略
本例以某局点检查“天空卫士DLP”进程为例,需要实现的需求是用户接入认证之后对用户进行安全检查:
若客户端未安装“天空卫士DLP”,则安全检查不合格,且提示“请安装天空卫士DLP”。
现场的安全策略里只设置了检查“天空卫士DLP”进程,并新建了test1用户测试,结果发现安全检查并没有检查出客户端未安装“天空卫士DLP”,iNode客户端很快就提示安全检查的结果是安全的。如图所示
可见并没有检查出客户端为未安装“天空卫士DLP”。
但是当和在安全策略里除了设置检查“天空卫士DLP”之外,再设置检查金山毒霸,则能同时检查出金山毒霸和天空卫士DLP未安装,如下图
可见当安全策略同时检查天空卫士DLP和金山毒霸时,iNode能同时检查出两者都未安装。
后续在同一接入服务下新建test2,test3用户,测试时均发生以上现象。
查看iNodeSecPkt日志,可以看到当只检查天空卫士DLP时,安全检查会直接通过。
当天空卫士DLP和金山毒霸一起检查时,才会提示安全检查不合格
但是从日志看并不能看出具体原因。
在用户>安全策略管理>安全策略管理查看对应的安全策略,发现在PC可控软件组下配置的安全阈值为10。
安全阈值:用户安全检查不合格时会累积次数,次数达到安全阈值,触发对应的安全级别的处理,例如下线或者隔离等操作。用户通过安全检查后,不合格累积次数会被清零。如果配置为0,则表示立即执行安全级别配置的模式,即立即隔离或下线。安全阈值只在终端安全认证或重认证检查不合格时才累积次数,实时监控检查违规不会累积。
在设置的阈值次数范围内,如果只是可控软件组检查失败,最终的检查结果是通过的。因此当单独检查天空卫士DLP时,即使检查失败,但最终仍会提示安全检查通过,而当和金山毒霸一起检查时,由于天空卫士DLP和金山毒霸都检查不通过,此时安全阈值就不起作用,最终检查结果会提示不通过。
在PC可控软件组下将安全阈值根据需要改小,一般默认为10。本例中将安全阈值改为0后重新检查,此时提示安全检查不通过,请安装天空卫士DLP。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作