保护便携式计算机

以下内容介绍了使用 Vulnerability Protection 趋势科技服务器深度安全防护系统来保护便携式计算机的步骤。这将涉及以下步骤:

  1. 向管理中心添加计算机
    1. 添加各个计算机
    2. 在网络中执行发现操作
    3. 从 Microsoft Active Directory 导入计算机
  2. 为便携式计算机创建新策略
    1. 创建和命名新策略
    2. 设置要监控的接口
    3. 将网络引擎设置为桥接模式
    4. 分配防火墙规则(其中某些提供位置感知)并启用防火墙状态配置
    5. 分配入侵防御规则
    6. 分配日志审查规则
    7. 分配完整性监控规则
  3. 将策略应用于计算机
  4. 使用管理中心监控活动

我们将假定您已在计算机上安装了管理中心,并且打算通过该计算机对整个网络的 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端进行管理。我们还将假定您已经在希望保护的便携式计算机上安装了(但未激活) Vulnerability Protection 趋势科技服务器深度安全防护系统客户端。如果您尚未做到这些,请参考安装说明,了解执行到此阶段的步骤。

向管理中心添加计算机

您可以通过以下方式将计算机添加到 Vulnerability Protection 趋势科技服务器深度安全防护系统计算机页面中:

  1. 通过指定计算机的 IP 地址或主机名来逐个添加计算机
  2. 通过扫描网络来发现计算机
  3. 连接到 Microsoft Active Directory 并导入计算机列表
  4. 连接到 VMware vCenter 并导入计算机列表(本部分不包含该内容,因为此处涉及的是便携式计算机。)

通过指定计算机的 IP 地址或主机名来逐个添加计算机

要通过指定计算机的 IP 地址或主机名来添加单个计算机,请转至计算机页面,然后单击工具栏中的新建

主机名文本框中键入新计算机的主机名或 IP 地址。新建计算机向导找到新计算机并确定存在未激活的客户端后,它还允许您指定要应用于该计算机的策略。(目前,请不要选择策略。)单击下一步时,向导将找到计算机并激活客户端。完成客户端激活后,此向导会提供打开计算机编辑器窗口(“详细信息”窗口)的选项,通过此窗口可以配置很多客户端的设置。目前请跳过详细信息窗口。

通过扫描网络来添加计算机(发现)

通过扫描网络来发现计算机:

  1. 转至计算机页面。
  2. 单击工具栏中的查找...以显示查找计算机对话框。
  3. 键入要扫描的计算机的 IP 地址范围。如有需要,可以输入屏蔽的 IP 地址执行相同操作。
  4. 选择自动将 IP 解析为主机名,以指示管理中心在执行发现操作时自动解析主机名。
  5. 您可以选择将发现的计算机添加到已创建的计算机组中。目前,请将将找到的计算机添加到以下组下拉列表选项的设置保留为“计算机”。
  6. 最后,清除自动执行发现的计算机的端口扫描复选框。(端口扫描会检测在发现的计算机上哪些端口处于打开状态。)
  7. 单击确定。此时对话框会消失,并且在浏览器底部的管理中心状态栏中显示“查找正在进行中...”。(可以通过单击 "X" 取消查找进程。)

    几分钟后,系统将检测到网络中所有可见的计算机,并且管理中心会对安装有 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端的那些计算机进行标识。现在需要激活这些客户端。

  8. 右键单击某个客户端(或多个选择的客户端),然后从快捷方式菜单中选择“激活/重新激活”来激活客户端。激活客户端后,这些客户端的状态灯将变绿并且状态列中将显示“被管理 (联机)”。

从 Microsoft Active Directory 导入计算机

从 Active Directory 导入的计算机被视为与计算机页面中的任何其他计算机相同。

从 Microsoft Active Directory 导入计算机

  1. 单击计算机页面工具栏中“新建”旁边的向下键头并选择添加目录...,以启动添加目录向导。
    可以从其他基于 LDAP 的目录同步计算机,但需要对其执行一些自定义。要获取相关帮助,请联系您的支持提供商。
  2. 依次键入 Active Directory 服务器名称、导入的目录(将显示在管理中心中)的名称和描述(无需与 Active Directory 的名称和描述匹配)、Active Directory 服务器的 IP 和端口以及您的访问方法和凭证。单击下一步
    必须将域名和用户名包括在用户名文本框中。
  3. 如果选择 SSL 或 TLS 作为访问方法,则向导将要求您接受安全证书。转至管理 > 系统设置 > 安全并单击“信任证书”区域中的“查看证书列表...”,即可查看 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心接受的证书。单击下一步
  4. 新建目录向导的第二个页面要求输入架构详细信息。(保留缺省值)。单击完成
  5. 下一个页面将告知您是否存在错误。单击下一步
  6. 最后一个页面允许您创建预设任务,以便定期将管理中心的计算机页面与 Active Directory 进行同步。现在,请将此选项保留为清除状态。单击关闭

现在,目录结构显示在计算机页面。

其他 Active Directory 选项

通过右键单击 Active Directory 结构,会显示不适用于计算机下列出的普通计算机组的以下选项。

既然客户端处于活动状态,则可向其分配防火墙规则和入侵防御规则。虽然可以将所有单个安全对象单独分配给客户端,但将常见安全对象组合到一个策略中,然后将该策略分配给一个或多个客户端会比较方便。

单击菜单栏中的支持链接可获得有关 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心各个页面的更多信息。

激活计算机上的客户端

必须通过管理中心“激活”客户端,才能将策略和规则分配给这些客户端。激活过程包括在客户端和管理中心之间交换唯一的指纹。这样可以确保仅有该 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心(或其中一个节点)能够向客户端发送指令。

可以将客户端配置为在安装后自动启动自身的激活。有关详细信息,请参阅命令行工具

要手动激活计算机上的客户端,请右键单击一个或多个选中的计算机,然后选择操作 > 激活/重新激活

为便携式计算机创建策略

既然客户端已激活,便可以分配一些规则来保护计算机。尽管能够直接将规则分配给计算机,但更为有用的做法是创建包含这些规则的策略,然后将其分配给多个计算机。

创建策略将涉及以下步骤:

  1. 创建和命名新策略
  2. 设置要监控的接口
  3. 将网络引擎设置为桥接模式
  4. 分配防火墙规则(其中某些提供位置感知)并启用状态检查
  5. 分配入侵防御规则
  6. 分配完整性监控规则
  7. 分配日志审查规则
  8. 将策略分配给计算机

创建和命名新策略

创建和命名新策略:

  1. 转至策略部分,单击左侧导航面板中的“策略”以转到策略页面。
  2. 单击工具栏中的新建以显示新建策略向导。
  3. 将新策略命名为“我的新便携式计算机策略”并从继承自: 菜单选择基本策略。单击下一步
  4. 下一个页面会询问是否要根据现有计算机的当前配置创建策略。如果选择,系统将会要求您选择一台现有的被管理计算机,向导会采用该计算机的所有配置信息,并据此创建一个新策略。这在下列情况中会十分有用:例如,如果您对现有计算机的安全配置微调了一段时间,而现在希望据此创建一个策略以便将其应用到功能相同的其他计算机上。现在,请选择,然后单击下一步
  5. 最后一个页面将确认已创建新策略。选择在“关闭”时打开策略详细信息选项,然后单击关闭

设置要监控的接口

设置要监控的接口:

  1. 由于设置了在“关闭”时打开策略详细信息选项,所以会显示新策略编辑器窗口。
  2. 要将该策略分配到的便携式计算机配备有两个网络接口(一个本地连接,一个无线连接),而我们要调整安全配置以便将正在使用的接口考虑在内。单击导航面板中的接口类型并选择规则可以应用于特定接口选项。输入接口的名称和客户端将用来与计算机上接口名称相匹配的字符串(含可选通配符):前两个“接口类型”区域中为“LAN 连接 *”和“局域连接”以及“无线”和“无线网络连接 *”。单击页面右下方的保存

