手册下载
目 录
1.1.2 安装远程桌面服务(Windows Server 2008)
1.1.3 安装远程桌面服务(Windows Server 2012/2016/2019)
1.1.4.1 激活远程桌面授权(Open License方式)
1.1.6 安装.NET Framework3.5(Windows 2008)
1.1.7 安装.NET Framework3.5(Windows 2012/2016/2019)
1.1.7.1 使用服务器管理离线安装.NET Framework3.5
1.1.7.2 使用DISM命令离线安装.NET Framework3.5
2.4.2.1 获取B/S应用控件的Xpath/Selector
为了访问应用系统和数据库资产,运维审计系统需要部署一台Windows应用发布服务器。在用户访问对应资产时,运维审计系统连接到该服务器,并打开服务器上已安装的应用客户端,使用该客户端连接到应用的服务端。通过这种方式,可以对用户的行为实现有效的控制,使其只能在特定的环境中使用应用客户端,并且实现对用户操作的审计。
请用户根据自己的实际情况选择合适的部署方式,并参照对应章节的内容完成部署。
当运维审计系统采用非单机方式部署时,所有节点共同使用同一台或多台应用发布服务器,应用发布服务器的配置会在不同节点之间进行同步。
当一台应用发布服务器就能满足用户的所有访问要求时,用户可以只部署一台应用发布服务器。
部署应用发布服务器,需要用户自行准备一台服务器并完成应用发布服务器的配置。
服务器要求的硬件资源如下:
资源名 | 推荐配置 |
---|---|
CPU | 双核,1.4 GHz以上 |
内存 |
|
硬盘 | 100GB或以上 |
网卡 | 千兆以太网卡 x 1 |
|
名称 | 文件名 | 说明 |
---|---|---|
VC++组件 | vcredist_vXXXX_x86/x64 | 用于支持Winlogon的VC++组件,需要先于Winlogon完成安装。 |
Winlogon插件 | Winlogon-vXXXX.exe | 用于运维审计系统和应用发布服务器之间的同步。XXXX代表版本号。 |
B/S发布工具 | webdriver.rar | 包含了发布B/S应用所使用的相关脚本和组件。 |
数据库审计插件 | GSessiond-vXXXX.exe | 用于支持应用发布中的数据库审计。XXXX代表版本号。 |
Agent | agent.exe | 用于支持通过Winlogon的AppServerconf,将应用配置及代填脚本信息自动同步到运维审计系统的远程客户端。 |
安装/卸载脚本 | install.bat/uninstall.bat | 用于安装/卸载所有应用发布插件。双击执行后将依次安装/卸载以上所有插件。 |
本节指导在Windows Server 2008服务器上安装远程桌面服务,从而使运维审计系统可以正常访问安装在应用发布服务器上的应用程序。
本节指导在Windows Server 2012、2016和2019服务器上安装远程桌面服务,从而使运维审计系统可以正常访问安装在应用发布服务器上的应用程序。
本节以Windows Server 2012 R2 Standard为例安装远程桌面服务。Windows Server 2016/2019的安装步骤和2012完全一致。
远程桌面服务组件需要先激活授权管理器,再将微软提供的许可证导入授权管理器才能正常使用远程桌面服务。
当前支持以下授权方式,差异如下表所示。
授权方式 | 支持授权服务器 | 许可证信息 |
---|---|---|
Open License | Windows Server 2008 R2 SP1 Enterprise/2012 R2 Standard/2016 Standard/2019 Standard | Open License授权许可证包括以下信息:
|
MCCL | Windows Server 2012 R2 Standard/2016 Standard/2019
Standard Note: 默认只支持Windows Server 2019 Standard。如果需要使用Windows Server
2012/2016,请联系技术支持人员进行降级处理。
|
MCCL授权许可证包括以下信息:
|
OEM | Windows Server 2012 R2 Standard/2016 Standard/2019
Standard Note: 默认只支持Windows Server 2019 Standard。如果需要使用Windows Server
2012/2016,请自行联系微软技术支持,进行降级授权处理。
|
OEM授权许可证是一张纸质文件,刮开涂层可以看到许可证号。 |
请根据您收到的许可证类型,选择正确的授权方式进行授权。
本节以Windows Server 2008为例介绍如何激活远程桌面授权,2012/2016/2019与2008的激活步骤完全一致。
激活远程桌面授权需要激活授权管理器和安装许可证,其中安装许可证时需要使用RDS 许可证号码,一般情况下使用开放式许可证,如有特殊需求请联系微软购买Remote Desktop Services license 的企业协议授权,并记录该协议号码。本节的指导步骤中使用开放式许可证授权。授权允许的设备数量至少为1。
激活授权管理器
安装许可证
本节以Windows Server 2019为例介绍如何通过MCCL方式激活远程桌面授权。
激活远程桌面授权需要激活授权管理器和安装许可证,其中安装许可证时需要使用RDS许可证代码。
