- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
32-终端准入管理典型配置举例
本章节下载: 32-终端准入管理典型配置举例 (2.76 MB)
本文档用于介绍设备与终端插件的对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计和控制。
主要包含以下功能:
· 用户终端行为基础配置。
· 用户终端行为审计策略配置。
· 规则对象配置。
· 准入策略配置。
· 设备作为控制器为用户终端推送插件。
· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解终端准入管理的特性。
本举例的配置需要提前获取终端插件的安装文件。
(1) R6618及以上版本的设备只能配置使用2.1.x版本的插件,1.3.x和2.0.x的插件不兼容,不能正常使用。
(2) 以下规则对象类型在一条准入策略中只能引用一条:
(3) 杀软检查规则、登录域检查规则、操作系统规则、补丁检测规则、Windows账号规则、防篡改检查规则、外联检查规则、外设管控规则。
(4) 在一条准入策略中同时配置用户和用户IP地址时,只需匹配其中一个条件即为匹配到策略。
(5) 无硬盘设备不支持终端准入管理功能。
(6) 配置插件推送后,访问HTTP网站可以推送插件;访问HTTPS网站推送插件,需要配置SSL解密策略。
(7) 设备端必须开启用户态协议栈,终端准入管理业务运行在用户态协议栈。
· 终端准入日志不支持syslog外发。
· 日志记录的时间是在终端上审计或检查的时间,跟终端电脑的时间相关。
· 查询终端准入日志时,查询时间依赖于日志保存时间(日志入库的时间),而非日志的产生时间。
· 日志显示顺序,是根据插件上报顺序倒序进行展示。
· 终端合规状态日志违规详情最长显示为511字符,超过511字符的详情会被截断。
· 终端准入日志的存储依赖于Syslog模块,依赖于审计日志保存期限,超过保存期限的日志,可以定期删除。
· 移动终端不支持插件安装。
· 插件只支持IPv4,不支持IPv6。
· 插件只支持win7、win8、win8.1、win10、win11操作系统,不支持windows server、win xp等操作系统,在不支持的操作系统上不能正常运行插件。
· 插件只支持中文,插件上报相关日志也只有中文显示。
· 心跳机制发生了改变,探测模式是同时发起HTTP和HTTPS,哪个成功探测哪个,如果都失败就重新再进行探测。所以HTTP切换到HTTPS时,探测HTTP失败,HTTPS成功,立刻就能进行HTTPS保活。
· 卸载插件时会导致电脑短暂的断网。
· 使用插件时需要将360安全卫士,火绒安全卫士,以及Windows自带的防火墙等所有安全检查类软件关闭,否则会影响插件功能。
· 日志会概率性出现重复审计的情况。
· IM审计支持的IM软件及版本:
|
聊天工具 |
推荐版本 |
支持版本 |
|
|
9.7.23 9.9.16-28971 |
9.5.1-9.7.23 9.9.16-28971及以上 |
|
微信 |
3.9.11.19 |
V3.4.0.38--3.9.11.19 |
|
钉钉 |
7.5.22-Release.51010802 |
V6.3.5--7.5.22 |
|
阿里旺旺 |
10.01.03C(870) |
V9.12.10C--10.01.03C(870) |
|
TIM |
3.4.8.22138 |
V3.4.1--3.4.8.22138 |
|
企业微信 |
4.1.22.6009 |
V4.0.18.6008--4.1.22.6009 |
· IM审计只支持一对一和群聊的文字消息和文件收发审计。
· 昵称最多支持审计63字符,超过63字符会被截断。
· 消息内容最多支持审计8191字符,超过8191字符会被截断。
· 文件需要在本地存在,再通过IM软件发送才能正常审计。
浏览器审计支持的浏览器及版本如下表。
|
浏览器 |
推荐版本 |
支持版本 |
|
谷歌 |
125.0.6422.113 |
104.0.5112.81-125.0.6422.113 |
|
火狐 |
126.0 |
106.0.2-126.0 |
|
