360天擎终端安全管理系统用户管理守则.docx
《360天擎终端安全管理系统用户管理守则.docx》由会员分享,可在线阅读,更多相关《360天擎终端安全管理系统用户管理守则.docx(47页珍藏版)》请在冰点文库上搜索。
360天擎终端安全管理系统用户管理守则
360终端安全管理系统
用户手册
6/26/2020360企业安全集团
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录|Contents
一、产品简介
产品概述
360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。
360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。
设计理念
Ø威胁发现
天擎终端可以收集终端上的各种安全状态信息,包括:
漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。
这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。
Ø立体防护
天擎终端具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次,为用户构建立体防护网,确保企业终端安全。
Ø安全管控
天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、流量管理、软件统一分发卸载、终端安全策略管理等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。
产品架构
天擎终端安全管理系统包括安全控制中心和客户端两部分。
Ø控制中心
安全控制中心是天擎终端安全管理系统的核心,部署在服务器端,主要包括安全管控和安全事件收集告警两大功能。
安全控制中心采用B/S架构,管理员可以随时随地的通过浏览器打开访问,对天擎终端进行管理和控制。
主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软硬件资产管理等。
此外安全控制中心还提供了系统运维的基础服务,如:
云查杀服务、终端升级服务、数据服务、通讯服务等。
安全事件收集告警,通过管控中心,管理员可以了解全网终端的告警信息,通过报表分析,掌握全网威胁状况。
Ø客户端
客户端部署在需要被保护的终端或服务器上,执行最终的木马病毒查杀、漏洞修复、安全防护等安全操作。
并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。
二、安装部署
环境准备
服务器准备
360天擎终端安全管理系统安全控制中心支持部署在硬件服务器和虚拟化服务器上,在对安全控制中心进行安装时需要提前根据如下要求准备对应的服务器环境。
以1000个点为例,建议的服务器配置为:
所需配置类型
配置内容
硬件
CPU
≥双核
内存
≥8GB
硬盘
≥500GB可用空间
网卡
一块千兆以太网卡
鼠标、键盘、显示器
普通
软件
操作系统
安全控制中心支持安装在如下操作系统平台:
Windows2003ServicePack2
WindowsServer2008
WindowsServer2008R2(推荐)
WindowsServer2012
Windowsserver2012R2
Windows7
Windows8
Windows10
浏览器
及以上版本
及以上版本、及以上版本
说明
1)天擎控制中心安装程序自带高性能数据库,因此不需要单独准备数据库软件;
2)实际环境中的服务器配置请根据实际需求和环境进行规划;
终端环境准备
天擎终端安全管理客户端支持部署在如下操作系统类型上:
系统类型
操作系统
是否支持
