国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 Web配置指导(E6111 E6112)-5W101

手册下载

目 录

1 关于本文档

1.1 适用版本分支

1.2 格式约定

2 概述

2.1 操作角色

2.2 权限列表

2.3 登录方式

2.3.1 登录运维审计系统 Web界面

2.3.1.1 使用本地密码登录运维审计系统

2.3.1.2 使用其他方式登录运维审计系统

2.3.2 登录运维审计系统的Console

2.3.2.1 通过串口登录Console

2.3.2.2 通过SSH远程登录Console

2.3.3 通过RDP登录运维审计系统

2.3.4 通过SSH登录运维审计系统

2.4 安装安全证书

2.5 安装AccessClient

2.6 获取帮助

2.6.1 获取软件版本信息

2.6.2 管理软件包和用户手册

2.6.2.1 管理用户手册

2.6.2.2 管理软件包

3 用户管理

3.1 配置用户(手工创建)

3.2 配置用户(批量导入)

3.3 配置用户(LDAP导入)

3.4 修改用户属性

3.4.1 修改单个用户的属性

3.4.2 批量修改多个用户的属性

3.5 查看用户

3.6 配置用户组

4 资产管理

4.1 资产类型

4.2 资产属性

4.3 资产创建方式

4.4 配置资产

4.4.1 配置资产(手工创建)

4.4.1.1 配置主机和网络资产

4.4.1.2 配置数据库资产

4.4.1.3 配置应用系统资产

4.4.2 配置资产(批量导入)

4.4.2.1 导入主机和网络资产

4.4.2.2 导入数据库资产

4.4.2.3 导入应用系统资产

4.4.3 配置资产的访问协议

4.4.3.1 批量配置访问协议

4.4.3.2 逐条配置访问协议

4.4.4 配置资产的帐号和密码

4.4.4.1 批量导入帐号和密码

4.4.4.2 手工配置帐号和密码

4.4.5 配置资产组

4.4.6 查看资产

4.4.7 查看动态视图

4.5 配置视图的层级

4.6 配置Windows域

4.7 配置密钥

4.7.1 生成新密钥

4.7.2 粘贴已有密钥

4.8 配置等价资产

4.9 配置等价帐号

4.10 配置资产适配

4.11 客户端代填兼容性列表

5 权限管理

5.1 权限配置目的

5.2 权限配置四要素

5.3 扩展的访问权限

5.4 配置权限方法

5.5 配置权限

5.5.1 配置动态权限

5.5.2 配置变更单

5.5.3 配置规则模板

5.6 查看权限

5.6.1 按用户查看权限

5.6.2 按资产查看权限

5.7 配置高危操作

5.7.1 复核高危操作

5.7.1.1 复核会话

5.7.1.2 复核命令(离线)

5.7.1.3 复核命令(在线)

5.7.2 查看已复核操作

5.7.3 配置会话复核

5.7.4 配置高危命令

5.7.5 配置命令模板

6 资产访问

6.1 查找资产

6.1.1 直接查找

6.1.2 在最近访问中查找

6.1.3 添加收藏并访问收藏

6.2 建立会话

6.2.1 通过Web界面建立会话

6.2.2 通过Mstsc客户端建立图形会话

6.2.2.1 RDP直连

6.2.2.2 RDP透传

6.2.3 通过Telnet/SSH客户端建立字符会话

6.3 共享会话

6.3.1 发起共享

6.3.2 加入共享

6.4 传输文件

6.4.1 通过Web界面文件传输界面传输文件

6.4.1.1 传输文件

6.4.1.2 管理文件

6.4.2 通过Web界面建立SFTP会话传输文件

6.4.3 通过SFTP工具直连目标资产传输文件

6.4.4 在字符终端中通过SFTP传输文件

6.4.5 在字符会话中通过ZMODEM传输文件

6.4.6 在RDP图形会话中通过剪贴板传输文件

6.4.7 在RDP图形会话中通过磁盘映射传输文件

6.5 执行高危操作

6.6 客户端兼容性列表

7 审计

7.1 查看审计概览与统计

7.1.1 查看审计数据概览

7.1.2 查看会话情况统计

7.1.2.1 本周TOP用户会话数

7.1.2.2 本周TOP资产会话数

7.1.2.3 在线会话

7.1.2.4 会话文件大小

7.2 检索问题

7.3 查看审计结果(操作类)

7.3.1 审计在线会话

7.3.2 审计字符会话

7.3.3 审计图形会话

7.3.4 审计数据库会话

7.3.5 审计文件传输

7.4 查看审计结果(事件类)

7.4.1 审计登录日志

7.4.2 审计配置日志

7.4.3 查看审计记录

7.5 播放会话录屏

7.5.1 在JAVA窗口中播放会话录屏

7.5.2 在浏览器中播放会话录屏

7.6 数据库审计兼容性列表

8 报表

8.1 配置报表

8.2 查看历史报表

8.3 配置报表模板

9 自动化

9.1 配置脚本任务

9.2 查看脚本任务执行历史和结果

10 工单

10.1 新建资产权限申请工单

10.2 新建密码申请工单

10.3 审批待办工单

10.4 查看已办工单

10.5 配置审批模板

11 帐号改密

11.1 管理帐号资产

11.1.1 设置帐号属性

11.1.2 管理选定帐号密码

11.1.3 查看选定帐号日志

11.1.4 批量更新帐号

11.1.5 批量导出帐号

11.2 帐号维护

11.2.1 配置改密计划

11.2.2 配置密码备份

11.3 日志报表

11.3.1 查看历史密码

11.4 系统设置

11.4.1 配置密码规则

11.4.1.1 配置改密规则(随机生成不同密码)

11.4.1.2 配置改密规则(随机生成相同密码)

11.4.1.3 配置改密规则(手工指定密码)

11.4.1.4 配置改密规则(密码集)

11.4.2 配置改密方法

12 个人帐号相关设置

12.1 修改个人设置

12.1.1 设置基本信息

12.1.2 修改密码

12.1.3 设置操作员默认展示页面

12.2 配置信息加密

12.2.1 配置ZIP文件密码

12.2.2 配置PGP公钥

12.3 修改会话配置

12.3.1 修改字符会话配置

12.3.2 修改图形会话配置

12.3.3 修改文件传输配置

12.4 配置密钥

12.5 查看访问记录

13 系统设置

13.1 系统

13.1.1 基本设置:配置网络参数

13.1.1.1 配置系统IP地址

13.1.1.2 配置静态路由

13.1.2 基本设置:配置系统时间

13.1.2.1 查询系统当前时间

13.1.2.2 手工配置系统时间

13.1.2.3 配置NTP服务

13.1.3 基本设置:配置邮件服务

13.1.4 基本设置:配置文件服务

13.1.5 基本设置:配置告警事件

13.1.5.1 配置Syslog告警

13.1.5.2 配置邮件告警

13.1.6 基本设置:配置短信网关和发送通知短信的功能

13.1.7 基本设置:备份系统配置

13.1.7.1 手动备份

13.1.7.2 定期备份

13.1.7.3 导入配置

13.1.8 基本设置:修改服务端口

13.1.9 基本设置:配置其他系统基本参数

13.1.9.1 配置管理员联系方式

13.1.9.2 配置操作员默认首页

13.1.9.3 配置SNMP

13.1.9.4 配置HTTP Host 头攻击防护

13.1.10 配置部门

13.1.11 配置HA

13.1.12 配置集群

13.1.12.1 新增节点

13.1.12.2 删除节点

13.1.13 配置授权文件

13.1.14 升级系统和安装补丁

13.1.15 查看系统状态

13.1.16 配置安全证书

13.1.16.1 使用运维审计系统自签名安全证书

13.1.16.2 使用用户自己的安全证书

13.1.17 定期任务:配置LDAP用户同步

13.1.18 定期任务:配置审计数据备份

13.1.18.1 配置定期备份

13.1.18.2 执行手动备份

13.1.19 定期任务:配置审计数据清理

13.1.20 配置问题诊断

13.2 用户

13.2.1 登录认证:配置本地密码参数

13.2.2 登录认证:配置AD认证

13.2.3 登录认证:配置LDAP认证

13.2.4 登录认证:配置RADIUS认证

13.2.5 登录认证:配置动态令牌认证(TOTP)

13.2.6 登录认证:配置手机令牌认证

13.2.7 登录认证:配置短信认证

13.2.8 登录认证:配置双因子认证

13.2.9 登录认证:配置X.509证书认证

13.2.10 登录认证:配置USB Key认证

13.2.11 登录认证:配置登录安全

13.2.12 配置用户角色权限

13.2.13 配置用户属性

13.2.14 配置全局用户登录控制

13.3 资产

13.3.1 配置资产类型

13.3.1.1 配置通过运维审计系统直接访问的资产类型

13.3.1.2 配置通过应用发布服务器访问的资产类型

13.3.2 配置资产属性

13.3.3 访问设置

13.3.3.1 配置字符终端参数

13.3.3.2 配置图形会话参数

13.3.3.3 配置文件传输参数

13.3.3.4 配置访问通用参数

13.3.3.5 配置负载限制

13.3.4 远程客户端

13.3.4.1 应用发布服务器

13.3.4.2 远程客户端

13.3.4.3 配置应用发布服务器

13.3.4.4 配置远程客户端

13.3.4.5 配置CS代填脚本

14 Console控制台

14.1 拆除HA

14.2 配置网络参数

14.2.1 修改网口信息

14.2.2 修改路由配置

14.2.3 查看/修改网口状态

14.2.4 配置网口绑定

14.2.5 配置默认网关

14.2.6 配置IPv6默认网关

14.2.7 配置主机名信息

14.3 配置集群和NTP服务器

14.4 配置SSHD端口状态

14.5 配置Host头防护(Nginx Management)

14.6 配置访问控制(ACL Management)

14.7 使用H3C工具

14.7.1 安装标准升级包和补丁包

14.7.2 安装其他特殊补丁包

14.7.3 恢复出厂设置

14.8 重置admin用户

14.9 使用系统工具

1 关于本文档

本文档详细介绍运维审计系统的各种功能特性,内容包括运维审计系统的特性介绍和操作指导。

本文档适用于运维审计系统的管理员和操作员等多种用户角色,请根据自己的操作角色,参考权限列表,阅读相应的指导,或者在实际操作中有疑问时查阅本文档。

1.1 适用版本分支

与本文档相对应的产品和版本如下表所示。

产品名称 适用版本分支
H3C SecPath A2000-G[AK][V]系列运维审计系统 E6112

1.2 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

2 概述

2.1 操作角色

运维审计系统为了解决用户身份识别问题,为每一个用户创建一个身份认证帐号,用于平台身份鉴别,并借助访问权限将平台身份帐号与相应资产中系统帐号一一关联,实现用户操作与其身份相关联。

运维审计系统中每一个创建的帐号,都需要设置为以下几种角色之一。不同的角色拥有不同的管理和访问权限。

帐号角色 角色描述
超级管理员 运维审计系统最高权限角色,除了具备配置管理员、审计管理员等其他角色的权限,还可做基础设置和全局属性配置。
配置管理员 运维审计系统的配置管理角色,可以配置用户、资产、访问权限。
审计管理员 运维审计系统中的审计角色,拥有所管理的审计系统中所有的会话和事件的权限。
自动化管理员 运维审计系统中的自动化管理角色。
操作员 运维审计系统中对各种资产和设备进行实际操作的角色,即普通用户。
Note:
  • 自动化管理员为一些特殊场景的下的角色,一般不需要配置该类型的用户帐号。
  • 此处列出的是系统默认的用户类型。用户也可以根据自己的需要,添加自定义的角色类型,并设置其拥有的权限。

2.2 权限列表

由于不同的角色类型对应不同的操作权限,因此本文档所列出的各种操作,只能由拥有权限的部分角色执行。

请不同用户根据自己的角色类型,查阅下面的权限列表,查找到当前用户角色所允许的操作有哪些,并查看这些操作所对应的操作指导:

操作 超级管理员 配置管理员 审计管理员 自动化管理员 操作员
管理 用户管理 × × ×
资产管理 × ×
权限管理 × × ×
访问 资产访问 ×
文件传输 ×
高危操作 × ×
审计 × × ×
报表 × ×
自动化 × ×
工单
帐号改密 × × ×
个人设置
系统配置 × × × ×
Note:

“√”表示拥有该项操作的权限;“×”表示没有该项操作的权限。

2.3 登录方式

运维审计系统支持Web界面、Console控制台、RDP登录、SSH登录四种登录方式。管理员和普通用户可以通过Web方式完成大部分的日常操作;如果少数管理操作无法在Web界面完成,超级管理员还可以登录管理后台进行操作;普通用户如果需要快速运维Windows资产可以使用RDP登录;普通用户如果需要快速访问允许通过ssh或者telnet访问的资产可以使用SSH登录。

2.3.1 登录运维审计系统 Web界面

Web界面是运维审计系统最主要的访问入口,管理员、操作员、审计员都需要登录Web界面,并完成在运维审计系统的各项操作。

服务端要求

  • 已完成运维审计系统的安装与配置。
  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 运维审计系统已上电,且各项服务的状态正常。
  • 使用非本地密码方式登录时,已根据用到的登录方式完成了AD/LDAP服务器、RADIUS服务器、动态令牌、短信网关或手机令牌的相关配置。

客户端环境要求

本地PC客户端环境必须具备下列基本要求,才能够按照本文档的指引完成各项操作任务。本文以Windows 10和Google Chrome浏览器为例进行介绍。

项目 要求
操作系统
  • Windows XP SP3及以上版本
  • MAC OS。建议更新到最新版本
浏览器
  • Microsoft Internet Explorer 11.0及以上版本
  • Mozilla Firefox 50及以上版本
  • Google Chrome 49及以上版本
显示器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
Note:
  • 如果需要在IE早期版本(6/7/8/9)中使用,可以单击右上角的用户帐号,选择帮助 > 浏览器支持 > IE 6/7/8/9,下载并安装IE浏览器插件,但该版本的IE的兼容性无法完全保障。
  • 如果使用Windows XP/Windows 7,可以单击右上角的用户帐号,选择帮助 > 浏览器支持 > Chrome离线下载,下载并安装相应版本的Chrome。

2.3.1.1 使用本地密码登录运维审计系统

  1. 请在浏览器中输入运维审计系统的地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 登录时如出现以下界面 ,请选择继续前往(例如Chrome浏览器请单击高级 > 继续前往****),或者为Web界面安装安全证书并重新登录。


  2. 输入帐号密码,单击登录
    Note: 首次登录请使用超级管理员的缺省用户名admin,密码为admin,后续登录请使用管理员分配好的用户名和密码。
  3. 进入运维审计系统的Web配置页面。
    Note:
    • 在任一界面单击左上角的H3C,可以回到首页。
    • 在任一界面单击上方的工作台,可以切换到不同的服务项。
    • 单击右上角的用户帐号名称(例如admin),可以打开系统设置菜单。

2.3.1.2 使用其他方式登录运维审计系统

使用其他方式登录的方法和使用本地密码登录的步骤基本相同,只是在输入密码时会有一些区别。

此处仅就使用其他方式登录时的密码输入方式进行说明:

  • 使用AD/LDAP方式登录:输入的用户名是Web界面上定义的的用户名,但密码是AD/LDAP服务器上关联用户对应的密码。如在AD/LDAP服务器上设置了下次登录时修改密码,则直接通过Web界面登录会失败,请先在AD/LDAP服务器上完成密码的重设。
  • 使用RADIUS方式登录:输入的用户名是Web界面上定义的的用户名,但密码是RADIUS服务器上关联用户对应的密码。
  • 使用动态令牌方式登录:输入的密码是一个拼接起来的字符串,前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。
  • 使用手机令牌方式登录:手机令牌只能作为双因子认证中的第二重认证方式。

    1. 根据启用的双因子认证的第一重认证方式,输入第一重认证的密码,并单击登录
    2. 第一次登录时,界面上会弹出提示,要求使用客户端扫码绑定。在手机上安装Google Authenticator或Free OTP,并使用扫码绑定手动输入的方式进行绑定。绑定完成之后单击完成绑定

    3. 打开手机上安装的Google Authenticator或Free OTP,使用绑定的生成器生成一个动态密码,在密码时效内输入到两步认证密码对话框中,并单击提交

      Note: 第一次登录时如在客户端上已完成绑定,但在界面上未绑定成功,第二次登录仍会提示要求绑定。请先在手机上删除已绑定的生成器,并重新绑定。如未删除旧的绑定就重新进行绑定,则手机上的绑定将不会更新,后续生成的密码将始终无效且无法再重新绑定,此时请联系配置管理员重置密码。
  • 使用短信认证方式登录:短信认证只能作为双因子认证中的第二重认证方式。
    1. 根据启用的双因子认证的第一重认证方式,输入第一重认证的密码,并单击登录
    2. 输入绑定的手机上收到的短信验证码,并单击提交。如未收到短信,120秒后单击重新发送验证码按钮重新发送。

      Note: 如在完成第一重认证之后就提示短信发送失败,说明短信网关配置有误。
  • 使用USBKey认证方式登录:需要先安装USB Key设备内的et199auto.exe控件,并安装帮助菜单中下载的ET199Plugin.exe插件。完成安装后,在IE11浏览器中访问,输入第一重验证的密码(无第一重验证则密码为空),并在弹出的菜单中输入USB Key的密码,完成验证。

  • 使用双因子认证方式登录:双因子认证是将以上的的各种登录方式的其中两种组合在一起完成验证。

    在登录界面的密码输入框中输入第一重认证的密码,单击登录认证成功后,会弹出两步认证密码输入框,继续输入第二重认证的密码并单击提交完成认证。

2.3.2 登录运维审计系统的Console

Console控制台支持通过多种方式使用root帐号登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。

登录Console,如使用SSH或串口登录,需要提前准备Xshell、SecureCRT等支持SSH协议或串口登录的工具。

如使用SSH远程登录,还需要满足以下前提条件:

  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 运维审计系统的TCP/8022端口可用,未受到防火墙限制。
  • 运维审计系统默认禁用通过SSH登录Console控制台,登录前已在Web界面的系统设置 > 系统 > 系统状态中设置sshd外部访问参数为开启
  • 已获取用于登录运维审计系统的私钥。私钥文件名为“RSA-****-openssh”,其中“****”为时间戳。如未获取请联系新华三技术支持获取。
运维审计系统的Console支持以下登录方式:
  • SSH远程登录
  • 串口登录
  • 显示器直连
其中,显示器直连,请准备一台支持VGA接口的显示器、VGA连接线、键盘,将显示器和键盘直接连接到设备上登录进行操作,并使用帐号“root”,默认密码admin,登录到Console控制台。

本文主要介绍如何通过串口登录和SSH远程登录的方式访问Console。

2.3.2.1 通过串口登录Console

本文以Xshell为例介绍串口登录步骤,SecureCRT和Putty的配置与Xshell基本相同。
  1. 将本地PC和运维审计系统通过串口线相连。
  2. 在Xshell主界面,选择文件 > 新建,新建一个连接。
  3. 协议设置为SERIAL


  4. 在左侧选择SERIAL,设置串口属性。
    使用Xshell时,全部使用以下默认值即可。
    • Port:COM
    • Baud rate:9600
    • Data bits:8
    • Stop bits:1
    • Parity:None
    • Flow Control:None


  5. 单击连接,显示控制台菜单,可以执行菜单相关选项进行控制台管理。

2.3.2.2 通过SSH远程登录Console

本文以Xshell为例介绍登录步骤,SecureCRT的配置与Xshell基本相同。
  1. 在Xshell主界面,选择文件 > 新建,新建一个SSH连接。
  2. 连接菜单设置会话以下属性:
    • 名称:用户自定义的连接名称
    • 协议:SSH
    • 主机运维审计系统的IP地址
    • 端口号:8022
  3. 连接 > 用户身份验证菜单,配置以下属性:
    • 方法:Public Key
    • 用户名:root
    • 用户密钥:选择已获取的用于登录的私钥
    • 密码:默认为空
  4. 单击连接,连接成功后显示下列菜单,可以执行菜单相关选项进行控制台管理。
登录到Console之后,可以执行菜单选项进行控制台管理,或者输入q并按回车退出登录。

2.3.3 通过RDP登录运维审计系统

操作员可以通过RDP的方式登录到运维审计系统,从而直接打开图形会话对设备进行操作。

前提条件如下:
  • 已完成运维审计系统的安装与配置。
  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 本地PC支持RDP服务。
  • 已在Web界面上完成了相应用户、资产、权限的配置。

RDP登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持RDP访问的资产/设备。

使用USB Key认证的用户不能通过该方式登录运维审计系统

本文以装有Windows系统的本地PC为例进行介绍。

  1. 在Windows系统的运行或搜索框中输入mstsc,打开远程桌面连接
  2. 计算机输入运维审计系统的IP地址,用户名输入操作员在运维审计系统上帐号名称,并单击连接
  3. 在弹出的Windows安全性对话框中,输入当前操作员在运维审计系统上的密码,并单击确定
    Note:
    • 如未弹出该对话框或认证失败,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定
    • 使用其他认证方式时,密码的输入和Web界面类似,请参考使用其他方式登录运维审计系统输入密码并完成登录。其中手机令牌登录,由于首次登录需要扫码绑定,请先在Web页面登录并完成绑定之后再通过RDP登录。
  4. 成功连接到运维审计系统之后,会显示所有可以通过RDP连接的设备,选中一台待连接的设备后,双击连接到该设备。
    Note: 如配置了HA或者集群,则连接时可以通过虚IP或主机的IP连接,无法通过备机的IP连接。

2.3.4 通过SSH登录运维审计系统

操作员可以通过SSH的方式登录到运维审计系统交互终端,从而直接建立Telnet/SSH字符会话对设备进行操作。

  • 已完成运维审计系统的安装与配置。
  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 运维审计系统的TCP/22(SSH)端口可用,未受到防火墙限制。
  • 本地PC已安装了Xshell、SecureCRT或Putty等支持SSH协议的远程连接工具。
  • 配置管理员已在Web界面上完成了相应用户、资产、权限的配置。

通过SSH登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持SSH访问的资产/设备。

使用USB Key认证的用户不能通过该方式登录运维审计系统

本文以Xshell为例介绍登录步骤,SecureCRT、Putty的配置与Xshell基本相同。

  1. 在Xshell主界面,选择文件 > 新建,新建一个SSH连接。
  2. 连接菜单设置会话以下属性:
    • 名称:用户自定义的连接名称
    • 协议:SSH
    • 主机运维审计系统的IP地址
    • 端口号:22
  3. 连接 > 用户身份验证菜单,配置以下属性:
    • 方法
      • 当不使用双因子认证和密钥认证时,选择Password
      • 当使用双因子认证时,选择Keyboard Interactive
      • 当使用密钥认证时,选择Public Key
    • 用户名:待登入的操作员的用户名,需要先在Web界面中进行配置,如admin。
    • 密码:在Web界面配置的该用户的登录密码。如使用双因子认证,则输入双因子认证中的第一重认证的密码。如使用密钥认证,则输入用户密钥对应的密码,用户密钥没有密码则不填写。
    • 用户密钥:仅当使用密钥认证时配置,从而不输入密码登录到运维审计系统交互终端。在下拉菜单中选择,或单击浏览选择已添加到运维审计系统 Web界面中的公钥对应的私钥。该密钥对必须已预先通过配置密钥完成添加。
  4. 单击连接,连接成功后显示下列菜单,可以选择要访问的资产,并通过SSH/Telnet连接到该资产。
    Note:
    • 如登录帐号使用双因子认证,当第一重认证成功后,会显示2nd Password:,请参考使用其他方式登录运维审计系统输入密码并完成登录。
    • 如登录帐号设置了使用手机令牌登录后,然后直接通过SSH登录会失败,请先通过Web界面登录并绑定手机令牌。
    • 如登录帐号在Web界面上设置了下次登录时必须修改密码后,然后直接通过SSH登录,登录完成后会提示在Web界面修改密码并退出,请先通过Web界面登录并重设密码。
    • 如登录帐号在AD/LDAP服务器上设置了下次登录时修改密码,然后直接通过SSH登录会失败,请先在AD/LDAP服务器上完成密码的重设。
    • 如登录成功后,界面显示为乱码,请在Xshell的会话属性中,选择终端,修改编码类型,和Web界面的系统设置 > 访问设置 > 字符终端 > 终端字符编码中的编码类型保持一致。该设置只有超级管理员能够查看并修改,其他用户请联系超级管理员获取。
    • 退出登录,在资产分类列表界面,输入q并按回车。如在子菜单中请按先回车键返回资产分类列表界面。
通过SSH登录运维审计系统后,请参考通过Telnet/SSH客户端建立字符会话,访问相关资产。

2.4 安装安全证书

访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。

管理员已制作运维审计系统的安全证书,具体请参见配置安全证书
  1. 单击地址栏中的证书错误,然后单击查看证书


  2. 单击导出到文件,将证书保存在本地PC。
  3. 双击证书文件名,单击打开
  4. 单击安装证书
  5. 选择存储位置,单击下一步
  6. 选中将所有的证书都放入下列存储,单击浏览,选择受信任的根证书颁发机构,单击确定
  7. 单击下一步,然后单击完成
  8. 查看安全警告信息,单击,提示导入成功,单击确定
  9. 重启浏览器,访问运维审计系统的Web界面,不再提示证书错误。

2.5 安装AccessClient

在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开会话。如本地PC未安装AccessClient,进入访问资产菜单后,浏览器上方也会提示安装AccessClient,也可根据该提示下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。

  1. 登录运维审计系统 Web界面
  2. 单击右上角单击帐号名称,在下拉菜单中选择帮助
  3. AccessClient > 下载页面,单击下载,将AccessClient.exe下载到本地。
  4. 双击运行AccessClient.exe,并单击Install进行安装。

2.6 获取帮助

运维审计系统的Web界面提供了帮助页面,包括查看软件版本、管理软件包和用户手册等。

2.6.1 获取软件版本信息

运维审计系统的Web界面可以获取软件版本号和各组件的版本信息。

  1. 单击右上角用户帐号(例如admin),选择帮助
  2. 选择关于 > 软件信息
  3. 软件版本中查看系统软件的版本。

2.6.2 管理软件包和用户手册

超级管理员和自定义角色中包含系统设置权限的用户可以上传用户手册和软件包,也可以删除过时或者错误的内容;所有用户可以下载用户手册和软件包。

2.6.2.1 管理用户手册

  1. 单击右上角用户帐号(例如admin),选择帮助
  2. 选择关于 > 软件信息
  3. 用户手册中管理用户手册。
    • 超级管理员和自定义角色中包含系统设置权限的用户:
      • 单击上传,从本地PC选择用户手册上传到运维审计系统

        表2.1 用户手册上传要求说明表
        项目 描述
        大小 每个文件不超过100MB。
        格式
        • pdf
        • word:包括doc、docx、docm、dot、dotm、dotx
        文件名 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。
        Note: 如果还有其他文件需要上传,请重复执行本步骤。
      • 单击某个用户手册对应的删除,删除该手册。

    • 所有用户:

      单击某个用户手册对应的下载,下载该手册。

2.6.2.2 管理软件包

  1. 单击右上角用户帐号(例如admin),选择帮助
  2. 选择其他应用 > 下载
  3. 下载用户软件包中管理软件包。
    • 超级管理员和自定义角色中包含系统设置权限的用户:
      • 单击上传,从本地PC选择软件包上传到运维审计系统

        表2.2 软件包上传要求说明表
        项目 描述
        大小 每个文件不超过500MB。
        文件名 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。
        Note: 如果还有其他文件需要上传,请重复执行本步骤。
      • 单击某个软件包对应的删除,删除该软件包。

    • 所有用户:

      单击某个软件包对应的下载,下载该软件包。

3 用户管理

用户是指运维审计系统的使用者,包含帐号、角色、身份验证方式等多种属性。运维审计系统支持多种用户配置方式。

按照权限范围的大小,运维审计系统将用户划分为多种不同的角色。运维审计系统缺省提供的用户角色如下,运维审计系统支持自定义新的用户角色。

  • 超级管理员:系统中的最高权限角色,拥有其他所有角色的权限之和。另外,系统的基础功能、全局参数等也只有超级管理员角色有配置权限。
  • 配置管理员:系统中的配置管理权限,该角色能够配置用户、资产和资产访问权限。
  • 审计管理员:系统中的审计权限,该角色能够查看操作审计和事件审计结果。
  • 自动化管理员:系统中的自动化管理权限。
  • 操作员:系统中的操作权限,该角色能够访问主机、网络设备等资产。

运维审计系统缺省提供了一个超级管理员角色的用户admin(缺省密码也是admin),请再根据实际情况创建不同角色的用户。

创建用户时,运维审计系统缺省提供的预定义用户属性如表3.1 预定义用户属性所示。如果运维审计系统预定义用户属性不满足需求,可以自定义用户属性。

表3.1 预定义用户属性
属性 说明
帐号 用户的帐号,用来唯一标识用户。
姓名 用户的姓名,用户登录Web界面后,姓名会显示在Web界面的右上角。
身份验证 用户的身份验证方式。运维审计系统缺省支持的是本地密码,即用户身份验证功能由运维审计系统完成。如果已部署了AD、LDAP、RADIUS等认证服务器,运维审计系统支持与这些第三方认证服务器对接完成身份验证。除此之外,运维审计系统还支持手机令牌、双因子认证和X.509证书认证。
手机号码 用户的手机号码。
工作邮箱 用户的工作邮箱,用来接收密码、改密通知等各种信息。
用户组 用户所属的用户组。用户组是用户的一种组织形式,相同权限的用户可以划分到同一个分组。配置用户的权限时就能够以用户组为单位而不是用户,可有效减轻配置负担。
部门 用户所属的部门。
状态 用户的状态,包括活动禁用,缺省为活动
帐号有效期 用户帐号的有效期。帐号过期后,用户登录运维审计系统会提示帐号状态异常。
密码有效期 用户密码的有效期。密码过期后,用户必须修改密码才能重新登录。
用户登录控制 允许或者禁止用户登录的时间和IP地址范围。
备注 用户的备注信息。

运维审计系统支持多种用户创建方式:

  1. 手工创建

    使用手工方式逐一创建用户。

  2. 批量导入

    对于本地用户和RADIUS用户,建议使用批量导入的方式快速在运维审计系统上创建大量用户。

  3. LDAP导入

    对于AD用户和LDAP用户,请使用LDAP导入功能将用户导入到运维审计系统。另外,运维审计系统还支持LDAP用户定期同步和新用户自动加入。

对于用户组,支持手工创建和批量导入两种创建方式。在批量导入用户中设置好用户组,创建用户的同时也创建了用户组。

3.1 配置用户(手工创建)

运维审计系统的Web界面上手工设置用户属性,逐个创建用户。

  1. 选择用户 > 用户管理 > 用户列表
  2. 单击新建用户,选择用户角色,单击下一步

    超级管理员可以创建所有角色的用户,配置管理员可以创建操作员角色的用户。

  3. 配置帐号姓名身份验证Web登录是否验证X.509证书
    参数 说明
    帐号 用户的帐号。字符串格式,长度范围是1~100个字符,不能包含"+"、":"、"/"、空格和中文字符。
    姓名 用户的姓名。字符串格式,长度范围是1~100个字符。
    身份验证

    用户的身份验证方式,缺省值为本地密码

    如果要修改本地密码的最小长度、复杂程度等参数时,请参见登录认证:配置本地密码参数

    Web登录是否验证X.509证书 配置X.509证书认证后,新建/修改用户时就可以选择是否验证X.509证书。
  4. 根据不同的身份验证方式,选择设置相应的参数。
    • 本地密码或者包含本地密码的双因子身份验证方式:
      参数 说明
      密码类型 设置本地密码的方式,包括:
      • 手工输入:由管理员手工输入密码。
      • 自动设置:由运维审计系统自动生成密码。

        自动生成的密码会以邮件的方式发送给用户,请正确配置用户的工作邮箱(见下一步)和配置邮件服务

      本地密码的最小长度、复杂度、有效期限等配置请参见登录认证:配置本地密码参数

      下次登录时必须修改密码 如果选中,用户首次登录时需要修改密码。缺省为选中。
    • RADIUS和AD/LDAP等第三方服务器身份验证方式:

      以RADIUS为例,如果上一步配置的帐号与RADIUS服务器上的用户名相同,可以不配置RADIUS用户名运维审计系统缺省以上一步配置的帐号登录RADIUS服务器;如果帐号和RADIUS用户名不同,请在RADIUS用户名输入RADIUS服务器上的用户名,这样就建立起运维审计系统帐号和RADIUS服务器用户名之间的关联关系。用户使用运维审计系统帐号登录后自动使用关联的RADIUS用户名登录RADIUS服务器。

      AD/LADP服务器的LDAP用户名情况与RADIUS相同。

    • 动态令牌或者包含动态令牌的双因子身份验证方式:
      参数 说明
      令牌号

      请选择运维审计系统已添加的动态令牌。如何配置动态令牌请参见配置动态令牌

      一个令牌只能和一个用户关联。令牌被用户关联后不能被删除。

      PIN1/确认PIN1

      用户自己登录运维审计系统使用PIN1码+动态密码

      PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数

      PIN2/确认PIN2 在会话复核中,包含动态令牌身份验证的用户作为复核人,当操作用户发起会话时,复核人和操作用户都会收到通知消息。如果复核人不方便执行复核操作,可以将PIN2码+动态密码告诉操作用户。操作用户打开通知消息,输入PIN2码+动态密码即可完成复核。具体请参见执行高危操作
      下次登录时必须修改PIN1码 如果选中,用户首次登录时需要修改PIN1码。
      Note: 使用动态令牌认证时,输入的密码是一个拼接起来的字符串,前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。
  5. 设置其他参数。
    参数 说明
    手机号码 用户的手机号码。
    工作邮箱 用户的邮箱地址,长度范围是1~64个字符。
    用户组 用户所属的分组。用户组的具体配置请参见配置用户组
    部门 用户所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
  6. 如果配置了自定义用户属性,请先单击下一步设置各参数,然后单击创建;如果没有配置自定义用户属性,直接单击创建
用户配置完成后,您可以继续执行以下操作:
  • 如果需要修改用户的状态、帐号有效期、密码有效期等高级属性,请参见修改用户属性
  • 如果要删除用户,请单击用户对应的编辑,然后单击删除。如果需要批量删除用户,请勾选所有待删除的用户后,单击批量删除
  • 如果要导出用户,请单击导出全部来导出全部用户,或者选中用户的复选框后单击导出选中

