论坛

PAM Secret机载...
 
通知事项
全部清除

PAM Secret入门  


网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

一旦就PAM的启用范围和时间表达成协议,广管局就可以支持资产所有者填写所需的启动信息。这可以分多个阶段完成:首先是要用于测试的资产,然后是资产的完整列表。

责任: 业务分析师

文件范本: devices_Accounts.xlsx  

注意: 文档将根据“秘密模板”进行编辑。

devices_Accounts-Windows.xlsx
devices_Accounts-Active Directory.xlsx
devices_Accounts-SQL Server.xlsx
devices_Accounts-Oracle.xlsx
devices_Accounts-Unix.xlsx

组成员身份APP_NAME.xlsx
帐户列表-APP_NAME.xlsx

 

钟-PAM需求文档-v2.docx

 

Request PAM帐户

申请PAM帐户会员

 

回答

CMO –当前操作模式

 

您的环境/应用程序中的设备总数是多少?

 

您的环境中拥有哪些类型的设备? 您想使用Secret Server管理这些设备中的多少?

 

基础架构是否与其他应用程序共享?

 

您有用例来保护开发环境吗?在非生产环境中是否有任何生产数据可用?

 

您是否有依赖于秘密服务器API或Web服务的用例?

 

 

 

您的环境中Secret Server将管理的帐户总数是多少?

 

将使用Secret Server服务的用户总数是多少?

 

用户的访问权限有哪些不同级别?

 

您如何连接到端点? (腻子,RDP)

 

服务器是否加入了贝尔域?

 

 

 

FMO –未来运作模式

 

Concurrent 访问 Required? If so, how many?

 

密码可以由Secret Server管理吗?如果是这样,可以多久更改一次密码?

 

团队有Bell NT ID吗?

 

您打算将哪种形式的2FA与Secret Server集成? (安全ID,二重奏)

 

任何其他注释/要点:

 


引用
主题标签
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

钟PAM组(前端组Basic和SU)

PAM文件夹委派的广告组名称必须符合称为命名约定的某些规则。这些规则分为两部分。第一个由BARS决定,这些规则适用于BARS中创建的所有组。第二个仅用于PAM应用程序,并且已放置在易于使用的位置。

 

超级用户

For a team to have super users to be able to create future secrets in that folder, two 钟PAM groups need to be created. One for the basic users and one for the 超级用户。

酒吧命名约定。

请参考BARS WIKI说明 这里.

PAM命名约定

具体应用 

在BARS命名约定的基础上,建立这些规则是为了实现标准化,易用性和可搜索性。

对于以应用程序为中心的组,组名粒子应按此顺序排列:  

  1. “ 钟PAM”
  2. 用户需要的粒子数量(限制为96个字符)(应用程序名称)
  3. BU名称
  4. 特权

范例:

钟PAM-Openstack-NCS_RO 

钟PAM-Openstack-SU或 BellPAM-Openstack-NCS-SU(每个团队或每个团队SU一个SU组)

特定于团队

对于以团队为中心的组,组名粒子应按此顺序对齐:  

  1. “ 钟PAM”
  2. 球队 名称
  3. 其他后缀,例如支持区域或其他标识
  4. 特权

范例:

钟PAM-CGIT1-Unix

钟PAM-CGIT1-Unix-SU 

请求BellPAM组

  • 准备带有以下表格的电子邮件,并附上所有详细信息 组成员身份APP_NAME.xlsx
  • 获得CP2所有者和备用所有者的CP3报表管理器的批准(代表他们,仅一个批准就足够了)。 
  • 发送批准和信息 to [电子邮件 protected]
  • 等待1至2个工作日完成。

笔记

1. BellPAM集团所有者

钟PAM AD组所有者/备用组所有者条件:
-主所有者必须是CP2及以上的贝尔雇员。
-替代所有者可以是贝尔员工,承包商或第三方。

2. 钟PAM超级用户或SU组

保留一个或多个SU组将是服务所有者(SO)的呼叫。如果应用程序具有多个组或多个基本组,则每个团队都可以拥有SU组,以便团队负责人可以成为此类SU组的成员并控制其秘密。另一种选择是只有一个SU组,其中只有SO或他/她的代表将是超级用户。无论哪种情况,SO都是所有SU组的一部分。请询问SO他/她想采用哪种选择。

