从零开始学CSA，全程接触CSA

network · 发表于 2007-10-10 11:08:56

从零开始学CSA，全程接触CSA
发贴： 2007年9月28日 19:47:21

Vista安装了VM，里面装了Win2k3 Ent版本供安装MC（会自动安装CSA），我的MC是5.1版本
客户机OS也是win2k3 Ent，通过MC里创建group、kit，已在客户机安装了CSA kit
目前MC里还看不到客户机host，只有一个MC自己的host，正在寻找问题

在MC里重新配置了组/策略/规则；重新生成kit，客户机重新安装了，host安装完后重新启动；但是任务栏小红旗出现白圈里带小红3角，然后小红旗图标消失；查看services，csacontrol.exe在运行

找到原因了，客户机没法解析我MC的主机名，在hosts文件里加MC主机名就可以了，MC里就可以看到注册进来的host了（从客户机CSA log文件里发现的）

发现此时的小红旗图标默认不显示的，可以从log查看log的所有信息

想看报表时,需要打开report,但是弹出的IE报错,请看图片(暂时不能上传)

5/12
功能推荐：Connection Rate Limit(CRL)
周一用工具试一下再来这里更新,先放上这个翻译供参考
使用CRL规则(rule),可以控制特定时间内应用(applications)能够发/收的网络连接数量。
对于企图耗系统资源的攻击，这个rule可以起到很好的防护作用，比如DoS攻击，同时对于这些DoS的传播也起到很好的防护作用；
连接数计算方法:所有app连接总和，即使同一app,其产生的所有instance连接,也必须都计算进connections总数

静态应用类（做了一个FlashFXP，等待周一验证）
当创建规则rule时，你必须决定哪些应用程序的执行是被允许或是被禁止的规则类型。
一旦确定了这些，你就可以在CSA MC 里配置这个应用类并且选择这个应用类作为规则的一部分。

应用类是汇集到同一个名称下面的应用程序可执行文件的分组，通常看作是文件预制变量分组。
当应用程序被调用时，他们经常引出其它动作类型的执行进程。然而，当你创建一个应用类时，CSA MC 会提供选择包括或不包括由初始应用程序创建的子进程的应用类选项。

CSA MC 预装单独的内置应用类，这些应用类包含在规则应用类列表里。访问控制规则是应用程序的中心，意思是当你编写规则时，应当明确为每个规则选择正确的核心应用程序。在文件、网络、注册和COM 规则里，你能够控制哪些应用程序组成特定的系列来运行文件、网络、注册密钥和COM 。

5/14
1、MC开机了,怎么手动让我的客户端host进来,刚开机MC,看不到host?
      我原来host客户端是上周测试好的host,在mc里能够看到的,
      我早上开机MC,想尽快在MC里看到这个host,好像等了好久,还没看到,不知道可否手动,
      host上agent我配置为不可打开agent ui的
重启动host,问题解决

2、测试了对host“移动存储"的管理，我试了一下光驱，能看目录，不可拷贝，等论坛可以贴图时，再给大家看贴图

3、对客户端登陆事件进行审核，只要是失败的登陆事件，将报告给MC，下面是登陆失败的事件记录：

The 'Security' service logged event code 529 into the security event log: 登录失败:
原因: 用户名未知或密码错误
用户名: fgwrpk
域: MAINSERVER
登录类型: 2
登录进程: User32
身份验证数据包: Negotiate
工作站名称: MAINSERVER
调用方用户名: MAINSERVER$
调用方域: ******
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 640
传递服务: -
源网络地址: 127.0.0.1
源端口: 0

4、CSA MC选择Analysis>Application Deployment Reports>AntiVirus Installations，想看host的防病毒的情况，但是host matching里看不到host，只显示<all host>,点击<View report> 键即可查看主机杀毒软件的安装信息，也看不到内容的，不知为何？

5、HOST的CSA Log里发现不停的报错：

[2007-05-14 14:43:23.838] [PID=1104] [Csamanager]: Failed to create process '"C:\Program Files\Cisco Systems\CSAgent\bin\okclient.exe" secure' error=5

6、host CSA默认的安全性为：中，不知何故，发现安全性被禁止，重启动CSA服务不管用，重启动host，安全性恢复

7、我通过"Remote Desktop Connection"访问我的客户host，打开CSA的个人防火墙后，无法连接了；Agent UI interaction里培植Allow user interaction全部打勾了，企图访问时，客户Agent并没有弹出是否允许对话框，否则还可以选择允许

解决：该host所在组的策略里，有一个Attached Rule Module为Personal Firewall Module，这个没module有一个rule为network access control,需要该它的action为query user，不过query setting下的那些选项不太理解，我的选择是"Network Access - Tied to process and protocol"

5/15

1、发现个有趣的问题，我在检查host的CSA时，通过remote desktop进去看到CSA显示的菜单只是部分的，而通过VNC去host看到是的CSA所有MC允许的菜单，为啥？

我想应该是remote desktop进去时，OS安全权限的问题，不知对不对？

2、我在测试CSA界面控制功能，MC里取消host看到Agent的管理界面，取消更改安全界别；我在host上执行轮训，但是好像在agent上，不能够立即生效？

我自己搞错了，policy里有2个module，每个module都有一个Agent UI Control，我删除一个即可

这个问题我再Copy老吴的解释过来,谢谢老吴:

主机注册到MC后，除了你配置的组以外，还将自动加入到All Windows 组里。这个组有很多缺省的规则，可能是这些规则限制了远程桌面里CSA的菜单。

5/18

1、host 客户端ip修改不影响到MC的注册，只要路由可达，如果Host在MC的“Active”状态为NO，可以restart客户端的CSA 服务，可以注册到MC

2、终于可以上传附件了，图片的顺序是按照基本配置的顺序定义图片名的(可以看出很多地方完全使用中文)

5/20

1、Cisco PEC提供的CSA-MC培训,这里贴上几个截图,使用Set命令配置Voice相关的QoS