SSR1.0 For Windows (旗舰版)用户手册

浪潮操作系统安全增强系统V1.0

For Windows

用户手册

北京浪潮嘉信计算机信息技术有限公司

二〇一三年

浪潮嘉信计算机信息技术有限公司非常感谢您使用浪潮操作系统安全增强系统（以下简称浪潮SSR V1.0）。

本系统为北京浪潮嘉信计算机信息技术有限公司独立开发，版权受中华人民共和国版权法保护，任何单位与个人不得非法使用、拷贝、修改和扩散本软件系统及其文档，否则将追究其法律责任。

《浪潮操作系统安全增强系统》用户手册版权归北京浪潮嘉信计算机信息技术有限公司所有。未经书面的明确许可，不得以任何手段（电子的或机械的）、为任何目的复制或传播手册的任何部分。

本手册内容若有变动，恕不另行通知。

第2页

浪潮嘉信计算机信息技术有限公司

目录

1.SSR V1.0概述 (7)

1.1.关于SSR V1.0 (7)

1.2.功能特点 (7)

1.3.版权声明 (12)

2.安装卸载 (13)

2.1.系统工作环境要求 (13)

2.2.安装SSR V1.0客户端和控制端程序 (13)

2.2.1.浪潮SSR V1.0客户端程序安装 (13)

2.2.2.浪潮SSR V1.0控制端程序安装 (17)

2.3.卸载SSR V1.0客户端和控制端程序 (20)

2.3.1.浪潮SSR V1.0客户端程序卸载 (20)

2.3.2.浪潮SSR 1.0控制端程序卸载 (22)

2.4.SSR V1.0的网络配置 (22)

2.4.1.SSR V1.0网络部署图 (22)

2.4.2.客户端的网络配置 (23)

2.5.SSR客户端的USB KEY管理 (23)

3.SSR V1.0初次使用指南 (27)

3.1.使用SSR V1.0帮助 (27)

3.2.了解SSR V1.0主程序界面 (27)

3.2.1.SSR V1.0安全管理员主界面 (28)

3.2.2.SSR V1.0审计管理员主界面 (35)

3.3.了解强制访问控制含义 (37)

3.3.1.文件强制访问控制规则含义 (37)

3.3.2.进程强制访问控制规则含义 (37)

3.3.3.注册表强制访问控制规则含义 (38)

4.模板使用指南 (39)

4.1.文件规则模板 (39)

4.2.进程规则模板 (42)

4.3.注册表规则模板 (45)

第3页

浪潮嘉信计算机信息技术有限公司5.安全管理员使用手册 (49)

5.1.文件强制访问控制规则设定 (49)

5.1.1.激活强制访问控制功能 (49)

5.1.2.设置用户级别 (51)

5.1.3.新建规则 (53)

5.1.4.删除规则 (60)

5.1.5.导出规则 (62)

5.1.6.导入规则 (63)

5.1.7.设置单条规则启用/停用（旗舰版功能） (64)

5.1.8.设置单条规则是否报警（旗舰版功能） (64)

5.1.9功能特殊说明 (65)

5.2.进程强制访问控制规则设定 (66)

5.2.1.激活进程强制访问控制功能 (66)

5.2.2.新建规则 (67)

5.2.3.删除规则 (73)

5.2.4.导出规则 (74)

5.2.5.导入规则 (75)

5.2.6.设置单条规则启用/停用（旗舰版功能） (76)

5.2.7设置单条规则是否报警（旗舰版功能） (76)

5.2.8.功能特殊说明 (76)

5.3.注册表强制访问控制规则设定 (76)

5.3.1.激活注册表强制访问功能 (76)

5.3.2.新建规则 (78)

5.3.3.删除规则 (82)

5.3.4.导出规则 (83)

5.3.5.导入规则 (84)

5.3.6.设置单条规则启用/停用（旗舰版功能） (85)

5.3.7.设置单条规则是否报警（旗舰版功能） (85)

5.3.8.功能特殊说明 (85)

5.4.服务强制访问控制规则设定 (86)

5.5.信任列表 (87)

第4页

浪潮嘉信计算机信息技术有限公司

5.5.1.添加信任规则 (87)

5.5.2.删除信任规则 (90)

5.6.文件完整性检测 (92)

5.7.服务完整性检测 (101)

5.8.保护与检测（旗舰版功能） (105)

