360天擎终端安全管理系统用户手册

360终端安全管理系统
用户手册
© 2022 360企业安全集团
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

一、............................................................... 产品简介
6
1.1 产品概述 (6)
1.2 设计理念 (6)
1.3 产品架构 (7)
二、安装部署 (9)
2.1 环境准备 (9)
2.1.1 服务器准备 (9)
2.1.2 终端环境准备 (10)
2.1.3 网络环境准备 (11)
2.2 控制中心安装 (12)
2.3 客户端安装 (17)
2.3.1 客户端功能定制和下载 (17)
2.3.2 客户端在线安装 (17)
2.3.3 客户端离线安装 (19)
2.3.4 客户端域安装 (21)
三. 功能使用说明 (24)
3.1 登录 (24)
3.2 界面说明 (25)
3.2.1 ...................................................... Banner区
25
3.2.2 ................................................... 主功展示区域
26
3.3 首页 (26)
3.3.1 .................................................... 安全概况
27
3.3.2 待处理任务 (27)
3.3.3 服务器性能监控 (27)
3.3.4 安全动态 (28)
3.3.5 文件鉴定 (28)
3.3.6 病毒查杀趋势 (29)
3.3.7 病毒分类 (29)
3.3.8 高危漏洞修复趋势 (30)
3.3.9 XP盾甲趋势 (30)
3.3.10 ....................................................... 常用功能
31
3.3.11 ....................................................... 授权信息
32
3.4 终端管理 (32)
3.4.1 终端概况 (33)
3.4.2 地址资源管理 (56)
3.4.3 病毒查杀 (63)
3.4.4 插件管理 (66)
3.4.5 系统修复 (67)
3.4.6 漏洞管理 (68)
3.4.7 XP盾甲 (70)
3.4.8 升级管理 (71)
3.5 移动存储管理 (71)
3.5.1 设备注册 (72)
3.5.2 设备授权 (74)
3.5.3 挂失管理 (76)
3.5.4 外出管理 (77)
3.5.5 终端申请 (78)
3.5.6 设备例外 (78)
3.6 日志报表 (79)
3.6.1 终端日志 (80)
3.6.2 资产汇总 (98)
3.6.3 系统日志 (102)
3.6.4 报表订阅 (103)
3.6.5 订阅管理 (104)
3.7 策略中心 (105)
3.7.1 分组策略 (105)
3.7.2 管控策略 (127)
3.7.3 样本鉴定 (143)
3.8 系统管理 (145)
3.8.1 系统设置 (145)
3.8.2 系统工具 (150)
3.8.3 多级中心 (154)
3.8.4 账号管理 (155)
四. 场景参考手册 (156)
4.1 准备使用360天擎 (156)
4.1.1 部署终端 (156)
4.1.2 设置安全策略 (157)
4.1.3 设置定时杀毒 (157)
4.1.4 每天日常工作 (157)
一、产品简介
1.1产品概述
360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。

360天擎终端安全管理系统，以大数据技术为支撑、以可靠服务为保障，它能够为用户精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。

1.2设计理念
➢威胁发现
天擎终端可以收集终端上的各种安全状态信息，包括：漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。

这些安全状态信息会汇集到服务器端的控制中心，使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。

➢立体防护
天擎终端具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多样化的防护手段，从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次，为用户构建立体防护网，确保企业终端安全。

➢安全管控
天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、流量管理、软件统一分发卸载、终端安全策略管理等多种管理功能，管理员可以通过控制台直接对网内所有终端进行统一管控。

