我的家庭Cyber​​Ark实验室环境:

  • 保管箱服务器1:192.168.2.21
  • 保管箱Server2:192.168.2.22
  • PVWA / CPM / PSM 1:192.168.2.23
  • PVWA / CPM / PSM 2:192.168.2.24
  • PSMP-PSM网关
  • PTA
  • PSM-HTML5 GW

作为记录,我将所有简化的安装步骤放在一起,如下所示:

1.保管库安装

安装:
一种。删除不必要的TCP / IP协议,仅启用TCP / IP v4,并禁用TCP / IP v6。
b。右键单击下面的setup.exe C:\ Cyber​​ArkInstallationFiles \ Vault安装文件\服务器以管理员身份运行
C。在Vault服务器上安装PrivateArk客户端的过程相同。

验证:
一种。确保Vault中有3个保险箱。
b。用户/组也在库中列出
C。打开Windows服务,并检查是否已安装并启动以下服务。

  • 网络方舟事件通知引擎
  • 网络柜强化Windows防火墙
  • Cyber​​Ark逻辑容器
  • 私人方舟数据库
  • PrivateArk远程控制代理
  • PrivateArk服务器

2. PVWA安装

安装:
一种。导航到“ C:\ Cyber​​ArkInstallationFiles \ Password Vault Web访问\ 安装ationAutomation”。在步骤3中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。

  • Set-ExecutionPolicy绕过
  •  。\ PVWA_Prerequisites.ps1

b。使用文件资源管理器,导航到文件夹“ C:\ Cyber​​ArkInstallationFiles \ Password Vault Web Access \”。右键单击setup.exe,然后“以管理员身份运行”。
C。 IIS配置;

  • http重定向到https
  • 错误页面403重定向到PVWA网站
  • IIS重置

验证:
a. Open Chrome and confirm that the PVWA login page is displayed. This step validates that the PasswordVault application is communicating with the PrivateArk服务器. Use URL //comp01A.cyber-ark-demo.local/PasswordVault/v10/logon.
b. 使用Cyber​​Ark身份验证以管理员身份登录到PVWA。验证选项卡策略,帐户,应用程序,报告和管理正确显示。

3. CPM安装

安装:
一种。使用文件资源管理器,导航到“ C:\ Cyber​​ArkInstallationFiles \ Central Policy Manager \ 安装ationAutomation”。在步骤4中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。

  • Set-ExecutionPolicy绕过
  • 。\ CPM_Preinstallation.ps1

b。在文件资源管理器中,打开提取的\ Central Policy Manager文件夹。右键单击setup.exe,然后选择“以管理员身份运行”。

验证:
确认CPM服务已安装并正在运行。
一种。 Cyber​​Ark密码管理器服务。
b。 Cyber​​Ark中央策略管理器扫描程序。

4. PSM安装

安装:
一种。通过双击并打开zip文件而不首先提取文件,从“ PSM CD Image-Rls-v10.9.zip”中提取文件夹“ Privileged Session Manager”,然后复制并粘贴“ PSM CD Image \ Privileged Session Manager”文件夹到C:\的根目录。
b。在文件资源管理器中,导航到“ C:\ Privileged Session Manager \ 安装ationAutomation \ Prerequisites”。使用“记事本++”编辑PrerequisitesConfig.xml,搜索并将所有Enable =步骤设置为YES。保存文件并退出。
C。以管理员身份打开Windows PowerShell。将目录更改为“ C:\ Privileged Session Manager \ 安装ationAutomation”。执行以下命令。

  • Set-ExecutionPolicy绕过。
  • 。\ Execute-Stage.ps1 C:\ Privileged Session Manager \ 安装ationAutomation \ Prerequisites \ prerequisitesConfig.xml

d。在PowerShell中提示时,重新启动服务器。服务器重新启动后,使用在步骤a中使用的相同凭据登录以继续安装,PowerShell脚本将立即启动以完成必备安装。允许脚本完成,然后退出PowerShell。
e. PSM安装之前的最后一步是为会话集合分配适当的域组访问权限。

  • 打开服务器管理器并导航到远程桌面服务-> 采集s -> PSM-RemoteApp.
  • 在属性中,选择任务-> Edit Properties -> User Groups.
  • 添加CYBER-ARK-DEMO \ Cyber​​Ark Vault Admins并删除CYBER-ARK-DEMO \ Domain用户,

