嚴(yán)格管控保護(hù)終端安全

■河南 郭建偉

終端安全的控制機(jī)制

這里所說的安全監(jiān)測，范圍很廣泛，例如檢查防病毒軟件、補(bǔ)丁/Service Pack、可疑的注冊表和進(jìn)程、非法開啟的端口等。

使用華為提供的Agile Controller 內(nèi)網(wǎng)安全控制系統(tǒng)可以較全面地保護(hù)終端安全，Agile Controller 提供了豐富的安全檢查策略。Agile Controller 采用基于角色的動態(tài)策略控制機(jī)制，可以針對不同的用戶角色或部門定義對應(yīng)的安全規(guī)則。

為了降低終端管理維護(hù)成本，Agile Controller 提供了一鍵式自動修復(fù)功能，可以自動部署指定版本的防病毒軟件，自動更新病毒庫、自動修復(fù)補(bǔ)丁、根據(jù)鏈接指導(dǎo)安裝指定軟件、自動修復(fù)注冊表鍵值和屏保屏保設(shè)置等。當(dāng)自動修復(fù)完畢后，即可授權(quán)終端接入網(wǎng)絡(luò)。

終端安全的技術(shù)架構(gòu)

從終端安全技術(shù)架構(gòu)上說，當(dāng)用戶連接網(wǎng)絡(luò)時，會先進(jìn)行準(zhǔn)入控制檢測，確定合法后，會進(jìn)入認(rèn)證前域進(jìn)行全面的安全性檢測，Agile Controller 控制平臺的SM和SC 等設(shè)備位于認(rèn)證前域，如果終端安全性存在問題，就會被發(fā)送到隔離域中，在隔離域中存在安全管理器，補(bǔ)丁管理器等設(shè)備，可以對其進(jìn)行各種修復(fù)處理。當(dāng)終端的各種安全漏洞修復(fù)后，才允許接入認(rèn)證后域（即業(yè)務(wù)域）中。

Agile Controller 采用了多級管理機(jī)制，通過MC 管理中心可以集中配置和分發(fā)策略到下級終端安全管理服務(wù)器，終端安全客戶端按照分配的安全策略對終端進(jìn)行檢查，通過后服務(wù)器可以通知準(zhǔn)入控制設(shè)備為終端開放權(quán)限，如果檢測失敗可以對終端進(jìn)行隔離修復(fù)。Agile Controller 的安全策略是可以和準(zhǔn)入控制進(jìn)行聯(lián)動的，包括與硬件SACG 設(shè)備（即防火墻）/802.1X/Portal 交換機(jī)進(jìn)行聯(lián)動等。

管理終端安全策略

當(dāng)然對于終端來說，需要安裝Agile Controller客戶端軟件才可以實現(xiàn)終端的安全性檢查。利用AnyOffice 定制向?qū)?，可以生成AnyOffice 全功能客戶端軟件。Agile Controller終端安全客戶端軟件可以按照終端用戶的策略模版進(jìn)行安全策略的檢查，并將檢查結(jié)果按照不安全性和安全性分別進(jìn)行展示，讓用戶可以查看每一條不安全檢查結(jié)果的詳細(xì)內(nèi)容。

登錄Agile Controller設(shè)備，在管理界面頂部點擊“策略→安全策略→策略上傳”項，點擊“添加”按鈕，選擇策略集合控制模版包（例如“Policy Package.zip”），導(dǎo)入所有的安全控制策略。因為在默認(rèn)情況下Agile Controller 中沒有配置任何終端安全控制策略。在左側(cè)選擇“安全策略→策略模版”項，在右側(cè)顯示所有的策略項目。注意，在默認(rèn)情況下所有的模版都處于未開啟狀態(tài)，管理員可根據(jù)需要開啟所需策略。

Agile Controller 的安全策略分類

Agile Controller 的安全策略包括檢查類、監(jiān)控類和用戶自定義類。檢查類主要用于檢查終端的一些靜態(tài)設(shè)置，包括屏保/防病毒軟件等的安裝設(shè)置情況等。監(jiān)控類主要用于實時監(jiān)控系統(tǒng)發(fā)生的事件，例如開啟/關(guān)閉進(jìn)程、是否使用撥號方式接入網(wǎng)絡(luò)等，一旦檢測到事件的發(fā)生，可采取相應(yīng)的控制措施。用戶自定義類可以通過用戶自定義策略工具，讓用戶來編輯一些檢查項，實現(xiàn)簡單的安全管理需求。

