LANdeskESA操作配置文档

终端安全审计（ESA）操作配置文档

目录1. ESA入门（EndpointSecurityAudit） 42. 系统配置（Systemconfiguration） 4服务器的最低建议配置 4客户端的最低建议配置 53. 操作指南（OperationsGuide） 53.1终端审计管理 5文件打印审计 8活动窗口审计 9剪切板审计 11屏幕录像审计 13文件操作审计 17系统变更审计 18系统使用审计 19应用程序审计 21存储设备审计 233.2日志警告管理 25日志警告管理 253.3支持平台 26

ESA入门（EndpointSecurityAudit）工具栏日志警告管理：给系统管理员提供需要的邮件通知数据库备份管理：建立过去数据的安全备份机制终端审计管理：提供终端审计管理的管理界面，查看设备的审计日志终端管理界面提供直观的客户端管理界面提供给管理员查看的日志查询界面系统配置（Systemconfiguration）服务器的最低建议配置操作系统：WindowsServer2008R2数据库：SQLServer2008R2.NETFramework4.下载地址/en-us/download/details.aspx?id=17718IIS&WebDAV的安装配置指定防火墙或其他安全软件设置的允许ESAHTTP端口访问CPU：IntelCorei3内存：4G硬盘：可用空间500G操作系统：WindowsServer2008数据库：MicrosoftSQLServer2008Standard客户端的最低建议配置CPU：IntelCeleron内存：512M硬盘：可用空间20G操作指南（OperationsGuide）3.1终端审计管理菜单栏新建组（审计设备分组）可以根据客户的组织结构来管理审计的信息右击活动客户端>>新建组然后把属于财务部的设备拖到相应的组重命名（组名称的重命名）删除组全局配置核心服务器连接配置连接超时时间：用以判断是否与核心服务器断开连接连接失败重试间隔：与核心服务器断开连接后，系统将依此间隔时间向服务器尝试连接客户端轮询周期：客户端与核心服务器交互事件的间隔时间文件服务器连接配置连接超时时间：用以判断是否与文件服务器连接失败连接失败重试间隔：与文件服务器断开连接后，系统将依此间隔时间向服务器尝试连接客户端轮询周期：客户端在空闲时，与文件服务器的轮询周期组配置（模块审计配置）：主要是针对每台审计设备进行每个模块的审计配置可以针对所有设备进行审计模块配置，也可以针对不同的组统一配置日志保留时间：客户端未上传的日志在本地保存的时间上传时间间隔：客户端两次日志上传事件的间隔时间当磁盘空间使用超过设定的指定值时，系统停止所有审计日志功能首选文件服务器：若有多台文件服务器，我们可以设置首选上传文件服务器，缓解同台服务器压力生成客户端：生成客户端的安装程序和卸载程序查看所有日志：查看所有审计模块的日志终端分组窗口所有客户端列出所有安装ISMS客户端的设备活动客户端列出所有目前正在使用的客户端还可以对所有活动客户端进行自定义分组，自定义各个组策略非活动客户端列出所有卸载过的或者停用的客户端终端状态管理窗口列出所有终端的详细信息（电脑名称、IP地址，最近访问时间，以及各个模块的启动状态）可以针对不同设备，做不同模块的安全审计文件打印审计打印审计配置上传监听数据限制设置（两个条件满足其一就会上传）：时间限制：打印模块审计日志的上传时间间隔大小限制：打印模块审计日志的上传大小限制打印审计功能功能详细信息审计详细文件打印安全审计记录当前使用人的登陆账号、电脑名称、IP地址、打印机名称；跟踪记录打印机打印数量和纸张/耗材使用量。内容、打印机详细、打印机IP、页面计数、域名、登陆名、机器IP地址打印审计日志导出CSV格式的打印审计日志活动窗口审计活动窗口配置监听进程：配置需要审计的进程列表（为空监听所有进程）非监听进程：配置不需要审计的进程列表（如果不为空，那么该列表的优先级高于监听进程列表）监听对话框标题上传限制（两个条件满足其一就会上传）上传监听数据限制，时间限制：两次审计日志的时间间隔上传监听数据限制，大小限制：审计文件的大小限制活动窗口功能功能详细信息审计信息活动窗口安全审计记录用户使用的活动窗口的标题，活动窗口的进程名称、登陆用户。