(TMMS) 8.0 趋势科技 - support.trendmicro.com.cnsupport.trendmicro.com.cn/TM-Product/Document/SOP/TMMS/8.0/TMM… · 应用程序推送可将应用程序安装包或应用程序的

移动安全企业版(TMMS) 8.0

1 / 61

趋势科技移动安全企业版(TMMS) 8.0

产品安装标准程序（SOP）

趋势科技技术支持部

2012 年 9 月


2 / 61

目录

1 移动安全企业版(TMMS)8.0 介绍 ...................................................................................... 4

1.1 了解移动设备威胁 ......................................................................................................... 4

1.2 趋势科技移动安全 v8.0 概述 ................................................................................... 4

1.3 此版本(v8.0)的新增功能 ........................................................................................... 4

1.4 移动安全代理的主要功能 ............................................................................................ 5

1.5 支持的功能 .................................................................................................................... 7

2 规划服务器安装 ............................................................................................................... 14

2.1 网络规划 ...................................................................................................................... 14

2.2 系统要求 ...................................................................................................................... 16

3 为安装准备服务器计算机 ................................................................................................. 19

3.1 一般先决条件 .............................................................................................................. 19

3.2 iOS 支持先决条件 ........................................................................................................ 20

3.3 BlackBerry 支持先决条件 ............................................................................................ 22

4. 安装 TMMS 组件 ............................................................................................................... 23

4.1 安装主服务器 .............................................................................................................. 23

4.2 安装策略服务器 .......................................................................................................... 26

4.3 配置策略服务器 .......................................................................................................... 28

4.4 配置 iOS 策略服务器设置 .......................................................................................... 29

4.5 安装短信发送器 .......................................................................................................... 29

4.6 部署 TMMS 客户端 .................................................................................................... 30

移动安全代理安装方法 ..................................................................................................... 31

4.7 部署 TMMS 客户端(iOS) ............................................................................................. 32

4.8 升级到移动安全 v8.0 ................................................................................................. 37

4.9 删除服务器组件 .......................................................................................................... 38

5．附录 ................................................................................................................................... 41

A-1 对 SQL Server 使用 Windows 身份验证 .................................................................. 41


3 / 61

A-2 生成和配置苹果推送通知服务证书: ......................................................................... 41

A-3 生成和配置 SSL 证书: ................................................................................................ 56

A-4 防火墙端口配置: ......................................................................................................... 56