5.9.系统监控与警报（旗舰版功能） (107)

5.10.网络限制（旗舰版功能） (110)

5.11.磁盘配额（旗舰版功能） (116)

5.11.1.添加新配额 (117)

5.11.2.删除配额项 (119)

5.11.3.修改配额项 (119)

5.12.身份鉴别强化（旗舰版功能） (120)

5.13.增强型登录认证（旗舰版功能） (126)

5.13.1增强型硬件USB登录式 (127)

5.13.2增强型组合密码 (130)

5.13.3初始状态 (132)

5.14.文件粉碎（旗舰版功能） (133)

5.15.用户使用痕迹清理（旗舰版功能） (137)

5.16.全局配置（旗舰版功能） (138)

5.17.SSR V1.0信息收集 (140)

5.18.SSR V1.0升级 (141)

6.审计管理员使用手册 (143)

6.1.违规日志管理 (143)

6.1.1.违规日志管理界面 (143)

6.1.2.日志类型的选择与介绍 (145)

6.1.3.日志模式与过滤 (146)

6.1.4.日志的操作区域 (147)

6.1.5.“高级查询”的详细介绍 (150)

6.1.6.日志过滤设置 (153)

6.1.7.日志过滤操作区域 (153)

6.2.操作日志管理 (154)

第5页

浪潮嘉信计算机信息技术有限公司

6.2.1.操作日志管理界面 (154)

6.2.2.查询起始时间和结束时间的设置 (156)

6.2.3.操作日志的按钮区域 (156)

6.2.4.查询结果列名称解释 (156)

6.2.5.“高级查询”详细介绍 (158)

6.3.报警日志管理（旗舰版功能） (159)

6.3.1.文件完整性定时检测报警 (159)

6.3.2.服务完整性定时检测报警 (161)

6.3.3.违规日志报警 (162)

6.3.4违规日志报警日志类型的选择与介绍 (164)

6.3.5.系统信息报警 (164)

6.3.6.系统信息报警日志类型的选择与介绍 (166)

6.3.7.查询结果列名称解 (166)

6.3.8.查询起始时间和结束时间的设置 (166)

6.3.9.报警日志管理按钮区域 (167)

6.4.日志配置（旗舰版功能） (168)

6.5.邮箱配置（旗舰版功能） (169)

7.附录 (172)

7.1.windows系统自身的主要文件/目录 (172)

7.2.windows系统自身的主要进程 (176)

7.3.windows系统自身的重要注册表项 (177)

7.4.windows系统提供的主要服务 (178)

8.常见问题FAQ (180)

9.技术支持 (183)

第6页

浪潮嘉信计算机信息技术有限公司

第7页 1.SSR V1.0概述

1.1.关于SSR V1.0

与传统的防火墙、入侵检测系统等基于网络防护的安全产品不同，浪潮操作系统安全增强系统是基于对主机的内核级安全增强防护，当未经授权的内、外网用户通过各种手段突破了防火墙等网络安全产品进入了主机内部，浪潮操作系统安全增强系统就将成为最后也是最坚固的一道防线。它通过对Windows 2000/2003/2008系统原有系统管理员的权力进行分散，使其不再具有对系统自身安全构成威胁的能力，从而达到从根本上保障Windows2000/2003/2008系统安全的目的。

浪潮操作系统安全增强系统能够稳定地工作于Windows 2000/2003/2008系统下，提升系统的安全等级，并实现具有《计算机信息系统安全等级保护划分标准》中规定的第三级即“安全标记保护级”的网络安全产品，为用户构造一个更加安全的操作系统平台。

北京浪潮嘉信信息技术有限公司的操作系统安全增强系统（SSR V1.0）是一基于操作系统内核的安全产品。可以有效的防止来自于内部、外部网络的威胁隐患。并通过对Windows 2000/2003/2008的超级用户权限进行合理分散与适度制约，从而使万一出现的超级用户"大权旁落"的威胁风险与破坏程度大大降低。

SSR V1.0实现了网络管理的功能，可以通过SSR V1.0控制台对安装在（主要重要服务器上）的SSR V1.0服务器端进行策略分发、修改、查询、删除等功能。并可对操作时产生的日志进行记录。对于违规日志，可以进行条件查询、备份等审计活动。

