选择区域语言: EN CN HK

H3C SecPath A2000-G[AK][V]系列运维审计系统 典型配置举例(E6111 E6112)-5W101

手册下载

1 用户

1.1 举例:AD认证

通过配置AD认证可以实现用户帐号登录运维审计系统时使用AD进行集中身份验证。

在配置AD前,请确保您已经理解了AD相关的概念和术语。
运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的AD认证服务器。本节以新建AD认证服务器为例进行介绍。

请使用超级管理员进行以下操作。

  1. 准备AD基本信息。
    包括:
    • IP地址或者域名、端口:AD的通讯端口默认为389,如果要使用SSL默认的端口为636。
    • 域名:AD的Domain,比如"example.com"。
  2. 运维审计系统中设置AD服务器。
    1. 单击右上角的用户帐号(比如admin),选择系统设置
    2. 选择用户 > 登录认证 > AD/LDAP,单击添加
    3. 选择服务器类型微软AD
    4. 设置各参数,完成后单击确定
      • 如果存在备份服务器地址,可以使用英文逗号分隔的方式填写在服务器地址中。比如"10.10.16.11,10.10.16.12"。
      • 如果服务器端口不是默认端口,可在服务器地址后以英文冒号分隔的方式加端口号,比如"10.10.16.11:3890"。
      Note: 如果您希望AD中的用户自助登录运维审计系统,您可以选中新用户自动加入系统,然后设置新用户的角色。设置完成后AD中的用户可以直接用AD中的用户名和密码登录运维审计系统,用户首次登录时会自动建立同名的用户帐号。
  3. 单击测试,填写AD中的用户名和密码,单击确定,可以验证配置是否正确。
  4. 设置用户帐号的身份验证方式。
    1. 选择用户 > 用户管理 > 用户列表,单击新建用户
    2. 选择用户角色后,单击下一步
    3. 设置各参数,单击创建。
      • 帐号:一般填写AD的登录名。
      • 姓名:按实际填写。
      • 身份验证:选择AD服务器的名称。
      Note: 如果运维审计系统中的帐号和AD中的不一致,可以在LDAP用户名中单独设置AD中对应的帐号名。
    如果配置正确,身份验证为AD/LDAP的用户可以使用AD中的密码登录运维审计系统

1.2 举例:LDAP认证

通过配置LDAP认证可以实现用户帐号登录运维审计系统时使用LDAP进行集中身份验证。

在配置LDAP前,请确保您已经理解了LDAP相关的概念和术语。

运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的LDAP认证服务器。本节以新建LDAP认证服务器为例进行介绍。

请使用超级管理员进行以下操作。

  1. 准备LDAP基本信息。
    包括:
    • 服务地址和端口:LDAP通讯端口默认为389,如果要使用SSL默认的端口为636。
    • 查询用户DN和密码:查询用户DN可以在LDAP服务器通过ldapsearch命令获取。如果LDAP允许匿名查询,也可以不提供。
    • BaseDN:需要登录运维审计系统的用户DN的范围,比如"dc=mydomain,dc=org"。
    • 用户名属性:LDAP中的登录名的属性名称,如uid、cn等。
    • SSL相关文件:如果要使用SSL,还需要提供LDAP服务的CA证书,如果LDAP服务器要求使用证书验证运维审计系统的身份,您还需要准备运维审计系统的客户端证书(CERT)和对应的KEY文件。当然如果不要求客户端身份验证,您也可以不提供上述文件。
  2. 运维审计系统中设置LDAP服务器。
    1. 单击右上角的用户帐号(比如admin),选择系统设置
    2. 选择用户 > 登录认证 > AD/LDAP,单击添加
    3. 选择服务器类型通用LDAP服务器
    4. 设置各参数,完成后单击确定
      Note:
      • 如果您希望LDAP中的用户自助登录运维审计系统,您可以选中新用户自动加入系统,然后设置新用户的角色。设置完成后LDAP中的用户可以直接用LDAP中的用户名和密码登录运维审计系统,用户首次登录时会自动建立同名的用户帐号。
      • 如果勾选了服务器要求安全连接(SSL),但是不希望提供证书,您可以勾选允许忽略无效证书。
  3. 单击测试,填写LDAP中的用户名和密码,单击确定,可以验证配置是否正确。
  4. 设置用户帐号的身份验证方式。
    1. 选择用户 > 用户管理 > 用户列表,单击新建用户
    2. 选择用户角色后,单击下一步
    3. 设置各参数,单击创建
      • 帐号:一般填写LDAP的登录名。
      • 姓名:按实际填写。
      • 身份验证:选择LDAP服务器的名称。
      Note: 如果中的帐号和LDAP中的不一致,可以在LDAP用户名中单独设置LDAP中对应的帐号名。
    如果配置正确,身份验证为AD/LDAP的用户可以使用LDAP中的密码登录运维审计系统