4 / 61

1 移动安全企业版(TMMS)8.0 介绍

1.1 了解移动设备威胁

由于标准化平台的使用及其不断增强的连接能力，移动设备越来越容易受到更多威胁。在移

动平台上运行的恶意软件程序数量不断增加，越来越多的垃圾信息通过短信发送。新的内容

来源（例如， WAP 和 WAP-Push）也被用于提供不需要的内容。除受恶意软件、垃圾信

息及其他多余内容的威胁之外，移动设备还容易受到黑客和拒绝服务 (DoS) 攻击。现在，

多数移动设备同样也具有传统上只应用于较大计算设备（例如，笔记本电脑和台式机）的网

络连接，因此也成为此类攻击的目标。

此外，移动设备盗用可能会危害个人数据或敏感数据。

1.2 趋势科技移动安全 v8.0 概述

趋势科技™移动安全企业版 v8.0 是一套应用于移动设备的全面的安全解决方案。移动安全

结合了趋势科技反恶意软件技术，能有效防范对移动设备的最新威胁。

集成的防火墙和过滤功能使移动安全能够阻止发送到移动设备的不需要的网络通信。这些不

需要的网络通信包括：通过 3G/GPRS 连接接收的短信、服务信息邮件和数据。

该版本移动安全支持 OfficeScan™ 集成，可提供集中式设备管理、自动配置策略和组件更

新。此外，移动安全附带通用加密模块，可在移动设备上提供登录密码保护和数据加密功能。

加密模块有助于防止因移动设备丢失或被盗而危及数据安全。

注意: 趋势科技无法保证移动安全与文件系统加密软件之间的兼容性。提供类似功能（例如

防恶意软件扫描、短信管理和防火墙保护）的软件产品也可能与移动安全不兼容。

1.3 此版本(v8.0)的新增功能

客户端定制

可在 Android 安装包中预置服务器 IP 地址和端口号。


5 / 61

支持 Android 的 Web 代理

允许在 Android 移动设备中设置 Web 代理。

Android HTTP(S) 推送通知设置

提供启用或禁用 Android 移动设备 HTTP(S) 推送通知的设置。

简化配置

可在 Android 移动设备中预先配置服务器 IP 地址、域名和服务器端口号，以减轻移动设

备的部署和注册工作量。

病毒码更新后扫描

在病毒码更新成功后自动开始扫描移动设备中的安全威胁，并在通知栏中显示相关进程。

Web 威胁防护策略

可管理移动安全服务器中的 Web 威胁防护策略并在 Android 移动设备上部署该策略。它

还可以使 Android 移动设备将 Web 威胁防护日志发送回服务器。

添加 Android 的 SD 卡限制

可控制 Android 移动设备的 SD 卡的可用性。

应用程序清单

保留移动设备上安装的应用程序的列表，并在设备状态窗口中显示该列表。

应用程序控制

可以使用允许列表和阻止列表来允许或阻止在移动设备上安装特定应用程序。

应用程序推送

可将应用程序安装包或应用程序的 Web 链接推送到移动设备，以进行安装。

选择性擦除

可在不删除用户个人数据的情况下，删除服务器中的所有企业数据。

合规检查

可设置服务器上的合规条件，并检查移动设备的合规性。

使用 Active Directory 进行身份验证（可选）

可使用 Active Directory (AD) 或移动安全数据库对 Symbian、Windows Mobile、IOS 和

Android 移动设备进行注册前的用户身份验证。

1.4 移动安全代理的主要功能


6 / 61

防恶意软件扫描

移动安全结合了趋势科技防恶意软件技术，可有效检测威胁并防止攻击者

利用移动设备上的漏洞。移动安全特别设计用于扫描移动威胁，允许用户

隔离和删除受感染文件。

防火墙

移动安全包括趋势科技防火墙模块，此模块具有多个用于过滤网络通信的

预定义安全级别。您也可定义自己的过滤规则，并过滤来自特定 IP 地址和

特定端口的网络通信。入侵检测系统 (IDS) 可阻止向移动设备连续发送多个

数据包的尝试。通常，这些尝试会构成拒绝服务 (DoS) 攻击，并导致移动设

备因过于繁忙而无法接受其他连接。

Web 安全

随着移动设备技术的提升，移动威胁的复杂性也在增加。趋势科技移动安

全提供 Web 信誉和家长控制，用以保护您的移动设备免受不安全网站的侵

扰，以及可能包含儿童、青少年和其他家庭人员不宜内容的网站的侵扰。您

可以根据需要的设置修改 Web 信誉和家长控制设置级别。移动安全还将在

Web 信誉或家长控制的专门日志中保留它们所阻止的网站日志。

反垃圾短信

移动设备通常会通过短信传输接收到不需要的消息或垃圾信息。要将不需

要的短信过滤到垃圾信息文件夹，可指定发送所有这些将被视为垃圾信息

的短信的电话号码，或指定批准的电话号码列表并配置移动安全使其过滤

来自不在允许列表的发件人的所有消息。还可以过滤无法识别的短信或没

有发件人电话号码的消息。您的移动设备会自动将这些消息存储到收件箱

的垃圾信息文件夹。

注意：反垃圾短信功能不适用于没有电话功能的移动设备。

电话过滤

移动安全可以过滤来自服务器的来电或去电。可以配置移动安全阻止来自

特定电话号码的来电，或指定移动设备可以呼叫的允许电话号码列表。移

动安全还可以让移动设备用户指定自己的阻止或允许列表，以过滤不想接

听的来电。

注意：电话过滤功能不适用于没有电话功能的移动设备。

服务信息防护

服务信息是一种将内容自动传递到移动设备的有效方法。为发动内容传


7 / 61

送，它会向用户发送特殊的短信（称为服务信息）。通常，这些消息包含

关于内容的信息，并用作用户可接受或拒绝内容的方法。

恶意用户会发出不正确或非信息的服务信息，目的是欺骗用户接受可能

包括不需要的应用程序、系统设置甚至恶意软件的内容。移动安全允许用

户使用可信发件人列表来过滤服务信息，并防止不需要的内容进入移动

设备。

注意：服务信息防护功能不适用于没有电话功能的移动设备。

身份验证

安装移动安全代理后，移动设备与用户相关联。用户必须键入密码（亦称开

机密码）才能登录到移动设备。

数据加密

移动安全为存储在移动设备和内存卡上的数据提供了动态数据加密。可指

定要加密的数据类型和要使用的加密算法。

日志

管理服务器包括以下移动安全代理日志：

• 恶意软件防护日志

• Web 威胁防护日志

• 加密日志

• 防火墙日志

• 事件日志

可在移动设备上查看到以下日志：

• Windows Mobile 和 Symbian：

• 病毒/ 恶意软件日志

• 防火墙日志

• 反垃圾短信日志

• 服务信息防护日志

• 任务日志

• Android：

• 恶意软件日志

• Web 安全日志

• 阻止消息日志

• 电话过滤日志

• 系统日志

1.5 支持的功能


8 / 61

下表展示了趋势科技移动安全在不同平台上支持的功能列表：


9 / 61


10 / 61


11 / 61


12 / 61


13 / 61


14 / 61

2 规划服务器安装

2.1 网络规划

移动安全企业版 8.0 包括下列四个组件：

• 主服务器

• 策略服务器

• 短信发送器（可选）

• 移动安全代理 (MDA)