3.2 配置用户(批量导入)

运维审计系统支持从Excel文件中批量导入用户。导入运维审计系统的用户缺省角色是操作员,状态是活动。

  1. 选择用户 > 用户管理 > 用户列表
  2. 单击批量导入,请先选择身份验证方式,然后设置各参数,完成后单击下一步
    • 本地密码或者包含本地密码的双因子身份验证方式:

      参数 说明
      Web登录是否验证X.509证书 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。
      设置密码
      • 不选中设置密码,则运维审计系统自动生成的缺省密码是123456,用户第一次登录时需要修改密码。
      • 选中设置密码,选择以下方法之一来设置密码,用户第一次登录时需要修改密码。
        • 手工输入:由管理员手工输入密码。
        • 自动设置:由运维审计系统自动生成密码。

          自动生成的密码会以邮件的方式发送给用户,请正确配置用户的工作邮箱和基本设置:配置邮件服务

      密码有效期

      密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置

      密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数

      帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
      • 长期有效
      • 指定日期有效(精确到时/分)

      如果选择指定日期有效,请选择生效开始和结束日期、时和分。

      用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。

      对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

    • RADIUS和AD/LDAP等第三方服务器身份验证方式:

      参数 说明
      Web登录是否验证X.509证书 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。
      帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
      • 长期有效
      • 指定日期有效(精确到时/分)

      如果选择指定日期有效,请选择生效开始和结束日期、时和分。

      用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。

      对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

    • 动态令牌或者包含动态令牌的双因子身份验证方式:
      参数 说明
      Web登录是否验证X.509证书 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。
      PIN1/确认PIN1

      用户自己登录运维审计系统使用PIN1码+动态密码

      PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数
      Note: 批量导入时不支持导入pin2码
      下次登录时必须修改PIN1码 如果选中,用户下次登录时需要修改PIN1码。缺省为选中。
      密码有效期

      密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置

      密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数

      帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
      • 长期有效
      • 指定日期有效(精确到时/分)

      如果选择指定日期有效,请选择生效开始和结束日期、时和分。

      用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。

      对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

  3. 单击下载模板,将模板文件保存到本地PC。
  4. 打开本地模板文件,设置各参数,完成后保存文件。
    参数 说明
    帐号

    用户的帐号,字符串格式,长度范围是1~100个字符,不能包含"+"、":"、"/"、空格和中文字符。帐号全局唯一,如果和已有帐号相同则会导入失败。该项必填。

    运维审计系统一次性导入的用户数最多是5000个,用户数大于5000时请分批导入。

    姓名 用户的姓名,字符串格式,长度范围是1~100个字符。该项必填。
    工作邮箱 用户的邮箱地址,长度范围是1~64个字符。如果用户需要接收通知邮件时,该项必填。
    用户组

    用户所属的分组,该项选填。

    如果导入的分组不存在,运维审计系统将会创建该分组。同一用户可加入多个用户组,多个用户组之间请使用","分隔。

    手机号码 用户的手机号码。如果身份验证方式中包含短信认证时,该项必填。
    令牌号

    如果身份验证方式是动态令牌,运维审计系统上已添加的动态令牌会显示在模板文件中,一个令牌只能和一个用户关联。

    自定义用户属性

    如果已配置自定义用户属性,这些属性会显示在模板文件中。

  5. 单击上传文件,选择编辑好的模板文件,单击开始导入
    Note: 不需要导入的帐号,请直接单击帐号对应的,从列表中删除该帐号。
  6. Optional: 单击下载导入结果,查看导入的帐号。
用户配置完成后,您可以继续执行以下操作:
  • 如果需要修改用户的状态、帐号有效期、密码有效期等高级属性,请参见修改用户属性
  • 如果要删除用户,请单击用户对应的编辑,然后单击删除。如果需要批量删除用户,请勾选所有待删除的用户后,单击批量删除
  • 如果要导出用户,请单击导出全部来导出全部用户,或者选中用户的复选框后单击导出选中

3.3 配置用户(LDAP导入)

运维审计系统支持导入LDAP用户。导入运维审计系统的用户的缺省角色是操作员、状态是活动。

如果LDAP导入的用户使用LDAP认证,请先配置LDAP认证或者配置AD认证,如果使用其他认证方式,不需要配置LDAP认证和AD认证。

如果希望能定期将LDAP服务器上增、删、改的用户同步到运维审计系统上,请配置LDAP用户定期同步。如果希望LDAP用户能够直接登录运维审计系统,请在配置LDAP认证时选中新用户自动加入系统

  1. 选择用户 > 用户管理 > 用户列表
  2. 单击LDAP导入
  3. 设置各参数。
    参数 说明
    LDAP地址 LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。
    Note:
    • 如果服务器的端口号是缺省的389或者636,仅输入IP地址即可;如果不是,输入格式为IP地址:端口号
    • 只支持配置一台LDAP服务器。
    认证方式
    • 如果LDAP服务器允许匿名访问,请选中匿名认证
    • 如果LDAP服务器不允许匿名访问,请选中密码认证,并设置bindDN密码
      Note: LDAP服务器上可使用ldapsearch获取bindDN,AD服务器上可使用dsquery获取bindDN。
    baseDN 登录运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。
    objectClass 选择设置LDAP对象类。
    memberOf 选择设置用户所属的分组。
    过滤条件 设置过滤条件来筛选用户,过滤条件的语法请参考RFC4515。
  4. Optional: 如果是LDAP over SSL (LDAPS)服务器,请选中服务器要求安全连接(SSL),设置各参数。
    参数 说明
    CA LDAP服务器的CA证书,单击浏览选择文件上传。
    CERT

    运维审计系统的客户端证书CERT,单击浏览选择文件上传。

    如果服务器端不要求对客户端认证,可以不提供。

    KEY

    运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。

    如果服务器端不要求对客户端认证,可以不提供。

    允许忽略无效证书 如果选中,运维审计系统不对LDAP服务器的证书进行合法性检查;如果不选,运维审计系统将对LDAP服务器的证书进行合法性检查,对于使用非知名CA签发证书的LDAP服务器,请务必上传CA证书。
  5. 单击设置ldap用户属性关系,设置各参数,完成后单击保存
    参数 说明
    帐号 设置将LDAP服务器上的用户的什么属性作为运维审计系统的帐号,缺省值为AD中的用户名字段sAMAccountName
    Note: Open LDAP中用户名对应的字段为uid,如果是Open LDAP服务器且仍使用用户名字段作为帐号,此处就要修改为uid
    姓名 设置将LDAP服务器上的什么属性作为运维审计系统的姓名,缺省值为displayName
    工作邮箱 设置将LDAP服务器上的什么属性作为运维审计系统的工作邮箱,缺省值为mail
  6. 单击查询
  7. Optional: 单击设置帐号选项,设置各参数,完成后单击保存
    参数 说明
    身份验证 用户的身份验证方式。如果运维审计系统配置LDAP认证或者已配置AD认证,缺省值为AD/LDAP,否则缺省值为本地密码
    帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
    • 长期有效
    • 指定日期有效(精确到时/分)

    如果选择指定日期有效,请选择生效开始和结束日期、时和分。

    用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。

    对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

  8. 单击开始导入
    Note: 不需要导入的帐号,请直接单击帐号对应的,从列表中删除该帐号。

    导入时,如果运维审计系统上已存在相同的帐号,该帐号导入失败。

  9. Optional: 单击下载导入结果,查看导入的帐号。
LDAP导入的用户的自定义用户属性为空,如果需要设置自定义属性或者需要修改用户的状态、帐号有效期、密码有效期等高级属性,请参见修改用户属性

3.4 修改用户属性

创建用户后,管理员可以修改用户的基本属性、自定义用户属性和高级属性。

3.4.1 修改单个用户的属性

  1. 选择用户 > 用户管理 > 用户列表,单击帐号对应的编辑
  2. Optional: 选择基本属性,修改角色、手机号码、工作邮箱、用户组等基本用户属性。
  3. Optional: 选择用户属性,修改自定义用户属性。
  4. 选择高级属性,设置各参数,完成后单击保存
    参数 说明
    状态

    用户的状态,包括活动禁用,缺省为活动

    Note: 用户的状态设置为禁用时,在线会话会在1分钟内被切断。
    帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
    • 长期有效
    • 指定日期有效(精确到时/分)

    如果选择指定日期有效,请选择生效开始和结束日期、时和分。

    用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。

    对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

    密码有效期

    如果身份验证选择的是本地密码或者包含本地密码的双因子认证,需要设置密码有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置

    密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数

    用户登录控制

    允许或禁止用户登录运维审计系统的时间、IP地址和MAC地址范围,各参数含义与全局配置相同,全局配置请参见配置全局用户登录控制

    单个用户登录控制的优先级高于全局配置。对于单个用户来说:

    • 如果选择启用,则用户使用此处配置的参数。
    • 如果选择禁用,则用户使用全局配置。
    备注 用户的备注信息。

3.4.2 批量修改多个用户的属性

  1. 选择用户 > 用户管理 > 用户列表
  2. 选中需要修改属性的用户。
  3. 单击批量编辑,设置各参数,完成后单击保存
    参数 说明
    角色 用户的角色。
    用户组 用户所属的组。
    状态 用户的状态,取值包括活动禁用
    Note: 用户的状态设置为禁用时,在线会话会被切断。
    身份验证 用户的身份验证方式。如果选择本地密码,需要同时设置密码。
    Web登录是否验证X.509证书 是否验证用户的X.509证书。
    帐号有效期 帐号在运维审计系统上的有效期限。取值包括:
    • 长期有效
    • 指定日期有效(精确到时/分)

    如果选择指定日期有效,请选择生效开始和结束日期、时和分。

    用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。

    对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。

3.5 查看用户

本节介绍如何查看用户的信息和状态。

  1. 选择用户 > 用户管理 > 用户列表,查看用户的信息。
  2. 界面上方列出用户的统计信息,单击对应的快捷标签可以查看满足该条件的用户。例如上图中配置管理员有1个,单击配置管理员后用户列表仅显示这一个配置管理员。
    运维审计系统最多支持8个快捷标签,缺省如下。
    • 全部用户
    • 配置管理员
    • 超级管理员
    • 未分组
    • 禁用
    • 帐号过期
    • 密码过期
    • 不活跃:包括近3个月未登录运维审计系统和从未登录运维审计系统的用户。
  3. 单击左上角的筛选,使用用户属性设置筛选条件,完成后单击筛选,可以查看满足条件的用户。
    设置完筛选条件后,还可以单击保存至快捷将该筛选条件保存为快捷标签,方法如下:
    1. 单击保存至快捷。如快捷标签已达到8个,需要在弹出的菜单中单击移除,并勾选待移除的快捷标签,并重新单击保存至快捷
    2. 输入快捷名称,并单击保存,生成新的快捷标签。
  4. 在搜索框中输入帐号或者姓名的关键字,可以查看满足条件的用户。

    设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。

  5. 单击导出全部,将全部用户信息导出为Excel文件保存在本地PC;或者选择帐号对应的复选框单击导出选中
  6. 单击帐号对应的访问权限,查看用户关联的资产访问权限。

3.6 配置用户组

用户组是指将具有相同权限的用户划为一组,配置权限时基于组来配置,从而减轻管理员的配置负担。一个用户可以加入多个组。

用户组的创建方式包括:

将用户加入用户组的方式有两种。

  • 先创建用户组,然后在创建用户的时候选择预先创建好的用户组。
  • 先创建用户,然后在创建用户组的时候关联预先创建好的用户。

配置完用户组后,就可以在配置权限、会话复核、命令复核等时直接引用用户组。

  1. 选择用户 > 用户管理 > 用户组
  2. 单击,设置各参数,完成后单击创建
    参数 说明
    分组名 用户组的名称。字符串格式,长度范围是1~30个字符。
    部门 用户组所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
  3. 单击用户组名称,然后单击关联用户
  4. Optional: 单击筛选,设置各参数,完成后单击筛选
    Note:
    1. 配置筛选条件时,用户的属性都可以作为参数,且支持关键字匹配。例如在帐号中输入ad,则包含ad的帐号都会被筛选出来。
    2. 各筛选条件之间是与的关系,即用户要同时满足设置的所有条件才能被筛选出来。
    参数 说明
    帐号 用户帐号包含的关键字。
    姓名 用户姓名包含的关键字。
    工作邮箱 用户工作邮箱包含的关键字。
    用户组 用户所属的用户组,可以选择多个。
    状态 用户的状态,包括:活动、密码过期、帐号过期和禁用。
    角色 用户的角色。
    最后登录时间 用户的最后登录时间范围。
    部门 用户所属的部门。
  5. 选中要关联的用户,单击关联
  • 您可以单击用户对应的移除关联,或者选中多条用户后单击批量移除关联,将用户从当前所属的用户组中删除。
  • 您可以将鼠标指向用户组名称,单击修改名称,或者单击删除用户组。

4 资产管理

资产是被管理设备在运维审计系统上的称谓,包含资产名称、IP、系统帐号等多种属性。运维审计系统支持多种资产配置方式。

4.1 资产类型

为了便于管理,运维审计系统将资产进行了分类,具体如表4.2 网络资产所示。如果运维审计系统内置的资产类型不满足需求时,请自定义资产类型。

表4.1 主机资产
资产类型 访问方式
Linux

字符终端访问协议:SSH / Telnet

图形终端访问协议:VNC / XDMCP / XFWD

HP UX
IBM AIX
IBM AS/400

字符终端访问协议:Telnet / TN5250

Windows

图形终端访问协议:RDP

表4.2 网络资产
资产类型 访问方式
Cisco IOS

字符终端访问协议:SSH / Telnet

Huawei Quidway
Juniper NetScreen
H3C Comware
General Network
表4.3 数据库资产
资产类型 访问方式
Oracle 客户端软件:Toad / plsqldev / SqlDbx / sqlplusw / sqldeveloperW / oem
MYSQL 客户端软件:navicat / SQLyog
MSSQL 客户端软件:Ssms
DB2 客户端软件:SqlDbxForDB2 / QuestCentral / ToadForDB2
表4.4 应用系统资产
资产类型 访问方式
B/S

客户端软件:Chrome / Firefox

C/S

客户端软件:Radmin / SQLAdvantage / SybaseCentral4.3 / VpxClient / asdm / vncviewer

Weblogic

客户端软件:Chrome / Firefox

B/S IE

客户端软件:Internet Explore

4.2 资产属性

不同类型的资产,包含的属性也不相同,运维审计系统支持的常见属性如表4.5 常见资产属性所示。如果运维审计系统预定义的资产属性不满足需求时,请自定义资产的属性。

表4.5 常见资产属性
参数 说明
资产名称 资产的名称,要求在运维审计系统中唯一。
资产IP和端口 资产的IP地址和端口。
部门 资产所属的部门。
资产组 资产所属的资产组。资产组是资产的一种组织形式,相同权限的资产可以划分到同一个分组。配置权限时就能够以资产组为单位而不是资产,可有效减轻配置负担。
脚本类型 访问资产使用的脚本类型,一般用于应用系统。
访问协议 访问资产使用的协议,一般用于主机和网络设备。
客户端 访问资产使用的客户端,一般用户数据库和应用系统。例如:Firefox、Chrome、Internet Explorer。
帐号和密码 访问资产使用的帐号和密码。
系统编码 资产使用的系统编码。

4.3 资产创建方式

运维审计系统支持以下几种资产创建方式:

  • 批量导入:先按照运维审计系统提供的模板填写资产的参数,然后导入。
  • 手工添加:在运维审计系统的Web界面上填写资产的参数,手工创建资产。

资产创建后,需要继续配置资产的访问协议、系统帐号和密码。支持的配置方法包括批量配置(批量导入)和逐条配置。配置完成后,可以进行登录测试或者代填测试。

  • 登录测试运维审计系统使用帐号和密码直接访问资产,一般用于主机和网络设备。
  • 代填测试运维审计系统模拟用户实际的访问过程,包括打开访问协议或者客户端,自动填入用户名和密码访问资产,一般用于数据库和应用系统,在配置资产的基本信息时需要指定代填脚本类型。
Note:
  • 登录测试和代填测试弹出的界面仅用于查看测试结果,不能进行交互操作。
  • 执行登录测试或者代填测试时,如果在填写帐号和密码前弹出其他提示,由于不能进行交互操作,因此无法完成测试。

4.4 配置资产

运维审计系统上配置资产的基本属性、访问协议、帐号和密码。

4.4.1 配置资产(手工创建)

运维审计系统的Web界面上手工设置资产属性,逐个创建资产。

4.4.1.1 配置主机和网络资产

运维审计系统缺省支持的主机资产类型包括IBM AS/400HP UXIBM AIXWindowsLinux

运维审计系统缺省支持的网络资产类型包括Cisco IOSHuawei QuidwayJuniper NetScreenH3C ComwareGeneral Network

  1. 选择资产 > 资产清单 > 网络
    如果配置主机资产,请选择资产 > 资产清单 > 主机
  2. 单击新建
  3. 选择资产类型,单击下一步
  4. 设置各参数。
    参数 说明
    资产名称 资产的名称,字符串格式,长度范围是1~100个字符。
    资产IP 资产的IP地址,IPv4和IPv6都支持。单击ping可以进行连通性测试。
    简要说明 资产的简要说明。
    部门 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
    资产组 资产所属的分组。资产组的具体配置请参见配置资产组
    系统编码 资产使用的系统编码类型,取值包括ISO-8859-1、GB18030、UTF-8等。如果系统编码选择不正确,可能会出现以下异常问题:
    • 资产访问异常
    • 改密不成功
    • 文件传输时文件名出现乱码
    • 查看审计日志时出现乱码
    • 高危命令中对命令识别错误
    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
  5. 如果配置了自定义资产属性,请先单击下一步设置各参数,然后单击创建;如果没有配置自定义资产属性,直接单击创建
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的访问协议,请参见配置资产的访问协议
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.1.2 配置数据库资产

运维审计系统缺省支持的数据库类型包括OracleMYSQLMSSQLDB2
  1. 选择资产 > 资产清单 > 数据库
  2. 单击新建
  3. 选择资产类型,单击下一步
  4. 设置各参数。
    参数 说明
    资产名称 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。
    数据库名(MySQLDB2 数据库的名称。字符串格式,长度范围是1~30个字符。
    连接方式(Oracle

    数据库的连接方式,包括:

    • 服务名:使用数据库的ServiceName连接。执行以下命令可以获得服务名。
      select value from v$parameter where name = 'service_names'; 
    • SID:使用数据库的SID连接。执行以下命令可以获得SID。
      select instance_name from v$instance; 
    • TNS:使用数据库的TNSName连接。请确保TNS配置串的格式正确,示例如下。

      (DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = TCP)(HOST = 10.10.16.81)(PORT = 1521)))(CONNECT_DATA =(SERVICE_NAME = devdb)))

    资产IP 资产的IP地址和服务端口,IPv4和IPv6都支持。
    OEM URL Oracle Enterprise Manager的URL地址。如果客户端中选择了oem,则同时必须填写OEM URL
    实例名(MSSQL 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。
    简要说明 资产的简要说明。
    部门 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
    资产组 资产所属的分组。资产组的具体配置请参见配置资产组
    客户端

    访问资产使用的客户端软件。

    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
  5. 如果配置了自定义资产属性,请先单击下一步设置各参数,然后单击创建;如果没有配置自定义资产属性,直接单击创建
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.1.3 配置应用系统资产

运维审计系统缺省支持的应用系统类型包括B/SC/SWeblogicB/S IE
  1. 选择资产 > 资产清单 > 数据库
  2. 单击新建
  3. 选择资产类型,单击下一步
  4. 设置各参数。
    参数 说明
    资产名称 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。
    资产IP 资产的IP地址,IPv4和IPv6都支持。
    URL(B/SB/S IEWeblogic 资产的Web访问地址,支持HTTP和HTTPS两种格式。
    脚本类型(B/SB/S IEWeblogic

    用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。

    • 不代填:用户自己填写用户名、密码等登录信息,不用运维审计系统代填。
    • 通用:用户名、密码等登录信息由运维审计系统代填,且使用运维审计系统预定义的通用代填脚本。
    • 高级:用户名、密码等登录信息由运维审计系统代填,且用户需要自定义代填脚本。需要自定义的参数包括:
      • 用户名输入框
      • 密码输入框
      • 登录按钮
      • Iframe输入框
    • 自定义:用户名、密码等登录信息由运维审计系统代填,且用户需要上传自定义代填脚本(JSON格式)。
    是否限制其他URL(B/SB/S IEWeblogic

    用户通过运维审计系统访问目标资产的URL时能否在同一客户端访问其他地址。

    • 限制:除了白名单内的URL,用户不能访问其他地址。
    • 不限制:用户可以访问其他任意地址。
    白名单(B/SB/S IEWeblogic 是否限制其他URL选择了限制时,可以配置白名单。白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,可配置多行。
    简要说明 资产的简要说明。
    部门 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
    资产组 资产所属的分组。资产组的具体配置请参见配置资产组
    客户端

    访问资产使用的客户端软件。选择客户端软件后,需要设置对应的代填参数,确保运维审计系统能代填成功。

    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
    port(C/S

    资产的服务端口。当客户端选择的是代填脚本支持自定义端口号的软件时(例如vncviewerSybaseCentral4.3Radmin),请在此配置资产的端口,确保运维审计系统能代填成功。

    codepage(C/S

    资产使用的字符集。当客户端选择的是代填脚本支持自定义字符集的软件时(例如SybaseCentral4.3),请在此配置资产使用的字符集,确保运维审计系统能代填成功。

  5. 如果配置了自定义资产属性,请先单击下一步设置各参数,然后单击创建;如果没有配置自定义资产属性,直接单击创建
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.2 配置资产(批量导入)

运维审计系统支持从Excel文件中批量导入资产,导入运维审计系统的资产缺省状态是活动

4.4.2.1 导入主机和网络资产

运维审计系统缺省支持的主机资产类型包括IBM AS/400HP UXIBM AIXWindowsLinux

运维审计系统缺省支持的网络资产类型包括Cisco IOSHuawei QuidwayJuniper NetScreenH3C ComwareGeneral Network

  1. 选择资产 > 资产清单 > 网络
    如果配置主机资产,请选择资产 > 资产清单 > 主机
  2. 单击批量导入,选择新增模式或者编辑模式
    Note:
    • 新增模式:表示批量导入新资产。
    • 编辑模式:表示批量修改已有资产的属性。
  3. 单击下载模板,将模板文件保存到本地PC。
  4. 打开本地模板文件,设置各参数,完成后保存文件。
    Note: 如果是在编辑模式中修改已有资产的属性请注意:
    • 资产名称资产IP必须输入正确,否则导入时运维审计系统会提示资产不存在。
    • 需要修改的资产属性,单元格中输入修改后的值;不需要修改的资产属性,单元格保持为空即可;需要清空的资产属性,单元格中输入NULL
    参数 说明
    资产名称 资产的名称,字符串格式,长度范围是1~100个字符。
    资产IP 资产的IP地址,IPv4和IPv6都支持。
    资产类型 资产的类型。
    部门 资产所属的部门。
    编码类型 资产的编码类型。对于主机来说,缺省取值包括:
    • GB18030
    • ISO-8859-1
    • US-ASCII
    • UTF-8
    • IBM1388
    简要说明 资产的简要说明。
    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
    资产组 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。
    帐号名 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。
    Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码
    密码 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。
    是否特权
    • :将导入的帐号设为特权帐号。
    • :将导入的帐号设置为普通帐号。
    自定资产属性

    如果已配置自定义资产属性,这些属性会显示在模板文件中。

  5. 单击上传文件,选择编辑好的模板文件,完成后单击关闭
    Note: 对于文件中数据正确的资产,运维审计系统会直接导入;对于数据不正确的资产,运维审计系统在列表中显示。如果需要继续导入,请单击错误数据并直接编辑,然后单击开始导入。如果不需要导入,请直接单击资产对应的,从列表中删除该资产。
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的访问协议,请参见配置资产的访问协议
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.2.2 导入数据库资产

运维审计系统缺省支持的数据库类型包括OracleMYSQLMSSQLDB2
  1. 选择资产 > 资产清单 > 数据库
  2. 单击批量导入,选择新增模式或者编辑模式
    Note:
    • 新增模式:表示批量导入新资产。
    • 编辑模式:表示批量修改已有资产的属性。
  3. 选择资产类型,单击下一步
  4. 单击下载模板,将模板文件保存到本地PC。
  5. 打开本地模板文件,设置各参数,完成后保存文件。
    Note: 如果是批量修改已有资产的属性请注意:
    • 资产名称资产IP必须输入正确,否则导入时运维审计系统会提示资产不存在。
    • 需要修改的资产属性,单元格中输入修改后的值;不需要修改的资产属性,单元格保持为空即可;需要清空的资产属性,单元格中输入NULL
    参数 说明
    资产名称 资产的名称,字符串格式,长度范围是1~100个字符。
    连接方式(Oracle

    数据库的连接方式,包括:

    • 服务名:使用数据库的ServiceName连接,必须填写资产IP服务名。执行以下命令可以获得服务名。
      select value from v$parameter where name = 'service_names'; 
    • SID:使用数据库的SID连接,必须填写资产IPSID。执行以下命令可以获得SID。
      select instance_name from v$instance; 
    • TNS:使用数据库的TNSName连接,必须填写资产IP配置串。请确保TNS配置串的格式正确,示例如下。

      (DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = TCP)(HOST = 10.10.16.81)(PORT = 1521)))(CONNECT_DATA =(SERVICE_NAME = devdb)))

    部门 资产所属的部门。
    资产IP 资产的IP地址,IPv4和IPv6都支持。
    端口 数据库服务的端口。各种数据库类型的缺省端口如下:
    • Oracle:1521
    • MYSQL:3306
    • MSSQL:1433
    • DB2:50000
    实例名(MSSQL 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。
    数据库名(MySQLDB2 数据库的名称。字符串格式,长度范围是1~30个字符。
    客户端

    访问资产使用的客户端软件,多个软件使用“,”分隔。

    简要说明 资产的简要说明。
    OEM URL(Oracle Oracle Enterprise Manager的URL地址。如果客户端中填写了oem,则同时必须填写OEM URL
    资产组 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。
    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
    帐号名 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。
    Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码
    密码 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。
    角色(Oracle 用户的角色。取值包括:SYSDBASYSOPERNormal。缺省值为SYSDBA
    是否特权
    • :将导入的帐号设为特权帐号。
    • :将导入的帐号设置为普通帐号。
    自定资产属性

    如果已配置自定义资产属性,这些属性会显示在模板文件中。

  6. 单击上传文件,选择编辑好的模板文件,完成后单击关闭
    Note: 对于文件中数据正确的资产,运维审计系统会直接导入;对于数据不正确的资产,运维审计系统在列表中显示。如果需要继续导入,请单击错误数据并直接编辑,然后单击开始导入。如果不需要导入,请直接单击资产对应的,从列表中删除该资产。
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.2.3 导入应用系统资产

运维审计系统缺省支持的应用系统类型包括B/SC/SWeblogicB/S IE
  1. 选择资产 > 资产清单 > 应用系统
  2. 单击批量导入,选择新增模式或者编辑模式
    Note:
    • 新增模式:表示批量导入新资产。
    • 编辑模式:表示批量修改已有资产的属性。
  3. 选择资产类型,单击下一步
  4. 单击下载模板,将模板文件保存到本地PC。
  5. 打开本地模板文件,设置各参数,完成后保存文件。
    Note: 如果是批量修改已有资产的属性请注意:
    • 资产名称资产IP必须输入正确,否则导入时运维审计系统会提示资产不存在。
    • 需要修改的资产属性,单元格中输入修改后的值;不需要修改的资产属性,单元格保持为空即可;需要清空的资产属性,单元格中输入NULL
    参数 说明
    资产名称 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。
    资产IP 资产的IP地址,IPv4和IPv6都支持。
    URL(B/SB/S IEWeblogic 资产的Web访问地址,支持HTTP和HTTPS两种格式。
    脚本类型(B/SB/S IEWeblogic

    用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。

    • 不代填:用户自己填写用户名、密码等登录信息,不用运维审计系统代填。
    • 通用:用户名、密码等登录信息由运维审计系统代填,且使用运维审计系统预定义的通用代填脚本。
      Note: 不支持导入高级自定义脚本类型的应用。
    白名单(B/SB/S IEWeblogic

    白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,多个地址使用ALT + Enter换行,示例如下:

    http://www.myhost.com.*

    http://10.10.10.*

    客户端

    访问资产使用的客户端软件。

    简要说明 资产的简要说明。
    部门 资产所属的部门。
    资产组 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。
    责任人 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。
    帐号名 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。
    Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码
    密码 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。
    是否特权
    • :将导入的帐号设为特权帐号。
    • :将导入的帐号设置为普通帐号。
    自定义资产属性

    如果已配置自定义资产属性,这些属性会显示在模板文件中。

  6. 单击上传文件,选择编辑好的模板文件,完成后单击关闭
    Note: 对于文件中数据正确的资产,运维审计系统会直接导入;对于数据不正确的资产,运维审计系统在列表中显示。如果需要继续导入,请单击错误数据并直接编辑,然后单击开始导入。如果不需要导入,请直接单击资产对应的,从列表中删除该资产。
    • 对于B/SB/S IEWeblogic,批量导入后是否限制其他URL的缺省值为限制,且白名单为空。
    • 对于C/S,批量导入后代填参数为空。
资产配置完成后,您可以继续执行以下操作:
  • 如果要修改单个资产的状态(状态包括活动禁用)和其他基本属性,请单击资产对应的编辑进行修改;如果要修改多个资产的属性,请选中资产对应的复选框,单击批量编辑
  • 如果要配置资产的帐号和密码,请参见配置资产的帐号和密码
  • 如果要删除单个资产,请单击资产对应的编辑,然后单击删除;如果要删除多个资产,请选中资产对应的复选框,单击批量删除
  • 如果要导出资产,请单击导出全部来导出全部资产,或者选中资产的复选框后单击导出选中

4.4.3 配置资产的访问协议

创建主机和网络资产后,运维审计系统会根据资产类型创建缺省的访问协议,您也可以修改访问协议的参数或者添加新的访问协议。配置方式支持批量和逐条配置两种。

运维审计系统针对不同的资产类型提供了不同的访问协议,例如Windows主机支持的访问协议有RDP和VNC(缺省为RDP),Linux/Unix主机支持的访问协议有SSH、Telnet、VNC、XDMCP、XFWD(缺省为SSH和XDMCP)。超级管理员可以修改指定资产类型的访问协议和缺省值,具体请参见配置资产类型

主机和网络设备支持配置协议,且配置的的方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。

4.4.3.1 批量配置访问协议

对于相同类型的资产,如果访问协议相同,可以采取批量配置一次性完成。批量配置资产的访问协议时,一次只能配置一个协议。如果配置的协议已存在,则会覆盖之前的配置。

  1. 选择资产 > 资产清单 > 主机
    如果配置网络资产,请选择资产 > 资产清单 > 网络
  2. 单击协议配置
  3. 单击资产对应的,选中资产(要求资产类型相同),单击添加

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 单击筛选,使用资产的属性设置过滤条件,单击筛选
  4. 选择要配置的协议,单击下一步
  5. 设置各参数,完成后单击创建
    表4.6 访问协议参数说明
    参数 说明
    名称 访问协议的名称,字符串格式,长度范围是1~30个字符,仅支持英文字符、数字、"-"和"_"。
    说明 访问协议的说明。
    状态 访问协议的状态。取值包括:
    • 活动
    • 禁用
    端口

    访问协议的端口。单击连通检测,可以测试端口的连通状态。

    Note:
    • 对于XDMCP协议,单击端口侦听运维审计系统会临时打开6999端口(时长为1分钟)供您在目标资产上连接,以测试目标设置到运维审计系统的反向连接端口是否通畅。
    • XFWD协议是基于SSH协议的,没有独立的端口,不需要配置此项。
    Telnet/SSH
    跳转来源

    跳转来源是指访问当前资产时从哪个设备使用哪个帐号跳转过来。例如当前设备是A,配置跳转来源为B,则用户先访问B,再从B自动跳转到A。

    支持配置跳转来源的协议有SSH和Telnet,且支持自定义协议端口。运维审计系统不支持多级跳转,即被配置为跳转来源的设备不能再配置跳转来源。

    作为跳转来源的设备需满足如下条件:

    • 资产类型是主机,且资产状态是活动的。
    • 已配置SSH或者Telnet,且状态是活动的。
    • 帐号有密码或者密钥且没有配置切换自。
    RDP
    Console 相当于Windows中mstsc的/console或者/admin选项,表示是否允许普通用户连接服务器的控制台会话(session id=0)。
    VNC
    enterprise商业版 运维审计系统支持Real VNC,且缺省情况下支持的是VNC Open版本,如果目标设备采用的是VNC Enterprise Edition,请选中此项。
    VNC密码 VNC服务器端的密码。
    XFWD
    xfwd_cmdline命令 如果用户使用SSH X forwarding协议访问目标设备,部署运维审计系统后,需要在运维审计系统上增加访问协议XFWD,并且需要满足以下条件:
    • 目标设备的sshd_config配置文件中X11Forwarding的取值是yes
    • 已为资产配置了访问协议SSH,且没有配置来源设备跳转自

    xfwd_cmdline命令中可以设置服务端执行的命令来进入相应的界面,示例如下。

    Note: 要求目标设备上已经安装gnomexfce4或者xterm软件。
    • 进入图形界面:

      • /usr/bin/gnome-session
      • /usr/bin/xfce4-session
    • 进入字符界面:

      • /usr/bin/xfce4-terminal
      • /usr/bin/gnome-terminal
      • xterm

4.4.3.2 逐条配置访问协议

  1. 选择资产 > 资产清单 > 主机
  2. 单击资产对应的编辑
  3. 选择访问协议
  4. 单击已有访问协议对应的,设置各参数,完成后单击确定

    参数说明如表4.6 访问协议参数说明所示。

  5. 单击下拉列表框选择其他协议,单击添加,设置各参数,完成后单击确定

    参数说明如表4.6 访问协议参数说明所示。

  6. 单击保存

4.4.4 配置资产的帐号和密码

创建资产后,用户可以在运维审计系统上添加访问资产的帐号和密码,即将密码托管在运维审计系统上,这样用户访问目标设备时由运维审计系统代替用户输入帐号和密码。用户也可以只添加帐号或者帐号和密码都不添加,在访问目标设备时由用户手工输入。

运维审计系统针对不同的资产类型提供了不同的缺省系统帐号,例如Windows主机的administrator,Linux主机的root。超级管理员可以修改指定资产类型的缺省系统帐号,具体请参见配置资产类型

创建资产时,运维审计系统会根据资产的类型配置好帐号,用户可以增加新的帐号,也可以修改已有帐号的参数,配置方式支持批量导入和手工配置两种。

所有资产配置帐号的方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。

4.4.4.1 批量导入帐号和密码

批量导入帐号和密码用于一次性将相同类型资产的密码托管在运维审计系统上的场景,运维审计系统支持导入帐号的密码切换自密钥域名信息。编辑模板文件时,确保至少有一项不能为空。

  1. 选择资产 > 资产清单 > 主机
  2. 单击密码导入
  3. 单击资产对应的,选中资产,单击添加

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 单击筛选,使用资产的属性设置过滤条件,单击筛选
  4. 选择或者输入帐号(不输或输入多个都可以),单击下一步
  5. 单击下载模板,将模板文件保存到本地PC。
  6. 打开本地模板文件,设置各参数,完成后保存文件。
    表4.7 资产的帐号和密码参数(手工批量导入)
    参数 说明
    资产名称 资产的名称。资产必须在运维审计系统上已存在。
    帐号

    资产的帐号,字符串格式,长度范围是1~100,不能包含"/"和中文字符。如果同一个资产存在多个帐号,每个帐号占用表格的一行。如果与已有帐号相同,表示修改已有帐号的属性。

    Note: Windows帐号不区分大小写。对于网络设备,如需添加null帐号,请将帐号名称填写为大写的NULL。
    是否特权

    该帐号是否为资产上的最高权限帐号,如果是请填写,如果否请填写。如果什么都不填写,表示保持原来的设置。

    密码 帐号对应的密码。
    支持Telnet/SSH访问协议的主机和网络设备
    Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
    切换自

    切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。

    支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。

    作为切换自的帐号和所在的资产需满足如下条件:

    • 资产类型为Linux、HP、IBM AIX等主机(AS/400不支持)和网络设备。
    • 已配置SSH或者Telnet。
    • 有密码或者密钥。
      Note: 当配置的切换自帐号是普通帐号时,当前帐号必须有密码;当配置的切换自帐号是特权帐号时,当前帐号可以没有密码。
    • 没有配置切换自。即不支持多级切换自,被配置为切换自的帐号不能再配置切换自。

    运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。

    密钥 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请填写密钥标识,密钥的配置请参见配置密钥
    WindowsMSSQL
    Note: 如果同时配置了密码和域名,优先使用域名。
    域名 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域
    Oracle
    角色 用户的角色。取值包括:SYSDBASYSOPERNormal。缺省值为SYSDBA
  7. 单击上传文件,选择编辑好的模板文件,单击开始导入,完成后单击关闭
    Note:
    • 不需要导入的帐号和密码,请直接单击帐号和密码对应的,从列表中删除该帐号和密码。
    • 单击下载导入结果,查看导入的帐号和密码。

4.4.4.2 手工配置帐号和密码

  1. 选择资产 > 资产清单 > 主机
  2. 单击资产对应的编辑
  3. 选择系统帐号
  4. 单击已有帐号对应的编辑,设置各参数,完成后单击确定
    表4.8 资产的帐号和密码参数(手工配置)
    参数 说明
    帐号名称 帐号的名称,字符串格式,长度范围是1~100,不能包含"/"和中文字符。
    Note: 对于网络设备,如需添加null帐号,请将帐号名称填写为大写的NULL。
    设为特权帐号 如果该帐号是目标资产上的特权帐号,请选中。
    设置密码/确认密码 帐号对应的密码。
    支持Telnet/SSH访问协议的主机和网络设备
    Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
    切换自

    切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。

    支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。

    作为切换自的帐号和所在的资产需满足如下条件:

    • 资产类型为Linux、HP、IBM AIX主机和除AS/400之外的网络设备。
    • 已配置SSH或者Telnet。
    • 有密码或者密钥。
      Note: 当配置的切换自帐号是普通帐号时,当前帐号必须有密码;当配置的切换自帐号是特权帐号时,当前帐号可以没有密码。
    • 没有配置切换自。即不支持多级切换自,被配置为切换自的帐号不能再配置切换自。

    运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。

    私钥(仅SSH协议) 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请选择对应的密钥标识,密钥的配置请参见配置密钥
    WindowsMSSQL
    Note: 如果同时配置了密码和Domain,优先使用Domain。
    Domain 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域
    Oracle
    角色 用的角色。取值包括:SYSDBASYSOPERNormal。缺省值为SYSDBA
  5. 单击添加帐号,设置各参数,完成后单击确定
  6. Optional: 单击登录测试,选择访问协议(只有一种协议时不需要选择),单击登录测试
    Note:
    • XDMCP和TN5250协议不支持登录测试。
    • 主机、网络类设备执行的是登录测试,数据库和应用系统执行的是代填测试。
  7. 单击保存

4.4.5 配置资产组

运维审计系统支持将多个资产划为一组,这样在配置动态权限、高危操作等时基于组来配置,从而减轻管理员的配置负担。一个资产可以加入多个资产组。

将资产加入资产组的方式有两种。

  • 先创建资产组,然后在创建资产的时候选择预先创建好的资产组。
  • 先创建资产,然后在创建资产组的时候关联预先创建好的资产。

配置资产组后,您可以在动态权限、高危命令、会话复核、改密计划等配置过程中直接引用资产组。

  1. 选择资产 > 资产清单 > 资产组
  2. 单击,设置各参数,完成后单击创建资产组
    参数 说明
    名称 资产组的名称。字符串格式,长度范围是1~30个字符。
    简要描述 资产组的简要描述。字符串格式,长度范围是0~60个字符。
    部门 资产组所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
  3. 选中资产组,然后单击添加资产
  4. 选中要添加的资产,单击添加

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 单击筛选,使用资产的属性设置过滤条件,单击筛选
  • 您可以单击资产对应的移除关联,或者选中多条资产后单击批量移除关联,将资产从当前所属的资产组中删除。
  • 您可以将鼠标指向资产组名称,单击修改名称,或者单击删除资产组。

4.4.6 查看资产

本节介绍如何查看资产的信息和状态。

Note: 如果要查看全部资产的信息和状态,请在动态视图中查看,如果要查看特定类型的资产的信息和状态,请在该资产类型下查看,本机以查看主机类型的资产为例进行介绍,网络、数据库和应用系统的查看方法与主机相同。
  1. 选择资产 > 资产清单 > 主机,查看资产的信息。
  2. 界面上方列出资产的统计信息,单击对应的快捷标签可以查看满足该条件的资产。例如上图中Windows资产有2个,单击Windows后资产列表仅显示这2个Windows资产。
    运维审计系统最多支持8个快捷标签,缺省的快捷标签为资产类型。
  3. 单击左上角的筛选,使用资产属性设置筛选条件,完成后单击筛选,可以查看满足条件的资产。

    设置完筛选条件后,还可以单击保存至快捷将该筛选条件保存为快捷标签。例如筛选条件中将是否禁用设置为禁用,完成后单击保存至快捷,界面上方就会出现禁用的快捷标签,单击该标签可以快速查看所有被禁用的资产。

  4. 在搜索框中输入资产名称、IP或者简要说明的关键字,可以查看满足条件的资产。

    设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。

  5. 单击导出全部,将全部资产信息导出为Excel文件保存在本地PC;或者选择资产对应的复选框单击导出选中

4.4.7 查看动态视图

运维审计系统支持动态地展示资产层级结构以及各节点下的资产,并对资产进行查看、新建、编辑、删除、导出等操作。

运维审计系统根据配置视图的层级中的层级结构展示所有资产,视图会根据层级关系的变化动态调整。动态视图的各个层级可以是不同的资产属性,也可以是部门的层级(必须完成了部门层级的配置)。本节以配置为不同的资产属性为例进行介绍。

对于作为动态视图层级节点的属性,如果资产的属性值为空时,运维审计系统自动创建空节点与之对应。例如图4.1 菜单布局的动态视图中视图的层级中定义第1层节点为“责任人”,图中上面两个资产已配置责任人为admin,则这两个资产在admin节点下面,下面两个资产没有配置责任人,则在节点下面。

动态视图有两种布局方式,一种是菜单,一种是树形。其中树形布局还能以横向或者纵向方式展示。在菜单布局下,单击切换到树形布局;树形布局下单击切换到菜单布局。

图4.1 菜单布局的动态视图
图4.2 树形布局的动态视图
表4.9 树形布局动态视图按钮说明
按钮 说明
收起、展开节点。
放大字体。
缩小字体。
切换树形布局的横向、纵向展示方式。
  1. 选择资产 > 资产清单 > 动态视图
  2. Optional: 动态视图的搜索框中输入节点名、资产名或者资产IP地址的关键字来筛选出特定资产。
  3. Optional: 选中节点,查看该节点下所有资产的信息。
    1. 如果资产数量大,可通过以下方式查找满足条件的资产。
      • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
      • 单击筛选,使用资产的属性设置过滤条件,单击筛选
    2. 单击资产属性对应的或者,对资产进行排序。
    3. 单击资产列表最右边的,选择列表中显示的资产属性。
  4. Optional: 单击资产对应的编辑,或者选中多个资产后单击批量编辑,修改资产的属性。
  5. Optional: 选中资产后单击批量删除,删除指定资产。
  6. Optional: 选中资产后单击导出选中或者直接单击导出全部,将资产信息以Excel格式导出到本地PC。
  7. Optional: 单击新建资产来创建各类型资产,具体请参见配置资产(手工创建)
    新创建的资产会按照配置的视图层级展示在动态视图中。

4.5 配置视图的层级

运维审计系统使用资产的属性作为视图的层级节点,并根据视图层级结构动态地生成视图来展示资产。

运维审计系统支持资产的以下属性作为视图层级节点:

缺省情况下,运维审计系统已提供了根节点和第1层节点。

  • 根节点:缺省值为root,支持重命名,不能删除。
  • 第1层节点:缺省值为系统类型,支持修改,不能删除。
Note: 部门只能作为第1层节点,在第1层节点设置为部门后无法新增下层节点。即动态视图的组织方式有两种,一种按部门,一种是按资产除部门外的其他属性的组合。
本节以将视图的层级配置为其他资产属性为例进行指导。如果将视图配置为按部门划分,则不需要进行以下操作。
  1. 选择资产 > 配置 > 视图配置
  2. 修改视图的根节点名称和第1层节点使用的资产属性。
    参数 说明
    根节点名称 根节点的名称,字符串格式,长度范围是1~30个字符。缺省值为root
    第1层节点 视图的第1层节点,取值为资产的属性,缺省值为系统类型
  3. 单击新增下级节点,选择剩余的资产属性作为层级节点。

    重复执行本步骤,完成视图各层级节点的配置。

    Note: 除根节点外,视图的层级最多不超过10层,即用户能够配置第1到第10层节点。
  4. 单击保存,完成视图各层级节点的配置。
  5. Optional: 单击视图预览,查看按照当前视图层级结构生成的动态视图。
    Note: 对于没有资产的节点,动态视图汇中不显示该节点。
    表4.10 预览视图按钮说明
    按钮 说明
    收起、展开视图的节点。
    放大视图,从而更清楚地查看局部细节。
    缩小视图,从而查看视图的总体情况。
  • 第1层到第10层的节点使用的资产属性都支持修改。
  • 第2层到第10层的节点都支持删除,且各层级的节点相互独立,不存在依赖关系,可删除任意层级的节点。

修改或者删除视图的层级节点后,资产的动态视图及时跟随调整。

4.6 配置Windows域

如果用户希望通过运维审计系统以Windows域的方式登录RDP资产,需要在这里配置Windows域。

  • 拥有Windows域控主机。
  • 拥有该域控主机上具有查询权限的帐号,并且知道该帐号的DN和密码。
  1. 选择资产 > 配置 > Windows域
  2. 单击新建域,设置各参数,完成后单击确定
    参数 说明
    域名 域的名称。字符串格式,长度范围是1~30个字符。
    域IP 域控主机的IP地址。
    简要说明 域的简要说明。
    部门 域所属的部门。
  3. 单击特权帐号下的,设置特权帐号的相关信息,完成后单击确定
    Note: 在单击确定前,可以单击测试进行帐号连通性测试。
    参数 说明
    帐号名称 输入域控主机上具有查询权限帐号的用户名。
    bindDN 输入该帐号的DN,例如CN=Administrator,CN=Users,DC=example,DC=com

    通过域控主机执行CMD命令获得: dsquery user -name username

    帐号密码/确认密码 输入该帐号的密码。
  4. Optional: 单击帐号过滤条件对应的取值,编辑过滤条件,完成后单击确定
    过滤条件的格式为(参数=属性),例如:(objectClass=person)。缺省的Windows域帐号过滤条件为(objectClass=person),一般不需要修改。

Windows域配置完成后,管理员再执行以下操作即可实现使用Windows域用户访问Windows域中的资产。

  1. 工作台 > 帐号改密 > 帐号资产 > 域帐号中选择要管理的域,单击从域中同步帐号。
  2. 帐号同步完成后,单击某个帐号对应的编辑,选择帐号编辑,设置该帐号的密码。具体请参见管理帐号资产
  3. 设置了帐号的密码后,在资产 > 资产清单,单击Windows域中的资产对应的编辑,选择系统帐号,单击添加帐号,在高级选项中选择Windows域,然后在帐号名称中选择具体的Windows域帐号。

4.7 配置密钥

管理员可以通过密钥管理功能新建密钥,以支持SSH会话使用密钥方式登录。

运维审计系统支持两种新建密钥的方式:

  • 生成:由运维审计系统生成密钥。
  • 粘贴:将其他系统生成的密钥粘贴到运维审计系统中使用。

4.7.1 生成新密钥

  1. 选择资产 > 配置 > 密钥管理
  2. 单击新建,选择生成,设置各参数,完成后单击确定
    参数 说明
    类型 密钥的类型,取值包括RSADSA
    长度 密钥的位数,取值包括1024/2048和4096,位数越大安全性越高。
    标识 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。
    部门 密钥所属的部门。仅当该部门的配置管理员可以使用该密钥。
  3. 单击密钥对应的编辑,单击下载公钥,将公钥下载在本地计算机。

4.7.2 粘贴已有密钥

  1. 选择资产 > 配置 > 密钥管理
  2. 单击新建,选择粘贴,设置各参数,完成后单击确定
    参数 说明
    标识 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。
    部门 密钥所属的部门。
    密码 如果粘贴的密钥设置了密码,在此处输入该密码。
    粘贴 将已有的私钥内容粘贴进去。

4.8 配置等价资产

对等价资产中任意一个资产进行运维审计系统上的配置修改,配置会自动同步到等价资产中的其他成员。等价资产多用于HA或者集群环境。

同一个设备,出于被访问的需求,在运维审计系统中可能被配置成为多个资产。例如一个既有真实IP,又有虚拟IP的主机,在运维审计系统中基于IP地址被配置成为两个资产,这两个资产就是等价资产。

在添加等价资产之前,管理员需要确认待添加的等价资产属性是一致的,否则将无法组成等价资产;修改等价资产在运维审计系统上配置,只有关键的配置会被同步。

表4.11 等价资产的组成条件和同步的配置
资产类型 组成条件 同步的配置
主机/网络
  • 资产类型需要一致。
  • 访问协议中如果拥有相同的协议,协议的属性需要一致。例如:端口一致、状态一致等。
  • 系统帐号中如果拥有相同帐号,该帐号的属性需要一致,例如:特权帐号一致、密码一致等。
  • 访问协议
  • 系统帐号
  • 责任人
数据库
  • 资产类型需要一致。
  • 连接方式、服务名、客户端属性需要一致。
  • 系统帐号中如果拥有相同帐号,该帐号的属性需要一致,例如:特权帐号一致、密码一致等
  • 连接方式、服务名、客户端
  • 系统帐号
  • 责任人
应用系统(B/S)
  • URL、脚本类型、是否限制URL、白名单属性需要一致。
  • 系统帐号中如果拥有相同帐号,该帐号的属性需要一致,例如:特权帐号一致、密码一致等
  • URL、脚本类型、是否限制URL、白名单
  • 系统帐号
  • 责任人
应用系统(C/S)
  • port属性需要一致。
  • 系统帐号中如果拥有相同帐号,该帐号的属性需要一致,例如:特权帐号一致、密码一致等
  • port
  • 系统帐号
  • 责任人
  1. 选择资产 > 配置 > 等价配置 > 等价资产
  2. 单击新建,设置各参数,完成后单击确定
    参数 说明
    名称 等价资产的名称。字符串格式,取值范围是1~30个字符。
    添加资产 单击选择资产。
    责任人 等价资产的责任人。
    简要说明 等价资产的简要说明。

4.9 配置等价帐号

对等价帐号中的任何一个帐号进行运维审计系统上的密码修改,密码都会同步到等价帐号中的其他成员。

同一个资产,因为使用目的的不同会被配置成为两种资产类型。例如防火墙设备,既有SSH访问接口,又有Web访问接口,管理员会创建主机类型的资产以满足SSH访问,创建应用系统类型的资产以满足Web访问。由于访问这两种资产类型的帐号都是一致的,这类型帐号被称为等价帐号。

等价帐号组成条件:等价帐号可以跨资产类型,但是必须是相同帐号名,且以密码类型登录(密钥登录、切换自登录不行)。

等价帐号同步的配置:等价帐号只能同步密码。

  1. 选择资产 > 配置 > 等价配置 > 等价帐号
  2. 单击新建,设置各参数,完成后单击确定
    参数 说明
    名称 等价帐号的名称。字符串格式,取值范围是1~30个字符。
    资产 单击选择资产。
    帐号名 等价帐号的帐号名。
    简要说明 等价帐号的简要说明。

4.10 配置资产适配

对于有些比较特殊的登录提示符,通过内置代填提示符无法匹配成功时,需要针对这些资产进行适配。

在以下场景,运维审计系统会代填用户名和密码。

  • 登录测试
  • 资产访问
  • 帐号改密

运维审计系统已内置了通用的登录提示符,涵盖了大多数字符设备,这些设备运维审计系统都能代填成功。

当通用的登录提示符满足不了需求时,运维审计系统支持用户自定义登录提示符。配置登录提示符时,可以针对单个资产配置,也可以针对资产类型配置。匹配时单个资产登录提示符的优先级最高,资产类型的次之,通过的最低。

管理员在配置资产适配提示符中,可以只配置通用提示符处理不了的过程,不需要全都过程都填写。例如,一台设备的普通用户提示符是“-”,通用提示符对于其他登录过程都支持,则管理员只需要修改普通提示符为“-”,其他登录过程会按照通用提示符进行匹配。

  1. 选择资产 > 配置 > 资产适配
  2. 单击新建,设置各参数,完成后单击确定
    参数 说明
    资产分类 取值包括资产类型资产。如果选择资产类型,请继续选择具体的资产类型;如果选择资产,请单击添加具体的资产。
    部门 资产所属的部门。
    服务选项
    • 协议名:取值包括sshtelnet
    • 服务名:指资产的访问协议名称。字符串格式,长度范围是1~30个字符。
    帐号 资产的帐号。如果留空,代表匹配所有帐号。
    普通提示符 普通帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符为>。仅影响改密和帐号发现。
    特权提示符 特权帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符为#。仅影响改密和帐号发现。
    帐号切换命令 帐号的切换命令,字符串格式,长度范围是1~100个字符,支持正则表达式。默认切换命令为su

    当配置了使用切换自的资产,且切换命令非默认切换命令时,需要配置该值。仅影响访问和登录测试。

    切换密码提示 切换时的密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用切换密码提示为Password:

    当配置了使用切换自的资产,且切换密码提示非默认切换命令时,需要配置该值。仅影响访问和登录测试。

    登录名提示 系统的登录名提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认登录名提示为login:

    当资产的登录名提示非默认登录名提示时,需要配置该值。仅影响Telnet协议的访问和登录测试。

    登录密码提示 系统的登录密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用登录密码提示为Password:

    当资产的登录密码提示符非默认登录密码提示符时,需要配置该值。仅影响访问和登录测试。

    Note: 配置正则表达式时,* ( ) + ? \ [ ]{}为特殊字符,需要转义,转义符为\。例如,*转义为\*。

4.11 客户端代填兼容性列表

用户通过运维审计系统访问B/S、C/S应用系统,运维审计系统在代填帐号、密码等登录信息时,不同的客户端支持情况有所不同。

Note:
  • 对于B/S应用来说,运维审计系统能否代填成功不仅与使用的浏览器类型和版本有关系,还与具体应用系统有关系。
  • 对于C/S应用来说,运维审计系统是否支持代填主要取决于客户端软件的版本和中英文环境,服务器端的版本和中英文环境基本无影响(Oracle数据库除外)。
  • 本兼容性列表仅代表实验室验证结果。
表4.12 客户端代填兼容性列表
客户端名称和版本 资产类型和版本 登录代填 备注
Firefox 55 ~ 59
  • B/S
  • Weblogic
支持 Chrome代填需要安装JAVA,建议安装JRE 1.8。
Chrome 65
Internet Explorer 11 B/S IE 支持
  • 不支持Edge
  • 不支持js Iframe跨域
sqlplusw 10(图形界面) Oracle:
  • Oracle 9i
  • Oracle Database 10g
  • Oracle Database 11g
  • Oracle Database 11g Release 2 RAC
  • Oracle Database 12c
支持
SqlDbx英文版
Toad 12英文版
PL/SQL Developer 11.0英文版
OEM
  • Oracle Database 11g
  • Oracle Database 11g Release 2 RAC
  • Oracle Database 12c
B/S模式下支持 Oracle 9i和Oracle Database 10g不支持。
SQL Developer 1.5.5 Oracle 不支持
SSMS 2014中文版 SQL Server 支持 连接方式为TCP,且身份认证方式为SQL Server(Windows身份认证方式不支持)
Navicat中文版 MySQL 支持
SQLyog中文版 MySQL 支持
Quest Central DB2 不支持
SqlDbx for DB2英文版 DB2 支持
Toad for DB2 DB2 支持 用户第一次登录时由于会出现引导页面而导致无法代填,请手工填写。
SQL Advantage C/S 支持
vncviewer 5.2.3中文版 C/S 支持
Radmin 3.4 C/S 支持
ASDM C/S 支持
VpxClient 6.0 C/S 支持
Sybase Central v4.3 C/S 支持

5 权限管理

通过权限配置,用户可以实现对运维审计系统资产的访问。

5.1 权限配置目的

用户通过运维审计系统可以访问在其上的资产,需要针对不同权限的用户指定其相应的访问规则。

例如:指定系统管理员只能访问主机类型资产,不能访问网络类型资产。

5.2 权限配置四要素

配置一个基础权限需要四要素,配置好四者的对应关系,就能形成访问权限。
  • 谁来访问:运维审计系统上的帐号。
  • 访问什么资产:运维审计系统的待访问资产。
  • 使用什么协议:运维审计系统资产上的访问协议。
  • 使用什么访问帐号登录资产:运维审计系统的资产帐号。

例如:felix帐号使用administrator帐号和RDP协议访问Windows2012资产。

5.3 扩展的访问权限

运维审计系统还支持从资产访问的各种角度对权限进行精细化管理。

  • 允许/禁止访问的时间范围。
  • 允许/禁止访问的IP范围。
  • 允许/禁止图形会话磁盘映射。
  • 允许/禁止图形会话剪切板上下行。
  • 允许/禁止文件传输上传下载权限。
  • 上传下载单文件大小限制。

5.4 配置权限方法

运维审计系统有两种配置权限的方法:

  1. 变更单:可以通过提交电子变更单的方式,将变更单上的权限应用于运维审计系统上。此方式支持指定权限的到期时间。
  2. 动态权限:在运维审计系统上直接选择用户、资产、访问帐号,形成访问权限。此方法配置快速便捷。

5.5 配置权限

通过变更单、动态权限配置基础权限,通过规则模板配置扩展权限。

5.5.1 配置动态权限

动态权限可以让管理员快速、灵活地配置权限。

管理员通过指定动态权限的基础四要素(用户、资产、协议、帐号),可以快速地完成权限配置。

如果存在多条动态权限,各条权限之间是并集关系。即满足任一条权限,用户即可访问。

配置四要素时,既可以指定具体的取值,也可以指定筛选规则。

Note: 协议只能指定具体的值。

指定规则可以让管理员针对各种属性做出灵活地匹配。针对用户、资产或帐号,管理员可以指定多条规则,必须满足指定的所有的规则,才能够匹配该条权限。

当管理员在运维审计系统上添加用户、资产、访问帐号的时候,已经设置了相关的属性,例如针对用户的用户名、工作邮箱、角色、认证方式等;针对资产的资产名、IP、责任人等。可以通过条件匹配的方式,匹配出具有相同属性的内容。

运维审计系统中的数据有两种格式,一种是字符串格式,一种是日期格式。

  • 字符串格式:运维审计系统中大多数据属于这种格式,可以使用的匹配方法为:=、!=、>、<、>=、<=、包含、不包含、正则匹配、正则不匹配、前缀为、非前缀为、后缀为、非后缀为

  • 日期格式:运维审计系统中指定了扩展信息并且使用了日期类型的数据属于这种格式,可以使用的匹配方法为:在日期范围内不在日期范围内。日期格式只能和日期格式进行匹配,如果使用字符串格式和日期格式进行匹配,内容即使一致,匹配也会失败。

表5.1 动态权限匹配方式说明
匹配方式 说明
= 被匹配的数据要和内容完全匹配。
!= 被匹配的数据要和内容完全不匹配。
> 被匹配的数据的ASCII码要大于内容的ASCII码。
< 被匹配的数据的ASCII码要小于内容的ASCII码。
>= 被匹配的数据的ASCII码要大于或等于内容的ASCII码。
<= 被匹配的数据的ASCII码要小于或等于内容的ASCII码。
包含 被匹配的数据要包含内容。
不包含 被匹配的数据要不包含内容。
正则匹配 被匹配的数据要和内容的正则表达式完全匹配。
正则不匹配 被匹配的数据要和内容的正则表达式完全不匹配。
在日期范围内 被匹配的数据的日期要在时间范围内。
不在日期范围内 被匹配的数据的日期不要在时间范围内。
前缀为 被匹配的数据的前缀要内容完全匹配。
非前缀为 被匹配的数据的前缀要内容完全不匹配。
后缀为 被匹配的数据的后缀要内容完全匹配。
非后缀为 被匹配的数据的后缀要内容完全不匹配。
  1. 选择权限 > 权限配置 > 动态权限
  2. 单击新增动态权限,设置各参数,完成后单击保存
    参数 说明
    名称 动态权限的名称。字符串格式,长度范围是1~30个字符。
    规则模板 动态权限引用的规则模板,具体请参见配置规则模板
    部门 动态权限所属的部门,缺省为ROOT。部门的具体配置请参见配置部门
    用户 设置能够访问目标资产的用户。
    • 全部用户
    • 用户/用户组:单击选择用户或者用户组。
    • 指定规则:单击添加用户筛选规则。支持匹配的用户属性包括:用户帐号、用户名、工作邮箱、备注、角色、认证方式、用户组和所有自定义用户属性。
    资产 设置待访问的目标资产。
    • 全部资产
    • 资产/资产组:单击选择资产或者资产组。
    • 指定规则:单击添加资产筛选规则。支持匹配的资产属性包括:资产名、IP、简要说明、责任人、资产组、资产类型和所有自定义资产属性。
    协议 访问目标资产使用的协议。
    • 全部协议
    • 指定协议:包括ssh、telnet、rdp、xdmcp、vnc和xfwd
    Note: 协议部分中没有列出Tn5250协议,如需启用,请勾选全部协议
    帐号 访问目标资产使用的帐号。
    • 全部帐号
    • 指定帐号:输入访问目标资产使用帐号,多个帐号之间用英文逗号","分隔。
    • 指定规则:单击设置帐号筛选规则。
      • 指定帐号:配置匹配帐号的筛选规则。
      • 帐号类型:配置匹配帐号类型的筛选规则。帐号类型包括特权帐号普通帐号
  • 单击一条动态权限对应的编辑,修改动态权限的各参数。
  • 单击一条动态权限对应的删除,删除这条动态权限。
  • 单击一条动态权限对应的克隆,克隆一条新的动态权限。克隆后除名称不同外其他都相同,管理员可以在此基础上编辑权限,简化权限配置过程。

5.5.2 配置变更单

变更单是一个Excel表格,在上面可以填写名称、申请人、到期时间、使用人、使用资产、访问帐号、协议等信息。最后将变更单上传到运维审计系统形成访问权限。

用户按照运维审计系统提供的变更单模板填写变更单内容,提交访问资产的申请,将权限加载到运维审计系统中,此配置方法还可以设置权限到期时间。

  1. 选择权限 > 权限配置 > 变更单,单击下载模板,将模板文件下载到本地PC。
  2. 编辑模板内容。
    参数 说明
    申请单名称 变更申请单的名称。字符串格式,长度范围是1~128个字符。
    申请人帐号 申请人的帐号,该帐号必须在运维审计系统上存在且状态为活动。
    部门 变更单所属的部门。
    到期时间 申请单中权限到期日期和时间。
    申请原因 变更单申请原因。
    权限

    变更单申请的权限清单。一个变更单中可以有多条权限,一条权限对应一行。每条权限包含以下字段:

    • 使用人:使用人的帐号,该帐号必须在运维审计系统上存在且状态为活动。
    • 资产:要访问的资产名称或者IP。如果输入的IP地址被多个资产共用,那么权限会关联共用IP的全部资产。
    • 帐号:使用资产的哪个帐号访问。
    • 协议:取值包括ssh、telnet、vnc、rdp、xfwd、xdmcp,不填写时表示全部协议。
  3. 单击上传变更单,上传配置好的变更单。
    成功导入变更单后,变更单中的权限会加载到运维审计系统中。

变更单导入运维审计系统后,管理员可以进行以下操作:

  • 单击延期按钮,然后输入延期日期和时间并单击保存,修改对应变更单的结束日期。不输入表示无限期。
  • 单击禁用按钮,禁用该变更单,使权限无效。

    禁用的变更单在默认不显示在页面上,如果需要重新启用,单击筛选,选中状态禁用,筛选出禁用的变更单。如果要重新启用该变更单,请单击启用

  • 单击详情查看变更单的详细信息,包括基本信息和权限清单。详情页面,除了可以执行延期和禁用变更单操作外,还可以删除变更单,修改、克隆和删除权限。
    • 单击基本信息对应的删除按钮,删除变更单。
    • 单击权限各字段的取值(包括用户资产帐号协议规则),修改对应字段的取值。例如单击用户对应的取值,可以增加或者删除用户;单击帐号对应的取值,可以增加或者删除帐号。
    • 单击权限对应的克隆按钮,克隆一条权限。
    • 单击权限对应的删除按钮,删除该条权限。

5.5.3 配置规则模板

扩展的访问权限可以在这里配置。

权限配置除了配置用户、资产、访问帐号的基础权限,还可以配置磁盘映射、文件传输等扩展权限。运维审计系统中的扩展权限是通过规则模板配置的。

规则模板

规则模板中可以定义磁盘映射、剪贴板上下行、文件传输上下行、文件传输单文件大小限制等权限,管理员可以配置基础权限的规则模板来增加对基础权限的限制。规则模板中可以定义多个规则列表。

规则列表

规则列表属于规则模板中的详细条目,规则列表可以对访问时间、访问IP做限制。一个规则模板中可以有多个规则列表。当用户访问时,会按照规则列表中从上至下,逐一匹配的方式,当所有规则列表都不匹配,最终会匹配规则模板中的控制策略。

运维审计系统中有一条名为Default的默认规则模板,该规则模板开放了所有的访问。

  1. 新增规则模板。
    1. 选择权限 > 权限配置 > 规则模板,单击新增规则模板
    2. 配置需要控制的权限。
      图5.1 编辑权限规则模板
      参数 说明
      模板名称 定义该规则模板名称。
      控制策略 选择该条策略禁止或允许访问。
      设为全局缺省模板 运维审计系统中有且只能有一个缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省登录模板”。
      工单缺省模板 运维审计系统中有且只能有一个工单缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省工单规则模板”。
      允许客户端磁盘映射 针对通过Windows RDP方式的访问,是否允许磁盘映射。
      剪贴板 针对图形会话的访问,能否使用剪贴板上下行。
      文件传输权限 是否允许Web页面云盘模式和SFTP模式的文件上传、下载。
      上传/下载单文件限制 通过Web页面云盘模式进行传输,当文件超出该限制,无法上传、下载。