激活授权管理器
安装许可证
激活授权管理器
应用发布服务器需要对组策略进行配置,从而满足运维审计系统可以不限数量地连接应用发布服务器并打开应用。
本节以Windows Server 2008为例介绍如何配置组策略,2012/2016/2019与2008的配置步骤完全一致。
应用发布服务器需要安装.NET Framework3.5,从而支持AppServer应用。Windows Server安装.NET Framework不能直接使用msi安装包安装,请参考本节内容在Windows 2008服务器上安装.NET Framework3.5。
Windows Server 2008支持直接通过服务器管理下载并安装.NET Framework3.5功能。
应用发布服务器需要安装.NET Framework3.5,从而支持AppServer应用。Windows Server安装.NET Framework不能直接使用msi安装包安装,请参考本节内容在Windows 2012/2016/2019服务器上安装.NET Framework3.5。
Windows 2012/2016/2019自带.NET Framework4.5,但需要安装.NET Framework3.5。
如直接通过服务器管理器下载安装.NET Framework3.5,一般会因为网络原因失败。因此需要准备对应的Windows 2012/2016/2019安装光盘或光盘镜像作为安装源;如无法使用安装光盘或光盘镜像,请搜索并获取单独的.NET Framework3.5安装CAB包,例如microsoft-windows-netfx3-x64-package.cab,该CAB包微软没有提供官方下载。
本节以Windows 2012为例指导完成.NET Framework3.5的安装,Windows 2016/2019的安装过程和2012完全一致。
该方法仅适用于使用光盘或光盘镜像安装。如需使用CAB包安装请参见其他方式。
该方法适用于使用光盘或光盘镜像安装,也适用于使用CAB包进行安装。
/Enable-Feature
并指定光盘中的source\sxs目录,例如:DISM /Online /Enable-Feature /FeatureName:NetFx3 /All /LimitAccess /Source:E:\sources\sxs
对于使用CAB包,需要使用/add-package
并指定CAB包的路径,例如:DISM /Online /add-package /packagepath:C:\201812\microsoft-windows-netfx3-x64-package.cab
应用发布服务器需要完成运维审计系统相关定制插件的安装,从而支持应用发布功能。
用户可以直接解压winsoft安装包,并执行install.bat一键安装,也可以单独手动安装。本节以一键安装为例进行介绍。手动安装过程中涉及的相关配置也可以参考以下步骤,请逐一安装winsoft包中的所有软件,并将webdriver文件夹复制到“C:\Program Files (x86)\H3C”路径下。
安装运维审计系统 Agent
安装Winlogon
安装GSessiond
安装webdriver
仅当安装软件时未正确配置Winlogon和Agent,或后续需要调整Winlogon和Agent配置时,需要执行本节的操作。如部署过程中已在安装软件步骤中正确完成配置,请跳过本节内容。
配置Agent
配置Winlogon
完成Winlogon和Agent等软件的安装与配置之后,需要将应用发布服务器在运维审计系统客户端中加入到运维审计系统的应用发布服务器列表中,从而使运维审计系统可以通过该服务器打开发布的应用。
如WinSync状态一直显示为无法连接,请检查运维审计系统和应用发布服务器之间的网络连通性及防火墙配置;如WinSync状态显示为未配置允许IP,请检查运维审计系统地址是否已添加到了Winlogon的配置中。
基本概念
运维审计系统支持将同一运维审计系统对接多台不同的应用发布服务器。这些应用发布服务器都按照部署应用发布服务器(单机)进行配置,加入到运维审计系统的应用发布服务器列表中后,会自动组成服务器集群,共同提供服务。
部署方式
列表中所有WinSync状态和Gsessiond状态显示为正常的应用发布服务器,将组成应用发布服务器集群。在用户访问应用系统资产时,运维审计系统将按照负载均衡策略连接集群中的一台服务器并访问资产。
用户通过运维审计系统访问B/S、C/S应用系统,运维审计系统在代填帐号、密码等登录信息时,不同的客户端支持情况有所不同。应用发布服务器中安装的应用只有严格满足对应的版本,才能在访问时成功代填。
资产类型 | 应用程序 | 密码代填 | 文件传输 | 备注 |
---|---|---|---|---|
B/S |
R6113P09及以上版本仅支持Chrome 113(Windows Server2016/2019)、Chrome 90(Windows Server2008/2012)、Firefox 88和Edge 109;R6113P01~P08仅支持Chrome 90和Firefox 88;R6113及之前版本仅支持Chrome 65和Firefox 55~59。 |
支持 | 不支持 | 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 |
B/S IE | IE 11 | 支持(不支持js Iframe跨域) | 不支持 | 代填URL包含IPv6地址时,审计中的URL将无法被记录。 |
