UserSet
UserSet 元素代表一组用户。在 Windows 系统上,该元素在系统中的本地用户上工作―与“本地用户和组”MMC 嵌入式管理单元显示的用户相同。请注意,只有当 DSA 在除域控制器外的设备上运行时,这些才是本地用户。在域控制器上,UserSet 元素将枚举所有域用户,这可能不适用于极大型的域。
在 Unix 系统上,受监控的用户为 "getpwent_r()" 和 "getspnam_r()" API 已配置为要返回的用户。
标记属性
相对于完整性监控规则所监控的实体的属性,以下属性是标记本身的 XML 属性。
| 属性 | 描述 | 必需 | 缺省值 | 允许值 |
| onChange | 将受实时监控 | 否 | false | true、false |
实体集属性
以下是可监控的实体属性:
通用属性
- cannotChangePassword:True 或 False,表示是否允许用户更改其密码。
- disabled:True 或 False,表示是否已禁用帐户。在 Windows 系统上,这反映用户的“已禁用”复选框。在 Unix 系统上,如果用户的帐户已过期,或密码过期且已超出更改密码的非活动宽限期,则该属性为 true。
- fullName:用户的显示名称。
- groups:用户所属的组的逗号分隔列表。
- homeFolder:主文件夹或目录的路径。
- lockedOut:True 或 False,表示用户是否已被锁定(明确锁定或由于密码尝试不成功次数过多)。
- passwordHasExpired:True 或 False,表示用户密码是否已过期。请注意,在 Windows 上,此属性仅在 Windows XP 更高版本的操作系统上可用。(不适用于 AIX)
- passwordLastChanged:上次更改用户密码的时间戳。此属性由 DSA 记录为 1970 年 1 月 1 日 (UTC) 以来的毫秒数 — 趋势科技服务器深度安全防护系统管理中心基于该值按本地时间呈现时间戳。请注意,在 Unix 平台上,此属性解析为一天,因此所呈现时间戳的时间部分没有意义。(在 AIX 中,N/A)
- passwordNeverExpires:True 或 False,表示密码是否不过期。
- user:操作系统已知用户的名称。例如,"Administrator" 或 "root"。
仅限 Windows 的属性
- description:用户所属的主组。
- homeDriveLetter:网络共享作为用户主文件夹映射到的驱动器盘符。
- logonScript:用户每次登录时执行的脚本的路径。
- profilePath:使用漫游或强制 Windows 用户配置文件时的网络路径。
仅限 Linux 的属性
- group:用户所属的主组。
- logonShell:用户的 shell 进程的路径。
- passwordExpiredDaysBeforeDisabled:用户密码过期后到禁用帐户之间经过的天数。(在 AIX 中,N/A)
- passwordExpiry:用户帐户过期且被禁用的日期。
- passwordExpiryInDays:必须更改用户密码前经过的天数。
- passwordMinDaysBetweenChanges:更改密码所允许的最小间隔天数。
- passwordWarningDays:用户密码过期之前开始警告用户的天数。
速记属性
- 标准型:
- cannotChangePassword
- disabled
- groups
- homeFolder
- passwordHasExpired
- passwordLastChanged
- passwordNeverExpires
- user
- logonScript(仅限 Windows)
- profilePath(仅限 Windows)
- group(仅限 Linux)
- logonShell(仅限 Linux)
- passwordExpiryInDays(仅限 Linux)
- passwordMinDaysBetweenChanges(仅限 Linux)
"Key" 的含义
Key 代表用户名。这并不是层次结构实体集。模式仅适用于用户名。因此,"**" 模式并不适用。
以下示例监控所有用户创建或删除。(请注意,属性被明确排除,因此将不跟踪组成员集):
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
以下示例将跟踪 "jsmith" 帐户的创建和删除,以及该帐户的 STANDARD 属性的更改(因为如果未包含特定属性列表,则自动包含此 EntitySet 的 STANDARD 集):
<UserSet>
<include key="jsmith" />
</UserSet>
子元素
包含和排除
有关 include 的允许属性和子元素的一般说明,请参阅完整性监控规则语言。
UserSet 的包含和排除的特殊属性
可将用户的各种其他属性用于包含和排除功能测试。这些测试将某个值与用户的属性值作比较;请注意各种属性的平台支持―在平台(或甚至平台修订版)间并非所有属性均可用,因此在包含和排除元素中使用这些测试是受限制的。功能测试支持带有通配符 * 和 ? 的 Unix 全局样式,且不存在规范化的路径分隔符或其他字符—是与属性值的简单匹配。
- Disabled:与用户的 disabled 属性进行 True 或 False 匹配。以下示例将监控主组为 "users" 或 "daemon" 的用户:
<UserSet>
<include disabled="true"/>
</UserSet> - Group:与用户的主组进行通配符匹配。此测试仅在 Unix 系统上可用。以下示例将监控主组为 "users" 或 "daemon" 的用户。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet> - LockedOut:与用户的 lockedOut 属性进行 True 或 False 匹配。
- PasswordHasExpired:与用户的 passwordHasExpired 属性进行 True 或 False 匹配。
- PasswordNeverExpires:与用户的 passwordNeverExpires 属性进行 True 或 False 匹配。
