配置用戶登錄安全鎖

為保障云堡壘機系統用戶登錄安全，在用戶登錄云堡壘機時，輸入密碼錯誤次數超過系統設置的次數限制后，用戶“來源IP”或“用戶”帳號將被鎖定。

本小節主要介紹如何配置用戶登錄安全鎖，包括修改鎖定方式、鎖定時長、可嘗試密碼次數等。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。

3. 在“用戶鎖定配置”區域，單擊“編輯”，彈出用戶鎖定配置窗口。

根據界面提示配置系統用戶登錄安全鎖。

用戶鎖定配置參數說明

參數	說明
鎖定方式	選擇用戶鎖定方式，可選擇“用戶”或“來源IP”兩種方式。 “用戶”，輸入密碼錯誤次數超過次數限制后，禁止使用該登錄名的用戶登錄。 “來源IP”，輸入密碼錯誤次數超過次數限制后，禁止該來源IP的用戶登錄。
嘗試密碼次數	連續輸入密碼錯誤的最大次數。 默認為5次。 取值范圍為0～999。 設置為0，表示密碼錯誤后不鎖定用戶登錄。
鎖定時長	因密碼錯誤鎖定用戶登錄的時長。 默認為30分鐘。 取值范圍為0～10080，單位為分鐘。 設置為0，表示除非管理員解除鎖定，用戶登錄帳號或來源IP將一直被鎖定。
重置計數器時長	用戶登錄失敗后，登錄失敗次數計數器重置為0的時長。 默認值為5分鐘。 取值范圍為1～10080，單位為分鐘。

4. 單擊“確定”，返回安全配置管理頁面，查看當前系統用戶鎖定配置。

系統用戶安全鎖

配置登錄密碼策略

本小節主要介紹如何配置用戶密碼策略，包括配置密碼安全強度、密碼驗證次數、密碼修改周期等。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。

系統安全配置

3. 在“密碼策略配置”區域，單擊“編輯”，彈出密碼策略配置窗口。

根據界面提示配置系統用戶密碼策略。

密碼策略配置參數說明

參數	說明
密碼強度校驗	選擇開啟或關閉強制系統用戶強密碼驗證，默認開啟。 關閉，表示關閉強密碼校驗。 開啟，表示啟用強密碼校驗，系統用戶密碼校驗必須達到要求。密碼長度必須為8～32個字符，且包含大小寫字母、數字和特殊字符，不支持空格。
新用戶強制改密	選擇開啟或關閉強制系統新用戶首次登錄修改密碼，默認開啟。 關閉，表示系統新用戶首次登錄無需修改密碼。 開啟，表示強制系統新用戶首次登錄必須修改密碼。
密碼相同校驗	校驗修改后新密碼與前N次設置的密碼重復性。 系統用戶首次登錄的密碼不計算在內。 默認次數為5。 取值范圍為1～30。
密碼修改周期	校驗系統用戶密碼的修改周期，密碼超過修改周期后強制修改密碼。 默認周期為30天。 取值范圍為0～90，單位為天。 若設置為0，表示密碼永不過期。

4. 單擊“確定”，返回安全配置管理頁面，查看當前系統用戶密碼策略配置。

系統用戶密碼策略

配置登錄超時和登錄驗證

本小節主要介紹如何配置通過Web頁面和客戶端的登錄系統，包括配置登錄超時時間、短信驗證碼過期時間、圖形驗證碼啟用、SSH公鑰登錄、SSH密碼登錄等。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“Web登錄配置”區域，單擊“編輯”，彈出Web登錄配置窗口，根據界面提示配置系統Web登錄參數。

Web登錄配置參數說明

參數	說明
登錄超時	用戶在系統管理界面或運維會話界面，無操作退出登錄的限定時間。 即用戶通過Web瀏覽器登錄系統后，在系統管理界面或運維會話界面，無操作時長超過設定的值，將退出登錄，運維會話斷開連接。 默認超時時間為30分鐘。 取值范圍為1～43200，單位為分鐘。
短信驗證碼過期時間	登錄系統短信驗證碼的過期時間。 默認過期時間為60秒 取值范圍為15～3600，單位為秒。 若設置為0，表示短息驗證不過期。
圖形驗證碼	選擇啟用、禁用或自動啟用登錄系統圖形驗證碼。 選擇“啟用”，登錄系統時必須圖形驗證碼驗證。 選擇“禁用”，登錄系統時無需圖形驗證碼驗證。 選擇“自動”，登錄系統時，根據密碼錯誤次數，自動啟用圖形驗證碼。
登錄嘗試次數	登錄密碼錯誤次數超過限制，將自動啟用圖形驗證碼。 “圖形驗證碼”配置為“自動”時，必須配置登錄嘗試次數。 默認嘗試次數為3。 取值范圍為1～30。
圖形驗證碼過期時長	圖形驗證碼的過期時間。 默認過期時間為60秒。 取值范圍為15～3600，單位為秒。 若設置為0，表示圖形驗證碼不過期。
域控校驗	選擇開啟或禁用域控校驗，默認關閉。表示當系統配置“域控校驗”，且用戶選擇AD域認證時，該用戶需下載SSO登錄工具，并在登錄名相同的域服務器中才能成功登錄系統。 關閉，表示禁用域控校驗。

