创建瑞星客户端行为审计策略模板

　　瑞星客户端行为审计-默认策略

依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
　　在对应产品中选择【瑞星客户端行为审计——默认策略】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。
　　策略内容
　　策略内容包括【文档审计】、【文档打印审计】、【邮件审计】、【设备审计】、【网络审计】、【联网程序管理】、【对外攻击拦截】、【共享资源管控】、【网络流量管理】和【非法外联管控】十大类审计内容，可以做到对客户端的各种使用行为进行有效监控。
　　点击各审计类型右侧 功能图标，增加数量无限制，删除时类型模板无法删除。

A.文档审计

对客户端机器上的各种行为进行监控并产生日志，以备查询管理。
　　审计类型：

1. 仅记录操作：触发规则仅记录日志并将相关日志上传管理中心。
2. 禁止并记录操作：触发规则后禁止操作并记录上传日志。

介质类型：可勾选硬盘、光盘、可移动盘和网络盘
        目标文件名：输入.txt/.mpp/.docx/.exe等文件类型或输入具体文件（如123.txt）当发生相关行为时以预设方式反馈信息。多条记录以“｜”分隔，如：*.doc|%system%\*.txt
        行为类型：可勾选创建、访问、修改、重命名、复制、移动、删除。
        有效时间：审计有效的时间范围，设置频率每天（xx：xx~xx：xx）/每周的某一天或某几天的xx：xx~xx：xx时间内/时间段
　　气泡通知：触发规则后以弹框的形式通知管理员。
        锁定计算机：触发规则后锁定计算机，禁止使用。
        离线生效：客户端上线后将离线时间内发生的文档审计日志上传管理中心。

B.打印审计

该功能用于记录完整的打印日志，实现对打印资源的有效管理，降低打印成本，并保证组织的信息安全。记录信息包括：打印的时间、终端、用户、应用程序、打印机类型、打印机名称、文档标题、打印页数等信息。
　　可选择：

1. 记录打印审计：当打印文件时记录相关信息并将日志上传管理中心；
2. 禁用打印机：不允许计算机使用打印机。

C.邮件监控

该功能用于全面记录POP3/SMTP、EXCHANGE邮件收到及发送的邮件的全部内容，包括收件人、发件人、邮件标题、邮件正文和附件内容。
　　规则名：输入本策略的相关信息或目的。
　　动作：可勾选:

1. 发送：发送邮件时审计
2. 接收：接收邮件时审计

发送者：发送人的名称或邮箱地址
        接收者：接收人的名称或邮箱地址
        邮件主题：邮件名称
　　仅监控包含附件的邮件：邮件中有附件时监控生效
        拦截：拦截触发规则的邮件
      提示：发送人/接收人/主题是并列的关系，同时满足三者条件审计才会生效。
        邮件端口策略：端口号及端口协议

D.设备审计

管理员可设置策略，对以下设备派发允许或禁止使用策略：光驱、1394、蓝牙、串口、并口、PCMCIA卡和红外设备。

E.网络审计

包括【拨号控制】和【网页浏览控制】两方面内容，可以对客户的网络行为进行有效的监控管理，保护企业资产的安全。
　　启用拨号控制
         拨号方式：可勾选禁用VPN、禁用ADSL、禁用MODEM
         有效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段
        启用网页浏览控制
       URL：输入要监控的网址
　　有效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段
　　禁止访问并跳转URL：当触发规则时跳转至该网址
　　离线生效：客户端上线后将离线时间内发生的文档审计日志上传管理中心
　　气泡通知：当触发规则弹出气泡提示警示用户
　　启用网页浏览记录
    　记录所有访问的网址并上传管理中心

F.联网程序管理

该功能用于记录、控制客户端上的程序连接网络的行为，这些行为包括是否允许联网，以及联网的时间段。
　　离线生效：客户端离线时间内功能仍然生效
　　开启瑞星信任程序智能识别：内置信任程序允许联网
　　未知程序联网策略：不在规则内程序的联网策略设置
　　进程规则列表：用于设置各进程或者软件的联网策略，可设置多条规则

