终端安全管理系统日常运维手册

1、目录一、客户端维护21.客户端安装22.客户端卸载63.客户端与资产设计理念94.客户端删除95.客户端维护96.客户端升级127.客户端安装与卸载注意事项128.客户端定制18二、服务器策略优化181.基本策略模板182.日志量较少时的调整203.日志量较多时的调整204.日志分级205.常见需求与策略20三、数据库维护211.数据库备份212.数据库恢复22四、常见问题处理221.JVM_Bind异常222.Jboss默认端口号233.检测不到补丁254.看不到登录界面265.远程下载Agent266.看不到软硬件信息277.看不到系统性能信息278.Agent不在线309.准入用户重复登

2、录3110.准入用户登录失败3111.未提示填写资产信息3112.非必填项改为必填项3213.调整服务器地址3214.接入交换机与802.1x3215.补全资产信息3216.远程初始化3317.NAT转换33五、应急故障处理331.电话解决332.现场解决343.提交上级34于道森：134 2619 1195一、 客户端维护1. 客户端安装Agent安装程序AgentSetup.exe需要由用户自己生成并安装。安装Agent软件的具体操作如下：1）在“Agent安装包生成工具”目录下运行“AgentGenerator.exe”，如下图所示。界面中各参数的具体说明请参见下表。参数说明基本配置Ma

3、nager的IP地址TopDesk管理器所在主机的IP地址。Agent升级服务器IP地址/端口提供Agent升级服务的主机IP地址（即消息服务器的IP地址，因为安装消息服务器的同时也安装了Agent升级服务器，二者被安装在同一台主机上），通常与Manager的IP地址相同；Agent升级服务器端口则是提供升级服务的端口号，默认为21000，一般不需修改。补丁服务器IP地址补丁服务器程序的IP地址（即安装微软补丁服务器WSUS的主机的IP地址）。高级配置自保护选择该项后，将会保护Agent安装目录、Agent进程及服务。正常情况下，建议用户选择该项。启用远程协助勾选该选项后，Agent所在主机可

4、接受TopDesk系统管理员的远程管理，以帮助排查和解决问题，关于远程协助功能的使用请参考TopDesk终端管理系统用户手册的相关章节。与控制器的认证密码与控制器进行通信时所需密码，在安装控制器时设置。准入启用802.1x准入启用Agent端的802.1x准入功能。勾选该选项后，Agent端需通过802.1x认证方能接入网络，关于802.1x认证的设置请参考TopDesk终端管理系统用户手册的相关章节。启用防火墙准入启用防火墙准入功能。勾选该选项后，还需在下方的“防火墙的IP地址”处设置要登录的防火墙的IP地址。另外，也可通过TopDesk管理器为Agent设置准入的防火墙，具体操作请参考To

5、pDesk终端管理系统用户手册的相关章节。使用802.1x帐户登录防火墙当802.1x认证和防火墙认证所用认证服务器为同一认证服务器时，请勾选该选项。输出配置安装包名称即将生成的控制器安装包的名称，默认为“setup.exe”，建议用户不要修改。输出目录显示了即将生成的安装包的存放路径，默认为“AgentGenerator.exe”所在目录。2）点击“生成”按钮即可生成Agent安装包。3）将安装包放置到TopDesk 服务器安装目录的Tsmapp-serverserverserverdefaultdeploytsm-5topdesk.earTopDeskWEB.war 下。4）通过IE浏览器

6、登录TopDesk系统，访问“http:/IP:8080/topdesk/dagent.jsp”（其中“IP”是TopDesk系统服务器的IP地址），进入下载页面，如下图所示。5）点击“下载安装”按钮，弹出文件下载对话框。如果立即安装，点击“运行”；如果先下载然后再安装，点击“保存”。6） 运行生成的Agent安装程序“setup.exe”开始Agent的安装。安装过程中，会弹出如下图的窗口。在此窗口中，用户可设置Agent主机所在部门、位置、资产编号、使用人等信息。在Agent程序安装完成后，会根据所填写的信息，将Agent所在主机作为资产自动导入到TopDesk系统中。7） Agent安装

