iMC产品 DAM外设管理典型配置案例

网络中使用iMC对用户终端进行管控，需要对串口、并口、USB、红外、1394 、蓝牙、Modem、软驱、PCMCIA、光驱等外设进行禁用或监控审计，对打印机进行监控的场合。

网络中使用iMC DAM作为终端桌面管理服务器，组网图略。

配置步骤为

(1) 在iMC DAM中增加外设管理策略。

(2) 在iMC DAM中增加桌面控制方案，引用外设管理策略。

(3) 在iMC DAM中增加或修改资产，引用桌面控制方案。

(4) 在iNode客户端上线，获取桌面控制方案，通过iNode客户端实现禁用和实时监控并上报违规操作。

(5) 在iMC智能管理中心查询违规操作。

1. 增加外设管理策略

(1)  选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控策略管理 > 外设管理策略”菜单项，进入外设管理策略列表页面，如下图所示：

(2)  单击<增加>按钮，进入增加外设管理策略页面，如下图所示:

配置以下参数：

策略名称：输入策略名称，该项是策略的唯一标识。

业务分组：选择该策略所属的业务分组。管理员/维护员可以将策略加入自身关联的业务分组。注意，只有DAM系统参数中的“DAM业务分权”配置为允许时，才能选择业务分组。

外设违规使用审计：当iNode客户端发现外设违规使用时是否将违规信息上报给服务器，以便管理员进行审计。

USB存储设备文件监控：当iNode客户端发现终端连接的USB存储设备进行读写时，将该信息上报给服务器，以便管理员进行监控。

监控打印机操作：当iNode客户端发现终端连接了打印机设备时，将该信息上报给服务器，以便管理员进行监控。

禁用设备：选择需要禁用的外设。

USB存储设备白名单：允许客户端使用的USB存储设备厂商标识和产品标识。选择“USB存储设备”后，可以配置允许终端使用的USB存储设备。除了USB存储设备白名单以外的USB存储设备都被禁用。

光驱刻录进程黑名单：允许客户端运行的刻录软件进程名称和MD5摘要。属于定制版本的特殊功能，一般的版本不支持。选择“监控光驱刻录设备操作”后，可以配置不允许终端使用的光盘刻录软件。配置时，可以单独配置软件的进程名称，检查时仅检查进程名称；也可以同时配置软件的进程名称＋MD5摘要，检查时既检查软件名称也检查MD5摘要。如果客户端发现有不允许的光盘刻录软件运行，则会强制结束该软件的进程。如果光驱刻录进程黑、白名单中出现重复的进程记录（名称和MD5摘要均一致），将以黑名单为准。

光驱刻录进程白名单：允许客户端运行的刻录软件进程名称和MD5摘要。属于定制版本的特殊功能，一般的版本不支持。选择“监控光驱刻录设备操作”后，可以配置允许终端使用的光盘刻录软件。配置时，可以单独配置软件的进程名称，检查时仅检查进程名称；也可以同时配置软件的进程名称＋MD5摘要，检查时既检查软件名称也检查MD5摘要。如果客户端发现有允许的光盘刻录软件运行，则会定时监控其刻录的文件列表并上报至服务器。如果光驱刻录进程黑、白名单中出现重复的进程记录（名称和MD5摘要均一致），将以黑名单为准。

(3)  单击<确定>按钮，完成操作。

2. 增加桌面控制方案

(1)  单击左侧导航树中的“桌面资产管理 > 桌面控制方案”菜单项，进入桌面控制方案列表页面。如下图所示:

(2)   单击<增加>按钮，进入增加桌面控制方案页面，如下图所示。或点击桌面控制方案对应的 链接，进入修改桌面控制方案页面，修改页面与增加页面类似。

配置以下参数：

l   方案名称：输入方案的名称，该项是方案的唯一标识。

l   业务分组：用于配置该方案所属的业务分组。管理员/维护员可以将方案加入自身关联的业务分组。

l   需生效的策略列表：指定该方案包含的外设管理策略，只能选择一个外设管理策略。(3)  单击<确定>按钮，完成操作。

3. 将桌面控制策略应用到资产

(1)  单击左侧导航树中的“桌面资产管理 > 所有资产”菜单项，进入资产列表页面，如下图所示。

(2)  单击<增加>按钮，进入增加资产页面，如下图所示。或点击资产对应的修改 链接，进入修改资产页面，修改页面与增加页面类似。资产的桌面控制方案选择之前配置的方案，其他参数根据具体情况配置。

