目 录
1 部署应用发布服务器
1.1 部署应用发布服务器(单机)
1.1.1 准备安装环境
1.1.1.1 准备硬件资源
1.1.1.2 服务器配置要求
1.1.1.3 配置防火墙
1.1.1.4 准备应用发布软件包
1.1.2 安装远程桌面服务(Windows Server 2008)
1.1.3 安装远程桌面服务(Windows Server 2012/2016/2019)
1.1.4 激活远程桌面授权
1.1.4.1 激活远程桌面授权(Open License方式)
1.1.4.2 激活远程桌面授权(MCCL方式)
1.1.4.3 激活远程桌面授权(OEM方式)
1.1.5 配置组策略
1.1.6 安装.NET Framework3.5(Windows 2008)
1.1.7 安装.NET Framework3.5(Windows 2012/2016/2019)
1.1.7.1 使用服务器管理离线安装.NET Framework3.5
1.1.7.2 使用DISM命令离线安装.NET Framework3.5
1.1.8 安装软件
1.1.9 配置软件(可选)
1.1.10 添加应用发布服务器
1.2 部署应用发布服务器(集群)
2 发布应用
2.1 客户端兼容性列表
2.1.1 应用系统访问兼容性列表
2.1.2 数据库访问兼容性列表
2.2 安装应用
2.3 配置应用
2.4 配置代填脚本(B/S)
2.4.1 配置自定义代填脚本
2.4.2 参考
2.4.2.1 获取B/S应用控件的Xpath/Selector
2.4.2.2 获取素的Id/Name/Class/TagName
2.4.2.3 Chrome/Edge代填脚本模板
2.4.2.4 举例:需要勾选其他选项才能完成登录
2.4.2.5 举例:不代填用户名
2.4.2.6 举例:密码填写为了明文
2.4.2.7 举例:需要先代填框
2.4.2.8 举例:先执行其他操作才会显示登录框
3 管理资产
3.1 新增资产
3.1.1 新增数据库资产
3.1.2 新增C/S资产
3.1.3 新增B/S资产
3.2 访问资产
3.3 参考
3.3.1 修改图形会话配置
3.3.2 使用户配置对所有用户生效
4 审计资产
4.1 审计应用系统资产
4.2 审计数据库资产
5 附录
5.1 登录运维审计系统 Web界面
5.1.1 使用本地密码登录运维审计系统
5.1.2 使用其他方式登录运维审计系统
5.2 登录运维审计系统的Console
5.2.1 直连登录Console
5.2.2 通过串口登录Console
5.2.3 通过SSH远程登录Console
5.3 配置远程客户端
5.4 发布Edge浏览器
5.5 发布IE浏览器
5.6 发布Firefox浏览器
5.7 发布Chrome浏览器
1 部署应用发布服务器
为了访问应用系统和数据库资产,运维审计系统需要部署一台Windows应用发布服务器。在用户访问对应资产时,运维审计系统连接到该服务器,并打开服务器上已安装的应用客户端,使用该客户端连接到应用的服务端。通过这种方式,可以对用户的行为实现有效的控制,使其只能在特定的环境中使用应用客户端,并且实现对用户操作的审计。
- 单机部署:部署一台单独的应用发布服务器,可以满足大多数基本的应用系统访问需求。
- 集群部署:当单机部署不能满足要求,出现会话响应时间较长或会话连接不稳定等状况时,使用多台应用发布服务器组成集群,共同提供服务。
请用户根据自己的实际情况选择合适的部署方式,并参照对应章节的内容完成部署。
当运维审计系统采用非单机方式部署时,所有节点共同使用同一台或多台应用发布服务器,应用发布服务器的配置会在不同节点之间进行同步。
1.1 部署应用发布服务器(单机)
当一台应用发布服务器就能满足用户的所有访问要求时,用户可以只部署一台应用发布服务器。
1.1.1 准备安装环境
部署应用发布服务器,需要用户自行准备一台服务器并完成应用发布服务器的配置。
1.1.1.1 准备硬件资源
服务器要求的硬件资源如下:
- Windows Server 2008:4GB或以上
- Windows Server 2012/2016/2019:8GB或以上
硬盘 100GB或以上 网卡 千兆以太网卡 x 1
1.1.1.2 服务器配置要求
- 服务器的IP地址类型与运维审计系统、访问资产的IP地址类型需要保持一致,即都为IPv4或都为IPv6。
- 应用发布服务器必须安装JAVA,并配置正确的环境变量。
- 应用发布服务器上请勿安装任何非操作系统内置的安全软件,否则会影响到运维审计系统和应用发布服务器之间的交互,且产生故障时不易排查。
- 服务器的操作系统必须为如下之一:
- Windows Server 2008 R2 Enterprise SP1 x64
- Windows Server 2012 R2 Standard x64
- Windows Server 2016 Standard x64(需安装KB补丁)
- Windows Server 2019 Standard x64(E6112P13及以后版本支持)
1.1.1.3 配置防火墙
运维审计系统之间网络连通,并且开放以下端口。以下仅列出了所有建议开启的端口,如用户对于应用发布服务器有其他要求或使用非标准端口,请根据实际情况设置防火墙。
运维审计系统 应用发布服务器 TCP 3389 远程访问端口。必须开启。 TCP 5156 Winsync服务使用的端口。必须开启。 TCP 4411 数据库会话使用的端口 应用发布服务器
运维审计系统 TCP 3301 Agent使用的端口。必须开启。 TCP 数据库服务端口,例如:
- Oracle:1521
- SQL Server:1433
- MYSQL:3306
数据库审计服务(当对应的数据库和客户端支持数据库审计时) 应用发布服务器 Linux/Unix资产 TCP 22、23 SSH和Telnet服务端口
注:如需使用字符会话访问方式为web-putty或web-scrt建立字符会话,也必须放通应用发布服务器到资产的相关字符会话端口。
应用发布服务器 数据库 TCP 数据库服务端口,例如DB2:50000 数据库审计服务(当对应的数据库和客户端不支持数据库审计时) 应用发布服务器 B/S应用 TCP 80 HTTP服务端口 443 HTTPS服务端口 应用发布服务器 C/S资产 TCP或UDP 根据访问的资产实际情况放通端口 当发布了相关C/S应用时也需要排查放通对应的端口。
另外,如使用远程客户端访问主机/网络资产,也需要放通对应的端口。
1.1.1.4 准备应用发布软件包
,下载winsoft安装包,其中包含了以下所有插件及一键安装脚本。
运维审计系统和应用发布服务器之间的同步。XXXX代表版本号。 B/S发布工具 webdriver.rar 包含了发布B/S应用所使用的相关脚本和组件。 数据库审计插件 GSessiond-vXXXX.exe 用于支持应用发布中的数据库审计。XXXX代表版本号。 Agent agent.exe 用于支持通过Winlogon的AppServerconf,将应用配置及代填脚本信息自动同步到
运维审计系统的远程客户端。 安装/卸载脚本 install.bat/uninstall.bat 用于安装/卸载所有应用发布插件。双击执行后将依次安装/卸载以上所有插件。
1.1.2 安装远程桌面服务(Windows Server 2008)
本节指导在Windows Server 2008服务器上安装远程桌面服务,从而使运维审计系统可以正常访问安装在应用发布服务器上的应用程序。
- 单击开始菜单,选择 。
- 单击添加角色。
- 勾选远程桌面服务,并单击下一步。
- 勾选远程桌面会话主机和远程桌面授权,并单击下一步。
- 连续单击下一步,直到进入身份验证方法配置菜单。
- 勾选不需要使用网络基本身份验证,单击下一步。
- 选择授权模式为每设备,并单击下一步。
- 连续单击下一步,直到安装完成。
- 根据提示重启服务器,服务器将在启动时完成剩余的安装配置步骤。
1.1.3 安装远程桌面服务(Windows Server 2012/2016/2019)
本节指导在Windows Server 2012、2016和2019服务器上安装远程桌面服务,从而使运维审计系统可以正常访问安装在应用发布服务器上的应用程序。
本节以Windows Server 2012 R2 Standard为例安装远程桌面服务。Windows Server 2016/2019的安装步骤和2012完全一致。
- 单击开始菜单,选择服务器管理器。
- 选择
。
- 根据提示确认完成安装准备后,单击下一步。
- 选择基于角色或基于功能的安装,并单击下一步。
- 选择从服务器池中选择服务器,并从服务器池中选中当前待安装桌面服务的应用发布服务器,单击下一步。
- 勾选远程桌面服务,并单击下一步。
- 连续单击下一步,进入选择角色服务界面。
- 勾选远程桌面会话主机和远程桌面授权,并单击下一步。
Note: 勾选后如弹出
添加远程桌面会话主机所需的功能,请单击
添加功能确认。 - 勾选如果需要,自动重新启动目标服务器,并单击安装,等待安装完成。
- 等待自动重启完成,服务器将在启动时完成剩余的安装配置步骤。
开始菜单中的
这台电脑,单击右键选择
,取消对于
仅允许使用网络级别身份验证的远程桌面计算机连接(建议)的勾选。
1.1.4 激活远程桌面授权
远程桌面服务组件需要先激活授权管理器,再将微软提供的许可证导入授权管理器才能正常使用远程桌面服务。
当前支持以下授权方式,差异如下表所示。
- 父级计划(授权号码)
- 许可证号
- 许可证日期
- 产品描述
MCCL Windows Server 2012 R2 Standard/2016 Standard/2019 Standard
MCCL授权许可证包括以下信息:
- 许可证号
- 许可证日期
- 产品描述
OEM Windows Server 2012 R2 Standard/2016 Standard/2019 Standard
OEM授权许可证是一张纸质文件,刮开涂层可以看到许可证号。
请根据您收到的许可证类型,选择正确的授权方式进行授权。
1.1.4.1 激活远程桌面授权(Open License方式)
本节以Windows Server 2008为例介绍如何激活远程桌面授权,2012/2016/2019与2008的激活步骤完全一致。
激活远程桌面授权需要激活授权管理器和安装许可证,其中安装许可证时需要使用RDS 许可证号码,一般情况下使用开放式许可证,如有特殊需求请联系微软购买Remote Desktop Services license 的企业协议授权,并记录该协议号码。本节的指导步骤中使用开放式许可证授权。授权允许的设备数量至少为1。
激活授权管理器
- 单击开始菜单,选择 。
- 选择待激活授权的服务器,右键单击并选择激活服务器。
- 在弹出的服务器激活向导对话框中,单击下一步。
- 继续单击下一步,进入连接方法界面。在下拉菜单中选择连接,并单击下一步。
不同连接方法的说明如下。本节以选择
Web浏览器为例介绍后续的激活方法。- 自动连接(推荐):使用此方法的前提是要确保应用发布服务器能连通互联网,否则无法进行授权许可。
- Web浏览器:此方法适用于应用发布服务器无法连通互联网,但需要进行授权许可。找一台能连通互联网的电脑,在浏览器中输入https://activate.microsoft.com,进入远程桌面服务器授权页面进行授权许可。
- 电话:此方法适用于通过微软的服务热线进行电话授权许可,此方法比较繁琐,需要提供各种详细信息。
- 在许可证服务器激活界面,记录该界面中产品ID,并单击链接https://activate.microsoft.com跳转到该链接,或直接在浏览器中访问该链接。
