天融信堡壘主機(jī)(TA-SAG)用戶操作手冊(cè)--配置管理

1、 用戶操作手冊(cè)_配置管理天融信網(wǎng)絡(luò)審計(jì)系統(tǒng)用戶操作手冊(cè)配置管理北京天融信公司二O一三年 六月 六日文檔名稱更新歷史編寫(xiě)人日期版本號(hào)變更內(nèi)容吳玉飛2013.06V3.0堡壘主機(jī)（TA-SAG）V3.0最新版北京天融信公司北京（總部）咨詢熱線：400-610-5119 網(wǎng)址： 目錄第一章前言11.1簡(jiǎn)介11.2文檔目的11.3讀者對(duì)象1第二章登錄系統(tǒng)22.1靜態(tài)口令認(rèn)證登錄22.2字證書(shū)認(rèn)證登錄22.3動(dòng)態(tài)口令認(rèn)證登錄32.4LDAP域認(rèn)證登錄42.5單點(diǎn)登錄工具5第三章配置管理63.1概述63.2策略配置63.2.1行為控制策略63.2.2訪問(wèn)時(shí)間策略113.2.3F

2、TP控制策略133.2.4客戶端地址策略153.2.5訪問(wèn)鎖定策略173.2.6口令策略193.3服務(wù)配置213.3.1圖形化服務(wù)開(kāi)關(guān)213.3.2賬號(hào)導(dǎo)出計(jì)劃253.3.3應(yīng)用發(fā)布管理273.3.4郵件服務(wù)303.4系統(tǒng)配置313.4.1系統(tǒng)升級(jí)313.4.2系統(tǒng)監(jiān)控323.4.3網(wǎng)絡(luò)配置333.4.4認(rèn)證配置373.4.5環(huán)境配置393.4.6審計(jì)修復(fù)413.4.7恢復(fù)出廠設(shè)置423.4.8外接存儲(chǔ)設(shè)備423.4.9消息管理433.4.10行為審計(jì)導(dǎo)入導(dǎo)出配置44北京天融信公司北京（總部）咨詢熱線：400-610-5119 網(wǎng)址： ii第一章 前言1.1 簡(jiǎn)介天

3、融信天融信網(wǎng)絡(luò)審計(jì)系統(tǒng)TA-SAG（以下簡(jiǎn)稱TA-SAG）配置管理模塊是系統(tǒng)管理員的配置策略模塊，也就是說(shuō)管理員會(huì)經(jīng)常和該模塊打交道。配置管理由策略配置、服務(wù)配置、系統(tǒng)配置三部分組成。1.2 文檔目的TA-SAG配置管理手冊(cè)主要用于指導(dǎo)管理員如何建立相關(guān)的策略，控制系統(tǒng)本身的相關(guān)服務(wù)的開(kāi)關(guān)，對(duì)系統(tǒng)本身的一些配置管理等。1.3 讀者對(duì)象本文檔適用于TA-SAG管理人員、賦予單獨(dú)模塊管理角色的管理員。第二章 登錄系統(tǒng)系統(tǒng)登錄主要的工作就是系統(tǒng)認(rèn)證。TA-SAG登錄界面隨系統(tǒng)配置的認(rèn)證方式不同而有所差異。TA-SAG支持的認(rèn)證方式包括靜態(tài)口令認(rèn)證、數(shù)字證書(shū)認(rèn)證、動(dòng)態(tài)口令認(rèn)證、LDAP域認(rèn)證、指紋認(rèn)證

4、等。無(wú)論TA-SAG配置哪種認(rèn)證方式，登錄系統(tǒng)都需要在瀏覽器中輸入服務(wù)地址。例如:54。在該例中，54為T(mén)A-SAGIP地址（TA-SAG出廠設(shè)置的管理IP為54）。當(dāng)在瀏覽器中輸入示例內(nèi)容后，點(diǎn)擊回車(chē)（TA-SAG配置雙向認(rèn)證時(shí)，如果需要域名方式訪問(wèn)的情況除外）系統(tǒng)自動(dòng)轉(zhuǎn)向到登錄界面。下面列舉常見(jiàn)的幾種常見(jiàn)的認(rèn)證方式界面。2.1 靜態(tài)口令認(rèn)證登錄靜態(tài)口令登錄認(rèn)證是最基本得認(rèn)證方式，登錄界面入圖2.1.1所示。圖2.1.1用戶需要輸入用戶名及口令后，點(diǎn)擊登錄按鈕后登錄系統(tǒng)。2.2 字證書(shū)認(rèn)證登錄TA-SAG證書(shū)認(rèn)證

