天融信堡壘機配置文檔

安全運維審計配置手冊自然人：登錄堡壘機使用的賬號資源：需要堡壘機管理的服務(wù)器、網(wǎng)絡(luò)設(shè)備等等從賬號：資源本身的賬號，即登錄資源使用的賬號崗位：資源的集合，通過崗位可以將堡壘機管理的資源進行分類，便于管理員運維自然人與資源之間的使用邏輯關(guān)系個人崗位：崗位的子類，可以理解為對自然人來說個人獨有資源集合密碼代填：在運維人員登錄資源的時候，堡壘機可以代填用戶名密碼，如果不代填的情況下，需要用戶自己手動輸入用戶名密碼組織結(jié)構(gòu)：目錄樹是堡壘機自身的一個目錄結(jié)構(gòu)，它可以方便管理員對繁雜的用戶群體、資源群體進行歸類區(qū)分，可以對比windows或者Linux操作系統(tǒng)的文件系統(tǒng)進行理解目錄樹：可以將其理解為堡壘機目錄結(jié)構(gòu)的根目錄，類似于linux系統(tǒng)的根目錄堡壘機使用前準備1、訪問堡壘機頁面前瀏覽器配置堡壘機使用沁瀏覽器訪問，并需要配置加密協(xié)議0啟用Smartscreen篩選器□啟用本機KMLKITF支持0啟用集成Wind□竹s蛉證邛171啟用內(nèi)存?zhèn)R護耦助威少聯(lián)書_u_u_u12_1_..^.-1-1-1-LLcqcqcqssLLLssT-T-T使使使使伸□回回回11重置⑸一.重置⑸一.I□允許活動內(nèi)容在我的計算機上的文件中運行離□允許來自CD的活動內(nèi)容在我的計算機上運行重新啟動重新啟動InternetExplorer之后生效還原高級設(shè)關(guān)（K）重置InternetExplorer設(shè)置將Internn：tExp!orer設(shè)置重置為券認設(shè)置。僅在瀏裁器處于無法使用的狀態(tài)時，才使用此設(shè)置?！踉试S運行或安裝軟件，即使英名無效確定取消I應(yīng)用?|確定取消I應(yīng)用?|Internet逃項常規(guī)I安全|卜.I內(nèi)容I連接I程序］高7H號已啟用皮至遍置-T..ternen區(qū)段Internet逃項常規(guī)I安全|卜.I內(nèi)容I連接I程序］高7H號已啟用皮至遍置-T..ternen區(qū)段2<1tranet>-.LEmpLmt?:本地Intiajiet耳國鄴安全期別◎"ITD-I信在欣可信站點期站點自定義配Ei：‘正里酒JtWJLntemd

自定義嬲"I重況自定義設(shè)置重置為區(qū)|高鄲認］W：譽用2、訪問堡壘機頁面，并下載安裝標準版控件W：譽用■慘件下晝西工由更Jk1E&Eia.01汨事瑞於行?SA注：安裝控件的時候直接下一步直接安裝即可，安裝過程中關(guān)閉所有瀏覽器頁面安裝完控件以后訪問堡壘機，瀏覽器會提示運行加載項，點擊允許管理員對堡壘機的管理操作堡壘機管理員在管理堡壘機的時侯步驟如下：1、添加堡壘機用戶2、添加資源（需要堡壘機管理的設(shè)備）3、創(chuàng)建崗位（給資源劃分組）4、如果需要密碼代填功能可以將資源的賬號綁定到對應(yīng)資源中5、將崗位與堡壘機用戶關(guān)聯(lián)（將資源組給運維人員）1、用戶管理模塊創(chuàng)建自然人1、用戶賬號是登錄堡壘機時使用的賬號，用戶名稱是用于標識這個賬號用的可以使用中文2、初始化口令的默認密碼是123456,用戶初次登錄堡壘機的時候會強制要求修改密碼3、將用戶賬號、用戶名稱、密碼等信息都填寫完畢以后點擊保存即可創(chuàng)建自然人賬號，這個賬號是每個運維人員登錄堡壘機使用的賬號

