360運(yùn)維安全管理系統(tǒng)操作360運(yùn)維安全管理系統(tǒng)操作手冊(cè) 版權(quán)聲明?2020-2022360公司保留所有權(quán)利本文檔所有內(nèi)容均為360公司獨(dú)立完成，未經(jīng)360公司作出明確書面許可，不得為任何目的、以任何形式或手段（包括電子、機(jī)械、復(fù)印、錄音或其他形狀）對(duì)本文檔的任何部分進(jìn)行復(fù)制、修改、存儲(chǔ)、引入檢索系統(tǒng)或者傳播。 360運(yùn)維安全管理系統(tǒng)用戶操作手冊(cè)第第頁(yè)目錄TOC\o"1-3"\h\u1. 產(chǎn)品簡(jiǎn)介 32. 實(shí)施手冊(cè) 42.1.實(shí)施流程 42.1.1.環(huán)境采集 42.1.2.設(shè)備部署 52.1.3.注意事項(xiàng) 62.1.4.附錄 73. 配置手冊(cè) 103.1.角色說明 103.2. 角色權(quán)限清單 113.3.通用配置 163.3.1.前期準(zhǔn)備 163.3.2.訪問與登錄 183.3.3.個(gè)人設(shè)置 203.4.superman快速上手 253.4.1.設(shè)置向?qū)?253.4.2.配置網(wǎng)絡(luò) 323.4.3.配置系統(tǒng)時(shí)間 353.4.4.配置密碼策略 373.4.5.創(chuàng)建用戶組和用戶 383.4.6.創(chuàng)建設(shè)備組和設(shè)備 403.4.7.創(chuàng)建設(shè)備帳號(hào) 433.4.8.權(quán)限管理 473.5.超級(jí)管理員操作手冊(cè) 503.5.1.系統(tǒng)信息 503.5.2.運(yùn)維管理 503.5.3.策略管理 823.5.4.運(yùn)維審計(jì) 1713.5.5.報(bào)表管理 1873.5.6.系統(tǒng)管理 1923.5.7.數(shù)據(jù)管理 2093.5.8.模塊管理 2173.6.系統(tǒng)管理員操作手冊(cè) 2333.6.1.系統(tǒng)信息 2333.6.2.運(yùn)維管理 2333.6.6.系統(tǒng)管理 2613.6.4.數(shù)據(jù)管理 2783.6.5.模塊管理 2793.7.配置管理員操作手冊(cè) 2883.7.1.系統(tǒng)信息 2883.7.2.運(yùn)維管理 2883.7.3.策略管理 2953.7.5.模塊管理 3633.8.密碼管理員操作手冊(cè) 3703.8.1.系統(tǒng)信息 3703.8.2.運(yùn)維管理 3703.8.3.策略管理 3713.8.4.運(yùn)維審計(jì) 3903.9.審計(jì)管理員操作手冊(cè) 3923.9.1.系統(tǒng)信息 3923.9.2.運(yùn)維管理 3923.9.3.運(yùn)維審計(jì) 3943.9.4.報(bào)表管理 4093.9.5.數(shù)據(jù)管理 4133.10.普通用戶操作手冊(cè) 4163.10.1.運(yùn)維設(shè)置 4163.10.2.運(yùn)維操作 4323.10.3.工單申請(qǐng) 4563.10.4.軟件下載 4563.10.5.查看系統(tǒng)公告 4573.10.6.會(huì)同管理 458

產(chǎn)品簡(jiǎn)介360運(yùn)維安全管理系統(tǒng)，通過規(guī)范運(yùn)維權(quán)限管理、嚴(yán)密運(yùn)維過程控制、透明化運(yùn)維操作過程等手段，對(duì)運(yùn)維工作中的人為風(fēng)險(xiǎn)進(jìn)行防范、規(guī)避。從管理角度來看，360運(yùn)維安全管理系統(tǒng)是企業(yè)內(nèi)部運(yùn)維管理制度和規(guī)范的技術(shù)化落實(shí)平臺(tái)。通過統(tǒng)一運(yùn)維入口、統(tǒng)一身份認(rèn)證、統(tǒng)一資源管理、統(tǒng)一權(quán)限管理和統(tǒng)一過程審計(jì)等一系列手段，將制度落于實(shí)處；通過技術(shù)手段硬性規(guī)范了運(yùn)維操作的流程，控制人為風(fēng)險(xiǎn)，提高IT系統(tǒng)整體可用性。360運(yùn)維安全管理系統(tǒng)以集中監(jiān)控、SSO單點(diǎn)登錄和身份認(rèn)證為基礎(chǔ)，實(shí)現(xiàn)對(duì)以SSH、TELNET、FTP、SCP、SFTP、RDP、VNC、X11、HTTP和HTTPS等工具對(duì)服務(wù)器資源進(jìn)行操作管理行為的統(tǒng)一入口、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)；實(shí)現(xiàn)對(duì)ORACLE、SYBASE、MSSQL、DB2、INFORMIX和MYSQL等商業(yè)數(shù)據(jù)庫(kù)操作的集中審計(jì)和控制；實(shí)現(xiàn)對(duì)企業(yè)環(huán)境業(yè)務(wù)應(yīng)用運(yùn)維和IPKVM控制臺(tái)運(yùn)維的集中審計(jì)和控制。

實(shí)施手冊(cè)2.1.實(shí)施流程2.1.1.環(huán)境采集.拓?fù)浜筒渴鹞恢镁W(wǎng)絡(luò)環(huán)境是否支持；計(jì)劃部署位置，預(yù)留IP地址、掩碼和網(wǎng)關(guān)（熱備的兩臺(tái)設(shè)備需接入同一交換機(jī)）；預(yù)留電源和網(wǎng)絡(luò)地址（注意冗余電源）；是否跨隔離網(wǎng)段（靜態(tài)路由和網(wǎng)卡數(shù)量）；是否過防火墻或NAT，是否需要映射（注意開放相應(yīng)端口，詳見）；是否準(zhǔn)備了郵件服務(wù)器及帳號(hào)，是否有足夠存儲(chǔ)空間的FTP/SFTP服務(wù)器。圖STYLEREF1\s21典型部署拓?fù)?資產(chǎn)和可用資源收集資產(chǎn)數(shù)量、資產(chǎn)帳號(hào)類型、所在網(wǎng)段以及授權(quán)數(shù)量；是否有實(shí)施版本不支持的應(yīng)用，是否有跳轉(zhuǎn)或重定向設(shè)備等。需要客戶提供的資源：一個(gè)可訪問的郵件服務(wù)器和可收發(fā)郵件的帳號(hào)（用于收發(fā)改密郵件和告警郵件等）；一個(gè)可訪問的大容量FTP/SFTP服務(wù)器和帳號(hào)（用于存儲(chǔ)系統(tǒng)配置和審計(jì)日志備份等）；一個(gè)可用的IP地址，保證運(yùn)維終端-360運(yùn)維安全管理系統(tǒng)-資產(chǎn)建的網(wǎng)絡(luò)連通性（若存在網(wǎng)絡(luò)隔離，可使用不同網(wǎng)卡連接不同網(wǎng)絡(luò)并在360運(yùn)維安全管理系統(tǒng)中設(shè)置靜態(tài)路由）；SYSLOG服務(wù)器、認(rèn)證服務(wù)器等。.用戶信息收集收集用戶信息如用戶數(shù)量、角色劃分、行政分組、來源IP/網(wǎng)段以及原有授權(quán)習(xí)慣等。.授權(quán)規(guī)劃幫助用戶規(guī)劃用戶組、設(shè)備組和授權(quán)?？赏ㄟ^用戶權(quán)限或資產(chǎn)權(quán)限為線索來進(jìn)行授權(quán)（詳見）。2.1.2.設(shè)備部署.設(shè)備清單必備文檔（參考）：《電子手冊(cè)》（離線播放工具、密碼文件解密工具、產(chǎn)品資料等）；《網(wǎng)絡(luò)跳線和電源線》（網(wǎng)線主要用于APPBOX的連接）；《導(dǎo)軌安裝說明》《產(chǎn)品面板接口示意圖》（幫助正確連接APPBOX和初始地址,并提供初始密碼）。.上架和檢查安裝導(dǎo)軌并將設(shè)備安裝到機(jī)柜；按照接口圖中的配置連接APPBOX與360運(yùn)維安全管理系統(tǒng)，若計(jì)劃雙機(jī)熱備部署，還需使用心跳線分別連接兩臺(tái)設(shè)備事先規(guī)劃的接口；設(shè)備上電后開啟上層和下層電源（若有冗余電源請(qǐng)連接電源線以避免告警）。.初始連接使用筆記本電腦通過接口圖上的端口和對(duì)應(yīng)IP直連至360運(yùn)維安全管理系統(tǒng)；使用預(yù)設(shè)IP以HTTPS方式訪問360運(yùn)維安全管理系統(tǒng)頁(yè)面，并使用superman用戶登錄；確認(rèn)系統(tǒng)時(shí)間和時(shí)區(qū)是否準(zhǔn)確，否則調(diào)整至正常時(shí)間并將superman的生效時(shí)間修改至正常范圍；確認(rèn)系統(tǒng)版本是否正確，授權(quán)是否正常；將管理口（默認(rèn)為eth0）IP修改為客戶提供的真實(shí)IP，接入客戶網(wǎng)絡(luò)，測(cè)試連通性。2.1.3.注意事項(xiàng).實(shí)施上架確認(rèn)APPBOX和360運(yùn)維安全管理系統(tǒng)是否連接正確；確認(rèn)網(wǎng)絡(luò)連通性是否正常，網(wǎng)關(guān)設(shè)置是否正確；注意系統(tǒng)時(shí)間和時(shí)區(qū)是否準(zhǔn)確；妥當(dāng)保管設(shè)備接口圖，以備后續(xù)支持使用。.初始配置確認(rèn)設(shè)備授權(quán)是否正確，授權(quán)是否過期；確認(rèn)郵件服務(wù)器和FTP/SFTP服務(wù)器配置是否正確，是否連通；確認(rèn)定期的備份計(jì)劃和刪除計(jì)劃已配置啟用；初始登錄時(shí)注意設(shè)置密碼保護(hù)問題；注意360運(yùn)維安全管理系統(tǒng)的雙向端口開放，360運(yùn)維安全管理系統(tǒng)端口映射不做重定向；注意附件密碼和導(dǎo)出證書密碼的設(shè)置；請(qǐng)勿添加APPBOX為資產(chǎn)。2.1.4.附錄.范例-常見授權(quán)規(guī)劃.1.設(shè)備組導(dǎo)向設(shè)備組劃分：業(yè)務(wù)設(shè)備組、網(wǎng)絡(luò)設(shè)備組、應(yīng)用設(shè)備組等；用戶組劃分：業(yè)務(wù)組A角、業(yè)務(wù)組B角、網(wǎng)絡(luò)組A角、網(wǎng)絡(luò)組B角、應(yīng)用組A角、應(yīng)用組B角（按照設(shè)備組的A、B運(yùn)維角色劃分用戶組）；授權(quán)定制：對(duì)應(yīng)角色的用戶組與設(shè)備組建立組對(duì)組的自動(dòng)繼承的授權(quán)關(guān)系（適用于設(shè)備分組規(guī)劃較為合理，或使用AB角機(jī)制的客戶）。.2.用戶組導(dǎo)向用戶組劃分：網(wǎng)絡(luò)運(yùn)維組、系統(tǒng)運(yùn)維組、業(yè)務(wù)運(yùn)維組等；設(shè)備組劃分：網(wǎng)絡(luò)運(yùn)維設(shè)備組、系統(tǒng)運(yùn)維設(shè)備組、業(yè)務(wù)運(yùn)維設(shè)備組（按照用戶組運(yùn)維的權(quán)限劃分設(shè)備組）；授權(quán)定制：對(duì)應(yīng)角色的用戶組與設(shè)備組建立組對(duì)組的自動(dòng)繼承的授權(quán)關(guān)系（適用于設(shè)備分組規(guī)劃較為隨意，以部門為導(dǎo)向的客戶）。.