3. i
前言
Copyright ⓒ, AhnLab,Inc. 1988-2007, All rights reserved.
根据著作权法和计算机软件保护法,本使用说明书的内容和 AhnLab Policy Center 3.0 软件受
到法律保护。
2007 年 8 月 1 日 第一次发行
制定目的
AhnLab Policy Center 3.0 是安博士有限公司开发的综合安全管理系统。 为购买 AhnLab
Policy Center 3.0 的服务器管理员更便利使用产品,制定了本使用说明 书。
说明书的组成
从第五章安装开始到第七章的生成 Agent 安装程序是针对购买 AhnLab Policy Center 3.0 公司
必须要了解的 Policy Server 安装和生成 Policy Agent 安装程序需设置的 域名管理和策略管
理的功能,生成 Agent 安装程序的过程进行说明。
第八章是为分散服务器的负荷,设置转发服务器的方法的设置转发服务器时需了解的功能进行
说明。
第九章是添加 Policy Server 服务器时,设置服务器间关系的上级域名设置需要了解的功能进
行说明。
第十六章对于 Policy Center Admin 中管理 Policy Server 时在管理界面的主菜单窗口的每个
菜单进行说明。 在主菜单窗口中不能使用的其它功能将在每个菜单功能介绍中把相似的内容组
合说明。
标记规则
标记规则 内容
<界面名称> 界面中显示的句子,框架,窗口的名称
开始->程序 说明运行顺序
[策略管理] 以 Tab 表示的项目名称
确认 按钮名称
添加/修改/删除 表示添加或修改或删除
[参考] 使用者需要了解的说明
[注意]
使用程序时必须要注意的警告
忽视该项使用时,可能会出现无法预见的功能
功能 对于功能的说明,定义
方法 运行功能的操作顺序说明
4. 目录
ii
著作权
Microsoft® Internet Explorer
Microsoft® Windows® 2003 Server
Microsoft® Windows® 2000 Server
Microsoft® Windows® 2000 Professional
Microsoft® Windows® XP Professional
Microsoft® Windows® 95, 98, 98SE, ME
Microsoft® Windows NT® Server 4.0
Microsoft® Windows NT® Workstation 4.0
Windows® Installer
MSDE®
Microsoft® SQL Server 2000
Intel® Pentium®
IBM®-PC
WinSock(Windows Sockets 2.0) 等标记是各公司注册的商标。
17. 5
1.AhnLab Policy Center 的结构
1.1 AhnLab Policy Center 3.0 结构
AhnLab Policy Center 3.0 的基本结构如下:
安装于管理对象系统中的 Policy Agent
安装于管理服务器中的 Policy Server 及数据库服务器
安装于管理员计算机中的 Policy Center Admin
执行 Policy Server 文件分发功能的 Relay Server
尤其是其中 Policy Server 的数据库保存部分,包括用于保存帐户及策略信息的 OpenLDAP 和
用于保存 Agent 状态信息及日志信息的 MSDE(MS-SQL)服务器。
备注
OpenLDAP 和 Policy Server 必须安装在同一计算机中,而 MSDE 则可以安装在远程计算机中。
1.1.1 Policy Server
AhnLab Policy Server 的简称。
安装于中央服务器中的应用程序 Policy Server,是一种能够有机连接 AhnLab Policy Center
3.0 中的各个结构要素的 NT 服务应用程序集合。Policy Server 由如下所述的几个部分构成:
18. AhnLab Policy Center 3.0
6
Agent 服务
起到 Agent 和 Policy Server 之间的接口作用,对 Agent 的请求进行应
答。
Agent Scheduler 在传递策略修改命令或安全命令时,起到分配工作的作用。
策略管理器 用于对策略修改事件进行调整的服务。
策略适用器 用于对策略适用事件进行调整的服务。
控制台 Agent
起到 Policy Center Admin 3.0 和 Policy Server 以及监视中心之间的
接口作用。
日志管理器 起到从 Agent 接收日志信息并保存到数据库中的作用。
OpenLDAP 用于保存个人/群组以及策略信息的目录服务。
数据库
用于保存 Agent 状态信息及日志的存储部分,其默认数据库为 MSDE
2000 SP3。当用户人数达到 1000 人以上时,推荐使用 MS SQL Serv
er 2000。
1.1.2 Policy Center Admin
能够通过与 Policy Server 进行通信,对 Policy Server 进行管理的控制台。
在 Policy Center Admin 中制定的安全产品运行策略及命令将被传送到 Policy Server,之后再
接收服务器所传送的各种信息对其进行加工并最终提供给管理员。
1.1.3 Policy Agent
安装于管理对象计算机中的应用程序,能够与 Policy Server 进行通信。
将 Policy Center Admin 所传送的命令和策略适用到管理对象计算机中,同时将管理对象计算
机中的安全产品所生成的各种日志及环境信息传送至 Policy Server。
1.1.4 Relay Server
可以通过设置使代替主服务器执行引擎的升级及文件的分发,而负责上述功能的特定 Agent 则
被称之为 Relay Server。
当特定 Agent 被设置为特定群组的 Relay Server 之后,将在上述 Agent 中安装 Relay Server
模块。Relay Server 模块在 Agent 计算机中以服务的方式运行,能够从服务器中下载最新版本
的文件并将上述文件传递给所属群组的所有 Agent。
19. 7
2.AhnLab Policy Center 的特点
AhnLab Policy Center 3.0 是由安博士公司开发的中央管理防护解决方案,是一种能够由中央
服务器按照统一的安全策略对安装于企业内部多台计算机中的各种安全产品同时进行管理的安
全管理应用程序。利用 AhnLab Policy Center 3.0,可以通过中央服务器对安装于公司内部的
各种安全产品进行有效正确的管理。
2.1. 功能及特点
综合管理
可以通过一台管理服务器、管理员控制台和 Agent 对 V3 系列产品及个人防火墙进行管理,提
高管理性能并在发生危险状况时采取及时有效的应对措施。
自动安装并管理安全产品
可以将安博士公司开发的 V3 系列产品(V3 VirusBlock for Windows Server 6.0)和客户端 V3
Internet Security 自动安装在 Agent 计算机中,并对所安装产品的策略进行设置和管理。
管理员权限的分散
不仅允许多个管理员同时连接并分担管理工作,还可以为不同的管理员分配三个不同级别的管
