2022年中软华泰节点-操作系统安全加固用户手册-win终端平台 .pdf

《2022年中软华泰节点-操作系统安全加固用户手册-win终端平台 .pdf》由会员分享，可在线阅读，更多相关《2022年中软华泰节点-操作系统安全加固用户手册-win终端平台 .pdf（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1节点-操作系统安全加固（服务器版）客户端(Windows)安装配置手册北京中软华泰信息技术有限责任公司版本:1.4名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 27 页 -北京中软华泰信息技术有限责任公司2版权所有：C北京中软华泰信息技术有限责任公司，本手册所有权由北京中软华泰信息技术有限责任公司独家所有。未经本公司书面许可，任何单位或个人都无权以任何形式复制、传播本手册的任何部分，否则一切后果由违者自负。销售许可：中软华泰节点-操作系统安全加固产品已通过公安部认证和计算机信息系统安全专用产品的销售许可。注意：北京中软华泰信息技术有限责任公司保留以后对本手册内容及本手册所描述

2、的产品进行修改的权利，恕不另行通知。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 27 页 -北京中软华泰信息技术有限责任公司3目录1 前言.4 1.1 公司简介.4 2 说明.4 2.1 适用范围.4 2.2 定义.5 2.3 注意事项.5 2.4 联系方式.5 3 客户端的安装.6 3.1 下发 KEY.6 3.2 安装模块驱动.7 3.3 修改配置文件.8 3.4 安装客户端.10 4 客户端的使用.16 4.1 程序列表.16 4.1.1 升级程序列表.16 4.1.2 未知程序列表.17 4.1.3 已安装软件列表.17 4.2 安装和采集接口.19 4.2.1 软件

3、安装接口.19 4.2.2 软件扫描接口.20 4.2.3 网络控件扫描接口.22 4.3 存储安全保护.22 4.3.1 文件保密柜.22 4.3.2 移动存储注册.23 4.4 强制访问及文件加解密功能.24 4.4.1 强制访问控制.24 4.4.2 移动设备的加密存储功能.25 4.4.3 文件保密柜的加密存储功能.26 5 卸载节点-操作系统安全加固产品 .27 名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 27 页 -41 前言1.1 公司简介北京中软华泰信息技术有限责任公司成立于2000 年，专业从事信息安全体系研究、信息安全产品研制、生产和销售，是国内实力雄厚的

4、网络安全产品、可信计算产品、安全服务与解决方案的综合提供商。公司技术力量雄厚、研发水平居同行业领先地位，享有国内安全界知名院士的指导，拥有一支以博士后、博士、硕士为骨干力量的高起点的研发队伍；并拥有覆盖全国的渠道体系和技术支持中心。近年来，先后参与重大产业发展研究项目，并成为国家与微软原代码级合作的技术承担单位。公司坚持产、学、研相结合的发展方向，与北京交通大学、北京工业大学共同成立研究生培养基地，在为国家输送大批信息安全专业人才的同时也使公司具备了坚实的技术储备。2008 年初，公安部为制订等级保护方案设计规范要求的国家标准，进行等级安全应用技术平台模拟系统搭建工作，公司在众多竞争者中脱颖而

5、出,承接了目前最高等级四级系统的建设任务，并于2008年 11 月底完成项目验收，从而成为等级保护参与单位，目前正在配合国家主管单位参与国家重大支持项目的申请工作。经过几年的努力，公司凭借自身一流的技术和专业的服务赢得了广大客户的支持与信赖，产品已经在各级政府机关和相关涉密企事业单位得到了广泛应用，涉及到金融、税务、海关、公安、司法、安全、医疗等诸多行业领域。2 说明2.1 适用范围本手册针对高级用户、网络管理员、网络安全管理员。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 27 页 -北京中软华泰信息技术有限责任公司52.2 定义节点-操作系统安全加固产品安全管理中心以下简称

