蓝盾内网安全保密及审计系统策略配置

《蓝盾内网安全保密及审计系统策略配置》由会员分享，可在线阅读，更多相关《蓝盾内网安全保密及审计系统策略配置（18页珍藏版）》请在装配图网上搜索。

1、蓝盾内网安全保密及审计系统目录（一）蓝盾内网保密管理系统用户密码：2（二）配置安全策略：2一、进入界面：2二、配置安全策略4三 大唐韩城第二发电有限责任公司所下发的策略：8（三）注意：14一、新增部门注意：14二、重启服务器服务：15三、终端状态17四、策略没效果原因17（一）蓝盾内网保密管理系统用户密码：系统管理员：sysadmin/sysadmin系统操作员：sysopter/Admin123安全管理员：secadmin/secadmin安全操作员：secopter/Admin123审计管理员：auditadmin/auditadmin审计操作员；auditopter/Admin123（二

2、）配置安全策略：一、进入界面：1. 先用secopter登录界面，如图：用户/密码：secopter/Admin123进入界面如图：点击“功能”，选择“安全策略”-“安全策略管理中心”然后选择“策略模板管理”，出现如图:二、配置安全策略一般配置安全策略步骤如下：1.点击“策略模板管理”“模板列表”，即可进入策略模板管理的主界面，如图： 点击“创建模板”，弹出如下对话框：添加模板名称，选择系统模块名称，点击“确定”按钮，策略模板创建成功。然后就可以对各种策略模板进行策略的定制。2. 策略群发点击“本地策略管理”-“本地策略群发”，主界面如下：选择要选择的模板，然后点击右边的“应用策略模板”：注意

3、：先选择“包含子部门”，再对单位打勾，应用类型选择“包含主机”，然后全部打勾，如上图。然后按确定即可。3. 对单个主机下发策略先选择左下角的“主机策略”出现如图：然后选择要下发策略的主机，例如10.176.20.174，对之双击：选择“主机-安全审计策略”，出现如下：同样，选择要下发的策略模板，然后点击“应用策略模板”即可4. 查看某个客户端所下发策略先选择左下角的“主机策略”出现如图：然后选择要下发策略的主机，例如10.176.20.174，对之双击：选择“主机-安全审计策略”，出现如下：即此时出现的策略中“（4）资产管理”等，就是已下发的策略。注意：如已选择策略模板，下发后，要看下发的策略

4、，要先按右边的“刷新”按钮。三 大唐韩城第二发电有限责任公司所下发的策略：我这边做了5个模板：1. 全部取消策略：模板功能：取消所有已下发的策略。模板中全部策略的“是否启用”和“记录”都是停用，表示不使用，不审计。2. 主机通信认证模板功能：只有装客户端的并下发此策略者才能互相访问内网资源，如没装客户端机器接入，但也无法跟有客户端的并下发此策略的终端通讯。此模板中（1）选择修改，即可增加许可的IP，如DNS服务器，网康审计，或者不是windows的服务器，或者可控交换机。添加如图：（2）这条一般可不修改，功能是使10.178.0.0的子网的所有终端包括服务器都要强制身份认证。（3）此条功能是让

5、除了上面2条情况的终端放开。一般不必修改。3. 停用U盘策略：模板功能：取消U盘禁用策略。4. 启用U盘策略：模板功能：不能使用U盘，只有授权U盘方可再下发此策略的终端使用。注册U盘步骤如下:1.介质初始化：点击“功能”“安全加固”“移动存储介质管理中心” “介质初始化”，进入介质初始化管理界面。 在控制台所在计算机的USB口插上要注册的移动存储介质，等系统读出盘符，如下图所示： 选择要进行注册管理介质的盘符，就可以对移动存储介质初始化了。对介质的操作有三种方式： 批量初始化：可以对介质单独初始化，也可以选中多个介质，进行批量初始化。这种方式的初始化，需要先在控制台所在计算机上插上介质，等系统

6、读出了盘符信息后，选中要初始化的盘符，点击“批量初始化”按钮，系统弹出介质分区将被初始化确认提示信息，点击“是”，进行介质的初始化。初始化完毕，提示初始化完成。 自动初始化：可以自动完成对介质的初始化工作，不需要手动操作。这种方式的初始化，需要先点击“自动初始化”按钮，系统提示“请插入Usb存储介质”后，再在控制台所在计算机上插上介质，系统读出了盘符信息后，会自动完成介质的初始化工作。初始化完毕，提示初始化完成。 注销：对注册过的介质进行注销操作。注销时必须插入介质，选中要注销的盘符，点击“注销”按钮，删除隐藏信息，同时删除数据库中的信息。注销后的介质就成为未注册的介质。2.注册管理完成介质的

7、初始化工作后，点击移动介质管理中心的“注册管理”功能图标，进入注册管理界面，如图： 各个功能按钮说明如下： “刷新”按钮，可以对部门使用介质情况的页面显示进行实时刷新。 “注册”按钮，对初始化过的介质进行注册。 “修改”按钮，可以对介质的注册情况进行修改。插入U盘后系统自动取介质信息，可对介质注册信息直接修改。启用了在线认证的U盘，不插入介质可以直接修改注册信息；没有启用在线认证的介质，必须插入介质修改注册信息才可进行修改。 “删除”按钮，可以删除已经注册过的介质。 这里的删除只是删除数据库注册信息，不操作介质。对启用在线认证的注册介质来说，该介质不可用了；对没有启用在线认证的注册介质来说，该

