当前位置:文档之家› 091207_安装配置手册V2.0_天珣内网安全风险管理与审计系统V6.6.9.1

091207_安装配置手册V2.0_天珣内网安全风险管理与审计系统V6.6.9.1

天珣内网安全风险管理与审计系统 安装配置手册
(标准版 V6.6.9.1)
启明星辰
Beijing Venustech Cybervision Co., Ltd. 2009 年 12 月

版权声明
北京启明星辰信息安全技术有限公司版权所有, 并保留对本文档及本声明的 最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容, 除另有特别注明外, 其著作权或其他相关权利均属于北京启明星辰信息安全技术 有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任 何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译 成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。
免责条款
本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保 证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗 漏、不准确、或错误导致的损失和损害承担责任。
信息反馈
如有任何宝贵意见,请反馈: 信箱:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦 邮编:100193 电话:010-******** 传真:010-******** 您可以访问启明星辰网站:https://www.doczj.com/doc/8f5231926.html,,获得最新的技术 和产品信息。
启明星辰 https://www.doczj.com/doc/8f5231926.html, 1

目 录
1 2 3. 综述.........................................................................................................................4 安装环境及要求 ....................................................................................................4 天珣内网安全风险管理与审计系统主要组件介绍 ............................................6
3.1 服务器组件.........................................................................................................................6 3.1.1. 中心策略服务器...............................................................................................6 3.1.2. 本地策略服务器...............................................................................................6 3.1.3. 资产管理服务器...............................................................................................6 3.1.4. 攻击告警服务器...............................................................................................6 3.1.5. 软件分发服务器...............................................................................................7 3.1.6. HOD远程桌面服务器 ......................................................................................7 3.2 策略网关组件.....................................................................................................................7 3.2.1. 策略网关代理...................................................................................................7 3.2.2. 中性策略网关...................................................................................................7 3.2.3. IIS策略网关......................................................................................................8 3.2.4. ISA策略网关 ....................................................................................................8 3.2.5. EXCHANGE策略网关.....................................................................................8 3.2.6. DNS策略网关及旁路监听式DNS策略网关 ...................................................8 3.2.7. 客户端...............................................................................................................9 3.2.8. 按需支援管理端和软件分发控制台 ...............................................................9 3.2.9. 客户端打包程序...............................................................................................9
4.
天珣内网安全风险管理与审计系统的安装 ........................................................9
快速安装.................................................................................................................10 4.10.1 快速安装部署......................................................................................................10 4.10.2 基本配置..............................................................................................................21 4.20 自定义安装.....................................................................................................................25 4.2.1 自定义安装中心服务器.................................................................................26 4.2.2. 本地服务器的安装配置.................................................................................27 4.2.3 策略网关配置.................................................................................................33 4.30 远程桌面的系统配置.....................................................................................................41 4.3.1. 安装添加远程桌面服务器.............................................................................41 4.3.2. 添加远程桌面管理员.....................................................................................41 4.3.3. 安装按需支援管理员端程序 .........................................................................42 4.3.4. 用户请求管理员远程帮助.............................................................................44 4.40 软件分发安装与配置.....................................................................................................44 4.4.1. 安装软件分发服务器.....................................................................................44 4.4.2. 配置软件分发服务IP地址 .............................................................................45 4.4.3. 安装软件分发控制台.....................................................................................46 4.50 数据库服务器的安装与配置.........................................................................................49 4.5.1. 安装SQL SERVER 2005 ................................................................................49 4.5.2. 配置SQL SERVER数据库 .............................................................................53 4.60 安装资产服务器.............................................................................................................56 4.70 安装告警服务器.............................................................................................................57 4.10
启明星辰 https://www.doczj.com/doc/8f5231926.html,
2

4.80 客户端的打包及分发.....................................................................................................59
启明星辰 https://www.doczj.com/doc/8f5231926.html,
3

