LANdesk ESA操作配置文檔

1、 終端安全審計（ESA）操作配置文檔目錄1.ESA入門（Endpoint Security Audit）42.系統(tǒng)配置（System configuration）4服務(wù)器的最低建議配置4客戶端的最低建議配置53.操作指南（Operations Guide）53.1終端審計管理5文件打印審計8活動窗口審計9剪切板審計11屏幕錄像審計13文件操作審計17系統(tǒng)變更審計18系統(tǒng)使用審計19應(yīng)用程序?qū)徲?1存儲設(shè)備審計233.2日志警告管理25日志警告管理253.3支持平臺261. ESA入門（ENDPOINT SECURITY AUDIT）1. 工具欄a) 日志警告管理：給系統(tǒng)管理員提供需要的郵件通知

2、b) 數(shù)據(jù)庫備份管理：建立過去數(shù)據(jù)的安全備份機制c) 終端審計管理：提供終端審計管理的管理界面，查看設(shè)備的審計日志2. 終端管理界面a) 提供直觀的客戶端管理界面b) 提供給管理員查看的日志查詢界面2. 系統(tǒng)配置（SYSTEM CONFIGURATION）服務(wù)器的最低建議配置² 操作系統(tǒng)：Windows Server 2008 R2² 數(shù)據(jù)庫：SQL Server 2008 R2² .NET Framework 4. 下載地址² IIS & WebDAV的安裝配置² 指定防火墻或其他安全軟件設(shè)置的允許ESA HTTP端口訪問²

3、 CPU：Intel Core i3² 內(nèi)存 ：4G² 硬盤：可用空間500G² 操作系統(tǒng)：Windows Server 2008² 數(shù)據(jù)庫：Microsoft SQL Server 2008 Standard客戶端的最低建議配置² CPU：Intel Celeron² 內(nèi)存：512M² 硬盤：可用空間20G3. 操作指南（OPERATIONS GUIDE）3.1終端審計管理² 菜單欄1. 新建組（審計設(shè)備分組）a) 可以根據(jù)客戶的組織結(jié)構(gòu)來管理審計的信息b) 右擊活動客戶端>>新建組c) 然后把屬于財

4、務(wù)部的設(shè)備拖到相應(yīng)的組2. 重命名（組名稱的重命名）3. 刪除組4. 全局配置a) 核心服務(wù)器連接配置i. 連接超時時間：用以判斷是否與核心服務(wù)器斷開連接ii. 連接失敗重試間隔：與核心服務(wù)器斷開連接后，系統(tǒng)將依此間隔時間向服務(wù)器嘗試連接iii. 客戶端輪詢周期：客戶端與核心服務(wù)器交互事件的間隔時間b) 文件服務(wù)器連接配置i. 連接超時時間：用以判斷是否與文件服務(wù)器連接失敗ii. 連接失敗重試間隔：與文件服務(wù)器斷開連接后，系統(tǒng)將依此間隔時間向服務(wù)器嘗試連接iii. 客戶端輪詢周期：客戶端在空閑時，與文件服務(wù)器的輪詢周期5. 組配置（模塊審計配置）：主要是針對每臺審計設(shè)備進行每個模塊的審計配置a

5、) 可以針對所有設(shè)備進行審計模塊配置，也可以針對不同的組統(tǒng)一配置b) 日志保留時間：客戶端未上傳的日志在本地保存的時間c) 上傳時間間隔：客戶端兩次日志上傳事件的間隔時間d) 當(dāng)磁盤空間使用超過設(shè)定的指定值時，系統(tǒng)停止所有審計日志功能e) 首選文件服務(wù)器：若有多臺文件服務(wù)器，我們可以設(shè)置首選上傳文件服務(wù)器，緩解同臺服務(wù)器壓力6. 生成客戶端：生成客戶端的安裝程序和卸載程序7. 查看所有日志：查看所有審計模塊的日志² 終端分組窗口1. 所有客戶端a) 列出所有安裝ISMS客戶端的設(shè)備2. 活動客戶端a) 列出所有目前正在使用的客戶端b) 還可以對所有活動客戶端進行自定義分組，自定義各個

