制中心软件。
命令:
./installer.sh
图2-33 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图2-34 提示系统根分区“/”不足
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
图2-35 输入“h3c”
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
若输入错误使用键盘“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入.
输入控制中心所在的服务器IP地址。
安装程序提示是否使用启用Docker内部网络的默认IP地址,默认地址段为“10.233.233.233/27”。
如果服务器或用户网络未使用该地址段,输入“y”键,继续安装。
图2-37 输入“y”确认
否则输入“N”对Docker内部网络重新指定使用的IP网段,如下图所示。
图2-38 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的地址段无冲突,否则会导致控制中心无法正常访问。
安装过程需要数分钟,请耐心等待。
等待脚本执行完成,安装程序提示成功安装控制中心。
图2-39 成功安装控制中心
控制中心成功安装,可通过浏览器访问控制中心,导入设备授权文件。
如果控制中心使用的操作系统是CentOS其它版本(非CentOS 7.5版本),请先安装Docker环境软件,再安装控制中心,非CentOS操作系统平台安装Docker的方法请自行查询。
CentOS操作系统平台在线安装Docker环境软件的步骤如下。
设置docker下载仓库。
命令:
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
图2-40 成功设置docker仓库
(注:遇到执行这个命令提示命令未找,先执行一下yum -y install yum-utils)
安装Docker-CE和Containerd。
命令:
yum install docker-ce-19.03.13 docker-ce-cli-19.03.13 containerd.io-1.3.7
图2-41 安装Docker环境软件
安装完成Docker软件后启动Docker并添加开机启动项,再次执行控制中心安装脚本。
图2-42 启动docker
图2-43 开机启动项添加docker
服务器操作系统上已经安装、并且正在运行docker环境软件。
控制中心安装脚本会检测服务器当前docker环境,并只安装控制中心软件。
通过命令行查看服务器上的docker是否在运行。
命令:
systemctl status docker
图2-44 查看是否安装Docker
显示docker正在运行中。
若显示docker没有在运行,使用命令“systemctl start docker”启动docker;使用命令“systemctl enable docker”将docker启动添加到随系统启动。
进入控制中心安装包解压后目录。
命令:
cd install
图2-45 进入解压目录
查看解压目录。
命令:
ls -l
图2-46 查看解压目录
文件“installer.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器。
(2) 添加文件权限
给控制中心安装脚本文件添加可执行权限。
命令:
chmod +x installer.sh
图2-47 添加安装脚本可执行权限
(3) 执行安装脚本
执行控制中心安装脚本,开始安装控制中心软件。
命令:
./installer.sh
图2-48 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图2-49 提示系统根分区“/”不足
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
图2-50 输入“h3c”
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
若输入错误使用键盘“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入.
输入控制中心所在的服务器IP地址。
图2-51 输入服务器IP地址
安装程序提示是否使用启用Docker内部网络的默认IP地址,默认地址段为“10.233.233.233/27”。
