06天玥運(yùn)維安全網(wǎng)關(guān)V6.0-應(yīng)用發(fā)布安裝配置手冊(cè)-v1.0-20170816更新

2017適用范圍：內(nèi)部應(yīng)用發(fā)布安裝配置手冊(cè)天玥運(yùn)維安全網(wǎng)關(guān)V6.0適用范圍：天玥OSM系列精細(xì)控制合規(guī)審計(jì)北京啟明星辰信息安全技術(shù)有限公司目錄1. 適用范圍 12. 準(zhǔn)備工作 13. 安裝步驟 13.1. 應(yīng)用發(fā)布服務(wù)器角色、管理工具配置 13.1.1. WindowsServer2008 13.1.2. WindowsServer2012 143.2. 安裝應(yīng)用發(fā)布APP程序 213.3. 注冊(cè)配置 253.3.1. 添加應(yīng)用發(fā)布服務(wù)器 253.3.2. 配置應(yīng)用工具 273.3.3. 發(fā)布管理 283.3.4. 驗(yàn)證應(yīng)用發(fā)布功能 293.4. http/https代填登錄 293.4.1. 添加http/https服務(wù) 293.4.2. 授權(quán)用戶 313.4.3. 發(fā)布應(yīng)用工具IE瀏覽器 323.4.4. 運(yùn)維登錄 323.5. 發(fā)布其他客戶端工具 323.5.1. VMwarevSphereClient 323.5.2. Google瀏覽器 393.6. 刪除已注冊(cè)的應(yīng)用發(fā)布服務(wù)器 424. 應(yīng)用發(fā)布客戶端列表 465. 應(yīng)用發(fā)布開放端口說(shuō)明 475.1. 應(yīng)用發(fā)布服務(wù)器開放端口 475.2. 運(yùn)維堡壘機(jī)開放端口 476. 應(yīng)用發(fā)布服務(wù)器基礎(chǔ)組策略 487. 安全性配置 517.1 禁用IE瀏覽器開發(fā)人員工具 527.2 去掉“IE選項(xiàng)卡瀏覽” 527.3 數(shù)據(jù)執(zhí)行保護(hù)DEP 547.4 磁盤安全性配置 557.5 關(guān)閉磁盤映射和剪切板 587.6 指定授權(quán)服務(wù)器 607.7 管理員密碼復(fù)雜度修改 617.8 禁用命令提示符 627.9 administrator密碼安全設(shè)定 627.10 關(guān)閉Windows+X熱鍵 627.11 防止從"我的電腦"訪問(wèn)驅(qū)動(dòng)器 637.12 隱藏IE“收藏夾”菜單 637.13 使用NTFS系統(tǒng) 637.14 關(guān)閉默認(rèn)共享 647.15 安裝防病毒軟件 647.16 管理缺省賬號(hào)-更改缺省帳戶名稱 647.17 關(guān)鍵權(quán)限指派安全要求-從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī) 657.18 關(guān)鍵權(quán)限指派安全要求-允許本地登錄 667.19 防火墻 677.20 關(guān)閉UAC 687.21 解決portal-DEC/RPC服務(wù)枚舉問(wèn)題 69天玥運(yùn)維安全網(wǎng)關(guān)V6.0PAGE39/72適用范圍應(yīng)用發(fā)布主要為將非標(biāo)準(zhǔn)協(xié)議或第三方客戶端工具進(jìn)行遠(yuǎn)程發(fā)布（例如http/https），并與天玥OSM關(guān)聯(lián)，可以通過(guò)天玥OSM調(diào)用應(yīng)用發(fā)布的應(yīng)用程序進(jìn)行運(yùn)維管理操作。準(zhǔn)備工作應(yīng)用發(fā)布服務(wù)器操作系統(tǒng)：Windowsserver2008EnterpriseR2SP1(64位)、Windowsserver2008StandardR2（64位）SP1版本；或者WindowsServer2012R2Standard（64位）版本，且配置windows管理員賬號(hào)和密碼；應(yīng)用發(fā)布服務(wù)器發(fā)布工具安裝程序。安裝步驟應(yīng)用發(fā)布服務(wù)的安裝需要經(jīng)過(guò)以下四個(gè)步驟：安裝應(yīng)用發(fā)布服務(wù)器的角色和管理工具安裝應(yīng)用發(fā)布APP程序注冊(cè)配置驗(yàn)證應(yīng)用發(fā)布功能應(yīng)用發(fā)布服務(wù)器角色、管理工具配置WindowsServer2008如果應(yīng)用發(fā)布服務(wù)器的操作系統(tǒng)版本為WindowsServer2008R2Standard或Enterprise(64位)SP1，需要通過(guò)以下方式配置服務(wù)器角色和角色管理工具。