管理中心成都虚拟主机

AsiaInfo保留对本文档以及此处所述产品进行更改而不通知的权利.
在安装并使用本软件之前,请阅读自述文件、发布说明(如果有)和最新版本的《部署指南》,这些文档可以通过的以下Web站点获得:http://www.
asiainfo-sec.
com/版权2015亚信科技(成都)有限公司/AsiaInfoTechnologies(Chengdu),Inc.
文档版本:1.
0文档编号:发布日期:2016年3月目录第1章:简介1防护模块1第2章:安装DSM3前提条件3启动安装程序4许可协议4升级与覆盖现有的安装4安装位置4数据库选项4使用授权5主机名、URL或IP地址,以及通信端口5凭证5安全更新5确认设置6安装完成6运行DSM6第3章:安装安全管理程序7安全管理程序的CVK要求7安全管理程序CVK系统配置要求7将CVK主机添加到被管理计算机列表7在CVK主机上部署并激活安全管理程序:7第4章:基本配置8确保时间戳可靠8配置电子邮件通知8创建角色和用户帐户8基本防火墙配置9Java安全性9附录A:DSM内存使用10配置安装程序的最大内存使用量10配置DSM的最大内存使用量10附录B:安全管理程序内存使用11附录C:性能建议12管理中心和数据库硬件12数据库磁盘空间12专用服务器12性能配置文件12磁盘空间不足警报13数据库主机磁盘空间不足13管理中心主机磁盘空间不足13附录E:故障排除14管理中心14安装14通信14配置15安全管理程序16部署16配置16激活16诊断信息收集16附录F:FAQ18附录G:卸载19删除安全管理程序19卸载DSM19第1章:简介DeepSecurity7.
5提供了对动态数据中心(包括从虚拟桌面到物理服务器、虚拟或云服务器)的高级保护.
提供了全面的防护,其中包括:防恶意软件防火墙深度包检测(DPI)入侵检测和阻止(IDS/IPS)Web应用程序防护应用程序控制包含以下组件,这些组件协同工作以提供全面的防护:DSM(DSM)是管理员用来配置安全策略并向安全管理程序部署防护的集中式管理组件.

安全管理程序是针对CAS环境构建的安全主机环境,可提供以下防护:防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序控制.
下表标识了安全管理程序提供的防护:安全管理程序防恶意软件是防火墙是深度包检测:IDS/IPS应用程序控制Web应用程序防护是防护模块虚拟机的防恶意软件安全管理程序支持对CAS环境内虚拟机的防恶意软件防护.
DSM新增的防恶意软件模块目前支持:执行无客户端对恶意软件的防护对CAS上运行的活动虚拟机的防护防恶意软件的配置高度可定制,主要是通过安全配置文件实现实时手动预设扫描对隔离文件的管理,包括从DSM下载和删除内置到控制板widget和报告中的防恶意软件支持从DSM集成防恶意软件Web服务防火墙防火墙定义允许或拒绝哪些流量进出受保护的计算机.
可以根据协议、端口使用、流量方向、使用的接口和主机标识等触发器的组合来应用防火墙规则.
由于它是状态防火墙,因此还可以实施规则来防御各种侦察扫描和拒绝服务攻击.

深度包检查(DPI)深度包检查分析进出计算机的网络流量的实际内容.
DPI规则用于找到伪装成合法流量的攻击.
这些规则可以阻止包含旨在利用计算机上特定应用程序和操作系统漏洞的内容的流量.

DPI规则通过保护漏洞不受已知和未知攻击来提供入侵检测和阻止(IDS/IPS)防护.
DPI规则还通过一组Web应用程序防护规则来保护Web应用程序中的漏洞(如跨站点脚本(XSS)和SQL注入).
通过检测已知的应用程序流量(在企业环境中可能需要限制),DPI规则还可以用于向计算机提供应用程序控制.
持续的规则更新会自动提供最新的全面防护,以抵御已知和未知的攻击.