如果服务器或用户网络未使用该地址段,输入“y”键,继续安装。
图2-52 输入“y”确认
否则输入“N”对Docker内部网络重新指定使用的IP网段,如下图所示。
图2-53 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的地址段无冲突,否则会导致控制中心无法正常访问。
安装过程需要数分钟,请耐心等待。
等待脚本执行完成,安装程序提示成功安装控制中心。
图2-54 成功安装控制中心
控制中心成功安装,可通过浏览器访问控制中心,导入设备授权文件。
打开浏览器,地址栏输入“https://控制中心IP:7443”,如输入“https://192.168.31.101:7443”打开控制中心Web登录管理界面,显示导入授权信息,如下图所示。
图2-55 系统提示导入授权文件
使用手机APP扫一扫功能扫描图片二维码,或互联网环境下点击“License使用指南”链接打开授权文件使用指南,获取授权文件后,点击<导入授权文件>。
在弹出的页面选择授权文件,“导入后自动绑定到根分组”保持默认的勾选状态,点击<确定>按钮,如下图所示。
请妥善保存和备份获取的授权文件。
在导入授权页面后,页面自动刷新提示输入登录账户信息,如下图所示。
图2-57 控制中心登录界面
系统内置的默认账户和密码信息。
· 账户:admin
· 密码:admin
输入默认账户信息和验证码登录控制中心。
首次登录admin账户 ,提示修改默认密码。
图2-58 修改登录密码
密码修改成功后登录控制中心,显示系统管理员视图。
图2-59 管理员视图
在首次登录时,系统会要求用户立即修改缺省登录密码,请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
配置客户端、病毒库的升级带宽及心跳周期,控制中心支持的并发在线升级的客户端最大值为1000个,单个终端升级时占用的最大带宽为100M,心跳周期配置在15秒~600秒之间。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>全局参数”,显示升级带宽管理和心跳时间界面,配置好参数后点击<保存>按钮,如下图所示。
升级带宽设置太低时,客户端升级比较缓慢,升级带宽设置太高时,会占用过多的带宽资源。
设置终端数太低时,客户端整体升级比较缓慢,设置终端数太高时,会占用过多的带宽资源。
为保证客户端能够及时更新到最新的病毒库,需要在控制中心导入最新的病毒特征库升级包和人工智能模型,以便于客户连接控制中心及时升级更新病毒库。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>系统升级>病毒库升级”,显示病毒库升级界面,点击<上传并升级>按钮,分别选择最新的病毒特征库升级包和人工智能模型导入控制中心,如下图所示
图2-61 导入病毒库升级
命令:
cd /kvedr_storage
图2-62 进入控制中心工作目录
查看目录文件。
命令:
ls -l
图2-63 查看目录文件
文件“uninstall.sh”为控制中心卸载脚本。
运行卸载脚本,开始卸载控制中心。
命令:
./uninstall
图2-64 执行卸载脚本
卸载程序提示是否清除数据,输入“y”。
图2-65 输入“y”
完成控制中心卸载和清理数据后,无需重启操作系统即可重新部署控制中心。
打开浏览器,在地址栏输入“控制中心IP”或输入“http://控制中心IP:80”,打开客户端下载页面,选择客户端点击<下载客户端>按钮下载客户端。
###注意!不要修改下载后的客户端软件安装包名称。
图3-1 选择下载客户端
可以把下载的客户端程序,放入到公司内网共享文件服务器,或者内部网站等载体,提供下载。
###注意!不要修改下载的客户端软件安装包名称。
Windows客户端对操作系统的适配。
表3-1 Windows客户端对操作系统适配表
|
编号 |
操作系统类型 |
操作系统名称 |
计算平台 |
|
|
桌面版操作系统 |
Windows XP SP3(32位) |
x86 |
|
|
Windows Vista SP2(64位) |
x86_64 |
|
|
|
Windows 7(32位、64位) |
x86/x86_64 |
|
|
|
Windows 7 SP1(32位、64位) |
x86/x86_64 |
|
|
|
Windows 8(32位、64位) |
x86/x86_64 |
|
|
|
Windows 8.1(32位、64位) |
x86/x86_64 |
|
|
|
Windows 10(32位、64位) |
x86/x86_64 |
