桌面管理产品手册范本模板

NetStrong使用说明书网强信息技术（上海）-6-30 版权申明法律申明 本文档中信息如有更改，恕不另行通知。©（）NetStrongInformationTechnology(Shanghai)CorporationLimited。版权全部，翻印必究。未经NetStrongInformationTechnology(Shanghai)CorporationLimited书面许可，除非版权法许可，不准以任何形式对本文档进行复制、改编或翻译。网强®信息技术（上海）对本手册不作任何担保 包含但不限于适销性和特定用途适用性隐含担保。网强®信息技术（上海）对本手册中包含错误和和其功效或使用相关直接、间接、特殊、偶发或继发性损失不负任何责任。保修网强®信息技术（上海）承诺若是在保修期间（自您收到软件之日起三十天内）装载软件介质确实出现质量问题，网强®信息技术（上海）将视情况而定，绝对负责更换相同类型软件介质产品。网强®信息技术（上海）确保，更换软件介质，其品质完全相同。能够从当地销售和服务机构索取适适用于您所购置NetStrong网强®产品及更换部件特定保修条款。有限权利许可和许可协议一起提供软件是网强®信息技术（上海）或其授权者财产，受到版权法保护。网强®(信息技术（上海）拥有该软件最终全部权，您只要接收本许可协议，即可含有一定使用权利。除非本许可证协议补充协议有所修改，不然您使用本软件权利和义务仅限以下：若在装载本软件介质中只包含一个版本，则只能安装一套软件，若介质中包含该软件多个版本，则只能安装和使用其中一个版本副本。对软件介质中装载文件进行备份，或复制到计算机硬盘中而将原始文件作为档案进行保留。若您不保留该软件副本，并接收被转让人同意遵守本许可协议条件，在您向网强®信息技术（上海）发出书面通知以后，得到网强®信息技术（上海）官方许可，能够将该软件介质永久性转让给个人或企业实体。不能够复制复制本软件附带相关文档不能够再次授权、出租、或出借本软件任何部分不能够经过反向工程、反编译、反汇编、修改、翻译和其它方法来试图获取该软件源代码，或用该软件进行派生工作。商标许可NetStrong，网强®是在中国注册商标由NetStrongInformationTechnology(Shanghai)CorporationLimited独家授权。本文档中使用商标：Intel和Pentium是IntelCorporation注册商标；Microsoft、Windows、WindowsNT是MicrosoftCorporation注册商标。本文档中述及其它商标和产品名称是指拥有对应商标和产品名称企业或其制造产品，NetStrongInformationTechnology(Shanghai)CorporationLimited对其它企业商标和产品名称不拥有任何专利权。注意：本操作手册需要统一制作和印刷，软件中包含一些功效模块需要另外购置，所以不能确保所安装软件产品中含有本操作手册中所描述一些功效模块。网强®信息技术（上海）仅许可您在接收许可协议中各项条款情况下，才能够使用本软件产品。请仔细阅读各项条款。目录第一章 服务器布署 1 服务器要求 1 服务器硬件要求 1 服务器软件要求 1 服务器软件配置 1 安装IIS和SMTP 1 Office组件配置 3 服务器安装 4第二章 服务器基础配置 5 基础配置 5 创建域并添加域管理范围 5 添加组织结构 6 更新注册程序和打包注册程序 6第三章 用户端布署 9 用户端布署 9 网页注册方法 9 分发用户端注册程序 11第四章 功效点说明 13 系统分析 13 事件统计 13 资源统计 13 注册统计 14 设备统计 15 系统管理 16 全局配置 16 系统配置 16 扫描器管理 16 注册管理 17 注册程序管理 17 终端升级控制 17 设备注册控制 17 注册终端卸载 18 未注册阻断列表 18 系统用户 19 用户管理 19 系统权限 20 登录用户 21 我用户 21 访问权限 21 数据库管理 21 系统日志 22 登陆日志 22 操作日志 22 资产管理 23 设备管理 23 注册设备管理 23 分组管理 26 未注册设备管理 27 设备开关机 27 资产统计 27 软件资产分类 28 硬件资产 28 软件资产 28 IP资源统计 29 硬件变更 29 软件变更 30 策略介绍 31 什么是策略 31 策略由哪几部分组成 31 策略种类 31 策略实施方法 31 策略怎么配置 31 策略创建 31 基础策略 31 高级选项 31 分配对象 32 策略日志 32 接入控制 33 控制策略 33 非法外联控制 33 IEEE802.1x认证 35 日志查询 35 非法外联控制日志 35 终端安全 36 系统知识库 36 知识库采集配置 36 文件知识库 36 终端服务 36 终端点对点服务 36 远程帮助 38 文件分发 40 软件布署和安装检验 41 安全策略 41 进程实施控制 41 服务实施控制 42 外设接口控制 42 网络接口控制 43 防火墙策略 43 用户账号策略 43 Arp防护 44 共享管理 45 事件日志 45 文件分发日志 45 软件布署日志 45 进程实施控制日志 45 服务实施控制日志 46 外接接口控制日志 46 网络接口控制日志 46 用户帐号事件日志 47 共享事件查询日志 47 用户行为 48 配置管理 48 URL仓库 48 行为策略 48 上网行为审计 48 上网行为控制 49 FTP行为审计 50 FTP行为控制 51 当地文件审计 51 剪贴板审计 52 光驱使用控制 52 邮件行为审计 52 邮件行为控制 53 访问共享审计 54 即时通讯审计 54 用户行为日志 55 上网行为审计日志 55 上网行为控制日志 55 FTP行为审计日志 55 FTP行为控制日志 55 当地文件审计日志 55 剪贴板审计日志 55 光驱使用统计日志 55 邮件行为审计日志 55 邮件行为控制日志 56 共享行为审计日志 56 即时通讯审计日志 56 运维管理 57 运维策略 57 网络数据包捕捉 57 运维查询 58 网络数据包统计分析 58 网络数据包事件日志 58 移动介质 60 安全移动介质制作 60 安全介质标签管理使用说明 62 什么是“标签” 62 怎么管理标签 62 为安全移动介质打上标签 63 移动介质管理 63 安全移动介质使用管理 63 移动介质策略管理 64 操作日志 65 安全介质操作日志 65 