H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6616)-6W101

13-客户端审计

1 客户端审计

1.1 概述

设备与插件对接，通过给终端推送插件，让终端安装插件的方式，实现对用户终端的行为审计，主要包括以下功能：

· 用户终端行为审计策略配置。

· 设备作为控制器为用户终端推送插件。

· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。

客户端审计功能会监控并记录监管范围内用户电脑的浏览器行为、IM工具（如QQ、微信、钉钉等）的聊天记录、邮件收发情况、U盘传输记录以及系统日志等，可能会涉及用户的个人隐私数据。请管理员在开启客户端审计功能时，通知并取得被监管人员的同意！谨慎开启此功能！

1.1 插件推送配置

1.1.1 开启插件推送

在导航栏选择“用户管理>客户端审计>插件推送”，进入插件推送配置页面，编辑相关信息，点击<提交>。

图1-1 插件推送配置页面

详细配置请参见下表。

项目	说明
启用勾选框	启用/禁用插件推送功能。
源IP地址范围	设置推送插件的客户端地址范围，支持IPv4和IPv6地址，最多支持16条配置。
插件上传	客户端安装的插件文件，设备上默认没有插件文件，需要手动上传。

1.1.2 插件模板设置

在菜单栏选择“用户管理>客户端审计>插件推送”，单击选择“插件模板设置”标签页，进入插件模板设置页面，可以预览或编辑插件推送的页面样式。

图1-2 插件模板设置页面

界面的详细说明见下表。

项目	说明
预览	预览客户端推送插件的页面样式
编辑	插件页面样式的自定义配置：标签页名称、欢迎词、登录按钮的颜色以及logo 图片，背景图片的设置。
重置	插件模板恢复默认值

1.2 终端审计配置

1.1.3 终端审计

在菜单栏选择“用户管理>客户端审计>终端审计”，配置终端审计相关信息，点击<提交>。

图1-3 终端审计配置页面

配置详细说明见下表。

项目	说明
基础配置
监听服务	启用/禁用终端审计功能。禁用后，终端插件不向设备端发送保活报文，不上报日志。
HTTPS加密传输	启用时，设备和终端插件之间使用HTTPS加密传输；不启用时，设备和终端插件之间使用HTTP传输。
保活周期	终端PC向设备发送保活报文的间隔时间，可配置范围为60-7200秒。
终端行为管理	启用/禁用终端行为管理。禁用后，插件对终端PC所有行为都不进行审计。
启用静默模式	启用静默模式后，不会在终端上推送插件。
客户端卸载密码	启用并配置客户端卸载密码后，终端卸载插件时需要输入配置的密码。
启用审计
浏览器上网审计	启用/禁用浏览器上网审计。禁用后，插件不对终端PC的浏览器上网行为进行审计。
进程列表审计	启用/禁用进程列表审计功能。禁用后，插件不对终端PC的进程进行审计。
IM审计	启用/禁用IM审计功能。禁用后，插件不对终端PC的IM应用行为进行审计。
IM文件备份阈值	IM文件备份阈值配置范围1-10M，默认2M。阈值范围内的IM聊天文件，插件可以审计日志并上传到设备；超过阈值的IM聊天文件，插件只审计日志，不上传文件到设备。
IM审计文件类型	不配置IM审计文件类型时，所有的文件类型都能进行审计，并产生相应的审计日志；配置IM审计文件类型，只能审计到配置的文件类型，其他类型文件都不会审计。

客户端邮件审计	启用/禁用客户端邮件审计。禁用后，插件不对终端PC的客户端邮件行为进行审计。
邮件文件备份阈值	邮件文件备份阈值配置范围1-10M，默认2M。阈值范围内的邮件，插件可以审计日志并上传邮件到设备；超过阈值的邮件，插件只审计日志，不上传文件到设备。
USB审计	启用/禁用USB审计。禁用后，插件不对终端PC的USB行为进行审计。
USB文件备份阈值	USB文件备份阈值配置范围1-10M，默认2M。阈值范围内的文件，插件可以审计日志并上传邮件到设备；超过阈值的文件，插件只审计日志，不上传文件到设备。
USB权限管控	配置USB操作读写权限为读写/只读/只写/不可读写：读写：USB设备可进行读写操作；只读：USB设备只能读，不能写；只写：USB设备只能写，不能读；不可读写：USB设备不能进行读写操作。