终端管控、软件下发？腾讯 iOA | 解救我被零信任困住的九年工作人生.....

前言

不知不觉已经工作九年了，在工作的几年间，为了适应公司和甲方的安全环境要求，前前后后也是安装了3个零信任软件。

第一个是公司的安全零信任软件：安全体现在会扫描我们的电脑排查具有安全风险的软件，零信任就是登录公司内网OA系统。第二个和第三个分别是甲方和甲方集团的零信任软件，分别进入各自的内网环境，从而登录到云桌面进入生产系统。云桌面是与外网隔绝的，所以对于常用的软件，管理员通过内部助手分发之后，用户才可以进行安装。

在使用这些零信任软件的过程中，就遇到了几个比较困扰的问题：

1. 为了避免软件之前互相冲突，就分别安装在了3个虚拟机中，也是让我电脑的存储捉襟见肘
2. 公司零信任软件让 CPU 转到100%
3. 零信任依赖过多、登录麻烦。记得第一次使用甲方零信任的时候，在安装之前要执行一个bat脚本，然后登录了半个多小时才成功，每次登录零信任就是很多同事的噩梦。。

而 iOA 零信任安全管理系统，是腾讯自研自用的一体化办公平台商用版，可以提供零信任接入、终端安全、数据防泄密的十余种可灵活组合的功能模块，旨在帮企业创造安全、稳定、高效的办公环境。针对于上面的这些问题，iOA 交出了完美的答卷。

