Broada IT-View® SecureDesk 桌面安全管理系统用户手册2005.4北京广通信达有限公司© 1998,2005目录1 前言 (1)1.1名词解释 (1)2 IT-VIEW SECUREDESK系统结构 (3)2.1系统部署 (3)2.2系统组成 (3)3 系统简介 (5)3.1环境要求 (5)3.2启动W EB客户端 (5)3.3退出W EB客户端 (6)3.4W EB客户端主界面 (7)4 功能简介 (8)4.1系统管理 (8)4.1.1用户管理 (8)4.1.2权限管理 (8)4.1.3组织机构管理 (9)4.1.4物理位置管理 (10)4.1.5子网管理 (11)4.1.6系统日志 (12)4.1.7远程控制 (13)4.2策略管理 (14)4.2.1创建模版 (14)4.2.2编辑模版内容 (15)4.2.3下发策略模版 (15)4.2.4策略下发结果查看 (17)4.2.5策略下发历史情况查看 (17)4.3资产管理 (18)4.3.1注册用户管理 (18)4.3.1.1注册用户查询 (18)4.3.1.2注册用户高级查询 (19)4.3.1.3注册用户审核 (20)4.3.2资产视图 (21)4.3.3资产报告 (22)4.3.4资产统计 (22)4.4软件分发 (22)4.4.1软件分发项配置 (22)4.4.1.1Windows补丁 (22)4.4.1.2 病毒库 (24)4.4.1.3 SecureDesk Agent自动更新 (24)4.4.2软件分发报告 (24)4.5告警管理 (25)4.5.1告警查询 (25)4.5.2主机监控 (26)1 前言Broada IT-View SecureDesk是分布式部署、集中管理的桌面安全管理系统,能够对桌面系统实行统一管理。
旨在实现桌面标准化,辅助计算机终端用户进行系统安全加固,提高计算机的安全性,进而提高整个网络的安全性,减少管理员日常维护的工作量。
SecureDesk能够通过自动化、网络化的手段检测、收集、管理终端计算机的各种软、硬件资产信息,通过可视化的界面直观、全面、迅速地呈现这些资产信息,为管理者提供方便、快捷的计算机资产管理手段,包括用户注册向导、资产视图、资产报告、资产统计。
SecureDesk能够通过统一制定管理策略,并自动将这些策略部署到Agent端,加强对账户、密码、共享目录、进程、端口、使用策略以及USB等移动存储的管理,从而达到加强系统防护,降低系统受到攻击的风险的目的。
SecureDesk能够通过简便的方式将Windows补丁、病毒库、常用工具软件等,通过软件分发的方式自动分发到各个计算机,自动更新Windows补丁、病毒库等,使各个终端计算机能够及时安装Windows补丁、病毒库等,免受病毒、黑客的攻击,提高系统的安全性。
SecureDesk通过Agent监控终端计算机的策略变更、资产变更、软件分发等情况,并自动生成告警信息,提示管理员处理。
1.1 名词解释Manager :即SecureDesk的管理端,是SecureDesk安装在服务器上的应用服务器、数据库等的统称。
它用于协助管理员完成管理整个网络中的计算机,负责将管理员在Console中下达的指令,传送给Agent,并将结果反馈给管理员,负责收集Agent端计算机的信息,并通过Console呈现给管理员;同时需要接受Agent主动上报的各种告警信息,并呈现给管理员。
Console:即SecureDesk的控制台,是一个基于浏览器的可视化的Web 客户端,供管理员使用。
管理员通过可视化的界面和应用服务器Server进行交互,完成策略、配置、命令的下发,信息的查询等。
Agent:即SecureDesk的代理端,是SecureDesk安装在被管理的计算机上服务、进程的统称,它以后台服务的形式运行,负责响应Manager的请求,Manager通过Agent获取计算机的信息;同时,Agent在监控到策略变更、资产变更等情况之后,将主动向Manager上报告警信息。
2 IT-View SecureDesk系统结构2.1 系统部署Agent、ClientAgent、ClientAgent、Client图2.1 系统部署图其中,控制管理中心Console是管理员进行策略配置、系统配置、下发命令、监控的工作站点,即可以单独使用一台PC,也可以和其他系统共用。
应用服务器Server是系统的核心,在后台常驻运行,负责执行管理员提交的策略配置、系统配置、指令等,完成和数据库的交互,将管理员的指令下达到被管终端的Agent。
应用服务器和数据库可以使用两台不同的计算机,也可以共同使用一台计算机。
2.2 系统组成Agent Manager图2.2系统结构图整个系统由被管终端(Agent)和管理端(Manager)两部分组成:●被管终端被管终端是网内已经安装桌面安全管理系统的主机的总称,被管终端上需要安装代理Agent和客户端Client(可选)。
代理AgentAgent是被管终端的核心,负责执行Server端下发的策略、配置、命令,并将执行的结果、监控到的告警上报到管理端Server。
它以后台服务的形式常驻运行,具有防停止、防卸载的自我保护功能。
