天网络安全审计系统V60运维安全管控系统管理员使用手册357系列v1020150512更新.doc

2015管理员使用手册天玥网络安全审计系统V6.0运维安全管控系统密级：公开适用范围：天玥OSM系列精细控制合规审计版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息技术安全有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。出版时间本文档于2014年7月由北京启明星辰信息安全技术有限公司编写。客户服务与技术支持 如果您在使用产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。 启明星辰公司客户服务部的联系方式如下： 地址：北京市海淀区东北旺西路8 号中关村软件园 21号楼启明星辰大厦 电话：010-82779160 传真： 010-56633088  网站支持： MAIL支持：support 信函支持邮编：100193 或者您可以拨打 800/400 热线： 热线电话：800-810-6038 400-624-3900（服务时段为周一至周五的 9:00-17:30，包括国家法定节假日），未开通400/800电话的地区，可直接拨打010-5663 2688文档修订记录版本号日期修订者修订说明v1.0.12014-07-21吕波修订产品信息v1.0.22014-07-22吕波修订产品界面配置等信息v1.0.32014-07-24文斌修订产品截图和说明v1.0.42014-09-29李彬修订产品截图和说明v1.0.52014-12-07李彬修订产品截图和说明V1.0.62015-02-12刘盛懋修订产品界面配置等信息V1.0.72015-03-26刘盛懋修订产品界面配置等信息V1.0.82015-05-12刘盛懋修订产品界面配置等信息目录1概述81.1关于本手册81.2格式约定82初始化配置92.1完成配置向导92.1.1设置密码策略92.1.2设置管理员账号和密码102.1.3配置主机网络参数112.1.4导入授权文件122.1.5确认配置信息132.1.6向导配置完成142.2管理员登录152.3配置认证方式172.4添加管理员182.5系统密码策略193用户管理203.1添加用户203.2编辑用户属性223.3用户其它操作243.4用户组织机构254资源管理264.1添加资源264.2编辑主机304.3主机其它操作314.4资源组344.5资源分类344.6资源系统类型354.7资源AD域375策略管理375.1访问策略385.2命令策略405.3集合设定425.3.1时间集合425.3.2IP集合435.3.3命令集合446工单管理457审计管理487.1实时监控487.1.1会话监控487.1.2实时监控487.2日志查询497.2.1管理日志507.2.2登录日志527.2.3审计日志547.2.4工单日志577.3审计报表597.3.1报表模板597.3.2自定义报表628密码管理658.1密码策略658.2自动改密计划658.3自动改密结果678.4下载密码列表678.5手动改密689系统管理699.1系统信息699.1.1授权信息699.1.2系统升级709.1.3配置备份719.1.4数据备份729.1.5电源管理739.2系统选项739.2.1高可用性739.2.2格尔认证749.2.3认证源769.2.4网络配置769.2.5时间配置789.2.6Web选项799.2.7备份自动导出809.2.8运维选项819.3接口配置819.3.1Syslog819.3.2短信829.3.3邮件839.3.4SNMP839.3.5资源同步接口849.4设备管理849.4.1设备管理849.4.2设备运行状态869.5应用发布879.5.1应用工具879.5.2发布管理889.6权限管理899.6.1管理员8910配置实例9310.1添加主机9310.2添加用户9610.3添加访问策略9710.4运维用户登录991 概述1.1 关于本手册天玥网络安全审计系统V6.0 - 统一业务访问控制系统（OSM系列）（以下简称天玥OSM），是启明星辰综合内控系列产品之一。天玥OSM是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。