|
|
|
服务器版操作系统 |
Windows Server 2003 SP2(32位) |
x86 |
|
|
Windows Server 2008 R2(64位) |
x86_64 |
|
|
|
Windows Server 2012 |
x86_64 |
|
|
|
Windows Server 2012 R2 |
x86_64 |
|
|
|
Windows Server 2016 |
x86_64 |
|
|
|
Windows Server 2019 |
x86_64 |
下载客户端软件安装包,查看安装包名称。
图3-2 安装包名称
请勿修改客户端软件安装包名称。
必须使用管理员权限安装客户端。
(1) XP系统上启动安装
(2) Windows 7/Windows10系统上启动安装
左键选中安装包,右键点击<以管理员权限运行>按钮,启动安装。
点击<下一步>按钮。
图3-4 点击<下一步>
选择安装目录,一般选择默认安装目录,点击<安装>按钮。
图3-6 安装进度显示
点击<完成>按钮,完成客户端软件安装。
图3-7 点击<完成>
客户端软件桌面快捷菜单。
图3-8 快捷键
双击客户端软件快捷菜单,打开客户端软件主界面。
图3-9 客户端界面
点击客户机任务栏上的客户端托盘图标,弹出托盘界面。
图3-10 客户端托盘
使用系统管理员账号登录Web管理界面,选择“终端管理”,对需要卸载客户端软件的终端勾选。
图3-11 选中客户端
点击<更多>按钮,在展开的页面上,点击<卸载客户端>完成卸载。
图3-12 执行卸载客户端命令
从控制面板卸载客户端。
若配置了卸载口令,输入卸载口令,点击<卸载按钮>。
图3-13 输入卸载口令
卸载进度显示。
图3-14 卸载过程显示
点击<确定>按钮,完成客户端软件卸载。
图3-15 点击<确定>
Linux客户端软件只适配64位的Linux操作系统和国产操作系统,不兼容32位的操作系统;客户端适配的操作系统如下表所示。
表3-2 Linux客户端对操作系统适配表
|
编号 |
系统类型 |
操作系统名称 |
内核版本 |
计算平台 |
|
|
Ubuntu系列 |
Ubuntu 14.04 |
4.4.0-142-generic |
x86_64 |
|
|
Ubuntu 16.04 |
4.15.0-112-generic |
x86_64 |
|
|
|
Ubuntu 18.04 |
5.4.0-42-generic |
x86_64 |
|
|
|
Ubuntu 20.04 |
5.4.02-42-generic |
x86_64 |
|
|
|
Ubuntu 20.10 |
5.8.0-25-generic |
x86_64 |
|
|
|
CentOS系列 |
CentOS 7.0 |
3.10.0-123.el7.x86_64 |
x86_64 |
|
|
CentOS 7.1 |
3.10.0-229.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.2 |
3.10.0-327.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.3 |
3.10.0-514.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.4 |
3.10.0-693.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.5 |
3.10.0-862.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.6 |
3.10.0-957.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.7 |
3.10.0-1062.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.8 |
3.10.0-1127.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.9 |
3.10.0-1160.el7.x86_64 |
x86_64 |
|
|
|
CentOS 8.0 |
4.18.0-80.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.1 |
4.18.0-147.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.2 |
