BigFix测试操作手册

BigFix测试操作手册
北京朗维计算机应用技术开发有限公司
2007年5月16日
目录索引
BigFix测试操作手册.................................................................................................................. - 1 - 第一章测试概况...................................................................................................................... - 3 - 1．1 概况............................................................................................................................ - 3 - 1．2 产品概况.................................................................................................................... - 3 - 1．3 测试目的.................................................................................................................... - 5 - 1．4 测试组件及环境........................................................................................................ - 5 - 1．4．1 组件环境需求.............................................................................................. - 5 -
1．4．2 体系结构及作用.......................................................................................... - 5 - 第二章测试安装........................................................................................................................ - 7 - 2．1 安装前准备................................................................................................................ - 7 - 2．1．1 数据库安装.................................................................................................. - 7 -
2．1．2 配置测试环境.............................................................................................. - 8 - 2．2 安装BES各组件 ...................................................................................................... - 8 - 2．2．1 解压安装程序.............................................................................................. - 8 -
2．2．2 服务器的安装............................................................................................ - 15 -
2．2．3 控制台Console端的安装。

..................................................................... - 20 -
2．2．4 客户端安装................................................................................................ - 23 - 第三章BES 功能测试及配置使用 ........................................................................................ - 25 - 3．1 登陆BES Console控制台界面............................................................................ - 25 - 3．2 BES控制台介绍..................................................................................................... - 26 - 3．3 资产管理测试........................................................................................................ - 27 - 3．4 漏洞、补丁管理及分发功能测试........................................................................ - 29 - 3．5 远程桌面控制测试................................................................................................ - 32 -
(1) 导入功能组件.................................................................................................. - 32 -
(2) 远程桌面控制台部署...................................................................................... - 34 -
(4) 远程控制客户端部署 ....................................................................................... - 35 -
(5) 远程控制执行..................................................................................................... - 37 -
3．6终端安全管理.................................................................................................... - 39 - 3．7 软件分发............................................................................................................ - 41 - 3．7多用户添加测试................................................................................................ - 46 - 3．9 带宽控制测试.......................................................................................................... - 47 - 3．10通信及与防火墙互操作测试............................................................................ - 48 - 第四章总结.............................................................................................................................. - 49 - 附录非Windows客户端安装............................................................................................. - 49 - （1）Linux客户端安装 ................................................................................................. - 49 - （2）HP-UX客户端安装............................................................................................... - 50 - （3）Solaris客户端安装................................................................................................ - 50 - （4）AIX客户端安装.................................................................................................... - 51 -
第一章测试概况
1．1 概况
测试时间：2007年5月21—5月25日
测试客户：中国人民银行清算总中心
测试产品：BigFix企业管理套件（BES）
测试地点：中国人民银行清算总中心工程部测试室
1．2 产品概况
BigFix 企业管理套件（BigFix Enterprise Suite，简称BES）是 BigFix 公司研发的业界领先的企业级系统安全配置管理软件——可以为不同规模的企业提供可升级的，灵活的，强大的安全平台和分布式处理模型，实现统一的企业级系统管理、配置管理和安全管理，从根本上改变企业计算机网络的管理模式，提高管理效率，降低IT管理成本。

BES定位于：
为企业计算机类资产提供全面实时的可视化安全和配置管理。

通过提高基础平台的可靠性、可视性和可控性，在降低运行费用的同时提供更稳定的服务。

满足补丁管理和安全配置管理的服务等级要求。

无论计算机系统何时何地，以何种方式接入网络，都可以通过BES实现全面、快速、高效、安全，可控的管理，全面提升企业IT治理水平。

1．3 测试产品介绍
BES是业界领先的企业级系统安全配置管理软件——可以为不同规模的企业提供可升级的，灵活的，强大的安全平台和分布式处理模型，实现统一的企业级终端系统的系统、安全及配置管理。

BES定位于：
为企业计算机类资产提供全面实时的可视化安全和配置管理。

通过提高基础平台的可靠性、可视性和可控性，在降低运行费用的同时提供更稳定的服务。

满足补丁管理和安全配置的服务等级要求。

借助于BES平台可以帮助IT管理部门实现：
资产管理和发现
及时了解现有计算机资产信息及其安全状况和使用情况，实现网络资产的统一管理并发现网络中游离的计算机系统及网络设备。

软件分发
实现高效、安全、可控的软件分发，可分发各类软件、补丁、企业安全策略或用户自定义的任意内容；具备高效的分发及带宽优化机制。

远程协助
能够实现管理员对远程桌面电脑的操作和管理。

配置管理
可对被管理系统执行灵活的配置管理操作，包括执行程序或脚本、启动/停止服务、中断非法进程、禁止非授权软件的运行、修改注册表、修改文件，实现程序及服务的基线控制等等。