3.不要使用下划线 

如果要使其在BARS中可搜索,请避免在组名称中的粒子之间使用下划线。 

 :

如果组名是: BellPAM-Openstack-NCS_RO

您可以搜索NCS,所有包含NCS的组都将出现在搜索结果中。

如果组名是: BellPAM_Openstack_NCS_RO

您不能仅搜索NCS,查找工具将找不到它。相反,您必须输入组“ 钟PAM_Openstack_NCS_RO”的全名才能找到它。  

 4.使用驼峰箱代替空格

如果BU名称由多个单词组成,请不要使用分隔符。尝试改用骆驼肠衣。

  • 例如:WordOneWordTwoWordThree
  • 钟PAM-DB2-MyWonderfullBuName_RO

回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

后端组

可能的情况

典型场景

后端组是 PAM Accounts 以及应用程序本身。在典型情况下,后端组已经 exists 在AD中,并且填充了用户(人工帐户),有时填充了很少的FID。有了PAM,这些小组将 可以使用BellPAM帐户填充帐户,因此它们可以具有与人工帐户相似的访问权限。在试用期结束时,这些小组 are then emptied of human accounts and just left with PAM帐户.          

最低特权或违反SOD的方案 

如果在分析期间您发现后端组中填充了来自不同团队的用户(成员身份不相同)和/或它允许访问太多资产(违反了最小特权) 或职责分离原则),可能需要将该组分开。

必须与客户端协作定义所需的组数以及这些组之间的用户分布。

 

后端组创建

后端组创建可以通过以下方式完成 客户或广管局提供的BARS 使用与创建前端组相同的过程, 尽管有重要区别:

(警告) 为了避免与前端组混淆, 后端组应该 不具有相同的命名约定。不要使用BellPAM后缀。

名称的其余部分取决于客户或您,只要它遵守BARS命名约定即可。

 

酒吧命名约定。

请参考BARS WIKI说明 这里.

笔记

1. 不要使用下划线 

如果要使其在BARS中可搜索,请避免在组名称中的粒子之间使用下划线。 

:

如果组名是: 后端-NCS-Openstack_RO

您可以搜索NSC,所有包含NCS的组都将出现在搜索结果中。

如果组名是: 后端_NCS_Openstack_RO

您不能仅搜索NCS,查找工具将找不到它。而是必须输入组“ 后端_NCS_Openstack_RO”的全名才能找到它。  

 2.使用骆驼盒代替空格

如果BU名称由多个单词组成,请勿使用分隔符。尝试改用骆驼肠衣。

  • 例如:WordOneWordTwoWordThree
  • 钟PAM-MyWonderfullBuName-DB2_RO

回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

申请创建PAM帐户

根据帐户类型,处理过程有所不同。

 

 

PAM帐户所有者的责任

作为有权访问资产的帐户,我们需要所有者批准才能创建此帐户。最重要的是,Active Directory团队需要一个 CP3 拥有者+ 2个备用拥有者进行跟踪。从技术上讲,PAM帐户的密码会自动轮换,因此所有者并没有真正的期望。在这种情况下,所有权更多的是用于跟踪并确保所有者了解拥有其资产访问权限的帐户。

PAM AD帐户请求(帐户和权限组)

批准:

 PAM帐户 创建并添加到 遗产 access 后端广告组 (信息) 。这里的认可是 危急,因为这些组可以直接访问包含敏感数据的资产(皇冠上的宝石) 

  • Pam帐户所有者:CP3&2个CP2共同所有者(与应用程序组所有者相同)

(竖起大拇指) 如果您不确定用户将如何参与试点,建议您请求比所需数量更多的帐户,并根据需要进行处理。 (例如:要求25个Pam帐户并仅创建 5. CP3所有者无需批准随后的帐户创建。)

后端 AD group 

Group that gives 访问 to the assets directly. Those groups are to be populated only with PAM帐户 when on-boarding is done.