5、登錄，支持的形式包括軟證書(shū)認(rèn)證，Usbkey證書(shū)認(rèn)證兩種。這兩種形式的唯一區(qū)別在于證書(shū)所依賴的存儲(chǔ)截止不同。Usbkey證書(shū)只是將證書(shū)導(dǎo)入U(xiǎn)sb硬件Key中，安全性相應(yīng)增加。但無(wú)論證書(shū)以哪種方式存在，TA-SAG都會(huì)統(tǒng)一對(duì)待。如圖2.2.1所示，當(dāng)自然人在瀏覽器地址欄中輸入TA-SAG地址后，點(diǎn)擊回車(chē)，彈出選擇證書(shū)提示框。圖2.2.1此時(shí)用戶需要選擇所要使用的數(shù)字證書(shū)，點(diǎn)擊確定按鈕。此例子選擇名稱為simper的證書(shū)，點(diǎn)擊確定按鈕，進(jìn)入圖2.2.2界面。圖2.2.2由于在上一操作步驟中選擇的是名稱為simper證書(shū)，所以TA-SAG此時(shí)自動(dòng)將用戶名鎖定，禁止自然人修改登錄用戶名。防止身份篡改。

6、此時(shí)，用戶需要輸入simper用戶口令即可進(jìn)行靜態(tài)口令認(rèn)證。靜態(tài)口令操作內(nèi)容請(qǐng)參考2.1章節(jié)。2.3 動(dòng)態(tài)口令認(rèn)證登錄動(dòng)態(tài)口令認(rèn)證是指可以通過(guò)OTP令牌方式通過(guò)TA-SAG認(rèn)證登錄。認(rèn)證界面如圖2.3.1所示。圖2.3.1 TA-SAG的動(dòng)態(tài)口令登錄認(rèn)證，采用的是雙因子認(rèn)證方式。也就是說(shuō)，用戶需要輸入動(dòng)態(tài)口令的同時(shí)必須輸入自身的靜態(tài)口令作為PIN碼。當(dāng)兩項(xiàng)認(rèn)證都通過(guò)時(shí)才可以進(jìn)入TA-SAG。這一點(diǎn)與數(shù)字證書(shū)認(rèn)證方式是類似的。這種方式大大增強(qiáng)了系統(tǒng)登錄的安全性。2.4 LDAP域認(rèn)證登錄TA-SAG域認(rèn)證是另外一種第三方認(rèn)證方式。TA-SAG將自身的部分系統(tǒng)認(rèn)證交由第三方安全平臺(tái)認(rèn)證。TA-SA

7、G中將LDAP域口令的認(rèn)證指派到LDAP服務(wù)器上。LDAP域認(rèn)證的操作界面入圖2.4.1所示。圖2.4.1與動(dòng)態(tài)口令的認(rèn)證方式類似，域口令認(rèn)證需要在LDAP域認(rèn)證通過(guò)的情況下同時(shí)滿足自然人的靜態(tài)口令認(rèn)證認(rèn)證通過(guò)，此時(shí)才可以成功進(jìn)入TA-SAG。2.5 單點(diǎn)登錄工具介紹完TA-SAG中常見(jiàn)的認(rèn)證方式后，用戶可能注意到圖例中【工具下載】選項(xiàng)。該選項(xiàng)為用戶提供了部分的客戶端工具，及TA-SAGSSO登錄控件的下載。點(diǎn)擊【工具下載】選項(xiàng)彈出如圖2.5.1所示界面。圖2.5.1圖2.5.1只截取了部分的內(nèi)容，其中還包括單點(diǎn)登錄工具及客戶端工具安裝過(guò)程中常常出現(xiàn)的問(wèn)題及解答。用戶可以點(diǎn)擊如圖2.5.1界面

8、中的帶有“單點(diǎn)登錄控件”字樣的下載鏈接，下載單點(diǎn)登錄工具。有關(guān)單點(diǎn)登錄工具詳細(xì)內(nèi)容請(qǐng)參見(jiàn)TA-SAG運(yùn)維工程師操作手冊(cè)。第三章 配置管理3.1 概述TA-SAG的配置管理主要包括策略配置、服務(wù)配置、系統(tǒng)配置3部分組成。3.2 策略配置點(diǎn)擊TA-SAG一級(jí)菜單上圖標(biāo)進(jìn)入配置管理模塊。點(diǎn)擊左側(cè)二級(jí)菜單上圖標(biāo)進(jìn)入策略配置模塊。以下逐一介紹策略管理中的個(gè)功能項(xiàng)的使用方法。3.2.1 行為控制策略命令策略可以定義一組命令規(guī)則，這個(gè)規(guī)則可以限制自然人通過(guò)TA-SAG訪問(wèn)目標(biāo)資源時(shí)所能使用的命令（或禁止使用的命令）。該策略僅限于限制自然人使用字符方式訪問(wèn)TA-SAG。具體操作方法如下。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入

9、【命令策略】列表界面。 命令控制策略點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入【命令控制策略】列表界面.1 添加命令控制策略在命令控制策略列表界面點(diǎn)擊 按鈕進(jìn)入添加命令控制策略界面，如圖.1所示，輸入基本信息。點(diǎn)擊提交即完成命令控制策略添加。圖.1如圖.1所示：【命令訪問(wèn)類型】選項(xiàng)分為禁止命令和使用命令。【命令名稱】輸入框?yàn)檎齽t表達(dá)式語(yǔ)句，命令名稱可以添加多條?！咎峤粶y(cè)試】用來(lái)測(cè)試命令列表中的命令名稱，檢驗(yàn)命令名稱的有效性?！居脩羟袚Q】選項(xiàng)為用戶切換身份需要輸入的命令.2 修改命令控制策略在命令控制策略列表界面對(duì)指定的命令控制策略