Microsoft Edge |
125.0.2535.67 |
106.0.1370.52-125.0.2535.67 |
|
IE |
11.0.9600.20671 |
9.11.19041.0-11.0.9600.20671 |
|
360安全 |
15.3.2065.64 |
13.1.6230.0-15.3.2065.64 |
|
360极速浏览器 |
13.5.2044.0 |
13.5.2036.0-13.5.2044.0 |
|
搜狗浏览器 |
12.3-6061 |
11.0.1.34700-12.3.6061.400 |
· 浏览器审计不支持HTTP网站审计,只支持部分HTTPS网站审计。
· CSDN网站发布文章时使用富文本的时候,发送内容为空的文章,网站不会发送url请求,无法审计到此行为。 用MD编辑器格式发送内容为空的文章,网站就会发url请求,能够审计到发帖行为。
· 只支持审计使用TLS1.2协议交互的网站行为,不支持审计TLS1.0、TSL1.1、TLS1.3协议。
· 部分网站目前只能审计‘&’之前的内容。
· 部分网站无法获取登录手机号或者登录名称。
· 扫码登录行为不能审计。
· 斗鱼登录只能审计到用户名前三个字符。
· 部分网站登录名称是加密,审计到的是加密后的用户名。
· 部分网站搜索内容包含空格时,空格会被审计为+。
· 360极速浏览器x不支持审计。
· 不支持按图片搜索的审计。
· • 火狐浏览器主页有很多搜索框,直接在主页的搜索框输入是无法审计。
· 浏览器审计规则长时间未更新,很多网站发生变化,导致部分网站、部分行为可能审计不到。
· 浏览器网站搜索和发帖、登录的审计只支持文字,不支持图片、视频和文件等其他规格审计;网盘类网站可以支持文件审计。
· 客户端邮箱审计支持的软件及版本要求:
|
邮箱类型 |
推荐版本 |
支持版本 |
|
Foxmail |
7.2.25.254 |
7.2.22.194-7.2.25.254 |
|
Outlook2016 |
- |
|
· 撤回的邮件审计到的主题显示为空。
· 腾讯系邮箱发邮件时可能会使用私有加密,发送的邮件使用私有加密,目前无法解密,加密内容以附件形式给出。
· 邮箱审计不支持密送人审计,
· 接收QQ邮箱发送带有表情和图片附件的邮件,接收到的表情和图片偶尔无法审计。QQ邮箱为了防病毒(或其他),将附件内容替换,无法审计到内容,目前无法获取到原文件内容。
· 邮件审计流量不是百分百准确,少数情况下可能会出现邮件审计内容与实际邮件内容不一致。
· 腾讯系邮箱发邮件时可能腾讯服务器先对原邮件做包装(比如压缩、加密等),再发送到PC。xdr拦截的是经过腾讯服务器处理后的邮件,暂时不支持对压缩和加密邮件做解析审计。
· 邮件主题包含<、>、:、"、/、\、|、?、*字符,审计到的邮件名称中以上字符会被替换成下划线。
· 支持win7-win11操作系统;
· USB审计只支持360桌面和Windows桌面。
· USB审计支持U盘审计和移动硬盘审计。
· 不支持对从U盘拷出文件/文件夹到360桌面的行为进行审计;
· 支持拷入拷出文件夹的审计,但是不支持文件夹的下载和文件夹大小的审计;
· 对在U盘里新建、删除文件\文件夹行为不进行审计;
· 拷入文件到U盘,文件名称满规格,审计文件名称和实际不一致;因为满规格文件名包含路径在内有260字节的限制,文件路径长度超过了260字节,拷入到U盘时,操作系统会自动把长文件名转换成短文件名,从而保证路径在260字节内;
· win8操作系统不支持批量拷出和拷入文件的审计;
· 操作U盘概率性出现资源管理器重启。
(1) 登录域检查、操作系统检查、补丁检查、Windows账号检查规则定时10分钟进行检查;杀软检查、进程检查、文件检查、注册表检查、防篡改检查、软件检查、外联检查定时1分钟进行检查;当插件配置发生变化(同类型规则配置变化)时,固定1min扫描的不会立即扫描,等到下一个扫描周期自动触发;固定10min扫描会立即扫描;管控类规则没有定时扫描,获取配置后立刻生效;防篡改功能当终端网卡配置发生变化时,会实时进行检查。
(2) 设备上版本号输入只能输入数字和符号,当软件版本号出现字母或其他特殊符号,将非数字字符视为分割符号,并且移除开头和结尾的符号,最后得到的版本号。
