高级安装步骤:

基本上,
遵循Cyber​​Ark Docs系统要求指南中的硬件要求
有关所需的硬件规格和必备软件,请按以下所示进行安装。

EPV = Digital Vault + PVWA + 每千次展示费用
PAS = EPV + PSM


企业密码库解决方案(PVWA)安装
对于PVWA:
       
安装Windows 2012 R2或Windows
2016
       
至少安装.NET Framework
4.6.2(如果尚未包含该版本或更高版本)
       
安装所有最新的Windows操作系统
补丁
       
其余的在
安装包括:
o  
通过提供的设置IIS角色
PVWA先决条件脚本。

o  确保您使用管理员身份运行来运行setup.exe文件。域管理员帐户将无法使用

为了
PSM

       
安装Windows 2012 R2或Windows
2016
       
至少安装.NET Framework
4.6.2(如果尚未包含该版本或更高版本)
       
安装所有最新的Windows操作系统
补丁
       
添加我们正在使用的域帐户
将PSM安装到新PSM VM构建的本地管理员组
       
其余的在
安装包括:
o  
设置远程桌面
会话主持人角色(不是来自各个复选框的RD选项),然后选择
基于会话的(然后它将要求连接代理和RD网关
服务器)。


零件
描述
PVWA
Password Vault Web访问(PVWA)是功能齐全的Web界面,它提供了一个控制台,供最终用户和管理员在整个企业中请求,访问和管理特权帐户。
每千次展示费用
中央策略管理器是PAS控制和管理主策略的组成部分。根据组织策略,此密码管理组件可以自动更改远程计算机上的密码并将新密码存储在EPV中,而无需人工干预。它还使组织能够验证远程计算机上的密码,并在必要时对其进行协调。
PSM
特权会话管理器使组织能够隔离,监视,记录和控制关键系统(包括Unix和Windows系统,数据库和虚拟机)上的特权会话。该解决方案充当跳转服务器和单个访问控制点。它可以防止恶意软件跳入目标系统,并记录击键和命令以进行持续监控。由此产生的详细会话记录和审核日志可用于简化合规性审核并加速法医调查。
PTA
Privileged Threat Analytics是用于特权帐户安全情报的专家系统,可通过识别以前无法检测到的恶意特权用户和帐户活动来提供有针对性的,可立即采取行动的威胁警报。该解决方案将正在申请专利的分析技术应用于从网络中多个来源收集的丰富的特权用户和帐户行为。然后,Cyber​​Ark Privileged Threat Analytics可以生成高度准确且可立即采取行动的情报,使事件响应团队可以对攻击做出直接响应。

PVWA  安装:

三个主要步骤:
1.预安装。运行PVWA_Prerequisites脚本。完成后,查看日志并验证IIS服务。
2.安装。以管理员身份运行setup.exe。完成后,查看日志并使用Chrome浏览器验证网络登录。
3.安装后。运行强化脚本,并根据Cyber​​Ark Secure PVWA指南进行手动强化。

安装PVWA(Password Vault Web访问)服务器先决条件
 PVWA_先决条件 脚本通过执行以下操作来自动执行PVWA服务器先决条件:

  • 安装Web服务器角色
  • 禁用IPv6
  • 配置自我证书

Web服务器角色

在安装PVWA之前,请添加Web服务器角色。

以管理员用户身份登录Windows
在开始安装之前,以管理员用户身份登录Windows。

安装

必须将Password Vault Web访问安装在与Enterprise Password Vault服务器不同的计算机上。

  1. 在PVWA机器上,创建一个新文件夹并复制 密码保管库Web访问 文件夹从安装包到它。
  2. 开始安装过程:双击 安装程序
  3.  单击下一步转到下一步,直到此窗口显示选择要安装的Password Vault Web访问的类型。
  • 完全密码保管库Web访问–此选项将PVWA安装在桌面浏览器上。
  • 移动密码库Web访问–此选项将安装专门用于移动设备的PVWA界面。

4.点击 下一页 进入“ Web应用程序详细信息”窗口,该窗口使您可以指定Web应用程序的网站名称,应用程序名称和身份验证类型。
5.单击旁边的 指定执行此安装的Vault用户的用户名和密码,然后单击 下一页 创建Password Vault Web访问环境并显示“安装完成”窗口。

6.点击  完成Password Vault Web访问的安装。
7.重新启动装有Password Vault Web访问的计算机。



POST安装

  • 安装日志审查
    • “ C:\ Users \ Administrator \ AppData \ Local \ Temp \”。
  • 安装验证
    • 使用Vault Administrator用户登录到您的PVWA
  • IIS配置更改
    • 错误代码403 –将HTTP重定向到https
  • 自动硬化
    • 运行强化脚本
  • 手动加固– PVWA的常规安全性,以符合Cyber​​Ark安全性标准
  • 服务验证(PVWA仅一项服务)
    • Cyber​​Ark计划任务正在运行



安装PVWA后的保管库更改



CreateCredFile实用程序


保险柜界面使用包含用户保险柜用户名和加密登录信息的用户凭证文件访问保险柜。可以使用从命令行提示符运行的实用程序创建此用户凭据文件,以用于密码,令牌,PKI或Radius身份验证。它还可以创建用于通过代理服务器进行身份验证的凭据文件。

用户凭证文件可以指定限制,这些限制可以提高其安全级别,并确保不允许未经许可的人或未经授权的人员使用它们。更新的CreateCredFile实用程序可以强制执行以下任何限制:
具体应用 –凭据文件只能由特定的Cyber​​Ark应用程序或模块使用。可以为密码,令牌或PKI身份验证指定此名称,但不能为代理身份验证指定此名称。有关特定应用程序的更多详细信息,请参阅 CreateCredFile实用程序.
具体路径 –凭据文件只能由位于特定路径中的可执行文件使用。
IP地址或主机名 –凭据文件只能在创建它的计算机上使用。
操作系统用户 – 的 credentials file can 上ly be used by an application started by a specified 操作系统用户.
这些限制是在凭证文件创建过程中指定的。
仍可以使用在版本4.5之前的版本中使用CreateAuthFile和CreateCredFile实用程序创建的凭据文件。但是,它们不包含随该版本一起发布的CreateCredFile实用程序中包含的增加的安全性限制。
以前版本的Cyber​​Ark组件将不支持使用限制创建的凭据文件。

在创建或更新用户凭据文件之前,请确保您熟悉保险柜中用户的身份验证详细信息,因为将要求您提供登录凭据以生成加密的凭据文件。































参考文献

通过 网络安全

发表评论