安裝服務(wù)器角色登陸預(yù)先準(zhǔn)備好的服務(wù)器，打開服務(wù)器管理器，選擇角色，再在右側(cè)點(diǎn)擊添加角色，如下圖所示： 點(diǎn)擊添加角色后直接選擇下一步， 在安裝服務(wù)器角色中選擇“遠(yuǎn)程桌面服務(wù)”，如下圖所示： 選擇完成后依次點(diǎn)擊下一步，在選擇角色服務(wù)框中選擇遠(yuǎn)程桌面主機(jī)會(huì)話和遠(yuǎn)程桌面授權(quán)（windows2008的遠(yuǎn)程桌面免費(fèi)使用時(shí)間是120天，必須在此期間激活遠(yuǎn)程桌面才能永久使用），如下圖所示： 再依次點(diǎn)擊下一步在身份驗(yàn)證方法中選擇“不需要選擇網(wǎng)絡(luò)身份驗(yàn)證”，如下圖所示： 點(diǎn)擊下一步后進(jìn)入授權(quán)模式，選擇“每用戶”，如下圖所示： 然后默認(rèn)配置依次點(diǎn)擊下一步直至安裝完成后點(diǎn)擊關(guān)閉重啟系統(tǒng)，如下圖所示： 系統(tǒng)重啟完畢后程序會(huì)繼續(xù)安裝，等待安裝完成后點(diǎn)擊關(guān)閉即可，如下圖所示：重啟后如下所示繼續(xù)安裝，直至安裝完成：安裝角色管理工具在服務(wù)器管理器中右擊“功能”并選擇“添加功能”彈出“添加功能向?qū)А睂?duì)話框，并勾選“Telnet客戶端”。如下圖：在“功能”選項(xiàng)中勾選“Windows內(nèi)部數(shù)據(jù)庫(kù)”和“Windows系統(tǒng)資源管理器”，如下圖：如下圖勾選“ADDS和ADLDS工具”的所有子項(xiàng)：接下來(lái)再勾選“組策略管理”，如下圖：再勾選“桌面體驗(yàn)”，如下圖：完成安裝后，系統(tǒng)會(huì)提示重啟，如下圖：重啟后會(huì)自動(dòng)繼續(xù)安裝，直至安裝完成：創(chuàng)建全局對(duì)象打開本地安全策略，選擇本地策略的用戶權(quán)限分配，再選擇創(chuàng)建全局對(duì)象，加入users組，如下圖所示：修改遠(yuǎn)程桌面會(huì)話主機(jī)用戶打開管理工具，選擇遠(yuǎn)程桌面服務(wù)的遠(yuǎn)程桌面會(huì)話主機(jī)配置，在RDP屬性的常規(guī)選項(xiàng)中，將安全層設(shè)置為“RDP安全層”，如圖所示。WindowsServer2012安裝服務(wù)器角色和管理工具當(dāng)應(yīng)用發(fā)布服務(wù)器的操作系統(tǒng)版本為WindowsServer2012R2Standard（64位），需要通過(guò)以下方式配置服務(wù)器角色和角色管理工具。在服務(wù)器管理器中選擇管理，添加角色和功能，進(jìn)入配置向?qū)Ы缑妫涸诎惭b類型選項(xiàng)卡中，選擇“基于角色或基于功能的安裝”：在服務(wù)器選擇選項(xiàng)卡中，從服務(wù)器池中選中本地服務(wù)器：在服務(wù)器角色選項(xiàng)卡中，添加遠(yuǎn)程桌面服務(wù)：在功能選項(xiàng)卡中，添加Telnet客戶端、Windows內(nèi)部數(shù)據(jù)庫(kù)、組策略管理功能：在遠(yuǎn)程桌面服務(wù)--角色服務(wù)選項(xiàng)卡中，選擇遠(yuǎn)程桌面會(huì)話主機(jī)、遠(yuǎn)程桌面授權(quán)服務(wù)：開始安裝，安裝完成后系統(tǒng)會(huì)自動(dòng)提示重啟，重啟后系統(tǒng)會(huì)繼續(xù)安裝直至安裝完成：注意：安裝完成之后，確保遠(yuǎn)程桌面設(shè)置中，不要勾選“僅運(yùn)行使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接（建議）”：為Windows服務(wù)器創(chuàng)建全局對(duì)象，打開本地安全策略，選擇本地策略的用戶權(quán)限分配，再選擇創(chuàng)建全局對(duì)象，加入users組，如下圖所示：安裝windows補(bǔ)丁如果應(yīng)用發(fā)布服務(wù)器為windows2012R2版本，安裝應(yīng)用發(fā)布程序前請(qǐng)?zhí)崆鞍惭bwindows2012R2的補(bǔ)丁包Windows8.1-KB2919355-x64.msu、Windows8.1-KB2919442-x64.msu和Windows8.1-KB2999226-x64.cab。補(bǔ)丁包和安裝方法的下載地址：鏈接：/s/1eQyjqXs

