1、天玥网络安全审计系统运维安全管控系统应用发布安装配置手册v100801天玥网络安全审计系统运维安全管控系统应用发布安装配置手册北京启明星辰信息安全技术有限公司二零一三年七月目录一、 前提 3二、 适用范围 3三、 环境准备 3四、 安装步骤 34.1安装服务器角色 34.2安装应用发布ACC程序 104.3相关配置 144.4检测结果 17五、 卸载程序 18六、 应用发布客户端列表 20七、 应用发布开放端口说明 21一、 前提应用发布主要为将非标准协议或第三方客户端工具进行远程发布,并与天玥OSM关联,可以通过天玥OSM调用应用发布的应用程序进行运维管理操作。二、 适用范围适用于天玥OSM
2、应用发布软件安装。三、 环境准备1. Windows server 2008 R2 Enterprise 64位2. osmACC安装程序包程序包中包含以下程序和文件:1. osmACC.crt2. osmACC.exe四、 安装步骤安装由以下四个环节组成: 安装角色 安装程序 相关配置 检验结果下面详细说明每个环节的具体操作步骤:4.1安装服务器角色登陆预先准备好的服务器,打开服务器管理器,选择角色,再在右侧点击添加角色,如下图所示: 点击添加角色后直接选择下一步, 在安装服务器角色中选择“应用程序服务器”和“远程桌面服务”,如下图所示: 选择完成后依次点击下一步,在选择角色服务框中选择远程
3、桌面主机会话和远程桌面授权,如下图所示: 再依次点击下一步在身份验证方法中选择“不需要选择网络身份验证”,如下图所示: 点击下一步后进入授权模式,选择 “以后配置”,如下图所示: 然后默认配置依次点击下一步直至安装完成后点击关闭重启系统,如下图所示: 系统重启完毕后程序会继续安装,等待安装完成后点击关闭即可,如下图所示: 等待安装完成后,打开服务器管理器双击展开角色远程桌面服务RemoteAPP管理器,在右侧点击“RD会话主机服务器设置”进行设置,如下图所示: 点击进入“RD会话主机服务器设置”后,在一个选项卡中选择“允许用户在初始连接时启动列出和未列出的程序”,点击确定完成,如下图所示: 再
4、选择至RD会话主机配置,右键“限制每个用户只能进行一个会话”点击属性,如下图所示: 在弹出的会话框中将“限制每个用户只能进行一个会话”的复选框取消,点击确定即可,如下图所示:至此角色安装完成。4.2安装应用发布ACC程序首先将ToscACC安装程序包拷贝或传输至服务器的C盘目录下,解压ToscACC安装程序包并进入解压出的C:ToscACC目录下,文件夹内包含TsocCA.crt证书文件和TsocACC.exe安装程序,双击TsocCA.crt证书文件安装证书,此安装和web证书安装不同,需要选择显示物理存储区域,然后把证书安装到本地计算机的受信任的根证书颁发机构;打开证书文件后点击安装证书,
5、再点击下一步,如下图所示:在下一个会话框中选择“将所有的证书放入下列存储”,再点击浏览,如下图所示:在浏览弹出的会话框中,将“显示物理存储区”的复选框勾选上,再选择“受信任的根证书颁发机构”,依次点击确定下一步完成,如下图所示:当点击完成后跳出“安全性警告”时选择“是(Y)”后即会弹出“导入成功”的界面,如下图所示:证书安装完后运行cmd执行命令:bcdedit /set testsigning on 命令执行完成后会显示“操作成功完成”,然后重启系统(这步非常关键,一定要重启,不重启驱动将不会生效),出现如下图所示为成功。 系统重启完成后,再次进入C:TsocACC目录中,执行TsocACC
6、.exe程序,进行安装,ACC程序安装界面如下图所示: 点击下一步后,程序会自行安装,默认路径为C:VenusACC,安装完成后,点击完成会弹出如下图界面: 在堡垒机地址中输入天玥OSM的地址点击确定,至此ACC程序安装完成。4.3相关配置 待ACC程序安装完成后还需要进行一系列的相关配置,首选进入C:osmACC下,选择ACCapp右键属性,在兼容性选项卡中点击 “更改所有用户的设置”,如下图所示: 再在下一个会话框中选择“以管理员身份运行此程序”,点击确定,如下图所示: 设置完成后,在运行中启用msconfig,在选项卡中选择工具,再选择“更改UAC设置”,点击启动,如下图所示: 在弹出的
