策略、继承和覆盖

趋势科技服务器深度安全防护系统中的策略计划在层次结构中创建。您要以管理员身份首先创建一个或多个基本策略,然后创建多个子策略级别,这些子策略将更为详细。您可以在顶级策略中分配广泛适用的规则和其他配置设置,之后在各个子策略级别便会更有针对性,最后在单个计算机级别执行规则和配置分配。

随着您在策略树中向下移动,能够分配更具体的设置,同时也可以从策略树的更高级别覆盖设置。

趋势科技服务器深度安全防护系统提供了一个策略集合,在设计为您环境定制的策略时可以将其用作初始模板:

在本主题中:

继承

子策略从其父策略继承设置。这允许您创建一个策略树,该树以配置有将应用到所有计算机的设置和规则的基本父策略开头。这样,此父策略便会有一组子策略及后代策略,这些策略具有越来越多的针对性设置。您可以根据适合您环境的任意种类的分类系统构建策略树。例如,趋势科技服务器深度安全防护系统附带的策略树中的分支具有两个子策略,一个专用于托管趋势科技服务器深度安全防护系统管理中心的服务器,另一个专用于趋势科技服务器深度安全防护系统虚拟设备。这是一个基于角色的树结构。趋势科技服务器深度安全防护系统还具有三个专用于特定操作系统(Linux、Solaris 和 Windows)的分支。Windows 分支具有后续子策略,适用于各种子类型的 Windows 操作系统。

概述页面上的 Windows 策略编辑器中,您可以看到 Windows 策略被创建为基本策略的子策略。策略的防恶意软件设置为已继承 (关闭)

这意味着该设置是从父基本策略继承的,如果在基本策略中将防恶意软件设置从关闭更改为打开,则在 Windows 策略中,该设置也会更改。(随后,Windows 策略设置将显示为已继承 (打开)。圆括号中的值始终显示当前继承的设置。)

覆盖

覆盖页面向您显示在此策略或特定计算机级别覆盖了多少设置。要在此级别撤销覆盖,请单击移除按钮。

在此示例中,Windows Server 2008 策略是 Windows 策略的子策略。此处不再继承防恶意软件设置;它将被覆盖并硬设置为打开

进一步查看 Windows 2008 Server 策略,我们可以看到入侵防御也处于打开状态,查看入侵防御页面,我们可以看到已分配一组入侵防御规则:

覆盖对象属性

包含在此策略中的入侵防御规则是由趋势科技服务器深度安全防护系统管理中心存储的可供任何其他策略使用的入侵防御规则的副本。如果要更改特定规则的属性,有以下两种选择:全局修改规则的属性以便所做更改应用到正在使用该规则的所有实例,或者在本地修改属性以便所做更改仅在本地应用。计算机编辑器或策略编辑器中的缺省编辑模式为本地。如果在已分配的入侵防御规则区域工具栏上单击属性,则在显示的“属性”窗口中所做的任何更改将仅在本地应用。(诸如规则名称等属性不能本地编辑,只能全局编辑。)

右键单击一个规则将显示上下文菜单,向您提供两个属性编辑模式选项:选择属性将打开本地编辑器窗口,选择属性 (全局)将打开全局编辑器窗口。

趋势科技服务器深度安全防护系统中的大多数共享通用对象可以在策略层次结构中的任何级别(向下直至单台计算机级别)覆盖其属性。

覆盖规则分配

您始终可以在任何策略或计算机级别分配其他规则。但是,无法在本地取消分配在特定策略或计算机级别生效的规则,因为这些规则的分配是从父策略继承的。必须在最初进行分配的策略级别取消分配这些规则。

如果您发现正覆盖大量设置,也许应考虑为父策略建立分支。

快速查看计算机或策略中的覆盖

可以通过转至计算机编辑器或策略编辑器中的覆盖页面来查看策略或计算机中已覆盖的设置数:

覆盖按防护模块显示。可以通过单击移除按钮来恢复系统或模块覆盖。