- Optional: 在打开的远程桌面服务器授权页面中,选择语言为Chinese (Simplified),并单击go,将页面语言切换到中文。
- 勾选启用许可证服务器,单击下一步。
- 输入5中记录的产品ID,输入公司信息,选择国家(地区),并单击下一步。
- 确认信息无误后,单击下一步。
- 将红框中生成的许可证服务器ID复制到5中的窗口中,并单击下一步。
Note: 请保持该
远程桌面服务器授权页面不要关闭。 - 勾选立即启动许可证安装向导,单击下一步。
安装许可证
- 继续单击下一步,进入获取客户端许可证密钥包界面。
- 在10中的远程桌面服务器授权页面中单击是,进入RDS授权页面。许可证程序选择开放式许可证,并单击下一步。
- 输入以下信息,并单击下一步。
- 产品类型:
- 2008:选择Windows Server 2008 R2 RDS 每设备 CAL 或 Windows Server 2008 TS 每设备 CAL。
- 2012:选择Windows Server 2012 远程桌面服务每设备客户端访问许可证。
- 2016:选择Windows Server 2016 远程桌面服务每设备客户端访问许可证。
- 2019:选择Windows Server 2019 远程桌面服务每设备客户端访问许可证。
- 数量:填写需要登录的终端数量,根据购买的协议填写。
- 授权号码和许可证号码:需要向微软申请购买。请参考Purchase client access licenses购买License。授权号码为15个字母数字字符(包含3各字母,字母之前为8个数字,之后4个数字),许可证号码为8个数字。
- 产品类型:
- 确认信息无误后,单击下一步。
- 将红框中的许可证密钥包ID复制到获取客户端许可证密钥包窗口中,并单击下一步。
Note: 如获取许可证密钥的过程中出现以下界面,请返回之前的步骤并检查信息是否填写正确。如确认信息全部填写无误,请联系技术支持解决。
- 单击完成,完成许可证的安装。
- 打开服务器管理器,在 中查看授权是否成功。
- 在开始菜单中,依次选择RD授权管理器对话框中,选中当前服务器,查看许可证计划,如果不存在临时许可证计划,则表明远程桌面授权激活成功。 ,在弹出的
- 打开服务器管理器,依次单击 ,选中当前服务器,鼠标右击选择RD授权诊断程序,在弹出的对话框中查看授权是否成功。
- 在远程桌面授权管理器,在弹出的RD授权管理器对话框中,选中当前服务器,查看许可证计划,如果不存在临时许可证计划,则表明远程桌面授权激活成功。 中双击打开
1.1.4.2 激活远程桌面授权(MCCL方式)
本节以Windows Server 2019为例介绍如何通过MCCL方式激活远程桌面授权。
激活远程桌面授权需要激活授权管理器和安装许可证,其中安装许可证时需要使用RDS许可证代码。
激活授权管理器
- 单击开始菜单,选择 ,选择待激活授权的服务器,右键单击并选择激活服务器。
- 在弹出的服务器激活向导对话框中,单击下一步。
- 继续单击下一步,进入连接方法界面。在下拉菜单中选择连接,并单击下一步。
不同连接方法的说明如下。本节以选择
Web浏览器为例介绍后续的激活方法。- 自动连接(推荐):使用此方法的前提是要确保应用发布服务器能连通互联网,否则无法进行授权许可。
- Web浏览器:此方法适用于应用发布服务器无法连通互联网,但需要进行授权许可。找一台能连通互联网的电脑,在浏览器中输入https://activate.microsoft.com,进入远程桌面服务器授权页面进行授权许可。
- 电话:此方法适用于通过微软的服务热线进行电话授权许可,此方法比较繁琐,需要提供各种详细信息。
- 在许可证服务器激活界面,记录该界面中产品ID,并单击链接https://activate.microsoft.com跳转到该链接,或直接在浏览器中访问该链接。
- Optional: 在打开的远程桌面服务器授权页面中,选择语言为Chinese (Simplified),并单击go,将页面语言切换到中文。
- 勾选启用许可证服务器,单击下一步。
- 输入4中记录的产品ID,输入公司信息,选择国家(地区),并单击下一步。
- 确认信息无误后,单击下一步。
- 将红框中生成的许可证服务器ID复制到4中的窗口中,并单击下一步。
Note: 请保持该
远程桌面服务器授权页面不要关闭。 - 勾选立即启动许可证安装向导,单击下一步。
安装许可证
- 继续单击下一步,进入获取客户端许可证密钥包界面。
- 在9中的远程桌面服务器授权页面中单击是,进入RDS授权页面。许可证程序选择License Pak(零购),并单击下一步。
- 输入许可证代码,单击添加,然后单击下一步。
- 确认信息无误后,单击下一步。
- 将红框中的许可证密钥包ID复制到获取客户端许可证密钥包窗口中,并单击下一步。
Note: 如获取许可证密钥的过程中出现以下界面,请返回之前的步骤并检查信息是否填写正确。如确认信息全部填写无误,请联系技术支持解决。
- 单击完成,完成许可证的安装。
- 打开服务器管理器,依次单击 ,选中当前服务器,鼠标右击选择RD授权诊断程序,在弹出的对话框中查看授权是否成功。
- 在远程桌面授权管理器,在弹出的RD授权管理器对话框中,选中当前服务器,查看许可证计划,如果不存在临时许可证计划,则表明远程桌面授权激活成功。 中双击打开
1.1.4.3 激活远程桌面授权(OEM方式)
如获取许可证密钥的过程中出现以下界面,请返回之前的步骤并检查信息是否填写正确。如确认信息全部填写无误,请联系技术支持解决。
激活授权管理器
- 单击开始菜单,选择 ,选择待激活授权的服务器,右键单击并选择激活服务器。
- 在弹出的服务器激活向导对话框中,单击下一步。
- 继续单击下一步,进入连接方法界面。在下拉菜单中选择连接,并单击下一步。
不同连接方法的说明如下。本节以选择
Web浏览器为例介绍后续的激活方法。- 自动连接(推荐):使用此方法的前提是要确保应用发布服务器能连通互联网,否则无法进行授权许可。
- Web浏览器:此方法适用于应用发布服务器无法连通互联网,但需要进行授权许可。找一台能连通互联网的电脑,在浏览器中输入https://activate.microsoft.com,进入远程桌面服务器授权页面进行授权许可。
- 电话:此方法适用于通过微软的服务热线进行电话授权许可,此方法比较繁琐,需要提供各种详细信息。
- 在许可证服务器激活界面,记录该界面中产品ID,并单击链接https://activate.microsoft.com跳转到该链接,或直接在浏览器中访问该链接。
- Optional: 在打开的远程桌面服务器授权页面中,选择语言为Chinese (Simplified),并单击go,将页面语言切换到中文。
- 勾选启用许可证服务器,单击下一步。
- 输入4中记录的产品ID,输入公司信息,选择国家(地区),并单击下一步。
- 确认信息无误后,单击下一步。
- 将红框中生成的许可证服务器ID复制到4中的窗口中,并单击下一步。
Note: 请保持该
远程桌面服务器授权页面不要关闭。 - 勾选立即启动许可证安装向导,单击下一步。
- 继续单击下一步,进入获取客户端许可证密钥包界面。
- 安装许可证。
Note: 如获取许可证密钥的过程中出现以下界面,请返回之前的步骤并检查信息是否填写正确。如确认信息全部填写无误,请联系技术支持解决。
- 正常授权(适用于Windows Server 2019)
- 在9中的远程桌面服务器授权页面中单击是,进入RDS授权页面。许可证程序选择License Pak(零购),并单击下一步。
- 输入许可证代码,单击添加,然后单击下一步。
- 确认信息无误后,单击下一步。
- 将许可证密钥包ID复制到获取客户端许可证密钥包窗口中,并单击下一步。
- 降级授权(适用于Windows Server 2012/2016)
- 发送邮件到微软技术支持(主送v-tinl@microsoft.com;抄送mscs_prc@microsoft.com,主题建议为“RDS无法授权问题”),获取降级许可证号。邮件正常内容请参见下图。其中,许可证服务器ID在上一步骤中获取;许可证号/CAL信息在授权纸质件获取;其他信息请根据您的实际情况填写。
- 获取微软提供的降级后的许可证密钥包ID,将其复制到获取客户端许可证密钥包窗口中,并单击下一步。
Note: 微软技术支持通常会在8小时内(工作时间)答复。如果长时间没有答复,请拨打微软技术支持电话400-820-3800,联系商用产品售后技术支持,以获得在线支持服务。
- 正常授权(适用于Windows Server 2019)
- 单击完成,完成许可证的安装。
- 打开服务器管理器,依次单击 ,选中当前服务器,鼠标右击选择RD授权诊断程序,在弹出的对话框中查看授权是否成功。
- 在远程桌面授权管理器,在弹出的RD授权管理器对话框中,选中当前服务器,查看许可证计划,如果不存在临时许可证计划,则表明远程桌面授权激活成功。 中双击打开
1.1.5 配置组策略
应用发布服务器需要对组策略进行配置,从而满足运维审计系统可以不限数量地连接应用发布服务器并打开应用。
本节以Windows Server 2008为例介绍如何配置组策略,2012/2016/2019与2008的配置步骤完全一致。
- 单击开始菜单,选择运行,或直接按win+R键打开运行。
- 输入gpedit.msc,并按回车,打开本地组策略编辑器。
- 选择 。
- 选中使用指定的远程桌面许可证服务器并双击。
- 在弹出的窗口中,选中已启用,设置要使用的许可证服务器为本地服务器的IP地址:127.0.0.1,并单击确定。
- 在当前授权菜单下,选中设置远程桌面授权模式并双击。
- 在弹出的窗口中,选中已启用,在下拉菜单中设置授权模式为按设备,并单击确定。
- 选择 。
- 选中将远程桌面服务用户限制到单独的远程桌面服务会话并双击。
- 在弹出的窗口中选中已禁用,并单击确定,从而允许用户通过使用远程桌面服务进行不限数量的同时远程连接。
1.1.6 安装.NET Framework3.5(Windows 2008)
应用发布服务器需要安装.NET Framework3.5,从而支持AppServer应用。Windows Server安装.NET Framework不能直接使用msi安装包安装,请参考本节内容在Windows 2008服务器上安装.NET Framework3.5。
Windows Server 2008支持直接通过服务器管理下载并安装.NET Framework3.5功能。
- 单击开始菜单,选择 。
- 添加功能。
- 勾选.NET Framework 3.5.1 功能,并单击下一步。
Note: 勾选后如弹出以下窗口,请单击
添加所需的角色服务进行确认。 - 连续单击下一步,直到进入确认安装选择界面。
- 单击安装开始安装.NET Framework。等待安装完成。
关闭完成安装并重启应用发布服务器。
1.1.7 安装.NET Framework3.5(Windows 2012/2016/2019)
应用发布服务器需要安装.NET Framework3.5,从而支持AppServer应用。Windows Server安装.NET Framework不能直接使用msi安装包安装,请参考本节内容在Windows 2012/2016/2019服务器上安装.NET Framework3.5。
Windows 2012/2016/2019自带.NET Framework4.5,但需要安装.NET Framework3.5。
