快速入门:保护计算机
下面介绍了使用趋势科技服务器深度安全防护系统保护 Windows Server 2008 计算机所涉及的步骤。
将要涉及的步骤如下:
- 向趋势科技服务器深度安全防护系统管理中心添加计算机
- 运行“漏洞扫描 (推荐设置)”
- 自动实施“漏洞扫描 (推荐设置)”
- 创建预设任务定期执行“漏洞扫描 (推荐设置)”
- 使用趋势科技服务器深度安全防护系统管理中心监控活动
向趋势科技服务器深度安全防护系统管理中心添加计算机
只要计算机在端口 4120 上可以访问趋势科技服务器深度安全防护系统管理中心,您可以从任意位置向趋势科技服务器深度安全防护系统管理中心添加此计算机。
您可以通过以下方式添加计算机:
- 通过指定计算机的 IP 地址或主机名来从本地网络逐个添加计算机
- 通过扫描网络来在本地网络中查找计算机
- 连接到 Microsoft Active Directory 并导入计算机列表
- 连接到 VMware vCenter 并导入计算机列表
- 通过以下云提供程序服务连接到计算资源:
- Amazon EC2
- VMware vCloud
- Microsoft Azure
出于此练习的目的,我们将从本地网络添加计算机,但一旦将计算机添加到管理中心,防护过程就会相同,而不管计算机位置如何。
从本地网络添加计算机:
- 在趋势科技服务器深度安全防护系统管理中心控制台中,请转至计算机页面,单击工具栏中的新建,然后从下拉菜单中选择新建计算机...。
- 在新建计算机向导中,输入计算机的主机名或 IP 地址,并从下拉菜单的策略树中选择要应用的相应安全策略。(在此情况下,我们将选择 Windows Server 2008 策略。)单击下一步。
- 该向导将联系计算机,将其添加到“计算机”页面,检测未激活的客户端,将其激活,然后应用所选策略。单击完成。
可以将客户端配置为在安装后自动启动自身的激活。有关详细信息,请参阅命令行工具。 - 添加计算机后,该向导会显示一条确认消息:
- 取消选择在“关闭”时打开计算机详细信息选项,然后单击关闭。
此时,计算机会显示在计算机页面上趋势科技服务器深度安全防护系统管理中心的被管理计算机列表中。
激活后,趋势科技服务器深度安全防护系统会自动将最新的安全更新下载到计算机。同样,已向计算机分配的 Windows Server 2008 策略会启用完整性监控,以便可以开始生成计算机的完整性监控基线。您可以在管理中心窗口的状态栏中看到当前正在进行的活动:
趋势科技服务器深度安全防护系统管理中心完成其初始的激活后任务之后,计算机的状态应显示为被管理(联机)。
运行“漏洞扫描 (推荐设置)”
我们向计算机分配的安全策略由专用于运行 Windows Server 2008 操作系统的计算机的一组规则和设置组成。但是,静态策略可能会很快过期。这可能是因为计算机上安装了新软件,查找到了新的操作系统漏洞(趋势科技已针对这些漏洞创建了新的防护规则),或者甚至是因为先前的漏洞已由某个操作系统或软件 Service Pack 更正。由于对计算机的安全要求具有动态性,因此您应定期运行“漏洞扫描 (推荐设置)”,这些扫描会评估计算机的当前状态并将该状态与最新趋势科技服务器深度安全防护系统防护模块更新进行比较,以查看是否需要更新当前安全策略。
“漏洞扫描 (推荐设置)”会针对以下防护模块提出建议:
- 入侵防御
- 完整性监控
- 日志审查
在计算机上运行“漏洞扫描 (推荐设置)”:
- 转至趋势科技服务器深度安全防护系统管理中心控制台主窗口中的“计算机”页面。
- 右键单击计算机并选择操作 > 漏洞扫描 (推荐设置):
在“漏洞扫描 (推荐设置)”期间,计算机的状态会显示正在执行“漏洞扫描 (推荐设置)”。扫描完成后,如果趋势科技服务器深度安全防护系统提出了任何建议,您会在“警报”窗口上看到一个警报:对 x 台计算机进行了建议。
查看“漏洞扫描 (推荐设置)”的结果:
- 打开计算机的计算机编辑器(计算机页面菜单栏或右键单击菜单中的详细信息...)。
- 在计算机编辑器窗口中,请转至入侵防御模块页面。
在常规选项卡的建议区域,您将看到扫描结果:
当前状态告知我们当前已向此计算机分配了 179 个入侵防御规则。
最近执行的“漏洞扫描 (推荐设置)”告知我们上次扫描于 2012 年 12 月 18 日 09:14 执行。
待解决的建议告知我们由于扫描的原因,趋势科技服务器深度安全防护系统建议另外再分配 28 个入侵防御规则并取消分配 111 个当前已分配的规则。
