中软统一终端安全管理平台v9.0安装手册

中软统一终端安全管理系统9.0软件与技术服务自主研发的受法律保护的商业软件。遵律是共同的责任，任何人人，不得以或方法邮箱 理涉及多种基本的安全服务，是一个的、多方位、多层次的系统问题。为此，中软公司在复用统体系结构，基于局2011标准，自主研发了中软统一终端安全管理系统9.0。9.0安装方法，为用户在安装本系统时提供参考，本书内容全面，深入浅出，适合安装、使用中软统一终端安全管理系统的用户读者；检估中软统一终端安全管理系统的技术和，以及希望使用中软统一终端安全管理系统协助对9.09.0.XX.XX版本的安装使用，随相应版本的产20163第一章系统概 .-1-系统体系结构......................................................................................................................-2推荐硬件需求......................................................................................................................-3推荐软件需求......................................................................................................................-3第三 服务器安装与卸载..............................................................................................................-5-安装前准备5----- 环境下服务器的安装与缷载-42 登录操作系 ..42 安装达梦数据 ..43 服务器的安 ..46 服务器的卸 ..49 WINDOWS服务器迁移到LINUX服务器-50第四 控制台安装与卸载............................................................................................................-52 -52 控制台的安 ..52 启动控制台系 ..57 控制台的卸 ..59 控制台的升 ..61 环境下控制台的安装与卸载-62 控制台的安 ..62 控制台的卸 ..63第五 客户端安装与卸载............................................................................................................-65安装前的准备....................................................................................................................-65上传产品安装包65级联产品包的推送-设置自动部署范围-- .-70 离线安装-域用户静默安装74用户安装-客户端的升级....................................................................................................................-79自动升级---客户端的卸载....................................................................................................................-84卸 .-84 .-85子产品的卸载-8789898994第一 系统概目前，计算机和计算机网络已经成为企业、和其它各种组织的重要信息载体和传输。全问题。、检测、内以及其它针对外部网络的控制系统，无法解决企业内部的安全问题。据IDC报告显示超过85%的来自于，其危害程度更是远远超过所造成的损失，而这些绝大部分是各种和的操作行为所造成的。因为用户安全意识的薄弱、企业的安全措施、有效的终端安全防护的工具缺失等众多因素，导致企业的终端难于管理，可以轻松地将计算机中的信息通过移动设备、打印、刻录、网络等途径出去，而且不会留下任何痕迹，企业内网的安全合规性受到了中软统一终端安全管理系统9.0（简称UEM9.0。PDR响应”工作流程循环检测，同时结合规定的“分级防护”指导方针，采用多种安全技术实现了它充分利用、认证、控制和审计等技术，对涉密信息、重要业务数据和技术专利等敏感信息的、和处理过程，实施安全保护；最大限度地防止敏感信息泄漏、被破坏和外传，并完整记录涉及敏感信息的操作日志，以便日后审计或相关的泄密责任。中软安全管理系统V9.0从安全体系架构和网络管理层面上，实现了安全的完美统一，有效降低了 系统体系结