本手册详细介绍了天玥OSM包括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法，用户可参考本手册，对天玥OSM进行各种运维管理和审计管理。1.2 格式约定l 本文中所有图例均为实际拍摄或屏幕截取l 菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】l 图标表示的含义：系统管理、配置的重要说明、提示信息。：相关功能配置的举例说明信息；2 初始化配置天玥OSM系统通过Web浏览器登录进行管理（默认地址为https:/OSM-Server的管理IP地址），初始化时需手动设置一个超级管理员账号、密码（自行设定），天玥OSM目前支持的浏览器包括Internet Explorer8以上的版本、谷歌浏览器和火狐浏览器。注意：天玥OSM版本为V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码 admin/password$123，默认试用授权可管理资源数3台，授权截止时间 2019年12月31日。2.1 完成配置向导首次登录后，系统自动进入初始化的配置向导界面。当天玥OSM版本为V6.0.2.xxxx时，无初始化过程，默认超级管理员账号/密码 admin/password$123，默认试用授权可管理资源数3台，授权截止时间 2019年12月31日。全过程操作说明：1、 密码策略的配置；2、 超级管理员账号及密码的配置；3、 主机网络的配置；4、 导入授权文件；5、 确认配置信息；6、 向导配置完成。2.1.1 设置密码策略设置密码策略，如图2.1所示：图2.1设置密码策略操作说明：1、 认证方式的选择；2、 设置最小密码长度；3、 配置密码复杂度；4、 配置密码周期；5、 配置历史对比；6、 配置自动锁定；7、 配置自动解锁；填写完成后点击“下一步”。2.1.2 设置管理员账号和密码设置密码策略后，点击下一步，配置管理员账号和密码，如图2.2所示：图2.2配置管理员账号和密码操作说明：1、 超级管理员姓名填写；2、 超级管理员账号填写（务必请牢记）；3、 超级管理员密码填写（务必请牢记）；4、 管理员确认密码与超级管理员密码一致；填写完成后点击“下一步”。2.1.3 配置主机网络参数设置管理员账号后，点击下一步，配置主机网络参数，如图2.3所示：图2.3配置管理员账号和密码操作说明：1. 填写IP地址（做好记录）；2. 填写子网掩码（做好记录）；填写完成后点击“下一步”。2.1.4 导入授权文件配置完主机网络后，点击下一步进行授权文件的导入，如图2.4-2.5所示：图2.4导入前选择授权文件图2.5导入后明细显示操作说明：1. 点击“导入授权文件”选择授权文件进行导入；2. 导入后可看到“授权文件明细”。2.1.5 确认配置信息导入授权文件后，点击下一步进行配置信息确认，确认无误后，点击下一步完成，如图2.6所示：图2.6确认配置信息操作说明：1. 详细确认所有配置信息的准确性；2. 牢记重要配置信息；确认无误后，点击下一步。2.1.6 向导配置完成配置信息确认无误后，点击完成，结束配置向导，界面提示“正在重启网卡，请耐心等待”，等待10秒后刷新界面即可进入登录页面，如图2.7-2.8所示：图2.7完成配置向导图2.8 完成配置重启网卡2.2 管理员登录打开浏览器，输入https:/OSM-Server的管理IP地址，如图2.9所示：图2.9 登录界面输入管理员用户名、密码和验证码（当天玥OSM系统为v6.0.2.6972及以上版本时，验证码可以在管理界面设置取消）即可登录管理界面，登录后可看到监控界面，如图2.10所示：图2.10 监控界面操作说明：1、 天玥OSM提供浏览器支持，用户可以通过Internet Explorer8以上的版本和火狐浏览器进行登录访问；2、 用户登陆界面提供“下载工具”通道，包括环境检测助手、JRE软件下载、证书下载、用户手册和审计播放器下载，点击将进入相应的下载界面。2.3 配置认证方式导航条上选择【系统管理】>【系统选项】>【认证源】>【添加】，可配置认证方式，也可不用配置，系统内部默认有认证模式如图2.11所示：图2.11 配置认证方式n 类型选择： Radius、LDAP、WindowsAD域；操作说明：1、 系统支持本地认证和其它认证方式；其它所有管理员和运维用户均与选择的认证方式相关联；2、 启用外部认证源时，会禁用本地认证，所有登录认证都通过外部认证源，所以必须保证外部认证源可用并且外部认证源的参数配置正确的情况下再启用外部认证源。