跳至主内容

分配本地策略

您可以通过两种方式分配策略:

  • 基于设备的分配 (即手动选择目标终端进行策略分配,这类策略也称为设备策略)

  • 基于规则的分配 (当终端网络设置符合现有分配规则条件时,策略将自动分配给该托管终端)

注意

您只能分配由自己创建的策略。若要分配其他用户创建的策略,需先在 策略 页面克隆该策略。

分配设备策略

GravityZone 中,您可以通过多种方式分配策略:

  • 直接将策略分配给目标对象。

  • 通过继承方式分配父组的策略。

  • 强制目标对象继承策略。

默认情况下,每个终端或终端组会继承父组的策略。若修改父组策略,除强制执行策略的终端外,所有子级对象都将受影响。

分配设备策略的步骤如下:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 选择目标终端,可单选或多选终端/终端组。

  4. 操作 菜单中选择 分配策略 .

    系统将显示 分配策略 页面:

    Network_GA_policies_assign_policies.png

  5. 查看目标终端表格,其中每个终端显示:

    • 当前分配的策略。

    • 目标继承策略的父组(若存在)。

      若该组正在强制实施策略,可点击其名称查看 分配策略 页面(以该组为目标)。

    • 强制执行状态。

      此状态显示目标是正在强制策略继承还是被强制继承策略:

      • 强制中 :策略正被子组强制继承。

      • 被强制 :策略从上级继承并被强制实施。

      • 不适用 :无强制策略。

      注意带有强制策略( 被强制 状态)的目标。其策略不可被替换。此时系统将显示警告信息。

  6. 若出现警告,点击 排除这些目标 链接以继续。

  7. 选择以下可用选项之一来分配策略:

    • 分配下列策略模板 - 直接将特定策略指派给目标端点。

    • 从上级继承 - 使用父组的策略。

  8. 若选择分配策略模板:

    1. 从下拉列表中选择策略。

    2. 选择 强制策略继承至嵌套实体 以实现以下效果:

      • 将策略分配给目标组的所有后代(无例外)。

      • 防止层级结构中更低层级的其他位置修改该策略。

      新表格会递归显示所有受影响的终端及终端组,以及将被替换的策略。

  9. 点击 保存 以保存并应用更改。或点击 取消 返回上一页面。

完成后,策略会立即推送至目标终端。设置将在终端上线后一分钟内生效(需终端在线)。若终端处于离线状态,设置将在其重新上线时立即应用。

检查策略是否成功分配:

  1. 在左侧菜单的 网络 页面中,点击目标终端名称。 控制中心 将显示 信息 窗口。

  2. 查看 策略 部分以确认当前策略状态,应显示为 已应用

另一种检查分配状态的方法是通过策略详情:

  1. 进入左侧菜单的 策略 页面。

  2. 找到您分配的策略。

    活跃/已应用/待处理 列中,可查看三种状态对应的终端数量。

  3. 点击任意数字,即可在 网络 页面查看对应状态的终端列表。

基于规则的策略分配

策略 > 分配规则 页面,您可以为特定位置、用户或具有特定标签的终端定义策略分配规则。例如,当用户从公司外部连接互联网时,可以应用更严格的防火墙规则;或者在公司外部时,可以为按需任务定义不同的执行频率。

assignment-rules-page-cloud.png

以下是关于分配规则需要了解的内容:

  • 终端同一时间只能有一个活动策略。

  • 通过规则应用的策略将覆盖终端上设置的设备策略。

  • 如果没有适用的分配规则,则应用设备策略。

  • 规则按优先级排序处理,其中 1 为最高优先级。同一目标可设置多条规则。

    这种情况下,将应用与目标终端当前连接设置匹配的第一条规则。

  • 分配规则 表中,可按 优先级 , 名称 , 类型 , 描述 , 策略 状态 进行搜索和排序。规则状态可能为:

    • 运行中 - 规则处于活动状态且适用于终端。

    • 无目标 - 该规则未应用于终端,因为缺少目标。当规则创建后,在 网络 清单中选为目标文件夹被删除时,可能出现此情况。

重要提示

创建规则时,请确保考虑敏感设置,如排除项、通信或代理详细信息。

最佳实践建议使用策略继承,以保持设备策略中的关键设置也适用于分配规则所使用的策略。

注意

卸载密码、加密和解密设置仅由设备类型策略管理。这些设置无法通过基于规则的策略进行管理。

要创建新规则:

  1. 登录到 GravityZone 控制中心 .