个人版
Windowsxp(32位and64位)
支持
Windowsvista(32位and64位)
支持
Windows7(32位and64位)
支持
Windows8(32位and64位)
支持
(32位and64位)
支持
服务器版本
Windows2003server(32位and64位)
支持
Windows2008server
支持
Windows2012server
支持
网络环境准备
ØIP地址准备
需要为天擎控制中心服务器准备一个固定IP地址,同时为了保证天擎终端安全管理系统安全控制中心服务器能够正常的对客户端进行管理,需要保证客户端网络到服务器网络全局路由可达。
Ø网络权限
如果在网络中间存在访问控制策略(如防火墙策略、ACL等)则需要按照如下表格对相关端口进行放行:
源
目的
协议及端口
端口说明
客户端网络
天擎控制中心服务器、云查杀引擎服务器
TCP80
客户端连接服务器、云查杀引擎
管理员电脑
天擎控制中心服务器
TCP8080
Web管理端口
说明
以上均为系统默认端口,如果实施过程中对默认端口进行了修改,则应该按照实际的端口进行放行。
控制中心安装
天擎终端安全管理系统的安装文件名称为:
,双击该安装文件可以开始天擎控制中心的安装。
图:
360天擎控制中心安装文件
安装程序启动后,会进入“360天擎控制中心”安装向导初始化界面,如下图所示:
图:
360天擎安全控制中心安装向导初始界面
单击<下一步>按钮进入“许可证协议”界面,如果此时单击<取消>按钮,则退出安装。
图:
360天擎许可证协议
建议您认真对360天擎许可证协议进行阅读和理解,在您阅读完后,选择<我接受“许可证协议”中的条款>后可以点击<下一步>按钮进行继续安装,如果您对许可协议存在疑议,您可以选择<我不接受“许可证协议”中的条款>并点击<取消>按钮终止本次安装。
图:
安装路径
点击<浏览>按钮,选择360天擎控制中心的安装路径,系统默认安装路径为C:
\ProgramFiles\360\skylar6,您可以根据实际情况修改对应的安装路径(建议安装路径设置为非系统盘,且所在盘符剩余空间≥50GB,小于5GB将不能安装),确认好安装路径后,点击<下一步>按钮,继续安装,您也可以点击<上一步>按钮回到上一步操作界面,如果点击<取消>按钮,则会终止本次安装。
图:
安全控制中心基本信息设置
在该步骤中,您可以对安全控制中心基本信息和类型进行配置。
安全控制中心基本信息:
终端通信端口:
默认为TCP80,所有客户端将通过该端口与安全控制中心服务器进行连接,可以根据实际需求进行修改。
另外,客户端通过该端口进行云查杀,可以根据实际需求进行修改。
控制台端口:
默认为TCP8080,该端口为web管理端口,可以根据实际需求进行修改。
主安全控制中心:
在分级管理架构中,主安全控制中心为一级管理服务器。
二级安全控制中心:
在分级管理架构中,二级服务器需要指定一级服务器的IP地址和控制台端口,指定后二级服务器将通过该地址和端口与一级服务器进行通信。
在配置完成后,点击<下一步>按钮,继续安装,您也可以点击<上一步>按钮回到上一步操作界面,如果点击<取消>按钮,则会终止本次安装。
图:
360天擎控制中心安装过程
在天擎控制中心安装过程中,您需要等待几分钟,当程序安装进度完成后,将结束本次安装向导。
图:
360天擎控制中心安装完成
此时您已经成功完成了360天擎控制中心的安装,您可以勾选“运行360天擎安全控制中心”并单击<完成>按钮完成本次安装。
客户端安装
客户端功能定制和下载
360天擎终端安全管理系统可以根据管理员的需求对不同类型的终端定制不同功能的客户端。
管理员可以登录到天擎控制中心后点击“首页”—“终端部署”—“自定义终端模块”即可进入客户端默认功能定制界面,管理员可以根据实际管理需求选择对应的客户端功能。