Agile Controller 常用的安全檢查策略包括檢查防病毒軟件（是否安裝和運行了防病毒軟件，病毒庫是否及時更新），檢查操作系統(tǒng)補(bǔ)?。ńK端是否安裝指定的補(bǔ)丁，并提供自動修復(fù)功能）。

此外還包括檢查注冊表配置（終端注冊表配置是否符合要求），檢查計算機(jī)名（名稱是否符合命令規(guī)則），檢查屏保設(shè)置（屏保參數(shù)是否符合要求），檢查文件共享（終端文件共享的賬號以及權(quán)限是否符合要求）等。

檢查類策略配置實例

例如，在策略列表中選擇“檢查屏保設(shè)置”策略，在“操作”列中點擊“激活”按鈕開啟該策略。點擊“設(shè)置”按鈕，在屬性窗口（如圖1）中的“要求屏保時間設(shè)置不能高于”欄中設(shè)置屏保等待時間（例如10 分鐘）。在“違規(guī)等級”列表中選擇級別，如果超過該時間，就會觸發(fā)違規(guī)事件。如果將等級設(shè)置為“嚴(yán)重”，并選擇“出現(xiàn)嚴(yán)重違規(guī)則禁止接入網(wǎng)絡(luò)”項，就會因為嚴(yán)重違規(guī)而被發(fā)送到隔離域。選擇“啟動自動修復(fù)”項，可以自動修改該問題。除了自動修復(fù)外，當(dāng)終端出現(xiàn)違規(guī)時，在Agile Controller Agent 代理程序或WebAgent 中會顯示相關(guān)的說明信息，可以點擊修復(fù)。

圖1 配置檢查屏保策略

當(dāng)保存該策略后，在工具欄上點擊“實時下發(fā)”按鈕，來下發(fā)設(shè)定的安全策略。點擊“全部啟用”按鈕，啟用所有的安全策略。點擊“模版分配”按鈕，在分配策略模版窗口中可以針對部門，賬號以及終端IP 范圍進(jìn)行分配。例如，在“分配給部門”面板中選擇具體的部門，可以將其分配給選定部門中的用戶。點擊其他的安全策略，可以進(jìn)行進(jìn)行所需的激活/配置/分配操作。在對應(yīng)部門的終端機(jī)上運行AnyOffice 程序，點擊窗口右上角的“登錄”按鈕，輸入賬號和密碼完成登錄操作。

點擊工具欄上的“安全檢查”按鈕，執(zhí)行終端安全檢查操作，可以顯示是否存在安全違規(guī)情況。如果存在不符合安全設(shè)定的項目，就會被發(fā)送到隔離域中。例如，在USG 防火墻上執(zhí)行“display right-manager onlineusers”命令，在返回信息中的“Role id”列表中顯示該終端角色對應(yīng)的ID。執(zhí)行“display right-manager role-id x rule”命令，顯示其所處的IP 范圍，據(jù)此可以判斷其處于隔離域或認(rèn)證后域等信息，其中“x”為具體ID。在AnyOffice 程序窗口中點擊“一鍵修復(fù)”項，可以自動修復(fù)存在的安全問題。在防火墻上再次測試，可以發(fā)現(xiàn)該終端處于認(rèn)證后域。

對于注冊表檢測來說，在其屬性窗口中的“子鍵”欄設(shè)置具體的注冊表路徑，在“鍵值名稱”欄中設(shè)置相應(yīng)的鍵值名，在“鍵值數(shù)據(jù)”欄中輸入其具體的數(shù)值，在“鍵值類型”列表中選擇該值的類型，包括字符串值和DWORD等。在“違規(guī)條件”列表中選擇“不存在符合條件的注冊表項”項，表示該子健如果不存在，或鍵值名稱、鍵值數(shù)據(jù)和鍵值類型至少有一個與預(yù)設(shè)值不符，則觸發(fā)違規(guī)動作。選擇“存在符合條件的注冊表項”項，表示存在預(yù)設(shè)的子健，并且以上參數(shù)均均與預(yù)設(shè)值一致，則觸發(fā)違規(guī)動作。