1.3产品架构
天擎终端安全管理系统包括安全控制中心和客户端两部分。

➢控制中心
安全控制中心是天擎终端安全管理系统的核心，部署在服务器端，主要包括安全管控和安全事件收集告警两大功能。

安全控制中心采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对天擎终端进行管理和控制。

主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软硬件资产管理等。

此外安全控制中心还提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。

安全事件收集告警，通过管控中心，管理员可以了解全网终端的告警信息，通过报表分析，掌握全网威胁状况。

➢客户端
客户端部署在需要被保护的终端或服务器上，执行最终的木马病毒查杀、漏洞修复、安全防护等安全操作。

并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。

二、安装部署
2.1环境准备
2.1.1服务器准备
360天擎终端安全管理系统安全控制中心支持部署在硬件服务器和虚拟化服务器上，在对安全控制中心进行安装时需要提前根据如下要求准备对应的服务器环境。

以1000个点为例，建议的服务器配置为：
说明
1）天擎控制中心安装程序自带高性能数据库，因此不需要单独准备数据库软件；
2）实际环境中的服务器配置请根据实际需求和环境进行规划；
2.1.2终端环境准备
天擎终端安全管理客户端支持部署在如下操作系统类型上：
2.1.3网络环境准备
➢IP地址准备
需要为天擎控制中心服务器准备一个固定IP地址，同时为了保证天擎终端安全管理系统安全控制中心服务器能够正常的对客户端进行管理，需要保证客户端网络到服务器网络全局路由可达。

➢网络权限
如果在网络中间存在访问控制策略（如防火墙策略、ACL 等）则需要按照如下表格对相关端口进行放行：
源目的协议及
端口
端口说明
客户端网络天擎控制中心服
务器、云查杀引
擎服务器
TCP 80 客户端连接服务
器、云查杀引擎
管理员电脑天擎控制中心服
务器
TCP
8080
Web管理端口
说明
以上均为系统默认端口，如果实施过程中对默认端口进行
了修改，则应该按照实际的端口进行放行。

2.2控制中心安装
天擎终端安全管理系统的安装文件名称为：
360SkylarSetup.exe，双击该安装文件可以开始天擎控制中心的安装。

图：360天擎控制中心安装文件
安装程序启动后，会进入“360天擎6.0控制中心”安装向导初始化界面，如下图所示：
图：360天擎6.0安全控制中心安装向导初始界面
单击<下一步>按钮进入“许可证协议”界面，如果此时单击<取消>按钮,则退出安装。

图：360天擎许可证协议
建议您认真对360天擎许可证协议进行阅读和理解，在您阅读完后，选择<我接受“许可证协议”中的条款>后可以点击<下一步>按钮进行继续安装，如果您对许可协议存在疑议，您可以选择<我不接受“许可证协议”中的条款>并点击<取消>按钮终止本次安装。

图：安装路径
点击<浏览>按钮，选择360天擎控制中心的安装路径，系统默认安装路径为C:\Program Files\360\skylar6，您可以根据实际情况修改对应的安装路径（建议安装路径设置为非系统盘，且所在盘符剩余空间≥50GB，小于5GB将不能安装），确认好安装路径后，点击<下一步>按钮，继续安装，您也可以点击<上一步>按钮回到上一步操作界面，如果点击<取消>按钮，则会终止本次安装。

