osmgmt
不受管理的端点的安全合规
安全合规可查询防毒墙网络版服务器所属的网络中不受管理的端点。使用 Active Directory 和 IP 地址来查询端点。
不受管理的端点的安全状态可以是下列任一种:
|
|
|
|
由另一个防毒墙网络版服务器管理
|
计算机上安装的防毒墙网络版客户端由另一个防毒墙网络版服务器管理。客户端为联机状态,并且运行此防毒墙网络版版本或早期版本。
|
|
未安装防毒墙网络版客户端
|
防毒墙网络版客户端未安装在计算机上。
|
|
无法访问
|
防毒墙网络版服务器无法连接该计算机并确定其安全状态。
|
|
未解析的 Active Directory 评估
|
该计算机属于 Active Directory 域,但防毒墙网络版服务器无法确定其安全状态。
|
要运行安全性评估,请执行以下任务:
-
定义查询作用域。有关详细信息,请参阅 Active Directory/IP 地址作用域和查询。
-
检查查询结果中不受保护的计算机。有关详细信息,请参阅查询结果。
-
安装防毒墙网络版客户端。有关详细信息,请参阅使用安全合规安装。
-
配置预设查询。有关详细信息,请参阅预设查询。
Active Directory/IP 地址作用域和查询
首次查询时,需要定义 Active Directory/IP 地址作用域,包括防毒墙网络版服务器将按需或定期查询的 Active Directory 对象和 IP 地址。在定义作用域之后,启动查询进程。
配置该作用域并启动查询进程:
-
在 Active Directory/IP 地址作用域部分中,单击定义。此时打开一个新窗口。
-
定义 Active Directory 作用域:
-
转至 Active Directory 作用域部分。
-
选择使用按需评估以执行实时查询并获得更准确的结果。禁用此选项将导致防毒墙网络版查询数据库,而非查询每个客户端。只查询数据库的速度比较快,但查询结果不太准确。
-
选择要查询的对象。首次进行查询时,选择少于 1,000 个帐户的对象,然后记录需要使用多少时间才能完成这次查询。将此数据用作性能基准。
-
定义 IP 地址作用域:
-
转至 IP 地址作用域部分。
-
选择启用 IP 地址作用域。
-
指定 IP 地址范围。单击加号 (
) 或减号 (
) 按钮添加或删除 IP 地址范围。
-
对于纯 IPv4 防毒墙网络版服务器,请键入 IPv4 地址范围。
-
对于纯 IPv6 防毒墙网络版服务器,请键入 IPv6 前缀和长度。
-
对于双栈防毒墙网络版服务器,请键入 IPv4 地址范围和/或 IPv6 前缀和长度。
IPv6 地址范围限制为 16 位,这与 IPv4 地址范围的限制类似。因此,前缀长度应该介于 112 到 128 之间。
|
|
|
|
128
|
2
|
|
124
|
16
|
|
120
|
256
|
|
116
|
4,096
|
|
112
|
65,536
|
-
在高级设置之下,指定防毒墙网络版服务器与客户端进行通信时使用的端口。在防毒墙网络版服务器安装期间,安装程序随机生成端口号。
-
单击指定端口。
-
键入端口号并单击添加。重复此步骤,直到获得要添加的所有端口号。
-
单击保存。
-
要使用特定端口号检查计算机的连接,请选择检查端口 <x> 后声明某计算机无法访问。没有建立连接时,防毒墙网络版会立即将计算机视为无法访问。缺省端口号为 135。
-
要保存作用域并启动查询,请单击保存并重新评估。要仅保存设置,请单击仅保存。
“外部服务器管理”窗口将显示查询结果。
查询结果
查询结果会显示在安全状态部分下。不受管理的端点将具有下列一种状态:
-
由另一个防毒墙网络版服务器管理
-
未安装防毒墙网络版客户端
-
无法访问
-
未解析的 Active Directory 评估
建议的任务:
-
在安全状态部分,单击数字链接可显示所有受影响的计算机。
-
使用搜索和高级搜索功能仅搜索和显示满足搜索条件的计算机。
如果使用高级搜索功能,则指定下列项:
如果名称不完整,则防毒墙网络版将不会返回结果。如果不知道确切的完整名称,请使用通配符 (*)。
-
要将计算机列表保存到文件,请单击导出。
-
对于由其他防毒墙网络版服务器管理的客户端,使用客户端迁移程序工具让当前的防毒墙网络版服务器来管理这些客户端。有关此工具的详细信息,请参阅客户端迁移程序。
预设查询
配置防毒墙网络版服务器以定期查询 Active Directory 和 IP 地址,从而确保实施安全准则。
为外部服务器管理配置预设评估:
-
单击客户端树顶部的设置。
-
启用预设查询。
-
指定时间表。
-
单击保存。
另请参阅:
