1、蓝盾内网安全保密及审计系统目录(一)蓝盾内网保密管理系统用户密码: 2(二)配置安全策略: 2一、进入界面: 2二、配置安全策略 4三 大唐韩城第二发电有限责任公司所下发的策略: 8(三)注意: 14一、新增部门注意: 14二、 重启服务器服务: 15三、 终端状态 17四、 策略没效果原因 17(一)蓝盾内网保密管理系统用户密码:系统管理员:sysadmin/sysadmin系统操作员:sysopter/Admin123安全管理员:secadmin/secadmin安全操作员:secopter/Admin123审计管理员:auditadmin/auditadmin审计操作员;auditopt
2、er/Admin123(二)配置安全策略:一、进入界面:1. 先用 secopter 登录界面,如图:用户/密码:secopter/Admin123进入界面如图:点击“功能” ,选择“安全策略”- “安全策略管理中心”然后选择“策略模板管理” ,出现如图:二、配置安全策略一般配置安全策略步骤如下:1.点击“策略模板管理”“模板列表” ,即可进入策略模板管理的主界面,如图:点击“创建模板” ,弹出如下对话框:添加模板名称,选择系统模块名称,点击“确定”按钮,策略模板创建成功。然后就可以对各种策略模板进行策略的定制。2. 策略群发点击“本地策略管理”- “本地策略群发 ”,主界面如下:选择要选择的
3、模板,然后点击右边的“应用策略模板”:注意:先选择“包含子部门” ,再对单位打勾,应用类型选择“包含主机” ,然后全部打勾,如上图。然后按确定即可。3. 对单个主机下发策略先选择左下角的“主机策略”出现如图:然后选择要下发策略的主机,例如 10.176.20.174,对之双击:选择“主机-安全审计策略” ,出现如下:同样,选择要下发的策略模板,然后点击“应用策略模板”即可4. 查看某个客户端所下发策略先选择左下角的“主机策略”出现如图:然后选择要下发策略的主机,例如 10.176.20.174,对之双击:选择“主机-安全审计策略” ,出现如下:即此时出现的策略中“(4)资产管理”等,就是已下发
4、的策略。注意:如已选择策略模板,下发后,要看下发的策略,要先按右边的“刷新”按钮。三 大唐韩城第二发电有限责任公司所下发的策略:我这边做了 5 个模板:1. 全部取消策略:模板功能:取消所有已下发的策略。模板中全部策略的“是否启用”和“记录”都是停用,表示不使用,不审计。2. 主机通信认证模板功能:只有装客户端的并下发此策略者才能互相访问内网资源,如没装客户端机器接入,但也无法跟有客户端的并下发此策略的终端通讯。此模板中(1)选择修改,即可增加许可的 IP,如 DNS 服务器,网康审计,或者不是 windows 的服务器,或者可控交换机。添加如图:(2)这条一般可不修改,功能是使 10.178
5、.0.0 的子网的所有终端包括服务器都要强制身份认证。(3)此条功能是让除了上面 2 条情况的终端放开。一般不必修改。3. 停用 U 盘策略:模板功能:取消 U 盘禁用策略。4. 启用 U 盘策略:模板功能:不能使用 U 盘,只有授权 U 盘方可再下发此策略的终端使用。注册 U 盘步骤如下 :1.介质初始化:点击“功能”“安全加固”“移动存储介质管理中心” “介质初始化”,进入介质初始化管理界面。在控制台所在计算机的 USB 口插上要注册的移动存储介质,等系统读出盘符,如下图所示:选择要进行注册管理介质的盘符,就可以对移动存储介质初始化了。对介质的操作有三种方式: 批量初始化:可以对介质单独初
6、始化,也可以选中多个介质,进行批量初始化。这种方式的初始化,需要先在控制台所在计算机上插上介质,等系统读出了盘符信息后,选中要初始化的盘符,点击“批量初始化”按钮,系统弹出介质分区将被初始化确认提示信息,点击“是” ,进行介质的初始化。初始化完毕,提示初始化完成。 自动初始化:可以自动完成对介质的初始化工作,不需要手动操作。这种方式的初始化,需要先点击“自动初始化”按钮,系统提示“请插入 Usb 存储介质”后,再在控制台所在计算机上插上介质,系统读出了盘符信息后,会自动完成介质的初始化工作。初始化完毕,提示初始化完成。 注销:对注册过的介质进行注销操作。注销时必须插入介质,选中要注销的盘符,点
7、击“注销”按钮,删除隐藏信息,同时删除数据库中的信息。注销后的介质就成为未注册的介质。2.注册管理完成介质的初始化工作后,点击移动介质管理中心的“注册管理”功能图标,进入注册管理界面,如图:各个功能按钮说明如下: “刷新”按钮,可以对部门使用介质情况的页面显示进行实时刷新。 “注册”按钮,对初始化过的介质进行注册。 “修改”按钮,可以对介质的注册情况进行修改。插入 U 盘后系统自动取介质信息,可对介质注册信息直接修改。启用了在线认证的 U 盘,不插入介质可以直接修改注册信息;没有启用在线认证的介质,必须插入介质修改注册信息才可进行修改。 “删除”按钮,可以删除已经注册过的介质。 这里的删除只是