注意通知我们建议取消分配的规则中有 111 个(所有建议取消分配规则)已在策略级别(而不是直接在此处的计算机级别)进行分配。在策略树以上级别分配的规则仅可以在对其进行分配所在的策略(本案例中为 Windows Server 2008 策略)中取消分配。(如果我们打开了 Windows Server 2008 策略编辑器,则我们会看到相同的建议且会从此处对规则进行取消分配。)
我们还被告知建议分配的规则中有 7 个无法自动分配。通常这些规则需要进行配置或易于误报,且其行为应该在仅检测模式下观察并在阻止模式下强制执行。要查看建议分配的规则,请单击分配/取消分配...以显示 IPS 规则规则分配模式窗口。然后从第二个下拉过滤列表中选择“建议分配的项目”:
带有小型配置标记的图标 (
) 可标识需要进行配置的规则。要查看规则的可配置选项,请双击规则,以打开其属性窗口(在本地编辑模式下),然后转至配置选项卡。要分配规则,请选择其名称旁边的复选框。
要查看建议取消分配的规则,请通过从同一下拉列表中选择建议取消分配的项目来过滤规则列表。要取消分配规则,请取消选择其名称旁边的复选框。
自动实施“漏洞扫描 (推荐设置)”
您可以将趋势科技服务器深度安全防护系统配置为在执行“漏洞扫描 (推荐设置)”之后自动分配和取消分配规则。要执行此操作,请打开计算机或策略编辑器,然后转至支持“漏洞扫描 (推荐设置)”的各个防护模块页面(入侵、防御、完整性监控和日志审查)。在“常规”选项卡的“建议”区域,将自动实施入侵防御建议(如果可能):设置为“是”。
创建预设任务以定期执行“漏洞扫描 (推荐设置)”
定期执行“漏洞扫描 (推荐设置)”可确保计算机受最新相关规则集的保护且会移除不再需要的规则集。您可以创建预设任务以自动执行此任务。
创建预设任务:
- 在趋势科技服务器深度安全防护系统管理中心主窗口中,转至管理 > 预设任务。
- 在菜单栏中,请单击新建以显示新建预设任务向导。
- 选择扫描计算机上有无建议项目作为扫描类型,然后选择每周重复周期。单击下一步。
- 选择开始时间,选择每周一次,然后选择一周中的某一天。单击下一步。
- 当指定要扫描的计算机时,选择最后一个选项(计算机),然后选择我们正在保护的 Windows Server 2008 计算机。单击下一步。
- 为新建预设任务键入名称。取消选中“完成”时运行任务(因为我们仅运行了“漏洞扫描 (推荐设置)”)。单击完成。
此时,新的预设任务会显示在预设任务列表中。该任务将一周运行一次,以扫描计算机并为计算机提出建议。如果已为支持该任务的上述每个防护模块设置自动实施建议,则趋势科技服务器深度安全防护系统会根据需要分配和取消分配规则。如果规则标识为需要特别注意,则会发出一条警报通知您。
定期预设安全更新
如果您按照快速入门:系统配置中介绍的步骤执行操作,则此时会使用趋势科技的最新防护定期更新计算机。
使用趋势科技服务器深度安全防护系统管理中心监控活动
控制台
在为计算机分配了策略并且运行一段时间后,您将会查看该计算机上的活动。检查活动的第一站是控制台。控制台有许多信息面板 ("widget"),可显示与趋势科技服务器深度安全防护系统管理中心及其管理的计算机的状态有关的不同信息类型。
在“控制台”页面的右上方,单击添加/移除 Widget,查看显示的可用 widget 列表。
目前,我们将从防火墙部分添加以下 widget:
- 防火墙活动(已阻止)
- 防火墙 IP 活动(已阻止)
- 防火墙事件历史记录 [2x1]
选择三个 widget 旁边的每个复选框,然后单击确定。这些 widget 将显示在控制台上。(生成数据可能需要一段时间。)
- 防火墙活动(已阻止) widget 可显示拒绝数据包(即某计算机上的客户端阻止数据包到达该计算机)最常见原因的列表,以及被拒绝的数据包的数目。列表中的项将为“数据包拒绝”或“防火墙规则”类型。每个“原因”都是到受拒绝数据包相应日志的链接。
- 防火墙 IP 活动(已阻止) widget 可显示受拒绝数据包最常见源 IP 的列表。与防火墙活动(已阻止) widget 相似,每个源 IP 都是指向相应日志的链接。
- 防火墙事件历史记录 [2x1] widget 可显示一个条形图,表示过去 24 小时内或七天内(取决于所选择的视图)所阻止的数据包数。单击某个条块将显示该条块表示时间段的相应日志。
防火墙和入侵防御事件日志
现在下钻到拒绝数据包最常见原因对应的日志:在防火墙活动(已阻止) widget 中,单击拒绝数据包的首个原因。这会将您带到防火墙事件页面。
