24-EBM终端行为管理
本章节下载: 24-EBM终端行为管理 (627.31 KB)
目 录
设备与EBM对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计,主要包括以下功能:
· 用户终端行为审计策略配置。
· 设备作为控制器为用户终端推送插件。
· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。
在导航栏中选择“用户管理>终端行为管理>插件推送”,进入插件推送设置页面,如下图所示。
图1-1 插件推送设置页面
项目 |
说明 |
启用勾选框 |
启用/禁用插件推送功能 |
未安装插件允许上网 |
勾选后,源IP地址范围内客户终端如果未安装插件,访问网站会一直推送插件,但不影响其他应用的上网,比如QQ,视频播放器等其他软件的使用。 |
源IP地址范围 |
设置推送插件的客户端地址范围,仅支持IPv4地址,最多支持8条配置。 |
插件上传 |
客户端安装的插件文件,设备上默认没有插件文件,需要手动上传。 |
在导航栏中选择“用户管理>终端行为管理>插件推送”,单击选择“插件模板设置”标签页,进入插件模板设置页面,可以预览或编辑插件推送的页面样式。如下图所示。
图1-2 插件模板设置页面
表1-2 插件模板设置页面的详细说明
项目 |
说明 |
预览 |
预览客户端推送插件的页面样式 |
编辑 |
插件页面样式的自定义配置:标签页名称、欢迎词、登录按钮的颜色以及logo 图片,背景图片的设置。 |
重置 |
插件模板恢复默认值 |
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入终端行为管理业务配置页面。
图1-3 业务配置页面
表1-3 业务配置详细说明
项目 |
说明 |
启用勾选框 |
策略启用/禁用配置 |
策略请求周期 |
设备向终端PC下发策略的请求周期,可配置范围为1-1440分钟。 |
日志上报间隔 |
终端PC向设备上报日志的间隔时间,可配置范围为1-3600秒。 |
每次上报最大条数 |
终端PC每次上报日志的最大条目数,可配置范围为1-100。 |
终端日志保留时长 |
终端PC上日志保留的时长,可配置范围为1-90天。 |
终端策略配置 |
配置外设监控策略、上网策略、应用程序限制策略及水印策略。 |
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入业务配置页面。在终端策略配置中选择“外设监控策略”标签页进入外设监控策略配置页面。如图1-4所示,界面配置信息的详细说明如表1-4所示。
项目 |
说明 |
启用勾选框 |
对外设监控策略的开启和禁用。不开启,表示不监控外设的行为。 |
磁盘限制 |
· 可移动磁盘 ¡ 可执行文件运行:勾选为“不阻止”,即可移动磁盘,比如U盘中的可执行文件可以执行;勾选为“阻止”,可移动磁盘中的可执行文件不会被执行 ¡ 设备自动运行:勾选为“不阻止”,可移动磁盘中的设备自动执行的文件会执行;勾选为“阻止”, 可移动磁盘中的自动执行的文件不会被执行。 · 网络盘(网上邻居) ¡ 可执行文件运行:勾选为“不阻止”,网络盘(网上邻居)中的可执行文件可以执行;勾选为“阻止”,网络盘(网上邻居)中的可执行文件不会被执行。 ¡ 设备自动运行:勾选为“不阻止”,网络盘(网上邻居)中的自动可执行文件可以执行;勾选为“阻止”,网络盘(网上邻居)中的自动执行的文件不会被执行。 · 光盘(光驱) ¡ 可执行文件运行:勾选为“不阻止”,光盘(光驱)中的可执行文件可以执行;勾选为“阻止”,光盘(光驱)中的可执行文件不会被执行。 ¡ 设备自动运行:勾选为“不阻止”,光盘(光驱)中的自动可执行文件可以执行;勾选为“阻止”,光盘(光驱))中的自动执行的文件不会被执行。 |
驱动器限制 |