3、 系统默认通过系统自身的账号管理系统进行身份认证；4、 Radius：通过Radius协议由第三方认证服务器对系统用户进行身份认证；5、 LDAP：通过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认证；6、 WindowsAD域：通过Windows AD域服务器对系统用户进行身份认证。2.4 添加管理员重新以超级管理员的身份登录系统，进入日常管理界面，选择【系统管理】>【权限管理】>【管理员】，如图2.12所示：详细操作请参见8.6.1章节。图2.12 超级管理员操作界面操作说明：1、 默认管理员权限共七种：用户管理，资源管理，策略管理、审计管理，报表管理、密码管理、系统管理；2、 管理员角色可以多选，即一个用户可以兼任多个管理角色；3、 用户管理：用户、用户组的增删改管理；4、 资源管理：资源、资源分类、资源类型的增删改管理；5、 策略管理：运维用户、主机及相应的授权策略管理；6、 审计管理：审计运维用户的操作，包括实时监控、记录检索、审计信息等功能；7、 报表管理：报表的生成和下载，包括会话报表、异常会话报表、异常操作报表、自定义报表等；8、 密码管理：主机的密码安全管理，包括密码策略、自动改密、手工改密以及管理密码文件；9、 系统管理：管理天玥OSM的基本配置，包括系统监控、管理员配置及其他基本配置信息。2.5 系统密码策略导航条上选择【密码管理】>【密码策略】可配置与密码相关的安全策略，如图2.13所示：图2.13密码策略配置n 密码最小长度：限定所有天玥OSM账户的密码最小长度 n 密码复杂度：勾选可设置密码必须包含大小写字母、数字或符号n 密码周期：若启用，可设置密码过期时间和提醒时间，默认为90天密码过期n 历史对比：若启用，可设置密码对比次数，默认为3次n 登录锁定：若启用，在规定的时间内输入密码错误超过设置的次数，则将帐号锁定，并设置自动解锁时间3 用户管理3.1 添加用户选择导航条上【用户管理】，查看当前用户列表，并可执行【添加】操作；如图3.1所示：图3.1 添加用户-基础信息1、 导航至【用户管理】，可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。2、 点击【添加】进入用户属性编辑界面，输入用户基础信息n 名称；用户名支持英文字母、数字、下划线、小数点输入；此项为必填项n 启用/禁用：更改用户账号的启停状态；新账号默认状态为启用n 密码：密码设置可选择手工输入或由系统自动生成密码；此项为必填项n 真实姓名；输入用户真实姓名；姓名支持中英名字母输入；此项为必填项n 手机：输入用户手机号码；此类信息为可选择输入项n 邮箱：输入用户邮箱地址；此类信息为可选择输入项n 开始时间&结束时间：指定用户登录的时间范围；此类信息为可选择输入项n 登录限制：包括客户端IP地址或所在网段（网段的格式例如：192.168.1.0/24）和MAC地址（MAC地址的输入格式例如：00-1F-16-29-F1-15）的限制n 高级属性：可勾选不能修改密码、密码永不过期、密码已过期n 备注：可在此对该用户进行描述；此项为可选择输入项3、 强认证n USB令牌认证：根据需要选择运维用户登录时是否使用USB令牌认证（需要插上已通过令牌重置工具初始化的USB令牌），如图3.2所示n 令牌状态：显示令牌状态n 令牌密码：用于此运维用户登录进行令牌认证时n 下载令牌重置工具：令牌重置工具用于重新初始化已与用户绑定的USB令牌，重新初始化后的USB令牌可以再次与需要令牌认证的用户进行绑定图3.2 添加用户-强认证属性n 应用工具限制：用于有应用发布功能时，可选择限制运维用户使用运维工具的种类（如图3.3所示）。图3.3 添加用户-应用工具限制4、 点击【确定】完成用户账号添加。重要说明：1、 手机输入需符合手机号码位长及格式要求；Email信息输入需要符合邮件格式要求；2、 密码设置需要符合密码管理>密码策略中已定义的密码长度及复杂度要求；3、 启用账号有效期后，过期账号将会自动锁定；4、 强认证根据需要选择用户登录是否使用USB令牌认证。