1、 移动安全企业版(TMMS) 9.01 / 70趋势科技移动安全企业版(TMMS) 9.0产品安装标准程序(SOP) 趋势科技技术支持部2014 年 2 月移动安全企业版(TMMS) 9.02 / 70目录1 移动安全企业版(TMMS)9.0 介绍 41.1 了解移动设备威胁 .41.2 趋势科技移动安全 v9.0 概述 .41.3 此版本(v9.0)的新增功能 .41.4 移动客户端安全的主要功能 51.5 支持的功能 72 规划服务器安装 .142.1 网络规划 142.2 系统要求 163 为安装准备服务器计算机 .193.1 一般先决条件 193.2 iOS 支持先决条件 203.3
2、BlackBerry 支持先决条件 224. 安装 TMMS 组件 234.1 安装主服务器 234.2 安装通讯服务器 264.3 配置通讯服务器 284.4 配置 iOS 通讯服务器设置 294.5 安装短信发送器 294.6 部署 TMMS 客户端 .30移动客户端安全安装方法 .314.7 部署 TMMS 客户端(iOS) .324.8 升级到移动安全 v9.0 .374.9 删除服务器组件 385附录 .41A-1 对 SQL Server 使用 Windows 身份验证 41A-2 生成和配置苹果推送通知服务证书: 41移动安全企业版(TMMS) 9.03 / 70A-3 生成和配
3、置 SSL 证书: 56A-4 防火墙端口配置: 56移动安全企业版(TMMS) 9.04 / 701 移动安全企业版(TMMS)9.0 介绍1.1 了解移动设备威胁由于标准化平台的使用及其不断增强的连接能力,移动设备越来越容易受到更多威胁。在移动平台上运行的恶意软件程序数量不断增加,越来越多的垃圾信息通过短信发送。新的内容来源(例如, WAP 和 WAP-Push)也被用于提供不需要的内容。除受恶意软件、垃圾信息及其他多余内容的威胁之外,移动设备还容易受到黑客和拒绝服务 (DoS) 攻击。现在,多数移动设备同样也具有传统上只应用于较大计算设备(例如,笔记本电脑和台式机)的网络连接,因此也成为
4、此类攻击的目标。此外,移动设备盗用可能会危害个人数据或敏感数据。1.2 趋势科技移动安全 v9.0 概述趋势科技 移动安全企业版是一套应用于移动设备的全面的安全解决方案。移动安全结合了趋势科技反恶意软件技术,能有效防范对移动设备的最新威胁。集成的防火墙和过滤功能使移动安全能够阻止发送到移动设备的不需要的网络通信。这些不需要的网络通信包括:通过 3G/GPRS 连接接收的短信、服务信息邮件和数据。此版本的移动安全独立于防毒墙网络版,并且可以作为独立应用程序单独在 Windows 计算机上安装。此外,移动安全附带通用加密模块,可在 Symbian 和 Windows Mobile 设备上提供登录密
5、码保护和数据加密功能。加密模块有助于防止因移动设备丢失或被盗而危及数据安全。注意: 趋势科技无法保证移动安全与文件系统加密软件之间的兼容性。提供类似功能(例如防恶意软件扫描、短信管理和防火墙保护)的软件产品也可能与移动安全不兼容。1.3 此版本(v9.0)的新增功能独立管理服务器此版本的趋势科技移动安全独立于防毒墙网络版,并且可以直接在 Windows 计算机上安移动安全企业版(TMMS) 9.05 / 70装。可选云通信服务器除了本地安装的通信服务器(本地通信服务器) ,此版本还提供使用在云中部署的通信服务器(云通信服务器)的选项。管理员不需要安装云通信服务器,它是由趋势科技维护的。Exch