系統(tǒng)試運(yùn)行在360運(yùn)維安全管理系統(tǒng)進(jìn)入試運(yùn)行階段后，用戶需要先登錄到360運(yùn)維安全管理系統(tǒng)，再由360運(yùn)維安全管理系統(tǒng)連接目標(biāo)資產(chǎn)。在以往案例中，一般采用管理和技術(shù)相結(jié)合，逐漸改變用戶的訪問方式，最終達(dá)到只能從360運(yùn)維安全管理系統(tǒng)訪問目標(biāo)資源的目的。管理方法：在360運(yùn)維安全管理系統(tǒng)初建成時(shí)，建議保留原有資源登錄方式。即：用戶可以使用原有的登錄目標(biāo)資源方式，也可以從360運(yùn)維安全管理系統(tǒng)進(jìn)行跳轉(zhuǎn)登錄；在運(yùn)行7～14天時(shí)間后，逐漸通知部分用戶，強(qiáng)調(diào)使用360運(yùn)維安全管理系統(tǒng)登錄目標(biāo)資源，同時(shí)完善訪問控制策略，最終使得全部用戶使用360運(yùn)維安全管理系統(tǒng)完成運(yùn)維工作。技術(shù)方法：目前采用最多的是使用ACL訪問控制列表從技術(shù)上控制用戶訪問。同時(shí)，在試運(yùn)行階段需對(duì)出現(xiàn)的各類問題進(jìn)行解決，如個(gè)別資產(chǎn)無法運(yùn)維，或授權(quán)不完整等。.交付清單管理信息：訪問方式、superman的密碼、附件密碼、密保問題、郵箱等；輸出信息：郵件服務(wù)器IP、FTP/SFTP服務(wù)器IP、SYSLOG服務(wù)器IP及相應(yīng)帳號(hào)密碼等；存儲(chǔ)管理：磁盤告警、定期備份計(jì)劃（日志和配置）、定期刪除計(jì)劃等；相關(guān)文檔：用戶手冊(cè)等。.端口開放列表終端到360運(yùn)維安全管理系統(tǒng)需開放端口（參考）端口號(hào)協(xié)議用途20/21FTP提供FTP代理服務(wù)22SSH提供字符終端協(xié)議代理服務(wù)443HTTPS提供WEB頁(yè)面訪問3389RDP提供圖形終端協(xié)議代理服務(wù)3390RDP提供應(yīng)用發(fā)布服務(wù)KVM部分3391RDP提供應(yīng)用發(fā)布服務(wù)1984/1985-提供圖形類錄像回放服務(wù)80HTTP提供字符類錄像回放服務(wù)8888-運(yùn)維助手默認(rèn)通信端口3334-特權(quán)程序服務(wù)端口配置手冊(cè)3.1.角色說明超級(jí)管理員（superman）：擁有除運(yùn)維之外的所有權(quán)限。系統(tǒng)管理員：擁有用戶、資產(chǎn)、系統(tǒng)配置、系統(tǒng)備份、熱備和集群等管理權(quán)限。配置管理員：擁有權(quán)限、工單、認(rèn)證、輸出和應(yīng)用中心等管理權(quán)限。密碼管理員：擁有密碼相關(guān)功能管理權(quán)限。審計(jì)管理員：擁有日志審計(jì)、報(bào)表、日志備份和日志清理等管理權(quán)限。普通用戶：擁有運(yùn)維權(quán)限。

角色權(quán)限清單超級(jí)管理員系統(tǒng)管理員配置管理員密碼管理員審計(jì)管理員普通用戶系統(tǒng)信息?????運(yùn)維管理系統(tǒng)用戶用戶列表??用戶組管理??資產(chǎn)管理設(shè)備列表??設(shè)備帳號(hào)??設(shè)備組管理??權(quán)限管理權(quán)限管理??授權(quán)審計(jì)????授權(quán)定制??工單管理工單審核??工單下發(fā)??會(huì)同管理會(huì)同管理?????策略管理認(rèn)證管理認(rèn)證方式??認(rèn)證策略??密碼管理密碼策略??改密計(jì)劃??自動(dòng)化流程命令集??登錄自動(dòng)化??操作自動(dòng)化??帳號(hào)改密改密計(jì)劃??改密腳本??密碼導(dǎo)出計(jì)劃?資產(chǎn)密碼導(dǎo)出??批量打印??權(quán)限控制訪問策略??字符命令策略??圖形命令策略??磁盤映射??IP禁止列表??運(yùn)維審計(jì)日志總覽日志總覽??運(yùn)維統(tǒng)計(jì)??運(yùn)維日志字符終端??圖形終端??圖形應(yīng)用??文件傳輸??無縫應(yīng)用??數(shù)據(jù)庫(kù)日志策略告警??系統(tǒng)日志配置日志??會(huì)同日志??登錄日志??授權(quán)日志??同步日志??策略日志策略日志??策略告警??自動(dòng)化日志??改密日志改密日志??帳號(hào)改密??報(bào)表管理數(shù)據(jù)概要數(shù)據(jù)概要??報(bào)表列表報(bào)表列表??重復(fù)資產(chǎn)報(bào)表?報(bào)表任務(wù)報(bào)表任務(wù)??系統(tǒng)管理基本配置主機(jī)設(shè)置??網(wǎng)卡配置??路由配置??時(shí)間同步同步狀態(tài)??服務(wù)器列表??注冊(cè)升級(jí)軟件升級(jí)?注冊(cè)授權(quán)?系統(tǒng)維護(hù)系統(tǒng)重啟??系統(tǒng)關(guān)閉??服務(wù)控制??系統(tǒng)證書?診斷工具??系統(tǒng)公告公告列表??頁(yè)面配置常用軟件??Logo管理??頁(yè)面參數(shù)??功能開關(guān)??數(shù)據(jù)管理輸出模塊SYSLOG??FTP/SFTP??郵件模塊??短信模塊??打印模塊??系統(tǒng)備份管理系統(tǒng)備份計(jì)劃??系統(tǒng)備份列表??手動(dòng)備份還原??日志備份管理日志備份計(jì)劃??手動(dòng)備份任務(wù)??日志備份列表??日志刪除管理定期刪除計(jì)劃??手動(dòng)刪除任務(wù)??日志刪除列表??模塊管理熱備管理熱備管理??健康檢查??集群管理集群配置??角色管理角色授權(quán)?應(yīng)用中心參數(shù)配置??IE代填配置??GOOGLE代填配置??系統(tǒng)運(yùn)維工單申請(qǐng)工單申請(qǐng)?快捷操作最近使用?常用設(shè)備?全局搜索全局搜索?運(yùn)維管理批量運(yùn)維?密鑰管理密鑰上傳?設(shè)備組?系統(tǒng)消息系統(tǒng)公告?我的會(huì)同?會(huì)同管理?

3.3.通用配置3.3.1.前期準(zhǔn)備為確保用戶能夠正常訪問360運(yùn)維安全管理系統(tǒng)及使用各項(xiàng)系統(tǒng)功能，在登錄系統(tǒng)前建議按照本章節(jié)的內(nèi)容進(jìn)行前期配置。.IE瀏覽器的設(shè)置啟動(dòng)IE瀏覽器，點(diǎn)擊“工具>Internet選項(xiàng)>安全>受信任的站點(diǎn)>站點(diǎn)”，在“將該網(wǎng)站添加到區(qū)域”輸入框中填寫360運(yùn)維安全管理系統(tǒng)的域名或IP地址，并點(diǎn)擊“添加”：圖STYLEREF1\s3SEQ圖\*ARABIC\s11IE設(shè)置-1圖STYLEREF1\s3SEQ圖\*ARABIC\s12IE設(shè)置-23.3.2.訪問與登錄設(shè)備箱子里有一張紙，紙上會(huì)標(biāo)明設(shè)備默認(rèn)管理地址，及登錄賬號(hào)密碼。(每臺(tái)設(shè)備管理地址不一樣)。打開瀏覽器，使用HTTPS協(xié)議訪問360運(yùn)維安全管理系統(tǒng)的Web頁(yè)面。在登錄頁(yè)面右上角可切換系統(tǒng)中英文顯示，在非中文操作系統(tǒng)中將默認(rèn)顯示為英文頁(yè)面：圖STYLEREF1\s3SEQ圖\*ARABIC\s13訪問登錄頁(yè)面默認(rèn)情況下所有用戶均使用“本地”認(rèn)證登錄系統(tǒng)，輸入“用戶名”和“本地密碼”并點(diǎn)擊“用戶登錄”，即可登錄系統(tǒng)：圖STYLEREF1\s3SEQ圖\*ARABIC\s14本地登錄！除了superman外的新用戶首次登錄時(shí)，默認(rèn)為“未激活”狀態(tài)，需要激活后方可登錄：圖STYLEREF1\s3SEQ圖\*ARABIC\s15未激活狀態(tài)用戶成功登錄之后，將鼠標(biāo)懸停在右上角用戶名上時(shí)可顯示登錄的時(shí)間和IP地址：圖STYLEREF1\s3SEQ圖\*ARABIC\s16登錄信息3.3.3.個(gè)人設(shè)置.修改密碼點(diǎn)擊首頁(yè)右上角的“個(gè)人設(shè)置”：圖STYLEREF1\s3SEQ圖\*ARABIC\s17個(gè)人設(shè)置在“修改密碼”選項(xiàng)卡中輸入“舊密碼”、“新密碼”和“重復(fù)密碼”并點(diǎn)擊“保存修改”：圖STYLEREF1\s3SEQ圖\*ARABIC\s18修改密碼.修改基本信息點(diǎn)擊首頁(yè)右上角的“個(gè)人設(shè)置”，在“基本信息”選項(xiàng)卡中填寫用戶基本信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s19填寫基本信息Email：請(qǐng)務(wù)必填寫真實(shí)有效的電子郵箱，避免管理員及用戶無法正常接收系統(tǒng)郵件；附件密碼：superman及密碼管理員必填項(xiàng)。請(qǐng)務(wù)必填寫符合密碼策略的密碼并牢記密碼，避免無法正常使用“資產(chǎn)密碼導(dǎo)出”等功能；真實(shí)姓名/電話/工號(hào)/職務(wù)/部門：可選項(xiàng)。請(qǐng)根據(jù)實(shí)際填寫。.設(shè)置密碼保護(hù)問題密碼保護(hù)問題為找回密碼的必要方式，在首次登錄360運(yùn)維安全管理系統(tǒng)時(shí)，應(yīng)首先設(shè)置密碼保護(hù)問題。點(diǎn)擊右上角的“個(gè)人設(shè)置”，選擇“密碼保護(hù)”選項(xiàng)卡，設(shè)置密碼保護(hù)問題前需要驗(yàn)證登錄密碼：圖STYLEREF1\s3SEQ圖\*ARABIC\s110設(shè)置密保-1填寫密碼保護(hù)問題：圖STYLEREF1\s3SEQ圖\*ARABIC\s111設(shè)置密保-2