(1) 客户端安装并运行了360安全卫士,但是一直提示未安装,需要关闭程序重新运行或重启电脑。
(2) 病毒库未更新天数指的是更新病毒库版本的日期至当前时间,不是指的病毒库的日期至当前时间。
(3) 只能获取到金山毒霸前4个小数点的版本号信息。
(4) 只有Win11、Win10操作系统支持检查Windows Defender杀毒软件。
(1) 进程名称配置为xdr.exe、xdr_alert.exe、xdr_helper.exe,插件跳过检查,上报合规日志。
(2) 因为第三方程序的问题,会导致进程检查中开启进程失败。
(1) 如果配置的文件路径是XDR安装目录下的文件路径,则不受文件检查规则控制,直接跳过,上报合规日志。
(2) 环境变量和系统环境变量配置有关系,XDR是32位程序,需要打开32位CMD程序,查看对应环境变量信息。
如果配置的注册表路径是XDR的注册表路径,则不受注册表检查规则控制。
(1) 防篡改检查功能只对与设备通讯的网卡进行检查和处理。
(2) 防篡改关闭只支持静态IP防篡改,DHCP场景不支持IP防篡改。
(3) MAC地址防篡改,是判断有没有修改MAC地址值,只要修改了MAC地址的值即判定为违规,与修改的MAC地址值无关,违规后会清空MAC地址值,恢复默认MAC地址。
软件检查的软件名称和版本号以“控制面板\程序\程序和功能”列表中信息为准。
(1) 自定义外联必须勾选连接外网才会生效。
(2) 插件只支持检查标准的4G网卡(即网卡类型为IF_TYPE_WWANPP、IF_TYPE_WWANPP2的4G网卡),非标准的4G网卡不支持检查。
(3) 连接外网,插件会TCP探测www.baidu.com 的443端口。
(4) 自定义外联地址若只配置IP,就会TCP探测该IP的80端口。
(1) 计划任务执行在后台执行,执行页面不在终端显示。
(2) 计划任务默认1分钟超时,超过1分钟没有执行完成就为执行失败。
(3) 配置周期执行时,插件不做程序多开检查,执行完成后不会关闭对应程序,会一直重复执行运行或安装程序。
(4) 计划任务执行失败后每次都会上报日志。
(5) 运行一次的计划任务,获取配置后会执行一次,XDR每次重启会执行。
(6) 周期运行的任务,获取配置后会立刻执行,再从获取配置的时间起,按间隔时间周期性的执行。
外联管控只对TCP/UDP报文进行阻断和放通,其他报文不进行处理。
(1) 端口控制对外网地址连接本地端口进行控制,本地发起的请求可以正常连接;但是因为UDP和ICMP是无状态的,本地发起的请求可以正常发出去,但是返回的端口为随机端口被认定为接收导致无法连接,配置UDP和ICMP协议控制时需要注意,会导致本地连接外网地址不通。
(1) 外设管控规则-精细化管理,配置U盘及移动硬盘接入权限为只写,终端可以从U盘和移动硬盘中拷贝出空文件夹以及空文件。
(2) 外设管控规则-精细化管理,配置U盘及移动硬盘接入权限为只写,部分移动硬盘读取的时候缺少权限无法写入。
(3) 便携式设备在不同的操作系统上,硬件ID可能会不一样。
(4) 添加网络打印机后,若设备管理器里没有新增打印队列,插件会获取不到对应打印机的设备ID。
(5) 外设管控规则禁用外设后,卸载插件后,外设仍会处于禁用状态,不会恢复成启用状态。
(6) 先配置禁用打印机,再添加打印机,添加不成功,不能使用;已经成功添加打印机,再配置禁用打印机,禁用不成功,可以正常使用已经添加的打印机。
(7) 配置打印机白名单时,需要将根打印队列也添加到白名单中。
如下图所示,某公司内网办公网段IP地址为172.16.11.1/24。使用设备的ge2(172.16.11.1/24)口连接内网设备,ge0 (10.210.11.1/16)口连接外网,在设备开启终端插件推送及业务功能。
· 配置接口地址、路由、NAT策略、用户识别范围。
· 配置DNS域名管理。
· 配置终端准入策略
本举例是在F6617P04版本上进行配置和验证。
· 需要预先获取终端插件的安装文件。
· 必须开启DNS服务器,设置的DNS域名为updatexdr.net,域名对应的IP地址需要与客户端的IP地址可达。
· PC需要配置DNS服务器且DNS流量过设备。
· 策略配置的下发时间,依赖于保活时间,如一开始配置保活周期过长,比如7200秒,策略下发后,等待时间会过长,建议开始不要设置太长时间。
