- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
28-进程管控配置举例
本章节下载: 28-进程管控配置举例 (2.97 MB)
本文档介绍终端安全管理系统终端审计功能配置举例。对于终端计算机可以针对不同类型的行为操作进行审计。
本文主要介绍如何配置进程管控规则。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解桌面管控特性,掌握了给终端下发安全策略的步骤。
终端安全管理系统组网方式比较简单,只要网络可达即可。
安装服务端后,客户端可以自动连接到服务端。管理员可直接通过WEB浏览器进行管理。
服务端安装参见《H3C SecCenter 终端安全管理系统 V3.1 ESS 6301P10安装指导》。
· 登录Web管理控制台。
· 创建运维管控策略,配置进程管控规则,策略下发给终端。
打开Web浏览器,使用HTTPS协议在地址栏输入服务端地址和端口,输入格式:https://ServerIP:8443(请将ServerIP替换为服务端实际IP地址,如“https://192.168.10.10:8443”),弹出输入账户信息登录页面,输入系统管理员账户信息和验证码,单击<登录>,如下图所示。
图4-1 账户信息输入页面
图4-2 控制台
转到“业务安全 > 策略管理 > 运维管控策略”,新建策略“Policy1”。
进入Policy1,配置进程管控规则,如下图所示。
图4-3 进程管控规则配置
登录Web控制台->业务安全 -> 策略管理->运维管控策略,新增策略
图4-4 新增运维管控策略
确认后,点击“立即配置”进入策略配置页面
图4-5 运维管控策略配置
进入“进程管控规则”页面,勾选开启进程黑名单功能,默认生效时间为周一至周日的24小时生效;
图4-6 开启进程黑名单功能
点击“设置黑名单进程”,添加进程到黑名单,有“指定进程黑名单”、“规则匹配拦截”两种设置黑名单进程的方式;
图4-7 设置黑名单进程
在“指定进程黑名单”页面,点击“选择进程”,展示终端上报的进程列表;
图4-8 进程选择列表
勾选需要设置的进程,点击“确认”,界面展示指定的进程列表;
图4-9 指定进程黑名单
在“规则匹配拦截”页面,点击“新增黑名单规则”新增黑名单规则,通过“组合规则”添加黑名单进程;
图4-10 新增规则匹配黑名单
点击“确定”,回到进程管控页面,点击“保存”
图4-11 保存运维管控策略
登录Web控制台 -> 业务安全 > 策略管理 -> 运维管控策略,新增运维管控策略,新建成功后点击立即配置进入策略管理中,选择进程管控规则,跳转到进程管控页面,点击进程保护,进程保护默认关闭,默认生效时间为周一至周日的24小时生效;
图4-12 开启进程保护
点击开始打开进程保护,点击【设置受保护进程】,弹窗【设置受保护进程】,该方式可以选择通过资产扫描上报的进程选择需要被保护的进程。点击【规则匹配保护】,弹窗【新增进程保护规则页面】,该方式可通过进程的sha1和组合规则两种方式添加待保护的进程
图4-13 通过规则匹配保护添加受保护进程
本例以组合规则方式添加受保护的进程。选择【规则匹配保护】,点击新增进程保护规则,在弹窗中填写规则名称【进程保护-hfs】,选择组合规则,按照进程的信息填写如下,填写完成后点击确认,并再次点击保存,保存该策略
图4-14 新型受保护进程
在业务安全 > 策略管理 -> 运维管控策略中选择该策略,并点击启用,并将该策略分配给客户端
图4-15 运维策略开启
图4-16 分配运维管控策略给客户端
策略下发完毕,客户端主机上双击运行腾讯QQ,会有弹框提示进程被阻止,操作完成后会后向服务端上报对应的终端审计日志。
图5-1 QQ进程被阻止
登录Web控制台->业务安全->运维管控->进程管控日志,可查看相应的管控日志
图5-2 进程阻断日志
在客户端上双击安装hfs.exe,安装成功后在任务管理器中能看到对应hfs.exe进程
图5-3 客户端启动进程
在客户端打开任务管理器,在详细信息中找到hfs.exe ,右键结束任务,弹窗提示 无法完成该操作
图5-4 进程保护
登录Web控制台 -> 业务安全 -> 运维管控->进程管控日志,可查看相应的管控日志
图5-5 进程保护日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