3.4.superman快速上手3.4.1.設(shè)置向?qū)С醮蔚卿泂uperman時(shí)，系統(tǒng)會(huì)自動(dòng)彈出設(shè)置向?qū)?，幫助superman完成個(gè)人設(shè)置和系統(tǒng)基本配置。.密碼保護(hù)（必填）密碼保護(hù)問題為找回密碼的必要方式。驗(yàn)證登錄密碼后開始設(shè)置密碼保護(hù)問題：圖STYLEREF1\s3SEQ圖\*ARABIC\s112密碼保護(hù).基本信息填寫個(gè)人基本信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s113基本信息Email：請(qǐng)務(wù)必填寫真實(shí)有效的電子郵箱，避免管理員及用戶無法正常接收系統(tǒng)郵件；附件密碼：superman及密碼管理員必填項(xiàng)。請(qǐng)務(wù)必填寫符合密碼策略的密碼并牢記密碼，避免無法正常使用“資產(chǎn)密碼導(dǎo)出”等功能。.郵件模塊（必填）配置郵件模塊：圖STYLEREF1\s3SEQ圖\*ARABIC\s114郵件模塊狀態(tài)：控制郵件模塊的啟用狀態(tài)；端口：默認(rèn)為25；郵件服務(wù)器：郵件服務(wù)器的IP或域名。當(dāng)填寫為域名或公網(wǎng)IP地址時(shí)，需在“系統(tǒng)管理>基本配置>主機(jī)設(shè)置”中添加DNS服務(wù)器；加密連接郵件服務(wù)器：是否啟用加密連接，請(qǐng)根據(jù)實(shí)際選擇；發(fā)送方式：cmd/php。郵件服務(wù)器的發(fā)送方式；認(rèn)證類型：login/plain。若郵件服務(wù)器為ExchangeServer類型，則一般選擇“l(fā)ogin”，其他類型請(qǐng)根據(jù)實(shí)際選擇；登錄用戶名：郵件服務(wù)器的用戶名；登陸密碼：郵件服務(wù)器的密碼；發(fā)件人郵件地址：發(fā)件人的郵箱；接收測(cè)試郵件地址：接收測(cè)試郵件的郵箱，可與發(fā)件人郵箱相同。配置完成后點(diǎn)擊“測(cè)試”按鈕，若出現(xiàn)綠字提示“該郵件服務(wù)器可以正常使用”，則配置成功。.FTP/SFTP配置配置FTP/SFTP模塊：圖STYLEREF1\s3SEQ圖\*ARABIC\s115FTP/SFTP配置狀態(tài)：控制FTP/SFTP模塊的啟用狀態(tài)；傳輸方式：FTP/SFTP，請(qǐng)根據(jù)實(shí)際選擇；服務(wù)器：FTP/SFTP服務(wù)器的IP；端口：默認(rèn)為FTP21，SFTP22；用戶名：FTP/SFTP服務(wù)器的用戶名；密碼：FTP/SFTP服務(wù)器的密碼；備份目錄：備份文件在FTP/SFTP服務(wù)器中的存儲(chǔ)路徑；文件傳輸目錄：用戶在運(yùn)維過程中傳輸?shù)脑嘉募贔TP/SFTP服務(wù)器中的存儲(chǔ)路徑；改密文件目錄：設(shè)備帳號(hào)改密結(jié)果文件在FTP/SFTP服務(wù)器中的存儲(chǔ)路徑；連接次數(shù)：FTP/SFTP服務(wù)器的重連次數(shù)；超時(shí)時(shí)間：FTP/SFTP服務(wù)器的連接超時(shí)時(shí)間。配置完成后點(diǎn)擊“測(cè)試”，若出現(xiàn)綠字提示“該服務(wù)器可以正常使用”，則配置成功。.系統(tǒng)備份計(jì)劃配置系統(tǒng)備份計(jì)劃：圖STYLEREF1\s3SEQ圖\*ARABIC\s116系統(tǒng)備份計(jì)劃狀態(tài)：控制系統(tǒng)備份計(jì)劃的啟用狀態(tài)；備份方式：當(dāng)“計(jì)劃類型”為“立即”時(shí)，備份方式可選擇“本地”或“FTP/SFTP”，其他計(jì)劃類型僅支持“FTP/SFTP”；計(jì)劃類型：立即/每天/每周/每月/每季度。系統(tǒng)備份計(jì)劃的執(zhí)行間隔。.日志備份計(jì)劃配置日志備份計(jì)劃：圖STYLEREF1\s3SEQ圖\*ARABIC\s117日志備份計(jì)劃狀態(tài)：控制日志備份計(jì)劃的啟用狀態(tài)；備份方式：支持備份至“FTP/SFTP服務(wù)器”或“本地”；按設(shè)備組導(dǎo)出：選擇是否將日志分設(shè)備組導(dǎo)出（多個(gè)備份包）；計(jì)劃類型：每天/每周/每月。日志備份計(jì)劃的執(zhí)行間隔。.定期刪除計(jì)劃（必填）配置定期刪除計(jì)劃：圖STYLEREF1\s3SEQ圖\*ARABIC\s118定期刪除計(jì)劃狀態(tài)：控制定期刪除計(jì)劃的啟用狀態(tài)；數(shù)據(jù)保留：審計(jì)日志在系統(tǒng)中的保留范圍，期限之外的日志數(shù)據(jù)將被自動(dòng)清理；自動(dòng)清理閾值設(shè)置：當(dāng)空間使用率超過設(shè)置的閾值時(shí)將自動(dòng)清理系統(tǒng)中最早三天的日志數(shù)據(jù)。.向?qū)ЫY(jié)束配置完成所有必填項(xiàng)后，可以在此頁(yè)面設(shè)置禁用向?qū)?，在以后的登錄中將不再自?dòng)彈出向?qū)В簣DSTYLEREF1\s3SEQ圖\*ARABIC\s119必填項(xiàng)提示框3.4.2.配置網(wǎng)絡(luò).主機(jī)設(shè)置360運(yùn)維安全管理系統(tǒng)在安裝操作系統(tǒng)時(shí)會(huì)配置默認(rèn)的系統(tǒng)主機(jī)名和系統(tǒng)網(wǎng)關(guān)，點(diǎn)擊“系統(tǒng)管理>基本配置>主機(jī)設(shè)置”，可以根據(jù)實(shí)際對(duì)這兩項(xiàng)設(shè)置進(jìn)行修改：圖STYLEREF1\s3SEQ圖\*ARABIC\s120主機(jī)設(shè)置同時(shí)，可以在此處添加DNS服務(wù)器，以滿足相關(guān)功能模塊使用公網(wǎng)IP或使用域名時(shí)的解析需要。.網(wǎng)卡配置！360運(yùn)維安全管理系統(tǒng)在安裝操作系統(tǒng)時(shí)會(huì)為所有網(wǎng)卡配置默認(rèn)IP，在設(shè)備上架并正式在網(wǎng)絡(luò)中運(yùn)行前，需要根據(jù)實(shí)際修改服務(wù)口（默認(rèn)為eth0）的IP地址，點(diǎn)擊“系統(tǒng)管理>基本配置>網(wǎng)卡配置”，將鼠標(biāo)懸停在服務(wù)口圖標(biāo)上，點(diǎn)擊“修改”對(duì)網(wǎng)卡信息進(jìn)行編輯：圖STYLEREF1\s3SEQ圖\*ARABIC\s121接口列表“接口模式”包括“普通”、“bond0”、“bond1”、“bond2”和“bond3”，“普通”表示網(wǎng)卡將以標(biāo)準(zhǔn)模式運(yùn)行，“bond0”~“bond3”表示網(wǎng)卡將以bond模式運(yùn)行，并以0-3標(biāo)記進(jìn)行分組。bond默認(rèn)使用主備模式（mode=1，active-backup），可以在之后對(duì)bond模式進(jìn)行修改：圖STYLEREF1\s3SEQ圖\*ARABIC\s122以普通模式運(yùn)行的服務(wù)口圖STYLEREF1\s3SEQ圖\*ARABIC\s123以bond模式運(yùn)行的網(wǎng)卡圖STYLEREF1\s3SEQ圖\*ARABIC\s124bond0組網(wǎng)卡聚合后生成的虛擬bond接口注意：eth0口無法配置為bond模式；eth1口默認(rèn)用于與APPBOX對(duì)接（雙子星設(shè)備），默認(rèn)IP為54，請(qǐng)勿隨意修改。.路由配置若有隔離網(wǎng)絡(luò)的運(yùn)維需求，可在“系統(tǒng)管理>基本配置>路由配置”頁(yè)面配置靜態(tài)路由：圖STYLEREF1\s3SEQ圖\*ARABIC\s125路由配置3.4.3.配置系統(tǒng)時(shí)間為確保某些系統(tǒng)功能的正常使用，在360運(yùn)維安全管理系統(tǒng)日常運(yùn)行中，需保證系統(tǒng)時(shí)間的準(zhǔn)確性。在“系統(tǒng)管理>時(shí)間同步>“同步狀態(tài)”頁(yè)面，可查看系統(tǒng)時(shí)間服務(wù)狀態(tài)及配置系統(tǒng)時(shí)間：圖STYLEREF1\s3SEQ圖\*ARABIC\s126時(shí)間服務(wù)狀態(tài).手動(dòng)同步點(diǎn)擊“手動(dòng)同步”，選擇時(shí)區(qū)和當(dāng)前時(shí)間并點(diǎn)擊“應(yīng)用”：圖STYLEREF1\s3SEQ圖\*ARABIC\s127手動(dòng)同步立即同步：當(dāng)配置了NTP服務(wù)器時(shí)，可以使用“立即同步”將系統(tǒng)時(shí)間與NTP服務(wù)器同步。.自動(dòng)同步為進(jìn)一步提升系統(tǒng)時(shí)間的準(zhǔn)確性，建議為系統(tǒng)時(shí)間配置自動(dòng)同步。點(diǎn)擊“系統(tǒng)管理>時(shí)間同步>服務(wù)器列表>新增”，添加并啟用NTP服務(wù)器。若添加了多個(gè)NTP服務(wù)器，則同時(shí)僅允許啟用一個(gè)NTP服務(wù)器，其余服務(wù)器自動(dòng)轉(zhuǎn)為備用狀態(tài)：圖STYLEREF1\s3SEQ圖\*ARABIC\s128服務(wù)器列表返回“系統(tǒng)管理>時(shí)間同步>同步狀態(tài)”，開啟自動(dòng)同步，并設(shè)置“時(shí)間同步周期”，之后系統(tǒng)將定期自動(dòng)同步系統(tǒng)時(shí)間：圖STYLEREF1\s3SEQ圖\*ARABIC\s129自動(dòng)同步設(shè)置3.4.4.配置密碼策略配置足夠強(qiáng)度的密碼策略，可以有效的提升用戶的密碼安全性。點(diǎn)擊“策略管理>密碼管理>密碼策略”，對(duì)系統(tǒng)用戶的密碼策略進(jìn)行配置：圖STYLEREF1\s3SEQ圖\*ARABIC\s130密碼策略最小長(zhǎng)度：用戶密碼的最小長(zhǎng)度，默認(rèn)為8字節(jié)；自動(dòng)長(zhǎng)度：自動(dòng)生成的密碼長(zhǎng)度，默認(rèn)為8字節(jié)；密碼強(qiáng)度規(guī)則：個(gè)性化用戶密碼的復(fù)雜度；密碼有效期：用戶密碼的有效期，默認(rèn)為1365天，過期后用戶將無法登錄系統(tǒng)。不建議設(shè)置過短的密碼有效期；重試鎖定：用戶密碼的鎖定策略，當(dāng)用戶在指定時(shí)間內(nèi)連續(xù)登錄失敗達(dá)到指定次數(shù)，該用戶將被系統(tǒng)鎖定；重試禁止次數(shù)：用戶密碼的禁止策略，當(dāng)用戶在指定時(shí)間內(nèi)連續(xù)登錄失敗達(dá)到指定次數(shù)，該用戶的終端IP將被禁止訪問。被禁止的IP會(huì)被記錄在“策略管理>權(quán)限控制>IP禁止列表”中（詳見.5）；注意：若重試鎖定次數(shù)小于等于重試禁止次數(shù)，則在指定時(shí)間內(nèi)，用戶連續(xù)登錄失敗時(shí)（達(dá)到重試鎖定次數(shù)），該用戶的用戶狀態(tài)將被鎖定，若仍繼續(xù)嘗試登錄（達(dá)到重試禁止次數(shù)），用戶的終端IP也將被禁止訪問；若重試鎖定次數(shù)大于重試禁止次數(shù)，則在指定時(shí)間內(nèi)，用戶連續(xù)登錄失敗時(shí)（達(dá)到重試禁止次數(shù)），用戶的終端IP將被直接禁止訪問，而鎖定策略將不會(huì)生效。3.4.5.創(chuàng)建用戶組和用戶點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶組管理>新增”，創(chuàng)建用戶組。填寫“用戶組名稱”和“用戶組描述”，點(diǎn)擊“保存”：圖STYLEREF1\s3SEQ圖\*ARABIC\s131創(chuàng)建用戶組點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶列表>新增”，創(chuàng)建普通用戶：圖STYLEREF1\s3SEQ圖\*ARABIC\s132創(chuàng)建用戶用戶名：填寫用戶名后，點(diǎn)擊“檢測(cè)帳號(hào)”，可查看該用戶名是否被占用；密碼：用戶本地密碼?！