(1) 在设备上进入“网络配置>接口配置>物理接口”页面,配置物理接口地址,如下图所示。
图2 配置物理接口地址
(2) 在设备上进入“网络配置>接口配置>路由管理>静态路由”页面,配置静态路由,如下图所示。
图3 配置静态路由
(3) 在设备上进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT,如下图所示。
图4 配置源NAT
(4) 进入“用户管理>认证管理>高级选项>全局配置”,配置识别范围,确保终端在识别范围内,如下图所示。
图5 配置用户识别
在设备上进入“网络配置>基础网络>DNS服务>域名管理”页面,如下图所示。
图6 配置DNS域名管理
进入“用户管理>终端准入管理 >配置选项”页面,配置如下,假设已获取插件客户端文件。
图7 配置基础配置
进入“用户管理>终端准入管理 >审计策略>终端审计”页面,启用所有审计功能,配置如下。
图8 配置终端审计
进入“用户管理>终端准入管理 >准入策略>规则对象”页面。将鼠标悬停在“新建”按钮,在新建菜单中选择新建的规则,分别配置规则对象。
(1) 新建“杀软检查规则”
配置必须安装360安全卫士杀毒软件,若用户没有安装,禁止上网并提示用户。
图9 配置杀软检查规则
(2) 新建“登录域检查规则”
配置用户必须登录到指定域,若没有登录到指定域,禁止用户上网。
图10 配置登录域规则
(3) 新建“操作系统规则”。
配置允许的操作系统为Windows7、Windows8、Windows8.1、Windows11,若不在允许范围内的操作系统安装插件,禁止用户上网。
图11 配置操作系统规则
(4) 新建“进程检查规则”
配置不允许运行“QQ.exe”进程,若用户运行了“QQ.exe”进程,停止该进程。
图12 配置进程检查规则
(5) 新建“文件规则”
配置不允许存在“C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe”文件,若用户存在此文件,禁止上网。
图13 配置文件规则
(6) 新建“注册表规则”
配置不允许存在QQ的对应注册表,若用户存在,禁止用户上网。
图14 配置注册表规则
(7) 新建“补丁检测规则”
勾选所有漏洞,若用户电脑存在漏洞且没有安装对应补丁,禁止用户上网。
图15 配置补丁检测规则
(8) 新建“Windows账号规则”
配置计算机使用隶属于Administrator组的用户登录,禁止上网。
图16 配置Windows账号规则
(9) 新建“防篡改检查规则”
配置禁止修改IP和MAC,若用户修改IP或MAC,则恢复修改前地址并提示用户。
图17 配置防篡改检查规则
(10) 新建“软件检查规则”
配置检查安装腾讯QQ软件,如果安装则禁止用户上网。
图18 配置软件检查规则
(11) 新建“外联检查规则”
配置检查是否存在无线网卡,如果有无线网卡,则禁止用户上网。
图19 配置外联检查规则
(12) 新建“计划任务规则”
配置以当前用户权限,间隔5分钟,周期性运行test.exe程序。
图20 配置计划任务规则
(13) 新建“外联控制规则”
配置用户不能访问的IP地址。
图21 配置外联控制规则
(14) 新建“外设管控规则”
配置禁止使用存储设备,将U盘添加到白名单,白名单的外设不受控制。
获取U盘设备ID的方法如下:
进入“用户管理>终端准入管理>准入策略>规则对象”,将鼠标悬停在“新建”按钮,选择“管控规则>外设管控规则”,在“白名单”工具栏中点击下载“外设ID读取软件”和“配置向导”,根据配置向导文档获取指定外设的ID。
图22 配置外设管控规则
(15) 新建“端口管理规则”
配置指定IP不能访问指定的TCP-80端口。
图23 配置端口管控规则
进入“用户管理>终端准入管理 >准入策略”页面,新建准入策略,配置用户IP地址,在“规则对象”列表框中勾选已创建的规则对象。
图24 配置准入策略
在客户端PC上配置IP地址和DNS服务器,保障所有流量过设备。
图25 PC端配置IP
(1) 在客户端PC上打开浏览器,访问网站,会有插件推送页面弹出。
客户端弹出插件安装的页面,点击下载,如下图所示。
图26 插件下载页面
(2) 点击“下载插件”,根据提示信息,安装插件。