4. 單擊“確定”，返回安全配置管理頁面，查看當前系統Web登錄配置。

客戶端登錄配置

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。

3. 在“客戶端登錄配置”區域，單擊“編輯”，彈出客戶端登錄配置窗口，根據界面提示配置系統客戶端登錄參數。

參數	說明
登錄超時	用戶登錄SSH客戶端后，無操作退出登錄的限定時間。 默認超時時間為30分鐘。 取值范圍為1～43200，單位為分鐘。
SSH公鑰登錄	選擇開啟或關閉SSH公鑰登錄，默認。
SSH密碼登錄	選擇開啟或關閉SSH密碼登錄，默認。 若同時開啟了“公鑰登錄”和“密碼登錄”，優先驗證公鑰登錄方式。

4. 單擊“確定”，返回安全配置管理頁面，查看當前系統客戶端登錄配置。

更新系統Web證書

云堡壘機Web證書是驗證系統網站身份和安全的SSL（Secure Sockets Layer）證書，遵守SSL協議的服務器數字證書，并由受信任的根證書頒發機構頒發。

云堡壘機系統默認配置安全的自簽發證書，但受限于自簽發證書的認證保護范圍和認證保護時間，用戶可替換證書。

本小節主要介紹在證書過期或安全掃描不通過時，用戶如何更新證書，確保CBH系統安全。

前提條件

已獲取證書，并下載簽發證書。

上傳證書綁定的域名已解析到綁定云堡壘機實例的彈性公網IP。

用戶已獲取“系統”模塊管理權限。

約束限制

目前云堡壘機系統只適配Tomcat的Java Keystore格式證書文件，即后綴為jks的證書文件。

上傳的證書文件大小不超過20KB，且證書文件包含證書密碼。

無證書密碼將不能驗證上傳證書，SSL證書文件無法上傳到系統。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“Web證書配置”區域，單擊“編輯”，彈出Web證書更新窗口。
4. 上傳下載到本地的證書文件。
5. 證書文件上傳成功后，輸入keystore密碼，證書密碼驗證文件。
6. 單擊“確定”，返回安全配置管理頁面，查看當前系統Web證書信息。
7. 證書信息更新后，為了使證書生效，需要重啟堡壘機系統。

配置手機令牌類型

手機令牌可用來生成動態口令的手機客戶端軟件。云堡壘機系統支持通過綁定手機令牌，對用戶登錄進行多因子身份認證，用戶配置“手機令牌”多因子認證后，需同時輸入用戶密碼和6位手機令牌驗證碼，才能登錄云堡壘機系統。

本小節主要介紹如何設置系統手機令牌類型。

約束限制

目前僅支持兩種手機令牌類型：

• 內置手機令牌：微信小程序手機令牌。
• RADIUS手機令牌：APP版手機令牌，包括Google Authenticator和FreeOTP。

系統手機令牌類型，需與實際綁定手機令牌類型一致。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“手機令牌配置”區域，單擊“編輯”，彈出手機令牌類型配置窗口。
4. 選擇系統手機令牌類型。

5. 單擊“確定”，返回安全配置管理頁面，查看當前系統手機令牌類型。

配置USB Key廠商

本小節主要介紹如何配置系統USB Key廠商。

約束限制

目前僅支持北京CA、龍脈科技和吉大正元三家廠商的USB Key。

更改USBKey廠商配置后，已簽發的其他廠商USB Key將不能被識別。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“USB Key配置”區域，單擊“編輯”，彈出系統USB Key廠商配置窗口。
4. 選擇USBKey廠商。

5. 單擊“確定”，返回安全配置管理頁面，查看當前系統USB Key廠商。

配置僵尸用戶禁用策略（V3.3.30.0及以上版本）

僵尸用戶策略功能，支持對僵尸用戶進行判定并自定義設置判定時間，即超過判定時間未登錄的用戶會被判定為僵尸用戶，系統將自動禁用這些用戶，至到管理員解除禁用。默認判定時間為30天，如果時間設置為0，則所有用戶會立即被禁用。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“用戶禁用配置”模塊的右側，單擊“編輯”，進入“用戶禁用配置”頁面。

• 禁用僵尸用戶：默認為關閉狀態，打開后的狀態為。
• 僵尸用戶判定時間：有效值0~10080，默認為30天，如果設置為0，則所有用戶會立即被禁用，直到管理員解除禁用。解除禁用的相關操作請參考6.2.2 啟停用戶章節。

4. 單擊“確定”。

配置RDP資源客戶端代理（3.3.26.0及以上版本）

本小節主要介紹如何配置RDP資源客戶端代理。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 安全配置”，進入系統安全配置管理頁面。
3. 在“RDP資源客戶端代理配置”模塊的右側，單擊“編輯”，進入“RDP資源客戶端代理配置”頁面。

4. 在“安全層”下拉框中，選擇客戶端代理，然后單擊“確定”。

支持選擇的安全層：RDP、TLS、協商。