安全介质使用日志 66 一般介质使用日志 66 安全介质变更日志 66 安全移动介质注销和重新注册 67 用户端安全浏览器UDE使用说明 67 安全移动介质在内网中使用 67 安全移动介质在外网中使用 69 补丁分发 70 分发配置 70 补丁列表 70 补丁策略 71 补丁测试策略 71 补丁安装策略 72 补丁卸载策略 72 统计分析 72 补丁策略分析 72 全网补丁安全分析 73 终端补丁统计 73 补丁安装结果分析 73 补丁分发日志统计 74 补丁卸载日志统计 74 级联管理 75 级联管理 75 级联配置 75 级联审核 76 管理中心拓扑 76 管理中心日志 77 安全策略 77 行为策略 77 站点策略 77 级联订阅 78 订阅策略 78 级联数据 78 级联设备 78 级联数据日志 79 级联数据分析 79 系统报表 79 报表管理 79 报表管理 79 报表策略 80 数据统计分析 80 图形统计报表 81 对比分析报表 82 临时报表 82 报表日志 82 报表日志 82服务器布署服务器要求服务器硬件要求CPU推荐四核1.6（及其以上） 最低双核2.0内存推荐4G（及其以上） 最低硬盘推荐500G（及其以上） 最小网卡推荐1000M网卡（及其以上） 最低100M服务器软件要求WindowsServer系统（最少安装SP1补丁，提议安装SP2补丁）MicrosoftSQLServer汉字版（标准版、企业版）及其以上版本（不支持MSSQLServer数据库）MicrosoftOffice及其以上版本（最少安装Word和Excel）IIS6.0（需要安装SMTP服务）MicrosoftFramework.Net2.0服务器软件配置安装IIS和SMTP首先在服务器光驱中放入WindowsServer安装光盘。依次打开【控制面板–添加或删除程序–添加/删除Windows组件】，并找到应用“应用程序服务器”，点击进入以后，找到“Internet信使服务（IIS）”，在其前边点上对勾，再从“Internet信使服务（IIS）”点击进去，找到“SMTPService”并在其前边点上对勾。然后依次点击“确定”，假如弹出插入光盘提醒，请先查对光盘是否正确，光驱是否能够正常读取光盘，和Windows提醒安装位置是否正确，假如安装位置不正确，需要用户手工输入正确文件地址。选择IIS部分操作截图以下：对SMTP服务中继服务进行配置，以下图所表示：安装完成IIS以后，需要确保IIS上“Web服务扩展”中Asp2.0项启用（因为IIS和MicrosoftFramework.Net2.0安装次序可能会造成“Web服务扩展”中Asp.Net2.0组件被禁用情况，Office组件配置依次打开【控制面板–管理工具–组件服务】，并在【组件服务】中依次找到【组建服务–计算机–我计算机–DCOM配置】，在【DCOM配置】中找到【MicrosoftExcel应用程序】和【MicrosoftWord文档】项，对其“属性”中“安全”选项卡中【开启和激活权限】、【访问权限】、【配置权限】三项中分别添加“NETWORKSERVICE”用户，并对该用户给予全部权限，以下图所表示：服务器安装双击setup.exe开启安装程序，依次选择MSSQLServer数据库服务器，并输入管理员用户名和密码，选择安装目录，进行安装即可。服务器基础配置在使用系统之前需要对系统进行基础配置，配置需要经过IE浏览器（IE6、IE7、IE8）或IE内核浏览器进行配置，并使IE浏览器打开JavaScript脚本支持（不支持：MozillaFirefox、NetscapeNavigator、Opera、谷歌Chrome等非IE内核浏览器）。使用浏览器登录到管理平台，需要注意区分主机名和虚拟目录名，登录账号和密码为安装程序中设置用户名和密码。尤其注意：第一次登录时候，需要选择本套系统工作模式：【集权模式】和【三权分离】，以下图所表示：一旦选择了工作模式，在以后使用中即无法修改其工作模式。请依据页面提醒信息，选择适合工作模式。基础配置创建域并添加域管理范围 “域”是用来对内网中设备以IP为依据，进行管理集合。首先需要添加一个“域”，域名称能够是任意，便于管理员管理即可，“域”管理范围有以下三种【管理IP】、【扫描IP】、【保留IP】。【管理IP】：一个IP范围或一个IP地址，本管理IP范围内计算机能够在服务器上进行注册并接收管理，在该范围内未注册设备会被阻断网络通讯。【扫描IP】：一个IP范围或一个IP地址，本扫描IP范围内计算机能够在服务器上进行注册并接收管理，在改范围内未注册设备不会被阻断网络通讯。【保留IP】：一个IP范围或一个IP地址，本保留IP范围内计算机无法在服务器上进行注册也无法接收管理。以下图所表示：添加组织结构组织结构是便于管理员对本系统所管辖范围内计算机从逻辑上进行区分，提议该逻辑采取行政等级划分。更新注册程序和打包注册程序 完成了对域配置和组织结构配置以后，就能够对用户端注册程序进行配置了，以下图所表示：其中组织结构是属于注册信息中必选项，而其它信息可由管理员进行配置，能够选择对应注册信息是否是“必填项”。假如选择了【静默注册】则注册密码项不生效。注册密码：用于用户端经过浏览器进行注册时候进行身份认证，提议在非系统布署阶段将该密码进行修改，以提升内网系统中设备可信性。DMZ通讯IP：适适用于需要将服务器IP地址在和被管理设备进行IP地址转换情况下适用，比如将NetStrong服务器安装到了DMZ服务区，或适用NAT进行了地址转换等情况。DMZ通讯IP地址需要配置成被转换地址，而非目前服务器真实IP地址；而DMZ通讯端口需要和服务器688端口做好映射关系，在通讯端口配置好映射端口即可。（假如没有IP地址转换话，则无需进行DMZ项配置）注册信息项扩展：当系统默认注册信息项不能满足实际需求时候，管理员能够经过点击【系统管理>注册管理>注册程序配置】页面上【编辑扩展字段】按钮，对需要信息进行扩充。现在扩充信息有两种形式：“文本框”和“列表框”。以下图所表示。尤其注意：当管理员变更了【域管理范围】、【组织结构】、【注册信息项】、【注册密码】时候，务必关键点击页面上【打包注册程序】进行打包，只有经过打包，注册页面和对应注册信息才会进行更新。 *打包：对注册程序更新和重新制作过程。完成了上述三步以后，即完成了服务器基础配置，就能够开始进行用户端注册了。在操作接口上有【系统配置向导】按钮，点击它可弹出服务器基础配置向导，可根据该提醒完成服务器基础配置，以下图所表示： 用户端布署用户端布署用户端布署有以下两种方法：一是采取网页注册方法；二是采取分发用户端注册程序方法。