 

PAM本地帐户

Unix的PAM Local帐户

与PAM AD帐户不同,Unix的PAM本地帐户是向CGI T1 Unix小组请求的,用于CGI受管服务器,对于其他服务器,则必须向相应的支持小组请求。请求CGI管理的Unix服务器的PAM本地帐户应遵循以下步骤。

  • 向应用程序的服务所有者发送电子邮件并获得批准。电子邮件应包含所有PAM帐户和服务器名称。 PAM帐户应遵循命名约定,但不能带有任何连字符(“-”)。 Pam帐户要求
  • 将批准电子邮件发送给CGI联系人(当前为Satpal)以为T1 Unix团队创建票证
  • 您可以使用同一封电子邮件将帐户创建信息转发给T1小组(当前为Rakesh),该电子邮件应包含帐户详细信息,服务器信息以及该小组现有的本地帐户,Rakesh将从中将权限镜像到新的PAM帐户。您可以要求团队建议将该帐户用作镜像帐户。

此帖于3周前被修改 网络安全

回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

Pam帐户要求

 

 

一般要求

以下是适用于所有类型帐户的要求:

  1. 命名约定的结构如下:
    1. 标准(字符数限制为20) :
      1. 范例: PSA-Digitec-001
      2. 第一个粒子反映出它是Pam帐户:永不更改
      3. 第二个粒子:AppName / Bu Name
      4. 多个帐户的第三个粒子增量数
    2. 缩短(字符限制为8)*对于具有严格字符限制的旧系统 
      1. : PSABUXX
      2. 没有混合现象,粒子彼此相邻
      3. 第一个粒子反映出它是Pam帐户:永不更改
      4. 第二个粒子:AppName / Bu Name
      5. 多个帐户的第三个粒子增量数(00或000)
  2. 密码将由PAM Secret Server管理(除非在技术上无法实现,否则除外)
  3. 密码复杂度可以由CorpSec自行决定,规则将在Secret Server中统一(除非不可能,例如:大型机) :
    1. 至少15个字符,
    2. 字母/数字和大写/小写字母的组合
  4. 用户可以拥有的PAM帐户数量没有限制
  5. 认证(如果有), 应与访问Crown Jewel资产的帐户一致
  6. 无有效期
  7. 无法冒充PAM之外的人(邮件,BAR等)
  8. 登机后披露密码,必须立即重置密码。未公开的密码应遵循 密码轮换政策 .

 

每个帐户类型的要求:

活性 Directory帐户(PAM AD帐户) 

  1. 帐户将位于OU中:
    1. OU = 钟PAM用户,OU = 钟PAM用户,OU =业务单位,DC =贝尔,DC = corp,DC = bce,DC = ca
  2. 帐户可以交互使用
    1. 不应用作FID或RPA(非交互式)
  3. 特定的AD属性:bceAccountType或信息或说明(分类)
    1. bceAccountType将为P
    2. 信息可以描述该帐户的用途。应用名称
    3. 描述-现在我们使用AD共享/到期日期。 由于我们可能不使用到期日期,因此我建议 PBell PAM帐户 作为描述
  4. 我们有能力限制或允许同时使用
  5. 应用程序所有者将能够通过标准请求系统进行请求
    1. 参考 当前过程 请求新的PAM AD帐户
    2. PAM小组(BA)将批量请求帐户发送到 [电子邮件 protected] 处理。
    3. 使用模板: 钟PAM帐户申请表v1.4.xlsx
  6. 要添加到广告组的新PAM帐户 钟PAMPass政策 这将由ADRequests在创建帐户期间完成 
    1. 政策仅允许在24小时内进行一次更改。这不会像PAM主帐户那样影响密码重置。这只会影响自动旋转,但不会使用。
  7. 应用程序所有者还应该是帐户的所有者,并具有两个备份所有者。
    1. 要使用的PAM帐户 CP3作为拥有者 两个CP2备用所有者。 CGI可能是 交流 流程外部化时的所有者。
    2. 避免使用高级层次结构所有者(例如:CP4) 

 

本地Unix帐户(PAM Unix帐户) 

  1. 密码变更政策;密码更改参数之间的最小间隔天数设置为零。**

*假定帐户所有权与服务器/资产的所有者相同。 The owner of the 提供机密访问权限的BellPam组将被视为本地帐户的所有者。

**允许每天多次执行密码自动旋转。

本地数据库帐户(PAM Unix帐户) 