2、資源管理模塊添加資源添加windows資源添加資源的賬號此處的賬號是被管設(shè)備的賬號，如果需要使用密碼代填功能，可以將賬號添加到堡壘機里面，如果不需要代填功能，此處可以略過，由于各類資源添加賬號造的方式一樣，此處僅以windows資源為例；￡DMM六癡—HR-MWAH叫H■.㈠1力修和Hi*■I■IBSfl『第『第WM：口［添加linux資源添加網(wǎng)絡(luò)設(shè)備（通過ssh或者telnet管理）添加安全設(shè)備（需要瀏覽器管理）注：1、應(yīng)用地址（域名）端口處默認http對應(yīng)80端口，https對應(yīng)443端口，如果對應(yīng)設(shè)備端口有改動，請輸入對應(yīng)的訪問端口即可2、登陸（URL）此處默認填寫“/”即可，如果有的設(shè)備訪問的時候必須加上一個索引關(guān)鍵字才能訪問的花，可以在“/”后面加上對應(yīng)的關(guān)鍵字3、應(yīng)用發(fā)布服務(wù)器需要點擊添加按鈕找到服務(wù)器并選擇administrator賬號，并綁定（這里的administrator賬號在別處都是這么實施的，至于是一定要使用administrator賬號，還是使用具有管理員權(quán)限的賬號就行這個沒有明確的規(guī)定，建議使用administrator賬號）4、這里的administrator賬號不對任何人開放，只是訪問bs資源的時候會用到，只有堡壘機可以調(diào)用3、創(chuàng)建崗位將資源分類，并將資源綁定到特定的崗位界t**毋罐H*里?KW*□mrz&fc*里?KW*□mrz&fcD|注：1、崗位是資源的集合，可以理解為資源分組，可以將資源分為不同的組并分配給不同的人員2、崗位綁定資源后如果需要這個分組中的某個資源在運維人員登陸的時候直接由堡壘機代填密碼的話可以將資源對應(yīng)的賬號綁定上3、如果運維人員登陸資源的時候需要手動輸入用戶名密碼的話不需要綁定賬號將崗位授權(quán)給自然人注：1、此處的作用就是將資源授權(quán)給運維人員2、綁定崗位的操作還可在用戶管理模塊每個用戶后方崗位按鈕處操作如果需要密碼代填功能，在創(chuàng)建崗位的時候或者個人崗位授權(quán)的時候可以進行賬號的綁定操作如何實現(xiàn)一些特殊功能1、實現(xiàn)密碼代填密碼代填功能就是運維人員在通過堡壘機管理資源的時候可以通過堡壘機代填用戶名密碼直接登陸使用具體配置步驟：1、崗位（分組）綁定資源?H星M1l?0*?H星M1l?0*sT□—□JQA3MJH.'-wW2>WtX-5HJIirHITS施時同*卦余H4H，那*Sfl'H.，□|［切三LJRWS?□ginnewnsAffl□1?t爐BSM2、在崗位中對應(yīng)的資源賬號處綁定資源的賬號3、將崗位授權(quán)給堡壘機運維人員對應(yīng)的賬號wn*gA登修?《RAM?LMitiiH-xurw-iiWWw2BW陋6*工鹿爐ISl'f-lSlUMlhlifi街拜就號正睡■■同頁對話標□言httpK/門我J63s3Z54,i：i.-t/dlgWin」部電正由觸2、實現(xiàn)不同的人管理不同的資源（即給不同的人分組）具體配置步驟:1、崗位（分組）綁定資源聲卅BM看附1nfU土皇WKSlfifl*■tl>BE*

sT■tl>B￥WDREW.Ml2、將崗位授權(quán)給堡壘機運維人員對應(yīng)的賬號運維人員操作運維人員登陸堡壘機后的操作如下：1、使用個人的堡壘機賬號登陸到堡壘機2、堡壘機頁面會顯示該用戶能管理的設(shè)備3、點擊需要遠程登陸的設(shè)備后面的配置登陸按鈕4、選擇相應(yīng)的登陸方式進行登陸操作1、使用個人的堡壘機賬號登陸到堡壘機2、堡壘機頁面會顯示該用戶能管理的設(shè)備資源的顯示是以崗位的形式進行分組的，點擊相應(yīng)的崗位名稱能夠跳轉(zhuǎn)到相應(yīng)的資源列表L*HB苴件率Sh電網(wǎng)1勺父恒源定號揖田貴防*ms?鼻』西京SUMmivM左尊flipr□■唯W摩金餐H堂'IIIfl.-'T-n/■百11廿rjBHfP-QkWwkItI1J.I.I2■制dlcamib-F1M.1B7.-4.14I電SWT孑-汨但小Fb占1?221.7-^二?W407W3P2M?mi1KL1E7.4.!!?□s^A+BJKIMGKhIPXH.LIW?-凸r.bINl.T.I.I如方-峪后融田麗trii?2Ji.7.tii0ZfrdOriXffl11111兩舊』.向□ID?氐寫信gB