理权限,使其根据职能分担管理工作。
适用的扩展性
可以根据管理对象计算机的数量多少、地域分散程度、网络环境等,以各种不同的结构设置 Po
licy Server 和 Policy Agent 之间的通信方式。同时,通过设置上级域和下级域之间的关系以及
Relay Server 等,使其能够以不同的形态适用于大规模网络环境中。
适用于各种不同的网络环境
能够轻松地应对 WAN、NAT、VPN、DHCP 等各种不同的企业网络结构,使企业在不改变网络
结构的条件下使用本应用程序。
最低的网络负荷
鉴于引擎升级频率的不断提升的现状,提供一种只需要对已发生变化的升级文件进行下载的 De
lta 升级功能,从而最大限度地降低了企业的网络负荷。此外,在网络环境极度恶劣的状态下通
过启用 Agent 最小运行模式,提供一种只有在管理员需要时才进行网络通信的功能。
用户的便利性
不仅提供各种丰富的报表模板,还可以利用图形转换功能生成各种不同形态的报表。同时,通
过简单易用的用户自定义报告书功能,可以在不使用晦涩难懂的查询命令的情况下轻松计算生
成所需格式的报告书。
20. AhnLab Policy Center 3.0
8
自我安全管理功能
通过向网络蠕虫的主要传播途径即共享文件夹下达信息收集、权限修改及共享解除等命令,有
效地保护企业环境的安全。
此外,可以利用硬件资产信息功能掌握企业的资产状态,还可以利用软件安装信息功能掌握没
有得到许可的应用程序。
2.2. 新增功能
用于防止病毒扩散的事先防御功能
通过对密码不够安全的管理员帐户和不安全的共享文件夹进行周期性的扫描,剔除系统中的不
安全因素,同时利用网络拦截功能降低恶意代码的扩散速度。此外,利用 Outbreak Managem
ent Services 可以在最新的引擎文件分发之前事先拦截恶意代码,从而将恶意代码的扩散所导
致的企业损失降至最低。
指定辅助升级服务器
为了应对 Policy Server 和 Agent 之间通信不畅的情况发生,可以设置辅助升级服务器以代替 P
olicy Server 的引擎升级文件传送功能。利用辅助升级服务器,可以在 Agent 与主服务器之间
的通信发生障碍时及时连接到预设的辅助升级服务器并下载引擎升级文件,从而提高了升级工
作的成功率。
支持 Multi-NIC 功能
当 Policy Server 中安装有两块网卡时,有时可能需要对其 IP 地址进行修改。AhnLab Policy C
enter 3.0 添加了可以向服务器内部输入辅助服务器 IP 地址的功能,使其可以在服务器的 IP 地
址被变更的情况下自动连接到辅助服务器 IP。
分发文件大小的限制功能
在分发软件注册列表中显示文件大小信息,并添加了分发大型文件时的警告功能。
搜索 Agent 之后的命令指示功能
当管理员根据需要利用安博士公司所提供的预存有 Agent 搜索条件的模板文件搜索 Agent 之
后,可以直接在搜索窗口中下达所需的策略命令,从而提高了管理的便利性。
提高公告传送速度和准确率
通过改善 Policy Server 管理员向 Agent 发送公告时所使用的公告发送结构体,使其可以更快
速更准确地将公告内容传送至 Agent。
设置时间服务器
为了保持 Policy Server 准确的时间信息,可以指定始终保持标准时间的时间服务器。同时,通
过使 Agent 的时间信息同步于服务器标准时间而不是使用该 Agent 计算机中的时间,可以有效
避免服务器和 Agent 之间的时间差异所导致的问题发生。
21. AhnLab Policy Center 的特点
9
利用相同的序列号统一管理所安装的安全产品
对于在引入 AhnLab Policy Center 3.0 之前单独安装的如 V3 VirusBlock for Windows Server
6.0 等安博士公司的安全产品以及新引入的安全产品,Policy Server 管理员可以利用相同的产
品序列号进行管理。这样不仅可以免除服务器管理员对安博士公司每一种安全产品的使用权一
一进行管理的麻烦,还可以有效防止公司内的非法软件。
恢复策略默认值
在策略管理画面中新增加了恢复默认值功能。利用恢复默认值功能,可以在策略管理过程中需
要恢复 Policy Server 自带的默认策略状态时轻松地恢复到默认策略状态。
管理 Agent 安装程序
通过提供 Agent 安装程序的设置内容、文件的生成日期、安装文件等详细信息,更便于掌握
Agent 安装文件的现状或对文件进行删除。
22.
23. 11
3.安装环境
3.1. AhnLab Policy Center 3.0 的执行环境
分类 运行环境 备注
必备条件
Internet Explorer 6.0 以上
WinSock 2.0 以上
Policy Center Admin
操作系统
Microsoft Windows 2003 Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Microsoft Windows XP Professional
Policy
Center
Admin
硬件
CPU:推荐 Intel Pentium 1GHz 以上
内存:最低 128MB,推荐 256MB 以上
硬盘:最低 200MB 以上的剩余空间
NIC:10/100 Ethernet Card
必备条件
MSDE SP3/MS SQL Server 2000 SP3 以
上
OpenLDAP 2.0 以上
Windows Installer
Policy Server
操作系统
推荐操作系统:
Microsoft Windows 2000 Server
可运行操作系统:
Microsoft Windows 2003 Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Microsoft Windows XP Professional
Policy
Server
硬件
CPU:推荐 Intel Pentium 1GHz 以上
内存:最低 512MB,推荐 1GB 以上
硬盘:最低 5G 以上的剩余空间
Multi-NIC:10/100 Ethernet Card
* 推荐专用于 Policy Server
Policy
Agent
必备条件
Internet Explorer 6.0 以上
WinSock 2.0 以上
Policy Agent
24. AhnLab Policy Center 3.0
12
操作系统
Windows 95, 98, 98SE, ME,
Windows NT Workstation 4.0 SP5
Windows NT Server 4.0 SP5
Windows 2000 Professional
Windows 2000 Server
Windows XP
Microsoft Windows 2003
Server(32bit)
硬件
Pentium 233MHz 以上 IBM-PC 兼容计算
机
内存:64MB 以上
硬盘:30MB 以上
备注
除 Windows 95 之外的其他所有操作系统中均默认包含了 Winsock 2.0,因此 Windows 95 用户
需要通过 Microsoft 的主页(http://www.microsoft.com)下载并安装 Winsock 2.0.