根据公司需要，可以使用不同的客户机－服务器通信方法实施移动安全。也可选择在网络中

使用一种客户机－服务器通信方法或任意几种方法的组合。趋势科技移动安全支持两种部署

型号：

• 基本安全型号（单服务器安装）

• 增强安全型号（双服务器安装）

基本安全型号（单服务器安装）

基本安全型号支持在同一计算机上安装策略服务器和主服务器。图1-1 显示了在典型基本安

全型号中包含的各个移动安全组件。

图 1-1. 基本安全型号


15 / 61

增强安全型号（双服务器安装）

增强安全型号支持在两个不同的服务器计算机上安装策略服务器和主服务器。图1-2 显示了

在典型增强安全型号中包含的各个移动安全组件。

警告！趋势科技强烈建议在两个服务器计算机上部署增强安全型号。该型号提供了最大程

度的防护。

图 1-2. 增强安全型号

管理服务器

管理服务器是一个插件程序，用户可通过此程序从防毒墙网络版 Web 控制台控制移动安全

代理。移动设备注册后，即可配置移动安全代理策略并执行更新。

通信服务器

通信服务器处理管理服务器与移动安全代理之间的通信。通信服务器允许管理服务器管理企

业内部网外部的移动安全代理。移动安全代理可连接到通信服务器的公共 IP 地址。可使用

防毒墙网络版 Web 控制台配置通信服务器的策略。

短信发送器

短信发送器被分配给通过 WLAN 或 ActiveSync（版本 4.0 或更高版本）连接到通信服务器

的移动设备。短信发送器从服务器接收命令，然后通过发送短信将命令中继到移动设备。可

通过短信通知移动设备执行以下任务：

• 下载和安装移动安全代理

• 将移动安全代理注册到移动安全服务器

• 从移动安全服务器更新移动安全代理组件

• 擦除、锁定或定位远程移动设备


16 / 61

• 与移动安全服务器同步策略

移动安全代理

在支持的平台上使用这些安装方法之一安装移动安全代理：短信通知、电子邮件通知、内存

卡和手动安装。移动安全代理可提供对恶意软件、不需要的短信/ 服务信息或网络通信的无

缝防护。用户在移动设备上发送/ 接收消息和打开文件时，可享受到实时扫描、防火墙保护

和数据加密带来的好处。

2.2 系统要求

在网络中安装各个移动安全组件之前，请查看以下要求。有关移动安全组件的信息，请参阅

移动安全企业版 8.0 《管理员指南》。

表 1-3. 系统要求


17 / 61


18 / 61


19 / 61

3 为安装准备服务器计算机

3.1 一般先决条件

您需要执行以下操作，为针对所有移动设备平台的安装做好服务器计算机准备工作。

1. SQL Server 安装

安装以下一种 SQL Server 版本：

• Microsoft SQL Server 2005 （或精简版）

有关详细的 SQL Server 2005 安装程序，请参阅以下 URL：

http://msdn.microsoft.com/zh-cn/library/ms143516(v=SQL.90).aspx

• Microsoft SQL Server 2008/2008 R2 （或精简版）

有关详细的 SQL Server 2008 安装程序，请参阅以下 URL：

http://msdn.microsoft.com/zh-cn/library/ms143219(v=SQL.100).aspx

趋势科技建议对 SQL Server 使用 SQL Server 身份验证方法，而非 Windows

身份验证。然而，您也可以为 SQL Server 配置 Windows 身份验证。有关详

细信息，请参阅对 SQL Server 使用 Windows 身份验证。

2. Active Directory 服务帐户访问权（可选）

注意：只有在您计划使用 Active Directory 进行用户身份验证或从 Active Directory导入用户的情况下，

才需要执行此步骤。否则可跳过此步骤。

为移动安全8.0创建 Active Directory 服务帐户，并至少为该帐户分配对Active Directory 的

只读访问权限。

有关详细的 Active Directory 安装程序，请参阅以下 URL：

http://technet.microsoft.com/zh-cn/library/cc757211(WS.10).aspx

3. 路由器/防火墙访问规则

应用以下几组规则：

• 如果您计划使用 Active Directory 进行用户身份验证或从 Active Directory导入用户，

则主服务器和策略服务器均能够连接到企业目录服务器。

• 主服务器和策略服务器应能够连接安装有趋势科技移动安全数据库的远程 SQL

Server。

• 配置以下两个端口，在主服务器和策略服务器之间建立连接：

• 8189 — SOAP 连接的缺省端口。允许在 TCP 端口 8189 上建立主

服务器到策略服务器的入站连接。


20 / 61

• 8190 — 套接连接的缺省端口。允许在 TCP 端口 8190 上建立主

服务器到策略服务器的入站连接。

若需要自定义这些端口号，请参阅第 B-3

• 所有移动设备都应能够连接策略服务器。

3.2 iOS 支持先决条件

1. 证书颁发机构（可选）

为 iOS 移动设备安装证书颁发机构。有关详细的证书颁发机构安装过程，请参阅以下

URL：

http://msdn.microsoft.com/zh-cn/library/ff720354.aspx

注意：如果您想要使用适用于 iOS 移动设备的 SCEP，则需要证书颁发机构。如果您

不想使用 SCEP，则无需安装证书颁发机构。

2. 简单证书注册协议 (SCEP) （可选）

注意：如果您不想为 iOS 移动设备使用 SCEP，那么您需要在安装主服务器和策略服

务器之后，在策略服务器设置中禁用它。有关步骤，请参阅第 4-7 页的配置 iOS 策略

服务器设置。

若已在 Windows Server 2008 上安装了 SCEP，请安装 Windows 服务器网络设备注册服

务。有关网络设备注册服务的安装与部署过程，请参阅以下 URL：

http://esupport.trendmicro.com/solution/en-us/1060187.aspx

或

http://technet.microsoft.com/en-us/library/ff955646(WS.10).aspx。

注意：如果您想要使用 SCEP，趋势科技建议您在 Windows Server 2008 上使用SCEP。

若已在 Windows Server 2003 上安装 SCEP，请安装 SCEP 证书服务附加程序。进

入以下 URL 下载 SCEP 证书服务附加程序：


或

http://www.microsoft.com/downloads/details.aspx?FamilyID=9F306763-D036-41D8-8860-16