4.18.0-193.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.3 |
4.18.0-240.el8.x86_64 |
x86_64 |
|
|
|
RedHat系列 |
RedHat 7.0 |
3.10.0-123.el7.x86_64 |
x86_64 |
|
|
RedHat 7.1 |
3.10.0-229.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.2 |
3.10.0-327.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.3 |
3.10.0-514.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.4 |
3.10.0-693.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.5 |
3.10.0-862.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.6 |
3.10.0-957.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.7 |
3.10.0-1062.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.8 |
3.10.0-1127.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.9 |
3.10.0-1160.el7.x86_64 |
x86_64 |
|
|
|
RedHat 8.0 |
4.18.0-80.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.1 |
4.18.0-147.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.2 |
4.18.0-193.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.3 |
4.18.0-240.el8.x86_64 |
x86_64 |
|
|
|
SUSE系列 |
Opensuse-leap 15.2 |
5.3.18-lp152.19 |
x86_64 |
|
|
Oracle Linux |
Oracle Linux Server 8.2 |
5.4.17-2011.1.2.el8uek.x86_64 |
x86_64 |
|
|
国产 操作系统 |
银河麒麟4.0.2桌面版 |
4.4.0-21-generic |
x86_64 |
|
|
银河麒麟4.0.2桌面版 |
4.4.0-21-generic |
Arm |
|
|
|
银河麒麟10.1桌面版 |
5.4.0-29-generic |
x86_64 |
|
|
|
优麒麟 20.10桌面版 |
5.8.0-21-generic |
x86_64 |
|
|
|
统信UOS 20桌面版 |
5.4.50-amd64-desktop |
x86_64 |
|
|
|
统信UOS 20桌面版 |
统信UOS 20桌面版 |
Arm |
|
|
|
中标麒麟 7.0桌面版 |
4.4.13-200.nd7.1.x86_64 |
x86_64 |
|
|
|
中科方德 3.1桌面版 |
4.9.0-3-amd64 |
x86_64 |
|
|
|
DEEPIN 20.1桌面版 |
5.4.70-amd64-desktop |
x86_64 |
|
|
|
一铭Emind Desktop 4.0 |
4.8.0-1-amd64 |
x86_64 |
|
|
|
红旗9 桌面版 |
4.8.6-300.rf9.x86_64 |
x86_64 |
Linux客户端UI界面支持CentOS 7.4-8.3、银河麒麟V4.0.2/V10、统信UOS20。
从控制中心下载Linux客户端程序安装包。
安装包名称:linux-h3c-x86_64-1.22.2.14[202.2.0.12].bin
请勿修改客户端软件安装包名称。
必须使用root权限安装客户端。
chmod +x linux-h3c-x86_64-1.22.2.14\[202.2.0.12\].bin
图3-16 添加可执行权限
(1) 使用root权限账户安装
命令:
./linux-h3c-x86_64-1.22.2.14\[202.2.0.12\].bin
图3-17 使用root账户安装
命令:
sudo ./linux-h3c-x86_64-1.22.2.14\[202.2.0.12\].bin
图3-18 使用普通账户安装
查看系统是否存在运行进程KvEdrDaemon进程和KvEdrSvc进程,若存在表示安装成功。
命令:
ps -aux | grep KvEdr
图3-20 查看运行进程
图3-21 Linux客户端界面
Linux客户端UI界面目前支持CentOS7.0-8.3,UOS 20桌面版,银河麒麟V4.0.2/V10。
使用系统管理员账号登录Web管理界面,选择“终端管理”,勾选需要卸载客户端软件的终端。
图3-22 勾选需要卸载客户端的终端
点击<更多操作>按钮,在展开的页面上,点击<卸载客户端>按钮完成卸载。
图3-23 执行卸载命令
(1) 使用root账户卸载
命令:
cd /KvEdr/ ###注意使用root权限
图3-24 进入客户端目录
执行卸载客户端的脚本程序。
命令:
./uninstall.sh ###注意使用root权限
图3-25 执行卸载命令
客户端软件卸载完成后,不需要重启计算机系统。
(2) 非root账户卸载
进入客户端程序安装目录。
命令:
cd /KvEdr/ ###注意使用root权限
图3-26 进入客户端目录
执行卸载客户端的脚本程序。
命令:
sudo ./uninstall.sh ###注意使用root权限
图3-27 执行卸载命令
客户端软件卸载完成后,不需要重启计算机系统。
安装脚本提示docker-ce安装失败,安装终止,如下图所示。
图4-1 安装docker-ce失败脚本终止
进入目录“rpms/docker-ce”。
命令:
cd rpms/docker-ce
重命名文件“libcgroup-0.41-21.el7.x86_64.rpm”
命令:
mv libcgroup-0.41-21.el7.x86_64.rpm libcgroup-0.41-21.el7.x86_64.rpm.bak
图4-3 重命名文件
回到控制中心解压目录,重新执行安装脚本。
命令:
./install
安装控制中心过程中服务器自动重启,不能打开控制中心Web页面。
检查服务器内存是否达到16G以上标准,检查硬盘根目录“/”空间是否即将耗尽。
在CentOS其它版本上(非CentOS 7.5 1804)上安装控制中心,安装脚本执行失败。
控制中心安装脚本运行在CentOS 7.5 1804,对其它版本的CentOS上由于脚本命令不同可能导致安装脚本执行失败,处理方法:先安装Docker环境,然后再执行控制中心安装脚本,或者使用推荐的操作系统版本。
安装脚本提示yum锁定,进程pid为3525或其它进程pid,如下图所示。
图4-5 安装过程提示yum锁定
重新打开一个终端连接(Terminal或SSH等),使用kill命令和对应的pid结束yum。
命令:
Kill -9 3525
图4-6 终止进程
在提示yum锁定的终端连接(Terminal或SSH等),输入“CTRL+C”终止安装(可以连续多输入几次),重新执行安装脚本。
对终端上正常的业务应用软件或其它工具软件等误杀误报
【策略中心】-【信任名单】设置,将被误杀误报的软件添加到信任名单。
客户端显示未连接安全中心或未在控制中心上线。
(1) Windows客户端,查看“KvEdrSvc”进程是否存在,服务名称为“KvEdrDaemon”的服务是否在运行中;
(2) Linux客户端,执行命令:ps -aux | grep KvEdr,查看是否存在“KvEdrSvc”进程;
(3) 检测客户端到控制中心的服务端口通信是否放行;
(4) 重启操作系统,查看是否能够连接控制中心;
(5) 重新安装客户端软件,查看能否连接控制中心;
(6) 客户端设置菜单,查看控制中心IP地址是否正确。
客户端漏洞修复失败。
(1) 打开系统服务,找到显示名称为Windows Update(服务名wuauserv)的服务,将服务启动类型改为“自动(延迟)”或“自动”,并确保服务状态“已启动”;
(2) 检查终端安全策略的漏洞修复项,是否正确配置互联网环境漏洞修复策略或内网环境漏洞修复策略,并检查策略是否已经分发给终端执行;
(3) 互联网用户,检查微软更新域名是否可以访问,命令:ping download.windowsupdate.com;
(4) 内网用户,检查到内网WSUS补丁服务器TCP协议8530是否连通,检查补丁服务器内存/CPU性能使用是否过载;
