10.4 创建安全性策略

系统中有以下 11 种不同的安全性策略:

设备的安全性设置是通过端点安全性代理应用的安全性策略控制的。有 8 种安全性策略可控制一定范围的安全性相关功能。根据您组织的需要,您可以使用所有策略或其中的部分策略。

策略

目的

应用程序控制

阻止应用程序的执行或拒绝对应用程序的 Internet 访问。由您指定要阻止或拒绝 Internet 访问的应用程序。

通信硬件

禁用以下通讯硬件:1394-Firewire、IrDA-Infrared、蓝牙、串行/并行、拨号、有线和无线。每种通讯硬件都是单独配置,也就是说,您可以禁用某些硬件类型(如蓝牙和拨号),启用其余硬件类型。

数据加密

对可卸储存设备上的文件启用数据加密。

防火墙

通过禁用端口、协议和网络地址(IP 和 MAC)来控制网络连接。

脚本编写

在设备上运行脚本(JScript 或 VBScript)。您可以指定触发脚本运行的触发器。触发器的触发条件可以是端点安全性代理操作、位置更改或时间间隔。

储存设备控件

控制对 CD/DVD 设备、软盘驱动器和可卸储存驱动器的访问。每种储存设备类型都是单独配置,也就是说,您可以禁用某些类型而启用其余类型。

USB 连接

控制对 USB 设备的访问,包括可卸储存设备、打印机、输入设备(键盘、鼠标等)等。您可以指定单个设备或设备组。例如,您可以禁用对特定打印机的访问,而启用对所有 Sandisk USB 设备的访问。

VPN 实施

根据设备的位置实施 VPN 连接。例如,如果设备的位置未知,您可以强制进行 VPN 连接,让所有 Internet 通讯通过该连接路由。

Wi-Fi

禁用无线适配器、阻止无线连接、控制无线接入点连接等。

除上述安全性策略之外,以下安全性策略可帮助您保护和配置端点安全性代理。鉴于这两种策略的性质,建议您先创建和指派它们。

策略

目的

安全性设置

保护端点安全性代理不被篡改或卸装。

有关配置 ZENworks 代理安全性设置的信息,请参见配置 ZENworks 代理安全性

位置指派

提供允许设备或用户使用的位置列表。端点安全性代理会评估其当前的网络环境,确认该环境是否与任何允许的位置相匹配。如果匹配,该位置会成为安全位置,并且代理会应用任何与该位置关联的安全性策略。如果与列表中的所有位置都不匹配,则会应用与“未知”位置关联的安全性策略。

如果您要使用基于位置的策略,则应确保每个设备或用户都指派了“位置指派”策略。如果没有为某个设备或该设备的用户指派“位置指派”策略,端点安全性代理便无法对该设备应用任何基于位置的策略。

创建安全性策略:

  1. 在 ZENworks 控制中心内,单击策略以显示“策略”页。

  2. 在“策略”面板中,单击新建 > 策略以起动“创建新策略向导”。

  3. 在“选择平台”页中,选择 Windows,然后单击下一步

  4. 在“选择策略类别”页中,选择 Windows 端点安全性策略,然后单击下一步

  5. 在“选择策略类型”页中,选择要创建的策略类型,然后单击下一步

    如果您已创建位置并计划使用基于位置的策略,则至少需要创建一个“位置指派”策略,然后将其指派给设备或设备用户。否则,这些创建的位置将无法用于设备,这就意味着您将无法应用任何基于位置的策略。

  6. 在“定义细节”页中,输入策略名称,然后选择存放策略的文件夹。

    该名称不能与所选文件夹中任何其他策略的名称相同。

  7. (视情况而定)如果“配置继承和位置指派”页显示,请配置以下设置,然后单击下一步

    • 继承: 如果要让此策略从策略层次中于更高层次指派的同类型策略继承设置,请将从策略层次继承设置保留为选中状态。例如,如果您将此策略指派给某个设备,将另一个策略(相同类型)指派给该设备的文件夹,启用此选项可允许此策略从指派给该设备文件夹的策略继承设置。如果不想让此策略继承策略设置,请取消选择从策略层次继承设置。

    • 位置指派: 策略可以是全局的或基于位置的。全局策略不论位置为何都会应用。基于位置的策略仅在设备检测到自己位于指派给该策略的位置内的情况下才会应用。

      选择此策略是全局策略还是基于位置的策略。如果选择基于位置,请单击添加,选择要将策略指派到的位置,然后单击确定将这些位置添加到列表中。

  8. 配置策略特定的设置,然后单击下一步,直到进入“摘要”页。

    有关策略设置的信息,请在 ZENworks 控制中心中单击帮助 > 当前页

  9. 在“摘要”页中,检查信息以确保其正确无误。如果信息不正确,请单击上一步按钮重新访问相应的向导页,然后进行更改。如果信息正确,请选择以下任一选项(如需要),然后单击完成

    • 创建为沙箱: 选择此选项可将策略创建为沙箱版本。在发布之前,沙箱版本与用户和设备无任何关联。例如,您可以将其指派给用户和设备,但只有在发布后该版本才会应用。

    • 定义附加属性: 选择此选项可显示策略的属性页。这些页面可让您修改策略设置,并将策略指派给用户和设备。