      通过SFTP模式,当文件超出该限制,无法下载,但可以上传,只上传单文件限制部分的大小。例如限制2MB,只上传文件的前2MB部分。

      取值范围为1~10240MB。

      事件级别 当使用告警事件功能时,访问资产可以产生告警事件并发送到日志服务器或邮箱。在这里定义告警事件的级别。

      当定义的告警事件级别不低于系统定义的最低级别,访问资产将发送日志到日志服务器或邮箱。

      告警事件,配置方法参考基本设置:配置告警事件

      标题 告警事件使用什么标题来标记这次的访问事件。标题将出现在当前访问日志的记录中,以方便管理员查看,并且该标题下记录了访问的详细参数。
  2. 新增规则列表。
    1. 单击相应规则模板的规则管理按钮。单击新增规则
    2. 输入规则列表的内容。

      IP范围说明

      • 单IP:IP地址,例如192.168.1.1。
      • IP地址段(掩码):网络号/掩码位数,例如192.168.1.0/24。
      • IP地址段(非掩码):起始IP-结束IP,这种方式要求IP地址连续,例如192.168.1.1-192.168.1.200,
      可以多种IP方式组合,中间通过英文逗号隔开,例如192.168.1.0/24,192.168.2.211。

      时间范围说明

      • 基于星期指定:w[1](每周一)、w[2-4](每周二到每周四)、w[1,4,7](每周一、四、七)。
      • 基于月份指定:m[2](每年2月)、m[3-11](每年3到11月)、m[4,7,9](每年4、7、9月)。
      • 基于小时、分钟指定:T[10:30](每天10:30)、T[08:30-18:30](每天08:30到18:30时间段)。
      • 基于每月中的日期指定:d[4](每月4日)、d[10-20](每月10到20日)、d[1,15,30](每月1、15、30日)。
      • 基于时间段指定:D[20160809](2016年8月9日)、D[20160809-20160910](2016年8月9日到2016年9月10日时间段)、D[20160809,20160811,20160813](2016年8月9日、2016年8月11日、2016年8月13日)。
      每种格式只能出现一次,如果一个格式中有多个内容,请在同一格式中用英文逗号分隔,例如:D[20160806,20160809-20160910]。

      可以多种格式组合,中间通过空格隔开,例如:m[1,3-5,12] d[1,5,7,31] w[1-3,5,7] T[08:30-16:00]。

5.6 查看权限

5.6.1 按用户查看权限

按用户查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。

  1. 选择权限 > 权限查看 > 按用户,单击相应用户,或者使用过滤方式来搜索用户。
  2. 出现的访问权限将以变更单、动态权限、工单方式都显示出来。单击相应权限的来源可以进入相关权限中配置。
    Note:
    • 单击相应用户,在出现该用户的权限列表中,可以通过资产名、帐号再次过滤。
    • 筛选多个用户,然后单击筛选页的导出,可以一次导出多个用户的权限;单击相应用户,单击该用户权限页的导出,可以导出该用户的权限。

5.6.2 按资产查看权限

按资产查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。

  1. 选择权限 > 权限查看 > 按资产,单击相应资产,或者使用过滤方式来搜索资产。
  2. 出现的访问权限将以变更单、动态权限、工单方式都显示出来。单击相应权限的来源可以进入相关权限中配置。
    Note:
    • 单击相应资产,在出现该资产的权限列表中,可以通过用户名、帐号再次过滤权限。
    • 筛选多个资产,然后单击筛选页导出,可以一次导出多个资产的权限。单击相应资产,单击该资产权限页的导出,可以导出该资产的权限。

5.7 配置高危操作

管理员通过配置会话复核或高危命令规则,可以对操作员访问资产和执行命令进行控制,以减小操作员访问资产及执行操作可能存在的风险。

能够使用配置高危操作的角色包括:超级管理员、配置管理员、操作员及其他自定义的拥有高危操作授权的用户。但操作员仅具有进行命令复核和查看复核日志的权限,不能对高危操作规则进行设置。管理员可以通过配置高危操作规则,对特定的操作员访问特定的资产要求在进行复核后才能访问,或对操作员执行特定的命令,要求在进行复核后才能执行或直接拒绝执行,从而达到访问控制和命令控制的目的。

运维审计系统中的配置高危操作,包括配置会话复核和高危命令两部分:
  • 会话复核:对会话进行审核授权和监控,执行的动作包括允许操作和禁止操作。
  • 高危命令:对字符会话执行的命令进行限制和监控,执行的动作包括允许、复核、拒绝、切断、通知。

5.7.1 复核高危操作

当管理员正确地完成了配置会话复核配置高危命令后,操作用户的访问操作如果匹配会话复核或高危命令中的规则,复核人将收到复核提醒。收到复核提醒后,请复核人登录Web界面并进行复核。

复核高危操作又分为复核会话复核高危命令,其中复核高危命令又分为离线复核在线复核。本节将分别对这几种复核操作进行介绍。

会话的复核人,只能为操作用户所选取的固定的一个复核人;命令的复核人,可以是所有可用复核人中的任意一个,每个可用复核人都会收到复核申请消息,当有一个复核人完成复核之后,其他复核人将不能再进行复核。

5.7.1.1 复核会话

需要复核的会话,当操作用户建立会话之后不能执行任何操作,必须等复核人进行确认后才能执行操作。复核人将继续观看用户的所有操作,并在用户将要进行危险操作时及时锁定会话。

复核会话要求复核人能够成功打开字符或图形会话,即当前帐号设置 > 会话配置中的配置正确,且本地PC安装了对应的会话客户端。

当复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,复核人可以将自己的PIN2码及动态令牌的动态密码发给操作员,并由操作员自己进行会话复核,具体方法参见:操作员自行复核

  1. 使用复核人帐号登录运维审计系统 Web界面
  2. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择工作台 > 高危操作 > 待复核 > 待我复核
  3. 查看收到的复核申请,对于复核类型会话复核的复核申请,单击复核,打开对应的会话。
    复核使用的客户端与复核人在帐号设置 > 会话配置中设置的会话访问方式无关。对于字符会话,默认使用Putty打开会话复核窗口;对于图形会话,默认使用web方法打开会话复核窗口。会话打开后,复核人将看到和操作人一样的操作界面,但不能进行任何输入。
  4. 确认该会话合法后,请复核人执行解锁操作允许操作用户进行操作。
    • 字符会话:按空格回车,解锁操作用户的操作。
    • 图形会话:单击窗口右上角的continue按钮,解锁操作用户的操作。
    Note: 复核人必须保持复核窗口打开,从而在线观看用户的所有操作,一旦复核人关闭复核窗口,操作用户的会话也将被自动锁定。
  5. 当复核人发现操作用户将要进行危险操作时,请执行锁定操作,使操作用户无法继续执行任何操作。
    • 字符会话:再次按下空格回车,锁定操作用户的操作。
    • 图形会话:单击窗口右上角的pause按钮,锁定操作用户的操作。
  6. 当复核人需要暂时离开时,可以直接关闭会话窗口,从而锁定会话。
    复核人断开会话后,操作用户将仍然保持连接,但会话会被锁定,不能执行操作。同时复核人会收到会话复核提醒,可以在操作用户的会话关闭前,重新对会话进行复核。

5.7.1.2 复核命令(离线)

离线复核即在不打开复核会话窗口的情况下,处理高危命令复核申请。

仅当命令模板中的规则对应的执行动作为需复核时,复核人才会收到命令复核申请,其他执行动作不会触发命令复核申请。

  1. 使用复核人帐号登录运维审计系统 Web界面
  2. 单击右上角的提醒图标,查看收到的待复核命令的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择工作台 > 高危操作 > 待我复核
  3. 查看收到的复核申请,对于复核类型命令复核的复核申请,查看其复核内容操作用户资产帐号等信息。
  4. 确认命令是否可以执行。
    • 是,单击允许,该命令将直接执行并显示回显。
    • 否,单击拒绝,该命令的执行将被阻断。
    Note: 当一个复核人执行复核操作后,其他复核人收到的复核请求将失效并撤回。操作员也可以自行撤回复核申请。

5.7.1.3 复核命令(在线)

在线复核是指当某个会话的会话复核人同时也是该会话的命令复核人之一时,该复核人可以在打开的会话复核窗口中直接收到操作用户发出的复核申请,并在会话窗口中完成命令复核。

前提:该复核人已参照复核会话打开了会话复核窗口,并观看操作用户的所有操作。

  1. 操作用户发出复核申请后,复核人查看会话窗口中收到的Confirmation信息及其具体执行的命令。
  2. 确认命令是否可以执行。
    • 是,按Y键(忽略大小写),表示允许执行,该命令将直接执行并显示回显。
    • 否,按N键(忽略大小写),表示拒绝执行,该命令的执行将被阻断。
    Note: 当其他复核人或该复核人自己先采用离线复核的方式完成了复核,观看窗口中的复核申请将失效,命令将直接被执行或被阻断。操作员也可以自行撤回复核申请。

5.7.2 查看已复核操作

复核人可以在Web界面中查看自己所完成的所有会话复核和命令复核的日志。

  1. 使用复核人帐号登录运维审计系统 Web界面
  2. 选择工作台 > 高危操作 > 待复核 > 我已复核
  3. 选择会话复核日志页签,查看所有的会话复核日志。
    该日志是一个可翻页的表格,表格中每一行表示一条会话复核记录,每一列信息如下:
    项目 说明
    会话类型 字符会话图形会话
    操作用户 操作用户的用户名和姓名。
    操作资产 建立会话的资产在运维审计系统上的名称。
    帐号 操作用户登录资产所使用的资产帐号。
    完成时间 会话结束后到现在已经过去的时间。如会话仍在进行,则该项显示为空。
    会话时长 会话持续时间。如会话仍在进行,单击刷新。
    状态 会话状态:
    • 活跃:会话仍在进行中。
    • 结束:操作用户已结束了图形会话。
    • 断开:操作用户已结束了字符会话。
    • 强制断开:操作用户因执行命令触发了高危命令中的终止会话规则,会话已被强制切断。
    操作 单击详情可查看该会话的更多详情,包括:
    • 来自:发起会话的客户端IP。
    • 登往:被访问资产的IP。
    • 帐号:操作用户登录资产所使用的资产帐号。
    • 协议:建立会话所使用的协议。
    • 状态:会话状态,含义同上。
    • 执行时间状态表格:状态显示为允许执行禁止执行,表示会话过程中复核人进行锁定和解锁的记录,并显示具体的时间点。
    Note: 复核人可以在搜索框中输入操作用户或操作资产名称,快速检索对应的会话复核记录。
  4. 选择命令复核日志页签,查看所有的命令复核日志。
    项目 说明
    复核类型 固定取值为命令复核
    复核内容 操作用户执行的具体命令。
    操作用户 操作用户的用户名。
    操作资产 建立会话的资产在运维审计系统上的名称。
    帐号 操作用户登录资产所使用的资产帐号。
    发起时间 发起命令复核到现在已经过去的时间。
    状态 会话状态:
    • 活跃:会话仍在进行中。
    • 结束:操作用户已结束了图形会话。
    • 断开:操作用户已结束了字符会话。
    • 强制断开:操作用户因执行命令触发了高危命令中的终止会话规则,会话已被强制切断。
    复核结果 允许执行拒绝执行,表示命令被复核人允许或阻断。
    Note: 复核人可以在搜索框中输入复核内容、操作用户或操作资产名称,快速检索对应的会话复核记录。

5.7.3 配置会话复核

管理员可以通过在Web界面的会话复核菜单中定义各种规则,来控制具体的会话复核行为,即要求特定的操作用户在访问特定的资产时,必须由特定的复核人进行复核之后,才能在该资产上执行各种操作。

Note: SFTP协议不支持会话复核。
本节以新增一条会话复核规则为例,对配置会话复核进行指导。在已添加了会话复核规则之后,也可以通过单击对应的编辑删除按钮,对已有的会话复核规则进行管理。

如配置了多条操作用户和资产有重复的会话复核规则,则受多条规则影响的操作用户在启动会话时,复核人列表将是所有匹配的会话复核规则中定义的可用复核人的并集。

  1. 使用管理员帐号登录运维审计系统 Web界面
  2. 选择工作台 > 高危操作 > 设置 > 会话复核
  3. 单击右上角的新增会话复核
  4. 填写会话复核规则的名称。
    该名称为一个长度1~30的字符串,全局唯一。
  5. 添加会话复核人。单击,在弹出的对话框中选择用户用户组页签,勾选待添加的用户或用户组。
    在配置了会话复核之后,操作用户访问资产且匹配会话复核规则时,在会话启动前会要求选择会话复核人,该会话复核人将在此处添加的会话复核人中选取。
    Note:
    • 会话复核人必须是具有高危操作中的复核权限(例如审计管理员不具有复核权限),且可以正常登录的用户(不存在帐号过期、密码过期、被禁用),否则都无法作为会话复核人:
      • 无法作为会话复核人的用户,将不被显示在可勾选列表中。
      • 用户组中如包含无法作为会话复核人的用户,该用户将被忽略。
      • 如只勾选了用户组,但用户组为空,或所有用户组中都只包含无法作为会话复核人的用户,则该会话复核规则将无法生效,会话将不被复核。
    • 复核人可以和操作人相同,当某用户被同时配置为了复核人和操作用户时,如还有其他复核人,则该用户访问资产时只能选择其他的复核人进行复核;如没有其他复核人,则该用户的访问不需要复核。
    • 如添加了多个用户和用户组,且互相之间有重复用户,则复核人将取所有勾选的用户和用户组之间的并集。
  6. 添加需要进行会话复核的操作用户。单击,在弹出的对话框中选择用户用户组页签,勾选待添加的用户或用户组。可以勾选临时操作用户,将所有临时用户也都添加到待复核的操作用户名单中。
    Note:
    • 操作用户必须是具有访问资产权限(例如审计管理员不具有访问资产权限),且可以正常登录的用户(不存在帐号过期、密码过期、被禁用),否则都无法作为操作用户:
      • 无法作为操作用户的用户,将不被显示在可勾选列表中。
      • 用户组中如包含无法作为操作用户的用户,该用户将被忽略。
      • 如只勾选了用户组,但用户组为空,或所有用户组中都只包含无法作为操作用户的用户,则该会话复核规则将无法生效。
    • 如添加了多个用户和用户组,且互相之间有重复用户,则操作用户将取所有勾选的用户和用户组之间的并集。
  7. 添加建立会话时需要进行复核的资产。单击,在弹出的对话框中选择资产资产组页签,勾选待添加的资产或资产组。
    如添加了多个资产和资产组,且互相之间有重复资产,则将取所有勾选的资产和资产组之间的并集。
  8. 添加资产帐号,仅当使用该资产帐号访问资产时需要进行会话复核。
    默认勾选全部帐号,即操作用户使用任何帐号访问特定资产时都需要会话复核。如需单独设置帐号,请去勾选全部帐号,请在下方的对话框中,输入要添加的帐号,并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号,选中某个帐号或者按回车之后,该帐号将在下方表格中列出,表示添加成功。
  9. 设置开始待审核会话时生成事件
    1. 设置事件级别。在下拉菜单中选中一个事件级别。

      事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。

    2. 设置标题,格式为一个长度1~30的字符串。
    Note: 开始待审核会话时生成事件会影响告警事件和短信通知。
    • 当触发会话复核时:
      • 系统设置 > 系统 > 基本设置 > 告警事件中的syslog日志事件来源会话复核选项被勾选,运维审计系统会将该事件发送给syslog服务器。
      • 通知邮件事件来源会话复核选项被勾选时,运维审计系统会将该事件发送邮件给设定的邮件收件人。如勾选了事件触发者,会同时发送给发起会话的用户。
      • 短信配置 > 发送短信功能中的会话复核被勾选,并且指定的会话复核人配置了手机号码时,则运维审计系统会将该事件发送短信给该复核人。
    • 仅当事件级别不低于syslog日志事件来源通知邮件事件来源中配置的发送事件的最低级别时,才会发送相应的日志或邮件通知。
    • 此处配置的事件级别标题,都将显示在触发高会话复核后运维审计系统发送的日志、邮件、短信的内容中。
  10. 确定配置无误后,单击保存,使规则生效。
完成配置后,如果在进行配置会话复核时配置有误,或者管理员后续对于用户或资产的操作对会话复核配置有影响,都会导致会话复核规则的状态异常。例如复核人用户组中成员都没有会话复核权限,帐号过期或被禁用,用户组/资产组被清空等。此时运维审计系统会通过以下手段进行通知:
  • 状态异常的会话复核名称会显示为红色。
  • 所有超级管理员和配置管理员,在每次登录时右上角会收到提醒,提示哪些会话复核存在问题。
  • 当某个操作使某条会话复核规则的状态由正常变为异常时,所有在线的超级管理员都会收到提示。
  • 当操作用户访问资产时触发会话复核规则,而没有可用的会话复核人时,操作用户访问资产的行为将被阻止,并且收到无权访问资产的提示。
请管理员在收到系统提醒或收到操作用户的反馈时,及时处理状态异常的会话复核规则,保证每条规则中可用的复核人、操作用户、资产都不为空。可以单击会话复核列表中的,在弹出的窗口中,查看指定规则对应的可用的复核人、操作用户、资产有哪些。

5.7.4 配置高危命令

管理员可以通过在Web界面的高危命令菜单中定义各种规则,针对特定的用户、资产、帐号启用特定的高危命令模板,从而对用户在字符会话中的操作行为进行控制。

该配置需要预先定义命令模板,并在此处引用。
Note:

高危命令只对Telnet/SSH字符会话有效,如通过XDMCP或XFWD等图形会话方式打开字符终端并执行命令,将不受高危命令的约束。

高危命令的上下顺序代表优先级高低,单击可以调整优先级。当配置了多个命令模板,命令模板中有多条可匹配的规则时,建立会话时的命令权限检查流程流程图如图5.2 命令权限检查流程图所示。

图5.2 命令权限检查流程图

本节以新增一条高危命令规则为例,对配置高危命令进行指导。在已添加了高危命令规则之后,也可以通过单击对应的编辑删除按钮,对已有的高危命令规则进行管理。

  1. 使用管理员帐号登录运维审计系统 Web界面
  2. 选择工作台 > 高危操作 > 设置 > 高危命令
  3. 单击右上角的全局缺省策略,将全局缺省策略配置为允许执行禁止执行,完成后单击保存

    如果所有的高危命令的都无法匹配,则使用此全局缺省策略。全局缺省策略的缺省值为允许执行

  4. 单击右上角的新增高危命令
  5. 填写高危命令规则的名称。
    该名称为一个长度1~30的字符串,全局唯一。
  6. 在下拉菜单中选择待引用的命令模板的名称。该模板必须先在设置 > 命令模板中定义,然后在此引用。
  7. Optional: 当模板中存在需复核的规则时,添加高危命令复核人。单击,在弹出的对话框中选择用户用户组页签,勾选待添加的用户或用户组。
    在配置了高危命令的复核人之后,当操作用户触发高危命令,且在命令模板中设置的高危命令的执行动作需复核时,运维审计系统会将命令复核提醒发送给每一个可用的复核人,由其中任意一人完成命令复核。
    Note:
    • 高危命令复核人必须是具有高危操作中的复核权限(例如审计管理员不具有复核权限),且可以正常登录的用户(不存在帐号过期、密码过期、被禁用),否则都无法作为复核人:
      • 无法作为复核人的用户,将不被显示在可勾选列表中。
      • 用户组中如包含无法作为复核人的用户,该用户将被忽略。
      • 如只勾选了用户组,但用户组为空,或所有用户组中都只包含无法作为会话复核人的用户,则该高危命令规则将无法生效。
    • 复核人可以和操作人相同,当某用户被同时配置为了复核人和操作用户时,如还有其他复核人,则该用户执行高危命令时只能由其他的复核人进行复核;如没有其他复核人,则该用户的访问不需要复核。
    • 如添加了多个用户和用户组,且互相之间有重复用户,则复核人将取所有勾选的用户和用户组之间的并集。
  8. 添加操作用户,被添加的操作用户执行操作时会触发高危命令。

    操作用户默认勾选全部用户。如需单独设置操作用户,请去勾选全部用户,并单击,在弹出的对话框中选择用户用户组页签,勾选待添加的用户或用户组。可以勾选临时操作用户,将所有临时用户也都添加到待复核的操作用户名单中。

    管理员也可以选中排除以下用户,然后选择要排除的用户。

    Note:
    • 操作用户必须是具有访问资产权限(例如审计管理员不具有访问资产权限),且可以正常登录的用户(不存在帐号过期、密码过期、被禁用),否则都无法作为操作用户:
      • 无法作为操作用户的用户,将不被显示在可勾选列表中。
      • 用户组中如包含无法作为操作用户的用户,该用户将被忽略。
      • 如只勾选了用户组,但用户组为空,或所有用户组中都只包含无法作为操作用户的用户,则该高危命令规则将无法生效。
    • 如添加了多个用户和用户组,且互相之间有重复用户,则操作用户将取所有勾选的用户和用户组之间的并集。
  9. 添加资产,在被添加的资产上执行操作时会触发高危命令。

    资产默认勾选全部资产。如需单独设置资产,请去勾选全部资产,并单击,在弹出的对话框中选择资产资产组页签,勾选待添加的资产或资产组。如添加了多个资产和资产组,且互相之间有重复资产,则将取所有勾选的资产和资产组之间的并集。

    管理员也可以选中排除以下资产,然后选择要排除的资产。

  10. 添加资产帐号,仅当使用该资产帐号访问资产并执行操作时会触发高危命令。

    默认勾选全部帐号,即操作用户使用任何帐号访问特定资产时都会触发高危命令。如需单独设置帐号,请去勾选全部帐号,请在下方的对话框中,输入要添加的帐号,并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号,选中某个帐号或者按回车之后,该帐号将在下方列出,表示添加成功。

    管理员也可以选中排除以下帐号,然后输入要排除的帐号,多个帐号之间用英文逗号","分隔。

  11. 设置生效时间

    配置生效时间的格式如下:

    • 周:w[1-3,5,7]
    • 月:m[1,3-5,12]
    • 天:d[1,5,7,31]
    • 日期:D[20180101,20180101-20180301]
    • 时间:T[03:30-18:00]

    利用该功能,可以实现以下效果:

    • 特定的命令只在特定的时间段做限制
    • 不同的时间段对不同的命令做限制
  12. 设置触发高危命令时生成事件
    1. 设置事件级别。在下拉菜单中选中一个事件级别。

      事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。

    2. 设置标题,格式为一个长度1~30的字符串。
    Note: 触发高危命令时生成事件会影响告警事件和短信通知。
    • 当触发高危命令时:
      • 系统设置 > 系统 > 基本设置 > 告警事件中的syslog日志事件来源命令防火墙选项被勾选,运维审计系统会将该事件发送给syslog服务器。
      • 通知邮件事件来源命令防火墙选项被勾选时,运维审计系统会将该事件发送邮件给设定的邮件收件人,如勾选了事件触发者,会同时发送给触发高危命令的用户。
      • 短信配置 > 发送短信功能中的命令复核被勾选时,运维审计系统会将该事件发送短信给所有设置了手机号的复核人。
    • 仅当事件级别不低于syslog日志事件来源通知邮件事件来源中配置的发送事件的最低级别时,才会发送相应的日志或邮件通知。
    • 此处配置的事件级别标题,都将显示在触发高危命令后运维审计系统发送的日志、邮件、短信的内容中。
  13. 确定配置无误后,单击保存,使规则生效。
完成配置后,如果在进行配置高危命令时配置有误,或者管理员后续对于用户或资产的操作对高危命令配置有影响,都会导致高危命令规则的状态异常。例如因审核人用户组中成员都没有操作复核权限,帐号过期或被禁用,用户组/资产组被清空等。此时运维审计系统会通过以下手段进行通知:
  • 状态异常的高危命令名称会显示为红色。
  • 所有超级管理员和配置管理员,在每次登录时右上角会收到提醒,提示哪些高危命令规则存在问题。
  • 当某个操作使某条高危命令规则的状态由正常变为异常时,所有在线的超级管理员都会收到提示。
  • 当操作用户访问资产并执行一条需要复核的高危命令,而没有可用的复核人时,操作执行的命令将直接失败,并且收到没有可用复核人的提示。
请管理员在收到系统提醒或收到操作用户的反馈时,及时处理状态异常的高危命令规则,保证每条规则中可用的复核人、操作用户、资产都不为空。可以单击高危命令列表中的,在弹出的窗口中,查看指定规则对应的可用的复核人、操作用户、资产有哪些。

5.7.5 配置命令模板

命令模板定义了高危命令触发的基本规则,即哪些命令会触发高危命令事件,以及触发之后具体执行的动作,包括:允许、拒绝、需复核、通知和终止会话。

命令模板采用正则表达式进行精确匹配。运维审计系统使用通用的正则表达式规则,请查阅正则表达式的通用规范书写正则表达式。表达式可以写成命令+空格+参数的形式,也可以写成仅命令的形式:
  • 命令+空格+参数:包含空格的表达式。运维审计系统会严格按照该正则表达式进行匹配。例如,表达式rm -rf只能匹配到完整的rm -rf命令,无法匹配到rm -rf files,需要将表达式写成rm -rf.*从而匹配到命令rm -rf files
  • 仅命令:不包含空格的表达式。运维审计系统会将表达式视作一条不带参数的命令,匹配该表达式本身,以及携带任何参数的情况,即正则表达式expr可匹配命令(expr)|(expr +.*)。例如,表达式shutdown可以匹配到shutdown本身,也可以匹配到shutdown 参数的情况,如shutdown -r

当用户执行的命令中存在|&;时,运维审计系统会将这些符号视作分隔符,并将分隔符前后当做不同命令来处理。因此,不能使用通配符匹配命令中的这些分隔符。当被分隔符分隔的命令受不同规则控制时,通知会被执行,其他动作会按照以下优先级:断开会话>拒绝>需复核>允许,只执行优先级最高的动作。

同一模板中的多条规则按从上到下的顺序对应从高到低的优先级。假如同一条命令匹配上了不同的规则,则只会按照这些规则中最上面的一条规则,执行对应的动作。可以在进行规则管理时单击,对规则优先级进行调整。

本节以新增一个命令模板为例,对配置命令模板进行指导。在已添加了命令模板之后,也可以通过单击对应的规则管理按钮编辑规则,或单击编辑按钮编辑模板名称和缺省策略,单击删除按钮删除模板,从而对已有的命令模板进行管理。

  1. 使用管理员帐号登录运维审计系统 Web界面
  2. 选择工作台 > 高危操作 > 设置 > 命令模板
  3. 单击右上角的新增命令模板
  4. 在弹出的对话框中填入命令模板名称、设置缺省策略,并单击保存
    参数 说明
    命令模板名称 用于标识一个命令模板,全局唯一,长度为1~30的字符串。
    缺省策略

    如果资产、用户和帐号都匹配上,但规则中配置的命令没有匹配上时运维审计系统采取的缺省策略,取值包括:

    • 允许:允许用户执行改命令。
    • 禁止:禁止用户执行该命令。
    • 无:继续匹配下一条高危命令。
    单击保存后,命令模板列表中会显示该新增的模板。需要继续为该模板配置具体的规则。
  5. 命令模板列表中找到新增的规则,单击对应的规则管理
  6. 编辑命令模板规则的具体内容。
    1. 单击新增规则,为命令模板新增一条规则。
    2. 在新增的规则中设置执行动作,在下拉菜单中选择一个动作,匹配上对应的命令之后将执行对应的动作。
      执行动作 说明
      允许 匹配上的命令将被允许执行。
      拒绝 匹配上的命令将被拒绝执行。
      终止会话 用户执行一条匹配的命令时,将在收到提示后直接断开该会话。
      需复核 用户执行一条匹配的命令时,将收到需要复核的提醒。操作员确认后,复核人将收到复核提醒。完成复核后,该命令才能执行。
      通知 不影响用户执行命令,但如配置了syslog日志通知、邮件通知、短信提醒等功能,该命令将触发事件并作为日志、邮件、短信的内容通知日志服务器或通知对象。
      Note:缺省策略允许/禁止时,单独配置规则的执行动作为允许/拒绝没有必要。但允许禁止的动作可以按照优先级互相覆盖。管理员可以结合运用缺省策略、执行动作和优先级,实现更精确的范围控制。例如,将缺省策略配置为禁止允许rm拒绝rm -rf.*,且设置允许的优先级较高,就可以实现只允许rm,并可以搭配其他参数,但拒绝rm -rf.*
    3. 在新增的规则中设置命令控制,在输入框中输入命令的正则表达式。输入一条表达式之后按回车键可以继续输入第二条表达式。
    4. 重复6.a~6.c,直到所有规则添加完毕。
    5. 单击调整各规则之间的优先级。
    6. 确认无误后,单击保存
命令模板配置之后,必须在高危命令中被引用才能生效。

6 资产访问

能够访问资产的用户角色包括:操作员超级管理员配置管理员自动化管理员及其他自定义的拥有资产访问授权的用户角色。本章节指导用户完成运维审计系统所有基本的资产访问操作。资产访问可以通过Web界面访问,也可以直接通过RDP或SSH/Telnet工具先登录到运维审计系统后,再跳转访问各种资产。

在访问资产前,请先确保已完成以下设置:
  • 已完成安装AccessClient
  • 已完成资产的创建和帐号设置。
  • 已完成了对待访问资产的权限配置,允许当前用户访问。
  • 如不使用密码托管,已获取了待登录设备的帐号和密码。
运维审计系统所支持的所有可访问的资产类型如下:
资产类型 说明
主机 包含Windows、Linux、HP UX、IBM AIX、IBM AS/400
网络设备 包含Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware、General Network。
数据库 包含Oracle、MSSQL、MYSQL、DB2。
应用系统 包含B/S、C/S、Weblogic、BS IE。
运维审计系统所支持的所有资产访问协议如下:
访问协议 说明
SSH Secure Shell。一种字符终端服务,但是因为使用加密通信因此更加安全。SSH目前已经广泛用于各种Unix-like类和网络设备中,其默认通信端口为TCP 22。
Telnet 字符终端服务之一,主要用于网络设备、各种带外管理口和较老的Unix、Linux设备中,默认的通信端口为TCP 23,是一种明文传输方式。
RDP Remote Desktop Protocol,远程桌面协议。是由微软开发的一种专有图形会话协议,默认通信端口为TCP 3389。
XDMCP X Display Manager Control Protocol,Unix中默认的图形访问协议。使用该服务要求目标设备开启UDP 177端口。
VNC Virtual Network Computing。一种使用RFB协议的显示屏画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的显示屏画面。VNC与操作系统无关,因此可跨平台使用。默认通信端口为5900,也可以设置在5900-5999之间。
XFWD X11 Forwarding。一种采用SSH进行端口转发,实现Unix-like设备图形访问的方法。使用该服务要求必须为目标设备配置SSH服务,并开放目标设备上sshd服务的X Forward功能。
SFTP SSH File Transfer Protocol,也称Secret File Transfer Protocol,SSH文件传输协议,是一种数据流连接,提供文件访问、传输和管理功能的网络传输协议。
TN5250 一种字符会话协议,用于运维审计系统和IBM AS/400之间的通信。

6.1 查找资产

访问运维审计系统中的资产,需要先根据资产管理权限管理,配置添加好对应的资产及权限,然后查找到对应的资产并进行访问。

在Web界面中查找资产主要有以下方式:

6.1.1 直接查找

  1. 使用操作员帐号登录运维审计系统 Web界面
  2. 选择工作台 > 访问资产
  3. 在左侧导航栏中,选择动态视图中的具体节点,查看对应节点下资产。
  4. (可选)在右侧下拉菜单中选择快速搜索,并在搜索框中输入资产名称/IP/简要说明/系统帐号,并按回车键进行搜索;或在下拉菜单中选择高级筛选,设置待查找资产对应的筛选条件并单击筛选,进行资产筛选。
  5. 在右侧列表中找到对应的资产,列表从左到右会依次显示资产名称、IP、简要说明、快捷登录、登录选项及收藏按钮。

6.1.2 在最近访问中查找

  1. 选择工作台 > 访问资产。如已在访问资产界面,单击左上角的访问资产图标,返回访问资产主界面。
  2. 在右侧选择最近访问页签。下方会根据访问时间由近到远,依次列出最近访问过的资产。选择一条资产进行访问。

6.1.3 添加收藏并访问收藏

  1. 访问资产界面的资产列表最右侧,单击,将该条资产加入登录用户的收藏中。
  2. 选择工作台 > 访问资产。如已在访问资产界面,单击左上角的访问资产图标,返回访问资产主界面。
  3. 选择收藏页签,下方会列出登录用户所有收藏的资产。选择一条资产进行访问。

6.2 建立会话

通过运维审计系统建立会话有以下3种方式。

会话(Session)是指用户通过本地终端与目标资产设备之间建立连接,并进行通信的过程。通过运维审计系统建立的会话分为字符会话、图形会话、数据库会话和文件传输会话。

为了保证安全性,运维审计系统要求用户不能直接从本地终端访问目标资产,而是先登录运维审计系统,再通过运维审计系统访问目标资产,从而使用户可以访问目标资产,即建立起本地终端和目标资产之间的会话。

6.2.1 通过Web界面建立会话

通过运维审计系统的Web界面建立会话,支持运维审计系统中所允许的所有形式的访问。基于Web界面的各种资产访问方式的步骤基本一致,只在前提条件和配置步骤上有一些差异,本文仅给出通用的步骤,并对不同访问方式的差异进行说明。

