版本发布

行云堡垒 V7.5版本包括但不限于以下内容： 一、 新增需求 1.1 支持免密方式登录门户 支持使用本地客户端的通行密钥，免密码方式登录门户。相比传统密码方式，用户无需记忆复杂的密码，可直接使用客户端的人脸、指纹、手机令牌、安全密钥等方式进行身份认证，提高用户体验，而且更加安全，不会出现密码被爆破的问题。 1.2 会话监管过程中支持禁止操作 管理员在进行会话监管时，若发现操作员存在疑似违规行为，可以强制剥夺会话控制权，暂停会话的操作。 1.3 批量进入活跃会话 在个人活跃会话列表下，提供批量进入活跃会话的入口，避免多个会话需要多次点击，并在不同浏览器页签打开。 1.4 RDP协议支持安全模式选择 在创建 RDP协议 会话时，支持指定Auto、NLA、TLS、RDP四种安全模式，默认采用Auto模式，可以满足大多数场景的需求，在针对一些较老旧的Windows设备时，可以尝试使用RDP模式。 1.5 应用管理优化 复制应用工具 应用工具支持复制，方便快速的克隆一个工具，在一些数据库、浏览器工具的配置中，这是个比较高频的行为； 应用优化 应用资产的设置、移除、收藏按钮，需要在鼠标移入应用所在行时才会出现，过于隐晦。本版本在应用列表中增加“操作”列，将“设置”和“移除”功能放在操作列中，便于操作，“收藏”按钮仍然需要鼠标移入所在行才会出现在应用名称右侧； 应用访问凭据优化 在一些应用中，可能存在较多的访问凭据，管理起来非常不便，在本版本中增加了分页、关键字检索、批量修改、批量删除等能力，方便对凭据进行管理。 1.6 Mysql数据库拆分为5和8两个版本 由于Mysql的5.7和8.0两个系列版本在协议上存在较大差异，因此产品将Mysql数据库拆分为Mysql5和Mysql8两种类型，访问时也需要使用不同的端口。 需要注意的是，升级到V7.5时，存量数据库资产中的mysql会统一归为Mysql8类型，Mysql5.X资产，需要重新导入为Mysql5。 1.7 OpenAPI接口优化了权限校验逻辑 在某些页面使用OpenAPI获取数据时，优化了权限校验逻辑。 1.8 资产和凭证授权页面增加导入导出功能 提供批量导入/导出资产和凭证授权的UI界面，由于操作过程的复杂性，此操作会进入任务中心。 1.9 Telnet协议支持配置文件管理 Telnet协议往往用于管理网络、存储等特殊设备，由于Telnet协议的可扩展性，各设备厂商均会对协议进行各种改造，导致Telnet协议在使用时存在非标准化的问题，因此我们允许对Telnet协议进行配置，以适配各厂商的设备； Telnet协议配置文件用于定义创建Telnet协议会话时所采取的认证流程、进入特权模式、以及Telnet改密脚本中，如何执行以及回填凭证新密码。 1.10 主机资产支持定义设备品牌 支持对主机资产进行设备品牌定义及关联Telnet配置文件，后续版本也会按照设备类型的维度进行资产的展示； 在数据字典管理中，可以各种设备类型的设备品牌进行管理。 1.11 团队访问串管理 提供全局的团队访问串管理入口，方便管理员了解团队中访问串的使用情况，并提供批量管理能力，目的： 1、了解团队成员访问串使用情况； 2、团队访问串统一管理（更换、禁用、启用、删除）。 1.12 资产凭证密码定期自动发送 管理员可以配置将资产的凭证密码定期自动发送到指定的团队成员邮箱中（支持分段发送），用于归档资产账号密码。 1.13 审计录像中指令信息优化 支持在 审计录像 中导出当前会话的指令记录，另外在审计录像的指令列表中，将展示指令的执行人，避免会话分享过程中，无法知晓指令的实际执行人。 ...