密碼：su6e安裝應(yīng)用發(fā)布APP程序以管理員賬號(hào)登錄應(yīng)用發(fā)布服務(wù)器，通過(guò)本地介質(zhì)（如U盤、光盤、共享磁盤等）上傳安裝文件到應(yīng)用發(fā)布服務(wù)器任意目錄等待安裝(注意：應(yīng)用發(fā)布程序版本號(hào)要與堡壘機(jī)的版本號(hào)配套)。注意：運(yùn)行安裝程序需要滿足以下條件：以管理員賬號(hào)登錄;必須配置為終端服務(wù)器，配置過(guò)程可參照3.1節(jié)。準(zhǔn)備就緒，雙擊安裝程序，點(diǎn)擊“下一步”進(jìn)入待安裝界面，如圖所示：點(diǎn)擊“安裝”開始安裝程序：正在安裝，如圖所示：安裝完成，根據(jù)提示重啟電腦。如圖所示：注冊(cè)配置添加應(yīng)用發(fā)布服務(wù)器管理員登陸運(yùn)維安全管控系統(tǒng)控制臺(tái)，導(dǎo)航條選擇【系統(tǒng)管理】->【設(shè)備管理】，點(diǎn)擊“注冊(cè)設(shè)備”，設(shè)備類型選擇應(yīng)用發(fā)布服務(wù)器，如圖所示：注意：如在運(yùn)維堡壘機(jī)管理界面的網(wǎng)絡(luò)配置中對(duì)多個(gè)網(wǎng)口配置了IP地址，請(qǐng)使用能與應(yīng)用發(fā)布服務(wù)器正常通信的IP地址登錄WEB管理界面進(jìn)行應(yīng)用發(fā)布服務(wù)器的添加；運(yùn)維堡壘機(jī)系統(tǒng)時(shí)間與應(yīng)用發(fā)布服務(wù)器系統(tǒng)時(shí)間相差不能超過(guò)5分鐘；注冊(cè)前應(yīng)用發(fā)布服務(wù)器必須屬于工作組中，不能屬于某個(gè)域（通過(guò)“我的電腦”屬性中進(jìn)行查看）。運(yùn)維堡壘機(jī)版應(yīng)用發(fā)布服務(wù)器添加過(guò)程如下：點(diǎn)擊“開始注冊(cè)”后，系統(tǒng)會(huì)生成一段設(shè)備密鑰，完成后如圖所示：登錄應(yīng)用發(fā)布服務(wù)器，啟動(dòng)“應(yīng)用服務(wù)器配置”客戶端，手動(dòng)點(diǎn)擊注冊(cè)，輸入堡壘機(jī)IP地址和注冊(cè)密鑰，配置完成后應(yīng)用發(fā)布服務(wù)器自動(dòng)重啟，如圖所示：配置完成后，可以查看應(yīng)用發(fā)布服務(wù)器運(yùn)行狀態(tài)（在線）。配置應(yīng)用工具堡壘機(jī)管理頁(yè)面應(yīng)用發(fā)布項(xiàng)中列出了默認(rèn)支持的工具，需要通過(guò)應(yīng)用發(fā)布使用的工具，都需要提前在應(yīng)用發(fā)布服務(wù)器上安裝好，并核對(duì)工具實(shí)際路徑與應(yīng)用發(fā)布管理頁(yè)面中對(duì)應(yīng)工具的實(shí)際路徑是否一致，不一致可在屬性中進(jìn)行修改，打開【系統(tǒng)管理】->【應(yīng)用發(fā)布】->【應(yīng)用工具】如圖所示：發(fā)布管理導(dǎo)航條選擇【系統(tǒng)管理】->【應(yīng)用發(fā)布】，選擇發(fā)布管理的“發(fā)布”，如圖所示：點(diǎn)擊“選擇應(yīng)用程序”，勾選需要發(fā)布的工具，如圖所示：將待發(fā)布的應(yīng)用程序路徑（工具在應(yīng)用發(fā)布服務(wù)器上的路徑）加上，選擇應(yīng)用發(fā)布服務(wù)器后，“保存”即可，如圖所示：發(fā)布完成后，如下圖所示：至此，應(yīng)用發(fā)布相關(guān)配置已完成，接下來(lái)可用用戶賬號(hào)登錄系統(tǒng)操作。驗(yàn)證應(yīng)用發(fā)布功能使用運(yùn)維賬號(hào)登錄系統(tǒng)，選擇“SSH服務(wù)”或“Telnet服務(wù)”，可選擇“應(yīng)用發(fā)布代理”連接服務(wù)驗(yàn)證運(yùn)維操作是否正常，如圖所示：http/https代填登錄添加http/https服務(wù)在資源管理中，添加http或https的服務(wù)，如下圖所示：添加通過(guò)http或https方式登錄應(yīng)用系統(tǒng)的賬號(hào)和密碼。在HTTPS參數(shù)中： 訪問(wèn)地址：填入訪問(wèn)應(yīng)用的URL地址（以下以通過(guò)應(yīng)用發(fā)布訪問(wèn)天玥運(yùn)維安全網(wǎng)關(guān)V6.0為例）。 用戶節(jié)點(diǎn)類型:根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素類型選擇id、name或xpath 用戶節(jié)點(diǎn)名：根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素的節(jié)點(diǎn)名填寫（在應(yīng)用系統(tǒng)登錄界面按F12打開“開發(fā)人員工具”，如下圖點(diǎn)擊“箭頭”后，鼠標(biāo)左鍵選中用戶名輸入框，在代碼欄中可以看到：name=“u”,在HTTPS參數(shù)配置界面用戶節(jié)點(diǎn)類型選擇：name，用戶名節(jié)點(diǎn)：u）密碼節(jié)點(diǎn)類型:根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素類型選擇id、name或xpath 密碼節(jié)點(diǎn)名：根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素的節(jié)點(diǎn)名填寫。（在應(yīng)用系統(tǒng)登錄界面按F12打開“開發(fā)人員工具”，如下圖點(diǎn)擊“箭頭”后，鼠標(biāo)左鍵選中密碼輸入框，在代碼欄中可以看到：name=“p”,在HTTPS參數(shù)配置界面密碼節(jié)點(diǎn)類型選擇：name，密碼節(jié)點(diǎn)：p）提交節(jié)點(diǎn)類型:根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素類型選擇id、name或xpath 提交節(jié)點(diǎn)名：根據(jù)實(shí)際應(yīng)用系統(tǒng)登錄頁(yè)面的元素的節(jié)點(diǎn)名填寫。（在應(yīng)用系統(tǒng)登錄界面按F12打開“開發(fā)人員工具”，如下圖點(diǎn)擊“箭頭”后，鼠標(biāo)左鍵選中“登錄”，在代碼欄中可以看到：name=“l(fā)ogin”,在HTTPS參數(shù)配置界面提交節(jié)點(diǎn)類型選擇：name，提交節(jié)點(diǎn)：login）授權(quán)用戶對(duì)指定用戶授權(quán)訪問(wèn)http/https的應(yīng)用，檢查連接參數(shù)是否配置正確（如下圖）。發(fā)布應(yīng)用工具IE瀏覽器在“應(yīng)用發(fā)布”界面，發(fā)布IE瀏覽器，與應(yīng)用發(fā)布服務(wù)器關(guān)聯(lián)。運(yùn)維登錄在運(yùn)維登錄界面，選擇需要訪問(wèn)的http/https應(yīng)用，連接服務(wù)。如果登陸界面有驗(yàn)證碼，驗(yàn)證碼是隨機(jī)生成的，所以驗(yàn)證碼不支持代填,如果無(wú)驗(yàn)證碼項(xiàng)，此時(shí)會(huì)直接代填賬號(hào)密碼并登錄進(jìn)入系統(tǒng)管理界面。發(fā)布其他客戶端工具VMwarevSphereClient以發(fā)布VMware客戶端工具VMwarevSphereClient為例1、自定義服務(wù)類型，在【資源管理】的【資源服務(wù)類型】添加VMware服務(wù)，如圖，端口可設(shè)置為0；2、在應(yīng)用發(fā)布服務(wù)器上安裝好需要發(fā)布的工具，如VMwarevSphereClient；3、在堡壘機(jī)管理界面的應(yīng)用發(fā)布中添加應(yīng)用工具VMwarevSphereClient（1）設(shè)置應(yīng)用程序名稱，設(shè)置其在應(yīng)用發(fā)布服務(wù)器上的真實(shí)路徑；（2）設(shè)置應(yīng)用程序的顯示圖標(biāo)，可以選擇系統(tǒng)自帶的圖標(biāo)，也可自定義圖標(biāo)（圖片像素為32*32，圖片格式為PNG）；（3）服務(wù)類型設(shè)置為剛才新增加的服務(wù)類型VMware（4）設(shè)置代填方式，編寫代填腳本(如果不需要代填，可不用配置)詳細(xì)代填腳本如下（注意每條操作命令間要換行）：;%TOOLPATH%

