Windows操作如何审计 ?

原创 胡刚  2017-01-18 11:03  阅读 1,190 次 评论 0 条
行云管家,新手有礼

随着云计算的快速发展,越来越多的企业将业务系统迁移至云主机上,云主机承载了与企业生存发展息息相关的互联网业务,使得用户对信息安全的顾虑都聚焦在云主机的安全上,而运维审计更是信息安全体系中的重中之重。

行云管家的运维审计功能是其核心特性之一,它为用户提供了完全“无侵入”(无需安装任何软件和插件)的堡垒机机制,能够将用户对主机的访问操作全程记录下来,并生成基于指令集的云端录像,以此实现对云主机安全、可控、合规的运维体系。

而你需要做的,只是将你的云主机导入云管家中,那么,你便可拥有行云管家这一原生的核心功能了。导入方法参见:入驻行云管家三步骤

下面,让我们来看看行云管家的“运维审计”究竟长什么样子吧?

1、访问Windows主机

行云管家支持厂商管理终端、公网IP访问以及内网IP访问(类VPN)三种访问方式。

极力推荐使用“公网IP访问”模式,该模式采用了行云管家研发团队潜心研发并获得专利的远程接入技术,进行了大量的协议精简和图像优化,相比原厂商的管理终端,在图像传输和操作体验方面更加流畅。

如何使用?

举个例子:选择“公网IP访问”,输入操作系统密码即可登陆windows主机。在访问云主机时,可以将访问凭证保存为快捷方式,避免下次访问时重复输入,也可以设置是否将快捷方式分享给团队内其他用户(可以有效保障密码安全)。

进入到windows桌面后就可以进行运维操作了。

2、查看Windows操作审计日志

用户在行云管家里所有访问主机的操作都被记录下来了,管理员身份或者有相应权限的用户可随时查看。点击左上角的主菜单,再点击“操作日志”,如下图。

运维审计包含“会话审计”和“指令查询”两部分。

“会话审计”从会话的维度展示最近的主机访问日志,点击该条记录,展开日志详情,用户可以点击录像截图查看运维审计录像,也可以设置过滤条件查找。

用户在会话里进行的操作全部保存在审计录像里,用户点击日志里“审计录像”图标,即可在线播放,如图。

3、指令查询、定位

“指令查询”提供了一个按照指令来检索操作行为的入口,可以输入相关指令,并配合其它搜索条件,准确的查找出相关操作。在结果中点击“指令定位”将打开审计录像,并自动定位到该指令产生的时间点。

在审计录像中,“指令检索”将展示当前会话产生的所有指令,可以根据指令关键字、指令类型进行检索,并可快速的将录像定位到相应的时间点,相关指令以红框标识,如下图。

值得说明的行云管理是业内首家支持 Windows 2012 指令审计的产品。

以上就是行云管家对Windows云主机运维审计的概览,当然它也支持对Linux云主机的运维审计。

4、总结

信息安全建设在加大网络边界防护、数据通信安全、病毒防护能力等外部网络安全建设的基础上,同样不能忽略内部运维安全的建设。引入运维安全管理与操作监控机制以发现并阻止错误及违规事件,对IT风险进行事前防范、事中控制、事后追溯的组合管理是十分必要的。

行云管家的运维审计的原理是:它可以对基于SSH、RDP等标准协议的访问控制过程进行抓取,并以录像的方式对所有运维操作进行记录,且具备强大的指令检索功能,对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取,从而达到真正意义上的审计与风险控制。

 

本文地址:https://www.cloudbility.com/club/850.html
关注我们:请关注一下我们的微信公众号:扫描二维码,公众号:cloudbility
版权声明:本文为原创文章,版权归 胡刚 所有,欢迎分享本文,转载请保留出处!

发表评论


表情