【SAM】客户端防破解防代理

发布时间：2013-10-03

点击量：8505

一、功能需求
在认证客户端接入认证时，检测是否使用了破解客户端，如果是，则禁止通过认证
二、配置要点
1、需要开启客户端防破解功能、交换机校验功能，并配置完整性校验。
2、如果网络中有使用到多个版本客户端，则需要添加所有版本的客户端防破解文件。
三、配置步骤（适用于SAM 3.93以上版本）
1、打开需要检测防破解的用户组的接入控制，在用户行为控制中勾选“禁止使用破解锐捷客户端”

2、SAM 3.93以上版本对客户端保障的配置步骤进行简化，相对于与之前版本，不需要工程师采用手工方式复制客户端完整性文件及编译客户端完整性检测supplicantinfo.ini文件，直接在SAM管理页面中配置即可，步骤如下：
1）打开客户端管理程序，在“客户端定制”功能页下找到“RG_SU_For_Windows界面”，如下图所示

2）根据客户现场应用对各项功能进行调整后，点击“制作安装包”，完成后，可使用“查看安装包”功能查看定制好的安装包，如下图所示

3）使用“查看防破解文件”查看定制好的安装包对应的防破解文件，如下图所示：
注意：
a、防破解文件包含32位和64位，对应客户端操作系统为32位和64位，在实施的时候需要注意将32和64都部署上。
b、SAM 3.93以上版本只支持V3算法，不再支持V2算法。

4）拷贝防破解文件，放置于SAM安装目录下的conf目录下

5）编写客户端完整性检测supplicantinfo.ini文件，参数配置如下：
bRunFileCheck=1                                     该参数代表需要对SU客户端进行完整性校验
bDealSuHacker=1                                    该参数表示对使用破解客户端的用户进行记录
nForgivenHackCount=10                           该参数表示允许同一用户使用破解客户端10次，超过10次，将自动将该用户加入黑名单，可根据实际需要进行设置
nPunishedHours=24                                 该参数表示将用户加入黑名单后，惩罚时间为24小时，24小时内该用户无法认证，会被提示已加入黑名单，24小时后自动释放
0x04530000Alg=V3                                  该参数表示SU for windows 4.81 32位V3防破解生效
0x04530300Alg=V3                                   该参数表示SU for windows 4.81 64位V3防破解生效
注意点：
a、0x04530300Alg=V3表示使用V3算法进行校验，目前SAM 3.X版本一般采取V3版本算法进行校验。
b、在写版本校验的时候，客户现场存在多少个客户端版本，就必须在文件中添加多少个版本号，如没有添加，则其余版本无法认证，如上例所示，表示该网络中只有4.81 P1的32及64位版本。
c、在添加版本的时候，0x04530000Alg=V3中，0x为必须开头字符04530000为版本号，具体可以直接复制客户端防破解文件的文件名。
d、对于采用V3方法校验的版本，其版本号中如有字母，必须大写（例如0x031F0002Alg=V3，不可写为0x031f0002Alg=V3）
e、允许的破解次数及黑名单时间需要根据实际需要进行设置。
3、在设备管理中选择相应的NAS接入认证设备，启用SU版本校验功能，表示对该NAS设备下的认证用户校验客户端安全。

4、所有配置完成后，需要重新启动SAM服务，重启服务后，客户端完整性保障功能生效。
注意：有对客户端完整性保障功能进行修改，只有在重启后才生效。
四、配置验证
使用破解认证客户端无法通过认证