(5) 在客户端下载页面,选择其它资源,安装更新补丁后再次尝试漏洞修复;64位客户机上手动安装补丁windowsupdateagent-7.6-x64.exe,32位客户机上手动安装补丁windowsupdateagent-7.6-x86.exe,重启操作系统后尝试漏洞修复;
(6) 重启WSUS补丁服务器后,再次尝试漏洞补丁修复。
客户端出现无法升级病毒库的情况。
检查【策略中心】-【基本策略】,升级选项是否关闭了自动升级。
封闭网络环境下,对于不能连接互联网又需要对Windows系统存在的漏洞进行补丁修复的客户机,可在用户内网部署WSUS补丁服务器,提供补丁下载服务,实现操作系统漏洞补丁修复。
封闭网络环境下,根据终端/计算机对互联网资源的访问权限,可以有以下两种情形。
· 代理上网:特定终端/服务器通过代理访问互联网资源,其它终端/服务器无法访问互联网。
· 物理隔离:所有终端/服务器与互联网物理隔离,均不能访问互联网资源。
下面分别介绍在这两种情形下内网WSUS补丁服务器的部署(互联网环境下用户的客户机可以直接使用微软的WSUS补丁服务器下载补丁)。
请提前做好WSUS补丁服务器同步工作。
WSUS补丁服务器部署完成后第1次同步时需要同步全量补丁,因同步的补丁数量不等、网速带宽等原因,完成同步所需的时间也不同,大概需要几天时间,例如只同步Windows XP/Windows 7/Windows 10/Windows 2008 R2/Windows 2012/Windows 2016系统的安全更新补丁时大概需要3天左右时间。
请提前准备好WSUS补丁服务器、开展补丁同步工作,以免耽误工作进度。
内网WSUS补丁服务器能够通过代理服务器访问互联网资源,客户端主机仅能访问内网资源;内网WSUS补丁服务器通过代理服务器访问微软补丁服务器并下载补丁,客户端主机从内网WSUS补丁服务器下载安装补丁。
图5-1 代理上网环境中部署WSUS补丁服务器
可移动便携式服务器A(或笔记本)作为下游WSUS补丁服务器,定期从微软中心同步下载补丁,同步完成后移动到封闭网络临时运行;服务器B作为下游WSUS补丁服务器定期从WSUS补丁服务器A同步补丁,同步完成后把主机A从封闭网络移除;客户端主机从内网WSUS补丁服务器B下载补丁安装,WSUS补丁服务器A起到临时摆渡补丁的作用(平时可用于其它工作用途),如下图所示。
图5-2 通过临时摆渡部署WSUS补丁服务器
可移动便携式服务器A作为下游WSUS补丁服务器,定期访问互联网从微软中心同步下载补丁,同步完成后移动到封闭网络长期运行;客户端主机从WSUS补丁服务器A下载补丁安装。
WSUS补丁服务器A既起到摆渡补丁的作用,又起到给客户机提供补丁下载的功能。
图5-3 定期摆渡WSUS补丁服务器
硬件配置
CPU:8核或以上;
内存:16G或以上;
硬盘:500G(建议1T以上)。
操作系统:
可选取Windows Server 2012/2016/2019版本操作系统,下文以在Windows Server 2016操作系统上部署WSUS服务举例说明。
图5-4 WSUS补丁服务器操作系统版本
打开开始菜单,选择“控制面板>系统和安全> Windows防火墙>高级设置”,展开防火墙高级配置界面,步骤如下图所示。
从开始菜单,找到控制面板。
图5-5 控制面板
打开控制面板后,选择“系统和安全”。
图5-6 系统和安全
选择Windows防火墙。
图5-7 选择Windows防火墙
点击<高级设置>按钮。
图5-8 高级设置
选择“入站规则”展开Windows防火墙入站规则,点击“已启用”进行排序。
图5-9 防火墙入站规则排序
将已启用的规则全部选中,右键点击<禁用规则>。
图5-10 禁用所有入站规则
选中“入站规则”,点击右侧<新建规则>按钮,弹出新建防火墙入站规则界面,如下图所示。
图5-11 新建入站规则
图5-12 选中端口
输入445端口、135-139端口。
图5-13 输入端口
图5-14 选中阻止连接
在“何时应用该规则”页面,全部选中后点<下一步>按钮。
图5-15 勾选全部
图5-16 输入规则名称
阻断规则配置完成。
此步骤是为了让客户端能够访问内网WSUS服务器的补丁服务,下载补丁包。操作步骤和阻断规则操作步骤类似,不同之处是在“协议和端口”配置步骤中输入“8530、8531”,在“操作”步骤中选择“允许连接”,如下图所示。
图5-17 输入WSUS服务端口
图5-18 选中允许连接
此步骤是为了便于通过远程桌面连接 WSUS服务器进行操作和管理。在“协议和端口”步骤中输入“3389”(远程桌面默认使用3389端口,修改过远程桌面连接端口的请输入正确的端口号),在“操作”步骤中选择“允许连接”,如下图所示。