6、ange 服务器集成提供与 Microsoft Exchange 服务器的集成,并支持使用Exchange ActiveSync 服务的 iOS、Android 和 WindowsPhone 移动设备。基于模板的策略让您能够创建、复制或删除安全策略,并将其分配给特定的移动设备组。支持多管理员帐户让您能够根据需要创建拥有可自定义的不同角色的多管理员帐户。最新设备状态使用最新设备状态列表显示移动设备的更多适当当前状态。iOS 设备配置让您能够将针对配置的配置文件推送到 iOS 移动设备,以配置VPN、Wi-Fi 和 Exchange ActiveSync 设置。iOS 移动设备的监管模式设备管理此
7、版本还添加了对监管模式 iOS 移动设备的支持。控制台窗口管理让您能够以小部件的形式管理显示在控制台窗口中的信息。可以根据需要添加或删除小部件。服务器命令确认提供命令队列管理界面,可以显示每个从服务器执行的命令的当前状态。使用类别的应用程序控制可以使用允许列表和阻止列表来允许或阻止在 iOS 和 Android 移动设备上安装属于特定类别的应用程序。使用 QR 码的移动设备注册引入使用在用户电子邮件中发送的 QR 码进行的移动设备注册。功能锁定策略改进向功能锁定列表中添加了更多功能和操作系统组件,便于管理员控制它们在移动设备上的可用性。移动安全企业版(TMMS) 9.06 / 70iOS 批量
8、购买计划支持让您能够将通过苹果批量购买计划购买的 iOS 应用程序导入移动安全管理 Web 控制台。最新移动安全客户端界面引入了 Android 和 iOS 移动安全客户端的新用户界面。与 MARS 集成提供服务器和 Android 移动安全客户端与趋势科技移动应用程序声誉服务 (MARS) 的集成,以降低应用程序安全风险并提高资源利用率。管理员报告下载让您能够从移动安全管理 Web 控制台下载管理员报告。策略违例日志提供 Android 移动设备的策略违例日志。与趋势科技防毒墙控制管理中心集成趋势科技移动安全提供与趋势科技防毒墙控制管理中心的集成。通过此集成,防毒墙控制管理中心管理员能够将企
9、业策略传送到移动设备,并能够在防毒墙控制管理中心查看移动安全控制台窗口。1.4 移动客户端安全的主要功能防恶意软件扫描移动安全结合了趋势科技防恶意软件技术,可有效检测威胁并防止攻击者利用移动设备上的漏洞。移动安全特别设计用于扫描移动威胁,允许用户隔离和删除受感染文件。防火墙移动安全包括趋势科技防火墙模块,此模块具有多个用于过滤网络通信的预定义安全级别。您也可定义自己的过滤规则,并过滤来自特定 IP 地址和特定端口的网络通信。入侵检测系统 (IDS) 可阻止向移动设备连续发送多个数据包的尝试。通常,这些尝试会构成拒绝服务 (DoS) 攻击,并导致移动设备因过于繁忙而无法接受其他连接。Web 安全
10、移动安全企业版(TMMS) 9.07 / 70随着移动设备技术的提升,移动威胁的复杂性也在增加。趋势科技移动安全提供 Web 信誉和家长控制,用以保护您的移动设备免受不安全网站的侵扰,以及可能包含儿童、青少年和其他家庭人员不宜内容的网站的侵扰。您可以根据需要的设置修改 Web 信誉和家长控制设置级别。移动安全还将在Web 信誉或家长控制的专门日志中保留它们所阻止的网站日志。反垃圾短信移动设备通常会通过短信传输接收到不需要的消息或垃圾信息。要将不需要的短信过滤到垃圾信息文件夹,可指定发送所有这些将被视为垃圾信息的短信的电话号码,或指定批准的电话号码列表并配置移动安全使其过滤来自不在允许列表的发件
11、人的所有消息。还可以过滤无法识别的短信或没有发件人电话号码的消息。您的移动设备会自动将这些消息存储到收件箱的垃圾信息文件夹。注意: 反垃圾短信功能不适用于没有电话功能的移动设备。电话过滤移动安全可以过滤来自服务器的来电或去电。可以配置移动安全阻止来自特定电话号码的来电,或指定移动设备可以呼叫的允许电话号码列表。移动安全还可以让移动设备用户指定自己的阻止或允许列表,以过滤不想接听的来电。注意: 电话过滤功能不适用于没有电话功能的移动设备。服务信息防护服务信息是一种将内容自动传递到移动设备的有效方法。为发动内容传送,它会向用户发送特殊的短信(称为服务信息) 。通常,这些消息包含关于内容的信息,并用