· 光驱驱动器(USB设备) ¡ 运行使用:光驱驱动器可以运行。 ¡ 禁止:光驱驱动器不能运行。 ¡ 只读:光驱驱动器只读不能写入。 · USB 设备 ¡ 运行使用:USB设备可以运行。 ¡ 禁止:USB设备不能运行。 ¡ 只读:USB设备只读不能写入。 |
外设使用审计 |
USB设备类型识别配置:勾选可以识别USB设备的类型,不勾选即不识别USB设备的类型。 外设(蓝牙)接入使用审计:勾选表示蓝牙的接入可以审计,不勾选即不会识别蓝牙接入。 蓝牙文件备份阈值:配置范围(1-10M)通过蓝牙发送的文件超过阈值不会在本地备份,只有在阈值范围内的文件才会在本地备份。 |
打印权限控制 |
允许所有打印机打印:允许所有的打印机打印。 禁止打印:打印机不能打印。 允许指定的文档类型打印:只有配置的文件后缀比如.doc文件才可以被打印。 |
光驱刻录限制 |
开启刻录监视 :勾选表示是刻录行为被监视,不勾选表示刻录行为不会被监视。 开启刻录文件备份:勾选表示刻录的文件会被备份,不勾选表示刻录的文件不备份。 刻录备份文件阈值:配置范围(1-10M),刻录文件超过阈值不会备份。 |
蓝牙文件备份,是指客户机上通过蓝牙外发文件,这个文件大小如果在阈值内,是会备份在本地计算机的指定目录下,并且也会把文件发送到设备上面,如果该文件大小超过阈值,本地不会备份,也不会发送到设备上面。
刻录备份文件,在客户机上通过刻录软件刻录文件到光盘,如果刻录的文件大小在阈值内,会备份到到本地的指定目录下,同蓝牙文件备份一样。
刻录软件须指定特定的软件才会被插件监控,终端客户机安装插件后,即在客户端的电脑上有该软件,软件地址:C:\iNode DAMAgent\components\LdCdBurn.exe
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入业务配置页面。在终端策略配置中选择“上网策略”标签页进入上网策略页面。如图1-5所示,界面配置信息的详细说明如表1-5所示。
项目 |
说明 |
聊天时是否允许发送附件 |
允许:表示终端PC聊天软件可以发送附件 禁止:表示终端PC聊天软件不能发送附件 发送文件备份阈值-支持(1-10MB)只有在阈值范围内的文件才会备份。 |
聊天监控 |
聊天行为的监控开启与关闭配置 |
聊天图片监控 |
聊天软件中图片的监控开启与关闭配置 |
聊天工具文件监控 |
聊天工具文件监控,比如聊天软件,QQ、微信等。 |
聊天工具文件限制 |
聊天工具文件限制策略的开启和关闭,这里是和聊天时是否允许发送附件配合使用,如果未勾选聊天工具文件限制,配置聊天时禁止发送附件,客户端也可以发送附件,只有开启聊天工具文件限制,再配置聊天时禁止发送附件,客户端才会禁止发送附件。 |
网页浏览记录 |
勾选:网页浏览行为可以审计 不勾选:网页浏览行为不可以审计 |
论坛发帖审计 |
勾选:论坛发帖的行为可以审计 不勾选:论坛发帖行为不能审计 |
PopMail邮件内容审计 |
勾选:PopMail邮件内容可以审计 不勾选:PopMail邮件内容不能审计 |
WebMail网页邮箱目前暂不支持。
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入业务配置页面。在终端策略配置中选择“应用程序限制策略”标签页进入应用程序限制策略页面,如图1-6所示。点击“新建”,进入窗口标题限制策略页面,如图1-7所示,界面配置信息的详细说明如表1-6所示。
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入业务配置页面。在终端策略配置中选择“应用程序限制策略”标签页进入应用程序限制策略页面,选择“软件版本限制策略”标签,进入软件版本限制策略页面,如图1-8所示,界面配置信息的详细说明如表1-6所示。
项目 |
说明 |
标题内容 |
客户端PC窗口标题内容匹配上“标题内容”,会对窗口做限制,被禁用; 窗口包含软件的窗口、windows文件管理器的窗口。 |
