特权会话记录

概述
1.1会话录制的安全？
配置会话录制的步骤
2.1通过"资源"选项卡

2.2通过"管理"选项卡
查看录制的会话
会话录制的拆分
影子会话/实时会话监视
5.1并行监测会话

5.2终止可疑会话

5.3选择性删除会话录制

1.概述

PAM360 可以记录，回放和存储从系统启动的特权会话，来支持取证审计，并允许企业监视特权会话期间特权帐户执行的所有操作。会话记录可满足对活动进行主动监视的组织的审核和合规性要求，从而使管理员可以轻松地回答特权访问的“谁”，“什么时间”，“访问什么资源”，“做了哪些操作”等问题。您可以使用PAM 360 记录系统界面启动的Windows RDP，SSH / Telnet和SQL会话。

1.1 会话录制的安全？

PAM360在会话记录过程中采用了基于浏览器的远程登录机制。从任何兼容HTML5的浏览器，用户都可以通过单击远程连接来启动安全、可靠、完全模拟的Windows RDP，SSH和Telnet的会话，而无需其他插件或代理软件。远程连接通过PAM360服务器建立隧道连接目标机器，不需要用户当前使用的PC设备和远程主机之间建立直接连接。除了出色的可靠性外，隧道连接还提供了极高的安全性，因为不需要在用户浏览器上提供建立远程会话所需的密码。

PAM360内置RDP，SSH和Telnet网关。这允许用户从浏览器直接启动远程终端会话。远程终端会话是在浏览器界面上模拟的，因此不需要在任何终端上安装任何插件或代理。唯一的要求是浏览器应兼容HTML 5（例如IE 9，Firefox 3.5，Safari 4，Chrome 推荐使用这些浏览器的最新版本）

2.配置会话录制的步骤

有两种方法可以配置远程会话录制:

2.1通过"资源"选项卡

2.2通过“管理”选项卡

2.1通过资源选项卡

导航到资源选项卡，选择要为其配置会话录制的资源。
转到资源操作 >> 配置 >> 会话记录。

在打开的弹出表单中，根据需要选择选项记录RDP会话/或记录SSH，Telnet和SQL会话。

注意：默认情况下，会话将存储在路径<PAM360_Install_Directory PAM360>\recorded_files中。通过导航到管理 >> 配置 >> 会话记录 ，可以更改用于存储会话的路径。

2.2通过管理选项卡

导航到管理 >> 配置 >> 会话记录。
在打开的弹出表单中，根据需要选择选项记录RDP会话和/或记录VNC会话和/或记录SSH，Telnet和SQL会话。。

输入存储会话记录的有效文件目录。您还可以设置一个备份目录来存储记录，在这种情况下，记录的文件将存储在两个位置。
要清除超过指定天数的记录，请在“清除记录的会话”下设定天数数值。您可以留空或者设置为0来保留记录不做删除。
单击保存。

3.查看记录的会话

请按照以下步骤从PAM360界面的“审计”选项卡中查看记录的会话。您可以使用任何详细信息跟踪会话，例如资源名称，启动会话的用户或启动会话的时间。

导航到审计 >> 记录的连接。
可以在搜索框选择搜索关注的内容，也可选择过滤器来缩小会话的检索范围。

4.会话录音的拆分

PAM360允许您选择将较大的会话记录文件从SSH和Telnet远程会话拆分为几个较小的文件。这将减少缓冲时间，以确保平稳，不间断地播放会话。默认情况下，在PAM360中禁用此选项。

要启用该功能，操作如下:

转到管理 >> 全局设置 >> 其它
选择启用SSH 和 Telnet 会话录制拆分为多个文件选项。

5.影子会话/实时会话监控
（功能仅在企业版中可用）

PAM360使管理员可以监视高度敏感的IT资源上的特权会话。影子会话允许管理员加入活动会话，并行观察用户活动，并在发生可疑活动时终止活动。管理员还可以在用户会话期间远程协助用户完成会话活动。（即，通过影子会话，及时了解用户当前使用遇到的问题，及时为其排忧解难。）

5.1实时监控会话的使用

导航到审计 >> 活动特权会话
通过资源名称跟踪要监视的正在进行的会话。
单击加入按钮。您将能够并行查看会话。

5.2 终止可疑会话

导航到审计 >> 活动特权会话
通过资源名称跟踪要监视的会话。
单击结束按钮。远程会话将被终止，用户将失去与远程资源的连接。

5.3删除录制的会话

导航到审计 >> 记录的连接
选择要删除的会话，然后单击删除图标。
您可以选择删除会话记录或特定会话的聊天记录，如下所示：

注意：从PAM360数据库中删除选中的会话，系统中应该至少包含两个管理员，包括您自己。这是为了确保只有在必要的确认的基础上才可以删除这些记录的数据。

选择删除聊天记录或会话记录后，将出现一个对话框，提示您确认操作，如下所示。

其他管理员将收到通知，并会向他们发送批准请求。他们可以批准或拒绝此操作。请注意，删除过程仅需要两个管理员的同意，即在您之外，任一管理员执行了批准操作，系统将执行删除动作。

根据会话文件的存储位置:

1：如果系统中存在文件，则在另一位管理员批准该请求后，PAM360将删除该记录。
2：如果录制文件存储于外部设备中，则PAM360将执行一个系统计划任务，仅当外部设备连接到PAM360服务器时，才执行删除动作。