下面就两种布署方法分别进行介绍。网页注册方法网页注册：为用户提供了经过IE浏览器（或基于IE浏览器）下面具体介绍操作步骤。首先安装好web控制中心和中心服务器。使得用户端能够经过web控制中心页面正常访问中心服务器。以下图所表示：终端用户能够经过IE浏览器正常访问web控制中心确保中心服务器正常开启、进程正常运行终端用户访问web控制中心点击web控制中心页面上“用户端注册”按钮进行注册。如第一次注册会提醒用户端未安装注册插件，依据IE安全等级设置不一样可能会阻止IE下载ActiveX插件或停止安装Active插件下载。以下图所表示：打开IE“Internet选项”，找到“安全”选项卡，将“可信站点”安全等级设置为“低”（依据IE版本不一样，该项设置最低安全描述可能会是“中低”，如碰到该情况，请在“当地Intranet”中进行web控制中心平台设置），并在“站点”中添加web控制中心访问地址。以下图所表示：对web控制中心地址进行添加依次确定以后，重新访问注册页面，会依据IE安全等级设置不一样分别弹出以下两种对话框。点击“是”许可ActiveX进行交互操作点击“安装”进行IE插件安装依次添入注册信息，并点击注册按钮完成注册。用户端重新注册用户端许可重新注册，重新注册过程同上一步。会弹出问询对话框，点击“确定”进行重新注册。重新注册分发用户端注册程序在经过“系统配置向导”进行基础配置并完成“打包注册程序”步骤后，用户端注册程序就已生成在服务器目录。只需将该注册程序拷贝出来分发给用户端即可完成用户端注册。注意：以分发用户端注册程序方法进行用户端注册时候，要求在进行系统基础信息配置时候，不能配置注册密码，即在操作“更新注册程序”步骤时候请不要勾选启用“注册密码”选项；如启用过，请关闭“注册密码”选项，并依次点击“确定更新”和“打包注册程序”按钮。以下图所表示。打包注册程序前请确定“注册密码”选项没有启用在服务器上找到安装中心控制台安装目录，并依次打开...\NetStrong\WebConsole\bin\DownLoad，在该目录下存在一个由数字描述文件夹，打包好用户端注册程序就在该目录下。将找到RegistPkt.exe文件进行分发，完成用户端注册过程。说明1：使用用户端注册程序进行注册用户，其组织结构会被列到第一个根目录下。说明2：使用其它系统分发RegistPkt.exe时候，让用户端自动运行话，不需要对RegistPkt.exe程序进行参数设置。功效点说明系统分析本节内容介绍了系统分析功效下所展现数据含义和对应操作。系统分析下关键展现了终端用户行为日志统计、终端设备资源统计、内网用户注册统计和内网设备统计。事件统计事件统计关键对内网终端用户行为统计进行数量统计，并可依据用户行为类型进行用户定义时间段走势分析。可选择根据日、周、月、季度和自定义范围进行展现。资源统计资源统计对内网终端设备进行统计，从关键硬件（CPU、硬盘、内存）对内网终端资源进行展现，除此之外对内网终端设备软件（操作系统、杀毒软件）进行信息采集，进行展现。注册统计注册统计对内网中所能扫描到网段中设备进行扫描，并对注册设备和未注册设备进行统计。同时提供对历史注册情况查询功效。设备统计设备统计提供了对可扫描网段内设备注册情况根据是否在线和设备类型进行统计展现。系统管理系统管理提供了对管理本套系统基础配置，关键包含以下几方面内容：系统管理域配置、系统组织结构配置、用户注册信息配置、下级管理员建立和权限分配、登录用户管理、数据库查看、登录日志查看等。全局配置在控制选项中对系统左上角logo进行配置，对远程帮助密码进行配置。系统配置系统配置中对系统域管理范围和内网组织结构进行配置。这两项配置需要在首次使用系统之前进行配置，不然无法正常使用本系统。具体配置请参看“第二章服务器基础配置-基础配置过程-创建域并添加域管理范围”和“第二章服务器基础配置-基础配置过程-添加组织结构”部分。扫描器管理扫描器管理实现了对内网中设备进行指定扫描器操作。*扫描器：用来发送扫描器探测包设备。假如一个域中安装了任意一个代理程序，那么就会在该管理域中，对内网上设备进行扫描。这么专门一个安装了代理程序设备，我们称之为扫描器。扫描器管理页面以下：如上图所表示，在左侧“目前扫描器”一栏中，显示是在目前网段中正在充当扫描器设备。在右侧选择列表中，能够选择指定扫描器，经过“添加”按钮，将选中扫描器放到“扫描器配置列表”中。假如扫描器配置列表中设备全部关机话，则会从开机设备中自动选择一台设备作为扫描器。出现如上图所表示情况。假如要修改目前“扫描器配置列表”，只需要更改扫描器配置列表（添加或删除扫描器），然后点击“启用更改配置”按钮。图所表示：注册管理注册程序管理注册管理提供了用户端注册程序配置功效，在该页面上能够对用户端注册程序进行配置。具体配置请参看“第二章服务器基础配置-基础配置过程-更新注册程序和打包注册程序”部分。终端升级控制终端升级控制提供了对终端设备代理程序（探头程序），进行升级控制功效。在内网中布署好设备，在升级情况下需要确保代理程序不会因为升级而造成灾难性破坏，比如蓝屏、系统死机、代理程序性能等现象。终端升级控制，许可小部分测试设备优异行升级，经过测试以后再进行大面积升级功效。图：图中提供了两种升级方法：1、全网升级。2、升级以下列表中对象。下面就这两种方法进行说明：全网升级：不需要配置“分配对象”，当管理员决定对内网中全部设备进行升级时候，只需要选择“全网升级”并对策略进行保留和重启就能够完成全网设备升级。升级以下列表中对象：对升级对象进行配置，仅仅对配置了终端进行升级。注意：在测试过程中升过级设备，在配置了全网升级策略时候，将不会再次升级。假如探头重新安装，则会在收到升级策略以后进行升级。设备注册控制设备注册控制提供了对接入内网设备注册情况管理。假如接入内网设备没有进行注册话，则能够经过开启对未注册设备阻断，使未注册设备无法上网。假如只是想要对未注册设备发出警告话，则能够选择警告提醒即可。图所表示：注册终端卸载注册终端卸载提供了对已经注册设备注册终端进行卸载功效。图所表示：终端卸载能够根据组织结构、IP范围和设备对象分别进行卸载，添加好卸载设备以后，点击“确定卸载”按钮确定卸载。未注册阻断列表未注册阻断列表关键是在开启了“设备注册控制”中“没有注册则阻断联网”功效以后（以下图），设备通讯被阻断，其阻断信息会在该页面展现。