备注
根据 Agent 策略的不同,Policy Center Admin 的 CPU、内存使用率有可能增加。因此,不推
荐将其与 Policy Server 安装在同一计算机中运行。
3.2. 推荐使用环境
3.2.1. 管理 V3 系列产品(不使用附加功能)
Agent 数量 CPU 内存 数据库 备注
~ 500 1GHz – 1 512MB MSDE SP3
500 ~1000 1GHz – 1 512MB MSDE SP3
1000 ~
2000
1.8GHz – 1 512MB MSDE SP3 服务器 OS
2000 ~
2500
2.0GHz – 1 1GB
MS SQL
2000 SP3
服务器 OS
2500 ~
4000
1.8GHz– 2
以上
1GB
MS SQL
2000 SP3
服务器 OS
Dual CPU
SCSI HDD
25. 安装环境
13
备注
根据 Policy Center Admin 中设置的策略内容的不同,系统的资源百分比会有所变化。推荐使
用环境是以基于 Policy Center Admin 中设置的默认策略运行并将 Policy Server 作为单独的
系统运行时的情况为标准计算的。
3.2.2. 管理 V3 系列产品并使用附加功能
Agent 数量 CPU 内存 数据库 备注
~ 500 1GHz – 1 512MB MSDE SP3
500 ~ 800 1GHz – 1 512MB MSDE SP3
800 ~ 1300 1.8GHz – 1 1GB
MS SQL
2000 SP3
服务器 OS
1300 ~
1800
2.0GHz – 1 1GB
MS SQL
2000 SP3
服务器 OS
1800 ~
2500
1.8GHz – 2
以上
1GB
MS SQL
2000 SP3
服务器 OS
Dual CPU
SCSI HDD
备注
根据 Policy Center Admin 中设置的策略内容的不同,系统的资源百分比会有所变化。推荐使
用环境是以基于 Policy Center Admin 中设置的默认策略运行并将 Policy Server 作为单独的
系统运行时的情况为标准计算的。
26.
27. 15
4.结构图
根据管理对象计算机的数量、网络状态、服务器管理员的有无等,AhnLab Policy Center 3.0
可以利用各种不同的形态构成其层级结构。
4.1. 单一域结构
单一域结构是指:在同一网络内安装一台 Policy Server,并由上述一台 Policy Server 与所有
管理对象计算机进行通信的结构。
4.2. 包含 Relay Server 的结构
是一种为了实现文件的分发,在单一域结构的基础上向特定群组的特定 Agent 安装用于执行文
件分发的 Relay Server 模块,并使相应群组的其他 Agent 通过所设置的 Relay Server 下载分
发文件的结构。
33. 安装
21
备注
当选择“使用已经安装在远程计算机中的 MSDE 或 SQL Server”时,将结束 MSDE 的安装过程
并开始 Policy Server 的安装过程。如果需要使用其他系统中的 MSDE,需要在安装 Policy Se
rver 的过程中的数据库设置阶段进行选择。
② 在<安装 MSDE 2000 SP3>画面中选择安装目标文件夹,当需要更改默认目标文件夹时单击
浏览...按钮并更改目标文件夹,接着单击下一步(N)。
③ 在<设置 MSDE 密码>画面中,输入管理员帐户 sa 的密码和确认密码内容,接着单击下一步
(N)。为了保证管理员帐户(sa)的密码安全,推荐使用 6 位以上的英文字母、数字和特殊字符的
组合。
④ 在<Policy Server 安装向导>提示窗口中将显示“中止安装程序并安装 Microsoft SQL
Desktop Engine 2000 SP3”的提示信息,单击确定按钮。
34. AhnLab Policy Center 3.0
22
⑤ 显示“正在安装 Microsoft SQL Desktop Engine 2000 SP3”的提示信息,该过程需要几分
钟的时间,请耐心等待直至提示窗口自动消失。
⑥ 显示<管理完成>画面,并显示 InstallShield 安装向导完成了系统必备软件包中的所有管理
操作的提示信息,单击确定按钮。
备注
在安装 MSDE 之后必须重新启动计算机。在重新启动计算机后,将自动执行 Policy Server 剩
余的安装过程。如果没有安装新的 MSDE,则直接开始 Policy Server 的安装过程。
5.2. 安装 Policy Server
功能
下面,对执行安装命令和策略管理等核心功能的 Policy Server 的安装过程进行说明。
备注
在完成系统必备软件包的安装之后,将自动执行 InstallShield Policy Server 安装向导。
35. 安装
23
方法
① 显示<InstallShield Policy Server 3.0 安装向导>画面,单击下一步(N)。
② 显示有关安博士公司软件使用协议的<用户许可协议>画面,当同意用户许可协议中的条件时
单击是(Y)继续安装。
③ 显示<用户信息>画面,在输入名称、公司、序列号之后单击下一步(N)。
④ 在<选择目标位置>画面中选择用于安装 Policy Server 3.0 的目标文件夹,可以使用默认文
件夹或通过单击浏览(R)...按钮更改目标文件夹之后单击下一步(N)。默认安装路径为 C:₩Pro
gram Files₩AhnLab₩APC2₩Policy Server。
⑤ 在<选择程序文件夹>画面中选择用于添加程序图标的程序文件夹(P)之后单击下一步(N)。
⑥ 在<输入服务端口号码>画面中输入 Policy Server 的各服务所使用的端口号码。需要更改预
设的默认端时,可以单击各服务条目右侧末端的修改按钮并输入新的端口号码。在完成端口号
码的输入之后单击下一步(N)。Policy Server 的各服务所使用的默认端口号码如下所示:
策略服务:6721