12、作用户可接受或拒绝内容的方法。恶意用户会发出不正确或非信息的服务信息,目的是欺骗用户接受可能包括不需要的应用程序、系统设置甚至恶意软件的内容。移动安全允许用户使用可信发件人列表来过滤服务信息,并防止不需要的内容进入移动设备。注意: 服务信息防护功能不适用于没有电话功能的移动设备。身份验证安装移动客户端安全后,移动设备与用户相关联。用户必须键入密码(亦称开机密码)才能登录到移动设备。数据加密移动安全为存储在移动设备和内存卡上的数据提供了动态数据加密。可指移动安全企业版(TMMS) 9.08 / 70定要加密的数据类型和要使用的加密算法。定期更新为防范最新威胁,可手动更新移动安全或将其配置为自动更
13、新。为了节约成本,可以为漫游移动设备设置不同的更新“频率”。更新包括组件更新和移动安全程序补丁更新。日志管理服务器包括以下移动客户端安全日志: 恶意软件防护日志 Web 威胁防护日志 加密日志 防火墙日志 事件日志可在移动设备上查看到以下日志: Windows Mobile 和 Symbian : 病毒/ 恶意软件日志 防火墙日志 反垃圾短信日志 服务信息防护日志 任务日志 违例日志 Android: 恶意软件扫描历史日志 隐私扫描历史日志 Web 阻止历史日志 来电阻止历史日志 短信阻止历史日志 更新历史日志1.5 支持的功能下表展示了趋势科技移动安全在不同平台上支持的功能列表:移动安全企业
14、版(TMMS) 9.09 / 70表 1-1 趋势科技移动安全 9.0 功能矩阵移动安全企业版(TMMS) 9.010 / 70移动安全企业版(TMMS) 9.011 / 70移动安全企业版(TMMS) 9.012 / 70移动安全企业版(TMMS) 9.013 / 70移动安全企业版(TMMS) 9.014 / 70移动安全企业版(TMMS) 9.015 / 702 规划服务器安装2.1 网络规划移动安全企业版 9.0 包括下列四个组件: 管理服务器 通信服务器 短信发送器(可选) 移动安全客户端 ( MDA )根据公司需要,可以使用不同的客户机服务器通信方法实施移动安全。也可选择在网络中使
15、用一种客户机服务器通信方法或任意几种方法的组合。趋势科技移动安全支持三种部署型号: 基本安全型号(单服务器安装) 包含云通信服务器的增强安全型号(双服务器安装) 包含本地通信服务器的增强安全型号(双服务器安装)本地和云通信服务器比较下表提供了本地通信服务器 (LCS) 和云通信服务器 (CCS) 的比较。功能 云通信服务器 本地通信服务器是否需要安装 否 是支持的用户身份验证方法 注册密钥 Active Directory 或注册密钥Android 客户端定制 不支持 支持管理 Symbian 移动设备支持 不支持 支持管理 Windows Mobile 设备 不支持 支持移动安全企业版(TM
16、MS) 9.016 / 70基本安全型号(单服务器安装)基本安全型号支持在同一计算机上安装通信服务器和管理服务器。下图显示了在典型基本安全型号中包含的所有移动安全组件。图1-1 显示了在典型基本安全型号中包含的各个移动安全组件。图 1-1. 基本安全型号移动安全企业版(TMMS) 9.017 / 70包含云通信服务器的增强安全型号(双服务器安装)增强安全型号支持在云中部署通信服务器。 图1-2 显示了在典型增强安全型号中包含的各个移动安全组件。图 1-2. 包含云通信服务器的增强安全型号移动安全企业版(TMMS) 9.018 / 70包含本地通信服务器的增强安全型号(双服务器安装)增强安全型号
