我的家庭CyberArk实验室环境:
- 保管箱服务器1:192.168.2.21
- 保管箱Server2:192.168.2.22
- PVWA / CPM / PSM 1:192.168.2.23
- PVWA / CPM / PSM 2:192.168.2.24
- PSMP-PSM网关
- PTA
- PSM-HTML5 GW
作为记录,我将所有简化的安装步骤放在一起,如下所示:
1.保管库安装
安装:
一种。删除不必要的TCP / IP协议,仅启用TCP / IP v4,并禁用TCP / IP v6。
b。右键单击下面的setup.exe C:\ CyberArkInstallationFiles \ Vault安装文件\服务器以管理员身份运行
C。在Vault服务器上安装PrivateArk客户端的过程相同。
验证:
一种。确保Vault中有3个保险箱。
b。用户/组也在库中列出
C。打开Windows服务,并检查是否已安装并启动以下服务。
- 网络方舟事件通知引擎
- 网络柜强化Windows防火墙
- CyberArk逻辑容器
- 私人方舟数据库
- PrivateArk远程控制代理
- PrivateArk服务器
2. PVWA安装
安装:
一种。导航到“ C:\ CyberArkInstallationFiles \ Password Vault Web访问\ 安装ationAutomation”。在步骤3中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。
- Set-ExecutionPolicy绕过
- 。\ PVWA_Prerequisites.ps1
b。使用文件资源管理器,导航到文件夹“ C:\ CyberArkInstallationFiles \ Password Vault Web Access \”。右键单击setup.exe,然后“以管理员身份运行”。
C。 IIS配置;
- http重定向到https
- 错误页面403重定向到PVWA网站
- IIS重置
验证:
a. Open Chrome and confirm that the PVWA login page is displayed. This step validates that the PasswordVault application is communicating with the PrivateArk服务器. Use URL //comp01A.cyber-ark-demo.local/PasswordVault/v10/logon.
b. 使用CyberArk身份验证以管理员身份登录到PVWA。验证选项卡策略,帐户,应用程序,报告和管理正确显示。
3. CPM安装
安装:
一种。使用文件资源管理器,导航到“ C:\ CyberArkInstallationFiles \ Central Policy Manager \ 安装ationAutomation”。在步骤4中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。
- Set-ExecutionPolicy绕过
- 。\ CPM_Preinstallation.ps1
b。在文件资源管理器中,打开提取的\ Central Policy Manager文件夹。右键单击setup.exe,然后选择“以管理员身份运行”。
验证:
确认CPM服务已安装并正在运行。
一种。 CyberArk密码管理器服务。
b。 CyberArk中央策略管理器扫描程序。
4. PSM安装
安装:
一种。通过双击并打开zip文件而不首先提取文件,从“ PSM CD Image-Rls-v10.9.zip”中提取文件夹“ Privileged Session Manager”,然后复制并粘贴“ PSM CD Image \ Privileged Session Manager”文件夹到C:\的根目录。
b。在文件资源管理器中,导航到“ C:\ Privileged Session Manager \ 安装ationAutomation \ Prerequisites”。使用“记事本++”编辑PrerequisitesConfig.xml,搜索并将所有Enable =步骤设置为YES。保存文件并退出。
C。以管理员身份打开Windows PowerShell。将目录更改为“ C:\ Privileged Session Manager \ 安装ationAutomation”。执行以下命令。
- Set-ExecutionPolicy绕过。
- 。\ Execute-Stage.ps1 C:\ Privileged Session Manager \ 安装ationAutomation \ Prerequisites \ prerequisitesConfig.xml
d。在PowerShell中提示时,重新启动服务器。服务器重新启动后,使用在步骤a中使用的相同凭据登录以继续安装,PowerShell脚本将立即启动以完成必备安装。允许脚本完成,然后退出PowerShell。
e. PSM安装之前的最后一步是为会话集合分配适当的域组访问权限。
- 打开服务器管理器并导航到远程桌面服务-> 采集s -> PSM-RemoteApp.
- 在属性中,选择任务-> Edit Properties -> User Groups.