G.对外攻击拦截

该功能可以防范网络僵尸，傀儡僵尸等等多种僵尸网络服务端对外发送攻击数据包。
　　离线生效：客户端离线时间内功能仍然生效
　　提示用户：一旦检测到攻击，弹出气泡提示警示用户
　　支持勾选多种对外攻击拦截：拦截SYN攻击、拦截ICMP攻击、拦截UDP攻击

H.共享资源管控

该功能可以查看每个终端的共享状态，控制共享的资源，并且可以查看、限制资源的访问权限。
　　离线生效：客户端离线时间内功能仍然生效
　　记录日志：记录日志并上传到数据中心
　　要关闭的默认共享：用于关闭终端的默认共享

I.网络流量管理

该功能用于记录终端的某个时间段网络总流量，以及某个时刻的流速。
　　记录联网程序日志：勾选后能够记录日志并上传到数据中心
　　记录终端流量日志：勾选后记录相关日志并上传到数据中心
　　定时报告时间间隔：提供10、20、30、60、120五种间隔进行选择，默认为10分钟
　　管理规则：
　　　　启动规则：规则是否生效
　　　　离线生效：客户端离线时间内功能仍然生效
　　　　下载限速：设置最大流量限制
　　　　功能生效时间：每天的某一时间段/每周的某一天或几天的时间段/直接设置时间段

J.非法外联管控

该功能支持监控内部网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）是否与Internet联通，并产生告警信息、对违规者可锁定计算机或断网。
　　离线生效：客户端离线时间内功能仍然生效
　　提示用户：勾选后触发规则后弹气泡提示用户
　　检查方式：提供智能检查和定时检查两种方式
　　检查到非法外联时：提供锁定计算机和隔离两种处理方式

点击【保存】模板创建成功；点击【取消】不保存。

　　瑞星客户端行为审计-IP规则

依次点击【客户端管理】/【策略模板】/【添加策略模板】打开添加模板界面。
       在对应产品中选择【瑞星客户端行为审计-IP规则】并输入【策略名称】/【描述信息】/【已分配组】等相关信息后再设置【策略内容】。

策略内容

策略内容包括【阻止黑客远程攻击】、【IP地址白名单】、【IP地址黑名单】、【端口设置】、和【自定义IP规则】。

阻止黑客远程攻击
• 离线生效：客户端离线时间内功能仍然生效
• 发现攻击时提示用户：勾选后触发规则后弹气泡提示用户
• 拦截后阻止此ip时间：提供1、2、3、4、5分钟5种选择
• 防护规则：内置88条防护规则，用户可以点击显示对规则对规则进行逐条启用或禁用，默认为全部启用

IP地址白名单
• 离线生效：客户端离线时间内功能仍然生效
• IP地址白名单管理：可以对单个IP或者某个IP范围进行设置；支持多个ip白名单设置

IP地址黑名单
• 离线生效：客户端离线时间内功能仍然生效
• 阻止访问时通知用户：匹配规则后弹出气泡提示用户
• 记录日志：勾选后记录日志并上传到数据中心
• IP地址黑名单管理：可以对单个IP或者某个IP范围进行设置；支持多个ip黑名单设置

端口设置
• 离线生效：客户端离线时间内功能仍然生效
• 阻止访问时通知用户：匹配规则后弹出气泡提示用户
• 端口管理：可对端口进行管理确认是否允许联网
  　　可以对单个端口号或者某个端口范围进行设置
  　　支持tcp、udp、tcp+udp三种协议方式
  　　可记录入站、出站及双向

自定义IP规则
• 离线生效：客户端离线时间内功能仍然生效
• 自定义IP规则列表（支持多条IP规则设置）
  　　启动该规则：确认是否启用此条规则
  　　阻止访问通知用户：是否触犯规则弹出气泡提示用户
  　　允许联网：匹配规则后是否允许联网
  　　规则名称：自定义规则名称
  　　可记录入站、出站及双向
  　　本地IP规则：支持单个IP或者某个IP范围进行设置
  　　远程IP规则：支持单个IP或者某个IP范围进行设置
  　　支持多种协议类型
  　　支持设置多组本地端口（最多5组）
  　　支持设置多组远程端口（最多5组）

点击【保存】模板创建成功；点击【取消】不保存。