跳至主内容

分配本地策略

您可通过两种方式分配策略:

  • 基于设备的分配 即手动选择目标终端进行策略分配,此类策略也称为设备策略。

  • 基于规则的分配 当终端网络设置符合现有分配规则的给定条件时,策略将自动分配给该托管终端。

注意

仅可分配您创建的策略。若要分配其他用户创建的策略,需先在 策略 页面克隆该策略。

分配设备策略

GravityZone ,您可以通过多种方式分配策略:

  • 选择目标终端。您可以选择一个或多个终端、终端组或公司。

  • 通过继承分配父组的策略。

  • 强制目标继承策略。

默认情况下,每个终端或终端组都会继承父组的策略。如果您更改父组的策略,所有子级都将受到影响,但强制执行策略的除外。

分配设备策略的步骤如下:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 选择目标终端。您可以选择一个或多个终端、终端组或公司。

  4. 操作 菜单中选择 分配策略 .

    系统将显示 分配策略 页面:

    Network_GA_policies_assign_policies.png

  5. 查看目标终端表格。对于每个终端,您可以查看:

    • 已分配的策略。

    • 目标继承策略的父组(如果适用)。

      如果该组正在强制实施策略,您可以点击其名称查看以该组为目标的 分配策略 页面。

    • 强制执行状态。

      此状态显示目标是强制实施策略继承还是被强制继承策略:

      • 强制中 :该策略被强制应用于子群组。

      • 被强制 :该策略从上级继承且被强制应用。

      • 不适用 :无强制策略。

      注意带有强制策略( 被强制 状态)的目标。其策略不可被替换。此情况下将显示警告信息。

  6. 若出现警告,点击 排除这些目标 链接以继续。

  7. 选择以下可用选项之一来分配策略:

    • 分配以下策略模板 - 直接将特定策略指派给目标端点。

    • 从上级继承 - 使用父群组的策略。

  8. 若选择分配策略模板:

    1. 从下拉列表中选择策略。

    2. 选择 强制策略继承至嵌套实体 以实现以下效果:

      • 将策略分配给目标群组的所有下级(无例外)。

      • 防止在层级更低处修改该策略。

      新表格将递归显示所有受影响的端点及端点群组,以及将被替换的策略。

  9. 点击 保存 以保存并应用更改。或点击 取消 返回上一页面。

完成后,策略会立即推送到目标终端。设置应在不到一分钟内应用于终端(前提是终端在线)。若终端处于离线状态,设置将在其重新上线时立即生效。

检查策略是否成功分配的方法:

  1. 网络 页面(通过左侧菜单进入),点击目标终端名称。 控制中心 将显示 信息 窗口。

  2. 查看 策略 部分以了解当前策略状态,此处应显示为 已应用

另一种检查分配状态的方法是通过策略详情:

  1. 前往 策略 页面(通过左侧菜单进入)。

  2. 找到您分配的策略。

    活跃/已应用/待处理 列中,可查看三种状态对应的终端数量。

  3. 点击任意数字,即可在 网络 页面查看对应状态的终端列表。

分配基于规则的策略

通过 策略 > 分配规则 页面可针对特定位置、用户或带有特定标签的终端定义策略分配规则。例如:当用户从公司外部连接互联网时,可应用更严格的防火墙规则;或针对公司外部环境定义不同的按需任务执行频率。

assignment-rules-page-partner.png

以下是关于分配规则需知的内容:

  • 终端设备同一时间只能激活一个策略。

  • 通过规则应用的策略将覆盖终端上设置的设备策略。

  • 若无任何分配规则适用,则应用设备策略。

  • 规则按优先级排序处理,其中 1 为最高优先级。同一目标可设置多条规则。

    此情况下,首个符合目标终端当前连接设置的规则将生效。

  • 分配规则 表格中,可按 优先级 , 名称 , 类型 , 描述 , 策略 , 状态 公司 进行搜索和排序。规则状态包括:

    • 运行中 - 规则生效且适用于终端设备。

    • 无目标 - 因缺少目标对象,规则未应用于终端。此情况可能发生在 网络 资产中被选为目标的文件夹于规则创建后被删除时。

重要提示

创建规则时请务必考虑敏感设置,如排除项、通信或代理详细信息。

最佳实践建议采用策略继承机制,确保设备策略中的关键设置也能在分配规则所使用的策略中生效。

注意

卸载密码、加密和解密设置仅由设备类型策略管理,这些设置无法通过基于规则的策略进行管理。

新建规则步骤:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 分配规则 页面。

  3. 点击表格上方的 add.png 添加 按钮。

  4. 选择规则类型:

  5. 根据需要配置规则设置。

  6. 点击 保存 以保存更改并将规则应用到策略的目标终端。

修改现有规则设置:

  1. 分配规则 页面中找到目标规则,点击其名称进行编辑。

  2. 根据需要调整规则设置。

  3. 点击 保存 以应用更改并关闭窗口。若放弃更改直接关闭窗口,请点击 取消 .