当前登录帐号使用的全局会话设置,请在帐号设置菜单中修改。请参考修改会话配置完成帐号会话配置的修改。

针对不同的资产类型和通信协议,访问相应的资产需要满足的前提条件如下。如资产无法访问,请联系管理员检查以下前提条件是否满足,并参考资产管理权限管理完善配置。

主机和网络设备

表6.1 主机/网络设备支持的不同协议类型的前提条件
主机类型 协议类型 前提条件
Linux、HP UX、IBM AIX主机和各种网络设备 SSH
  • SSH访问规则中没有对运维审计系统的IP进行限制。
  • 待访问主机的防火墙已开放了SSH服务所用的端口,如TCP 22。
Telnet
  • 待访问主机上已安装了telnet-server,并启用了telnet.socket服务。
  • 待访问主机上Telnet的配置如不支持缺省root帐号登录,待访问主机上已配置了root帐号以外的其他可访问帐号。
  • 待访问主机的防火墙开放了Telnet服务所用的端口,如TCP 23。
VNC
  • 待访问主机上已安装了VNC Server,如tigervnc-server,并启动了相关服务。
  • 待访问主机上已安装了图形界面工具,如gdm或lightdm,并启动了相关服务。
  • 已为VNC Server配置了用于远程访问的密码。
  • 待访问主机的防火墙已开放了VNC服务所用的端口,如TCP 5901。
  • 待访问主机在运维审计系统上配置的访问权限支持通过any帐号访问。
XDMCP
  • 待访问主机上已安装了图形界面工具,如lightdm和xfce桌面,并启动了相关服务。
  • 待访问主机的防火墙已开放了XDMCP服务所用的端口,如UDP 177。
XFWD
  • 待访问主机上已安装了图形界面工具,如lightdm和xfce桌面,并启动了相关服务。
  • 待访问主机上已安装了终端模拟器工具,如xterm。
  • 待访问主机的/etc/ssh/sshd_config的X11_Forwarding已设置为yes
  • 待访问主机的防火墙已开放了SSH服务所用的端口,如TCP 22。
SFTP
  • 本地PC上已安装了FileZilla或WinSCP工具,和帐号设置 > 会话配置 > 文件传输中设置的会话访问方式相匹配。
  • 待访问主机的防火墙已开放了SSH服务所用的端口,如TCP 22。
Windows主机 RDP
  • 待访问的主机支持远程桌面连接,并且被设置为允许连接。
  • 待访问主机的防火墙已开放了RDP服务所用的端口,如TCP 3389。
VNC
  • 待访问的主机安装了VNC server。
  • 已为VNC Server配置了用于远程访问的密码。
  • 待访问主机的防火墙已开放了VNC服务所用的端口,如TCP 5900。
  • 待访问主机在运维审计系统上配置的访问权限支持通过any帐号访问。
IBM AS/400主机 TN5250
  • 运维审计系统已启动了tn5250.service和tn5250-sessmgr.service服务。
  • 待访问主机和运维审计系统的防火墙都开放了Telnet服务所用的端口,如TCP 23。
  • 本地PC上已安装了pcomm工具。
数据库
  • 待访问的数据库所安装的主机,满足表6.1 主机/网络设备支持的不同协议类型的前提条件
  • 应用发布服务器已安装了对应的数据库软件并完成相关配置,如:SqlDbx , Toad , oem , plsqldev , sqldeveloperW , sqlplusw,Ssms,SQLyog , navicat,QuestCentral , SqlDbxForDB2 , ToadForDB2。如需要密码代填,已完成代填脚本的导入。

应用系统

  • 应用发布服务器状态正常。
  • 运维审计系统上已完成了应用发布远程客户端的相关配置。如需要密码代填,已完成代填脚本的导入。

通过Web界面建立会话的配置步骤如下:

  1. 使用操作员帐号登录运维审计系统 Web界面并查找资产
  2. 单击访问,在下拉菜单中配置会话相关参数。
    表6.2 配置会话参数
    参数 说明
    系统帐号 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
    • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
    • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
    • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。
    Note:
    • 帐号名称之前有*,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    客户端 仅当访问的资产是数据库、应用系统时需要配置。

    用于选择使用哪种客户端打开对应的资产。选项范围为由超级管理员全局添加并由配置管理员在配置资产时勾选的所有客户端。

    屏幕大小 仅当帐号设置中RDP会话使用mstsc方式启动,且待访问的资产为Windows主机或应用系统时为需要配置。应用系统需要该应用的远程客户端设置中,RemoteAPP参数设置为不使用,否则将不显示该参数。

    用于选择打开的远程会话的屏幕的分辨率。

    磁盘映射 仅当帐号设置中RDP会话使用mstsc方式启动,并且访问的资产是Windows主机(使用RDP方式登录)、应用系统时需要配置。用于标识是否启用磁盘映射并选择磁盘映射的盘符。

    启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。

    启用Console连接

    仅当使用RDP方式登录Windows主机,且该资产的RDP访问协议设置中勾选了console时显示该参数。

    仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
    Note:
    • 所有资产在被访问过之后,都会生成一个快捷登录图标,如,也可以直接单击该图标,采用和上次访问同样的配置再次访问该资产,或单击更多,选择其他访问过的配置。主机和网络设备即使没有被访问过,也会默认显示一个图标,其他资产之前未被访问过,则不会显示此图标。
    • 如需要一次打开多个资产,请在每一条待启动的资产条目前进行勾选,并单击下方的批量启动按钮。
    • 用户可以单击在线会话列对应的查询按钮,查看当前有哪些在线会话相关会话相关会话只针对主机资产,当不同的主机资产的IP地址相同时,这些资产的会话都会显示在这里。
    • 用户可以通过单击右上角的,勾选访问界面要显示的列信息,包括资产名称、资产IP、部门和简要说明。
  3. 确认配置无误后,单击启动建立远程会话并打开。
    Note:
    • 使用VNC连接,启动后需要继续输入在待访问资产的VNC server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击启动。
    • 使用XFWD连接,如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session/usr/bin/xfce4-terminal,打开图形或字符会话。
    • 使用SFTP连接,在当前本地PC首次启动后需要选择FileZilla或WinSCP的安装路径。完成选择之后,后续启动时将不需要再次进行选择。
    • 如超级管理员在系统设置 > 资产 > 访问设置 > 所有会话中设置了默认备注方式为可填必填,则单击启动后会弹出输入的备注的对话框,请输入备注后并单击启动。备注是一个1~100长度的字符串。
    • 使用VNC、XDMCP、XFWD或Web方式启动的RDP协议打开图形会话时,可以单击上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del剪贴板全屏断开连接等操作。
    • 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作

6.2.2 通过Mstsc客户端建立图形会话

通过Mstsc( Microsoft terminal services client)客户端建立到Windows服务器的图形会话有两种方式:RDP直连和RDP透传。

  • RDP直连:操作员使用Mstsc先登录到运维审计系统,在运维审计系统找到待访问的资产后再建立图形会话进行访问。
  • RDP透传:操作员如果提前知道待访问资产的IP地址和登录帐号,并且该帐号在运维审计系统上已托管了帐号密码,可以直接使用Mstsc建立到待访问资产的图形会话。
Note: 不管是RDP直连还是RDP透传,屏幕大小、剪贴板和磁盘映射参数都需要在Mstsc客户端中进行配置。运维审计系统连接到资产时将沿用用户在Mstsc上的配置。

6.2.2.1 RDP直连

  1. 通过RDP登录运维审计系统。界面中会列出当前登录用户所有可以访问的Windows主机资产和上一次连接使用的帐号
  2. Name/IP/Remark(F2)输入待访问资产的名称、IP或说明内容,并按搜索进行搜索。
  3. 选中一条待访问的资产,双击该资产,设置会话参数,并单击确定,建立图形会话。
    表6.3 配置Mstsc客户端图形会话参数
    参数 说明
    帐号 用于标识登录对应资产时所使用的帐号。有以下几种类型:
    • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产。请操作员自行确保该帐号在待访问资产上存在。
    • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
    • 运维审计系统上已添加的资产帐号名称,例如administrator运维审计系统使用该帐号登录到资产设备。
    Note:
    • 帐号名称之前有*,表示改帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    console

    仅当该资产的RDP访问协议设置中勾选了console时显示该参数。

    仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。

6.2.2.2 RDP透传

  1. 在Windows系统的运行或搜索框中输入mstsc,打开远程桌面连接
  2. 参数设置如下,完成后单击连接
    参数 说明
    计算机名 运维审计系统的IP地址
    用户名

    运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号

    Note:
    • 通过RDP透传访问时,目标资产仅支持IP地址,不支持域名。
    • 如果目标资产的IP地址或者帐号输入有误,则进入RDP直连运维审计系统的界面。
    • 如目标资产使用IPv6地址,不能加中括号;如运维审计系统使用IPv6地址,可以加中括号也可以不加。

6.2.3 通过Telnet/SSH客户端建立字符会话

操作员可以使用Telnet/SSH客户端,如Xshell、Putty、SecureCRT,通过SSH登录到运维审计系统,然后选择待访问的资产,并通过Telnet/SSH进行访问。

操作员如果提前知道待访问资产的IP地址和登录帐号,并且该帐号在运维审计系统上已托管了帐号密码,可以直接在字符终端中输入用户名为运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号,IP地址为运维审计系统的IP地址,密码/密钥为该用户名在运维审计系统上的密码/密钥进行访问,例如:
ssh opt/10.10.33.30/root@10.10.33.1
Note: 当使用IPv6地址时,部分客户端支持IPv6地址加中括号,但几乎所有客户端都支持地址不加中括号,因此建议运维审计系统地址和目标资产地址全都不加中括号,例如ssh opt/fc00::1010:32::30/root@fc00::1010:32::1。另外,当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。

通过该方式连接后,操作员可以直接经过运维审计系统登录到待访问资产。运维审计系统会根据该资产配置的访问协议(Telnet/SSH)自动进行连接,如该资产同时配置了Telnet/SSH,则默认使用SSH进行连接。

本节主要介绍通过SSH登录到运维审计系统交互终端,并通过交互终端的菜单选择待资产从而进行访问的过程。通过SSH登录运维审计系统之后,各种基本操作如下:
表6.4 字符会话常用操作
使用场景 输入 说明
最外层资产分组列表菜单 q 退出登录运维审计系统
l 切换语言(从中文到英文,或从英文到中文)
r 重新加载数据
/设备IP、名称或说明 过滤设备
目标资产列表菜单 i 按IP排序
a 按设备名称排序
/设备IP、名称或说明 过滤设备
任意子菜单 直接按回车键 返回上一级菜单
断开到设备的会话后 直接按回车键 回到资产分组列表菜单
r 重新连接到已断开的会话
q 退出登录运维审计系统
  1. 通过SSH登录运维审计系统
  2. 根据提示输入待访问资产所在的资产分类编号,并按回车键确定。界面上会显示出该资产分组下,当前用户所有可访问的资产列表。
    Note: 资产分类会根据修改字符会话配置中的直连分类方式进行展示。如果不存在可用分类,连接后将直接进入未分类资产列表中;如只存在一个可用分类,连接后将直接进入该分类。
  3. 根据提示输入待访问的资产的序号、IP地址或名称,并按回车键确定。
  4. 根据列出的登录帐号列表,输入访问资产要使用的帐号的序号或完整帐号名称(含协议名称),并按回车键确定。
    Note:
    • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
    • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
    • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。

    帐号名称之前有*,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。

    当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。

    该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作

6.3 共享会话

用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。

会话共享支持同一个用户同时共享多个字符或图形会话,并且每个会话都可以共享给多个不同的用户。会话共享后,所有加入共享的用户都将看到同一个会话界面,并且同步所有键鼠操作。

会话共享不要求加入共享的用户拥有该资产的访问权限,只需要开启共享的用户拥有访问权限。

用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。

运维审计系统没有对同一个会话共享加入的人数设置限制,只有字符会话会受到系统设置中字符终端的并发登录数量的限制。但不建议一个会话同时共享给太多人,因为不同人的操作会互相影响。

会话共享有以下使用限制

  • 待共享的会话必须是通过Web界面或Telnet/SSH客户端建立的会话。在本地PC通过Mstsc客户端建立的会话,无法进行会话共享。
  • 会话共享不支持共享AS/400资产会话、SFTP会话和配置了会话复核的会话AS/400资产会话、SFTP会话和配置了会话复核的会话将不会在可共享的列表中显示。
  • RDP会话共享仅支持Web方式。如果帐号设置 > 会话配置 > 图形会话中的图形会话访问方式被设置为mstsc,则所有RDP会话将不会在可共享的列表中显示。
  • 应用系统会话共享,仅支持Web方式且不能使用RemoteAPP。如果系统设置使用RemoteAPP打开应用系统会话,则所有应用系统会话将不会在可共享的列表中显示。如需共享这些会话,请联系超级管理员,在系统设置 > 远程客户端 > 远程客户端中,设置启动应用系统的浏览器的RemoteAPP参数为不使用
  • 只有会话共享的发起者可以将会话共享给其他用户,会话共享的受邀人不能再将该会话共享给其他用户。

6.3.1 发起共享

  1. 通过Web界面建立会话通过Telnet/SSH客户端建立字符会话
  2. 选择工作台 > 访问资产 > 会话共享
  3. 单击共享,打开可共享的会话列表。
  4. 选择要共享的会话,单击邀请
  5. 在受邀人输入框中填入待邀请的用户名称,在下拉菜单过滤中选中该用户,并单击确定,发送邀请给对应的用户。
    Note:
    • 发送邀请后,会话共享列表中将显示该共享会话。受邀人接受邀请之前,发起共享的用户可以单击撤销按钮取消邀请。如发起共享的用户在受邀人接受前关闭该会话或退出登录,邀请也将被自动取消。
    • 受邀人接受邀请之后,发起共享的用户如刷新列表,将看到该会话的操作一栏为正在加入,并在加入成功后显示为已加入

6.3.2 加入共享

受邀人收到共享邀请后可以选择加入会话共享。

  1. 登录运维审计系统 Web界面
  2. 在右上角单击消息提醒图标,可以看到收到的会话共享邀请。单击查看详情,将跳转到会话共享界面。也可以直接选择工作台 > 访问资产 > 会话共享进入该界面。
  3. 在会话共享列表中找到该条邀请,单击加入,加入到被共享的会话中。
    Note: 受邀人可以随时关闭被共享的会话窗口(不包括在字符会话中执行exit断开会话),不影响共享发起人和其他受邀人的会话。但再次加入需要共享发起人再次邀请。

6.4 传输文件

传输文件是指用户将本地PC通过运维审计系统访问目标设备,并且将本地PC作为客户端,将资产设备作为服务端,从资产设备上上传/下载文件的操作。

基于运维审计系统的文件传输方式有很多种。下表列出了运维审计系统支持的所有文件传输方式及相互之间的比较,请用户根据自己的实际情况及喜好,灵活选用文件传输方式。

Note: 对于配置了跳转来源的资产或者切换自的帐号,不支持通过SFTP传输文件。
表6.5 不同文件传输方式的比较
传输方式 目标资产系统类型 依赖软件 推荐程度
通过Web界面文件传输界面传输文件(网盘模式) Linux、HP Unix、IBM AIX 目标资产非Windows时首选
通过Web界面建立SFTP会话传输文件 Linux、HP Unix、IBM AIX 本地PC:
  • AccessClient
  • SFTP工具​(FileZilla​或​WinSCP​之一)

目标资产非Windows时推荐

通过SFTP工具直连目标资产传输文件 Linux、HP Unix、IBM AIX

本地PC:SFTP​工具​(FileZilla​、WinSCP​、Xftp​等)

不推荐

在字符终端中通过SFTP传输文件 Linux、HP Unix、IBM AIX 本地PC为Windows时需要安装字符终端工具,如Xshell 本地PC为Linux/Unix时推荐
在字符会话中通过ZMODEM传输文件 Linux、HP Unix、IBM AIX
  • 目标资产:lrzsz
  • 本地PC为Windows时需要安装字符终端工具,如Xshell,不支持Putty
小文件时推荐。不能传输超过2GB的文件
在RDP图形会话中通过剪贴板传输文件 Windows 本地PC:Mstsc客户端 目标资产为Windows时推荐
在RDP图形会话中通过磁盘映射传输文件 Windows 本地PC:Mstsc客户端 目标资产为Windows时推荐

6.4.1 通过Web界面文件传输界面传输文件

本地PC与Linux/Unix主机之间的文件传输建议首选该方式;本地PC与运维审计系统运维审计系统与Linux/Unix主机之间的文件传输,只能采取该方式。通过Web界面提供的文件传输功能,用户可以直观地将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。

6.4.1.1 传输文件

使用Web界面传输文件,必须满足以下条件:
  • 目标资产的类型必须为Linux、HP Unix、IBM AIX其中之一。
  • (请和配置管理员确认)用户具有目标资产的访问权限,且传输的单文件大小没有超过单文件大小上限。
  • 用户拥有足够的文件传输配额。
    Note: 文件传输配额请在工作台 > 文件传输 > 文件管理 > 我的文件中查看,界面上方会标出已用空间:已用大小/配额大小。如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
  • 使用的资产帐号具有文件待下载路径的读权限和待上传路径的写权限。
  1. 登录运维审计系统 Web界面
  2. 选择工作台 > 文件传输
  3. 在右侧框体中,单击选择目标资产,勾选一个或多个待连接的资产,并在系统帐号一栏,单击默认的帐号名称,在下拉菜单中选中要使用的帐号。选中所有待连接的资产后,单击选择。也可以单击最近使用的目标资产,选择其中一条资产建立连接。
    Note:
    • 使用的帐号必须为已托管了密码的帐号,否则会提示密码为空且无法连接到该资产。如需使用未托管密码的帐号,选择any帐号并在弹出的窗口中输入帐号和密码。
    • 指定多个目标资产时,不可使用any帐号进行连接。
    • 指定多个目标资产时,右侧框体最下方会出现上传路径对话框,在该对话框中填入待上传文件的路径,该路径必须为所有目标资产上都存在的路径,否则上传文件时会失败。
    • 指定多个目标资产时,只能上传文件不能下载文件;指定单个资产时,可以看到详细的文件列表并下载文件,可以在文件列表中改变文件上传的路径。
    完成后,已建立了运维审计系统和目标资产之间的文件传输连接,可以在二者之间进行文件的上传或下载。
  4. 决定上传或下载文件。
    • 上传文件 => 5
    • 下载文件 => 6
  5. 上传文件。
    1. Optional: 运维审计系统上没有待上传的文件,先将文件上传到运维审计系统。单击从本地上传,将本地PC上的文件拖拽到左侧框体中,或单击左侧框体,在弹出的对话框中选中待上传的文件。
      文件被上传到运维审计系统上的个人文件夹中,可以通过运维审计系统继续上传到目标资产上。
    2. 在左侧框体勾选所有待上传的文件,单击上传,将文件上传到目标资产的指定路径。
      完成文件上传操作。下方框体中会显示正在上传的文件及状态,上传完毕后会显示上传成功
  6. 下载文件。
    1. 在右侧框体中勾选所有待下载的文件,单击下载,将文件下载到运维审计系统上的个人文件夹中。
      完成文件下载操作。下方框体中会显示正在下载的文件及状态,下载完毕后会显示下载成功
    2. Optional: 如需将文件下载到本地PC,需要从运维审计系统上下载。在左侧框体中,单击待下载的文件右方的下载按钮,将文件下载到本地PC。如需同时下载多个文件,勾选所有待下载的文件,并单击下方的批量下载到本地运维审计系统会将文件打包成zip压缩包并下载。
完成文件的上传或下载操作后,运维审计系统会保存上传或下载的文件,后续请参照管理文件运维审计系统上的个人文件进行管理。

6.4.1.2 管理文件

工作台 > 文件传输 > 文件管理 > 我的文件界面,可以对已上传或下载到运维审计系统的文件进行管理。

该页面主要有以下管理操作:
操作 说明
查询 对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。
新建文件夹 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。
上传 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。
Note: 该操作要求当前用户拥有足够的配额空间。界面上方会标出已用空间:已用大小/配额大小,如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
下载 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。
删除 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除
重命名 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。
移动至 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。
分享文件 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接取消分享
获取分享的文件 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
  1. 使用自己的帐号登录运维审计系统 Web界面
  2. 在同一浏览器中新建页签,输入分享链接,并跳转到该链接。
  3. 页面跳转后将弹出密码输入框,请输入分享文件的密码。
  4. 单击保存至将该文件保存至运维审计系统上自己的文件空间中,或单击下载,将文件下载到本地。

6.4.2 通过Web界面建立SFTP会话传输文件

用户可以登录运维审计系统客户端,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。

前提条件如下:
  • 目标资产的类型必须为Linux、HP Unix、IBM AIX其中之一。
  • 本地PC的类型必须为Windows或MacOS。
  • (请和配置管理员确认)用户具有目标资产的访问权限,且传输的单文件大小没有超过单文件大小上限。
  • 使用的资产帐号具有文件待下载路径的读权限和待上传路径的写权限。
  • 本地PC已安装了Filezilla或WinSCP工具。

通过运维审计系统 Web界面建立SFTP会话,只能使用Filezilla或WinSCP工具,在帐号设置 > 会话配置 > 文件传输中设置。本文以WinSCP为例进行介绍。

  1. 参考通过Web界面建立会话,建立到目标资产的SFTP会话。
    Note: 建立SFTP会话时,如需要使用未托管密码的帐号,请选择any
    会话建立成功后,会弹出WinSCP的界面,左侧和右侧分别是本地PC和目标资产的文件列表。
  2. 在左侧进入下载目标路径或在右侧进入上传目标路径。
  3. 上传或下载文件。
    • 上传:在左侧选中待上传的文件或文件夹,单击上传后台上传
    • 下载:在右侧选中待下载的文件或文件夹,单击下载后台下载
    Note: 可以使用ShiftCtrl选中多个文件并上传/下载。
  4. 在弹出的对话框中,直接采用默认传输设置并单击确定
    Note: 单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。

6.4.3 通过SFTP工具直连目标资产传输文件

用户可以直接通过SFTP工具,建立从本地PC到运维审计系统再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。

前提条件如下:
  • 目标资产类型必须为Linux、HP Unix、IBM AIX其中之一。
  • 本地PC类型必须为Windows或MacOS。
  • (请和配置管理员确认)用户具有目标资产的访问权限,且传输的单文件大小没有超过单文件大小上限。
  • 使用的资产帐号具有文件待下载路径的读权限和待上传路径的写权限。
  • 本地PC已安装了Filezilla、WinSCP或Xftp工具。
  • 用户已提前获取了目标资产的IP地址。
  • 使用的资产帐号已在运维审计系统中托管了密码。

可以使用各种支持SFTP协议的工具,如Filezilla、WinSCP、Xftp等,建立到目标资产的会话。本文以WinSCP为例进行介绍。

通过SFTP工具无法在连接到运维审计系统之后再查看可以连接的资产并连接资产。因此必须提前准备好目标资产的IP地址,并确保连接目标资产的帐号已在运维审计系统上托管密码。

  1. 打开SFTP工具,如WinSCP。
  2. 单击新建会话,会话参数如下:
    • 文件协议:SFTP
    • 主机名:运维审计系统的IP地址。
    • 端口号:22
    • 用户名:按照以下格式输入:运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号
    • 密码:运维审计系统登录用户名对应的密码
    Note: 例如,运维审计系统的IP为10.10.33.1,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入的主机名为10.10.33.1,输入的用户名为opt/10.10.33.30/root。
    Note: 对于IPv6地址,填写如下:
    • 当主机名(运维审计系统地址)使用IPv6地址时,FileZilla中填写主机名必须加中括号,例如[fc00:1010:32::10],WinSCP、Xftp可以加中括号也可以不加中括号。
    • 当用户名中的目标资产地址使用IPv6地址时,统一不加中括号,例如admin/fc00:1010:32::30/root
  3. 在左侧进入下载目标路径或在右侧进入上传目标路径。
  4. 上传或下载文件。
    • 上传:在左侧选中待上传的文件或文件夹,单击上传后台上传
    • 下载:在右侧选中待下载的文件或文件夹,单击下载后台下载
    Note: 可以使用ShiftCtrl选中多个文件并上传/下载。
  5. 在弹出的对话框中,直接采用默认传输设置并单击确定
    Note: 单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。

6.4.4 在字符终端中通过SFTP传输文件

用户可以在字符终端中,直接通过SFTP命令,建立从本地PC到运维审计系统 再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。用户也可以在字符终端中直接打开文件传输工具,例如在Xshell中单击文件传输图标,启动Xftp进行文件传输,操作方法请参见通过SFTP工具直连目标资产传输文件

前提条件如下:
  • 目标资产的类型必须为Linux、HP Unix、IBM AIX其中之一。
  • (请和配置管理员确认)用户具有目标资产的访问权限,且传输的单文件大小没有超过单文件大小上限。
  • 使用的资产帐号具有文件待下载路径的读权限和待上传路径的写权限。
  • 用户已获取目标资产的IP地址。
  • 使用的资产帐号已在运维审计系统中托管了密码。
  1. 打开本地字符终端。如本地PC为Windows,请使用Xshell等工具。
  2. 输入sftp命令连接到目标资产:
    sftp 运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号@运维审计系统的IP地址
    Note: 例如,运维审计系统的IP为10.10.33.1,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入sftp opt/10.10.33.30/root@10.10.33.1
    Note: 对于IPv6地址,主机名使用IPv6地址时必须加中括号,目标资产使用IPv6地址时必须不加中括号,例如sftp admin/fc00:1010:32::30/root@[fc00:1010:32::1]
  3. 输入运维审计系统登录用户名对应的密码。
    运维审计系统和目标资产的用户名密码均验证通过后,本地PC到目标主机之间的SFTP字符会话建立成功。
  4. 使用get下载文件或使用put命令上传文件。
    get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
    put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)

6.4.5 在字符会话中通过ZMODEM传输文件

用户可以在字符终端中连接到运维审计系统,并通过运维审计系统再连接到目标资产,然后使用rz和sz命令上传/下载文件。

前提条件如下:
  • 目标资产类型必须为Linux、HP Unix、IBM AIX其中之一。
  • 本地PC类型必须为Windows或MacOS。
  • 如本地PC类型为Windows,已安装了字符终端工具,如Xshell、SecureCRT,不支持Putty。
  • (请和配置管理员确认)用户具有目标资产的访问权限。
  • 使用的资产帐号具有文件待下载路径的读权限和待上传路径的写权限。
  • 目标资产上已安装了lrzsz包。
ZMODEM是一种使用字符会话传输文件的协议,支持在字符终端上使用rz、sz命令,并将文件以字符的形式进行传输,完成文件的上传和下载。使用rz、sz命令,需要在服务端上安装lrzsz包,该包是一个第三方软件包,请自行下载。例如,CentOS系统可以通过yum install lrzsz命令直接下载并安装。

建立本地PC和目标资产直接的字符会话,可以通过Web界面来建立,也可以直接通过字符终端连接到运维审计系统再跳转到目标资产。

  1. 通过Web界面建立字符会话通过Telnet/SSH客户端建立字符会话
  2. 决定上传或下载文件:
    • 上传文件 => 3
    • 下载文件 => 4
  3. 上传文件。
    1. 进入待上传文件的目录,执行rz命令。
      cd 待上传文件的目录
      rz
    2. 在弹出的对话框中,选中本地待上传的文件,并单击打开
      进度条达到100%后,完成文件的上传。
  4. 下载文件。
    1. 进入待下载文件所在的目录,执行sz命令。
      cd 待下载文件所在的目录
      sz 待下载文件的文件名
    2. 在弹出的对话框中,选中文件下载的目标路径,并单击确定
      进度条达到100%后,完成文件的下载。

6.4.6 在RDP图形会话中通过剪贴板传输文件

本地PC与Windows主机之间的文件传输,建议首选此方式。通过RDP登录到目标主机后使用剪贴板完成文件传输。

通过剪贴板传输文件的前提条件如下:
  • 目标资产和本地PC类型都必须为Windows(不支持Windows Server 2003),目标资产支持远程登录,本地PC支持远程访问其他主机。
  • (请和配置管理员确认)用户拥有目标主机的访问权限。
  • (请和配置管理员确认)用户使用的权限规则模板中,上行文件下行文件选项被勾选。
  • 通过运维审计系统 Web界面建立RDP图形会话时,必须将帐号设置 > 会话配置 > 图形会话中的图形会话访问方式设置为mstsc

通过运维审计系统 Web界面建立RDP图形会话,和直接通过mstsc远程登录到运维审计系统并跳转到目标主机,都可以使用剪贴板实现文件传输。

  1. 通过Web界面建立会话通过Mstsc客户端建立图形会话
    Note: 通过Mstsc客户端建立会话,需要启用远程桌面的剪贴板设置,该设置默认启用。如未启用,需要在连接到运维审计系统前修改远程桌面设置。以本地PC为Windows10为例,请在本地资产 > 本地设备和资产中勾选剪贴板
  2. 使用复制粘贴的方式在图形会话窗口和本地PC之间传输文件。
    Note: 如无法复制粘贴,请参照前提条件,检查是否拥有该主机的访问剪贴板的权限。如权限正常,请检查目标主机和本地PC上是否存在rdpclip.exe进程,并尝试启动或重启该进程。

6.4.7 在RDP图形会话中通过磁盘映射传输文件

本地PC与Windows主机之间的文件传输,可以使用此方式。通过RDP登录到目标主机后,将本地PC的硬盘映射到目标主机,完成文件传输。

通过磁盘映射传输文件的前提条件如下:
  • 目标资产和本地PC类型都必须为Windows,目标资产支持远程登录,本地PC支持远程访问其他主机。
  • (请和配置管理员确认)用户拥有目标主机的访问权限。
  • (请和配置管理员确认)用户使用的权限规则模板中,允许客户端磁盘映射选项被勾选。
  • 通过运维审计系统 Web界面建立RDP图形会话时,必须将帐号设置 > 会话配置 > 图形会话中的图形会话访问方式设置为mstsc
通过运维审计系统 Web界面建立RDP图形会话,和直接通过mstsc远程登录到运维审计系统并跳转到目标主机,都可以使用磁盘映射实现文件传输。
  1. 通过Web界面建立会话通过Mstsc客户端建立图形会话
    Note: 启动会话前,需要配置磁盘映射,配置方法如下:
    • 通过Web界面建立会话,设置启动参数时,需要勾选待映射的磁盘映射的盘符,或在其他盘符中手动填入映射盘符。
    • 通过Mstsc客户端建立会话,需要在连接到运维审计系统前就进行磁盘映射的设置。以本地PC为Windows10为例,在远程桌面连接中,选择本地资产 > 本地设备和资产 > 详细信息,在驱动器节点下,勾选待映射的磁盘盘符。
  2. 打开Windows资产管理器,找到映射的磁盘,名称显示为本地PC名称 上的 盘符,如“DESKTOP-PC1 上的 C”。
  3. 进入该磁盘,将该磁盘和目标主机本地磁盘之间的文件进行复制粘贴操作,以实现文件传输。

6.5 执行高危操作

当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。

根据管理员在配置高危操作中的配置,操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。

操作员在执行访问资产及在字符会话中执行命令,正常触发高危操作后的现象及处理方法如下:
现象 说明 处理方法
通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。
  1. 选择复核人并启动会话。
    • Web界面:在复核人下拉菜单中选择一个复核人,并单击启动
    • SSH界面:输入复核人对应的编号并按回车启动会话。
  2. 启动会话后,操作员无法执行任何操作。请联系选择的复核人完成会话复核,完成复核后操作员可以进行操作。
    Note: 会话复核过程中,复核人将观看操作员的所有操作,并可以随时锁定用户的操作。被锁定后请联系复核人进行解锁。
通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户
执行命令,提示This command requires manager's confirmation, are you sure?[Y/n] 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。
  1. 确认是否要执行该命令。
    • 是,输入Y(忽略大小写),转到下一步。
    • 否,输入N(忽略大小写),命令被撤回,操作结束。
  2. 联系命令复核对应的复核人中的任意一个完成命令复核。如不清楚有哪些命令复核人请咨询管理员。
    Note: 在复核人进行复核之前,操作员可以按Ctrl+C,取消命令复核,所有复核人收到的命令复核申请都将被撤回,命令的执行也被取消。

    复核人完成复核并允许命令执行之后,命令将开始执行并显示执行结果;复核人如拒绝命令执行,该命令的执行将被取消。

执行命令,提示You are not allowed to use this command 操作员触发了拒绝用户执行的高危命令 请使用其他允许被执行的命令。
执行命令,提示Session will be killed because of this command 操作员因执行高危命令,触发了断开会话的操作 请重新打开会话,并使用其他允许被执行的命令。
Note: 当复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,操作员可以向复核人直接获取复核人的PIN2码及动态令牌的动态密码,并由操作员自己进行会话复核。具体方法如下:
  1. 操作员使用自己的帐号登录运维审计系统 Web界面
  2. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择工作台 > 高危操作 > 待复核 > 待我复核
  3. 单击复核打开对应的会话复核。
  4. 在弹出的对话框中,输入密码并单击确定。前半段是从复核人获取的“PIN2码”,后半段是从复核人获取的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。
  5. 参考复核高危操作完成会话复核。

复核人不是使用动态令牌的用户时,操作员将收不到该复核提醒,无法自己进行复核。该方法仅适用于会话复核,不支持命令复核。

高危操作规则如配置有误,访问资产或执行命令将无法进行,具体现象和处理方法如下:

现象 说明 处理方法
在Web界面单击启动会话时,提示操作失败 可能原因:会话复核规则中设置的所有复核人均不可用。 联系管理员检查会话复核规则是否存在问题。
在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'
执行命令,提示No valid user for confirmation. Please contact the administrator 命令复核规则没有设置复核人或设置的所有复核人均不可用。 联系管理员为命令复核规则设置可用的复核人。

