AuditSys 3.0配置手册.docx

北京华夏威科软件技术有限公司AuditSys3.0配置手册 北京华夏威科软件技术有限公司 2015年2月 目录 文档阅读说明3一、用户配置31.创建角色32.创建用户43.修改默认管理员密码6二、数据库配置配置61.启用TCP/IP协议62.文件流配置（下面两个位置都必须启用）73.创建数据库94.数据库连接和初始化10三、授权配置111.控制服务器授权112.客户端授权123.回收客户端授权13四、域认证131.使用“AS二次认证配置工具ADExplorer”建立域连接132.域认证14五、身份认证管理151.AuditSys二次登陆账户认证流程图16六、审计策略配置161.B/S应用和上网操作162.DBA管理员操作213.运维应用操作284.普通应用操作375.数据分析466.数据报表50文档阅读说明1. 标黄色底纹的地方，为特别需要注意的地方；2. 在AuditSys版本3.0中，配置数据源的时候数据源名称必须为“AuditSys”（此处在安装文档中已说明）；3. 数据库的数据流功能必须在配置管理器和数据库属性中都启用；4. 浏览器建议使用IE9及以上版本，并且启用兼容性功能；5. Console默认端口4884，rserver接受视频默认端口7000，若有改动，请牢记。一、 用户配置AuditSys控制服务器默认会使用Web界面进行管理。通过此Web界面，可以完成AuditSys所有操作。默认情况下，使用TCP端口4884。使用默认TCP 4884 端口时，使用以下URL登录到AuditSys控制服务器的管理控制台：http:/ ：48841. 创建角色 选择“系统配置”-“角色管理”。系统默认超级管理员组不可见。点击“添加”按钮添加新的角色。 在“名称”处输入自定义的角色名称；“类型”处设置授权类型，如果使用LDAP 类型，则需要输入相应的LDAP组属性值；在权限中勾选改角色的权限。 点击“提交”，返回“角色管理界面”。可以看到角色已经创建完毕。 2. 创建用户 选择“系统配置”-“管理员”。点击“添加”按钮添加新管理员。 在“名称”输入新管理员名称，“真实姓名”可以输入管理员的真实姓名。在角色处，只能勾选用户创建的角色，默认超级管理员角色不可选。可以为该管理员设定一个过期时。 用户创建时即设置了角色，该角色包含了一系列的权限组合，因此不再需要对用户进行权限分配。点击“设置”返回“管理员”界面，可以看到用户创建完毕。 3. 修改默认管理员密码 默认管理员不能禁用和修改角色。请妥善使用该账户。 二、 数据库配置配置1. 启用TCP/IP协议1) 依次点开：开始-所有程序，依次展开Microsoft SQL Server 2008-配置工具，选择SQL Server配置管理器：2) 在SQL Server配置管理器中，选择左侧的SQL Server网络配置；选择MSSQLSERVER的协议，在右侧TCP/IP选择启用：2. 文件流配置（下面两个位置都必须启用） 在现有实例中启用文件流功能有两个位置：SQL Server 配置管理器和SQL Server服务管理器。 位置一：通过SQL Server配置管理器 开始-所有程序，依次展开 Microsoft SQL Server 2008-配置工具，选择SQL Server配置管理器：在SQL Server配置管理器中，选择左侧的SQL Server服务；然后在右侧选择数据库服务实例，右键选择“属性”，在文件流选项卡中，勾选所有。然后重启数据库服务。 位置二：通过SQL Server服务管理器 使用 SQL Server 服务管理器连接数据库服务实例(必须有sysadmin权限) 选择数据库-右键-“属性”。在数据库实例属性中，左侧选择高级-右侧在文件流访问级别中，选择“启用完全访问”。确定之后，重启数据库服务。 3. 创建数据库 创建库使用数据库管理工具，连接到数据库，执行以下代码： CREATE DATABASE AUDITSYDB ON PRIMARY ( NAME = AUDITSYDB, FILENAME = X:YourPathAuditsyDB.mdf), LOG ON ( NAME = AUDITSYDB_log1, FILENAME = X:YourPathAuditsyDB.ldf) 注意：请把AuditsyDB替换为符合企业规范的数据库命名,X替换为用于存储AuditSys数据库记录的分区，YourPath替换为存储AuditSys审计记录的目录。 