WinWait,VMwarevSphereClient

WinActivate

Togglelock(1)

Sleep,500

Send!n

Send,{Del30}{Backspace30}

Send,%HOSTIP%

Sleep,500

Send!u

Send,{Del30}{Backspace30}

Send,%USERNAME%

Sleep,500

Send!p

SendRaw,%PASSWORD%

Sleep,500

Togglelock(0)

Send,{Enter}腳本內(nèi)容說(shuō)明：;%TOOLPATH%啟動(dòng)運(yùn)維工具

WinWait,VMwarevSphereClient 等待運(yùn)維工具窗口出現(xiàn)

WinActivate 激活指定的窗口（讓它置于最前面）

Togglelock(1)鎖定，防止鍵盤和鼠標(biāo)操作

Sleep,500等待500毫秒

Send!n發(fā)送快捷鍵alt+a，定位光標(biāo)到IP輸入框

Send,{Del30}{Backspace30}刪除輸入框中已有內(nèi)容

Send,%HOSTIP% 傳入主機(jī)IP

Sleep,500 等待500毫秒

Send!u 發(fā)送快捷鍵alt+u，定位光標(biāo)到用戶名輸入框

Send,{Del30}{Backspace30} 刪除輸入框中已有內(nèi)容

Send,%USERNAME% 傳入用戶名

Sleep,500 等待500毫秒

Send

!p 發(fā)送快捷鍵alt+p，定位光標(biāo)到密碼輸入框

SendRaw,

%PASSWORD% 傳入用戶名

Sleep,500 等待500毫秒

Togglelock(0) 解除鎖定，允許鍵盤和鼠標(biāo)操作

Send,{Enter} 執(zhí)行回車操作（5）將VMware代填方式設(shè)置為“默認(rèn)”4、發(fā)布管理中，發(fā)布剛才添加的應(yīng)用工具5、添加資源（1）在資源管理界面添加資源，服務(wù)類型設(shè)置自定義的VMware類型，應(yīng)用發(fā)布代填方式選擇為應(yīng)用工具默認(rèn)（前提上述設(shè)置代填方式步驟中vpxclient代填方式已設(shè)置為默認(rèn)代填方式）或VMware均可；（2）添加VMware登錄賬號(hào)密碼；6、訪問(wèn)策略中，授權(quán)運(yùn)維賬號(hào)訪問(wèn)剛才新建的VMware資源的VMware服務(wù)和登錄賬號(hào)；7、使用授權(quán)了VMware資源的運(yùn)維賬號(hào)登錄；調(diào)起VMclient工具后，自動(dòng)完成登錄IP、用戶名、密碼代填并進(jìn)行登錄。Google瀏覽器應(yīng)用發(fā)布服務(wù)器上安裝Google瀏覽器，建議直接安裝在C盤默認(rèn)路徑；堡壘機(jī)應(yīng)用發(fā)布的應(yīng)用工具界面添加google瀏覽器，填入應(yīng)用發(fā)布服務(wù)器上谷歌瀏覽器上的真實(shí)路徑選擇需要使用的圖標(biāo)；綁定服務(wù)類型選擇HTTP(S)類型添加代填方式代填腳本內(nèi)容：;%TOOLPATH%%URL%-no-sandbox--disable-accelerated-compositingWinWait,Chrome-GoogleChromeWinActivate設(shè)置剛才新添加的代填腳本為“默認(rèn)”。發(fā)布Google瀏覽器通過(guò)Google瀏覽器訪問(wèn)對(duì)應(yīng)資源刪除已注冊(cè)的應(yīng)用發(fā)布服務(wù)器1、WEB管理界面刪除應(yīng)用發(fā)布服務(wù)器如果需要?jiǎng)h除已注冊(cè)的應(yīng)用發(fā)布服務(wù)器，使用管理員賬號(hào)登陸WEB管理界面，在設(shè)備管理中，“選擇”應(yīng)用發(fā)布服務(wù)器進(jìn)行“刪除”，最后在使用應(yīng)用發(fā)布服務(wù)器的管理員賬號(hào)登錄，打開桌面的應(yīng)用發(fā)布程序，查看“服務(wù)器狀態(tài)”，如刪除成功，服務(wù)器狀態(tài)為未注冊(cè)狀態(tài)。2、查看應(yīng)用發(fā)布是否刪除成功如果管理頁(yè)面上刪除了應(yīng)用發(fā)布服務(wù)器，但是在應(yīng)用發(fā)布程序上顯示“服務(wù)器狀態(tài)”還是已注冊(cè)狀態(tài)。請(qǐng)按照以下步驟進(jìn)行操作：（1）刪除組成員管理員賬號(hào)登錄“應(yīng)用發(fā)布服務(wù)器”，選擇“服務(wù)器管理器”->“配置”->“本地用戶和組”->“組”，點(diǎn)擊“RemoteDesktopUsers”，將成員刪除，如圖所示：（2）清除注冊(cè)信息在應(yīng)用發(fā)布服務(wù)器上，打開“C:\Windows\App\cfg\Config.ini”文件(由于C:\Windows\App\cfg是隱藏目錄，可在資源管理器的地址欄中直接輸入C:\Windows\App\cfg目錄)，然后編輯Config.ini文件，將[Global]里以下兩行內(nèi)容刪除，如沒(méi)有即可不用操作，如圖所示：（3）加入工作組右鍵選擇計(jì)算機(jī)“屬性”->“更改設(shè)置”->“更改”，將“隸屬于”項(xiàng)選擇為“工作組”（組名隨意?。?