F。使用文件资源管理器,导航到C:\ Privileged Session Manager。右键单击setup.exe,然后选择“以管理员身份运行”。选择安装Microsoft Visual C ++可再发行组件包(x86)。 安装和服务器重新启动之后。

验证:
一种。以管理员frp,“ C:\ Privileged Session Manager \ 安装ationAutomation”的身份打开PowerShell,然后执行以下2条命令。

  • Set-ExecutionPolicy绕过。

b。然后,以PostInstallationConfig.xml的位置作为参数启动Execute-Stage.ps1脚本,如图所示。在此过程中将执行几个脚本。

  • Execute-Stage.ps1“ C:\ Privileged Session Manager \ 安装ationAutomation \ PostInstallation \ PostInstallationConfig.xml”

c. 在PowerShell命令窗口中指定的位置查看日志文件。

5. DR Vault安装

一种。安装PrivateArk服务器和客户端的过程相同。创建第一个保管库DRVault。
b。打开PrivateArk客户端,然后以管理员身份登录到DRVault。 请注意,保险柜中唯一的保险箱是三个内置保险箱。

DR故障转移和故障回复过程在发布中列出: Cyber​​Ark 聚苯乙烯 HA,备份,故障转移和故障回复流程

6.安装后和加固

一种。以管理员身份登录到Comp01A服务器。导航到C:\ Cyber​​ArkInstallationFiles \(组件名称,例如pvwa,psm,cpm)\ 安装ationAutomation \
例如: 对于pvwa,它是C:\ Cyber​​ArkInstallationFiles \ Password Vault Web访问\ 安装ationAutomation \
b。在步骤1中指定的文件夹中,以管理员身份打开Windows PowerShell,然后执行以下PowerShell命令。出现提示时选择是。

  • Set-ExecutionPolicy绕过
  •  .\PVWA_Hardening.ps1

c. 等待脚本完成,然后重新启动服务器。

方案示例

情境
Cyber​​Ark Demo Inc.(“客户”)刚刚购买了Cyber​​Ark的特权帐户安全性(PAS)。本文档详细介绍了客户在其环境中使用PAS的特定要求:

您需要安装并实施PAS解决方案以支持客户的特定要求。您将可以访问Cyber​​Ark的文档以完成任务。您可以使用培训师提供的详细安装指南或正式的Cyber​​Ark安装指南。培训师提供的安装指南只能在培训环境中使用。对于生产部署,请使用Cyber​​Ark发布的安装版本文档。

您被分配了协助客户安装和配置Cyber​​Ark Privileged Access 安全套件的责任。客户购买了Cyber​​Ark的EPV解决方案来保护和管理其特权帐户。最终用户需要使用两因素身份验证向Cyber​​Ark进行身份验证。

在以下各节中,您将需要:
1.安装独立的保险柜
2.安装2台CPM服务器(一台用于管理Windows帐户,一台用于管理Unix和Oracle)
3.安装2台PVWA服务器(负载均衡,并配置为自动故障转移到DR库)
4.以负载平衡配置安装2个PSM服务器
5.安装1个PSMP服务器
6.安装灾难恢复和保管库备份组件
7.将Cyber​​Ark与客户的LDAP,SMTP和SIEM解决方案集成
8.实施两要素认证
9.测试PAS EPV实施。在以下目标系统上添加测试帐户; 视窗域,Windows Server,Linux和Oracle,并执行密码管理和PSM操作。