6.6 客户端兼容性列表

运维审计系统支持的客户端如表6.6 客户端兼容性列表所示。其中Web界面、Console控制台访问客户端用于访问运维审计系统,其他客户端用于通过运维审计系统访问资产。
表6.6 客户端兼容性列表
客户端类型 客户端名称 支持版本
Web界面&图形会话(Web) IE IE11及以上
Chrome Chrome49及以上
Firefox Firefox50及以上
字符会话&控制台访问 Putty Putty0.58及以上
Xshell Xshell4.0及以上
SecureCRT SecureCRT6.5及以上
Note:运维审计系统或资产的地址为IPv6,建议使用SecureCRT8.0版本。
Terminal Terminal2.7及以上
pcomm(仅字符会话) 只支持固定的版本,请参考表6.7 字符会话建议使用的客户端列表
图形会话(mstsc) mstsc 5.1及以上
文件传输 FileZilla 3.2及以上
WinSCP 5.11及以上
部分字符客户端在特定环境下使用时可能存在兼容性问题。但字符会话客户端由于版本众多,和操作系统版本也存在一定的对应关系,无法一一列举。表6.7 字符会话建议使用的客户端列表中给出了特定操作系统下建议使用的客户端,这些客户端经过了充分的测试,请在遇到问题时直接安装该表格中建议的客户端。
表6.7 字符会话建议使用的客户端列表
操作系统 建议客户端
windows xp x86 SP3
  • Putty0.67
  • SecureCRT6.5
  • Xshell4
windows 7 x86 sp2
  • Putty0.58
  • SecureCRT7.3
  • Xshell5
  • pcomm5.0(CN)、pcomm5.8(CN)
Note: pcomm5.7(EN)不支持通过Web界面打开,但支持外部直连和审计功能。
windows 7 x64 sp1
  • Putty0.58
  • SecureCRT7.0
  • Xshell4
Note: pcomm5.9仅支持审计功能,不支持Web访问和外部直连。
Windows 8.1 x86
  • Putty0.67
  • SecureCRT8.1
  • Xshell5
Windows 8.1 x64
  • Putty0.67
  • SecureCRT8.0
  • Xshell5
Windows 10 x86
  • Putty0.67
  • SecureCRT7.0
  • Xshell6
Windows 10 x64
  • Putty0.67
  • SecureCRT8.0
  • Xshell5
Note: pcomm 6.0(EN)不支持通过Web界面打开,但支持外部直连和审计功能。
MAC OS 10
  • SecureCRT7.3、SecureCRT8.3
  • Terminal2.7
Note: 在Windows7_x64、Windows8.1_x64、Windows10_x32、Windows10_x64系统下,如使用SecureCRT7.3及以上版本访问字符会话,将看到以下提示:
The client has disconnected from the server.  Reason:
Message Authentication Code did not verify (packet #4). Data integrity has been compromised.
此时请在该会话的Properties设置中,选择Connection > SSH2 > Advanced > MAC,去勾选SHA2-512选项,并单击OK保存。
同样,通过字符客户端访问运维审计系统的Console控制台时,部分客户端版本也可能存在兼容性问题。建议使用的客户端版本请参考:
表6.8 登录Console控制台建议使用的客户端列表
操作系统 客户端
Windows 7 x64 SP1
  • SecureCRT6.5/7.0/8.0/8.1
  • Xshell4/5
  • Putty0.67
Windows10 x86
  • SecureCRT6.6/7.0/7.3/8.0/8.1
  • Xshell4/5
  • Putty0.67
mstsc建议的版本及操作系统如下:
表6.9 mstsc建议版本
操作系统 建议版本
Windows XP SP2 5.1.2600/6.0.6000/6.0.6001
Windows XP SP3 6.0.6001/6.1.7600
Windows 7 SP1 6.1.7601/6.2.9200
windows 8 6.2.9600
windows 10 10.0.10240
Windows Server 2003 SP2 5.2.3790/6.0.6000
Windows Server 2008 SP1 6.0.6002
Windows Server 2012 6.3.9600

7 审计

能够使用审计功能的用户类型包括:审计管理员超级管理员及其他自定义的拥有审计授权的用户类型。本章节指导用户完成运维审计系统所有基本的审计操作。审计操作均需要在运维审计系统的Web界面上执行。

审计是指在Web界面上,对运维审计系统用户和系统的所有操作行为进行查看,以解决操作事故责任认定的问题,确保事故发生后,能快速定位操作者和事故原因,还原事故现场和举证。

拥有审计权限的用户实现审计操作的前提条件如下:
  • 已完成安装AccessClient
  • 已在本地PC安装了JAVA JRE(建议版本为1.6及以上)从而对图形会话进行回放。
超级管理员和审计管理员默认拥有所有审计权限。自定义的用户角色如添加了审计权限,可以具体配置是否勾选查看键盘记录下载会话权限,参见配置用户角色权限。这两项权限具体对应的操作如下:
权限 支持的操作
查看键盘记录

工作台 > 审计 > 问题检索 > 按会话操作检索界面支持以下操作

  • 会话类型可以选择字符会话
  • 检索图形会话时可以输入模拟操作进行检索。
工作台 > 审计 > 操作审计 > 字符会话界面支持查看详情
工作台 > 审计 > 操作审计 > 图形会话界面支持以下操作:
  • 单击按键查看具体的按键记录。
  • 单击详情后可以查看模拟操作剪贴板记录
  • 执行回放操作时,可以通过ek快捷键显示按键操作。
下载会话 工作台 > 审计 > 操作审计 > 字符会话界面,支持单击下载,下载会话记录文件。
工作台 > 审计 > 操作审计 > 图形会话界面,支持单击下载或在查看详情页面时单击下载,下载会话记录文件。

本章节后续内容将默认用户拥有查看键盘记录下载会话权限来进行介绍,如找不到对应的功能,请对照上表检查是否具备相应权限。

审计操作分为两种,操作审计事件审计运维审计系统也提供了审计数据概览会话情况统计问题检索等功能,方便审计管理员快速了解运维审计系统的安全状况并对具体审计记录进行快速检索。

所有审计操作都必须在运维审计系统 Web界面上进行,因此请先登录运维审计系统 Web界面。本章节所有内容均默认用户已使用拥有审计权限的帐户登录了Web界面。本章节面向的读者对象主要是审计管理员,因此下文中提到的用户均称为审计管理员。

7.1 查看审计概览与统计

运维审计系统审计操作主界面,可以通过切换页签,查看审计数据概览会话情况统计等相关信息,从而对系统的整体运行情况进行直观的了解。

7.1.1 查看审计数据概览

审计管理员可以查看审计数据概览,对当前的在线会话、用户、资产等信息进行查看,并通过单击相应内容,进行更细致的查看。

  1. 进入审计界面主菜单。
    单击工作台 > 审计。如已在审计菜单中,单击左上角的审计图标,返回主菜单。
  2. 选择审计数据概览页签。
  3. 查看审计数据概览中的在线会话、用户、资产信息。可以单击各条统计信息的数字,跳转到详细的数据查看页面。
    项目 说明 单击跳转后的内容
    在线会话 显示当前所有在线的字符、图形、数据库会话的总数。 跳转到在线会话菜单,请参考审计在线会话进行相关操作。
    在线字符会话 显示当前所有在线的字符会话的总数。 跳转到字符会话菜单,并在筛选条件中设置了状态活跃。请参考审计字符会话进行相关操作。
    在线图形会话 显示当前所有在线的图形会话的总数。 跳转到图形会话菜单,并在筛选条件中设置了状态活跃。请参考审计图形会话进行相关操作。
    在线数据库会话 显示当前所有在线的数据库会话的总数。 跳转到数据库会话菜单,并在筛选条件中设置了状态活跃。请参考审计数据库会话进行相关操作。
    在线用户 显示当前Web界面的所有在线用户的总数。 跳转到单独的Web在线用户查看页面。可以查看当前Web在线用户的帐号、姓名、来源IP、角色、活动会话数,并对指定用户执行强制下线。
    Note:
    • 同一用户通过不同IP登录,或同一用户和IP通过不同浏览器登录,都会显示为不同的在线用户条目。
    • 强制下线会使该用户的Web界面登录强制登出,是否会同时切断会话,取决于系统设置 > 访问设置 > 所有会话中的会话切断策略的设置。
    在线资产 显示当前所有通过运维审计系统建立了在线会话的资产的总数。

    跳转到单独的在线资产查看页面。可以查看当前已建立会话的资产的资产名称、资产IP、资产类型、简要说明和活动会话数。

    可以在搜索框中输入资产名称、资产IP、简要说明进行模糊查询,筛选要查看的在线的资产范围。

  4. 查看实时会话信息。
    页面中央以折线图的形式显示了一天之内的实时会话变化数量,横坐标是时间,范围由当天0:00到第二天0:00,纵坐标是在该时间点在线会话的总数。运维审计系统会将会话数量发生变化的每个时间点连接起来,以显示会话数量变化的折线图。
    审计管理员可以单击全部会话字符会话图形会话数据库会话这些标签,决定折线图显示的不同内容。将鼠标移动到折线图上会显示具体的数量和时间点。
    Note: 该实时会话的折线图,也会默认直接显示在审计管理员登录之后的首页中。各审计管理员也可以登录运维审计系统之后直接在首页进行查看,如果不需要也可以单击首页图形的右上角,选择删除,使该折线图不在首页显示。

7.1.2 查看会话情况统计

审计管理员可以查看运维审计系统的会话情况统计,包括本周TOP用户会话数本周TOP资产会话数在线会话会话文件大小

请进入审计界面主菜单(单击工作台 > 审计;如已在审计菜单中,单击左上角的审计图标,返回主菜单),并选择会话统计情况进行查看。

会话情况统计的各块内容介绍如下:

7.1.2.1 本周TOP用户会话数

显示一周之内(从当前时间点往前的7*24小时内)访问会话数最多的5个用户。每个用户的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。

7.1.2.2 本周TOP资产会话数

显示一周之内(从当前时间点往前的7*24小时内)被访问次数最多的5个资产。每个资产建立的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。

7.1.2.3 在线会话

显示在线会话的总数以及字符、图形、数据库会话各自的总数。和审计数据概览中显示的相同,但此处仅作为显示,不能单击数字跳转到对应的页面。

7.1.2.4 会话文件大小

显示当前运维审计系统后台存储的会话记录文件占用的磁盘空间大小。分为字符会话和图形会话两部分。单位为GB和MB,例如会话文件大小显示为5GB 20MB,表示实际大小为5GB+20MB。

Note: 审计管理员登录之后的首页中,会默认显示本周TOP用户会话数,也可以在首页单击+,将本节中其他内容添加显示到首页。

7.2 检索问题

审计管理员可以按不同的检索方式对会话审计记录进行检索,从而快速找到期望的审计记录并进行问题定位。

在审计记录中检索问题,有以下4种方式:直接检索、按资产检索、按用户检索、按会话操作检索。

  1. 选择工作台 > 审计 > 问题检索
  2. 在上方选择检索的时间范围,设置起始时间点和结束时间点,起始时间点必须早于结束时间点,结束时间点必须晚于运维审计系统启动审计的时间,最小单位为分钟。不选择则默认时间范围为7天内。
  3. 选择要使用的问题检索方式。
    • 直接检索:不设置其他检索筛选条件,直接检索当前设置的时间范围内的所有会话的审计记录。
    • 按资产检索:仅检索具体的一条或多条资产相关的会话审计记录。请勾选待检索的具体资产。

      可以先单击筛选设置筛选查找条件,或在搜索框中输入资产名称/IP/简要说明,查找到对应的资产并进行勾选,然后单击确定。如不勾选则默认检索当前审计管理员在运维审计系统上可审计的所有资产。

      也可以单击下方的Top活跃资产列表中的某个资产,直接检索该资产相关的审计记录。

    • 按用户检索:仅检索指定用户相关的会话审计记录。请勾选待检索的用户。

      可以先单击筛选设置筛选查找条件,或在搜索框中输入帐号/姓名,查找到对应的用户并进行勾选,然后单击确定。如不勾选则默认检索运维审计系统上的所有用户。

      也可以单击下方的Top活跃用户列表中的某个用户,直接检索该用户相关的审计记录。

    • 按会话操作检索:仅检索包含某个具体操作的会话审计记录。单击按会话操作检索之后,会继续弹出对话框并进行选择。在下拉菜单中选择对应的选项,并在对话框中填入待筛选的值,单击确定
      选项 说明
      字符会话 输入字符终端上执行的命令,例如lscd
      图形会话 输入以下内容其中的一条或多条:
      • 窗口标题:在会话的图形界面上打开的窗口的标题,例如任务管理器Firefox
      • URL:B/S应用系统会话中,在浏览器窗口中访问的URL地址。例如www.example.com192.168.1.1
      • 模拟操作:用户进行的鼠标或键盘的按键操作,包含在各种对话框、终端、编辑器中键入的文字内容。例如:<CtrlAlt-Delete>cd D:\boot
      数据库会话 输入SQL语句,例如select
      文件传输 输入文件路径,例如/root
      tn5250会话 输入Menu/Text/功能键/提交数据,例如User tasks
      Note:
      • 在输入一条命令或其他内容后,需要按回车键,将该条命令生成一个筛选标签,此时可以单击x删除对应的标签。可以插入多个筛选标签。
      • 所有内容都输入完之后,可以单击保存一个检索模板,这样会在窗口的最上方直接显示各个模板。可以直接单击某个模板名称选择套用该模板,单击删除该模板,或者单击清空输入内容。
      • 检索条件设置好之后,可以单击下方的指定资产检索,设置同时启用资产检索作为第二重筛选条件;也可以直接单击直接检索,只按会话操作来检索。
  4. 查看检索结果。
    检索结果中,每行表示一条检索出来的会话。采用不同的检索方式时,检索结果的各列内容会有少许差异,具体如下:
    显示项 说明
    会话时间 会话开始的时间,例如2018-08-06 19:24:19
    发起用户 通过运维审计系统建立该会话的运维审计系统用户的用户名及连接到资产的主机的IP地址,例如admin(10.10.10.10)
    连接资产 会话连接的资产名称及IP地址,例如CentOS7(192.168.1.10)
    操作信息 使用按会话操作检索时不会显示。另外,根据不同的会话类型,显示的内容会不一样:
    • 窗口标题数:仅图形会话时显示。用户打开的不同窗口的数量。仅有通过mstsc方式启动的,且使用Windows经典主题的图形会话,支持记录应用窗口的标题;只有IE浏览器支持记录标题,其他浏览器不支持。当不支持记录标题时,窗口标题数量始终显示为0。TN5250会话记录的标题数量为Text数量。
    • 执行命令数:仅字符会话时显示。

      用户执行的命令的数量,括号前的数字表示命令总数,括号内的数字表示敏感命令的数量。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时该数字始终为0。

    • 文件传输结果:文件传输会话时会显示。显示为文件传输操作的结果,例如下载文件成功上传文件失败下载文件无权访问新建文件失败等。
    匹配结果 仅当按会话操作检索时会显示,显示匹配上的操作的数量,例如已匹配5条。并且在该条记录的下方会显示详细的匹配情况,匹配上的内容会用颜色标出。
    更多 用户可以执行的更多操作,包含详情回放下载,在线会话还会显示实时切断。具体含义请参考查看审计结果(操作类)中的介绍。

    TN5250会话只会显示详情回放切断三个操作。

  5. Optional: 切换会话类型。
    可以选择页面上方的页签,按会话类型查看会话。按会话操作的结果不支持此功能。
    页签 说明
    会话 按用户设置的筛选条件检索出来的所有结果。
    敏感会话 检索结果中包含敏感命令的会话。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时请忽略此页签。
    大日志会话 检索结果中会话审计记录文件超过100MB的会话。
    特权会话 检索结果中使用特权帐号登录资产的帐号。
    所有会话 仅当使用直接检索按用户检索时会显示该页签。除了会话页签显示的会话之外,还会将符合筛选条件的用户的所有的登录、登出和修改设置的操作都作为会话列出来。但仅能对该页签中的各访问资产的会话条目执行更多操作。
  6. Optional: 设置更多检索条件。
    • 在右上角单击,设置会话类型状态协议系统帐号等筛选条件,从而组合更多的筛选条件。
    • 在页面底部选择日期资产用户,并在上拉菜单中勾选检索结果中的部分对象,从而缩小检索范围。
    • 单击最上方的时间范围,重新设置时间范围。
    • 按会话操作检索的结果中,单击左上角的操作筛选条件之一,例如,变为白色的操作将不再被当做筛选条件进行检索。
  7. Optional: 单击,或在按会话操作检索的结果中勾选待导出的会话后单击导出,将检索结果以.xls表格的形式下载到本地。

7.3 查看审计结果(操作类)

审计管理员可以查看所有在线或已完成的用户会话,查看会话的回放、按键、标题等信息,并对在线会话执行实时查看和切断等操作。

7.3.1 审计在线会话

审计管理员可以查看当前所有的正在进行的会话,对会话内容进行实时监视,并随时切断会话。

在线会话只会显示正在进行的字符和图形会话,不会显示文件传输会话。
  1. 选择工作台 > 审计 > 操作审计 > 在线会话
  2. 查看在线会话信息。
    每一行都是一个在线会话。每一列显示的信息分别如下:
    项目 说明
    开始时间 会话开始的时间,例如2018-08-06 19:24:19
    来自 直接连接到资产的主机的IP地址。
    用户帐号 用户登录运维审计系统的帐号。
    资产名 会话连接的资产在运维审计系统上记录的名称。
    系统帐号 会话连接使用的该资产上的帐号名称。
    会话类型 图形会话或字符会话。
    协议 会话使用的协议名称,例如ssh、rdp。应用系统会话该信息为空。
    会话时长 会话从开始到当前时间的总计时长。单击后才会刷新该时长。
    用户姓名 登录运维审计系统的用户的姓名,在帐号设置中设置。
    资产IP 会话连接的资产的IP地址。
    操作
    • 详情:单击进入会话详情页面查看。具体解释请参见字符会话和图形会话对应的章节。
    • 实时:单击之后,针对图形会话,会给审计管理员打开一个vnc会话的web监视窗口;针对字符会话,会给审计管理员打开一个putty监视窗口。在该窗口中会显示操作员在图形或字符会话中的所有操作,但审计管理员不能进行任何操作。当操作员断开会话后,审计管理员的实时会话监视窗口也会被关闭;审计管理员也可以自行关闭实时监视窗口。
    • 回放:单击之后,会弹出一个对应的回放窗口,回放该会话的整个过程,具体解释请参见字符会话和图形会话对应的章节。
    • 切断:单击并确认之后,可以切断该正在进行的会话,正在进行会话的操作员将被强制断开会话连接。
    • 更多 > 按键:仅当会话为图形会话时会显示该选项。单击之后,会进入按键信息页面,可以查看到操作员在该会话界面执行的所有键盘和鼠标的操作以及具体的操作命令,并可以单击回放,从该操作的时间点开始回放所有操作。
    • 更多 > 下载:单击后将该会话的记录文件下载到本地,字符会话下载后的格式为.txt,图形会话下载后的格式为.rfx
  • 单击更多设置筛选条件,或在搜索框中输入用户/姓名/资产/资产IP进行模糊查找,筛选出符合条件的会话。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条会话后单击导出选中,或直接单击导出全部,将会话列表导出为.xls格式的表格并下载到本地。

7.3.2 审计字符会话

审计管理员可以查看所有在线或已关闭的字符会话,并执行查看会话详情和回放等功能。字符会话包括所有主机、网络设备中使用ssh、telnet、tn5250协议建立的会话。

  1. 选择工作台 > 审计 > 操作审计 > 字符会话
  2. 查看所有字符会话信息。
    每一行都是一个字符会话。每一列显示的信息分别如下:
    项目 说明
    开始时间 会话开始的时间,例如2018-08-06 19:24:19
    结束时间 会话结束的时间,例如2018-08-06 19:33:15
    来自 直接连接到资产的主机的IP地址。
    用户帐号 用户登录运维审计系统的帐号。
    用户姓名 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。
    资产名 会话连接的资产在运维审计系统上记录的名称。
    系统帐号 会话连接使用的该资产上的帐号名称。
    协议 会话使用的协议名称:ssh、telnet、tn5250
    命令数

    用户执行的命令的数量,括号前的数字表示命令总数,括号内的数字表示敏感命令的数量。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时该数字始终为0。

    会话时长 会话从开始到当前时间的总计时长。单击后才会刷新该时长。
    状态 会话的连接状态:活跃、断开,或强制断开。强制断开表示审计管理员使用切断功能强制切断了该会话。
    资产IP 会话连接的资产的IP地址。
    文件(MB) 会话记录文件的大小,当大小小于0.01MB时只显示为“<0.01 MB”。
    操作
    • 详情:单击进入会话详情页面查看。在会话详情页会按执行时间从早到晚的顺序依次列出该会话中执行过的各条命令,可以单击,从该条命令开始回放直到会话结束;单击+展开某条命令查看命令的回显,单击-收起命令回显。
    • 回放:单击之后,会弹出一个putty窗口(AccessClient自带),回放该字符会话从开始到结束的全过程,即每条用户输入的命令及命令回显。审计管理员可以按空格键暂停/取消暂停回放。
    • 更多 > 下载:单击后将该会话的记录文件以.txt的格式下载到本地。
    • 更多 > 实时:单击后会弹出一个putty窗口(AccessClient自带),实时显示操作员正在执行的所有命令及命令回显。当操作员断开会话后,审计管理员的实时会话监视窗口也会被关闭;审计管理员也可以自行关闭实时监视窗口。
    • 更多 > 切断:仅当该会话状态为活跃时会显示该选项。单击并确认之后,可以切断该正在进行的会话,正在进行会话的操作员将被强制断开会话连接。
  • 单击更多设置筛选条件,或在搜索框中输入用户/姓名/资产/资产IP进行模糊查找,筛选出符合条件的会话。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条会话后单击导出选中,或直接单击导出全部,将会话列表导出为.xls格式的表格并下载到本地。

7.3.3 审计图形会话

审计管理员可以查看所有在线或已关闭的图形会话,并执行查看会话详情和回放等功能。图形会话包括所有主机、网络设备中使用rdp、xdmcp、xfwd、vnc协议建立的会话、数据库会话及应用系统会话。

  1. 选择工作台 > 审计 > 操作审计 > 图形会话
  2. 查看所有图形会话信息。
    每一行都是一个图形会话。每一列显示的信息分别如下:
    项目 说明
    开始时间 会话开始的时间,例如2018-08-06 19:24:19
    结束时间 会话结束的时间,例如2018-08-06 19:33:15
    来自 直接连接到资产的主机的IP地址。
    用户帐号 用户登录运维审计系统的帐号。
    用户姓名 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。
    资产名 会话连接的资产在运维审计系统上记录的名称。
    系统帐号 会话连接使用的该资产上的帐号名称。
    协议 会话使用的协议名称:rdp、xdmcp、xfwd、vnc。应用系统会话该信息为空。
    文件(MB) 会话生成的记录文件的大小。
    会话时长 会话从开始到当前时间的总计时长。单击后才会刷新该时长。
    状态 会话的连接状态:活跃、断开,或强制断开。强制断开表示审计管理员使用切断功能强制切断了该会话。
    操作
    • 详情:单击进入会话详情页面查看。具体请参见4
    • 回放:单击之后,会弹出一个JAVA窗口,回放该图形会话从开始到结束的全过程。具体请参见3
    • 标题:单击之后,会显示用户操作的所有窗口的标题,仅支持Windows Server 2003使用XP主题或Windows Server 2003/2008使用经典主题,其他环境下将无法获取标题。
    • 更多 > 下载:单击后将该会话的记录文件以.rfx的格式下载到本地。审计管理员可以单击右上角的用户名,选择帮助 > 图形终端 > 离线回放,下载GuiPlayer,安装后打开.rfx文件查看回放。
    • 更多 > 实时:单击后会弹出一个vnc窗口,实时显示操作员正在执行的所有操作及屏显。当操作员断开会话后,审计管理员的实时会话监视窗口也会被关闭;审计管理员也可以自行关闭实时监视窗口。
    • 更多 > 切断:仅当该会话状态为活跃时会显示该选项。单击并确认之后,可以切断该正在进行的会话,正在进行会话的操作员将被强制断开会话连接。
    资产IP 会话连接的资产的IP地址。数据库、应用系统会话该项信息为空。
    客户端类型 建立会话所使用的客户端类型,包括mstsc和novnc。
    屏幕高 会话实际占用的屏幕高度。最大化时不包含任务栏的高度。
    屏幕宽 会话实际占用的屏幕宽度。
    应用地址 数据库、应用系统的IP地址。其他会话该项信息为空。
    应用类型 数据库、应用系统的类型,包括DATABASE、B/S、C/S、B/S IE和Weblogic。其他会话该项信息为空。
    应用客户端 连接数据库、应用系统所使用的应用客户端,例如Toad、chrome等。其他会话该项信息为空。
  3. Optional: 在一条会话记录后,单击回放,打开回放窗口,观看该图形会话的整个过程。
    Note: 观看并控制回放窗口,请参考播放会话录屏
  4. Optional: 在一条会话记录后,单击详情,进入会话详情页面查看会话详情。
    审计管理员可以单击会话详情页面的各个页签,查看不同的信息:
    • 按大小切片:为了防止单个会话记录文件过大,运维审计系统会按文件大小或窗口标题进行切片,该页面会显示所有切片后的文件,如未满足要求没自动进行切片则不显示。需要超级管理员在系统设置中设置。默认切片大小为1MB,不使用按标题切片
      Note: 目前标题审计仅支持以下环境,使用其他操作系统或主题,将无法正常产生按标题的切片:
      • Windows Server 2003使用XP主题
      • Windows Server 2003/2008使用经典主题
    • 模拟操作:显示用户进行的所有鼠标或键盘的按键操作。包括在各种对话框、终端、编辑器中键入的文字内容。例如:<CtrlAlt-Delete>cd D:\boot。可以在某一条记录后单击回放,从该操作处开始回放直到结束。
    • 剪贴板记录:显示用户所有通过剪贴板复制或粘贴的文字。可以单击筛选设置筛选条件,单击下载将剪贴板记录以.txt文件的形式下载到本地。
      参数 说明
      时间 完成复制或粘贴操作的时间。
      记录 复制到剪贴板中的文本,如文本过长,将对部分文本进行省略,最后显示为省略号。
      方向
      • 上行表示通过剪贴板粘贴到远端资产中的文本。
      • 下行表示在远端资产上复制到剪贴板中的文本。和最终是否粘贴及在哪里粘贴无关。
      操作
      • 回放:从该操作开始回放会话,直到会话结束。
      • 剪贴板详细:在弹出的新窗口中显示完整的剪贴板文本。
    • 会话复核:显示在高危操作中设置并在本次会话中触发和进行复核的的操作。。
  • 单击更多设置筛选条件,或在搜索框中输入用户/姓名/资产/资产IP进行模糊查找,筛选出符合条件的会话。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条会话后单击导出选中,或直接单击导出全部,将会话列表导出为.xls格式的表格并下载到本地。

7.3.4 审计数据库会话

审计管理员可以查看所有在线或已关闭的数据库会话,结合同时记录的图形会话,完成对用户的数据库操作的审计。

数据库会话中会记录用户通过客户端登录数据库及在数据库上执行的所有语句。用户在数据库客户端上执行的所有键鼠操作,同时也都会记录在图形会话中。因为不同数据库、不同数据库客户端的自身行为有所不同,同一次访问可能在数据库会话中被记录成多个会话,其中包含客户端自己的一些处理语句,因此建议审计管理员将数据库会话和图形会话结合起来,从而识别用户具体的数据库会话操作。

用户必须通过运维审计系统代填主机名及服务名并连接到数据库,才会在运维审计系统中留下审计记录。如果自己填写主机名和服务名并进行连接,相当于不通过运维审计系统建立数据库会话,审计管理员将无法看到对应的数据库会话审计记录,但可以看到图形会话审计记录。

  1. 选择工作台 > 审计 > 操作审计 > 数据库会话
  2. 查看所有数据库会话信息。
    项目 说明
    开始时间 会话开始的时间,例如2018-08-06 19:24:19
    结束时间 会话结束的时间,例如2018-08-06 19:33:15
    来自 直接连接到数据库的IP地址。
    用户帐号 用户登录运维审计系统的帐号。
    用户姓名 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。
    资产名 会话连接的数据库在运维审计系统上记录的名称。
    系统帐号 会话连接使用的该数据库上的帐号名称。
    会话时长 会话从开始到当前时间的总计时长。单击后才会刷新该时长。
    资产IP 会话连接的资产的IP地址。
    状态 会话的连接状态:活跃、断开。
    数据库类型 会话访问的数据库类型,例如Oracle、MSSQL。
    数据库名 会话访问的数据库名称,例如devdb、sql2000。
    数据库客户端 连接数据库所使用的数据库客户端,例如Toad、Ssms。
    操作
    • 详情:单击进入会话详情页面查看。
    • 图形会话:单击跳转到该数据库会话对应的图形会话记录中。
    • 回放:单击播放该数据库会话的图形会话记录。当多条数据库会话对应同一图形会话时,会播放同一图形会话的完整记录。
  3. Optional: 在一条会话记录后,单击详情,进入会话详情页面查看会话详情。
    会话详细页面,会通过表格形式显示该数据库会话的每一条语句执行的记录。表格每一列显示的信息如下:
    项目 说明
    执行时间 执行该SQL语句的具体时间。
    语句 被执行的SQL语句的具体内容。客户端自身执行的SQL语句也会被记录。
    操作
    • 细节:单击后在弹出的对话框中显示被执行的语句的完整内容。
    • 回放:单击后从该操作开始回放会话,直到会话结束。
    • 忽略:单击后将该行语句添加到忽略,不在该会话记录中显示。可以在操作审计 > 数据库会话中单击右上角的忽略项,查看有哪些内容被忽略,并单击对应的取消按钮,取消对于相应内容的忽略。
  • 单击更多设置筛选条件,或在搜索框中输入用户/姓名/资产/资产IP进行模糊查找,筛选出符合条件的会话。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条会话后单击导出选中,或直接单击导出全部,将会话列表导出为.xls格式的表格并下载到本地。

7.3.5 审计文件传输

审计管理员可以查看所有已完成的文件传输会话,并执行查看详情的功能。运维审计系统可以审计到的文件传输会话包含传输文件中所用到的所有文件传输方式。

  1. 选择工作台 > 审计 > 操作审计 > 文件传输
  2. 查看所有文件传输会话信息。
    每一行都是一个文件传输会话。每一列显示的信息分别如下:
    项目 说明
    开始时间 文件传输操作开始的时间,例如2018-08-06 19:24:19,不是会话建立的时间。
    结束时间 文件传输结束的时间,例如2018-08-06 19:24:21
    来自 和资产设备之间传输文件的主机的IP地址。
    用户帐号 用户登录运维审计系统的帐号。
    用户姓名 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。
    资产名 会话连接的资产在运维审计系统上记录的名称。
    系统帐号 会话连接使用的该资产上的帐号名称。
    操作类型 用户在文件传输会话中执行的具体操作,例如上传文件下载文件删除文件新建文件夹等。
    文件路径 无论上传或下载,只显示该文件在资产设备上的路径。远端资产设备为Windows设备时仅显示文件名。
    文件大小 传输的文件的总大小和单位。
    状态 文件传输的结果,例如:成功失败无权访问失去连接
    会话时长 完成该次文件传输所花费的时间,最小单位为1秒。
    文件权限 仅当远端资产设备为Linux/Unix主机时会显示,三位数字的Linux/Unix格式的权限,表示该文件在该远端资产上的权限。
    操作
    • 详情:单击后将进入基本信息页面,会显示文件的文件名传输路径文件大小文件权限传输状态等内容。其中传输路径文件权限仅当远端资产设备为Linux/Unix主机时会显示。
    • 下载:单击下载将传输的文件下载到本地。该选项必须满足以下条件才会显示:
      • 系统设置 > 资产 > 访问设置 > 文件传输中的是否留痕设置为
      • 当次传输的文件大小未超过文件留痕阈值
  • 单击更多设置筛选条件,或在搜索框中输入用户/姓名/资产/资产IP进行模糊查找,筛选出符合条件的会话。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条会话后单击导出选中,或直接单击导出全部,将会话列表导出为.xls格式的表格并下载到本地。

7.4 查看审计结果(事件类)

审计管理员除了对会话进行审计,也可以审计Web界面中的各种事件,包括登录日志、配置日志和审计记录。

7.4.1 审计登录日志

审计管理员可以查看所有用户的登录日志,以确保运维审计系统没有异常登录的情况。

  1. 选择工作台 > 审计 > 事件审计 > 登录日志
  2. 查看所有登录日志信息。
    每一行都是一条登录事件信息。每一列显示的信息分别如下:
    项目 说明
    时间 该帐号登入或登出的时间。
    来自 该帐号登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。
    用户帐号 该登录帐号的名称。
    用户姓名 该登录帐号的姓名,在帐号设置中设置。登录失败时不显示。
    验证方式 该帐号登录时采用的身份验证方法,取值为系统允许的各种登录认证方式。使用双因子认证时将显示为使用的双因子认证方式模板的名称。使用密钥登录SSH交互终端时,会显示为pubkey。
    登录方式 该帐号登录运维审计系统的方式,取值范围如下:
    • WEB:使用Web界面登录运维审计系统
    • GUI:使用Mstsc客户端登录运维审计系统
    • TUI:使用SSH客户端登录到运维审计系统交互终端。
    • API:配置脚本中使用的帐号名称,如HA/集群部署中通过该帐号登录运维审计系统
    • 空值:登出时显示为空。
    登录描述 该帐号登录情况,取值为“登录成功”、“登录失败”、“登出成功”之一。
    登录结果 该帐号登录或登出的结果,取值为“成功”或“失败”之一。
  • 单击更多设置筛选条件,或在搜索框中输入用户/来自IP进行模糊查找,筛选出符合条件的事件。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条事件后单击导出选中,或直接单击导出全部,将事件列表导出为.xls格式的表格并下载到本地。