白詣?dòng)密碼”功能用于創(chuàng)建使用非本地認(rèn)證登錄系統(tǒng)的用戶（無本地密碼）；角色：默認(rèn)為“普通用戶”，保存后不可修改；用戶狀態(tài)：默認(rèn)為“未激活”，用戶首次登錄時(shí)需重置密碼以激活；程序穿透：可編程環(huán)境通道權(quán)限控制模塊，分別控制用戶的SSH命令穿透、SCP上傳和SCP下載權(quán)限，功能介紹詳見.10；有效期：用戶的有效期（非密碼有效期），若超過有效期，用戶將無法登錄；Email：管理員和用戶接收告警郵件、報(bào)表、改密結(jié)果等信息時(shí)使用的郵箱；會(huì)同權(quán)限：控制該用戶的會(huì)同管理權(quán)限；默認(rèn)用戶組：選擇用戶所屬用戶組（無用戶組時(shí)保持默認(rèn)）；附件密碼：郵件中的加密附件使用的密碼（superman及密碼管理員必填）；真實(shí)姓名/電話/工號(hào)/職務(wù)/部門：非必要信息，可根據(jù)實(shí)際填寫。登錄IP：將用戶賬戶和IP地址進(jìn)行綁定。用戶創(chuàng)建完成后，返回用戶組列表，點(diǎn)擊“組用戶”按鈕，為該組添加用戶：圖STYLEREF1\s3SEQ圖\*ARABIC\s133添加組用戶-1！勾選用戶，點(diǎn)擊“保存”，即可將用戶添加至該組：圖STYLEREF1\s3SEQ圖\*ARABIC\s134添加組用戶-23.4.6.創(chuàng)建設(shè)備組和設(shè)備點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備組管理>新增”，創(chuàng)建設(shè)備組。填寫“設(shè)備組名稱”和“設(shè)備組描述”，點(diǎn)擊“保存”：圖STYLEREF1\s3SEQ圖\*ARABIC\s135創(chuàng)建設(shè)備組點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備列表>新增”，創(chuàng)建設(shè)備：圖STYLEREF1\s3SEQ圖\*ARABIC\s136創(chuàng)建設(shè)備設(shè)備名稱：設(shè)備的自定義名稱；設(shè)備IP：設(shè)備的IP地址；設(shè)備類型：設(shè)備的操作系統(tǒng)。此項(xiàng)影響改密計(jì)劃與帳號(hào)獲取的正常運(yùn)行，請(qǐng)務(wù)必準(zhǔn)確選擇。對(duì)不支持改密或無法按列表中的設(shè)備類型歸類的設(shè)備，字符設(shè)備可選擇GeneralUNIX/GeneralLinux，圖形設(shè)備可選擇GeneralWindows；設(shè)備編碼：GB2312/UTF-8；設(shè)備狀態(tài)：控制設(shè)備的啟用狀態(tài)，默認(rèn)為“啟用”；是否前置機(jī)：控制是否將設(shè)備設(shè)置為前置機(jī)，保存后無法再次修改。前置機(jī)使用RDP協(xié)議調(diào)用用戶自定義的客戶端（前置應(yīng)用），前置機(jī)物理設(shè)備一般由用戶自行提供。前置應(yīng)用的介紹詳見.2.2.6。特權(quán)切換命令：字符設(shè)備用于帳號(hào)提權(quán)的命令，如Linux的su-、su-root，思科交換機(jī)的enable等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；切換密碼提示符：執(zhí)行帳號(hào)切換命令后出現(xiàn)的提示符，如Linux的Password:等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；交換機(jī)關(guān)鍵詞：用于交換機(jī)設(shè)備的帳號(hào)獲取，詳見.4；設(shè)備所在機(jī)房/設(shè)備所在機(jī)架/設(shè)備管理人/設(shè)備說明：非必要信息，可根據(jù)實(shí)際填寫。設(shè)備創(chuàng)建完成后，返回設(shè)備組列表，點(diǎn)擊“組設(shè)備”按鈕，為該組添加設(shè)備：圖STYLEREF1\s3SEQ圖\*ARABIC\s137添加組設(shè)備-1勾選設(shè)備，點(diǎn)擊“保存”，即可將設(shè)備添加至該組：圖STYLEREF1\s3SEQ圖\*ARABIC\s138添加組設(shè)備-23.4.7.創(chuàng)建設(shè)備帳號(hào)點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備帳號(hào)>新增”，創(chuàng)建設(shè)備帳號(hào)（以SSH/SFTP應(yīng)用為例）：圖STYLEREF1\s3SEQ圖\*ARABIC\s139創(chuàng)建設(shè)備帳號(hào)引用賬號(hào)：引用主帳號(hào)（設(shè)備中已添加到360運(yùn)維安全管理系統(tǒng)的指定帳號(hào)）的帳號(hào)密碼并生成與主帳號(hào)不同應(yīng)用的設(shè)備帳號(hào)。當(dāng)修改主帳號(hào)的密碼時(shí)，引用帳號(hào)的密碼將被同步修改。當(dāng)引用帳號(hào)點(diǎn)選“是”后，將出現(xiàn)“選擇主帳號(hào)”選項(xiàng)，選擇將被引用的主帳號(hào)后，引用帳號(hào)的“帳號(hào)名稱”和“帳號(hào)密碼”將會(huì)自動(dòng)填充：圖STYLEREF1\s3SEQ圖\*ARABIC\s140引用帳號(hào)-1圖STYLEREF1\s3SEQ圖\*ARABIC\s141引用帳號(hào)-2圖STYLEREF1\s3SEQ圖\*ARABIC\s142引用帳號(hào)-3帳號(hào)名稱：設(shè)備帳號(hào)；帳號(hào)密碼：設(shè)備帳號(hào)密碼；所屬設(shè)備：帳號(hào)所屬設(shè)備；選擇應(yīng)用：帳號(hào)的具體協(xié)議/應(yīng)用，應(yīng)與目標(biāo)設(shè)備對(duì)應(yīng)，如Linux的SSH、TELNET協(xié)議，Oracle數(shù)據(jù)庫(kù)的PLSQL、TOAD應(yīng)用、圖形終端的RDP協(xié)議等；“應(yīng)用登錄提示”和“應(yīng)用密碼提示”用于字符類應(yīng)用的單點(diǎn)登錄，請(qǐng)務(wù)必準(zhǔn)確填寫；“應(yīng)用參數(shù)”用于IE代填/Google代填時(shí)添加登錄參數(shù)、域名代填時(shí)添加域名、登錄數(shù)據(jù)庫(kù)時(shí)添加實(shí)例名及登錄AD域環(huán)境添加域名，請(qǐng)務(wù)必準(zhǔn)確填寫；映射默認(rèn)配置：用于圖形類設(shè)備，控制設(shè)備的磁盤映射功能，啟用后可將剪切板和本地磁盤映射至目標(biāo)設(shè)備。某些圖形應(yīng)用客戶端因其自身限制可能不支持此功能。啟用后還需向指定運(yùn)維用戶授權(quán)：圖STYLEREF1\s3SEQ圖\*ARABIC\s143映射默認(rèn)配置-1圖STYLEREF1\s3SEQ圖\*ARABIC\s144映射默認(rèn)配置-2網(wǎng)絡(luò)級(jí)別驗(yàn)證：一般用于WindowsServer設(shè)備，若Windows設(shè)備僅允許運(yùn)行使用了網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接，則必須啟用此項(xiàng)； 注意：需確保WindowsServer2019等服務(wù)器未禁用TLS1.0（可以通過注冊(cè)表或IISCrypto等第三方工具查看或修改服務(wù)器的協(xié)議）。帳號(hào)類型：標(biāo)記帳號(hào)/非標(biāo)記帳號(hào)?！皹?biāo)記帳號(hào)”表示用于實(shí)際單點(diǎn)登錄的設(shè)備帳號(hào)，“非標(biāo)記帳號(hào)”表示unused帳號(hào)；帳號(hào)狀態(tài)：控制設(shè)備帳號(hào)的啟用狀態(tài)；帳號(hào)提示符：用于字符類設(shè)備，如Linux中root的“#”，普通帳號(hào)的“$”，交換機(jī)設(shè)備的“>”等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；特權(quán)帳號(hào)：設(shè)置當(dāng)前帳號(hào)是否成為特權(quán)帳號(hào)，一般用與設(shè)備的管理員帳號(hào)如“administrator”、“root”等。注意：每個(gè)設(shè)備僅允許設(shè)置一個(gè)特權(quán)帳號(hào)。是否開啟會(huì)同：控制當(dāng)前設(shè)備是否啟用會(huì)同控制。啟用后用戶需要申請(qǐng)會(huì)同才可運(yùn)維當(dāng)前設(shè)備；（詳見.1）會(huì)同啟用密碼認(rèn)證：會(huì)同子選項(xiàng)。啟用后會(huì)同人審核會(huì)同時(shí)需要提供登錄密碼；選擇會(huì)同人：會(huì)同子選項(xiàng)。會(huì)同人即可以審核當(dāng)前設(shè)備會(huì)同申請(qǐng)的用戶（superman默認(rèn)為會(huì)同人，且管理員或普通用戶均可成為會(huì)同人）；帳號(hào)同步：此項(xiàng)影響改密計(jì)劃的正常執(zhí)行，需要自動(dòng)改密的設(shè)備帳號(hào)必須啟用帳號(hào)同步；是否委托帳號(hào)：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)是否成為被改密帳號(hào)的委托帳號(hào)，即被改密帳號(hào)將使用當(dāng)前帳號(hào)協(xié)助改密；（詳見.3）是否公共帳號(hào)：設(shè)置當(dāng)前帳號(hào)是否成為公共帳號(hào)。當(dāng)某些設(shè)備存在帳號(hào)密碼與應(yīng)用類型等信息均相同的帳號(hào)，則可以將其中一臺(tái)設(shè)備的設(shè)備帳號(hào)設(shè)置為公共帳號(hào)，并同步創(chuàng)建至其他設(shè)備。此項(xiàng)常用于同帳號(hào)設(shè)備批量改密（僅需修改公共帳號(hào)的密碼）；注意：當(dāng)公共帳號(hào)被刪除時(shí)，所有由公共帳號(hào)創(chuàng)建的設(shè)備帳號(hào)均會(huì)被同步刪除。使用委托帳號(hào)同步：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)改密過程中是否通過委托帳號(hào)進(jìn)行同步；使用委托帳號(hào)驗(yàn)證：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)改密過程中是否通過委托帳號(hào)進(jìn)行驗(yàn)證；選擇改密腳本：用于字符類設(shè)備，此項(xiàng)影響改密計(jì)劃的正常執(zhí)行，請(qǐng)務(wù)必選擇正確的改密腳本。帳號(hào)測(cè)試：點(diǎn)擊帳號(hào)測(cè)試按鈕可以驗(yàn)證資產(chǎn)帳號(hào)添加時(shí)密碼是否正確；注意：目前帳號(hào)測(cè)試支持的應(yīng)用協(xié)議包括SSH，RDP，和TELNET。3.4.8.權(quán)限管理.運(yùn)維授權(quán)運(yùn)維授權(quán)即授予指定用戶使用指定設(shè)備帳號(hào)運(yùn)維指定設(shè)備的權(quán)限。點(diǎn)擊“運(yùn)維管理>權(quán)限管理>權(quán)限管理”，選擇用戶并勾選設(shè)備組/設(shè)備/設(shè)備帳號(hào)，系統(tǒng)即自動(dòng)完成授權(quán)操作：圖STYLEREF1\s3SEQ圖\*ARABIC\s145運(yùn)維授權(quán).授權(quán)審計(jì)管理員可通過授權(quán)審計(jì)功能系統(tǒng)地查看用戶或設(shè)備的授權(quán)情況。在用戶列表和設(shè)備列表，管理員可以通過指定用戶或設(shè)備右側(cè)的“授權(quán)審計(jì)”按鈕查看指定用戶或設(shè)備的授權(quán)情況，也可點(diǎn)擊“運(yùn)維管理>權(quán)限管理>授權(quán)審計(jì)”，通過更加細(xì)致的配置對(duì)用戶或設(shè)備進(jìn)行批量審計(jì)：圖STYLEREF1\s3SEQ圖\*ARABIC\s146用戶列表的授權(quán)審計(jì)按鈕圖STYLEREF1\s3SEQ圖\*ARABIC\s147設(shè)備列表的授權(quán)審計(jì)按鈕圖STYLEREF1\s3SEQ圖\*ARABIC\s148授權(quán)審計(jì)圖STYLEREF1\s3SEQ圖\*ARABIC\s149審計(jì)結(jié)果