，然后點(diǎn)擊確定，如圖所示：確定后，系統(tǒng)會(huì)彈出驗(yàn)證框，需要輸入administrator管理員賬號(hào)和密碼，然后確定即可將“應(yīng)用發(fā)布服務(wù)器”加入到工作組（如圖所示），根據(jù)提示重啟系統(tǒng)，這樣之前的注冊(cè)信息就清理掉了。應(yīng)用發(fā)布客戶端列表應(yīng)用發(fā)布支持客戶端工具版本：(使用應(yīng)用發(fā)布調(diào)用工具，需要提前在應(yīng)用發(fā)布服務(wù)器上安裝好對(duì)應(yīng)運(yùn)維工具)默認(rèn)支持客戶端推薦版本號(hào)備注SQLservermanagementstudio2005/2008用于SQLserverNavicatPremium11.1.9用于SQLserver、Oracle、MysqlWinscp4.29及以上版本用于SFTP、FTPFlashFXP5.1.0用于SFTP、FTPFFFTP1.97用于FTPPutty用于SSH、telnet、rloginSecureCRT6.5及以上版本用于SSH、telnetXshellV3.0及以上版本用于SSH、telnetSSHSecureShellClient3.2.9用于SSHMstsc6.1及以上用于RDP、VNCOracle客戶端oracle11goracleclient服務(wù)（使用plsql、toad工具必須先安裝oracleclient）SQLPlus用于oracle，必須先安裝Oracle客戶端PlsqlDeveloper7.0及以上版本用于oracle，必須先安裝Oracle客戶端ToadforOracle11.0.0用于oracle，必須先安裝Oracle客戶端Questcentralfordb25.0用于DB2SqlDbx用于DB2SqlDbxPro用于DB2DbVisualizer9.1.7用于Oracle、DB2、Mysql、Informix和PostgresqlPgAdmin31.16或更高用于PostgresqlSQLAdvantage12.5用于SybaseSqleditor4.00用于InformixTeradataSQLAssistant14.10用于TeradataInternetExplorer8用于支持http(s)應(yīng)用，但不支持含有動(dòng)態(tài)驗(yàn)證碼的應(yīng)用FirefoxV35及以下版本用于支持http(s)應(yīng)用，但不支持含有動(dòng)態(tài)驗(yàn)證碼的應(yīng)用說(shuō)明：以上工具支持通過(guò)堡壘機(jī)單點(diǎn)登錄，且支持密碼代填，可錄像應(yīng)用發(fā)布開放端口說(shuō)明應(yīng)用發(fā)布服務(wù)器開放端口應(yīng)用發(fā)布服務(wù)器運(yùn)維業(yè)務(wù)開放端口如下：端口號(hào)服務(wù)協(xié)議描述3389RDPTCP向用戶開放，目前不能修改端口號(hào)5108設(shè)備管理TCP向堡壘機(jī)開放，不能修改端口號(hào)注意：因?yàn)檫\(yùn)維用戶是通過(guò)應(yīng)用發(fā)布訪問(wèn)資源主機(jī)，所以資源主機(jī)需要向應(yīng)用發(fā)布服務(wù)器開放需要納入天玥OSM系統(tǒng)管理的服務(wù)所對(duì)應(yīng)的端口。運(yùn)維堡壘機(jī)開放端口運(yùn)維堡壘機(jī)針對(duì)應(yīng)用發(fā)布服務(wù)器開放如下端口：端口號(hào)服務(wù)協(xié)議描述53應(yīng)用發(fā)布AD域DNSTCP/UDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)88應(yīng)用發(fā)布AD域kerberosTCP/UDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)135應(yīng)用發(fā)布AD域EndPointMapper(DCE/RPCLocatorService)TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)137應(yīng)用發(fā)布AD域NetBIOSNameServiceUDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)138應(yīng)用發(fā)布AD域NetBIOSDatagramUDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)139應(yīng)用發(fā)布AD域NetBIOSSessionTCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)389應(yīng)用發(fā)布AD域TCP/UDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)445應(yīng)用發(fā)布AD域SMBoverTCPTCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)464應(yīng)用發(fā)布AD域KerberoskpasswdTCP/UDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)636應(yīng)用發(fā)布AD域LDAPS