1.3 举例:RADIUS认证

  1. 收集RADIUS服务器的信息。
    • 服务器的IP地址。
    • 服务器RADIUS服务的端口号。
    • 服务器RADIUS服务的共享密钥。
    • 服务器RADIUS服务支持的认证方式(例如:PAP或者CHAP)。
  2. 确保运维审计系统能访问RADIUS服务器的认证端口。
  3. 拥有超级管理员帐号。

RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。RADIUS在运维审计系统中,主要体现的是认证功能。

请使用超级管理员进行以下操作。

  1. 配置RADIUS认证方式。
    1. 单击当前帐号,选择系统设置
    2. 选择登录认证 > RADIUS,输入RADIUS信息,单击确定
      • 选择启用
      • 认证方式:选择RADIUS服务器的认证方式(PAP或者CHAP)。
      • 服务器地址:输入RADIUS服务器的IP地址。
      • 共享密钥:输入RADIUS服务的共享密钥。
      Note:
      • 如果RADIUS使用的端口是非默认的1812端口,服务器地址输入格式为“IP地址:端口”。
      • 如果使用主备RADIUS服务器,服务器之间可以使用“,”分隔。
  2. 用户绑定RADIUS认证方式。
    1. 选择用户 > 用户列表 > 新建用户
    2. 选择角色,单击下一步
    3. 设置用户信息,完成后单击创建
      • 帐号:输入登录帐号。
      • 姓名:输入帐号登录者的真实姓名。
      • 身份验证:选择RADIUS协议。
      • RADIUS用户名:RADIUS用户名可以不填写,如果不填写,默认使用的名称就是帐号。
  3. 用户登录测试。
    输入RADIUS的帐号密码,单击登录

1.4 举例:手机令牌认证(双因子)

动态口令的基本认证原理是认证双方使用同一个共享密钥对时间进行密码算法计算,之后比较计算值是否一致从而进行认证。TOTP (基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP缺省每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。

手机令牌是TOTP在手机客户端上的实现。运维审计系统的手机令牌适用于双因子认证场景,即手机令牌和其他认证方式(例如本地密码、AD/LDAP和RADIUS认证)结合使用。本例介绍本地密码+手机令牌的双因子认证。

请使用角色为超级管理员的帐号登录执行以下操作。

  1. 单击右上角用户帐号(例如admin),选择系统设置
  2. 选择用户 > 登录认证 > 手机令牌,设置各参数,完成后单击确定
    • 配置系统时间:单击请配置NTP服务或手工校准服务器时间,进入系统时间配置页面,可以选择手工校准服务器时间,也可以配置NTP服务(推荐)。

    • 配置时间偏移窗:配置允许的手机和运维审计系统之间的时间偏差。整数形式,取值范围是1~30。取值每增加1,时间偏移增加30秒。缺省值是1,表示允许的时间偏移是30秒。
      Note: 时间偏移设置的太小,可能会由于网络延迟等原因导致认证失败。时间偏移设置的太大,可能会导致被攻击和破解。


  3. 选择用户 > 登录认证 > 双因子,单击新建
  4. 设置各参数,完成后单击确定


  5. 选择用户 > 用户管理 > 用户列表,单击新建用户
  6. 选择操作员,单击下一步
  7. 设置各参数,完成后单击创建
    身份认证:选择之前创建的双因子认证方式。


以下为用户mobile的登录过程。

  1. 在用户手机上下载Google Authentication或者FreeOPT并安装。
    Note: 本例中为FreeOPT
  2. 打开运维审计系统的登录页面,输入mobile和对应的本地密码,单击登录