行云堡垒 V7.4版本包括但不限于以下内容： 一、 基础架构 1.1 支持高可用主备模式部署 新增高可用主备模式部署，相比K8S集群部署，主备模式所需投入的资源较少，但缺点是资源利用率不高，同时只有一个节点在提供服务，备机只在主节点停止服务时接管。 截止目前，V7版本将支持标准单机部署、 高可用部署、K8S集群三种部署模式。 1.2 国际化支持 提供简体中文、繁体中文、英文三种语言的切换，可将语言作为偏好设置首选项进行保存，每个用户在任意终端登录时，均能按照首选语言项显示页面内容。 1.3 非root权限安装 从安全角度而言，应用的容器进程禁止使用root高权限运行，因为一旦有漏洞注入可能带来shell反弹等高优先级风险。由于部分功能（如备份还原、日志归档、日志采集等）需要的权限较高，因此在对上述功能做出调整后，已可以支持非root方式运行。 二、 资产运维 2.1 支持纳管达梦数据库 支持 国产信创数据库达梦 的管理，支持范围包括SQL拦截、SQL审批、数据脱敏、SQL审计； 2.2 应用资产管理的重构 对应用资产的管理进行重大优化，实现以下改进： 参数代填技术方案重构：针对C/S应用代填适配率低、Web应用复杂场景无法代填的问题，新版本予以彻底解决； 增加应用工具的自定义能力：用户可以根据指引，自行发布工具，发布工具时，需要定义代填参数（工具有哪些参数，用作变量）、编写代填脚本，即可完成工具的发布； 应用资产和账号密码解耦：一个应用可以通过属性设置的方式，同时关联多个账号密码，每个账号密码可以分配给某些用户/用户组/部门。对于多用户同时需要使用的一类应用（例如OA），只需要创建一个应用，再配置每个用户的账号密码即可，无需重复创建应用，即减少了应用资产的数量，也降低了管理员的配置管理工作； 数据库应用工具自定义：用户可自行将任意应用工具发布成数据库工具，只需要设置工具代填参数和数据库的访问参数的映射关系即可。 2.3 资产密码查看 为管理员提供一个“查看资产密码”的功能权限，具备此权限的用户可直接在资产详情页面查看资产凭证的明文密码（此操作需要强制性双因子认证），无需在凭证管理中进行导出操作。 2.4 资产密码申请 普通成员在一些特殊情况需要用到主机的账号密码时，由于账号托管的原因，流程复杂。新版本提供的资产密码申请功能，为用户提供了基于工单流程的密码申请流程，成员发起申请工单后，等待工单审批完毕，成员即可获得密码明文，同时为了确保主机的安全，支持一次一密的方式，审批者根据申请者的使用时间，指定密码在某个时间自动执行改密操作，避免密码的泄露。 2.5 资产访问串批量更换 为资产访问串提供批量更换功能，可一次性更换某个资产的全部访问串。支持单独更换密码、单独变更有效期。 2.6 网络管理中支持直接增删网络 在网络管理功能界面，支持直接增删局域网云账户网络； 2.7 申请资产权限时，显示资产名片 在团队成员申请资产权限时，若资产/凭证数量较多，标识性不强，需要通过资产/凭证描述进一步定位对象。本版本提供的资产名片，可以方便申请者确认所选择的对象。 2.8 SSH会话支持按键序列自定义 某些交换机等特殊设备，由于系统的特征，在SSH访问时，删除键和退格键并非标准按键，需要进行自定义映射。 2.9 VNC协议管理优化 对VNC协议访问资产做了以下改进： 本地工具限制：在使用VNC访问资产时，由于各类原生的VNC本地工具不支持会话水印，因此部分用户希望将不支持会话水印的VNC本地工具给屏蔽掉，只允许使用行云堡垒提供的VNC工具。目前行云堡垒提供了TigerVNC和TurboVNC两款支持会话水印的工具； VNC访问串：若用户不需要开启VNC会话水印，不限制VNC本地工具，可开启VNC访问串功能，将VNC的访问串放到各类工具中使用。 2.10 活跃会话批量监管 管理员在监管团队内活跃会话时，每个会话均是一个独立的浏览器标签页，无法像创建会话一样在一个浏览器标签页中显示。本版本提供了批量监管及批量打开活跃会话的功能，方便管理员一次性的监管全部会话。 2.11 支持导出主机/数据库的描述字段 导出资产信息时，支持将描述字段导出； 2.12 体检中心优化 体检结果概览增加“全部问题”的维度，避免一进到体检中心页面时，容易下意识将第一项“系统安全”当成整体概览； ...