10、點(diǎn)擊 按鈕進(jìn)入編輯命令控制策略界面，如圖.2所示，修改命令控制策略的基本信息。點(diǎn)擊提交即完成命令控制策略修改。 圖.2如圖.2所示：【用戶切換】選項(xiàng)為用戶切換身份需要輸入的命令【命令訪問(wèn)類型】選項(xiàng)分為禁止命令和使用命令【命令名稱】輸入框?yàn)檎齽t表達(dá)式語(yǔ)句，命令名稱可以添加多條?！咎峤粶y(cè)試】用來(lái)測(cè)試命令列表中的命令名稱，檢驗(yàn)命令名稱的有效性。.3 查詢命令控制策略如圖.3所示，在命令控制策略列表界面的名稱查詢框輸入要查詢的命令控制策略，點(diǎn)擊查詢即可查到指定的命令控制策略。 圖..4 刪除命令控制策略

11、如圖.4所示，在命令控制策略列表界面選中要?jiǎng)h除的命令控制策略，然后點(diǎn)擊 按鈕即可刪除命令控制策略。圖. rdp控制策略點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入【rdp控制策略】列表界面如.1圖所示圖..1 添加 rdp控制策略點(diǎn)擊按鈕便添加一個(gè)rdp控制策略,如圖.2所示圖.2完成之后點(diǎn)擊【提交】。【禁用RDP本地設(shè)備和資源】1. 驅(qū)動(dòng)器被勾選時(shí)，RDP單點(diǎn)登陸后，無(wú)法看到共享磁盤(pán)。2. 剪切板被勾選時(shí)，RDP單點(diǎn)登陸后，無(wú)法從服務(wù)器端復(fù)制粘貼內(nèi)容到本地。.2 修改 rdp控制策略點(diǎn)

12、擊按鈕便添加一個(gè)rdp控制策略,如圖.3所示圖..3 查詢 rdp控制策略如圖.4所示，在rdp控制策略列表界面的名稱查詢框輸入要查詢的rdp控制策略，點(diǎn)擊查詢即可查到指定的rdp控制策略。 圖..4 刪除 rdp控制策略刪除RDP控制策略只要在RDP控制策略前面點(diǎn)擊如圖.5。圖. 拓展策略點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入【拓展策略】列表界面.1 添加拓展策略點(diǎn)擊按鈕便添加一個(gè)拓展策略,如圖.1所示圖.1完成之后點(diǎn)擊【提交】。3.2

13、.1.3.2 修改拓展策略點(diǎn)擊按鈕便添加一個(gè)拓展策略,如圖.2所示圖..3 查詢拓展策略如圖.3所示，在拓展策略列表界面的名稱查詢框輸入要查詢的r拓展策略，點(diǎn)擊查詢即可查到指定的拓展策略。 圖..4 刪除拓展策略刪除拓展策略只要在拓展策略前面點(diǎn)擊如圖.4所示。圖.43.2.2 訪問(wèn)時(shí)間策略與客戶端地址策略類似，客戶端地址策略也屬于訪問(wèn)類限制策略。管理員可以定義該種類策略限制自然人訪問(wèn)TA-SAG或限制自然人通過(guò)TA-SAG訪問(wèn)目標(biāo)機(jī)的時(shí)間。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入訪問(wèn)時(shí)間策略列表界

14、面。 添加訪問(wèn)時(shí)間策略在訪問(wèn)時(shí)間策略列表界面點(diǎn)擊 按鈕進(jìn)入添加訪問(wèn)時(shí)間策略界面，如圖所示，輸入基本信息。點(diǎn)擊新增時(shí)段圖如圖所示：，點(diǎn)擊添加即完成訪問(wèn)時(shí)間策略添加。【訪問(wèn)類型】選項(xiàng)分為可訪問(wèn)時(shí)間段和不可訪問(wèn)時(shí)間段。【全選/全不選】：勾選此項(xiàng)，選擇全部時(shí)間段或全不選?！痉催x】：勾選此項(xiàng)，將選擇選中項(xiàng)以外的所有時(shí)間。 查詢?cè)L問(wèn)時(shí)間策略如圖所示，在訪問(wèn)時(shí)間策略列表界面的名稱查詢框輸入要查詢的訪問(wèn)時(shí)間策略，點(diǎn)擊查詢即可查到指定的訪問(wèn)時(shí)間策略。 圖 刪除訪問(wèn)時(shí)間策略如圖所示，在訪問(wèn)

15、時(shí)間策略列表界面選中要?jiǎng)h除的訪問(wèn)時(shí)間策略，然后點(diǎn)擊 按鈕即可刪除訪問(wèn)時(shí)間策略。圖3.2.3 FTP控制策略與命令策略相類似，F(xiàn)TP控制策略是限制TA-SAG使用FTP或SFTP方式通過(guò)TA-SAG訪問(wèn)目標(biāo)資源的一項(xiàng)策略。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入FTP控制策略列表界面。 FTP控制策略添加在FTP控制策略列表界面點(diǎn)擊按鈕進(jìn)入添加FTP控制控制策略界面，如圖所示，輸入基本信息。點(diǎn)擊提交即完成FTP控制策略添加。圖如圖.1所示：【訪問(wèn)類型】選項(xiàng)分為使用命令和禁用命令。【操作】選項(xiàng)分為對(duì)FTP服務(wù)器下載文件、上傳文件、重命名、刪除文件