防火墙事件页面将显示所有的防火墙事件,其中原因列条目对应于防火墙活动(已阻止) widget 中的首个原因(“不允许的策略”)。日志经过过滤,可只显示控制台查看时间段(过去 24 小时或过去七天)的那些事件。关于防火墙事件和入侵防御事件页面的更多信息,可在这些页面的帮助页面中找到。
有关不同数据包拒绝原因的含义,请参阅:
报告
用户通常期望更高级别的日志数据视图,其中信息得到了汇总,并且以更为浅显易懂的格式呈现。报告填补了这一角色,它允许您显示计算机、防火墙和入侵防御事件日志、事件、警报等的详细摘要信息。在报告页面中,可以为要生成的报告选择各种选项。
我们将生成一个防火墙报告,它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录。从“报告”下拉菜单中选择防火墙报告。单击生成以在新窗口中启动报告。
通过查看趋势科技服务器深度安全防护系统管理中心以电子邮件形式发送给用户的预设报告、登录到系统并咨询控制台、对特定日志进行仔细分析来执行详细的调查,以及通过配置通知用户关键事件的警报,您可以随时了解网络的运行状况。
下面介绍了使用 Vulnerability Protection 保护 Windows 7 桌面计算机所涉及的步骤。
这将涉及以下步骤:
- 把计算机添加到 Vulnerability Protection 管理中心。
- 配置和运行“漏洞扫描 (推荐设置)”
- 自动实施“漏洞扫描 (推荐设置)”
- 创建预设任务以定期执行“漏洞扫描 (推荐设置)”
- 使用 Vulnerability Protection 管理中心监控活动
把计算机添加到 Vulnerability Protection 管理中心
有多种方法可以把计算机添加到 Vulnerability Protection 管理中心的计算机页面。您可以通过以下方式添加计算机:
- 通过指定计算机的 IP 地址或主机名来从本地网络逐个添加计算机
- 通过扫描网络来在本地网络中查找计算机
出于此练习的目的,我们将从本地网络添加计算机,但一旦将计算机添加到管理中心,防护过程就会相同,而不管计算机位置如何。
从本地网络添加计算机:
- 在 Vulnerability Protection 管理中心控制台中,转至计算机页面,单击工具栏中的新建,然后从下拉菜单中选择新建计算机...。
- 在新建计算机向导中,输入计算机的主机名或 IP 地址,并从下拉菜单的策略树中选择要应用的相应安全策略。(在本案例中,我们将选择 Windows 7 桌面策略。)单击下一步。
- 该向导将联系计算机,将其添加到“计算机”页面,检测未激活的客户端,将其激活,然后应用所选策略。单击完成。
可以将客户端配置为在安装后自动启动自身的激活。有关详细信息,请参阅命令行工具。
- 添加计算机后,该向导会显示一条确认消息:
- 取消选择在“关闭”时打开计算机详细信息选项,然后单击关闭。
此时,计算机会显示在 Vulnerability Protection 管理中心计算机页面上的被管理计算机列表中。
激活后,Vulnerability Protection 会自动将最新的安全更新下载到计算机。
Vulnerability Protection 管理中心完成其初始的激活后任务后,计算机的状态应显示为被管理(联机)。
配置和运行“漏洞扫描 (推荐设置)”
向计算机分配的安全策略由为运行 Windows 7 桌面操作系统的计算机设计的一组规则和设置组成。但是,静态策略可能会很快过期。这可能是因为计算机上安装了新软件,查找到了新的操作系统漏洞(趋势科技已针对这些漏洞创建了新的防护规则),或者甚至是因为先前的漏洞已由某个操作系统或软件 Service Pack 更正。由于对计算机的安全要求具有动态性,因此您应定期运行“漏洞扫描 (推荐设置)”,这些扫描会评估计算机的当前状态并将该状态与最新 Vulnerability Protection 防护模块更新进行比较,以查看是否需要更新当前安全策略。
“漏洞扫描 (推荐设置)”会针对入侵防御模块提出建议。
在计算机上运行“漏洞扫描 (推荐设置)”:
- 转至 Vulnerability Protection 管理中心控制台主窗口中的“计算机”页面。
- 右键单击您的计算机并选择操作 > 漏洞扫描 (推荐设置)。
在“漏洞扫描 (推荐设置)”期间,计算机的状态会显示正在执行“漏洞扫描 (推荐设置)”。扫描完成后,如果 Vulnerability Protection 提出了任何建议,您会在“警报”窗口上看到一个警报:对 x 台计算机进行了建议。
查看“漏洞扫描 (推荐设置)”的结果:
- 打开计算机的计算机编辑器(计算机页面菜单栏或右键单击菜单中的详细信息...)。
- 在计算机编辑器窗口中,请转至入侵防御模块页面。
您将在常规选项卡的建议区域中看到扫描结果。
当前状态告知我们当前已向此计算机分配了 179 个入侵防御规则。
最近执行的“漏洞扫描 (推荐设置)”告知我们上次扫描于 2012 年 12 月 18 日 09:14 执行。
待解决的建议告知我们,根据扫描结果,Vulnerability Protection 建议另外再分配 28 个入侵防御规则并取消分配 111 个当前已分配的规则。
注意通知我们建议取消分配的规则中有 111 个(所有建议取消分配规则)已在策略级别(而不是直接在此处的计算机级别)进行分配。在策略树以上级别分配的规则仅可以在对其进行分配所在的策略(此案例中为 Windows 7 桌面策略)中取消分配。(如果打开了 Windows 7 桌面策略编辑器,我们将会看到相同的建议,而且可以从此处取消规则分配。)
我们还被告知建议分配的规则中有 7 个无法自动分配。通常这些规则需要进行配置或易于误报,且其行为应该在仅检测模式下观察并在阻止模式下强制执行。要查看建议分配的规则,请单击分配/取消分配...以显示 IPS 规则规则分配模式窗口。然后从第二个下拉过滤列表中选择“建议分配的项目”:
带有小型配置标记的图标 () 可标识需要进行配置的规则。要查看规则的可配置选项,请双击规则以打开其属性窗口(在本地编辑模式下),然后转至配置选项卡。要分配规则,请选择其名称旁边的复选框。
要查看建议取消分配的规则,请通过从同一下拉列表中选择建议取消分配的项目来过滤规则列表。要取消分配规则,请取消选择其名称旁边的复选框。
自动实施“漏洞扫描 (推荐设置)”
您可以配置 Vulnerability Protection 在执行“漏洞扫描 (推荐设置)”之后自动分配和取消分配规则。要执行此操作,请打开计算机或策略编辑器,然后转至入侵防御。在“常规”选项卡的“建议”区域,将自动实施入侵防御建议(如果可能):设置为“是”。
创建预设任务以定期执行“漏洞扫描 (推荐设置)”
定期执行“漏洞扫描 (推荐设置)”可确保计算机受最新相关规则集的保护且会移除不再需要的规则集。您可以创建预设任务以自动执行此任务。
创建预设任务:
- 在 Vulnerability Protection 管理中心主窗口中,转至管理 > 预设任务。
- 在菜单栏中,请单击新建以显示新建预设任务向导。
- 选择扫描计算机上有无建议项目作为扫描类型,然后选择每周重复周期。单击下一步。
- 选择开始时间,选择每周一次,然后选择一周中的某一天。单击下一步。
- 当指定要扫描的计算机时,选择最后一个选项(计算机),然后选择正在保护的 Windows 7 桌面计算机。单击下一步。
- 为新建预设任务键入名称。取消选中“完成”时运行任务(因为我们仅运行了“漏洞扫描 (推荐设置)”)。单击完成。
此时,新的预设任务会显示在预设任务列表中。该任务将一周运行一次,以扫描计算机并为计算机提出建议。如果已为支持该任务的上述三个防护模块设置自动实施建议,则 Vulnerability Protection 会根据需要分配和取消分配规则。如果规则标识为需要特别注意,则会发出一条警报通知您。
定期预设安全更新
如果您按照快速入门:系统配置中介绍的步骤执行操作,则此时会使用趋势科技的最新防护定期更新计算机。
使用 Vulnerability Protection 管理中心监控活动
控制台
在为计算机分配了策略并且运行一段时间后,您将会查看该计算机上的活动。检查活动的第一站是控制台。控制台有许多信息面板 ("widget"),可显示与 Vulnerability Protection 管理中心及其管理的计算机的状态相关的各种类型的信息。
在“控制台”页面的右上方,单击添加/移除 Widget,查看显示的可用 widget 列表。
报告
用户通常期望更高级别的日志数据视图,其中信息得到了汇总,并且以更为浅显易懂的格式呈现。报告填补了这一角色,它允许您显示计算机、防火墙和入侵防御事件日志、事件、警报等的详细摘要信息。在报告页面中,可以为要生成的报告选择各种选项。
我们将生成一个防火墙报告,它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录。从“报告”下拉菜单中选择防火墙报告。单击生成以在新窗口中启动报告。
您可以查看 Vulnerability Protection 管理中心以电子邮件形式发送给用户的预设报告,登录到系统并咨询控制台,对特定日志进行仔细分析来执行详细的调查,并可以配置警报以便向用户通知关键事件,这样,您就可以随时了解网络的运行状况。