图：安全控制中心基本信息设置
在该步骤中，您可以对安全控制中心基本信息和类型进行配置。

1.安全控制中心基本信息：
终端通信端口：默认为TCP 80 ，所有客户端将通过该端口与安全控制中心服务器进行连接，可以根据实际需求进行修改。

另外，客户端通过该端口进行云查杀，可以根据实际需求进行修改。

控制台端口：默认为TCP 8080，该端口为web管理端口，可以根据实际需求进行修改。

主安全控制中心：在分级管理架构中，主安全控制中心为一级管理服务器。

二级安全控制中心：在分级管理架构中，二级服务器需要指定一级服务器的IP地址和控制台端口，指定后二级服务器将通过该地址和端口与一级服务器进行通信。

在配置完成后，点击<下一步>按钮，继续安装，您也可以点击<上一步>按钮回到上一步操作界面，如果点击<取消>按钮，则会终止本次安装。

图：360天擎控制中心安装过程
在天擎控制中心安装过程中，您需要等待几分钟，当程序安装进度完成后，将结束本次安装向导。

图：360天擎控制中心安装完成
此时您已经成功完成了360天擎控制中心的安装，您可以勾选“运行360天擎6.0安全控制中心”并单击<完成>按钮完成本次安装。

2.3客户端安装
2.3.1客户端功能定制和下载
360天擎终端安全管理系统可以根据管理员的需求对不同类型的终端定制不同功能的客户端。

管理员可以登录到天擎控制中心后点击“首页”—“终端部署”—“自定义终端模块”即可进入客户端默认功能定制界面，管理员可以根据实际管理需求选择对应的客户端功能。

定制完客户端的功能后，可以通过页面上终端部署的链接（如：http://x.x.x.x:80，其中x.x.x.x为服务器IP地址）打开客户端在线安装的下载页面。

同时，管理员可以通过“终端部署”页面中的“修改通知”来对客户端下载页面中的通知内容进行修改。

天擎客户端支持在线安装和离线安装，具体请参考下文章节。

2.3.2客户端在线安装
管理员可以直接在需要安装天擎客户端的终端上使用浏览器打开终端的部署链接，点击页面上的“在线安装”,即可开始对天擎客户端进行下载和安装。

在线安装中下载下来的程
序为天擎客户端初始安装程序，在初始程序运行过程中，客户端会自动判断所在终端的操作系统类型（个人版或服务器版），然后在线安装后台定制好的客户端功能。

在线下载的360天擎客户端的名称为
360skylarinst(x.x.x.x_80).exe，其中x.x.x.x是天擎控制中心服务器IP地址，双击该安装程序即可开始在线安装。

图：360天擎客户端
安装程序启动后，会直接开始客户端的安装，此时客户端会自动从天擎控制中心下载和安装客户端组件。

图：360天擎客户端装过程
安装完成后，会提示对应的完成向导。

图：360客户端安装完成界面
点击<完成>，完成并退出安装。

2.3.3客户端离线安装
当需要部署天擎客户端的电脑无法连接天擎控制中心服务器时，可以采用离线安装的方式对天擎客户端进行安装。

管理员需要先通过离线包制作工具生成离线安装包，具体的步骤如下：
在定制完客户端的功能后，登录到天擎控制中心后点击“首页”—“终端部署”—点击“离线包制作工具”，即可对离线包安装工具进行下载，下载下来后直接运行，开始生成离线部署安装包：
图：终端离线安装包生存工具
图：离线安装包生存完成
离线安装包生成完成后，点击“打开文件夹”，即可查看生成的天擎客户端离线安装包。

生成出来的离线包程序名称为“offlineSetup(x.x.x.x_80).exe”，管理员可以将该离线安装包拷贝到对应的离线终端上进行安装即可。

双击离线包开始安装：
图：离线安装包
勾选“已阅读并同意许可协议”，选择需要安装的盘符，默认为C盘，点击”立即安装”，即可一键完成360天擎客户端的离线安装。

2.3.4客户端域安装
在域环境的网络中，可以直接通过域控服务器对加入了域的终端电脑进行天擎客户端的推送安装。

天擎终端安全管理系统提供了对应的域安装工具，管理员可以通过该工具来完成客户端的域安装。

具体的步骤如下：
登录天擎控制中心：“首页”—“终端部署”—点击“域安装工具”下载域安装工具
图：域安装工具
将下载下来的域安装工具“360EntScriptSetup.exe”拷贝到域控服务器上运行，即可打开域安装工具配置界面：
图：域安装工具配置界面
在“控制中心IP地址”填写天擎控制中心服务器的IP地址，升级服务器端口为天擎控制中心服务器升级端口（默认为80，如果修改，请按实际修改的端口填写），在域用户名中选择要安装天擎客户端的用户，然后点击右上的“设置域安装脚本”按钮进行客户端部署，这样在该用户的当前域脚本配置中会显示360EntSetup.bat。