策略适用服务:5729
控制台 Agent:2002
Agent 服务:2186
日志服务:2191
域注册服务(UDP):6101
分发服务:5465
Web 服务:80
36. AhnLab Policy Center 3.0
24
备注
当其他应用程序正在使用 Policy Server 所指定的端口时将弹出端口冲突提示框,此时必须修
改端口号码。
⑦ 在<管理对象设置>画面中,选择需要通过 Policy Server 进行管理的产品。
管理对象产品
单机版
V3 Internet S
ecurity 产品
V3 Internet
Security
对安装于 Agent 中的 V3 Internet Security 的策略进行
管理。
服务器端
V3 产品
V3 VirusBlock
for Windows
Server 6.0
对安装于 Microsoft Windows Server 版操作系统中的
V3 VirusBlock for Windows Server 6.0 的策略进行管
理。
附加功能
资产管理
远程控制
对 Agent 计算机资产进行管理并远程控制对象计算机。
备注
利用管理对象设置功能,可以选择需要通过 Policy Server 设置策略并下达安全命令的产品。
虽然在客户端 V3 系列产品中可以同时选择三种产品作为管理对象产品,但只建议选择目前正
在使用或计划购买的产品。
备注
在管理对象安全产品设置工具中,只能选择客户端 V3 系列产品中的某一种产品。利用管理对
象安全产品设置工具注册安装程序的产品,将被传送到 Agent 用户计算机中并进行安装。
⑧ 在<域名设置>画面中,输入需要通过 Policy Server 进行管理的域的名称。
37. 安装
25
备注
在 AhnLab Policy Center 中,由一台 Policy Server 进行管理的区域被称之为域。
⑨ 在<数据库设置>画面中,输入安装有 MSDE 的服务器名称和端口号码。
主机
输入安装有 MSDE 的服务器的名称或 IP 地址。
在与 Policy Server 安装在同一系统中时,输入 localhost。
端口号码
输入数据库所使用的端口号码。
默认端口为 1433。
备注
将安装在远程计算机中的 MSDE 连接到 Policy Server 中进行使用时,需要在主机栏中输入安
装有 MSDE 的远程计算机的 IP 地址。
39. 安装
27
备注
当对象系统中存在以前所使用的 OpenLDAP 数据库时,还需要经过如下所述的步骤。
a. 显示<确认>画面并提示“如果继续安装,现有版本中的内容将全部被删除,确定继续
吗?”,确认继续安装时单击是(Y)。
b. 显示“正在删除不需要的数据库文件”的提示信息。
⑫ 显示安装执行画面。
⑬ 显示正在设置 OpenLDAP 的环境以及数据库的环境并进行初始化的提示信息。
⑭ 显示<管理对象安全产品安装程序工具>画面,所注册的产品将通过 Policy Agent 分发并安
装到管理对象计算机中。
注意
当已经安装了 V3 VirusBlock 2005 的公司选择 V3 Internet Security 作为管理对象安全产品
时,安装有 Agent 的计算机中的 V3 VirusBlock 2005 将被删除并重新安装 V3 Internet
Security。
备注
在设置管理对象的过程中只选择了附加功能时,不需要在管理对象安全产品安装程序工具中对
产品进行注册而直接单击关闭按钮。
在设置管理对象产品之前,必须首先选择基本模块智能升级工具。如果首先选择其他管理对象
产品,将弹出如下所示的错误警告窗口。
备注
有关管理对象安全产品安装程序的问题,请向安博士公司客户服务中心或产品购买单位进行咨
询。
备注
管理对象安全产品安装程序工具可以利用开始菜单->程序->AhnLab->AhnLab Policy Center
3.0->添加/删除安全产品进行添加或删除。
备注
利用网络分发管理对象产品时,有可能对网络造成较大的负荷。因此在网络状况较差的地区,
可以利用 CD 将管理对象产品预先安装在每一个管理对象计算机中。在这种情况下不需要在<管
理对象安全产品安装程序工具>窗口注册产品,直接单击关闭按钮完成 Policy Server 的安装
即可。
⑮ 显示正在驱动 Policy Server 的各项服务的提示信息,该过程大概需要几分钟时间。
40. AhnLab Policy Center 3.0
28
根据计算机环境的不同,有可能出现请重新启动计算机的提示信息。建议重新启动计算
机。
5.3. 安装 Policy Center Admin
功能
Policy Center Admin 是 Policy Server 的管理界面,可以安装在管理员的计算机或安装有
Policy Server 的计算机等,且 Policy Center Admin 应用程序可以安装在同一网络环境内的所
有计算机中。
方法
① 执行安装 CD 中的 autorun.exe 命令。
② 单击“安装 Policy Center Admin 3.0”。
③ 显示<InstallShield Policy Center Admin 3.0 安装向导>,单击下一步(N)。
④ 显示<用户许可协议>画面,当同意用户许可协议中的条件时单击是(Y)继续安装。
⑤ 在<指定服务器>画面中输入服务器 IP 和端口号码。
服务器 IP 输入管理对象 Policy Server 的 IP 地址。
端口号码
输入 Policy Center Admin 3.0 和 Policy Server 3.0 的通信端口号码,默认
端口为 2002.
41. 安装
29
注意
在服务器 IP 中应该输入 Policy Server 的实际 IP 地址,即使 Policy Center Admin 和 Policy
Server 安装在同一计算机中,也不要输入 127.0.0.1。
注意
如果其他应用程序正在使用默认端口,则需要更改端口号码。在更改 Policy Center Admin 3.
0 中的通信端口时,需要输入与 Policy Server 安装过程的<输入服务端口>阶段所输入的控制
台 Agent 端口相通的端口号码。
⑥ 在<选择目标位置>画面中选择用于安装 Policy Center Admin 3.0 的目标文件夹之后单击下
一步(N)。默认安装路径为 C:₩Program Files₩AhnLab₩APC2₩Policy Admin。
⑦ 在<选择程序文件夹>画面中选择用于添加 Policy Center Admin 3.0 的程序文件夹(P)之后
单击下一步(N)。
⑧ 显示安装 Policy Center Admin 3.0 的文件复制过程。
⑨ 显示<完成 Policy Center Admin 3.0 的安装>画面,单击完成结束安装。
42.
43. 31
6.需要在创建 Agent 之前进行设置的功能
在《需要在创建 Agent 之前进行设置的功能》部分中,我们将了解一下 Policy Server 的域管
理、Agent 策略设置、管理对象产品策略设置等便于在创建 Agent 安装程序之前预先进行确认
或设置的功能。
6.1. 登录 Policy Server
功能
利用 Policy Center Admin 登录 Policy Server。
方法
① 选择开始->程序->AhnLab->AhnLab Policy Center 3.0->AhnLab Policy Center Admin
3.0 命令。
② 在显示的<登录>对话框中输入用户 ID 和密码并选择需要登录的服务器之后,单击确定按
钮。
备注
Policy Server 的服务器管理员 ID 为 admin,且 admin 帐户的原始密码为p@ssadmin。为了安
全起见,建议立即更改原始密码。管理员帐户的密码可以利用 Policy Center Admin 3.0 中的
域管理->[帐户管理]功能进行修改。
③ 显示<正在读取数据>的提示信息。
④ 显示<AhnLab Policy Center>的初始画面。
6.2. 域管理
利用域管理功能,可以进行如域的升级服务器设置、群组组织结构图生成方法、日志过滤设置
以及控制台画面设置等有关域管理的全局设置。为了提高管理的便利性,建议在创建 Agent 安
装程序之前预先设置一些最必要的基本策略。
44. AhnLab Policy Center 3.0
32
6.2.1. 升级服务器设置
功能
利用升级服务器设置功能,可以对域服务器从安博士公司下载升级最新引擎文件时所使用的服
务器类型和工作方式、服务器和升级服务器之间的通信禁止时间等进行设置。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->升级服务器设置命令。
③ 在<升级服务器设置>对话框的选择升级服务器中选择所需要的条目。
选择升级服务器
将安博士公司指定为升
级服务器
通过互联网连接到安博士公司的智能升级服务器中下载引擎文件,
只有在通过用户认证之后才可以下载升级文件。该选项为选择升级
服务器中的默认选项。
将上级域指定为升级服
务器
当具有上级域和下级域结构时,将上级域指定为下级域服务器的升
级服务器。在没有上级域时无法使用该选项。
管理员指定的服务器
将公司内部的 Web 服务器指定为升级服务器。其详细的说明请参
考“利用管理员指定的服务器进行升级”中的内容。
使用代理服务器 当公司内部使用代理服务器时,输入代理服务器的地址和端口。
代理服务器认证 当公司内部使用代理服务器时,输入用户 ID 和密码。
45. 需要在创建 Agent 之前进行设置的功能
33
检查升级服务器 扫描所选择的升级服务器是否能够正常工作。
选择升级工作方式
每小时升级周期
周期性地连接到所选择的升级服务器,确认是否具有最新的升级文
件。
当使用默认值 6 时将在每十分钟连接一次升级服务器,并在具有最
新升级文件时进行下载。
可以设置的最小周期为 1,最大周期为 60。即最少每小时内确认一
次最新文件,且最多每一分钟内确认一次。
重试次数
设置在规定的周期内尝试连接所选择的升级服务器失败时的连接重
试次数,默认值为 5 次。重试次数可以设置为 0 至 10 次。
升级禁止时间
用于设置在所选择的升级服务器和 Policy Server 之间禁止下载升
级文件的时间。
当特定星期或所有星期特定时间段的网络负荷较大时,利用该功能
可以使引擎文件的下载工作避开网络负荷增加的时间段进行。
④ 单击确定按钮。
6.2.2. 利用管理员指定的服务器进行升级
功能
利用本功能,可以将公司内现有的 Web 服务器或新搭建的 Web 服务器指定为升级服务器。
当 Policy Server 位于没有连接到互联网的屏蔽网络中时,服务器管理员为了实现最新引擎文件
的分发首先需要从互联网手动下载最新的引擎文件,继而通过对 Policy Server 进行设置使其能
够对最新的引擎文件进行分发。安博士公司的引擎升级服务器是以 Web 服务的形式提供升级服
务,因此需要在屏蔽网络内部搭建 Web 服务器使其与 Policy Server 连接。
备注
利用 Web 服务器进行升级的方法是以 IIS 服务器 5.0 版本为标准设计。并以 Policy Server 安
装于 Windows 2000 Server 版中的情况为准。因为在 Windows 2000 Professional 中安装 IIS
服务时操作系统所支持的同时会话数量极其有限,其效率难以满足作为升级服务器时的需求。
为了利用管理员指定的服务器进行升级,需要分别在安装有 Policy Server 的服务器和安装有
Policy Center Admin 的服务器中进行相应的操作。如果 Policy Server 和 Policy Center
Admin 安装在同一个服务器中,则可以在同一个服务器中进行操作。
在安装有 Policy Server 的服务器中设置 Web 服务器
利用能够连接到互联网的其他计算机访问安博士公司的主页并下载 AhnLab Policy Center 分发
用引擎文件(V3UMMDD-OOA.zip)。
46. AhnLab Policy Center 3.0
34
方法
① 将下载的文件解压缩到 Policy Server 计算机的任意文件夹中(在本实例中将其解压缩到
C₩engine 文件夹中)。
② 在 Policy Server 的桌面中选择我的电脑->管理命令之后单击 Windows 2000 服务器的
Internet 信息服务。
③ 在默认 Web 站点中单击鼠标右键并选择新建->虚拟目录。
