参考创建主机运维策略后即可进行访问规则设置,在“访问规则”里,可以对“审计录像”、“会话水印”、“登录事由”、“登录时段”、“IP限制”做相关设置;

一、审计录像

访问子策略里的关联设备时,是否强制进行审计录像;

二、会话水印

开启会话背景水印后,会话的背景将带有密密麻麻的会话创建者的用户昵称(不唯一、可修改)和用户ID(唯一、不可修改)信息,适用于安全保密等级较高的主机,禁止团队成员擅自将主机上的任何数据外泄。当管理者发现了外界出现了相关主机的截图或对屏幕的拍照,可以通过图片上遗留的会话创建者信息查找泄露源头;

会话水印支持哪些会话访问:Web桌面访问里的所有协议,以及本地工具访问里的TigerVNC;

(1)Web桌面访问:

(2)本地工具TigerVNC访问:

三、登录事由

如果您想了解团队成员的每一次会话访问操作的原因和目的,您可以在这里设置主机登录事由为“强制填写”;

如图,访问会话时会要求填写登录事由;

填写登录事由登录过的主机会话,在主机审计日志里可以看到登录事由;

四、登录时段

在某些特定的场景下,我们需要对主机可访问的时间段进行控制,例如:只有在工作时段才允许登录行云管家访问主机,因此需要将运维时段设置为09:00到18:00,那么可以按照以下指引进行设置。运维时段有三种设置方式:

(1)允许任意时段访问:如果选择该方式,那么访问时段将不做任何限制;

(2)只允许指定时段访问:以一天为维度,指定哪些时间段是可以访问,最小粒度为15分钟;

(3)设置周期性访问规则:以一周为一个周期,分别设置每天的哪些时段可以访问,适合区分工作日与非工作日,最小粒度为1小时;

(4)在非运维时段访问主机,如果出现以下提示,则表示配置生效;

(5)在非运维时段执行作业,如果出现以下提示,则表示配置生效;

五、IP限制

IP限制包含白名单和黑名单两种。设置为白名单时,客户端IP必须在IP列表中才允许访问;设置为黑名单,如果客户端IP在IP列表中将禁止访问;

设置白名单后访问主机,并且当前用户电脑客户端不在该白名单IP内,则会出现以下提示;