8、删除数据库注册信息,不操作介质。对启用在线认证的注册介质来说,该介质不可用了;对没有启用在线认证的注册介质来说,该介质仍可使用。要对介质本身注册信息删除的时候,先插入介质然后点击“删除”按钮会弹出提示框让您选择要删除的介质对应的盘符,选择好要删除的盘符后点击“删除”按钮,删除介质中和数据库中介质注册的信息。点击“注册”按钮,弹出如下 USB 注册对话框:对 USB 设备注册管理分四步完成:(1)填写基本信息在基本信息标签页中,填写介质的基本信息: 介质类型:选择“普通介质” 。 Usb 盘符:选择要注册介质的盘符。 工作模式:选定介质的工作模式,这里有三种工作模式:只读,读写,禁用。只读:只能
9、对介质进行读操作,不能写;读写,可以对介质进行读写操作;禁用,不能对介质进行任何操作。 授权范围:标定介质的授权范围,范围分为单位、部门、主机三种。单位:注册介质在单位各个部门均可使用;部门,注册介质只能在授权的部门中使用;主机:注册介质只能在注册的主机上使用。 安全等级:标定介质的密级,这里有高、中、低三种,对应主机高、中、低三种安全级别。这里介质的密级必须跟主机安全级别严格匹配。 主管部门:管理该介质的主管部门。 责任人:负责管理该介质分发的责任人。 使用人:该介质的使用人。 启用在线认证:勾上该项,就启用服务器在线认证,使用该介质的时候,代理必须要到服务器的数据库中读取介质的注册信息,然
10、后把读取的注册信息和介质本身记录的注册信息进行比对,二者匹配,可以使用,反之,不能使用该介质;不勾,即为离线认证,使用该介质的时候,只需要代理对介质本身记录的注册信息验证,符合注册信息的介质即可使用,不需要到服务器进行注册信息的比对。(2)设定使用条件:在使用条件标签页中,对介质使用条件进行定义。 启用最大次数:勾上,介质超过定义的使用最大次数后,按“过期后使用模式”中定义的工作模式工作;不勾,注册介质没有使用次数限制。 启用使用时间范围:勾上,注册介质只能在定义的时间范围内使用,超过定义的时间范围,按“过期后使用模式”中定义的工作模式工作;不勾,注册介质没有使用时间限制。 过期后使用模式:设
11、置介质超过最大使用次数或者使用范围后的工作模式,这里有禁用、只读、读写三种方式。只读:过期后只能对介质进行读操作,不能写;读写,过期后可以对介质进行读写操作;禁用,过期后不能对介质进行任何操作。设定使用条件后,进入第三步:设定授权部门或者授权主机。(3)授权部门:在授权部门标签页中,标定介质的授权使用的部门范围。注意:步骤(1)中授权范围为部门的可以在这里进行授权部门的选择。(4)授权主机:在授权主机标签页中,选定介质授权使用的主机。注意:步骤(1)中授权范围为主机的方可以在这里进行授权主机的选定。授权部门或者主机后,点击“完成”标签页,进入第五步。(5)完成:在完成标签页中,显示介质的详细注
12、册信息,确认无误后,点击“保存”按钮,完成介质的注册工作。介质进行注册管理后,还需要在代理终端启用移动存储介质策略后,注册的介质才可正常使用。注意:启用了移动存储介质策略的机器,不使用普通介质的时候需要使用热键 Ctrl+Alt+S 弹出介质;或者通过右击托盘,选择“删除 U 盘” 弹出介质,如图:5. 主要日志模板模板功能:资产管理日志收集,地址绑定,文件审计日志策略,打印监控审计日志策略等策略。详细功能需看操作手册 57-93 页。但这边只是启用 IPmac 地址绑定;文件审计对*.doc;*.pdf;*.txt;*.xls;*.docx;*.exe;*.rar进行审计。其他只是启用日志功
13、能。(三)注意:一、新增部门注意:如要添加部门,首先用 sysadmin 进去界面 注册管理-部门列表-添加部门,如图:添加部门后记得编辑角色,因为角色只有原本的部门并没有自动更新你增加的部门。角色编辑在用户管理-角色列表,如图:再授权部门添加未打勾的部门:选择“完成” ,确定后即可。同时编辑角色还需要分别用 secadmin,auditadmin2 个用户进入不同界面去编辑角色,切记!操作相同。二、重启服务器服务:请远程登陆到 10.178.10.100,选择“服务配置管理器” ,路径如图:选择后如图:先“停止所有服务” ,然后再“启动所有服务“即重启服务,一般用在如果机器出现异常现象,或插
14、正式 KEY(我们正式版是 key 来的,只要插入服务器上,再重启服务即可)时,就使用重新启动。一般出现 服务变成红色时,请检查装再 sql2000 是否出现异常,无法连接数据库。*我们数据库是 ,当把客户端装完后,可以把这 2 个数据库复制出来即可。即当备份。数据库的路径在 E:MSSQLData 中,把 bdsecusbmng_Data.MDF 和 lssdb.mdf 备份起来。即策略和客户信息都不会丢。切记!三、终端状态如图:第一个为本已装客户端,但是被卸拉。第二三个为探针客户端,这个是我们接入控制功能的一个机制,是做为探针机器,去检查客户端。四、策略没效果原因如果再客户端查询策略时出现明明已经下发策略,但是却没有效果。可以到c:windowssystem32lsslog 的文件,把日期最接近的日志打开,看是否更新模板,如无法看懂,可以找蓝盾技术部电话 020-38468375 找技术部。