1 综述
天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身, 具有世界 领先水平的产品体系架构, 从根本上解决了客户端从蠕虫病毒的主动防御、 可靠的补丁管理、 非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题,帮助 用户创建高可靠、高可用和高安全级别的可信任网络环境。 天珣内网安全风险管理与审计系统架构如下图所示。主要由策略服务器、天珣客户端、 策略网关组成。
策略服务器包括中心服务器、本地服务器、补丁分发服务器、资产管理服务器、radius 服务器、告警服务器等组件,所有功能服务器集中管理,组件可根据具体情况增减。数据库 采用 SQL SERVER,统一管理报警日志及审计等数据。
2 安装环境及要求
客户端(Clients) 计算机没有很高的系统要求。客户端软件(也被称 CC)可以被安装在 Windows 32 位系统之上,包括 Windows2000 SP4, Windows Server 2003 SP1 和 Windows XP SP2, Windows XP SP3,Windows Vista, Windows Server 2008
启明星辰 https://www.doczj.com/doc/8f5231926.html, 4

数据库 支持 32 位 Microsoft SQL Server 2000,32/64 位 Microsoft SQL Server 2005
中心服务器 (Server) 是整个策略架构的管理中心、 策略中心。 必须运行 2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平台上。Windows 64 位服务器对应用程序的支持不 是特别完善,可能中心服务器运行过程中会出现不可预测的问题。中心服务器通过 web 方 式管理,要求安装 IIS 服务器。其对硬件要求的高低应根据所管理的客户端数量的多少来 定,其中,服务器安装要求的最低配置如下: 硬件: CPU Memory 硬盘
PIII 1G 或以上 1G 或以上 40G 空闲
软件: Windows 2003 Server SP1 以上 Internet Information Services 6.0 以上 Dot Net Framework2.0 MDAC 2.7 或以上 中心服务器。资产服务器攻击告警服务器需要安装 SQL Server 数据库,可根据现场环 境选择独立安装或集中安装于中心服务器, 若安装于中心服务器, 请确保中心服务器有足够 的内存和硬盘空间。
策略网关代理(Plug-in Proxy):管理所有关联的策略网关,策略网关代理从 Local Server 上取插件策略。当策略网关激活时,策略网关代理将策略发送给各个关联的策略网 关。策略网关代理的主要作用在于可以将安装在多个应用服务器上的有相同插件策略的插 件策略网关交给同一个策略网关代理管理,从而简化管理员的配置;同时,各个插件策略 网关可相互共享 CC 的状态,如 CC1 在插件 1 上通过了认证,那么通过插件 2 访问时就无需 第 2 次认证,提高系统性能。
IIS 策略网关、ISA 策略网关、Exchange 策略网关以及中性策略网关:策略检查点 (checkpoint) 与 CC 配合强制用户满足策略。 , 策略网关从关联的策略网关代理上取插件策 略。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
5

3. 天珣内网安全风险管理与审计系统主要 组件介绍
天珣内网安全风险管理与审计系统为 CSC 架构,即天珣客户端(Clients) 、策略服务器 (Server) 、策略网关(Check Point) 。
3.1 服务器组件 3.1.1. 中心策略服务器
所有策略集中存放的地方, 系统中唯一的 Web 管理控制台也与中心服务器集成在一起。 管理员从 Web 管理控制台登录到 Center Server,进行策略配置,报表查询。Center Server 同 时兼作一个 Local Server。
3.1.2. 本地策略服务器
本地策略服务器是客户端日常取策略的地方, 也是客户端发送报表的目的地。 本地策略 服务器从 Center Server 同步得到策略。 设置本地策略服务器的目的是为了适应企业大区域的 分布式分级管理架构。 本地策略服务器从中心策略服务器获取策略, 客户端直接与本地策略 服务器通讯。
3.1.3. 资产管理服务器
资产管理是对电脑的软硬件资产进行统计分析,并跟踪记录设备变更的信息,达到对 IT 资产的高效、便捷的管理。
3.1.4. 攻击告警服务器
攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器, 收集由客户端发来 的攻击告警信息和终端审计信息。并在中心服务器管理界面,可进行统计和分类查询。
启明星辰 https://www.doczj.com/doc/8f5231926.html, 6