Weblogic |
|
支持 | 不支持 | 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 |
C/S |
|
支持 | 不支持 |
|
数据库 | 客户端软件 | 数据库代填 | 数据库审计 | 备注 |
---|---|---|---|---|
Oracle:
|
|
支持 | 部分支持,以下情况不支持数据库审计:
|
|
SQL DeveloperW 1.5.5中文版 | 不支持 | 不支持 | ||
OEM | 部分支持(Oracle 9i和Oracle 10g不支持代填;Oracle 11g、Oracle 11gR2-RAC和Oracle 12c通过B/S模式代填) | 不支持 | - | |
MSSQL:
|
Ssms 2014中文版 | 支持 | 支持 | 连接方式为TCP,且身份认证方式为SQL Server身份验证或Windows身份验证。其中Windows身份验证仅支持使用域帐号验证,不支持使用本地帐号。 |
MSSQL: SQLServer 2019 | Ssms 18.12.1中文版(从 R6113P09 版本开始支持) | 支持 | 支持 | |
MySQL:
|
|
支持 | 支持 |
|
DB2 v9.7 |
|
不支持 | 不支持 | 用户第一次通过Toad for DB2客户端登录时,由于会出现引导页面而导致无法代填,请手工填写。 |
SqlDbx for DB2 4.17英文版 | 支持 | 不支持 | - |
发布应用前,需要先在已配置好的应用发布服务器上,完成待发布应用软件的安装。
由于所需安装的应用都是第三方应用,请自行获取相应的应用软件并按照应用各自的安装指导进行安装,本节仅介绍安装过程中的注意事项。
应用软件的安装路径,必须是应用发布服务器上所有用户都能访问的路径。例如不能安装到家目录(C:\Users\Administrator)下,否则其他用户将不能正常使用该应用建立会话,建议统一安装到Program Files目录中。
应用类型 | 应用名称 | 说明 |
---|---|---|
B/S | Chrome | Chrome的某些版本如使用默认的路径安装,将会安装到用户的家目录下。请手动选择安装到其他目录,不要使用默认安装路径。 |
Firefox | 请使用默认的安装路径。 | |
Edge | 请使用默认的安装路径。 | |
B/S IE | iexplorer | 请安装x64版本的IE浏览器。 |
Weblogic | - | Weblogic无需单独安装客户端。 |
C/S | SQLAdvantage/SybaseCentral | 均为Sybase客户端内置应用,请直接安装Sybase客户端。 |
C/S | ASDM | - |
C/S | Radmin | - |
C/S | Robo3T | 用于访问MongoDB数据库。 |
C/S | VpxClient | - |
C/S | VncViewer | 安装时无需勾选VNC Server。 |
C/S | DM管理工具(DM Manager) | 用于访问达梦数据库。 |
C/S | Navicat Premium | 用于访问PostgreSQL数据库。 |
数据库(Oracle) | plsqldev | 安装前需要先完成安装Oracle客户端。安装时请关注以下注意事项:
|
Toad | ||
SqlDbx | ||
sqlplusw | ||
sql developer | ||
oem | OEM无需单独安装客户端。 | |
数据库(MSSQL) | Ssms/Ssms18 | Ssms为MSSQL客户端内置应用,请直接安装MSSQL客户端。 SQL Server 2014版本需要预先安装Microsoft .NET Framwork3.5和4.0。 安装时选择全新SQL Server独立安装或向现有安装添加功能,并在功能选择中仅勾选管理工具-基本和管理工具-完整。 |
数据库(MYSQL) | SQLyog | - |
数据库(DB2) | QuestCentral | 请按照以下顺序进行安装:
DB2安装过程中,选择安装新产品,去勾选IBM Database Add-Ins for Visual Studio及创建概要文件。 |
SqlDbxForDB2 | ||
ToadForDB2 |
在应用发布服务器上完成安装应用后,需要通过APPServer配置工具,完成该应用的配置,使运维审计系统可以正常调用该应用。
应用名称 | 文件路径和名称 |
---|---|
Chrome | Chrome安装路径\chrome.exe |
Firefox | C:\Program Files (x86)\H3C\webdriver\bin\rdpapp.bat |
MicrosoftEdge | Edge安装路径\Application\msedge.exe |
IE | IE安装路径\iexplore.exe |
SQLAdvantage | Sybase安装路径\sqladv-12_5\sqladv.exe |
SybaseCentral | Sybase安装路径\Shared\Sybase Central 4.3\win32\scjview.exe |
ASDM | JAVA可执行程序 |
Radmin | Radmin安装路径\bin\Radmin.exe |
VpxClient | VMware安装路径\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe |
vncviewer | RealVNC安装路径\VNC Viewer\vncviewer.exe |
plsqldev | plsqldev安装路径\plsqldev.exe |
Toad | Toad安装路径\Toad.exe |
SqlDbx | SqlDbxU.exe |
sqlplusw | Oracle客户端安装路径\product\版本号\client_1\BIN\sqlplusw.exe |
sql developer | sql developer安装路径\bin\sqldeveloperW.exe |
oem | WebDriver安装路径\bin\rdpapp.bat |
Robo3T | Robo3T安装路径\Robo3T.exe |
DM管理工具(DM Manager) | DM管理工具安装路径\manager.exe |
navicat_for_pg | Navicat Premium安装路径\Navicat Premium 16\navicat.exe |
Ssms | SQL Server安装路径\120\Tools\Binn\ManagementStudio\Ssms.exe |
Ssms18 | Ssms18安装路径\Common7\IDE\Ssms.exe |
SQLyog | SQLyog安装路径\SQLyog.exe |
QuestCentral | QuestCentral安装路径\QuestCentral.exe |
SqlDbxForDB2 | SqlDbxU.exe |
ToadForDB2 | ToadForDB2安装路径\Toad.exe |
Putty | Winlogon安装路径\putty.exe |
一般不需要修改其他参数。当应用的标识和Web界面中设置为一致时,会自动从Web界面中同步其他参数的配置,并且APPServer配置工具中该应用的所有参数将被灰化,无法再设置。如需修改请在Web界面中再进行设置。
B/S、B/S IE、Weblogic应用除了预置的代填脚本之外,还可以使用其他的几种代填方式,本节将进行介绍。
运维审计系统仅支持对C/S客户端(包括数据库)录制并上传通用代填脚本。B/S、B/S IE、Weblogic应用不支持录制并导入通用代填脚本,一般情况下请直接使用预置的通用代填脚本。
如通用代填脚本不能满足要求,建议在配置资产时,针对特定的资产填写XPath/Selector(参考获取B/S应用控件的Xpath/Selector),以满足特殊的代填要求。
自定义脚本仅针对特定的资产。当使用以上两种方法都不能正常完成代填时,可以使用自定义脚本,然后在配置资产时上传脚本。
本节指导用户配置B/S资产使用上传的自定义代填脚本进行代填。
当出现这些情况或者其他复杂场景时,必须使用自定义代填脚本。
由于Firefox/IE使用的Groovy/JS脚本较为复杂,因此本节将只介绍Chrome/Edge的JSON脚本的编写方法。请在有相关需求时优先使用Chrome访问资产。如必须使用Firefox/IE,请联系技术支持。
本节以配置Chrome自定义代填脚本为例,具体步骤如下:
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
定位方式 | JS获取DOM示例 | JQuery示例 |
---|---|---|
按Id定位 | document.getElementById('inputUserName') | $('#inputUserName') |
按Name定位 | document.getElementsByName('username')[0] | $('[name="username"]') |
按Class定位 | document.getElementsByClassName('username')[0] | $('.username') |
按标签名定位 | document.getElementsByTagName('input')[0] | $('input') |
按Xpath定位 | document.evaluate('//form[@class="login"]//input[@id="inputUserName"]', document).iterateNext() | $('form[class="login"] input[id="inputUserName"]') |
按Selector定位 | document.querySelector('input#inputUserName')或 document.querySelectorAll('input#inputUserName')[0] | $('input#inputUserName') |
document.getElementById('inputUserName').value = username;
document.getElementById('inputPassword').value = password;
$('#inputUserName').val(username);
$('#inputPassword').val(password);
document.getElementById(\"inputUserName\")
。document.getElementById('loginBtn').click();
或$('#loginBtn').click();
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementById('inputUserName').value = username;