8、介质仍可使用。要对介质本身注册信息删除的时候，先插入介质然后点击“删除”按钮会弹出提示框让您选择要删除的介质对应的盘符，选择好要删除的盘符后点击“删除”按钮，删除介质中和数据库中介质注册的信息。点击“注册”按钮，弹出如下USB注册对话框：对USB设备注册管理分四步完成：（1）填写基本信息在基本信息标签页中，填写介质的基本信息： 介质类型：选择“普通介质”。 Usb盘符：选择要注册介质的盘符。 工作模式：选定介质的工作模式，这里有三种工作模式：只读，读写，禁用。只读：只能对介质进行读操作，不能写；读写，可以对介质进行读写操作；禁用，不能对介质进行任何操作。 授权范围：标定介质的授权范围，范围分为

9、单位、部门、主机三种。单位：注册介质在单位各个部门均可使用；部门，注册介质只能在授权的部门中使用；主机：注册介质只能在注册的主机上使用。 安全等级：标定介质的密级，这里有高、中、低三种，对应主机高、中、低三种安全级别。这里介质的密级必须跟主机安全级别严格匹配。 主管部门：管理该介质的主管部门。 责任人：负责管理该介质分发的责任人。 使用人：该介质的使用人。 启用在线认证：勾上该项，就启用服务器在线认证，使用该介质的时候，代理必须要到服务器的数据库中读取介质的注册信息，然后把读取的注册信息和介质本身记录的注册信息进行比对，二者匹配，可以使用，反之，不能使用该介质；不勾，即为离线认证，使用该介质的

10、时候，只需要代理对介质本身记录的注册信息验证，符合注册信息的介质即可使用，不需要到服务器进行注册信息的比对。（2）设定使用条件：在使用条件标签页中，对介质使用条件进行定义。 启用最大次数：勾上，介质超过定义的使用最大次数后，按“过期后使用模式”中定义的工作模式工作；不勾，注册介质没有使用次数限制。 启用使用时间范围：勾上，注册介质只能在定义的时间范围内使用，超过定义的时间范围，按“过期后使用模式”中定义的工作模式工作；不勾，注册介质没有使用时间限制。 过期后使用模式：设置介质超过最大使用次数或者使用范围后的工作模式，这里有禁用、只读、读写三种方式。只读：过期后只能对介质进行读操作，不能写；读写

11、，过期后可以对介质进行读写操作；禁用，过期后不能对介质进行任何操作。 设定使用条件后，进入第三步：设定授权部门或者授权主机。（3）授权部门：在授权部门标签页中，标定介质的授权使用的部门范围。 注意：步骤（1）中授权范围为部门的可以在这里进行授权部门的选择。（4）授权主机：在授权主机标签页中，选定介质授权使用的主机。注意：步骤（1）中授权范围为主机的方可以在这里进行授权主机的选定。授权部门或者主机后，点击“完成”标签页，进入第五步。（5）完成：在完成标签页中，显示介质的详细注册信息，确认无误后，点击“保存”按钮，完成介质的注册工作。 介质进行注册管理后，还需要在代理终端启用移动存储介质策略后，注

12、册的介质才可正常使用。注意：启用了移动存储介质策略的机器，不使用普通介质的时候需要使用热键 Ctrl+Alt+S弹出介质；或者通过右击托盘，选择“删除U盘” 弹出介质，如图：5. 主要日志模板模板功能：资产管理日志收集，地址绑定，文件审计日志策略，打印监控审计日志策略等策略。详细功能需看操作手册57-93页。但这边只是启用IPmac地址绑定；文件审计对*.doc;*.pdf;*.txt;*.xls;*.docx;*.exe;*.rar进行审计。其他只是启用日志功能。（三）注意：一、新增部门注意：如要添加部门，首先用sysadmin进去界面 注册管理-部门列表-添加部门，如图：添加部门后记得编辑

13、角色，因为角色只有原本的部门并没有自动更新你增加的部门。角色编辑在用户管理-角色列表，如图：再授权部门添加未打勾的部门：选择“完成”，确定后即可。同时编辑角色还需要分别用secadmin，auditadmin2个用户进入不同界面去编辑角色，切记！操作相同。二、 重启服务器服务：请远程登陆到10.178.10.100，选择“服务配置管理器”，路径如图：选择后如图：先“停止所有服务”，然后再“启动所有服务“即重启服务，一般用在如果机器出现异常现象，或插正式KEY（我们正式版是key来的，只要插入服务器上，再重启服务即可）时，就使用重新启动。一般出现服务变成红色时，请检查装再sql2000是否出现异

14、常，无法连接数据库。*我们数据库是，当把客户端装完后，可以把这2个数据库复制出来即可。即当备份。数据库的路径在E:MSSQLData中，把bdsecusbmng_Data.MDF和lssdb.mdf备份起来。即策略和客户信息都不会丢。切记！三、 终端状态如图：第一个为本已装客户端，但是被卸拉。第二三个为探针客户端，这个是我们接入控制功能的一个机制，是做为探针机器，去检查客户端。四、 策略没效果原因如果再客户端查询策略时出现明明已经下发策略，但是却没有效果。可以到c:windowssystem32lsslog的文件，把日期最接近的日志打开，看是否更新模板，如无法看懂，可以找蓝盾技术部电话020-38468375找技术部。