而今天，我将带大家探究一下关于 iOA 在安全防护、终端安全管理、软件管控等方面的强大功能。

iOA

首先进入腾讯 iOA 官网，点击免费使用。

然后就进入了 iOA 的控制台，在进入控制台之后，需要填写一些信息完成免费基础版的申请。

在填写完成之后，点击立即开通，这样就拥有了一个 iOA 基础版。然后我们就进入到了首页，在页面我们可以根据自己的操作系统进行下载安装。

这里值得关注就是 团队PIN码，在用户终端按专的时候需要。

安装

登录iOA 零信任管理平台，在快速上手页面就可以看到 iOA 的安装方式和一些使用攻略。

我们点击 批量安装部署，在弹出窗口中复制部署链接，将链接发送给终端用户，用户访问链接就可以下载腾讯 iOA。

下载安装：

安装完成之后输入 iOA 的团队PIN码。

这样就可以使用腾讯 iOA 了。

这台通过我的 PIN 码安装了 iOA 的终端就加入了我的团队，在 iOA 控制台就可以看到 部署客户端 已经从 0 变成 1 了。

在 终端信息 菜单栏中我们可以看到终端的概要信息，同时可以远程卸载、升级客户端，以及远程协助等。

基本设置

我们可以在快速上手页面完成一些基本的设置。

例如在敏捷运维中，我们可以开启 软件行为管控，这样就会自动生成默认软件禁止运行的策略，自动禁止一些远程软件运行。

在数据保护页面开启屏幕水印。

可以看到整个屏幕都充满了水印。

终端管理

在用户终端完成 iOA 的安装之后，我们就可以体验 终端管理 的功能了。主要有终端信息、硬件与外设管控以及终端扩展。

终端信息

终端信息可以设置终端最基本的信息，包括终端名称、分组等，也可以实现上面提到的远程卸载、升级客户端、远程协助功能。除此之外，还可以生成卸载码和特权码等。

硬件与外设管控

硬件与外设管控可以查询终端的硬件信息，例如 cpu 型号、内存等。

也可以查看CPU 占用率、CPU 温度、内存占用率、iOA 内存占用率。

如上图所示，这些信息是没有展示的，需要在 终端管控策略 的客户端管理中，找到 客户端通用设置 开启运行状态监测开关。

这样才能看到终端资源的运行状态。

安全防护

为了测试腾讯 iOA 的安全防护能力，我下载了一个包含风险的文件夹：

结果下载解压完成之后，就收到了腾讯云的短信提醒：

然后紧接着 腾讯云助手 也发来了安全告警通知。

可以看到腾讯 iOA 实时检测如果我们怀疑一个文件是否有风险，我们可以右键选择 扫描病毒（腾讯 iOA)。

然后可以看到 iOA 同样扫描出来了。

那么，作为安全管理员收到了用户终端的安全告警之后该怎么办呢？或者如何去扫描发现用户终端的这些风险文件呢？

风险处理

在 iOA 管理平台找到终端安全防护中心，在待处理病毒下找到 未处理风险终端。

选中风险终端，点击 闪电查杀，然后就会弹出扫描结果处理。

这里我选择仅扫描，也可以直接将病毒文件备份到隔离区内后删除。点击建立任务，在右上角任务中心就可以看到新建的扫描任务。

等待任务执行完成之后，在终端记录中的 未处理风险数 就可以看到扫描的风险文件个数。

点击就可以查看到用户终端上的风险文件详情。

漏洞修复

在终端安全防护中心中找到 漏洞修复。点击页面上漏洞扫描下的漏洞修复按钮，就会新建一个扫描任务，在这里可以通过选择任务类型，来决定是仅扫描、扫描修复还是升级。

在适用范围中选择要扫描的主机，然后确定，就会创建一个扫描任务

等待任务完成之后，再回到漏洞修复页面，就可以看到扫描出来的终端漏洞。

在漏洞记录中的 处置 选项下，可以完成修复或者忽略。

规则运营

除了上面手动开启安全防护之外，在 规则运营 中 iOA 也内置了很多安全策略，例如病毒查杀、实时防护、漏洞修复、文档保护等。这些策略都会定时触发保护用户终端。

软件管理

我觉得软件管理是非常实用的功能，功能主要 软件清单 和 软件管控。

软件清单

目前有些常用的软件会存在安全隐患，例如一些远程控制软件。所以在我们公司的安全制度中，是禁止安装使用这些控制软件的，如果在我们电脑上安装了这些软件之后，就会被公司安全软件扫描到，然后安全负责人就会以邮件的形式告知你卸载软件。

在 iOA 中，我们可以在控制台通过软件管控菜单，来管理团队终端上的软件。软件清单就是列出你的电脑上安装了哪些软件，同时支持 按软件查看 和 按终端查看 两种模式。

1. 按软件查看

按软件查看就是会列举出团队所有终端下已安装的软件，更适合批量管理操作。

每条软件记录中，都会展示安装的系统、已安装的终端数，点击详情，我们就可以看到已安装软件的版本型号、盗版风险和已安装终端列表。

在详情页面，我觉得比较有意思的功能就是，可以远程卸载或者升级软件。假如安全管理员在 iOA 页面发现了某个终端安装了盗版软件，管理员就可以通过使用 卸载 功能，解决这种潜在软件风险。

然后在对应终端的右下角，就会出现软件卸载提醒。

如果管理员想要直接卸载软件，可以选择静默卸载。静默卸载是指在用户无感知的情况下自动完成卸载操作，但前提是需要软件支持静默卸载，静默命令填写 /s /S -s。

我们可以去注册表下 （HKEY_LOCAL_MACHINE|SOFTWARE\WOW6432Node|Microsoft\Windows\CurrentVersion|UninstalI 去查询软件信息 QuietUninstallString，若有参数则表示支持静默卸载。

如下图，7-zip 这个软件就存在 QuietUninstallString 字段，表示支持静默卸载。

2. 按终端查看

至于按终端查看就更简单了，可以看到终端下所有已安装软件列表，更适合针对单台终端的软件进行管理。

可能大家都注意到了，在上面的软件清单中，有一个 盗版风险 的标识字段。如何判断一个软件是否存在盗版风险，这就用到了腾讯 iOA 的软件管控。

软件管控

在软件管控下有三个功能菜单：分发管控、 软件行为管控 和 盗版软件检测。

1. 盗版软件检测

其中软件清单中的盗版风险标志就是通过盗版软件检测得来的，目前腾讯 iOA 已支持80款软件的盗版识别，功能开启后约每 4 小时进行一次全量盗版检测，然后将检测结果同步到软件清单中。

