10.4 创建安全性策略
设备的安全性设置是通过端点安全性代理应用的安全性策略控制的。安全性策略控制着一系列与安全相关的功能。根据您组织的需要,您可以使用所有策略或其中的部分策略。反恶意软件策略需要反恶意软件更新权利,并且要求配置反恶意软件服务器。要使用反恶意软件监视功能,还需要执行几个配置步骤。有关详细信息,请参见《ZENworks Endpoint Security Antimalware Reference》(ZENworks Endpoint Security 反恶意软件参考手册)。
|
策略 |
目的 |
|
|---|---|---|
|
|
反恶意软件实施 |
安装反恶意软件代理并配置基础的访问时和按需扫描,以保护受管设备免遭恶意软件威胁。由于它是基础策略并且会安装代理,因此必须在指派和实施任何可选策略(自定义扫描策略、网络扫描策略以及扫描排除项策略)之前将其指派给设备。 |
|
|
反恶意软件自定义扫描 |
除了反恶意软件实施策略中已定义的全扫描和快速扫描外,还可定义和安排本地驱动器扫描。可用于扫描通过反恶意软件实施策略安排的定期扫描可能不会检测的特定威胁。 |
|
|
反恶意软件网络扫描 |
定义和安排仅针对来自网络驱动器上的文件执行的扫描。此策略可让您针对特定设备上的网络驱动器进行扫描。例如,您可以使用此策略扫描磁盘阵列中的某个文件储存磁盘。必须在此策略中配置用于访问网络文件的网络身份凭证。 |
|
|
反恶意软件扫描排除项 |
自定义其他反恶意软件策略中已配置的排除项之外的扫描排除项。创建此策略后,您可以向其他三个反恶意软件策略中的任意一个策略的自定义排除项细节添加“排除项策略”选项。之后,该策略会根据“排除项策略”与配置了此选项的反恶意软件策略是否具有相同的设备指派加以实施。 |
|
|
应用程序控制 |
阻止应用程序的执行或拒绝对应用程序的 Internet 访问。由您指定要阻止或拒绝 Internet 访问的应用程序。 |
|
|
通信硬件 |
禁用以下通讯硬件:1394-Firewire、IrDA-Infrared、蓝牙、串行/并行、拨号、有线和无线。每种通讯硬件都是单独配置,也就是说,您可以禁用某些硬件类型(如蓝牙和拨号),启用其余硬件类型。 |
|
|
防火墙 |
通过禁用端口、协议和网络地址(IP 和 MAC)来控制网络连接。 |
|
|
Microsoft 数据加密 |
分别使用 Microsoft BitLocker 和 Microsoft 加密文件系统 (EFS) 来管理可卸数据驱动器加密及固定磁盘文件夹加密。 |
|
|
脚本编写 |
在设备上运行脚本(JScript 或 VBScript)。您可以指定触发脚本运行的触发器。触发器的触发条件可以是端点安全性代理操作、位置更改或时间间隔。 |
|
|
储存设备控件 |
控制对 CD/DVD 设备、软盘驱动器和可卸储存驱动器的访问。每种储存设备类型都是单独配置,也就是说,您可以禁用某些类型而启用其余类型。 |
|
|
USB 连接 |
控制对 USB 设备的访问,包括可卸储存设备、打印机、输入设备(键盘、鼠标等)等。您可以指定单个设备或设备组。例如,您可以禁用对特定打印机的访问,而启用对所有 Sandisk USB 设备的访问。 |
|
|
VPN 实施 |
根据设备的位置实施 VPN 连接。例如,如果设备的位置未知,您可以强制进行 VPN 连接,让所有 Internet 通讯通过该连接路由。 |
|
|
Wi-Fi |
禁用无线适配器、阻止无线连接、控制无线接入点连接等。 |
除上述安全性策略之外,以下安全性策略可帮助您保护和配置端点安全性代理。鉴于位置指派策略的性质,我们建议您先创建并指派该策略。
|
策略 |
用途 |
|
|---|---|---|
|
|
安全性设置 |
用于防止端点安全性代理遭到篡改或卸装。不过,为了向仍在运行 ZENworks 11 或 ZENworks 11 SP1 端点安全性代理的设备提供支持,我们保留了此策略,但其不可与当前版本的端点安全性代理搭配使用。那些版本的代理将继续使用安全性设置策略。 有关配置版本高于 ZENworks 11 SP1 的 ZENworks 代理安全性设置的信息,请参见配置 ZENworks 代理安全性。 |
|
|
位置指派 |
提供允许设备或用户使用的位置列表。端点安全性代理会评估其当前的网络环境,确认该环境是否与任何允许的位置相匹配。如果匹配,该位置会成为安全位置,并且代理会应用任何与该位置关联的安全性策略。如果与列表中的所有位置都不匹配,则会应用与“未知”位置关联的安全性策略。 如果您要使用基于位置的策略,则应确保每个设备或用户都指派了“位置指派”策略。如果没有为某个设备或该设备的用户指派“位置指派”策略,端点安全性代理便无法对该设备应用任何基于位置的策略。 |
创建安全性策略:
-
在 ZENworks 控制中心内,单击以显示“策略”页。
-
在“策略”面板中,单击 > 以起动“创建新策略向导”。
-
在“选择平台”页中,选择 ,然后单击。
-
在“选择策略类别”页中,选择 ,然后单击。
-
在“选择策略类型”页中,选择要创建的策略类型,然后单击。
如果您已创建位置并计划使用基于位置的策略,则至少需要创建一个“位置指派”策略,然后将其指派给设备或设备用户。否则,这些创建的位置将无法用于设备,这就意味着您将无法应用任何基于位置的策略。
-
在“定义细节”页中,输入策略名称,然后选择存放策略的文件夹。
该名称不能与所选文件夹中任何其他策略的名称相同。
-
(视情况而定)如果“配置继承和位置指派”页显示,请配置以下设置,然后单击。
-
继承: 如果要让此策略从策略层次中于更高层次指派的同类型策略继承设置,请将设置保留为选中状态。例如,如果您将此策略指派给某个设备,将另一个策略(相同类型)指派给该设备的文件夹,启用此选项可允许此策略从指派给该设备文件夹的策略继承设置。如果不想让此策略继承策略设置,请取消选择设置。
-
位置指派: 策略可以是全局的或基于位置的。全局策略不论位置为何都会应用。基于位置的策略仅在设备检测到自己位于指派给该策略的位置内的情况下才会应用。
选择此策略是全局策略还是基于位置的策略。如果选择基于位置,请单击,选择要将策略指派到的位置,然后单击将这些位置添加到列表中。
-
-
配置策略特定的设置,然后单击,直到进入“摘要”页。
有关策略设置的信息,请在 ZENworks 控制中心中单击 > 。
-
在“摘要”页中,检查信息以确保其正确无误。如果信息不正确,请单击按钮重新访问相应的向导页,然后进行更改。如果信息正确,请选择以下任一选项(如需要),然后单击。
-
创建为沙箱: 选择此选项可将策略创建为沙箱版本。在发布之前,沙箱版本与用户和设备无任何关联。例如,您可以将其指派给用户和设备,但只有在发布后该版本才会应用。
-
定义附加属性: 选择此选项可显示策略的属性页。这些页面可让您修改策略设置,并将策略指派给用户和设备。
-