跳至主内容

分配本地策略

您可以通过两种方式分配本地策略:

  • 基于设备的分配 即手动选择要分配策略的目标终端。这些策略也称为设备策略。

  • 基于规则的分配 即当终端的网络设置符合现有分配规则的给定条件时,将策略分配给受管终端。

注意

您只能分配自己创建的策略。要分配其他用户创建的策略,需先在 策略 页面克隆该策略。

分配设备策略

GravityZone 中,您可以通过多种方式分配策略:

  • 直接将策略分配给目标。

  • 通过继承分配父组策略。

  • 强制将策略继承到目标。

默认情况下,每个终端或终端组会继承父组的策略。若修改父组策略,除已强制执行策略的终端外,所有子级终端均会受影响。

分配设备策略步骤如下:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 视图选择器 .

  4. 选择目标终端(可单选或多选终端/终端组)。

    出于继承机制,根组策略无法修改默认值。例如 计算机与虚拟机 组始终会分配 默认策略

  5. 点击表格上方的 policy.png 分配策略 按钮,或从右键菜单中选择 分配策略 选项。

    系统将显示 策略分配 页面:

    network-policy_assignment.png

  6. 查看目标终端表格,可获取以下信息:

    • 当前分配的策略

    • 策略继承来源的父组(如适用)

      若组策略处于强制状态,点击组名可查看 策略分配 页面(以该群组为目标)。

    • 强制执行状态。

      此状态显示目标是强制策略继承还是被强制继承策略:

      • 强制中 :策略被强制应用于子群组。

      • 被强制 :策略从上级继承并被强制应用。

      • 不适用 :无强制策略。

      注意具有强制策略的目标( 被强制 状态)。其策略不可被替换。此时会显示警告信息。

  7. 若出现警告,请点击 排除这些目标 链接以继续。

  8. 选择以下可用选项之一来分配策略:

    • 分配以下策略模板 - 直接将特定策略指定给目标端点。

    • 从上级继承 - 使用父群组的策略。

  9. 若选择分配策略模板:

    1. 从下拉列表中选择策略。

    2. 选择 强制子群组继承策略 以实现以下效果:

      • 将策略分配给目标群组的所有后代(无例外)。

      • 防止层级中更低位置的其他节点修改策略。

      新表格将递归显示所有受影响的端点及端点群组,以及将被替换的策略。

  10. 点击 完成 以保存并应用更改。否则,请点击 返回 取消 回到上一页。

完成后,策略会立即推送到目标端点。设置应在不到一分钟内应用于端点(前提是它们在线)。如果端点不在线,设置将在其重新上线后立即应用。

要检查策略是否成功分配:

  1. 网络 页面中,从左边的菜单点击你感兴趣的端点名称。 控制中心 将显示 信息 窗口。

  2. 检查 策略 部分以查看当前策略的状态。它必须显示 已应用

另一种检查分配状态的方法是从策略详情中:

  1. 转到 策略 页面,从左边的菜单。

  2. 找到你分配的策略。

    活跃/已应用/待处理 列中,你可以查看三种状态各自的端点数量。

  3. 点击任意数字以在 网络 页面中查看具有相应状态的端点列表。

分配基于规则的策略

策略 > 分配规则 页面中,您可以定义用户、位置和标签感知策略。例如,当用户从公司外部连接互联网时,您可以应用更严格的防火墙规则;或者为非管理员组成员或特定标签定义的终端启用网络访问控制。

assignment-rules-page-onpremises.PNG

关于分配规则,您需要了解以下要点:

  • 终端同一时间只能有一个活动策略。

  • 通过规则应用的策略将覆盖终端上设置的设备策略。

  • 如果没有适用的分配规则,则应用设备策略。

  • 规则按优先级排序和处理,其中 1 为最高优先级。同一目标可设置多条规则。

    这种情况下,将应用与目标终端当前连接设置匹配的第一条规则。

    例如,若某终端同时匹配优先级5的标签规则、优先级4的用户规则和优先级3的位置规则,则将应用位置规则。

  • 分配规则 表中,您可按 优先级 , 名称 , 类型 , 描述 , 策略 状态 进行搜索和排序。规则状态可能为:

    • 运行中 - 表示该规则活跃且适用于终端。

    • 无目标 - 该规则因缺少目标而未应用于终端。当创建规则后,在 网络 清单中选为目标文件夹被删除时,可能出现此情况。

重要提示

创建规则时,请确保考虑敏感设置,如排除项、通信或代理详细信息。

最佳实践建议使用策略继承,以保持设备策略中的关键设置也存在于分配规则所使用的策略中。

注意

卸载密码、加密和解密设置仅由设备类型策略管理。这些设置无法通过基于规则的策略进行管理。

创建新规则:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 分配规则 页面。

  3. 点击表格上方的 add.png 添加 按钮。

  4. 选择规则类型:

  5. 根据需要配置规则设置。

  6. 点击 保存 以保存更改并将规则应用于策略的目标终端。

修改现有规则的设置:

  1. 分配规则 页面中,找到目标规则并点击其名称进行编辑。

  2. 根据需要配置规则设置。

  3. 点击 保存 以应用更改并关闭窗口。若放弃更改直接退出,请点击 取消 .