在软件管控页面，选择盗版软件检测，先开启盗版软件检测。

选择需要开启检测的软件，然后单击批量开启。

这样，当这些软件的盗版出现在团队终端智商的时候，就会被检测出来并展示在软件清单上，让盗版软件潜在风险在 iOA 平台上可视化。

2. 分发管控

分发管控支持向指定终端统一分发软件、文件、脚本、壁纸、桌面公告、客户端补丁（Windows 支持）。

在日常工作中，这种分发场景还是挺多的，我们就可以用壁纸分发统一桌面壁纸，软件分发统一软件版本、桌面公告分发完成通知。

软件分发

软件分发是比较常用的一个功能，我们在内网生产环境的安全管控助手，主要的功能就是软件分发。因为通常在内网环境和零信任环境下，终端是无法直接访问公共网络的，所以很多软件无法下载，只能通过外接存储介质或者软件分发获取安装包。

例如我想让所有的终端都安装QQ浏览器，于是我新建一个软件分发策略，上传本地的QQ浏览器安装包，运行参数填写 /S ，用来启动静默安装模式自动安装，不显示任何用户界面。

因为是 exe 安装包，所以在适用范围可以选择添加 Windows 终端，只发送给 Windows 终端。

在弹出框中选择主机之后，点击确定，在 iOA 终端右下角弹出软件分发的安装提醒。

因为我们在分发策略中使用了静默安装，所以无需任何操作，也没有任何安装界面显示，QQ浏览器就安装完成了。

在软件清单里面也可以看到已安装的QQ浏览器。

如果不需要自动安装，只是想把安装包分发到用户终端，我们就可以使用 文件分发 的功能。

文件分发

假如我们有一个需要每个员工打印签字的文件，以前都是通过邮件群发、或者通过群聊来上传、下载文件，文件的传输需要双方的参与。而在腾讯 iOA 中，我们在分发管控中新建一个文件分发策略就可以轻松实现。

点击新建策略，选择文件分发，在弹出框中选择本地文件，然后选择文件分发的位置，这里我选择放在终端的桌面上。

在完成基本的配置后，就要选择 适用范围，换句话说就是要选择把文件发给谁，点击 添加适用范围 添加终端，然后勾选终端。

勾选确定之后在适用范围内就可以看到已添加的终端。

点击保存，就完成了文件分发策略的创建，也可以看到在 分发成功 这一栏数量为1，表示已经成功分发到1个终端上了。

我们在 iOA 终端上查看，右下角出现了 iOA 文件分发的提醒，分发的文件也出现在了桌面上。

在整个文件分发的过程中，用户终端没有做任何的参与就接收到了文件，也解决了之前有些人忘了下载文件被管理员疯狂艾特的问题。但是分发了文件之后，就是有些人忘了去看怎么办？这时候 桌面公告分发 就有了用武之地。

桌面公告分发

同样在新建桌面公告分发策略界面，我们填写基本的公告标题和正文信息之后，可以设置投放的时间和公告的展示效果。

我们需要选择在某一个时间段内投放。

而且必须在 常驻公告 和 弹窗公告 中选择一种终端展示效果。常驻公告会出现在屏幕右上方，会在上面指定的时间范围内一直展示，无法关闭。弹窗公告呼会出现在屏幕右下方，弹出之后用户可以关闭。预览效果如下图：

这里我选择了常驻公告，保存策略完成桌面公告下发。在 iOA 终端桌面上就出现了公告信息。

这时候管理员发现所有用户终端用的都是默认壁纸，于是就下载了一些好看的壁纸，这时候就可以使用 壁纸分发 功能分发到终端上。

壁纸分发

新建一个壁纸分发策略，上传下载到本地的壁纸。

右下角弹出更换壁纸的提醒，点击确定就会自动更换下发的壁纸。

脚本分发就是将编写好的 Windows 系统的 powershell 以及 macos 系统的 bash/shell 脚本分发到用户终端。客户端补丁分发就是将 dat 补丁文件分发到终端，具体操作在这里就不一一演示了。

3. 软件行为管控

软件行为管控就是通过禁止运行策略，限制特定软件运行，规范软件的安装与使用，实现对员工终端软件的统一管控。

假如我们想禁止终端运行QQ浏览器，我们在软件行为管控下，新建一个 禁止运行 策略。

填写基本的策略信息之后，选择适用范围。

然后就是最重要的，就是选择禁止运行的软件。在这里 iOA 提供了两种方式：内置软件和自定义软件。在内置软件中内置了一些比较常见的软件，我们可以直接通过勾选就加入到禁止名单中。