3.5.超級(jí)管理員操作手冊(cè)超級(jí)管理員（superman）擁有除運(yùn)維之外的所有權(quán)限。3.5.1.系統(tǒng)信息管理員登錄后，首先進(jìn)入“系統(tǒng)信息”頁(yè)面，管理員可以通過此頁(yè)面了解系統(tǒng)硬件資源的使用情況、系統(tǒng)用戶和資產(chǎn)等數(shù)據(jù)概要及系統(tǒng)實(shí)時(shí)運(yùn)維信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s150系統(tǒng)信息3.5.2.運(yùn)維管理.用戶管理.1.用戶組和用戶管理點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶組管理>新增”，創(chuàng)建用戶組。填寫“用戶組名稱”和“用戶組描述”，點(diǎn)擊“保存”：圖STYLEREF1\s3SEQ圖\*ARABIC\s151創(chuàng)建用戶組點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶列表>新增”，創(chuàng)建管理員或普通用戶：圖STYLEREF1\s3SEQ圖\*ARABIC\s152創(chuàng)建用戶用戶名：填寫用戶名后，點(diǎn)擊“檢測(cè)帳號(hào)”，可查看該用戶名是否被占用；密碼：用戶本地密碼。“自動(dòng)密碼”功能用于創(chuàng)建使用非本地認(rèn)證登錄系統(tǒng)的用戶（無本地密碼）；角色：默認(rèn)為“普通用戶”，保存后不可修改；用戶狀態(tài)：默認(rèn)為“未激活”，用戶首次登錄時(shí)需重置密碼以激活；程序穿透：可編程環(huán)境通道權(quán)限控制模塊，分別控制用戶的SSH命令穿透、SCP上傳和SCP下載權(quán)限，功能介紹詳見.10；有效期：用戶的有效期（非密碼有效期），若超過有效期，用戶將無法登錄；Email：管理員和用戶接收告警郵件、報(bào)表、改密結(jié)果等信息時(shí)使用的郵箱；會(huì)同權(quán)限：控制該用戶的會(huì)同管理權(quán)限；默認(rèn)用戶組：選擇用戶所屬用戶組（無用戶組時(shí)保持默認(rèn)）；附件密碼：郵件中的加密附件使用的密碼（superman及密碼管理員必填）；真實(shí)姓名/電話/工號(hào)/職務(wù)/部門：非必要信息，可根據(jù)實(shí)際填寫。登錄IP：將用戶賬戶和IP地址進(jìn)行綁定。用戶創(chuàng)建完成后，返回用戶組列表，點(diǎn)擊“組用戶”按鈕，為該組添加用戶：圖STYLEREF1\s3SEQ圖\*ARABIC\s153添加組用戶-1勾選用戶，點(diǎn)擊“保存”，即可將用戶添加至該組：圖STYLEREF1\s3SEQ圖\*ARABIC\s154添加組用戶-.2.用戶批量管理.2.1.用戶批量導(dǎo)入點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶列表>批量導(dǎo)入”，下載用戶批量導(dǎo)入模板：圖STYLEREF1\s3SEQ圖\*ARABIC\s155下載模板按照格式填寫用戶信息，范例文件如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s156填寫模板填寫完成并保存后，在頁(yè)面選擇需要導(dǎo)入用戶的用戶組，并點(diǎn)擊“選擇文件”，將該模板文件上傳。導(dǎo)入后，可在頁(yè)面中再次修改確認(rèn)用戶信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s157確認(rèn)用戶信息！最后點(diǎn)擊“保存”即可成功導(dǎo)入：圖STYLEREF1\s3SEQ圖\*ARABIC\s158批量導(dǎo)入成功.2.2.用戶批量導(dǎo)出點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶列表>批量導(dǎo)出”，通過用戶名、角色或用戶組篩選用戶并以Excel格式導(dǎo)出到本地：圖STYLEREF1\s3SEQ圖\*ARABIC\s159批量導(dǎo)出注意：密碼不會(huì)被導(dǎo)出。.2.3.普通用戶批量編輯點(diǎn)擊“運(yùn)維管理>系統(tǒng)用戶>用戶列表>批量編輯”，可批量編輯用戶的“會(huì)同權(quán)限”、“用戶狀態(tài)”、和“有效期”等用戶信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s160普通用戶批量編輯圖STYLEREF1\s3SEQ圖\*ARABIC\s161關(guān)聯(lián)用戶！圖STYLEREF1\s3SEQ圖\*ARABIC\s162編輯成功.資產(chǎn)管理.1.設(shè)備組和設(shè)備管理點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備組管理>新增”，創(chuàng)建設(shè)備組。填寫“設(shè)備組名稱”和“設(shè)備組描述”，點(diǎn)擊“保存”：圖STYLEREF1\s3SEQ圖\*ARABIC\s166創(chuàng)建設(shè)備組點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備列表>新增”，創(chuàng)建設(shè)備：圖STYLEREF1\s3SEQ圖\*ARABIC\s167創(chuàng)建設(shè)備設(shè)備名稱：設(shè)備的自定義名稱；設(shè)備IP：設(shè)備的IP地址；設(shè)備類型：設(shè)備的操作系統(tǒng)。此項(xiàng)影響改密計(jì)劃與帳號(hào)獲取的正常運(yùn)行，請(qǐng)務(wù)必準(zhǔn)確選擇。對(duì)不支持改密或無法按列表中的設(shè)備類型歸類的設(shè)備，字符設(shè)備可選擇GeneralUNIX/GeneralLinux，圖形設(shè)備可選擇GeneralWindows；設(shè)備編碼：GB2312/UTF-8；設(shè)備狀態(tài)：控制設(shè)備的啟用狀態(tài)，默認(rèn)為“啟用”；是否前置機(jī)：控制是否將設(shè)備設(shè)置為前置機(jī)，保存后無法再次修改。前置機(jī)使用RDP協(xié)議調(diào)用用戶自定義的客戶端（前置應(yīng)用），前置機(jī)物理設(shè)備一般由用戶自行提供。前置應(yīng)用的介紹詳見.2.2.6。特權(quán)切換命令：字符設(shè)備用于帳號(hào)提權(quán)的命令，如Linux的su-、su-root，思科交換機(jī)的enable等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；切換密碼提示符：執(zhí)行帳號(hào)切換命令后出現(xiàn)的提示符，如Linux的Password:等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；交換機(jī)關(guān)鍵詞：用于交換機(jī)設(shè)備的帳號(hào)獲取，詳見.4；設(shè)備所在機(jī)房/設(shè)備所在機(jī)架/設(shè)備管理人/設(shè)備說明：非必要信息，可根據(jù)實(shí)際填寫。設(shè)備創(chuàng)建完成后，返回設(shè)備組列表，點(diǎn)擊“組設(shè)備”按鈕，為該組添加設(shè)備：圖STYLEREF1\s3SEQ圖\*ARABIC\s168添加組設(shè)備-1勾選設(shè)備，點(diǎn)擊“保存”，即可將設(shè)備添加至該組：圖STYLEREF1\s3SEQ圖\*ARABIC\s169添加組設(shè)備-.2.設(shè)備帳號(hào)管理.2.1.創(chuàng)建設(shè)備帳號(hào)點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備帳號(hào)>新增”，創(chuàng)建設(shè)備帳號(hào)（以SSH/SFTP應(yīng)用為例）：圖STYLEREF1\s3SEQ圖\*ARABIC\s170創(chuàng)建設(shè)備帳號(hào)引用賬號(hào)：引用主帳號(hào)（設(shè)備中已添加到360運(yùn)維安全管理系統(tǒng)的指定帳號(hào)）的帳號(hào)密碼并生成與主帳號(hào)不同應(yīng)用的設(shè)備帳號(hào)。當(dāng)修改主帳號(hào)的密碼時(shí)，引用帳號(hào)的密碼將被同步修改。當(dāng)引用帳號(hào)點(diǎn)選“是”后，將出現(xiàn)“選擇主帳號(hào)”選項(xiàng)，選擇將被引用的主帳號(hào)后，引用帳號(hào)的“帳號(hào)名稱”和“帳號(hào)密碼”將會(huì)自動(dòng)填充：圖STYLEREF1\s3SEQ圖\*ARABIC\s171引用帳號(hào)-1圖STYLEREF1\s3SEQ圖\*ARABIC\s172引用帳號(hào)-2圖STYLEREF1\s3SEQ圖\*ARABIC\s173引用帳號(hào)-3帳號(hào)名稱：設(shè)備帳號(hào)；帳號(hào)密碼：設(shè)備帳號(hào)密碼；所屬設(shè)備：帳號(hào)所屬設(shè)備；選擇應(yīng)用：帳號(hào)的具體協(xié)議/應(yīng)用，應(yīng)與目標(biāo)設(shè)備對(duì)應(yīng)，如Linux的SSH、TELNET協(xié)議，Oracle數(shù)據(jù)庫(kù)的PLSQL、TOAD應(yīng)用、圖形終端的RDP協(xié)議等；“應(yīng)用登錄提示”和“應(yīng)用密碼提示”用于字符類應(yīng)用的單點(diǎn)登錄，請(qǐng)務(wù)必準(zhǔn)確填寫；“應(yīng)用參數(shù)”用于IE代填/Google代填時(shí)添加登錄參數(shù)、域名代填時(shí)添加域名、登錄數(shù)據(jù)庫(kù)時(shí)添加實(shí)例名及登錄AD域環(huán)境添加域名，請(qǐng)務(wù)必準(zhǔn)確填寫；映射默認(rèn)配置：用于圖形類設(shè)備，控制設(shè)備的磁盤映射功能，啟用后可將剪切板和本地磁盤映射至目標(biāo)設(shè)備。