④ 按默认设置内容进行,本实例中将虚拟目录的别名设置为 onetouch。
⑤ 在包含内容的目录路径步骤,选择对引擎文件进行解压缩的文件夹(本实例中为 C:
₩engine)。
⑥ 单击下一步完成 IIS 服务器的设置。
⑦ 确认智能升级服务器是否能够正常工作。如果在 Policy Server 的 Internet Explorer 地址栏
中输入 http://IP 地址/onetouch/ahn.ui 或 http://服务器名称/onetouch/ahn.ui 之后能够显
示如下图所示的内容,则表明升级服务器正在正常工作。
备注
将管理员所指定的服务器指定为升级服务器的功能,也可以利用没有安装 Policy Server 的其
他 Web 服务器(IIS)实现。
在 Policy Center Admin 中设置升级服务器
功能
在完成 IIS 服务器的设置之后,登录 Policy Center Admin 进行升级服务器设置。
方法
① 登录 Policy Center Admin。
② 选择[域管理]->[域策略]->升级服务器设置命令。
③ 在<升级服务器设置>对话框的管理员指定的服务器中输入 http:// 服 务 器 IP 地 址
/onetouch。
④ 选择<升级服务器设置>对话框中的其他选项之后单击确定按钮。
注意
需要利用管理员指定的服务器进行引擎升级时,必须由管理员每星期通过互联网下载最新的引
擎文件并解压缩到 Policy Server 的任意文件夹(本实例中为 C₩engine)中。
备注
也可以通过[服务器管理]中的[升级服务器设置管理]命令对升级服务器进行设置。
47. 需要在创建 Agent 之前进行设置的功能
35
6.2.3. 日志传送策略设置
日志是指:在通过 AhnLab Policy Center 进行管理的安全产品中生成的各种日志及事件信息,
日志传送策略的设置包括[日志传送策略]、[日志过滤]、[Agent 发送日志过滤]等。
日志传送策略
功能
利用日志传送策略功能,可以在 Policy Server 由上级域和下级域构成时选择需要传送至上级域
服务器的下级域日志类型。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->日志传送策略设置命令。
③ 在<日志传送策略设置>中选择[日志传送策略]。
④ 选择需要传送至上级域的日志类型,需要传递的日志类型默认值为病毒警告。
⑤ 单击确定按钮。
注意
建议禁止传送 V3 事件日志。
日志过滤
功能
利用日志过滤功能,可以选择在 Agent 所传送的日志中不需要保存到服务器本身数据库中的信
息。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->日志传送策略设置命令。
③ 在<日志传送策略设置>中选择[日志过滤]。
④ 选择需要进行过滤的信息类型。需要进行过滤的日志类型默认值为空,请根据管理上的需要
选择需要进行过滤的日志类型。
备注
48. AhnLab Policy Center 3.0
36
在[日志过滤]中所选择的条目将不会被保存在服务器中。例如当管理员选择了 V3 事件时,Pol
icy Server 的数据库中将不会保存 V3 事件相关记录。
⑤ 单击确定按钮。
Agent 传送日志过滤
功能
选择在安装有安全产品的 Agent 所生成产品事件和安全警告中,不需要保存到 Policy Server
的数据库中的信息类型。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->日志传送策略设置命令。
③ 在<日志传送策略设置>中选择[Agent 传送日志过滤]。
④ 选择需要进行过滤的信息类型,需要进行过滤的日志类型默认值为 V3 事件、防火墙产品中
的适用策略、模式变更、资产变更历史。
备注
在[Agent 发送日志过滤]中所选择的条目将不会被保存在服务器中。例如当管理员选择了 V3
事件时,Policy Server 的数据库中将不会保存 V3 事件相关记录。
⑤ 单击确定按钮。
6.2.4. 自动分组设置
功能
利用自动分组功能,可以在安装 Agent 之后根据 Agent 登录服务器的方法自动地对 Agent 的群
组信息进行整理。利用该功能,无须服务器管理员手动设置每一个 Agent 的群组信息,所有的
Agent 将按照自动分组方法被注册到相应的群组中。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->自动分组设置命令。
③ 在<自动分组设置>中选择适用自动分组功能复选框。
49. 需要在创建 Agent 之前进行设置的功能
37
④ 当需要对所有管理对象 Agent 进行分组时,在自动分组方法中选择自动分组的标准值。
自动分组方法
自动分组方法 说明 群组名称
C Class
IP 地址
对通过 IP 地址的 C Class 分
配的群组进行自动分组处理。
群组名称为三个 IP 地址单位
加最后一个号码 0,并将相应
IP 中 C Class 地址为 0 至 25
4 的 Agent 注册为一个群组。
B 类
IP 地址
对通过 IP 地址的 B Class 分
配的群组进行自动分组处理。
群组名称为两个 IP 地址单
位,并将相应 IP 中 B Class
地址为 0 至 254 的 Agent 注
册为一个群组。
B/C 阶段
IP 地址
对 B Class 的上级群组和 C C
lass 的下级群组进行自动分组
处理。Agent 将包含于相应 C
Class 的群组中。
NT 域
将 NT 域名或系统注册信息中
的工作组名称作为群组名称。
所属群组
在 Agent 中单击鼠标右键并
输入用户信息的情况下,将用
户所输入的所属部门作为群组
名称。
① 在任务栏中的 Agent 图标上方单击鼠
标右键。
② 选择输入用户信息。
③ 在<输入用户信息>的各条目中输入
内容。所属部门名称将作为服务器中分
组时的群组名称。
51. 需要在创建 Agent 之前进行设置的功能
39
即使 Agent 被归类到危险群组中,该 Agent 也不会从原来所属的群组中删除。
危险群组在组织结构图中的表示方法
因为危险群组在默认状态下并不会显示在组织结构图中,因此在需要对危险群组进行管理时必
须开启浏览危险群组功能。
方法
① 在 AhnLab Policy Center 的工具栏中单击环境设置(C)按钮。
② 选择控制台选项设置(O)....
