【计划任务系列】AC准入模块计划任务简介及脚本编写方法

计划任务简介及脚本编写方法

1. 计划任务简介

  计划任务是AC准入功能模块里一个子功能模块，此功能可以通过下发脚本到PC端执行的方式扩展终端准入和管理的功能。12.0.5版本改进了计划任务的适用性，使其不但可以执行网络路径上的程序或路径，也可以上传程序或路径到AC上，由AC下发到PC上执行。

  计划任务具有如下功能：

  1. 计划任务可以上传并下发脚本到PC上执行，执行结果可以反馈到AC。也可以执行网络上的程序或脚本，比如放在共享目录里的脚本，或某个web服务器上的脚本。

  2. 脚本执行时，可以选择以当前用户或SYSTEM用户权限执行

  3. 管理员可以根据执行结果设置规则，如禁止上网，或提示用户，或者仅上报结果

  4. 执行结果可以在AC上查看，并可以导出成excel

2. 计划任务配置过程及结果查看

  2.1 计划任务配置过程：

        第一步：新增计划任务准入规则

        1. 在“对象定义”--> “准入规则库”点击“新增”，选择建立一条“计划任务规则”

              

             图1 新增计划任务规则

   2. 在新增计划任务规则的对话框中，输入规则名称，选择规则类型。规则类型可以新建，也可以选用之前已经建立好的，在后续可以引用这个规则类型。（规则类型代表一类规则，可以把几个具体的规则归类到某一个规则类型中，方便引用）

   3. 上传已经准备好的脚本，或指定脚本所在的位置（支持共享路径\\，带端口的http、https路径），并可配置脚本运行需要的参数。

   4. 选择执行计划。执行计划可以选择间隔运行或一次运行，根据脚本的具体功能来选择执行方式

   5. 选择脚本执行时的权限，脚本可以以PC当前登录用户的权限执行，也可以以SYSTEM用户权限执行

   6. 配置对脚本执行结果处理。脚本返回0为成功（即合规），记录此次返回结果。脚本返回其他值为违规，其中脚本返回1或2可以配置具体的处理方式，处理方式有

     a) 只记录结果。这种方式会只把结果上报上来，管理员可以查看或导出

     b) 提示用户。这种方式会在终端上右下角弹出提示信息，提示信息管理员可以自定义

     c) 禁止上网并提示用户。这种方式会阻断用户上网，访问网站的时候会进行页面重定向到提示页面。提示信息管理员可以自定义

            

                       图2 新建计划任务

   第二步：新建上网策略引用准入规则

   1. 在“策略管理”-->“上网策略”中点击“新建”按钮，选择“准入策略”

              

                图3 新增准入策略

       2. 在新增准入策略对话框中，勾选“准入策略”，添加“添加”按钮，添加一条准入策略，在“类型”列的下拉按钮中，选择之前配置的计划任务类型，配置生效时间，然后点击确定

            

                 图4 选择准入规则

     3. 准入策略配置完以后，可以选择对哪些用户或组生效，点击“适用对象”标签，配置针对的组或用户

  4. 完成以后，点击“提交”按钮，完成此准入策略的配置

完成此步骤以后，准入策略就会针对特定的用户或组生效，下发脚本到PC上执行。

  2.2 执行结果查看：

     1. 脚本的执行情况会返回到AC，在AC上可以在具体的准入规则页面里查看，即“对象定义”-->“准入规则库”页面，对每条具体规则，可以看到有2列：“生效用户数”、“违规用户数”，这两列是统计规则执行情况。“生效用户数”表示规则当前在哪些PC终端上执行了，“违规用户数”表示哪些用户上执行脚本结果是违规的

  2. 点击具体的生效用户数或违规用户数，会跳转到“用户生效状态”页面

  3. 在“用户生效状态”页面里可以查看具体是哪些用户生效或违规

  4. 在“用户生效状态”页面里可以根据“规则名称”进行过滤，也可以根据“合规”、“违规”、“异常”等生效状态进行过滤。在“过滤条件”对话框中也可以根据组织结构、用户名、IP进行过滤

  5. 过滤查询出来的结构都是可以以csv格式导出，方便下一步处理

         

              图5 查看终端脚本运行情况

3. 脚本编写方法

  上传的脚本需要符合一定的编写规范，比如需要获取一些信息的，可以在脚本里把相关信息输出出来，这样准入控件可以把相关信息反馈给AC。脚本的执行结果可以有多种状态，成功或失败，或返回特定的值，对应特定的值采用不同的措施。

   脚本编写的规范：

1. 脚本类型支持：exe、msi、vbs、js、cmd、bat

2. 文件名只能有英文名\数字，和”-_.”这三种字符组成

3. 执行程序支持传递多个参数。程序名+参数总长不能超过150字节

4. 程序执行结果

   a) 返回0为执行成功

   b) 返回1和2为执行失败，可以在终端PC上做提示或禁止上网

              

                    图6 执行结果检查

   c) 返回其他值为异常，会上报到AC上

5. 程序输出内容

   a) 程序输出内容放在tip=xxxxxxxxxxxx中，该信息会上报到数据中心。（xxxxxxxxxxxx代表输出的内容）

   b) 输出多个tip=xxxxxxxxxxxx代表多行输出，即每个tip=xxxxxxxxxxxx会认为是1行

   c) 返回内容长度限制在512字节以内

6. 程序大小不能大于5M

7. 程序在PC上执行的时候，可以选择以当前登录用户执行还是以管理员权限执行。

  脚本示例：

  在新增计划任务规则对话框中可以下载示例程序，这里附上示例程序的代码，方便参考。

示例1：

test.vbs脚本实现反馈“hello world”信息到AC上。

test.vbs (455 Bytes, 下载次数: 26)

2018-2-2 11:13 上传

点击文件名下载附件

示例2：

test.bat脚本实现反馈“hello world”信息到AC上。

test.bat (978 Bytes, 下载次数: 36)

2018-2-2 11:13 上传

点击文件名下载附件

涨知识，感觉很好玩的功能，赶紧动手实践一下

后续会陆续上传一些实用脚本，大家有需要的话可以下载使用，敬请期待！

看了半天还是没明白能为客户解决什么问题？有和实用价值！！！！

学习一下。

好，学习………………

学习了，超赞，方便很多

优秀····

准入执行反弹链接型的木马脚本会怎么样，全部中招

很不错哦