网御网络审计系统V运维安全管控型管理员使用手册系列v更新.doc
《网御网络审计系统V运维安全管控型管理员使用手册系列v更新.doc》由会员分享,可在线阅读,更多相关《网御网络审计系统V运维安全管控型管理员使用手册系列v更新.doc(85页珍藏版)》请在冰点文库上搜索。
网御网络审计系统(运维安全管控型)管理员使用手册
网御网络审计系统V3.0
(运维安全管控型)
管理员使用手册
北京网御星云信息技术有限公司
文档修订记录
版本号
日期
修订者
修订说明
V1.0.1
2014-08-13
李彬
创建
V1.0.2
2014-09-25
李彬
修订产品截图和说明
V1.0.3
2014-12-19
李彬
修订产品截图和说明
目录
1 概述 6
1.1 关于本手册 6
1.2 格式约定 6
2 初始化配置 7
2.1 完成配置向导 7
2.1.1 设置密码策略 7
2.1.2 设置管理员账号和密码 8
2.1.3 配置主机网络参数 9
2.1.4 导入授权文件 10
2.1.5 确认配置信息 11
2.1.6 向导配置完成 12
2.2 管理员登录 13
2.3 配置认证方式 15
2.4 添加管理员 16
2.5 系统密码策略 17
3 用户管理 18
3.1 添加用户 18
3.2 编辑用户属性 20
3.3 用户其它操作 22
3.4 用户组织机构 23
4 资源管理 24
4.1 添加资源 24
4.2 编辑主机 27
4.3 主机其它操作 28
4.4 资源组 29
4.5 资源分类 29
4.6 资源系统类型 30
4.7 资源AD域 31
5 策略管理 32
5.1 访问策略 32
5.2 命令策略 35
5.3 集合设定 37
5.3.1 时间集合 37
5.3.2 IP集合 38
5.3.3 命令集合 39
6 审计管理 40
6.1 实时监控 40
6.1.1 会话监控 40
6.1.2 实时监控 40
6.2 日志查询 41
6.2.1 管理日志 42
6.2.2 登录日志 44
6.2.3 审计日志 45
6.3 审计报表 48
6.3.1 报表模板 48
6.3.2 自定义报表 50
7 密码管理 53
7.1 密码策略 53
7.2 自动改密计划 53
7.3 自动改密结果 55
7.4 下载密码列表 55
7.5 手动改密 56
8 系统管理 57
8.1 系统信息 57
8.1.1 授权信息 57
8.1.2 系统升级 58
8.1.3 配置备份 59
8.1.4 数据备份 60
8.1.5 电源管理 60
8.2 系统选项 61
8.2.1 高可用性 61
8.2.2 格尔认证 62
8.2.3 认证源 64
8.2.4 网络配置 64
8.2.5 时间配置 65
8.2.6 超时配置 66
8.3 接口配置 67
8.3.1 Syslog 67
8.3.2 短信 67
8.3.3 邮件 68
8.3.4 SNMP 69
8.3.5 资源同步接口 70
8.4 设备管理 70
8.4.1 设备管理 70
8.4.2 设备运行状态 71
8.5 应用发布 72
8.5.1 应用工具 72
8.5.2 发布管理 74
8.6 权限管理 75
8.6.1 管理员 75
9 配置实例 79
9.1 添加主机 79
9.2 添加用户 81
9.3 添加访问策略 82
9.4 运维用户登录 84
1概述
1.1关于本手册
网御网络审计系统(运维安全管控型)(以下简称网御LA-OS),是网御星云综合内控系列产品之一。
网御LA-OS是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。
它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的运维操作进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管、避免核心资产(服务器、网络设备、安全设备等)损失、保障业务系统的正常运营。
本手册详细介绍了网御LA-OS包括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法,用户可参考本手册,对网御LA-OS进行各种运维管理和审计管理。
1.2格式约定
l本文中所有图例均为实际拍摄或屏幕截取
l菜单名称和按钮名称的表示方法:
【菜单名称】,【按钮名称】
l图标表示的含义:
:
系统管理、配置的重要说明、提示信息。
:
相关功能配置的举例说明信息;
2初始化配置
网御LA-OS系统通过Web浏览器登录进行管理(默认地址为https:
//LA-OS-Server的管理IP地址),初始化时需手动设置一个超级管理员账号、密码(自行设定),网御LA-OS目前支持的浏览器包括InternetExplorer8以上的版本和火狐浏览器。
2.1完成配置向导
首次登录后,系统自动进入初始化的配置向导界面。
全过程操作说明:
1、密码策略的配置;
2、超级管理员账号及密码的配置;
3、主机网络的配置;
4、导入授权文件;
5、确认配置信息;
6、向导配置完成。
2.1.1设置密码策略
设置密码策略,如图2.1所示:
图2.1设置密码策略
操作说明:
1、认证方式的选择;
2、设置最小密码长度;
3、配置密码复杂度;
4、配置密码周期;
5、配置历史对比;
6、配置自动锁定;
7、配置自动解锁;
填写完成后点击“下一步”。
2.1.2设置管理员账号和密码
设置密码策略后,点击下一步,配置管理员账号和密码,如图2.2所示:
图2.2配置管理员账号和密码
操作说明:
1、超级管理员姓名填写;
2、超级管理员账号填写(务必请牢记);
3、超级管理员密码填写(务必请牢记);
4、管理员确认密码与超级管理员密码一致;
填写完成后点击“下一步”。
2.1.3配置主机网络参数
设置管理员账号后,点击下一步,配置主机网络参数,如图2.3所示:
图2.3配置管理员账号和密码
操作说明:
1.填写IP地址(做好记录);
2.填写子网掩码(做好记录);
填写完成后点击“下一步”。
2.1.4导入授权文件
配置完主机网络后,点击下一步进行授权文件的导入,如图2.4-2.5所示:
图2.4导入前选择授权文件
图2.5导入后明细显示
操作说明:
1.点击“导入授权文件”选择授权文件进行导入;
2.导入后可看到“授权文件明细”。
2.1.5确认配置信息
导入授权文件后,点击下一步进行配置信息确认,确认无误后,点击下一步完成,如图2.6所示:
图2.6确认配置信息
操作说明:
1.详细确认所有配置信息的准确性;
2.牢记重要配置信息;
确认无误后,点击下一步。
2.1.6向导配置完成
配置信息确认无误后,点击完成,结束配置向导,界面提示“正在重启网卡,请耐心等待…”,等待10秒后刷新界面即可进入登录页面,如图2.7-2.8所示:
图2.7完成配置向导
图2.8完成配置重启网卡
2.2管理员登录
打开浏览器,输入https:
//LA-OS-Server的管理IP地址,如图2.9所示:
图2.9登录界面
输入管理员用户名、密码和验证码即可登录管理界面,登录后可看到监控界面,如图2.10所示:
图2.10监控界面
操作说明:
1、网御LA-OS提供浏览器支持,用户可以通过InternetExplorer8以上的版本和火狐浏览器进行登录访问;
2、用户登陆界面提供“下载工具”通道,包括JRE软件下载、证书下载和用户手册下载,点击将进入相应的下载界面。
2.3配置认证方式
导航条上选择【系统管理】—>【系统选项】—>【认证源】—>【添加】,可配置认证方式,也可不用配置,系统内部默认有认证模式如图2.11所示:
图2.11配置认证方式
n类型选择:
Radius、LDAP、WindowsAD域;
操作说明:
1、系统支持本地认证和其它认证方式;其它所有管理员和运维用户均与选择的认证方式相关联;
2、系统默认通过系统自身的账号管理系统进行身份认证;
3、Radius:
通过Radius协议由第三方认证服务器对系统用户进行身份认证;
4、LDAP:
通过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认证在下拉菜单中可选择openldap和ad域的ldap方式的认证;
5、WindowsAD域:
通过WindowsAD域服务器对系统用户进行身份认证。
2.4添加管理员
重新以超级管理员的身份登录系统,进入日常管理界面,选择【系统管理】—>【权限管理】—>【管理员】,如图2.12所示:
详细操作请参见8.6.1章节。
图2.12超级管理员操作界面
操作说明:
1、默认管理员权限共七种:
用户管理,资源管理,策略管理、审计管理,报表管理、密码管理、系统管理;
2、管理员角色可以多选,即一个用户可以兼任多个管理角色;
3、用户管理:
用户、用户组的增删改管理;
4、资源管理:
资源、资源分类、资源类型的增删改管理;
5、策略管理:
运维用户、主机及相应的授权策略管理;
6、审计管理:
审计运维用户的操作,包括实时监控、记录检索、审计信息等功能;
7、报表管理:
报表的生成和下载,包括会话报表、异常会话报表、异常操作报表、自定义报表等;
8、密码管理:
主机的密码安全管理,包括密码策略、自动改密、手工改密以及管理密码文件;
9、系统管理:
管理网御LA-OS的基本配置,包括系统监控、管理员配置及其他基本配置信息。
2.5系统密码策略
导航条上选择【密码管理】—>【密码策略】可配置与密码相关的安全策略,如图2.13所示:
图2.13密码策略配置
n密码最小长度:
限定所有网御LA-OS账户的密码最小长度
n密码复杂度:
勾选可设置密码必须包含大小写字母、数字或符号
n密码周期:
若启用,可设置密码过期时间和提醒时间,默认为90天密码过期
n历史对比:
若启用,可设置密码对比次数,默认为3次
n登录锁定:
若启用,在规定的时间内输入密码错误超过设置的次数,则将帐号锁定,并设置自动解锁时间
3用户管理
3.1添加用户
选择导航条上【用户管理】,查看当前用户列表,并可执行【添加】操作;如图3.1所示:
图3.1添加用户-基础信息
1、导航至【用户管理】,可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。
2、点击【添加】进入用户属性编辑界面,输入用户基础信息
n名称;用户名支持英文字母、数字、下划线、小数点输入;此项为必填项
n启用/禁用:
更改用户账号的启停状态;新账号默认状态为启用
n密码:
密码设置可选择手工输入或由系统自动生成密码;此项为必填项
n真实姓名;输入用户真实姓名;姓名支持中英名字母输入;此项为必填项
n手机:
输入用户手机号码;此类信息为可选择输入项
n邮箱:
输入用户邮箱地址;此类信息为可选择输入项
n开始时间&结束时间:
指定用户登录的时间范围;此类信息为可选择输入项
n登录限制:
包括客户端IP地址或所在网段(网段的格式例如:
192.168.1.0/24)和MAC地址(MAC地址的输入格式例如:
00-1F-16-29-F1-15)的限制
n高级属性:
可勾选不能修改密码、密码永不过期、密码已过期
n备注:
可在此对该用户进行描述;此项为可选择输入项
3、强认证
nUSB令牌认证:
根据需要选择运维用户登录时是否使用USB令牌认证(需要插上已通过令牌重置工具初始化的USB令牌),如图3.2所示
n令牌状态:
显示令牌状态
n令牌密码:
用于此运维用户登录进行令牌认证时
n下载令牌重置工具:
令牌重置工具用于重新初始化已与用户绑定的USB令牌,重新初始化后的USB令牌可以再次与需要令牌认证的用户进行绑定
图3.2添加用户-强认证属性
n应用工具限制:
用于有应用发布功能时,可选择限制运维用户使用运维工具的种类(如图3.3所示)。
图3.3添加用户-应用工具限制
4、点击【确定】完成用户账号添加。
重要说明:
1、手机输入需符合手机号码位长及格式要求;Email信息输入需要符合邮件格式要求;
2、密码设置需要符合密码管理>密码策略中已定义的密码长度及复杂度要求;
3、启用账号有效期后,过期账号将会自动锁定;
4、强认证根据需要选择用户登录是否使用USB令牌认证。
3.2编辑用户属性
选择导航条上【用户管理】,查看当前用户列表,在对应的用户名后,点击【属性】可对已经存在的用户信息进行修改,如图3.3所示:
图3.3编辑用户属性-基础信息
在强认证属性中对用户增加使用USB令牌认证,如图3.4所示,对已使用USB令牌认证的用户解除令牌绑定,如图3.5所示:
图3.4编辑用户属性-强认证
图3.5编辑用户属性-强认证2
重要说明:
1、编辑用户基本信息,如密码、真实姓名、手机、邮箱、描述等;
2、修改密码:
重新设置用户密码;
3、启用有效期:
修改账号有效期,不启用则为永久账号;
4、在强认证中,配置USB令牌认证的相关信息;
5、在应用工具限制中,对运维用户可使用的运维工具进行限制。
3.3用户其它操作
选择导航条上【用户管理】,查看当前用户列表;如图3.6所示:
图3.6用户列表
n删除:
从用户列表中勾选需要删除的用户,点击【删除】可从系统中删除该运维用户
n启用:
从用户列表中勾选需要禁用的用户,点击【禁用】可将此用户禁用
n禁用:
从用户列表中勾选需要启用的用户,点击【启用】可将此用户启用
n移动:
从用户列表中勾选需要移动到其它组织机构的用户,点击【移动】,选择需要移动到的组织机构名
n全部导出:
按系统定义的格式导出全部用户列表
n导出当前:
按系统定义的格式导出选中的用户列表
3.4用户组织机构
选择导航条上【用户管理】;查看当前用户组织机构列表,并可执行用户组织机构管理操作;如图3.7所示:
图3.7用户组织机构管理
鼠标指针移动到资源组名称,显示操作按钮:
n添加:
在组织机构或已建立的组织机构名处,点击,即成功添加相应组织机构
n修改:
在已建立的组织机构名处,点击,即可修改组织机构的负责人、电话和备注,名称为不可修改项
n删除:
在对应的组织机构名处,点击,即成功删除相应组织机构
n导出:
在资源组或已建立的组织机构名处,点击,即可将组织机构信息导出
4资源管理
4.1添加资源
选择导航条上【资源管理】—>【资源】;查看当前资源列表,并可执行【添加】操作;如图4.1所示:
图4.1添加资源
1、资源列表查看
n列表查看:
名称、资源组、资源分类、资源系统类型、IP地址、操作
2、输入资源属性基本信息:
n名称:
输入资源名至资源属性;资源名支持中英文、数字及字符输入;此项为必填项
n状态:
在下拉菜单中选择启用或禁用资源;此项为必选项
n资源分类:
在下拉菜单中选择资源类型;此项为必选项
n资源系统类型:
在下拉菜单中选择资源系统类型;此项为必选项
nIP地址:
输入资源(设备)IP地址;此项为必填项及可填多个IP地址
n编号:
输入资源(设备)的编号
n所有者:
输入资源(设备)的所有者
n负责人:
输入资源(设备)的负责人
n备注:
对该主机的功能、特性进行说明
3、添加资源服务信息;如图4.2所示:
图4.2添加资源服务
n名称:
输入资源服务属性;服务名支持中英文、数字及字符输入;此项为必填项
n类型:
在下拉菜单中选择服务类型;此项为必选项
n端口:
输入该服务的端口号;此项为必填项
n备注:
填写添加服务的备注信息
4、添加资源系统账号信息;如图4.3所示:
图4.3添加资源账号
n名称:
输入资源账号;此项为必填项,如账号为特权账号,需勾选特权账号
n密码及密码确认:
输入该账号对应密码及密码确认,如密码为空则不用输入
n资源AD域:
如资源为windows系统,并加入了域,需要对此资源的账号改密时,需要选择资源所属域(域相关的参数设置请参加本手册4.7章节)
n服务授权:
勾选该账号连接本资源的服务类型,可多选
n参数:
填写连接登录所需参数,如oracle实例名,登录角色选择normal、sysdba或sysoper;
n备注:
填写该资源账号的备注信息
5、点击【添加】完成全部主机信息录入。
重要说明:
1、通常情况下,用户只需要配置资源IP、资源名、资源类型、服务类型及资源账号信息即可;
2、账号切换命令、密码输入提示、所有者、负责人、编号、备注为可选择输入项,如无需要可不用填写;
3、资源分类、资源系统类型、资源AD域需要在资源管理>资源分类、资源管理>资源系统类型、资源管理>资源AD域中先行定义;
4、用户可以对协议默认端口号进行修改;
5、列表中禁用资源用红色显示
4.2编辑主机
选择导航条上【资源管理】—>【资源】;查看当前资源列表,在对应的资源名后,点击【属性】、【服务】、【账号】可分别对已经存在的主机信息进行修改,如图4.4-4.6所示:
图4.4编辑资源属性
图4.5编辑资源服务
图4.6编辑资源账号
1、编辑资源属性基础信息。
如名称、资源分类、资源系统类型、IP地址、账号切换命令&密码输入提示等
2、编辑资源服务信息,可对此资源的服务进行添加、编辑、删除等操作
3、编辑资源账号信息,可以对本机账号进行添加、编辑、删除等操作
4.3主机其它操作
选择导航条上【资源管理】—>【资源】;查看当前资源列表,勾选资源并可执行【删除】操作;如图4.7所示:
图4.7资源删除
n删除:
在勾选对应的资源名后,点击【删除】可从系统中删除该资源;可进行多个资源勾选,进行批量删除
n启用\禁用:
在勾选对应的资源名后,点击【禁用】可将此资源停止使用,点击【启用】可将此资源启用,默认资源是启用状态
n移动:
在勾选对应的资源名后,点击【移动】可将此资源移动到其他资源组内
4.4资源组
选择导航条上【资源管理】—>【资源】;查看当前资源列表,在资源列表左边,可查看当前资源组,并可执行资源组管理操作;如图4.8所示:
图4.8管理资源组
鼠标指针移动到资源组名称,显示操作按钮:
n添加:
在资源处,点击,即弹出添加资源组信息框,输入需要新增的资源组信息
n修改:
在已建立的资源组名处,点击,即可修改资源组名称和备注
n删除:
在对应的资源组名处,点击,即成功删除相应资源组