第二 体系结构和运行环级联，上下级服务器之间采用HTTPS协议进行。体系结构如图1所示。图1客户端：现客户端安全策略管理。一旦发现用户的行为或计算机的安全状态异常，系统及时向服务主111服务CPUP43.0GHz或更高RAM2GBHDisk网卡100M及以CPUP43.0GHz或更高RAM4GBHDisk网卡CPUXeon双核2.0GHz或更高RAM4GBHDisk网卡CPUXeon四核3.0GHz或更高RAM8GBSCSIDisk500G10000转以网卡控制CPUP42.0RAM512MBHDiskCPUP42.0RAM1GBHDiskCPUP43.0RAM1GBHDiskCPUP43.0RAM1GBHDisk客户CPUP42.0/RAM512MB/HDiskCPUP42.0RAM512MBHdisk120GB（随服务器变化

表格1系统推荐硬件需操作系统WindowsServer200332位/64SQLServerSQLServer2005企业版SQLServer2008企业版SQLServer2012企业版本WindowsServer2008WindowsServer统WindowsXPProfessional(ServicePack3)WindowsServer2003(ServicePack2)//Windows中标麒麟Linux操作系统(32/64位WindowsXPProfessionalServicePack332/64位)WindowsServer2003(ServicePack2)Windows7（UltimateEnterpriseBusiness）(32/64位)Windows8.X(专业版/企业版)(32/64位)Windows表格2提示：安全管理系统服务器，包括服务器软件和支持数据库。建议在主机上安装安全管第三 服务器安装与卸安全管理系统服务器安装指南主要介绍数据库SQLServer20005的安装和服务器软件的安装。 电脑环境的版本，如图3-1所示。3-1SQLServer2005装界SQLServe2005，则点击“服务器组件、工具、联机丛3-2所示。3-2SQLServer2005图3-3SQLServer2005用 装”按钮，开始安装SQLServer所需要的支持组件，如图3-4所示。3-4SQLServer20053-5辅助组件安装完3-6SQLServer向3-7图图3-8输 3-9选择要安装的组3-10选择要安装的组件（高级选项3-11选择实例名3-12选择服务帐再打开数据库的时候就能直接打开，不要输入数据库。Server模式：是指在打开进入数据库的图3-13选 3-14设置排序规3-15报表服务器安装选3-16错误和使用情况报告设置3-17准备安装界3-18安装过程3-19组件安装完3-20安装成添加IISIIS（InternetInformationServices）作为流行的Web服务器之一，提供了强大步骤1 3-21 步骤 （IIS 步骤 步骤 3-24完成Windows件安信息服务(Windows2003补丁：KB907265（安装时自动检测，如已安装不再安装）3．dotnetfx_.NETFrameworkVersion2.0（安装时自动检测，如已安装不再安装）步骤1 “WSrrInsa.ex，图标开始安装，如图3-25所示。3-25服务器安装程步骤 3-26安装向步骤3 击“下一步”，如图3-27所示。图3-27安全管理系统协步骤4 ，击“下一步”，如图3-28所示。3-28输入步骤5 3-29选择安装类步骤6 “C:\SS\UEM 中不能包含空格、特殊字符。单击“下一步”继续安装，如图3-30所示。3-30选择目的地位步骤 3-31选择数据库类步骤8 步，如图3-32所示。3-32选择SQLServer验步骤 3-33安装向导设置完10正在进行WBServer3-343-34正在进行WBServer步骤11当系统检测到没有安装 动安装，如图3-35所示。 .NETFramework2.0安装向导3-36所示。图3-36用户协步骤13正在安 图3-37正在安装.NETFramework步骤14已成功安装 .NETFrameworkVersion2.0后，单击“完成”按钮，继续下面安装，如图3-示。图3-38成功安 .NETFramework15Windows2003KB9072653-39所示。