进程名称 |
软件运行之后进程的名称。 |
限制方式 |
允许运行版本:匹配软件MD5值和进程名称。 禁止当前进程:匹配进程名或MD5。 禁止当前版本:只匹配进程MD5。 |
软件原始文件名 |
软件文件名称。 |
软件MD5值 |
软件的MD5值 |
注意:软件MD5指的是已经在客户机上安装后软件的MD5值,并非安装包的MD5。
在导航栏中选择“用户管理>终端行为管理>业务配置”,进入业务配置页面。在终端策略配置中选择“水印策略”标签页进入水印策略页面,如图1-9所示,界面配置信息的详细说明如表1-7所示。
项目 |
说明 |
打印水印 |
勾选:开启打印水印的配置。 不勾选:关闭打印水印的配置。 |
水印内容 |
打印文件上的水印内容。 |
屏幕水印 |
勾选:开启客户端屏幕水印;不勾选:关闭客户端屏幕水印。 |
水印内容 |
客户端屏幕水印内容(会自动带上端口端的IP、MAC)。 |
在导航栏中选择“用户管理>终端行为管理>业务配置”,选择“授权管理”标签页进入授权管理页面,如图1-10所示,界面配置信息的详细说明如表1-8所示。
项目 |
说明 |
hostID |
ACG设备hostID,导出文件后缀为txt,用于扩容授权。 |
license |
文件后缀为.lic,管理员先导出hostID,依据该hostID生成不同的授权,导入license后生成对应的授权数。 |
授权数 |
终端客户可以安装插件的总数量,设备初始有5个授权数。 |
使用数 |
终端客户端已经安装插件的数量 |
在线终端数 |
在线终端总数量。 |
失效时间 |
终端插件失效的时间。 |
在导航栏中选择“用户管理>终端行为管理>业务配置”,选择“在线终端”标签页进入在线终端页面,如图1-11所示,界面配置信息的详细说明如表1-9所示。
项目 |
说明 |
终端IP |
客户终端安装插件后上线,这里会显示终端的IP地址。 |
终端MAC |
客户终端安装插件后上线,这里会显示终端的MAC地址。 |
终端用户下线后,比如关闭电脑,设备30分钟内没有收到心跳报文,才会从在线表中删除该终端的信息。
1. 组网需求
如图1-12所示,某公司内网办公网段IP地址为6.6.6.0/24。使用设备的ge3(6.6.6.5)口连接内网设备,ge0 (10.210.3.2)口连接外网,在设备开启EBM插件推送及业务功能。
(1) 设备网络基础配置,配置接口地址、路由、NAT策略
进入“网络配置>接口配置>物理接口”页面,配置物理接口地址。
进入“网络配置>接口配置>路由管理>静态路由”页面,配置静态路由。
进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT。
(2) 配置域名管理
进入“网络配置>基础网络>DNS服务>域名管理”页面。
图1-16 配置域名管理
(3) 配置插件推送源IP地址范围
进入“用户管理>终端行为管理>插件推送>”页面,配置如下,假设已获取插件客户端文件。
图1-17 插件推送页面
(4) 配置终端业务配置
进入“用户管理>终端行为管理>业务配置>”页面,配置如下。
图1-18 配置业务策略
图1-19 配置外设监控策略
图1-20 配置上网策略
图1-21 配置应用程序限制策略
图1-22 配置水印策略
3. 验证配置
(1) 客户端打开浏览器,访问网站推送插件,如下图所示。
图1-23 客户端访问网站推送插件
(2) 下载插件,安装插件根据提示信息安装,安装完成后重启电脑。
(3) 查看终端在线状况
进入“用户管理>终端行为管理>业务配置>在线终端”,查看在线终端信息,如下图所示。
图1-24 查看在线终端
(4) 访问网站,查看终端审计日志。
进入“数据中心>终端审计日志>网页浏览记录日志>”页面,查看日志,如下图所示。
图1-25 网页浏览记录日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!