3.1.5. 软件分发服务器
通过软件分发服务器可建立软件安装包,可根据目标地址或地址段、指定时间段分发 MSI 软件包或自定义的应用软件包。
3.1.6. HOD 远程桌面服务器
HOD 远程桌面服务器用于记录在线的远程桌面管理员的相关信息,为其关联管理网段 后, 管理网段内的用户就可使用客户端集成的远程桌面客户端, 向在线管理员发起远程桌面 帮助请求。
3.2 策略网关组件
作为系统及应用准入的准入控制点, 检查访问者的客户端运行状态, 与客户端配合强制 用户满足策略。 策略网关从策略网关代理上取策略网关策略。 有时策略网关策略又叫插件策 略。策略网关分为中性策略网关和 IIS、ISA Proxy、Email、DNS 等插件策略网关。
3.2.1. 策略网关代理
策略网关的管理者。 所有的策略网关都直接连接到策略网关代理, 从策略网关代理获取 策略,接受管理。而策略网关代理直接指向策略服务器,并从策略服务器获取策略。连接到 同一个策略网关代理的所有策略网关使用相同的策略。 设置策略网关代理这个角色的目的是 简化策略网关的配置, 因为有时一个企业需要安装多个策略网关, 而每个策略网关的策略相 同。
3.2.2. 中性策略网关
中性策略网关,也叫做中性插件,是安装在任意的 Windows 2000/XP/2003 或 Linux 的 服务器上,执行应用准入控制,它至于安装的服务器操作系统有关,而与该服务器运行何应 用无关。
启明星辰 https://www.doczj.com/doc/8f5231926.html, 7

当终端访问到该服务器,都需要进行安全基线检查,若不符合安全策略,将被拒绝访问 该服务器,并给出提示信息(只有基于 http 访问,才能正确提示) 。其中安全基线包括是否 安装客户端软件、安装客户端软件的终端是否达到安全策略要求。
3.2.3. IIS 策略网关
部署在 IIS 服务器上,对所有访问该 WEB 服务器的终端实施应用准入控制,检查终端 是否符合安全策略,若不符合策略,则拒绝访问,并给出提示信息。
3.2.4. ISA 策略网关
对所有通过 ISA 服务器上网的终端,实施应用准入控制,若不符合安全策略,则不允 许终端通过 ISA 访问 INTERNET,并给出提示信息。
3.2.5. EXCHANGE 策略网关
部署在 Exchange 邮件服务器上,对访问 EXCHANGE 邮件服务器的终端实施应用准入 控制,检查客户端是否符合安全策略。对于不符合安全策略的终端,Exchange 策略网关将 阻断其邮件服务,并给出提示信息。
3.2.6. DNS 策略网关及旁路监听式 DNS 策略网关
普通 DNS 策略网关部署在 DNS 服务器上,对需要进行 DNS 域名解析的终端实施准入 控制,检查终端是否符合安全策略,对于不符合安全策略的终端,DNS 策略网关将阻断其 DNS 请求,并给出提示信息。如果是旁路监听式 DNS 策略网关,则可部署在 DNS 服务器 上也可部署在互联网出口的某台服务器上对所有 DNS 请求进行监听。 如果是在 DNS 服务器 上,那么功能与传统 DNS 策略网关相同,如果不是,那么旁听式的 DNS 网关必须安装在链 接互联网出口交换机上的某台交换机上, 对这台交换机上的其他端口的 DNS 请求进行镜像, 并在旁听式 DNS 网关的端口上进行监听, 对需要进行 DNS 解析的终端实施准入控制, 检查 终端是否符合安全策略,对于不符合安全策略的终端,旁听式 DNS 策略网关将阻断其 DNS 请求,并给出提示信息。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
8