17、支持在两个不同的服务器计算机上安装通讯服务器和主服务器。图1-3 显示了在典型增强安全型号中包含的各个移动安全组件。警告! 趋势科技强烈建议在两个服务器计算机上部署增强安全型号。该型号提供了最大程度的防护。图 1-3. 包含本地通信服务器的增强安全型号管理服务器管理服务器是一个插件程序,用户可通过此程序从防毒墙网络版 Web 控制台控制移动客户端安全。移动设备注册后,即可配置移动客户端安全策略并执行更新。通信服务器通信服务器处理管理服务器与移动客户端安全之间的通信。通信服务器允许管理服务器管理企业内部网外部的移动客户端安全。移动客户端安全可连接到通信服务器的公共 IP 地址。可使用防毒墙网络版
18、 Web 控制台配置通信服务器的策略。短信发送器短信发送器被分配给通过 WLAN 或 ActiveSync(版本 4.0 或更高版本)连接到通信服务器的移动设备。短信发送器从服务器接收命令,然后通过发送短信将命令中继到移动设备。可通过短信通知移动设备执行以下任务: 下载和安装移动客户端安全 将移动客户端安全注册到移动安全服务器移动安全企业版(TMMS) 9.019 / 70 从移动安全服务器更新移动客户端安全组件 擦除、锁定或定位远程移动设备 与移动安全服务器同步策略移动客户端安全在支持的平台上使用这些安装方法之一安装移动客户端安全:短信通知、电子邮件通知、内存卡和手动安装。移动客户端安全可提
19、供对恶意软件、不需要的短信/服务信息或网络通信的无缝防护。用户在移动设备上发送/接收消息和打开文件时,可享受到实时扫描、防火墙保护和数据加密带来的好处。2.2 系统要求在网络中安装各个移动安全组件之前,请查看以下要求。有关移动安全组件的信息,请参阅移动安全企业版 9.0 管理员指南 。表 1-2 系统要求移动安全企业版(TMMS) 9.020 / 70移动安全企业版(TMMS) 9.021 / 70移动安全企业版(TMMS) 9.022 / 703 为安装准备服务器计算机3.1 一般先决条件您需要执行以下操作,为针对所有移动设备平台的安装做好服务器计算机准备工作。1. SQL Server 安
20、装安装以下一种 SQL Server 版本: Microsoft SQL Server 2005 (或精简版)有关详细的 SQL Server 2005 安装程序,请参阅以下 URL:http:/ Microsoft SQL Server 2008/2008 R2 (或精简版)有关详细的 SQL Server 2008 安装程序,请参阅以下 URL:http:/ 对于 Microsoft SQL Server 2012 (或 Express 版):http:/ SQL Server 使用 SQL Server 身份验证方法,而非 Windows身份验证。然而,您也可以为 SQL Server
21、配置 Windows 身份验证。有关详细信息,请参阅对 SQL Server 使用 Windows 身份验证 。2. Active Directory 服务帐户访问权(可选)注意: 只有在您计划使用 Active Directory 进行用户身份验证或从 Active Directory导入用户的情况下,才需要执行此步骤。否则可跳过此步骤。为移动安全 9.0 创建 Active Directory 服务帐户,并至少为该帐户分配对Active Directory 的只读访问权限。有关为 Windows 2008 创建 Active Directory 帐户的信息,请参阅以下 URL :http:
22、/ Active Directory 安装程序,请参阅以下 URL:http:/ 路由器/防火墙访问规则应用以下几组规则: 如果打算使用 Active Directory,管理服务器应该能够连接到 Active Directory 服务器。如果使用防火墙,确保为管理服务器在防火墙设置中添加一个例外。 管理服务器应能够连接安装有趋势科技移动安全数据库的 SQL Server。如果使用防移动安全企业版(TMMS) 9.023 / 70火墙,确保在 SQL 服务器和管理服务器中的防火墙设置中添加一个例外。 为端口 4343 添加一个例外,确保管理服务器和通信服务器之间的 https 连接 为端口 8