对于没有注册且被阻断设备，管理员能够经过该页面上“取消阻断”按钮，对阻断非注册设备取消断网功效，也能够经过“设置阻断”按钮，连续对非注册设备断网阻断功效。以下图：系统用户系统用户提供了对下级管理员管理和权限分配功效。用户管理用户管理：为顶级管理员或有用户管理权限功效下级管理员创建下级管理员功效。图所表示：在用户管理页面能够创建下级“管理用户”，每个创建出来管理用户，其初始密码是123456。能够对用户使用期进行设置，默认情况下用户为永不过期。*三权模式下区分：在三权模式下，系统管理员能够创建管理用户和策略管理用户。日志管理员（audit）负责创建日志审计用户。系统权限系统权限：新建用户后，须对该新建用户其分配权限和设置管理对象。如上图所表示，在“选择用户名称”处选择要分配权限用户，并选择要给予该用户权限。完成为新建用户权限选择后，点击“管理对象”选项卡，为该用户选择管理对象，点击确定更新按钮完成操作。登录用户我用户对目前登陆用户用户信息显示和目前用户密码修改。访问权限访问权限是某用户对许可自己“用户名”登陆“管理中心控制台”IP地址设置。若该登陆用户对该项没有进行任何设置，则系统默认为该用户在内网任何IP地址计算机上均许可访问。如用户设置访问权限为：许可访问网段—00，则只许可该用户在—00内IP地址计算机登陆“管理中心控制台”，严禁该用户在其它IP地址计算机上登陆“管理中心控制台”。注：“访问权限”是目前登陆用户为本身登陆管理中心控制台进行IP地址限制，该登陆用户对该项设置，不影响其它用户登陆。数据库管理提供了服务器上数据库和磁盘占用情况统计，在磁盘剩下空间不足时候，会提醒管理员。图所表示：系统日志登陆日志统计登陆“管理中心控制台”用户登陆时间、登录地址、登陆状态等信息。可依据相关条件进行查询。操作日志统计全部登录用户在“管理中心控制台”全部操作。可依据相关条件进行查询。资产管理设备管理注册设备管理对已注册设备相关信息查看和管理。以下图所表示，在注册设备列表中显示了全部目前已注册设备IP地址、Mac地址、设备类型等信息，所显示显示列，可经过点击“自定义显示列”按钮进行设置。经过点击“自定义显示列”按钮，可对所显示注册设备信息内容、次序和列长度进行设置，以下图所表示。设置完成后点击“确定更新”按钮进行保留。“自定义显示列”设置只对目前登录用户自己显示效果起作用，不影响其它用户。已注册设备，可经过选择“检索项”，输入相关信息，如使用人、IP地址、联络电话等信息进行查询。若需要对特定条件，如操作系统、企业部门、硬件信息等进行查询时，可经过点击“高级查询”按钮查询，以下图所表示。在“注册设备信息列表”中所显示信息，可经过点击“输出Excel”按钮，以EXCEL格式导出全部数据。点击“注册设备信息列表”中对应注册设备，在界面底部信息栏中“基础信息”“信息变更”、“软件信息”、“硬件信息”、“安全状态”、“安全事件”和“历史变更”选项卡中，会显示该设备相关信息。基础信息：在“基础信息”选项卡中显示了注册设备“基础信息”、“注册信息”、“网络信息”和“扩展信息”。“基础信息”中显示了该注册设备设备名称、操作系统、CPU和硬盘等设备基础信息。“注册信息”中显示了该设备注册信息，如设备注册时间及在注册时输入相关信息。“网络信息”中显示了该设备IP地址、Mac地址。“扩展信息”中显示了该设备在注册时输入扩展信息。信息变更：在“信息变更”选项卡中显示目前设备在注册时输入信息，该信息可在此处进行修改更新。以下图所表示，在对应输入框中进行修改、编辑，点击确定更新，完成信息更新操作。当注册设备所属组织改变时，可经过点击“设备迁移”按钮，在下图“选择目标组织结构”对话框中选择新组织，点击确定按钮完成组织结构变更操作。软件信息：在“软件信息”选项卡中，对目前设备所安装软件，根据“软件知识库”中设置分类进行显示，以下图所表示。硬件信息：在“硬件信息”选项卡中显示目前设备硬件信息，以下图所表示。安全状态：在“安全状态”选项卡中显示目前设备杀毒软件和补丁安装情况，以下图所表示。安全事件：在“安全事件”选项卡中显示目前设备所触发策略事件，以下图所表示，在每种策略事件中列出了所触发策略次数、“今日事件”、“历史事件”和“历史事件走势分析”。可经过点击“今日事件”、“历史事件”和“历史事件走势分析”前图标对其进行查看，如点击“进程实施控制”“历史事件”和“历史事件走势分析”图标，弹出“进程实施控制事件统计”图。在下图中，可经过点击“上一月”和“下一月”，可对每个月“历史事件走势分析”曲线图进行查看。历史变更：在“历史变更”选项卡中显示目前设备软、硬件变更信息，以下图所表示。分组管理对含有相同属性设备（使用人）能够经过分组管理，将设备（使用人）从逻辑上进行分组，并在制订策略时候，经过对分配对象配置对统一分组中是设备（使用人）分配一样策略。图所表示：未注册设备管理对目前管理网段中没有进行注册设备进行展现，图所表示：设备开关机对已经注册了设备开、关机情况进行统计，并依据设备使用情况，统计出来设备使用率。能够统计设备开、关机频率，依据时间段统计设备开、关机数量。图所表示：资产统计软件资产分类软件资产分类中统计了目前全部已注册设备上安装软件，管理员能够依据实际需求，对软件资产进行分类整理。“未知软件”：中包含了全部未分类软件，是系统默认分类，无法删除。能够经过“创建新类”按钮，创建多种管理分类，再分别往分类中添加软件列表。图所表示：硬件资产硬件资产中统计了目前注册设备中硬件统计，能够分别根据硬盘、CPU、内存、光驱、显卡、鼠标、键盘、声卡、主板进行查看，点击“查看清单”按钮，能够对具体信息进行查看。图所表示。软件资产软件资产，依据软件资产分类列表中对软件分类划分，根据组织结构，对组织结构中使用软件进行统计。图所表示：IP资源统计对“系统域划分”中所定义IP地址范围，进行是否占用和注册描述，图所表示：图中绿色图标表示该IP地址，已经注册，黄色表示该IP地址没有注册，不过已经被占用，灰色表示该IP地址没有被占用。硬件变更硬件变更中对目前已经注册设备产生硬件变更进行统计。在终端设备安装探头时候，会对目前设备硬件进行“快照”操作，当注册设备硬件发生变更以后，则会对硬件信息进行对比，将发生改变信息上报给中心服务器。图所表示：软件变更软件变更中对目前已经注册设备产生软件变更进行统计。在终端设备安装探头时候，会对目前设备软件进行“快照”操作，当注册设备软件发生变更以后，则会对软件信息进行对比，将发生改变信息上报给中心服务器。图所表示：策略介绍什么是策略策略即是对终端管理要求，能够了解成“管理规则”，我们能够针对不一样设备制订相同规则，也能够针对同一个设备制订不一样规则。