新建改密策略

改密策略用于對主機資源賬戶自動改密，并可針對多個主機資源賬戶同時定期改密，提高資源賬戶安全性。

改密策略支持以下功能項：

• 支持通過策略手動、定時、周期修改資源賬戶密碼。
• 支持生成不同密碼、相同密碼，以及生成自定義相同密碼。

約束限制

• 僅SSH，RDP和Telnet協議類型的主機，支持通過改密策略修改資源賬戶密碼。
• Windows主機資源需啟用SMB服務，并放開主機安全組445端口，才能通過改密策略修改資源賬戶密碼。
• 關聯Windows 10資源賬戶前，需先參照配置Windows 10服務器相關參數進行服務器相關參數的配置。

前提條件

• 已獲取“改密策略”模塊操作權限。
• 待改密資源的“系統類型”需與資源實際系統類型完全匹配。

新建改密策略

1 登錄云堡壘機系統。

2 選擇“策略 > 改密策略 > 策略列表”，進入改密策略列表頁面。

3 單擊“新建”，彈出改密策略配置窗口。

4 配置改密策略基本配置。

改密策略參數說明

參數	說明
策略名稱	自定義的改密策略名稱，系統內“策略名稱”不能重復。
執行方式	選擇改密執行方式，可選擇“手動執行”、“定時執行”、“周期執行”。 手動執行：手動觸發改密策略，修改資源賬戶密碼。 定時執行：定期自動觸發改密策略，修改資源賬戶密碼。僅執行一次。 周期執行：周期自動觸發改密策略，修改資源賬戶密碼。可按周期執行多次。
執行時間	執行改密策略的日期。默認執行時刻為日期的凌晨零點。
執行周期	執行周期改密，需輸入改密周期。 單位為天。 需同時選擇“結束時間”，否則將無限期執行周期改密。
改密方式	選擇改密方式。可選擇“生成不同密碼”、“生成相同密碼”、“指定相同密碼”。 生成不同密碼：根據主機對帳戶的密碼要求，隨機生成不同資源賬戶密碼。 生成相同密碼：根據主機對帳戶的密碼要求，隨機生成相同資源賬戶密碼。 指定相同密碼：需手動輸入預置密碼。 自動生成密碼和手動輸入密碼設置要求： 密碼復雜度為包含大寫字母（A～Z）、英文小寫字母（a～z）、數字（0～9）和四種特殊字符（"%"、"?"、"-"、"_"、），密碼長度為20位。 密碼設置要求為在遵循主機帳戶的密碼要求基礎上，不允許以特殊字符開頭。
更多選項	支持以下幾種方式： “允許修改特權賬戶密碼”，表示可修改特權賬戶的密碼，否則特權賬戶密碼不能被修改。默認不選中。 “使用特權賬戶改密”，表示系統自動尋找資源賬戶對應的特權賬戶，通過特權賬戶修改資源賬戶密碼。無特權賬戶時，資源賬戶自行修改密碼。默認選中。

5 單擊“下一步”，關聯資源賬戶或賬戶組。

• 當賬戶組關聯策略后，新資源賬戶加入到賬戶組中會自動繼承賬戶組的策略權限。
• 關聯多個資源賬戶時，可批量修改資源賬戶密碼。

6 單擊“確定”，返回改密策略列表，查看新建的改密策略。

改密策略執行后，可以下載改密日志，獲取新的資源賬戶密碼。

配置Windows服務器相關參數

1 登錄Windows 10服務器。

2 啟動winRM服務。

搜索“組件服務”，進入“組件服務”頁面。

在左側導航樹中，選擇“服務（本地）”，在右側彈框中，找到“Windows Remote Management(WS-Management)”。

右鍵單擊“Windows Remote Management(WS-Management)”，在彈窗中單擊“啟動”。

3 配置winRM。

以管理員身份運行cmd，執行以下命令：

winrm qc

（執行兩次）回顯后，根據提示輸入y。

執行以下命令：

winrm set winrm/config/service

'@{AllowUnencrypted="true"}'

執行以下命令：

winrm set winrm/config/service/auth

'@{Basic="true"}'