某些圖形應(yīng)用客戶端因其自身限制可能不支持此功能。啟用后還需向指定運(yùn)維用戶授權(quán)：圖STYLEREF1\s3SEQ圖\*ARABIC\s174映射默認(rèn)配置-1圖STYLEREF1\s3SEQ圖\*ARABIC\s175映射默認(rèn)配置-2網(wǎng)絡(luò)級(jí)別驗(yàn)證：一般用于WindowsServer設(shè)備，若Windows設(shè)備僅允許運(yùn)行使用了網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接，則必須啟用此項(xiàng)；注意：需確保WindowsServer2019等服務(wù)器未禁用TLS1.0（可以通過注冊(cè)表或IISCrypto等第三方工具查看或修改服務(wù)器的協(xié)議）。帳號(hào)類型：標(biāo)記帳號(hào)/非標(biāo)記帳號(hào)?！皹?biāo)記帳號(hào)”表示用于實(shí)際單點(diǎn)登錄的設(shè)備帳號(hào)，“非標(biāo)記帳號(hào)”表示unused帳號(hào)；帳號(hào)狀態(tài)：控制設(shè)備帳號(hào)的啟用狀態(tài)；帳號(hào)提示符：用于字符類設(shè)備，如Linux中root的“#”，普通帳號(hào)的“$”，交換機(jī)設(shè)備的“>”等。此項(xiàng)影響改密計(jì)劃和自動(dòng)化運(yùn)維的正常執(zhí)行，請(qǐng)務(wù)必準(zhǔn)確填寫；特權(quán)帳號(hào)：設(shè)置當(dāng)前帳號(hào)是否成為特權(quán)帳號(hào)，一般用與設(shè)備的管理員帳號(hào)如“administrator”、“root”等；注意：每個(gè)設(shè)備僅允許設(shè)置一個(gè)特權(quán)帳號(hào)。s是否開啟會(huì)同：控制當(dāng)前設(shè)備是否啟用會(huì)同控制。啟用后用戶需要申請(qǐng)會(huì)同才可運(yùn)維當(dāng)前設(shè)備；（詳見.1）會(huì)同啟用密碼認(rèn)證：會(huì)同子選項(xiàng)。啟用后會(huì)同人審核會(huì)同時(shí)需要提供登錄密碼；選擇會(huì)同人：會(huì)同子選項(xiàng)。會(huì)同人即可以審核當(dāng)前設(shè)備會(huì)同申請(qǐng)的用戶（superman默認(rèn)為會(huì)同人，且管理員或普通用戶均可成為會(huì)同人）；帳號(hào)同步：此項(xiàng)影響改密計(jì)劃的正常執(zhí)行，需要自動(dòng)改密的設(shè)備帳號(hào)必須啟用帳號(hào)同步；是否委托帳號(hào)：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)是否成為被改密帳號(hào)的委托帳號(hào)，即被改密帳號(hào)將使用當(dāng)前帳號(hào)協(xié)助改密；（詳見.3）是否公共帳號(hào)：設(shè)置當(dāng)前帳號(hào)是否成為公共帳號(hào)。當(dāng)某些設(shè)備存在帳號(hào)密碼與應(yīng)用類型等信息均相同的帳號(hào)，則可以將其中一臺(tái)設(shè)備的設(shè)備帳號(hào)設(shè)置為公共帳號(hào)，并同步創(chuàng)建至其他設(shè)備。此項(xiàng)常用于同帳號(hào)設(shè)備批量改密（僅需修改公共帳號(hào)的密碼）；注意：當(dāng)公共帳號(hào)被刪除時(shí)，所有由公共帳號(hào)創(chuàng)建的設(shè)備帳號(hào)均會(huì)被同步刪除。使用委托帳號(hào)同步：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)改密過程中是否通過委托帳號(hào)進(jìn)行同步；使用委托帳號(hào)驗(yàn)證：用于字符類設(shè)備，設(shè)置當(dāng)前帳號(hào)改密過程中是否通過委托帳號(hào)進(jìn)行驗(yàn)證；選擇改密腳本：用于字符類設(shè)備，此項(xiàng)影響改密，請(qǐng)務(wù)必選擇正確的改密腳本。帳號(hào)測(cè)試：點(diǎn)擊帳號(hào)測(cè)試按鈕可以驗(yàn)證資產(chǎn)帳號(hào)添加時(shí)密碼是否正確；注意：目前帳號(hào)測(cè)試支持的應(yīng)用協(xié)議包括SSH，RDP，和TELNET。.2.2.不同應(yīng)用類型的設(shè)備帳號(hào)創(chuàng)建范例.2.2.1.字符終端字符終端應(yīng)用包括SSH/SFTP和TELNET等。不同的類Unix操作系統(tǒng)如Linux、交換機(jī)、路由器等使用的登錄提示符、密碼提示和帳號(hào)提示符不盡相同，需根據(jù)實(shí)際填寫：圖STYLEREF1\s3SEQ圖\*ARABIC\s176字符終端應(yīng)用注意：SSH/SFTP應(yīng)用默認(rèn)使用SSH2協(xié)議連接，若字符類設(shè)備使用SSH1版本連接，則需在“應(yīng)用參數(shù)”中填寫/ssh1；使用SSH/SFTP應(yīng)用傳輸文件時(shí)默認(rèn)限制帳號(hào)的主目錄，若需解除限制，則需在“應(yīng)用參數(shù)”中填寫/homeunlock；SSH/SFTP應(yīng)用默認(rèn)使用密碼驗(yàn)證方式連接，若要使用密鑰方式驗(yàn)證，則需在“應(yīng)用參數(shù)”中填寫/keyauth。創(chuàng)建使用密鑰方式驗(yàn)證的設(shè)備帳號(hào)時(shí)無需填寫正確密碼。密鑰登錄的配置方法詳見.1.2；一個(gè)設(shè)備帳號(hào)若需要填寫多個(gè)應(yīng)用參數(shù)，則使用;隔開。.2.2.2.圖形終端圖形終端應(yīng)用包括RDP、VNC和X11等，創(chuàng)建方法相似（以RDP應(yīng)用為例）：圖STYLEREF1\s3SEQ圖\*ARABIC\s177圖形終端應(yīng)用注意：創(chuàng)建AD域帳號(hào)時(shí)，需在“應(yīng)用參數(shù)”中填寫域名簡(jiǎn)稱，如AD域名為“”，則填寫“test”即可；若VNC帳號(hào)使用VNCpassword進(jìn)行驗(yàn)證（無用戶名），則“帳號(hào)名稱”一欄需填寫“null”。（詳見.2.2.8）.2.2.3.文件傳輸文件傳輸應(yīng)用包括FTP、SFTP等：圖STYLEREF1\s3SEQ圖\*ARABIC\s178文件傳輸應(yīng)用.2.2.4.圖形應(yīng)用（數(shù)據(jù)庫(kù)類）數(shù)據(jù)庫(kù)類圖形應(yīng)用包括PLSQL/TOAD/SQL/SQLDeveloper（Oracle）、DBACCESS（Informix）、MYSQLFRONT/HeidiSQL（MySQL）、SQLSERVER、DB2CMD/DB2QUEST（DB2）、PGADMIN（PostgreSQL）、Studio3T（MongoDB）、Datastudio、DBeaver、Navicat、Dameng和Kingbase等（以Kingbase應(yīng)用為例）：圖STYLEREF1\s3SEQ圖\*ARABIC\s179圖形應(yīng)用（數(shù)據(jù)庫(kù)類）注意：Oracle、Mysql、SQLServer、DB2、Sybase、Informix和PostgreSQL等數(shù)據(jù)庫(kù)均可使用DBeaver工具進(jìn)行運(yùn)維，應(yīng)用類型分別對(duì)應(yīng)DBeaverForOracle、DBeaverForMysql、DBeaverForSqlServer、DBeaverForDB2、DBeaverForSybase、DBeaverForInformix和DBeaverForPostgreSQL；Oracle、Mysql、SQLServer和PostgreSQL等數(shù)據(jù)庫(kù)均可使用Navicat工具進(jìn)行運(yùn)維，應(yīng)用類型分別對(duì)應(yīng)NavicatForOracle、NavicatForMysql、NavicatForSQLServer和NavicatForPostgreSQL；為Oracle、SQLServer、DB2、Sybase、Informix和PostgreSQL等類型的數(shù)據(jù)庫(kù)創(chuàng)建帳號(hào)時(shí)，需根據(jù)實(shí)際在“應(yīng)用參數(shù)”中填寫數(shù)據(jù)庫(kù)名/實(shí)例名/SID/ServiceName。根據(jù)不同的Oracle數(shù)據(jù)庫(kù)版本，應(yīng)用參數(shù)允許多種格式，如實(shí)例名為“orcld”，則應(yīng)用參數(shù)可能為“orcld”（默認(rèn)）、“:oracld”、“sid:=orcld”和“@sid:orcld”等；創(chuàng)建Oracle數(shù)據(jù)庫(kù)的設(shè)備帳號(hào)時(shí)，需根據(jù)帳號(hào)權(quán)限選擇對(duì)應(yīng)的角色（Normal/Sysdba/Sysoper）；使用DBeaverForSqlServer創(chuàng)建SQLServer數(shù)據(jù)庫(kù)的設(shè)備帳號(hào)時(shí)，需根據(jù)數(shù)據(jù)庫(kù)版本選擇對(duì)應(yīng)的驅(qū)動(dòng)（Olddriver/Newdriver），SQLServer2000/SQLServer2005選擇Olddriver，SQLServer2008及以上版本選擇Newdriver。若涉及到數(shù)據(jù)庫(kù)越權(quán)訪問控制相關(guān)功能（詳見），SQLServer2008及以上版本還需要在創(chuàng)建設(shè)備帳號(hào)時(shí)上傳證書。 .2.2.5.圖形應(yīng)用（代填類）代填類應(yīng)用包括HTTP/HTTPS（IE代填）、Chrome_http/Chrome_https（GOOGLE代填）、Domain_IE（IE域名代填）、Domain_Chrome（谷歌域名代填）和CommonAPP(通用APP代填)等（以HTTPS應(yīng)用為例）：圖STYLEREF1\s3SEQ圖\*ARABIC\s180圖形應(yīng)用（代填類）注意：創(chuàng)建Web類應(yīng)用設(shè)備帳號(hào)時(shí)，需額外配置“IE代填”或“GOOGLE代填”功能才能正常實(shí)現(xiàn)單點(diǎn)登錄；（詳見.2、.3）創(chuàng)建Domain_IE應(yīng)用設(shè)備帳號(hào)時(shí)，無需填寫真實(shí)的設(shè)備IP，但“應(yīng)用參數(shù)”中必須填寫正確的域名；創(chuàng)建Domain_Chrome應(yīng)用設(shè)備帳號(hào)時(shí)，無需填寫真實(shí)的設(shè)備IP，但“應(yīng)用參數(shù)”中必須填寫正確的協(xié)議:域名。