7.4.2 审计配置日志

审计管理员可以查看所有用户的配置日志。配置日志中记录了系统或用户在运维审计系统上执行的所有配置操作。

  1. 选择工作台 > 审计 > 事件审计 > 配置日志
  2. 查看所有配置日志信息。
    每一行都是一条配置事件信息。每一列显示的信息分别如下:
    项目 说明
    时间 用户执行该配置操作的时间。
    来自 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。
    用户帐号 登录运维审计系统的帐号的名称,如果是运维审计系统系统本身,显示为系统
    用户姓名 登录帐号的姓名,如果是运维审计系统系统本身,显示为系统
    操作类型 用户执行的配置操作的类型,例如重启删除用户等。
    影响内容 用户执行的配置操作具体影响的范围。
    • 修改系统属性时,该值显示具体的系统属性的名称。
    • 修改用户、资产相关的设置时,该值显示为对应的用户或资产的名称。
    • 修改个人设置时,该值显示为对应的用户名。
    结果 配置操作的结果。成功失败
    操作 单击详情,在弹出的窗口中查看事件详情。基本属性为本表格中列举的以上属性,高级属性会显示用户修改配置的操作所保存的所有属性。
  • 单击更多设置筛选条件,或在搜索框中输入用户/来自IP进行模糊查找,筛选出符合条件的事件。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条事件后单击导出选中,或直接单击导出全部,将事件列表导出为.xls格式的表格并下载到本地。

7.4.3 查看审计记录

审计管理员也可以对自身以及其他审计管理员在Web界面上所进行的所有审计操作进行审计,了解所有审计管理员都审计了哪些内容。

  1. 选择工作台 > 审计 > 事件审计 > 审计记录
  2. 查看所有审计记录信息。
    每一行都是一条审计记录信息。每一列显示的信息分别如下:
    项目 说明
    时间 用户执行该审计操作的时间。
    来自 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。
    用户帐号 登录运维审计系统的审计管理员帐号的名称。
    用户姓名 登录帐号的姓名。
    操作路径 审计管理员执行的审计操作的名称,如实现该操作需要连续操作,显示为一系列连续操作对应的窗体及控件名称,中间用/隔开,例如文件传输/详情/基本信息
    操作类型 审计管理员执行的审计操作的类型,如详情切断等。
    会话类型 审计管理员审计的会话的对应的会话类型,例如字符会话图形会话文件传输
    资产IP 用于标识审计管理员审计的会话连接到哪个资产,显示该资产的IP地址,例如10.10.10.10
    目标资产 用于标识审计管理员审计的会话连接到哪个资产,显示该资产在运维审计系统上记录的名称,如CentOS7
    会话序列号 审计管理员审计的会话的对应的会话ID。可以单击该序列号跳转到对应的会话审计记录中,查看该会话记录的具体信息。
  • 单击更多设置筛选条件,或在搜索框中输入用户/来自IP进行模糊查找,筛选出符合条件的事件。
  • 单击右上角的,勾选要显示的表格列信息。
  • 勾选一条或多条事件后单击导出选中,或直接单击导出全部,将事件列表导出为.xls格式的表格并下载到本地。

7.5 播放会话录屏

在审计界面中单击回放实时,可以播放会话录屏。请参考本节内容,在会话录屏的播放过程中对播放进行控制。

会话录屏的播放方式有两种,包括以下两种方式:
  • web:在浏览器中播放会话录屏
  • java:在JAVA窗口中播放会话录屏

如需修改播放方式,请在帐号设置 > 会话配置 > 图形会话中,修改回放方式webjava

使用JAVA窗口播放,要求本地PC必须预先安装JAVA JRE,建议版本为1.6及以上。

7.5.1 在JAVA窗口中播放会话录屏

会话录屏窗口是一个JAVA视频播放窗口,记录了图像会话从开始到结束的整个过程,可以拖动下方的进度条,选择具体的时间点。其他操作如下表所示:
图标 快捷键 说明
SpaceP 单击该按钮或按空格键播放/暂停回放,按P键播放回放。
S 停止回放。
C 在当前回放时间点截图。请在弹出的窗口中指定截图保存路径和截图名称。生成的截图下方,将附带截图时间点、访问资产的用户名称和地址、资产帐号、协议、被访问的资产名称和地址等会话信息。
I 显示当前回放的会话信息,包括资产帐号、访问资产的用户名称和地址、被访问资产的名称和地址、会话开始时间和协议等会话信息。
F 开启/取消全屏播放。
选择回放画面的缩放比例,单击后有以下选项:
  • 固定设置:100%、85%、80%、75%、50%、25%
  • 自动适应:AutoFit
  • 手动输入:单击More后手动输入缩放的百分比,并单击OK。输入的值必须在10到200之间。
/+/- 选择播放回放的速度倍率。单击后有以下选项:x0.25、x0.5、x01、x02、x04、x08、x16、x32、x64。按键盘的方向键/+/-,可以使播放速度加快一倍/减慢一倍。
时间点,例如15:42:40 2018-10-08 T 选择播放时间点。单击右下角的播放时间点,在打开的窗口中,输入待跳转到的时间点,单击OK后从该时间点开始播放。

输入的时间点必须符合“年-月-日 时:分:秒”的格式,且必须在该回放的起始到结束时间范围内。

/ 按键盘的方向键/,跳转到当前播放时间点的5秒前或5秒后继续播放。
K 打开/关闭按键回显(按字幕方式),显示在播放画面和下方的按钮面板之间。用户按下的其他键盘按键,将按时间顺序显示在该栏位右侧,从右向左进行滚动。
另外,该栏位的左侧,会从左到右依次显示6个按键指示符,当回放中用户按下指定的按键时,相应的指示符会短暂显示为红色。指示符从左到右依次为:
  • L:鼠标左键
  • M:鼠标中键
  • R:鼠标右键
  • Ctrl:键盘Ctrl键
  • Shift:键盘Shift键
  • Alt:键盘Alt键
E 打开/关闭按键回显(按字幕方式)。该窗口在打开后,会从上到下依次记录回放过程中被审计用户的所有按键动作。每一条记录从左到右依次显示按键时间点、输入设备(key或mouse)、按键动作(up或down)以及具体的按键名称。
Note: 以上所有快捷键不区分大小写。

7.5.2 在浏览器中播放会话录屏

会话录屏窗口在浏览器中以网页形式打开,该页面可以执行以下操作:
操作 说明
控制播放
  • 单击,暂停播放。
  • 单击,继续播放。
  • 单击,跳转到上一个关键帧。
  • 单击,跳转到下一个关键帧。
  • 单击进度条上某个时间点,跳转到该时间点进行播放。进度条上的白色圆点表示关键帧。
查看操作列表 仅Windows会话支持该功能。播放窗口左侧显示了用户在终端上执行的所有操作的列表。列表中每一个操作,从上到下依次显示操作时间、操作动作和文本记录(窗体名称或键入、复制的文本)。

可以单击操作列表中的某个操作,跳转到该操作对应的时间点进行播放。

文本信息模糊查找 在左上角输入框中输入文本信息进行筛选查找。输入的内容必须是操作列表中某个操作的文本记录的一部分或全部。
查看字幕 仅Windows会话支持该功能。当有键盘输入时,播放窗口下方会以字幕的方式,从右向左滚动显示所有按键信息。
调整播放速度 单击,加快或减慢播放速度。播放速度默认为1倍速,调整时可以在0.25倍速~64倍速之间选择。
全屏/取消全屏 单击右下角的进入全屏播放或取消全屏播放。全屏播放时将无法使用操作列表功能。
保存截图 在播放过程中,右键单击播放画面可以选择将当前帧以png格式保存到本地。

7.6 数据库审计兼容性列表

用户通过运维审计系统使用不同的客户端访问数据库时,支持情况有所不同。

表7.1 数据库审计兼容性列表
客户端 数据库版本 数据库审计
  • sqlplusw10
  • SqlDbx
  • Toad 12
  • PL/SQL Developer 11.0
  • SQL Developer 1.5.5
  • Oracle9i
  • Oracle 10g
  • Oracle 11g
  • Oracle 11gR2-RAC
支持
Oracle 12c 不支持
OEM
  • Oracle9i
  • Oracle 10g
  • Oracle 11g
  • Oracle 11gR2-RAC
  • Oracle 12c
不支持
SSMS 2014
  • SQLServer2000
  • SQLServer2005
  • SQLServer2008
  • SQLServer2012
  • SQLServer2014
  • SQLServer2016
支持
Navicat
  • mysql 5.6.32
  • mysql 5.7.18
支持
SQLyog
Quest Central DB2 v9.7 不支持
SqlDbx for DB2
Toad for DB2

8 报表

报表是利用表格、图表等形式动态地统计并展示运维审计系统中各项信息,如系统中的资产和用户总量的变化情况,从而满足用户对运维审计系统数据进行审查和汇报的需要。能够使用报表的角色包括各种管理员:超级管理员、配置管理员、审计管理员及其他自定义的拥有报表授权的用户。

运维审计系统支持的报表类型包括:用户统计报表、资产统计报表、会话统计报表和帐号类报表。运维审计系统预定义了一些对应以上各种类型的报表模板,其他报表模板需要用户自定义导入,并对应以上四种类型。

8.1 配置报表

用户可以通过配置报表,引用报表模板,即时或周期性地生成报表。配置报表仅定义报表的生成方式,报表具体的内容在报表模板中定义。必须先配置了报表模板,然后在此引用。

报表有固定的统计周期,自动生成的报表也有固定的生成周期周期报表是指按固定的生成周期自动生成有固定统计周期的报表,即时报表可以手动设定统计周期并立即生成,也可以在固定的生成周期时间点上自动生成从指定起始时间点开始的统计周期内的报表。

  1. 登录运维审计系统 Web界面
  2. 选择工作台 > 报表 > 报表查看 > 报表
  3. 单击右上角的新增报表,设置以下参数后,单击保存
    参数 说明
    报表名称 用于标识一个报表,全局唯一。长度为1~30的字符串。
    报表类型 该参数需要与自动生成搭配使用。
    • 周期报表
      • 自动生成设置为时,表示按固定的统计周期进行统计,每一个统计周期内统计从开始到结束的信息,并在每一个生成周期时间点上生成上一个统计周期的报表。
      • 自动生成设置为时,表示禁用该报表的周期统计和生成,这种情况下和即时报表完全相同。
    • 即时报表
      • 自动生成设置为时,也会周期性生成报表,但会在每一个生成周期时间点上,统计从指定时间开始到该时间点这一段时间内的信息,并同时生成报表。
      • 自动生成设置为时,通过单击生成报表,立即生成一个报表。
    自动生成
    • :表示按固定的生成周期生成该报表。
    • :表示只能手动生成该报表。
    统计起始时间点 仅当报表类型即时报表,且自动生成的情况下需要配置。用于指定即时报表统计的起始日期(时间点为0:00),运维审计系统在该起始时间点之后的每个生成周期时间点上生成报表时,都统计从该起始时间点到报表生成时间点之间的信息。

    对于只统计一个时间点而不统计一个时间段的自定义模板,该设置无效。

    周期类别/生成周期 对于周期报表,既表示统计周期,也表示生成周期;对于即时报表,仅表示生成周期,而统计周期则由统计起始时间点和该生成周期的时间点决定。

    所有统计周期都统计从第一天的0:00:00到最后一天的23:59:59之间的数据。

    所有生成周期时间点都是当天的2:00。

    报表模板 用于定义报表的具体内容,在报表 > 报表配置 > 报表模板中定义,然后在此引用。不同的报表类型对应不同的报表模板,同一报表模板可以有不同的报表类型
    其他 根据引用的报表模板的不同,会有一些其他信息需要配置。例如用户分类统计报表需要设置包含角色资产信息统计报表需要设置是否禁用资产类型。请在预设的下拉菜单中选择一个或多个。
  4. 设置新建报表的高级属性
    仅当自动生成时需要设置高级属性。对新建的报表单击编辑基本属性页签是新建报表时设置的参数,请选择高级属性页签设置以下参数:
    参数 说明
    统计周期 仅当报表类型周期报表时需要配置。当周期类别按日时,勾选需要对每周的哪几天进行统计并生成;其他情况下配置每个统计周期开始的时间点。
    生成周期 周期类别/生成周期按日时不需要配置,固定为每天的2:00;其他情况下配置每个生成报表的日期,时间点为该日的2:00。
    邮件发送 选择生成报表后是否通过邮件通知指定收件人。需要保证系统服务中的邮件服务设置正确。
    报表格式 仅当邮件发送选择时需要配置。勾选一种或多种通过邮件发送的报表格式。
    收件人邮箱 仅当邮件发送选择时需要配置。单击选择收件人选择一个或多个登记了邮箱的用户,或者单击添加邮箱直接添加一个邮箱地址,报表在生成后将自动发送到这些邮箱地址。
    Note: 以上参数中部分在界面上没有具体的参数名称,请根据参数提示自行对应。
  5. Optional: 手动生成报表。单击生成报表,设置统计周期的起始时间和结束时间后,立即生成该报表,并可在弹出的窗口中查看该生成的报表。
    Note: 引用的模板如果只统计当前时间点,则将不选择时间直接生成报表。
  6. Optional: 查看历史报表。单击历史报表,跳转并查看历史报表
    Note: 只有自动生成的报表能够被记录并在历史报表中查看。

8.2 查看历史报表

自动生成的报表可以在历史报表中查看并保存。

  1. 登录运维审计系统 Web界面
  2. 选择工作台 > 报表 > 报表查看 > 历史报表
  3. 查看所有历史报表信息。
    每一行都是一条已生成或待生成的历史报表。每一列显示的信息分别如下:
    项目 参数
    报表名称 报表 > 报表查看 > 报表中定义的报表名称。
    模板名称 该报表引用的模板名称。
    生成时间 已生成的报表的生成时间,及待生成的报表下一次生成的时间。
    生成状态 成功、失败、待生成其中之一。
    操作 单击查看,在弹出的窗口中查看生成的报表,并单击将报表导出为不同的格式。

8.3 配置报表模板

运维审计系统已预置了一些报表模板。用户也可以自行上传自定义的报表,请联系新华三技术支持,定制自定义的报表模板。

运维审计系统已预置的报表模板如下:
  • 用户基本报表
  • 用户变更报表
  • 用户分类统计报表
  • 会话数据报表
  • 资产基本报表
  • 资产信息统计报表
  • 资产变更报表
  • 帐号基本报表
  1. 联系新华三技术支持,获取定制的*.rpt格式的报表模板。
  2. 登录运维审计系统 Web界面
  3. 选择工作台 > 报表 > 报表配置 > 报表模板
  4. 单击右上角的上传报表模板,在弹出的对话框中,单击浏览,选中已获取的报表模板。
  5. 单击下一步,设置以下参数后单击保存
    参数 说明
    模板名称 用于标识一个模板,全局唯一。长度为1~30的字符串。
    简要说明 可选参数,用于对该报表模板的进行解释说明。最大长度为512的字符串。
    分类 在下拉菜单中选择一个报表分类。该分类仅用于添加一个分类信息,模板的具体内容由模板本身决定。

9 自动化

超级管理员、配置管理员、自动化管理员和具有自动化授权的自定义角色可以在运维审计系统上创建自动化运维任务,例如脚本任务。

9.1 配置脚本任务

运维审计系统支持通过Telnet或者SSH协议登录到目标资产上自动执行脚本,并支持配置执行时间和执行间隔。

目标资产包括类Unix系统和网络设备,用户可以上传自定义的脚本文件,也可以选择系统预置的命令文件。

表9.1 目标资产和脚本支持情况
目标资产和协议 自定义脚本 系统预置命令
类Unix系统 SSH  
网络设备 Telnet/SSH  
  • 自定义脚本

    自定义脚本文件类型可以是该资产上允许执行的任何脚本类型,但资产上必须安装了相应的解释器,并且在脚本开头声明了该脚本使用的解释器,例如#!/bin/bash#!/usr/bin/python2#!/usr/bin/perl等等。

    脚本内容符合该资产的操作系统及脚本语言对于脚本的规范要求即可,运维审计系统并未对脚本内容做其他限制。

    运维审计系统执行自定义脚本的过程如下:
    1. 通过sftp方式将脚本文件上传到目标资产的指定系统帐号家目录下。
    2. 给脚本加上执行权限,chmod +x /脚本路径/脚本名称
    3. 使用配置的系统帐号登录目标资产执行命令,/脚本路径/脚本名称
  • 系统预置命令
    表9.2 系统预置命令表
    名称 操作
    h3c_reboot 在目标资产上执行命令reboot,适用于H3C网络设备。
    h3c_save 在目标资产上执行命令save(不指定文件名,使用资产缺省文件名),适用于H3C网络设备。
Note:
  • 脚本任务的默认并发数是6,默认的执行超时时间是20s。
  • 在HA和集群环境,任务仅会在主节点上执行。
  1. 选择工作台 > 自动化 > 脚本任务 > 任务列表
  2. 单击增加脚本任务
  3. 设置任务名称和简要描述。
    参数 说明
    任务名称 脚本任务的名称。字符串格式,长度范围是1~30个字符。
    简要描述 脚本任务的简要描述。字符串格式,长度范围是0~128个字符。
  4. 单击目标资产对应的,选中要配置脚本任务的资产,然后在系统帐号中选择运维审计系统登录目标资产使用的帐号,单击确定
    Note: 选择目标资产时需要注意一个脚本任务中所有资产执行的脚本是相同的。

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 先单击左上角的筛选,然后在下拉列表框中设置过滤条件,最后单击筛选按钮。
  5. 选择脚本文件来源。
    • 如果目标资产是类Unix系统,请选中自定义脚本文件,并单击文件上传从本地PC选择脚本文件。
    • 如果目标资产是网络设备,请选中系统预置命令文件,并在下拉列表框中选择脚本文件。
  6. 设置脚本任务执行时间和间隔。
    参数 说明
    执行时间 脚本任务第一次执行的时间,包括////
    执行间隔 脚本任务的执行间隔,可选项包括:
    • 执行一次
    • 按日
    • 按月
  7. 单击保存

脚本任务配置完成后,管理员可以执行以下操作:

  • 在搜索文本框中输入任务名称的关键字来查找脚本任务。
  • 单击立即执行,立即执行一次脚本任务。
  • 单击编辑,修改脚本任务的配置。
  • 单击禁用或者启用,禁用、启用对应的脚本任务。
  • 单击删除,删除对应的脚本任务。
  • 单击查看详情查看脚本任务执行历史和结果

9.2 查看脚本任务执行历史和结果

管理员能够查看、下载脚本任务的执行结果。

  1. 选择工作台 > 自动化 > 脚本任务 > 任务详情,查看脚本任务执行结果列表。
    Note: 在搜索文本框中输入任务名称的关键字来查找脚本任务。

    运维审计系统会记录每次脚本任务的执行结果,内容包括:

    • 结束时间
    • 任务名称
    • 创建人
    • 任务类型:包括自定义脚本文件和系统预置命令文件。
    • 脚本文件
    • 对应资产总量:脚本任务中目标资产的数量。
    • 执行结果:脚本任务中目标资产的数量和执行成功的资产数量。
    • 开始时间
    • 查看详情
    • 下载执行结果
  2. Optional: 单击详情,查看对应脚本任务的执行结果。
    Note: 管理员可以在搜索文本框中输入资产名称或者资产IP的关键字来过滤;也可以单击右边的全部失败成功或者超时来根据执行结果过滤。
    执行结果展示的内容包括:
    • 资产名
    • 资产IP
    • 执行结果:包括成功失败
    • 简要描述:执行结果的简要描述。
    • 详情:如果执行结果是成功,显示执行过程;如果执行结果是失败,显示错误信息。常见错误信息和可能原因请参见表9.3 常见错误信息和可能原因
      表9.3 常见错误信息和可能原因
      错误信息 可能原因
      资产帐号 “admin”未配置密码或密钥 运维审计系统登录目标资产使用的帐号未托管密码或者密钥。
      没有可用协议: telnet 运维审计系统上该资产的访问协议未添加Telnet。
      没有可用协议: ssh 运维审计系统上该资产的访问协议未添加SSH。
      Password or key error (account: admin) SSH用户的密码或者密钥错误。
      password is incorrect Telnet用户的密码错误。
      Resource connect timeout (account: root) IP不通或者其他连接异常。
      failed to connect to 1.1.1.1 端口不通或者其他连接异常。
      timeout when matching:.*Y/N.*|.*y/n.*|.*yes/no.*|.*YES/NO.*. 系统预置命令与目标资产不匹配。例如目标资产是Juniper的交换机,选择了h3c_reboot预置命令后,由于预置命令无法在目标资产上执行,就会出现该错误提示。
  3. Optional: 单击下载,将对应脚本任务的执行结果下载到本地PC,后缀为xls
    执行结果展示的内容包括:
    • 资产:资产的名称
    • 类型:资产的类型
    • IP地址:资产的IP地址
    • 帐号
    • 脚本文件
    • 执行结果:包括成功失败
    • 详情:如果执行结果是成功,显示执行过程;如果执行结果是失败,显示错误信息。常见错误信息和可能原因请参见表9.3 常见错误信息和可能原因

10 工单

运维审计系统上可以通过工单申请资产权限、资产密码。

运维审计系统支持的工单包括:

  • 申请资产:申请资产的访问权限。
  • 申请密码:申请资产帐号的密码。

不同类型的工单对申请人、使用人和审批人的要求如表10.1 工单申请人、使用人和审批人的要求所示。

表10.1 工单申请人、使用人和审批人的要求
工单类型 申请人 使用人 审批人
资产权限(内部人员) 用户具有工单权限。 用户具有访问资产权限。 可以由超级管理员在配置审批模板中指定。

缺省为自动分配,即所有配置管理员,开启了部门分权时为所有本部门及上级部门的配置管理员。

Note: 只能是系统内置的配置管理员角色,不包含用户自定义的角色。
资产密码 用户具有工单权限。 用户具有工单权限。

申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。

  • 消息:用户登录Web界面后,单击右上角的查看通知消息。

  • 邮件:如果已配置用户的工作邮箱,用户会收到通知邮件。

审批人收到工单通知后,可以在待办工单中查看工单信息并审批(批准或者驳回)。

  • 批准:审批人判断申请合理时批准工单,运维审计系统执行工单内容,不管执行成功还是失败,申请人都会收到通知消息和通知邮件。如果执行成功,对于一次性操作的工单(例如申请密码),工单状态为已完成;对于持续性的工单(例如申请资产权限),在结束时间前工单状态为进行中,在结束时间后为已完成。如果执行失败或者工单填写错误未执行,工单状态均为已完成
  • 驳回:审批人判断申请不合理时驳回工单,申请人收到通知消息和通知邮件。工单状态为已完成
Note:
  • 如果审批人一直没有审批工单,对于配置了结束时间的工单,在结束时间后工单超时并关闭,工单状态为已完成;对于没有配置结束时间的工单,工单状态一直为进行中
  • 如果存在多个审批人,当其中一个审批人审批工单后,其他审批人不能再处理。
  • 如果在配置审批模板时配置了多级审批,其中一级的审批人完成审批后需要下一级审批人继续完成审批,直到所有审批人完成审批后,工单才能生效。

为了便于用户新建工单,运维审计系统的工单支持草稿和模板。

  • 草稿:如果工单暂时不提交,可以将工单保存为草稿,下次在草稿箱中打开工单继续填写、提交。
  • 模板:如果工单内容比较通用,可以将工单保存为模板,下次直接使用模板新建工单。

10.1 新建资产权限申请工单

通过工单来申请资产的访问权限。

图10.1 资产权限工单处理流程
  1. 选择工单 > 工单管理 > 新建工单
  2. 单击申请资产对应的,设置各参数。
    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。

    操作类型 用户要申请的操作类型,取值包括日常维护定期巡检
    申请理由 工单的申请理由。字符串格式,长度范围是0~512个字符。
    开始时间/结束时间

    权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。

  3. 单击资产对应的,选中要添加权限的资产,然后在系统帐号中选择帐号,单击添加
    Note:
    • 一次最多能够选择100个资产,如果要添加权限的资产数大于100,请分批添加。
    • 系统帐号中显示资产上的所有帐号加上anyself
      • any:任意帐号,登录时由用户输入。
      • self:同用户帐号,即使用和当前登录运维审计系统的帐号同名的帐号登录资产,请确保该帐号在待访问资产上存在。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的权限,请重复执行本步骤。

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 单击筛选,使用资产的属性设置过滤条件,单击筛选
  4. 配置访问协议。
    缺省情况下,运维审计系统选中的是全部协议。如果需要更精细化的管理,请选中指定协议,并配置允许的访问协议,协议包括SSHTelnetRDPXDMCPVNCXFWD
  5. Optional: 如果管理员配置了高危命令,工单申请人可以通过设置放行命令,允许工单申请资产的使用人执行某些命令。请填写放行命令,多条命令之间用回车分隔。
    Note: 放行命令可以直接填写完整的命令,也可以填写命令的正则表达式。正则表达式的具体写法请参考配置命令模板

    此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。即只要用户执行的命令能匹配上此处的放行命令,则在高危命令中配置的拒绝、需复核、终止会话将不生效,命令将可以直接执行。

  6. 单击使用人对应的,选中要添加权限的用户,单击添加
    • 使用人列表中只显示具有访问资产权限的用户,包括:超级管理员、配置管理员、自动化管理员、操作员、自定义具有访问资产权限角色的用户。对于已与所选资产和帐号关联过的用户,不再显示。
    • 一次最多能够选择100个用户,如果要添加权限的用户数大于100,请分批添加。

    如果用户数量大,可通过以下方式查找满足条件的用户。

    • 在搜索文本框中输入帐号或者姓名的关键字。
    • 单击筛选,使用用户的属性设置过滤条件,单击筛选
  7. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  8. Optional: 超级管理员如配置审批模板时手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。

申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。

执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。

10.2 新建密码申请工单

通过工单来申请资产帐号的密码。

对于配置了改密计划的帐号,支持一次一密,即申请的密码到期后,运维审计系统会对该帐号进行改密,用户不能再使用老的密码登录设备。对于未配置改密计划的帐号,不支持一次一密,为了确保安全,请先配置改密计划
图10.2 密码工单处理流程
  1. 选择工单 > 工单管理 > 新建工单
  2. 单击申请密码对应的,设置各参数。
    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。

    开始时间/结束时间

    使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。

  3. 单击资产对应的,选中要申请密码的资产,然后在系统帐号中选择帐号,单击添加
    Note:
    • 一次最多能够选择100个资产,如果要申请密码的资产数大于100,请分批添加。
    • 运维审计系统不支持为类型是C/S的资产申请密码。
    • 系统帐号中显示资产上的所有帐号,但正在使用中的帐号不能添加。正在使用中的帐号是指其他密码申请工单中已申请的帐号且还在使用时间范围内。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的密码,请重复执行本步骤。

    如果资产数量大,可通过以下方式查找满足条件的资产。

    • 在搜索文本框中输入资产名称、IP或者简要说明的关键字。
    • 单击筛选,使用资产的属性设置过滤条件,单击筛选
  4. 选择密码是否分段。
    • 如果申请人就是密码使用人,请选择。工单审批完成后申请人会收到通知邮件。
    • 如果申请人不是密码使用人,请选择,并设置前段密码用户后段密码用户。工单审批完成后,两段密码的用户都会收到通知消息和通知邮件。
  5. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  6. Optional: 超级管理员如配置审批模板时手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。
  • 密码不分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。

    工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。

    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。
  • 密码分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。

    两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。

    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。

工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。

10.3 审批待办工单

待用户审批的所有工单都会显示在待办工单中,用户可以在查看工单信息后进行审批。

  1. 选择工单 > 工单管理 > 待办工单
  2. Optional: 设置筛选条件,包括工单类型、工单标题或者申请人的关键字,单击筛选,筛选出特定的工单。
    Note: 单击重置,可以清除所有已设置的筛选条件。
  3. 单击工单对应的详情查看工单内容,如果同意,请单击批准,然后单击确定;如果不同意,请单击驳回,然后填写拒绝理由(0~300个字符),完成后单击确定
    • 单击批准后,运维审计系统会执行工单中定义的任务,完成后申请人会收到通知消息和通知邮件。查看工单详情,工单状态为已完成,结果可能为成功失败或者异常。如果结果为失败或异常,请查看原因并解决。
    • 单击驳回后,申请人会收到通知消息和通知邮件。查看工单详情,工单状态为已完成,但结果是未执行
  4. Optional: 当超级管理员在配置审批模板中设置了多级审批时,如果超级管理员设置了多级审批,存在下一级审批人,且下一级审批人为超级管理员指定的审批人时,当前审批人需要从下一级审批人名单中,勾选一个或多个审批人。这些审批人将会收到提示并由其中之一继续完成审批。
    Note: 如下一级审批人为自动分配,当前审批人无需进行任何操作。所有配置管理员将会收到提示并继续完成审批。如开启了部门分权,则只有当前部门及上级部门的配置管理员会收到审批通知。

10.4 查看已办工单

用户申请和审批过的所有工单都会显示在已办工单中,用户可以查看工单的申请时间、工单类型、工单状态、操作结果等信息。

  1. 选择工单 > 工单管理 > 已办工单
  2. Optional: 设置筛选条件,包括工单类型、工单状态、工单标题或者申请人的关键字,单击筛选,筛选出特定的工单。
    Note: 单击重置,可以清除所有已设置的筛选条件。
  3. 查看工单的信息,如果要查看某个工单更详细的信息,请单击对应的详情

    工单详情中会显示工单的状态、工单内容和结果。如果结果是失败,可以单击失败了解原因。

10.5 配置审批模板

超级管理员可以为不同的工单类型配置审批模板,包括配置审批的层级数,及每一层的审批人员。

如不对审批模板进行修改,所有审批模板默认为只进行一级审批,规则为自动分配,即审批人为所有配置管理员。

配置了多级审批后,一级审批人完成审批后,将由二级审批人、三级审批人依次完成审批。每一级中只要有一个审批人批准了工单,工单就会进入到下一级审批中,各级审批都完成后,工单生效;只要有一个审批人驳回了工单,或所有审批人在工单结束时间之前都没有完成审批,该工单就将关闭。

某类型的工单设置了三级审批之后,该类型工单审批流程如下:

修改审批模板,将不会对已创建的工单生效。

  1. 选择工单 > 配置 > 审批模板
  2. 设置审批模板相关参数,并单击保存
    参数 说明
    模板名称 用于标识一个审批模板的名称。缺省为申请密码和申请资产。
    工单 该审批模板对应的工单类型。仅作显示,不能修改。
    审批级别 取值范围为一级、二级、三级其中之一。默认为一级。
    审批规则 设置每一级审批的审批人:
    • 自动分配:审批人为所有配置管理员。当开启了部门分权时,为申请用户所在部门及上级部门的所有配置管理员。
      Note: 如各级别都设置为自动分配,则同一个配置管理员可以独立完成各级别的审批。
    • 手动指定:从所有用户中,手动选择若干审批人。当上一级审批人批准工单后,需要从这些审批人中选择一个或多个,作为下一级审批人。

11 帐号改密

帐号改密可实现对主机、网络等设备的系统帐号的密码修改。

11.1 管理帐号资产

在帐号资产中可以以帐号为中心,对帐号的基本信息进行集中查询和更新。

运维审计系统根据帐号所属的资产类型将帐号分为:
类型 说明
主机帐号 指资产类型为主机的帐号,比如Linux、Windows、AIX。
网络帐号 指资产类型为网络的帐号,比如Cisco IOS、Huawei Quidway、H3C Comware。
域帐号 指Windows域帐号,可以先在资产 > 配置 > Windows域中添加或管理Windows域;然后在工作台 > 帐号改密 > 帐号资产 > 域帐号中选择要管理的域,单击从域中同步帐号。
Note: 因产品软件版本和设备型号不同,可管理的帐号类型会有所不同。
在帐号资产中您可以对帐号进行下列操作:
  • 查看帐号基本信息。
  • 配置帐号基本属性,包括设置帐号类型、是否可改密、设置私钥等基本信息。
  • 维护帐号密码,包括重新录入密码、自动修改密码。
  • 查看帐号历史日志。
  • 批量更新帐号基本属性。
  • 批量导出帐号。

11.1.1 设置帐号属性

帐号资产中允许对帐号进行设置,相关的操作也可以在资产 > 资产清单 > 主机(或其他)中单击编辑进行。
Note: 帐号的责任人属性继承自其所属的资产,不支持单独设置,您可以在资产中选择要修改的资产,单击编辑修改责任人属性。
  1. 选择工作台 > 帐号改密 > 帐号资产
  2. 选择要配置的帐号类型。
  3. 选择要配置的资产和帐号,单击编辑,选择帐号编辑
  4. 设置各参数,完成后单击确定
    参数 说明
    帐号类型 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时将优先使用特权帐号登录。对于需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
    • 特权帐号:目标资产上权限最高的帐号,比如Linux中的root、Windows中的Administrator、Cisco IOS中的enable。
    • 普通帐号:目标资产上特权帐号以外的帐号。
    是否可改密 是否允许运维审计系统自动修改该帐号的密码:
    • 可改密:允许运维审计系统对该帐号进行自动改密。
    • 不可改密:不允许运维审计系统进行自动改密。运维审计系统自动同步的域帐号默认值均为该值。
    登录密码 仅修改运维审计系统上的密码,一般用于当运维审计系统上的该帐号密码设置错误时进行重设。
    确认密码 必须和登录密码完全一致。
    切换自 Linux、Unix和网络设备中的特权帐号可能不允许直接telnet或者ssh远程登录,此时可以选择一个低权限的帐号作为切换来源,运维审计系统在登录目标资产时会先使用切换自帐号登录,然后再通过su等切换命令切换到特权帐号的身份。
    私钥(含SSH服务的资产) 访问目标资产的SSH密钥。可以在资产 > 配置 > 密钥管理中查看或者添加新的密钥。