7、完成后，请重新启动计算机。2. 客户端卸载TopDesk系统提供了两种卸载Agent的方式：通过TopDesk管理器远程卸载、在Agent端进行本地卸载通过TopDesk管理器进行远程卸载的具体操作如下：1）选择 系统维护 > 系统设置 > Agent卸载，如下图所示。2）在“Agent卸载”处设置卸载参数，各参数的具体说明如下表：参数项说明单个IP 指安装了Agent的主机IP地址，当只卸载单个Agent时可选此项。IP范围IP地址段，当需要卸载某个地址范围内的所有Agent时可选此项。Agent组Agent资产组，当需要卸载某个资产组中的所有Agent时可选此项。3）点击“卸载

8、”提交设置，系统下发卸载指令给选择的Agent，并将操作结果返回给用户。在Agent端进行本地卸载的具体操作为：1）在Agent端的主机上进入 “系统目录WINDOWSTOPSECTopdesk2.0Agent”，运行Uninst.exe，如下图。2）管理员登录TopDesk管理器，并选择 系统维护 > 系统设置 > Agent卸载，如下图所示。3）在“客户端卸载口令生成”处生成卸载口令，具体操作为：a）在“填入客户端卸载码”处输入客户端卸载码（通过Agent端卸载窗口获得）。b）点击“生成卸载口令”按钮，“卸载口令”处会显示卸载口令。4）将生成的卸载口令输入到Agent端的卸载窗

9、口中进行卸载。卸载Agent后，需重新启动计算机。3. 客户端与资产设计理念1）Agent 量非常多的时候，需要填写一些辅助信息，比如这个agent的使用人等信息，否则这些agent就区分不出来了。这些辅助信息就形成了资产。2）Agent安装的时候会生成一个随机的ID号，其实就是个GUID，这个ID是安装的agent的唯一标识，也就是AgentID。3）在TD系统中，一台机器就是用（AgentID+资产）的形式表示的。(AgentID+资产)就是把两者绑定起来，也就是所谓的资产绑定。当然我们也可以取消绑定，为AgentID指定别的资产信息或者为资产指定别的AgentID。4）在实际部署中，需要

10、将资产分门别类组织起来。组织有两种办法，一种是先在服务器上写好组织结构，再把资产一个一个拖到组织结构去，另外一种办法是在agent安装的时候指明自己所属的组织结构，当客户端安装时，客户端会把自己的信息填写到服务器上，当所有的客户端都装好之后，组织结构也就产生了。我们TD部署采用的是后一种办法。4. 客户端删除管理员可以手动删除Agent，该功能用于清理不再应用的Agent在数据库中的冗余数据。Agent被删除后，与其绑定的资产也将一同被删除。如果该Agent向服务器发消息，则该Agent就会进入待导入Agent中。具体操作如下：1）在管理界面中选择 系统维护 > 系统设置 > 删除

11、Agent，如下图所示。2）输入要删除Agent的ID或者IP地址，点击“删除”即可。需要注意的是：用Agentid删除Agent，无论Agent是否在线均可以将其删除；而用agentip删除Agent，只能删除不在线的Agent。5. 客户端维护Agent维护主要用于管理重复Agent，也可用于Agent信息查询等功能。下列情况可能会产生重复Agent：同一主机上由于重装操作系统等原因多次安装Agent，或者同一主机安装了多个操作系统，而每个系统上均安装了Agent时，系统中就会出现多个重复的Agent。具体操作如下：1）在管理界面中选择 系统维护 > 系统设置 > Agent维

12、护，如下图所示。图中右侧上部为Agent查询页面，下部为查询到的Agent列表。2）输入查询条件：IP过滤、Agent名称、组别（可通过“选择组”按钮进行选择），点击“重置”重新输入查询条件；点击“查询”则会在界面下方显示查询结果，如下图所示。3）点击“报警信息”可跳转至事件查询。4）点击“关联信息”可对重复Agent进行绑定管理，如下图所示。在“添加关联关系”处选择要绑定的Agent，点击“关联”，如下图所示。在“从Agent”栏中就会出现上面选择绑定的Agent，选中从Agent，点击“删除关系”即可解除与主Agent的绑定。从Agent不可以再进行其他关联操作，其“关联操作”按钮为灰色状