4 （如果已是管理員，可不執行該步驟）執行以下命令，添加用戶到用戶組。

例如，用戶名為“appuser01”。

net localgroup "Remote

Management Users"  appuser01  /add

5 在power shell會話框中執行以下命令，添加防火墻命令。

New-NetFirewallRule -DisplayName

"WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action

Allow

后續管理

改密策略創建完成后，可在策略列表頁面，管理已創建策略，包括管理關聯資源、刪除策略、啟停策略、立即執行策略等。

• 若需補充關聯資源，可單擊“關聯”，快速關聯資源賬戶、賬戶組。
• 若需刪除策略，可選擇目標策略，單擊“刪除”，立即刪除策略。
• 若需禁用策略改密，可勾選一個或多個“已啟用”狀態的策略，單擊“禁用”，策略狀態變更為“已禁用”，策略立即失效。
• 若需立即修改資源賬戶密碼，可單擊“立即執行”，立即執行改密任務。

查詢和修改改密策略

若改密策略有變更，例如需改密方式有變化等。可查看和修改已創建的策略配置，包括修改策略基本信息、修改改密執行方式、修改改密日期、修改改密周期、修改關聯資源賬戶或帳戶組等。

修改策略配置，且策略狀態為“已啟用”時，策略規則才生效。

前提條件

已獲取“改密策略”模塊操作權限。

查看和修改策略配置

1 登錄云堡壘機系統。

2 選擇“策略 > 改密策略 > 策略列表”，進入改密策略列表頁面。

3 查詢改密策略。

• 快速查詢：在搜索框中輸入關鍵字，根據策略名稱、資源名稱、資源賬戶等快速查詢策略。
• 高級搜索：在相應屬性搜索框中分別關鍵字，精確查詢策略。

4 單擊目標策略名稱，或者單擊“管理”，進入策略詳情頁面。

查看策略配置

5 查看和修改策略基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改策略的基本信息。

• 可修改信息包括“策略名稱”、“執行方式”、“改密方式”、“更多選項”等。
• “部門”不可修改。

6 查看和修改策略關聯的資源賬戶。

• 在“資源賬戶”區域，單擊“編輯”，彈出關聯資源賬戶窗口，可立即添加或移除關聯的資源賬戶。
• 在相應資源賬戶行，單擊“移除”，可立即取消對該資源賬戶的改密。

查看關聯資源賬戶

7 查看和修改策略關聯的帳戶組。

• 在“帳戶組”區域，單擊“編輯”，彈出關聯帳戶組窗口，可立即添加或移除關聯的帳戶組。
• 在相應帳戶組行，單擊“移除”，可立即取消對該組中資源賬戶的改密。

查看關聯帳戶組

管理改密日志

改密策略執行后產生的改密日志。改密日志中可查看改密詳情。

前提條件

已獲取“改密策略”模塊操作權限。

查看日志詳情

1 登錄云堡壘機系統。

2 選擇“策略 > 改密策略 > 改密日志”，查看和管理改密日志記錄。

改密日志列表

3 查詢改密日志。

快速查詢：在搜索框中輸入關鍵字，根據策略名稱快速查詢改密日志。

4 選擇目標執行日志，單擊“詳情”，進入日志詳情頁面。

可查看日志內容包括基本信息、改密結果等信息。

查看改密日志詳情

下載改密日志

1 登錄云堡壘機系統。

2 選擇“策略 > 改密策略 > 改密日志”，查看和管理改密日志記錄。

3 單擊“下載”，進入下載改密日志文件窗口。

4 下載確認。

（可選）設置加密密碼：可選擇設置。不設置，下載的改密日志為未加密的CSV格式文件；設置密碼，下載的改密日志為加密的ZIP格式文件。

（必選）用戶密碼：輸入當前用戶的帳號登錄密碼，驗證通過才允許下載改密日志，確保資源賬戶密碼安全。

單擊“確定”，即可下載CSV格式文件或加密的ZIP格式文件保存到本地。

刪除日志

1 登錄云堡壘機系統。

2 選擇“策略 > 改密策略 > 改密日志”，進入改密日志列表頁面。

3 單擊“刪除”，可刪除該執行日志。

4 同時勾選多條執行日志，單擊列表下方的“刪除”，可以批量刪除多個執行日志。