仔细阅读3-39软件更新安装向3-40成功安装补丁步骤17下面开始“Microsotf报表查看器可再组件2005”的安装，单击“下一步”进行，如图3-41所示。3-41安装，如图3-42所示。图3-42用户协3-43成功安装报表查看3-443-45选择安装模图3-46补丁服务 步骤23选择更新源，指定客户端从服务器获得文件更新的位置。本地更新路径默认为“E：\WSUS3-47所示。 如图3-48所示。图3-48选择数据 3-49选择补丁服务3-50准备安装补丁服务3-51正在补丁服务程3-52补丁服务器安装完步骤29在安装安全管理系统服务器的最后阶段，会出现创建界面，如图3-53所示。输入提示：默认保存在C:\CSS\UEM\WBServer\Conf\wbserver.cer，该是控制台、客户3-53创建安全管理系统3-54License步骤31当弹出服务信息初始化界面时，输入本服务器的名称、单位、单位名称等信息，3-55服务器信息初始步骤 图3-56管理工

步骤1 步骤 3-59正在卸载软步骤3 3-60卸载完步骤 “WSrrIa.ee3-61选择修复安步骤2 图3-62服务器完 WindowsServerUpdate步骤1 WindowsServerUpdateServices3.0，进入UpdateServices界面，如图3-63所示。 UpdateServices界步骤2 Update进行同步，如图3-64所示。图3-64更新源和服务步骤 3-65产品和分步骤4 更新语言种类，如图3-66、3-67所示。3-66选择更新文3-67选择更新语言的种步骤 InternetInternetInternet网1、确保导出补丁服务器的安装文件保存位置和更新的语言配置与导入补丁服务器的相关配置1、进入补丁服务器的管理控制台，点击左侧面板“选项”按钮，然后点击“更新文件和、、1、在补丁服务器上，点击“开始”→“运行3、wsus，其中、、6、、1、、4、选择对应的恢复路径， 默认的安装路径，其中5、2、在命令行中，进入WSUSutil.exe文件所在的路径。（…\ProgramServices\Tools下3、运行如下操作：wsusutil.exe 其中“packagename”为备4、例如:wsusutil.exe 5、拷贝备份文件到内网补丁服务器。2、在命令行中，进入WSUSutil.exe文件所在的路径。（通常在…\ProgramFiles\UpdateServices\Tools下。3、运行如下操作：wsusutil.exe 其中“packagename”和4、例如 环境下服务器的安装与缷载 UEM服务器权限不安装达梦数据库od755EnterExtractinstallfiles的字符时，就对了。稍等片刻，弹出安装达梦数据库的窗口，如图3-70所示。 3-71创建达梦数据库实3-72数据库标3-73初始化参达梦数据库自身有最大并发的限制。里的最大并发数限制和配置文件里的MAX_SESSION_COUNT值，这两个值取最小值为实际并发限制。如果里并发数大于100，建改，修改完需要重启DM数据库，如图3-74所示。 Linux64systemcenterhttpd服务。在终端servicesystemcenterstopchkconfigsystemcenteroffservicehttpdstopchkconfighttpdofflinux1024wbserver服务（或者有时是DM数据库自己）会报错toomanyopenfile，此时对应服务基本处于状态，需要重修改 下面开始安装UEM服务器，在终端执行命令“Java-jar <uem服务器安装包路径>如图3-75所示。3-75安装UEM务3-76输入数据3-77建数据3-78导入License

3-80装完成提示信3-81服务器卸载菜单3-82输入卸载命windows服务器迁移到linux服务器，需要迁移到1、在windows服务器与linux服务器版本相同情况下，根据需要通过备份恢复工具，备份windows服务器的/中等/全部规模的数据，然后在linux服务器上导入。具体导出操作可以参考提示：windowslinuxwindows服务器版本较低时，先使用备份恢复工具，备份windows服务器当前版本数据库，得到一份旧版本的备份数据（防止windows服务器升级失败），然后将windows服务器升级到与Linux服务器同一版本。windowslinuxlinux服务器升级到与2、由于的配置不太一样，需要把原服务器库WBServer/conf/server.keystore文件到linux服务器wbserver/conf，并通过wbserver/jdk/bin/keytool工具导出文件wbserver.cer。