3.2.7. 客户端
每台终端都必须安装客户端(CC) 。客户端是安装在每个被策略管理的用户的电脑上的 代理程序。执行企业策略,安全基线检查,客户端准入控制,访问控制,主动安全防御,资 产管理,远程帮助,软件分发,移动存储认证和控制,终端行为审计终端相关功能。从本地 策略服务器上取策略,向本地策略服务器发送报表,当用户不满足策略时,向用户提示相关 信息。
3.2.8. 按需支援管理端和软件分发控制台
如果安装了按需支援(HOD)的远程桌面服务器和软件分发服务器后,需要在承担远 程支持服务或软件分发配置服务的管理员电脑上, 安装按需支援管理端软件或软件按分发控 制台软件。安装完成后,如果有终端用户发来远程支持请求,远程支持管理员就可以收到请 求信息, 并直接进行远程协助; 管理员也可以在软件分发控制台创建需要分发的软件包和软 件分发任务,将配置好的软件包分发到指定的终端上。
3.2.9. 客户端打包程序
客户端代理软件的打包程序。 客户端打包程序将和中心服务器一起安装。 打包程序将服 务器 IP 地址、指定安装目录、是否静默安装等参数与安装程序打包成可执行文件。
4. 天珣内网安全风险管理与审计系统的安 装
安装部署共有两种安装选项:快速安装和自定义安装。
运行 Autorun.exe 后出现以下主安装界面。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
9

4.10 快速安装
快速安装默认安装服务器的以下组件:中心策略服务器、资产服务器、中心同步服务器、远 程桌面服务器、攻击告警服务器、策略网关代理服务器、DNS 策略网关、软件分发服务器、 客户端打包程序。 快速安装选项的目的是一次安装所有服务器相关的组件及 DNS 准入控制组件,如果部署在 网络出口,则可利用 DNS 准入达到即插即用的效果。对中小应用环境,我们的方案首推这 种即插即用的部署。
4.10.1 快速安装部署
1. 快速安装。将天珣内网安全风险管理与审计系统安装光盘放入光驱,可直接进入安 装选择界面。请点击“快速安装” 。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
10

2. 进入天珣内网安全风险管理与审计系统服务器的快速安装界面。
3. 安装程序检测系统环境。 1)系统必须安装 “MDAC2.7 或以上版本”,“IIS”和“Dot Net Framework 2.或者以上 版本” 。系统还未安装上述的系统组件。则不能进行下一步操作。可以点击旁边的“安装” 按钮安装所需的系统组件。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
11

2)系统组件所用的 SQL Server 可以选择连接到本机或者其它机器的 SQL Server。 如果您想将系统组件所用的 SQL Server 部署在本机,本机又没有安装 SQL Server。您可以 选择安装 SQL Server。您也可以选择点击检测界面 SQL Server 旁边的“安装”按钮,运行 安装光盘带的里的 SQL SERVER2005 EXPRESS 版本。 (注意:SQL Server Express 2005 是 由微软公司开发的 SQL Server 2005 的缩减版,这个版本是免费的,单个数据库大小限制 为 4G) 。 3)安装完 SQL SERVER2005 EXPRESS 之后。安装检测程序会自动开启 SQL Server 的 1433 监听端口。 (注意:如果系统已经安装 SQL 数据库, 天珣内网安全风险管理与审计安装 程序是不会帮助 SQL Server 打开 1433 监听端口) 。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
12

4. 安装过程中,系统会提示用户选择安装的组件的路径,并需要管理员指定中心服务 器 IP 地址、初始管理网段地址等信息。 1)指定服务器的安装路径,安装组件所在盘符的空闲空间必须大于 2G
2)指定中心服务器 IP 地址,系统默认端口为 8833,请确保 8833 端口未被其他应用占用;
启明星辰 https://www.doczj.com/doc/8f5231926.html,
13