本产品适用于有多台重要服务器的用户，可节约用户的成本，方便技术人员对重要服务器的管理。

1.2.功能特点

操作系统安全增强系统的功能很多，根据客户的需求不同可以选择不同版本（旗舰版、网络版）的产品来满足自己。旗舰版功能丰富，很好的满足国家三级等保的需求；网络版主要功能与旗舰版功能相同，满足一般安全的要求。网络版与旗舰版的大体区别请见表 1.2-1，各项功能简述将在下面列出（表格中表

示软件版本存在此项功能，表示功能有所增强，）。 功能

网络版 旗舰版 核心防护功能

文件强制访问控制

浪潮嘉信计算机信息技术有限公司

第8页

注册表强制访问控制

进程强制访问控制

服务强制访问控制

用户强制访问控制

安全标签

信任列表

防格式化保护

自我保护机制

辅助防护功能 文件完整性检测 服务完整性检测

扩展防护功能 系统资源监控与报警 双因子认证和组合式密码认证

文件擦除 用户使用痕迹清理 身份鉴别强化 磁盘配额限制 网络限制 可执行程序保护

审计功能 违规日志审计 操作日志审计

关键事件报警

管理功能 统一管理机制 灵活多样的策略模板 信息收集

维护模式

浪潮嘉信计算机信息技术有限公司

表1.2-1

核心防护功能：

●强制访问控制

在操作系统内核层实现文件、注册表、进程、服务、服务等对象的强制访问控制，可配置针对以上对象不同的访问策略来保护系统和应用资源，即使是系统管理员也不能破坏被保护的资源。

●安全标签

给用户和文件分别设置代表密级安全标签，当用户的标签和文件标签密级相同时，用户对文件有所有操作，当用户的标签密级高于文件时只读，低于文件标签密级时无任何权限，可用于防止泄密和越权访问。

●信任列表

信任列表是为和系统中的一些特殊应用兼容而设置，比如杀软升级，应用升级等。信任列表中的进程SSR V1.0将不进行防护。配置信任列表时需要在强制访问控制中对列表中的文件进行保护。

●防格式化保护机制（旗舰版功能）

保护功能开启时，可防止病毒和入侵者恶意格式化磁盘，同时降低管理员意外格式化磁盘的风险。

●自我保护机制

SSR V1.0采用内核密封技术和完整性保护技术来保证SSR V1.0的文件不被恶意篡改，进程不被恶意注入。

辅助防护功能：

●完整性检测

对文件和服务进行完整性检测，并可设置定期检测项目。当有文件或者服务被篡改时进行报警并详细列出被篡改项的改变内容。

扩展防护功能：

●系统资源监控与报警（旗舰版功能）

对系统的CPU、内存、磁盘、网络资源进行监控，当这些资源的使用状况超过设置的阀值时将进行报

第9页

浪潮嘉信计算机信息技术有限公司警，以提前发现资源不足、滥用等问题。

●双因子认证和组合式密码认证

不仅提供SSR V1.0安全管理员和SSR V1.0审计官员的USB KEY+密码的双因子认证功能，还可对系统用户配发USB KEY实现双因子认证。对于远程登陆和虚拟化系统而无法识别USB KEY的服务器，SSR V1.0提供可配置两个密码组合的登陆认证方式，只有掌握密码的两个人同时存在才能登陆系统，以此确保自然人的可信。