定制完客户端的功能后,可以通过页面上终端部署的链接(如:
地址)打开客户端在线安装的下载页面。
同时,管理员可以通过“终端部署”页面中的“修改通知”来对客户端下载页面中的通知内容进行修改。
天擎客户端支持在线安装和离线安装,具体请参考下文章节。
客户端在线安装
管理员可以直接在需要安装天擎客户端的终端上使用浏览器打开终端的部署链接,点击页面上的“在线安装”,即可开始对天擎客户端进行下载和安装。
在线安装中下载下来的程序为天擎客户端初始安装程序,在初始程序运行过程中,客户端会自动判断所在终端的操作系统类型(个人版或服务器版),然后在线安装后台定制好的客户端功能。
在线下载的360天擎客户端的名称为360,其中是天擎控制中心服务器IP地址,双击该安装程序即可开始在线安装。
图:
360天擎客户端
安装程序启动后,会直接开始客户端的安装,此时客户端会自动从天擎控制中心下载和安装客户端组件。
图:
360天擎客户端装过程
安装完成后,会提示对应的完成向导。
图:
360客户端安装完成界面
点击<完成>,完成并退出安装。
客户端离线安装
当需要部署天擎客户端的电脑无法连接天擎控制中心服务器时,可以采用离线安装的方式对天擎客户端进行安装。
管理员需要先通过离线包制作工具生成离线安装包,具体的步骤如下:
在定制完客户端的功能后,登录到天擎控制中心后点击“首页”—“终端部署”—点击“离线包制作工具”,即可对离线包安装工具进行下载,下载下来后直接运行,开始生成离线部署安装包:
图:
终端离线安装包生存工具
图:
离线安装包生存完成
离线安装包生成完成后,点击“打开文件夹”,即可查看生成的天擎客户端离线安装包。
生成出来的离线包程序名称为“offlineSetup,管理员可以将该离线安装包拷贝到对应的离线终端上进行安装即可。
双击离线包开始安装:
图:
离线安装包
勾选“已阅读并同意许可协议”,选择需要安装的盘符,默认为C盘,点击”立即安装”,即可一键完成360天擎客户端的离线安装。
客户端域安装
在域环境的网络中,可以直接通过域控服务器对加入了域的终端电脑进行天擎客户端的推送安装。
天擎终端安全管理系统提供了对应的域安装工具,管理员可以通过该工具来完成客户端的域安装。
具体的步骤如下:
登录天擎控制中心:
“首页”—“终端部署”—点击“域安装工具”下载域安装工具
图:
域安装工具
将下载下来的域安装工具“”拷贝到域控服务器上运行,即可打开域安装工具配置界面:
图:
域安装工具配置界面
在“控制中心IP地址”填写天擎控制中心服务器的IP地址,升级服务器端口为天擎控制中心服务器升级端口(默认为80,如果修改,请按实际修改的端口填写),在域用户名中选择要安装天擎客户端的用户,然后点击右上的“设置域安装脚本”按钮进行客户端部署,这样在该用户的当前域脚本配置中会显示。
设置完成后,当终端用户重启电脑并使用域用户登录操作系统时,会自动运行域脚本进行天擎客户端的安装:
安装成功之后,即可在终端系统右下角看到天擎终端安全管理客户端的图标。
说明
在使用域安装工具的时候会覆盖之前设置的域登录脚本,如果域控制服务器上之前有设置域登录脚本,您可以通过在域控制服务器上手动添加脚本的方式将客户端安装脚本添加到域登录脚本中即可。
(域安装脚本文件在\\域名\NETLOGON\)。
一.功能使用说明
本章节主要介绍360天擎控制中心的使用。
登录
打开浏览器(终端或者控制中心都可以),输入。
其中是控制中心服务器IP地址,8080是控制中心管理端口,如果不确认该地址和端口,请参考章节控制中心配置。
输入账号、密码,点击登录,即可进入控制中心。
系统默认的管理员口令:
角色
帐号
初始密码
超级管理员
admin
admin
为了保证系统的安全,首次登录系统时需要对admin的初始密码进行配置。