如需停用某条规则,请选中该规则后点击表格上方的 delete.png 删除 按钮。点击 确认操作。

为确保显示最新信息,可点击表格上方的 refresh.png 刷新 按钮。

配置位置规则

位置是由一个或多个网络设置标识的网络段,例如特定网关、用于解析URL的特定DNS或IP子集。例如可定义公司局域网、服务器集群或部门等位置。

在规则配置窗口中按以下步骤操作:

  1. 为待创建规则输入直观的名称和描述。

  2. 设置规则优先级。规则按优先级排序,首条规则优先级最高。同一优先级不可重复设置。

  3. 选择策略适用的公司。

  4. 选择要为其创建分配规则的策略。

  5. 定义规则适用的位置。

    1. 位置 表格上方的菜单中选择网络设置类型。可选类型包括:

      类型

      IP/IP地址范围

      网络或子网中的特定IP地址。子网请使用CIDR格式。

      例如: 10.10.0.12 10.10.0.0/16

      网关地址

      网关的IP地址

      例如: 10.0.2.2

      WINS服务器地址

      WINS服务器的IP地址

      重要提示

      此选项不适用于Linux和macOS系统。

      DNS服务器地址

      DNS服务器的IP地址

      最多可添加30个IP地址,且总字符数不超过480个。

      DHCP连接的DNS后缀

      特定DHCP连接中不包含主机名的DNS名称

      例如: hq.company.biz

      终端可解析主机

      主机名

      例如: fileserv.company.biz

      网络类型

      无线/以太网

      选择无线网络时,还可添加网络SSID。

      重要提示

      此选项不适用于Linux系统。

      主机名

      主机名

      例如: cmp.bitdefender.com

      重要提示

      您还可以使用通配符。星号(*)替代零个或多个字符,问号(?)替代一个字符。例如:

      *.bitdefender.com

      cmp.bitdefend??.com

      重要提示

      此选项不适用于macOS系统。

    2. 为所选类型输入值。适用时,您可以在专用字段中输入多个值,用分号(;)分隔且不添加额外空格。例如,当您输入 10.10.0.0/16;192.168.0.0/24 时,该规则将适用于IP地址匹配其中任一子网的目标终端。

      警告

      每条位置规则只能使用一种网络设置类型。例如,如果您已使用 IP/网络前缀 添加了位置,则不能在同一条规则中再次使用此设置。

    3. 点击表格右侧的 add_inline.png 添加 按钮。

    重要提示

    终端的网络设置必须匹配所有提供的位置,规则才会对其生效。

    例如,要识别办公室局域网,您可以输入网关、网络类型和DNS;此外,如果添加子网,则可以识别公司局域网内的某个部门。

    policies-location-rule.png

    点击 字段编辑现有条件,然后按 Enter 保存更改。

    要删除位置,请选中并点击 delete_inline.png 删除 按钮。

  6. 您可能希望从规则中排除某些位置。要创建例外,请定义需从规则中排除的位置:

    1. 勾选 排除项 位置 表格下勾选

    2. 排除项 表格上方的菜单中选择网络设置类型。选项与 位置 表格中的相同。

    3. 为所选类型输入值。可在专用字段中输入多个值,用分号(;)分隔且无需额外空格。

    4. 点击表格右侧的 add_inline.png 添加 按钮。

    终端上的网络设置必须满足 排除项 表格中列出的所有条件才能应用排除规则。

    点击 字段编辑现有条件,然后按 回车 保存更改。

    要移除排除项,点击表格右侧的 delete_inline.png 删除 按钮。

    重要提示

    排除项同时作为否定条件生效,可仅基于其创建规则。此类规则中, 位置 表格无条目。

    示例:

    • 当输入 10.10.0.0/16;192.168.0.0/24 当您将上述IP段设为排除项时,该规则适用于所有IP地址不匹配这些子网中任一网段的目标终端。

    • 当您指定 无线网络 作为网络类型,并将字符串 cmp1.bitdefender.com;cmp2.bitdefender.com;cmp3.bitdefender.com 设为主机名排除项时,该规则适用于非无线连接且主机名不匹配这些条目中任一记录的目标终端。

  7. 目标对象 区域,选择网络中需要应用策略规则的文件夹。您可以在右侧表格的 已选分组 .