创建用户选择安全-登录，右键选择“新建登录名”。 在登录名中输入用户账户，选择SQL授权模式，设定密码。建议取消强制密码策略和设置默认数据库为创建的数据库。 分配权限选择安全-登录，选中创建的用于访问AuditSys数据库的用户名，右键-属性，在用户映射-选中创建的AuditSys数据库，在授权选择中授予 db_owner权限 4. 数据库连接和初始化 登录到AuditSys管理控制台，选择“系统设置”-“数据库配置”。 在数据库配置中，依次输入以下信息：服务器地址： 数据库服务器IP地址 数据库名称： 在AuditSys数据库中创建的数据库 账户:AuditSys数据库中具有管理上述数据库权限的账户密码： 上述帐号密码配置完成之后，即完成控制服务器对服务器的连接。新创建的数据库不包含 AuditSys 所需要的表空间，使用之前需初始化数据库。在“数据库配置”界面，点“初始化数据库”即完成对数据库表空间的初始化操作。 三、 授权配置AuditSys审计系统需要进行授权才能进行记录和审计。AuditSys授权通过控制服务器进行，授权以一串64字符长度的授权码表示。授权码中包含授权有效期、授权许可数量(即客户端数量)。每个AuditSys控制服务器只能有一个有效的授权码。授权码包含一定数量的客户端许可，需要把这些许可分配给客户端之后，AuditSys才会开始对客户端进行记录和审计。 1. 控制服务器授权控制服务器根据安装时生成的硬件序列号进行授权。使用该硬件号生成相应的许可序列号。许可序列号包含AuditSys使用期限和客户端许可数量。在AuditSys管理控制台-“系统配置”-“软件授权”中进行设置。 终端许可说明： 普通终端：Windows XP、Windows7等桌面操作系统客户端。 普通服务器：Windows 2003、Windows 2008等服务器操作系统客户端。 高级服务器：部署AD、DNS等Windows服务器操作系统客户端。 控制端授权中包含的客户端授权为允许进行记录的客户端授权上限。 2. 客户端授权完成控制服务器授权之后，还需要对客户端进行授权，才会对该客户端进行记录和审计。授权在“审计终端管理”-“终端列表”中进行。 选中需要授权的客户端，点击“激活”。客户端“状态”变为“启用”时，即可对该客户端进行记录和审计。 3. 回收客户端授权当客户端不再被使用，可以将对该客户端的授权回收，然后分配到其它客户端。授权回收在“审计终端管理”-“终端列表”中进行。 选中需不再使用的客户端，点击“停用”。客户端“状态”变为“禁用”时，该客户端将不再进行记录和审计。 四、 域认证域认证主要是提供AuditSys系统与域之间的帐户信任关系，用户在使用本机管理员登录客户端时，使用域账号认证具体的使用人员；在用户使用域管理账号登录客户端时，使用其他域账号进行认证具体的使用人员。建议客户在域上单独为AuditSys建立一个组织单位，用来配置二次身份认证帐户来源和对AuditSys的管理。1. 使用“AS二次认证配置工具ADExplorer”建立域连接1) 默认位置： X:Program Files (x86)AuditSysConsolesystem2) 连接配置：2. 域认证域服务器认证步骤：1) 在AuditSys 管理后台系统中【系统配置】【域认证】栏目，注册可以供使用的认证域：2) 添写域信息（域名、使用范围等）：五、 身份认证管理“身份认证管理”功能是终端用户在共用域账号或共同使用本地管理员账号时登录windows 客户端系统时，会存在不能分辨具体是哪个人登录的。身份认证管理要求用户进行二次登录认证，通过二次登录的方式，具体识别登录用户的身份，保证审计用户的唯一性。二次登录认证提供3 种认证方式：本地认证，域服务器认证，本地和域服务器认证。1. AuditSys二次登陆账户认证流程图六、 审计策略配置在实际生产环境中，会有各种各样的应用场景：普通应用操作、运维应用操作、DBA管理员操作、B/S程序或上网操作等，针对不同的场景会需要不同的策略来满足生产环境的需求，AuditSys有非常灵活的策略模块来满足实际生产环境的各种应用 1. B/S应用和上网操作B/S应用敏感操作规则配置 在“违规规则配置”-“B/S应用敏感操作规则”界面下点击添加按扭： 进入网址规则添加页面，该页面主要添加网址规则和标题规则。输入相关信息，向网址规则列表中添加违规网址，标题规则列表中添加违规标题内容，点击设置保存，如下图所显示：注：上网操作违反网址相关规则或者标题规则中的任何一个，数据将被记录上网审计策略配置 在“B/S程序或上网操作”-“上网审计策略”界面下点击添加按扭： 进入用户策略配置页面。输入用户名称，名称要符合计算机名/用户名的格式，选择添加规则。其中勾选图像，记录上网操作的界面图像；勾选元数据，记录相关的网址以及上网标题信息。如下图：如以上的配置，PC201408211413/Administrator登陆可触发违规规则，在上网活动检索页面可以查询到相关数据；而登陆则无法触发违规规则。上网活动检索 进入B/S程序或上网操作/上网活动检索页面，如下图所显示 从下拉菜单中选择的数据会随着起始时间和截止时间的变化而变化，请看如下两图 选择相关条件，查询后如下图显示 时间轴显示存在数据的日期，点击时间轴上的日期，该日期突出显示，并可以查询该天的数据，查询效果如下图 再次点击该日期，取消日期的突出显示，并显示所有日期的查询结果 违规记录详细如下图2. DBA管理员操作数据库管理规则配置 进入“违规规则配置”-“数据库管理规则”界面，点击添加： 进入数据库管理规则编辑页面 填写相关信息，如下图所显示点击保存即可。数据库用户策略 进入“DBA管理员操作”-“数据库用户策略”界面下，点击添加按扭： 进入数据库用户策略编辑页面 填写相关信息，如下图设置保存即可用户审计策略 进入“DBA管理员操作”-“用户审计策略”界面下，点击添加按扭： 进入数据库审计策略编辑页面 填写相关信息，如下图 勾选图像，记录DBA管理操作界面图像；勾选元数据，记录DBA管理员操作界面的标题信息；勾选执行命令，记录DBA管理员执行的命令按照以上的规则配置，PC201308211413/Administrator用户使用数据库用户sa登陆4上的AS_2数据库，当执行命令中包含有select时，触发违规规则，数据可以在操作违规检索页面查询到，当执行命令中不包含select时，违规规则未触发，数据可以在管理员活动检索页面查询到。管理员活动检索 进入DBA管理员活动检索/管理员活动检索，如下图所显示 选择条件，查询结果如下图 时间轴显示查询时间段中存在数据的日期，选中时间轴上的某一日期，显示当天日期所产生数据，如下图再次点击时间轴的该时间，恢复原状 若点击数据库名表单上代表某一数据库用户的柱状模块，在查询结果中显示该数据库的数据，如下两图选中前：选中后：操作违规规则检索 进入DBA管理员操作/操作违规检索，如下图所显示 选择条件进行查询，结果如下 如上图的基础上，选择时间轴的某个日期，效果如下再次点击即可恢复原状 若选择柱状图，效果如下3. 运维应用操作运维命令规则 进入“违规规则配置”-“运维命令规则”界面下，点击添加按扭： 进入运维命令规则编辑页面，如下图所显示 填写相关信息，如下图点击设置保存运维用户策略 进入“运维应用操作”-“运维用户策略”界面下，点击添加按扭： 进入运维用户策略编辑页面，如下图 填写相关信息，如下图点击设置保存运维审计策略 进入“运维应用操作”-“运维审计策略”界面下，点击添加按扭： 进入运维策略编辑页面 填写相关信息，如下图 勾选图像，记录运维应用操作界面图像；勾选元数据，记录运维应用操作界面的标题信息；勾选执行命令，记录DBA管理员执行的命令按照以上的规则配置，PC201308211413/Administrator用户通过运维应用以root用户登陆15的Linux服务器，当执行命令中包含有rm、rmdir、ls、cd、ll时，触发违规规则，数据可以在运维违规检索页面查询到，当执行命令中不包含rm、rmdir、ls、cd、ll时，违规规则未触发，数据可以在主机运维检索页面查询到主机运维检索 进入运维应用操作/主机运维检索页面，如下图所显示查询维度：以windows用户名查询，效果如下以Linux用户名称，效果如下上一组/下一组：用户名称表单中用户名过多，无法完全展示时，通过点击上一组/下一组可以展示未展示出来的内容运维违规检索 进入运维应用操作/运维违规检索页面，如下图所显示 输入相关条件，查询效果如下图 在上图的查询基础上，选中时间轴上的某个时间，显示效果如下： 再次点击时间轴该时间点，恢复原状 S/H按钮切换，切换效果如下两图类型切换：用户名称的切换，可切换为Linux用户名称列表或是Windows用户名称列表。