16、和創(chuàng)建目錄選項(xiàng)。 修改FTP控制策略在FTP控制策略列表界面對(duì)指定的FTP控制策略點(diǎn)擊 按鈕進(jìn)入編輯FTP控制策略界面，如圖所示，修改FTP控制策略的基本信息。點(diǎn)擊提交即完成FTP控制策略修改。圖如圖所示：【訪問(wèn)類型】選項(xiàng)分為使用命令和禁用命令?！静僮鳌窟x項(xiàng)分為對(duì)FTP服務(wù)器下載文件、上傳文件、重命名、刪除文件和創(chuàng)建目錄選項(xiàng)。 查詢FTP控制策略如圖所示，在FTP控制策略列表界面的名稱查詢框輸入要查詢的FTP控制策略，點(diǎn)擊查詢即可查到指定的FTP控制策略。 圖 刪除FTP策略如圖3.

17、2.3.4所示，在FTP控制策略列表界面選中要?jiǎng)h除的FTP控制策略，然后點(diǎn)擊 按鈕即可刪除FTP控制策略。圖3.2.4 客戶端地址策略客戶端地址策略用于限制自然人使用的客戶端地址。管理員可以為某些特殊的地址段做限制，限制從這些特殊的地址訪問(wèn)TA-SAG。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入客戶端地址策略列表界面。 添加客戶端地址策略在客戶端地址策略列表界面點(diǎn)擊 按鈕進(jìn)入添加客戶端地址策略界面，如圖所示，輸入基本信息。點(diǎn)擊提交即完成客戶端地址策略添加。圖如圖所示：【訪問(wèn)類型】選項(xiàng)分為可訪問(wèn)IP段和不可訪問(wèn)IP段。【IP地址】為IP段的范圍。

18、 修改客戶端地址策略在FTP策略列表界面對(duì)指定的客戶端地址策略點(diǎn)擊 按鈕進(jìn)入編輯客戶端地址策略界面，如圖所示，修改客戶端地址策略的基本信息。點(diǎn)擊提交即完成客戶端地址策略修改。圖如圖所示：【訪問(wèn)類型】選項(xiàng)分為可訪問(wèn)IP段和不可訪問(wèn)IP段?！綢P地址】為IP段的范圍。 查詢客戶端地址策略如圖所示，在客戶端地址策略列表界面的名稱查詢框輸入要查詢的客戶端地址策略，點(diǎn)擊查詢即可查到指定的客戶端地址策略。 圖 刪除客戶端地址策略如圖所示，在客戶端地址策略列表界面選中要?jiǎng)h除的客戶端地

19、址策略，然后點(diǎn)擊 按鈕即可刪除客戶端地址策略。圖3.2.5 訪問(wèn)鎖定策略訪問(wèn)鎖定策略也是訪問(wèn)限制類策略的一種，為了提高TA-SAG的安全性，防止惡意破解口令，當(dāng)惡意用戶在強(qiáng)力破解口令時(shí)鎖定當(dāng)前惡意用戶，使其不能訪問(wèn)TA-SAG。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入訪問(wèn)訪問(wèn)鎖定策略列表界面。 添加訪問(wèn)鎖定策略在訪問(wèn)鎖定策略列表界面點(diǎn)擊 按鈕進(jìn)入添加訪問(wèn)鎖定策略界面，如圖所示，輸入基本信息。點(diǎn)擊提交即完成訪問(wèn)鎖定策略添加。圖如圖所示：【訪問(wèn)鎖定次數(shù)】為訪問(wèn)失敗指定次數(shù)鎖定賬號(hào)。【失敗鎖定時(shí)間】為賬號(hào)被鎖定指定時(shí)間才可自動(dòng)解鎖。

20、修改訪問(wèn)鎖定策略在訪問(wèn)鎖定策略列表界面對(duì)指定的訪問(wèn)鎖定策略點(diǎn)擊 按鈕進(jìn)入編輯訪問(wèn)鎖定策略界面，如圖所示，修改訪問(wèn)鎖定策略的基本信息。點(diǎn)擊提交即完成訪問(wèn)鎖定策略修改。圖如圖所示：【訪問(wèn)鎖定次數(shù)】為訪問(wèn)失敗指定次數(shù)鎖定賬號(hào)?！臼℃i定時(shí)間】為賬號(hào)被鎖定指定時(shí)間才可自動(dòng)解鎖。 查詢?cè)L問(wèn)鎖定策略如圖所示，在訪問(wèn)鎖定策略列表界面的名稱查詢框輸入要查詢的訪問(wèn)鎖定策略，點(diǎn)擊查詢即可查到指定的訪問(wèn)鎖定策略。 圖 刪除訪問(wèn)鎖定策略如圖所示，在訪問(wèn)鎖定策略列表界面選中要?jiǎng)h除的訪問(wèn)鎖定策略，然后點(diǎn)擊 按鈕