内容
场景……………………………………………………………………………………………………………………………… ………….. 10
EPV指令………………………………………………………………………………………………………………………… 11
VAULT安装…………………………………………………………………………………… 12
在安装之前………………………………………………………………………………………………………………………………。 12
VAULT服务器安装……………………………………………………………………………………。 15
私人客户安装……………………………………………………………………………………………………………………………………………………………………………………23 23
开机自检………………………………………………………………………………………………………………………………………………………………………………26
安装密码VAULT Web访问………………………………………………………………………………………….. 27
使用自动必备脚本安装IIS必备软件…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………27
要求通过SSL的HTTP(PVWA)……………………………………………………………………。 29
安装PVWA………………………………………………………………………………………………………………………… ……29
加强网络PVWA服务器…………………………………………………………………………。 32
配置IIS重定向……………………………………………………………………………………。 34
测试PVWA负载平衡……………………………………………………………………。 36
安装每千次展示费用(已分配)………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………37
安装第一CPM……………………………………………………………………………………………………………………………… ……。 37
在组件服务器上安装PRIVATEARK Client………………………………………………………………………………………………………………41
每千次展示费用的安装……………………………………………………………………………….. 41
安装第二个CPM………………………………………………………………………………………………………………………… ……。 41
每千次展示费用的安装……………………………………………………………………………….. 42
在COMP01B服务器上安装PRIVATEARK Client………………………………………………………………………………………………………………43
重命名1st CPM………………………………………………………………………………………………………………………… ……43
在PVWA中更新CPM的名称……………………………………………………………………。 46
HARDEN CPM服务器……………………………………………………………………………………。 46
集成………………………………………………………………………………………………………………………… …。 48
LDAP认证(通过SSL)…………………………………………………………………………………………………………………………………………………………………………………………………….................. 48。
SMTP集成………………………………………………………………………………………………………………………… 53
西门子集成…………………………………………………………………………………………………………………… 。 56
NTP集成………………………………………………………………………………………………………………………… .. 59
认证类型………………………………………………………………………………………………………………………………………………………………………………………………... 62
RADIUS认证……………………………………………………………………………………………………………………62
PKI认证…………………………………………………………………………………………。 68
两要素认证(2FA)……………………………………………………………………………………………………………………………………………………………………………………………………………………....…………………………………………………………………………………………………………………………... 72
EPV测试和验证……………………………………………………………………………….. 73
添加WINDOWS域帐户…………………………………………………………………………。 73
添加WINDOWS服务器本地帐户... 73……73
添加LINUX根帐户………………………………………………………………………… 74
添加ORACLE数据库帐户…………………………………………………………………………………………………………………………74
特权帐户安全性安装& 配置, v10.9
Cyber​​Ark大学练习指南第2页
©Cyber​​-Ark®Software Ltd –不得将本材料的任何部分透露给任何个人或公司,也不得以任何电子,机械,
未经Cyber​​-Ark®Software Ltd.事先明确的书面许可。
安装PSM / PSMP…………………………………………………………………………………………………………………… ….. 76
安装标准的PSM安装……………………………………………………………………77
PSM安装要求…………………………………………………………………………。 77
PSM安装………………………………………………………………………………………………………………………… 。 80
PSM POST安装......... 83
PSM HARDINGING…………………………………………………………………………………………………………………… …84
PSM测试和验证…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
负载平衡的PSM服务器………………………………………………………………………….. 89
配置PSM负载平衡……………………………………………………………………。 89
用于SSH安装的PSM…………………………………………………………………………………………………………………………………………92
保护网络…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………98
锁定用户界面………………………………………………………………………………。 98
在SSL上使用RDP……………………………………………………………………………………………………………… ……。 99
管理LDAP BINDACCOUNT……………………………………………………………………………………。 104
使用CPM管理PSMCONNECT / PSMADMINCONNECT………………………………………………………….... 105
使用CPM管理网络管理员帐户…………………………………………………………………….. 109
与PSM-PRIVATEARK CLIENT连接………………………………………………………………………….. 110
使用PSM-PVWA-CHROME进行连接……………………………………………………………………。 113
备份……………………………………………………………………………………………………………………………… …………。 116
启用备份和DR用户………………………………………………………………………………。 116
安装PRIVATEARK REPAIR组件…………………………………………………………………….. 119
测试备份/还原过程……………………………………………………………………。 123
灾难恢复………………………………………………………………………………………………………………………….. 126
安装灾难恢复模块……………………………………………………………………………….. 126
验证复制成功……………………………………………………………………………….. 129
执行自动故障转移测试………………………………………………………………………………………………130
使用手动故障转移执行故障回复程序………………………………………………………………………….. 132
(可选)练习…………………………………………………………………………………………。 137
先进的PSMP实施…………………………………………………………………………。 138
手动将防火墙规则添加到vault中…………………………………………………………………………... 142

YouTube视频:

通过 约翰扬

发表评论