切换前效果如下图切换后效果如下图 上一组/下一组：用户名称表单中用户名过多，无法完全展示时，通过点击上一组/下一组可以展示未展示出来的内容4. 普通应用操作敏感程序规则配置和敏感关键字违规 进入“违规规则配置”-“敏感程序规则”界面下，点击添加按扭： 进入敏感应用规则编辑页面，如下图 添加数据，如下图点击设置，保存数据 进入“违规规则配置”-“敏感关键字违规”界面下，点击添加按扭： 进入关键字规则页面，如下图 输入相关内容，如下图点击设置，保存数据用户策略配置 进入“普通应用操作”-“用户策略配置”界面下，点击添加按扭： 进入用户策略编辑页面，如下图 填写相关信息，如下图 勾选图像，记录应用界面图像；勾选元数据，记录应用的标题信息若如以上配置，PC201408211413/Administrator用户打开360安全卫士或者打开标题包含胡锦涛字样的应用时，将会触发违规规则；相反，则不会触发违规规则在线会话 进入“普通应用操作”-“在线会话”界面，可以看到在线录制的会话信息，选中一条信息，点击回放，可以看到录制的图像；选中一条会话数据，展开后可以看到不同应用名标题信息主机视图 进入“普通应用操作”-“主机视图”界面，输入条件，点击查询，图像如下： 时间的选择：可在起始时间或是截止时间控件上方便快捷的选择起止时间段。 快速查询：用户可快速查询前十天、前一周、今天的数据。 向前查询的输入：可在向前查询中输入天数数据，天数为0-30之内的数字，根据输入结果，起始时间控件上的时间自动变化匹配，点击查询时可查输入时间段内的数据。 登录用户自动匹配：可根据用户输入内容匹配产生会话的登录用户。普通应用视图 进入“普通应用操作”-“普通应用视图”界面，可以查询到未违规的数据，选择条件，查询结果如下 主机名称：主机名称下拉框分为在线主机和离线主机两个模块，如下图 时间轴：时间轴选择如果需要精确到小时，必须先选择某个日期，再选择小时敏感应用视图 进入“普通应用操作”-“敏感应用视图”界面下，可以查询应用违规数据，输入条件，点击查询，结果如下： 主机名称：主机名称下拉框分为在线主机和离线主机两个模块，如下图 时间轴：时间轴选择如果需要精确到小时，必须先选择某个日期，再选择小时元数据视图 进入“普通应用操作”-“元数据视图”界面下，可以查询普通应用操作、运维应用操作以及DBA管理员操作的元数据。输入条件，查询，如下图显示标题类型：标题类型包括标题不违规、标题违规、数据库不违规、数据库违规、运维不违规、运维违规以及敏感应用选项时间轴：上下两个时间轴搭配使用，查询数据可以精确到小时，选择小时之前需要选择确定的日期主机地址/名称选择：选择主机地址：选择名称：5. 数据分析进程统计 进入“数据分析”-“进程统计”界面，该界面分为上下两张图表，上表为柱状图，展示所有进程的执行统计排序，图表横轴为进程名称，纵轴为进程执行统计；下表为柱状图，展示某一进程所有用户执行统计表，图表横轴为用户名称，纵轴为该用户操作具体应用的执行统计情况。具体展示效果如下图所显示：界面功能介绍： 查询维度：可分为进程操作时间查询和进程操作次数查询。根据不同的查询维度搜索进程使用情况，查询结果倒序排序。 进程使用排行表的左右移动：进程使用排行表默认显示进程使用排行前20的进程，需要查询其他进程时，可点击“上一组”或“下一组”按钮移动排行表（上一组/下一组按钮默认向左/右移动10个进程）。 用户表：在进程使用排行表中点击某应用进程时，可出现该进程的用户表，展示所用用户使用进程的执行统计。突出显示用户：当搜索条件中输入用户名称时，用户表中的该用户会突出显示；当用户名称搜索条件为空时，不突出显示用户名。主机会话数据分析 进入“数据分析”-“主机会话数据分析”界面，该界面分为上下两张图表，上表为柱状图，展示时间段内的产生会话的主机地址表，图表横轴为主机地址，纵轴为会话总数；下表为曲线图，展示时间段内每天的会话数量曲线，图表横轴为时间段内的日期（以天为单位），纵轴为会话数量。具体展示效果如下图所显示：界面功能介绍： 搜索：选择起始时间和截止时间，出现主机会话柱状图，通过柱状图展示时间段内发生会话的所有主机地址信息和该地址主机上的会话总数。会话发生详情：点击某一主机地址柱状图，在曲线图中增加该主机地址产生会话的日期分布曲线图，显示该主机地址每天产生会话数量。进程行为统计 进入“数据分析”-“进程行为统计”界面，该界面分为上下两张图表，上表为曲线图，展示时间段内每天进程的操作次数，图表横轴为时间段内的日期（以天为单位），纵轴为进程操作次数；下