如果在登录时,连续3次输出错误的登录信息,则会要求输入对应的验证码信息。
界面说明
经过登录界面进入控制中心后,是控制中心的主界面。
主界面主要分为两大区域:
banner区和主功能展示区。
Banner区
该区域主要展示360天擎logo,显示版本相关信息等。
此外还有几个功能入口:
任务管理、通知区域以及360天擎的菜单。
如下图的红框区域。
任务管理
该功能用于管理员所有任务的管理,支持查看当前任务的进度,取消任务,查看历史任务,删除历史任务。
点击进度条,显示进度详情:
执行中终端、已执行终端、未执行终端;
通知区域
该区域主要包含三个功能:
当前用户的密码修改及退出;通知系统:
统一管理系统通知的通知中心,支持消息的单条和批量删除。
主功展示区域
该区域是360天擎主要区域,主要的功能操作、数据展示等都在该区域进行。
选择不同的菜单,该区域会显示不同的内容,后续会有逐个功能描述。
首页
首页主要是展示网内终端的安全概况和一些常用功能。
如下图所示。
安全概况
通过该区域,可以看出全网的安全体检得分,查看已部署的终端数,在线率以及已运行时间,从而对全网的终端安全情况有个整体概念;可以从这里下发全网立即体检的指令;另外在这里可以部署终端。
待处理任务
该区域智能判断系统安全状态,提取待处理任务提醒管理员进行修复。
服务器性能监控
提供直观的服务器性能信息,帮助管理员了解服务器负载,包括:
CPU,内存,硬盘占用,带宽占用,数据库连接数,服务器时间。
安全动态
该区域及时展示内网终端安全事件,包括病毒,恶意软件以及漏洞等。
文件鉴定
该区域展示了近一周系统检查过的文件总数,以及其中的安全文件、风险文件和未知文件的数量。
病毒查杀趋势
该区域展示近一周内全网查杀病毒次数、查杀终端数以及查杀出来的病毒种类数。
病毒分类
该区域展示近一周查杀病毒种类的占比。
高危漏洞修复趋势
该区域展示近一周内全网发现漏洞数量、修复漏洞数量以及忽略的漏洞数。
XP盾甲趋势
该区域展示近一周内XP盾甲拦截以及允许可疑进程的次数。
常用功能
该区域可以让管理员迅速定位到自己常用的功能模块,且提供管理员自定义该模块的功能。
自定义常用功能可以依据自己的内网的特点来选择常用模块:
授权信息
该区域展示360天擎的授权情况,您可以看到授权公司名称、授权终端、数授权期限和授权功能。
点击正版授权icon即可看到详细的授权信息,或者进行授权的更新。
终端管理
终端管理是360天擎的核心模块之一,主要处理网内终端的安全问题,界面如下图所示,分为三个区域,上方是功能区,可以从各个角度来查看终端安全情况并进行处理,下方是终端的状态,左侧是终端树,终端树支持如下功能:
A.终端分组结构的管理,支持新建分组,分组的重命名和删除;进入分组管理后实现对终端的分组转移;B.删除离线终端并释放授权点数;C.支持IP自动分组。
右侧是数据区,描述了相应安全选项的终端情况。
终端概况
终端概况展示了网内终端的安全情况,包括计算机基础信息(计算机名、IP地址)和安全信息(扫描分数、漏洞数、病毒数、病毒库时间、安全防护中心以及我关注的事件如告警时间)。
选择要操作的计算机,可以对计算机进行以下四个操作:
A、安全扫描。
扫描终端的漏洞和木马信息。
通过右上角的“设置”按钮可以自定义安全扫描时扫描的项目如下图:
B、标记为。
通过将某一些计算机标记为一个标签后,在筛选终端时可以通过标记来筛选。
C、我的关注。
管理员通过“我的关注”可以自定义关注的内容,包括:
告警时间、硬件变更、上线时间。
D、远程桌面。
通过“远程桌面”可以进行远程访问。
首次启动远程桌面时,管理员需要按照提示安装一个插件,安装好后即可使用远程桌面功能。
远程桌面界面如下:
远程界面可以按照管理员要求显示所有终端或者只显示在线计算机,默认只显示在线计算机。
选择想要远程的计算机,点击
,选择是否需要被远程计算机的同意,默认不需要。