13、态，如下图所示。6. 客户端升级通过安装消息服务器时同步安装的Agent升级服务器对Agent进行升级，即系统向指定的Agent下发升级指令，并将操作结果返回给用户。在管理界面中选择 系统维护 > 系统设置 > Agent升级，在下图中选择欲升级的Agent。点击“升级”，则系统向选中的Agent下发升级指令，并将操作结果返回给用户。7. 客户端安装与卸载注意事项1）Agent支持的操作系统：2000，XP，2003，VISTA。2）对于vista操作系统，请大家尽量开启UAC（默认为开启状态），在安装时可能会出现如下图提示，请按图示步骤运行即可。3）安装Agent前请尽量关闭安全

14、类软件，如360安全卫士、卡巴斯基等。4）某些杀毒软件放过TD进程后，TD进程实际上已经终止，需重启电脑。5）卡巴防火墙可能会阻断Agent端口的通信，解决方法如下：请先将附件中的tdagent.ini另存到本地，按以下步骤操作，将TD Agent的进程添加到卡巴斯基防火墙的例外列表。右击卡巴斯基托盘，选设置；完成后建议重新启动计算机以确保生效。Tdagent.ini的内容如下：TDWRC.exeApp=%systemroot%TOPSECTopDesk2.0AgentTDWRC.exeCommandLine=UseCommandLine=0Name=Allow Any TCP Activit

15、yEnable=1Allow=1Log=0Warning=0Protocol=TCPDirection=InboundOutboundName=Allow Any UDP ActivityEnable=1Allow=1Log=0Warning=0Protocol=UDPDirection=InboundOutboundtdagtsvc.exeApp=%systemroot%TOPSECTopDesk2.0Agenttdagtsvc.exeCommandLine=UseCommandLine=0Name=Allow Any TCP ActivityEnable=1Allow=1Log=0Warn

16、ing=0Protocol=TCPDirection=InboundOutboundName=Allow Any UDP ActivityEnable=1Allow=1Log=0Warning=0Protocol=UDPDirection=InboundOutboundtdsvcm.exeApp=%systemroot%TOPSECTopDesk2.0Agenttdsvcm.exeCommandLine=UseCommandLine=0Name=Allow Any TCP ActivityEnable=1Allow=1Log=0Warning=0Protocol=TCPDirection=In

17、boundOutboundName=Allow Any UDP ActivityEnable=1Allow=1Log=0Warning=0Protocol=UDPDirection=InboundOutbound6）重装客户端时没有如下资产选择的提示，这是由于客户端卸载的时候在PC机上遗留了一些文件。删掉这些遗留文件中的agent.ini即可。此文件可通过在系统盘搜索找到。删除此文件后，再重装客户端即有资产选择提示。8. 客户端定制客户端有两个方面可以定制：一个是资产选择时所涉及到的组织结构，一个是资产选择时所涉及到的必填字段。如果想定制组织结构，需要修改agent生成工具包里的DepartD

18、B.xml文件。此文件可以直接编辑，也可以利用天融信提供的工具来进行编辑。注意用天融信提供的工具进行编辑的时候，需将工具和DepartDB.xml放到同一个目录下。如果想定制必填字段，需要修改agent生成工具包里的AgentInfo.ini。此文件中如果某字段值为1表示必填字段，为0表示非必填字段。修改此两文件后，再生成客户端安装程序，则定制生效。二、 服务器策略优化1. 基本策略模板基本策略模板如下表所示：策略名配置备注进程监控新建进程监控策略，选择当单进程内存占用超过200M，CPU占用超过90%时报警至服务器。可根据实际情况添加别的进程至黑名单端口监控新建端口监控策略，并将“135、1