23、0 和 443 添加例外,确保所有移动设备都能连接到通信服务器。注意:用于管理服务器和通信服务器连接及设备到通信服务器连接的端口可以修改3.2 iOS 支持先决条件1. 证书颁发机构(可选)为 iOS 移动设备安装证书颁发机构。有关详细的证书颁发机构安装过程,请参阅以下 URL:http:/ 如果您想要使用适用于 iOS 移动设备的 SCEP ,则需要证书颁发机构。如果您不想使用 SCEP,则无需安装证书颁发机构。2. 简单证书注册协议 (SCEP) (可选)注意: 如果您不想为 iOS 移动设备使用 SCEP ,那么您需要在安装主服务器和通讯服务器之后,在通讯服务器设置中禁用它。有关步骤,请
24、参阅第 4-7 页的配置 iOS 通讯服务器设置。若已在 Windows Server 2008 上安装了 SCEP,请安装 Windows 服务器网络设备注册服务。有关网络设备注册服务的安装与部署过程,请参阅以下 URL:http:/ 如果您想要使用 SCEP,趋势科技建议您在 Windows Server 2008 上使用SCEP。若已在 Windows Server 2003 上安装 SCEP,请安装 SCEP 证书服务附加程序。进入以下 URL 下载 SCEP 证书服务附加程序:http:/ 系统时钟验证确保 SCEP 服务器、通讯服务器和主服务器的系统时钟的时间设置正确。4. 修改证
25、书颁发机构的策略模块属性a. 在安装有证书颁发机构的计算机上,打开证书颁发机构管理控制台。b. 单击策略模块选项卡,然后单击属性。移动安全企业版(TMMS) 9.024 / 70c. 选中遵循证书模板中的设置(如果适用)。否则,自动颁发证书。d. 单击确定。5. 苹果推送通知服务 (APNs) 证书若要在 iOS4 或以上版本的移动设备上使用移动设备管理 (MDM) 功能,请从 Apple 处获得苹果推送通知服务 (APNs) 证书。有关详细步骤,请参阅附录A-2,生成和配置苹果推送通知服务证书。6. 路由器/防火墙访问规则应用以下几组规则: iOS 移动设备应能够连接通讯服务器。 如果您使用
26、 SCEP,则: 通讯服务器应能够连接 SCEP 服务器。 当注册到移动安全服务器时,iOS 移动设备应能够直接连接 SCEP 服务器。 配置以下端口: TCP 端口 2195 允许在 TCP 端口 2195 上建立通讯服务器到苹果推送通知服务的出站连接。苹果推送通知服务的主机名是。 端口 5223 对于 iOS 设备,要接收来自 Apple 服务器的推送通知,您必须打开端口 5223,特别是当连接通过端口 5223 受阻的 Wi-Fi 网络时。然而,若移动设备使用的是 3G 网络,则不必打开此端口。7. SSL 服务器证书(用于 HTTPS 通信)若要使用安全的 HTTP (HTTPS) 服
27、务实现移动设备与通讯服务器之间的通信,请从公认的公共证书颁发机构处获取 SSL 服务器证书或生成专用 SSL 服务器证书,并将其安装在通讯服务器上。有关详细步骤,请参阅附录 A-3, 生成和配置 SSL 证书 。iOS 5.x 移动设备仅支持 HTTPS。因此,若要管理 iOS 5.x 移动设备,则必须使用 HTTPS 与通讯服务器通信,并在通讯服务器上配置 SSL 证书。注意: 由于只有通讯服务器与移动设备通信,因此您无需在主服务器上配置 SSL证书。8. 验证 SCEP 服务器的配置(可选)如果您已为 iOS 移动设备设置了 SCEP ,请执行以下步骤以验证服务器配置: 对于在 Windo