6、安全管理中心。节点-操作系统安全加固产品客户端以下简称客户端。节点-操作系统安全加固产品客户端所安装的计算机以下简称客户端平台。安装 KEY 驱动即指安装 USB-Key 驱动。2.3 注意事项系统的全面扫描及病毒查杀由于节点-操作系统安全加固产品对可执行程序的控制采用的是白名单管理机制，为了确保您的主机安全，请在安装客户端软件之前，对系统进行全盘扫描及病毒查杀。以避免病毒、木马等恶意程序误扫入到白名单之中，从而导致主机系统存在安全隐患。关闭 Windows自带防火墙及安全防护类软件由于节点-操作系统安全加固产品采用的是网络集中管理模式，其中必然涉及到管理中心与客户端之间的策略传输问题。为了保

7、证管理中心与客户端之间的策略传输正常，请在安装之前关闭 Windows 操作系统自带防火墙及其他安全防护类软件。确认客户端平台与安全管理中心的网络连通性由于安全管理中心与客户端平台所用策略传输端口为tcp 5151，审计传输端口为tcp 5152，因此在安装客户端软件以前一定要确保以上两个端口未被占用，否则客户端程序安装完成之后，程序将不能正常更新策略，从而导致节点-操作系统安全加固产品不能正常工作。必须在安装客户端软件以前一定要通过ping、telnet 和 tracert 等网络命令确保客户端平台与安全管理中心的网络连通性。2.4 联系方式北京中软华泰信息技术有限责任公司提供电话咨询及协助

8、服务，用以解决用户在使用当中遇到的问题。我们将在最短的时间内为您排忧解难。如果您对我们的产品有任何意见或建议的话，欢迎拨打下面的电话同我们进行交流。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 27 页 -北京中软华泰信息技术有限责任公司6在此，我们对您的支持与厚爱表示感谢。联系电话：（010）62191614、62198781、62144177传真：（010）62133939网址:http:/ 3 客户端的安装3.1 下发 KEY 第一步：以系统管理员身份登录安全管理中心，选择左侧操作菜单栏“身份管理”下的“用户身份信息列表”，进入“用户身份信息列表”主界面；第二步：在安全管

9、理中心插入待发行的USB-Key，点击“用户身份信息列表”下方的“添加”按钮，正确输入以下注册信息；密钥文件：浏览选择账号管理员所下发的密钥文件；选择 KEY：在安全管理中心USB 接口数量允许的情况下，可依次同时（同时插入8 个USB-Key）下发 8 个 USB-Key，因此在这里需要按顺序选择当前将要发行USB-Key 的接口，第一个插入的 USB-Key 即选择 0，第二个插入的 USB-Key即选择 1，而后以此类推；PIN 码：输入初始 PIN 码为 11111111（必须是 8 个 1）；用户名：作为此 KEY 的标识性文字(可自定义)；组织：当前所要发行的用户所在单位或部门；性

10、别：根据实际情况选择；地址：当前所要发行的用户所在单位或部门地址；联系电话：当前所要发行用户的联系电话；电子邮件：当前所要发行用户的电子邮件。第三步：注册信息输入完毕，点击“提交”按钮，完成USB-Key 的发行操作，发行完成点击“OK”即可，如图：名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 27 页 -北京中软华泰信息技术有限责任公司73.2 安装模块驱动将光盘放入服务器光驱中，打开模块驱动所在目录，双击“SFingermgrSetup.exe”，开始进行模块驱动的安装。1)点击主安装界面上的“安装KEY 驱动”按钮，开始进行USB-Key 驱动的安装，安装完成，安装对话框

11、会自动关闭，如图：名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 27 页 -北京中软华泰信息技术有限责任公司82)将 USB-Key 插入设备的 USB 接口，系统屏幕右下角会弹出“新硬件已安装并可以使用了”提示框和 USBkey 提示信息，并在“我的电脑”右键“管理”“设备管理器”列表中显示USB-Key 名称信息，如图所示：3.3 修改配置文件1)将光盘插入到光驱中，拷贝安装包目录到其他盘符或者桌面上，如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 27 页 -北京中软华泰信息技术有限责任公司92)进入以拷贝好的安装包目录，找到“setup.ini”