●文件擦除（旗舰版功能）

提供至少7次以上的文件和目录反复擦写，做到真正的信息清除，防止数据恢复。

●用户使用痕迹清理（旗舰版功能）

提供一键式清理用户上网记录、文档访问记录、临时文件等信息，防止用户隐私数据泄密。

●身份鉴别强化（旗舰版功能）

可灵活配置系统用户密码的复杂性和登陆失败处理，以此来增强系统用户身份鉴别的安全性。

●磁盘配额限制（旗舰版功能）

可设置用户对磁盘的使用配额来避免磁盘空间的滥用，当用户的磁盘使用量超过配额限制时进行报警。

●网络限制（旗舰版功能）

可设置是否允许系统开启和关闭共享，以及设置系统本地帐户的安全策略以及帐户身份认证时的安全传输方式，以此来增强系统帐户的安全性。

●可执行程序保护（旗舰版功能）

保护系统重要的可执行程序，可发现可执行程序被篡改并进行恢复。

审计功能：

●违规日志审计

记录系统内的所有违反强制访问控制策略的事件，并提供日志的查询、删除、备份、导出、日志分析和syslog转发功能。

●操作日志审计

第10页

浪潮嘉信计算机信息技术有限公司记录管理员对SSR V1.0的所有操作事件如登陆、功能停用等，并提供日志的查询、删除、备份和导出。

●关键事件报警（旗舰版功能）

提供管理员可配置的时间报警机制，当管理员设定的事件被触发时，通过邮件的形式向管理员发出通知。

管理功能：

●统一管理机制

在一个SSR V1.0控制台可以同时对多个平台的SSR V1.0进行管理和维护，且SSR V1.0可开放接口给第三方管理平台集成，实现与不同产品间管理的融合。

●灵活多样的策略模板

提供经过验证的分等级的安全策略模板，全面保护系统，方便易用，降低用户的使用难度。

●信息收集

提供对系统信息以及SSR V1.0运行信息收集打包功能，当SSR V1.0在使用过程中出现问题或者用户有疑问时，可将收集的信息包发给SSR V1.0技术人员，技术人员可通过这些信息快速定位问题并解决用户疑问。

●维护模式（旗舰版功能）

当用户担心自己配置的策略是否会影响系统和应用时，可开启此功能，此时SSR V1.0将只记录违规的日志而不进行阻止，便于管理员在不造成业务中断的情况下调整策略。

安全性能：

提供《计算机信息系统安全等级保护划分标准》的第三级安全等级标准的安全功能。

可操作性：

完全兼容Windows 2000/2003/2008系统；

专业的、人性化的操作界面；

运行占用的系统资源极小，对用户完全透明。

自我保护：

第11页

浪潮嘉信计算机信息技术有限公司SSR V1.0有强大的自我保护机制。这意味着用户不可能有意或无意地停止、改变或删除SSR V1.0自身的文件、进程或注册表项。

1.3.版权声明

为保护开发机构与用户的合法权益，SSR V1.0特此声明：

浪潮操作系统安全增强系统V1.0是北京浪潮嘉信信息技术有限公司的网络安全产品之一，由北京浪潮嘉信信息技术有限公司开发。产品的源代码、目标代码、中英文名称、位图均受中华人民共和国法律保护，任何单位和个人不得非法拷贝和非法使用，违者必究。

第12页

浪潮嘉信计算机信息技术有限公司

第13页 2.安装卸载

2.1.系统工作环境要求

SSR V1.0可以在网络环境下构架。其服务器端程序支持Windows 2000的系列版本，Windows2003的系列版本和Windows 2008 X86的32位和AMD 64位版本。客户端程序可以在Windows 2000、2003、XP 和Vista 下运行。SSR V1.0要求下列环境：

软件环境：

服务器端：Windows 2000 Server/Pro ，Windows2003系列版本，Windows 2008的X86 32位和AMD64位版本。

客户端：Windows 2000、2003、XP 或Vista 。

硬件环境：

1G 以上空余硬盘空间

光盘驱动器

注意：对于Windows 2008 AMD64 版本，操作系统本身要求1G 内存才能运行，所以1G

内存也就成为此版本SSR V1.0的最低要求。

2.2.安装SSR V1.0客户端和控制端程序

提示：本部分以SSR for Windows 2003版本为例，Windows 2000和Windows 2008系统的安装卸载大部分与此类似。在卸载时是否需要重启操作系统这一点上稍有不同，具体请看FAQ 21。

2.2.1.浪潮SSR V1.0客户端程序安装

第一步：在安装光盘中双击“浪潮SSR V1.0客户端(32).msi”程序。（如图2.2.1-1）

图2.2.1-1

第二步：进入安装向导界面，鼠标左键点击【下一步】按钮。（如图2.2.1-2）

浪潮嘉信计算机信息技术有限公司

第

14页 注意：如果是windows2003 x64系统，此步骤之前，点击安装，系统提示重启系统

图2.2.1-2

第三步：选择“浪潮SSR V1.0客户端”的安装路径，可直接鼠标点击【下一步】按钮，将其默认安装到路径“C:\Program Files\Inspur SSR Client”文件夹中。或者，鼠标点击【浏览】按钮，选择将要安装的路径后，点击【下一步】按钮。（如图2.2.1-3）

