高级安装步骤:

基本上,
遵循Cyber​​ Ark Docs系统要求指南的硬件要求
适用于需要的硬件规格和先决条件软件,然后按照以下显示进行安装。

EPV = Digital Vault + PVWA + CPM
PAS = EPV + PSM


企业密码保管库解决方案(PVWA)安装
对于pvwa:
       
安装Windows 2012 R2或Windows
2016
       
至少安装.NET框架
4.6.2(如果尚未包含更大的版本)
       
安装所有最新的Windows操作系统
补丁
       
其余的是在进行中执行的
安装包括:
o  
通过提供的IIS角色设置IIS角色
pvwa先决条件脚本。

o  确保使用运行作为管理员以运行setup.exe文件。域管理员帐户不起作用

为了
PSM

       
安装Windows 2012 R2或Windows
2016
       
至少安装.NET框架
4.6.2(如果尚未包含更大的版本)
       
安装所有最新的Windows操作系统
补丁
       
添加我们正在使用的域帐户
要将PSM安装到新PSM VM构建的本地管理员组
       
其余的是在进行中执行的
安装包括:
o  
设置远程桌面
会话主机角色(不是单个复选框的RD选项)和选择
基于会话(然后将询问连接经纪人和RD Gateway
在以后的步骤中的服务器)。


成分
描述
Pvwa.
密码保管库Web Access(PVWA)是一个全功能的Web界面,提供单个控制台,用于通过最终用户和管理员在整个企业中请求,访问和管理特权帐户。
CPM
中央策略管理器是PAS控制和管理主策略的组成部分。根据组织政策,此密码管理组件可以在远程计算机上自动更改密码,并在EPV中存储新密码,根据组织政策,没有人为干预。它还使组织能够验证远程计算机上的密码,并在必要时协调。
PSM
特权会话管理器使组织能够在关键系统上隔离,监视,记录和控制特权会话,包括UNIX和基于Windows的系统,数据库和虚拟机。该解决方案充当跳转服务器和单个访问控制点。它可以防止恶意软件跳转到目标系统,并记录键击和命令以进行连续监控。由此产生的详细的会话记录和审核日志用于简化合规审核并加速取证调查。
PTA.
特权威胁分析是特权账户安全智能的专家系统,通过识别先前未检索的恶意特权用户和帐户活动来提供目标,立即可操作的威胁警报。该解决方案将专利待处理的分析技术应用于丰富的特权用户和从网络中收集的帐户行为。然后,Cyber​​ Ark特权威胁分析将产生高度准确和立即可操作的智能,允许事故响应团队直接响应攻击。

Pvwa. 安装:

三个主要步骤:
1.安装预先安装。运行pvwa_prequisites脚本。完成后,查看日志并验证IIS服务。
2.安装。运行setup.exe作为管理员。完成后,使用Chrome浏览器查看日志并验证Web登录。
3.安装后。运行硬化脚本并根据Cyber​​Ark Secure PVWA指南进行手动硬化。

安装PVWA(密码保管库Web Access)服务器先决条件
 pvwa_prequisites. 脚本通过执行以下操作来自动化PVWA服务器先决条件:

  • 安装Web服务器角色
  • 禁用IPv6.
  • 配置自证书

Web服务器角色

在安装PVWA之前,请添加Web服务器角色。

作为管理员用户登录Windows
在开始安装之前,将Windows作为管理员用户登录。

安装

密码保管库Web访问必须在不同的计算机上安装到Enterprise Password Vault服务器。

  1. 在PVWA机器上,创建一个新文件夹并复制 密码保管库Web Access 从安装包到它的文件夹。
  2. 启动安装过程:双击  setup.exe.
  3.  单击“下一步”直到下一步到此窗口选取要安装的密码Vault Web Access的类型。
  • 完整密码保管库Web Access - 此选项为桌面浏览器安装PVWA。
  • 移动密码Vault Web Access - 此选项安装专门用于移动设备的PVWA接口。

4.点击   下一个  要进入Web应用程序详细信息窗口,它使您可以为Web应用程序指定网站名称,应用程序名称和身份验证类型。
5.单击“旁边” 指定执行此安装的Vault用户的用户名和密码,然后单击  下一个  要创建密码保管库Web Access环境并显示设置完整窗口。

6.点击   结束  要完成密码保管库Web Access安装。
7.重新启动计算机后,安装密码保管库Web Access。



安装后



Pvwa. 安装后Vault更改



CreateCredFile实用程序


Vault接口使用包含用户的Vault用户名和加密登录信息的用户凭据文件访问Vault。可以使用从命令行提示运行的实用程序为密码,令牌,pki或radius身份验证创建此用户凭据文件。它还可以通过代理服务器创建一个凭据文件以进行身份​​验证。

用户凭据文件可以指定增加其安全级别的限制,并确保任何不允许这样做的人不能使用它们,也无法从未授权的位置使用。更新的CreateCredFile实用程序可以强制执行以下任何限制:
特定应用程序 - 凭据文件只能由特定的Cyber​​Ark应用程序或模块使用。这可以针对密码,令牌或PKI身份验证指定,但不能用于代理身份验证。有关特定应用程序的更多详细信息,请参阅 CreateCredFile实用程序.
具体路径 - 凭据文件只能由位于特定路径中的可执行文件使用。
IP地址或主机名 - 凭据文件只能在创建它的计算机上使用。
操作系统用户 - 凭据文件只能由指定的操作系统用户启动的应用程序使用。
这些限制在凭据文件创建过程中指定。
仍然可以使用在版本4.5之前在版本4.5之前创建的凭据文件。但是,它们不包含在此版本发布的CreateCredFile实用程序中包含的增加的安全限制。
从以前版本的Cyber​​ark组件不支持具有限制的凭据文件。

在创建或更新用户凭据文件之前,请确保熟悉Vault中的用户的身份验证详细信息,因为您将需要提供登录凭据以生成加密的凭据文件。































参考

经过 Netsec.

发表评论