如直接通过服务器管理器下载安装.NET Framework3.5,一般会因为网络原因失败。因此需要准备对应的Windows 2012/2016/2019安装光盘或光盘镜像作为安装源;如无法使用安装光盘或光盘镜像,请搜索并获取单独的.NET Framework3.5安装CAB包,例如microsoft-windows-netfx3-x64-package.cab,该CAB包微软没有提供官方下载。
本节以Windows 2012为例指导完成.NET Framework3.5的安装,Windows 2016/2019的安装过程和2012完全一致。
1.1.7.1 使用服务器管理离线安装.NET Framework3.5
该方法仅适用于使用光盘或光盘镜像安装。如需使用CAB包安装请参见其他方式。
- 加载Windows 2012/2016/2019光盘镜像。
- 单击开始菜单,选择服务器管理器。
- 选择
。
- 连续直接单击下一步,直到进入选择功能界面。
- 勾选.NET Framework 3.5 功能,并单击下一步。
- 单击指定备用源路径。
- 将光盘加载后的sourcessxs的文件夹路径填写至路径中。单击确定后,单击安装。
1.1.7.2 使用DISM命令离线安装.NET Framework3.5
该方法适用于使用光盘或光盘镜像安装,也适用于使用CAB包进行安装。
- 加载Windows 2012/2016/2019光盘镜像,或将CAB包上传至服务器硬盘。
- 执行DISM命令加载源文件并安装。
对于使用光盘或光盘镜像,需要使用并指定光盘中的
sourcesxs目录,例如:对于使用CAB包,需要使用并指定CAB包的路径,例如:
1.1.8 安装软件
应用发布服务器需要完成运维审计系统相关定制插件的安装,从而支持应用发布功能。
- Winlogon
- webdriver
- GSessiond
- Agent
用户可以直接解压winsoft安装包,并执行install.bat一键安装,也可以单独手动安装。本节以一键安装为例进行介绍。手动安装过程中涉及的相关配置也可以参考以下步骤,请逐一安装winsoft包中的所有软件,并将webdriver文件夹复制到“C:Program Files (x86)H3C”路径下。
- 在应用发布服务器上解压winsoft安装包。
- 双击执行install.bat脚本。
- 脚本自动完成所有VC++组件的安装。
安装运维审计系统 Agent
- 脚本自动执行agent.exe。
- 选择安装路径,并单击Next。
- 填写参数配置,并单击Next。
- 地址:填写对接的运维审计系统的IP/域名和端口(默认3301)。agent用于实现自动同步配置及代填脚本到远端运维审计系统的功能。除多站点场景外,agent只能对接一台运维审计系统。
- HA部署时,请填写虚IP/域名。
- 集群部署时,请填写外部虚IP/域名。
- 总分部署时,请填写管理站点的虚IP/域名(HA)或外部虚IP/域名(集群)。
- 多站点部署时,此处可以配置多站点的所有站点IP/域名(各站点参考上述规则填写)。
- 如果运维审计系统有多个地址,请填写其中任意一个可以和本机正常通信的IP。
- 本地IP地址:应用发布服务器的Agent无需填写该IP地址。
- 地址:填写对接的运维审计系统的IP/域名和端口(默认3301)。agent用于实现自动同步配置及代填脚本到远端运维审计系统的功能。除多站点场景外,agent只能对接一台运维审计系统。
- 单击安装,等待安装完成。
安装Winlogon
- 脚本自动执行Winlogon-vXXXX.exe。
Note: 如已安装了低版本的软件,需要先卸载后再重新安装。
- 安装到最后会弹出config窗口,填写信息并单击确定完成安装。
- Winsync允许IP:填写对接的运维审计系统的IP,如对接多台运维审计系统,不同的IP用;隔开。HA部署时填写虚IP和每一个节点的实IP;集群部署时填写内部、外部虚IP和每一个节点的实IP;总分部署时填写各访问站点的HA虚IP和所有节点的实IP;多站点部署时填写所有站点所有节点的虚IP和实IP。
- 服务器IP:无需填写。
- 注册IE插件:如需使用IE代填脚本,则勾选该选项。
- 注册WinMonitor:Windows2016服务器必须勾选该选项。如不勾选,则会导致数据库会话窗口关闭后,会话不会及时断开的问题。
Note: 也可以先不配置,待安装完成之后再来配置该窗口信息。
安装GSessiond
- 脚本自动执行GSessiond-vXXXX.exe。
GSessiond将自动安装到系统盘的“%programfiles%
H3CGSessiond”路径下。
安装webdriver
- webdriver无需安装,脚本会将webdriver文件夹复制到系统盘的“%programfiles%H3Cwebdriver”路径下。
Note: 后续在AppServer中配置B/S应用时,需要将webdriver文件夹中的相关脚本拖动到AppServer中。
1.1.9 配置软件(可选)
仅当安装软件时未正确配置Winlogon和Agent,或后续需要调整Winlogon和Agent配置时,需要执行本节的操作。如部署过程中已在安装软件步骤中正确完成配置,请跳过本节内容。
- 使用管理员帐号登录到应用发布服务器。
配置Agent
- 单击 。
- 在AgentConf窗口中修改运维审计系统的IP地址、端口号和本地IP地址。
- 地址:填写对接的运维审计系统的IP/域名和端口(默认3301)。agent用于实现自动同步配置及代填脚本到远端运维审计系统的功能。除多站点场景外,agent只能对接一台运维审计系统。
- HA部署时,请填写虚IP/域名。
- 集群部署时,请填写外部虚IP/域名。
- 总分部署时,请填写管理站点的虚IP/域名(HA)或外部虚IP/域名(集群)。
- 多站点部署时,此处可以配置多站点的所有站点IP/域名(各站点参考上述规则填写)。
- 如果运维审计系统有多个地址,请填写其中任意一个可以和本机正常通信的IP。
- 本地IP地址:应用发布服务器的Agent无需填写该IP地址。
- 地址:填写对接的运维审计系统的IP/域名和端口(默认3301)。agent用于实现自动同步配置及代填脚本到远端运维审计系统的功能。除多站点场景外,agent只能对接一台运维审计系统。
- 修改完成后单击保存保存设置,并单击重启。
配置Winlogon
- 单击 。
- 填写Winlogon配置信息,并单击确定。
- Winsync允许IP:填写对接的运维审计系统的IP,如对接多台运维审计系统,不同的IP用;隔开。HA部署时填写虚IP和每一个节点的实IP;集群部署时填写内部、外部虚IP和每一个节点的实IP;总分部署时填写各访问站点的HA虚IP和所有节点的实IP;多站点部署时填写所有站点所有节点的虚IP和实IP。
- 服务器IP:无需填写。
- 注册IE插件:如需使用IE代填脚本,则勾选该选项。
- 注册WinMonitor:Windows2016服务器必须勾选该选项。如不勾选,则会导致数据库会话窗口关闭后,会话不会及时断开的问题。
- 单击 ,重启Winsync Service服务,使Winlogon的配置生效。
1.1.10 添加应用发布服务器
完成Winlogon和Agent等软件的安装与配置之后,需要将应用发布服务器在运维审计系统客户端中加入到运维审计系统的应用发布服务器列表中,从而使运维审计系统可以通过该服务器打开发布的应用。
- 使用超级管理员帐号登录运维审计系统 Web界面。
- 选择 。
- 单击新建,配置应用发布服务器参数。
- 单击确定。
WinSync状态会显示为正常。请单击
重新加载
WinSync状态。
如WinSync状态一直显示为无法连接,请检查运维审计系统和应用发布服务器之间的网络连通性及防火墙配置;如WinSync状态显示为未配置允许IP,请检查运维审计系统地址是否已添加到了Winlogon的配置中。
服务不可用可能是以下几种原因之一:
- WinSync状态为不可用
- 未正确安装.NET Framework3.5
- Gsessiond服务未启动
- Gsessiond版本和运维审计系统当前版本不匹配,需要升级Winsoft组件版本
当GSessiond服务存在故障时,数据库会话不再调度到这个应用发布服务器。
1.2 部署应用发布服务器(集群)
基本概念
运维审计系统支持将同一运维审计系统对接多台不同的应用发布服务器。这些应用发布服务器都按照部署应用发布服务器(单机)进行配置,加入到运维审计系统的应用发布服务器列表中后,会自动组成服务器集群,共同提供服务。
运维审计系统按照负载均衡策略,选择一台可以连接的并且发布了该应用客户端的服务器建立会话。以通过Toad客户端访问Oracle数据库资产为例,
运维审计系统首先筛选出可以连接的应用发布服务器,再匹配发布了Toad应用的应用发布服务器,最后从所有满足条件的服务器中选择一台在线会话数最少的建立数据库访问会话。
部署方式
运维审计系统之后,
运维审计系统客户端中显示如下:
列表中所有WinSync状态和Gsessiond状态显示为正常的应用发布服务器,将组成应用发布服务器集群。在用户访问应用系统资产时,运维审计系统将按照负载均衡策略连接集群中的一台服务器并访问资产。
2 发布应用
完成应用发布服务器的安装与配置后,用户可以在应用发布服务器上安装所需的应用,并通过APPServer配置工具进行配置,完成应用发布,这些应用就可以被运维审计系统调用,从而应用访问数据库和应用系统资产。
运维审计系统已明确支持的应用,请参见客户端兼容性列表。这些明确支持的应用,其配置都已预置在 中,包括相应的代填脚本。每个应用都必须安装对应的版本,使用不符合条件的版本可能无法实现代填及审计等功能。
在应用发布服务器中发布应用的流程如下:
完成以上配置后,可以在运维审计系统中针对该应用对应的资产类型,完成新增资产并访问资产。
2.1 客户端兼容性列表
用户通过运维审计系统访问B/S、C/S应用系统,运维审计系统在代填帐号、密码等登录信息时,不同的客户端支持情况有所不同。应用发布服务器中安装的应用只有严格满足对应的版本,才能在访问时成功代填。
- 对于B/S应用来说,运维审计系统能否代填成功不仅与使用的浏览器类型和版本有关系,还与具体应用系统有关系。
- 对于C/S应用来说,运维审计系统是否支持代填主要取决于客户端软件的版本和中英文环境,服务器端的版本和中英文环境基本无影响(Oracle数据库除外)。
- 本兼容性列表仅代表实验室验证结果。同一软件的不同小版本之间也会存在差异,所以不能确保使用以下软件时,所有功能都能正常使用。如果使用中遇到问题,请联系技术支持。
2.1.1 应用系统访问兼容性列表
- 通过C/S方式访问数据库,不支持数据库审计,仅支持登录代填和图形审计。
- Robo3T客户端不支持自适应分辨率。在低分辨率(如640 x 480)下访问MongoDB,可能会发生界面被遮挡,最终导致代填失败。请全屏或最大化进行访问。
R6113P09及以上版本仅支持Chrome 113(Windows Server2016/2019)、Chrome 90(Windows Server2008/2012)、Firefox 88和Edge 109;R6113P01~P08仅支持Chrome 90和Firefox 88;R6113及之前版本仅支持Chrome 65和Firefox 55~59。
支持 不支持 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 B/S IE IE 11 支持(不支持js Iframe跨域) 不支持 代填URL包含IPv6地址时,审计中的URL将无法被记录。 Weblogic
-
