scsp系统资源防护截屏说明手册.pdfVIP

目录 第一章 SCSP 检测用户帐户的配置方法3 第二章 SCSP 检测系统文件变更配置方法7 第三章 SCSP 检测注册表变更的配置方法11 2 / 15 第一章 SCSP 检测用户帐户的配置方法 SCSP 的检测策略可以监控用户帐户变更、创建新的超级管理员权限的帐户或组和禁用用户 帐号等。 预先步骤： 1、SCSP Agent所在电脑上运行secpol.msc,在Security SettingLocal PoliciesAudit PolicyAudit account management界面下确保Success和Failure已经被选定。 2、应用Null Prevention policy to SCSP Agent. （Sym_Win_Null_sbp ） SCSP Management Console的配置步骤 1、登陆SCSP management Console，点击Detection Policy，然后选择Policies并选择 System_User_Configuration （Windows ）或UNIX_System_User_Configuration，如下图所示： 3、双击System_User_Configuration,在System User Configuration 已经被选定，并勾选如下的额 外的检测设定：  Account Changed  Account Created  Account Deleted  Local Account Locked out  User Added to Global Group  User Removed from Global Group  Right Assigned 3 / 15  Right Removed  Administrator Changed Administrator Password 注意：把鼠标放在每条检测规则上均会有详细的解释。根据实际情况勾选其他的检测规 则。 如下图所示： 4 、保存检测规则，并将其应用到Agent 即可。 如下图所示： 注意：在apply policy 的时候，应选择“Take the New option settings ”然后再点击“Finish”， 4 / 15 如下图所示： 测试结论： 在SCSP Agent 的电脑（Windows 2008 R2 ）上创建一个账户，即可检测到这一事件，如下 图所示： 5 / 15 针对帐户改变到其他组或修改用户账户密码或删除或创建用户帐户均能检测到，如下图 所示： 6 / 15 第二章 SCSP 检测系统文件变更配置方法 SCSP可以针对系统关键资源的变更进行监控,其中包括文件及注册表。 通过应用预先定义的检测策略或策略模板,实时监控相关系统资源的变化是否会影响到系统 的稳定运行或其他异常情况。比如，应用Host_IDS_File_Tampering检测策略来实时监控系统 关键文件的变更，另外也可以自定义添加其他的关键文件到预先定义的检测策略。 SCSP相关的检测策略及模板如下所示：  Host_IDS_File_Tampering （Windows平台）/ UNIX_Host_IDS_File_Tampering 针对策略中的所列出来的系统关键文件进行监控。 预先步骤： 1、SCSP Agent所在电脑上运行secpol.msc,在Security SettingLocal PoliciesAudit PolicyAudit account management界面下确保Success和Failure已经被选定。 2、应用Null Prevention policy to SCSP Agent. （Sym_Win_Null_sbp ） 3、在SCSP Agent所在的电脑上创建