通过TSM Server 监控用户域终端个人防火墙的状态

发布时间:  2013-06-26 浏览次数:  165 下载次数:  0
问题描述

通过TSM Server监控用户域终端个人防火墙的状态,若用户不慎将服务开启,禁止该用户上网
告警信息
处理过程
处理过程
在终端的services.msc中可以查看到,和防火墙功能相关的本地服务为Windows Firewall/Internet Connection Sharing (ICS),服务名为SharedAccess,在依存关系中查看显示没有其它系统组件依赖此服务,因此只需要在TSM server 策略管理中 监控本地服务中 在本地服务列表中增加一条名为SharedAccess的服务,如图所示


在用户终端将Windows Firewall/Internet Connection Sharing (ICS)启用类型选为禁用,服务状态为已停止,即通过以上配置可监控终端防火墙的状态,实现当用户只要开启防火墙服务,即会向TSM server上报违规信息,但此功能无法禁止用户上网。若要禁止用户上网,可以通过在TSM server配置监控进程实现,和本地防火墙相关的进程名为CCENTER.EXE,如图

勾选出现严重违规则禁止接入网络


以上配置即可实现若本地防火墙功能开启,则禁止用户接入网络
根因
用户域终端通过TSM Agent进行认证,认证过程包含用户身份认证和安全策略检查,当用户通过身份认证后,若在TSM Server上配置了安全策略检查,则终端配置环境必须符合安全策略的要求,否则将上报违规信息或是禁止用户接入网络(注:只能访问隔离域)。因此为了实现上述功能,只要通过在TSM Server上配置相应的安全策略,即可监控终端的防火墙状态,并触发执行相关策略

建议与总结
TSM的策略管理中预定义策略 监控本地服务和监控进程功能非常实用,通过对进程和服务状态的监控可以实现对用户域终端大部分本地行为、上网行为的有效监控即相应的策略执行

END