但是QQ浏览器没有在内置软件中，我们只能通过自定义软件来实现。

在自定义软件中，我们填写软件名称，然后设置软件进程参数条件，以此来匹配QQ浏览器的进程，这里我使用的是 包含 条件，只要进程包含 QQBrowser 的软件都无法运行。

点击确定QQ浏览器就会出现在了管控软件列表中，同时也可以自定义弹窗提醒。

点击保存，在策略列表就看到了新增的策略，选中策略点击启用，这样策略就会立即生效。

这时候我们在用户终端双击运行QQ浏览器，会出现闪退无法运行的情况，并且在右下角提示无法运行。

日志审计

在愈发注重数据安全隐私的今天，带给我日常工作的改变就是：在内网生产环境中的操作都会被审计。例如在生产主机上执行的shell命令、在数据库中查询的表等等，都是通过日志审计来查出不合规的操作，然后下发通报或者写明原因。

在腾讯 iOA 的事件中心也有日志审计，可以查看客户端操作、终端安全、终端管控、终端合规、终端运维、软件管控、管理员这7种日志。

客户端操作日志

客户端操作日志就是安装了腾讯 iOA 用户终端的操作日志，如上图所示，包括安装卸载、升级以及软件分发等日志。因为我之前卸载重装了一次 iOA，所以在上图的安装卸载重，可以看到一条卸载日志记录。

也可以看到客户端升级的记录：

在之前演示软件分发功能的时候，我们分发了文件和QQ浏览器的安装包，在这里也可以看见，而且可以看见分发是否成功的日志信息。

终端安全日志

终端安全日志就是记录用户终端潜在风险的日志，包括病毒查杀、系统修复、实时防护、网络攻击以及漏洞修复的日志。

打开病毒查杀页面，就可以看到之前在测试安全防护时，扫描的病毒文件的日志信息，在这里可以清楚地看到病毒的名称以及病毒类型。

在 实时防护 页面可以看到 iOA 终端在运行期间，拦截的风险日志。如下图所示，成功组织了一次网络攻击。

在 网络攻击 页面下我们可以看到，刚刚在实时防护中提到网络攻击。因为我的 iOA 客户端是部署在腾讯云服务器上的，所以受到了大量的网络攻击，在这里我们可以看到具体的攻击时间、攻击类型，可以看到大部分都是爆破攻击。

而在漏洞修复页面，我们可以看到之前执行漏洞修复任务扫描的漏洞信息，可以看到漏洞类型为高危漏洞，因为之前我们是仅扫描未修复，所以这里处理结果显示为 尚未修复。

终端管控日志

终端管控日志就是查看包含进程管控、USB存储设备插拔管控、设备禁用、文件管控以及上网拦截与网络隔离。很多生产环境中会检测外部存储介质和上网信息，以此来禁止这些行为。在 iOA 终端管控日志中可以看到这些信息。

因为我只在 iOA 客户端有过上网行为，所以我们可以看到在上网拦截与网络隔离页面下，拦截了我们部分上网行为。

软件管控日志

软件管控日志就是终端触发禁止运行策略的日志信息，我们之前新建了一个禁止QQ浏览器运行的策略，然后再 iOA 用户终端多次运行QQ浏览器都被禁止了，禁止运行记录就可以在软件管控日志中查看，其中包括进程名称、命令行以及操作时间。

在所有日志审计页面，我们可以使用 导出数据 功能快速导出数据生成报表文件。

同时也可以在页面通过设置条件，可视化查看日志的信息。

callback

在文章的结尾，callback 一下文章刚开始提出的一个问题：iOA 占用的计算资源高不高？实时防护会不会占用很高的 cpu 和内存？

我这个云服务器只有 2 core，如图，iOA 基本上占用了很少的 cup，内存也只占用了 200MB 左右。

结语

本篇文章主要从安全防护、软件管理、日志审计、分发管控等多个方面体验了一下腾讯 iOA 的部分功能，总体感觉下来就是功能齐全强大、界面直观易上手，体验绝佳。腾讯 iOA 作为基于零信任安全理念，自主研发设计的一款终端安全产品，其实还有更为强大的功能，例如零信任接入、数据安全中心等，如果有机会的话还是想要体验一把。