21、即可刪除訪問(wèn)鎖定策略。圖3.2.6 口令策略口令策略定義了一套口令的書(shū)寫(xiě)規(guī)范，用于提高管理員或普通用戶設(shè)置口令的安全性。按照一定的口令強(qiáng)度規(guī)則定義口令是一種良好的習(xí)慣。這樣可以從最基本的靜態(tài)口令層面提高安全性，是最為經(jīng)濟(jì)的一種方式。點(diǎn)擊左側(cè)導(dǎo)航 圖標(biāo)進(jìn)入訪問(wèn)口令策略列表界面。 添加口令策略在口令策略列表界面點(diǎn)擊 按鈕進(jìn)入添加訪問(wèn)鎖定策略界面，如圖所示，輸入基本信息。點(diǎn)擊提交即完成訪問(wèn)鎖定策略添加。圖如圖所示：【有效期】為口令的有效期限?！究诹铋L(zhǎng)度】為包含字母、包含數(shù)字和包含符號(hào)來(lái)限定?！窘故褂玫年P(guān)鍵字】為口令中禁止使用的關(guān)

22、鍵字。 修改口令策略在口令策略列表界面對(duì)指定的口令策略點(diǎn)擊 按鈕進(jìn)入編輯口令策略界面，如圖所示，修改口令策略的基本信息。點(diǎn)擊提交即完成口令策略修改。圖如圖所示：【有效期】為口令的有效期限?！究诹铋L(zhǎng)度】為包含字母、包含數(shù)字和包含符號(hào)來(lái)限定?！窘故褂玫年P(guān)鍵字】為口令中禁止使用的關(guān)鍵字。 查詢口令策略如圖所示，在口令策略列表界面的名稱查詢框輸入要查詢的口令策略，點(diǎn)擊查詢即可查到指定的口令策略。 圖 口令策略刪除如圖所示，在口令策略列表界面選中要?jiǎng)h除的口令策略，然后點(diǎn)擊 按鈕

23、即可刪除口令策略。圖3.3 服務(wù)配置服務(wù)配置是TA-SAG對(duì)外提供服務(wù)配的功能選項(xiàng)，目前包含圖形化服務(wù)、賬號(hào)導(dǎo)出計(jì)劃、行為審計(jì)導(dǎo)入導(dǎo)出、應(yīng)用發(fā)布服務(wù)和LDAP配置管理服務(wù)，以下分別介紹如何使用這些功能。點(diǎn)擊TA-SAG一級(jí)菜單上的 圖標(biāo) ,可以進(jìn)入配置管理界面點(diǎn)擊二級(jí)菜單上的 圖標(biāo),也可以進(jìn)入服務(wù)配置界面。3.3.1 圖形化服務(wù)開(kāi)關(guān)在服務(wù)配置界面中點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)，進(jìn)入圖形化服務(wù)開(kāi)關(guān)管理界面，如圖所示。圖圖形化服務(wù)包括圖形化代理和圖形審計(jì)服務(wù)兩項(xiàng)。以下分別介紹這兩項(xiàng)功能。 圖形化服務(wù)TA-SAG支持圖形化服務(wù)開(kāi)關(guān)功能。圖形化服務(wù)

24、開(kāi)啟時(shí)，支持圖形化訪問(wèn)代理。圖形化服務(wù)關(guān)閉時(shí)，無(wú)法支持圖形化訪問(wèn)代理。圖形化服務(wù)默認(rèn)是開(kāi)啟狀態(tài)，圖形化服務(wù)界面中圖形代理顯示“運(yùn)行中”，按鈕顯示“點(diǎn)擊停止”，如圖所示。圖點(diǎn)擊【點(diǎn)擊停止】按鈕，可以關(guān)閉圖形化服務(wù)。點(diǎn)擊后顯示“圖形代理服務(wù)停止成功”對(duì)話框。如圖所示。圖點(diǎn)擊確定按鈕后返回圖形化服務(wù)界面，圖形化服務(wù)界面中圖形代理顯示“已停止”，按鈕顯示“點(diǎn)擊啟動(dòng)”。如圖所示。圖 圖形審計(jì)服務(wù)TA-SAG支持圖形審計(jì)服務(wù)開(kāi)關(guān)功能。圖形審計(jì)服務(wù)影響TA-SAG的監(jiān)控和審計(jì)功能。圖形審計(jì)服務(wù)開(kāi)啟時(shí)，可以正常使

25、用監(jiān)視和審計(jì)功能。圖形審計(jì)服務(wù)關(guān)閉時(shí)，無(wú)法使用TA-SAG的監(jiān)視和審計(jì)功能。圖形審計(jì)服務(wù)默認(rèn)是開(kāi)啟狀態(tài)，圖形化服務(wù)界面中圖形代理后面顯示“運(yùn)行中”，按鈕顯示“點(diǎn)擊停止”，如圖.1所示。圖.1如果想關(guān)閉圖形審計(jì)服務(wù)，可以點(diǎn)擊圖形審計(jì)服務(wù)后的【點(diǎn)擊停止】按鈕，點(diǎn)擊后顯示“圖形審計(jì)服務(wù)停止成功”對(duì)話框，如圖.2所示。圖.2點(diǎn)擊確定按鈕后返回圖形化服務(wù)界面，圖形化服務(wù)界面中圖形審計(jì)服務(wù)顯示“已停止”，按鈕顯示“點(diǎn)擊啟動(dòng)”。如圖.3所示。圖.3注意：由于圖形化服務(wù)開(kāi)關(guān)涉及到RDP單點(diǎn)登錄和監(jiān)控，推薦不要關(guān)閉。并且TA-S