此外BES系统还可通过安全管理模块组件提供以下解决方案：
补丁管理
自动发现、下载、定位和安装补丁包，并实现基于策略的自动化的补丁管理。

支持Windows、Linux、UNIX和Macintosh等主流操作系统平台。

漏洞管理
不间断的监控被管理系统，自动发现并修复系统安全漏洞，保证系统安全；监控并禁用不符合组织安全策略要求的系统配置及非授权的外界设备及接口。

终端安全管理
可分发、管理并维护如防病毒软件、个人防火墙及反间谍软件等终端安全产品，确保其部署及使用符合安全策略的要求。

安全阻断及准入
与第三方客户端准入控制产品相结合，对所有终端实现精确的、有效的安全配置、补丁和软件安装管理，无论它们以何种方式、从何处试图接入网络。

对非合规的终端可以实现自我隔离和网络强制阻断。

1．4 测试目的
主要测试BigFix企业管理套件的以下功能：
●资产配置管理
●补丁管理
●漏洞管理
●终端安全管理
●软件分发
1．5 测试组件及环境
1．5．1 组件环境需求
1．5．2 体系结构及作用
BES核心是一个功能强大的，基于代理技术的分布式管理平台，企业可以通过这一平台实现实时的系统安全及配置管理。

BES平台的架构如下图所示：
BES平台包括以下组件：
BES客户端：客户端程序安装在每台被BES系统管理的计算机上，包括服务器、台式机及笔记本等。

代理程序不间断的在系统中运行，确保管理员能够及时了解目标系统关于系统、配置等的相关信息，并从服务器获得关于识别安全隐患的方法及漏洞修复操作的解决方案并在本地应用。

BES客户端可以在后台工作，无须用户干预。

BES服务器：BES服务器是BES系统的核心，需要安装在单独的服务器上。

BES 服务器运行多种服务，如应用服务，Web服务和数据库服务等。

BES服务器通过Internet与BigFix的Fixlet®服务器连接，即时下载与用户购买功能模块相关的Fixlet®消息。

同时BES服务器负责分发相关的Fixlet®消息、补丁及软件等到适用的安装了客户端的计算机，同时负责收集每台计算机的软硬件信息及安全状况并将结果保存到BES服务器的数据库。

BES服务器在后台工作，无须管理员干预。

BES 服务器还包括内置的报告模块，允许授权用户通过Web浏览器连接服务器，浏览关于每台计算机当前使用状况和漏洞及操作等相关信息。

BES中继器：BES中继器（Relay）负责转发和分担负载，避免过多安装了客户端的计算机直接访问BES服务器，从而提高整个系统的工作效率。

上千个BES客户端可以通过一台BES中继器实现数据的上传下发，同时在BES中继器和BES服务器之间只需一条网络连接，可避免由于连接过多客户端而增加服务器的工作压力。

BES中继器可以连接其他中继器，实现多级转发，大大提升工作效率。

BES中继
器的部署可以充分利用现有的IT架构，通过BES平台实现远程安装、卸载及维护，不需要添加专用的设备或计算机。

一旦网络中部署了中继器，网络中的BES客户
端可自动发现距离自己最近中继器并与之连接。

BES控制台：实现BES系统的管理，使管理员可以获得网络中所有计算机的系统，配置及补丁状况，并实现全面、可控，及时的修复。

BES控制台允许授权用户简
单快速的分发修复程序到相应的计算机，同时不影响网络中其他的系统。

第二章测试安装
2．1 安装前准备
2．1．1 数据库安装
SQL Server 2000的安装
运行SQL Server 2000 安装盘中的autorun.exe，选择安装SQL Server 2000 组件
以安装到本地为例，选择创建新的SQL SERVER实例和服务器客户端工具，最后安装完全。

注意：一定要选择混合验证模式的服务帐户，建议选择处理器数量的许可模式，设置sa的密码，并安装SQL Server的SP4补丁。

2．1．2 配置测试环境
配置服务器的网络IP地址，并使其能够连接到互联网。

更新服务器的系统安全补丁至最新，更新IE
保留服务器系统磁盘空间足够大，以备存放下载Fixlet消息和补丁等。

2．2 安装BES各组件
2．2．1 解压安装程序
运行BES安装文件进行解压运行
双击安装文件启动安装程序，当前中文版本为Version 6.0.8.5 ,英文版本为Version 6.0.21.5 .
下与步开始解压，选择安装评估测试版，
下一步，接受许可协议，
下一步选择需要更新的Fixlet关联产品及内容
注意：需要选择简体中文的Windows选项，如果SUN、LINUX操作系统的补丁不需要，就不要选择，可以提高下载速度和节省空间。