  3. 打开手机上的FreeOPT,单击右上角的二维码图标。
    Note: 只有第一次登录时需要进行扫码绑定。


  4. 使用FreeOPT扫描运维审计系统登录界面出现的二维码,完成后单击完成绑定


  5. FreeOPT上单击绑定的设备。


    FreeOPT显示出用户的手机令牌。

  6. 运维审计系统输入手机令牌(6位数字),单击提交


    用户成功登录。
  • 如果用户登录失败,请检查运维审计系统和手机的时间是否准确。
  • 如果使用SSH客户端或者RDP客户端直连目标设备时,密码的输入格式如下:

    认证方式1的密码+空格+6位手机令牌

  • 如果用户更换手机,请管理员在相应帐号的修改页面勾选下次登录时重新绑定手机令牌,用户登录时重新绑定即可。

1.5 举例:USB Key认证

通过配置USB Key认证,可以实现当用户登录运维审计系统的Web界面时必须使用专门的USB Key才能完成认证。

USB Key是一种使用USB接口的硬件设备,它可以存储用户的私钥以及数字证书。一个USB Key设备可以签发多个签名密钥对和证书,一个签名密钥对和证书与一个用户严格对应。用户必须使用该USB Key设备以及对应的签名密钥对和证书来完成登录认证。

USB Key的登录认证需要安装控件。运维审计系统目前只提供了IE11浏览器的控件,因此用户使用USB Key完成登录认证,以及超级管理员签发USB Key,都必须使用IE11浏览器。

USB Key认证,可以作为单独的认证方式,也可以作为双因子认证的第二重认证方式。

超级管理员请参考配置USB Key,启用USB Key并为待使用USB Key的用户签发USB Key;签发了USB Key的用户请参考使用USB Key完成登录认证进行登录;以上两项操作,均需要先完成安装USB Key控件

1.5.1 安装USB Key控件

配置USB Key和完成USB Key登录认证,都需要安装USB Key控件。

安装USB Key控件需要满足以下前提条件:
  • 已获取新华三提供的USB Key设备。
  • 已准备一台有USB 2.0及以上接口的Windows PC。
  1. 将USB Key设备插入本地PC的USB接口中。
  2. 运行USB Key设备中的et199auto.exe,安装控件。
    控件将自动完成安装,安装完成后,右下角将提示USBKey已连接,并将在任务栏右下角显示图标。
  3. 登录运维审计系统 Web界面。
  4. 单击右上角的用户姓名(例如admin),选择帮助 > USBKey认证插件 > 下载,并单击下载将认证插件下载到本地。
  5. 双击下载的ET199Plugin.exe,完成认证插件的安装。
  6. 使用IE浏览器登录运维审计系统 Web界面。
  7. 在弹出的对话框中单击允许,启用加载项。


    Note: 如果未弹出该提示,请在IE浏览器菜单中,选择管理加载项,对加载项ET199MFCPlugin Control,右键单击选择启用,并双击选择在所有站点上允许
  8. Optional: 修改USB Key的密码。
    Note: 建议将USB Key的密码修改为非默认密码。可以由使用者拿到USB Key设备后进行修改,也可以由管理员修改后再进行分配。
    1. 双击任务栏右下角的图标,并选择修改密码


      Note: 如未修改默认密码,插入USB Key设备或重新启动PC后,用户也将收到修改密码的提示。也可以单击该窗口的确定进行密码修改。

    2. 输入当前的USB Key密码,并输入新密码后,单击确定


      Note: 初始默认密码为1234,新的密码可以为任意非空字符串。进行USB Key签发和使用该USB Key进行登录认证时,都将用到该密码。

1.5.2 配置USB Key

使用USB Key登录认证,需要超级管理员先完成USB Key的配置。

配置USB Key需要满足以下前提条件:
  • 已获取新华三提供的USB Key设备。
  • 已准备一台有USB 2.0及以上接口的Windows PC,安装了IE 11浏览器,并完成安装USB Key控件
  • 已获取超级管理员帐号的用户和密码。
  1. 使用超级管理员登录运维审计系统 Web界面。

启用USB Key认证

  1. 单击右上角的用户姓名(例如admin),选择系统设置 > 用户 > 登录认证 > USBKey认证
  2. 单击启用,并单击确定。启用USB Key。
  3. Optional: 如需使用双因子认证,将USBKey认证配置成双因子认证的第二重认证。
    1. 选择双因子页签,单击新建