對于檢查防病毒策略來說，在屬性窗口中的“設(shè)置檢查周期為”欄中設(shè)置檢查的時間間隔，默認(rèn)為60 分鐘。點擊“增加”按鈕，配置需要檢查防病毒軟件信息，包括軟件廠商、軟件名稱、軟件版本、病毒庫更新周期等信息。對于聯(lián)動的防病毒軟件來說，選擇該軟件名稱后將自動出現(xiàn)聯(lián)動參數(shù)配置頁面。Agile Controller 支持動態(tài)添加防病毒軟件，點擊“上傳防病毒軟件配置文件”按鈕，將某防病毒軟件的配置文件上傳，之后就可以在列表中找到該防病毒軟件。在“未安裝或者未運行要求的防病毒軟件違規(guī)等級”和“低于防病毒軟件要求版本或病毒庫沒有及時更新的違規(guī)級別”列表中均默認(rèn)選擇“嚴(yán)重”項。并且默認(rèn)選擇“出現(xiàn)嚴(yán)重違規(guī)則禁止接入網(wǎng)絡(luò)”項，這樣終端就必須按照預(yù)設(shè)規(guī)則使用防病毒軟件。

對于檢查打印機(jī)共享策略來說，在其屬性窗口中如果選擇“允許終端共享本地打印機(jī)”項，表示允許開啟打印機(jī)共享功能，否則禁止共享操作。如果激活共享功能，在“共享賬號違規(guī)權(quán)限信息表”欄中點擊“增加”按鈕，添加對應(yīng)的賬號，針對其設(shè)置禁止的權(quán)限以及違規(guī)級別。例如，對于Everyone 賬號來說，可以禁止其執(zhí)行打印、管理打印機(jī)、管理文檔等操作。對于打印機(jī)共享檢查策略來說，默認(rèn)提供了自動修復(fù)功能。

對于賬號安全策略來說，在屬性窗口中選擇“檢測系統(tǒng)弱口令”項，可以檢測終端中是否存在弱口令情況。選擇“啟用賬戶密碼策略”項，激活密碼管理策略。選擇“密碼必須符合復(fù)雜度要求”項，可以設(shè)置合適的密碼長度最小值、密碼最短存留期、復(fù)位賬戶鎖定計數(shù)器、賬戶鎖定時間、密碼最長存留期、強(qiáng)制密碼歷史和賬戶鎖定閾值等項目。選擇“修復(fù)賬戶密碼策略”項，可以按照以上預(yù)設(shè)配置自動修復(fù)密碼策略。

對于檢查文件共享策略來說，在其屬性窗口中如果選擇“允許終端共享文件”項，表示允許終端主機(jī)共享文件，并根據(jù)根據(jù)預(yù)設(shè)的共享賬號權(quán)限，檢查終端主機(jī)在共享文件時是否存在違規(guī)。不選擇該項，在“不允許共享違規(guī)等級”列表中設(shè)置違規(guī)等級，禁止終端主機(jī)共享文件，否則觸發(fā)預(yù)設(shè)的違規(guī)級別。在“共享賬號違規(guī)權(quán)限信息表”欄可以添加指定賬號，為其設(shè)置違規(guī)的權(quán)限，例如針對Everyone賬號，設(shè)置當(dāng)其擁有寫權(quán)限、完全控制權(quán)限時觸發(fā)違規(guī)級別，該策略擁有自動修復(fù)功能。

安全監(jiān)控策略配置實例

常見的安全監(jiān)控策略包括監(jiān)視網(wǎng)卡利用率、監(jiān)視USB存儲設(shè)備（終端USB 存儲設(shè)備的訪問情況，提供文件監(jiān)視功能）、監(jiān)控DHCP 設(shè)置、監(jiān)控非法外聯(lián)（終端的Proxy設(shè)置和路由是否合規(guī)）、監(jiān)控終端打印、監(jiān)控本地服務(wù)、監(jiān)控網(wǎng)絡(luò)應(yīng)用程序等。

例如對于監(jiān)控DHCP 策略來說，在其屬性窗口中選擇“強(qiáng)制使用DHCP”項，表示終端必須使用DHCP 來獲取地址，禁止終端用戶手工修改IP 地址。選擇“檢查所有的網(wǎng)卡”項，表示針對終端主機(jī)所有的網(wǎng)卡進(jìn)行強(qiáng)制檢查，在“策略違規(guī)等級”列表中選擇“嚴(yán)重”項，選擇“出現(xiàn)嚴(yán)重違規(guī)則禁止接入網(wǎng)絡(luò)”項，那么如果不采用DHCP 獲取IP 則禁止接入網(wǎng)絡(luò)。該策略擁有自動修復(fù)功能。對于監(jiān)控非法外聯(lián)策略來說，在其屬性窗口中選擇“禁止訪問外網(wǎng)”項，就可以禁止終端主機(jī)訪問外網(wǎng)。選擇“允許通過合法路徑連接外網(wǎng)”項，則可以在其下輸入合法的代理服務(wù)器IP 地址或域名、合法的路由IP 地址以及目的IP 地址或域名，來合法地訪問外網(wǎng)。