*假定帐户所有权与服务器/资产的所有者相同。 The owner of the 提供机密访问权限的BellPam组将被视为本地帐户的所有者。

本地大型机帐户(PAM大型机帐户) 

与玛德琳·艾伦讨论

 *假设帐户所有权与服务器/资产的所有者相同

本地窗口帐户(PAM Windows帐户) 

*假设帐户所有权与服务器/资产的所有者相同

 

指数

Pam帐户 :创建了新帐户来替换用户对资产的访问权限

钟Pam 广告组s :可以访问Secret Server内部机密的新组

应用广告组 :PAM之前存在的组。他们被剥夺了人类成员的身份,并被Pam帐户取代。

本地权限 :分配给任何类型的本地帐户的本地权限

钟Pam用户 :为了跟踪用户许可而创建的组,应尽快实现自动配置。

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

同步广告组

确认AD Request团队已创建AD组后,您可以联系IT团队(Rob,Mike和/或Elena),要求他们将该组同步到BellPAM。

 

模板:

================================================== ==========

你好

我们正在为BellPAM进行另一个入门项目。您可以将以下广告组同步到BellPAM:

  • ...

 

完成后,请通知我。

问候,

================================================== =========

 

 

 

将SU角色分配给SU 钟PAM组

为了使团队具有超级用户的权限,以便能够在文件夹中创建将来的机密,需要创建两个BellPAM组。一种用于基本用户,一种用于超级用户。要获得超级用户BellPAM组的更多特权,我们必须附加一个映射到AD组的添加的BellPAM角色。

  •  管理员, 选择 的角色

  • 选择 分配角色

  • 选择要更新的角色

  • 选择编辑

  • 选择您要分配超级用户角色的组

 

  • 将您的群组添加到左侧的 已分配 面板

请点击 保存更改

 

 

 

此帖于3周前被修改 网络安全

回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

秘密模板和政策

在任何项目上,要确定正确的机密模板和正确的机密策略,您必须联系分配给您的TA。

职责范围

  • 公司秒 负责Bell的安全性指令(所有Bell的官方安全性文件)。但是,Secret Server中的Secret策略和模板是Secret Server强制执行秘密加载规则的一种方式。对机密策略和模板的更改可能会影响生产中的其他机密
  • 网络和IT技术援助 将负责Secret模板和Secret策略(创建,更新,删除)的生命周期
  • 公司秒 将确保通过报告确保其他秘密模板和秘密政策 正在关注 贝尔安全指令(自动旋转,字符数)。 公司秒将为那些未遵循该指令的秘密提供业务理由,并制定了重组计划。
  • 每个学士,在开始生产中的机密之前,需要通过技术援助人员确认其实施情况。 TA  将建议选择哪个秘密模板和哪个秘密策略。

依存关系

与AD桥接类似,不得使用策略在不同服务器上对齐密码。仅当TA告诉您这样做时,才可以实现依赖关系。 TA 应该将依赖关系放到位,并支持您将其分配给您的秘密。

此帖于3周前被修改 网络安全

回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

创建文件夹

 

资料夹结构

我们所关注的IT或网络文件夹结构有些不同。这是因为支撑结构完全不同。在IT中,CGI管理产品 和贝尔开发团队并不总是具有访问权限。在网络中,通常由同一团队管理单个应用程序的所有环境。

  • 对于网络
  •  

    • 工厂---资产类别---- 业务部门(由Titanitum定义)---团队 --- 应用程式 --- 特权级别(仅在整个团队的条件都不相同时才需要)
    • 有关网络的更多详细信息: 钟PAM网络文件夹结构V2.docx
  • 为了它
    • 工厂---资产类别---资产类型(如果存在)---- 球队 --- 应用程式 --- 特权级别(仅在整个团队的条件都不相同时才需要)

 

注意

***当广管局面临怪异或复杂的CMO且广管局认为这种结构不起作用时,请将该主题带给其CS顾问或同行寻求指导。 

创建文件夹

在和下,选择要创建子文件夹的文件夹。 选择文件夹结构顶部带有加号图标的文件夹。这将打开“添加新文件夹”窗口

  • 投放 新文件夹名称,然后选择确定以创建文件夹。

  • 子文件夹在所选文件夹下创建。

将权限分配给 中间文件夹 (例如:团队文件夹)

