新建改密策略
改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。
改密策略支持以下功能项:
- 支持通过策略手动、定时、周期修改资源账户密码。
- 支持生成不同密码、相同密码,以及生成自定义相同密码。
约束限制
- 仅SSH,RDP和Telnet协议类型的主机,支持通过改密策略修改资源账户密码。
- Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。
- 关联Windows 10资源账户前,需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。
前提条件
- 已获取“改密策略”模块操作权限。
- 待改密资源的“系统类型”需与资源实际系统类型完全匹配。
新建改密策略
1 登录云堡垒机系统。
2 选择“策略 > 改密策略 > 策略列表”,进入改密策略列表页面。
3 单击“新建”,弹出改密策略配置窗口。
4 配置改密策略基本配置。
改密策略参数说明
| 参数 | 说明 |
|---|---|
| 策略名称 | 自定义的改密策略名称,系统内“策略名称”不能重复。 |
| 执行方式 | 选择改密执行方式,可选择“手动执行”、“定时执行”、“周期执行”。 手动执行:手动触发改密策略,修改资源账户密码。 定时执行:定期自动触发改密策略,修改资源账户密码。仅执行一次。 周期执行:周期自动触发改密策略,修改资源账户密码。可按周期执行多次。 |
| 执行时间 | 执行改密策略的日期。默认执行时刻为日期的凌晨零点。 |
| 执行周期 | 执行周期改密,需输入改密周期。 单位为天。 需同时选择“结束时间”,否则将无限期执行周期改密。 |
| 改密方式 | 选择改密方式。可选择“生成不同密码”、“生成相同密码”、“指定相同密码”。 生成不同密码:根据主机对帐户的密码要求,随机生成不同资源账户密码。 生成相同密码:根据主机对帐户的密码要求,随机生成相同资源账户密码。 指定相同密码:需手动输入预置密码。 自动生成密码和手动输入密码设置要求: 密码复杂度为包含大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和四种特殊字符("%"、"?"、"-"、"_"、),密码长度为20位。 密码设置要求为在遵循主机帐户的密码要求基础上,不允许以特殊字符开头。 |
| 更多选项 | 支持以下几种方式: “允许修改特权账户密码”,表示可修改特权账户的密码,否则特权账户密码不能被修改。默认不选中。 “使用特权账户改密”,表示系统自动寻找资源账户对应的特权账户,通过特权账户修改资源账户密码。无特权账户时,资源账户自行修改密码。默认选中。 |
5 单击“下一步”,关联资源账户或账户组。
- 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
- 关联多个资源账户时,可批量修改资源账户密码。
6 单击“确定”,返回改密策略列表,查看新建的改密策略。
改密策略执行后,可以下载改密日志,获取新的资源账户密码。
配置Windows服务器相关参数
1 登录Windows 10服务器。
2 启动winRM服务。
搜索“组件服务”,进入“组件服务”页面。
在左侧导航树中,选择“服务(本地)”,在右侧弹框中,找到“Windows Remote Management(WS-Management)”。
右键单击“Windows Remote Management(WS-Management)”,在弹窗中单击“启动”。
3 配置winRM。
以管理员身份运行cmd,执行以下命令:
winrm qc
(执行两次)回显后,根据提示输入y。
执行以下命令:
winrm set winrm/config/service
'@{AllowUnencrypted="true"}'
执行以下命令:
winrm set winrm/config/service/auth
'@{Basic="true"}'
4 (如果已是管理员,可不执行该步骤)执行以下命令,添加用户到用户组。
例如,用户名为“appuser01”。
net localgroup "Remote
Management Users" appuser01 /add
5 在power shell会话框中执行以下命令,添加防火墙命令。
New-NetFirewallRule -DisplayName
"WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action
Allow
后续管理
改密策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。
- 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略改密,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略立即失效。
- 若需立即修改资源账户密码,可单击“立即执行”,立即执行改密任务。
查询和修改改密策略
若改密策略有变更,例如需改密方式有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改改密执行方式、修改改密日期、修改改密周期、修改关联资源账户或帐户组等。
修改策略配置,且策略状态为“已启用”时,策略规则才生效。
前提条件
已获取“改密策略”模块操作权限。
查看和修改策略配置
1 登录云堡垒机系统。
2 选择“策略 > 改密策略 > 策略列表”,进入改密策略列表页面。
3 查询改密策略。
- 快速查询:在搜索框中输入关键字,根据策略名称、资源名称、资源账户等快速查询策略。
- 高级搜索:在相应属性搜索框中分别关键字,精确查询策略。
4 单击目标策略名称,或者单击“管理”,进入策略详情页面。
查看策略配置
5 查看和修改策略基本信息。
在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改策略的基本信息。
- 可修改信息包括“策略名称”、“执行方式”、“改密方式”、“更多选项”等。
- “部门”不可修改。
6 查看和修改策略关联的资源账户。
- 在“资源账户”区域,单击“编辑”,弹出关联资源账户窗口,可立即添加或移除关联的资源账户。
- 在相应资源账户行,单击“移除”,可立即取消对该资源账户的改密。
查看关联资源账户
7 查看和修改策略关联的帐户组。
- 在“帐户组”区域,单击“编辑”,弹出关联帐户组窗口,可立即添加或移除关联的帐户组。
- 在相应帐户组行,单击“移除”,可立即取消对该组中资源账户的改密。
查看关联帐户组
管理改密日志
改密策略执行后产生的改密日志。改密日志中可查看改密详情。
前提条件
已获取“改密策略”模块操作权限。
查看日志详情
1 登录云堡垒机系统。
2 选择“策略 > 改密策略 > 改密日志”,查看和管理改密日志记录。
改密日志列表
3 查询改密日志。
快速查询:在搜索框中输入关键字,根据策略名称快速查询改密日志。
4 选择目标执行日志,单击“详情”,进入日志详情页面。
可查看日志内容包括基本信息、改密结果等信息。
查看改密日志详情
下载改密日志
1 登录云堡垒机系统。
2 选择“策略 > 改密策略 > 改密日志”,查看和管理改密日志记录。
3 单击“下载”,进入下载改密日志文件窗口。
4 下载确认。
(可选)设置加密密码:可选择设置。不设置,下载的改密日志为未加密的CSV格式文件;设置密码,下载的改密日志为加密的ZIP格式文件。
(必选)用户密码:输入当前用户的帐号登录密码,验证通过才允许下载改密日志,确保资源账户密码安全。
单击“确定”,即可下载CSV格式文件或加密的ZIP格式文件保存到本地。
删除日志
1 登录云堡垒机系统。
2 选择“策略 > 改密策略 > 改密日志”,进入改密日志列表页面。
3 单击“删除”,可删除该执行日志。
4 同时勾选多条执行日志,单击列表下方的“删除”,可以批量删除多个执行日志。