36411B2D01&displaylang=e&displaylang=en

3. 系统时钟验证

确保 SCEP 服务器、策略服务器和主服务器的系统时钟的时间设置正确。

4. 修改证书颁发机构的策略模块属性

a. 在安装有证书颁发机构的计算机上，打开证书颁发机构管理控制台。

b. 单击策略模块选项卡，然后单击属性。


21 / 61

c. 选中遵循证书模板中的设置（如果适用）。否则，自动颁发证书。

d. 单击确定。

5. 苹果推送通知服务 (APNs) 证书

若要在 iOS4 或以上版本的移动设备上使用移动设备管理 (MDM) 功能，请从 Apple

处获得苹果推送通知服务 (APNs) 证书。有关详细步骤，请参阅从 C-1 页开始的附录

C, 生成和配置苹果推送通知服务证书。


应用以下几组规则：

• iOS 移动设备应能够连接策略服务器。

• 如果您使用 SCEP，则：

• 策略服务器应能够连接 SCEP 服务器。

• 当注册到移动安全服务器时，iOS 移动设备应能够直接连接 SCEP

服务器。

• 配置以下端口：

• TCP 端口 2195—— 允许在 TCP 端口 2195 上建立策略服务器到

苹果推送通知服务的出站连接。苹果推送通知服务的主机名是

gateway.push.apple.com。

• 端口 5223—— 对于 iOS 设备，要接收来自 Apple 服务器的推送通知，您必须

打开端口 5223，特别是当连接通过端口 5223 受阻的 Wi-Fi 网络时。然而，若移

动设备使用的是 3G 网络，则不必打开此端口。

7. SSL 服务器证书（用于 HTTPS 通信）

若要使用安全的 HTTP (HTTPS) 服务实现移动设备与策略服务器之间

的通信，请从公认的公共证书颁发机构处获取 SSL 服务器证书或生成专

用 SSL 服务器证书，并将其安装在策略服务器上。有关详细步骤，请参

阅从 D-1 页开始的附录 D, 生成和配置 SSL 证书。

iOS 5.x 移动设备仅支持 HTTPS。因此，若要管理 iOS 5.x 移动设备，则必

须使用 HTTPS 与策略服务器通信，并在策略服务器上配置 SSL 证书。

注意：由于只有策略服务器与移动设备通信，因此您无需在主服务器上配置 SSL证书。

8. 验证 SCEP 服务器的配置（可选）

如果您已为 iOS 移动设备设置了 SCEP，请执行以下步骤以验证服务器配置：

• 对于在 Windows Server 2008 上运行的 SCEP，请从策略服务器访问以下 URL：

• http://<SCEPServerIP>/certsrv/mscep_admin

注意：使用 URL 中的实际 SCEP 服务器 IP 地址替换 <SCEPServerIP>。对于在 Windows

Server 2003 上运行的 SCEP，请从策略服务器访问以下 URL：

• http://<SCEPServerIP>/certsrv/mscep


22 / 61

注意：使用 URL 中的实际 SCEP 服务器 IP 地址替换 <SCEPServerIP>。

若显示类似于图2-1. 配置验证的网页，则说明您的服务器配置正确：

图 2-1. 配置验证

注意： iOS 移动设备注册后，将能够访问以下 URL：

http://<SCEPServerIP>/certsrv/mscep

iOS 移动设备只需要连接 SCEP 服务器就可进行注册，无需将此连接用于其他用途。

3.3 BlackBerry 支持先决条件

1. BlackBerry 企业服务器

安装 BlackBerry 企业服务器 (BES)。有关 BES 5.x 的更多信息，请参阅以下 URL：

http://us.blackberry.com/apps-software/server/5/.

和

http://docs.blackberry.com

2. BES 用户管理工具

若要在 BlackBerry 设备上使用移动安全，请在主服务器上安装 BES 用户

管理工具。

下载 BES 用户管理工具：

a. 请访问以下 URL：

http://us.blackberry.com/support/downloads/

b. 单击商业软件列表中的 BlackBerry 企业服务器资源工具包，然后阅读网页上的说

明，了解如何从 BlackBerry Enterprise Server Resource Kit v5.0 Service Pack 2 下载

BlackBerry Enterprise Server User Administration Tool v5.0 Service Pack 2。

http://us.blackberry.com/apps-software/server/5/

http://docs.blackberry.com/


23 / 61

3. BlackBerry 移动设备激活

您必须先激活 BlackBerry 移动设备，才能使用移动安全来管理它们。有

关详细信息，请参阅以下 URL：

http://docs.blackberry.com


配置以下端口：

• TCP 端口 3101—— 允许在 TCP 端口 3101 上建立 BES 到 BlackBerry 基础架构

(BBI) 的出站连接。

4. 安装 TMMS 组件

4.1 安装主服务器

在安装主服务器之前，请确保您已安装以下各项：

• Microsoft IIS Web server for OfficeScan server

• 防毒墙网络版服务器版本 10.0/10.5/10.6 和插件管理器 1.0/2.0。

要安装主服务器，请执行以下步骤：

1. 登录到防毒墙网络版 Web 控制台。

2. 单击主菜单中的插件管理器。

3. 单击下载，获得移动安全插件软件包。软件包还包括短信发送器、策略

服务器和移动安全代理的安装文件。

4. 单击确定开始文件下载进程。等待文件下载完成。

http://docs.blackberry.com/


24 / 61

5. 单击立即安装。

6．单击接受，同意最终用户使用授权并启动安装进程。

7. 等待安装完成后，输入激活码，点击下一步:


25 / 61

8. 完成注册后，会显示入门窗口，其将指导您逐步完成初始设置。

9. 数据库设置:

10. 配置用户身份验证设置


26 / 61

注意：移动安全需要 Java 运行时环境 (JRE)，以从主服务器上的应用程序管理模块上传 .apk 文件。安装

主服务器时将自动安装 JRE。但是如果安装主服务器的计算机上已安装 JRE，则安装主服务器时不会安装

JRE。如果现有 JRE 版本低于 1.6，则需要手动卸载 JRE，并安装 1.6 版或更高版本。

4.2 安装策略服务器

注意：开始安装策略服务器之前，请确保计算机上已安装 IIS Web 服务器。利用 IIS Web 服

务器，策略服务器支持 HTTP 和 HTTPS 两种连接类型。

要安装策略服务器，请执行以下步骤：



3. 单击管理 > 策略服务器设置 > 通用设置，然后单击下载链接，将策略服务器软件包下

载到您想要安装策略服务器的计算机上。


27 / 61

双击安装文件，启动安装过程。

5. 遵循窗口上的说明。

6. 选择 IP 地址，并键入策略服务器的服务端口号。策略服务器与主服务进行通信时将使

用此处的 IP 地址和端口号。趋势科技建议您为 IP 地址选择“所有”。


28 / 61

注意：若安装失败，请确保为 Internet 信息服务 (IIS) 安装 ISAPI 扩展程序功

能。另外请确保安装具有管理员权限的策略服务器。

4.3 配置策略服务器

策略服务器与移动设备之间的通信设置：

对于基本安全型号（单服务器安装），策略服务器和主服务器的缺省端口如下：

• HTTP 端口：8080

• HTTPS 端口：4343

对于增强安全型号（双服务器安装），策略服务器的缺省端口如下：

• HTTP 端口：80

• HTTPS 端口：443

策略服务器与主服务器之间的通信设置：

• 使用缺省端口号 8189 进行 SOAP 连接。


29 / 61

4.4 配置 iOS 策略服务器设置

要配置 iOS 策略服务器设置，请执行以下步骤：



3. 单击管理 > 策略服务器设置。

4.在 iOS 设置选项卡上，配置以下各项：

苹果推送通知服务 (APNs) 设置:

• 证书类型:选择您的证书类型。

• 证书:从下拉列表中选择苹果推送通知服务证书，或上传新证书。

客户端概要文件签名凭证：

• 客户端概要文件签名凭证:从下拉列表中选择签名凭证证书，或上传新证书。

单击保存。

4.5 安装短信发送器

短信发送器是一种 Windows Mobile 设备，仅在您希望通过发送短信来从移动安全服务器向

用户推送通知时，才需要安装此程序。

注意：若您不使用短信发送器，也只有远程锁定和远程擦除指令不会被推送到


30 / 61

Windows Mobile 设备。但是，所有其他功能均可正常使用。同时，即使不使用

短信发送器，对于 iOS、Android、BlackBerry 和 Symbian 移动设备，移动安全的所有功

能仍可正常使用。

要安装短信发送器，请执行以下步骤：

1. 在主服务器上，将安装文件从文件夹

\OfficeScan\Addon\MobileSecurity\AgentPackage\SmsSender 复制到支持的 Windows Mobile

设备平台的内存卡。

2. 将内存卡插入到设备。打开安装文件，安装短信发送器。可以在内存卡或电话上安装短

信发送器。

3. 从开始菜单中，打开程序文件夹中的短信发送器安装，配置策略服务器和电话设置。在

短信发送器配置窗口中，请执行以下步骤：

• 键入策略服务器的 DNS 名称或 IP 地址

• 键入服务器的 HTTP 端口号

• 键入用于发送短信通知的电话号码

• 选择短信通知的编码方法

注意：缺省情况下，短信发送器使用 Unicode 对短信进行编码。如果在以 Unicode

形式发送或接收短信时出错，则将编码方法更改为“7 位 GSM” 。

4.6 部署 TMMS 客户端

支持的移动设备和平台

在移动设备上安装和使用移动安全移动安全代理程序（也称为移动安全代理）前，请确

保移动设备满足以下要求。

移动设备的存储卡和内存要求


31 / 61

移动安全代理安装方法

您可以使用以下一种方法，在移动设备上安装移动安全代理：

• 通过短信或电子邮件安装—— 向移动设备发送含有移动安全代理安装 URL 的短信，

或向用户的电子邮件地址发送含有该 URL 的电子邮件。用户需要访问短信或电子

邮件中的 URL，然后向策略服务器注册移动设备。如果您想要发送短信通知，还需

安装短信发送器。

• 通过 We b 浏览器安装—— 在 We b 浏览器中打开以下 URL，以在移动设备上

自动下载和安装移动安全代理：

http://<External_domain_name_or_IP_address:HTTP_port>/officescan/PLS_TMMS_CGI/c

giOsmaProvision.dll

或

https://<External_domain_name_or_IP_

address:HTTPS_port>/officescan/PLS_TMMS_CGI/cgiOsmaProvision.dll

• 内存卡—— 对于 Symbian 或 Windows 平台，从主服务器下载安装文件，并将解

压缩文件复制到内存卡。将内存卡插入到移动设备后，自动安装移动安全代理。

•手动安装 ——需要将安装文件传输到各个移动设备，并运行安装程序。安装完成后，

需要将移动安全代理注册到策略服务器。有关手动安装和注册的详细说明，请参阅第

5-8 页的启动“ 手动安装文件” 或移动设备平台的《用户指南》。


32 / 61

手动安装 TMMS 客户端

打开 TMMS 控制台，点击管理 ->设备注册设置->代理安装.选择” 适用于 Android 2.1

或以上版本的移动安全代理”，然后点击下载安装程序.解压缩安装包后把 APK 文件传至手

机中，再手机上进行安装.

注册设备至 TMMS 服务器

1. 打开手机中的 TMMS 软件，点击”立即注册”

2. 如果设备可以连接 DNS 服务器, 输入 email 地址可以得到服务器信息.

4.7 部署 TMMS 客户端(iOS)


33 / 61

要在 iOS 移动设备上安装配置概要文件，请执行以下步骤：

1. 在 iOS 移动设备上，打开 Safari Web 浏览器，然后进入下列 URL：

http://<External_domain_name_or_IP_address:HTTP_port>/officescan/PLS_TMMS_CGI/cgi

OsmaProvision.dll

或

https://<External_domain_name_or_IP_address:HTTPS_port>/officescan/PLS_TMMS_CGI/

cgiOsmaProvision.dll

注意：如果使用自颁发 SSL 证书，在 IOS 4 设备注意的时候需要先手动取消 HTTPS 加密，

使用 HTTP 的方式注册，注册完成后再启用 HTTPS;原因是 Apple 厂商限制，iOS 4 版本终

端设备不支持自颁发的 SSL 证书。

注意：如果管理员要求进行身份验证，则将显示需要身份验证弹出对话框。键入

您的域帐户（或用户名）和密码，然后点击登录。

2. 在安装配置概要文件窗口上，点击安装，然后在弹出的确认对话框上点击立即安装。

3. 如果移动设备需要密码，则在显示的输入密码窗口键入密码，然后点击完成。显示正在

安装配置概要文件窗口。

4. 点击警告确认窗口上的安装。配置概要文件安装进程开始。进程完成后，显示配置概要

文件已安装窗口。

5. 点击完成。

在 iOS 移动设备上安装 SSL 证书：

注意：因为在此安装示例中我们所使用的 SSL 证书并不是证书提供商处购买公共 SSL 证书，

所以此 SSL 证书并不会被 IOS 设备信任。所以需要使用 iPhone 配置实用程序将根证书导入

IOS 设备.(如果使用的 SSL 证书为证书提供商处购买公共 SSL 证书请跳过这一步)