R6113P09及以上版本仅支持Chrome 113(Windows Server2016/2019)、Chrome 90(Windows Server2008/2012)、Firefox 88和Edge 109;R6113P01~P08仅支持Chrome 90和Firefox 88;R6113及之前版本仅支持Chrome 65和Firefox 55~59。
- IE 11
支持 不支持 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 C/S
- SQL Advantage 12.5.3
- RealVNC 5.2.3
- Radmin 3.4
- ASDM 1.5(无服务端)
- VpxClient 6.0
- Sybase Central4.3
- Robo3T 1.4.3中文版(从R6113P09版本开始支持)
- DMManager(DM管理工具) 8.1(从R6114P01版本开始支持)
- Navicat Premium 16.1.15简体中文客户端(从R6114版本开始支持)
支持 不支持
- Robo3T用于访问MongoDB 5.0.12数据库;Robo3T不支持IPv6。
- DMManager用于访问达梦数据库8.1。DMManager不支持Windows Server 2008版本的应用发布服务器。
- Navicat Premium用于访问PostgreSQL14数据库。
2.1.2 数据库访问兼容性列表
- Oracle 9i
- Oracle 10g
- Oracle 11g
- Oracle 11gR2-RAC
- Oracle 12c
- SQL Plusw(Oracle Client 10g)
- SqlDbx 4.17英文版
- Toad 12.1英文版
- PL/SQL Developer 11.0.4英文版
- PL/SQL Developer 14中英文版(从 R6113P04 版本开始支持)
- Navicat Premium 15.0.12中文版(从 E6112P13版本开始支持)
支持 部分支持,以下情况不支持数据库审计:
- 通过Navicat15客户端访问Oracle 11g数据库资产
- 通过PL/SQL Developer 14 64位客户端访问数据库
- Oracle 12c数据库必须安装Oracle 12c客户端。
- PL/SQL Developer必须和Oracle客户端使用相同位数的版本(都为32位或64位),否则PL/SQL Developer无法正常启动。
- 不支持同时使用PL/SQL Developer 14中英文版本。
SQL DeveloperW 1.5.5中文版 不支持 不支持 OEM 部分支持(Oracle 9i和Oracle 10g不支持代填;Oracle 11g、Oracle 11gR2-RAC和Oracle 12c通过B/S模式代填) 不支持 – MSSQL:
- SQLServer 2000
- SQLServer 2005
- SQLServer 2008
- SQLServer 2012
- SQLServer 2014
- SQLServer 2016
Ssms 2014中文版 支持 支持 连接方式为TCP,且身份认证方式为SQL Server身份验证或Windows身份验证。其中Windows身份验证仅支持使用域帐号验证,不支持使用本地帐号。 MSSQL: SQLServer 2019 Ssms 18.12.1中文版
(从 R6113P09 版本开始支持) 支持 支持 MySQL:
- mysql 5.6.32
- mysql 5.7.18
- Navicat 10.1.7中文版
- Navicat 12.1.22中文版 (从 E6112P05 版本开始支持)
- SQLyog 11.2.4中文版
支持 支持
- Navicat支持判断连接名,因此当连接名相同时不会新建连接。
- 当通过SQLyog客户端访问数据库资产时,可能会出现访问失败的现象。请先排查应用发布服务器的软件激活情况。如果软件激活后再次访问仍然出现该问题,请将这些软件的执行帐号修改为administrator。
DB2 v9.7
- QuestCentral 4.8英文版
- Toad for DB2 6.0英文版
不支持 不支持 用户第一次通过Toad for DB2客户端登录时,由于会出现引导页面而导致无法代填,请手工填写。 SqlDbx for DB2 4.17英文版 支持 不支持 –
2.2 安装应用
发布应用前,需要先在已配置好的应用发布服务器上,完成待发布应用软件的安装。
由于所需安装的应用都是第三方应用,请自行获取相应的应用软件并按照应用各自的安装指导进行安装,本节仅介绍安装过程中的注意事项。
应用软件的安装路径,必须是应用发布服务器上所有用户都能访问的路径。例如不能安装到家目录(C:UsersAdministrator)下,否则其他用户将不能正常使用该应用建立会话,建议统一安装到Program Files目录中。
VNC Server。 C/S DM管理工具(DM Manager) 用于访问达梦数据库。 C/S Navicat Premium 用于访问PostgreSQL数据库。 数据库(Oracle) plsqldev 安装前需要先完成安装Oracle客户端。安装时请关注以下注意事项:
- 安装Oracle客户端时,安装类型选择InstantClient即可。
- 安装的plsqldev和Toad的版本(32位/64位),必须与Oracle客户端的版本保持一致。
- 必须对C:WindowsSystem32driversetchosts文件去除只读属性,否则访问时会报错。
- 安装好Oracle客户端之后,请不要对客户端进行任何服务配置,否则可能引起连接失败。运维审计系统在启动客户端时会自动将指定资产的配置文件传输到服务器并建立连接。如连接时出现报错ORA-12154:TNS:无法解析指定的连接标识符,请手动删除 $HOME etwork用户名下的ORA配置文件。
- Oracle 10g及之前版本的客户端自带sqlplusw,无需单独安装。11g及之后的版本,请安装sql developer,代替sqlplusw使用。
Toad SqlDbx sqlplusw sql developer oem OEM无需单独安装客户端。 数据库(MSSQL) Ssms/Ssms18 Ssms为MSSQL客户端内置应用,请直接安装MSSQL客户端。
SQL Server 2014版本需要预先安装Microsoft .NET Framwork3.5和4.0。
安装时选择
全新SQL Server独立安装或向现有安装添加功能,并在功能选择中仅勾选
管理工具-基本和
管理工具-完整。 数据库(MYSQL) SQLyog – 数据库(DB2) QuestCentral 请按照以下顺序进行安装:
- 安装Microsoft .NET Framework4.5。
- 安装DB2客户端。
- 安装QuestCentral、SqlDbxForDB2或ToadForDB2。
DB2安装过程中,选择安装新产品,去勾选IBM Database Add-Ins for Visual Studio及创建概要文件。
SqlDbxForDB2 ToadForDB2
2.3 配置应用
在应用发布服务器上完成安装应用后,需要通过APPServer配置工具,完成该应用的配置,使运维审计系统可以正常调用该应用。
- 使用管理员帐号登录到应用发布服务器。
- 单击AppSrvConfig.exe,打开应用发布配置窗口。
,或在Winlogon安装路径下双击
- 找到待发布的应用的安装路径,将该应用对应的exe执行文件拖动到应用发布配置窗口中。
将应用拖放到配置窗口中后,如果该应用的
状态显示为绿色,则表示状态正常;
状态显示为红色,则表示状态异常。应用拖放后如标识和
运维审计系统中的一致,
状态一般将直接显示为绿色。各种应用需要拖入的可执行文件如下:应用名称 文件路径和名称 Chrome Chrome安装路径chrome.exe Firefox C:Program Files (x86)
H3Cwebdriverbin dpapp.bat MicrosoftEdge Edge安装路径Applicationmsedge.exe IE IE安装路径iexplore.exe SQLAdvantage Sybase安装路径sqladv-12_5sqladv.exe SybaseCentral Sybase安装路径SharedSybase Central 4.3win32scjview.exe ASDM JAVA可执行程序 Radmin Radmin安装路径binRadmin.exe VpxClient VMware安装路径InfrastructureVirtual Infrastructure ClientLauncherVpxClient.exe vncviewer RealVNC安装路径VNC Viewervncviewer.exe plsqldev plsqldev安装路径plsqldev.exe Toad Toad安装路径Toad.exe SqlDbx SqlDbxU.exe sqlplusw Oracle客户端安装路径product版本号client_1BINsqlplusw.exe sql developer sql developer安装路径binsqldeveloperW.exe oem WebDriver安装路径bin dpapp.bat Robo3T Robo3T安装路径Robo3T.exe DM管理工具(DM Manager) DM管理工具安装路径manager.exe navicat_for_pg Navicat Premium安装路径Navicat Premium 16 avicat.exe Ssms SQL Server安装路径120ToolsBinnManagementStudioSsms.exe Ssms18 Ssms18安装路径Common7IDESsms.exe SQLyog SQLyog安装路径SQLyog.exe QuestCentral QuestCentral安装路径QuestCentral.exe SqlDbxForDB2 SqlDbxU.exe ToadForDB2 ToadForDB2安装路径Toad.exe Putty Winlogon安装路径putty.exe部分应用安装后的情况,如下图所示。Note:- 如果拖入可执行文件后不显示应用图标,请将该应用移除,并重新拖入文件。
- 在APPServer配置工具中删除内置应用时,仅支持本地删除,不支持在运维审计系统上同步删除。删除时会弹窗确认“是否需要同步服务器?”。建议选择否,在本地删除该应用;如果选择是,则会弹出提示“内置应用不支持同步删除”,关闭提示框后也仅会在本地删除该应用。
- 部分应用拖入后必须修改标识名,请参考“设置应用参数”步骤中的要求执行。
- Optional: 如需修改应用发布配置窗口中显示的程序图标,选中待修改的程序,单击,在弹出的窗口中选中一个exe应用程序并单击打开。应用发布配置窗口中的程序图标将被修改为该exe的图标。
- 设置应用参数。在右侧的详情菜单中设置各个参数,对于有预设值的参数单击右侧的或进行选择。
预置应用仅当以下情况需要修改应用参数:
- 对于asdm,修改-jar “ASDM安装路径asdm-launcher.jar”。请先修改该参数再修改标识。 为
- 当标识和Web界面中 的预置应用标识名不一致,请修改为一致。
Note: 例如Firefox和oem使用rdpapp.bat脚本启动,因此必须手动将
标识修改为firefox、oem;发布IE时需要将其
标识修改为小写ie;发布Ssms18时需要将
标识修改为Ssms18。