26、AG支持RDP的守護(hù)功能，如果圖形代理停止，TA-SAG自帶的RDP守護(hù)進(jìn)程會(huì)自動(dòng)啟動(dòng)圖形代理和圖形審計(jì)服務(wù)。3.3.2 賬號(hào)導(dǎo)出計(jì)劃在服務(wù)配置界面中點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)，進(jìn)入賬號(hào)導(dǎo)出計(jì)劃管理界面，如圖所示。圖賬號(hào)導(dǎo)出計(jì)劃可以導(dǎo)出被TA-SAG接管的所有賬號(hào)信息?？梢允謩?dòng)設(shè)定執(zhí)行時(shí)間和執(zhí)行的間隔周期，在點(diǎn)擊啟動(dòng)計(jì)劃按鈕后，計(jì)劃按照?qǐng)?zhí)行時(shí)間和間隔周期執(zhí)行，如圖所示。圖點(diǎn)擊文件列表按鈕，進(jìn)入資源賬號(hào)導(dǎo)出信息頁(yè)面，會(huì)看到計(jì)劃生成后生成的賬號(hào)信息加密包，如圖所示。圖在資源賬號(hào)導(dǎo)出信息頁(yè)面，右鍵點(diǎn)擊要下載的包另存為

27、，可以下載定期導(dǎo)出被接管的賬號(hào)與口令的加密包。如圖所示。圖點(diǎn)擊保存按鈕可以保存到本地，通過(guò)隨機(jī)光盤(pán)提供的解密器 解密壓縮包獲取賬號(hào)信息。如圖所示。圖在資源賬號(hào)導(dǎo)出信息頁(yè)面，點(diǎn)擊刪除按鈕，可以刪除定期導(dǎo)出被接管的賬號(hào)信息的加密包。點(diǎn)擊刪除按鈕時(shí)，提示確認(rèn)刪除的提示信息，如圖所示。圖點(diǎn)擊確定按鈕，刪除生成的加密包，如圖所示。圖3.3.3 應(yīng)用發(fā)布管理應(yīng)用發(fā)布服務(wù)器是堡壘主機(jī)針對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)的一種功能。應(yīng)用發(fā)布服務(wù)器上會(huì)安裝很多數(shù)據(jù)庫(kù)客戶端，堡壘主機(jī)連接到應(yīng)用發(fā)布服務(wù)器上的數(shù)據(jù)庫(kù)客戶

28、端后實(shí)行遠(yuǎn)程登錄到數(shù)據(jù)庫(kù)的服務(wù)端，從而以錄像的形式進(jìn)行數(shù)據(jù)庫(kù)審計(jì)。 應(yīng)用發(fā)布服務(wù)器添加在應(yīng)用發(fā)布服務(wù)器列表界面點(diǎn)擊 按鈕進(jìn)入“應(yīng)用發(fā)布服務(wù)器->編輯”界面，如圖.1所示，輸入應(yīng)用發(fā)布服務(wù)器的基本信息，基本信息包括名稱、IP地址、連接用戶數(shù)、連接口令、口令確認(rèn)。圖.1點(diǎn)擊提交按鈕，提示“應(yīng)用發(fā)布服務(wù)器添加成功”，如圖.2所示。圖.2返回應(yīng)用發(fā)布服務(wù)器列表頁(yè)面，會(huì)看到新追加的應(yīng)用發(fā)布服務(wù)器，如圖.3所示。圖. 應(yīng)用發(fā)布服務(wù)器修改在應(yīng)用發(fā)布服務(wù)器列表界面對(duì)指定的應(yīng)用發(fā)布服務(wù)器點(diǎn)擊

29、按鈕進(jìn)入編輯應(yīng)用發(fā)布服務(wù)器界面，如圖.1所示，修改應(yīng)用發(fā)布服務(wù)器的基本信息。點(diǎn)擊提交即完成應(yīng)用發(fā)布服務(wù)器修改。圖. 應(yīng)用發(fā)布服務(wù)器查詢?cè)趹?yīng)用發(fā)布服務(wù)器列表界面的名稱查詢框輸入要查詢的應(yīng)用發(fā)布服務(wù)器名稱，點(diǎn)擊查詢即可查到指定的應(yīng)用發(fā)布服務(wù)器。如圖.1所示。圖. 應(yīng)用發(fā)布服務(wù)器刪除在應(yīng)用發(fā)布服務(wù)器列表界面選中要?jiǎng)h除的應(yīng)用發(fā)布服務(wù)器，然后點(diǎn)擊 按鈕即可刪除應(yīng)用發(fā)布服務(wù)器。如圖.1所示。圖.1點(diǎn)擊刪除按鈕，提示刪除成功，如圖.2所示。圖.2點(diǎn)擊確定后，返回應(yīng)用