打开 IIS 管理器，右键点击 Officescan 站点，选择目录安全性，然后点击服务器证书，点击

查看当前证书。在证书路径里点击根证书，再点“查看证书”


34 / 61

在弹出的新证书窗口里选择“详细”-》“保存到文件”


35 / 61

在连接 iphone 的电脑上右击该证书证书，选择“安装证书”，将证书放入“个人”里。

从以下 URL 下载并安装 iPhone 配置实用程序：

http://support.apple.com/downloads/

打开 iphone 配置工具，创建 profile，在 credential 里选择刚刚导入的书。

http://support.apple.com/downloads/


36 / 61

安装创建的 profile。

打开手机浏览器输入安装链接进入安装界面，选择”同意”用户许可协议.

https://<External_domain_name_or_IP_address:HTTPS_port>/officescan/

PLS_TMMS_CGI/cgiOsmaProvision.dll

输入域帐号进行安装验证.

安装 TMMS Profile 文件.


37 / 61

4.8 升级到移动安全 v8.0

可以在所有管理服务器组件上将移动安全从第 7.0/7.1 版升级至第 8.0 版。

注意：若在 64 位操作系统上从第 7.0 版升级至第 8.0 版，请确保升级完成后禁用 IIS

防毒墙网络版应用程序池的 32 位模式。

要禁用防毒墙网络版应用程序池 32 位模式，请执行以下步骤：


38 / 61

1. 打开 IIS 管理控制台并单击左窗格中的应用程序池。

2. 从中间窗格的列表中选择 OfficeScanAppPool 并单击右窗格中的高级设置...