(3)  单击<确定>按钮，完成操作。

4. 客户端上线

iNode客户端上线，安全认证成功，并完成资产注册。注册完成后，iNode客户端与DAM服务器通过报文交互获取桌面控制方案，解析此方案并获取外设管理策略配置，根据配置对外设进行禁用和监控，并将结果上报到服务器。

5. 智能管理中心监控、查询和审计

（1）USB存储文件监控

选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > USB存储文件监控”菜单项，进入USB存储文件日志列表页面，如下图所示。可以通过查询条件快速筛选出所需的信息。单击<导出>按钮即可将日志导出到指定文件。

（2）打印机监控

选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > 打印机监控”菜单项，进入打印机监控日志列表页面，如下图所示。可以通过查询条件快速筛选出所需的信息。单击<导出>按钮即可将日志导出到指定文件。

（3）外设违规查询

选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > 外设违规查询”菜单项，进入外设违规监控日志列表页面，如下图所示。可以通过查询条件快速筛选出所需的信息。单击<导出>按钮即可将日志导出到指定文件。

（4）终端文件审计

终端文件审计可以帮助管理员检查在线资产的指定目录下是否存在可疑的文件。管理员只需指定路径和文件名即可对该路径及其子目录下的所有文件进行审计。同时，文件名支持模糊匹配，使得文件审计更加快捷方便。选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > 终端文件审计”菜单项，进入终端文件审计日志列表页面，如下图所示。需要注意的是，如果资产安装了防火墙，则可能无法对此资产进行终端文件审计。

单击<新的审计>按钮，可以新建审计，如下图所示。

（5）USB存储插拔监控

此项是定制版本的特殊功能。选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > USB存储插拔监控”菜单项，进入USB存储插拔监控日志列表页面，如下图所示。可以通过查询条件快速筛选出所需的信息。单击<导出>按钮即可将日志导出到指定文件。

（6）光驱刻录监控

此项是定制版本的特殊功能。选择“用户”页签，单击左侧导航树中的“桌面资产管理 > 桌面监控审计 > 光驱刻录监控”菜单项，进入光驱刻录监控日志列表页面，如下图所示。可以通过查询条件快速筛选出所需的信息。单击<导出>按钮即可将日志导出到指定文件。

1.增加外设管理策略时策略名称不允许重复，修改策略时策略名称和业务分组不允许修改。

2.USB接口可以插入存储和非存储设备，iMC可以针对这两类设备分别配置管理策略。U盘和移动硬盘等通常被识别为USB存储设备，USB鼠标、USB键盘、USB打印机、USB无线网卡和USB接口的3G上网卡等通常被识别为USB非存储设备。对于具体设备的识别情况和禁用策略，请根据实际需要确定。

3.增加/修改USB存储设备白名单时，如果输入了重复的记录，则系统会自动合并重复的记录。

4.PCMCIA为通用接口，可以插入存储卡和3G上网卡，iMC如果禁用该接口，则使用该接口的所有设备都将不能使用。

5.如果光驱刻录进程黑、白名单中出现重复的进程记录（名称和MD5摘要均一致），将以黑名单为准。

6.修改外设管理策略或桌面控制方案时不能修改它的名称和所属的业务分组。

7.如果业务参数“资产自动编号”设置为启用，则不能增加资产。

8.桌面资产管理系统在确定某个资产使用的桌面控制方案时，对单个资产指定的方案优先，如果没有对单个资产指定，则使用该资产所在分组指定的方案。

9.桌面控制方案只对已管理的资产生效，所以需首先实现资产注册。