将网络引擎设置为桥接模式

客户端的网络引擎可以采用桥接模式或分接模式运行。以桥接模式运行时,活动数据包流会经过网络引擎。系统会维护状态表、应用防火墙规则并执行网络通信规范化,以便可以将入侵防御规则应用到有效载荷内容。以分接模式运行时,系统会克隆活动数据包流并从主数据流中转移。在分接模式下,不会修改活动数据包流,所有操作都将在克隆的数据流上执行。

现在,我们将策略配置为指定引擎以桥接模式运行。

将网络引擎设置为桥接模式:

  1. 仍然是在“我的新便携式计算机策略”编辑器中,转至设置,然后单击网络引擎选项卡。
  2. 将“网络引擎模式”设置为“桥接”。缺省情况下,该设置应该已经设置为“已继承 (桥接)”,因为基本策略缺省模式为桥接,因此新策略会从那里继承其设置。

分配防火墙规则(其中某些提供位置感知)并打开状态检查

分配防火墙规则:

  1. 在导航面板中单击防火墙,在常规选项卡的防火墙区域中,从防火墙状态下拉菜单中选择打开
    选择“继承”,此策略的此设置将从父策略继承。父策略上的此设置可能已经“打开”,但是现在不管任何父策略设置,您都将在此策略级别上强制实施设置。有关继承的信息,请参阅策略、继承与覆盖
  2. 现在我们将向该策略分配一些防火墙规则和防火墙状态配置规则。单击防火墙规则以显示可用的预定义防火墙规则列表。(您可以创建自己的防火墙规则,但对于该练习,我们将从现有防火墙规则列表中选择。)选择下列防火墙规则集,以允许基本通信:
    • 允许请求的 ICMP 回复
    • 允许请求的 TCP/UDP 回复
    • 域客户端 (UDP)
    • ARP
    • 无线认证
    • Windows 文件共享(这是一个强制允许规则,允许传入的 Windows 文件共享流量。)
    请注意“防火墙规则”复选框旁边的灰色向下箭头。如果在上一步定义了多个接口,则会显示这些箭头。通过这些箭头,您可以指定是将防火墙规则应用于计算机上的所有接口,还是仅应用到指定的接口。现在,请保持缺省设置。单击保存按钮。

我们分配了允许 Windows 文件共享的防火墙规则。Windows 文件共享是 Windows 中一项非常有用的功能,但它有一些安全问题。当便携式计算机在安全的办公室环境中使用时最好限制该功能,而当便携式计算机在办公室以外使用时禁止该功能。当配合使用该策略来实施该策略时,我们将位置感知应用到防火墙规则。

实施位置感知:

  1. 我的新便携式计算机策略策略编辑器中,转至防火墙 > 常规 > 已分配防火墙规则,右键单击“Windows 文件共享”防火墙规则,然后选择属性...。这将显示防火墙规则的属性窗口(但是我们对其所做的更改将仅在其作为该新策略的一部分应用时才应用于防火墙规则)。
  2. 属性窗口中,单击选项选项卡。
  3. 规则上下文区域,从下拉列表中选择新建...。此时会显示新建上下文属性窗口。我们将创建一个规则上下文,仅在便携式计算机具有域控制器的本地访问时,该上下文才会允许防火墙规则为活动状态。(也就是说,当便携式计算机位于办公室中时。)
  4. 将新规则上下文命名为“In the Office”。在选项区域,设置执行域控制器连接检查选项并在其下选择本地。然后单击确定
  5. 在 Windows 文件共享防火墙规则属性窗口中单击确定

现在,仅在便携式计算机能本地访问其 Windows 域控制器时,Windows 文件共享防火墙规则方可生效。Windows 文件共享防火墙规则现在在策略详细信息窗口中以粗体字显示。这表示该防火墙规则的属性仅对于该策略进行了编辑。

位置感知也可用于入侵防御规则。

防火墙部分的最后一步是启用状态检查。

启用状态检查:

  1. 仍然是在我的新便携式计算机策略策略编辑器窗口中,转至防火墙 > 常规 > 防火墙状态配置
  2. 对于全局 (所有接口) 设置,请选择启用状态检查
  3. 单击保存以完成。

分配入侵防御规则

将入侵防御规则分配到策略:

  1. 仍然是在我的新便携式计算机策略编辑器窗口中,在导航面板中单击入侵防御
  2. 在“常规”选项卡的入侵防御区域中,将入侵防御状态设置为打开
    当网络引擎以“桥接模式”(与“分接模式”相对)运行时,入侵防御可以设置为“阻止”或“检测”模式。如果正尝试使用一组新的入侵防御规则,但在确信新规则正常工作之前不想冒丢失网络通信的风险,则检测模式非常有用。在检测模式下,通常丢弃的流量会生成事件,但将能够通过。将入侵防御设置为“打开”。
    请注意建议区域。可以指示 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端运行“漏洞扫描 (推荐设置)”。(在管理中心的计算机页面中,右键单击一台计算机,然后选择操作 > 漏洞扫描 (推荐设置)。)建议引擎将扫描计算机上的应用程序,并根据查找结果给出入侵防御规则建议。“漏洞扫描 (推荐设置)”的结果可以通过转至入侵防御 > 入侵防御规则 > 分配/取消分配... 并从第二个下拉过滤器菜单中选择建议分配的项目,在计算机编辑器窗口中查看。
  3. 现在,将建议 > 自动实施入侵防御建议 (如果可能): 选项的设置保留为已继承 (否)
  4. 在“已分配的入侵防御规则”区域中,单击分配/取消分配...以打开规则分配窗口。
  5. 按应用程序类型组织入侵防御规则。应用程序类型是对入侵防御规则进行分组的有效方法;它们仅有三种属性:通信方向、协议和端口。对于我们的新便携式计算机策略,请分配下列应用程序类型:
    • 邮件客户端 Outlook
    • 邮件客户端 Windows
    • 恶意软件
    • 恶意软件 Web
    • Microsoft Office
    • Web 常用客户端
    • Web 客户端 Internet Explorer
    • Web 客户端 Mozilla Firefox
    • Windows 服务 RPC 客户端
    • Windows 服务 RPC 服务器
    确保前两个下拉过滤器菜单显示所有且第三个排序过滤器菜单按应用程序类型排序。如果右键单击“规则”列表并选择全部折叠,则可轻松翻阅应用程序类型。应用程序类型(和入侵防御规则)数量很多,因此必须使用页面右下方的分页控件来查看全部,或使用页面右上方的搜索功能。在应用程序类型名称旁边进行勾选来选择应用程序类型。
    有些入侵防御规则取决于其他规则。如果分配了一个需要分配另一个规则(但尚未分配)的规则,则系统会显示一个弹出式窗口,提示您分配必需的规则。
    将任意种类的规则分配到计算机时,不要让自己受到“特别安全”的诱惑而将所有可用的规则都分配到计算机。这些规则是为各种操作系统、应用程序和漏洞设计的,可能不适用于您的计算机。流量过滤引擎将因查找永不会出现的病毒码而徒然浪费 CPU 时间。保护计算机时,要有所选择!
  6. 单击确定保存将应用程序类型分配到策略。

分配完整性监控规则

为策略分配完整性监控规则:

  1. 仍然是在我的新便携式计算机策略编辑器窗口中,在导航面板中单击完整性监控
  2. 常规选项卡上,将完整性监控状态设置为打开
  3. 自动实施完整性监控建议 (如果可能):设置为
  4. 现在在已分配的完整性监控规则区域中单击分配/取消分配...
  5. 在页面右上方的“搜索”框中键入文字 "Windows" 并按 Enter 键。应用到 Microsoft Windows 的所有规则都将显示在规则列表中。右键单击其中一个规则并选择“全选”,然后再次单击右键并选择“分配规则”。这样,便会将搜索结果中列出的所有规则分配给策略。

分配日志审查规则

为策略分配日志审查规则:

  1. 仍然是在我的新便携式计算机策略编辑器窗口中,在导航面板中单击日志审查
  2. 取消选择继承并将“日志审查”设置为打开
  3. 自动实施日志审查规则建议 (如果可能):设置为
  4. 现在在已分配的日志审查规则区域中单击分配/取消分配...
  5. 选择“1002792 — 缺省规则配置”规则(所有其他日志审查规则正常运行所需的规则)以及“1002795 — Microsoft Windows 事件”规则。(此操作会对 Windows 审计功能任何时候在便携式计算机注册的事件进行记录。)
  6. 单击确定保存将规则应用到策略。