出现高级设置对话框。

3. 在高级设置对话框中，将启用 32 位应用程序设置为假。

4. 重新启动 IIS。

若只为移动安全 7.0 安装了移动安全管理模块 (MSMM)，请执行以下步骤：

1. 为移动安全 8.0 将 MSMM 升级至主服务器：

a. 登录到防毒墙网络版 Web 控制台并单击插件管理器。然后单击趋势科技移动安全的下

载。移动安全从趋势科技服务器上下载安装程序。

b. 单击升级。安装程序自动卸载之前版本的 MSMM 并安装移动安全第 8.0 版主服务器。

2. 安装策略服务器。有关详细步骤，请参阅第 3-5 页的安装策略服务器。

注意：安装策略服务器前必须首先安装主服务器。

3. 配置策略服务器设置。有关详细步骤，请参阅第 4-4 页的配置策略服务器设置。

4. 配置短信发送器。有关详细步骤，请参阅第 3-6 页的安装短信发送器。

若已为移动安全 7.0 安装移动安全管理模块 (MSMM) 和移动安全通信模块(MSCM)，请执

行以下步骤：

1. 为移动安全 8.0 将 MSMM 升级至主服务器：

a. 登录到防毒墙网络版 Web 控制台并单击插件管理器。然后单击趋势科技移动安全的下

载。移动安全从趋势科技服务器上下载安装程序。

b. 单击升级。安装程序自动卸载之前版本的 MSMM 并安装移动安全第 8.0 版主服务器。

2. 卸载 MSCM：

a. 转到开始 > 控制面板 > 程序和功能

b. 从列表中选中移动安全通信管理器程序并单击卸载。

3. 安装策略服务器。有关详细步骤，请参阅第 3-5 页的安装策略服务器。

注意：安装策略服务器前必须首先安装主服务器。

4. 配置策略服务器设置。有关详细步骤，请参阅第 4-4 页的配置策略服务

器设置。

5. 配置短信发送器。有关详细步骤，请参阅第 3-6 页的安装短信发送器。

4.9 删除服务器组件

删除主服务器

趋势科技移动安全可自动或手动删除主服务器：

自动删除主服务器

要自动删除主服务器，请执行以下步骤：


39 / 61



3. 单击卸载，即可删除主服务器。屏幕上的进度条显示卸载的进度。

手动删除主服务器

趋势科技推荐自动卸载，但如果您在自动卸载期间遇到问题，也可以手动

删除主服务器。

要手动删除主服务器，请执行以下步骤：

警告！此过程需要您修改注册表项。若对注册表的更改不正确，可能会引发严

重的系统问题。在对注册表进行任何更改前，请务必保留一份备份副本。

有关详细信息，请参阅“ 注册表编辑器帮助”。

1. 删除注册表中的相关文件夹。

a. 打开注册表编辑器，然后转到以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeS

can\service\AoS

b. 删除文件夹 OSCE_ADDON_TMMS

2. 停止以下 Windows 服务：

• 防毒墙网络版插件管理器

• 移动安全管理服务

• 移动安全监控服务

• 移动安全管理模块 BlackBerry 服务

3. 在硬盘上，转到 ..\Trend Micro\OfficeScan\Addon，删除 Mobile Security 文

件夹。

4. 使用 Windows 命令提示符，通过以下命令删除移动安全相关服务：

• sc delete TMMSMasterService

• sc delete TMMSMonitorService

• sc delete BBMDMService

5. 在硬盘上：

• 转到 ..\Trend Micro\OfficeScan\PCCSRV，删除 OSCE_AOS_COMP_LIST.xml 文件。

• 转到 ..\Trend Micro\OfficeScan\PCCSRV\TEMP，删除 AoS 文件夹

• 转到 ..\Trend Micro\OfficeScan\PCCSRV\Download，删除以下文件：

• OSCE_PLS_TMMS.zip

• OSCE_PLS_TMMS_Install.zip

• server.ini

6. 修改注册表项：

a. 打开注册表编辑器，然后转到以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS

b. 将 OSCE_Addon_Service_CompList_Version 修改为 1.0.1000

7. 在“Windows 服务” 中启动防毒墙网络版插件管理器服务。

删除策略服务器


40 / 61

趋势科技移动安全可直接从 Windows 控制面板中删除策略服务器。

要卸载策略服务器，请执行以下步骤：

1. 在 Windows 控制面板中双击程序和功能。显示卸载或更改程序窗口。

2. 选择趋势科技移动安全策略服务器，然后单击卸载。此时将显示一个

对话框。

3. 在对话框中选择安装完成后自动关闭应用程序并重启，然后单击确定。

4. 遵循窗口上的说明完成卸载过程。


41 / 61

5．附录

A-1 对 SQL Server 使用 Windows 身份验证

趋势科技建议对 SQL Server 使用 SQL Server 身份验证方法，而非 Windows 身份验证。然

而，您也可以为 SQL Server 配置 Windows 身份验证。

要使用 Windows 身份验证，请执行以下步骤：

1. 在 Active Directory 服务器中创建具有访问移动安全数据库权限的域户。

2. 向您在步骤 1 创建的域中添加主服务器和策略服务器。

3. 在主服务器上，打开“Windows 服务”，然后双击防毒墙网络版插件管理器。

4. 在登录选项卡上，选择此帐户：然后键入将访问数据库的帐户名称，并在密码和确认

密码字段中键入密码，然后点击确定。

5. 右击服务列表中的防毒墙网络版插件管理器，然后点击重新启动。

6. 在主服务器上，针对以下服务重复步骤 3 至 5：

• 移动安全管理服务

• 移动安全监控服务

• 移动安全管理模块 BlackBerry 服务

7. 在策略服务器上，针对以下服务重复步骤 3 至 5：

• 移动安全管理模块 IOS 服务

• 移动安全通信模块 (MSCM) 服务器

8. 在防毒墙网络版 Web 控制台配置数据库设置：

a. 登录到防毒墙网络版 Web 控制台。

b. 单击主菜单中的插件管理器。

c. 单击管理 > 数据库设置。

d. 键入数据库服务器 IP 地址和数据库名称，将用户名和密码文本框留空。

e. 单击保存。

A-2 生成和配置苹果推送通知服务证书:

使用 IIS 6.0 在 Windows 2003 Server 中生成和配置苹果推送通知服务证书:

1. 生成证书签名请求:

1) 点击开始 >程序 > 管理工具 > Internet Information Services (IIS) Manager

2) 右键点击 Officescan 站点，并点击”属性”


42 / 61

3）在 Officescan 属性界面，选择目录安全性，点击服务器证书。

4）选择移除当前证书并确认证书被成功移除。

5）再次选择服务器证书，并选择创建一个新证书。


43 / 61

6）为新证书创建一个名字，选择 Bit length 为 2048，并勾选 Selec: cryptographic service

provider (CSP) for this certificate.

7）选择 Microsoft RSA SChannel Cryptographic Provider，点击下一步。


44 / 61

8）输入通用名称，并点击下一步（通用名称为通信服务器 IP 或者主机名）

9）在可识别名属性窗口中，输入以下内容：

• 组织——贵组织/公司的合法注册名称

• 组织部门——组织中您所在的部门名称

• 市/县——贵组织所在的市或县

• 州/省——贵组织所在的州或省

• 国家/地区——贵组织所在的国家或地区


45 / 61

10）选择证书请求文件的保存位置。请牢记文件名和文件的保存位置，完成 CSR 申请.

2. 将 CSR 上传至 Apple 门户并生成苹果推送通知服务证书:

1) 将生成的 CSR 发送至趋势科技。趋势科技将签署 CSR 并将其返回。

2) 将趋势签名后的 CSR 上传至 Apple 推送证书门户:

a. 在 Web 浏览器中导航至以下 URL：

https://identity.apple.com/pushcert/。

b. 输入您的 Apple ID 和密码登录。显示入门页面。

c. 单击创建证书按钮。显示使用条款窗口。

生成和配置苹果推送通知服务证书

d. 单击接受以示同意条款。显示创建新的推送证书窗口。

e. 单击浏览，选择已由趋势科技签名的文件，然后单击上传。等待门户生成苹果推送通

知服务证书 (.pem) 文件。

f. 单击下载以将 .pem 文件保存至计算机，您必须将 .pem 文件扩展名手动更改为 .cer

3. 安装并导出 APNS 证书:

1) 打开 IIS 管理器，右键点击默认站点，选择目录安全性，然后点击服务器证书。

2) 点击下一步。

3) 选择”处理一个挂起的请求并安装证书”，然后点击下一步。


46 / 61

4) 选择你从 Apple 开发门户获得.cer 证书

5) 保持默认设置，并点击下一步。


47 / 61

6) 点击下一步，并完成证书安装。

7) 右键点击默认站点，选择目录安全性，然后点击服务器证书。

8) 选择导出当前证书为 a.pfx 文件

9) 为导出的 pfx 文件设置一个密码：


48 / 61

使用 IIS 7.x 在 Windows 2008 Server 中生成和配置苹果推送通知服务证书:

步骤 1. 生成证书签名请求 (CSR)