(onlyif"tlsenabled=yes")TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)1024應(yīng)用發(fā)布AD域DynamicRPCPorts*TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)3268應(yīng)用發(fā)布AD域GlobalCatalogeTCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)3269應(yīng)用發(fā)布AD域GlobalCatalogeSSL

(onlyif"tlsenabled=yes")TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)5109設(shè)備事件通知TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)5110審計(jì)日志TCP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)5353組播DNSTCP/UDP向應(yīng)用發(fā)布服務(wù)器開放，不能修改端口號(hào)應(yīng)用發(fā)布服務(wù)器基礎(chǔ)組策略從堡壘機(jī)版本v6.0.4開始，為提高應(yīng)用發(fā)布服務(wù)器系統(tǒng)的安全性和簡(jiǎn)化應(yīng)用發(fā)布的部署步驟，將部署中要設(shè)置的安全策略集成至堡壘機(jī)，在應(yīng)用發(fā)布成功注冊(cè)到堡壘機(jī)后即在應(yīng)用發(fā)布服務(wù)器上自動(dòng)生效。詳細(xì)的安全組策略規(guī)則如下表（如實(shí)際使用中需要關(guān)閉某項(xiàng)設(shè)置也可參考下表的路徑進(jìn)行設(shè)置）：設(shè)置狀態(tài)選項(xiàng)路徑創(chuàng)建全局對(duì)象Domainusers計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/用戶權(quán)限分配允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄Domainusers

Administrators

RemoteDesktopUsers計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/用戶權(quán)限分配設(shè)備：防止用戶安裝打印機(jī)已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)首先使用遠(yuǎn)程桌面輕松打印打印機(jī)驅(qū)動(dòng)程序已啟用計(jì)算機(jī)配置/策略/管理模板/Windows組件/遠(yuǎn)程桌面服務(wù)/遠(yuǎn)程桌面會(huì)話主機(jī)/打印機(jī)重定向網(wǎng)絡(luò)安全：在下一次更改密碼時(shí)不存儲(chǔ)LAN管理器哈希值已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶的匿名枚舉已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)交互式登錄：不顯示最后的用戶名已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)網(wǎng)絡(luò)訪問(wèn)：不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)帳戶：來(lái)賓帳戶狀態(tài)已禁用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)帳戶：使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄已啟用計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)域成員：計(jì)算機(jī)帳戶密碼最長(zhǎng)使用期限0天計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)帳戶：重命名來(lái)賓帳戶nobody計(jì)算機(jī)配置/策略/Widnows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)全局配置設(shè)置已啟用計(jì)算機(jī)配置/策略/管理模板/系統(tǒng)/Windows時(shí)間服務(wù)配置WindowsNTP客戶端已啟用NtpServer=dc-master.app.local,0x01

類型=NT5DS

CrossSiteSyncFlags=2

ResolvePeerBackoffMinutes=1

ResolvePeerBackoffMaxTimes=7

SpecialPollInterval=120

EventLogFlags=3計(jì)算機(jī)配置/策略/管理模板/系統(tǒng)/Windows時(shí)間服務(wù)/時(shí)間提供程序啟用WindowsNTP客戶端已啟用計(jì)算機(jī)配置/策略/管理模板/系統(tǒng)/Windows時(shí)間服務(wù)/時(shí)間提供程序啟用WindowsNTP服務(wù)器已啟用計(jì)算機(jī)配置/策略/管理模板/系統(tǒng)/Windows時(shí)間服務(wù)/時(shí)間提供程序限制配置文件大小已啟用已超出配置文件存儲(chǔ)空間的限制。在注銷前，您需要將配置文件中的一些項(xiàng)目移到網(wǎng)絡(luò)或本地存儲(chǔ)中。