    注意

    若未指定任何目标对象, GravityZone 会在保存规则时自动选择所有可用实体。

  8. 点击 保存 以保存并应用该分配规则。

    规则创建后,将根据您的用户权限自动应用于所管理的所有目标终端。

配置用户规则

重要说明

  • 仅当集成Active Directory时方可创建用户规则。

  • 用户规则仅适用于Active Directory中的用户、群组和组织单元(OU)。

  • 当选择组织单元作为目标时,规则仅适用于该OU内的用户,不适用于包含这些用户的安全组。

  • 基于Active Directory群组的规则不支持Linux系统。

在规则配置窗口中按以下步骤操作:

  1. 为待创建规则输入描述性名称和说明。

  2. 设置优先级。规则按优先级排序,首条规则优先级最高。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的策略。

  4. 目标 部分,选择 组织单位(OU) , 用户 以及 安全组 作为策略规则的适用对象。

    Active Directory树中显示以下对象类:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单位(OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    • ad-user.png - 用户

    您可在右侧表格中查看所选内容。

    assignment_rules_user_rule_92794_en.png

  5. 点击 保存 .

    创建后,用户感知规则将在用户登录时应用于受管目标端点。

配置端点标签规则

为快速高效地向新旧端点分配策略,可使用基于标签的规则。每条规则可含一个或多个标签。含多标签的规则采用 AND 运算符,意味着端点 须具备所有指定标签 方可应用该规则。

规则可包含自定义标签和自动标签。

例如,假设您创建了自动标签 Linux 应用于运行该操作系统的端点。随后基于此标签创建规则,分配含特定设置的安全策略。因此,当 GravityZone 检测到网络中出现新的Linux机器时,该终端会自动获得 Linux 标签及对应的策略。

关于创建并分配标签给终端的详细信息,请参阅 使用终端标签 .

配置终端标签规则的步骤如下:

  1. 输入具有提示性的名称和描述。

  2. 设置规则的优先级。

    规则按优先级排序,第一条规则具有最高优先级。例如,优先级1高于优先级2。同一优先级不可重复设置。

  3. 选择要为其创建标签规则的策略。

  4. 标签 网格中,至少添加一个标签。

  5. 点击 保存 以创建规则。

    规则创建后,将自动应用于所有带有指定标签的终端。

    gz_cl_op_pt_create_tag_rule_en.png

配置集成标签规则

重要提示

仅当存在 Amazon EC2 集成时,方可创建集成标签规则。

您可以使用云基础设施中定义的标签,为托管在云中的虚拟机分配特定的 GravityZone 策略。所有具有标签规则中指定标签的虚拟机,都将应用该规则设置的策略。

注意

根据云基础设施的不同,您可以通过以下方式定义虚拟机标签:

  • 对于 Amazon EC2 :在 标签 选项卡的EC2实例中。

标签规则可包含一个或多个标签。创建标签规则需执行以下步骤:

  1. 为待创建的规则输入一个提示性名称及描述。

  2. 设置规则优先级。规则按优先级排序,首条规则具有最高优先级。同一优先级不可重复设置。

  3. 选择要为其创建标签规则的策略。

  4. 标签 表中,添加一个或多个标签。

    标签由区分大小写的键值对构成。请确保按云基础设施定义准确输入标签,仅有效键值对会被采纳。

    添加标签方法:

    1. 标签键 字段输入键名称。

    2. 标签值 字段输入值名称。

    3. 点击表格右侧的 add_inline.png 添加 按钮。

有关EC2托管实例标签的更多信息,请参阅 亚马逊EC2官方文档 .

配置计算机组规则

在Active Directory环境中,您可利用计算机组规则对按不同组织单元(OU)分类的终端应用定制化安全策略,实现跨部门或设备类型的精细管控。

重要提示

  • 仅当Active Directory集成可用时方可创建计算机组规则。

  • 计算机组规则仅适用于包含计算机对象的Active Directory组织单元(OU)及安全组。

  • 当选定某组织单元为目标时,规则仅作用于该OU内的计算机,不适用于包含这些计算机的嵌套组。

  • 基于包含计算机对象的Active Directory安全组的规则不适用于Linux终端。

在规则配置窗口中,按以下步骤操作:

  1. 为您要创建的规则输入一个提示性名称和描述。

  2. 设置优先级。规则按优先级排序,第一条规则具有最高优先级。同一优先级不可重复设置。

  3. 选择您要为其创建分配规则的策略。

  4. 目标 部分,选择 组织单位(OU) 安全组 包含您希望策略规则适用的计算机对象。

    Active Directory树中显示以下对象类:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单位(OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    您可以在右侧表格中查看所选内容。

    assignment_rules_computer_group_rule_1440565_en.png

  5. 点击 保存 .

    创建后,计算机组规则将在用户登录时应用于托管目标终端。

本节内容 :