- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
31-客户端审计典型配置
本章节下载: 31-客户端审计典型配置 (1.19 MB)
本文档用于介绍设备与终端插件的对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计。
主要包含以下功能:
· 设备作为控制器为用户终端推送插件。
· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。
· 用户终端与设备之间的保活。
· 设备端配置客户端卸载密码后,终端卸载插件时需要输入密码。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解客户端审计的特性。
(1) 当客户机安装的杀毒软件比如360安全卫士,火绒等,可能会被杀毒软件杀掉。
(2) 支持审计的IM聊天工具包括QQ、微信、钉钉、阿里旺旺。
(3) 支持审计的浏览器包括谷歌、火狐、360安全浏览器、360极速浏览器、搜狗、微软Edge及IE;目前不支持HTTP网站审计,只支持部分HTTPS网站审计。
(4) 支持审计的邮箱包括Foxmail和outlook2003;
(5) IM聊天工具、浏览器、邮箱会更新版本,更新后的版本插件可能会出现审计不到日志的现象。
(6) 移动终端不支持插件安装。
(7) 插件支持的操作系统包括Win7-Win11。
(8) USB审计只支持U盘。
(9) 客户端日志的存储依赖于Syslog模块,依赖于审计日志保存期限,超过保存期限的日志,可以定期删除。
(10) 配置插件推送后,访问HTTP网站可以推送插件;访问HTTPS网站推送插件,需要配置SSL解密策略。
(11) 设备端必须开启用户态协议栈,客户端审计业务运行在用户态协议栈。
(12) 无硬盘设备没有客户端审计功能。
(13) 查询客户端日志时,查询时间依赖于日志保存时间(日志入库的时间),而非日志的产生时间。
(14) 客户端审计不支持IPv6。
(15) 安装1.3.180版本的插件后,设备上传新版本的插件,PC端自动更新后,控制面板程序显示两个版本的插件程序。
(16) 低版本替换高版本安装时,一般要求先手动卸载高版本再进行安装。
(17) Win11不支持IE、Edge浏览器的审计
(18) USB权限管控的使用限制如下:
¡ 不支持对从U盘拷出文件/文件夹到360桌面的行为进行审计和管控;
¡ 不支持U盘内对文件内容进行编辑后保存的权限进行控制;
¡ win8操作系统不支持批量拷出和拷入文件的审计;
¡ 操作U盘概率性出现资源管理器重启;
¡ 配置USB权限为只读或只写,拷入或拷出文件多次点击重试会概率性操作成功;
¡ 配置USB权限为只写权限,在U盘内删除文件夹能够删除文件夹里的文件但会遗留外面的空文件夹无法删除;拷出文件夹可以正常拷出,文件夹里的文件不能拷出;
¡ 配置USB权限为只写权限,desktop.ini会显示在U盘中,不能编辑和删除;
¡ 配置USB权限为只读权限,删除U盘内文件,执行删除操作后需要刷新U盘页面;
¡ 拷入拷出文件及文件夹被阻断时,会弹窗提示;
¡ 拷入文件到U盘,文件名称满规格,审计文件名称和实际不一致;因为满规格文件名包含路径在内有260字节的限制,文件路径长度超过了260字节,拷入到U盘时,操作系统会自动把长文件名转换成短文件名,从而保证路径在260字节内。
如图1所示,某公司内网办公网段IP地址为12.12.12.1/24。使用设备的ge4(12.12.12.1)口连接内网设备,mgt0 (10.210.8.1)口连接外网,在设备开启终端插件推送及业务功能。
具体业务功能如下:
· 终端插件支持网页浏览审计。
· 终端插件支持IM聊天内容审计。
· 终端插件支持邮件内容审计。
· 终端插件支持USB审计及USB权限管控。
· 终端插件支持PC端进程列表审计。
· 终端插件支持卸载密码控制。
· 终端插件支持自动更新。
(1) 配置接口地址、路由、NAT策略。
(2) 配置DNS域名管理。
(3) 配置插件推送。
(4) 配置终端审计。
本举例是在R6616版本上进行配置和验证。
· 需要预先获取终端插件的安装文件。
· 必须开启DNS服务器,设置的DNS域名为updatexdr.net,域名对应的IP地址需要与客户端的IP地址可达。
· 策略配置什么时候下发,依赖于保活时间,如一开始配置保活周期过长,比如7200分钟,策略下发后,等待时间会比较长。
如图2所示,在设备上进入“网络配置>接口配置>物理接口”页面,配置物理接口地址。
图2 配置物理接口地址
如图3所示,在设备上进入“网络配置>接口配置>路由管理>静态路由”页面,配置静态路由。
如图4所示,在设备上进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT。
如图5所示,在设备上进入“网络配置>基础网络>DNS服务>域名管理”页面。
图5 配置DNS域名管理
进入“用户管理>客户端审计 >终端插件>插件推送”页面,配置如下,假设已获取插件客户端文件。
如图6,配置源IP地址范围。
如图7所示,进入“用户管理>客户端审计>终端审计”页面,配置如下。
(1) 客户端打开浏览器,访问网站,客户端弹出插件安装的页面。
图8 插件安装页面
(2) 单击“下载插件”,根据提示信息,安装插件。
(3) 查看在线终端,如图9所示,进入“用户管理>客户端审计>终端插件>在线终端”页面,查看在线终端。
图9 在线终端
(1) 查看安装目录,安装插件版本为1.3.182.x
(2) 设备端上传新版本插件(1.3.184.x)
(3) 间隔一段时间(保活周期),在线终端查看安装目录,插件自动升级为1.3.184.x
客户端访问网站,进入“数据中心>日志中心>客户端日志>浏览器日志”页面,查看终端审计日志。如图10所示。
