豆科 秘密服务器是功能齐全的PAM解决方案,可为安全和IT操作团队提供敏捷性,以保护和管理所有类型的特权,从而保护管理员,服务,应用程序和root帐户免受网络攻击。它还为小型企业提供了一个免费版本,该版本允许10个用户并管理250个特权帐户,支持RDP和Putty,并且可以与AD集成。 

这篇文章是收集一些基本的Thycotic SS操作任务的。

本地秘密服务器基本架构

1 本地站点基本秘密服务器体系结构
2 豆科 秘密服务器组件:

1.安装CA签名的Web应用程序证书

2.许可&集成广告–目录服务

3.创建/同步Secret Server用户

4.启用/配置安全功能 

安装CA签名的Web应用程序证书

发牌

集成广告–目录服务

创建/同步秘密服务器用户

启用安全功能

1.会话记录
2.远程密码更改
3.发现

RDP启动 

从您的秘密帐户页面中单击RDP启动器:

输入计算机主机名或FQDN或IP地址。 

使用RDP启动器时的一些警告消息或错误消息:

1 协议处理程序无法启动
通常是由缺少协议处理程序引起的。单击基于您的系统的链接以进行安装。
2 您是要切换应用程序吗?
如果您使用的是Microsoft Edge浏览器,它可能会询问您是否切换到另一个应用程序MSTSC以打开“ RDPWinBootstrapper”。单击是继续。系统可能会询问您是否记住此选择。同样单击是。 

3 秘密服务器启动器尝试
秘密服务器 Launcher尝试使用以下Secret Server URL启动:
http:// _<您的秘密服务器的fqdn名称>/secretserver

4 无法确定此远程连接的发布者。 

点击“不再询问我与此计算机的连接”复选框,然后点击“连接”按钮以继续

5 秘密服务器错误:

Secre Server启动器加载失败。

基础连接已关闭:无法为SSL / TLS安全通道建立信任关系。

通常由不受信任的RDP SSL证书引起。一旦客户端计算机加入域,此错误消息就会消失。 

启用会话监控

1 全局启用会话记录

2 在秘密设置中启用会话记录

3 检查会话记录记录

远程密码更改(RPC)步骤

1 全局启用
  • 远程密码更改
  • 心跳


2 密码更改器
  • 查看内置转换器
  • 创建自定义
  • 测试动作

3 秘密模板
  • 配置到期
  • 配置模板RPC和心跳设置

4 秘密或秘密政策
  • 一经请求
  • 自动变更
  • 自动变更时间表

Notes: //thycotic.force.com/support/s/article/Remote-Password-Changing-Expiration


秘密政策

说明

  • 任何选择为“默认”的项目都将应用于创建了应用了此秘密策略的任何秘密。
  • 任何选择为“强制”的项目都将应用于所有应用了此“秘密政策”的秘密。
  • 无法在机密上更改“强制”设置。
  • 如果某些设置是秘密的有效设置,则仅适用于它们。
三种设置:
  • <Not Set>将导致设置保持关闭状态
  • <Default>将导致该设置为启用状态,但以后可以由具有秘密权限的用户编辑
  • <Envorced>将导致该设置处于启用状态且不可编辑,它将被使用此策略锁定在任何秘密上

SECTIONSECRET POLICY ITEM NAMESETTINGVALUE安全设置需要退房

安全设定自定义检出间隔(分钟)
(取决于:需要签出)

安全设定启用需要访问权限的批准

安全设定请求访问批准者
(取决于:启用需要访问权限的批准)

安全设定请求访问工作流程
(取决于:启用需要访问权限的批准)

安全设定事件管道政策

安全设定编辑也需要批准
(取决于:启用需要访问权限的批准)
被常规配置许可权选项“强制要求编辑者批准批准机密”

安全设定所有者和批准者也需要批准
(取决于:启用需要访问权限的批准)
(可以被“常规配置权限”选项“强制要求所有者批准批准机密”)覆盖。

安全设定需要评论

安全设定启用会话记录

安全设定查看密码需要编辑

安全设定使用SSH密钥运行启动器

安全设定启用S​​SH命令限制

安全设定允许所有者不受限制的SSH命令
(取决于:启用SSH命令限制)

安全设定SSH命令菜单组
(取决于:启用SSH命令限制)



  • <Not Set>–这是默认设置,将项目标记为禁用/无效;
  • 默认值–选择此选项会将策略项应用于目标文件夹中的所有机密,并可以选择在机密设置的下方进行手动更改。任何选择为“默认”的项目都将应用于创建了应用了此秘密策略的任何秘密。
  • 强制-选择此选项会将策略项应用于目标文件夹中的所有机密,而无需更改该文件夹中机密上的这些已应用设置。任何选择为“强制”的项目都将应用于所有应用了此“秘密政策”的秘密。

更新资料




通过 网络安全

发表评论