一般不需要修改其他参数。当应用的标识和Web界面中设置为一致时,会自动从Web界面中同步其他参数的配置,并且APPServer配置工具中该应用的所有参数将被灰化,无法再设置。如需修改请在Web界面中再进行设置。
- 单击,将所有应用的配置保存到应用发布服务器。
- 发布Edge浏览器
- 发布IE浏览器
- 发布Firefox浏览器
- 发布Chrome浏览器
2.4 配置代填脚本(B/S)
B/S、B/S IE、Weblogic应用除了预置的代填脚本之外,还可以使用其他的几种代填方式,本节将进行介绍。
- 使用通用代填脚本。在配置资产时脚本类型选择通用。
运维审计系统仅支持对C/S客户端(包括数据库)录制并上传通用代填脚本。B/S、B/S IE、Weblogic应用不支持录制并导入通用代填脚本,一般情况下请直接使用预置的通用代填脚本。
- 使用高级代填。在配置资产时脚本类型选择高级。
如通用代填脚本不能满足要求,建议在配置资产时,针对特定的资产填写XPath/Selector(参考获取B/S应用控件的Xpath/Selector),以满足特殊的代填要求。
- 使用自定义脚本。在配置资产时脚本类型选择自定义。
自定义脚本仅针对特定的资产。当使用以上两种方法都不能正常完成代填时,可以使用自定义脚本,然后在配置资产时上传脚本。
2.4.1 配置自定义代填脚本
本节指导用户配置B/S资产使用上传的自定义代填脚本进行代填。
- 需要勾选其他选项才能完成登录
- 没有用户名填写框,只需输入密码
- 密码填写为了明文
- 必须要先代填框,才能填写
- 进入登录页面后需要先执行其他操作
当出现这些情况或者其他复杂场景时,必须使用自定义代填脚本。
由于Firefox/IE使用的Groovy/JS脚本较为复杂,因此本节将只介绍Chrome/Edge的JSON脚本的编写方法。请在有相关需求时优先使用Chrome访问资产。如必须使用Firefox/IE,请联系技术支持。
本节以配置Chrome自定义代填脚本为例,具体步骤如下:
- 获取Chrome/Edge代填脚本模板。
- 填写模板中除script之外的相关参数,具体请参见模板的参数说明。
Note: 如无特殊需求,这些参数全都使用默认值即可。
- 编写用于实现代填动作的JS(JavaScript)脚本。
Note: JS的具体语法,请参考相关教程。本节仅针对常见的代填语句编写进行指导。此处的JS脚本也支持JQuery语法。
- 定义变量,用于获取脚本输入参数。
Note: 其中,arguments[0]和arguments[1]分别为代填的帐号和密码,对应JSON中的
param.args参数。arguments[arguments.length – 1]表示获取传递的最后一个入参。当JS为异步模式时,该入参是一个回调函数,调用这个函数可以通知调用方当前已执行完毕;当JS非异步模式时,该入参即为
param.args的最后一个参数。 - 获取帐号、密码输入框并填写帐号和密码。
帐号密码的输入框,可以通过以下几种方式进行定位,
任选一种方式即可:定位方式 JS获取DOM示例 JQuery示例 按Id定位 document.getElementById(‘inputUserName’) $(‘#inputUserName’) 按Name定位 document.getElementsByName(‘username’)[0] $(‘[name=”username”]’) 按Class定位 document.getElementsByClassName(‘username’)[0] $(‘.username’) 按标签名定位 document.getElementsByTagName(‘input’)[0] $(‘input’) 按Xpath定位 document.evaluate(‘//form[@class=”login”]//input[@id=”inputUserName”]’, document).iterateNext() $(‘form[class=”login”] input[id=”inputUserName”]’) 按Selector定位 document.querySelector(‘input#inputUserName’)或 document.querySelectorAll(‘input#inputUserName’)[0] $(‘input#inputUserName’)- 定位到素后,对于定位到的DOM对象,通过.value获取其取值,并通过等号赋值,例如:
- 对于定位到的Jquery对象,通过.val()方法直接为其赋值,例如:
Attention:- 获取以上定位信息的具体方法,请参考获取素的Id/Name/Class/TagName和获取B/S应用控件的Xpath/Selector。
- 通过getElementById和querySelector方法获取到的直接是一个DOM对象;通过evaluate获取到的是一个Xpath对象,需要使用iterateNext()获取DOM对象;通过其他方法获取到的则是数组,需要通过[0]取出第一个DOM对象。
- 通过JQuery获取到的是一个JQuery对象,包含满足条件的所有DOM对象。因此如果定位不准确,使用.val()会修改所有满足条件的DOM对象取值。此时可以通过[0]取出第一个DOM对象,并使用DOM相关的方法修改其取值。
- 由于JS脚本需要写入到JSON里面,而JSON中都会使用双引号,因此建议在JS脚本中都使用单引号。如使用了双引号,则写入JSON时需要对双引号进行转义,例如。
建议先在浏览器的Console控制台中执行以上JS代码进行测试,能够成功定位到素后,再写到代填脚本中。 - 以同样的方式,获取登录按钮,并执行。
例如:
或
- 将以上代填动作语句写入到setTimeout()方法中,从而设置等待时间。
最后得到的完整JS脚本样例如下:Note: 一般只需要关注以上加粗的语句。等待相关的语句具体说明如下:- setTimeout()方法的第一个入参可填写为回调函数,一般使用function()定义一个匿名函数并写入以上代填语句。
- setTimeout()方法的第二个入参表示等待时间,单位为毫秒。即等待该时间后再执行function()中的内容,避免页面素还未完全加载的情况下就开始代填从而出现代填失败的情况。根据页面加载的快慢可以作适当调整,一般1000ms即可。
- if语句用于异步模式,当callback类型为function时,表示当前已执行完毕,调用callback()继续执行之后的代码。
- 定义变量,用于获取脚本输入参数。
- 将以上JS代码填写到JSON模板的script字段中。
填写入JSON模板中时,需要删除JS中的所有的空行。Note: 如使用了双引号,需要对双引号进行转义。例如:
- 登录运维审计系统的Web界面。
- 选择B/S或Weblogic的资产。
,新建或编辑一个资产类型为
- 脚本类型选择自定义。
- 单击浏览,上传已编辑好的JSON脚本。
- 客户端选择chrome。上传针对Chrome的JSON脚本后,该资产将只能使用Chrome浏览器访问。
- 单击创建。
2.4.2 参考
2.4.2.1 获取B/S应用控件的Xpath/Selector
在配置B/S、B/S IE、Weblogic资产时,如脚本类型选择为高级,需要输入代填输入框的Xpath/Selector。本节指导完成该Xpath/Selector的获取。
- Chrome/Edge:需要获取Xpath。使用浏览器自带的开发者工具获取XPath。
- Firefox:需要获取Xpath。旧版本的Firefox版本,只能获取Selector。如需获取Xpath,需要在个人PC中安装最新版本的Firefox,或安装第三方插件获取XPath。
- IE:需要获取Selector。目前没有较好的方法。请通过Chrome或Firefox获取。
具体步骤如下,以使用Chrome浏览器获取运维审计系统的代填输入框为例:
- 使用Chrome访问待获取XPath/Selector的资产登录界面,不进行登录。
- 按F12,或单击右上角的┇,选择 。
- 在开发者工具中,单击左上角的选择素,并选中帐号输入框。
- 待下方的Element窗口自动跳转到对应的控件代码之后,右键单击该段代码,选择Copy XPath/full XPath(Chrome/Firefox)或Copy selector(IE)并记录。剪贴板中即为配置B/S资产时,需要设置的用户名输入框的内容。
Note: 建议使用高版本Chrome的Copy full Xpath功能来获取Xpath。
- 重复3-4,分别获取并记录密码输入框、登录按钮的XPath/Selector。
2.4.2.2 获取素的Id/Name/Class/TagName
在为B/S资产编写自定义代填脚本时,可能涉及到通过Id/Name/Class/TagName进行素定位。本节指导完成这些信息的获取。
使用一般浏览器的审查素功能,就可以获取这些信息。本节以Chrome为例:
- 使用Chrome访问待获取Id/Name/Class/TagName的资产登录界面,不进行登录。
- 按F12,或单击右上角的┇,选择 。
- 在开发者工具中,单击左上角的选择素,并选中帐号输入框。
选中输入框后,下方的
Elements中将显示对应素的HTML代码。其中素名称即为TagName,例如
div。 - 获取Id/Name/Class。
找到素的id、class、name属性,右键单击其取值,选择
Edit attribute。选中取值并复制,即可以得到对应的属性值。本例中,input输入框的id为
inputUserName,name为
username,没有class,因此不能使用class进行定位。 - 重复以上步骤,分别获取并记录密码输入框、登录按钮的相关信息。
Console界面中执行JS语句验证使用这些定位符的结果。JS语句具体请参考配置自定义代填脚本。
2.4.2.3 Chrome/Edge代填脚本模板
browser取值替换为,其他内容完全一样。
Chrome正受到自动化测试软件的控制/
Microsoft Edge正由自动测试软件控制。即禁用自动化测试模式,浏览器显示的内容和手动使用浏览器时完全一致。
关闭开发人员模式下的扩展提示。用户如关掉该提示则不会有影响,但如单击
关闭扩展,则将会导致白名单功能和URL审计功能失效。
configuration.options.prefs – 浏览器的偏好设置,即Chrome的
设置菜单中的相关参数。 – download.prompt_for_download 对应Chrome的
下载前询问每个文件的保存位置参数。取值为true,下载时会弹出设置保存位置的窗口;为false时直接下载到默认路径。 credentials_enable_service 对应Chrome的
提示保存密码参数。 profile.password_manager_enabled 没有对应的Chrome参数项,一般和
credentials_enable_service共同设置为false,以保证填写框时不会弹出密码提示,以及登录成功后不会弹出保存密码提示。
enable-automation时才会弹出以上提示。自动化测试模式下不会弹出以上提示。
configuration.auditType – 对应B/S资产配置中的
审计方式,一般直接填写取值为
<%auditType%>,即传递
审计方式参数的取值。该参数及取值必须填写,否则将导致代填失败。 configuration.whiteList 对应B/S资产信息中的
白名单功能。取值填写为
<%whitelist%>,则传递
白名单参数的取值。不填写