如需停用某条规则,请选中该规则后点击表格上方的 delete.png 删除 按钮。点击 确认操作。

为确保显示最新信息,可点击表格上方的 refresh.png 刷新 按钮。

配置位置规则

位置是由一个或多个网络设置标识的网段,例如特定网关、用于解析URL的特定DNS或IP子集。例如可定义公司局域网、服务器集群或部门等位置。

在规则配置窗口中按以下步骤操作:

  1. 为待创建规则输入描述性名称和说明。

  2. 设置规则优先级。规则按优先级排序,首条规则优先级最高。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的政策。

  4. 定义规则适用的位置范围。

    1. 位置 表格上方的菜单中选择网络设置类型。可选类型包括:

      类型

      IP/IP地址范围

      网络或子网中的特定IP地址。对于子网请使用CIDR格式。

      例如: 10.10.0.12 10.10.0.0/16

      网关地址

      网关的IP地址

      例如: 10.0.2.2

      WINS服务器地址

      WINS服务器的IP地址

      重要提示

      此选项不适用于Linux和macOS系统。

      DNS服务器地址

      DNS服务器的IP地址

      最多可添加30个IP地址且总字符数不超过480个。

      DHCP连接DNS后缀

      特定DHCP连接中不包含主机名的DNS名称

      例如: hq.company.biz

      终端可解析主机

      主机名

      例如: fileserv.company.biz

      终端可连接至 GravityZone

      是/否

      重要提示

      此选项不适用于macOS系统。

      网络类型

      无线/有线

      选择无线时,还可添加网络SSID。

      重要提示

      此选项不适用于Linux系统。

      主机名

      主机名

      例如: cmp.bitdefender.com

      重要提示

      也可使用通配符:星号(*)匹配零或多个字符,问号(?)精确匹配一个字符。示例:

      *.bitdefender.com

      cmp.bitdefend??.com

      重要提示

      此选项不适用于macOS系统。

    2. 输入选定类型的值。适用时可在专用字段输入多个值,用分号(;)分隔且不加空格。例如输入 10.10.0.0/16;192.168.0.0/24 时,规则将适用于IP匹配任一子网的目标终端。

      警告

      每条位置规则只能使用一种网络设置类型。例如若已通过 IP/网络前缀 添加位置,则同一规则中不可重复使用此设置。

    3. 点击表格右侧的 add_inline.png 添加 按钮。

    重要提示

    终端网络设置需匹配所有提供的位置,规则才会生效。

    例如:要识别办公室局域网,可输入网关、网络类型和DNS;若添加子网,则可识别公司局域网内的部门。

    policies-location-rule.png

    点击 字段以编辑现有条件,然后按 Enter 键保存更改。

    要移除某个位置,请选中并点击 delete_inline.png 删除 按钮。

  5. 您可能希望从规则中排除某些位置。要创建排除项,请定义需从规则中豁免的位置:

    1. 勾选 排除项 复选框(位于 位置 表格下方)。

    2. 排除项 表格上方的菜单中选择网络设置类型。选项与 位置 表格中的相同。

    3. 为选定类型输入值。可在专用字段中输入多个值,用分号(;)分隔且无需额外空格。

    4. 点击表格右侧的 add_inline.png 添加 按钮。

    终端上的网络设置必须满足 排除项 表格中提供的所有条件,排除才会生效。

    点击 字段编辑现有条件,然后按 Enter 键保存更改。

    要移除排除项,请点击 delete_inline.png 删除 按钮位于表格右侧。

    重要提示

    排除项同时作为否定条件生效,您可仅基于它们创建规则。在此类规则中, 位置 表格无条目。

    示例:

    • 当您输入 10.10.0.0/16;192.168.0.0/24 作为排除项时,该规则适用于所有IP地址与这些子网均不匹配的目标终端。

    • 当您指定 无线网络 作为网络类型,并输入字符串 cmp1.bitdefender.com;cmp2.bitdefender.com;cmp3.bitdefender.com 作为主机名排除项时,该规则适用于非无线连接且名称与这些条目均不匹配的目标终端。

  6. 目标 部分,选择视图( 计算机与虚拟机 云工作负载 )及要应用策略规则的网络文件夹。您可在右侧 已选分组 .