设置完成后，当终端用户重启电脑并使用域用户登录操作系统时，会自动运行域脚本进行天擎客户端的安装：
安装成功之后，即可在终端系统右下角看到天擎终端安全管理客户端的图标。

说明
在使用域安装工具的时候会覆盖之前设置的域登录脚本，如果域控制服务器上之前有设置域登录脚本，您可以通过在域控制服务器上手动添加脚本的方式将客户端安装脚本添加到域登录脚本中即可。

（域安装脚本文件在\\域名\NETLOGON\360EntSetup.bat）。

三. 功能使用说明
本章节主要介绍360天擎控制中心的使用。

3.1登录
打开浏览器（终端或者控制中心都可以），输入
http://x.x.x.x:8080。

其中x.x.x.x是控制中心服务器IP地址，8080是控制中心管理端口，如果不确认该地址和端口，请参考2.1.3章节控制中心配置。

输入账号、密码，点击登录，即可进入控制中心。

系统默认的管理员口令：
角色帐号初始密码
超级管理员admin admin
初始密码进行配置。

如果在登录时，连续3次输出错误的登录信息，则会要求输入对应的验证码信息。

3.2界面说明
经过登录界面进入控制中心后，是控制中心的主界面。

主界面主要分为两大区域：banner区和主功能展示区。

3.2.1Banner区
该区域主要展示360天擎logo，显示版本相关信息等。

此外还有几个功能入口：任务管理、通知区域以及360天擎的菜单。

如下图的红框区域。

3.2.1.1任务管理
该功能用于管理员所有任务的管理，支持查看当前任务的进度，取消任务，查看历史任务，删除历史任务。

点击进度条，显示进度详情：执行中终端、已执行终端、未执行终端；
3.2.1.2通知区域
该区域主要包含三个功能：当前用户的密码修改及退出；通知系统：统一管理系统通知的通知中心，支持消息的单条和批量删除。

3.2.2主功展示区域
该区域是360天擎主要区域，主要的功能操作、数据展示等都在该区域进行。

选择不同的菜单，该区域会显示不同的内容，后续会有逐个功能描述。

3.3首页
首页主要是展示网内终端的安全概况和一些常用功能。

如下图所示。

3.3.1安全概况
通过该区域，可以看出全网的安全体检得分，查看已部署的终端数，在线率以及已运行时间，从而对全网的终端安全情况有个整体概念；可以从这里下发全网立即体检的指令；另外在这里可以部署终端。

3.3.2待处理任务
该区域智能判断系统安全状态，提取待处理任务提醒管理员进行修复。

3.3.3服务器性能监控
提供直观的服务器性能信息，帮助管理员了解服务器负载，包括：CPU，内存，硬盘占用，带宽占用，数据库连接数，
服务器时间。

3.3.4安全动态
该区域及时展示内网终端安全事件，包括病毒，恶意软件以及漏洞等。

3.3.5文件鉴定
该区域展示了近一周系统检查过的文件总数，以及其中的安全文件、风险文件和未知文件的数量。

3.3.6病毒查杀趋势
该区域展示近一周内全网查杀病毒次数、查杀终端数以及查杀出来的病毒种类数。

3.3.7病毒分类
该区域展示近一周查杀病毒种类的占比。

3.3.8高危漏洞修复趋势
该区域展示近一周内全网发现漏洞数量、修复漏洞数量以及忽略的漏洞数。

3.3.9XP盾甲趋势
该区域展示近一周内XP盾甲拦截以及允许可疑进程的次数。

3.3.10常用功能
该区域可以让管理员迅速定位到自己常用的功能模块，且提供管理员自定义该模块的功能。

自定义常用功能可以依据自己的内网的特点来选择常用模块：
3.3.11授权信息
该区域展示360天擎的授权情况，您可以看到授权公司名称、授权终端、数授权期限和授权功能。