7、会话框中将滑块下拉至“从不通知”,点击确定,如下图所示:由于ACC的账号是和堡垒机用户名密码完全相同,因此如果用户对堡垒机用户名密码没有密码复杂度要求,需要修改2008服务器密码复杂度限制,打开管理工具本地安全策略,再选择账号策略密码策略,再在右侧选择将 “密码必须符合复杂度要求”禁用,默认是启用的,如下图所示:注:为避免出现一个黑色的鼠标指针和避免在win8下出现鼠标指针倒过来的情况,可以在控制面板硬件鼠标,在鼠标属性的指针选项卡中选择方案“无”,默认设置都是“无”, 如果有“允许主题更改鼠标指针”选项,将此选项复选框取消掉。4.4检测结果 配置完成之后打开管理工具服务,查看ACCservi
8、ce是否已启动,如下图所示: 确认ACCservice已启动后,启用cmd输入命令:net user,查看是否已与目标天玥OSM的运维用户同步,服务器默认只有一个administrator管理员账号和guest来宾账号,如果有显示其他账号,说明已同步成功。如下图所示:如果没有同步成功使用telnet命令telent堡垒机IP地址的443端口查看是否能够通信,如果telnet不通请检查网络和防火墙的配置。设置完成后,在计算机中无法查看现有盘符,这属于正常现象,目的是为了限制运维用户权限。如果管理员用户需要打开服务器现有盘符,如安装应用程序时,可以先停止ACCservice服务,再在注册表中依次打
9、开HKEY_LOCAL_MACHINESOFTWAREmicrosoft-WindowsCurrentVersionPoliciesExplorer,删除NoDrives和NoViewOnDrive两个值,然后注销登录服务器即可。再次隐藏盘符时,只需将ACCservice服务再次启动,然后注销登录服务器即可即可。如果需要修改堡垒机IP,可在C:osmACC目录中,以管理员身份运行ACCService,弹出堡垒机地址输入的界面,修改堡垒机IP。五、 卸载程序卸载应用发布ACC程序时,首先需要在服务中将ACCservice服务停止,如图5-1所示: 图5-1 停止ACCservice服务然后通过c
10、md命令提示符,输入cd c:OsmACC进入应用发布ACC程序的安装目录,如图5-2所示:图5-2 进入Osm目录进入安装目录后执行ACCservicePROC.exe uninstall将程序卸载掉,如图5-3所示:图5-3 卸载程序 卸载完成后将安装目录删除即可。六、 应用发布客户端列表应用发布支持客户端工具版本:客户端名称版本号备注Oracleoracle10.2(推荐oracle10.2.0.1)oracle client服务,plsql、toad工具需要依赖Toad DBA Suite for Oracle10.5(推荐10.5.1)oracle数据库客户端工具plsql deve
11、loper7.1.5.1398(推荐7.1)oracle数据库客户端工具SQL_2005_x64SQL_2005_X64简体中文企业版sql server数据库客户端工具DbVisualizer6(推荐6.0.12)DB2数据库客户端工具Sybase12.5(推荐12.5.1)Sybase数据库客户端工具Mysqlmysql5.0(推荐mysql5.0.87)mysql数据库客户端工具Symantec pcAnywherePCAnywhere_Chs_12.5PCAnywhere工具radmin3.4radmin工具RealVNC Enterprise4.6(推荐4.6.3)VNC客户端工具Internet Explorer8IE,用于支持http(s)应用,但不支持含有动态验证码的应用 除列表中的客户端工具,其余安装在应用发布中的工具不支持密码代填,如需在应用发布服务器中安装客户端工具,首先在应用发布服务器中创建一个特定账号:osmaccadmin,密码:venus.admin,安装客户端工具一律使用此账号,此账号不得在天玥OSM堡垒机运维用户中创建同名帐号。七、 应用发布开放端口说明端口号 协议 描述 3389RDP 向堡垒机开放,不能修改端口号