對于監(jiān)控本地服務(wù)策略來說，可以強(qiáng)制啟動或禁用某些系統(tǒng)服務(wù)，可以實現(xiàn)查看某些必要軟件的安裝和運行情況?？梢栽趯傩源翱谥刑砑颖O(jiān)控項、指定服務(wù)的名稱、服務(wù)的啟動類型和運行狀態(tài)等。例如，對于需要啟動的服務(wù)，如果終端不存在該服務(wù)，將被Agile Controller 記錄為違規(guī)行為。但如果在策略中該服務(wù)設(shè)置停止?fàn)顟B(tài)，并且在終端上并不存在該服務(wù)的話，則不記錄違規(guī)信息。對于監(jiān)控訪問站點策略來說，在其屬性窗口中的“上報的地址目錄層數(shù)”欄中設(shè)置合適的層數(shù)，則只監(jiān)控和上報指定的網(wǎng)址層數(shù)。點擊“添加”按鈕，可以輸入目標(biāo)站點，在“控制動作”列表中設(shè)置是否放行或禁止操作。

對于監(jiān)控網(wǎng)絡(luò)應(yīng)用程序策略來說，可以在屬性窗口中添加目標(biāo)程序，在“控制動作”列表中為其設(shè)置放行（允許訪問網(wǎng)絡(luò)）或拒絕操作。

對于監(jiān)控網(wǎng)絡(luò)連接策略來說，在屬性窗口中的“禁止通過如下方式訪問網(wǎng)絡(luò)”欄中選擇MODEM、PPPOE、ISDN、VPN 等連接方式。如果終端存在選中的上述活動設(shè)備，則觸發(fā)違規(guī)行為并禁止使用這些設(shè)備，如果終端存在沒有選中的這些設(shè)備，則僅僅進(jìn)行記錄其運行狀態(tài)。

對于監(jiān)控多網(wǎng)卡策略來說，在其屬性窗口中選擇“禁用無線網(wǎng)卡”項，則只允許使用有線連接。選擇“監(jiān)視無線網(wǎng)卡”項，則可以記錄無線網(wǎng)卡活動信息。選擇“檢查是否存在多個網(wǎng)卡處于連接狀態(tài)”項，如果終端存在多個網(wǎng)卡，Agile Controller代理程序?qū)⒁暺錇檫`規(guī)并記錄。如果選擇該項，可以在其下設(shè)置例外VPN 連接。

對于監(jiān)控系統(tǒng)設(shè)備策略來說，可以在其屬性窗口中的“禁用系統(tǒng)設(shè)備”列表中監(jiān)視并禁用終端上的軟驅(qū)/串口/ 并口/ 紅外/1394/Modem/PCMCIA/藍(lán)牙/SD/MMC 卡/本地打印機(jī)等外設(shè)。

對于監(jiān)控IP 訪問策略來說，可以在其屬性窗口中配置監(jiān)控方式，包括禁止訪問的TCP/IP 端口規(guī)則和只能訪問的TCP/IP 端口規(guī)則。根據(jù)選定的配置方式，來添加所需的TCP/IP 端口列表。此外還可以禁止其他主機(jī)ping 探測本機(jī)，禁止本地ping 探測其他主機(jī)。當(dāng)然，實現(xiàn)的前提是在終端上開啟Windows 防火墻。

對于監(jiān)控USB 存儲設(shè)備策略來說，可以禁用或者監(jiān)控移動存儲設(shè)備，對移動存儲設(shè)備中的文件進(jìn)行加密或只讀控制，可以監(jiān)控U 盤、移動硬盤、讀卡器等常見設(shè)備。在其屬性窗口中可以針對未注冊和已注冊的USB 存儲設(shè)備配置權(quán)限，包括禁用、只讀、文件監(jiān)控、寫入加密等。

對于VMware 虛擬環(huán)境中的USB 存儲設(shè)備，可以設(shè)置禁用或者不禁用類型?？梢杂涗沀SB 設(shè)備的插拔信息、配置監(jiān)控的文件類型等，這樣當(dāng)在移動存儲設(shè)備上操作這些類型的文件時，就會被記錄下來。