- 添加CYBER-ARK-DEMO \ CyberArk Vault Admins并删除CYBER-ARK-DEMO \ Domain用户,
F。使用文件资源管理器,导航到C:\ Privileged Session Manager。右键单击setup.exe,然后选择“以管理员身份运行”。选择安装Microsoft Visual C ++可再发行组件包(x86)。 安装和服务器重新启动之后。
验证:
一种。以管理员frp,“ C:\ Privileged Session Manager \ 安装ationAutomation”的身份打开PowerShell,然后执行以下2条命令。
- Set-ExecutionPolicy绕过。
b。然后,以PostInstallationConfig.xml的位置作为参数启动Execute-Stage.ps1脚本,如图所示。在此过程中将执行几个脚本。
- Execute-Stage.ps1“ C:\ Privileged Session Manager \ 安装ationAutomation \ PostInstallation \ PostInstallationConfig.xml”
c. 在PowerShell命令窗口中指定的位置查看日志文件。
5. DR Vault安装
一种。安装PrivateArk服务器和客户端的过程相同。创建第一个保管库DRVault。
b。打开PrivateArk客户端,然后以管理员身份登录到DRVault。 请注意,保险柜中唯一的保险箱是三个内置保险箱。
DR故障转移和故障回复过程在发布中列出: CyberArk 聚苯乙烯 HA,备份,故障转移和故障回复流程
6.安装后和加固
一种。以管理员身份登录到Comp01A服务器。导航到C:\ CyberArkInstallationFiles \(组件名称,例如pvwa,psm,cpm)\ 安装ationAutomation \
例如: 对于pvwa,它是C:\ CyberArkInstallationFiles \ Password Vault Web访问\ 安装ationAutomation \
b。在步骤1中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。出现提示时选择是。
- Set-ExecutionPolicy绕过
- .\PVWA_Hardening.ps1
c. 等待脚本完成,然后重新启动服务器。
方案示例
情境
CyberArk Demo Inc.(“客户”)刚刚购买了CyberArk的特权帐户安全性(PAS)。本文档详细介绍了客户在其环境中使用PAS的特定要求:
您需要安装并实施PAS解决方案以支持客户的特定要求。您将可以访问CyberArk的文档以完成任务。您可以使用培训师提供的详细安装指南或正式的CyberArk安装指南。培训师提供的安装指南只能在培训环境中使用。对于生产部署,请使用CyberArk发布的安装版本文档。
您被分配了协助客户安装和配置CyberArk Privileged Access 安全套件的责任。客户购买了CyberArk的EPV解决方案来保护和管理其特权帐户。最终用户需要使用两因素身份验证向CyberArk进行身份验证。
在以下各节中,您将需要:
1.安装独立的保险柜
2.安装2台CPM服务器(一台用于管理Windows帐户,一台用于管理Unix和Oracle)
3.安装2台PVWA服务器(负载均衡,并配置为自动故障转移到DR库)
4.以负载平衡配置安装2个PSM服务器
5.安装1个PSMP服务器
6.安装灾难恢复和保管库备份组件
7.将CyberArk与客户的LDAP,SMTP和SIEM解决方案集成
8.实施两要素认证
9.测试PAS EPV实施。在以下目标系统上添加测试帐户; 视窗域,Windows Server,Linux和Oracle,并执行密码管理和PSM操作。
内容
场景……………………………………………………………………………………………………………………………… ………….. 10
EPV指令………………………………………………………………………………………………………………………… 11
VAULT安装…………………………………………………………………………………… 12
在安装之前………………………………………………………………………………………………………………………………。 12
VAULT服务器安装……………………………………………………………………………………。 15
私人客户安装……………………………………………………………………………………………………………………………………………………………………………………23 23
开机自检………………………………………………………………………………………………………………………………………………………………………………26
安装密码VAULT Web访问………………………………………………………………………………………….. 27
使用自动必备脚本安装IIS必备软件…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………27
要求通过SSL的HTTP(PVWA)……………………………………………………………………。 29
安装PVWA………………………………………………………………………………………………………………………… ……29
加强网络PVWA服务器…………………………………………………………………………。 32
配置IIS重定向……………………………………………………………………………………。 34
测试PVWA负载平衡……………………………………………………………………。 36
安装每千次展示费用(已分配)………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………37
安装第一CPM……………………………………………………………………………………………………………………………… ……。 37
在组件服务器上安装PRIVATEARK Client………………………………………………………………………………………………………………41
每千次展示费用的安装……………………………………………………………………………….. 41
安装第二个CPM………………………………………………………………………………………………………………………… ……。 41
每千次展示费用的安装……………………………………………………………………………….. 42
