Product Documentation

安全性建议

Sep 15, 2015

SmartAuditor 设计为在安全的网络中进行部署并由管理员进行访问,因此,SmartAuditor 非常安全。即开即用部署设计为简单易用,且具有可选择性配置的数字签名和加密等安全功能。

SmartAuditor 组件之间的通信通过 Internet Information Services (IIS) 以及 Microsoft 消息队列 (MSMQ) 实现。IIS 可在各个 SmartAuditor 组件之间提供 Web 服务通信链接。MSMQ 可提供可靠的数据传输机制,用于将录制的会话数据从 SmartAuditor 代理发送到 SmartAuditor 服务器。

规划部署时,请考虑如下安全性建议:

  • 将运行 SmartAuditor 组件的服务器隔离到独立的子网或域中。
  • 在 SmartAuditor 服务器与其他服务器之间安装防火墙,防止访问其他服务器的用户访问录制的会话数据。
  • 确保运行 SmartAuditor 组件的服务器在物理方面的安全性。如有可能,请将这些计算机锁在一个安全的房间内,只有授权人员能够直接取用。
  • 严格限制授权人员更改录制策略及查看录制的会话。
  • 安装数字证书,使用 SmartAuditor 文件签名功能,并在 IIS 中设置 SSL 通信。
  • 使用播放保护功能。播放保护是 SmartAuditor 的一项功能,可在将录制的文件下载到 SmartAuditor 播放器之前对其进行加密。默认情况下,此选项处于启用状态,且位于“SmartAuditor 服务器属性”中。

安装证书

在安装了 SmartAuditor 服务器的计算机上,从 SmartAuditor 代理、SmartAuditor 播放器或 SmartAuditor 策略控制台建立 SSL 连接时,IIS Web 服务器会将其服务器证书发送到客户端。收到服务器证书后,SmartAuditor 代理、SmartAuditor 播放器或策略控制台会确定颁发该证书的证书颁发机构 (CA) 以及客户端是否信任该 CA。如果客户端不信任该 CA,证书将被拒绝,并且将在 SmartAuditor 代理的应用程序事件日志中记录错误,或者在 SmartAuditor 播放器或策略控制台中向用户显示一条错误消息。

服务器证书是通过收集服务器相关信息并请求 CA 为该服务器颁发证书来安装的。请求服务器证书时必须指定正确的信息,并确保正确指定服务器的名称。如果使用完全限定的域名 (FQDN) 连接客户端(SmartAuditor 代理、SmartAuditor 播放器以及策略控制台),则指定给 CA 的证书信息必须使用服务器的 FQDN 而非 NetBIOS 名称。如果指定 NetBIOS 名称,请勿在请求服务器证书时指定 FQDN。将服务器证书安装到本地服务器的证书存储中。在每个连接的客户端上安装颁发的 CA 证书。

您的组织可能拥有私有 CA 来颁发可与 SmartAuditor 一起使用的服务器证书。如果您使用私有 CA,请确保每台客户端设备上均安装有颁发的 CA 证书。有关使用证书以及证书颁发机构的信息,请参阅 Microsoft 文档。或者,某些公司和组织目前担当 CA 的角色,包括 VeriSign、Baltimore、Entrust 及其各自的附属机构。

所有证书都拥有一个由 CA 定义的过期日期。要查找该过期日期,请查看证书的属性。请确保在过期日期之前续订证书,以防止 SmartAuditor 中产生任何错误。

默认情况下,SmartAuditor 安装配置为使用 HTTPS,您需要使用 CA 颁发的服务器证书来配置默认 Web 站点。如果需要有关在 IIS 中安装服务器证书的说明,请查阅 IIS 文档。

授予用户访问权限

注意:出于安全原因,请只授予用户执行特定功能(例如查看录制的会话)所需的权限。

可以通过使用 SmartAuditor 服务器上的 SmartAuditor 授权控制台向 SmartAuditor 用户分配角色来授予这些用户相应的权限。SmartAuditor 用户具有以下三种角色:

  • 播放者。具有查看录制的 XenApp 会话的权限。此角色中没有默认成员身份。
  • 策略查询者。允许托管 SmartAuditor 代理的服务器申请录制策略评估。默认情况下,经过身份验证的用户属于此角色的成员。
  • 策略管理员。具有查看、创建、编辑、删除以及启用录制策略的权限。默认情况下,托管 SmartAuditor 服务器的计算机的管理员属于此角色的成员。

SmartAuditor 支持在 Active Directory 中定义的用户和组。

向用户分配角色

  1. 以管理员或策略管理员角色的成员身份登录到托管 SmartAuditor 服务器的计算机。
  2. 开始菜单中,依次选择所有程序 > Citrix > SmartAuditor > SmartAuditor 授权控制台
  3. 选择要分配给用户的角色。
  4. 依次选择操作 > Assign Windows Users and Groups(分配 Windows 用户和组)
  5. 添加用户和组。

对控制台所做的任何更改都将于每分钟执行一次的更新期间生效。