行云堡垒V7.3补丁发版内容 V7.3.11（发布：2024-06-28） 修复主机访问串更换后，密码需要刷新页面才会变化的问题 修复克隆角色没有记录操作日志的问题 修复更改凭证授权方案关联用户记录的日志显示错误的问题 修复资产访问申请工单开始时间未做判断的问题 修复短信发送失败的问题 修复通过会话分享入口登录时，如果要求双因子认证，将会导致认证失败的问题 修复使用验证码进行工单审批时，错误的要求工单流程管理权限的问题 修复访问应用时，宿主机出现其他应用程序的问题 修复自动安装Agent的任务错误的产生了作业任务日志的问题 优化用户组关联和清空大量用户场景下的性能 优化中转对内存资源使用的性能 修复拨测全部凭证时，一个失败就会导致全部失败的问题 V7.3.10（发布：2024-06-07） 优化 用户组、角色等详情页面的关联用户显示逻辑 修复部门人数显示错误的问题 修复控制台删除用户后，用户组的关联数据没有被同步删除的问题 持续修复LDAP组织架构同步的一系列问题 修复控制台批量删除用户操作包含团队管理员时出现错误的问题 修复部门详情中用户分页数据错误的问题 修复主机列表凭证权限判断错误的问题 修复本地工具传输文件没有记录日志的问题 修复打开应用宿主机会话报反序列化失败的问题 修复扫码登录的用户没有记录登录日志的问题 修复全局检索仅展示有权限的网络的问题 优化批量打开会话时，切换会话页签导致发送审批窗口被重置的问题 增加一个会话标签页最大允许打开的会话数限制 优化用户数量较大时，选择用户控件的加载速度 V7.3.9（发布：2024-05-22） 修复LDAP组织架构同步的一系列问题 修复全局检索能够看到没有权限的主机的问题 修复控制台中批量删除用户报错的问题 修复minio存储方式下上传文件失败的问题 修复批量打开会话在特定场景出现的一系列问题 修复短信网关手机号解密失败的问题 修复win2008等较低RDP版本拨测失败的问题 修复应用宿主机中Adminer工具的代填脚本问题 修复管理控制台删除用户不成功的问题 修复修改团队参数后，没有记录操作日志的问题 修复用户详情页面授权情况，资源授权显示不正确的一系列问题 优化使用平板电脑等触屏模式下的交互 资产授权页面的资产可以按照名称进行排序 导出主机数据包含主机ID和实例ID 修复主机改密策略中输入一串特殊字符进行搜索报错的问题 修复改密策略选择凭证页面很慢的问题 修复了LDAP服务器的基本信息保存失败的问题 V7.3.8（发布：2024-04-19） 修复首页、我的资产、监控仪表等页面判断是否导入资产的错误逻辑 修复导入公有云主机时的一些问题 修复一键唤醒SecureCRT工具访问主机时出现错误的问题 优化网络管理页面的布局问题 优化监控方案页面的加载速度 修复选择资产控件里，云账户下没有显示网络的问题 修复通过分组授权的用户查看不到分组的问题 修复主机关联标签后，主机列表出不来的问题 修复非管理员用户点击主机详情报错的问题 修复主机列表页面网络权限的判断问题 修复主机存在多个标签，删除一个时，会导致其他的一起被删掉的问题 优化部门组织架构树的加载速度 修复RDP密码错误的情况下，界面无法显示错误原因的问题 优化凭证授权页面部门授权对象的展示问题 修复体检中心主机筛选条件异常问题 优化主机、数据库、凭证的页面加载速度 修复团队管理员资产分组进入后报错的问题 修复移动部门时，操作日志中被移动部门名称无法正常显示的问题 修复选择主机控件里搜索条件被重置的问题 修复sftp不支持curve25519-sha256算法的问题 修复finalshell、WindTerm等打开本地工具会话，界面显示错乱的问题 修复主机凭证管理界面权限判断错误的问题 ...

2023年12月26日， 行云堡垒 发布V7.3版本，此版本有多个重大更新，主要包括但不限于以下内容： 一、安装部署 1、支持硬件国密加密卡 在安装初始化时，支持指定硬件形式的国密加密，目前支持的厂商为东进PIC-E加密卡； 二、门户功能 1、资产运维 1.1、主机列表支持多关键字组合检索 主机管理、主机资产列表、主机凭证管理、凭证授权等涉及到主机列表的页面，支持按照多关键字进行组合检索，例如同时输入主机名称、IP、实例ID关键字，可以更精准的检索到相关的主机资产； 1.2、资产列表支持调整字段列宽 主机、数据库列表，支持对字段列宽进行调整，方便用户查看某些较长文本的字段信息； 1.3、访问串信息一键复制 为了方便访问串信息的保存，提供了一键复制的功能，可将访问串全部信息一次性的复制，无需逐个属性复制； 【友情提醒】：访问串属于个人信息，通过访问串连接目标资产后所执行的所有操作均被归属为访问串所有者，因此访问串不能提供给其他人员使用，一键复制功能仅为方便自己保存信息之用，切勿用于访问串信息的传播； 