whiteList则白名单功能不生效。 configuration.restrictaccess 对应B/S资产配置中的
是否限制其他URL功能。取值填写为
<%restrictaccess%>,则传递
是否限制其他URL单参数的取值。不填写,或取值为false时,白名单功能也将不生效。 steps – 代填步骤。steps中填写了多个步骤时会依次执行。 – name 仅用于标识该步骤的内容,可以随意填写。 method 步骤中具体调用的方法:
- get:表示跳转到URL地址。仅当要通过script执行JS脚本前需要添加该步骤。
- script:表示执行一段JS代码,实现代填过程。
- simple_login:使用运维审计系统默认的登录代填方法。通用代填脚本即使用该方法。
- alert_login:使用针对在弹出窗口中设置帐号密码所设计的登录代填方法。
运维审计系统中这两个代填方法对应固定的代填动作,不能针对代填动作进行自定义。
param 执行不同方法需要设置不同的参数,具体如下:
- 方法为get:填写待跳转的URL地址,填写为 <gt; ,则使用B/S资产的URL参数的取值。
- 方法为simple_login/alert_login,填写以下参数:
- url:填写待跳转的URL地址。填写为 <gt; ,则使用B/S资产的URL参数的取值。
- username:填写代填的帐号名称。填写为 <퇧ame%> ,则传递启动会话时使用的资产帐号名称。
- password:填写代填的密码。填写为 <%password%> ,则传递启动会话时使用的资产帐号对应的密码。
- 方法为script时,填写以下参数:
- script:代填动作对应的JS脚本。JS脚本必须填写在一行内,不同行使用 分隔。如涉及引号,需要使用单引号或对双引号进行转义。
- args:包含两个参数,分别为代填帐号的名称和密码,填写为["<퇧ame%>", "<%password%>"],则传递启动会话时使用的资产帐号名称及其密码。
- async:执行JS脚本时,是否使用异步模式。
2.4.2.4 举例:需要勾选其他选项才能完成登录
在该场景下,JS语句中必须添加勾选相关勾选框的动作。分析页面素可知,该勾选框的Id为disclaimer。
因此,添加一条语句定位该勾选框并勾选即可,可以使用click()方法来单击该勾选框:
checked属性来控制时,更好的方法是设置来实现勾选,确保执行的动作是勾选而非去勾选。例如:
2.4.2.5 举例:不代填用户名
2.4.2.6 举例:密码填写为了明文
其中第一层是输入框,第二层是显示框。需要在输入框password中填写密码,但需要显示框passwordTip,才会显示为密文输入。
2.4.2.7 举例:需要先代填框
单击该输入框后,素的HTML变为:
可以看到class中删除了x-form-empty-field-sw。研究该页面发现,当存在该class并提交后,系统会认为没有输入用户名,导致代填失败。
2.4.2.8 举例:先执行其他操作才会显示登录框
密码登录,切换认证方式后,才能执行正常的代填。
实现这种操作通常有两种方法:
- 方法一:将B/S资产的URL直接替换为跳转后的URL,并针对跳转后的页面编写代填脚本。
- 方法二:在跳转前的页面中,使密码登录框可见。这种情况一般是跳转前和跳转后的页面素基本相同,跳转前实际也包含登录框,只是登录框被设置为了隐藏。
忘记密码界面,即在登录页单击
忘记密码后进入的页面(http://ip/loterm/login?forgotPassword)。需要先单击
返回登录页才能进行登录代填:
因此这种情况下,我们只需要取消登录代填框的样式,就可以显示登录框了;同时对原有的框体添加样式将其隐藏。
因此,在代填前,添加JS语句,定位和显示代填框,并隐藏原有框体即可:
或:
执行以上语句后,当前页面就会显示为返回登录页后的页面,在该页面再执行一般的代填过程即可。
3 管理资产
3.1 新增资产
在完成应用发布之后,用户可以在创建该应用对应类型的资产时勾选该客户端并使用该应用客户端访问资产。
本节分别以新增一个Oracle数据库资产、一个Radmin C/S资产和一个B/S资产为例,指导完成新增资产。关于配置资产的详细指导,请参考《运维审计系统Web配置指导》中的资产管理章节。
3.1.1 新增数据库资产
- 使用超级管理员或配置管理员帐号登录运维审计系统 Web界面。
- 选择 。
- 单击新建,选择资产类型为Oracle,单击下一步。
- 设置新增数据库的参数如下,并单击创建。
- 资产名称:orcl11g
- 连接方式:服务名
- 资产IP:10.10.16.136
- 端口号:1521
- OEM URL:https://10.10.16.136:1158/em/
Note:
客户端勾选了oem时显示该选项。 - 服务名:orcl11g
- 客户端:根据应用发布服务器已发布的应用,勾选Toad和oem。
- 在列表中找到已创建的资产,单击编辑。
- 选择系统帐号页签,对于特权帐号sys,单击编辑。
- 设置密码后,单击确定。完成sys帐号托管密码。
- 添加其他帐号及对应的密码。单击添加帐号,设置帐号名称及对应的密码后,单击确定。
3.1.2 新增C/S资产
- 使用超级管理员或配置管理员帐号登录运维审计系统 Web界面。
- 选择 。
- 单击新建,选择资产类型为C/S,单击下一步。
- 设置新增资产的参数如下,并单击创建。
- 资产名称:Radmin3.4
- 资产IP:10.10.16.11
Note: 可选参数。但由于代填脚本中设置了IP变量,必须填写该参数才能完成代填。
- 客户端:勾选已发布的Radmin客户端。
- port:4899
Note: Radmin代填脚本使用了自定义参数port,表示连接使用的端口。当
客户端勾选Radmin时,才会在此显示。必须填写该参数才能完成代填。
- 在列表中找到已创建的资产,单击编辑。
- 选择系统帐号页签,单击添加帐号。
- 设置帐号名称及对应的密码后,单击确定。
3.1.3 新增B/S资产
本节给出了新增一个B/S资产的配置实例,使用已发布的Chrome和Firefox客户端访问该数据库资产。B/S IE和Weblogic资产同样可以参照本例完成新增。
- 使用超级管理员或配置管理员帐号登录运维审计系统 Web界面。
- 选择 。
- 单击新建,选择资产类型为B/S,单击下一步。
- 设置新增资产的参数如下,并单击创建。
- 资产名称:Web
- 资产IP:10.10.33.18
- URL:https://10.10.33.18
- 脚本类型:高级
Note:
- 当支持内置的代填脚本时选择通用;不支持时选择高级。当使用以上两种方法都不能正常完成代填时,可以使用自定义脚本,然后在配置资产时上传脚本。
- 选择高级时,需要填写控件的Xpath,请参考获取B/S应用控件的Xpath/Selector。
- 用户名输入框://*[@id=”inputUserName”]
- 密码输入框://*[@id=”inputPassword”]
- 登录按钮://*[@id=”loginBtn”]
客户端:选择firefox和chrome。
- 在列表中找到已创建的资产,单击编辑。
- 选择系统帐号页签,单击添加帐号。
- 设置帐号名称及对应的密码后,单击确定。
3.2 访问资产
完成应用发布及新增资产后,可以使用已发布的应用访问新增的资产。本节指导完成数据库/应用系统资产的访问。
数据库/应用系统资产只能在运维审计系统 Web界面中找到对应的资产并发起访问,不支持RDP直连,因此本节仅介绍通过Web界面访问资产。本节以通过Toad客户端访问Oracle数据库为例,介绍资产访问。访问其他资产同样可以参考本例。
如需获取更加详细的资产访问方式指导,请参考《运维审计系统Web配置指导》的资产访问章节。
运维审计系统的超级管理员,将这些软件的
执行帐号修改为
administrator。
- 使用操作员帐号登录运维审计系统 Web界面。
- Optional: 如需调整本帐号的会话启动参数,参照修改图形会话配置完成配置。如不配置则将全部使用超级管理员配置的系统全局设置值。
根据不同设置,访问数据库/应用系统资产的方式如下:图形会话设置 是否使用RemoteApp 实际效果 mstsc/web 是 使用RemoteApp建立会话 mstsc 否 打开一个RDP窗口,登录到应用发布服务器并打开客户端建立会话 web 否 打开一个浏览器窗口,登录到应用发布服务器并打开客户端建立会话Note: 即
是否使用RemoteApp的优先级最高。如需使用Web方式访问数据库/应用系统资产(例如使用Mac PC又不希望安装RDP客户端的场景),除了在
中将
图形会话访问方式设置为
web,还必须由超级管理员在
中将指定客户端的
RemoteApp设置为
不使用。否则
图形会话访问方式设置为
web将不生效,仍将调用RDP客户端访问资产。 - 选择 。
- 在右侧找到待访问的资产,单击访问。
- 选择系统帐号为sys,客户端为Toad,单击启动。
- 等待运维审计系统启动会话并完成代填。
Note:
- 代填过程中,请勿进行其他操作,否则可能引起自动代填失败。
- Chrome和Firefox代填由于使用了Webdriver,打开速度将比别的应用相对较慢,请耐心等待。
- 通用配置:完成配置或关闭应用启动时的各种弹出窗口。例如完成初始配置、安全证书设置,关闭自动更新、提示教学。如有下次启动不再弹出该窗口之类的选项则进行勾选,以确保下次启动时能正常完成代填。
- Sybase应用配置:需要先在应用发布服务器的Dsedit Utility,并添加待连接的Sybase服务器的名称和IP、端口等信息。完成该配置后,运维审计系统才能在启动SQL advantage或Sybase Central时下拉选择该连接,并在配置了资产IP和帐号密码时自动完成代填。 中启动
- ToadForDB2应用配置:初次启动时需要先完成Client Configuration Wizard的配置,完成Add Catalog Entry,再次启动时才会不弹出该窗口,使运维审计系统可以顺利完成代填。
- 如需在不同用户间同步应用配置,请参考使用户配置对所有用户生效。
3.3 参考
3.3.1 修改图形会话配置
用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。
- 单击右上角用户帐号(例如admin),选择帐号设置。
- 选择 。
- 设置需要修改的参数,完成后单击确定。
参数 说明 图形会话分辨率
仅当图形会话访问方式设置为mstsc时该参数的设置有效。
用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800×600、1024×768、1280×1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。
分辨率的取值范围为640×480~9999×9999。多个分辨率之间用空格隔开,例如“1280×800 1920×1080”。
默认分辨率
仅当图形会话访问方式设置为mstsc时该参数的设置有效。
用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640×480~9999×9999,或fullscreen、maximize。
该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。
图形会话访问方式 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
- 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
