北信源内网安全u盘制作详解_图文

北信源内网安全u盘制作详解_图文 安全U盘制作手册 一、 USB标签制作 全局参数根据服务器特征产生，用于区别在不同服务器上制作的移动存储设备，一般情况下，系统标签和建议标签一致，如果服务器更换(ip、本系统数据库)，建议标签为当前服务器的标签，此时，建议使用最新的建议标签。同时，带有以前服务器上标签的移动存储设备同现有服务器安全策略不兼容。 普通标签作用:用于对移动存储设备作标记，在外网未注册计算机不做任何判断，可以任意使用，仅在内网注册计算机上供认证识别用，移动存储设备标签同注册计算机获取的标签授权一致，该设备方可使用，否则根据管理员的设置进行相应报警处理。 !SAFE6标签作用:用于对移动存储设备的分区标签管理，在对移动存储设备分区的同时，进行标签写入，!SAFE6设备标签同注册计算机获得的标签授权顺序匹配后，用户才能够按照设定的权限进行对!SAFE6设备数据区登录访问。 标签制订:以!SAFE6标签为例，某公司下属10个部门，一种管理方法是每个部门可以有单独的标签(如信息中心、销售部、办公室、财务部、市场部等)，另一种是全公司设置特定的几种标签(如安全策略一标签、安全策略二标签)，通过对计算机注册客户端程序的标签安全策略的发送，让计算机按照预定义的安全策略来识别带有不同的标签的移动存储设备，并进行访问控制(读写、只读、禁止使用、报警等)。 先添加备用标签，再分配给网管，并保存。这样在使用UsbTool.exe时，能够获得上述预分配的标签，按照不同管理需要对移动存储设备进行标签写入。 附图4标签分配 二、USB标签制作工具 1、USB标签制作工具功能 USB标签制作工具UsbTool.exe存放在网页管理平台VRVEIS文件的download下，下载后可以在任何计算机上(建议在Windows2000、xp等操作系统)对移动存储设备执行标签写入操作。 专用移动存储设备类型 缺省三个分区、启动区与交换区二合一、整盘加密。 缺省三个分区:该类型盘具有启动区、交换区、保密区;启动区带有启动程序，在未注册计算机上通过该启动程序登录交换区。 启动区与交换区二合一:该类型盘有两个分区，启动区中带有启动程序。 整盘加密:该类型盘只有一个数据区——保密区。 启动区的大小为10M(默认) 密码最大错误次数用于分别限制对两个区的访问，一旦输入的错误密码次数超过指定数值，专用移动存储设备将自动锁定。 三、安全U盘设备制作过程 1、获取制作工具:打开网页管理平台登录界面，点击“工具下载”，进入“工具下载”界面，选择“管理员工具下载”，出现登录提示，输入用户名和口令后，可看到“U盘特征制作工具”，点击下载按钮，选择保存路径保存即可。 附图5登陆界面 附图6工具下载界面 附图7 U盘特征制作工具下载界面 2、登录制作工具:执行“UsbTool.exe”，输入区域管理器所在计算机的ip地址，输入admin 用户，输入密码登录(UsbTool同区域管理器连通)。 附图8 UsbTool登录 3、选择需要的型号:登录后，插入普通移动存储设备，出现盘符，选择该盘符，然后选择标签，再填写部门、拥有者、设备编号(自动编号不需要填写)、等。 附图9 UsbTool界面 最后选择【写入标签】，如图，选择需要制作的安全盘的类型。 注:内容填写完毕后，不要忘记选中盘符。 附图10 分区化 4、配置设备参数:选择“显示格式化窗口”、“支持灾难恢复”、“整盘加密设备，在外网使用报警”、“初始密码强制修改”。 5、分区格式化:按照步骤对分区进行各式化。 6、标签验证、标签清除:标签写入成功后，可以在UsbTool.exe主界面中进行标签验证，并进行标签清除。 注:1、标签制作过程中将会格式化U盘，因此在制作前请先做好数据备份。 2、如制作过程中标签写入失败，请对U盘低格，然后重试。 四、安全U盘使用效果 1、在已授权计算机上，插入专用存储设备，将自动弹出如下登录窗口: 附图12 安全U盘登录 输入初始密码:0000aaaa，提示修改密码。 2、密码修改 保密区登录初始密码:0000aaaa。 用户首次登录该存储设备时，系统将强制修改初始密码，不可修改为0000aaaa。修改密码时，选择好区域，输入当前密码和新密码并确认。 