远程客户端的位置管理

设置完需要管理的组后,您就可以添加位置。如果您的安全策略要求,则每个组可以有不同的位置。您可以在
Symantec Endpoint Protection Manager
控制台中设置根据位置触发自动策略切换的条件。位置感测根据客户端符合的位置条件自动应用您为该客户端指定的安全策略。
位置条件可以基于许多不同的条件。这些条件包括 IP 地址、网络连接类型,以及客户端计算机能否连接到管理服务器等。您可以根据所指定的条件允许或禁止客户端连接。
位置可以应用于您为其创建的组,也可应用于从该组继承的任何子组。因此最好能够在 My Company 组级别创建任何客户端都可以使用的位置。然后,在该子组级别上为特定的组创建位置。
如果您创建的组和位置的数量较少,则安全策略和设置的管理也会比较简单。然而,网络的复杂性和其安全要求可能需要更多的组和位置。您所需要的不同安全设置、日志相关设置、通信设置和策略的数目将决定所创建的组和位置的数量。
您想为远程客户端自定义的部分配置选项与位置无关。这些选项可以从父组继承,也可独立设置。如果创建的单个组包括所有远程客户端,则对该组中的客户端来说,这些与位置无关的设置都是相同的。
下列设置与位置无关:
  • 自定义入侵防护特征
  • 系统锁定设置
  • 网络应用程序监控设置
  • LiveUpdate 内容策略设置
  • 客户端日志设置
  • 客户端服务器通信设置
  • 常规安全相关设置,包括位置感测和篡改防护
若要自定义上述任何与位置无关的设置,例如处理客户端日志的方式,就需要创建不同的组。
一些设置是特定于位置的。
作为最佳做法,请勿允许用户关闭下列防护:
  • 自动防护
  • SONAR
  • 篡改防护
  • 您所创建的防火墙规则
可执行的位置感测任务
任务
说明
规划位置
您应该衡量环境中所需的各种安全策略类型,从而决定应使用的位置。然后,即可确定定义每个位置所要使用的条件。最好同时对组和位置进行规划。
以下示例可能对您有用:
启用位置感测
若要基于客户端的连接位置来控制分配给客户端的策略,您可以激活位置感测。
添加位置
可以向组中添加位置。
分配默认位置
每个组都必须有一个默认位置。安装控制台后,仅有一个名为“默认值”的位置。创建新组后,其默认位置始终为“默认值”。稍后添加其他位置之后,可以更改此默认位置。
如果发生下列情形之一,会使用默认位置:
  • 多个位置中有一个符合位置条件,且最后一个位置不符合位置条件。
  • 您正在使用位置感测,而所有位置都不满足条件。
  • 位置在策略中已重命名或更改。客户端在收到新策略时会恢复为默认位置。
配置各位置的通信设置
您也可以根据位置,配置管理服务器与客户端之间的通信设置。