DPI可以仅使用安全管理程序保护虚拟机.
第2章:安装DSM前提条件系统要求内存:4GB磁盘空间:50GB(建议使用50GB)操作系统:MicrosoftWindowsServer2008(32位和64位)、WindowsServer2008R2(64位)、Windows2003ServerSP2(32位和64位)数据库(建议但可选):Oracle11g、Oracle10g、MicrosoftSQLServer2008SP1、MicrosoftSQLServer2005SP2Web浏览器:MozillaFirefox3.
x(启用Cookie)、InternetExplorer7.
x(启用Cookie)和InternetExplorer8.
x(启用Cookie)有关系统需求和性能的更多信息,请参阅附录E:性能建议.
使用授权(激活码)对于要使用的每个防护模块,使用授权(激活码)均是必需的.
管理员/Root权限需要拥有管理员权限才可以安装DSM.
DSM主机的URL/IP和可用端口安装程序会在Windows"开始"菜单中添加DSM的快捷方式.
如果要远程访问管理中心,需要留意此URL.
您必须确保以下端口(托管DSM的计算机上)处于打开状态且未保留用于其它目的:端口4119:浏览器使用其连接到DSM.
(可在本节中的"步骤7"中进行配置.
)端口4120:"波动信号"端口,安全管理程序使用该端口与DSM进行通信.
(可在本节中的"步骤7"中进行配置.
)端口1433和1434:双向MicrosoftSQLServer端口.
端口1521:双向OracleDatabase服务器端口.
端口514(可选):与Syslog服务器双向通信.
有关使用的端口的完整列表,请参阅联机帮助或《用户指南》的"参考"一节中的"所使用的端口".

网络通信DSM与安全管理程序和CAS通信时使用DNS主机名.
为了成功部署安全管理程序,必须确保每台计算机均可以解析DSM的主机名.
这要求DSM计算机拥有DNS项或在安全管理程序上的hosts文件中存在对应项.
请注意,您会在DSM安装过程中指定此主机名(请参阅安装DSM过程中的"步骤7".
)如果没有DNS,必须在步骤7中指定IP地址.
数据库DSM自带有一个内置数据库(ApacheDerby),该数据库仅适用于评估目的.
对于企业部署,需要MicrosoftSQLServer2008或2005,或者OracleDatabase11g或10g.
在安装DSM过程中,安装程序会询问使用内置数据库引擎还是两个支持的企业数据库引擎之一.
如果选择后者,安装程序会提示您提供配置信息.

请注意,如果您打算使用MicrosoftSQLServer或OracleDatabase,则必须在安装DSM之前安装该软件并创建数据库.
启动安装程序必须以Windows管理员身份登录才能安装DSM.
将相应的32位或64位DSM安装文件(Manager-Windows-7.
5.
xxx.
i386.
exe或Manager-Windows-7.
5.
xxx.
x64.
exe)复制到目标计算机,然后运行.
出现"安装向导"时,单击下一步继续.

许可协议阅读并接受许可协议后,选择"我接受协议"并单击下一步.
升级与覆盖现有的安装如果系统上安装了先前版本的DSM,您可以选择"升级现有的安装版本"或"覆盖现有的安装版本".
升级安装版本会将DSM升级到最新版本,但不会覆盖您的安全配置文件、DPI规则、防火墙规则、应用程序类型等,也不会更改应用于网络中计算机的任何安全设置.
覆盖现有的安装版本会清除与先前安装版本相关的所有数据,然后安装最新的过滤器、规则、配置文件等.

请注意,即使创建新的安装版本,当前由安全管理程序应用于计算机上的现有安全元素也不会受影响,直至使用DSM更新它们.
从新的管理中心安装版本更新安全管理程序将需要停用并重新激活这些主机设备.

安装位置指定安装DSM的位置并单击下一步.
选择目录时,安装程序可能会在选定的目录路径后附加上建议的目录名称.
如果使用的是"浏览"按钮,请在继续前检查目录条目.

数据库选项选择是希望使用DSM的内置数据库引擎(ApacheDerby),还是现有的SQLServer或Oracle10数据库.
如果使用Oracle或SQLServer数据库,则必须在安装DSM之前创建数据库.
使用命名管道连接到SQLServer时,DSM的主机和SQLServer主机之间必须存在经正确认证的MicrosoftWindows通信通道.
此通道在以下情况下已存在:SQLServer与DSM位于同一主机上,两台主机为同一域的成员,或者两台主机之间存在信任关系.
如果不存在此通信通道,则DSM将无法通过命名管道与SQLServer进行通信.
使用授权创建新的安装版本时,会要求您输入激活码.
请输入所有防护模块的激活码或分别输入已购买使用授权的各个模块的激活码.
如果未输入任何激活码,您仍可以继续,但将无法使用任何防护模块.
(您可以在安装DSM后转至系统>使用授权输入首个激活码或添加激活码.
)主机名、URL或IP地址,以及通信端口如果创建新的安装版本,请输入此计算机的主机名、URL或IP地址.
此地址将用于访问DSM的Web界面.
安全管理程序还使用它来与管理中心通信.
因此,选择安全管理程序可以解析的主机名很重要.

