本帖最后由 吃馒头的大豆豆 于 2021-3-2 13:25 编辑
新人大白,分享个人工作经验,还望多多指教。
关于AC强大的功能作用这里简单的概括一下: AC主要是针对用户做行为控制,比如允许访问哪些应用,不允许访问哪些应用;做用户认证;做行为审计包括聊天内容审计;做流控,控制用户上网流量。
今天要说的是:
1.实现通过AC实现不装某软件,无法上网(对于一些用户来说,为了提升公司网络终端的网络环境安全,会要求安装一些定制或者必要的安全软件等)
前提是终端的流量会被AC设备管控到,以及软件的安装不需要联网验证等特殊的网络条件。
我们就拿普通的360安全软件为例,我要实现终端不装360安全不让其上网,操做步骤如下:
此配置步骤会要求在终端上安装agent插件,根据配置的规则禁止上网并且提示用户没有安装的会被断网,配置前要跟客户说明情况。
首先在【对象定义】里面选择【准入规则库】,点击新增【进程规则】。规则名称等自己编写对应的
然后添加360软件的相关进程规则
编辑规则名称-自行编辑,选择规则类型或者自行编辑添加上,规则描述是作为个人备注用的,程序的进程名称,窗口名称以及程序路径(规则描述、窗口名称、程序路径可以不写)
注意:【进程状态】选择【没有运行】(这个效果就是:没有运行就禁止上网,如果将【进程状态】修改为【正在运行】,这个效果就是:在运行中就禁止上网),反之同理。
进程名称如下图所示,这个是区分大小写的:
窗口名称就是如下图左上角的文字:
违规操作如下图所示:可以配置禁止上网并且提示用户,提示用户,停止进程,只记录结果。(根据安装的软件以及客户的要求进行合理配置)
然后在【策略管理】里面的【上网策略】新增【准入策略】,选择刚刚定义的准入进程,选择适用用户就行(确保没有对该用户开启【上网故障排除】或添加到了【全局排除列表】)
程序路径可以通过右键软件,打开文件所在位置,查看程序,或者右键属性,目标。
并且agent准入插件是可以静默安装的如下图配置:
【策略管理】-【策略高级选项】-【准入高级选项】-【开启准入网络控制静默模式】
完成准入插件静默安装。
关于提示用户安装准入客户端重定向页面是否可以直接带软件下载问题:
提示安装准入客户端重定向的页面是无法直接将安装文件放入到页面中的,但是也通过添加安装文件的超链接路径实现。
2.对于部分用户不想用下载agent插件的方式进行实现不安装某软件不允许上网的功能,则就用到了流量行为检查规则配置。
如下图所示:
这个的配置相对安装终端插件的方式来更为简便,但是安装终端插件的方式检测的更为精准,并且流量检查规则只能应用于自带的杀软选项。(好处是不需要进行终端插件的安装,但是要保证终端的流量会被AC管控到)
配置过程:
首先在【接入管理】-【终端检查】-【检查规则】新增终端流量检查规则,勾选相应的杀软,选择相应的违规处置策略;
然后在【接入管理】-【终端检查】-【检查策略】新建终端检查策略,引用第一步中创建的规则;
最后配置适用用户;
好了今天的设备分享到这里就结束了,有什么不对的地方及时私信我和评论,感谢大家的补充完善。
老样子,感谢各位大神的参阅,孩子家里穷没豆子吃饭了!!!
| 
发表于 2021-6-10 13:46
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家1级 