6、組策略3. 非活動客戶端a) 列出所有卸載過的或者停用的客戶端² 終端狀態(tài)管理窗口1. 列出所有終端的詳細(xì)信息（電腦名稱、IP地址，最近訪問時間，以及各個模塊的啟動狀態(tài)）2. 可以針對不同設(shè)備，做不同模塊的安全審計文件打印審計² 打印審計配置1. 上傳監(jiān)聽數(shù)據(jù)限制設(shè)置（兩個條件滿足其一就會上傳）：a. 時間限制：打印模塊審計日志的上傳時間間隔b. 大小限制：打印模塊審計日志的上傳大小限制² 打印審計功能功能詳細(xì)信息審計詳細(xì)文件打印安全審計1. 記錄當(dāng)前使用人的登陸賬號、電腦名稱、IP地址、打印機名稱；2. 跟蹤記錄打印機打印數(shù)量和紙張/耗材使用量。1. 內(nèi)容、打印

7、機詳細(xì)、打印機IP、頁面計數(shù)、域名、登陸名、機器IP地址² 打印審計日志² 導(dǎo)出CSV格式的打印審計日志活動窗口審計² 活動窗口配置1. 監(jiān)聽進程：配置需要審計的進程列表（為空監(jiān)聽所有進程）2. 非監(jiān)聽進程：配置不需要審計的進程列表（如果不為空，那么該列表的優(yōu)先級高于監(jiān)聽進程列表）3. 監(jiān)聽對話框標(biāo)題4. 上傳限制（兩個條件滿足其一就會上傳）a. 上傳監(jiān)聽數(shù)據(jù)限制，時間限制：兩次審計日志的時間間隔b. 上傳監(jiān)聽數(shù)據(jù)限制，大小限制：審計文件的大小限制² 活動窗口功能功能詳細(xì)信息審計信息活動窗口安全審計1. 記錄用戶使用的活動窗口的標(biāo)題，活動窗口的進程名稱、

8、登陸用戶。1. 記錄用戶打游戲、上網(wǎng)炒股、聊天、使用非法軟件等詳細(xì)信息從而警告、規(guī)范員工行為操作；² 活動窗口日志² 導(dǎo)出CSV格式的活動窗口日志剪切板審計² 剪切板日志配置1. 監(jiān)聽數(shù)據(jù)類型：a. 監(jiān)聽文本信息：監(jiān)聽剪切板文本的內(nèi)容信息b. 監(jiān)聽文件信息：監(jiān)聽剪切板的文件名稱2. 上傳監(jiān)聽數(shù)據(jù)限制（兩個條件滿足其一就會上傳）a. 時間限制：上傳剪切板日志的時間間隔b. 大小限制：上傳剪切板日志的大小限制² 剪切板審計功能功能詳細(xì)信息審計信息剪切板安全審計1. 記錄用戶對文本的剪切，復(fù)制等操作動作2. 記錄用戶對文檔等相關(guān)文件的剪切、復(fù)制操作動作內(nèi)容、類

9、型、時間、域名、登錄名、電腦名稱、IP地址、服務(wù)器時間² 剪切板審計日志² 導(dǎo)出CSV格式的剪切板審計日志屏幕錄像審計² 屏幕錄像配置1. 截屏?xí)r間段：根據(jù)您的需求設(shè)置需要截屏的時間段2. 監(jiān)聽進程列表：添加需要進行截圖監(jiān)聽的進程3. 截屏間隔：兩次截圖時間間隔4. 只截取活動窗口：只對監(jiān)聽進程的窗口做截圖，不截取全桌面5. 屏保時不截屏：當(dāng)電腦進入屏保時，不進行截圖6. 上傳監(jiān)聽數(shù)據(jù)限制設(shè)置（兩個條件滿足其一就會上傳）：a. 時間限制：兩次上傳數(shù)據(jù)的時間間隔b. 大小限制：上傳文件的大小限制² 屏幕錄像審計功能功能詳細(xì)信息審計信息屏幕錄像安全審計1.

10、支持基于特定時間和特定應(yīng)用程序的屏幕監(jiān)控；2. 支持圖片內(nèi)容搜索、高比例壓縮占用磁盤空間少；3. 支持屏幕連續(xù)播放、圖片文件導(dǎo)出等功能。1. 錄像時間、機器名稱、IP地址² 屏幕錄像審計日志1. 批量選擇你需要在某個時間段查看的圖片>>右擊添加到縮略圖2. 選擇某臺審計設(shè)備生成的縮略圖3. 點擊播放，連續(xù)播放截屏圖片² 導(dǎo)出png格式的屏幕錄像圖片文件操作審計² 文件操作審計配置1. 設(shè)置監(jiān)聽文件后綴：.txt/.exe/.doc2. 監(jiān)聽目錄：指定客戶端監(jiān)聽文件審計日志的目錄例如：C:farris3. 非監(jiān)聽目錄：不對其監(jiān)聽的文件目錄4. 上傳限制（

