【正文】 可通過勾選資源分類名稱，對自定義資源分類進(jìn)行刪除操作，點(diǎn)擊資源分類屬性，可對資源分類進(jìn)行編輯。 必填項(xiàng)，且不能重復(fù)。訪問策略授權(quán)的配置方式采用向?qū)健? 集合設(shè)定 時(shí)間集合 選擇導(dǎo)航條上 【 策略管理 】 — 【 集合設(shè) 定 】 — 【 時(shí)間集合 】 ，查看當(dāng)前時(shí)間集合列表， 點(diǎn)擊【 添加時(shí)間集合】 如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 38 頁共 85 頁 圖 添加時(shí)間集合 ? 名稱： 該時(shí)間集合的名稱，可以使用字母、數(shù)字和中文 ? 區(qū)間 amp。 圖 強(qiáng)制結(jié)束會(huì)話 ? 強(qiáng)制結(jié)束會(huì)話： 在會(huì)話監(jiān)控列表選擇需要斷開的會(huì)話，再點(diǎn)擊 【 強(qiáng)制結(jié)束會(huì)話 】 ，可斷開正在進(jìn)行的會(huì)話，如圖 。 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 53 頁共 85 頁 7 密碼管理 密碼策略 選擇導(dǎo)航條上 【 密碼管理 】 — 【 密碼 策略 】 ，可配置與密碼相關(guān)的安全策略，詳細(xì)說明參見 章節(jié)。 重要說 明： 使用改密功能時(shí)，必須配置一個(gè)超級(jí)管理員賬號(hào)為特權(quán)賬號(hào)，支持對普通賬號(hào)進(jìn)行改密； 如果主機(jī)為 windows， 首先要求 windows 主機(jī)必須開啟 tel 服務(wù)，其次必須在 網(wǎng)御 LAOS 管理界面中，對該 windows 主機(jī)配置 tel 服務(wù)并綁定超級(jí)管理員賬號(hào)和需要進(jìn)行改密的普通用戶賬號(hào)，超級(jí)管理員賬號(hào)設(shè)置為特權(quán)賬號(hào)； windows 類型設(shè)備 RPC 改密機(jī)制 ： 改域中的賬號(hào)的密碼的前提是對應(yīng)的域名必須配置好對應(yīng)的域控 IP 地址，在主機(jī)管理中的主機(jī) AD 域管理里 有 對應(yīng)的域名的域控制器的 IP 地址的配置，同一域名可以對應(yīng)多個(gè) IP，但是是在一個(gè)框中輸入以分號(hào)分隔，這個(gè)并非是指一個(gè)域名可以對應(yīng)多個(gè)域控服務(wù)器，而是指主域控服務(wù)器以及備域控服務(wù)器，我們在確定某個(gè)域是哪個(gè)域控服務(wù)器的時(shí)候是先從第一個(gè) IP 上去確定的，如果第一個(gè) IP 不能連接則嘗試分號(hào)分隔的第二個(gè) IP，直到能連通為止；不過要注意的是域用戶的改密實(shí)質(zhì)上是改域網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 55 頁共 85 頁 控服務(wù)器中的該賬號(hào)的密碼，意味著主機(jī)上凡是配了該域的該賬號(hào)的密碼均被修改，不是只改了所改的那臺(tái)主機(jī)上的該賬號(hào)的密碼； 主機(jī)類型為 linux、 unix 只支持 tel、 ssh、 rlogin 協(xié)議的帳號(hào) 修改 ， root帳號(hào)必須勾選為特權(quán)帳號(hào) ； Cisco、 H3C 修改帳號(hào)必須有一個(gè)超級(jí)管理員和一個(gè)普通用戶 ； 自動(dòng)改密結(jié)果 選擇導(dǎo)航條上 【 密碼管理 】 — 【 自動(dòng)改密結(jié)果 】 ，查看自動(dòng)改密的結(jié)果，如圖 所示： 圖 自動(dòng)改密結(jié)果 重要說 明： 自動(dòng)改密結(jié)果會(huì)通過郵件的方式發(fā)送到創(chuàng)建該自動(dòng)改密計(jì)劃的管理員，前提條件是該管理員基礎(chǔ)信息中已配置了郵箱地址。通過該用戶登錄 網(wǎng)御 LAOS 實(shí)施系統(tǒng)基本配置。 