  2. 转到 分配规则 页面,从左侧菜单中进入。

  3. 点击表格上方的 add.png 添加 按钮。

  4. 选择规则类型:

  5. 根据需要配置规则设置。

  6. 点击 保存 以保存更改并将规则应用于策略的目标终端。

要更改现有规则的设置:

  1. 分配规则 页面中,找到目标规则并点击其名称进行编辑。

  2. 根据需要配置规则设置。

  3. 点击 保存 以应用更改并关闭窗口。若放弃更改直接关闭窗口,请点击 取消 .

如需停用某条规则,请选中该规则后点击表格上方的 delete.png 删除 按钮,再点击 确认操作。

为确保显示最新信息,可点击表格上方的 refresh.png 刷新 按钮。

配置位置规则

位置是由一个或多个网络设置标识的网段,例如特定网关、用于解析URL的特定DNS或IP子集。例如可定义公司局域网、服务器集群或部门等位置。

在规则配置窗口中按以下步骤操作:

  1. 为待创建规则输入描述性名称和说明。

  2. 设置规则优先级。规则按优先级排序,首条规则优先级最高。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的策略。

  4. 定义规则适用的位置范围。

    1. 位置 表格上方的菜单中选择网络设置类型。可选类型包括:

      类型

      IP/IP地址范围

      网络或子网中的特定IP地址。子网请使用CIDR格式。

      例如: 10.10.0.12 10.10.0.0/16

      网关地址

      网关的IP地址

      例如: 10.0.2.2

      WINS服务器地址

      WINS服务器的IP地址

      重要提示

      此选项不适用于Linux和macOS系统。

      DNS服务器地址

      DNS服务器的IP地址

      最多可添加30个IP地址,且总字符数不超过480个。

      DHCP连接的DNS后缀

      特定DHCP连接中不包含主机名的DNS名称

      例如: hq.company.biz

      终端可解析的主机

      主机名

      例如: fileserv.company.biz

      网络类型

      无线/以太网

      选择无线网络时,还可添加网络SSID。

      重要提示

      此选项不适用于Linux系统。

      主机名

      主机名

      例如: cmp.bitdefender.com

      重要提示

      您也可以使用通配符。星号(*)替代零个或多个字符,问号(?)替代恰好一个字符。示例:

      *.bitdefender.com

      cmp.bitdefend??.com

      重要提示

      此选项不适用于macOS系统。

    2. 为所选类型输入值。适用时,您可以在专用字段中输入多个值,用分号(;)分隔且不添加额外空格。例如,当您输入 10.10.0.0/16;192.168.0.0/24 时,该规则将适用于IP地址匹配这些子网中任意一个的目标端点。

      警告

      每个位置规则只能使用一种网络设置类型。例如,如果您使用 IP/网络前缀 添加了一个位置,则不能在同一规则中再次使用此设置。

    3. 点击表格右侧的 add_inline.png 添加 按钮。

    重要提示

    端点上的网络设置必须匹配所有提供的位置,规则才能适用于它们。

    例如,要识别办公室局域网,您可以输入网关、网络类型和DNS;此外,如果添加子网,则可以识别公司局域网内的某个部门。

    policies-location-rule.png

    点击 字段编辑现有条件,然后按 Enter 保存更改。

    要删除位置,请选中它并点击 delete_inline.png 删除 按钮。

  5. 您可能希望从规则中排除某些位置。要创建排除项,请定义要从规则中排除的位置:

    1. 选择 排除项 复选框(位于 位置 表格下方)。

    2. 排除项 表格上方的菜单中选择网络设置类型。可选类型与 位置 表格中的选项相同。

    3. 为所选类型输入值。可在专用字段中输入多个值,用分号(;)分隔且无需额外空格。

    4. 点击表格右侧的 add_inline.png 添加 按钮。

    终端设备的网络设置必须满足 排除项 表格中列出的所有条件,排除规则才会生效。

    点击 字段编辑现有条件,随后按 回车键 保存更改。

    要移除排除项,请点击表格右侧的 delete_inline.png 删除 按钮。

    重要说明

    排除项同时作为否定条件使用,可仅基于它们创建规则。此类规则中, 位置 表格将无任何条目。

    示例:

    • 当您输入 10.10.0.0/16;192.168.0.0/24 作为排除项时,该规则适用于IP地址不匹配上述任何子网的所有目标端点。

    • 当您指定 无线网络 作为网络类型,并输入字符串 cmp1.bitdefender.com;cmp2.bitdefender.com;cmp3.bitdefender.com 作为主机名排除项时,该规则适用于非无线连接且名称不匹配上述任何条目的目标端点。

  6. 目标 部分,选择要应用策略规则的网络文件夹。您可以在右侧 已选分组 .