    注意

    若您未在任何视图( 计算机与虚拟机 云工作负载 ), GravityZone 在保存规则时会自动选择所有可用实体。

  7. 点击 保存 以保存分配规则并应用。

    创建后,位置规则会根据您的用户权限自动应用于您管理的所有目标终端。

配置用户规则

重要提示

  • 仅当Active Directory集成可用时才能创建用户规则。

  • 您只能为Active Directory用户、组和组织单位(OU)定义用户规则。

  • 当选择组织单位作为目标时,该规则适用于该OU中的用户,但不适用于包含这些用户的安全组。

  • 基于Active Directory组的规则在Linux系统上不受支持。

在规则配置窗口中,按以下步骤操作:

  1. 为要创建的规则输入一个描述性名称和说明。

  2. 设置优先级。规则按优先级排序,第一条规则具有最高优先级。同一优先级不能重复设置。

  3. 选择要为其创建分配规则的策略。

  4. 目标 部分,选择 组织单位(OU) , 用户 安全组 以应用策略规则。

    Active Directory树中显示以下对象类:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单位(OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    • ad-user.png - 用户

    您可以在右侧表格中查看所选内容。

    assignment_rules_user_rule_92794_en.png

  5. 点击 保存 .

    创建后,用户感知规则将在用户登录时应用于受管理的目标端点。

配置端点标签规则

为了快速高效地将策略分配给新老端点,您可以使用基于标签的规则。每条规则可包含一个或多个标签。含多个标签的规则采用 AND 运算符,意味着端点 必须具有所有指定标签 才能使规则生效。

规则可包含自定义标签和自动标签。

例如,假设您创建了自动标签 Linux 用于标记运行该操作系统的端点。随后基于此标签创建规则,分配具有特定设置的安全策略。这样一来,当 GravityZone 在网络上检测到新的Linux机器时,端点将自动获得 Linux 标签及对应策略。

有关创建标签并将其分配给端点的详细信息,请参阅 使用端点标签 .

配置端点标签规则的步骤如下:

  1. 输入描述性名称和说明。

  2. 设置规则优先级。

    规则按优先级排序,首条规则优先级最高。例如优先级1高于优先级2。同一优先级不可重复设置。

  3. 选择要为其创建标签规则的策略。

  4. 标签 在网格中,添加至少一个标签。

  5. 点击 保存 以创建规则。

    规则创建后,将自动应用于所有带有指定标签的终端。

    gz_cl_op_pt_create_tag_rule_en.png

配置集成标签规则

重要提示

仅当 Amazon EC2 或Microsoft Azure集成可用时,才能创建集成标签规则。

您可以使用云基础设施中定义的标签,为托管在云中的虚拟机分配特定的 GravityZone 策略。所有具有标签规则中指定标签的虚拟机都将应用该规则设置的策略。

注意

根据云基础设施的不同,您可以按以下方式定义虚拟机标签:

  • 对于 Amazon EC2 :在EC2实例的 标签 选项卡中设置。

  • 对于Microsoft Azure:在虚拟机的 概述 部分中设置。

一个标签规则可包含一个或多个标签。创建标签规则的步骤如下:

  1. 为要创建的规则输入一个描述性名称和说明。

  2. 设置规则的优先级。规则按优先级排序,第一个规则具有最高优先级。同一优先级不可重复设置。

  3. 选择要为其创建标签规则的策略。

  4. 标签 表格中,添加一个或多个标签。

    标签由区分大小写的键值对组成。请确保按照云基础设施中的定义输入标签,仅有效的键值对会被采纳。

    添加标签步骤:

    1. 标签键 字段中输入键名。

    2. 标签值 字段中输入值名称。

    3. 点击表格右侧的 add_inline.png 添加 按钮。

有关标记EC2托管实例的更多信息,请参阅 亚马逊EC2官方文档 .

配置计算机组规则

在Active Directory环境中,若终端按不同组织单位(OU)划分,您可利用计算机组规则为各部门或设备类型应用定制安全策略。

重要提示

  • 仅当Active Directory集成可用时方可创建计算机组规则。

  • 计算机组规则仅适用于包含计算机对象的Active Directory组织单位(OU)和安全组。

  • 当选择某组织单位作为目标时,规则仅适用于该OU内的计算机,不适用于包含这些计算机的嵌套组。

  • 基于含计算机对象的Active Directory安全组的规则不适用于Linux终端。

在规则配置窗口中按以下步骤操作:

  1. 为待创建规则输入描述性名称及说明。

  2. 设置优先级。规则按优先级排序,首条规则优先级最高。同一优先级不可重复设置。

  3. 选择要为其创建分配规则的策略。

  4. 目标 部分,选择 组织单位(OU) 安全组 包含您希望策略规则适用的计算机对象。

    Active Directory 树中显示以下对象类:

    • ad-domain.png - 域

    • ad-organization-unit.png - 组织单位 (OU)

    • ad-container.png - 容器

    • ad-user-group-roles.png - 安全组

    您可以在右侧表格中查看所选内容。

    assignment_rules_computer_group_rule_1440565_en.png

  5. 点击 保存 .

    创建后,计算机组规则将在用户登录时应用于管理的目标端点。

本节内容 :