    2. 配置认证方式1为其他认证方式,认证方式2位USBKey认证。


设置用户使用USB Key认证

  1. 选择用户 > 用户管理 > 用户列表
  2. 新建用户,或编辑已有用户,将身份验证设置为USBKey认证或包含USBKey认证的双因子认证。


签发USB Key

  1. 将USB Key设备插入本地PC的USB接口中。
  2. 重新选择系统设置 > 用户 > 登录认证 > USBKey认证,并单击签发新USBKey
  3. 输入相关参数,并单击确定
    • USBKey序列号:用于在运维审计系统中唯一地标识一个USB Key,仅用于内部管理,可以不使用硬件序列号。例如180101AF02464
    • 持有人:必须是已存在的用户,且身份验证方式为为USBKey认证或包含USBKey认证的双因子认证,并且不存在已签发的USB Key,才能在此下拉选择。例如选择用户usb
    • 有效期:超过该有效期的USB Key将无法使用。取值范围为1 - 36500。例如取默认值1095


    Note: 如出现以下提示,说明不满足前提条件。

    请检查以下条件是否满足:
    • 使用IE浏览器
    • 安装了et199auto.exe和ET199Plugin.exe
    • IE浏览器的管理加载项菜单中,已启用了ET199MFCPlugin Control,并且已允许当前运维审计系统的IP。
  4. 输入USB Key的密码,并单击登录
    如无法使用键盘直接输入,请勾选使用软键盘,并使用软键盘输入密码。

等待几秒钟后将收到操作成功提示,列表中将显示已签发的USB Key:

完成USB Key的签发后,如该USB Key将不再使用,可以单击对应的吊销按钮,将该USB Key吊销。吊销后可以单击重新签发,将该USB Key的状态再次变成已签发
已签发的USB Key,可以双击任务栏右下角的图标,选择对应的用户名称的签名密钥对和证书,并单击查看证书,查看证书的详情。

如果有多个USB Key设备,需要超级管理员依次插入USB Key设备,并分别完成USB Key的签发。

1.5.3 使用USB Key完成登录认证

超级管理员完成配置USB Key并为用户签发USB key后,用户可以使用USB Key完成登录认证。

使用USB Key完成登录认证需要满足以下条件:
  • 超级管理员已为待登录用户签发了USB Key。
  • 待登录用户已获取了USB Key设备及其密码。
  • 待登录用户已准备了一台有USB 2.0及以上接口的Windows PC,安装了IE 11浏览器,并完成安装USB Key控件
  1. 将USB Key设备插入本地PC的USB接口中。
  2. 在IE11浏览器中输入运维审计系统的地址。
  3. 输入帐号密码并单击登录
    如用户认证方式为USBKey认证,请不输入密码直接单击登录。如用户认证方式为包含USBKey认证的双因子认证,请输入认证方式1的密码并单击登录

    Note: 如出现以下提示,说明不满足前提条件。

    请检查以下条件是否满足:
    • 使用IE浏览器
    • 安装了et199auto.exe和ET199Plugin.exe
    • IE浏览器的管理加载项菜单中,已启用了ET199MFCPlugin Control,并且已允许当前运维审计系统的IP。
  4. 输入USB Key的密码,并单击登录
    如无法使用键盘直接输入,请勾选使用软键盘,并使用软键盘输入密码。

已完成USB Key的认证,登录到运维审计系统的Web界面。

2 资产

2.1 举例:等价资产

对等价资产中任意一个资产进行运维审计系统上的配置修改,部分配置会自动同步到等价资产中的其他成员。

等价资产一般用于以下两种情况。
  • 资产为HA或集群部署时,将HA或集群中的各节点设置为等价资产。
  • 资产有多个IP,例如有实IP和虚IP,IPv4和IPv6时,将该资产的不同IP分别配置为一个资产,并设置为等价资产。
例如,资产A和资产B组成HA,在运维审计系统上添加资产A和资产B的同时,也将HA的虚IP设置为资产C。这种情况下可以将这3个资产设置为等价资产。当配置管理员修改资产B的配置时,也会将修改的配置同步到资产A和资产C。


运维审计系统仅会对资产的部分配置进行同步,不同资产类型被同步的配置不相同,具体请参见运维审计系统Web配置指导》配置等价资产章节。对于主机/网络资产,仅同步访问协议系统帐号责任人