若选择需要终端同意,则终端会显示如下提示框:
终端用户同意后,则成功远程连接终端,终端显示如下:
E、消息通知。
管理员通过“消息通知”可以对终端发布公告。
页面右上角的导出功能可以将终端概况信息以压缩包的形式导出至消息中心,管理员可到消息中心下载。
筛选功能,方便管理员从标签、浏览器和系统等对个维度对终端进行管理。
设置功能用户设置安全扫描时扫描的项目。
点击计算机名对某一具体计算机进行单点维护
单点维护功能包括:
A.终端基础信息,包括登陆用户和操作系统,已部署策略。
B.终端基础操作,包括消息通知、远程桌面和关机重启。
C.概览信息。
查看终端的基本信息(计算机名、型号、序列号、标签、扫描分数、在线状态、登陆用户、登陆域、开关机时间)配置信息(设备类型、设备用途、使用人信息、物理位置、备注等)
D.策略。
查看和修改终端当前的策略配置信息。
E.硬件。
查看终端的基本信息和各种硬件配置(CPU、主板、内存、硬盘、显卡、显示器、网卡等);各硬件的温度监测;硬件变更日志。
F.软件。
查看终端的软件配置,并提供管理员远程卸载的操作;查看软件变更日志。
G.操作系统。
包括查看系统信息、系统账号的管控(修改密码、启停账号操作);查看服务列表、启停服务、修改启动类型;系统事件查看。
H.网络。
查看终端上的网络端口监听情况;网络配置的修改(地址获取方式、IP、子网、网关、DNS);网络文件共享的管控;总出入站的网络流量的查看、各应用流量的查看、互联网流量限制;ARP防欺骗;HOST文件防欺骗。
I.进程。
终端上实时进程的查看及停止操作;指定进程的运行统计(哪些终端运行了该进程)。
J.杀毒软件。
查看杀毒软件信息。
K.管控日志。
查看终端上的远程桌面日志和事件告警信息,包括变更类型、当前账号、详细内容、变更时间和状态。
L.漏洞。
查看终端上的补丁信息,包括补丁名、补丁描述、补丁类型、发布时间。
管理员可以对这些漏洞进行操作:
修复或者忽略。
M.木马查杀日志。
查看终端上的木马查杀日志,包括木马名、描述。
N.插件。
查看终端上的插件信息,包括插件名、描述以及对该项的建议操作和操作。
管理员可以选择其中的插件进行清理操作。
O.系统修复。
查看终端上的系统异常项,包括异常项名称、描述以及对该项的建议操作和可进行的操作。
管理员可以选择其中的危险项进行修复操作。
P.信任区。
查看终端上的信任区中的文件/目录,其分类以及添加时间。
管理员可以选择其中的文件,将其移除。
地址资源管理
地址资源管理是360天擎的核心模块之一,通过对网内所有网络设备进行扫描和发现,得到IP地址资源的使用数据,提供管理员可视化的管理界面。
同时又能对网内天擎客户端的安装部署情况进行统计和分析。
如下图所示:
Ø新建分组
新建分组是对网络内需要扫描的网段进行配置,首先添加上组分组名、新建分组名,选择开启IP自动分组,添加网段的开始地址及结束地址,然后确认即可完成配置。
如下图所示:
添加完成后,便在地址资源管理菜单下生成该网段的信息,包括设备数、安装数及安装率,如下图所示:
点击一个网段的图标,会展示出该网段已扫描IP地址的详细信息,包括网络设备、服务器、打印机、电话及计算机,统计出每个IP地址对应的终端设备,方便管理员进行统计与终端发现。
如下图所示:
Ø修改和删除
该模块主要是误操作、已扫描或需要变更扫描配置的网段进行修改或者删除处理。
修改可以对分组进行上级分组、组名称、网段等的修改。
此处需要注意的是删除操作是将该分组下的终端转移到其他分组内。
Ø扫描设置
该模块是对添加后的网段进行扫描设置,勾选已添加的网段名称后,点击扫描设置,则列出包括扫描、扫描间隔、代理数、发包速率、本网扫描、扫描方式、邻网扫描、扫描方式的设置功能,设置完成后点击确认即可。
如下图所示:
其中扫描是确认是否对添加的网段进行扫描,勾选启用,则进行扫描;反之则不扫描。
如下图所示:
扫描间隔是对已添加网段内的终端发送检测数据包的时间间隔,默认是1000秒发一次。
如下图所示:
代理数是设置对已添加网段内的代理终端进行配置,设置后,由控制中心随机指定该网段内的终端进行代理。
如下图所示:
发包速率是设置每秒发送终端检测包的数量,默认是10秒发一个。
如下图所示:
本网扫描是设置对网段内的终端进行检测的参数,根据管理员需求可配置启用或不启用,扫描的方式可以通过ARP探测和netbios探测。
如下图所示:
邻网扫描功能设置与本网扫描相同,在扫描方式上由于无法在同段内发送ARP广播,仅能选择netbios探测。
如下图所示:
Ø扫描日志
该模块主要是对已扫描的网段情况进行审计,包括网段名称、网段范围、代理计算机名、代理IP及上次扫描时间,帮助管理员发现终端的现状。
如下图所示:
Ø终端过滤设置
该模块主要是将分组内符合某些过滤规则的设备过滤掉,使得它不在地址资源和资产汇总中出现和统计。
过滤规则有三种:
MAC前缀过滤、MAC过滤、IP过滤。
病毒查杀
病毒查杀主要展示终端杀毒相关的状态信息,包括计算机名、IP地址、病毒数、安全防护中心、文件防护、杀毒引擎防护等信息,并且可以针对选定终端的安全防护中心、文件防护以及杀毒引擎防护进行相应状态的更改操作。
针对选中的终端,管理员可以进行如下几个操作:
A.快速扫描和全盘扫描。
管理员可以对终端下发病毒快速扫描或全扫描的任务;
B.强力查杀。
可以进行自定义扫描(支持自定义扫描方式,选择是否扫描信任区中的文件以及选择扫描后的处理方式及执行扫描的引擎)
C.文件专杀。
有针对性的对特定威胁进行专杀处理,支持对专杀任务的备注及任务有效期的设置。
专杀工具可以从360公司获取,针对特定的病毒问题,360将发布对应的专杀工具,如有需要,欢迎电话咨询。
D.隔离区恢复。
恢复被放进隔离区的文件,支持恢复一段时间范围内被放进隔离区的文件、以文件名和路径恢复某一文件,支持被某一病毒感染的文件的恢复。
插件管理
按终端显示
按终端显示插件信息,包括:
计算机名、IP地址、建议清理插件、可选清理插件、建议保留插件、已信任插件。
选定某些终端,管理员可以进行如下操作:
A、扫描。
扫描插件。
B、清理。
清理插件,可以选择要清理插件的类型,如图:
C、信任。
将所选终端设置为信任终端,则主展示区域将不再展示该终端的插件信息,但是点击信任区后在信任区中仍然可以看到信任终端的插件信息。
按插件显示
按照插件来显示网内插件信息,包括插件名称,描述,安装该插件的终端数、信任该插件的终端数以及建议操作。
选择某插件可以对该插件进行清理和信任操作。
系统修复
按终端显示
按终端显示系统危险性,包括计算机名、IP地址、建议修复项、可以修复项、已信任项。
选择某些终端可以对该终端进行如下操作:
A、扫描。
对该终端的系统危险项进行扫描。
B、修复。
可以选择需要修复的选定终端的清理项,包括建议修复和可以修复危险项。
C、信任。
将该终端加入信任终端,则主展示区域将不再展示该终端的系统危险项信息,但是在信任区中仍然可以看到信任终端的系统危险项信息。
按项目显示
按照系统危险项来显示,包括危险项名称,描述,具有该危险项的终端数、信任该危险项的终端数以及建议操作。
针对选定的终端,管理员可以进行修复和信任操作。
漏洞管理
按终端显示
按终端显示漏洞信息,包括终端名称、终端所在分组、IP地址、未修复漏洞、已修复漏洞、已忽略漏洞、系统盘剩余空间。
选定终端,管理员可以进行如下操作:
A、扫描。
扫描选定计算机的漏洞。
B、修复。
下载更新补丁,可以设置升级服务器的流量配置,如内网最大下载速度、同时升级最大终端数。
C、忽略。
忽略某终端的漏洞信息,忽略后,该终端将不再在主展示区域显示。
按漏洞显示
按补丁显示,包括补丁名称