客户端Client客户端Client主要供被管主机的用户使用,可以直观、方便的浏览本机软、硬件基本信息,可以以手动的方式清除不必要的临时文件,将数据加密,帮助主机用户保护主机数据安全。
●服务端服务端是运行在后端的控制管理中心Console、应用服务器Server以及数据库的总称。
控制管理中心Console控制管理中心Console是一个Web 客户端,供管理员使用。
管理员通过可视化的界面和应用服务器Server进行交互,完成策略、配置、命令的下发。
应用服务器Server应用服务器Server是服务端的核心,是一个在后台常驻运行的服务器端程序。
它负责响应控制管理中心Console的请求,完成具体的业务逻辑,并负责对数据库的访问,负责和被管终端的Agent进行通讯。
3 系统简介3.1环境要求运行Broada IT-View SecureDesk Console WEB客户端需要满足以下条件:1、计算机可以访问到SecureDesk服务器的特定端口(8879端口)。
2、客户机上安装有浏览器软件,如Internet Explorer 6.0。
3.2启动Web客户端在浏览器中输入http://192.168.0.169:8879/desktop(其中192.168.0.169为SecureDesk的服务器IP地址),即可启动Web客户端。
如下图所示:图3.1 SecureDesk登录界面输入正确的用户名和密码,点击“登录”按钮就可以成功登录系统,或者按“重写”来更换用户名。
注:管理员用户缺省值为“admin”,密码缺省值为“admin”,用户的权限可以在主界面菜单中“系统管理”下面的“权限管理”中进行设置。
管理员的权限不能修改。
3.3退出Web客户端退出SecureDesk客户端可以直接点击主界面右上角的“注销”按钮,或者直接关闭WEB页面。
3.4 Web客户端主界面图3.2 SecureDesk主界面成功登录SecureDesk客户端后,SecureDesktop客户端界面如图3.1-1所示。
界面可分为三个主要的区域:主工作区、系统菜单栏、系统提示区。
系统菜单区:系统菜单区位于界面的左部,系统菜单区包含了当前用户所具有权限的菜单导航,不同用户,因为权限不同,可能会有所不同。
主要包括以下几个菜单:“策略管理”、“资产管理”、“软件分发”、“告警管理”、“系统管理”。
主工作区:主界面位于界面的右部,主工作区是管理员进行所有操作、浏览信息的区域。
系统提示区:系统提示区位于主界面上部的LOGO区域的右部,当有用户需要审核、有告警信息的时候,在提示区会提示管理员。
4 功能简介4.1 系统管理对桌面安全管理系统的用户进行管理,包括创建用户、注销用户、冻结用户、解冻用户、修改用户权限、修改用户密码等功能。
权限管理不但可以分配适当的操作权限,也可以对操作权限的行使范围进行限定,例如,分公司的管理员,只能查看、管理本分公司的主机。
默认的用户分为系统管理员和审核员两类,系统管理员负责系统日常的管理和维护,系统管理员对系统的所有操作都记有详实的操作日志,系统审核员可以对系统管理员的操作日志进行审核,监督系统管理员的行为。
4.1.1用户管理对桌面安全管理系统的用户进行管理,包括创建用户、修改用户、注销用户等功能。
其中,用户注销是将该用户的状态改变,不会真正删除该用户的记录。
图4.1.1 用户管理界面4.1.2权限管理为用户分配权限,用户只具有打“钩”的菜单的权限。
图4.1.2 用户权限分配4.1.3组织机构管理在安装Agent之前,管理员需要安装单位实际的组织机构,创建组织机构,供Agent端用户注册的时候,选择自己所属的部门。
注意:1.在添加组织机构之前,应该先选择您要操作的节点,“下级”、“同级”节点是相对您当前选中的节点而言的。
2.注册用户只能从属于叶子节点(即下面没有其他节点的节点),所以,管理员需要将组织机构创建到您管理的最小单位。
3.如果需要一次添加多个节点,可以将各个节点的名称用“逗号”分割,例如:研发部,市场部,行政部。
图4.1.3 组织机构管理4.1.4物理位置管理在安装Agent之前,管理员需要安装单位实际的物理位置分布,创建物理位置,供Agent端用户注册的时候,选择自己所处的位置。
注意:1.在添加组织机构之前,应该先选择您要操作的节点,“下级”、“同级”节点是相对您当前选中的节点而言的。
2.注册用户只能从属于叶子节点(即下面没有其他节点的节点),所以,管理员需要将组织机构创建到您管理的最小单位。
3.如果需要一次添加多个节点,可以将各个节点的名称用“逗号”分割,例如:1101,1102,1103。
图4.1.4 物理位置管理4.1.5子网管理管理员创建SecureDesk需要管理的子网,并且给子网起一个友好的名称。
通过网络发现,系统能够发现当前子网中有哪些主机,哪些主机已经安装了Agent,版本是多少。
管理员可以配置SecureDesk所管理的子网,并且给子网起一个友好的名称。
通过“网络发现”,系统可以自动扫描发现网络内有哪些主机,哪些主机已经安装了agent,版本是多少,哪些主机还没有安装agent。
图4.1.5 子网管理图4.1.6 网络发现结果4.1.6系统日志审核人员通过系统日志,查询某个、某些用户一段时间内的所有操作,对管理员的行为进行审核。