您可以选择更改缺省通信端口.
"管理中心端口"指可通过HTTPS访问管理中心的基于浏览器的UI的端口.
"波动信号端口"指管理中心侦听来自安全管理程序的通信的端口.

满意这些设置时,单击下一步.
管理中心地址必须为可解析的主机名(完全限定的域名)或IP地址.
如果环境中DNS不可用,或如果某些计算机无法使用DNS,则应使用固定IP地址而不使用主机名.
凭证输入主管理员帐户的用户名和密码.
此帐户将拥有DSM的完全管理权限,包括创建拥有完全或受限权限的其他管理员帐户的能力.

选中强制使用强密码复选框会要求此管理员及以后创建的管理员的密码包括大写和小写字母、非字母数字字符以及数字,并且要求使用建议的最小字符数.
(可稍后在"系统设置"中对此进行更改.
)安全更新选择是否希望DSM自动检索最新的组件(病毒码、引擎等)或软件(安全管理程序等).
虽然建议执行此操作,但其并非必需,您可以稍后使用DSM检索或配置它们.

对安全组件和安全管理程序的更新均可以使用DSM进行部署.
(请参阅联机帮助或《用户指南》的"更新"一节了解详细信息.
)但是,新版本的DSM必须独立于当前的DSM进行安装.
也就是说,必须从下载专区下载新版本,然后运行安装程序,并按照说明执行软件升级.

确认设置此页面显示安装选项的摘要.
验证输入的信息,然后单击完成继续.
安装完成安装现在已完成.
单击"完成"关闭安装向导.
DSM服务会在安装完成时启动.
要启动DSM基于Web的管理控制台,请在单击完成之前选择运行DSM选项.
运行DSMDSM服务在启动时自动启动.
可以从Microsoft服务管理控制台启动、重新启动和停止该服务.
要运行基于Web的管理控制台,请转至开始菜单中的程序组,并单击DSM.
要从远程计算机运行基于Web的管理控制台,您必须记住以下URL:https://[hostname]:[port]/其中,[hostname]是安装DSM的服务器的主机名,[port]是在安装的步骤7中指定的"管理中心端口"(缺省为4119).
要求访问基于Web的管理控制台的用户使用他们的用户帐户凭证进行登录.
第3章:安装安全管理程序安全管理程序的CVK要求H3CCloudAutomationSystem(CAS)CPU:64位,存在Intel-VT并在BIOS中启用安全管理程序CVK系统配置要求时区和时间需正确配置网络需正确配置安装qemu安装libvirt和libvirt-python,启动libvirtd服务将CVK主机添加到被管理计算机列表在导航窗格中右键单击"计算机",然后选择添加CentralManagement.
.
.
以启动添加CentralManagement向导.
选择服务器类型为H3CCAS提供服务器地址(IP或主机名)和端口、名称和描述,以及CAS的用户名和密码.