提示：在场景2中，如果删除操作尚未执行，PAM360将首先禁用视频记录，在此期间任何管理员都无法查看视频，直至文件删除。


特权会话记录概述 1.1会话录制的安全？配置会话录制的步骤 2.1通过"资源"选项卡 2.2通过"管理"选项卡查看录制的会话会话录制的拆分影子会话/实时会话监视 5.1并行监测会话 5.2终止可疑会话 5.3选择性删除会话录制 1.概述 PAM360 可以记录，回放和存储从系统启动的特权会话，来支持取证审计，并允许企业监视特权会话期间特权帐户执行的所有操作。会话记录可满足对活动进行主动监视的组织的审核和合规性要求，从而使管理员可以轻松地回答特权访问的“谁”，“什么时间”，“访问什么资源”，“做了哪些操作”等问题。您可以使用PAM 360 记录系统界面启动的Windows RDP，SSH / Telnet和SQL会话。 1.1 会话录制的安全？ PAM360在会话记录过程中采用了基于浏览器的远程登录机制。从任何兼容HTML5的浏览器，用户都可以通过单击远程连接来启动安全、可靠、完全模拟的Windows RDP，SSH和Telnet的会话，而无需其他插件或代理软件。远程连接通过PAM360服务器建立隧道连接目标机器，不需要用户当前使用的PC设备和远程主机之间建立直接连接。除了出色的可靠性外，隧道连接还提供了极高的安全性，因为不需要在用户浏览器上提供建立远程会话所需的密码。 PAM360内置RDP，SSH和Telnet网关。这允许用户从浏览器直接启动远程终端会话。远程终端会话是在浏览器界面上模拟的，因此不需要在任何终端上安装任何插件或代理。唯一的要求是浏览器应兼容HTML 5（例如IE 9，Firefox 3.5，Safari 4，Chrome 推荐使用这些浏览器的最新版本） 2.配置会话录制的步骤有两种方法可以配置远程会话录制: 2.1通过"资源"选项卡 2.2通过“管理”选项卡 2.1通过资源选项卡导航到资源选项卡，选择要为其配置会话录制的资源。转到资源操作 >> 配置 >> 会话记录。在打开的弹出表单中，根据需要选择选项记录RDP会话/或记录SSH，Telnet和SQL会话。注意：默认情况下，会话将存储在路径<PAM360_Install_Directory PAM360>\recorded_files中。通过导航到管理 >> 配置 >> 会话记录，可以更改用于存储会话的路径。 2.2通过管理选项卡导航到管理 >> 配置 >> 会话记录。在打开的弹出表单中，根据需要选择选项记录RDP会话和/或记录VNC会话和/或记录SSH，Telnet和SQL会话。。输入存储会话记录的有效文件目录。您还可以设置一个备份目录来存储记录，在这种情况下，记录的文件将存储在两个位置。要清除超过指定天数的记录，请在“清除记录的会话”下设定天数数值。您可以留空或者设置为0来保留记录不做删除。单击保存。 3.查看记录的会话请按照以下步骤从PAM360界面的“审计”选项卡中查看记录的会话。您可以使用任何详细信息跟踪会话，例如资源名称，启动会话的用户或启动会话的时间。导航到审计 >> 记录的连接。可以在搜索框选择搜索关注的内容，也可选择过滤器来缩小会话的检索范围。 4.会话录音的拆分 PAM360允许您选择将较大的会话记录文件从SSH和Telnet远程会话拆分为几个较小的文件。这将减少缓冲时间，以确保平稳，不间断地播放会话。默认情况下，在PAM360中禁用此选项。要启用该功能，操作如下: 转到管理 >> 全局设置 >> 其它选择启用SSH 和 Telnet 会话录制拆分为多个文件选项。 5.影子会话/实时会话监控（功能仅在企业版中可用） PAM360使管理员可以监视高度敏感的IT资源上的特权会话。影子会话允许管理员加入活动会话，并行观察用户活动，并在发生可疑活动时终止活动。管理员还可以在用户会话期间远程协助用户完成会话活动。（即，通过影子会话，及时了解用户当前使用遇到的问题，及时为其排忧解难。） 5.1实时监控会话的使用导航到审计 >> 活动特权会话通过资源名称跟踪要监视的正在进行的会话。单击加入按钮。您将能够并行查看会话。 5.2 终止可疑会话导航到审计 >> 活动特权会话通过资源名称跟踪要监视的会话。单击结束按钮。远程会话将被终止，用户将失去与远程资源的连接。 5.3删除录制的会话导航到审计 >> 记录的连接选择要删除的会话，然后单击删除图标。您可以选择删除会话记录或特定会话的聊天记录，如下所示：注意：从PAM360数据库中删除选中的会话，系统中应该至少包含两个管理员，包括您自己。这是为了确保只有在必要的确认的基础上才可以删除这些记录的数据。选择删除聊天记录或会话记录后，将出现一个对话框，提示您确认操作，如下所示。其他管理员将收到通知，并会向他们发送批准请求。他们可以批准或拒绝此操作。请注意，删除过程仅需要两个管理员的同意，即在您之外，任一管理员执行了批准操作，系统将执行删除动作。根据会话文件的存储位置: 1：如果系统中存在文件，则在另一位管理员批准该请求后，PAM360将删除该记录。 2：如果录制文件存储于外部设备中，则PAM360将执行一个系统计划任务，仅当外部设备连接到PAM360服务器时，才执行删除动作。提示：在场景2中，如果删除操作尚未执行，PAM360将首先禁用视频记录，在此期间任何管理员都无法查看视频，直至文件删除。
© 2021， ZOHO 公司，保留所有权利。