(3) 登录设备Web管理页面,选择“用户管理 > 终端准入管理 > 终端管理 > 在线终端”,查看在线终端,如下图所示。
图27 查看在线终端
(1) 在客户端PC上查看安装的插件版本,如下图所示。
图28 查看PC安装的插件版本
(2) 设备端上传新版本插件安装包。
登录设备Web管理页面,选择“用户管理 > 终端准入管理 > 配置选项”,在配置选项页面上传新版本的插件安装包文件。
图29 设备上传新版本插件
(3) 间隔一段时间(保活周期),查看客户端安装的插件版本。
间隔60秒后,在客户端PC上查看安装的插件版本,已更新为新版本插件,如下图所示。
图30 查看插件更新后版本
(1) 客户端PC打开浏览器访问网站,进行网页搜索。
图31 登录设备Web管理页面,进入“数据中心>日志中心>终端日志>浏览器日志”页面,查看日志。
图32 查看浏览器日志
客户端通过即时聊天工具,比如QQ,发送文件、文字。
登录设备Web管理页面,进入“数据中心>终端准入日志>聊天日志”页面,查看终端审计日志,如下图所示。
图33 查看聊天日志
点击“下载”,可以将聊天传送的文件下载到本地,点击“详细”进行查看聊天的详细内容。
客户端发送邮件、收取邮件会被审计。
登录设备Web管理页面,进入“数据中心>日志中心>终端准入日志>邮件日志”页面,查看邮件日志,如下图所示。
图34 查看邮件记录日志
客户端插入USB,传文件到U盘或从U盘下载文件会被审计。
登录设备Web管理页面,进入“数据中心>日志中心>终端准入日志>USB事件日志”页面,查看>USB事件日志,如下图所示。
图35 查看USB事件日志
客户端相关进程会被审计,进入“数据中心>日志中心>终端准入日志>进程列表日志”页面,查看日志。
图36 查看进程列表日志
PC未安装对应杀毒软件,电脑右下角弹窗提示,且不能正常上网。
图37 验证杀软检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图38 查看终端合规状态
终端未登录到域,电脑右下角弹窗提示,且不能正常上网。
图39 验证登录域检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图40 查看终端合规状态
win10-PC安装插件,电脑右下角弹窗提示,且不能正常上网。
图41 验证操作系统功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图42 查看终端合规状态
PC运行QQ.exe,不能正常打开QQ,电脑右下角弹窗提示。
图43 验证进程检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图44 查看终端合规状态
PC存在对应文件,电脑右下角弹窗提示,且不能正常上网。
图45 查看PC上文件
图46 验证文件检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图47 查看终端合规状态
PC存在对应注册表项,电脑右下角弹窗提示,且不能正常上网。
图48 查看PC注册表
图49 验证注册表检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图50 查看终端合规状态
PC存在漏洞未安装对应补丁,电脑右下角弹窗提示,且不能正常上网。
图51 验证补丁检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图52 查看终端合规状态
PC使用 隶属于Administrator组的用户登录,电脑右下角弹窗提示,且不能正常上网。
图53 验证windows账号功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图54 查看终端合规状态
在客户端PC上修改IP地址后,电脑右下角弹窗提示,并恢复电脑IP地址为修改前的地址。
图55 修改IP地址
图56 验证防篡改功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图57 查看终端合规状态
PC上安装了对应软件,电脑右下角弹窗提示,且不能正常上网。