单击继续.
添加CentralManagement向导将显示要添加的CVK主机的详细信息.
单击完成.
单击确认窗口上的关闭.
CVK会显示在"计算机"列表中.
在CVK主机上部署并激活安全管理程序:右键单击"计算机"列表中的CVK主机.
选择操作>部署设备以显示部署设备向导.
单击继续.
选择立即激活服务器安全管理程序,单击继续.
单击继续.
安全配置文件选择无,点击继续.
完成激活后点击关闭退出.
安全管理程序的状态此时将显示为"被管理(联机)".
第4章:基本配置确保时间戳可靠运行软件的所有计算机均应与可靠的时间源保持同步.
例如,定期与网络时间协议(NTP)服务器通信.
配置电子邮件通知在DSM中,多种警告和错误情况会引发警报.
您应该使DSM可在引发警报时通过现有的SMTP服务器发送电子邮件通知.
设置电子邮件通知:在DSM中,转至系统>系统设置>系统.
在SMTP区域中,输入SMTP服务器的地址、凭证和其他详细信息.
单击测试SMTP设置按钮以测试SMTP配置.
如果配置成功,则会显示成功通知.
如果不成功,则会显示警告通知.
(如果收到警告,请确保SMTP服务器正在运行且可以访问,并且所需端口处于打开状态,如第2章"安装DSM"所述.
)完成之后,单击保存.
现在转至系统>系统设置>通知.
在警报区域中,输入要向其发送通知的电子邮件地址.
单击保存.
请注意,此电子邮件地址不与任何单个用户的帐户相关联.
可以对各个用户的帐户进行配置,以便按其接收电子邮件通知.
要为某个用户启用电子邮件通知,请在系统>用户窗口上编辑该用户的属性.
缺省情况下,管理中心会对每个报警发送通知.
您可以通过转至系统>系统设置>系统,然后单击警报配置区域中的查看警报配置…来进一步限定发送通知的条件.
可在每个警报的属性窗口上为其配置通知条件.

有关警报和通知的更多信息,请参阅联机帮助或《用户指南》中相应的章节.

创建角色和用户帐户使用基于角色的访问控制来限制用户对各个部分的访问.
安装DSM后,应为每个用户创建单独的帐户并为每个用户分配一个角色,该角色将限制除那些完成其职责所必需的活动外的所有活动.

随附了两个预先配置的角色:完全访问权限:"完全访问权限"角色可以授予用户有关管理的所有可能的权限,包括创建、编辑和删除计算机、计算机组、安全配置文件、规则、防恶意软件配置、组件以及其他项.

审计员:"审计员"角色可以为用户提供在中查看所有信息的功能,但不能修改除其个人设置(例如密码、联系信息、控制台布局首选项以及其他设置)之外的所有设置.

您可以创建新角色来限制用户编辑甚至查看的元素(例如,特定计算机、安全规则的属性或系统设置).

创建用户帐户之前,请确定用户将拥有的角色,并详细列举这些角色需要访问的元素以及访问权限的性质(查看、编辑、创建等).
创建角色后,则可以开始创建用户帐户并为其分配特定角色.

有关如何创建角色和用户帐户的详细信息,请参阅联机帮助或《用户指南》的相应章节.

基本防火墙配置的许多防火墙规则和其他元素均使用诸如IP列表、Mac列表和时间表等可重用组件.
如果您启用了防火墙防护并且受保护的计算机处于Windows域环境中,请修改名为"域控制器"的IP列表以启用从域控制器到域客户端的通信:在DSM中,转至组件>IP列表,然后双击域控制器IP列表以显示其属性窗口.
编辑IP文本区域,使用代表受保护计算机可与之通信的域控制器的IP列表替换IP127.
0.
0.
1.
单击确定保存您所做的更改.
然后,确保以下两个防火墙规则有效:域控制器的TCP域控制器的UDP使用以太网时,ARP是TCP/IP堆栈的基础.
ARP设备提供从IP地址到以太网地址的转换,这对于向本地LAN网段中的其他系统发送数据包来说是至关重要的.
如果没有此转换,则无法进行其他形式的点对点IP通信.
因此,DSM不将安全管理程序配置为丢弃ARP数据包是非常重要的,除非实际情况需要(配置使用静态ARP表).
如果网络依赖于动态ARP,请确保以下防火墙规则有效:ARPJava安全性DSM在Java虚拟机(JVM)中运行,JVM在一定程度上控制网络行为.
Java使用缓存来存储成功和失败的DNS查找.
默认情况下将永久缓存成功查找,以防御DNS欺骗攻击.
但是,这种缓存可能会阻止DSM与使用DHCP的计算机或IP地址已更改的计算机进行通信.
DSM对此设置使用的值为60秒.
当存在DNS欺骗风险时,可以将DNS缓存配置为无限期.
要配置DSM的DNS缓存期限,您需要执行下列操作:1.
打开[DeepSecurityManagerinstalldirectory]jrelibsecurity中的java.
security文件2.
找到networkaddress.
cache.
ttl所在行,并将值设置为-1:networkaddress.
cache.
ttl=-13.
保存文件并重新启动DSM服务.
附录A:DSM内存使用配置安装程序的最大内存使用量缺省情况下,将安装程序配置为使用1GB连续内存.
如果安装程序无法运行,您可以尝试将安装程序配置为使用较少的内存.

