30-EBM终端行为管理典型配置
本章节下载: 30-EBM终端行为管理典型配置 (1.38 MB)
目录
本文档用于介绍设备与EBM终端插件的对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计。
主要包含以下功能:
· 用户终端行为审计策略配置。
· 设备作为控制器为用户终端推送插件。
· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。
· 用户终端与设备之间的保活。
· 设备会集成一个EBM的SDK进程。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解EBM终端行为管理的特性。
(1) 客户端安装插件后需要重启才会生效。
(2) 当客户机安装的杀毒软件比如360安全卫士,火绒线等会发送两条邮件记录日志,其中有一条为火绒线发送。
(3) 光驱刻录审计,必须指定特定的软件:C:\iNode DAMAgent\components\LdCdBurn.exe。
(4) 光驱刻录日志,刻录文件大小 是指的总的文件夹的大小,详情里面会有文件夹里面每个文件的大小,不会每一条显示的某一个文件的大小。
(5) 授权管理,在线终端不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识别。
(6) 蓝牙传输审计,只审计PC 发送的,不审计接收的。
(7) 移动终端不支持插件安装。
(8) 终端插件客户端一旦安装了,授权使用数会加一,如果客户端卸载了不会立即减一,按照注册数判断,一个月自动清理一次。
(9) 论坛聊天记录,不支持https网站。
(10) 移动终端不支持插件安装。
如图1所示,某公司内网办公网段IP地址为6.6.6.0/24。使用设备的ge3(6.6.6.5)口连接内网设备,ge0(10.210.3.2)口连接外网,在设备开启EBM插件推送及业务功能。
终端插件支持的功能如下:
(1) 网页浏览审计。
(2) 即时聊天内容、聊天文件的审计,以及控制附件是否可以发送。
(3) 邮件内容审计。
(4) 应用程序限制。
(5) 外设监控:打印机打印审计以及控制、驱动器限制、蓝牙接入审计、USB设备类型识别、磁盘限制等功能。
图1 与EBM对接组网图
· 配置接口地址、路由、NAT策略。
· 配置DNS域名管理。
· 配置插件推送。
· 配置终端行为业务策略。
本举例是在R6614上进行配置和验证。
· 需要预先获取终端插件的安装文件。
· 客户端访问https网站推送插件,需要在设备上配置https解密策略并在客户机上安装证书。
· 必须开启DNS服务器,设置的DNS域名为http://www.agebm.com/,域名对应的IP地址需要与客户端的IP地址可达。
· 目前设备默认有5个试用授权,后续用户需要扩容,可以导入授权。
· 策略配置什么时候下发,依赖于插件请求策略,如一开始配置策略请求周期过长,比如1440分钟,策略下发后,如等待时间过长,不利于测试,建议一开始不要设置太长时间。
如图2所示,在设备上进入“网络配置>接口配置>物理接口”页面,配置物理接口地址。
图2 配置物理接口地址
如图3所示,在设备上进入“网络配置>接口配置>路由管理>静态路由”页面,配置静态路由。
如图4所示,在设备上进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT。
如图5所示,在设备上进入“网络配置>基础网络>DNS服务>域名管理”页面。
图5 配置DNS域名管理
如图6所示,在设备上进入“用户管理>终端行为管理>插件推送>”页面,假设已获取插件客户端文件,点击<选择文件>,上传插件文件,如下图,配置源IP地址范围。
在设备上进入“用户管理>终端行为管理>业务配置>”页面,配置如下。
图7 配置业务策略
图8 配置业务策略-外设监控策略
图9 配置业务策略-上网策略
图10 配置业务策略-应用程序限制策略
图11 配置业务策略-水印策略
(1) 客户端打开浏览器,访问网站推送插件,如果访问https网站,需在设备上配置https解密策略,并在客户端上安装证书。
如图12所示,客户端弹出插件安装的页面,点击下载。
图12 客户端访问网站推送插件
(2) 下载插件,安装插件根据提示信息安装,安装完成后重启电脑。
(3) 查看终端在线,如图13所示,进入“用户管理>终端行为管理>业务配置>在线终端”页面,查看终端在线。
图13 在线终端
客户端访问网站,查看终端审计日志,如图14所示,进入“数据中心>日志中心>终端审计日志>网页浏览记录日志”页面,查看日志。
图14 网页浏览记录日志
客户端通过即时聊天工具(比如QQ)发送文件、文字或者图片,进入“数据中心>日志中心>终端审计日志>聊天记录日志”页面,查看终端审计日志,如图15所示。
图15 聊天记录日志
点击“下载”可以将传送的文件和图片下载到本地。
点击“详细”进行查看聊天的内容,如图16所示。
图16 聊天内容详情
客户端发送邮件、收取邮件会被审计,如图17所示,进入“数据中心>日志中心>终端审计日志>邮件记录日志”页面,查看日志。
图17 邮件记录日志