4.5资源分类
选择导航条上【资源管理】—>【资源分类】,在资源分类列表中会显示系统默认的和已添加的资源分类。
默认资源分类为主机、数据库、安全设备和网络设备四种,并且不允许删除。
另外可通过勾选资源分类名称,对自定义资源分类进行删除操作,点击资源分类属性,可对资源分类进行编辑。
资源分类列表如下图4.9所示:
图4.9资源分类列表
在资源分类界面点击【添加】,进入添加资源分类页面,如下图4.10所示:
图4.10添加资源分类
n名称:
添加名称。
必填项,且不能重复。
仅支持英文字母、数字、下划线、小数点。
n备注:
该资源分类的描述说明。
4.6资源系统类型
选择导航条上【资源管理】—>【资源系统类型】,在资源系统类型列表中会显示系统默认的和已添加的资源系统类型,默认资源类型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六种,并且不允许删除。
另外通过勾选资源类型名称,可对自定义资源系统类型进行删除操作,点击资源系统属性,可对资源系统进行编辑。
资源系统列表如下图4.11所示:
图4.11资源系统列表
在资源系统类型界面点击【添加】,进入添加资源系统页面,如下图4.12所示:
图4.12添加资源系统类型
n名称:
资源系统名称。
必填项,且不能重复。
仅支持英文字母、数字、下划线、小数点
n账号切换命令:
选填项
n密码输入提示:
选填项
n备注:
该资源系统类型的描述说明
4.7资源AD域
选择导航条上【资源管理】—>【资源AD域】,如资源为windows系统,并加入了域,需要对此资源的登录账号改密时,可在此提前设置好资源AD域相关信息,在添加资源的服务账号时,可直接选择此处设置的域名。
在主机AD域列表中会显示已添加的AD域清单,列表显示AD域的域名。
可从列表直接删除AD域。
如图4.13所示:
图4.13资源AD域列表
n添加AD域:
点击【添加资源AD域】,在弹出窗口输入域名、域管理员名、密码和域控制器IP地址,点击【确定】,即可完成AD域的添加
n编辑AD域:
在清单中单击已有的域名的属性,可进行修改,修改完成之后点击【确定】,即可完成AD域的编辑
n删除AD域:
在清单中勾选已有的域名,再点击【删除资源AD域】,即可完成AD域的删除
5策略管理
策略管理主要配置运维用户的访问授权及指令授权。
访问策略授权和指令操作授权均可配置黑白名单。
授权中使用到的指令集合、IP集合和时间集合需要预先定义。
5.1访问策略
选择导航条上【策略管理】—>【访问策略】,授权运维用户访问运维主机,需要配置相应授权。
访问策略授权的配置方式采用向导式。
访问授权策略页面如图5.1所示:
图5.1访问授权策略列表
在访问授权策略列表中显示了已配置的策略。
点击【添加】,进入访问策略授权向导如图5.2所示:
图5.2添加访问策略
n名称:
输入访问策略名;资源名支持中英文、数字及字符输入;此项为必填项
n高级属性:
选择是否启用以下功能:
RDP剪切板、RDP磁盘映射
n限制IP:
在启用限制IP功能后,在IP设置范围内的运维用户能访问堡垒机
n限制时间:
启用限制时间功能后,限制运维用户只能在指定时间范围内能访问堡垒机
完成基础信息配置后,点击【下一步】进入绑定用户页面如图5.3所示:
图5.3绑定用户页面
选择绑定服务,点击【下一步】如图5.4所示:
图5.4绑定服务
选择绑定账号,可点击连接参数查看账号参数,点击【确定】完成一条访问策略配置,如图5.5所示:
图5.5绑定账号
5.2命令策略
选择导航条上【策略管理】—>【命令策略】,指令操作授权主要配置运维用户的指令黑白名单:
在命令策略界面点击【添加】,进入命令策略配置向导如图5.6所示:
图5.6命令策略-基本信息
基本信息填写名称、匹配模式、审计动作、告警方式、命令集合、操作命令和操作对象等,
n名称:
输入审计策略名;资源名支持中英文、数字及字符输入;此项为必填项
n匹配模式:
在下拉菜单选择包含或不包含;此项为必选项
n审计动作:
在下拉菜单选择允许执行、忽略命令、阻断会话或二次审批;此项为必选项
n告警方式:
包括Syslog、短信、邮件、SNMP,相关设置需由系统管理员配置,参见8.2.6和8.3章节
n命令集合:
选择在命令集合中设置的命令集
n操作&对象:
输入需要匹配的运维操作命令和对象
填写完基础信息后,点击【下一步】如图5.7所示:
图5.7命令策略绑定用户
绑定用户,勾选上用户名称将这条审计策略授权到指
升级会员 