为安装程序配置可用的内存量:转至安装程序所在的目录.
创建名为"Manager-Windows-7.
5.
xxxx.
xxx.
vmoptions"的新文本文件(其中,"xxxx.
xxx"为安装程序和平台的Build号).
通过添加以下行来编辑该文件:"-Xmx800m"(在本示例中,安装程序可以使用800MB内存.
)保存文件并启动安装程序.
配置DSM的最大内存使用量DSM最大内存使用量的缺省设置是4GB.
可以更改此设置.
为DSM配置可用的内存量:转至DSM目录(DSM.
exe所在目录),例如C:ProgramFilesAsiaInfoDeepSecurityManager创建名为"DSM.
vmoptions"的新文件.
通过添加以下行来编辑该文件:"-Xmx3g"(在本示例中,"3g"将为ESM分配3GB可用内存.
)保存文件并重新启动ESM.
您可以通过转至系统>系统信息,然后在系统详细信息区域中,展开管理中心节点>内存来验证新设置.
最大内存值应指示新的配置设置.
附录B:安全管理程序内存使用CVK需要预留1G内存提供给安全管理程序,CVK主机每添加一台虚拟机,安全管理程序需要再分配8M内存.

附录C:性能建议以下准则提供了不同规模的部署的一般基础架构要求.
管理中心和数据库硬件很多DSM操作需要使用较高的CPU和较多的内存资源(例如更新和建议扫描).
建议高规格环境中的每个管理中心节点均拥有4个核心和足够的内存.
应尽可能使用64位版本的管理中心,因为它可以寻址4GB的内存(相比之下,32位版本只能寻址1GB).
数据库应该安装在与性能最好的管理中心节点的规格相同或更高的硬件之上.
为了实现最高的性能,数据库应拥有8-16GB内存并且可以快速访问本地或网络连接存储器.
在可能的情况下,应咨询数据库管理员有关数据库服务器的最佳配置,并且应实施维护计划.

有关运行多个管理中心节点的更多信息,请参阅联机帮助或《用户指南》的参考一节中的多节点管理中心.

数据库磁盘空间应预先分配数据库磁盘空间.
在缺省级别保留日志记录时,平均每台计算机需要大约50MB的数据库磁盘空间来保存数据,另外还需要5MB的空间来保存事务日志.
因此,一千台计算机将需要50GB保存数据以及5GB保存事务日志,两千台计算机将需要100GB保存数据以及10GB来保存事务日志,依此类推.
每台计算机需要的空间量是所记录的日志(事件)数和它们的保留时间的函数.
通过系统>系统设置窗口的防火墙和DPI选项卡,您可以控制多种设置,如事件日志文件的最大大小、在任意给定时间内要保留的日志文件数("清除控制").
同样,通过状态配置属性窗口上的TCP、UDP和ICMP选项卡,您可以配置执行状态配置事件日志记录的方式.
类似设置可用于系统>系统设置窗口中的其他模块.
(有关日志记录的更多信息,请参阅联机帮助或《用户指南》的参考中的"相关内容".
)可以在全局、安全配置文件和单个计算机级别微调这些事件收集设置.
(请参阅联机帮助或《用户指南》的参考中的相关内容.
)在缺省设置中,以下三个模块通常使用的磁盘空间最多,按降序顺序为:防火墙、完整性监控、日志审查.

专用服务器如果最终部署预期不超过1000台计算机(实体或虚拟),则可以在同一计算机上安装DSM和数据库.
如果您认为可能会超过1000台计算机,则应在专用服务器上安装DSM和数据库.
数据库和DSM位于拥有1GBLAN连接的同一网络中也很重要,这样可确保在两者之间进行顺畅的通信.
同样的情况适用于其他DSM节点:同一地点的专用服务器.
建议管理中心和数据库之间的延迟为2ms或更低.
性能配置文件自DSM7.
5SP1开始,提供了用于优化由管理中心启动的和由安全管理程序启动的操作的性能的新系统.
之前,管理中心使用先进先出系统来处理固定数量的并发作业中的所有操作.
此方式已被考虑到每个作业对CPU、数据库和安全管理程序的影响的优化并发计划程序取代.
缺省情况下,新安装版本使用针对专用管理中心优化的"主动型"性能配置文件.
如果ESM安装在装有其他耗费资源的软件的系统上,则优选使用"标准"性能配置文件.
可以通过导航至系统>系统信息,然后单击工具栏中的管理中心.
.
.
按钮来更改性能配置文件.
从此窗口中,选择所需的管理中心节点并打开属性窗口.
可以在此处通过下拉菜单更改性能配置文件.