系統(tǒng)升級(jí) 導(dǎo)航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)信息】 — 【系統(tǒng)升級(jí)】可對 網(wǎng)御 LAOS 進(jìn)行升級(jí)，如圖 所示： 圖 系統(tǒng)升 級(jí) 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 59 頁共 85 頁 圖 安裝升級(jí)包 操作說明： 升級(jí)包獲取請聯(lián)系 廠商人員 進(jìn)行獲取； 管理員上傳升級(jí)包后，請按描述選擇恰當(dāng)?shù)臅r(shí)段進(jìn)行升級(jí)，如升級(jí)包描述需要升級(jí)后重啟設(shè)備，那么請管理員選擇用戶使用率較少的時(shí)段進(jìn)行升級(jí)。經(jīng)過自動(dòng)改密后，管理員可能需要一份新的賬號(hào)密碼列表，可從這里直接下載，如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 56 頁共 85 頁 圖 下載密碼列表 重要說 明： 密碼文件需要 具有 密碼 管理權(quán)限的 管理員使用 網(wǎng)御 LAOS的密碼查看工具查看，密碼查看工具的下載界面在 【密碼管理】 — 【下載密碼列表】界面 ，如圖 所示。如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 54 頁共 85 頁 圖 自動(dòng)改密計(jì)劃 ? 計(jì)劃名稱： 必填項(xiàng)，不能使用特殊字符，可以使用大小寫字母、數(shù)字。 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 42 頁共 85 頁 管理日志 管理日志主要對管理 員在 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng) 上所做的操作進(jìn)行審計(jì)， 選擇導(dǎo)航條上 【 運(yùn)維管理 】 — 【 日志查詢 】 — 【 管理日志 】 — 【 設(shè)置查詢條件 】 ，頁面如圖 所示： 圖 管理日志查詢 基礎(chǔ)限制 圖 管理日志查詢 運(yùn)維用戶限制 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 43 頁共 85 頁 圖 管理日志查詢 管理員限制 管理日志查詢結(jié)果如圖 所示： 圖 管理日志查詢結(jié)果 重要說 明： 設(shè)置查詢條件中可根據(jù)操作時(shí)間、操作狀態(tài)、日志類型、操作名稱以及指定用戶來設(shè)定查詢； 管理日志查詢結(jié)果可導(dǎo)出為 CSV格式文件。結(jié)束時(shí)間 ： 配置時(shí)間范圍，可輸入多個(gè)時(shí)間范圍，每行一個(gè) ? 備注 ： 該時(shí)間集合的說明文字 重要說 明： 使用 【添加】 可以配置多個(gè)時(shí)間范圍。點(diǎn)擊 【添加】 ，進(jìn)入訪問策略授權(quán)向?qū)鐖D 所示： 圖 添加訪問策略 ? 名稱 ： 輸入訪問策略名；資源名支持中英文、數(shù)字及字符輸入；此項(xiàng)為必填項(xiàng) ? 高級(jí)屬性： 選擇是否啟用以下功能 ： RDP 剪切板、 RDP 磁盤映射 ? 限制 IP： 在啟用限制 IP 功能后，在 IP 設(shè)置范圍內(nèi)的運(yùn)維用戶能訪問堡壘機(jī) ? 限制時(shí)間： 啟用限制時(shí)間功能后，限制運(yùn)維用戶只能在指定時(shí)間范圍內(nèi)能訪問堡壘機(jī) 完成基礎(chǔ)信息配置后， 點(diǎn)擊【下一步】 進(jìn)入綁定用戶頁面如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 34 頁共 85 頁 圖 綁定用戶頁 面 選擇綁定服務(wù)， 點(diǎn)擊【下一步】 如圖 所示 ： 圖 綁定服務(wù) 選擇綁定賬號(hào)，可點(diǎn)擊連接參數(shù)查看賬號(hào)參數(shù)， 點(diǎn)擊【確定】完成一條訪問策略配置 ， 如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 35 頁共 85 頁 圖 綁定賬號(hào) 命令策略 選擇導(dǎo)航條上 【 策略管理 】 — 【 命令策略 】 ，指令操作授權(quán)主要配置運(yùn)維用戶的指令黑白名單： 在命令策略界面點(diǎn)擊【添加】，進(jìn)入命令策略配置向?qū)鐖D 所示： 圖 命令策略 基本信息 基本信息填寫名稱、匹配模式、審計(jì)動(dòng)作、告警方式、命令集合、操作命令和操作對象等， 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 36 頁共 85 頁 ? 