3.2 编辑用户属性选择导航条上【用户管理】，查看当前用户列表，在对应的用户名后，点击【属性】可对已经存在的用户信息进行修改，如图3.3所示：图3.3 编辑用户属性-基础信息 在强认证属性中对用户增加使用USB令牌认证，如图3.4所示，对已使用USB令牌认证的用户解除令牌绑定，如图3.5所示：图3.4 编辑用户属性-强认证图3.5 编辑用户属性-强认证2重要说明：1、 编辑用户基本信息，如密码、真实姓名、手机、邮箱、描述等；2、 修改密码：重新设置用户密码；3、 启用有效期：修改账号有效期，不启用则为永久账号；4、 在强认证中，配置USB令牌认证的相关信息；5、 在应用工具限制中，对运维用户可使用的运维工具进行限制。3.3 用户其它操作选择导航条上【用户管理】，查看当前用户列表；如图3.6所示：图3.6 用户列表n 删除：从用户列表中勾选需要删除的用户，点击【删除】可从系统中删除该运维用户n 启用：从用户列表中勾选需要禁用的用户，点击【禁用】可将此用户禁用n 禁用：从用户列表中勾选需要启用的用户，点击【启用】可将此用户启用n 移动：从用户列表中勾选需要移动到其它组织机构的用户，点击【移动】，选择需要移动到的组织机构名n 全部导出：按系统定义的格式导出全部用户列表n 导出当前：按系统定义的格式导出选中的用户列表3.4 用户组织机构选择导航条上【用户管理】；查看当前用户组织机构列表，并可执行用户组织机构管理操作；如图3.7所示：图3.7用户组织机构管理鼠标指针移动到资源组名称，显示操作按钮：n 添加：在组织机构或已建立的组织机构名处，点击，即成功添加相应组织机构n 修改：在已建立的组织机构名处，点击，即可修改组织机构的负责人、电话和备注，名称为不可修改项n 删除：在对应的组织机构名处，点击，即成功删除相应组织机构n 导出：在资源组或已建立的组织机构名处，点击，即可将组织机构信息导出4 资源管理4.1 添加资源选择导航条上【资源管理】>【资源】；查看当前资源列表，并可执行【添加】操作；如图4.1所示：图4.1添加资源1、 资源列表查看n 列表查看：名称、资源组、资源分类、资源系统类型、IP地址、操作2、 输入资源属性基本信息：n 名称：输入资源名至资源属性；资源名支持中英文、数字及字符输入；此项为必填项n 状态：在下拉菜单中选择启用或禁用资源；此项为必选项n 资源分类：在下拉菜单中选择资源类型；此项为必选项n 资源系统类型：在下拉菜单中选择资源系统类型；此项为必选项n IP地址：输入资源（设备）IP地址；此项为必填项及可填多个IP地址n 编号：输入资源（设备）的编号n 所有者：输入资源（设备）的所有者n 负责人：输入资源（设备）的负责人n 备注：对该主机的功能、特性进行说明3、 添加资源服务信息；如图4.2所示：图4.2添加资源服务n 名称：输入资源服务属性；服务名支持中英文、数字及字符输入；此项为必填项n 类型：在下拉菜单中选择服务类型；此项为必选项n 端口：输入该服务的端口号；此项为必填项n 备注：填写添加服务的备注信息n 连通检测：检测堡垒机到资源服务器该服务是否正常开放（堡垒机V6.0.2.7701以上版本具备该功能）4、 添加资源系统账号信息；如图4.3所示：图4.3添加资源账号n 名称：输入资源账号；此项为必填项，如账号为特权账号，需勾选特权账号n 密码及密码确认：输入该账号对应密码及密码确认，如密码为空则不用输入n 资源AD域：如资源为windows系统，并加入了域，需要对此资源的账号改密时，需要选择资源所属域（域相关的参数设置请参加本手册4.7章节）n 服务授权：勾选该账号连接本资源的服务类型，可多选n 参数：填写连接登录所需参数，如oracle可选SID或Service_Name，登录角色可选择normal、sysdba或sysoper；n 备注：填写该资源账号的备注信息5、 高级选项（堡垒机为V6.0.2.7221及以上版本才具备该功能），如下图所示：n 绑定协议代理服务器：当堡垒机配置了协议代理服务器时，可以固定访问该资源使用绑定的协议代理服务器；n 绑定应用发布服务器：当堡垒机配置了应用发布服务器时，可以固定访问该资源使用绑定的应用发布服务器；6、 点击【确定】完成全部主机信息录入。重要说明：1、 通常情况下，用户只需要配置资源IP、资源名、资源类型、服务类型及资源账号信息即可；2、 账号切换命令、密码输入提示、所有者、负责人、编号、备注为可选择输入项，如无需要可不用填写；3、 资源分类、资源系统类型、资源AD域需要在资源管理>资源分类、资源管理>资源系统类型、资源管理>资源AD域中先行定义；4、 用户可以对协议默认端口号进行修改；5、 列表中禁用资源用红色显示4.2 编辑主机选择导航条上【资源管理】>【资源】；查看当前资源列表，在对应的资源名后，点击【属性】、【服务】、【账号】可分别对已经存在的主机信息进行修改，如图4.4-4.6所示：图4.4编辑资源属性图4.5编辑资源服务图4.6编辑资源账号1、 编辑资源属性基础信息。