<Connectorport="8443"protocol="HTTP/1.1"SSLEnabled="true"<Connectorport="8443"protocol="HTTP/1.1"SSLEnabled="true"acceptCount="500"connectionTimeout="20000"scheme="https"第四章io环境下控制台的安装与卸载步骤 将安全管理系统的安装光盘要安装控制台计算机的光驱，在安装光盘的4-1安全管理系统控制台安装程4-2欢迎使用中软安全管理系统控制步骤2 如图4-3所示。图4-3用户证协步骤 4-4步骤 4-5步骤5 可以单击“更改”按钮，在“选择文件夹”窗口中，选择安装路径，如图4-7所示。4-6安装文件4-7选择文件步骤6 如果在步骤4中，选择的是“定制”安装模式，还会出现选择功能界面，用户根据需要选择组件安装，如图4-8所示。如果客户端是KEY用户，这里必须选择相应的KEY驱动。4-8选择功能界步骤 4-9步骤8 4-10正在安装文步骤9 4-11安装完桌面上也出现WBConsole图标，请查看！ 图标，如图4-13所示。也可依次单击控制台的“开始→程序→CSS→WBConsole”，弹出登录4-13控制台桌面图和，然后单击“确定”按钮，进入安全管理系统控制台，如图4-14所示。4-14控制台登录界注意系统内置管理用户有两个：管理员admin,a；安全官security，a。KEY用户登台，选择“认证KEY”登录方式，如图4-15所示。选择KEY设备类型和认证KEY，输入KEY，单击“确定”按扭，登录控制台。4-15KEY户登1→→添加或4-16添加/删除程序界4-17删除安全管理系统控制台步骤 4-18 34-194-19卸载完步骤 Wea 步骤2 图4-21控制台完 环境下控制台的安装与卸载安装UEM控制台在终端执行命令“Java- <uem控制台安装包路径>如图4-4-22输入控制台安装命4-23选择控制台安装路4-24安装完成提示信4-25控制台卸载菜单4-26输入卸载命第五 客户端安装与卸5-1所示。没有上传产品包时，产品包管理界面为空。5-1产品包管理初始界包，如图5-2所示。5-3产品包列表界安装，如图5-4所示。5-4设置产品包安装升登录服务器控制台，上传客户端产品。上传成功后，展示在产品包列表。选择某些产如图5-5所示。提示：如果不选择产品包，直接单击“级联推送升级”按钮，是向下级服务器推送产品列5-5级推推送升级服务器有新的产品更新包，提示下级服务器是否需要更新的产品包，如图5-6所示。图5-6获取服务器升级设置为全部，或者按组织进行选择，也可按IP地址段进行配置。5-75-8提示：非KEY用户启用自动时，服务器端参数配置中的“客户端模式”须设置为“自由模KEY用户一定要选择“终端安全登录与文件保护系统”子产品，设置登录扩展方式。当“部署参数配置”中同时设置“用户”和“登录扩展”时，登录扩展优先。KEY用户以登录扩展方式，非KEY用户按设置的方式自动。

5-8部署参数配置界5-9所示。图5-9客户端模KEY用户默认为合法用户：选择“KEY用户默认为合法用户”时，不必在控制台导入KEY用户信息，就可自动。如果不选择“KEY用户默认为合法用户”时，需要事先在控制台成功导入KEY用户信息，系统将导入KEY用户作为合法用户，这样才能自动。择域用户静默安装方式。然后，以域帐户登录域，安装客户端完成后自动。提示：客户端支持多种安装模式，一般用户通过MSI安装助手安装，特定用户以制作安装包方式KEYKEY用5.2.1安图5-10安装助“安装助手.msi”是客户端安装程序包，它随着服务器的安装自动生成，随着服务器的升5-11客户端安装向导界5-12准备安5-13正在运行安装程5-14安装完单击“制作安装包”按钮，进入制作安装包界面，如图5-15所示。时，自动上传到服务器一份。客户端用户可以登录http://服务器IP地址:8080/wbconsole，5-15制作安装包基本信息界面在“打包参数”选择页面，设置服务器信息、安装模式、用户方式和登录扩展KEY信息，如图5-16所示。提示：硬KEY信息，或者软KEY信息。（4）这里的打包参数设置是的，只对当前制作的包有效。（5）选择“系统用户注销时自动清理信息”，下次登录WIN用户可以用各自UEM账号5-16图5-17并同步域帐 提示：出框，让用户输入PIN码等。|*@& KEY用户安一般KEY用户的安装5-19KEY用户默认为合法用在“部署参数配置”→“登录扩展”中选KEY类型，是否允许KEY用户Windwos户绑定。如果允许绑定，客户端安装完成后，在已且已绑定的情况下，再次登录时输入PIN码即可。另外，不同类型的KEY，采用的用户名类型不同，一般取默认的用户名作为KE