document.getElementById('inputPassword').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('loginBtn').click()}, 1000)
"script": "var username = arguments[0];var password = arguments[1];var callback = arguments[arguments.length - 1];setTimeout(function () { document.getElementById('inputUserName').value = username; document.getElementById('inputPassword').value = password; if (typeof callback === 'function') { callback() } document.getElementById('loginBtn').click();}, 1000)",
在配置B/S、B/S IE、Weblogic资产时,如脚本类型选择为高级,需要输入代填输入框的Xpath/Selector。本节指导完成该Xpath/Selector的获取。
具体步骤如下,以使用Chrome浏览器获取运维审计系统的代填输入框为例:
在为B/S资产编写自定义代填脚本时,可能涉及到通过Id/Name/Class/TagName进行元素定位。本节指导完成这些信息的获取。
使用一般浏览器的审查元素功能,就可以获取这些信息。本节以Chrome为例:
MicrosoftEdge
,其他内容完全一样。{
"version": "0.1.0",
"browser": "chrome",
"configuration": {
"options": {
"args": [
"disable-infobars",
"start-maximized",
"allow-no-sandbox-job",
"disable-gpu-sandbox"
],
"excludeSwitches": [
"enable-automation"
],
"prefs": {
"download.prompt_for_download": true,
"credentials_enable_service": false,
"profile.password_manager_enabled": false
}
},
"auditType": "<%auditType%>",
"whiteList": "<%whitelist%>",
"restrictaccess": "<%restrictaccess%>"
},
"steps": [
{
"name": "open_url",
"method": "get",
"param": "<%url%>"
},
{
"name": "do login",
"method": "script",
"param": {
"script": "var username = arguments[0];\nvar password = arguments[1];\nvar callback = arguments[arguments.length - 1];\n\nsetTimeout(function () {\n document.getElementById(\"username\").value = username;\n document.getElementById(\"username\").classList.remove(\"x-form-empty-field-sw\");\n document.getElementById(\"platcontent\").value = password;\n if (typeof callback === \"function\") {\n callback() // finished, executor should return \n }\n document.getElementById(\"btn_login-button\").click();\n}, 1000)\n",
"args": ["<%username%>", "<%password%>"],
"async": false
}
}
]
}
模块 | 参数 | 说明 |
---|---|---|
configuration.options.args | - | 浏览器的启动参数。如需要添加其他参数,请参考:https://peter.sh/experiments/chromium-command-line-switches/。 |
- | disable-infobars | 启动浏览器后禁止浏览器上方的提示。 |
start-maximized | 最大化启动浏览器。 | |
allow-no-sandbox-job | 允许沙盒进程在没有分配给它们的作业对象的情况下运行。 | |
disable-gpu-sandbox | 禁用 GPU 进程沙盒。 | |
configuration.options.excludeSwitches | - | 启动后浏览器后禁用哪些开关设置。 |
- | enable-automation | 在启动浏览器后,不显示悬浮栏:Chrome正受到自动化测试软件的控制/Microsoft