1.4、会话复制及重连 在主机Web会话中，提供会话复制及重连的能力，用户可以快速复制一个进行中的会话，也可以针对一个已结束的会话进行快速重连； 1.5、AWS安全组管理 支持对AWS安全组进行管理； 1.6、优化Xrdp协议 在使用RDP协议连接Xrdp资产时，由于Xrdp协议自身特性，30秒不操作便会自动断开连接，导致会话守护失效的问题，本版本通过对Xrdp会话进行了优化，解决了此问题，使Xrdp会话稳定性更强； 2、资源授权 2.1、资产授权页面优化 当团队内资产数量过多时，由于需要大量的数据查询及渲染，资产授权页面在加载资产数据时，会出现卡滞的现象，本版本对资产授权页面交互方式进行了调整，不再默认一次性加载出全部资产，而是将云账户/网络与资产分开展示，联动查询，同时仅展示一个云账户/网络的资产，并对资产进行分页，避免出现数据量过大的问题； 3、审计日志 3.1、导出数据库会话日志 在数据库会话审计日志中，可以将日志以会话的维度导出为execl格式； 三、管理控制台 1、支持USB-Key用户认证 增加USB-Key作为用户二次认证方式，需要提前为指定的用户签发USBKey，已签发的用户可以使用USBKey作为二次认证；目前产品支持的USB-Key厂商为：飞天诚信，型号为：ePass3000GM； 2、Proxy/Agent自动升级优化 在版本升级时，Proxy/Agent会自动跟随系统进行升级，为了避免出现Proxy/Agent升级包下载导致的大并发流量问题，我们对Proxy/Agent自动升级策略进行了优化；

2023年8月8日，行云堡垒发布V7.1版本，此版本是在V7.0基础上完善各类功能的一个版本，更新主要包括但不限于以下内容：一、系统性改进****1.1、支持Arm64架构支持在Arm64架构下进行部署安装，在前期已经支持X86架构的基础上，行云堡垒可以部署在目前市场上所有的主流Linux环境；1.2、提供各类系统级命令在系统层面提供给了各类安全策略命令，例如：关闭双因子认证/防暴力破解/用户安全策略、重置用户密码的命令，防止在错误的配置门户安全策略、管理员OTP令牌丢失等极限场景下，管理员无法登录的情况；1.3、支持全局资源检索提供了对主机、数据库、应用、网络、体检报告、用户进行全局检索，方便快速定位需要查找的资源；1.4、完善个人偏好设置个人资料/偏好设置中，支持设置审计习惯（特别针对审计员）以及消息接收方式的设置。二、审计日志****2.1、图形协议会话的审计能力提升a、高识别率的OCR解析能力对于RDP和VNC这两类图形界面会话的审计能力，除了支持键盘输入事件记录外，还支持对图像中出现的文字进行OCR分析，相对于历史版本的OCR能力，本次升级后的解析识别率非常高，不受字体等因素影响，能够满足大多数场景下的文字识别；b、支持剪切板审计能够审计用户在目标服务器上执行的拷贝操作，也能够审计通过复制/粘贴板中向目标服务器发送的文本内容；c、支持指令分类查询支持按照输入、OCR、拷贝、发送这几类指令类别进行过滤；2.2、审计录像播放设置为了提高审计员的工作效率，在播放审计日志录像时，提供各种播放设置功能，相对以往版本，新增了空闲操作时是否跳过的能力，对于没有任何操作的录像片段，能够直接跳过，节省审计时间。三、管理控制台****3.1、支持跳板机及服务的端口配置在支持数据库端口复用的背景下，中转作为数据库代理不再需要对外开放大量的端口，每类数据库只需开放一个端口即可（Oracle及SQL Server暂不支持端口复用），因此本版本允许对各类跳板机及服务的端口进行自定义，方便用户自行定义各类服务的端口值；3.2、支持审计日志存储方式支持将审计日志存储于各类外部对象存储服务中，目前已支持包括公有云在内的7种对象存储服务；3.3、完善短信邮件配置功能仍然支持腾讯云、阿里云、SendCloud三家云通讯厂商，并对各种消息发送场景进行了梳理，同时增加了短信邮件发送日志的功能，便于管理员排查各类消息发送失败的问题；3.4、完善第三方应用配置功能支持企业微信、钉钉、飞书三种企业级协同办公应用，能够方便的利用这类应用进行扫码登录、接受消息、访问移动版本等场景；需要注意的是，考虑到微信公众号的配置复杂度、维护成本等因素，V7将不再支持微信公众号；3.5、完善租户资产配额模式切换功能在行云堡垒这种多租户模型下，需要将系统License中的资产配额进一步分配到各个租户（团队）中，本版本继续保持了租户共享模式和租户配额模式这两种资产分配模型，同时，在配额模式下，可以快速的直接对所有租户的资产配额进行调整，无需进入到团队管理界面。