图5-19 输入远程桌面端口
图5-20 选中允许连接
为了增强系统安全性,需要限定远程桌面连接的作用域,仅允许作用域内的特定IP通过远程桌面连接服务器。
双击已创建的远程桌面防火墙规则,在弹出的配置界面上,选择“作用域>远程IP地址>下列IP地址”,点击<添加>按钮,在弹出的配置界面上,输入IP地址或IP段后点击<确定>应用,如下图所示。
图23 添加远程桌面入站规则作用域
防火墙“入站规则”配置完后,如下图所示。
图5-21 WSUS补丁服务器防火墙入站规则
检查防火墙是否启用,保持防火墙启用状态,如下图所示。
图5-22 配置防火墙允许状态
图5-23 将防火墙启用
从开始菜单,打开服务器管理。
图5-24 打开服务器管理器
选择“添加角色和功能”。
图5-25 添加角色和功能
点击<下一步>按钮。
图5-26 点击下一步
图5-27 点击下一步
图5-28 点击下一步
勾选“Windows Server更新服务”。
图5-29 勾选“Windows Server 更新服务”
在弹出的界面上,单击<添加功能>按钮。
图5-30 添加功能
单击<下一步>按钮。
图5-31 点击下一步
图5-32 点击下一步
图5-33 点击下一步
输入服务器用于存储补丁规则库和补丁文件的路径,建议1T以上的存储空间。
图5-34 输入存放下载补丁的路径
图5-35 点击下一步
图5-36 点击下一步
点击<安装>按钮,开始在操作系统上添加安装WSUS补丁服务。
图5-37 点击安装
图5-38 安装进度显示
WSUS补丁服务安装完成,点击<关闭>按钮。
图5-39 点击关闭
首次使用WSUS补丁服务器从上游同步补丁时,需要做一些基本配置,配置步骤如下。
选择“服务器管理器>工具”,点击<Windows Server更新服务>按钮。
图5-40 打开“Windows Server更新服务”
弹出完成WSUS安装对话框,检查内容目录路径是否正确。
图5-41 完成WSUS安装配置
图5-42 运行
初始化运行后,单击<关闭>按钮。
图5-43 单击关闭
图5-44 单击下一步
不勾选“是的,我希望加入Microsoft更新改善计划(M)”。
图5-45 不勾选
WSUS补丁服务器作为下游服务器,若可直接访问互联网,选择从微软中心同步补丁。
图5-46 选择从微软更新
WSUS补丁服务器无法直接访问互联网,需要走代理服务器则填写代理服务器地址,否则不使用代理。
图5-47 不使用代理服务器访问互联网
WSUS补丁服务器如果不能访问互联网,从内网中其它的上游服务器同步补丁,填写上游服务器地址和端口。
图5-48 使用代理服务器访问互联网
配置完成后,点击<开始连接>按钮,连接上游服务器。
图5-49 开始连接
图5-50 连接上游服务器过程
图5-51 成功连接到上游服务器
选择漏洞修复适配的给客户端操作系统的语言,大陆地区一般选“中文(简体)”。
图5-52 选择语言
选择进行漏洞修复的操作系统产品类型。
图5-53 选择产品
选择“产品”操作步骤注意事项:
1.根据客户环境操作系统类型选择产品,请勿选择与用户环境无关的产品。
2.若用户只有Windows XP、Windows 7、Windows 10,则只勾选这3项。
3.若用户只有Windows Server 2008 R2、Windows Server 2016服务器,只勾选这2项。
4.后续增加新的系统产品时,通过勾选对应产品、向微软同步后可以使用。
5.一般不选择“Upgrade”和“Drivers”更新,请勿勾选全部产品!
图5-54 选择补丁类型
选择“分类”操作步骤注意事项:
1.一般选择默认即可。
2.一般不勾选“程序驱动”、“程序驱动集”。
图5-55 配置补丁同步计划
图5-56 点击下一步完成配置
WSUS补丁服务器先从上游服务器下载漏洞规则库,在管理员审批后同步下载补丁文件,或者配置自动审批,自动审批下载补丁文件。
图5-57 自动审批配置
图61勾选默认的自动审批
点击“立即同步”开始同步补丁。
图5-58 立即同步补丁
图5-59 查看补丁同步进度
图5-60 对补丁手动审批
选择“策略中心>漏洞修复”,配置漏洞修复策略。互联网环境下勾选互联网环境,内网环境填写WSUS补丁服务器地址。
图5-61 配置漏洞修复策略
策略配置完成后,将策略下发给需要漏洞修复的客户机执行。
打开客户界面,选择“漏洞修复”,点击<开始扫描>按钮,进行系统漏洞扫描。
图5-62 客户端漏洞扫描
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