下一步，选择手动安装，
选择手工安装，
确认服务器的IP地址和端口等信息是否正确，确认后下一步，填写注册信息，
确认无误后，下一步设置根密码
注：此密码为BigFix高级用户的密码，以后添加新用户和执行动作等都需要此高级用户的密码。

确认证书安装路径，建议选择恰当的安装路径，例如：
证书存放位置为C:\BESCredentials
注：此证书为所有用户证书的存放位置，建议设置为保护文件的位置。

下一步，解压结束，会出现安装各组件的安装向导，
出现安装BES Server、BES Console、BES Client等安装向导时，解压安装过程完成。

2．2．2 服务器的安装
在解压后的BES安装向导中选择安装BES Server
（或者选择解压后的目录C:\BESinstaller,运行里面的Server文件中的setup.exe运行安装）接受许可协议，下一步选择使用本地数据库SQL Server 2000
下一步，默认安装所有组件，
其中报告服务器和服务器组件都需要安装，下一步设置安装路径，建议使用默认的安装路径，
并设置根目录路径和报告根目录及端口等，下一步开始安装，
下一步，确认根用户的证书存放位置，
确定需要根用户的密码，确认后更新数据库，
运行BigFix Enterprise User Management进行新用户的添加，建议设置新的管理员用户和密码，方便管理，
选择Add User 添加新用户名密码，
设置新的权限，并给予修改自定义内容和Administrator管理权限。

确定，下一步，设置存放新用户证书位置
并输入根目录用户密码，确认后并更新数据库，
下一步并点完成，选中Run the BES Diagnostic Tools ，
运行并检测安装后各组件和服务的运行状态，检查无误后，SERVER安装成功。

确认所有组件和服务都运行正常，绿色灯为所有服务都启动良好。

确认无误后，关闭即可。

服务器安装完成。

2．2．3 控制台Console端的安装。

运行安装向导中的安装BES Console ，或者选择解压后的目录C:\BESinstaller,运行里面的Console.exe文件中的setup.exe运行安装。

点击并运行安装程序，启动安装向导，
下一步接受许可协议后，确认安装所有的组件，
确认安装路径，下一步安装完成，
安装完毕后，桌面即可出现BES Console图标，拷贝服务器的创建的BESadmin用户证书至Console服务器，以备Console端以BESadmin账号登陆服务器验证使用。

2．2．4 客户端安装
运行安装向导，安装Client端，
接受许可协议，下一步
确认安装路径，完成安装即可。

点击完成即可，检测完毕检查客户端是否启动， BES Client服务已经启动
BES 客户端进程已经启动
第三章BES 功能测试及配置使用
3．1 登陆BES Console控制台界面
点击BES Console控制台，登陆BES服务器，
数据库选择EnterpriseServer，使用已经创建的用户名BESadmin和密码登陆，
确认登陆证书时，浏览到从服务器拷贝来的正式文件，选择BESadmin的证书文件，
输入创建用户的密码登陆即可，BES控制台即可出现，
3．2 BES控制台介绍
BigFix企业套件（BES）主控台窗口的顶端是一个带有多个主选项卡的操作面板，点击某选项卡然后从结果列表双击一项可操作控制台。

该操作会在窗口下方打开相关项目的档案显示具体信息。

下图是典型的操作界面。

Fixlet 消息选项卡被选择，用户正在查看从列表面板打开的Fixlet消息的描述：
主选项卡：
Fixlet消息：
显示与网络中所有安装了BES客户端的计算机相关联的Fixlet消息列表。

这些Fixlet消息只以受影响的计算机为对象。

任务：显示任务列表，任务如同Fixlet消息，但是是执行保证系统正常工作的维护性任务。

基线：显示基线列表。

基线用于自动应用一组关联的Fixlet和任务到某计算机子集。

动作：显示已经或正在网络中应用的动作列表。

计算机：显示网络中安装了BES客户端的计算机列表及从这些计算机获取的有用的属性。

计算机组：显示动态定义的计算机分组列表。

分析：显示用于跟踪计算机特定属性的分析列表。

控制台操作员：显示授权BES控制台操作员列表。

3．3 资产管理测试
使用BES可以快速高效地跟踪IT资产，自动汇总网络中所有服务器、台式机和笔记本的软硬件配置信息，以便管理人员迅速确认系统为谁所有，谁在使用，系统中安装并运行了哪些程序，并是否符合组织标准操作环境。