在COMP01B服务器上安装PRIVATEARK Client………………………………………………………………………………………………………………43
重命名1st CPM………………………………………………………………………………………………………………………… ……43
在PVWA中更新CPM的名称……………………………………………………………………。 46
HARDEN CPM服务器……………………………………………………………………………………。 46
集成………………………………………………………………………………………………………………………… …。 48
LDAP认证(通过SSL)…………………………………………………………………………………………………………………………………………………………………………………………………….................. 48。
SMTP集成………………………………………………………………………………………………………………………… 53
西门子集成…………………………………………………………………………………………………………………… 。 56
NTP集成………………………………………………………………………………………………………………………… .. 59
认证类型………………………………………………………………………………………………………………………………………………………………………………………………... 62
RADIUS认证……………………………………………………………………………………………………………………62
PKI认证…………………………………………………………………………………………。 68
两要素认证(2FA)……………………………………………………………………………………………………………………………………………………………………………………………………………………....…………………………………………………………………………………………………………………………... 72
EPV测试和验证……………………………………………………………………………….. 73
添加WINDOWS域帐户…………………………………………………………………………。 73
添加WINDOWS服务器本地帐户... 73……73
添加LINUX根帐户………………………………………………………………………… 74
添加ORACLE数据库帐户…………………………………………………………………………………………………………………………74
特权帐户安全性安装& 配置, v10.9
CyberArk大学练习指南第2页
©Cyber-Ark®Software Ltd –不得将本材料的任何部分透露给任何个人或公司,也不得以任何电子,机械,
未经Cyber-Ark®Software Ltd.事先明确的书面许可。
安装PSM / PSMP…………………………………………………………………………………………………………………… ….. 76
安装标准的PSM安装……………………………………………………………………77
PSM安装要求…………………………………………………………………………。 77
PSM安装………………………………………………………………………………………………………………………… 。 80
PSM POST安装......... 83
PSM HARDINGING…………………………………………………………………………………………………………………… …84
PSM测试和验证…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
负载平衡的PSM服务器………………………………………………………………………….. 89
配置PSM负载平衡……………………………………………………………………。 89
用于SSH安装的PSM…………………………………………………………………………………………………………………………………………92
保护网络…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………98
锁定用户界面………………………………………………………………………………。 98
在SSL上使用RDP……………………………………………………………………………………………………………… ……。 99
管理LDAP BINDACCOUNT……………………………………………………………………………………。 104
使用CPM管理PSMCONNECT / PSMADMINCONNECT………………………………………………………….... 105
使用CPM管理网络管理员帐户…………………………………………………………………….. 109
与PSM-PRIVATEARK CLIENT连接………………………………………………………………………….. 110
使用PSM-PVWA-CHROME进行连接……………………………………………………………………。 113
备份……………………………………………………………………………………………………………………………… …………。 116
启用备份和DR用户………………………………………………………………………………。 116
安装PRIVATEARK REPAIR组件…………………………………………………………………….. 119
测试备份/还原过程……………………………………………………………………。 123
灾难恢复………………………………………………………………………………………………………………………….. 126
安装灾难恢复模块……………………………………………………………………………….. 126
验证复制成功……………………………………………………………………………….. 129
执行自动故障转移测试………………………………………………………………………………………………130
使用手动故障转移执行故障回复程序………………………………………………………………………….. 132
(可选)练习…………………………………………………………………………………………。 137
先进的PSMP实施…………………………………………………………………………。 138
手动将防火墙规则添加到vault中…………………………………………………………………………... 142
YouTube视频:
