指定人员使用指定终端的USB策略解决办法

发布时间:  2012-07-18 浏览次数:  86 下载次数:  0
问题描述

某客户采购了我司TSM V1R2系统来做准入控制和行为管理,其各组织部门及子部门都有专属的业务系统,且要求每个人有自己的帐号,以方便对违规用户进行审计。

某一部门里有两类终端,一类(非指定):所有部门人员都可以使用的,要求禁止使用USB存储设备,另一类(指定):只允许部门各小组组长使用的,且可以使用USB存储设备。

告警信息
处理过程

考虑到不可以同时对一个对象(部门或帐号)分配多个策略模版,且又要满足客户的需求:指定人员,指定终端,使用USB存储设备

1、按照客户的要求,给个小组组长创建第二个帐号(违背了之前客户要求的一人一帐号的原则,为了满足客户的特殊需求,客户也同意了),并将其帐号与指定终端的ip和mac进行绑定。(这些帐号只能在指定终端登录)

2、将策略模版 策略B分配给各小组组长的第二个帐号。以实现小组组长使用USB存储设备的权限

根因

首先创建一个策略模版(例:策略A),启用禁止使用USB存储设备策略,并将策略A只分配给该部门。之后再创建一个策略模版(例:策略B),禁止启用使用USB存储设备策略,并将策略B分配给各小组组长的帐号。这样可以基本满足以上客户需求,但是由于策略的优先级问题(帐号》网络区域》部门),导致各小组组长有权使用非指定终端的USB存储设备权限。

建议与总结
由于我方TSM权限设计问题(帐号》网络区域》部门),对于客户的特定需求,要求现场实施工程师灵活利用部门、帐号和网络区域的配置。

END