30、發(fā)布服務(wù)器列表頁(yè)面，應(yīng)用發(fā)布服務(wù)器被刪除，如圖.3所示。圖.33.3.4 郵件服務(wù)郵件服務(wù)是用來(lái)配置TA-SAG的郵件服務(wù)器的地址、發(fā)送方名稱，TA-SAG會(huì)使用發(fā)送方名稱給TA-SAG使用者發(fā)送郵件。在服務(wù)配置界面中點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)，進(jìn)入郵件服務(wù)配置界面，輸入基本信息，點(diǎn)擊 按鈕。如圖所示。圖如圖所示：【發(fā)送郵件服務(wù)器地址】選項(xiàng)為郵件服務(wù)器地址。【發(fā)送方用戶名】選項(xiàng)為T(mén)A-SAG的郵件發(fā)送者?！距]件接收地址】選項(xiàng)為郵件接收方地址，用來(lái)測(cè)試TA-SAG的郵件服務(wù)器地址是否可用。【測(cè)試按鈕】用來(lái)測(cè)試郵件接收地址列表中

31、的郵件地址是否能收到TA-SAG郵件服務(wù)器發(fā)送的郵件。3.4 系統(tǒng)配置 系統(tǒng)配置是系統(tǒng)本身的一些參數(shù)配置，例如網(wǎng)絡(luò)配置，環(huán)境配置等，這些功能為管理員操作主機(jī)系統(tǒng)提供了系統(tǒng)配置是系統(tǒng)本身的一些參數(shù)配置，例如網(wǎng)絡(luò)配置，環(huán)境配置等，這些功能為管理員操作主機(jī)系統(tǒng)提供了自定義配置。點(diǎn)擊TA-SAG一級(jí)菜單上的 圖標(biāo)進(jìn)入配置管理模塊。點(diǎn)擊左側(cè)二級(jí)菜單上的 圖標(biāo)進(jìn)入系統(tǒng)配置模塊。3.4.1 系統(tǒng)升級(jí) TA-SAG的系統(tǒng)升級(jí)功能提供了升級(jí)功能及補(bǔ)丁的入口，用戶可以通過(guò)升級(jí)功能為T(mén)A-SAG更新版本。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入系統(tǒng)升級(jí)界面， 如圖所示。圖該界面列出了

32、TA-SAG當(dāng)前的版本信息。用戶可以選擇需要升級(jí)的升級(jí)包點(diǎn)擊【開(kāi)始上傳】按鈕把升級(jí)包上傳到TA-SAG上。如圖所示。圖用戶可以通過(guò)系統(tǒng)比對(duì)查看版本差異，確認(rèn)無(wú)誤后點(diǎn)擊【升級(jí)】按鈕更新TA-SAG版本。3.4.2 系統(tǒng)監(jiān)控TA-SAG監(jiān)控提供了用戶查看TA-SAG工作狀態(tài)的信息，并且提供了重啟和關(guān)閉TA-SAG的功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入系統(tǒng)監(jiān)控界面TA-SAG支持系統(tǒng)的基本信息顯示。基本信息包括CPU監(jiān)控、內(nèi)存監(jiān)控、磁盤(pán)監(jiān)控、服務(wù)監(jiān)控。如圖圖3.4.3 網(wǎng)絡(luò)配置TA-SAG網(wǎng)絡(luò)配置提供了用戶配置TA-SAG網(wǎng)卡和路

33、由的功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入網(wǎng)絡(luò)配置界面。 網(wǎng)卡配置如圖.1所示為T(mén)A-SAG網(wǎng)口配置界面。圖.1點(diǎn)擊填寫(xiě)要配置的網(wǎng)口IP，MASK,GATEWAY到相應(yīng)的網(wǎng)口;如圖.2所示為eth0網(wǎng)口添加配置信息。圖.2在網(wǎng)絡(luò)配置界面點(diǎn)擊 即保存此網(wǎng)卡設(shè)置。 路由配置點(diǎn)擊路由配置按鈕便進(jìn)入了如圖.1為路由配置界面。圖.1要添加路由，根據(jù)選擇的路由標(biāo)志點(diǎn)擊在相應(yīng)文本框輸入網(wǎng)段，網(wǎng)關(guān)，子網(wǎng)掩碼；在如圖.2為T(mén)A-SAG添加網(wǎng)段為的網(wǎng)段點(diǎn)擊

34、 即可添加該網(wǎng)段。圖.2 刪除路由配置，如圖.3所示刪除網(wǎng)段為的路由信息。勾選要?jiǎng)h除路由 點(diǎn)擊刪除 。圖. 端口配置TA-SAG端口配置功能，可以自定義TA-SAG的端口開(kāi)關(guān)，防止外部攻擊。如圖.1所示為T(mén)A-SAG網(wǎng)口配置界面圖.1勾選需要關(guān)閉的端口點(diǎn)擊【保存設(shè)置】即可關(guān)閉勾選的端口。 網(wǎng)絡(luò)檢查T(mén)A-SAG的網(wǎng)絡(luò)與服務(wù)檢查提供了檢查目標(biāo)機(jī)網(wǎng)絡(luò)是否連通和端口是否開(kāi)啟的功能。如圖.1所示為T(mén)A-SAG網(wǎng)絡(luò)檢查界面。圖.1在IP文本框輸入目標(biāo)機(jī)器I

