天融信堡垒主机ta-sag用户操作手册配置管理

天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-咨 i（总部咨 i（总部：咨 （总部：咨 （总部：第一章前 简 文档目 读者对 第二章登录系 字认证登 LDAP域认证登 第三章配置管 概 策略配 FTP控制策 口令策 服务配 邮件服 系统配 系统升 系统网络配 认证配 环境配 审计修 外接设 消息管 天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-：1/（总部：1/（总部咨 22/第一 前简TA-SAG（TA-SAG）配置管理模块是系统管理员的配置文档目TA-SAG读者对第二 登录系 如:。在该例中，54为TA-SAGIP地址（TA-SAG出厂设置的IP54。当在浏览器中输入示例内容后，点击回车（TA-SAG时，如果需要方式的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的静态口令认证字认证登TA-SAG认证登录，支持的形式包括软认证，Usbkey认证两种。这两种形式的唯一区别在于所依赖的截止不同。Usbkey只是将导入Usb硬件Key中，安全性相应增加。但无论以哪种方式存在，TA-SAG都会统一对待。（总部 咨 天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-：（总部咨 PAGE3：（总部咨 PAGE3/咨 （总部 咨 （总部 PAGE10/2.2.1TA-SAG此时用户需要选择所要使用的数字，点击确定按钮。此例子选择名称为simper的证2.2.2由于在上一操作步骤中选择的是名称为simper，所以TA-SAG此时自动将用户名锁定，自然人修改登录用户名。防止篡改。此时，用户需要输入simper用户口令即可进行静2.1动态口令认证的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入TA-SAG。这一点与数字认证方式是类似的。这种方式大大增强了系统登录的安全性。LDAP域认证登TA-SAG域认证是另外一种第认证方式。TA-SAG将自身的部分系统认证交由第安全LDAPTA-SAG。单点登录工介绍完TA-SAG中常见的认证方式后，用户可能注意到图例中【工具】选项。该选项为2.5.1用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的，单点登录工具。有关单点登录工具详细内容请参见《TA-SAG第三 配置管概策略配点击TA-SAG一级菜单上图标进入配置管理模块。点击左侧二级菜单上行为控制策能使用令（或使用令。该策略仅限于限制自然人使用字符方式TA-SAG。具体 在命令控制策略列表界面点击按钮进入添加命令控制策略界面，如图天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-PAGEPAGE7/：（总部咨 PAGE8：（总部咨 PAGE8/ 令控制策略点击按钮进入编辑命令控制策界面，如图.2所示，修改命令控制策略的基本信息。点击提交即完成命令控制策略修【命令类型】选项分为命令和使用命（总部 咨 如图.3所示，在命令控制策略列表界面的名称查询框输入要查询令控制策略，点击查询即可查到指定令控制策略。如图.4所示，在命令控制策略列表界面选中要删除令控制策略，然后点击按钮即可删除命令控制策略。 添加rdp天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-咨 （总部 咨 （总部 PAGE13/咨 （总部 咨 （总部 PAGE10/修改rdp点 查询rdp.4rdprdprdp删除rdp 点击如图.5 .3r 点击如图.4所示时间策略限制自然人TA-SAG或限制自然人通过TA-SAG目标机的时间。 图标进 添加时间策 时间策略列表界面点击按钮进入添加 时间策略界面，如图所 查询时间策如图所示，在时间策略列表界面的名称查询框输入要查询的时间策略，点击查询即可查到指定的时间策略。删除时间策如图所示，在时间策略列表界面选中要删除的时间策略，然后点击按钮即可删除 FTP控制策 FTP在FTP控制策略列表界面点击按钮进入添加FTP控制控制策略界面，如图天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-PAGEPAGE14/咨 （总部 咨 （总部 PAGE15/ 选项修改FTP在FTP控制策略列表界面对指定的FTP控制策略点击按钮进入编辑FTP控制策略 选项（总部 咨 查询FTPFTPFTPFTP删除FTPFTPFTPFTP客户端地址策制，限制从这些特殊的地址TA-SAG。