- web:当在Web界面中建立图形会话时,使用Web方式建立图形会话。
- mstsc:当在Web界面中建立图形会话时,使用mstsc方式建立图形会话。
Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。启用Console连接
勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。
仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。
Note: 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用
/console参数登录Windows Server 2003,从而打开一个控制台会话,或使用参数登录Windows Server 2008/2012/2016,打开一个管理员模式的会话。最大持续时间 用于设置字符会话的最大持续时间,取值范围如下:
- 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
- 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。最小单位为15分钟,不能设置为0天0小时0分钟。
磁盘映射
仅当图形会话访问方式设置为mstsc时该参数的设置有效。
设置该参数仅表示在配置所有RDP图形会话及应用系统的图形会话的启动参数时,磁盘映射都默认勾选该参数设置的磁盘盘符。用户最终建立会话时是否会勾选对应磁盘的映射由用户自己决定。
该参数输入格式为单个字母表示的盘符,多个盘符之间用英文逗号隔开,例如“c,d,f”。
Note: 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。回放方式
仅当登录用户为具有审计权限的角色(如超级管理员、审计管理员)时,显示该选项。用于控制进行图形审计回放时的回放方式。
3.3.2 使用户配置对所有用户生效
一个用户的应用配置如需同步给其他用户,请执行本节操作。
Windows应用的配置,通常会按不同用户进行区分。每个用户只能对自己的配置进行设置,并将配置保存到C盘指定路径下。因此,如需使用户配置对所有用户生效,就需要找到用户配置并拷贝到默认用户和已创建的其他用户的配置路径下。
- 使用管理员登录应用发布服务器。
- 在应用发布服务器的C:Users用户名AppData文件夹下,找到该应用的配置文件夹。
Note: 查看AppData文件夹,需要在资源管理器中按Alt键,选择
,勾选
显示隐藏的文件、文件夹和驱动器。
同步配置给新建用户
- 如需要使后续新创建的用户沿用本用户的配置,将该文件夹拷贝到C:UsersDefault UserAppData的对应位置。
Note:
- 查看Default User文件夹,需要在勾选显示隐藏的文件、文件夹和驱动器后,同时去勾选隐藏受保护的操作系统文件(推荐)。
- Default User文件夹一般禁止访问,请在右键菜单的高级,删除对于Everyone的拒绝访问。 中,单击
同步配置给其他用户
- 如需要使当前已创建的其他用户(已通过该应用发布服务器访问过资产的用户)沿用本用户的配置,将该文件夹拷贝到C:Users其他用户AppData的对应位置。
4 审计资产
通过应用发布服务器访问的资产,和访问主机、网络设备等不需要使用应用发布服务器的资产相比,其访问流程有所区别。
- 用户通过RDP协议访问运维审计系统,默认使用3389端口。
- 运维审计系统通过RDP协议访问应用发布服务器,默认使用3389端口。
- 应用发布服务器中的应用客户端通过对应的应用协议,访问运维审计系统中的Proxy代理。例如Oracle客户端通过TNS协议访问Proxy,默认使用1521端口。
- Proxy代理转发应用访问请求到待访问的应用服务端。例如通过TNS协议访问Oracle数据库,默认使用1521端口。
最后两个步骤中,当应用发布服务器通过Proxy访问应用服务端时,Proxy同时会对会话过程进行记录,以供审计管理员实时或在以后对该会话的过程进行审计。
4.1 审计应用系统资产
应用系统资产可以通过审计图形会话来进行审计。
本节仅对应用系统审计进行简单的介绍,如需详细了解运维审计系统的审计功能,请参考《运维审计系统Web配置指导》中的审计章节。
本节以查看图形会话为例进行指导。对于在线会话,用户也可以直接选择
,查看当前在线会话对应的图形会话。本节以通过Radmin客户端远程访问Windows主机为例,指导完成应用系统资产的审计。
- 使用超级管理员或审计管理员登录运维审计系统 Web界面。
- 选择
,查看所有图形会话。
- 找到待审计的访问过程对应的图形会话。
可以通过以下方法进行快速查找定位:
- 通过开始时间由后往前的顺序进行查找。结合结束时间、用户帐号、资产名、应用地址、应用客户端等项判断是否是带查找的会话。对于隐藏的项,单击右上角的┇,勾选对应的显示项。
- 对于在线会话,寻找状态为活跃的会话。
- 单击左上角的更多,设置筛选条件后的单击筛选。
- 在上方的搜索框中输入用户/姓名/资产/资产IP,进行模糊查找。
- 单击回放,在弹出的窗口中查看该图形会话的全过程。
- Optional: 单击更多,并选择按键,查看用户所有的键盘和鼠标的按键记录。
- Optional: 单击详情,并选择模拟操作页签,查看会话过程中用户的所有键盘输入的记录。对于同一次输入将记录到一次操作中。
4.2 审计数据库资产
数据库资产可以通过图形会话和数据库会话两种方式进行审计。
同一个数据库访问,可能会同时存在一个图形会话和一个数据库会话的记录。请结合图形会话和数据库会话的记录,来完成对数据库访问过程的审计。本节分别以查看图形会话和数据库会话为例进行指导。对于在线会话,用户也可以直接选择
,查看当前在线会话对应的图形会话和数据库会话。部分数据库不支持数据库审计,只支持图形审计功能,详情请参见《Web配置指导》中的“审计数据库会话”章节。本节以通过Toad访问Oracle数据库为例,简单介绍数据库审计的相关操作。需要事先完成:数据库已完成新增资产,通过Toad进行了访问资产,并执行了SQL语句。
- 使用超级管理员或审计管理员登录运维审计系统 Web界面。
通过图形会话进行审计
- 选择
,查看所有图形会话。
- 找到待审计的数据库访问对应的图形会话。
可以通过以下方法进行快速查找定位:
- 通过开始时间由后往前的顺序进行查找。结合结束时间、用户帐号、资产名、应用地址、应用客户端等项判断是否是带查找的会话。对于隐藏的项,单击右上角的┇,勾选对应的显示项。
- 对于在线会话,寻找状态为活跃的会话。
- 单击左上角的更多,设置筛选条件后的单击筛选。
- 在上方的搜索框中输入用户/姓名/资产/资产IP,进行模糊查找。
- 单击详情查看图形会话的详情。
- 选择SQL页签,查看数据库会话中执行的SQL语句。
运维审计系统记录到的SQL语句包括数据库客户端执行的所有语句。由于数据库客户端会有一些自主的行为,因此审计记录中只有一小部分是用户实际执行的语句。
- 对于任意一条语句,单击播放,将从该语句执行时间点开始播放图形会话的记录。结合图形会话和SQL语句,可以准确地获取到用户实际执行的SQL语句。
如在本例中,结合图形会话,可以看到用户实际执行的SQL语句只有。
通过数据库会话进行审计
- 在左侧导航中,选择数据库会话,查看所有数据库会话。
- 使用和3中同样的方法,找到待查找会话对应的数据库会话记录。
- 单击数据库会话的详情,查看该数据库会话的所有SQL语句。
该页面记录的SQL语句,和图形会话详情的
SQL页签中记录的完全一致。用户可以根据自己的习惯灵活选用具体的审计方式。
5 附录
5.1 登录运维审计系统 Web界面
Web界面是运维审计系统最主要的访问入口,管理员、操作员、审计员都需要登录Web界面,并完成在运维审计系统的各项操作。
服务端要求
- 已完成运维审计系统的安装与配置。
- 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
- 运维审计系统已上电,且各项服务的状态正常。
- 使用非本地密码方式登录时,已根据用到的登录方式完成了AD/LDAP服务器、RADIUS服务器、动态令牌、短信网关或手机令牌的相关配置。
客户端环境要求
本地PC客户端环境必须具备下列基本要求,才能够按照本文档的指引完成各项操作任务。本文以Windows 10和Google Chrome浏览器为例进行介绍。
- Windows XP SP3及以上的非服务器版本
- macOS。建议更新到最新版本
浏览器
- Firefox 50及以上版本
- Chrome 49及以上版本
- IE 11.0及以上版本(不推荐)
显示器/浏览器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
- 登录Web后如需进行资产访问、文件传输等操作,需要客户端满足兼容性要求。详细要求请参见“客户端兼容性列表”。
- 由于Windows XP系统从E6112P05版本开始不支持AccessClient,因此对于XP系统,不支持在Web界面中调用客户端访问资产,仅支持web方式的访问资产,或通过客户端直连运维审计系统并访问资产。
- 如果需要在IE早期版本(6/7/8/9)中使用,可以单击右上角的用户帐号,选择 ,下载并安装IE浏览器插件,但该版本的IE的兼容性无法完全保障。
- 如果使用Windows XP/Windows 7,可以单击右上角的用户帐号,选择 ,下载并安装相应版本的Chrome。
5.1.1 使用本地密码登录运维审计系统
- 请在浏览器中输入“https://运维审计系统的IP”,进入运维审计系统的Web登录页面。
- HA部署时,通过虚IP登录Web。
- 标准集群部署时,通过外部虚IP登录Web。
- 总分部署时,请登录到管理站点(管理站点不同部署场景下如何登录,请参考对应场景的要求)。
- 多站点冷备部署时,登录到主站点;多站点多活部署时,可以选择登录任意站点的Web(站点在不同部署场景下如何登录,请参考对应场景的要求)。
- 登录时如出现以下界面,请选择继续前往(例如Chrome浏览器请单击 ),或者为Web界面安装安全证书并重新登录。
- 输入帐号和密码,单击登录。
Note: 首次登录请使用超级管理员的缺省用户名
admin,密码为
admin,后续登录请使用管理员分配好的用户名和密码。 - 进入运维审计系统的Web配置页面。
Note:
- 在任意界面单击左上角的企业名称,可以回到首页。
- 在任意界面单击上方的工作台,可以切换到不同的服务项。
- 单击右上角的用户帐号名称(例如admin),可以打开系统设置菜单。
5.1.2 使用其他方式登录运维审计系统
- 使用AD/LDAP方式登录:输入的用户名是Web界面上定义的用户名,但密码是AD/LDAP服务器上关联用户对应的密码。如在AD/LDAP服务器上设置了下次登录时修改密码,则直接通过Web界面登录会失败,请先在AD/LDAP服务器上完成密码的重设。
- 使用RADIUS方式登录:输入的用户名是Web界面上定义的用户名,但密码是RADIUS服务器上关联用户对应的密码。
- 使用动态令牌方式登录:输入的密码是一个拼接起来的字符串,前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。
如果动态令牌与其他认证方式结合使用,在用户登录时,输入密码的方式有以下两种:
- 输入第一重密码后按回车或者单击登录等按钮后再输入“PIN1码+动态密码”。