BES客户端可以通过多种方式如：WMI、DMI、BIOS、Windows注册表、文件系统、安装的程序及服务、正在运行的程序及服务、已登录的用户，Active Directory和网络设置等获取被管理系统上全面详尽的信息，这些信息被提交给管理员进行进一步分析。

测试资产管理选择计算机项，选择打开某一客户端计算机，会显示详细的计算机属性，包括计算机的信息都会显示出来，包括：OS、CPU、DNS Name、IP地址、BIOS、剩余磁盘空间、进程信息、内存、地址段、系统磁盘大小、当前用户、IE版本、BES客户端设置等信息。

各种配置的查看项可以自行添加，添加项在“工具”----“管理计算机属性”中添加各种客户端信息值，如：添加客户端进程信息，可以添加“名称”=Process “关联语句”= running
applications ，“评估间隔”=30分钟（建议），
则计算机属性即可查看计算机进程信息，
3．4 漏洞、补丁管理及分发功能测试
在计算机列表中选择其中需要更新补丁的计算机，在档案区选项卡中选择选择“关联的Fixlet 消息”，关联的Fixlet消息列表中，是所有关联此计算机的可用安全更新，在所有关联的Fixlet 消息中，选择需要更新的项，
双击即可启动更新动作，
点击即可启动分发动作，
选择需要更新的计算机，更新前更新中的提示，执行后的提示重新启动等条件，例设置消息
在运行动作前显示信息：“准备更新系统补丁……..”运行动作过程中显示信息“正在更新系统补丁………..”以验证动作执行成功，
确认当前管理员的密码，即可执行动作，
选择立即执行，
安装即可进行，安装完毕检查系统补丁是否已经更新，
检查发现KB924191系统安全补丁，已经更新完毕。

3．5 远程桌面控制测试
(1) 导入功能组件
在服务器导入BES组件和库文件，库文件的存放位置为：
C:\Program Files\BigFix Enterprise\BES Server\wwwrootbes\bfmirror\downloads\sha1
拷贝BIGFIX远程控制库文件到上述位置，
导入远程控制程序组件
导入远程控制组件（Remote Control）,右键控制组件（RightClick_vnc）,
添加完成，
密码确认，完成添加
检验是否添加成功，在计算机列表中选择计算机“可应用的任务”中出现下列可执行的FIXLET消息关联值，添加成功，
(2) 远程桌面控制台部署
在控制台服务器上部署远程桌面支持控制台，在可应用的任务中执行安装远程桌面控制台，对控制台服务器执行此动作，
安装完毕，在控制台桌面出现远程控制VNC组件
(4) 远程控制客户端部署
在需要远程控制的客户端上执行“安装远程桌面支持客户端（管理员主动方式）”任务，则客户端即可被控制台服务器远程桌面连接访问，执行动作，
执行需要服务器进行连接确认信息设置，
连接密码默认为bigfixchina,
用户连接确认，默认为1，即需要客户端进行确认，确认连接后即可连接至客户端
默认确认等待时间60秒，
默认为完全控制，可以完全控制客户端
选择安装客户端机器即可安装完毕。

(5) 远程控制执行
在计算机中选择需要远程连接的客户端，右键执行“Remote Desktop Helper”远程桌面管理，
客户端需要确认
服务器控制台端输入BigFix密码bigfixchina
客户端桌面即可远程访问
远程桌面上端有一些远程访问的功能键：发送CTRL+ALT+DEL、刷新屏幕、查看连接状况、发送自定义按键、关闭链接、打开文件传输等。

如果需要传输任何文件或者查看远程客户端磁盘文件，点击打开文件传输，
则任何文件即可从本地传输到远程磁盘上。

3．6终端安全管理
终端安全管理包括：病毒软件客户端管理、个人防火墙客户端管理、反间谍软件客户端管理，同时也包括应用程序的管理控制。

病毒软件客户端管理、个人防火墙客户端管理、反间谍软件客户端管理等管理更新，可以直接执行相关计算机的“关联Fixlet消息”和“可应用的任务”导入结束控制客户端组件，即可执行相关的任务动作。

同时也可以禁止应用程序，导入禁用应用程序组件，
执行加载完毕即可完成动作组件添加
执行完毕，查看计算机关联的Fixlet消息列表中有“禁用应用程序”即可添加成功。

运行执行动作“禁用应用程序”
点击运行，启动结束界面
输入需要结束的程序进程，例如explorer.exe ，下一步选中需要执行的机器，执行动作
执行结果，客户端桌面进程explorer.exe立即结束
3．7 软件分发
在BES Console端执行Wizards向导---Windows software Distribution Wizard,启动软件分发向导。