③ 在<选项>对话框中选择[策略管理画面]选项卡。
④ 在[管理群组]中选择浏览危险群组复选框。
⑤ 单击确定按钮。
⑥ 危险群组将显示在 AhnLab Policy Center 的群组画面中。
危险群组设置
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->危险群组设置命令。
③ 在<危险群组设置>对话框中设置危险群组判断标准。
53. 需要在创建 Agent 之前进行设置的功能
41
方法
① 在 AhnLab Policy Center 工具栏中单击环境设置(C)按钮。
② 选择控制台选项设置(O)....
③ 在<选项>对话框中选择[策略管理画面]选项卡。
④ 在[管理群组]中选择浏览重复群组复选框。
⑤ 单击确定按钮。
⑥ 选择主菜单栏中的[策略管理]命令时,重复群组将显示在群组画面中。
重复节点规则设置
① 登录 Policy Center Admin。
② 选择主菜单栏中的[域管理]->[域策略]->重复节点规则设置命令。
③ 在<重复节点规则设置>对话框中选择适用重复节点规则复选框。
④ 选择重复节点的判断标准。
重复节点判断标准 内容
54. AhnLab Policy Center 3.0
42
相同的 IP 地址
当有两台以上具有相同 IP 地址的 Agent 注册时,将其显示在重复群
组中。
这种现象有可能在使用相同 IP 地址的状态下对系统环境进行变更时
(如操作系统的变更、网卡的更换、整个系统的更换等)发生。
相同的网卡地址
当有两台以上具有相同网卡地址的 Agent 注册时,将其显示在重复群
组中。
这种现象有可能在没有正常删除系统中正在使用的 Policy Agent 的情
况下对硬盘进行格式化或安装其他操作系统时发生。
相同的 NT 域和计
算机名称
当有两台以上具有相同 NT 域和计算机名称的 Agent 注册时,将其显
示在重复群组中。
这种现象有可能在上交原来使用的计算机并领用新的计算机的情况下
使用相同的域和计算机名称时发生。
备注
为了尽可能地降低重复节点的产生,应该在格式化或重新安装用户系统、变更 IP 地址、变更
部门等操作之前卸载目前正在使用的 Policy Agent。当卸载用户计算机中目前正在使用的 Pol
icy Agent 时,服务器中的相应 Agent 的注册信息也将被同时删除,从而有效地降低产生重复
节点的可能性。
⑤ 单击确定按钮。
6.3. V3 Internet Security 设置
执行安装于代理计算机的V3 Internet Security的断开网络连接后,可输入在所有网络全部断
开的状态下也可允许通信的程序和网络规则。并且,通过应用程序认证执行特定程序时,不弹
出提示窗口,可添加所要执行的程序或输入允许录入个人信息的网址。在V3 Internet
Security设置中,将Policy Server管理员制定的规则文件发布给代理,并适用为V3 Internet
Security的个人防火墙例外规则。
6.3.1. 应用程序策略例外
是在V3 Internet Security防止入侵的网络环境下,执行断开网络连接,输入在所有网络全部
断开的状态下也可允许通信的程序和网络规则的功能。若执行断开网络连接,网络连接就会全
部断开而无法继续通信。如果本公司具有即使断开所有网络连接也可始终保持通信的程序或网
络连接,就可在应用程序策略例外规则中添加相应程序和网络连接。若想执行应用程序策略例
外规则,应首先在安装有AhnLab Policy Center Admin的文件夹中执行ISPcEdit.exe,并制定
保存例外规则的文件。如果将通过执行ISPcEdit.exe制定的ISFwPyEx.pec文件添加到应用程序
策略例外中,即使是断开网络的状态下,也可进行通信。
程序规则例外设置
1. 在安装有AhnLab Policy Center Admin的文件夹中执行ISPcEdit.exe。AhnLab Policy
Center Admin的基本安装路径为C:Program FilesAhnLabAPC2Policy Admin。
2. 在《个人防火墙例外设置》中点击[程序规则]。
3. 点击工具条中的添加。
63. 需要在创建 Agent 之前进行设置的功能
51
默认值。
智能升级设置
功能
用于设置通过用户计算机中的 V3 系列产品智能升级功能进行引擎升级的方式。
智能升级是指:包含于安博士公司所开发的所有产品中的引擎升级应用程序,引进 AhnLab
Policy Center 的公司可以主要使用 Policy Server 和 Agent 的升级功能,而将智能升级功能作
为辅助升级手段加以使用。
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[策略管理]命令。
③ 在组画面中选择需要对 Agent 的策略进行设置的群组。
④ 在主画面中选择[组策略]。
⑤ 在 Policy Agent 中单击鼠标右键并选择新建或修改命令。
⑥ 选择智能升级设置->产品设置、工作方式设置、预约设置。
产品设置
用于选择需要通过智能升级功能进行升级的文件和产品类型。
只有在产品列表中选择的产品安装于 Agent 计算机中的情况下才可以通过智能升级功能对所选
择的产品进行升级。
工作方式设置
用于设置 Agent 计算机中智能升级功能的工作方式和升级路径。
64. AhnLab Policy Center 3.0
52
基本设置
自动升级设置 智能升级功能根据所设定的周期自动连接到安博士公司的服务器
并下载最新的引擎文件。智能升级功能的自动升级周期可以设置
为 1 至 24 小时之间的任意值。
显示升级信息
决定在通过智能升级升级为最新引擎文件之后,是否在画面中显
示最新引擎的变更内容。
完整性 决定在通过智能升级下载引擎文件之后执行 Update 之前,是否