性能配置文件还控制管理中心将接受的安全管理程序启动的连接的数量.
每个性能配置文件的缺省值可以有效地平衡接受的、延迟的和拒绝的波动信号的数量.

磁盘空间不足警报数据库主机磁盘空间不足如果DSM收到来自数据库的"磁盘已满"错误消息,它将开始将事件写入自身的硬盘驱动器中,并向所有用户发送电子邮件以通知他们该状况.
此行为不可配置.

如果运行多个管理中心节点,则会在处理事件的节点中写入事件.
(有关运行多个节点的信息,请参阅联机帮助或《用户指南》的参考一节中的多节点管理中心.
)解决数据库的磁盘空间问题后,管理中心会将本地存储的数据写入数据库中.

管理中心主机磁盘空间不足管理中心的可用磁盘空间低于10%时,管理中心会生成磁盘空间不足警报.
此警报是正常警报系统的一部分,像其他警报一样可以配置.
(有关警报的更多信息,请参阅联机帮助或《用户指南》的方法教学中的警报配置.
)如果运行多个管理中心节点,会在警报中标识该节点.
当管理中心的可用磁盘空间低于5MB时,管理中心会向所有用户发送电子邮件,并且管理中心将关闭.
只有在可用磁盘空间大于5MB后管理中心才可重新启动.
必须手动重新启动管理中心.
如果运行多个节点,则只有磁盘空间不足的节点会关闭.
其他管理中心节点会继续运行.

附录E:故障排除管理中心安装问题在同一计算机上安装两个DSM时遇到问题.
解决方案在任何给定计算机上只能安装一个DSM实例.
问题无法安装或升级DSM.
解决方案在安装或升级DSM过程中,如果在某些平台上打开了"服务"窗口,则无法正确安装该服务.
请在安装或升级DSM之前关闭"服务"窗口.

如果问题仍然存在,请重新启动计算机.
通信问题保护DSM的安全管理程序生成"续订"错误,并且/或者您无法远程连接到DSM.

解决方案应用"DSM"安全配置文件之后,您可能注意到安全管理程序会返回大量"续订错误"DPI事件.
这是因为安全管理程序无法检测在应用"DSM"安全配置文件和其SSL主机配置之前已存在的SSL通信.
建议在应用"DSM"安全配置文件之后重新启动访问DSM的所有浏览器会话.

问题DSM管理的计算机上发出"检测到通信问题"警报.
或者准备CVK时出现脱机Bundle.
zip错误.
或者部署安全管理程序时出现脱机Bundle.
zip错误.
或者激活设备时出现协议错误.
解决方案如果遇到上述任何情况,可能是DSM管理的计算机无法解析托管DSM的计算机的主机名造成的.

确保DSM可以解析托管DSM的计算机的主机名:登录到管理安全管理程序的DSM转到系统>系统信息,在"系统详细信息"中,查看"管理中心节点"条目并记下主机名登录到存在通信问题的计算机使用步骤2中得到的名称执行nslookup如果nslookup不成功,您必须修改计算机上的hosts文件以使用ESM主机名及正确的IP地址,或更新指定DNS服务器上DSM计算机的DNS条目配置问题在保护DSM使用的数据库的安全管理程序上,触发了许多DPI规则.
解决方案当DSM使用的数据库位于运行安全管理程序(DSHA)的远程计算机上时,可能发生DPI误报.
误报是由于触发在DSHA上运行的DPI规则的DPI规则的内容(保存到数据库时)造成的.
解决方法是创建应用到其源IP是DSM的静态IP的数据库服务器的绕过防火墙规则,或是在数据库通道上启用加密.
可以通过将以下内容:database.
SqlServer.
ssl=require添加到webclientwebappsROOTWEB-INFdsm.
properties并重新启动DSM服务来对SQLServer进行加密.
问题端口扫描显示端口25和110始终处于打开状态,不管执行哪些防火墙规则来关闭它们.
解决方案NortonAntivirus的存在可能干扰扫描结果.
NortonAV过滤端口25和110以检查传入和传出的电子邮件中是否存在病毒.
如果管理中心安装在已启用电子邮件扫描的计算机上,这会导致大量扫描结果,因为端口25和110将始终显示为打开状态,不管在主机上应用了何种过滤器.
问题端口扫描显示端口21、389、1002和1720处于打开状态,不管执行哪些防火墙规则来关闭它们.
解决方案如果在DSM上启用了Windows防火墙,则它可能将干扰端口扫描,从而产生错误的端口扫描结果.
Windows防火墙可以代理端口21、389、1002和1720,这样不管该主机上放置了任何过滤器,这些端口都始终显示为打开状态.