图58 验证软件检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图59 查看终端合规状态
PC连接WiFi,电脑右下角弹窗提示,且不能正常上网。
图60 验证外联检查功能
登录设备的Web管理页面,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图61 查看终端合规状态
进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有PC执行计划任务日志。
图62 查看终端合规状态
PC不能访问配置的地址。
图63 验证外联控制功能
在PC端插入白名单外的U盘或移动硬盘,不能正常操作;插入白名单内的U盘,可以正常拷入拷出文件。
登录设备的Web管理页面,进入“数据中心>日志中心>终端准入日志>终端合规状态”页面,查看日志,有记录指定进程违规日志。
图64 查看终端合规状态
在PC端启动HTTP服务,使用IP地址为172.16.11.101的PC访问http://172.16.11.108,不能正常访问,使用非172.16.11.101的IP地址可以正常访问。
图65 验证指定IP不能访问本地端口
图66 验证非指定IP可以访问本地端口
PC安装插件,上线后在设备上查看授权列表会显示授权码。
图67 查看授权码列表
客户端通过卸载程序或控制面板卸载程序,需要输入配置的卸载密码。
图68 客户端卸载密码输入页面
如下图所示,某企业需要对内网用户172.16.11.100-172.16.11.200/24的用户进行终端行为审计。设备部署在交换机旁,通过镜像的方式。旁路模式不修改网络结构,不会影响企业内部网络。
图69 组网图
· 配置DNS域名管理。
· 配置端口镜像
· 接口启用旁路
· 配置终端准入管理
本举例是在F6617P04上进行配置和验证。
· 需要预先获取终端插件的安装文件。
· 旁路部署模式需要保障客户端PC访问updatexdr.net时可以解析到旁路设备的地址,因此在出口网关处需要配置DNS域名映射或在DNS服务器上配置静态域名绑定,域名为updatexdr.net,域名对应的IP地址需要与客户端的IP地址可达。
· PC需要配置DNS服务器且DNS流量过设备。
· 策略配置什么时候下发,依赖于保活时间,如一开始配置保活周期过长,比如7200秒,策略下发后,如等待时间过长,不利于测试,建议一开始不要设置太长时间。
在设备上进入“网络配置>基础网络>旁路部署”页面,ge3口配置旁路部署。
图70 配置旁路部署
进入“用户管理>终端准入管理 >配置选项”页面,配置如下,假设已获取插件客户端文件。
如下图所示。
图71 配置基础配置
进入“用户管理>终端准入管理 >配置选项”页面,配置如下,假设已获取插件客户端文件。
如下图所示。
图72 终端审计
进入“用户管理>终端准入管理 >准入策略>规则对象”页面,新建如下规则。
图73 杀软检查规则
进入“用户管理>终端准入管理>准入策略”页面,新建准入策略,配置策略名称、用户IP地址,勾选杀软检查规则
图74 配置准入策略
图75 插件推送页面
客户端打开浏览器,进行搜索。
图76 浏览器搜索
进入“数据中心>日志中心>终端日志>浏览器日志”页面,查看日志。
图77 浏览器日志
PC未安装对应杀毒软件,电脑右下角弹窗提示,且不能正常上网。
图78 验证准入策略功能
登录设备,进入“用户管理>终端准入管理>终端管理>终端合规状态”页面,查看日志,有记录违规日志。
图79 查看终端合规状态
本文档用于介绍通过AD域服务器推送域PC安装插件,实现用户终端的行为审计和控制。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解客户端审计功能特性,获取到XDR安装包。
· 本文档使用XdrSetup-1.3.182.268-Release.exe进行举例。
· 本文档是在Windows Server 2008 R2标准版进行配置。
图80 通过AD域推送XDR举例组网图
(1) 进入组策略,登录到AD域服务器,单击“开始>所有程序>管理工具>组策略管理”,打开“组策略管理”。
(2) 选择“Default Domian Policy”单击右键>编辑。
(3) 进入“计算机配置>策略>Windows设置>脚本”。
