一、RDP协议凭证改密简介
在行云管家中实现主机登录凭证的定期、自动更新,无需人工干预,即使存在主机登录凭证泄露的情况,依然能够保障安全。
点击进入“资源运维”->“主机运维”->“运维控制”->“凭证改密策略”,即可通过“创建新的改密策略”来进行改密策略设置;
| 主机凭证批量改密支持以下协议 | ||
|---|---|---|
| 改密方式 | 改密注意事项 | |
| Agent改密 | Windows服务器支持通过Agent实现改密 | |
| winRM服务改密 | winRM服务需要开放主机的5985或5986端口 | |
| SMB RPC协议改密 | SMB RPC协议依赖于特权账号,请确保改密主机有可用的特权账号供调用 SMB RPC协议改密需要开放主机的139和445端口 |
|
| Windows域改密 | 域账户改密必须需要在用户的AD域中配置好SSL证书服务 | |
二、Agent方式改密
在行云管家中,Windows和Linux服务器支持安装行云管家Agent,通过目标主机root或administrator等管理员用户安装Agent后,即可实现通过Agent进行改密改密。
- 注意:网络或其他不支持安装Agent的设备不能通过这个方式改密,请使用下述“改密脚本”方式进行改密。
如图,在“协议类型”选择“RDP协议”后,请直接点击下一步即可;
三、winRM服务改密(6.5版本)
如果某些主机没有安装行云管家Agent,我们可以通过winRM服务进行修改,此时需要开放主机的5985或5986端口。
如图,在“协议类型”选择“RDP协议”后,请直接点击下一步即可;
关于行云管家WinRM服务应用及配置的详细说明可以点击此处进行了解;
3.1、winRM在行云管家上的应用
行云管家在以往版本中,为解决Windows远程命令执行问题,采用了Agent方案,但由于Agent接受程度不高,同时Agent的批量化安装同样依赖远程命令执行,这就导致了“鸡生蛋蛋生鸡”的哲学问题。
目前,在V6.4版本中,行云管家已经尝试将WinRM作为Windows账号自动改密的执行方案。未来,行云管家将全面开始采用WinRM服务作为Windows远程管理的解决方案。
在业界,WinRM已经被广泛接受,微软官方也在逐渐向Linux看齐,甚至在未来发布的Windows Server,将支持只有Server Core而没有GUI的Windows。而这种系统的管理方式,就是WinRM。
3.2、如何配置WinRM服务
WinRM服务基于HTTP(HTTPS)协议,使用5985端口(HTTPS使用5986端口)。按照微软官方的介绍:Windows2008 R2以上版本的操作系统,默认开启WinRM服务,因此,在使用时只需将防火墙相应的5985(或5986)端口开放即可;
(1)如何确认WinRM服务是否开放?
以管理员身份在CMD中执行以下命令:
winrm e winrm/config/listener
若返回错误信息,表示WinRM未启动;
若返回以下信息,表示已启动:
(2)如何开启WinRM服务?
若WinRM未启用,以管理员权限运行PowerShell,然后输入以下命令:
enable-psremoting
看到上述界面,表示WinRM启动成功。
3.3、非administrator使用前要做哪些配置
在现在GUI形式的Windows上,若使用域控账号或Administrator执行远程管理,由于Windows将域账户认为是可信账户,因此无需任何配置,即可完美执行远程命令。
但要想使用本地非Administrator账号通过WinRM进行远程管理,会受到UAC(User Account Control)的影响,当使用非Administrator账号执行任何操作时,均会弹出UAC确认窗口,需要用户手动点击“是”按钮进行确认,如下图:
那么问题来了:在执行远程命令时,运维人员并没有进到操作系统界面,无法看到此提示,更不用说确认了,必然导致远程命令执行失败。
针对此问题,微软提供了一种远程操作关闭UAC提示的策略配置,只需要在注册表中配置LocalAccountTokenFilterPolicy = 1,即可在远程执行命令时,不进行UAC提示,但此策略不影响Windows本地操作,因此具有一定安全性。
具体配置操作为以管理员身份打开CMD,并执行以下命令:
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
进行上述配置后,使用本地非管理员账号,也可完美远程执行命令。
四、SMBRPC协议改密
如果某些主机没有安装行云管家Agent,我们可以通过SMBRPC协议进行修改,此时需要开放主机的139和445端口。
- 注意:RPC协议依赖于特权账号,请确保改密主机有可用的特权账号供调用;
如图,在“协议类型”选择“RDP协议”后,请直接点击下一步即可;
五、Windows域账户
域账户改密必须需要在用户的AD域中配置好SSL证书服务,具体域账户创建可以参考域账户创建及管理;
六、改密具体策略设置
6.1、自动改密策略规则时候这
如图,通过自动改密执行策略,可以实现定期批量改密等功能,通过定期改密,排除密码泄露带来的安全隐患。
6.2、改密推送规则设置
对于通过策略改密完成后的新密码,可以设置是否推送,是否加密(系统将把密码记录以excel文件作为附件发送到指定人员的信箱,针对excel文件可设置密码进行加密),密码内容是否分段推送(分段发送密码是指将改密记录中每台主机的密码拆分成两份,并将拆分后的文件发送给不同的团队成员,确保密码的安全)
- 注意:开启密码推送需要开启邮箱功能,接收的用户需要绑定有邮箱;