点击正版授权icon即可看到详细的授权信息，或者进行授权
的更新。

3.4终端管理
终端管理是360天擎的核心模块之一，主要处理网内终端的安全问题，界面如下图所示，分为三个区域，上方是功能区，可以从各个角度来查看终端安全情况并进行处理，下方是
终端的状态，左侧是终端树，终端树支持如下功能：A.终端分组结构的管理，支持新建分组，分组的重命名和删除；进入分组管理后实现对终端的分组转移；B.删除离线终端并释放授权点数；C.支持IP自动分组。

右侧是数据区，描述了相应安全选项的终端情况。

3.4.1终端概况
终端概况展示了网内终端的安全情况，包括计算机基础信息（计算机名、IP地址）和安全信息（扫描分数、漏洞数、病毒数、病毒库时间、安全防护中心以及我关注的事件如告警时间）。

选择要操作的计算机，可以对计算机进行以下四个操作：
A、安全扫描。

扫描终端的漏洞和木马信息。

通过右上角的“设置”按钮可以自定义安全扫描时扫描的项目如下图：
B、标记为。

通过将某一些计算机标记为一个标签后，在筛选终端时可以通过标记来筛选。

C、我的关注。

管理员通过“我的关注”可以自定义关注的内容，包括：告警时间、硬件变更、上线时间。

D、远程桌面。

通过“远程桌面”可以进行远程访问。

首次启动远程桌面时，管理员需要按照提示安装一个插件，安装好后即可使用远程桌面功能。

远程桌面界面如下：
远程界面可以按照管理员要求显示所有终端或者只显示在线计算机，默认只显示在线计算机。

选择想要远程的计算机，点击，选择是否需要被远程计算机的同意，默认不需要。

若选择需要终端同意，则终端会显示如下提示框：
终端用户同意后，则成功远程连接终端，终端显示如下：
E、消息通知。

管理员通过“消息通知”可以对终端发布公告。

页面右上角的导出功能可以将终端概况信息以压缩包的
形式导出至消息中心，管理员可到消息中心下载。

筛选功能，方便管理员从标签、浏览器和系统等对个维度对终端进行管理。

设置功能用户设置安全扫描时扫描的项目。

点击计算机名对某一具体计算机进行单点维护
单点维护功能包括：
A.终端基础信息，包括登陆用户和操作系统，已部署策略。

B.终端基础操作，包括消息通知、远程桌面和关机重启。

C.概览信息。

查看终端的基本信息（计算机名、型号、序
列号、标签、扫描分数、在线状态、登陆用户、登陆域、开关机时间）配置信息（设备类型、设备用途、使用人信息、物理位置、备注等）
D.策略。

查看和修改终端当前的策略配置信息。

E.硬件。

查看终端的基本信息和各种硬件配置（CPU、主
板、内存、硬盘、显卡、显示器、网卡等）；各硬件的温度监测；硬件变更日志。

F.软件。

查看终端的软件配置，并提供管理员远程卸载的
操作；查看软件变更日志。

G.操作系统。

包括查看系统信息、系统账号的管控（修改
密码、启停账号操作）；查看服务列表、启停服务、修改启动类型；系统事件查看。

H.网络。

查看终端上的网络端口监听情况；网络配置的修
改（地址获取方式、IP、子网、网关、DNS）；网络文件共享的管控；总出入站的网络流量的查看、各应用流量的查看、互联网流量限制；ARP防欺骗；HOST文件防欺骗。

I.进程。

终端上实时进程的查看及停止操作；指定进程的
运行统计（哪些终端运行了该进程）。

J.杀毒软件。

查看杀毒软件信息。

K.管控日志。

查看终端上的远程桌面日志和事件告警信息，包括变更类型、当前账号、详细内容、变更时间和状态。