35、P地址填寫(xiě)存活數(shù)值m點(diǎn)擊【測(cè)試網(wǎng)絡(luò)】即可測(cè)試目標(biāo)機(jī)器網(wǎng)絡(luò)。如圖.1所示測(cè)試IP為92的目標(biāo)機(jī)器是否連通網(wǎng)絡(luò)。在IP，最大生存期，端口填寫(xiě)對(duì)應(yīng)的參數(shù)就可以測(cè)試連通性。3.4.4 認(rèn)證配置TA-SAG認(rèn)證配置提供了TA-SAG登錄系統(tǒng)的認(rèn)證配置及認(rèn)證的開(kāi)關(guān)功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入認(rèn)證配置界面。 OTP服務(wù)配置填寫(xiě)OTP服務(wù)信息，填寫(xiě)OTP服務(wù)主機(jī)地址和備機(jī)地址，OTP認(rèn)證端口，OTP認(rèn)證方法和OTP認(rèn)證密匙；如圖所示。圖勾選OTP服務(wù)開(kāi)關(guān) 點(diǎn)擊OTP服務(wù)配置界面 即可保存并開(kāi)啟OTP服務(wù)。不勾

36、選OTP服務(wù)開(kāi)關(guān) 點(diǎn)擊OTP服務(wù)配置界面 即可保存并關(guān)閉OTP服務(wù)。 域服務(wù)配置填寫(xiě)域服務(wù)配置信息，如圖所示。圖勾選 然后點(diǎn)擊域服務(wù)配置上 按鈕即可保存并開(kāi)啟域服務(wù)。不勾選 然后點(diǎn)擊域服務(wù)配置上 按鈕即可保存并關(guān)閉域服務(wù)。 證書(shū)配置 如圖所示圖 點(diǎn)擊 即可開(kāi)啟或關(guān)閉證書(shū)認(rèn)證。 MAC配置如圖所示 。 圖 點(diǎn)擊 即可開(kāi)啟或關(guān)閉全局MAC認(rèn)證。3.4.5 環(huán)境配置TA-SAG環(huán)境配置提供了用戶配置TA-SAG環(huán)境的功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入環(huán)境配置模

37、塊。如圖所示圖點(diǎn)擊環(huán)境配置界面時(shí)鐘文本效果如圖所示選擇年月日，時(shí)間。 圖【清空】可以清時(shí)間文本框內(nèi)時(shí)間信息?！窘裉臁靠梢赃x擇當(dāng)天時(shí)間。點(diǎn)擊時(shí)間框上 設(shè)置時(shí)間 點(diǎn)擊環(huán)境配置界面 即可設(shè)定TA-SAG時(shí)鐘。環(huán)境配置還可以配置認(rèn)證服務(wù)，命令審計(jì)服務(wù)，Syslog審計(jì)服務(wù)和日志存儲(chǔ)位置，注：一般不建議修改！如圖所示。圖3.4.6 審計(jì)修復(fù)TA-SAG支持審計(jì)修復(fù)功能，在發(fā)生審計(jì)無(wú)法顯示的情況，可以使用審計(jì)修復(fù)。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入審計(jì)修復(fù)界面。如圖。圖點(diǎn)擊【修復(fù)審計(jì)】

38、按鈕即可修復(fù)TA-SAG審計(jì)。3.4.7 恢復(fù)出廠設(shè)置TA-SAG恢復(fù)出廠設(shè)置提供了清空數(shù)據(jù)庫(kù)數(shù)據(jù)，LADP數(shù)據(jù)和日志數(shù)據(jù)的功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入端口配置界面。如圖所示。圖點(diǎn)擊【清除數(shù)據(jù)庫(kù)】是對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行清除【清空審計(jì)日志】是對(duì)審計(jì)日志進(jìn)行清除【清空外接存儲(chǔ)配置】是對(duì)外接存儲(chǔ)的配置信息進(jìn)行清除。在恢復(fù)出廠設(shè)置界面上點(diǎn)擊 可以重啟TA-SAG。在恢復(fù)出廠設(shè)置界面上點(diǎn)擊 可以關(guān)閉TA-SAG。在恢復(fù)出廠設(shè)置界面上點(diǎn)擊可以重新啟動(dòng)web服務(wù)。3.4.8 外接存儲(chǔ)設(shè)備TA-SAG外接存儲(chǔ)設(shè)備功能提供了外接硬盤(pán)掛載功能。在系統(tǒng)配置模塊點(diǎn)擊左側(cè)導(dǎo)航菜單上的 圖標(biāo)進(jìn)入外接存儲(chǔ)設(shè)備界面。外接存儲(chǔ)設(shè)備添加可用添加LINUX和WINDOWS類型設(shè)備。掛載WINDOWS類型磁盤(pán)，如圖所示。圖掛載LINUX類型磁盤(pán)，如圖所示。圖勾選需要?jiǎng)h除的磁盤(pán)信息，點(diǎn)擊【刪除選中】即可刪除磁盤(pán)共享。如圖所示。圖3.4.8.