創(chuàng)建CommonAPP賬號(hào)時(shí)必須填寫應(yīng)用參數(shù)，且與應(yīng)用程序應(yīng)用一致（詳見.4）.2.2.6.前置應(yīng)用前置應(yīng)用用于用戶需要通過360運(yùn)維安全管理系統(tǒng)運(yùn)維尚不支持的應(yīng)用（客戶端）的場(chǎng)景。使用前置應(yīng)用的前提是提供可以作為前置機(jī)的WindowsServer服務(wù)器。創(chuàng)建前置機(jī)前置機(jī)的創(chuàng)建方法與普通設(shè)備的創(chuàng)建方法相同，唯一區(qū)別為創(chuàng)建前置機(jī)時(shí)，需要將“是否前置機(jī)”選項(xiàng)點(diǎn)選為“是”。（詳見.1）創(chuàng)建前置應(yīng)用前置機(jī)創(chuàng)建完成后，返回設(shè)備列表，點(diǎn)擊前置機(jī)右側(cè)的“前置機(jī)應(yīng)用”按鈕，進(jìn)入前置應(yīng)用管理頁(yè)面：圖STYLEREF1\s3SEQ圖\*ARABIC\s181創(chuàng)建前置應(yīng)用-1點(diǎn)擊新增創(chuàng)建前置應(yīng)用：圖STYLEREF1\s3SEQ圖\*ARABIC\s182創(chuàng)建前置應(yīng)用-2應(yīng)用別名：應(yīng)用的顯示名稱（自定義）；程序名稱：可執(zhí)行文件名稱（一般為.exe文件）；工作目錄：可執(zhí)行文件的絕對(duì)路徑；程序參數(shù)：程序調(diào)用的參數(shù)（可選）。前置應(yīng)用創(chuàng)建完成后，1.可以在設(shè)備帳號(hào)列表處為前置機(jī)創(chuàng)建前置應(yīng)用帳號(hào)并關(guān)聯(lián)前置應(yīng)用：圖STYLEREF1\s3SEQ圖\*ARABIC\s183創(chuàng)建前置應(yīng)用-32.也可以在前置應(yīng)用管理頁(yè)面批量關(guān)聯(lián)該前置應(yīng)用下的賬號(hào)注意：前置應(yīng)用帳號(hào)的帳號(hào)密碼為WindowsServer系統(tǒng)用戶名和密碼。前置應(yīng)用創(chuàng)建范例圖STYLEREF1\s3SEQ圖\*ARABIC\s184普通前置應(yīng)用圖STYLEREF1\s3SEQ圖\*ARABIC\s185帶參數(shù)的圖形應(yīng)用.2.2.7.非代填帳號(hào)（unused）若用戶在運(yùn)維時(shí)有手動(dòng)填寫帳號(hào)密碼的需求，則可以為設(shè)備創(chuàng)建非標(biāo)記設(shè)備帳號(hào)（unused帳號(hào)），unused帳號(hào)一般用于字符類設(shè)備。創(chuàng)建unused帳號(hào)時(shí)，只需將“帳號(hào)名稱”填寫為“unused”，無需填寫密碼（系統(tǒng)自動(dòng)填寫隨機(jī)密碼）：圖STYLEREF1\s3SEQ圖\*ARABIC\s186unused帳號(hào).3.設(shè)備與設(shè)備帳號(hào)批量管理.2.2.8.無帳號(hào)名帳號(hào)（null）null帳號(hào)用于僅使用密碼即可登錄服務(wù)器的場(chǎng)景，例如VNC服務(wù)器使用VNCpassword進(jìn)行驗(yàn)證（無用戶名），或思科等交換機(jī)在登錄系統(tǒng)時(shí)無需輸入用戶名等，則創(chuàng)建帳號(hào)時(shí)“帳號(hào)名稱”一欄填寫“null”即可：圖STYLEREF1\s3SEQ圖\*ARABIC\s187null帳號(hào)注意：其他手冊(cè)中未提及的應(yīng)用類型的設(shè)備帳號(hào)的創(chuàng)建方式均與上述類似，不再贅述。.3.1.設(shè)備批量導(dǎo)入點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備列表>批量導(dǎo)入”，下載設(shè)備批量導(dǎo)入模板：圖STYLEREF1\s3SEQ圖\*ARABIC\s190下載模板按照格式填寫設(shè)備信息，范例文件如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s191填寫模板填寫完成并保存后，在頁(yè)面選擇需要導(dǎo)入設(shè)備的設(shè)備組，并點(diǎn)擊“選擇文件”，將該模板文件上傳。導(dǎo)入后，可在頁(yè)面中再次修改確認(rèn)設(shè)備信息：圖STYLEREF1\s3SEQ圖\*ARABIC\s192確認(rèn)設(shè)備信息！最后點(diǎn)擊“保存”即可成功導(dǎo)入：圖STYLEREF1\s3SEQ圖\*ARABIC\s193導(dǎo)入成功.3.2.設(shè)備批量導(dǎo)出點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備列表>批量導(dǎo)出”，通過設(shè)備名稱/設(shè)備IP、設(shè)備類型或設(shè)備組篩選設(shè)備并以Excel格式導(dǎo)出到本地：圖STYLEREF1\s3SEQ圖\*ARABIC\s194批量導(dǎo)出.3.3.設(shè)備帳號(hào)批量導(dǎo)入設(shè)備帳號(hào)批量導(dǎo)入流程與設(shè)備批量導(dǎo)入基本一致，不再贅述。注意：設(shè)備帳號(hào)有兩種批量導(dǎo)入方式：若系統(tǒng)中事先已創(chuàng)建設(shè)備，則通過“運(yùn)維管理>資產(chǎn)管理>設(shè)備帳號(hào)>批量導(dǎo)入”直接導(dǎo)入設(shè)備帳號(hào)即可；若系統(tǒng)中未創(chuàng)建任何設(shè)備，則通過“運(yùn)維管理>資產(chǎn)管理>設(shè)備列表>批量導(dǎo)入設(shè)備帳號(hào)”可將設(shè)備和設(shè)備帳號(hào)同時(shí)導(dǎo)入。.3.4.設(shè)備帳號(hào)批量導(dǎo)出設(shè)備帳號(hào)批量導(dǎo)出流程與設(shè)備批量導(dǎo)出基本一致，不再贅述。注意：設(shè)備帳號(hào)批量導(dǎo)出同樣有兩種導(dǎo)出方式，請(qǐng)參考上節(jié)；密碼不會(huì)被導(dǎo)出.3.5.設(shè)備帳號(hào)批量編輯點(diǎn)擊“運(yùn)維管理>資產(chǎn)管理>設(shè)備帳號(hào)>批量編輯”，可對(duì)同類設(shè)備帳號(hào)的信息進(jìn)行批量編輯：圖STYLEREF1\s3SEQ圖\*ARABIC\s195設(shè)備帳號(hào)批量編輯圖STYLEREF1\s3SEQ圖\*ARABIC\s196選擇編輯信息圖STYLEREF1\s3SEQ圖\*ARABIC\s197編輯信息圖STYLEREF1\s3SEQ圖\*ARABIC\s198關(guān)聯(lián)設(shè)備！圖STYLEREF1\s3SEQ圖\*ARABIC\s199編輯成功.權(quán)限管理.1.運(yùn)維授權(quán)運(yùn)維授權(quán)即授予指定用戶使用指定設(shè)備帳號(hào)運(yùn)維指定設(shè)備的權(quán)限。點(diǎn)擊“運(yùn)維管理>權(quán)限管理>權(quán)限管理”，選擇用戶并勾選設(shè)備組/設(shè)備/設(shè)備帳號(hào)，系統(tǒng)即自動(dòng)完成授權(quán)操作：圖STYLEREF1\s3SEQ圖\*ARABIC\s195運(yùn)維授權(quán).2.授權(quán)審計(jì)管理員可通過授權(quán)審計(jì)功能系統(tǒng)地查看用戶或設(shè)備的授權(quán)情況。在用戶列表和設(shè)備列表，管理員可以通過指定用戶或設(shè)備右側(cè)的“授權(quán)審計(jì)”按鈕查看指定用戶或設(shè)備的授權(quán)情況，也可點(diǎn)擊“運(yùn)維管理>權(quán)限管理>授權(quán)審計(jì)”，通過更加細(xì)致的配置對(duì)用戶或設(shè)備進(jìn)行批量審計(jì)：圖STYLEREF1\s3SEQ圖\*ARABIC\s196用戶列表的授權(quán)審計(jì)按鈕圖STYLEREF1\s3SEQ圖\*ARABIC\s197設(shè)備列表的授權(quán)審計(jì)按鈕圖STYLEREF1\s3SEQ圖\*ARABIC\s198授權(quán)審計(jì)圖STYLEREF1\s3SEQ圖\*ARABIC\s199審計(jì)結(jié)果.3.授權(quán)定制運(yùn)維授權(quán)在處理大批量的授權(quán)需求時(shí)效率較低，通過“授權(quán)定制”功能可以更靈活、高效地完成授權(quán)。授權(quán)定制在“用戶/用戶組-設(shè)備/設(shè)備組-設(shè)備帳號(hào)”之間建立一條授權(quán)規(guī)則。在定制的規(guī)則下，當(dāng)有新的用戶、設(shè)備或設(shè)備帳號(hào)被添加到已關(guān)聯(lián)的用戶組/設(shè)備組時(shí)，便會(huì)根據(jù)現(xiàn)有規(guī)則自動(dòng)對(duì)用戶/用戶組進(jìn)行授權(quán)。點(diǎn)擊“運(yùn)維管理>權(quán)限管理>授權(quán)定制>新增”，創(chuàng)建授權(quán)規(guī)則：圖STYLEREF1\s3SEQ圖\*ARABIC\s1100創(chuàng)建規(guī)則點(diǎn)擊“關(guān)聯(lián)用戶/用戶組”，選擇需要授權(quán)的用戶/用戶組：圖STYLEREF1\s3SEQ圖\*ARABIC\s1101關(guān)聯(lián)用戶/用戶組點(diǎn)擊“關(guān)聯(lián)設(shè)備/設(shè)備組”，選擇需要授權(quán)的設(shè)備/設(shè)備組：圖STYLEREF1\s3SEQ圖\*ARABIC\s1102關(guān)聯(lián)設(shè)備/設(shè)備組點(diǎn)擊“關(guān)聯(lián)帳號(hào)”，通過帳號(hào)類型等過濾條件篩選需要授權(quán)的設(shè)備帳號(hào)（全選或不全選均視為匹配所有帳號(hào)）：圖STYLEREF1\s3SEQ圖\*ARABIC\s1103關(guān)聯(lián)設(shè)備帳號(hào)點(diǎn)擊“保存并應(yīng)用”，授權(quán)定制規(guī)則立即生效，在“運(yùn)維管理>權(quán)限管理>權(quán)限管理”中可以查看定制授權(quán)情況：圖STYLEREF1\s3SEQ圖\*ARABIC\s1104授權(quán)狀態(tài)注意：若將用戶移出用戶組，則該用戶將失去所有通過授權(quán)定制授予的運(yùn)維權(quán)限，同理將設(shè)備移出設(shè)備組，則授權(quán)規(guī)則關(guān)聯(lián)的用戶組/用戶將失去該設(shè)備的運(yùn)維權(quán)限；授權(quán)定制列表右側(cè)刪除按鈕功能為刪除該條定制策略并刪除對(duì)應(yīng)的授權(quán)。