对所下载的文件与服务器中的原文件的一致与否进行扫描。利用
该功能,可以确认文件在下载过程中是否发生损伤。
升级方法设置 - 互联网
互联网 通过互联网进行智能升级。
只有用户的计算机能够访问外部互联网时才能够使用该选项。
重试次数 用于指定尝试连接智能升级服务器失败时的重试次数,默认重试次
数为 15 次。重试次数可以设置为 0 至 99 之间的任意值。
使用代理服务器 因为安装有防火墙而需要利用代理服务器连接到互联网时选择该选
项。
需要输入地址、端口、用户名和密码。
代理服务器的端口号码中需要输入 0 至 65536 之间的值。
注意
在代理服务器地址栏中,不能输入 HTTP 头字符串。
升级方法设置 - 共享文件夹
共享文件夹 利用保存于公司内部网络共享文件夹中的升级文件进行升级。
执行自动升级时所使
用的帐户
在用户名和密码栏中,输入通过网络进行引擎升级时能够用于访问
网络的用户名和密码。
共享文件夹信息 在 UNC 路径栏中,输入通过网络驱动器进行共享的文件夹的路
径。
在用户名和密码栏中,输入能够访问网络资源的用户名和密码。
备注
UNC(Universal Naming Convention)
UNC 是指:在网络中无需明确表示保存有共享文件的设备名称而对文件的位置进行确认的方
法。Windows 操作系统、Novell 网络、其他操作系统等都可以利用 UNC 代替自身的命名系统。
在 Windows 操作系统中的 UNC 命名格式如下所示:
s e r v e r n a m e s h a r e n a m e p a t h f i l e n a m e
65. 需要在创建 Agent 之前进行设置的功能
53
上述格式中的共享名称(sharename),可以被理解为用于识别卷标或存储设备的逻辑标示符,
但基本概念是为了隐藏实际的路径信息。在不使用实际路径的情况下,也可以通过连续输入子
文件夹的名称进行访问。例如:
c o r p 1 l a w d e p t f o r m s p a t e n t a p . h t m l
可以通过在某公司服务器中设置名为 patentap.html 的共享文件,供公司内部法律相关部门的
职员进行下载、浏览或打印操作。同时,也可以利用 UNC 指定如打印机等辅助设备。
预约设置
用于预约在用户计算机中执行智能升级的工作时间。
周期 选择如每日、每周、每月、仅一次等所需要的执行周期。
星期、日期、时间 根据所选择的周期设置时间、星期、日期等。
预约列表 在选择周期和时间之后单击添加按钮时显示在预约列表中。
在需要删除已添加的内容时,需要在预约列表中选择相应的条目之
后单击删除按钮。
备注
将预约设置中的周期设置为仅一次时,所输入日期中的年度值可以设置为 1970 至 2999 之间的
任意值。
⑦ 在选择具体条目之后,单击适用策略/取消/恢复默认值按钮。
适用策略 将当前设置的策略适用于所选择的群组或 Agent。
取消 取消适用当前设置的策略。
恢复默认值 忽略当前设置的策略,恢复并适用 Policy Server 保存于数据库中的策略
默认值。
6.4.2. 事先防御设置
为了向具有密码安全比较脆弱的管理员帐户或共享文件夹的 Agent 持续性地显示建议修改提示
信息,并在某个 Agent 的网络通信量发生异常时通过对其进行网络使用限制减缓恶意代码的扩
散速度,设置相关的扫描条件和发现问题时的处理方法。
拦截不安全密码/共享文件夹
功能
通过周期性的对密码安全比较脆弱的管理员帐户和共享文件夹进行扫描,减少系统的不安全因
素并通过网络拦截功能减缓恶意代码的扩散速度。
66. AhnLab Policy Center 3.0
54
方法
① 登录 Policy Center Admin。
② 选择主菜单栏中的[策略管理]命令。
③ 在组画面中选择需要对 Agent 的策略进行设置的群组。
④ 在主画面中选择[组策略]。
⑤ 在 Policy Agent 中单击鼠标右键并选择新建或修改命令。
⑥ 选择事先防御设置中的拦截不安全密码/共享文件夹。
使用拦截不
安全的文件
夹功能
当 Windows 2000/XP 系统中具有密码安全比较脆弱的管理员帐户或在
Windows 98 系统中具有密码安全比较脆弱的共享文件夹时,通过持续性
地显示建议修改提示信息或强制解除共享文件夹的共享状态,减少 Agent
用户的设置所导致的系统不安全因素。
扫描周期 用于设置对密码安全比较脆弱的管理员帐户和共享文件夹进行扫描的时间
间隔。默认值为 60 分钟,可以设置为 30 至 120 分钟之间的任意值。
扫描条件 系统启动时扫描 在系统启动时扫描密码安全比较脆弱的管理员帐户
和共享文件夹。
在设置的密码不
安全时强制更改
为管理员所指定
的密码
当管理员帐户或共享文件夹的密码不安全时,强制
变更为 Policy Server 管理员所指定的密码。管理员
指定的密码可以使用 1 至 64 字。
强制解除不安全
的文件夹共享
当安装有 Windows 98 操作系统的 Agent 计算机中
具有密码不安全的共享文件夹时,强制解除文件夹
的共享状态。
发现时拦截网络 对于利用密码不安全的管理员帐户登录的 Agent 计
算机和具有密码不安全的共享文件夹的 Agent 计算
机,拒绝使用网络。
处理方法
发现时向用户发
送公告
向利用密码不安全的管理员帐户登录的 Agent 计算
机和具有密码不安全的共享文件夹的 Agent 计算机
发送公告内容。公告内容中可以输入 0 至 256 字。
解除默认共
享文件夹的
共享状态
在计算机启动时,解除默认共享文件夹(C$、D$、Admin$)的共享状态。
备注
在 Windows NT Workstation 4.0 和 Windows NT Server 4.0 操作系统中,不支持有关密码不
安全共享文件夹的功能。