12、双击打开配置文件；3)将其中的 ServerIP和AuditIP 分别改成策略服务器和审计服务器的IP 地址，保存并关闭配置文件，如图：名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 27 页 -北京中软华泰信息技术有限责任公司103.4 安装客户端1)双击光盘目录中的“节点-操作系统安全加固产品.exe”，会出现如下安装界面，如图所示：2)安装过程中，程序会弹出版权保护确认说明，点击“下一步”按钮继续进行安装；3)由于识别 USB-Key 为安装终端前的必要步骤，因此系统会再次提示是否安装了模块驱动，确认之后，点击“下一步”按钮继续安装；名师资料总结-精品资料欢迎下载-名师精心

13、整理-第 10 页，共 27 页 -北京中软华泰信息技术有限责任公司114)系统开始进行网络模块的安装，点击“下一步”按钮继续进行安装；5)网络模块安装完成，系统准备运行辅助工具，点击“下一步”按钮继续进行下一步；6)程序开始进行文件的复制与安装，如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 27 页 -北京中软华泰信息技术有限责任公司127)平台信息注册：第一步：在终端平台插入 USB-Key（此 USB-Key 为即将上报的安全管理中心所发行），并确认 USB-Key 已被终端平台识别。第二步：在平台信息界面点击“读取”按钮，正确输入当前USB-Key 的 PI

14、N 码，点击“确定”按钮开始读KEY 的操作。第三步：在“平台名”一栏正确输入此平台的标识性文字(自定义即可)。第四步：在“服务器IP 地址”一栏输入策略服务器的IP 地址。第五步：点击“注册”按钮，开始平台的注册操作。8)平台注册成功后，点击“下一步”开始采集系统白名单，如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 27 页 -北京中软华泰信息技术有限责任公司13默认系统采集对象为系统盘下的所有可执行文件（系统盘必须要扫描，否则会造成系统不能正常启动），如果需要添加采集对象，请点击“添加目录”按钮，浏览选择需要添加的目录，点击“确定”按钮，即可完成添加操作。如果需

15、要删除多余的采集目录，请单击左键选中此目录，然后点击“删除”目录按钮，即可完成删除操作，如图所示：9)扫描配置完成，点击“启动扫描”按钮，开始进行系统白名单的采集操作，如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 27 页 -北京中软华泰信息技术有限责任公司1410)采集完成后，系统将会弹出“系统扫描结束”的对话框，点击“确定”按钮，继续下一步安装，如图所示：11)安装过程中系统会再次与安全管理中心进行连接，点击“下一步”按钮继续进行安装。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 27 页 -北京中软华泰信息技术有限责任公司1512)策略服务器

16、连接中，如图所示：13)审计服务器连接中，如图所示：14)请直接点击“仍然继续（C）”按钮，进行网络监控模块的安装。请连续确认两次，即可完成该模块的安装。15)与服务器连接成功后，系统会弹出安装完成对话框，点击“完成”按钮退出安装程序，如图所示：16)程序安装完成后，为了使其生效，需要重新启动计算机，点击“确定”按钮，完名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 27 页 -北京中软华泰信息技术有限责任公司16成计算机的重启操作，如图所示：4 客户端的使用4.1 程序列表4.1.1 升级程序列表当白名单中的某个应用软件需要连接到外部网络，并对该应用软件升级更新时，那么它的升