策略由哪几部分组成策略由策略名称、基础策略内容、策略实施时间、策略分配对象等几部分组成；依据策略类型不一样，在一些特定策略中，可能会缺乏上述内容中一些方面。策略种类本系统中策略能够分为基础策略、审计策略和控制策略三种类型策略。比如：进程知识库采集属于基础策略；上网行为审计属于审计策略；外设接口、FTP行为控制等策略属于控制策。控制类策略有“处理方法”选项，而基础策略和审计策略没有该选项。策略实施方法策略由管理平台进行配置，配置完成后，提交给中心服务器，由中心服务器统一分发给有策略终端设备，终端保留策略，然后由终端实施策略。策略怎么配置策略创建输入策略名称（必需）、策略描述，点击“创建策略”完成策略创建。不许可创建相同名称策略。策略创建成功以后，会自动进入到“基础策略”界面，并能够经过该页面“高级选项”、“分配对象”Tab页进行不一样配置切换，图所表示：基础策略基础策略页面定义了一个策略基础规则，各个策略之间关键区分也在基础策略中进行表现。比如进程实施策略和服务实施策略区分就是在于基础策略中控制对象不一样。后续各个章节具体功效说明中，关键对基础策略中内容进行说明。高级选项高级选项定义了制订策略实施时间（即策略生效时间）。默认配置中策略生效时间是任意日期、任意时间。能够依据需求定义策略生效时间：能够定义策略生效时间段、根据每七天时间进行设置、能够定义特定时间实施。图所表示：分配对象分配对象中对策略实施对象进行设置，能够根据组织结构、IP范围、设备对象、自定义组来进行分配。图所表示：策略日志对于大多数策略来说，策略全部会产生日志，以下图所表示：从上图可知，每个策略全部会在相同模块中存在日志，所以在配置了策略以后，想要找到对应日志话，只需要在相同模块中找到日志项即可。接入控制控制策略非法外联控制非法外联控制提供了对主机非法联网、使用代理上网行为监控。在判定非法联网时候，使用探测外网地址方法来完成，所以在策略中需要配置一个“外网地址”，该地址是相正确（相对内网地址而言），通常情况下，提议配置常见、稳定外网地址，比如www.谷歌.com.hk或.com，当然也能够配置比如0等相对外网地址。内网探测地址，能够配置常见内网地址，比如或54等类似网关地址，图所表示：探测地址：该地址仅仅用来代表“外网”含义，并不需要用户真正去访问该地址，才能进行探测，而是由探头自动进行对所设置外网地址探测。严禁使用代理上网：检验使用IE代理上网，并自动严禁IE代理上网。同时连接内外网：在上述连接“外网”基础之上，再增加了对连接内网判定，连接内网判定基础是是否能够和中心服务器联通。仅在外网：当设备无法和中心服务器连通，而又能上“外网”时候触发该条件。脱离安全网：表示和内网地址、中心服务器无法正常连通情况，终端关机不属于脱离安全网范围。在“仅在外网”情况下发送邮件：和中心服务器失去通信时能够经过发送邮件形式提醒管理员发生了“仅在外网”违规事件。在使用该功效前，需要配置邮件发件人和收件人。IEEE802.1x认证IEEE802.1x策略实现了对802.1x系统透明认证功效，关键实现了以下两个功效：1、对终端用户而言实现了网络接入透明认证。2、对管理员而言实现了终端认证口令统一管理，预防口令丢失。如上图中，“用户名称”填写802.1x认证用户，“用户密码”填写802.1x认证用户认证密码。日志查询非法外联控制日志日志中统计了对非法外联策略产生日志统计，图所表示：终端安全系统知识库知识库采集配置对终端进程采集进行配置，能够配置是否开启采集终端进程，并对是否进行进程文件上报进行配置。图所表示：文件知识库文件知识库用来对文件分发和软件布署功效进行文件、软件库支持。在文件知识库中能够上传文件、软件到服务器上，再经过“文件分发”和“软件布署”策略向终端分发文件、进行软件布署。图所表示：经过“上传文件”按钮，上传文件到对应文件目录或软件目录下。假如在点击上传文件按钮时候，出现了以下提醒：则需要将Web插件进行安装。安装方法请见“第三章用户端布署网页注册方法”章节相关介绍。终端服务终端点对点服务终端点对点提供了对终端直接查看和设置支持，找到需要操作终端设备，点击“确定控制”按钮，则会弹出点对点控制程序。该功效需要Web插件支持，需要首先安装Web插件。图所表示：点对点功效中有以下几方面功效：基础状态查看：对终端内存和CPU占用情况展现。终端安装软件查看：对终端安装软件查看，支持对非交互安装程序直接卸载。（软件列表来自于软件安装列表）共享查看：对终端共享文件夹查看。终端安装补丁查看：对终端安装补丁情况查看，包含已安装补丁和未安装补丁。系统用户查看：对终端系统系统用户进行查看，能检验这些用户是否存在弱口令。系统事件查看：对终端系统系统日志进行查看。网络接口管理：对终端网络接口进行查看，并能够修改终端网络设置（修改一些网络配置，会造成点对点功效断开，比如修改终端IP）终端进程管理：对终端上运行进程、进程端口进行查看，并能够经过点对点结束终端进程。终端服务管理：对终端上运行服务进行控制。点对点操作界面以下：远程帮助远程帮助提供了对终端操作界面接管功效，使用是VNC接管模式，操作界面以下：输入要接管远程桌面IP地址，点击“确定控制”按钮，假如终端服务正常开启了以后（因为一些安全软件设置，可能会出现对终端服务进程限制行为，需要我们更改安全软件设置），会弹出以下对话框：能够选择“观看”和“控制”两种模式（不选择为控制模式），然后点击“连接”按钮会，会要求输入远程帮助密码（该密码默认为123456，在“系统管理-全局配置-控制选项”页面进行设置），以下所表示：输入正确密码后，会进入到终端桌面界面，图所表示：文件分发文件分发提供了对终端设备分发文件功效，所分发文件，必需由含有文件上传功效管理员首先将文件上传到文件知识库中才能够。文件分发经过策略形式下发到终端设备上去。图所表示：经过“添加文件”按钮将文件知识库中文件添加到文件列表中，能够选择“下载方法”、“运行方法”、“下载失败后处理”等。用户端在收到了策略以后，会弹出以下对话框：上述存放地址能够更改，默认为最大剩下磁盘空间所在磁盘IIMS目录，依据策略不一样，还会弹出是否打开文件问询。在终端需要重新下载文件时候，能够经过终端助手（DeskHelper.exe进程）托盘程序（依据版本不一样，可能托盘图标不会出现），进行重新下载，以下图所表示：软件布署和安装检验软件布署和安装检验提供了和文件分发类似功效，支持软件默认安装（需要软件本身支持命令行，命令行需要管理员自行查找），除此之外，还支持对终端安装软件探测策略，以下图所表示：提供了对软件“下载方法”、“安装方法”和失败后处理。