esm的培训-产品使用-策略篇

esm的培训-产品使用
-策略篇
一、策略相关概念
1.策略属性
✓策略本体：一个xml
✓策略GUID：终端产品给每一个对象都赋予一个GUID
✓策略版本及校验（版本号、md5）
✓产品策略的划分及描述方式（产品[类型]）：产品GUID+子类型，一个产品的策略可以由不同子类型的多部分组成，分别管理。

✓策略在服务器上的位置：数据库策略表字段
✓策略在客户端上的位置：各子产品自己目录以*. polic后缀文件、ep\ptfile文件夹
2.策略分类及关系
✓服务器策略
➢数据中心策略
➢业务中心策略
➢升级中心策略
➢补丁中心策略
➢未知计算机组自动入组策略
➢未知计算机扫描策略
✓服务器上看客户端策略
➢策略模板：作用于管理域（我的组织）上的策略，提供添加、分配、修改操作；可分配给未开启继承的组（可分配的条件），否则那个组是灰色不能选。

➢共有策略：作用于管理域的策略，全域共享使用，出厂划定的，只能修改，不能添加或删除。

➢组策略：作用于指定组的策略，具有几种来源：分配副本-（转为私有）、继承副本-（取消继承）、私有策略
➢客户端策略：作用于指定某一客户端的策略，是一种在组里搞特殊的场景，和组策略设置内容完全覆盖，替换组策略的差异化管理需求。

✓客户端上看策略
➢出厂策略(打包策略)，位置：子产品目录下，产品guid_类型.policy(1.0版本拷贝到了ep\ptfile目录下
➢管理员策略：ep\ptfile\产品guid目录\策略guid.rsdata
每个客户端会同步到：共有策略+组策略+客户端策略
➢用户策略：ep\ptfile\产品guid\产品guid_类型.policy
优先关系：用户策略> 管理员策略> 出厂策略
Xml特殊属性：
lock:管理员优先，并客户端不能修改
admin:只管理员策略使用，意味管理员策略优先，有些策略项不会在客户端显示，避免歧义。

ver：强行升级用的，改变掉用户已经设置好的策略项
二、策略更改及下发
1.初始策略
✓安装时按出厂sql脚本生成根组及策略模板策略
2.修改策略
✓修改：模板、共有策略、组策略、客户端策略
✓添加：模板（分配），组策略，客户端策略
✓删除：模板、私有组策略、客户端策略
✓审计控制台修改：智能添加或修改，无删除，特殊在具有根组的写权限
3.下发过程
✓版本号增加
✓通知业务中心或业务中心定时（5分钟）校验版本
✓通知客户端更新或下次实连接比对
✓下发给客户端落地，更新版本号
✓客户端上报全新版本号
✓客户端本系统策略变更通知
✓控制台上跟踪下发情况
4.策略异常校验
✓内容异常：MD5校验
✓版本异常
5.内容查看及工具
✓文件查看：notepad.exe
✓数据库工具：SQLiteSpy.exe
✓策略查看工具：ptset.exe(一定要放ep下运行)
6.定制客户端策略
✓使用的出厂策略：打包后放在出厂策略位置，当出厂策略使用
✓组策略：要定制是通过选择已经设置好的组策略来差异化
✓非联网：如果联网根本就没有必要，因为管理员策略>出厂策略
三、产品策略详解
1.基础平台
✓客户端代理（ep）
➢退出密码、隐藏托盘
➢网络连接方式：长连接，间隔n分钟
➢终端产品自己的流量控制
➢客户端日志保留设置（天数、条数）
✓客户端软件部署（rua）
➢指定子产品部署情况：安装、不安装、不限制
➢客户端升级设置：定时、模式、代理、升级源
✓数据中心策略
➢服务器数据库日志保留天数（条目）设置
✓业务中心策略（bus）
➢数据库连接池配置
➢对外服务端口号
✓升级中心策略（ruc）
➢本身的升级设置：定时、代理、升级源
➢数据库连接池、网络端口（这个暂时不用）
✓补丁中心策略（rdc）
➢本身的补丁下载源
✓未知计算机扫描
➢通过业务中心往网络内发标准网络包去发现
✓入组策略（manager+bus）
➢按IP段入组
✓外围服务器
➢邮件服务器设置：SMTP，给定时报告用的发送邮件服务器信息2.防病毒策略XAV
✓默认策略
➢白名单、排除列表
➢云查杀设置
➢隔离区及其他一些开关
➢扫描设置：定时扫描、选用引擎，发现病毒处理方式
➢文件监控：锁定不允许关闭、扫描文件类型、引擎参数、发现病毒处理方式➢邮件监控：锁定不允许关闭、扫描文件类型、引擎参数、发现病毒处理方式➢系统加固
➢应用加固
pS：
➢只在同时装有防火墙组件才有效
➢目前唯一带锁定功能的策略
3.漏洞扫描RLS
✓默认策略
➢扫描时间：开机、每天、每周
➢扫描后是否自动修复
➢自动修复哪些漏洞：
i.级别：全面、最高级、中级以上、低级以上
ii.范围：系统、微软产品、第三方产品
➢补丁下载源
✓漏洞忽略列表
4.IT资产管理RAM
✓共有策略：仅中心自己使用，不下发
➢关注软件列表
✓默认策略
➢启用硬件异动扫描开关
➢禁用软件
➢保护软件
➢软件白名单
➢记录进程启动历史开关
✓软件部署策略
➢第三方软件部署列表
5.行为审计RBA
✓默认策略
➢文档审计：三环注入、按文件后缀识别
➢打印审计
➢邮件审计：只支持pop3、smtp协议邮件
➢设备审计：按类别禁用设备、只读设备（光驱、移动设备）
➢网络审计：禁用拨号、网页浏览控制、记录网址访问记录
➢联网程序管理：启用后，不给可联网进程，又未知程序给的是拒绝，则各种程序不能联网
➢对外攻击判定：SYN、ICMP、UDP
➢共享资源管控：关闭默认共享（08067）
➢流量管理：记录，限下载速度
➢非法外联管控：仅发现，隔离在网络安全里联动
✓IP规则
➢内置防护规则（单机88条规则），组织远程攻击
➢IP规则：白名单、黑名单
➢端口规则
➢自定义规则：ip、端口
✓U盘登记描述共有策略
➢标识对应的描述信息，避免多个组录入多次
✓U盘策略
➢登记U盘允许、放过
➢未登记U盘是否可以允许
6.网络安全RSM
✓共有策略
➢IP防篡改
✓开机管理策略
➢通过审计控制台直接做开机优化操作，不允许在管理控制台修改
✓安全管理策略
➢禁用一些系统功能面板：控制面板、计算机管理、计算机属性、网络连接、IE浏览器插件管理
➢记录系统事件：开机、关机、注销、锁定
➢防止ARP欺骗
➢恶意网址拦截
➢网络安全准入：网络隔离区
7.信息内容RIM（即时通讯审计）
✓默认策略
➢聊天审计
➢关键字：阻断、替换对性能有较大影响
四、问题与分析
1.策略不下发
✓客户端所在组
✓客户端是否在线，或实际网络连接正常✓网络连接延迟（ep策略设置时间）
2.策略下发后没有按策略执行
✓是否有客户端策略
✓是有提供了客户端本地修改
✓管理员是否锁定。