Edge正由自动测试软件控制。即禁用自动化测试模式,浏览器显示的内容和手动使用浏览器时完全一致。 Attention: 对于Edge浏览器,添加了该参数后,虽不会显示悬浮栏,但会在右上角弹出关闭开发人员模式下的扩展提示。用户如关掉该提示则不会有影响,但如单击关闭扩展,则将会导致白名单功能和URL审计功能失效。
|
configuration.options.prefs | - | 浏览器的偏好设置,即Chrome的设置菜单中的相关参数。 |
- | download.prompt_for_download | 对应Chrome的下载前询问每个文件的保存位置参数。取值为true,下载时会弹出设置保存位置的窗口;为false时直接下载到默认路径。 |
credentials_enable_service | 对应Chrome的提示保存密码参数。 | |
profile.password_manager_enabled | 没有对应的Chrome参数项,一般和credentials_enable_service共同设置为false,以保证点击填写框时不会弹出密码提示,以及登录成功后不会弹出保存密码提示。 Note: 仅当在configuration.excludeSwitches中设置了enable-automation时才会弹出以上提示。自动化测试模式下不会弹出以上提示。
|
|
configuration.auditType | - | 对应B/S资产配置中的审计方式,一般直接填写取值为<%auditType%>,即传递审计方式参数的取值。该参数及取值必须填写,否则将导致代填失败。 |
configuration.whiteList | 对应B/S资产信息中的白名单功能。取值填写为<%whitelist%>,则传递白名单参数的取值。不填写whiteList则白名单功能不生效。 | |
configuration.restrictaccess | 对应B/S资产配置中的是否限制其他URL功能。取值填写为<%restrictaccess%>,则传递是否限制其他URL单参数的取值。不填写,或取值为false时,白名单功能也将不生效。 | |
steps | - | 代填步骤。steps中填写了多个步骤时会依次执行。 |
- | name | 仅用于标识该步骤的内容,可以随意填写。 |
method | 步骤中具体调用的方法:
Note: 当使用simple_login或alert_login方法时,将直接使用运维审计系统中这两个代填方法对应固定的代填动作,不能针对代填动作进行自定义。
|
|
param | 执行不同方法需要设置不同的参数,具体如下:
|
document.getElementById('disclaimer').click();
checked=true
来实现勾选,确保执行的动作是勾选而非去勾选。例如:document.getElementById('disclaimer').checked=true;
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementById('inputUserName').value = username;
document.getElementById('inputPassword').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('disclaimer').checked=true
document.getElementById('loginBtn').click()}, 1000)
document.getElementById('inputUserName').value = username;
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementById('inputPassword').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('loginBtn').click()}, 1000)
<input id="password" type="password" class="login_password" name="password", style="display: inline-block">
<input id="passwordTip" class="login_password_tip" type="text" name="password" value="单击这里输入您的密码" style="display:none">
其中第一层是输入框,第二层是显示框。需要在输入框password中填写密码,但需要点击显示框passwordTip,才会显示为密文输入。
document.getElementById('passwordTip').click();
document.getElementById('password').value = password;
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementById('username').value = username;
document.getElementById('passwordTip').click();
document.getElementById('password').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('submitButton').click()}, 1000)