最大配置文件大?。?120000500M

每30分鐘提醒用戶用戶配置/策略/管理模板/系統(tǒng)/用戶配置文件帳戶鎖定時(shí)間30分鐘計(jì)算機(jī)配置/策略/Windows設(shè)置/安全設(shè)置/帳戶策略/帳戶鎖定策略帳戶鎖定閥值5次無(wú)效登錄計(jì)算機(jī)配置/策略/Windows設(shè)置/安全設(shè)置/帳戶策略/帳戶鎖定策略重置帳戶鎖定計(jì)數(shù)器30分鐘之后計(jì)算機(jī)配置/策略/Windows設(shè)置/安全設(shè)置/帳戶策略/帳戶鎖定策略審核策略計(jì)算機(jī)配置/策略/Windows設(shè)置/安全設(shè)置/本地策略/審核策略啟用屏幕保護(hù)程序已禁用用戶配置/策略/管理模板/控制面板/個(gè)性化阻止執(zhí)行首次運(yùn)行自定義設(shè)置已啟用直接轉(zhuǎn)到主頁(yè)用戶配置/策略/管理模板/Windows組件/InternetExplorer用戶組策略刷新間隔已啟用5分鐘5分鐘用戶配置/策略/管理模板/系統(tǒng)/組策略阻止訪問(wèn)注冊(cè)表編輯工具已啟用是用戶配置/策略/管理模板/系統(tǒng)刪除Windows資源管理器的默認(rèn)上下文菜單已啟用用戶配置/策略/管理模板/Windows組件/Windows資源管理器關(guān)閉Windows+X熱鍵已啟用用戶配置/策略/管理模板/Windows組件/Windows資源管理器安全性配置應(yīng)用服務(wù)器安裝完成后，為保證使用安全，可按照以下步驟進(jìn)行設(shè)置，具體配置操作如下：禁用IE瀏覽器開發(fā)人員工具（1）使用管理員administrator登錄應(yīng)用發(fā)布服務(wù)器，在“開始”->“運(yùn)行”中輸入“gpedit.msc”打開“本地組策略管理器”；（2）在“本地組策略管理器”中，選擇“計(jì)算機(jī)配置”->“管理模板”“InternetExplorer”->“工具欄”,啟用“關(guān)閉開發(fā)人員工具”選項(xiàng)，如下圖所示。去掉“IE選項(xiàng)卡瀏覽”關(guān)閉目的避免用戶在使用IE瀏覽器操作時(shí)，新建選項(xiàng)卡訪問(wèn)其他的網(wǎng)頁(yè)，如圖所示關(guān)閉方法管理員賬號(hào)登錄應(yīng)用發(fā)布服務(wù)器，運(yùn)行“gpedit.msc”打開本地組策略編輯器，依次展開：用戶配置-管理模版-windows組建，點(diǎn)擊InternetExplorer選項(xiàng)，在右側(cè)窗口找到“關(guān)閉選項(xiàng)卡瀏覽”項(xiàng)，如圖所示雙擊“關(guān)閉選項(xiàng)卡瀏覽”選項(xiàng)對(duì)該項(xiàng)進(jìn)行編輯，將“未配置”改為“已啟用”，點(diǎn)擊應(yīng)用并確定，關(guān)閉完成。如圖所示數(shù)據(jù)執(zhí)行保護(hù)DEP管理員賬號(hào)登錄應(yīng)用發(fā)布服務(wù)器，右鍵單擊【計(jì)算機(jī)】，選擇【屬性】-【高級(jí)系統(tǒng)設(shè)置】，在彈出的“系統(tǒng)屬性”對(duì)話框中單擊【高級(jí)】選項(xiàng)卡，然后單擊該對(duì)話框中的【設(shè)置】按鈕，彈出“性能選項(xiàng)”對(duì)話框，再切換到【數(shù)據(jù)執(zhí)行保護(hù)】選項(xiàng)卡，選擇“僅為基本W(wǎng)indows程序和服務(wù)啟用DEP(T)”，如圖所示：圖數(shù)據(jù)執(zhí)行保護(hù)磁盤安全性配置管理員登錄應(yīng)用發(fā)布服務(wù)器，選擇【開始】-【運(yùn)行】，然后輸入“gpedit.msc”命令，打開【本地組策略編輯器】，如下圖所示：圖磁盤安全性配置圖磁盤安全性配置選擇【用戶配置】-【管理模板】-【W(wǎng)indows組件】-【W(wǎng)indows資源管理器】，雙擊右側(cè)“隱藏‘我的電腦’中的這些指定的驅(qū)動(dòng)器”，設(shè)置為【已啟用】，并選擇驅(qū)動(dòng)器為A、B、C、D四個(gè)，如下圖所示：圖磁盤安全性配置圖磁盤安全性配置同樣，再雙擊選擇右側(cè)“防止從‘我的電腦’訪問(wèn)驅(qū)動(dòng)器”，設(shè)置為【已啟用】，并選擇驅(qū)動(dòng)器為A、B、C、D四個(gè)，如下圖所示：圖磁盤安全性配置圖磁盤安全性配置雙擊選擇右側(cè)“隱藏Windows資源管理器上下文菜單上的“管理”項(xiàng)目”，設(shè)置為【已啟用】，如下圖所示：圖磁盤安全性配置圖磁盤安全性配置關(guān)閉磁盤映射和剪切板管理員登錄應(yīng)用發(fā)布服務(wù)器，選擇【開始】-【管理工具】-【服務(wù)器管理器】，然后點(diǎn)開【角色】和【遠(yuǎn)程桌面服務(wù)】前面的加號(hào)，選擇【RD會(huì)話主機(jī)配置】，然后雙擊右側(cè)“RDP-Tcp”，如下圖所示：圖關(guān)閉磁盤映射和剪切板在彈出的對(duì)話框中，選擇【客戶端設(shè)置】選項(xiàng)卡，將“禁用以下項(xiàng)目”中的【驅(qū)動(dòng)器】和【剪切板】打勾（其他項(xiàng)目根據(jù)實(shí)際情況勾選，建議全選），確定即可，如圖所示：圖關(guān)閉磁盤映射和剪切板指定授權(quán)服務(wù)器在RD會(huì)話主機(jī)配置頁(yè)面指定授權(quán)服務(wù)器，雙擊“遠(yuǎn)程桌面授權(quán)服務(wù)器”。注意：該操作應(yīng)該放在應(yīng)用發(fā)布服務(wù)器已配置了IP且計(jì)算機(jī)名稱已完成修改的情況下再做，否則該授權(quán)服務(wù)器的指定無(wú)效。具體配置過(guò)程如下圖所示：圖指定授權(quán)服務(wù)器在彈出的對(duì)話框中，選擇【授權(quán)】選項(xiàng)卡，然后點(diǎn)擊【添加】，可以看到已知許可證服務(wù)器，選中點(diǎn)擊【添加】，確定即可，如圖所示：圖指定授權(quán)服務(wù)器管理員密碼復(fù)雜度修改為了滿足密碼復(fù)雜度的要求，需要對(duì)超級(jí)管理員默認(rèn)密碼進(jìn)行修改，用超級(jí)管理員登錄管理界面（https://堡壘機(jī)IP），選中右上角【修改密碼】，如下圖所示