    注意

    若未指定任何目标, GravityZone 会在保存规则时自动选择所有可用实体。

  7. 点击 保存 以保存并应用分配规则。

    创建后,位置规则将根据您的用户权限自动应用于所有管理的目标端点。

配置用户规则

重要提示

  • 仅当Active Directory集成可用时才能创建用户规则。

  • 用户规则仅适用于Active Directory用户、组和组织单位(OU)。

  • 当选择组织单位作为目标时,规则适用于该OU内的用户,但不包含这些用户所属的安全组。

  • 基于Active Directory组的规则在Linux系统上不受支持。

在规则配置窗口中,按以下步骤操作:

  1. 为要创建的规则输入描述性名称和说明。

  2. 设置优先级。规则按优先级排序,第一条规则具有最高优先级。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的安全策略。

  4. 目标对象 部分,选择需要应用该策略规则的 组织单位(OU) , 用户 以及 安全组

    Active Directory树中显示以下对象类别:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单位(OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    • ad-user.png - 用户

    您可以在右侧表格中查看所选内容。

    assignment_rules_user_rule_92794_en.png

  5. 点击 保存 .

    创建后,该用户感知规则将在用户登录时应用于受管目标端点。

配置端点标签规则

为了快速高效地为新旧端点分配策略,您可以使用基于标签的规则。每条规则可包含一个或多个标签。含多个标签的规则采用 AND 运算符,意味着端点 必须具有所有指定标签 才能使规则生效。

规则可同时包含自定义标签和自动标签。

例如,假设您创建了自动标签 Linux 将该标签应用于运行此操作系统的终端。随后基于此标签创建规则,分配具有特定设置的安全策略。因此,当 GravityZone 检测到网络中出现新的Linux机器时,终端将自动获得 Linux 标签及对应策略。

关于创建终端标签及分配的详细信息,请参阅 使用终端标签 .

配置终端标签规则的步骤如下:

  1. 输入具有提示性的名称和描述。

  2. 设置规则优先级。

    规则按优先级排序,首条规则优先级最高(例如优先级1高于优先级2)。同一优先级不可重复设置。

  3. 选择需创建标签规则的目标策略。

  4. 标签 网格中,至少添加一个标签。

  5. 点击 保存 创建规则。

    规则创建后将自动应用于所有携带指定标签的终端。

    gz_cl_op_pt_create_tag_rule_en.png

配置集成标签规则

重要说明

仅当存在可用的 Amazon EC2 集成时方可创建集成标签规则。

可利用云基础设施中定义的标签,为托管在云端的虚拟机分配特定 GravityZone 策略。所有携带标签规则中指定标签的虚拟机都将应用该规则设置的策略。

注意

根据云基础设施类型,可按以下方式定义虚拟机标签:

  • 对于 Amazon EC2 :在 标签 选项卡下的EC2实例中。

一个标签规则可以包含一个或多个标签。创建标签规则的步骤如下:

  1. 为您要创建的规则输入一个描述性名称和说明。

  2. 设置规则的优先级。规则按优先级排序,第一个规则具有最高优先级。同一优先级不能重复设置。

  3. 选择您要为标签规则创建的策略。

  4. 标签 表格中,添加一个或多个标签。

    标签由区分大小写的键值对组成。请确保按照云基础设施中的定义输入标签。只有有效的键值对才会被采纳。

    添加标签的方法:

    1. 标签键 字段中输入键名。

    2. 标签值 字段中输入值名。

    3. 点击 add_inline.png 添加 按钮(位于表格右侧)。

有关标记EC2托管实例的更多信息,请参阅 Amazon EC2官方文档 .

配置计算机组规则

您可以在Active Directory环境中使用计算机组规则,将端点组织到不同的组织单位(OU)中,以便跨部门或设备类型应用定制安全策略。

重要提示

  • 只有在Active Directory集成可用时才能创建计算机组规则。

  • 您只能为包含计算机对象的Active Directory组织单元(OU)和安全组定义计算机组规则。

  • 当选择某个组织单元作为目标时,该规则仅适用于该OU内的计算机,不适用于包含这些计算机的嵌套组。

  • 基于包含计算机对象的Active Directory安全组的规则不适用于Linux终端。

在规则配置窗口中,请按以下步骤操作:

  1. 为要创建的规则输入描述性名称和说明。

  2. 设置优先级。规则按优先级排序,第一条规则具有最高优先级。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的策略。

  4. 目标 部分,选择 组织单元(OU) 安全组 包含您希望策略规则适用的计算机对象。

    Active Directory树中显示以下对象类:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单元(OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    您可以在右侧表格中查看所选内容。

    assignment_rules_computer_group_rule_1440565_en.png

  5. 点击 保存 .

    创建后,计算机组规则将在用户登录时应用于受管目标终端。

本节内容 :