图2.2.1-3

第四步：进入准备安装界面，鼠标点击【安装】按钮。（如图2.2.1-4）

浪潮嘉信计算机信息技术有限公司

图2.2.1-4

第五步：“浪潮SSR V1.0客户端（32）”安装过程中可能耗时几分钟，在安装过程中需要注意，如果没有在服务器上插入USBKEY，那么需要在弹出以下提示时插入USBKEY。提示如下：

图2.2.1-5

①如果需要在客户端中同时安装控制端，那么插入USBKEY后，点击【确定】。

②如果不需要在客户端中安装控制端，那么直接点击【取消】。

第六步：然后程序会弹出如下窗口，在此需要设置“安全管理员”和“审计管理员”的密码。

注意：密码长度为10-15个字符，并且必须含有字母和数字。

注意：如果是windows 2003 x64系统，此步骤之后，系统提示“是否继续安装”，选择“继续安装”

第15页

浪潮嘉信计算机信息技术有限公司

图2.2.1-6

第七步：“浪潮SSR V1.0客户端(32)”安装进入完成状态，并弹出已配置的信息，安装成功。（如图2.2.1-7）注意：此步骤，网络版不会弹出“配置信息”

图2.2.1-7

第16页

浪潮嘉信计算机信息技术有限公司

第17页 2.2.2.浪潮SSR V1.0

控制端程序安装

第一步：在安装光盘中双击 “浪潮SSR V1.0集中管理控制端.msi” 程序。（如图2.2.2-1）

图2.2.2-1

第二步：进入安装向导界面，鼠标左键点击【下一步】按钮。（如图2.2.2-2）

图2.2.2-2

第三步：选择“浪潮SSR V1.0集中管理控制端”的安装路径，可直接鼠标点击【下一步】按钮，将其默认安装到路径“C:\Program Files\Inspur SSR Consle\”文件夹中。或者，鼠标点击【浏览】 按钮，选择将要安装的路径后，点击【下一步】按钮。（如图2.2.2-3）

浪潮嘉信计算机信息技术有限公司

图2.2.2-3

第四步：进入准备安装界面，如果在此之前的操作无误，即可点击【安装】按钮，进行控制端程序的安装。（如图2.2.2-4)

图2.2.2-4

第五步：鼠标左键点击【完成】按钮，即可完成浪潮SSR V1.0集中管理控制端的安装。

第18页

浪潮嘉信计算机信息技术有限公司

图2.2.2-5

第六步：安装结束后，您可在桌面或“开始—>程序－>Inspur SSR Consle”中找到名为“浪潮SSR 1.0控制端”的启动图标，在桌面用鼠标左键双击“浪潮SSR V1.0控制端”可以启动控制端程序。

图2.2.2-6

SSR V1.0控制端主界面：

第19页

浪潮嘉信计算机信息技术有限公司

第20页 图2.2.2-7

第七步：如果需要对多台安装了SSR V1.0的服务器进行管理，可以双击桌面“浪潮SSR V1.0集中管理控制端”启动集中管理控制程序。

图

2.2.2-8

SSR V1.0集中管理主界面：

图2.2.2-9

2.3.卸载SSR V1.0客户端和控制端程序

提示：本部分以SSR for Windows 2003版本为例。windows 2000和Windows 2008 的服务器和控制台安装卸载大部分与此类似。在卸载时是否需要重启操作系统这一点上稍有不同，具体请看FAQ 21。

2.3.1.浪潮SSR V1.0客户端程序卸载

第一步：在“开始-->程序-->Inspur Client”中找到“卸载浪潮SSR1.0客户端(32)”进行卸载，或者在“控制

浪潮嘉信计算机信息技术有限公司

第21页 面板-->添加或删除程序”

中找到

“

浪潮SSR 1.0客户端（32）”，鼠标左键点击【删除】按钮。然后会出现如下对话框询问是否卸载，点击【确定】按钮，确认卸载。（如图2.3.1-1）

图2.3.1-1

第二步：进入到确认卸载的界面，输入安全管理员密码，同时提供“保留用户文件”的功能，如果在复选框中打上勾，卸载完成后，曾经由用户设置的规则、由SSR V1.0记录的日志等文件将被保留在服务端安装目录“X:\Program Files\Inspur SSR Server”中。（如图2.3.1-2）

图2.3.1-2

第三步：在上图中点击【确定】按钮后，卸载对话框消失，重启操作系统完成客户端的卸载。（如图

2.3.1-3）

图2.3.1-3

本文来源：https://www.bwwdw.com/article/qnol.html