假如终端发觉了有软件未正确安装或安装软件不符合要求时候，则会根据配置进行对应处理。安全策略进程实施控制进程实施控制提供了对进程控制，是进程名单控制策略补充，在进程实施控制策略中，能够对单个或多个进程进行控制，禁用或开启。图所表示：进程控制列表中统计着进程基础信息，包含：进程名称、源文件名、产品名称、企业名称。控制类型：表示对上述进程控制方法，必需运行、严禁运行或自动运行/自动严禁。处理方法：是控制类型策略中统一处理项。“不处理”代表对违规行为不进行处理，所产生日志也会被标识为“正常”；“仅提醒”代表对违规行为仅仅做提醒，所产生日志也会被标识为“轻级”；“断开网络”代表对违规设备断开网络，所产生日志也会被标识为“严重”；“关机”代表将违规设备直接关机，所产生日志也会被标识为“很严重”。上报方法：是对违规行为统计，也就是对违规日志统计设置。“不上报”即不对违规行为进行统计；“仅一次”对违规行为只统计一次；“连续上报”假如违规行为是连续性，那么在违规过程中将连续对违规事件进行上报；“间隔上报”对连续性违规行为进行连续违规日志上报。处理方法和上报方法将在后续介绍控制类型策略中数次出现，将不再赘述。服务实施控制服务实施控制对终端上运行服务进行控制，图所表示：外设接口控制外设接口控制提供了对终端外设设备使用控制，能控制多个外设使用，图所表示：策略配置很简单，只需选择启用、禁用即可。网络接口控制网络接口控制策略提供了对网卡相关设置绑定功效：IP、Mac、DNS、网关、网卡改变绑定，在终端收到策略以后，会对目前网络状态进行统计，当发生了网络接口改变时候会自动恢复到统计时刻状态。图所表示：防火墙策略防火墙策略提供了对设备访问控制功效，关键能实现对IP层，Tcp、Udp协议（通讯端口），和ping许可和严禁，支持双向（支持网络数据流向控制），图所表示：在配置上，配置IP控制策略，需要输入IP或IP段；Tcp和Udp需要配置端口；ICMP无需参数。用户账号策略用户账号策略用来对终端上存在账号进行弱口令检测、用户账户权限变更监视、用户组权限监视功效。图所表示：能够经过“查看系统弱口令配置”按钮，来扩充弱口令库，图所表示：Arp防护Arp防护提供了终端对关键服务器（或终端设备）、关键网络设备Arp保护，能够对关键设备IP和Mac进行绑定。图所表示：共享管理共享管理提供了对终端共享文件控制和管理，能够禁用共享或默认共享，能够监视共享为只读，监视共享改变或自动恢复等操作，图所表示：事件日志文件分发日志对文件分发进行了统计，对分发成功率进行统计，并提供了对日志高级查询功效，图所表示：软件布署日志对软件分发进行统计，并对软件安装情况进行统计。进程实施控制日志对进程实施控制产生违规日志进行统计，图所表示：服务实施控制日志对服务实施控制产生违规日志进行统计，图所表示：外接接口控制日志统计外设接口违规使用统计，图所表示：网络接口控制日志对网络接口违规日志进行统计，包含非法修改IP、Mac、DNS等网络配置。用户帐号事件日志对用户账户策略中违规事件进行统计。共享事件查询日志对终端共享管理事件进行统计，比如禁用共享、共享改变等。用户行为配置管理URL仓库URL仓库中完成了对网络URL分类和采集标准，在URL分类首先要对URL采集标准进行设定，能够根据域名（支持IP地址）、目录名、标题包含字符、内容包含字符四种方法进行URL采集。采集到URL地址，能够设置为“自动生效”和“手动生效”两种方法。根据标题和内容进行采集时候，生效规则能够根据“域名和目录名”和“域名”两种方法进行采集。图所表示：在上图中配置了一条采集策略，该采集策略根据URL域名和目录名中包含“news”和标题和内容中包含“新闻”字样为标准，当标题和内容中有“新闻”字样时候，会将URL根据域名和目录名形式采集上来，并对该URL进行立即生效处理。能够经过右上角“生效规则”、“规则采集列表”、“规则采集特征串列表”按钮来进行页面切换，来查看已经生效规则和等候生效规则。在“生效规则”中，经过“迁移”和“全部迁移”按钮来对已经生效URL进行分类间转移。图：在“规则采集列表”中，经过“生效”和“全部生效”按钮来使待生效URL在分类中生效。图：行为策略上网行为审计上网行为审计对终端http访问进行审计，配合上述URL分类进行细致化划分，图所表示：本企业网站，专门用来对本企业进行审计；“全部”分类能够对终端访问全部URL进行审计，“其它”分类是自定义分类之外URL，而图中比如“体育”、“新闻”等则是用户自定义分类。审计内容选项打开话，会在审计URL地址同时，将URL内容也dump出来，并将网页内容上传到服务器上保留，能够经过“上网行为审计日志”页面进行下载。审计项目选项则对审计内容进行过滤，能够审计网页、图片、影音文件、办公文件、dll文件、可实施文件。在审计对象中也能够直接添加URL地址，比如.com。上网行为控制上网行为控制对终端进行http访问进行控制，配合URL分类能够对终端进行http访问进行细致控制，图所表示：控制模式分为：“仅许可访问”和“严禁访问”两种模式；能够经过设置“企业网址”来将企业网站排除在控制列表之外；同时也支持对网页不一样内容控制；当发生了违规http访问时，能够对违规行为进行处理。FTP行为审计FTP行为审计对终端进行ftp访问进行审计，能够在审计ftp行为同时将ftp“下载”和“上传”文件dump出来，并上传到服务器上进行保留，管理员一样能够经过“FTP行为审计日志”页面对dump出来文件进行下载。（因为FTP上传和下载文件相对较大，占用服务器磁盘空间会较大，提议在使用FTP审计策略时候不要选择审计“文件内容”），图所表示：FTP行为控制FTP行为控制对终端进行ftp访问进行控制，能够依据上传和下载文件格式进行控制，图所表示：当地文件审计当地文件审计提供了对终端设备操作当地文件（创建文件、删除文件、重命名文件等）统计，支持指定目录审计，并能够依据文件后缀名进行审计，图所表示：剪贴板审计剪贴板审计提供了对终端上进行Ctrl+C操作时复制内容审计，支持全部进程剪贴板操作，本版本中对该功效进行了限制，只审计Explorer进程剪贴板操作。图所表示：光驱使用控制光驱使用控制策略提供了对刻录光驱使用刻录功效控制。该策略配置以下： 图所表示，在光驱使用控制策略中，能够对刻录光驱刻录功效进行读写和只读限制。在选择光驱“读写”功效时候，光驱能够正常使用；选择“只读”功效时候，光驱只能进行读光盘操作，而刻录动作被严禁。