点击左侧导航图标进入客户端地址策略列表界面【类型】选项分为可IP段和不可IP段在FTP策略列表界面对指定的客户端地址策略点击按钮进入编辑客户端地址策略【类型】选项分为可IP段和不可IP段（总部 咨 按钮即可删除客户端地址策略。锁定策锁定策略也是限制类策略的一种，为了提高TA-SAG的安全性，防止口令，当用户在强力口令时锁定当前用户，使其不能TA-SAG。点击左侧导航图标进 添加锁定策 锁定策略列表界面点击按钮进入添加 锁定策略界面，如图所天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-咨 （总部 咨 （总部 PAGE18/咨 （总部 咨 （总部 PAGE19/【锁定次数】为失败指定次数锁定账号【失败锁定时间】为账号被锁定指定时间才可自动修改锁定策 锁定策略点击按钮进入编辑 查询锁定策如图所示，在锁定策略列表界面的名称查询框输入要查询的锁定策略，点击查询即可查到指定的锁定策略。删除锁定策如图所示，在锁定策略列表界面选中要删除的锁定策略，然后点击按钮即可删除 口令策性，是最为经济的式。 在口令策略列表界面点击按钮进入添加 输入基本信息。点击提交即完成锁定策略添加。在口令策略列表界面对指定的口令策略点击按钮进入编辑口令策略界面，如 如图所示，在口令策略列表界面选中要删除的口令策略，然后点击按钮服务配TA-SAGLDAP点击TA-SAG一级菜单上的图标,可以进入配置管理界点击二级菜单上的图标,也可以进入服务配置界面图形化服务开在服务配置界面中点击左侧导航菜单上的图标，进入图形化服务开关点击【点击停止】按钮，可以关闭图形化服务。点击后显示“图形服务停止成功”点击确定按钮后返回图形化服务界面，图形化服务界面中图形显示“已停止按钮显图形审计服务影响TA-SAG的和审计功能。图形审计服务开启时，可以正常使用监视和TA-SAG图形审计服务默认是开启状态，图形化服务界面中图形后面显示“运行中，按钮显示.1“图形审计服务停止成功”框，如图.2所示。.3注意：由于图形化服务开关涉及到RDP单点登录和，推荐不要关闭。并且TA-SAG支持RDP的守护功能，如果图形停止，TA-SAG自带的RDP守护进程会自动启动图形和图形审账号导出计 界面，如图所示。TA-SAG在资源账号导出信息页面，要的包另存为，可以定期导出被接管的账号与 如图所示。应用发布管的服务端，从而以的形式进行数据库审计。在应用发布服务器列表界面对指定的应用发布服务器点击按钮进入编辑应用发布..1在应用发布服务器列表界面选中要删除的应用发布服务器，然后点击按钮即可删.1邮件服TA-SAGTA-SAGTA-SAG 按钮。如图所示。系统配点击TA-SAG一级菜单上的图标进入配置管理模块。点击左侧二级菜单上系统升 图标进入系统升级界面，如TA-SAGTA-SAG 图标进入系统界TA-SAG支持系统的基本信息显示。基本信息包括CPU、内存、磁盘、服务监网络配 要添加路，根据择的路标志点击在相应本输入网段网关，网掩码；在如图.4.3.22为TA-AG添加段为的网点击即可添加段。删除路由配置，如图.3所示删除网段为的路由信息。 点击删除。TA-SAG端口配置功能，可以自定义TA-SAG的端口开关，防止外部。.1TA-SAGTA-SAG.1TA-SAGIPIPm.1IP92认证配 勾选OTP服务开关 点击OTP服务配置界面即可保存并开启OTP服务。不勾选OTP服务开关 点击OTP服务配置界面即可保存并关闭OTP服务。 然后点击域服务配置上按钮即可保存并开启域 然后点击域服务配置上按钮即可保存并关闭点 点 即可开启或关闭全局MAC认证环境配 点击时间框上设置时 点击环配置界面即可设定TA-SAG时钟环境配置还可以配置认证服务，命令审计服务，Syslog审计服务和日志位置，注：一般审计修 天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-PAGEPAGE42/咨 （总部 咨 （总部 PAGE43/恢复出厂设 在恢复出厂设置界面上点击可以重启TA-SAG。在恢复出厂设置界面上点击可以关闭TA-SAG。在恢复出厂设置界面上点击可以重新启动web服务外接设 图标进入外接设备外接设备添加可用添加LINUX和WINDOWS类型设备。WINDOWS（总部 咨 消息管天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-天融信网络审计系统-咨 （总部 咨 （总部 PAGE44/咨 （总部 咨 （总部 PAGE45/行为审计导入导出配行为审