列表上面的刪除按鈕功能為刪除該條策略，不刪除對(duì)應(yīng)授權(quán)；保存授權(quán)規(guī)則時(shí)，若點(diǎn)擊“保存并應(yīng)用”按鈕，則授權(quán)規(guī)則立即生效，即用戶立即獲得相應(yīng)設(shè)備的運(yùn)維權(quán)限，若點(diǎn)擊“保存”按鈕，則授權(quán)規(guī)則不會(huì)立即生效，用戶不會(huì)立即獲得相應(yīng)設(shè)備的運(yùn)維權(quán)限；刪除授權(quán)規(guī)則后，授權(quán)狀態(tài)不受影響，但不再受到修改鎖定保護(hù)。.工單管理工單管理功能用于運(yùn)維用戶對(duì)無權(quán)限的設(shè)備有運(yùn)維需求時(shí)，管理員主動(dòng)下發(fā)臨時(shí)授權(quán)或由用戶發(fā)起臨時(shí)授權(quán)申請(qǐng)的場(chǎng)景。.1.工單下發(fā)用戶有臨時(shí)運(yùn)維需求時(shí)，管理員可以創(chuàng)建工單為指定用戶下發(fā)運(yùn)維權(quán)限。點(diǎn)擊“運(yùn)維管理>工單管理>工單下發(fā)>新增”，創(chuàng)建工單：圖STYLEREF1\s3SEQ圖\*ARABIC\s1105工單下發(fā)保存后工單立即生效，指定用戶即可獲得有限時(shí)間的運(yùn)維權(quán)限。注意：下發(fā)工單時(shí)，用戶已有權(quán)限的設(shè)備帳號(hào)不會(huì)出現(xiàn)在列表中。.2.工單審核用戶有臨時(shí)運(yùn)維需求時(shí)，可以發(fā)起工單申請(qǐng)（詳見3.10.3），并由管理員進(jìn)行審核是否授權(quán)。點(diǎn)擊“運(yùn)維管理>工單管理>工單審核”，查看待審核的工單：圖STYLEREF1\s3SEQ圖\*ARABIC\s1106工單審核列表選擇需審核的工單，點(diǎn)擊“審核”（此條工單狀態(tài)將轉(zhuǎn)為審核中），查看工單詳情：圖STYLEREF1\s3SEQ圖\*ARABIC\s1107審核工單若拒絕授權(quán)，則點(diǎn)擊“拒絕”，工單將直接關(guān)閉；若允許申請(qǐng)，則勾選需授權(quán)的設(shè)備資源，并點(diǎn)擊“允許”，運(yùn)維用戶即可立即獲得授權(quán)。注意：若“永久授權(quán)”選擇“是”，用戶將永久獲得指定設(shè)備的權(quán)限。.會(huì)同管理會(huì)同是一個(gè)與工單相似的授權(quán)管理功能，與工單的區(qū)別在于，工單用于用戶申請(qǐng)未授權(quán)設(shè)備的臨時(shí)運(yùn)維權(quán)限，而會(huì)同用于用戶申請(qǐng)已授權(quán)設(shè)備的臨時(shí)運(yùn)維權(quán)限。在會(huì)同場(chǎng)景中，用戶已具備設(shè)備的運(yùn)維權(quán)限，但此權(quán)限仍然受到限制，需要通過申請(qǐng)才能獲得完整的運(yùn)維權(quán)限。要啟用會(huì)同，需在設(shè)備帳號(hào)信息中修改會(huì)同的相關(guān)設(shè)置，并關(guān)聯(lián)會(huì)同人。（詳見.2.1）.1.普通會(huì)同普通會(huì)同針對(duì)設(shè)備帳號(hào)，用于控制用戶對(duì)設(shè)備帳號(hào)的使用權(quán)限。用戶發(fā)起會(huì)同申請(qǐng)后（詳見.8.1），會(huì)同人需通過“運(yùn)維管理>會(huì)同管理>會(huì)同管理”，對(duì)申請(qǐng)進(jìn)行查看并審核：圖STYLEREF1\s3SEQ圖\*ARABIC\s1108會(huì)同列表圖STYLEREF1\s3SEQ圖\*ARABIC\s1109審核會(huì)同3.5.3.策略管理.認(rèn)證管理認(rèn)證管理模塊包含認(rèn)證方式管理和認(rèn)證策略管理，用于為360運(yùn)維安全管理系統(tǒng)用戶配置非本地認(rèn)證的單因素和多因素登錄認(rèn)證方式。在配置認(rèn)證前，需要?jiǎng)?chuàng)建用戶組，并將需要使用認(rèn)證的用戶添加到該用戶組。（詳見.1）注意：非必要情況下請(qǐng)勿將superman關(guān)聯(lián)非本地認(rèn)證；使用非本地認(rèn)證時(shí)，無需為360運(yùn)維安全管理系統(tǒng)用戶設(shè)置本地密碼，創(chuàng)建用戶時(shí)使用“自動(dòng)密碼”即可（使用OTP認(rèn)證時(shí)需要自行獲取認(rèn)證信息的用戶和使用包含本地認(rèn)證方式的多因素認(rèn)證的用戶除外）；360運(yùn)維安全管理系統(tǒng)登錄頁(yè)面默認(rèn)使用認(rèn)證策略列表中置頂?shù)恼J(rèn)證策略，管理員可以在列表中點(diǎn)擊“上移”或“下移”調(diào)整策略的順序。.1.RADIUS認(rèn)證點(diǎn)擊“策略管理>認(rèn)證管理>認(rèn)證方式>RADIUS認(rèn)證”啟用RADIUS認(rèn)證：圖STYLEREF1\s3SEQ圖\*ARABIC\s1121RADIUS認(rèn)證服務(wù)器地址：RADIUS服務(wù)器的IP地址；端口：RADIUS服務(wù)器的端口，默認(rèn)為1812；私鑰密碼：即通信密鑰（secret）；連接標(biāo)識(shí)：即別名（shortname）；超時(shí)時(shí)間：連接RADIUS服務(wù)器進(jìn)行認(rèn)證的有效時(shí)間。注意：“RADIUS服務(wù)器B”為備用服務(wù)器。當(dāng)“RADIUS服務(wù)器A”連接超時(shí)后，系統(tǒng)將自動(dòng)啟用“RADIUS服務(wù)器B”用于認(rèn)證連接。配置完成后，點(diǎn)擊“策略管理>認(rèn)證管理>認(rèn)證策略>新增”，創(chuàng)建RADIUS認(rèn)證策略：圖STYLEREF1\s3SEQ圖\*ARABIC\s1122認(rèn)證策略保存并關(guān)聯(lián)需要使用此認(rèn)證的用戶組：圖STYLEREF1\s3SEQ圖\*ARABIC\s1123關(guān)聯(lián)用戶組保存后，關(guān)聯(lián)了RADIUS認(rèn)證策略的用戶即可在登錄頁(yè)面使用RADIUS認(rèn)證登錄：圖STYLEREF1\s3SEQ圖\*ARABIC\s1124登錄注意：需要使用RADIUS認(rèn)證的用戶需存在于Radius服務(wù)器中。.2.AD域認(rèn)證在AD域認(rèn)證場(chǎng)景中，管理員可以通過配置AD域認(rèn)證并將AD域用戶手動(dòng)添加到360運(yùn)維安全管理系統(tǒng)中實(shí)現(xiàn)AD域認(rèn)證，也可以通過配置AD域認(rèn)證并讓系統(tǒng)自動(dòng)同步AD域用戶到360運(yùn)維安全管理系統(tǒng)中實(shí)現(xiàn)AD域認(rèn)證。.2.1.AD域用戶同步配置點(diǎn)擊“策略管理>認(rèn)證管理>認(rèn)證方式>AD域認(rèn)證”啟用AD域認(rèn)證：圖STYLEREF1\s3SEQ圖\*ARABIC\s1125AD域認(rèn)證服務(wù)器地址：AD域服務(wù)器的IP地址；域名：AD域服務(wù)器的域名；域名簡(jiǎn)稱：AD域服務(wù)器的域名簡(jiǎn)稱；域管理員：域管理員用戶名；密碼：域管理員密碼；證書啟用：若AD域的“域控制器：LDAP服務(wù)器簽名要求”組策略設(shè)置了“需要簽名”，則在配置AD域認(rèn)證時(shí)，需要在此處上傳簽名證書；超時(shí)時(shí)間：連接AD域服務(wù)器進(jìn)行認(rèn)證的有效時(shí)間。注意：若配置了“信任AD域服務(wù)器”，則之后可以使用信任域同步用戶或進(jìn)行認(rèn)證。AD域服務(wù)器信息配置完成后，點(diǎn)擊“同步配置>新增”創(chuàng)建同步規(guī)則，系統(tǒng)將通過此規(guī)則來篩選需要同步的AD域用戶：圖STYLEREF1\s3SEQ圖\*ARABIC\s1126同步配置狀態(tài)：控制同步配置規(guī)則的啟用狀態(tài)；來源域：主域/信任域，一般選擇“主域”，若配置了“信任AD域服務(wù)器”，則可以選擇“信任域”；域組：即AD域中的“組織單位（OU）”，若需同步Users中的用戶，則勾選“默認(rèn)域組Users”，若需同步其他OU中的用戶，則在文本框填寫指定的OU名稱；注意：若存在兩層及以上的多層OU結(jié)構(gòu)，則在同步子層OU時(shí)，需按“子層OU,父層OU”的格式填寫。例如OU結(jié)構(gòu)為“TestOU>OU1>OU2”，則在同步OU2的用戶時(shí)，需填寫“OU2,OU1,TestOU”：圖STYLEREF1\s3SEQ圖\*ARABIC\s1127多層級(jí)OU若要同步多個(gè)同層級(jí)OU中的用戶，則需創(chuàng)建多個(gè)同步配置規(guī)則。按組同步：即根據(jù)AD域中的“組”來同步用戶。若需要同步多個(gè)組的用戶，則用“,”隔開。例如OU“TestOU”下有多個(gè)組，則同步單個(gè)組的用戶和多個(gè)組的用戶的配置分別如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s1128同步單個(gè)組的用戶圖STYLEREF1\s3SEQ圖\*ARABIC\s1129同步多個(gè)組的用戶注意：若選擇按組同步，則360運(yùn)維安全管理系統(tǒng)中將自動(dòng)生成同名的用戶組，且同步的用戶也將自動(dòng)歸入該組，無需在“所屬組”中手動(dòng)配置用戶組；若在AD域中，某用戶組中的用戶與該組不在同一個(gè)OU下，則按組同步時(shí)需在“域組”中填寫用戶所在的OU。屬性：公司/部門/職位，對(duì)應(yīng)AD域用戶屬性中“組織”選項(xiàng)卡下的三個(gè)屬性，用于篩選指定OU中不同屬性的用戶。若3個(gè)屬性全留空則該項(xiàng)不會(huì)在規(guī)則中生效；圖STYLEREF1\s3SEQ圖\*ARABIC\s1130AD域用戶的“組織”屬性狀態(tài)碼：即AD域用戶屬性中“屬性編輯器”選項(xiàng)卡下的“userAccountControl”擴(kuò)展屬性，用于篩選指定OU中不同狀態(tài)的用戶，一般情況下保持默認(rèn)即可：圖STYLEREF1\s3SEQ圖\*ARABIC\s1131查找狀態(tài)碼映射：“映射管理”功能用于將AD域上的中文用戶同步到360運(yùn)維安全管理系統(tǒng)中，支持自動(dòng)映射同步和手工映射導(dǎo)入，但同時(shí)只能使用其中一種。配置自動(dòng)映射后，同步的用戶可用所映射的AD域用戶的“移動(dòng)電話”或“電子郵件”屬性作為用戶名來登錄系統(tǒng)。手動(dòng)映射同步功能詳見下一小節(jié)；