EAD可控软件管理故障排查.pdfVIP

EAD可控软件管理故障排查 一、开始 EAD可控软件管理即黑白软件管理，黑名单顾名思义不允许安装运行， 白名单则允许安装运行，此外，还支持纯白软件管理，即要求终端必 版权所有:杭州华三通信技术有限公司 须安装软件列表里的应用程序。可以对软件、进程、服务、文件等进 行匹配，并根据灵活的控制策略将不满足策略要求的终端进行隔离、 下线、提醒等，保证必备软件的正常安装运行，将安全投资落到实处 ，巩固终端安全。 EAD可控软件管理排错思路：身份认证之后才会触发安全认证，关于身 份认证失败的排查思路可以参考具体的认证类云图，在此不再叙述。 首先检查服务器软硬件及性能是否满足当前认证需要，然后从iNode PC和iNode DC及智能终端三种客户端认证场景进行分析，相应做iMC服务器运行状 态的检查，安全策略配置检查，终端软件安装情况检查，最后对照iNo de版本说明书查看支持的检查项及注意事项 。 1、iMC服务器安装部署规范检查 需要对照《智能管理中心（iMC）部署和硬件配置方案》,检查iMC服务 器性能是否符合配置要求。该配置是我们推荐的运行iMC最基本的部署 要求，请严格执行。 说明：文档下载路径： 【全球技术服务部文档管理平台 技术支持中心 01-IP网络产品 30-业务软件 1-产品资料(典型配置,特性说明) 01- iMC(H3C智能管理中心)】 (1)对照《智能管理中心（iMC）部署和硬件配置方案》检查服务器CPU 、内存、硬盘等是否合乎规格，如果认证数量大、Portal网页在线数 量多，是否根据《方案》要求将组件分布式部署在性能良好的服务器 上，重点需要检查内存占用是否过高，内存大小是否满足《智能管理 中心（iMC）部署和硬件配置方案》计算出的要求，操作系统和数据库 是否64位，建议使用64位系统。 (2)点击“开始智能部署监控代理”，选择“部署”页签，检查“EA D安全策略管理”各组件是否已部署的状态，具体如下图所示，关于“ 用户接入管理”组件的检查方式，请参考认证类云图。 版权所有:杭州华三通信技术有限公司 2、iMC服务器运行情况检查 要使用可控软件管理功能，除了确保UAM相关进程运行正常外，还要检 查策略服务器对应的进程是否运行正常，及进程绑定的端口是否正常 ，具体可从如下两方面检查： (1)点击“开始智能部署监控代理”，选择“进程”标签页，查看EA D的核心进程policyserver是否正常启动，具体如下图所示： 版权所有:杭州华三通信技术有限公司 (2)检查策略服务器对应的监听端口UDP 9019,UDP 9017是否正常绑定，如下图所示： 版权所有:杭州华三通信技术有限公司 3、 EAD配置检查 （1）可控软件策略配置检查 要实施可控软件管理，首先必须配置可控软件组，例如：要控制终端 不能运行QQ软件，则必须先创建一个包含可控软件组，并绑定一个检 版权所有:杭州华三通信技术有限公司 查项，可根据进程、服务、文件或软件创建该检查项。举例如下图所 示： 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 然后创建安全策略，并将创建的可控软件组和安全级别绑定。然后在 “服务”里绑定“安全策略”，如下图所示： 最终，接入账号和服务进行绑定，总之，只有账号绑定了正确的“服 务”，“服务”绑定了正确的“安全策略”，“安全策略”绑定了正 确的“安全级别”和“可控软件策略”，才会进行可控软件的检查。 检查账号是否配置了正确的可控软件策略最直观的方法：通过接入账 号确定其绑定的服务，然后通过服务确定其绑定的安全策略，通过安 全策略可以检查具体的可控软件策略和安全级别，包括安全级别及下 发的ACL、VLAN配置是否正确等，如下图所示： 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 （2）授权配置检查 当终端不满足可控软件策略时，会将该用户下线或者放到隔离区，而 隔离区的构造通常通过下发ACL或者VLAN实现，在使用ACL或VLAN进行 授权场景，需要确保下发后终端PC和策略服务器能正常通信； 例如：终端PC的IP：，策略服务器IP：00 ，如果使用ACL进行授权，则设备侧的ACL配置中必须有放