11、兩個條件滿足其一就會上傳）a. 時間限制：上傳文件操作日志的時間間隔b. 大小限制：上傳文件操作日志的大小限制² 文件操作審計功能功能詳細(xì)信息審計信息文件操作安全審計1. 記錄對文檔操作的用戶名、文檔名、時間、對該文檔進行的操作包括新建、刪除、拷貝、粘貼、修改（內(nèi)容和文件屬性修改等）、重命名；2. 提供文檔操作配置列表（對列表內(nèi)后綴名稱符合的文檔進行審計）。1. 記錄操作文檔的路徑、操作文檔的名稱、操作動作、操作時間、機器名稱、域名、登陸名² 文件操作審計日志² 導(dǎo)出CSV格式的文件操作日志系統(tǒng)變更審計² 系統(tǒng)變更審計功能功能詳細(xì)信息審計信息系統(tǒng)安全使用

12、審計1. 記錄用戶在內(nèi)網(wǎng)以及外網(wǎng)的使用所有的IP地址；1. 變更時間、登陸名稱、電腦名稱、Ip地址、OS版本、域名、時區(qū)² 系統(tǒng)變更審計日志² 導(dǎo)出CSV格式的系統(tǒng)變更日志系統(tǒng)使用審計² 系統(tǒng)使用審計功能功能詳細(xì)信息審計信息系統(tǒng)使用狀態(tài)審計1. 記錄用戶的開機、關(guān)機時間。2. 記錄用戶的鎖屏?xí)r間、解鎖時間。3. 記錄用戶的注銷時間。1. 內(nèi)容（開機、關(guān)機）、時間、域名、登陸名稱、電腦名稱、IP地址、服務(wù)器地址² 系統(tǒng)使用審計日志² 導(dǎo)出CSV格式的系統(tǒng)使用日志應(yīng)用程序?qū)徲?#178; 應(yīng)用程序配置1. 監(jiān)聽進程：設(shè)置監(jiān)聽活動窗口的進程2. 非監(jiān)

13、聽進程：提供除去系統(tǒng)的默認(rèn)啟動的進程，也可以自己增加非監(jiān)聽的進程3. 監(jiān)聽服務(wù)進程：提供是否監(jiān)聽服務(wù)進程4. 上傳限制（兩個條件滿足其一就會上傳）a) 上傳監(jiān)聽數(shù)據(jù)限制設(shè)置：時間限制b) 上傳監(jiān)聽數(shù)據(jù)限制設(shè)置：大小設(shè)置² 應(yīng)用程序操作審計功能功能詳細(xì)信息記錄詳細(xì)應(yīng)用程序安全審計1. 記錄用戶使用應(yīng)用軟件的使用人、使用機器、使用次數(shù)、使用時長、使用進程。產(chǎn)品名稱、產(chǎn)品版本、進程名稱、運行時間、CPU使用時間、開始時間、結(jié)束時間² 應(yīng)用程序操作審計日志² 導(dǎo)出CSV格式的應(yīng)用程序日志存儲設(shè)備審計² 存儲設(shè)備審計配置² 存儲設(shè)備審計功能功能詳細(xì)信息審

14、計信息存儲設(shè)備安全審計1. 記錄存儲設(shè)備的使用類型、使用時間內(nèi)容、操作、磁盤驅(qū)動類型、標(biāo)題、時間、域名、登錄名、電腦名稱、IP地址² 存儲設(shè)備審計日志² 導(dǎo)出CSV格式的存儲設(shè)備審計日志3.2日志警告管理日志警告管理² 聯(lián)系人（右擊新建聯(lián)系人）² 郵件模板1. 右擊新建郵件模板2. 制定不同模板的郵件審計模板² 警告：通過建立警告規(guī)則，當(dāng)客戶端有日志上傳到服務(wù)器的時候，某一條記錄符合我們的警告條件，那么會通過發(fā)送郵件的方式或者該條記錄變色的方式來提醒管理員圖：添加警告條件1. 警告的方式有以下兩種u 郵件通知（郵件標(biāo)題、郵件內(nèi)容完全可以自己定義）u 觸發(fā)警告后相應(yīng)模塊的Log日志背景顏色變更3.3