<input id="username" class="x-form-field-name x-form-empty-field-sw" ...>
单击该输入框后,元素的HTML变为:<input id="username" class="x-form-field-name" ...>
可以看到class中删除了x-form-empty-field-sw。研究该页面发现,当存在该class并提交后,系统会认为没有输入用户名,导致代填失败。
document.getElementById('username').classList.remove('x-form-empty-field-sw');
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementById('username').value = username;
document.getElementById('username').classList.remove('x-form-empty-field-sw');
document.getElementById('platcontent').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('btn_login-button').click()}, 1000)
sytle="display:none;"
进行了隐藏,登录框等其他元素和实际的登录页面完全一致:sytle="display:none;"
,就可以显示登录框了;同时对原有的框体添加样式sytle="display:none;"
将其隐藏。document.getElementsByClassName('login_wrap')[0].style.removeProperty('display');
document.getElementsByClassName('login_forgot_passWord_wrap')[0].style.display='none';
或:$(".login_wrap").show()
$(".login_forgot_passWord_wrap").hide()
var username = arguments[0];
var password = arguments[1];
var callback = arguments[arguments.length - 1];
setTimeout(function () {
document.getElementsByClassName('login_wrap')[0].style.removeProperty('display');
document.getElementsByClassName('login_forgot_passWord_wrap')[0].style.display='none';
document.getElementById('inputUserName').value = username;
document.getElementById('inputPassword').value = password;
if (typeof callback === 'function') {
callback()
}
document.getElementById('loginBtn').click()}, 1000)
在完成应用发布之后,用户可以在创建该应用对应类型的资产时勾选该客户端并使用该应用客户端访问资产。
本节分别以新增一个Oracle数据库资产、一个Radmin C/S资产和一个B/S资产为例,指导完成新增资产。关于配置资产的详细指导,请参考《运维审计系统Web配置指导》中的资产管理章节。
本节给出了新增一个B/S资产的配置实例,使用已发布的Chrome和Firefox客户端访问该数据库资产。B/S IE和Weblogic资产同样可以参照本例完成新增。
客户端:选择firefox和chrome。
完成应用发布及新增资产后,可以使用已发布的应用访问新增的资产。本节指导完成数据库/应用系统资产的访问。
数据库/应用系统资产只能在运维审计系统 Web界面中找到对应的资产并发起访问,不支持RDP直连,因此本节仅介绍通过Web界面访问资产。本节以通过Toad客户端访问Oracle数据库为例,介绍资产访问。访问其他资产同样可以参考本例。
如需获取更加详细的资产访问方式指导,请参考《运维审计系统Web配置指导》的资产访问章节。
图形会话设置 | 是否使用RemoteApp | 实际效果 |
---|---|---|
mstsc/web | 是 | 使用RemoteApp建立会话 |
mstsc | 否 | 打开一个RDP窗口,登录到应用发布服务器并打开客户端建立会话 |
web | 否 | 打开一个浏览器窗口,登录到应用发布服务器并打开客户端建立会话 |
用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。
参数 | 说明 |
---|---|
图形会话分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。 分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。 |
默认分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。 该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。 |