图10 浏览器日志
客户端通过即时聊天工具,比如QQ,发送文件、文字,查看终端审计日志,如图11所示,进入“数据中心>客户端日志>聊天日志”页面,查看日志。
图11 聊天日志
客户端发送邮件、收取邮件会被审计,如图12所示,进入“数据中心>日志中心>客户端日志>邮件日志”页面,查看日志。
图12 邮件记录日志
客户端插入USB管控白名单内的U盘,上传文件到U盘或从U盘下载文件不受控制,会被审计,如图13所示,进入“数据中心>日志中心>客户端日志>USB事件日志”页面,查看日志。
图13 USB事件日志
客户端相关进程会被审计,进入“数据中心>日志中心>客户端日志>进程列表日志”页面,查看日志。
图14 进程列表日志
客户端通过卸载程序或控制面板卸载程序,需要输入配置的卸载密码。
HOST# display xdr-audit config
plugin-push enable
plugin filename XdrSetup-1.2.390.1.exe 1.2.390.1
src-ip subnet 12.12.12.1/24
service listen enable
keepalive-period 60
https disable
silent mode disable
uninstall password switch enable
uninstall password Bt0vGdlB+vxxv91A7yGOwe72IoX9BC5DluRgjb1CJ/Lv3OlmTMi1tVNztKj6o6V
xdr-audit enable
im-audit enable
im file-backup-limit 2
browser-audit enable
mail-audit enable
mail file-backup-limit 2
usb-audit enable
usb file-backup-limit 2
usb operate forbid
process-audit enable
usb whitelist switch enable
usb whitelist:USBSTOR\DiskKingstonDataTraveler_2.01.00,USB\VID_0930&PID_6544\6CF049E0FBE3C37039297D8F
本文档用于介绍通过AD域服务器推送域PC安装插件,实现用户终端的行为审计和控制。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解客户端审计功能特性,获取到XDR安装包。
本文档使用XdrSetup-1.3.182.268-Release.exe进行举例。
本文档是在Windows Server 2008 R2标准版进行配置。
图15 通过AD域推送XDR举例组网图
(1) 进入组策略,登录到AD域服务器,单击“开始>所有程序>管理工具>组策略管理”,打开“组策略管理”。
(2) 选择“Default Domian Policy”单击右键>编辑。
(3) 进入“计算机配置>策略>Windows设置>脚本”。
(4) 双击“启动”选项,选择“显示文件”,将XDR安装包文件拷贝到此目录。
(5) 返回“启动”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数。
脚本名:单击“浏览”选择XDR安装包;脚本参数:配置为“/S”。
(6) 更新组策略。
为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate /force
若加域PC经过设备上网,可在设备上配置域名映射;若加域PC不经过设备上网,可在域服务器上配置域名映射。配置步骤如下:
(1) 在AD域服务器上进入“开始菜单>管理工具>DNS”,打开DNS管理页面。
(2) 选中“正向查找区域”单击右键,选择“新建区域”打开新建区域向导。
(3) 在新建区域向导窗口,单击“下一步”。
(4) 区域类型选择主要区域,单击“下一步”。
(5) 进入“Active Directory区域传送作用域”页面,单击“下一步”。
(6) 区域名称配置为“updatexdr.net”,单击“下一步”。
(7) 动态更新选择“不允许动态更新”,单击“下一步”。
(8) 进入“正在完成新建区域向导”页面,单击“完成”。
(9) 在DNS管理界面,展开“正向查找区域>updatexdr.net”,在右侧空白处单击右键,选择“新建主机”。
(10) 弹出新建主机配置界面,IP地址配置为“10.210.11.1”,即开启客户端审计功能设备的地址,点击“添加主机”。
点击“确定”后并点击“完成”,主机记录配置完成。
登录设备页面,进入“客户端审计>终端审计”页面,启用监听服务、启用审计,勾选需要审计的项。
图16 配置终端审计
(1) 在PC端进入“网络>右键>选择属性>更改适配器设置”,编辑对应网卡,将DNS服务器修改为域服务器地址。
(2) 选中“此电脑>右键>属性”,选择更改设置。
(3) 选择“更改”
(4) 隶属于选择“域”,输入域名,点击“确定”。
(5) 弹出验证框,输入域账号和密码。
(6) 验证通过,加域成功
(1) 重启PC端电脑。
(2) 重启电脑后,使用域账号登录。
9、打开任务管理器,查看服务和进程,XDR服务和进程正在运行。
(3) 登录设备端,进入“用户管理>客户端审计>终端审计>在线终端”,可以查看到终端上线的记录。
(4) 在PC端登录IM软件聊天,可以正常被审计。
登录设备的Web管理页面,进入“数据中心>客户端日志>聊天日志”页面,可以查看日志。
PC加域,会对该PC的所有用户都安装了XDR。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