在客户端开启蓝牙,连接一台iPhone手机,手机端开启蓝牙,两边匹配成功。如图18所示,进入“数据中心>日志中心>终端审计日志>蓝牙配对改变日志”页面,查看日志(此处客户端以win10操作系统为例)。
图18 蓝牙配对改变日志
在客户端开启蓝牙,连接一台手机,手机也开启蓝牙,两边匹配成功。通过蓝牙发送文件或图片,如图19所示,进入“数据中心>日志中心>终端审计日志>蓝牙配对改变日志”页面,查看日志(此处客户端以win10操作系统为例)。
图19 蓝牙文件审计日志
在客户端插入USB,插拔USB的行为会被审计,如图20所示,进入“数据中心>日志中心>终端审计日志>USB设备识别日志”页面,查看日志。
图20 USB设备识别日志
在客户端开启、关闭应用程序会被审计。设置窗口标题限制策略以及软件版本限制策略,如图21、图22所示。
图21 配置窗口标题限制策略
图22 软件版本限制策略
客户端打开http://www.baidu.com/时,命中窗口标题限制策略时,浏览器直接退出;
客户端登录QQ,打开聊天窗口,窗口标题命中策略时,QQ整个软件关闭;
客户端打开foxmail,命中软件版本限制策略时,立即退出。
如图23所示,进入“数据中心>日志中心>终端审计日志>应用程序使用日志”页面,查看日志。
图23 应用程序使用日志
设置打印权限控制“允许所有打印机打印”。设置请参考 配置终端业务配置,通过客户端打印文件,
进入“数据中心>日志中心>终端审计日志>打印审计日志”页面,查看日志,如图24所示。
图24 打印审计日志
如果设置打印权限为“禁止打印”,客户端打印文件无法打印,如图25所示
图25 客户端无法启动打印任务
Host:WD-D# display inode-audit config
plugin-push enable
plugin filename iNodeSetup7.3(C0559).exe
flow-pass enable
src-ip subnet 6.6.6.0/24
inode-audit enable
policy-period 1
log-period 1
log-limit 100
client data-save 1
device-control enable
disk-control removable-disk run deny
disk-control network-disk run deny
disk-control cd run permit
disk-control removable-disk auto-run permit
disk-control network-disk auto-run deny
disk-control cd auto-run permit
driver-block cd allow
driver-block usb allow
usb-audit enable
bluetooth-audit disable filebackuplimit 2
printer-control specified .doc
cd-burn record disable
cd-burn backup enable filebackuplimit 2
software limit-type forbid-version process 1234 org-file 1234 file-md5 1234
im send-file deny
im filebackuplimit 2
im audit enable
im picture audit enable
im tool-file audit disable
im tool-file limit disable
web audit enable
forum audit enable
popmail audit enable
webmail audit enable
printer watermark enable
printer watermark keyword test
screen watermark enable
screen watermark keyword test
官网链接地址,最新适配支持情况请同业软确认iNode最新支持版本
https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Management/iNode/iNode_PC/?CHID=56726&v=612
本次以E0589支持版本举例,获取对应版本iNode管理中心:iNode Management Center for Windows 7.3 (E0589).exe
点击客户端定制,功能组件勾选DLP,配置DLP客户端定制信息,DLP服务器ip:配置ACG管理地址,或者勾选DLP服务器域名:配置http://www.agebm.com/,勾选ACG定制。
确定后点击完成有如下提示
这里DAM也填一下,地址随便填一下就行,这个是EBM功能要求的。
点击确定之后点击完成,勾选默认场景和生成定制的客户端安装程序,其他默认就行
下载安装,安装前确认终端是否有安装其他安全杀毒软件,如有运行请先退出在进行安装,避免安装有问题
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!