图形会话访问方式 | 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
|
启用Console连接 | 勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。 仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。 Note: 仅当待访问的主机系统是Windows
Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows
Server 2003,从而打开一个控制台会话,或使用
/admin 参数登录Windows
Server 2008/2012/2016,打开一个管理员模式的会话。 |
最大持续时间 | 用于设置字符会话的最大持续时间,取值范围如下:
|
磁盘映射 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 设置该参数仅表示在配置所有RDP图形会话及应用系统的图形会话的启动参数时,磁盘映射都默认勾选该参数设置的磁盘盘符。用户最终建立会话时是否会勾选对应磁盘的映射由用户自己决定。该参数输入格式为单个字母表示的盘符,多个盘符之间用英文逗号隔开,例如“c,d,f”。 Note: 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。
|
回放方式 | 仅当登录用户为具有审计权限的角色(如超级管理员、审计管理员)时,显示该选项。用于控制进行图形审计回放时的回放方式。 |
一个用户的应用配置如需同步给其他用户,请执行本节操作。
Windows应用的配置,通常会按不同用户进行区分。每个用户只能对自己的配置进行设置,并将配置保存到C盘指定路径下。因此,如需使用户配置对所有用户生效,就需要找到用户配置并拷贝到默认用户和已创建的其他用户的配置路径下。
同步配置给新建用户
同步配置给其他用户
通过应用发布服务器访问的资产,和访问主机、网络设备等不需要使用应用发布服务器的资产相比,其访问流程有所区别。
应用系统资产可以通过审计图形会话来进行审计。
本节仅对应用系统审计进行简单的介绍,如需详细了解运维审计系统的审计功能,请参考《运维审计系统Web配置指导》中的审计章节。
本节以查看图形会话为例进行指导。对于在线会话,用户也可以直接选择
,查看当前在线会话对应的图形会话。本节以通过Radmin客户端远程访问Windows主机为例,指导完成应用系统资产的审计。
数据库资产可以通过图形会话和数据库会话两种方式进行审计。
同一个数据库访问,可能会同时存在一个图形会话和一个数据库会话的记录。请结合图形会话和数据库会话的记录,来完成对数据库访问过程的审计。本节分别以查看图形会话和数据库会话为例进行指导。对于在线会话,用户也可以直接选择
,查看当前在线会话对应的图形会话和数据库会话。部分数据库不支持数据库审计,只支持图形审计功能,详情请参见《Web配置指导》中的“审计数据库会话”章节。本节以通过Toad访问Oracle数据库为例,简单介绍数据库审计的相关操作。需要事先完成:数据库已完成新增资产,通过Toad进行了访问资产,并执行了SQL语句。
通过图形会话进行审计
select value from v$parameter where
name = 'service_names'
。通过数据库会话进行审计
Web界面是运维审计系统最主要的访问入口,管理员、操作员、审计员都需要登录Web界面,并完成在运维审计系统的各项操作。
服务端要求
客户端环境要求
本地PC客户端环境必须具备下列基本要求,才能够按照本文档的指引完成各项操作任务。本文以Windows 10和Google Chrome浏览器为例进行介绍。
项目 | 要求 |
---|---|
操作系统 |
|
浏览器 |
Note: 浏览器请使用默认设置。如果调整了浏览器设置(例如开启最小字体限制),可能会导致页面显示异常。
|
显示器/浏览器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
|
使用手机令牌方式登录:手机令牌只能作为双因子认证中的第二重认证方式。
在登录界面的密码输入框中输入第一重认证的密码,单击登录认证成功后,会弹出两步认证密码输入框,继续输入第二重认证的密码并单击提交完成认证。
Console控制台支持通过多种方式登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。
系统支持通过显示器/虚拟机控制台,直连登录Console。
添加远程客户端、修改远程客户端的启动参数。
参数 | 说明 |
---|---|
名称 | 输入远程客户端的名称。 |
执行帐号 | 使用什么帐号登录应用发布服务器。
Note: 操作员首次通过应用发布服务器访问资产时,会在应用发布服务器的Administrator和Remote
Desktop
Users用户组中同步该账号。如需修改同步的用户组,请配置同步账号用户组。
|
RemoteAPP | 远程客户端是否使用RemoteAPP方式,如果不使用,则通过普通方式打开。 |
代填脚本 | 如果存在多个CS代填脚本时,请选择其中一个:
|
键盘记录开关 | 审计时是否记录鼠标和键盘事件信息,默认选项为记录。 如果选择不记录, 中将不产生键盘记录数据。只有当配置图形会话参数和此处的键盘记录开关全都设置为记录时,才会记录相应会话的按键信息。 |