- 输入组合密码:直接在第一个密码框中输入“第一重密码+空格+PIN1码+动态密码”。
-
使用手机令牌方式登录:手机令牌只能作为双因子认证中的第二重认证方式。
- 根据启用的双因子认证的第一重认证方式,输入第一重认证的密码,并单击登录。
- 第一次登录时,界面上会弹出提示,要求使用客户端扫码绑定。在手机上安装手机令牌App安装,然后在该App中进行扫码绑定或手动输入的方式进行绑定。绑定完成之后单击完成绑定。
Note: 绑定界面的二维码不会过期。手机令牌App安装方式如下:
- 安卓手机:请在搜索引擎中搜索“Google Authenticator或FreeOTP Authenticator”,下载apk文件后安装。FreeOTP Authenticator推荐使用1.5(含)以上版本;Google Authenticator推荐使用5.1(含)以上版本。
- 苹果手机:请在App Store中搜索“FreeOTP Authenticator”,搜索到后直接安装即可。App Store中已经不支持安装Google Authenticator,对于之前已经安装的Google Authenticator,仍然可以继续使用。
- 打开手机上安装的手机令牌App,使用绑定的生成器生成一个动态密码(下图以Google Authenticator为例)。
- 在密码时效内输入到两步认证密码对话框中,并单击提交。
Note: 第一次登录时如在客户端上已完成绑定,但在界面上未绑定成功,第二次登录仍会提示要求绑定。请先在手机上删除已绑定的生成器,并重新绑定。如未删除旧的绑定就重新进行绑定,则手机上的绑定将不会更新,后续生成的密码将始终无效且无法再重新绑定,此时请联系配置管理员重置密码。
- 使用短信认证方式登录:短信认证只能作为双因子认证中的第二重认证方式。
- 根据启用的双因子认证的第一重认证方式,输入第一重认证的密码,并单击登录。
- 输入绑定的手机上收到的短信验证码,并单击提交。如未收到短信,120秒后单击重新发送验证码按钮重新发送。
Note: 如在完成第一重认证之后就提示
短信发送失败,说明短信网关配置有误。
- 使用USBKey认证方式登录:需要先安装USB Key设备内的et199auto.exe控件,并安装帮助菜单中下载的ET199Plugin.exe插件。完成安装后,在Chrome、Firefox或IE浏览器中访问,输入第一重验证的密码(无第一重验证则密码为空),并在弹出的菜单中输入USB Key的密码,完成验证。
Note: 如果采用国密USB Key的认证方式,请参见《典型配置举例》手册中的“举例:配置国密认证和验签”章节。
- 使用双因子认证方式登录:双因子认证是将以上各种登录方式的其中两种组合在一起完成验证。
在登录界面的密码输入框中输入第一重认证的密码,单击登录认证成功后,会弹出两步认证密码输入框,继续输入第二重认证的密码并单击提交完成认证。
5.2 登录运维审计系统的Console
Console控制台支持通过多种方式登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。
- SSH远程登录:需要提前获取root密钥(初始密钥请向技术支持获取)和Console密码。
- 串口登录:需要提前获取root密码和Console密码。
- 显示器/虚拟机控制台直连访问:需要获取root密码和Console密码。
- 系统默认的root密码和Console密码均是admin。对于E611XP02及以前的版本,无需输入Console密码。
- Console密码输入超时或错误3次后,可以选择通过challenge进入。请联系新华三技术支持人员并提供显示的User Code,用于获取challenge码。
- Console密码超过90天未修改,会在登录时提示,但不修改不影响使用。
- 修改密钥请参考《Web配置指导》中的“更新远程访问密钥”章节。修改root和Console密码,请参见《Web配置指导》中的“使用系统工具”章节。
5.2.1 直连登录Console
系统支持通过显示器/虚拟机控制台,直连登录Console。
- 运维审计系统已开机。
Note: 对于A2210-G和A2105-G两种型号的
运维审计系统,在开机时,除了需要硬件设备上电外,还需按一下设备前面板的开机按钮。 - 对于硬件机型:请准备一台支持VGA接口的显示器、VGA连接线、键盘,将显示器和键盘直接连接到设备上登录进行操作;对于虚拟机机型:请通过虚拟机控制台进行操作。
- 通过显示器/虚拟机控制台访问运维审计系统。
- 输入用户名root及其密码,并按回车。
- 输入Console的登录密码,完成后按回车,进入Console主菜单。
5.2.2 通过串口登录Console
- 需要运维审计系统提前准备Xshell等支持串口登录的工具。
- 运维审计系统已开机。
Note: 对于A2210-G和A2105-G两种型号的
运维审计系统,在开机时,除了需要硬件设备上电外,还需按一下设备前面板的开机按钮。
- 将本地PC和运维审计系统通过串口线相连。
- 在Xshell主界面,选择 ,新建一个连接。
- 将协议设置为SERIAL。
- 在左侧选择SERIAL,设置串口属性。
按以下规则设置参数。
- 端口号:COM1(选择实际接口)
- 波特率:9600
- 数据位:8
- 停止位:1
- 奇偶校验:None
- 流控制:None
- 输入用户名root及其密码,并按回车。
- 输入Console的登录密码,完成后按回车,进入Console主菜单。
5.2.3 通过SSH远程登录Console
- 准备Xshell等支持SSH协议的工具。
- 运维审计系统已开机。
Note: 对于A2210-G和A2105-G两种型号的
运维审计系统,在开机时,除了需要硬件设备上电外,还需按一下设备前面板的开机按钮。 - 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
- 运维审计系统的TCP/8022端口可用,未受到防火墙限制。
- 运维审计系统默认禁用通过SSH登录Console控制台,登录前已在Web界面的 中设置sshd外部访问参数为开启。
- 在Xshell主界面,选择 ,新建一个SSH连接。
- 在连接菜单设置会话以下属性:
- 名称:用户自定义的连接名称
- 协议:SSH
- 主机:运维审计系统的IP地址
- 端口号:8022
- 在连接。
菜单,配置以下属性,并单击
- 方法:Public Key
- 用户名:root
- 用户密钥:选择已获取的用于登录的私钥
- 密码:默认为空
- 输入console的登录密码,完成后按回车,进入Console主菜单。
5.3 配置远程客户端
添加远程客户端、修改远程客户端的启动参数。
运维审计系统与应用发布服务器连接正常。
- RemoteAPP:运维审计系统远程客户端调用的一种方式,与普通方式调用的远程客户端相比,RemoteAPP方式中打开的客户端不包含Windows背景,标题栏以应用的标题栏显示而不是远程桌面会话的标题栏显示,更像是本地客户端的打开方式。推荐远程客户端使用RemoteAPP方式。
- 代填脚本:运维审计系统访问的应用发布资产通常有登录框,需要登录才能进行操作。通过代填脚本,运维审计系统可以实现登录框内容的代填,进行登录操作。管理员需要通过运维审计系统的远程客户端页面,将代填脚本和远程客户端进行关联。
- 使用超级管理员登录运维审计系统。
- 选择 。
- 选择需要配置的远程客户端,单击编辑,设置各参数,完成后单击确定。
参数 说明 名称 输入远程客户端的名称。 执行帐号 使用什么帐号登录应用发布服务器。
- 同用户帐号:以登录运维审计系统的相同帐号登录应用发布服务器。
- 手工指定:指定一个帐号,使用当前远程客户端时都通过指定帐号登录。
Note: 操作员首次通过应用发布服务器访问资产时,会在应用发布服务器的Administrator和Remote Desktop Users用户组中同步该账号。如需修改同步的用户组,请配置同步账号用户组。RemoteAPP 远程客户端是否使用RemoteAPP方式,如果不使用,则通过普通方式打开。 代填脚本 如果存在多个CS代填脚本时,请选择其中一个:
- 脚本扩展名如为json,表示使用AppAuto工具录制的代填脚本。
- 脚本名称如包含应用发布服务器版本(例如win2012),则表示应用发布服务器最低的版本。例如win2012表示适用于Windows 2012/2016/2019应用发布服务器;如果没有包含应用发布服务器版本,则适用于所有支持的版本。
- json脚本名称如包含auto,表示使用客户端框体代填;否则使用命令行方式代填。
- 脚本名称如包含en,表示在英文版应用发布服务器中使用的脚本。
键盘记录开关 审计时是否记录鼠标和键盘事件信息,默认选项为记录。
如果选择不记录, 中将不产生键盘记录数据。只有当配置图形会话参数和此处的键盘记录开关全都设置为记录时,才会记录相应会话的按键信息。
5.4 发布Edge浏览器
- 使用管理员帐号登录到应用发布服务器。
- 单击AppSrvConfig.exe,打开应用发布配置窗口。 ,或在Winlogon安装路径下双击
- 将msedge.exe(默认安装路径C:Program Files (x86)MicrosoftEdgeApplication)拖动到AppServer配置工具中,并将标识和名称修改为MicrosoftEdge。
- 单击,将所有应用的配置保存到应用发布服务器。
5.5 发布IE浏览器
- 使用管理员帐号登录到应用发布服务器。
- 单击AppSrvConfig.exe,打开应用发布配置窗口。 ,或在Winlogon安装路径下双击
- 将iexplore.exe(默认安装路径C:Program Filesinternet explorer)拖动到AppServer配置工具中,并将标识和名称修改为ie。
- 单击,将所有应用的配置保存到应用发布服务器。
5.6 发布Firefox浏览器
- 使用管理员帐号登录到应用发布服务器。
- 单击AppSrvConfig.exe,打开应用发布配置窗口。 ,或在Winlogon安装路径下双击
- 将rdpapp.bat(默认安装路径C:Program Files (x86)H3Cwebdriverbin)拖动到AppServer配置工具中,并将标识和名称修改为firefox。
- 单击,将所有应用的配置保存到应用发布服务器。
5.7 发布Chrome浏览器
- 使用管理员帐号登录到应用发布服务器。
- 修改浏览器安装路径。
- 在Chrome浏览器安装路径(以Chrome90为例,安装路径为C:UsersAdministratorAppDataLocal)中,找到Chrome文件夹。
- 将Chrome文件夹剪切到C:Program Files中。
- 在Chrome浏览器安装路径(以Chrome90为例,安装路径为C:UsersAdministratorAppDataLocal)中,找到Chrome文件夹。
- 单击AppSrvConfig.exe,打开应用发布配置窗口。
,或在Winlogon安装路径下双击
- 将chrome(默认安装路径C:Program FilesGoogleChromeApplication)拖动到AppServer配置工具中,并检查标识和名称是否为chrome。
- 单击,将所有应用的配置保存到应用发布服务器。
Navicat Premium 11.2.12激活
今天的文章
Navicat Premium 11.2.12激活(5.2 登录运维审计系统的Console)分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/105022.html