17、级进程会将下载新的程序到客户端平台，并尝试运行。由于客户端平台对于未知程序（即：不在白名单内的程序）是禁止其执行的，此时就需要客户端平台将此应用软件的升级程序添加到升级程序列表中以达到为应用软件正常升级的目的。（即：通过在升级程序列表中的程序，所下载的连带程序将自动添加到白名单之中）。添加升级程序第一步：点击管理工具“程序列表”下的“升级程序列表”选项；第二步：点击“升级程序列表”下方的“添加新的升级程序”按钮；第三步：浏览选择将要添加的升级程序，点击“添加”按钮完成添加操作。如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 27 页 -北京中软华泰信息技术有限责任公司

18、174.1.2 未知程序列表在客户端平台上，因不在白名单内而又企图运行的应用程序，被禁止执行后都将会在管理工具下的“未知程序”列表中逐一显示，并同时上报到安全管理中心系统管理员下的“未知程序列表”中。如图所示：4.1.3 已安装软件列表客户端平台所采集到白名单中的应用程序，都将在“已安装软件”列表逐一罗列显示，用户可根据需要对其进行删除、导出模板等操作。删除删除操作主要为实现，完全卸载一款已在白名单的软件，及其白名单文件的删除。名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 27 页 -北京中软华泰信息技术有限责任公司18第一步：正常卸载需要删除策略的应用程序；第二步：点击管理

19、工具“程序列表”下的“已安装软件列表”选项；第三步：鼠标右键选择将要删除的已安装软件名称，并点击“删除安装”，完成删除操作；如图所示：更新白名单更新白名单功能：即刷新白名单列表。导出第一步：选择管理工具“程序列表”下的“已安装软件列表”选项；第二步：点击“已安装软件列表”下方的“导出”按钮；第三步：浏览选择导出文件的存放路径，正确输入导出文件的名称，点击“打开”按钮并“确定”；第四步：导出完成，系统会弹出上报完成对话框，点击“确定”按钮，完成模板导出操作；如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 27 页 -北京中软华泰信息技术有限责任公司194.2 安装和采集

20、接口由于客户端软件采用白名单管理机制，那么未在白名单中的应用程序将无法执行。此时必须通过客户端软件的专用采集接口进行采集并批准，才能够赋予其可执行权限。首先登陆安全管理中心安全管理员账户，在平台身份信息列表批准该平台的采集功能。4.2.1 软件安装接口如果客户端平台需要安装新的应用程序，请通过管理工具的软件安装接口进行安装；第一步：点击管理工具“安装和采集接口”下的“软件安装接口”；第二步：在“程序组”一栏输入将要安装的应用程序的程序名称；第三步：浏览选择待安装软件安装包，点击“安装”按钮开始新应用程序的采集安装。第五步：安装完成，点击“生成策略”按钮完成安装操作，此时，该应用程序将添加到“已

21、安装软件列表”，（注：安装的软件需要重启系统时按照正常安装流程重启系统后继续安装，再点击“生成策略”。）如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 27 页 -北京中软华泰信息技术有限责任公司204.2.2 软件扫描接口如果客户端平台安装完成之后，系统仍存在有待采集的应用程序（指安装目录下的应用程序或绿色软件等），请通过管理工具中的“软件扫描接口”将其扫描添加到白名单之中。添加目录第一步：点击管理工具“安装和采集接口”下的“软件扫描接口”；第二步：在“程序组名”一栏输入将要扫描的应用程序名称；第三步：点击“添加目录”按钮，浏览选择将要扫描的应用程序所在目录；第四步

22、：点击“启动扫描”按钮，开始对应用程序的扫描过程；第五步：扫描完成，系统会弹出“系统扫描结束”对话框，点击“确定”按钮，完成扫描操作，此时系统还会弹出“白名单生成成功”提示框，点击“确定”，此时该应用程名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页，共 27 页 -北京中软华泰信息技术有限责任公司21序将添加到“已安装软件列表”，如图所示：删除目录第一步：点击管理工具“安装和采集接口”下的“软件扫描接口”；第二步：鼠标左键选择需要删除的扫描路径，单击“删除目录”按钮完成删除操作。如图所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 27 页 -北京中软华泰信息技