11.1.2 管理选定帐号密码

通过帐号资产的密码管理,您可以对选定的帐号进行单次密码自动修改、登录测试、查看最近的密码修改和备份情况、查看历史密码。
  1. 选择工作台 > 帐号改密 > 帐号资产
  2. 选择要配置的帐号类型。
  3. 选择要配置的资产和帐号,单击编辑,选择密码管理
  4. 根据需要,可对选定的帐号进行下列管理操作:
    查看最近的密码修改和备份情况。
    属性 说明
    当前密码 该帐号当前密码的状态,空密码、正常或异常。
    • 如当前帐号已托管了密码,可以单击登录测试运维审计系统使用当前帐号及密码登录资产查看登录是否成功。如果登录成功,当前密码显示为正常,否则显示为异常
    • 自动改密,在弹出的对话框中设置改密规则,单击确定运维审计系统将根据选定的规则登录目标资产修改选定帐号的密码。
    下次改密时间 运维审计系统下一次对该帐号进行自动改密的时间,如果没有设置改密计划该值为空。改密计划在帐号管理 > 帐号维护 > 改密计划中设置。
    改密计划 该帐号涉及的改密计划将被列出。可以单击查看改密计划,跳转到改密计划页面进行查看。
    历史密码 该帐号使用的历史密码的数量。可以单击查看历史密码,在弹出的页面的表格中查看以下信息:
    • 时间:该次修改密码的时间。
    • 事件。哪个用户(或系统)对该帐号的密码执行了什么动作。
    • 结果:事件的执行结果,成功或失败。
    • 操作:在当前保存的密码不可用的情况下,用户可以单击对应历史密码的登录测试,尝试是否可以使用某个历史密码登录。可以单击下载密码将历史密码下载到本地。
    上次备份时间 运维审计系统最近一次备份该帐号密码的时间,如果没有备份过记录为空。
    Note:
    • 部分资产类型不支持登录测试,不支持的资产类型将不会出现登录测试按钮。
    • 执行自动改密前,必须先在帐号改密 > 系统设置 > 密码规则中添加对应的改密规则。改密结果将根据设置的备份方式发送给对应的通知人。改密规则的备份方式如设置为同密码备份,需要在帐号改密 > 帐号维护 > 密码备份中设置密码备份方式。

11.1.3 查看选定帐号日志

在帐号资产中可以查看指定帐号在运维审计系统中的全部操作日志。

  1. 选择工作台 > 帐号改密 > 帐号资产
  2. 选择要配置的帐号类型。
  3. 选择要配置的资产和帐号,单击编辑,选择帐号日志
  4. 选择要查看的日志记录,单击查看日志详情可查看日志详细信息。
    Note: 如果查看的是修改密码失败的日志,管理员可以查看改密交互过程,便于管理员在改密失败时排查问题。

11.1.4 批量更新帐号

在帐号资产中可以通过Excel批量导入的方式更新帐号的帐号类型、密码和是否可改密属性。
Note:
  • 不支持对域帐号的批量更新。
  • 资产页面,右上角单击密码导入可以批量更新更多的帐号属性。
  1. 选择工作台 > 帐号改密 > 帐号资产
  2. 选择要配置的帐号类型。
  3. 单击页面右上角的批量更新
  4. Optional: 单击下载模板,选择要更新的帐号,完成后单击下一步,确认无误后单击下载模板
  5. 在Excel模板文件录入各字段,留空的字段现有的参数将不被更新。
    参数 说明
    帐号类型 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时优先使用特权帐号登录,对需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
    • 特权帐号:目标资产上权限最高的帐号,比如Linux中的root、Windows中的Administrator、Cisco IOS中的enable。
    • 普通帐号:目标资产上特权帐号以外的帐号。
    密码 帐号在目标资产上的密码。
    是否可改密 是否允许运维审计系统自动修改该帐号的密码:
    • 可改密:允许运维审计系统对该帐号进行自动改密。
    • 不可改密:不允许运维审计系统进行自动改密。运维审计系统自动同步的域帐号默认值均为该值。
  6. 在批量更新页面,批量上传填写完毕的Excel文件。您可以通过两种方式上传:
    • 将文件直接拖到页面的矩形区域内。
    • 单击文件上传,选择文件并上传。
  7. 上传后,运维审计系统将显示从文件中读取的信息,请核对要更新的信息是否正确,完成后单击开始更新。如果有红色标记,说明录入的信息不正确,您可以:
    • 直接页面上修改或者单击移除异常的数据。
    • 重新编辑Excel文件,后单击文件上传,重新上传。

11.1.5 批量导出帐号

通过批量导出可以导出选择的帐号的基本属性到Excel文件中。

如果要导出密码,需要用户完成配置ZIP文件密码配置PGP公钥
Note: 不支持域帐号的导出。
  1. 选择工作台 > 帐号改密 > 帐号资产
  2. 选择要配置的帐号类型。
  3. 单击页面右上角的密码导出批量导出
    Note: 密码导出导出的信息将比批量导出多了帐号密码一列。
  4. 选择要导出的帐号,单击下一步
  5. Optional: 勾选左下角的特权帐号普通帐号,可选择性导出特定类型的帐号。
  6. 单击导出
导出的Excel文件中将包含选定帐号的资产名、资产IP、责任人、帐号、帐号类型和是否可改密属性。如果执行的是密码导出,还会显示密码。如该帐号未托管密码,则该单元格为空。
执行密码导出后,需要使用用户在配置ZIP文件密码配置PGP公钥时配置的密码/密钥进行解密后才能解压缩。

11.2 帐号维护

通过帐号维护可以对帐号设置改密计划、设置密码备份计划。

11.2.1 配置改密计划

改密计划支持按照设定的周期、时间和规则对运维审计系统中帐号资产按照资产类型和帐号类型进行定期自动改密。

在使用改密计划前,请先完成以下配置工作:

运维审计系统执行改密计划的流程如图11.1 改密流程图所示。

图11.1 改密流程图

运维审计系统支持帐号改密的资产类型和要求如表11.1 支持帐号扫描的资产类型和要求所示。

表11.1 支持帐号扫描的资产类型和要求
资产类型 要求
Windows Windows系统支持RPC和Agent两种方式,推荐使用Agent方式。
Note: 请参照以下方式安装Agent:
  1. 单击右上角的用户姓名,并选择帮助 > 其他应用 > 下载 > Windows相关应用,单击下载Agent。
  2. 将agent.exe上传到资产上并安装。
  3. 设置地址运维审计系统的地址,如运维审计系统为HA部署,则填写虚IP地址;集群部署则填写外部虚IP地址

如果目标设备上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP 3301),则不需要要目标设备在运维审计系统上托管密码。

如果使用RPC方式,目标设备和运维审计系统需要满足如下要求。

  • Windows设备

    目标设备上已打开TCP的135、139和445端口,且防火墙允许运维审计系统访问这些端口。

  • 运维审计系统

    已在运维审计系统上托管目标设备上属于Administrators组的帐号密码。

Linux / HP UX / IBM AIX和网络设备
  • Linux / HP UX / IBM AIX和网络设备

    帐号已配置密码或者密钥。

  • 运维审计系统

    • 运维审计系统上资产的访问协议(SSH或者Telnet)配置正确。
    • 已在运维审计系统上托管目标设备上的特权帐号密码。

  1. 选择工作台 > 帐号改密 > 帐号维护 > 改密计划
  2. 单击新建改密计划
  3. 在弹出的窗口中配置改密计划的各项参数,并单击下一步。
    改密计划的具体参数说明如下:
    参数 说明
    计划名称 改密计划的名称。
    执行方式
    • 手工执行:运维审计系统会在指定时间通知用户改密,用户可以单击立即执行来改密。
    • 自动执行:运维审计系统会在指定时间自动改密并通知用户。
    下次执行时间 对于手工执行,是下一次通知用户改密的时间;对于自动执行,是下一次自动执行该改密计划的时间。
    执行间隔 对于手工执行,是发送改密通知周期的间隔天数;对于自动执行,是改密计划的执行周期间隔天数。
    通知方式 可以根据需要勾选一个或多个通知方式。对于手工执行,将会提醒用户执行手工改密;对于自动执行,会在改密开始时和改密完成后各发送一个通知,通知中只会给出改密计划的名称,不会显示具体密码。
    • 邮件通知:将改密提醒通过邮件发送给通知人。
    • 站内通知:将改密提醒通过右上角的站内提醒发送消息给通知人。
    通知人 可以根据需要勾选一个或多个通知人。通知人必须超级管理员、配置管理员或其他拥有资产权限的自定义角色。对于邮件通知,必须是配置了邮箱的用户;对于站内通知,用户可以不配置邮箱。
  4. 选择改密所使用的密码规则,完成后单击下一步
    密码规则可以选择模板选择新建模板
    • 模板选择:从已有的密码规则模板中选择一个,在下拉菜单中选取。
    • 新建模板:新建一个密码规则模板,相关参数的配置请参见配置密码规则
  5. 为改密计划关联待改密的帐号。
    不同方式关联的帐号,在生效时将取并集。有以下三种方式:
    • 指定帐号:单击之后,在所有可改密的帐号中勾选若干个待改密的帐号,并单击确定
    • 动态关联:单击之后可以可以配置动态规则。不同规则在生效时会取交集:
      • 资产帐号后单击,设置规则的属性匹配内容资产可以设置的内置属性包括资产名、IP、简要说明、责任人、资产组和资产类型;帐号可以设置的内置属性包括指定帐号帐号类型
      • 可以单击,对规则进行修改或删除。
      • 可以单击左下角的查看帐号,查看当前设置的规则可以关联上哪些帐号。
      全部确认无误后单击确定保存动态关联的修改。
    • 域帐号:单击之后,在所有可以改密的域帐号中勾选若干个待改密的域帐号,并单击确定。域帐号在资产 > 配置 > Windows域中设置。
  6. 确认三个页签信息是否设置正确。可以单击上一步检查前几步设置的信息,确认全部正确后单击保存,完成改密计划的创建。

执行改密计划后,密码规则中配置的备份方式对应的备份人,将在改密开始和改密完成后分别收到通知,两个通知中分别包含旧密码和新密码。密码的ZIP包需要使用该用户在帐号设置 > 信息加密中设置的ZIP文件密码或PGP密钥进行解压。

可以单击密码备份下载,将当前改密计划对应的帐号的密码下载到本地。下载后的ZIP包同样需要进行解密。

已添加的改密计划,将在该页面的表格中显示以下相关信息。

项目 说明
改密计划 改密计划的名称。
执行方式 自动或手动。
下次执行时间 改密计划下一次执行的时间。当改密计划在执行时,显示为正在执行
关联帐号 改密计划将要修改密码的帐号的数量。
上次改密结果 仅当该改密计划被执行后才会出现。显示最近一次改密的改密成功和改密失败的帐号数量。可以分别单击成功失败查看具体成功或失败的信息。
操作
  • 编辑:单击编辑修改改密计划的参数,参数解释请参见新建改密计划的步骤。
  • 立即执行:单击立即执行,手动执行一次该改密计划。
  • 历史记录:仅当该改密计划被执行后才会出现。单击历史记录查看该改密计划每次被执行的记录信息。
通过编辑改密计划,可以设置改密计划是否禁用活动禁用。改密计划被禁用后,将不会自动执行,也将默认不显示在改密计划列表中。只有单击筛选并设置是否禁用禁用时,才能看到所有被禁用的改密计划。

11.2.2 配置密码备份

目标设备的帐号和密码在运维审计系统托管后,为了保证密码的安全性,请定期备份密码。

  • 已完成配置信息加密运维审计系统使用该密码或密钥加密密码文件,用户收到密码文件后也需要使用该密码或密钥解密。
  • 如果密码备份到文件服务器,请先完成配置文件服务
  • 如果密码发送到用户邮箱,请先完成配置邮件服务

运维审计系统支持的密码备份方式包括:

  • 文件服务:密码文件定期备份到文件服务器。
  • 邮件服务:密码文件定期发送到用户邮箱。
Note: 为了确保密码的安全性,运维审计系统备份时会对密码文件加密。
  1. 选择工作台 > 帐号改密
  2. 选择帐号维护 > 密码备份
  3. 设置各参数,完成后单击确定
    参数 说明
    执行时间 密码备份的执行日期和时间。
    执行间隔 密码备份的执行间隔。
    • 月:执行间隔是月。整数形式,取值范围是1~12。
    • 天:执行间隔是天。整数形式,取值范围是1~365。
    密码分段 密码备份时是否分段。
    • 如果选择,密码将被分成两段,前、后半段需要分别选择不同的备份方式和通知用户。
    • 如果选择,密码被作为一个整体备份。
    备份方式 密码备份采取的方式。选择好备份方式后,请单击添加通知用户来设置接收密码备份通知的用户。
    • 邮件备份:加密后的密码以邮件的方式发送给通知用户,请确保该用户的邮箱已配置。邮件备份的具体配置请参见基本设置:配置邮件服务
    • 文件备份:加密后的密码上传到文件服务器,发送给通知用户。文件备份的具体配置请参见基本设置:配置文件服务

    用户收到加密的密码文件后,请使用配置信息加密中配置的密码或密钥解密。

    任务通知 接受改密通知的用户。执行改密任务时如果改密规则选择了同密码备份时,运维审计系统会在改密前和改密后发送通知给设定的用户。
    执行记录 单击查看,查看密码备份的执行记录。

11.3 日志报表

日志报表中可以查看历史密码。

11.3.1 查看历史密码

历史密码中记录了运维审计系统中所有密码修改操作,一条记录对应一次修改操作,用户可以下载该条记录中的密码。

用户下载密码时,运维审计系统会使用当前登录用户的ZIP文件密码对密码进行压缩,请确保已配置信息加密。用户下载密码后需要使用该密码或密钥解密密码文件。

运维审计系统的密码修改分为两种情况,第一种情况是仅修改运维审计系统上资产帐号的密码,第二种情况是同时修改资产自身的密码和运维审计系统上资产帐号的密码。这些操作都会被记录在历史密码中。

选择工作台 > 帐号改密 > 日志报表 > 历史密码,查看资产的历史密码记录。

如果帐号数量大,可通过以下方式查找满足条件的帐号。

  • 在搜索文本框中输入帐号、所属资产的名称或者IP的关键字。
  • 单击筛选,使用历史密码的属性设置过滤条件,单击筛选
参数 说明
帐号名 帐号的名称。
所属资产 帐号所在的资产。
资产IP 资产的IP地址。
密码日期 修改密码的时间。
事件 修改密码的事件类型。
事件结果 上述事件的结果,取值包括成功失败
操作 单击下载,将密码文件保存到本地PC。用户也可以选中多个帐号单击批量下载或者直接单击下载全部,一次性下载更多密码文件。
Note: 如果事件结果成功,则下载的密码文件是改密前的旧密码;如果事件结果失败,则下载的密码文件是改密后的新密码。

11.4 系统设置

帐号管理相关的系统设置。

11.4.1 配置密码规则

进行帐号改密,需要先配置改密规则。

改密规则用于设置运维审计系统修改目标资产帐号密码时的新密码策略、密码备份方式和改密计划的最大执行间隔。根据密码策略不同分为:

11.4.1.1 配置改密规则(随机生成不同密码)

如果需要在改密时给不同资产和帐号随机生成不同的密码,可以参考以下方式配置改密规则。

  1. 选择工作台 > 帐号改密
  2. 选择系统设置 > 密码规则 > 改密规则
  3. 单击页面右上角的新建改密规则,设置各参数,完成后点击确定。
    参数 说明
    规则名称 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。
    密码策略 请选择随机生成不同密码
    使用缺省生成规则 指按照缺省规则生成新密码,密码为长度10位,字符随机。
    自定义生成规则 自定义新密码生成规则,参数包括:
    • 密码长度,密码总长度,其它字符个数之和不可以超过密码长度。默认值8,允许的值为8-30位之间的数字。
    • 最少数字字符个数,密码中最少包含的数字的个数,默认值2。
    • 最少大写字母个数,密码中最小包含的大写字母的个数,默认值2。
    • 最小小写字母个数,密码中最少包含的小写字母个数,默认值2。
    • 最少特殊字符个数,密码中最少包含的特殊字符个数,默认值2。
    • 特殊字符集合,密码中允许出现的特殊字符,只允许输入半角字符,多个连续输入即可,比如!@#$。
    备份类型 设置修改密码时如何备份密码:

11.4.1.2 配置改密规则(随机生成相同密码)

如果需要在改密时给同一批资产及其帐号设置相同的密码,可以参考以下方式配置改密规则。

  1. 选择工作台 > 帐号改密
  2. 选择系统设置 > 密码规则 > 改密规则
  3. 单击页面右上角的新建改密规则,设置各参数,完成后单击确定
    参数 说明
    规则名称 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。
    密码策略 请选择随机生成相同密码
    使用缺省生成规则 指按照缺省规则生成新密码,密码为长度10位,字符随机。
    自定义生成规则 自定义新密码生成规则,参数包括:
    • 密码长度,密码总长度,其它字符个数之和不可以超过密码长度。默认值8,允许的值为8-30位之间的数字。
    • 最少数字字符个数,密码中最少包含的数字的个数,默认值2。
    • 最少大写字母个数,密码中最小包含的大写字母的个数,默认值2。
    • 最小小写字母个数,密码中最少包含的小写字母个数,默认值2。
    • 最少特殊字符个数,密码中最少包含的特殊字符个数,默认值2。
    • 特殊字符集合,密码中允许出现的特殊字符,只允许输入半角字符,多个连续输入即可,比如!@#$。
    备份类型 设置修改密码时如何备份密码:

11.4.1.3 配置改密规则(手工指定密码)

如果需要在改密时给同一批资产及其帐号设置指定的密码,可以参考以下方式配置改密规则。

  1. 选择工作台 > 帐号改密
  2. 选择系统设置 > 密码规则 > 改密规则
  3. 单击页面右上角的新建改密规则,设置各参数,完成后点击确定。
    参数 说明
    规则名称 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。
    密码策略 请选择手动指定密码
    密码输入 输入新密码。
    重复确认 再次输入新密码,如果和第一次输入的不一致将提示"两次密码输入不一致"。
    备份类型 设置修改密码时如何备份密码:

11.4.1.4 配置改密规则(密码集)

如果需要给同一批帐号设置新密码时,仅从特定的随机密码集合中选取密码,可以参考以下方式配置改密规则。

  1. 选择工作台 > 帐号改密
  2. 选择系统设置 > 密码规则 > 改密规则
  3. 单击新建改密规则,设置各参数,完成后点击确定。
    参数 说明
    规则名称 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。
    密码策略 请选择密码集
    使用缺省生成规则 指按照缺省规则生成新密码,密码为长度10位,字符随机。
    自定义生成规则 自定义新密码生成规则,参数包括:
    • 密码长度,密码总长度,其它字符个数之和不可以超过密码长度。默认值8,允许的值为8-30位之间的数字。
    • 最少数字字符个数,密码中最少包含的数字的个数,默认值2。
    • 最少大写字母个数,密码中最小包含的大写字母的个数,默认值2。
    • 最小小写字母个数,密码中最少包含的小写字母个数,默认值2。
    • 最少特殊字符个数,密码中最少包含的特殊字符个数,默认值2。
    • 特殊字符集合,密码中允许出现的特殊字符,只允许输入半角字符,多个连续输入即可,比如!@#$。
    密码有效期(月) 密码集的有效期,到期后将自动产生新的密码集。默认值为3个月,可选6个月或者12个月。
    密码数量 密码集中包含的密码的数量。默认20个,可选50个、100个、200个。
    备份类型 设置修改密码时如何备份密码:
配置完成后您可以在当前页面单击下载密码集,密码文件将使用您在帐号设置 > 修改信息 > 信息加密中设置的ZIP文件加密加密。您也可以在当前页面点击重新生成,生成新的密码集。

11.4.2 配置改密方法

如果运维审计系统内置的改密方法无法满足需求时可以配置自定义改密方法。

推荐使用运维审计系统内置的改密方法修改资产密码,您可以在系统设置-资产-资产类型中修改资产类型的改密方式,调整内置的改密方法。如果一定要自定义改密方法,请确保:
  • 目标资产支持通过Telnet或者SSH方式修改密码。
  • 了解目标资产的改密命令和输出。
CAUTION:
错误的改密方法可能导致密码丢失或者其它严重的问题,请谨慎配置。
  1. 选择工作台 > 帐号改密 > 系统设置 > 改密方法
  2. 单击新增改密方法,依次完成后续操作后单击保存
  3. 填写方法名,改密方法的唯一名称,允许任意字符,不超过30字符。
  4. 配置改密工具
    1. 单击改密工具后的
    2. 选择工具类型
      工具类型 工具说明
      交互式指令(Telnet) 运维审计系统通过Telnet方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。
      交互式指令(SSH) 运维审计系统通过SSH方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。
    3. 单击下载模板,修改脚本后,单击文件上传,选择编写好的脚本上传,然后单击保存
      Note: 上传脚本文件后,管理员可以单击将脚本文件下载到本地PC,也可以单击删除不需要的脚本文件。
      交互式指令(包括Telnet和SSH)模板是一个JSON文件,以模板为例:
      {
      "changesecret":{
      "expectparams": [
      {
      "id": "1",
      "cmd": "export LANG=C LC_ALL=en_US.UTF-8"
      },{
      "id": "2",
      "cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
      "pid": "1"
      },{
      "id" : "3",
      "cmd": "passwd <%account%>",
      "pid": "2"
      },{
      "id" : "4",
      "cmd": "passwd",
      "ptn": "[oO]nly",
      "pid": "3"
      },{
      "id": "5",
      "cmd": "<%oldpassword%>",
      "ptn": "([cC]urrent)|([oO]ld)",
      "alt": "<oldpwd>",
      "pid": "4"
      },{
      "id": "6",
      "cmd": "<%password%>",
      "ptn": "[nN]ew.*assword:",
      "alt": "<pwd>",
      "pid": ["3", "5"]
      },{
      "id": "7",
      "cmd": "<%password%>",
      "ptn": "[rR]e.*assword:",
      "alt": "<pwd>",
      "pid": "6"
      },{
      "id": "8",
      "cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
      "pid": "7"
      }
      ]
      },
      "changesecretandverify":{
      "expectparams": [
      {
      "id": "1",
      "cmd": "export LANG=C LC_ALL=en_US.UTF-8"
      },{
      "id": "2",
      "cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
      "pid": "1"
      },{
      "id" : "3",
      "cmd": "passwd <%account%>",
      "pid": "2"
      },{
      "id" : "4",
      "cmd": "passwd",
      "ptn": "[oO]nly",
      "pid": "3"
      },{
      "id": "5",
      "cmd": "<%oldpassword%>",
      "ptn": "([cC]urrent)|([oO]ld)",
      "alt": "<oldpwd>",
      "pid": "4"
      },{
      "id": "6",
      "cmd": "<%password%>",
      "ptn": "[nN]ew.*assword:",
      "alt": "<pwd>",
      "pid": ["3", "5"]
      },{
      "id": "7",
      "cmd": "<%password%>",
      "ptn": "[rR]e.*assword:",
      "alt": "<pwd>",
      "pid": "6"
      },{
      "id": "8",
      "cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
      "pid": "7"
      },{
      "id": "9",
      "cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
      "pid": "8"
      },{
      "id": "10",
      "cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
      "pid": "9"
      },{
      "id": "11",
      "cmd": "<%password%>",
      "ptn": "assword",
      "alt": "<pwd>",
      "pid": ["9", "10"]
      },{
      "id": "12",
      "cmd": "",
      "pid": "11"
      },{
      "id": "13",
      "cmd": "",
      "ptn": "([Ii]ncorrect)|(Ff)ail",
      "pid": "11"
      },{
      "id": "14",
      "cmd": "echo FAILE",
      "ptn": "VERIFY PASSWORD FAILED",
      "pid": "13"
      },{
      "id": "15",
      "cmd": "",
      "pid": "10"
      }
      ]
      },
      "verify":{
      "expectparams": [
      {
      "id": "1",
      "cmd": "echo flag"
      },{
      "id": "2",
      "cmd": "echo verify success",
      "ptn": "flag.*flag",
      "pid": "1"
      }
      ]
      }
      }
      • 改密过程模板包含changesecretchangesecretandverifyverify三个改密过程对象,分别表示改密、改密并验证和验证三个改密过程。配置时,只能同时配置改密验证,或者只配置改密并验证
      • 每一个改密过程都有一个expectparams对象,每一个expectparams包含多个键/值对组成Step记录。
      • Step记录允许的键包括:
        • id:表示Step ID,必填,大于等于1的正整数,运维审计系统会按照id的顺序依次执行。
        • pid:父Step ID,除id为1的无父id,其它Step都必须填写,父id的数字不能大于id的数字。允许有多个值,表示分支,运维审计系统将根据匹配到的ptn自动选择分支,比如 ["3", "5"]。
        • ptn:表示要匹配命令提示,支持正则表达式,如果留空将使用目标资产的默认提示符如#或者$。比如,如果出现"new passwd:"后输入新密码,ptn可以设置为"new passwd:"。
        • cmd:要执行的命令,比如passwd指令。
        • alt:改密日志中替换cmd输出的文本,比如改密的命令是net user <%account%> <%password%>,为了防止改密日志中直接看到密码,可以将alt设置为net user xxx xxx,最终改密日志中将显示成net user xxx xxx。
      • ptn、cmd和alt支持使用变量,支持的变量包括:
        变量 说明
        <%account%> 需要改密的帐号名
        <%password%> 新密码
        <%oldpassword%> 旧密码
  5. 单击,以图形化的方式编辑已经上传的交互式脚本。
    Web页面参数 对应脚本参数
    id id,不允许编辑。
    指令 cmd
    匹配 ptn
    替换字符 alt
    pid pid,不允许编辑。
    Note: 同一个改密方法中允许同时添加多种改密工具,改密时将按顺序尝试不同的工具,直到改密成功为止,如果全部失败将使用系统设置 > 资产 > 资产类型中配置改密方法。您可以使用调整不同改密方法的顺序。
  6. 配置改密方法的适用范围。
    参数 说明
    适用资产 按资产选择改密方法适用的资产。默认为空,选填。单击可在弹出页中添加和删除。
    适用资产组 按资产组选择改密方法适用的资产。默认为可,选填。单击可在弹出页中添加和删除。
    适用帐号 适用的帐号。不选择表示适用于选定资产或者资产组的全部帐号。单击修改,可以输入适用帐号的帐号名,比如root,输入后回车后可以保存。
  7. Optional: 已经添加的改密方法,单击编辑,可以修改或者删除

12 个人帐号相关设置

所有用户都能够进行个人帐号相关设置。个人相关设置包括Web界面的帐号设置访问记录中的所有查看及修改设置的操作。

12.1 修改个人设置

12.1.1 设置基本信息

基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。

  1. 单击右上角用户帐号(例如admin),选择帐号设置
  2. 选择修改信息 > 个人设置 > 基本信息
  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    姓名 用于标识该帐号所属的具体人员的姓名,会显示在右上角,并在管理员进行用户/资产/权限管理时作为提示信息。取值范围为1~100长度的字符串,不能为空。
    手机号码
    在以下场景会使用该手机号码:
    • 用户启用了短信认证,登录运维审计系统时,运维审计系统会将短信密码发送到该手机号。
    • 系统启用了会话复核发送短信的功能,被复核人在建立会话后,复核人的手机号码会收到提醒复核的手机短信。
    • 系统启用了命令复核发送短信的功能,被复核人执行满足条件的命令后,复核人的手机号码会收到提醒复核的手机短信。

    标准格式的手机号码。如设置为空则不会发送短信给用户。

    工作邮箱

    在需要发送邮件给用户时,如发送备份的密码给相关用户时,运维审计系统会将相关信息发送到用户设置的该邮箱中。

    标准格式的邮箱地址。如不设置,则在需要设置发送密码备份等信息的目标用户时,无法选中当前用户。

12.1.2 修改密码

仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。使用AD/LDAP、RADIUS认证的用户请在对应的AD/LDAP、RADIUS服务器上修改密码;使用手机令牌、短信认证、动态令牌的用户,请联系配置管理员在用户管理菜单中修改密码。

  1. 单击右上角用户帐号(例如admin),选择帐号设置
  2. 选择修改信息 > 个人设置 > 修改密码
  3. 输入原始密码新密码新密码需要连续输入两次。
    Note: 新密码需要满足系统的密码复杂度策略,密码复杂度策略请将鼠标移动到图标上进行查看。
  4. 确认输入无误后,单击确定完成密码修改。

12.1.3 设置操作员默认展示页面

仅当用户类型为操作员时会显示该页签。用于设置操作员登录到运维审计系统 Web界面之后默认展示的页面。

  1. 单击右上角用户帐号(例如operator),选择帐号设置
  2. 选择修改信息 > 个人设置 > 操作员默认展示页面
  3. 根据需要勾选要展示的页面,并单击确定保存。
    • 按照系统配置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • 控制台:默认登录的主界面,会包含工作台中的各个按钮、快速访问资产模块、以及用户自定义添加的其他模块。
    • 资产访问:登录后直接进入资产访问菜单中,从而快速进行操作。

12.2 配置信息加密

仅当用户类型为超级管理员和配置管理员时会显示该页签并可以配置。当运维审计系统需要将密码信息提供给用户时(例如密码备份),会按照用户设置的密码对信息进行加密,从而确保文件的安全性。

配置信息加密有两种方式:
  • 将信息打包成ZIP包并通过ZIP密码加密。
  • 将信息文件通过PGP加密。

当用户同时配置了以上两种加密方式时,单个文件将仅使用PGP加密;如存在多个文件需要打包加密,运维审计系统会将其先打包成ZIP包,使用ZIP加密, 再使用PGP公钥加密。

完成配置信息加密的设置之后,用户在帐号改密中进行以下操作时,获得的密码文件将被加密:
  • 帐号维护 > 密码备份中备份密码时获得备份的密码。
  • 帐号维护 > 改密计划中执行改密计划时获得改密前和改密后的密码。
  • 帐号资产编辑帐号,并选择密码管理 > 查看历史密码
  • 日志报表 > 历史密码中,查看历史密码。
  • 系统设置 > 密码规则中,下载密码集。

请通过设置的ZIP密码,或PGP私钥对获得的加密文件进行解密,从而查看其中的信息。

12.2.1 配置ZIP文件密码

  1. 单击右上角用户帐号(例如admin),选择帐号设置
  2. 选择修改信息 > 信息加密 > ZIP文件密码
  3. 输入修改后的ZIP文件密码,该密码需要重复输入两次。
    • 密码必须为8~32长度的字符串,不能包含空格。
    • 为了确保安全性,ZIP文件密码一旦设置了就不能取消,只能对密码进行修改。
  4. 确认设置的密码无误后,单击确定保存ZIP文件密码设置。
    完成ZIP密码设置,当前用户后续收到或下载的ZIP文件将被加密,请使用该密码解密。

12.2.2 配置PGP公钥

用户可以在此处配置PGP公钥。运维审计系统会将用户的密码信息通过该公钥加密,用户可以通过对应的私钥来解密。

PGP(Pretty Good Privacy)是一套用于消息加密、验证的应用程序。用户可以使用GPG4WIN等加密解密软件来生成密钥对,并进行加密和解密。

  1. 单击右上角用户帐号(例如admin),选择帐号设置
  2. 选择修改信息 > 信息加密 > PGP公钥加密
  3. 输入公钥输入框内粘贴入PGP加密软件生成的公钥。
    Note: 也可以单击浏览上传公钥文件。运维审计系统仅支持上传asc格式的公钥文件。上传成功后,公钥文件中的公钥将被读取并显示在输入公钥的框体中。
  4. 确认无误后单击确定,保存公钥设置。
完成PGP公钥设置后,当前用户后续收到或下载的敏感信息文件将被加密为.gpg后缀的文件。请通过公钥对应的私钥进行解密。

如用户收到或下载的是多个文件,将被先打包成ZIP包再进行PGP加密,用户将收到.zip.pgp后缀的文件。请先通过PGP私钥解密成ZIP包,再通过配置ZIP文件密码中的密码解压ZIP包。

如需清除PGP公钥配置,请单击重置并单击确定

12.3 修改会话配置

仅当用户角色为操作员、超级管理员、配置管理员时会显示该页签并可以配置。用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。

12.3.1 修改字符会话配置

用于设置用户访问资产时建立的字符会话的访问方式及持续时间。

  1. 单击右上角用户帐号(例如admin),选择帐号设置
  2. 选择修改信息 > 会话配置 > 字符会话
  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    会话访问方式 用于设置本地PC为Windows时的字符会话访问方式,取值包括:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • putty:使用Putty工具建立字符会话。AccessClient安装时会自带Putty。
    • scrt:使用SecureCRT工具建立字符会话。需要自己安装SecureCRT。
    • xshell:使用Xshell工具建立字符会话。需要自己安装Xshell。
    会话访问方式(Mac) 用于设置本地PC为Mac时的字符会话访问方式,取值包括:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • Terminal:使用MacOS自带的字符会话终端建立字符会话。
    • scrt:使用SecureCRT工具建立字符会话。需要自己安装SecureCRT。
    最大持续时间 用于设置字符会话的最大持续时间,取值包括:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
    • 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。最小单位为15分钟,不能设置为0天0小时0分钟。
    直连分类方式 用户使用SSH直连方式访问时资产的分类方式,取值包括:

12.3.2 修改图形会话配置

用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。