如名称、资源分类、资源系统类型、IP地址、账号切换命令 & 密码输入提示等2、 编辑资源服务信息，可对此资源的服务进行添加、编辑、删除等操作3、 编辑资源账号信息，可以对本机账号进行添加、编辑、删除等操作4.3 主机其它操作选择导航条上【资源管理】>【资源】；查看当前资源列表，勾选资源并可执行【删除】操作；如图4.7所示：图4.7资源删除n 删除：在勾选对应的资源名后，点击【删除】可从系统中删除该资源；可进行多个资源勾选，进行批量删除n 启用禁用：在勾选对应的资源名后，点击【禁用】可将此资源停止使用，点击【启用】可将此资源启用，默认资源是启用状态n 移动：在勾选对应的资源名后，点击【移动】可将此资源移动到其他资源组内n 导入/导出： 资源主机信息可以以csv格式批量导入导出，管理员可以对csv格式的资源主机列表进行增删改注意：通过在资源管理页面导出的资源主机csv格式文件，可以看到资源主机的详细信息，按照默认的格式可以对资源主机进行增删改操作。在csv文件中，帐号名称后方有密文密码、明文密码，而导出的资源列表中只有密文密码，在导入资源列表时，只需填写明文密码，如果既有密文密码又有明文密码，堡垒机在识别时会以明文密码优先。在修改资源主机的CSV文件时，需要按照导出的格式进行配置，其中重要参数配置如下表所示：资源名称IP地址服务名称(类型,端口,状态),服务名称存在'('必须使用''转义帐号名称明文密码服务授权,多个用''拆分,服务名称存在'('必须使用''转义,参数存在'=,|'必须使用''转义服务器A1.1.1.1资源主机开放服务写在同一单元格，服务之间使用分号分隔SSH(SSH,22,启用);telnet(TELNET,23,启用);RDP(RDP,3389,启用)root123456当一个服务有多个帐号时，分行写SSHadmin123456SSHadministrator123456当一个帐号同时绑定多个服务时，不同的服务用分号分隔TELNET;RDPuser1123456FTP服务器B1.1.1.2OTHER(OTHER,0,启用);FTP(FTP,21,启用);(此次省略)sa123456FTP在上一个资源主机最后一个帐号的下一行开始配置新的资源主机sa123456TELNETsa123456MSSQLsa123456ORACLE(loginas=normal,SERVICE_NAME=nmdb)参数说明：loginas为数据库登录角色（可选：normal、sysdba、sysoper）;选配数据库Server_Name或SID参数。sa123456SYBASE(servername=sim,dbname=sim)参数说明：servername为节点名；dbname为实例名。sa123456INFORMIX(servername=sim,dbname=sim)参数说明：servvername为节点名；dbname为实例名。sa123456DB2(db2instance=sim,dbname=sim)参数说明：db2instance为实例名；dbname为数据库名。sa123456MYSQLsa123456HTTP(submit=login,stype=id,password=password,ptype=id,username=user,utype=id,url=https:/1.1.1.1)参数说明：url为web登录地址；stype为节点类型（包括：id、name、xpath）；submit为该节点参数。sa123456RLOGINsa123456TERADTA(dbname=sim)参数说明：dbname为实例名。