记录用户打游戏、上网炒股、聊天、使用非法软件等详细信息从而警告、规范员工行为操作；活动窗口日志导出CSV格式的活动窗口日志剪切板审计剪切板日志配置监听数据类型：监听文本信息：监听剪切板文本的内容信息监听文件信息：监听剪切板的文件名称上传监听数据限制（两个条件满足其一就会上传）时间限制：上传剪切板日志的时间间隔大小限制：上传剪切板日志的大小限制剪切板审计功能功能详细信息审计信息剪切板安全审计记录用户对文本的剪切，复制等操作动作记录用户对文档等相关文件的剪切、复制操作动作内容、类型、时间、域名、登录名、电脑名称、IP地址、服务器时间剪切板审计日志导出CSV格式的剪切板审计日志屏幕录像审计屏幕录像配置截屏时间段：根据您的需求设置需要截屏的时间段监听进程列表：添加需要进行截图监听的进程截屏间隔：两次截图时间间隔只截取活动窗口：只对监听进程的窗口做截图，不截取全桌面屏保时不截屏：当电脑进入屏保时，不进行截图上传监听数据限制设置（两个条件满足其一就会上传）：时间限制：两次上传数据的时间间隔大小限制：上传文件的大小限制屏幕录像审计功能功能详细信息审计信息屏幕录像安全审计支持基于特定时间和特定应用程序的屏幕监控；支持图片内容搜索、高比例压缩占用磁盘空间少；支持屏幕连续播放、图片文件导出等功能。录像时间、机器名称、IP地址屏幕录像审计日志批量选择你需要在某个时间段查看的图片>>右击添加到缩略图选择某台审计设备生成的缩略图点击播放，连续播放截屏图片导出png格式的屏幕录像图片文件操作审计文件操作审计配置设置监听文件后缀：.txt/.exe/.doc监听目录：指定客户端监听文件审计日志的目录例如：C:\farris非监听目录：不对其监听的文件目录上传限制（两个条件满足其一就会上传）时间限制：上传文件操作日志的时间间隔大小限制：上传文件操作日志的大小限制文件操作审计功能功能详细信息审计信息文件操作安全审计记录对文档操作的用户名、文档名、时间、对该文档进行的操作包括新建、删除、拷贝、粘贴、修改（内容和文件属性修改等）、重命名；提供文档操作配置列表（对列表内后缀名称符合的文档进行审计）。记录操作文档的路径、操作文档的名称、操作动作、操作时间、机器名称、域名、登陆名文件操作审计日志导出CSV格式的文件操作日志系统变更审计系统变更审计功能功能详细信息审计信息系统安全使用审计记录用户在内网以及外网的使用所有的IP地址；变更时间、登陆名称、电脑名称、Ip地址、OS版本、域名、时区系统变更审计日志导出CSV格式的系统变更日志系统使用审计系统使用审计功能功能详细信息审计信息系统使用状态审计记录用户的开机、关机时间。记录用户的锁屏时间、解锁时间。记录用户的注销时间。内容（开机、关机）、时间、域名、登陆名称、电脑名称、IP地址、服务器地址系统使用审计日志导出CSV格式的系统使用日志应用程序审计应用程序配置监听进程：设置监听活动窗口的进程非监听进程：提供除去系统的默认启动的进程，也可以自己增加非监听的进程监听服务进程：提供是否监听服务进程上传限制（两个条件满足其一就会上传）上传监听数据限制设置：时间限制上传监听数据限制设置：大小设置应用程序操作审计功能功能详细信息记录详细应用程序安全审计记录用户使用应用软件的使用人、使用机器、使用次数、使用时长、使用进程。产品名称、产品版本、进程名称、运行时间、CPU使用时间、开始时间、结束时间应用程序操作审计日志导出CSV格式的应用程序日志存储设备审计存储设备审计配置存储设备审计功能功能详细信息审计信息存储设备安全审计记录存储设备的使用类型、使用时间内容、操作、磁盘驱动类型、标题、时间、域名、登录名、电脑名称、IP地址存储设备审计日志导出CSV格式的存储设备审计日志3.2日志警告管理日志警告管理联系人（右击新建联系人）邮件模板右击新建邮件模板制定不同模板的邮件审计模板警告：通过建立警告规则，当客户端有日志上传到服务器的时候，某一条记录符合我们的警告条件，那么会通过发送邮件的方式或者该条记录变色的方式来提醒管理员图：添加警告条件警告的方式有以下两种邮件通知（邮件标题、邮件内容完全可以自己定义）触发警告后相应模块的Log日志背景颜色变更3.3支持平台目前客户端支持的平台：Win7-32-zhWi