我们现在完成了新策略的编辑。现在可以关闭“我的新策略”详细信息窗口。

编辑域控制器 IP 列表

最后,由于新策略包括三个使用“域控制器”IP 列表的防火墙规则,我们将必须编辑该 IP 列表,以将本地 Windows 域控制器的 IP 地址包含在内。

编辑域控制器 IP 列表:

  1. Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心控制台的主窗口中,转至策略 > 通用对象 > IP 列表
  2. 双击域控制器 IP 列表以显示其属性窗口。
  3. 键入域控制器的 IP。
  4. 单击确定

将策略应用于计算机

现在我们可以将策略应用于计算机。

将策略应用于计算机:

  1. 转至计算机页面。
  2. 右键单击将要为其分配策略的计算机,然后选择操作 > 分配策略...
  3. 分配策略对话框中的下拉列表中选择“我的新便携式计算机策略”。
  4. 单击确定

单击确定后,管理中心将向客户端发送策略。计算机状态列和管理中心的状态栏将显示客户端正在进行更新的消息。

计算机上的客户端完成更新后,状态列将显示“被管理 (联机)”。

配置 SMTP 设置

通过配置 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的 SMTP 设置,可以向用户发送电子邮件警报。

要配置 SMTP 设置

  1. 转至管理 > 系统设置并单击 SMTP 选项卡。
  2. 键入配置信息,然后单击测试 SMTP 设置,以确认 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心能够与邮件服务器进行通信。
  3. 转至警报选项卡。
  4. 警报事件转发 (来自管理中心) 部分中,键入您想要将通知发送到的缺省电子邮件地址。
  5. 单击保存
可以在用户的属性窗口(管理 > 用户管理 > 用户)中配置用户是否可以获取以电子邮件形式发送的警报。可以在特定警报的属性窗口中配置该警报是否生成以电子邮件形式发送的通知。

使用管理中心监控活动

控制台

在为计算机分配了策略并且运行一段时间后,您将会查看该计算机上的活动。检查活动的第一站是控制台。控制台有许多信息面板 ("widgets"),可显示与 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心及其管理的计算机的状态有关的不同信息类型。

在“控制台”页面的右上方,单击添加/移除 Widget,查看显示的可用 widget 列表。

目前,我们将从防火墙部分添加以下 widget:

选择三个 widget 旁边的每个复选框,然后单击确定。这些 widget 将显示在控制台上。(生成数据可能需要一段时间。)

请注意防火墙计算机活动 (已阻止) 防火墙 IP 活动 (已阻止) widget 中数值旁边的趋势指示器。正三角或倒三角表示指定时间段内是增加还是减少,水平线表示没有明显变化。

防火墙和入侵防御事件日志

现在下钻到拒绝数据包最常见原因对应的日志:在防火墙活动(已阻止) widget 中,单击拒绝数据包的首个原因。这会将您带到防火墙事件页面。

防火墙事件页面将显示所有的防火墙事件,其中原因列条目对应于防火墙活动 (已阻止) widget 中的首个原因(“不允许的策略”)。日志经过过滤,可只显示控制台查看时间段(过去 24 小时或过去七天)的那些事件。关于防火墙事件入侵防御事件页面的更多信息,可在这些页面的帮助页面中找到。

有关不同数据包拒绝原因的含义,请参阅:

报告

用户通常期望更高级别的日志数据视图,其中信息得到了汇总,并且以更为浅显易懂的格式呈现。报告填补了这一角色,它允许您显示计算机、防火墙和入侵防御事件日志、事件、警报等的详细摘要信息。在报告页面中,可以为要生成的报告选择各种选项。

我们将生成一个防火墙报告,它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录。从“报告”下拉菜单中选择防火墙报告。单击生成以在新窗口中启动报告。

通过查看 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心以电子邮件形式发送给用户的预设报告、登录到系统并咨询控制台、对特定日志进行仔细分析来执行详细的调查,以及通过配置通知用户关键事件的警报,您可以随时了解网络的运行状况。

另请参阅: