嚴格管控保護終端安全

■河南 郭建偉

終端安全的控制機制

這里所說的安全監(jiān)測，范圍很廣泛，例如檢查防病毒軟件、補丁/Service Pack、可疑的注冊表和進程、非法開啟的端口等。

使用華為提供的Agile Controller 內網安全控制系統(tǒng)可以較全面地保護終端安全，Agile Controller 提供了豐富的安全檢查策略。Agile Controller 采用基于角色的動態(tài)策略控制機制，可以針對不同的用戶角色或部門定義對應的安全規(guī)則。

為了降低終端管理維護成本，Agile Controller 提供了一鍵式自動修復功能，可以自動部署指定版本的防病毒軟件，自動更新病毒庫、自動修復補丁、根據鏈接指導安裝指定軟件、自動修復注冊表鍵值和屏保屏保設置等。當自動修復完畢后，即可授權終端接入網絡。

終端安全的技術架構

從終端安全技術架構上說，當用戶連接網絡時，會先進行準入控制檢測，確定合法后，會進入認證前域進行全面的安全性檢測，Agile Controller 控制平臺的SM和SC 等設備位于認證前域，如果終端安全性存在問題，就會被發(fā)送到隔離域中，在隔離域中存在安全管理器，補丁管理器等設備，可以對其進行各種修復處理。當終端的各種安全漏洞修復后，才允許接入認證后域（即業(yè)務域）中。

Agile Controller 采用了多級管理機制，通過MC 管理中心可以集中配置和分發(fā)策略到下級終端安全管理服務器，終端安全客戶端按照分配的安全策略對終端進行檢查，通過后服務器可以通知準入控制設備為終端開放權限，如果檢測失敗可以對終端進行隔離修復。Agile Controller 的安全策略是可以和準入控制進行聯(lián)動的，包括與硬件SACG 設備（即防火墻）/802.1X/Portal 交換機進行聯(lián)動等。

管理終端安全策略

當然對于終端來說，需要安裝Agile Controller客戶端軟件才可以實現(xiàn)終端的安全性檢查。利用AnyOffice 定制向導，可以生成AnyOffice 全功能客戶端軟件。Agile Controller終端安全客戶端軟件可以按照終端用戶的策略模版進行安全策略的檢查，并將檢查結果按照不安全性和安全性分別進行展示，讓用戶可以查看每一條不安全檢查結果的詳細內容。

登錄Agile Controller設備，在管理界面頂部點擊“策略→安全策略→策略上傳”項，點擊“添加”按鈕，選擇策略集合控制模版包（例如“Policy Package.zip”），導入所有的安全控制策略。因為在默認情況下Agile Controller 中沒有配置任何終端安全控制策略。在左側選擇“安全策略→策略模版”項，在右側顯示所有的策略項目。注意，在默認情況下所有的模版都處于未開啟狀態(tài)，管理員可根據需要開啟所需策略。

Agile Controller 的安全策略分類

Agile Controller 的安全策略包括檢查類、監(jiān)控類和用戶自定義類。檢查類主要用于檢查終端的一些靜態(tài)設置，包括屏保/防病毒軟件等的安裝設置情況等。監(jiān)控類主要用于實時監(jiān)控系統(tǒng)發(fā)生的事件，例如開啟/關閉進程、是否使用撥號方式接入網絡等，一旦檢測到事件的發(fā)生，可采取相應的控制措施。用戶自定義類可以通過用戶自定義策略工具，讓用戶來編輯一些檢查項，實現(xiàn)簡單的安全管理需求。

Agile Controller 常用的安全檢查策略包括檢查防病毒軟件（是否安裝和運行了防病毒軟件，病毒庫是否及時更新），檢查操作系統(tǒng)補丁（終端是否安裝指定的補丁，并提供自動修復功能）。

此外還包括檢查注冊表配置（終端注冊表配置是否符合要求），檢查計算機名（名稱是否符合命令規(guī)則），檢查屏保設置（屏保參數(shù)是否符合要求），檢查文件共享（終端文件共享的賬號以及權限是否符合要求）等。

檢查類策略配置實例

例如，在策略列表中選擇“檢查屏保設置”策略，在“操作”列中點擊“激活”按鈕開啟該策略。點擊“設置”按鈕，在屬性窗口（如圖1）中的“要求屏保時間設置不能高于”欄中設置屏保等待時間（例如10 分鐘）。在“違規(guī)等級”列表中選擇級別，如果超過該時間，就會觸發(fā)違規(guī)事件。如果將等級設置為“嚴重”，并選擇“出現(xiàn)嚴重違規(guī)則禁止接入網絡”項，就會因為嚴重違規(guī)而被發(fā)送到隔離域。選擇“啟動自動修復”項，可以自動修改該問題。除了自動修復外，當終端出現(xiàn)違規(guī)時，在Agile Controller Agent 代理程序或WebAgent 中會顯示相關的說明信息，可以點擊修復。

圖1 配置檢查屏保策略

當保存該策略后，在工具欄上點擊“實時下發(fā)”按鈕，來下發(fā)設定的安全策略。點擊“全部啟用”按鈕，啟用所有的安全策略。點擊“模版分配”按鈕，在分配策略模版窗口中可以針對部門，賬號以及終端IP 范圍進行分配。例如，在“分配給部門”面板中選擇具體的部門，可以將其分配給選定部門中的用戶。點擊其他的安全策略，可以進行進行所需的激活/配置/分配操作。在對應部門的終端機上運行AnyOffice 程序，點擊窗口右上角的“登錄”按鈕，輸入賬號和密碼完成登錄操作。

點擊工具欄上的“安全檢查”按鈕，執(zhí)行終端安全檢查操作，可以顯示是否存在安全違規(guī)情況。如果存在不符合安全設定的項目，就會被發(fā)送到隔離域中。例如，在USG 防火墻上執(zhí)行“display right-manager onlineusers”命令，在返回信息中的“Role id”列表中顯示該終端角色對應的ID。執(zhí)行“display right-manager role-id x rule”命令，顯示其所處的IP 范圍，據此可以判斷其處于隔離域或認證后域等信息，其中“x”為具體ID。在AnyOffice 程序窗口中點擊“一鍵修復”項，可以自動修復存在的安全問題。在防火墻上再次測試，可以發(fā)現(xiàn)該終端處于認證后域。

對于注冊表檢測來說，在其屬性窗口中的“子鍵”欄設置具體的注冊表路徑，在“鍵值名稱”欄中設置相應的鍵值名，在“鍵值數(shù)據”欄中輸入其具體的數(shù)值，在“鍵值類型”列表中選擇該值的類型，包括字符串值和DWORD等。在“違規(guī)條件”列表中選擇“不存在符合條件的注冊表項”項，表示該子健如果不存在，或鍵值名稱、鍵值數(shù)據和鍵值類型至少有一個與預設值不符，則觸發(fā)違規(guī)動作。選擇“存在符合條件的注冊表項”項，表示存在預設的子健，并且以上參數(shù)均均與預設值一致，則觸發(fā)違規(guī)動作。

對于檢查防病毒策略來說，在屬性窗口中的“設置檢查周期為”欄中設置檢查的時間間隔，默認為60 分鐘。點擊“增加”按鈕，配置需要檢查防病毒軟件信息，包括軟件廠商、軟件名稱、軟件版本、病毒庫更新周期等信息。對于聯(lián)動的防病毒軟件來說，選擇該軟件名稱后將自動出現(xiàn)聯(lián)動參數(shù)配置頁面。Agile Controller 支持動態(tài)添加防病毒軟件，點擊“上傳防病毒軟件配置文件”按鈕，將某防病毒軟件的配置文件上傳，之后就可以在列表中找到該防病毒軟件。在“未安裝或者未運行要求的防病毒軟件違規(guī)等級”和“低于防病毒軟件要求版本或病毒庫沒有及時更新的違規(guī)級別”列表中均默認選擇“嚴重”項。并且默認選擇“出現(xiàn)嚴重違規(guī)則禁止接入網絡”項，這樣終端就必須按照預設規(guī)則使用防病毒軟件。

對于檢查打印機共享策略來說，在其屬性窗口中如果選擇“允許終端共享本地打印機”項，表示允許開啟打印機共享功能，否則禁止共享操作。如果激活共享功能，在“共享賬號違規(guī)權限信息表”欄中點擊“增加”按鈕，添加對應的賬號，針對其設置禁止的權限以及違規(guī)級別。例如，對于Everyone 賬號來說，可以禁止其執(zhí)行打印、管理打印機、管理文檔等操作。對于打印機共享檢查策略來說，默認提供了自動修復功能。

對于賬號安全策略來說，在屬性窗口中選擇“檢測系統(tǒng)弱口令”項，可以檢測終端中是否存在弱口令情況。選擇“啟用賬戶密碼策略”項，激活密碼管理策略。選擇“密碼必須符合復雜度要求”項，可以設置合適的密碼長度最小值、密碼最短存留期、復位賬戶鎖定計數(shù)器、賬戶鎖定時間、密碼最長存留期、強制密碼歷史和賬戶鎖定閾值等項目。選擇“修復賬戶密碼策略”項，可以按照以上預設配置自動修復密碼策略。

對于檢查文件共享策略來說，在其屬性窗口中如果選擇“允許終端共享文件”項，表示允許終端主機共享文件，并根據根據預設的共享賬號權限，檢查終端主機在共享文件時是否存在違規(guī)。不選擇該項，在“不允許共享違規(guī)等級”列表中設置違規(guī)等級，禁止終端主機共享文件，否則觸發(fā)預設的違規(guī)級別。在“共享賬號違規(guī)權限信息表”欄可以添加指定賬號，為其設置違規(guī)的權限，例如針對Everyone賬號，設置當其擁有寫權限、完全控制權限時觸發(fā)違規(guī)級別，該策略擁有自動修復功能。

安全監(jiān)控策略配置實例

常見的安全監(jiān)控策略包括監(jiān)視網卡利用率、監(jiān)視USB存儲設備（終端USB 存儲設備的訪問情況，提供文件監(jiān)視功能）、監(jiān)控DHCP 設置、監(jiān)控非法外聯(lián)（終端的Proxy設置和路由是否合規(guī)）、監(jiān)控終端打印、監(jiān)控本地服務、監(jiān)控網絡應用程序等。

例如對于監(jiān)控DHCP 策略來說，在其屬性窗口中選擇“強制使用DHCP”項，表示終端必須使用DHCP 來獲取地址，禁止終端用戶手工修改IP 地址。選擇“檢查所有的網卡”項，表示針對終端主機所有的網卡進行強制檢查，在“策略違規(guī)等級”列表中選擇“嚴重”項，選擇“出現(xiàn)嚴重違規(guī)則禁止接入網絡”項，那么如果不采用DHCP 獲取IP 則禁止接入網絡。該策略擁有自動修復功能。對于監(jiān)控非法外聯(lián)策略來說，在其屬性窗口中選擇“禁止訪問外網”項，就可以禁止終端主機訪問外網。選擇“允許通過合法路徑連接外網”項，則可以在其下輸入合法的代理服務器IP 地址或域名、合法的路由IP 地址以及目的IP 地址或域名，來合法地訪問外網。

對于監(jiān)控本地服務策略來說，可以強制啟動或禁用某些系統(tǒng)服務，可以實現(xiàn)查看某些必要軟件的安裝和運行情況。可以在屬性窗口中添加監(jiān)控項、指定服務的名稱、服務的啟動類型和運行狀態(tài)等。例如，對于需要啟動的服務，如果終端不存在該服務，將被Agile Controller 記錄為違規(guī)行為。但如果在策略中該服務設置停止狀態(tài)，并且在終端上并不存在該服務的話，則不記錄違規(guī)信息。對于監(jiān)控訪問站點策略來說，在其屬性窗口中的“上報的地址目錄層數(shù)”欄中設置合適的層數(shù)，則只監(jiān)控和上報指定的網址層數(shù)。點擊“添加”按鈕，可以輸入目標站點，在“控制動作”列表中設置是否放行或禁止操作。

對于監(jiān)控網絡應用程序策略來說，可以在屬性窗口中添加目標程序，在“控制動作”列表中為其設置放行（允許訪問網絡）或拒絕操作。

對于監(jiān)控網絡連接策略來說，在屬性窗口中的“禁止通過如下方式訪問網絡”欄中選擇MODEM、PPPOE、ISDN、VPN 等連接方式。如果終端存在選中的上述活動設備，則觸發(fā)違規(guī)行為并禁止使用這些設備，如果終端存在沒有選中的這些設備，則僅僅進行記錄其運行狀態(tài)。

對于監(jiān)控多網卡策略來說，在其屬性窗口中選擇“禁用無線網卡”項，則只允許使用有線連接。選擇“監(jiān)視無線網卡”項，則可以記錄無線網卡活動信息。選擇“檢查是否存在多個網卡處于連接狀態(tài)”項，如果終端存在多個網卡，Agile Controller代理程序將視其為違規(guī)并記錄。如果選擇該項，可以在其下設置例外VPN 連接。

對于監(jiān)控系統(tǒng)設備策略來說，可以在其屬性窗口中的“禁用系統(tǒng)設備”列表中監(jiān)視并禁用終端上的軟驅/串口/ 并口/ 紅外/1394/Modem/PCMCIA/藍牙/SD/MMC 卡/本地打印機等外設。

對于監(jiān)控IP 訪問策略來說，可以在其屬性窗口中配置監(jiān)控方式，包括禁止訪問的TCP/IP 端口規(guī)則和只能訪問的TCP/IP 端口規(guī)則。根據選定的配置方式，來添加所需的TCP/IP 端口列表。此外還可以禁止其他主機ping 探測本機，禁止本地ping 探測其他主機。當然，實現(xiàn)的前提是在終端上開啟Windows 防火墻。

對于監(jiān)控USB 存儲設備策略來說，可以禁用或者監(jiān)控移動存儲設備，對移動存儲設備中的文件進行加密或只讀控制，可以監(jiān)控U 盤、移動硬盤、讀卡器等常見設備。在其屬性窗口中可以針對未注冊和已注冊的USB 存儲設備配置權限，包括禁用、只讀、文件監(jiān)控、寫入加密等。

對于VMware 虛擬環(huán)境中的USB 存儲設備，可以設置禁用或者不禁用類型。可以記錄USB 設備的插拔信息、配置監(jiān)控的文件類型等，這樣當在移動存儲設備上操作這些類型的文件時，就會被記錄下來。