sa123456RDPsa123456SSH空账号123456VNCsa123456POSTGRESQL(dbname=sim)参数说明：dbname为实例名sa123456OTHER4.4 资源组选择导航条上【资源管理】>【资源】；查看当前资源列表，在资源列表左边，可查看当前资源组，并可执行资源组管理操作；如图4.8所示：图4.8 管理资源组鼠标指针移动到资源组名称，显示操作按钮：n 添加：在资源处，点击，即弹出添加资源组信息框，输入需要新增的资源组信息n 修改：在已建立的资源组名处，点击，即可修改资源组名称和备注n 删除：在对应的资源组名处，点击，即成功删除相应资源组n 清空：在已建立的资源组名处，点击，即可清空该资源组下所有资源主机（堡垒机V6.0.2.7701以上版本具备该功能）4.5 资源分类选择导航条上【资源管理】>【资源分类】，在资源分类列表中会显示系统默认的和已添加的资源分类。默认资源分类为主机、数据库、安全设备和网络设备四种，并且不允许删除。另外可通过勾选资源分类名称，对自定义资源分类进行删除操作，点击资源分类属性，可对资源分类进行编辑。资源分类列表如下图4.9所示：图4.9 资源分类列表在资源分类界面点击【添加】，进入添加资源分类页面，如下图4.10所示：图4.10 添加资源分类n 名称：添加名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点。n 备注：该资源分类的描述说明。4.6 资源系统类型选择导航条上【资源管理】>【资源系统类型】，在资源系统类型列表中会显示系统默认的和已添加的资源系统类型，默认资源类型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六种，并且不允许删除。另外通过勾选资源类型名称，可对自定义资源系统类型进行删除操作，点击资源系统属性，可对资源系统进行编辑。资源系统列表如下图4.11所示：图4.11 资源系统列表在资源系统类型界面点击【添加】，进入添加资源系统页面，如下图4.12所示：图4.12 添加资源系统类型n 名称：资源系统名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点n 账号切换命令：选填项n 密码输入提示：选填项n 备注：该资源系统类型的描述说明4.7 资源AD域选择导航条上【资源管理】>【资源AD域】，如资源为windows系统，并加入了域，需要对此资源的登录账号改密时，可在此提前设置好资源AD域相关信息，在添加资源的服务账号时，可直接选择此处设置的域名。在主机AD域列表中会显示已添加的AD域清单，列表显示AD域的域名。可从列表直接删除AD域。如图4.13所示：图4.13 资源AD域列表n 添加AD域：点击【添加资源AD域】，在弹出窗口输入域名、域管理员名、密码和域控制器IP地址，点击【确定】，即可完成AD域的添加n 编辑AD域：在清单中单击已有的域名的属性，可进行修改，修改完成之后点击【确定】，即可完成AD域的编辑n 删除AD域：在清单中勾选已有的域名，再点击【删除资源AD域】，即可完成AD域的删除5 策略管理策略管理主要配置运维用户的访问授权及指令授权。访问策略授权和指令操作授权均可配置黑白名单。授权中使用到的指令集合、IP集合和时间集合需要预先定义。5.1 访问策略选择导航条上【策略管理】>【访问策略】，授权运维用户访问运维主机，需要配置相应授权。访问策略授权的配置方式采用向导式。访问授权策略页面如图5.1所示：图5.1 访问授权策略列表在访问授权策略列表中显示了已配置的策略。点击【添加】，进入访问策略授权向导如图5.2所示：图5.2 添加访问策略n 名称：输入访问策略名；资源名支持中英文、数字及字符输入；此项为必填项n 高级属性：选择是否启用以下功能：RDP剪切板、RDP磁盘映射n 限制IP：在启用限制IP功能后，在IP设置范围内的运维用户能访问堡垒机n 限制时间：启用限制时间功能后，限制运维用户只能在指定时间范围内能访问堡垒机完成基础信息配置后，点击【下一步】进入绑定用户页面如图5.3所示：图5.3绑定用户页面选择绑定服务，点击【下一步】如图5.4所示：图5.4绑定服务选择绑定账号，可点击连接参数查看账号参数，点击【确定】完成一条访问策略配置，如图5.5所示：图5.5绑定账号5.2 命令策略选择导航条上【策略管理】>【命令策略】，指令操作授权主要配置运维用户的指令黑白名单：在命令策略界面点击【添加】，进入命令策略配置向导如图5.6所示：图5.6 命令策略-基本信息基本信息填写名称、匹配模式、审计动作、告警方式、命令集合、操作命令和操作对象等，n 名称：输入审计策略名；资源名支持中英文、数字及字符输入；此项为必填项n 匹配模式：在下拉菜单选择包含或不包含；此项为必选项n 审计动作：在下拉菜单选择允许执行、忽略命令、阻断会话或二次审批；此项为必选项n 告警方式：包括Syslog、短信、邮件、SNMP，相关设置需由系统管理员配置，参见8.2.6和8.3章节n 命令集合：选择在命令集合中设置的命令集n 操作&对象：输入需要匹配的运维操作命令和对象填写完基础信息后，点击【下一步】如图5.7所示：图5.7 命令策略绑定用户绑定用户，勾选上用户名称将这条审计策略授权到指定用户，点击【下一步】如图5.8所示：图5.8命令策略绑定服务绑定服务，勾选上运维服务名称将审计策略授权到指定服务，关联从账号，点击【确定】完成一条审计策略的配置。操作说明：1、策略命令配置和执行命令拒绝为黑名单，一旦运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为阻断命令。2、策略命令配置和执行命令允许为白名单，运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为忽略命令。3、输入多个命令时。每一行只能输入一个命令。5.3 集合设定5.3.1 时间集合选择导航条上【策略管理】>【集合设定】>【时间集合】，查看当前时间集合列表，点击【添加时间集合】如图5.9所示：图5.9添加时间集合n 名称：该时间集合的名称，可以使用字母、数字和中文n 区间&开始时间&结束时间：配置时间范围，可输入多个时间范围，每行一个n 备注：该时间集合的说明文字重要说明：1、 使用【添加】可以配置多个时间范围。时间范围的数量无限制2、 设置了时间集合，在添加访问策略时，如需限制访问时间时就可以直接选择提前设置的时间集合5.3.2 IP集合选择导航条上【策略管理】>【集合设定】>【IP集合】，查看当前命令集合列表，点击【添加IP集合】如图5.10所示：图5.10添加IP集合n 名称：该IP集合的名称，可以使用字母、数字和中文n 起始IP&终止IP&显示信息：该IP集合的IP地址段，可输入多个IP地址段，每行一个n 备注：该IP集合的说明文字重要说明：1、 设置了IP集合，在添加访问策略时，如需限制访问的源IP的地址范围时就可以直接选择提前设置的IP集合5.3.3 命令集合选择导航条上【策略管理】>【集合设定】>【命令集合】，查看当前命令集合列表，点击【添加命令集合】如图5.11所示：图5.11添加命令集合n 名称：该指令集合的名称，可以使用字母、数字和中文n 操作&对象：指令集合的内容，可以输入多个指令，每行一个，对象可为空n 备注：该指令集合的说明文字n 从文件导入：命令集合支持导入功能，可提前在文档中按照要求的格式设置好需要导入的命令，每行通过#分隔重要说明：1、 设置了命令集合，在添加命令策略时，可直接选择提前设置的命令集合6 工单管理工单管理主要是管理员为运维用户下发临时访问授权，可以限制特定的运维用户在特定时间范围内才能访问授权的运维资源。工单管理页面，如图6.1所示：图6.1工单管理点击【添加】，管理员可以新建工单，如图6.2所示图6.2添加工单-基础信息图6.3添加工单-绑定服务图6.4添加工单-绑定帐号7 审计管理7.1 实时监控7.1.1 会话监控选择导航条上【审计管理】>【实时监控】>【会话监控】，如图7.1所示：图7.1 会话监控n 会话监控：对已建立的会话进行实时监控，可查看到用户名、资源、服务、账号、开始时间等信息。7.1.2 实时监控选择导航条上【运维管理】>【实时监控】>【会话监控】，如图7.2所示：图7.2 会话监控n 实时监控：对会话监控列表中的会话条目选择实时监控，可对正在进行的会话以图形的方式实时监控，如图7.2所示。图7.3 强制结束会话n 强制结束会话：在会话监控列表选择需要断开的会话，再点击【强制结束会话】，可断开正在进行的会话，如图7.3所示。7.2 日志查询天玥OSM拥有强大的日志查询功能，同时自带了大量的审计报表模板，让用户方便的制作各类报表。7.2.1 管理日志管理日志主要对管理员在天玥网络安全审计系统上所做的操作进行审计，选择导航条上【审计管理】>【日志查询】>【管理日志】>【设置查询条件】，页面如图7.4-7.6所示：图7.4 管理日志查询-基础限制图7.5 管理日志查询-运维用户限制图7.6 管理日志查询-管理员限制管理日志查询结果如图7.7所示：图 7.7 管理日志查询结果重要说明：1、 设置查询条件中可根据操作时间、操作状态、日志类型、操作名称以及指定用户来设定查询；2、 管理日志查询结果可导出为CSV格式文件。7.2.