本节以将两个部署成HA的Linux主机资产及其虚IP添加为3个不同的资产,并设置为等价资产为例,介绍等价资产的设置,并在修改其中一个资产的配置后进行验证。已知资产数据如下表所示,本例中暂不添加帐号。
名称 IP 说明
CentOS7 10.10.33.30 IP配置为第一台主机的实IP。
CentOS7-2 10.10.33.130 IP配置为第二台主机的实IP。
VIP 10.10.33.100 IP配置为HA的虚IP。
  1. 新建资产。
    1. 选择资产 > 资产清单 > 主机
    2. 单击新建,选择Linux,单击下一步
    3. 设置资产CentOS7的各参数,完成后单击创建


    4. 参照以上步骤同样完成CentOS7-2和VIP资产的创建。
  2. 检查等价资产的属性是否满足等价资产的组成条件。
    Note: 设置为等价资产的各个资产,其资产属性必须一致,运维审计系统会对其组成条件进行检查,具体请参见运维审计系统Web配置指导》配置等价资产章节。对于主机/网络资产,仅检查资产类型是否一致,相同访问协议的端口和状态是否一致、相同帐号的密码和特权属性是否一致。
  3. 选择资产 > 配置 > 等价配置 > 等价资产,并单击新建


  4. 输入等价资产的名称,并单击添加资产后的,添加等价资产。


  5. 勾选待设置为等价资产的资产,并单击添加


  6. 选择责任人,并单击确定


    Note: 等价资产的责任人必须一致,责任人列表中会列出各个资产之前配置的责任人,从中选择一个作为等价资产的责任人,也可以都设置为未配置责任人
    Note: 单击确定后将检查是否满足组成条件,如不满足则添加等价资产失败,请重新检查2
完成等价资产的配置之后,对其中一个资产修改特定的配置,将自动同步到其他资产。用户可以进行以下验证:
  1. 选择资产 > 主机菜单。
  2. 编辑其中一个资产,如CentOS7,修改责任人,并修改访问协议系统帐号,新增或删除一个协议或帐号。


  3. 编辑等价资产中的其他资产,查看相应的属性是否发生变化。本例中修改责任人后,其他资产的责任人也被改变,说明等价资产的配置已生效:


2.2 举例:等价帐号

对等价帐号中的任何一个帐号进行运维审计系统上的密码修改,改密成功后,托管密码的更新都会同步到等价帐号中的其他成员。

等价帐号一般用于资产因使用目的的不同被配置成为两种资产类型的场景。例如防火墙设备,既有SSH访问接口,又有Web访问接口,管理员会创建网络设备类型的资产以满足SSH访问,创建应用系统类型的资产以满足Web访问。这两个资产使用同一套帐号体系,帐号的密码需要进行同步。

如下图所示,资产A是网络设备资产,资产B是B/S应用系统资产,将资产A的帐号1和资产B的帐号1配置为等价帐号。配置管理员对资产A上的帐号1进行改密并更新托管的密码后,也会同步更新资产B上的帐号1托管的密码。



本节以将1个Juniper防火墙分别添加为网络设备资产和B/S应用系统资产为例,介绍等价帐号的设置,并完成改密验证。已知数据如下表所示。
系统 数据 说明
运维审计系统
  • 用户帐号:cfg
  • 用户工作邮箱:cfg@example.com
  • 用户ZIP文件密码:PassWord01
运维审计系统上接收改密通知和密码备份文件的用户。
网络设备资产
  • 名称:JuniperJunosSRX
  • IP地址:10.10.16.83
  • 特权帐号:admin/123456
  • 普通帐号:test/123456
本例中将普通帐号test设置为等价帐号,并通过对网络设备资产设置改密计划进行改密。
应用系统资产
  • 名称:JuniperJunosSRX-Web
  • URL:https://10.10.16.83
  • 普通帐号:test/123456
  1. 新建网络设备资产。
    1. 选择资产 > 资产清单 > 网络
    2. 单击新建,选择Juniper NetScreen,单击下一步
    3. 设置资产的各参数,完成后单击创建


    4. 单击JuniperJunosSRX对应的编辑,选择系统帐号
    5. 单击添加帐号,并输入密码,分别完成admin和test帐号的添加和密码托管,将admin设置为特权帐号,完成后单击保存


