5.1.7 创建瑞星客户端行为审计策略模板一、 瑞星客户端行为审计-默认策略依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-默认策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容
策略内容包括【文档审计】、【文档打印审计】、【邮件审计】、【设备审计】、【网络审计】、【联网程序管理】、【对外攻击拦截】、【共享资源管控】、【网络流量管理】和【非法外联管控】十大类审计内容,可以做到对客户端的各种使用行为进行有效监控。
点击各审计类型右侧
功能,增加数量无限制,删除时类型模板无法删除。
一、 文档审计
对客户端机器上的各种行为进行监控并产生日志,以备查询管理。
审计类型:
a) 仅记录操作:触发规则仅记录日志并将相关日志上传管理中心。
b) 禁止并记录操作:触发规则后禁止操作并记录上传日志。
介质类型:可勾选硬盘、光盘、可移动盘和网络盘
目标文件名:输入.txt/.mpp/.docx/.exe等文件类型或输入具体文件(如123.txt)当发生相关行为时以预设方式反馈信息。多条记录以“|”分隔,如:*.doc|%system%\*.txt。
行为类型:可勾选创建、访问、修改、重命名、复制、移动、删除。
有效时间:审计有效的时间范围,设置频率每天(xx:xx~xx:xx)/每周的某一天或某几天的xx:xx~xx:xx时间内/时间段。
气泡通知:触发规则后以弹框的形式通知管理员。
锁定计算机:触发规则后锁定计算机,禁止使用。
离线生效:客户端上线后将离线时间内生成的文档审计日志上传管理中心。
二、 文档打印审计
该功能用于记录完整的打印日志,实现对打印资源的有效管理,降低打印成本,并保证组织的信息安全。记录信息包括:打印的时间、终端、用户、应用程序、打印机类型、打印机名称、文档标题、打印页数等信息。
可选择:
a) 记录打印审计:当打印文件时记录相关信息并将日志上传管理中心。
b) 禁用打印机:不允许计算机使用打印机。
三、 邮件监控
该功能用于全面记录POP3/SMTP、EXCHANGE邮件收到及发送的邮件的全部内容,包括收件人、发件人、邮件标题、邮件正文和附件内容。
规则名:输入本策略的相关信息或目的。
动作:可勾选:
a) 发送:发送邮件时审计。
b) 接收:接收邮件时审计。
发送者:发送人的名称或邮箱地址。
接收者:接收人的名称或邮箱地址。
邮件主题:邮件名称。
仅监控包含附件的邮件:邮件中有附件时监控生效。
拦截:拦截触发规则的邮件。
提示:发送人/接收人/主题是并列的关系,同时满足三者条件审计才会生效。 邮件端口策略:端口号及端口协议
四、 设备审计
管理员可设置策略,对以下设备派发允许或禁止使用策略:光驱、1394、蓝牙、串口、并口、PCMCIA卡和红外设备。
五、 网络审计
包括【拨号控制】和【网页浏览控制】两方面内容,可以对客户的网络行为进行有效的监控管理,保护企业资产的安全。
启用拨号控制
拨号方式:可勾选禁用VPN、禁用ADSL、禁用MODEM。
有效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
启用网页浏览控制
URL:输入要监控的网址。
有效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段。
禁止访问并跳转URL:当触发规则时跳转至该网址。
离线生效:客户端上线后将离线时间内生成的文档审计日志上传管理中心。
气泡通知:当触发规则弹出气泡提示警示用户
启用网页浏览记录
记录所有访问的网址并上传管理中心。
六、 联网程序管理
该功能用于记录、控制客户端上的程序连接网络的行为,这些行为包括是否允许联网,以及联网的时间段。
离线生效:客户端离线时间内功能仍然生效
开启瑞星信任程序智能识别:内置信任程序允许联网
未知程序联网策略:不在规则内程序的联网策略设置
进程规则列表:用于设置各进程或者软件的联网策略,可设置多条规则
七、 对外攻击拦截
该功能可以防范网络僵尸,傀儡僵尸等等多种僵尸网络服务端对外发送攻击数据包。
离线生效:客户端离线时间内功能仍然生效
提示用户:一旦检测到攻击,弹出气泡提示警示用户
支持勾选多种对外攻击拦截:拦截SYN攻击、拦截ICMP攻击、拦截UDP攻击
八、 共享资源管控
该功能可以查看每个终端的共享状态,控制共享的资源,并且可以查看、限制资源的访问权限。
离线生效:客户端离线时间内功能仍然生效
记录日志:记录日志并上传到数据中心
要关闭的默认共享:用于关闭终端的默认共享
九、 网络流量管理
该功能用于记录终端的某个时间段网络总流量,以及某个时刻的流速。
记录联网程序日志:勾选后能够记录日志并上传到数据中心
记录终端流量日志:勾选后记录相关日志并上传到数据中心
定时报告时间间隔:提供10、20、30、60、120五种间隔进行选择,默认为10分钟
管理规则:
启动规则:规则是否生效
离线生效:客户端离线时间内功能仍然生效
下载限速:设置最大流量限制
功能生效时间:每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段
十、 非法外联管控
该支持监控内部网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)是否与Internet联通,并产生告警信息、对违规者可锁定计算机或断网。
离线生效:客户端离线时间内功能仍然生效
提示用户:勾选后触发规则后弹气泡提示用户
检查方式:提供智能检查和定时检查两种方式
检查到非法外联时:提供锁定计算机和隔离两种处理方式
点击【保存】模板创建成功;点击【取消】不保存。
二、 瑞星客户端行为审计-IP规则依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
在对应产品中选择【瑞星客户端行为审计-IP规则】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
策略内容策略内容包括【阻止黑客远程攻击】、【IP地址白名单】、【IP地址黑名单】、【端口设置】、和【自定义IP规则】。
A. 阻止黑客远程攻击
- 发现攻击时提示用户:勾选后触发规则后弹气泡提示用户
- 拦截后阻止此ip时间:提供1、2、3、4、5分钟5种选择
- 防护规则:内置88条防护规则,用户可以点击显示对规则对规则进行逐条启用或禁用,默认为全部启用。
B. IP地址白名单
- IP地址白名单管理:可以对单个IP或者某个IP范围进行设置;支持多个ip白名单设置
C. IP地址黑名单
- IP地址黑名单管理:可以对单个IP或者某个IP范围进行设置;支持多个ip黑名单设置
D. 端口设置
E. 自定义IP规则
- 本地IP规则:支持单个IP或者某个IP范围进行设置
- 远程IP规则:支持单个IP或者某个IP范围进行设置
点击【保存】模板创建成功;点击【取消】不保存。