在弹出的软件分发窗口中，输入新创建的程序名称，
例在名称中填写：SA V10.2 （分发Symantec antivirus防病毒软件）
下一步，选择程序文件的来源，可以是网站的连接程序文件，可以是压缩包，可以是文件夹
，测试为SA V自解压安装包，
下一步，选择适合安装的操作系统，
选择注册为哪种关联类型，
下一步填写执行参数
下一步，编辑执行任务的名称，
下一步完成创建即可。

创建，密码确认，BES Server立即把目标程序包上传到BES 关联消息任务中，
创建完成，在可应用的任务中，查看任务列表中是否有创建的部署SA V10.2安装任务，如果有，执行此任务到需要部署的BES客户端计算机上即可。

执行此任务，即可启动部署SA V客户端程序文件
客户端即可接受BES任务，启动客户端安装进程。

3．7多用户添加测试
启动服务器用户管理工具BigFix Enterprise User Management进行新用户的添加，
选择Add User 添加新用户名密码，
设置新的权限，并给予修改自定义内容和Administrator管理权限，
确定，下一步，设置存放新用户证书位置
并输入根目录用户密码，确认后并更新数据库，
如果需要其他权限的用户，直接添加其他权限的帐户。

3．9 带宽控制测试
3．10通信及与防火墙互操作测试
如测试环境中的BES Relay和BES客户端安装了个人防火墙(例如瑞星、360安全卫士等)，须在个人防火墙的规则表中增加下列规则以允许BES 系统组件之间的通信。

备注：由于BES 客户端会主动去查询BES Relay 或服务器, BES 客户端在不
允许UDP“Ping”的情况下也可以运作。

但在默认的情况下BES 客户端每24小时才去查询和收集一次，这会使得整个系统的回应很慢。

这个查询的间距是可以修改的，但由于查询(HTTP 收集) 产生的负载比UDP“Ping”高很多，我们建议尽可能允许UDP “Ping” 以达至在尽量少提高系统负载的情况下提高整个系统的响应速度。

第四章总结
通过测试BES 程序的资产管理，漏洞、补丁管理更新分发，远程桌面支持控制，终端安全管理，软件分发等功能，通过部署和应用此桌面管理软件，逐步提高客户端安全状况。

附录非Windows客户端安装
（1）Linux客户端安装
1.下载对应Linux计算机操作系统版本的BES客户端安装包（RPM文件）。

2.复制客户端安装包到目标Linux计算机。

3.运行以下命令安装：
rpm -ivh <path to BES Client RPM>
4.复制动作站点的masthead文件到Linux BES客户端计算机（masthead文
件包括配置、license及安全等信息）。

动作站点masthead文件
（actionsite.afxm）位于BES安装文件夹下（缺省位于C:\BES Installers）。

如果masthead文件名称不是“actionsite.afxm”，将其更名为
“actionsite.afxm”并放置在以下目录：/etc/opt/BESClient/actionsite.afxm。

注意：在BES 4.0及以后版本，每个BES服务器的masthead文件可以从
以下位置下载http://servername:port/masthead/masthead.afxm（例如：
:52311/masthead/masthead.afxm）。

5.运行命令/etc/init.d/BESClient-
6.0.2.68 start启动BES客户端。

（2）HP-UX客户端安装
1.下载对应HP-UX计算机（必须是PA-RISC系统）操作系统版本的BES
客户端安装包。

2.复制客户端安装包到目标HP-UX计算机。

3.运行以下命令安装：
/usr/sbin/swinstall -s BESAgent-6.0.2.68-1.pa-risc_hpux11.0.depot BESAgent
4.复制动作站点的masthead文件到HP-UX BES客户端计算机（masthead文
件包括配置、license及安全等信息）。

动作站点masthead文件
（actionsite.afxm）位于BES安装文件夹下（缺省位于C:\BES Installers）。

如果masthead文件名称不是“actionsite.afxm”，将其更名为
“actionsite.afxm”并放置在以下目录：/etc/opt/BESClient/actionsite.afxm。

注意：在BES 4.0及以后版本，每个BES服务器的masthead文件可以从
以下位置下载http://servername:port/masthead/masthead.afxm（例如：
:52311/masthead/masthead.afxm）。

5.运行命令/sbin/init.d/BESClient start启动BES客户端。

（3）Solaris客户端安装
1.下载对应版本的BES客户端安装包到目标Solaris计算机。

2.运行以下命令安装PKG文件：pkgadd -d <path to BES Client package
file>.。