19、37、139、445”端口列入黑名单，并选择发现端口时将报警信息发到服务器。可根据实际情况添加别的端口至黑名单流量统计监控新建流量统计策略，设置阈值为“200KB/s”，并选择当实时流量大于这个值时，只报警不阻断。外联监控新建外联监控策略，并将内网IP段设为总队的IP段，并设置两个其他总队的web服务器作为外联测试服务器，选择客户同时在内外网时只提示不断网。硬件监控新建硬件监控策略，选择当硬件发生变化时，将报警信息上传至服务器。软件监控新建软件监控策略，选择当软件发生变化时，将报警信息上传至服务器。系统性能监控新建系统监控策略，选择当CPU持续5秒超过90%，内存持续5秒超过80%时报警。C盘

20、空间少于1G时报警。网络配置监控新建网络配置监控策略，选择当网络配置发生变化时，将报警信息上传至服务器。这些策略可以分成三类：1） 安全类监控：包含进程监控、端口监控、外联监控、网络配置监控。2） 信息类监控：包含硬件监控、软件监控、系统性能监控。3） 流量类监控：包含流量统计监控。2. 日志量较少时的调整日志量较少说明策略定义比较宽松，可对策略进行适当调整：1） 信息类监控策略调整余地较小，如果为测试用，可以调整系统性能监控策略。2） 安全类监控策略可重点调整进程和端口策略。3） 流量类监控策略可将流量统计的阀值调小。4） 增加其他有针对性的监控策略。3. 日志量较多时的调整日志量较少说明策

21、略定义过于严格，可对策略进行适当调整：1）信息类监控策略调整余地较小，系统性能监控策略可适当调整。2）安全类监控策略可重点调整进程和端口策略。3）流量类监控策略可将流量统计的阀值调大。4. 日志分级日志不分级会造成重要日志和非重要日志无法区分。1）日志级别共分四级：严重危险、比较危险、一般危险和低危险。2）一般来说，安全类日志比信息类重要，信息类比流量类重要。安全类中外联监控策略产生的日志最重要以上仅为建议，可根据实际情况自行定义日志级别。5. 常见需求与策略需求策略硬件发生变化报警硬件监视策略U盘与移动硬盘使用报警 硬件监视策略软件发生变化报警 软件监视策略CPU过载报警 系统性能策略内存过

22、载报警系统性能策略系统盘缓存不足报警系统性能策略检测木马或病毒进程进程监视策略强制关闭某些进程进程监视策略禁止使用某些端口端口监视策略禁止上互联网外联监控策略禁止无线上互联网外联监控策略禁止修改IP或MAC网络配置监控策略特定文件保护文件监控策略主机防火墙主机防火墙策略控制补丁分发速度流量控制策略控制软件分发速度流量控制策略流量大时暂时阻断流量统计策略三、 常见问题处理1. JVM_Bind异常TD服务器启动时出现JVM_Bind异常。TD服务器后台显示如下异常信息，关键信息是红色标注的一行，表示TD服务器中Jboss使用的端口已经被其他程序占用。jboss通常默认使用的端口为：8080、80

23、09、443。解决办法（任选其一）：1、命令行中使用netstat ano查看占用以上端口的进程，将其关闭。2、修改jboss默认端口号。具体方法参考下面一个FAQ。10:20:09,937 ERROR JettyService multiple exceptions.10:20:09,937 ERROR JettyService exception 2. Jboss默认端口号如何修改Jboss默认端口号？1）停止TopDesk Manager服务。2）进入TopDesk安装目录下Tsmapp-serverserverserverdefaultdeploy目录。3）找到jetty-4）用win

24、rar打开jetty-5）进入其中的META-INF目录，找到jboss-service.xml文件。6）将jboss-service.xml文件解压后，用记事本等文本编辑工具打开。7）定位到文件的82行，将default=”8080”修改为其他端口，如default=”8000”。8）保存jboss-service.xml，并将此文件重新添加到jetty-9）重新启动TopDesk服务。Jboss其他默认端口（如8009、443等）也可以在此配置文件中进行修改。3. 检测不到补丁如何排查Agent检测不到补丁的问题？问题现象：在下发了补丁自动下发策略和补丁服务器地址后，在系统监控->补