1. 转到开始 > 管理工具 > Internet 信息服务 (IIS) 管理器，并选择服务器名称。

2. 双击服务器证书图标。

图 C-2. 访问服务器证书


49 / 61

3. 在右边的“ 处理措施” 窗格中单击创建证书请求。显示请求证书向导。

图 C-3. 启动“ 请求证书” 向导

4. 在可识别名属性窗口中，输入以下内容：

• 通用名称——与您的 Apple 开发者帐户相关的名称

• 组织——贵组织/公司的合法注册名称

• 组织部门——组织中您所在的部门名称

• 市/县——贵组织所在的市或县

• 州/省——贵组织所在的州或省

• 国家/地区——贵组织所在的国家或地区


50 / 61

图 C-4. “ 可识别名属性” 窗口

5. 单击下一步。显示“ 密码服务供应商属性” 窗口。

6. 在密码服务供应商文本框中选择 Microsoft RSA SChannel 密码供应商，在位长文本框中

选择 2048，然后单击下一步。


51 / 61

图 C-5. “ 密码服务供应商属性” 窗口

7. 选择证书请求文件的保存位置。请牢记文件名和文件的保存位置。


52 / 61

图 C-6. “ 文件名” 窗口

8. 单击完成。现在您已创建了一个 CSR 并准备将其上传至您的 Apple 开发门户。

步骤 2. 将 CSR 上传至 Apple 门户并生成苹果推送通知服务证书

有关 Mac OS X 的此过程，请参阅第 C-4 页的步骤 2. 将 CSR 上传至 Apple 门户并生成

苹果推送通知服务证书。

步骤 3. 安装苹果推送通知服务证书

1. 转到开始 > 管理工具 > Internet 信息服务 (IIS) 管理器，并选择服务器名称，然后双击

服务器证书

2. 在右边的处理措施窗格中单击完成证书请求。显示“ 完成证书请求”向导。


53 / 61

图 C-7. 完成证书请求

注意：如果您使用的是 IIS 7.5，则单击完成证书请求可能会显示以下错误消息：

无法建立到受信任根颁发机构的证书链。

如果出现这种情况，请参阅第 C-15 页的为苹果推送通知服务证书安装配置 IIS 7.5 ，了解

解决此问题的过程。

3. 选择从 Apple 开发者门户上下载的 .cer 证书文件，然后在友好名称文本框中键入趋势

科技移动安全企业版 MDM APNs。

注意：如果要从 Mac 工作站生成证书文件，您必须将 .pem 文件扩展名手动更改为 .cer。


54 / 61

提示：友好名称不属于证书本身的一部分，被服务器管理员用来简单地识别证书。

4. 选择确定。证书将安装至服务器。

5. 确认您的 Apple 生产推送服务证书出现在服务器证书列表中。如果您能看到证书，按照

后续步骤导出证书并将其上传到趋势科技移动安全企业版 MDM 服务器。

6. 在服务器证书列表中右击证书，然后单击导出。


55 / 61

图 C-9. 导出证书

7. 选择文件的保存位置，选择一个导出密码，然后单击确定。

C-10. 指定证书的密码

提示：如果只有另存为 .cer 文件的选项，而没有 .pfx 的选项，则说明您未正确导出证书。

确定您选择了正确的文件导出。

注意：请牢记或妥善保存密码。将证书上传至趋势科技移动安全企业版 MDM 服务器时需

要密码。


56 / 61

完成所有这些步骤后，您应获得以下几项内容：

• 苹果推送通知服务证书（.pfx 格式，而非 .cer 格式）

• 导出证书时您设置的密码

现在您可以将您的证书上传至趋势科技移动安全服务器。

为苹果推送通知服务证书安装配置 IIS 7.5

如果您使用的是 IIS 7.5，则将证书上传至 IIS 时可能会失败，并显示以下消息：

无法建立到受信任根颁发机构的证书链。

发生这种情况的原因可能有以下几种：

• 苹果推送通知服务证书由 Apple 根证书颁发机构 (CA) 签名，而非公用 CA 签名。

• IIS 7.5 针对受信任根 CA 执行增强检查。

要为苹果推送通知服务证书安装配置 IIS 7.5，请执行以下步骤：

1. 从以下 URL 下载 Apple 根证书和应用程序集成证书：

http://www.apple.com/certificateauthority/

2. 双击 Apple 根证书，然后在证书窗口上单击安装证书。

3. 在欢迎窗口上，单击下一步。

4. 选择将所有的证书放入下列的存储，然后单击浏览。

5. 在选择证书存储窗口中，选择显示物理存储区，再选择受信任的根证书颁发机构 > 本地

计算机，然后单击确定。

6. 单击证书导入向导窗口中的下一步，然后单击完成。

7. 针对应用程序集成证书重复步骤 2 至 5。但是在步骤 4 中，请选择中级证书颁发机构 >

本地计算机，而非受信任的根证书颁发机构 > 本地计算机。

A-3 生成和配置 SSL 证书:

趋势科技移动安全需要有公认的公共证书颁发机构颁发的专用安全套接层(SSL)

服务器证书，才能使用安全超文本传输协议 (HTTPS) 在移动设备与策略服务器

之间进行安全通信。本附录按步骤详细介绍如何生成专用 SSL 证书以及从公认

的公共证书颁发机构获取公共 SSL 证书，然后将其部署到策略服务器上的

Internet 信息服务 (IIS) 管理器。

使用 IIS 6.0 在 Windows 2003 Server 中生成和配置 SSL 证书详细步骤请参

考以下KB：


A-4 防火墙端口配置:

基本安全型号（单服务器安装）的防火墙端口配置

如果您使用的是基本安全型号，则请为移动安全组件配置以下防火墙端口：



57 / 61


58 / 61

增强安全型号（双服务器安装）的防火墙端口配置

如果您使用的是增强安全型号，则请为移动安全组件配置以下防火墙端口：


59 / 61


60 / 61


61 / 61

Documents

(TMMS) 8.0 趋势科技 - support.trendmicro.com.cnsupport.trendmicro.com.cn/TM-Product/Document/SOP/TMMS/8.0/TMM… · 应用程序推送 可将应用程序安装包或应用程序的

(TMMS) 8.0 趋势科技 - support.trendmicro.com.cnsupport.trendmicro.com.cn/TM-Product/Document/SOP/TMMS/8.0/TMM… · 应用程序推送可将应用程序安装包或应用程序的