【天擎】【DLP】终端DLP防护策略不生效

2线-刘成林发表于:2021年03月29日 13:41:05更新于:2021年09月24日 08:03:12

1. 问题描述:

天擎控制中心分配了DLP防护策略,但终端DLP防护策略在客户端不生效。

 

2. 适用场景:

Windows天擎客户端

天擎DLP模块

 

3. 原因分析:


1) 检查用户的策略配置是否正确。

 a.检查终端策略-基本设置-终端定制-终端功能定制- “数据安全”是否勾选。

image.png

 b. 检查数据安全-终端DLP防护策略模块-DLP防护策略是否已启用策略,策略是否已发布。

image.png

c. 检查终端策略-终端DLP防护是否已新增策略,并确认策略是否设置全网策略、分组策略或单点维护策略。基本天擎的策略优先机制,单点维护策略>分组策略>全网计算机策略。

image.png

d.  请检查对应的策略生效勾选了“在线”和/或“离线”。

image.png

2)检查DLP运行状态是否异常:

 a, 通过Windows任务管理器检查终端DLP模块安装是否完整,DLP运行中的进程包含:

DlpCenter.exe

DlpMain.exe

Dlpmain32.exe

DriverControler.exe

DriverControler.exe

image.png

b.  运行CMD进入命令行,通过运行以下命令行检查DLP各模块状态否运行中:

sc query qmghcore

sc query qminspec

sc query qmnetmon

image.png

c.终端DLP防护策略的日志路径在C:\ProgramData\360Skylar6,请查看最近修改时间的AsDlpFuncAgent.ext-360EntClient.exe-xxxx-policy.log

 image.png

d. 查看最新时间的Get Policy策略内容是否跟控制中心分配的策略一致

image.png

e.安装DLP扩展包时,请务必验证该版本的扩展包已完成对天擎基准包版本的适配。当DLP版本与天擎版本不兼容时,会出现DLP策略在终端不生效。

f. 如果以上方法未能解决,请在终端通过windows任务管理器右键抓取DLPMain、DlpCenter、DriverControler等进程dump提交给2线分析:

image.png

g. 请用SkylarTS工具收集天擎客户端日志提交分析, 工具下载和使用说明可访问站点:https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=222243375 

 

4. 解决方法:

1)如果是DLP终端防护策略配置不正确,更改策略配置后等待策略下发终端后验证即可。 http和https的防护策略可以通过打开https://dlptest.com/ 网页验证数据上传后实时阻止和审计是否生效。

image.png

2)如果是DLP进程或模块未启动,可能是安装过程出错。建议通过取消模块卸载DLP后,重启系统再重装一遍DLP模块再验证结果。

image.png

 

3)安装DLP扩展包前。请务必查看DLP发布说明,确认认版本已适配对应的天擎基准包版本。

 image.png

4)如果dump分析发现是产品缺陷原因导致,需产品研发提供散文件替换后验证。