(4) 双击“启动”选项,选择“显示文件”,将XDR安装包文件拷贝到此目录。
(5) 返回“启动”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数。
脚本名:单击“浏览”选择XDR安装包;脚本参数:配置为“/S”。
(6) 更新组策略。
为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate /force
若加域PC经过设备上网,可在设备上配置域名映射;若加域PC不经过设备上网,可在域服务器上配置域名映射。配置步骤如下:
(1) 在AD域服务器上进入“开始菜单>管理工具>DNS”,打开DNS管理页面。
(2) 选中“正向查找区域”单击右键,选择“新建区域”打开新建区域向导。
(3) 在新建区域向导窗口,单击“下一步”。
(4) 区域类型选择主要区域,单击“下一步”。
(5) 进入“Active Directory区域传送作用域”页面,单击“下一步”。
(6) 区域名称配置为“updatexdr.net”,单击“下一步”。
(7) 动态更新选择“不允许动态更新”,单击“下一步”。
(8) 进入“正在完成新建区域向导”页面,单击“完成”。
(9) 在DNS管理界面,展开“正向查找区域>updatexdr.net”,在右侧空白处单击右键,选择“新建主机”。
(10) 弹出新建主机配置界面,IP地址配置为“10.210.11.1”,即开启客户端审计功能设备的地址,点击“添加主机”。
点击“确定”后并点击“完成”,主机记录配置完成。
(1) 登录设备页面,进入“用户管理>终端准入管理>配置选项>配置选项”页面,启用监听服务。
图1 配置选项页面
(2) 进入“用户管理>终端准入管理>审计策略”,启用审计,勾选需要审计的项。
图81 配置终端审计
(1) 在PC端进入“网络>右键>选择属性>更改适配器设置”,编辑对应网卡,将DNS服务器修改为域服务器地址。
(2) 选中“此电脑>右键>属性”,选择更改设置。
(3) 选择“更改”
(4) 隶属于选择“域”,输入域名,点击“确定”。
(5) 弹出验证框,输入域账号和密码。
(6) 验证通过,加域成功
(1) 重启PC端电脑。
(2) 重启电脑后,使用域账号登录。
9、打开任务管理器,查看服务和进程,XDR服务和进程正在运行。
(3) 登录设备端,进入“用户管理>客户端审计>终端审计>在线终端”,可以查看到终端上线的记录。
(4) 在PC端登录IM软件聊天,可以正常被审计。
登录设备的Web管理页面,进入“数据中心>客户端日志>聊天日志”页面,可以查看日志。
PC加域,会对该PC的所有用户都安装了XDR。
本文档详细介绍了终端准入管理客户端(以下简称“XDR”)的安装方法。
本文档假设您已了解终端准入管理的特性。
XDR软件需要安装在客户终端的PC上,与设备联动,对终端的行为进行审计和控制。
XDR只支持win7~win11操作系统,其他操作系统不支持。
(1) PC需要配置DNS服务器。
(2) 确保PC updatexdr.net域名可以正常解析到对应设备地址。
(3) 确保安装XDR的PC和设备端路由可达。
(4) 获取到XDR安装包,例如XdrSetup-2.1.0.372-Release.exe。
(5) 关闭电脑上所有杀毒及防病毒软件。
(6) 确保电脑时间和网络时间一致。
步骤1 将XDR的安装包保存到需要安装的PC端。
步骤2 双击安装包文件,进入XDR安装页面,选择语言点击OK。
步骤3 进入XDR安装向导,点击下一步。
步骤4 选择安装位置,默认64位操作系统安装在C:\Program Files (x86)\xdr下,32位操作系统安装在C:\Program Files\xdr下,可根据实际情况选择安装目录,点击安装按钮。
步骤6 打开任务管理器,查看进程详细信息,xdr.exe进程正在运行。
步骤7 进入服务页面,XDR服务正在运行。
步骤8 打开CMD,执行sc query xdrv2,驱动状态为正在运行。
步骤9 设备上开启终端准入管理功能,进入“终端准入管理>终端管理>在线终端”页面,可显示对应终端信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