邮件行为审计邮件行为审计提供了终端进行POP3和SMTP收发邮件统计（支持部分Webmail），支持对单种、多个和全部邮件类型审计，在审计邮件正文内容同时还能审计到邮件附件内容，将审计邮件内容dump出来，上传到中心服务器，管理员经过管理平台能够下载到审计到邮件。图所表示：现在支持Webmail以下：163、126、Hotmail、腾讯、sina、sohu、雅虎。邮件行为控制邮件行为控制提供了对终端设备收发邮件（现在仅支持POP3和SMTP协议邮件控制），能够依据邮件类型不一样，分别控制收件邮箱和发件邮箱，并依据配置能够选择“仅许可使用”和“严禁使用”两种模式控制方法。能够配置企业邮箱，来将企业邮箱排除在控制列表之外。图所表示：访问共享审计访问共享审计提供了对终端访问共享文件审计，包含远程“创建文件”、“更更名称”、“删除文件”、“读文件”、“写文件”、“覆盖文件”等，能够依据文件类型不一样采取不一样审计，图所表示：即时通讯审计即时通讯审计提供了对终端设备使用IM工具进行通讯审计功效，现在仅支持MSN通讯审计。图所表示：用户行为日志上网行为审计日志上网行为审计日志中统计了“上网行为审计”策略中审计到日志，能够在该页面将审计到网页下载下来进行查看（需要在策略中配置审计网页内容）。提供了设备事件数目排名、对源地址排名、和事件走势分析图。上网行为控制日志上网行为控制日志中统计了“上网行为控制”策略中审计到日志，一样在该页面提供了对设备事件数目排名、对源地址排名、和事件走势分析图。FTP行为审计日志FTP行为审计日志中统计了“FTP行为审计”策略中审计到日志，包含终端FTP上传、下载行为，和dump到文件（一样需要在策略中事先配置审计文件内容）。提供了设备事件数目排名、对源地址排名、和事件走势分析图。FTP行为控制日志FTP行为控制日志中统计了“FTP行为控制”策略中审计到日志。提供了设备事件数目排名、对源地址排名、和事件走势分析图。当地文件审计日志当地文件审计日志中统计了“当地文件审计”策略中审计到日志，图所表示：从上图可见，在当地文件审计中，统计了“操作类型”、“所属设备”、“进程名称”、“磁盘类型”、“扩展名”等信息，一样提供了“设备排名”、“文件类型排名”和事件“走势分析”图。剪贴板审计日志剪贴板审计统计了“剪贴板审计”策略审计到日志，是终端使用IE进行复制操作日志。光驱使用统计日志光驱使用统计中统计了终端违规刻录行为，一样提供了“设备排名”和“走势分析”功效。邮件行为审计日志邮件行为审计提供了终端使用邮箱进行邮件收发日志，包含邮件正文和附件全部能够被审计到。在“设备排名”和“走势分析”以后，还增加了“账户排名”查询项，能够对账户进行排名。邮件行为控制日志邮件行为控制中提供了对违规使用POP3和SMTP收发邮件统计，在日志中一样提供了“设备排名”、“走势分析”和“账户排名”分析方法。共享行为审计日志提供了对终端使用共享统计。即时通讯审计日志对终端使用IM（MSN）进行通讯进行审计。运维管理运维策略网络数据包捕捉该策略对内网中设备网络数据行为进行监控，关键有以下多个方面，图所表示：上图中展现了Arp数据包、ICMP数据包、Tcp数据包和Udp数据包捕捉设置，对于有外网情况内网用户来说，能够设置内网范围通讯范围，用来加以区分内网和外网数据情况。图所表示：在设置好了内网通讯地址范围以后，设备通信流量将会被区分开来，并能够对“内网”和“外网”流量分别进行不一样统计。协议类型中根据协议不一样，分别对Arp、ICMP和Tcp、Udp协议进行了不一样配置。数据包捕捉方法提供了对协议捕捉设置。捕捉网络中方法为基于网络范围和基于网络类型两种模式；基于范围模式，能够设置网络捕捉包范围，同时能够根据端口进行配置；而基于网络类型模式，能够区分内外网数据包。经过设置流量统计阀值，对违规情况进行报警，从而达成对设备流量异常情况掌握。网络数据包捕捉日志量比较大，在数据存放上采取了定时备份方法。最多保留7天数据包捕捉日志，超出设定日志数据包捕捉日志会被清除。能够选择清除日志前进行备份。运维查询网络数据包统计分析 该日志提供了对数据包捕捉策略中抓取到数据包统计和分析，根据时间段进行统计，又根据协议类型进行了划分，图所表示：数据包捕捉上报并不是立即上报，而是采取定时上报方法，该日志上报频率由厂商进行了默认设定，管理员无法进行修改。网络数据包事件日志该日志根据“网络数据包捕捉”策略对设备进行网络数据包流量违规事件统计。图所表示：被管理终端设备假如超出了“网络数据包捕捉”策略中要求阀值以后，就会触发网络数据包监控事件。网络包数据包捕捉事件也根据协议类型进行了划分。移动介质 移动介质提供了对一般移动介质进行制作，使一般移动介质经过策略管理成为安全移动介质目标，并对安全移动介质操作进行统计等功效。安全移动介质制作 首先安全移动介质制作需要管理员或含有制作安全移动介质权限下级管理员来完成。点击【移动介质>介质管理>安全介质制作】页面上【开启制作安全介质工具】按钮，在弹出来对话框中输入用户名和密码（确定该用户拥有制作安全移动介质权限，顶级管理员默认含有该权限）。以下图所表示： *假如内网中系统没有特殊布署过，请勿修改【登录地址】和【登录端口】项中内容。 成功登录以后，弹出了安全移动介质制作界面，在插入一般移动介质以后，制作工具上会显示以下图所表示信息： 【基础信息】中需要填写安全移动介质使用人基础信息，其中姓名和单位是必填项，必需选择一个标签，【日志区】选项控制安全移动介质是否统计外网区访问日志。 *标签介绍请阅读“安全介质标签管理”部分。 点击【高级】按钮，弹出对安全移动介质分区控制窗口，该对话框对内、外网区大小进行控制，开启区和日志区大小是不可变更。在制作“加密标签”安全介质时候，需要注意设置“初始密码”，点击注册工具上“初始密码”按钮，进行设置，图所表示：点击【新注册】进行一般移动介质到安全移动介质制作过程，制作之前工具会进行提醒，以下图所表示：*安全移动介质制作过程会将移动介质中原有数据进行格式化操作，如有必需请对移动介质中原有数据进行备份。点击【确定】按钮，开始对安全移动介质进行制作，制作完成后，会在制作工具页面上提醒“注册完成”，以下图所表示： 注册完成后，能够在管理平台上（【移动介质>介质管理>安全介质使用管理】）看到新注册安全移动介质，能够经过配置安全移动介质管理策略对新注册安全移动介质进行管理，以下图所表示：安全介质标签管理使用说明什么是“标签” “标签”是一个用于对安全移动介质进行等级描述“标签”，相当于对安全移动介质进行了一个分组，在制订安全介质使用控制策略时候，能够使用“标签”方便进行控制。