28、ws Server 2008 上运行的 SCEP ,请从通讯服务器访问以下 URL: http:/certsrv/mscep_admin注意: 使用 URL 中的实际 SCEP 服务器 IP 地址替换 。对于在 Windows Server 2003 上运行的 SCEP,请从通讯服务器访问以下 URL : http:/certsrv/mscep注意: 使用 URL 中的实际 SCEP 服务器 IP 地址替换 。若显示类似于图2-1. 配置验证 的网页,则说明您的服务器配置正确:移动安全企业版(TMMS) 9.025 / 70图 2-1. 配置验证注意: iOS 移动设备注册后,将能够访问以下
29、URL:http:/certsrv/mscepiOS 移动设备只需要连接 SCEP 服务器就可进行注册,无需将此连接用于其他用途。3.3 BlackBerry 支持先决条件1. BlackBerry 企业服务器安装 BlackBerry 企业服务器 (BES)。有关 BES 5.x 的更多信息,请参阅以下 URL:http:/ BES 用户管理工具若要在 BlackBerry 设备上使用移动安全,请在主服务器上安装 BES 用户管理工具。下载 BES 用户管理工具:a. 请访问以下 URL:http:/ 单击商业软件列表中的 BlackBerry 企业服务器资源工具包,然后阅读网页上的说明,了
30、解如何从 BlackBerry Enterprise Server Resource Kit v5.0 Service Pack 2 下载 BlackBerry Enterprise Server User Administration Tool v5.0 Service Pack 2。3. BlackBerry 移动设备激活移动安全企业版(TMMS) 9.026 / 70您必须先激活 BlackBerry 移动设备,才能使用移动安全来管理它们。有关详细信息,请参阅以下 URL:http:/4. 路由器/防火墙访问规则配置以下端口: TCP 端口 3101 允许在 TCP 端口 3101 上建
31、立 BES 到 BlackBerry 基础架构 (BBI) 的出站连接。 打开管理服务器和 BES 命令工具的 TCP 端口 443。移动安全企业版(TMMS) 9.027 / 704. 安装 TMMS 组件4.1 安装主服务器在安装主服务器之前,请确保您已安装以下各项: 请确保移动安全组件满足指定的系统要求。此外,可能还需要计算网络拓扑,并确定想要安装的移动安全服务器组件要安装主服务器,请执行以下步骤:1. 从以下位置下载管理服务器安装程序:http:/ 将下载的文件解压缩,然后运行管理服务器安装程序:MdmServerSetup.exe显示欢迎窗口。3. 单击下一步。移动安全企业版(TMM
32、S) 9.028 / 70显示许可协议窗口。4. 选中我同意复选框并单击下一步。显示数据库选项窗口。(如果未安装 PHP 组件则会显示要求安装)5. 执行下列操作之一: 如果您尚未安装任何数据库或者要为移动安全创建新的数据库:移动安全企业版(TMMS) 9.029 / 70a. 选择在此计算机上安装 Microsoft SQL Server 2005 Express,并单击下一步。显示数据库设置窗口。b. 为新数据库键入密码,并单击下一步。显示安装进度窗口,并显示当前安装状态。c. 安装完成后,单击下一步。显示服务器连接设置窗口。 如果您已经安装了数据库并且希望使用现有数据库:a. 选择连接到现有数据库并单击下一步。移动安全企业版(TMMS) 9.030 / 70显示现有数据库窗口。b. 键入现有数据库服务器信息并单击下一步。显示服务器连接设置窗口。6. 从下拉列表中选择 IP 地址并键入服务器端口号,单击下一步。7. 选择安装移动安全的位置,并单击下一步。