  2. 新建应用系统资产。
    1. 选择资产 > 资产清单 > 应用系统
    2. 单击新建,选择B/S,单击下一步
    3. 设置资产的各参数,完成后单击创建


    4. 单击JuniperJunosSRX-Web对应的编辑,选择系统帐号
    5. 单击添加帐号,并输入密码,完成test帐号的添加和密码托管,完成后单击保存


  3. 选择资产 > 配置 > 等价配置 > 等价帐号,并单击新建


  4. 输入等价帐号的名称,并单击资产后的,设置待添加的等价帐号所在的资产。


  5. 勾选本节已添加的两个资产,并单击添加


  6. 下拉选择待设置为等价帐号的帐号名,并单击确定完成等价帐号的创建。下拉列表中只会包含两个资产中共同存在的帐号。


完成等价帐号的配置之后,对其中一个帐号进行改密,改密成功后,新密码将自动更新到等价帐号中所有帐号中。用户可以通过执行改密计划进行如下验证:
  1. 参照举例:Windows本地用户改密,完成邮箱和信息加密设置、密码备份设置、改密规则设置,并创建改密计划。
    其中,改密关联的帐号仅关联网络设备的test帐号:

    Note: Juniper防火墙默认无改密脚本,请使用超级管理员修改系统设置 > 资产 > 资产类型,将Juniper NetScreen改密方式设置为juniper firewall或使用自定义的改密脚本,否则改密将失败并提示no pwd change method

    Note: 如资产的登录提示符和默认的不一致,也会造成改密失败。本例中由于要进入Juniper的Configure模式,提示符会由>变为#,因此需要在资产 > 配置 > 资产适配中添加一条对于该资产的资产适配,设置特权提示符#,否则也将引起改密失败。

  2. 执行改密计划,为网络设备资产JuniperJunosSRX的test帐号修改密码。


  3. 改密成功后,访问应用系统资产,选择帐号为any,并手动输入帐号名test及修改后的密码。登录成功,则表明test帐号的密码已被修改。

  4. 再次访问该应用系统资产,选择帐号为test,由运维审计系统完成密码代填。代填成功,则表明该应用系统资产的test帐号在运维审计系统上托管的密码也已被修改。等价帐号的设置已生效。

3 帐号

3.1 举例:Windows本地用户改密

图3.1 Windows本地用户改密组网图所示,运维人员通过运维审计系统管理目标资产。

图3.1 Windows本地用户改密组网图

现要求通过运维审计系统为Windows Server上的本地用户改密,已知数据如下表所示。

系统 数据 说明
运维审计系统
  • 用户帐号:admin
  • 用户工作邮箱:administrator@example.com
  • 用户ZIP文件密码:PassWord01
运维审计系统上接收改密通知和密码备份文件的用户,本例中为admin。实际使用中请根据需要配置成其他用户。
Windows Server
  • IP地址:10.10.16.124
  • 特权帐号:
    • 名称:administrator
    • 密码:123456
  • 待改密帐号:
    • 名称:user01
    • 密码:123456
SFTP服务器
  • IP地址:10.10.16.26
  • 端口:22
  • 用户名:root
  • 密码:123456
存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器,本例中为上传到文件服务器。

运维审计系统为Windows本地用户改密支持两种方式:

  • RPC
  • Agent

改密时优先用Agent方式,Agent改密失败后再使用RPC方式。推荐使用Agent方式。

表3.1 不同改密方式对Windows和运维审计系统的要求
方式 Windows Server 运维审计系统
RPC Windows上已打开TCP的135139445端口,且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。 特权帐号或者待改密帐号的密码已在运维审计系统上托管。
Note:
  • 优先使用特权帐号进行改密。
  • 支持非默认特权帐号,即帐号属于Administrators组即可,不必是administrator。
Agent Windows上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP 3301),Windows和运维审计系统之间的防火墙允许Windows访问运维审计系统的TCP 3301端口。
Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址:在运维审计系统的Web界面上单击admin,选择帮助,在其他应用 > 下载中下载Windows的Agent安装软件。
  1. 新建Windows主机。
    1. 选择资产 > 资产清单 > 主机
    2. 单击新建,选择Windows,单击下一步
    3. 设置各参数,完成后单击创建
    4. 单击Windows01对应的编辑,选择系统帐号
    5. 单击特权帐号administrator对应的编辑,输入密码,完成后单击确定
      Note: 配置完成后可以单击登录测试来测试配置是否正确。
    6. 单击添加帐号,设置普通帐号user01各参数,完成后单击确定
      Note: 配置完成后可以单击登录测试来测试配置是否正确。
  2. 配置密码备份相关参数。
    1. 选择用户 > 用户管理 > 用户列表,单击admin对应的编辑,设置工作邮箱,完成后单击保存
    2. 单击admin,选择帐号设置,单击信息加密,选择ZIP文件密码,设置各参数,完成后单击确定
    3. 单击admin,选择系统设置 > 系统 > 基本设置,单击文件服务,设置各参数,完成后单击确定
      Note: 单击测试来测试配置是否正确。如果提示测试成功,表示配置正确;如果不是,请修改配置。
  3. 配置改密规则。
    1. 选择工作台 > 帐号改密 > 系统设置 > 密码规则
    2. 改密规则中单击新建改密规则,设置各参数,完成后单击确定
      • 密码策略:生成密码的规则,本例中采取随机生成不同密码规则使用缺省生成规则,您可以根据需要选择其他的密码策略。
      • 备份方式:选择文件服务器一
      • 添加通知用户:选择admin
  4. 配置改密计划。
    1. 选择工作台 > 帐号改密 > 帐号维护 > 改密计划
    2. 单击新建改密计划,设置各参数,完成后单击下一步
      • 通知方式:选择站内通知
      • 通知人:选择admin
    3. 设置密码规则,完成后单击下一步
      • 密码规则:选择模板选择
      • 模板选择:选择example01
    4. 单击指定帐号对应的已关联,选择user01(资产名称为Windows01),单击确定,完成后单击保存

Windows本地用户改密配置完成后,运维审计系统会按照计划中的时间执行改密,您也可以手工立即执行改密计划。

  1. 单击schedule_01对应的立即执行,当提示立即执行改密计划时时单击确定

    执行结束后,上次改密结果中会显示执行结果。

    Note: 可以单击密码备份下载,将当前改密计划对应的帐号的密码下载到本地。下载后需要根据在帐号设置 > 信息加密中配置的加密方法进行解密。
  2. 登录SFTP服务器,可以看到改密前后的密码备份文件。

  3. 下载备份文件并使用ZIP密码解压缩,可以看到修改前后的密码。

  4. 验证修改后密码的正确性。
    1. 选择工作台 > 帐号改密 > 帐号资产 > 主机帐号
    2. 单击Windows01,然后单击user01对应的编辑
    3. 选择密码管理,单击登录测试

      如果提示登录成功,表示user01的新密码已在运维审计系统上更新,当前密码的状态为正常

3.2 举例:Windows域用户改密

图3.2 Windows域用户改密组网图所示,运维人员通过运维审计系统管理目标资产。

图3.2 Windows域用户改密组网图

现要求通过运维审计系统为域用户改密,已知数据如下表所示。

系统 数据 说明
运维审计系统
  • 用户帐号:admin
  • 用户工作邮箱:administrator@example.com
  • 用户ZIP文件密码:PassWord01
运维审计系统上接收改密通知和密码备份文件的用户,本例中为admin。实际使用中请根据需要配置成其他用户。
AD域控制器
  • 域名:example.com
  • IP地址:10.10.16.12
  • 特权帐号:
    • 名称:administrator
    • bindDN:CN=Administrator,CN=Users,DC=example,DC=com
    • 密码:123456
  • 用户objectClass:person
  • 待改密帐号:
    • 名称:user01
    • baseDN:CN=Users,DC=example,DC=com
    • 密码:123456
SFTP服务器
  • IP地址:10.10.16.26
  • 端口:22
  • 用户名:root
  • 密码:123456
存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器,本例中为上传到文件服务器。

运维审计系统为Windows域用户改密支持两种方式:

  • RPC
  • Agent

改密时优先用Agent方式,Agent改密失败后再使用RPC方式。推荐使用Agent方式。

表3.2 不同改密方式对Windows和运维审计系统的要求
方式 Windows域控制器 运维审计系统
RPC Windows上已打开TCP的135139445端口,且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。 待改密帐号的密码已在运维审计系统上托管。
Agent Windows上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP 3301),Windows和运维审计系统之间的防火墙允许Windows访问运维审计系统的TCP 3301端口。
Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址:在运维审计系统的Web界面上单击admin,选择帮助,在其他应用 > 下载中下载Windows的Agent安装软件。
  1. 新建Windows域。
    1. 选择资产 > 配置 > Windows域
    2. 单击新建域,设置各参数,完成后单击确定
    3. 单击特权帐号对应的
    4. 设置特权帐号各参数,完成后单击确定
      Note: 设置完各参数、单击确定前,可以单击测试来测试配置是否正确。如果提示连接测试成功,表示配置正确;如果不是,请根据提示信息修改配置。
    5. 单击帐号过滤条件对应的(objectClass=person),设置过滤条件,完成后单击确定
      Note:
      • Windows域用户的缺省过滤条件为(objectClass=person),请根据实际情况修改。
      • 单击确定前,可以单击测试来测试配置是否正确。如果帐号列表中出现帐号名称bindDN,表示配置正确;如果出现无数据,请修改配置。
  2. 同步Windows域用户并托管待改密帐号的密码。
    1. 选择工作台 > 帐号改密 > 帐号资产 > 域帐号
    2. 单击域名对应的,将Windows域用户同步到运维审计系统
    3. 选择CN=Users,然后单击user01对应的编辑
      Note: 在此逐一选择待改密的帐号,本例中为CN=Users中的user01
    4. 选择帐号编辑,设置各参数,完成后单击确定
      • 是否可改密:设置为可改密
      • 登录密码 / 确认密码:user01的密码,如果使用Agent方式改密,则不需要托管密码
    5. Optional: 选择密码管理,单击登录测试来测试配置是否正确。
      如果提示登录成功,表示配置正确;如果不是,请修改配置。
  3. 配置密码备份相关参数。
    1. 选择用户 > 用户管理 > 用户列表,单击admin对应的编辑,设置工作邮箱,完成后单击保存
    2. 单击admin,选择帐号设置,单击信息加密,选择ZIP文件密码,设置各参数,完成后单击确定
    3. 单击admin,选择系统设置 > 系统 > 基本设置,单击文件服务,设置各参数,完成后单击确定
      Note: 单击测试来测试配置是否正确。如果提示测试成功,表示配置正确;如果不是,请修改配置。
  4. 配置改密规则。
    1. 选择工作台 > 帐号改密 > 系统设置 > 密码规则
    2. 改密规则中单击新建改密规则,设置各参数,完成后单击确定
      • 密码策略:生成密码的规则,本例中采取随机生成不同密码规则使用缺省生成规则,您可以根据需要选择其他的密码策略。
      • 备份方式:选择文件服务器一
      • 添加通知用户:选择admin
  5. 配置改密计划。
    1. 选择工作台 > 帐号改密 > 帐号维护 > 改密计划
    2. 单击新建改密计划,设置各参数,完成后单击下一步
      • 通知方式:选择站内通知
      • 通知人:选择admin
    3. 设置密码规则,完成后单击下一步
      • 密码规则:选择模板选择
      • 模板选择:选择example01
    4. 单击域帐号对应的已关联,选择user01,单击确定,完成后单击保存

Windows域用户改密配置完成后,运维审计系统会按照计划中的时间执行改密,您也可以手工立即执行改密计划。

  1. 单击schedule_01对应的立即执行,当提示立即执行改密计划时时单击确定

    执行结束后,上次改密结果中会显示执行结果。

    Note: 可以单击密码备份下载,将当前改密计划对应的帐号的密码下载到本地。下载后需要根据在帐号设置 > 信息加密中配置的加密方法进行解密。
  2. 登录SFTP服务器,可以看到改密前后的密码备份文件。

  3. 下载备份文件并使用ZIP密码解压缩,可以看到修改前后的密码。

  4. 验证修改后密码的正确性。
    1. 选择工作台 > 帐号改密 > 帐号资产 > 域帐号
    2. 在Windows域example.com中选择CN=Users,然后单击user01对应的编辑
    3. 选择密码管理,单击登录测试

      如果提示登录成功,表示user01的新密码已在运维审计系统上更新,当前密码的状态为正常