怎么管理标签 经过【移动介质>介质管理>安全介质标签管理】页面对安全移动介质“标签”进行管理，上级管理员能够将本级标签分配给下级含有安全移动介质制作权限管理员使用。现在标签分为三级，分别是：一般标签、保护标签和加密标签。一般标签：仅仅对移动介质打上标识，在制作时候，能够选择格式化或不格式化。对移动介质在非内网使用没有限制。仅在内网使用有限制。一般标签特点：移动介质能够在内外网同时使用。制作过程能够不对移动介质中数据进行破坏。使用不改变用户原有习惯。内网使用依据策略来实施。保护标签：对移动介质分区格式进行干扰，使移动介质无法在非内网机器上正常使用，而在装有代理程序内网机器上，能够正常使用。干扰标签特点：移动介质只能在内网使用。使用不改变用户原有习惯。内网使用依据策略来实施加密标签：对移动介质进行重新分区，能够制作成仅在内网中使用安全移动介质，也能够制作成能够在内网和外网中使用安全移动介质（在制作安全移动介质时候能够选择），加密标签安全等级最高，在对安全介质中数据进行操作时候，需要使用专用浏览器。加密标签特点：移动介质能够选择在内外网或仅在内网使用。对移动介质重新进行分区，可依据需求调整分区大小。使用愈加安全专用浏览器，预防病毒。需要口令认证登录，加强安全等级。能够审计移动介质在外网使用日志。标签类型图所表示：为安全移动介质打上标签 在制作安全移动介质时候，必需选择“标签”。在移动介质管理策略中，以标签进行安全移动介质管理。移动介质管理安全移动介质使用管理 安全移动介质在注册成功以后，默认情况下是启用，在安全移动介质启用情况下能够对该安全移动介质进行策略管理，在【移动介质>介质管理>安全介质使用管理】页面上能够对已经注册安全移动介质进行“吊销”操作，吊销后安全移动介质无法在内网中正常使用，不过还能够在外网使用。吊销后安全移动介质还能够启用。吊销后安全移动介质，能够从平台上进行删除，删除后移动介质假如想重新恢复在内网使用权话，需要注销后重新注册。平台管理页面以下图所表示：移动介质策略管理 策略管理关键是经过对【移动介质>控制策略>一般介质使用控制】和【移动介质>控制策略>安全介质使用控制】下策略进行配置，达成对内网中一般移动介质和安全移动介质使用管理。策略配置界面以下图所表示，一般介质使用控制：策略中能够对一般移动介质进行“禁用、只读、读写”控制，在选择禁用一般移动介质操作时，能够对违规行为进行“处理”，而“只读”和“读写”控制，只能“提醒”用户端。安全介质使用控制策略配置界面以下：【控制对象】提供了对安全移动介质控制方法，采取了标签为依据对安全介质进行控制，能够分别对一般标签、加密标签和干扰标签进行配置。因为加密标签对移动介质进行了重新分区，所以在对加密标签控制上是要分别对内网区、外网区进行配置。【审计日志】选项用来控制是否审计安全移动介质操作日志。在【分配对象】中分配到策略以内计算机，在发觉了列表之外安全移动介质时候，能够根据“处理方法”中提供方法对终端进行“处理”。操作日志 操作日志中统计了安全和一般移动介质使用统计，包含安全介质操作日志、使用日志、变更日志和一般介质使用日志。安全介质操作日志 用来统计安全介质对文件操作日志：拷贝、删除、重命名等操作。安全介质使用日志 用来统计安全移动介质本身使用情况：什么时间挂载，点击【查看】按钮会显示此次挂载进行了什么样文件操作。一般介质使用日志 用来统计一般移动介质本身使用情况。安全介质变更日志 用来统计安全移动介质注册、注销、重新注册等变更信息。安全移动介质注销和重新注册 假如安全移动介质需要还原成一般移动介质或重新注册话，能够经过注册工具进行注销或重新注册，以下图所表示：用户端安全浏览器UDE使用说明安全移动介质在内网中使用 在配置好了安全移动介质管理策略以后，在分配到策略计算机上插入安全移动介质以后，安全移动介质浏览器UDE会自动开启，以下图所表示：*UDE即“UDE浏览器”是安全移动介质专用文件浏览工具。 在【外网区】和【内网区】点击右键能够弹出如上图所表示菜单，点击【登录】出现登录移动介质菜单，点击【安全】弹出修改密码菜单。分别以下图所表示： 只有经过认证用户才能对安全移动介质进行操作，依据策略配置用户对安全移动介质有不一样访问权限，这取决于安全移动介质策略配置，在平台【移动介质>控制策略>安全介质使用控制】页面进行配置。 若不考虑“安全介质使用控制”策略影响，UDE浏览器能够完成以下文件操作： 一：文件复制（双向）（支持文件发送到操作） 二：文件重命名（安全移动介质、当地磁盘） 三：文件删除（安全移动介质、当地磁盘） 上述操作和在Windows下使用Explorer基础一致，并支持基础快捷键操作，比如复制Ctrl+C和粘贴Ctrl+V操作等。安全移动介质在外网中使用 当安全移动介质拿到没有用户端外网中（或没有用户端设备上）使用时，需要经过开启区中UDiskExplorer.exe（即前文中介绍UDE浏览器）程序来开启安全移动介质。在开启UDiskExplorer.exe以后，系统会自动把安全移动介质外网区保护起来，只能经过UDiskExplorer.exe认证以后，才能经过UDiskExplorer.exe对外网区进行访问。其用户登录和操作和在内网区中操作是一样，只是在外网区用户使用日志不能实时上报到服务器中，只能等到该安全移动介质返回到内网中才能将在外网操作日志上报到服务器上。补丁分发分发配置补丁列表补丁列表中提供了目前系统中补丁情况，该信息包含：补丁名称、内部编号、补丁编号、可信状态、补丁产品、安全等级等基础补丁信息。在系统布署之初，系统上补丁均处于“未确定”状态，需要管理员经过补丁安装策略以后，才能给终端进行正式安装，需要将经过测试补丁可信状态设置为“可信”。假如设置为“可信”状态补丁最终确定是不安全，则能够将该补丁从“可信”状态设置到“不可信”状态，以上操作经过该页面“设置可信”和“设置不可信”按钮完成，以下所表示：如上图所表示，能够经过左边保留图标将服务器上存在补丁下载到当地计算机进行手工安装。经过补丁具体图标按钮，能够查看补丁信息，并能够经过网络进行下载（微软官网下载）。图所表示：经过“当地资源服务器配置”按钮能够对本级补丁服务器进行配置，经过“高级查询”按钮能够对补丁进行高级搜索。图所表示：补丁策略补丁测试策略补丁测试策略中提供了对补丁测试安装功效，能对补丁列表中“未确定”、“可信”和“不可信”状态补丁分别进行安装。图所表示：如上图中所表示，在补丁测试策略中，能够安装三种状态补丁，安装方法能够选择“自动安装”和“提醒安