25、丁信息中为空。排查步骤： 首先确认三个问题：1)补丁自动下发策略是否已经下发给agent了。2)系统维护->补丁更新处，是否已经编辑的补丁服务器地址及补丁数据库的用户名密码并且已经进行了下发。3)Agent在接收到补丁服务器地址后（托盘处会弹出相关提示），是否重启过。如果以上问题都已确认，需要检查Agent端：1)查看Agent端注册表：HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate的键值是否是补丁服务器的IP地址。2)检查Agent安装目录：Agentplugins中是否有补丁插件TopDesk_Agent

26、Plug_PatchManager.dll。Agentconfig下面是否有补丁策略PatchConfig.xml。3)检查补丁检测结果：打开Agent目录中的notinstalledpatch.xml文件如果文件不为空，里面的DownloadUrl为补丁服务器的地址，则需要在查看同目录下的plugin.log，是否有“发送补丁信息成功”。若没有该字样，说明agent已经检测到了补丁，但由于插件应用策略的问题没有将补丁信息上报给manager；若有该字样，说明agent端已经检测到了补丁并且已经上报，但由于通讯问题或manager的处理问题没有最终成功，这需要再进一步看manager的后台日志

27、。如果文件为空，说明agent在检测补丁的时候有问题，可以在agent本机手工执行检测补丁：将C:WINDOWSTOPSECTopDesk2.0Agent目录下的tools拷到磁盘根目录下（为了解除agent自保护的限制），打开dos窗口，进入到tools目录下，键入命令行：mbsacli /catalog awsusscan.cab /xmlout >test.xml，若报错则会显示出错误码，可以用google查询一下错误码代表的具体报错原因，或将此错误码发给研发人员进行查询。4. 看不到登录界面打开TD网址后看不到登录界面？登录界面使用了Flash，需要安装Flash插件。如果未安装

28、Flash插件，则会出现看不到登录界面的现象。 5. 远程下载Agent如何远程下载Agent进行安装？远程下载Agent的前提条件：1）将Agent安装包命名为setup.exe（文件名及后缀全部为小写）2）将Agent安装包复制到TD服务器的安装目录中，具体路径为：D:TopDeskTsmapp-serverserverserverdefaultdeploytsm-4topdesk.earTopDeskWEB.war管理员做完以上步骤后，客户端即可从远程下载Agent进行安装。1）无图形界面，在IE中输入此地址后直接开始下载。2）有图形界面，在IE中输入此地址后打开一个下载界面，用户点击下

29、载按钮后开始下载。下载界面：6. 看不到软硬件信息为何看不到终端的软硬件信息？如果可以正常看到终端的其他信息，如端口、进程等，却看不到终端的软硬件信息，是因为终端安装完Agent后没有重启机器。软硬件信息首次上报到服务器，是终端第一次重启后才执行。因此需要安装完Agent后重启机器。7. 看不到系统性能信息现象：系统性能界面没有刷新，不能看到终端的系统性能信息数据。原因：没有对IE的临时文件进行设置。解决方法：针对IE6的设置1）打开“Internet属性”对话框，选择“Internet 临时文件”的“设置”界面2）选中“每次访问此页时检查”3）关闭IE，重新打开页面后即可正常看到性能信息。针对IE7的设置1） 打开“Internet 选项”对话框，选择“浏览历史记录”的“设置”对话框。2） 选中“每次访问网页时”选项。3）关闭IE，重新打开页面后即可正常看到性能信息。8. Agent不在线Agent机器开着但从控制台界面上看Agent不在线？排查解决办法：1） 确保服务器连接agent所需端口未被占用。查看Agent的端口是否正常打开，确保这些端口的通信没有被终端上的主机防火墙拦截。使用程序端口说明tdagtsvc.exe15130Agent主程序tdsvcm.exe15131Agent监控程序（看护tdagtsvc.exe,