名稱 ： 輸入審計(jì)策略名；資源名支持中英文、數(shù)字 及字符輸入；此項(xiàng)為必填項(xiàng) ? 匹配模式 ： 在下拉菜單選擇包含或不包含；此項(xiàng)為必選項(xiàng) ? 審計(jì)動(dòng)作 ： 在下拉菜單選擇允許執(zhí)行、忽略命令、阻斷會(huì)話或二次審批；此項(xiàng)為必選項(xiàng) ? 告警方式： 包括 Syslog、短信、郵件、 SNMP，相關(guān)設(shè)置需由系統(tǒng)管理員配置，參見 和 章節(jié) ? 命令集合： 選擇在命令集合中設(shè)置的命令集 ? 操作 amp。在主機(jī) AD 域列表中會(huì)顯示已添加的 AD 域清單，列表顯示 AD 域的域名。 必填項(xiàng)，且不能重復(fù)。 編輯用戶屬性 選擇導(dǎo)航條上 【 用戶管理 】 ，查看當(dāng)前用戶列表，在對應(yīng)的用戶名后，點(diǎn)擊 【屬性】 可對 已經(jīng)存在的用戶信息進(jìn)行修改，如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 21 頁共 85 頁 圖 編輯用戶屬性 基礎(chǔ)信息 在強(qiáng)認(rèn)證屬性中對用戶增加使用 USB 令牌認(rèn)證，如圖 所示，對已使用 USB 令牌認(rèn)證的用戶解除令牌綁定，如圖 所示： 圖 編輯 用戶屬性 強(qiáng)認(rèn)證 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 22 頁共 85 頁 圖 編輯用戶屬性 強(qiáng)認(rèn)證 2 重要說明： 編輯用戶基本信息，如 密碼 、 真實(shí) 姓名、手機(jī)、 郵箱 、描述 等； 修改密碼：重新設(shè)置用戶密碼； 啟用有效期：修改賬號(hào)有效期，不啟用則為永久賬號(hào)； 在強(qiáng)認(rèn)證中，配置 USB 令牌認(rèn)證的相關(guān)信息； 在應(yīng)用工具限制中，對運(yùn)維用戶可使用的運(yùn)維工具進(jìn)行限制。 配置認(rèn)證方式 導(dǎo)航條上 選擇 【 系統(tǒng)管理 】 — 【 系統(tǒng)選項(xiàng) 】 — 【認(rèn)證源】 — 【 添加 】 ，可配置認(rèn)證方式 ，也可不用配置，系統(tǒng)內(nèi)部默認(rèn)有認(rèn)證模式 如圖 所示： 圖 配置認(rèn)證方式 ? 類型 選擇： Radius、 LDAP、 WindowsAD 域； 操作說明： 系統(tǒng) 支持本地認(rèn)證 和其它認(rèn)證方式 ；其它所有管理員和運(yùn)維用戶均與 選擇的 認(rèn)證方式相關(guān)聯(lián)； 系統(tǒng)默認(rèn) 通過系統(tǒng)自身的賬號(hào)管理系統(tǒng)進(jìn)行身份認(rèn)證； Radius： 通過 Radius 協(xié)議由 第三方認(rèn)證服務(wù)器對系統(tǒng)用戶進(jìn)行身份認(rèn)證； LDAP： 通過 輕量級(jí)目錄訪 問協(xié)議 由第三方認(rèn)證服務(wù)器對系統(tǒng)用戶進(jìn)行身網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 16 頁共 85 頁 份認(rèn)證 在下拉菜單中可選擇 openldap 和 ad 域的 ldap 方式的認(rèn)證 ； WindowsAD域： 通過 Windows AD 域服務(wù)器對系統(tǒng)用戶進(jìn)行身份認(rèn)證。 完成配置向?qū)? 首次登錄后，系統(tǒng)自動(dòng)進(jìn)入 初始化 的配置向?qū)?界面 。 網(wǎng)御 LAOS 是針對業(yè)務(wù)環(huán)境下的用戶運(yùn)維操作進(jìn)行控制和審計(jì)的合規(guī)性管控系統(tǒng)。 