安全管理程序部署配置问题防恶意软件扫描异常终止.
解决方案虚拟机必须处于运行状态才能成功完成扫描.
此中止可能是由于扫描期间虚拟机被关闭或挂起导致的.
请检查虚拟机的状态,然后重试.
当客户虚拟机重新启动或进入睡眠或待机模式时,会发生此情况.

激活问题已安装安全管理程序,但安全管理程序UI显示空白文本框.
解决方案如果"管理中心URL"、"管理中心证书名称"和"管理中心证书指纹"文本框为空,则未激活安全管理程序.
在DSM激活安全管理程序之前,这些文本框将始终为空.
在ESM的计算机列表中找到计算机,右键单击该计算机,然后选择操作>激活/重新激活.
诊断信息收集问题支持提供商要求提供诊断数据包.
解决方案在DSM中,转至系统>系统信息,然后单击工具栏中的"创建诊断数据包…".
这将显示"诊断数据包向导",该向导将创建一个zip文件,文件中包含安装/卸载和调试日志、系统信息、数据库内容(与时间相关项目仅包括最后一小时的内容)以及文件列表.
可以将此信息提供给您的支持提供商以帮助解决任何问题.

问题支持提供商要求增加诊断数据包的大小.
解决方案诊断数据包的缺省最大大小约为200MB.
可使用以下命令行指令来增加诊断数据包的大小:dsm_c-actionchangesetting-nameconfiguration.
diagnosticMaximumFileSize-value####以下示例将数据包的大小增加到1GB(1000MB):dsm_c-actionchangesetting-nameconfiguration.
diagnosticMaximumFileSize-value1000不要更改诊断数据包的大小,除非您的支持提供商指示您这样做.
问题无法使用InternetExplorer7创建诊断数据包.
解决方案导出文件(CVS、XML、软件或更新)或创建诊断数据包时,InternetExplorer的"信息栏"可能通知您文件下载已被阻止,DSM将指示您"检查server0.
log".
要允许文件下载,请单击信息栏中的"更多信息"并遵循指导信息以允许文件和软件下载.

附录F:FAQ有关在"故障排除"和FAQ两节中未解决的任何问题,请查阅DSM和安全管理程序的发行说明.
登录DSM控制台所使用的缺省用户名和密码是什么在安装期间,系统会提示您输入用户名和密码.
登录管理中心控制台的缺省用户名是"MasterAdmin"(无半角引号).
无缺省密码.
用户名和密码均可以在安装期间进行设置.
用户名不区分大小写.
但密码区分大小写.

我可以重置管理中心控制台登录密码吗是的.
您可以重置或更改管理中心控制台登录密码.
转至系统>用户,然后右键单击用户并选择设置密码….
如何解锁已锁定的用户在管理中心中,转至系统>用户,然后右键单击用户并选择解锁用户.
要从管理中心主机命令行解锁用户,请从DSM的安装目录中输入以下命令:dsm_c-actionunlockout-usernameUSERNAME其中,USERNAME是用户的用户名.
登录管理中心控制台时,我可以使用我的域帐户凭证吗是的.
转至系统>用户,然后选择与目录同步.
如何将安全管理程序成批部署到受保护的计算机组织通常使用现有的企业软件分发系统(如MicrosoftSystemCenter或NovellZENworks)来安装安全管理程序.
7.
5版本之后我是否仍然可以使用现有的使用授权或激活码您现有的防护模块仍受支持,但您需要联系销售代表以获取在升级过程中要输入的新激活码.