23、术有限责任公司224.2.3 网络控件扫描接口由于客户端软件采用白名单管理机制，当用户浏览需要安装播放插件的网站时，会出现插件安装不上，无法正常浏览网页的情况。此时就需要通过客户端上的“网络控件扫描接口”进行网络控件的采集与批准，单击“采集”按钮客户端软件将自动进行网络控件采集。采集批准完成后，将该控件将添加到“已安装软件列表”。4.3 存储安全保护4.3.1 文件保密柜用户可以在客户端平台建立自己的私有目录，称为“文件保密柜”，系统将禁止本用名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页，共 27 页 -北京中软华泰信息技术有限责任公司23户以外的其它用户访问保密柜中的文件，从而

24、有效的保护用户的私有信息；添加保密柜第一步：点击管理工具“存储安全保护”下的“文件保密柜”选项；第二步：在“目录”一栏浏览选择将要添加为文件保密柜的目录；第三步：在“授权码”一栏输入将要添加的文件保密柜的用户私人密码；第四步：选择“操作”栏右侧的“添加”选项，点击“确定”按钮完成文件保密柜的添加操作；开启保密柜第一步：点击管理工具“存储安全保护”下的“文件保密柜”选项；第二步：鼠标左键选择需要开启的文件保密柜的路径；第三步：在授权码一栏正确输入该文件保密柜的私人用户密码；第四步：选择“操作”栏右侧的“开启”选项，点击“确定”按钮完成文件保密柜的开启操作；关闭保密柜第一步：点击管理工具“存储安全

25、保护”下的“文件保密柜”选项；第二步：鼠标右键选择需要开启的文件保密柜的路径；第三步：在授权码一栏正确输入该文件保密柜的私人用户密码；第四步：选择“操作”栏右侧的“关闭”选项，点击“确定”按钮完成文件保密柜的关闭操作；删除保密柜第一步：点击管理工具“存储安全保护”下的“文件保密柜”选项；第二步：鼠标右键选择需要开启的文件保密柜的路径；第三步：在授权码一栏正确输入该文件保密柜的私人用户密码；第四步：选择“操作”栏右侧的“删除”选项，点击“确定”按钮完成对文件保密柜的删除操作；4.3.2 移动存储注册连接到客户端平台的移动存储设备，在系统默认状态下是不允许对其进行任何操作的，只有经过注册并批准的移

26、动存储设备，才可以作为客户端平台上的客体，对其应用安名师资料总结-精品资料欢迎下载-名师精心整理-第 23 页，共 27 页 -北京中软华泰信息技术有限责任公司24全管理中心的安全策略进行相应访问控制操作；注册移动存储设备第一步：将移动存储设备连接到客户端平台，并确定已被识别；第二步：选择管理工具“应用程序控制”下的“移动存储注册”选项；第三步：点击“本地移动存储”列表下方的“检索本地移动存储”按钮，待列表显示移动设备信息，即检索完成；第四步：点击列表下方“注册本地移动存储”按钮，并正确输入如下信息；移动存储设备名称：输入将要注册的移动存储设备的名称；请输入责任人：输入将要注册的移动存储设备所

27、属责任人的名称；请输入单位名称：输入将要注册的移动存储设备所属责任人的单位名称；请输入备注信息：输入将要注册的移动存储设备的备注信息；第五步：点击“确定”按钮，完成对移动存储设备的注册操作；4.4 强制访问及文件加解密功能4.4.1 强制访问控制强制访问控制即由安全管理中心对系统中的主体（用户、进程）及客体（文件、执行程序等）进行安全标识，根据客体类型的不同分别制定不同的访问控制规则从而全方位的保护系统重要信息。强制访问控制主要遵循以下访问规则：优先级比较：首先比较主客体的范畴，当范畴决定主体对客体具有访问权限时，再比较主客体的敏感度，当主体的敏感度与客体的敏感度相同时，就需要比较可信度来决定