3)设置中心服务器中初始管理网段地址,系统预置是:192.168.0.1-192.168.0.255;
4)选择使用管理模式;
启明星辰 https://www.doczj.com/doc/8f5231926.html,
14

5)设置所用的 SQL Server 的连接的参数;
6 ) 填 写 创 建 数 据 库 的 用 户 的 帐 号 。 预 置 用 户 名 是 tx_user , 密 码 是 !QAZ@WSX#EDC$RF1qaz2wsx3edc4rf
启明星辰 https://www.doczj.com/doc/8f5231926.html,
15

7)安装程序将提示您选择授权文件 License.dat 的路径。License.dat 文件请与启明星辰联系 获取最新的授权文件。点击“浏览”选择受权文件的路径,选择有效的授权文件
8)安装检查完成,点击“安装”进行快速安装部署;
启明星辰 https://www.doczj.com/doc/8f5231926.html,
16

5. 快速安装的安装完各组件之后,安装程序会自动运行客户端打包程序进行客户端安 装包的制作; 其中可以自行设置中心服务器地址, 指定客户端的安装目录以及客户端的安装模式。 总 共可设置三种安装模式,以普通模式安装时会出现提示对话框,需由用户进行“确认用户许 可” 、 “选择安装目录”等操作;以自动模式安装时会出现安装界面,但不需要用户进行任 何操作,客户端将自动安装至默认目录;以静默模式安装时,正常情况下客户端安装过程中 不会有任何提示, 客户端将自动安装至默认目录, 如果安装的是带防火墙模块的客户端则安 装完毕后会有重新启动计算机的提示。 此外该打包程序还提供了多种选择, 用户可灵活选择 客户端安装包是否包含 802.1x 交换机认证模块。 说明:打包客户端工具的使用以 winrar 软件为前提,在安装客户端打包工具前请确保操 作系统中已经安装有 winrar 软件。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
17

6. 制作客户端包完成之后。关掉客户端打包工具程序。即弹出要求系统重启的界面。 重启系统。此时快速安装部署天珣内网安全风险管理与审计系统已经完成。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
18

7. 安装完成后,请先检查%InstallFolder%\config\database 目录的安全属性,确定该目 录及目录下的文件能被 System 用户及从 Web 登录的管理员修改或者已赋予 everyone 用户完全控制权限。然后请进入服务控制器,若系统已经自动添加并运行 “ES Center Server”服务,则表明中心服务器已经安装配置成功。
8. 在天珣内网安全风险管理与审计系统中心服务器的默认安装目录 C:\Program Files\Venustech\Endpoint Security\ESServer 中, Config 目录是天珣内网安全风险管理 与审计系统的 Web 管理站点主目录;Download 目录是下载服务的根目录,用于存 放天珣内网安全风险管理与审计系统客户端安装包、系统补丁等相关的软件。
9. 安装程序会自动创建一个虚拟主机“天珣内网安全风险管理与审计系统配置服务” , 这 个 虚 拟 主 机 对 应 上 文 所 提 到 的 “ C:\Program Files\Venustech\Endpoint Security\ESServer\config”目录,对应的 TCP 端口则为 8833。
注意:由于系统 8833 端口可能事先被占用等原因,可能会造成策略服务器安装设置虚 拟站点不成功,在这种情况下请手动设置 IIS,创建天珣内网安全风险管理与审计系统配置 服务虚拟站点:
1)
修改%InstallFolder%\config\database 目录的安全属性, 使该目录及目录下的文件能
被 System 用户及从 Web 登录的管理员修改或者赋予 everyone 用户完全控制权限。
2)
创建一个虚拟站点,作为 web 管理界面的入口。 打开 Internet 服务管理器,右击服务器名称,点击“新建 Web 站点” 。
启明星辰 https://www.doczj.com/doc/8f5231926.html,
19

相关主题
相关文档 最新文档