附图13 修改密码提示 点击确定，出现以下修改密码窗口: 附图14 修改密码界面 修改后，点击确认即可。 *注:密码要求是数字和字母组合，并且长度在8位以上，确定后修改即可(请牢记新密码～)。 修改后，使用新密码重新登录，用户可以看到目前已经登录的分区。 密码条颜色变化说明已成功登陆。 附图14 成功登陆后界面 登陆后，点击图标，即可将登陆界面隐藏到右下角。 打开“我的电脑”，将看到新盘符:“保密区”。 附图15 计算机显示效果 五、移动存储审计策略 移动存储审计策略用于配置注册计算机的专用移动存储管理策略，管理员设定专用移动 存储设备的许可标签、使用权限、报警信息等策略内容，策略下发注册终端后执行，注册终 端根据策略对接入的移动存储设备进行条件判断控制。 参数 说明 不允许使用、允许只读方式使用、允许读写方 式使用。该项用来控制普通U盘的操作使用， 带标签的本系统移动存储设备属于普通U盘普通U盘控制 的一种，因此，普通标签和!SAFE6标签移动 存储设备的使用均需要开启“允许读写方式使 用”权限 网络中存在标签移动存储设备，需要开启该 项。 启用U盘标签认证 注:未经过标签制作工具分区的U盘以及安 全U盘，其权限由交换区权限控制。 择设定的移动存储标签类型，例如标签1、标 签2、标签3三种标签，分别对应于信息中心、 销售部、办公室的标签移动存储设备 认证标签列(添加针对信息中心的所有客户端制订一条策略，设 标签) 置本部门的标签设备在本部门计算机上的使 用权限，设置销售部的标签设备在信息中心计 算机上的使用权限，设置办公室的标签设备在 信息中心计算机上的使用权限，控制级别到数 据区(交换区、保密区)。策略制订好以后， 发送到信息中心所有ip计算机执行 本单位标签，是指在同一套管理服务器系统 (全局标签)上制作的不同类型标签的的移动本单位标签认证失存储设备，如各部门使用不同标签，这些标签败 属于本单位标签，用于识别对不同部门的设备 使用权限管理 外单位标签，是指不在同一套管理服务器系统 (全局标签)上制作的不同类型标签的的移动外单位标签认证失存储设备。用户对这些设备的使用权限会受到败 “外单位标签认证失败”策略和标签的离网策 略限制 针对USB类型的移动存储设备进行读写控软盘使用控制、光盘制，USB软盘、USB光盘刻录机等均可以将使用控制 数据拷出 针对特定类型的文件进行审计，不填写默认为审计过滤 全部审计 针对!SAFE6标签设备插入计算机后自动调用登录交换区后自动操作系统的杀毒软件对交换区进行病毒查杀，杀毒 杀毒软件支持动态添加(基本如瑞星、kill) 针对特定移动存储设备如公章系统盘，不进行 例外判断 访问控制判断，其他类似，只需要填写特征文 件名即可 中间机针对存在整盘加密策略的计算机和外 中间机策略 来移动存储设备的情况提供数据交换，通过策 略内容逻辑的组合来实现 附表1 移动存储审计策略参数说明 移动存储审计数据 在数据查询,审计数据查询,移动设备审计中查看审计数据。默认当前页面显示“今日数据”，如果需要查找其他时间的数据，可以通过选择“时间范围”查询。在数据查询时:选择需要查询的数据类型，如“移动设备接入”，“读取移动设备”，“写入移动设备”，分别显示查询项。 附录:移动硬盘标签制作方法: 步骤1:插入移动硬盘之后，右击我的电脑,管理,磁盘管理。 附图-1制作移动硬盘标签1 步骤2:在上面的分区上点鼠标右键，删除分区，多分区相同。 附图- 2制作移动硬盘标签2 步骤3:删除分区H，然后点【确定】按钮。 附图- 3制作移动硬盘标签3 步骤4:然后所有分区，使之变成未指派盘符。 附图-4制作移动硬盘标签4 步骤5:在未指派盘符上，单击鼠标右键选创建磁盘分区。 附图-5制作移动硬盘标签5 步骤6:点【下一步】。 附图-7制作移动硬盘标签6 步骤7:选择主磁盘分区，点击【下一步】。 附图-8制作移动硬盘标签7 步骤8:设置分区大小为2000MB，之后点【下一步】 附图-9制作移动硬盘标签8 步骤9:给主分区指定一个盘符。 附图-10制作移动硬盘标签9 步骤10:主分区必须是FAT32格式的，点击【下一步】。 附图-11制作移动硬盘标签10 步骤11:之后点【完成】。 附图-12制作移动硬盘标签11 步骤12:之后的步骤和三分区的优盘的步骤1到步骤6一样，就是容量大小和注册信息不 同。(需要注意一下)