28、主体对客体的访问权限。范畴比较：1.顶级范畴的主体具有访问所有下级范畴客体的权限；2.主体和客体的范畴相同时，主体具有访问客体的权限；3.同级别范畴的主体无法访问同级别范畴的其它客体；4.上一级范畴的主体具有访问它直属下级范畴客体的权限；5.上一级范畴的主体无法访问非直属下级范畴的客体；名师资料总结-精品资料欢迎下载-名师精心整理-第 24 页，共 27 页 -北京中软华泰信息技术有限责任公司256.下级范畴的主体无法访问上级范畴的客体。敏感度比较：1.若主体的敏感度小于客体的敏感度，则客体拒绝主体的访问；2.若主体的敏感度大于客体的敏感度，则主体对客体有且仅有只读权限；3.若主体的敏感度等于

29、客体的敏感度，则需要比较主客体的可信度。可信度比较：1.若主体的可信度小于客体的可信度时，则主体对客体有且仅有只读权限；2.当主体的可信度大于等于客体的可信度时，主体对客体具有所有权限（读、写、改名、删除）。附列举说明表：4.4.2 移动设备的加密存储功能4.4.2.1 文件加密功能第一步：在客户端插入经注册并授权的移动存储设备，应用强制访问策略使当前用户对其具有可写权限；第二步：以安全管理员身份登陆安全管理平台，修改客体标记列表中与之对应的客体测试对象敏感度可信度主体对客体具有的权限主体5 5 客体 A 1 1 只读客体 B 1 5 只读客体 C 1 10 只读客体 D 10 1 拒绝访问客

30、体 E 10 5 拒绝访问客体 F 10 10 拒绝访问客体 G 5 1 读、写、改名、删除客体 H 5 5 读、写、改名、删除客体 I 5 10 只读名师资料总结-精品资料欢迎下载-名师精心整理-第 25 页，共 27 页 -北京中软华泰信息技术有限责任公司26信息，即：勾选“客体类型”右侧的“加密”选项，策略更新；第三步：重启客户端（主要是为了清除缓存问题）第四步：登陆客户端平台，打开该移动存储设备中的文档，文档以密文显示，如图所示：4.4.2.2 文件解密功能第一步：将带有加密文件的移动设备再次插入到客户端平台，并确认已被识别；第二步：以安全管理员身份登陆安全管理平台，去掉客体标记列表中

31、与之对应的“加密”选择项，策略更新；第三步：重新启动客户端，再次打开移动存储设备中的文档，其内容将以明文形式显示，如图所示：4.4.3 文件保密柜的加密存储功能4.4.3.1 文件加密功能打开管理工具，将需要加密文件所在目录添加为文件保密柜；非加密用户进行登录客户端之后无法查看文件保密柜的内容。4.4.3.2 文件解密功能打开管理工具，删除需要解密文件所在目录的文件保密柜策略；名师资料总结-精品资料欢迎下载-名师精心整理-第 26 页，共 27 页 -北京中软华泰信息技术有限责任公司27非加密用户无法进行解密操作。5 卸载节点-操作系统安全加固产品由于客户端软件仅为一个终端代理程序，只需删除必

32、要文件，然后重新启动计算机即可，具体步骤如下：第一步：进入安全模式；第二步：删除 system32wseckrl.sys；第三步：删除 system32ginastub.dll；当前目录下复制msgina.dll 文件，并将其附件改名为 ginastub.dll；第四步：删除 system32driversHTNetCtrl.sys 和 tdifw_drv.sys；第五步：删除 system32seckrl和 netcontrol目录；第六步：通过小工具卸载网络连接中的HTNetCtrl Driver；第七步：重新启动计算机进入原始系统即可。名师资料总结-精品资料欢迎下载-名师精心整理-第 27 页，共 27 页 -