設(shè)置 管理員賬號(hào)和密碼 設(shè)置 密碼策略 后，點(diǎn)擊下一步， 配置 管理員賬號(hào)和密碼 ， 如圖 所示： 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 9 頁共 85 頁 圖 配置 管理員賬號(hào)和密碼 操作說明： 超級(jí) 管理員姓名填寫； 超級(jí)管理員賬號(hào)填寫（ 務(wù)必請牢記 ）； 超級(jí)管理員密碼填寫（ 務(wù)必請牢記 ）； 管理員確認(rèn)密碼與超級(jí)管理員密碼一致； 填寫完成后點(diǎn)擊“下一步” 。 系統(tǒng) 密碼 策略 導(dǎo)航條上 選擇 【 密碼 管理 】 — 【 密碼策略 】 可配置與密碼相關(guān)的安全策略 ，如圖 所示： 圖 密碼 策略配置 ? 密碼最小長度 ： 限定所有 網(wǎng)御 LAOS 賬戶的密碼最小長度 ? 密碼復(fù)雜度 ： 勾選可設(shè)置密碼必須包含大小寫字母、數(shù)字或符號(hào) ? 密碼周 期 ： 若啟用，可設(shè)置密碼過期時(shí)間和提醒時(shí)間，默認(rèn)為 90 天密碼過期 ? 歷史對比 ：若啟用，可設(shè)置密碼對比次數(shù)，默認(rèn)為 3 次 ? 登錄 鎖定 ：若啟用，在規(guī)定的時(shí)間內(nèi)輸入密碼錯(cuò)誤超過設(shè)置的次數(shù)，則將帳號(hào)鎖定 ，并設(shè)置自動(dòng)解鎖時(shí)間 網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)（運(yùn)維安全管控型） 管理員使用手冊 第 18 頁共 85 頁 3 用戶管理 添加用戶 選擇導(dǎo)航條上 【 用戶管理 】 ，查看當(dāng)前 用戶列表，并可執(zhí)行 【 添加 】 操作；如圖 所示： 圖 添加用戶 基礎(chǔ)信息 導(dǎo)航至 【 用戶管理 】 ， 可在用戶列表界面查看到用戶 名稱、狀態(tài)、組織機(jī)構(gòu)、真實(shí)姓名、主機(jī)、郵箱等信息。如 名稱、資源分類 、 資源系統(tǒng)類型 、 IP地址 、 賬號(hào)切換命令 amp。 資源系統(tǒng)類型 選擇導(dǎo)航條上 【 資源管理 】 — 【 資源系統(tǒng)類型 】 ，在資源系統(tǒng)類型列表中會(huì)顯示系統(tǒng)默認(rèn)的和已添加的資源系統(tǒng)類型，默認(rèn)資源類 型有 Linux、 Windows、 AIX、 HPUX、 Cisco 和 Huawei 六種，并且不允許刪除。訪問策略授權(quán)和指令操作授權(quán)均可配置黑白名單。 策略命令配置和執(zhí)行命令允許為白 名單，運(yùn)維用戶使用命令列表中的命令，將會(huì)觸發(fā)響應(yīng)，響應(yīng)方式在 審計(jì)動(dòng)作配置，通常設(shè)置為忽略命令。顯示信息 ： 該 IP 集合的 IP 地址段，可輸入多個(gè) IP 地址段，每行一個(gè) ? 備注 ： 該 IP 集合的說明文字 重要說 明： 設(shè)置了 IP 集合，在添加訪問策略時(shí)，如需限制訪問的源 IP 的地址范圍時(shí)就可以直接選擇提前設(shè)置的 IP 集合 命令集合 選擇導(dǎo)航條上 【 策略管理 】 — 【 集合設(shè)定 】 — 【 命令集合 】 ，查看當(dāng)前命令集合列表， 點(diǎn)擊【 添加命令集合】 如圖 所示： 圖 添加命令集合 ? 名稱 ： 該指令集合的名稱，可以使用字母、數(shù)字和中文 ? 操作 amp。 審計(jì)報(bào)表 報(bào)表模板 選擇導(dǎo)航條上【審計(jì) 管理】 — 【審計(jì)報(bào)表】 — 【報(bào)表模版】， 網(wǎng)御 LAOS 內(nèi)置了大量的報(bào)表模板，可以方便的生成各種統(tǒng)計(jì)或明細(xì)報(bào)表 。 ? 密碼策略： 生成新密碼的復(fù)雜度要求。 8 系統(tǒng)管理 網(wǎng)御 LAOS 運(yùn)維安全系統(tǒng)管理員，主要負(fù)責(zé)管理 網(wǎng)御 LAOS 的基本配置。 導(dǎo)航條上選擇【系統(tǒng)管理】 — 【系統(tǒng)選項(xiàng)】 — 【格爾認(rèn)證】，勾選“啟