如果您已创建中介文件夹来组织机密,但是 这些文件夹 不要 里面有秘密,您仍然需要为文件夹分配正确的权限。例如:

原因是:

  • 我们不希望所有用户(所有人)查看该文件夹。

对于任何中间文件夹(不是资产类别或资产类型),您需要分配以下权限:

  • 删除所有人的权限
  • 授予阅读权限-任何授予访问子文件夹权限的BellPAM组均不授予

例如,对于CGI-MAS中间文件夹:

将权限分配给 秘密文件夹

  • 必须为适当的组分配文件夹权限才能访问该文件夹。在要编辑权限的文件夹上选择,然后用铅笔图标选择文件夹。这将带您进入“编辑现有文件夹”页面

 

  • 取消选中 从父级继承权限
  • 添加为其创建文件夹的团队的AD组(在本例中为BellPAM-team1-SuperUser和BellPAM-team1)。

  • 删除授予的任何访问权限 大家
  • 将BellPAM-TeamADGroup-SuperUser(此处为BellPAM-team1-SuperUser)设置为以下内容
    • 文件夹权限:编辑(编辑允许创建子文件夹或更新文件夹,但不能删除权限继承)
    • 秘密权限:所有者
  • 将BellPAM-TeamADGroup(此处为BellPAM-team1)设置为以下内容
    • 文件夹权限:查看(普通用户应该只能启动机密,不能创建机密)
    • 秘密权限:查看
  • 钟PAM-INFADMIN
    • 文件夹权限:编辑
    • 秘密权限:清单
  • 贝尔PAM-SecADM
    • 文件夹权限:所有者
    • 秘密权限:清单
  • 紧急管理员帐户 
    • 文件夹权限:所有者
    • 秘密权限:所有者

 

注意

*为了能够与您的团队合作并掌握他们的秘密,您必须被添加为其BellPAM-*****-SU组的成员

秘密模板 

最后要做的是限制可以使用的秘密模板 用于秘密创建。这些应该仅限于那些 您最初将使用 super users.

 

 

创建秘密

要创建机密,必须首先确保您在BellPAM中具有正确的角色。如果您具有正确的角色,则将看到一个窗格 创建秘密 在BellPAM中。

在下拉菜单中选择哪个秘密模板 使用。请参阅助教,以了解使用哪个。

 根据所选的类型,您将看到要填充的字段的不同组合。 CLLI, 环境, 资产名称 是所有模板上都应该可用的三个属性。

  • CLLI: 通用语言位置标识-贝尔的每栋建筑物都有自己的CLLI。此属性可用于定位资产所在的位置。
  • 环境:例如:生产, Development
  • 资产名称:与资产相关的应用程序。参考 钛的特定命名约定。 

检查一下 继承秘密政策

请点击 保存

确认心跳对秘密有效

 

 

秘密大规模入职

总览

  • Secret Server导入功能简化了与旧系统的集成,并允许用户轻松地从Excel或逗号分隔值(CSV)文件中添加大量机密。
  • 机密是通过模板批量导入的,因此需要分批导入多种类型的输入数据。
     
    • 确认心跳对秘密有效
    • 确认签出是所有机密所必需的

配置要导入的数据

1.点击   按钮,然后选择导入机密。出现“选择机密模板”页面:

2.单击“什么类型的机密…”列表框以选择要导入的机密类型。
3.单击继续按钮。出现“导入机密”页面:

4.将要从MS Excel或CSV文件导入的机密直接粘贴到 导入机密页面.
   导入字段的顺序基于所选模板。考虑以下:

  • 不包括标题行。字段名称由顺序而不是标题行确定。
  • 字段必须按以下顺序: 机密名称,机器,用户名,密码,注释,CLLI,环境,资产名称,文件夹名称.
  • 机密名称必须包括在内,但其他文本输入字段可以为空,除非机密模板指示必须输入文本输入字段。
  • 包含逗号或制表符的字段必须用双引号引起来。
  • 如果您必须在数据中包含双引号,请使用 \ 字符,这样进口商就不会感到困惑。

5.单击以选择 允许重复的秘密 如果您希望导入与现有名称同名的机密,请选中此复选框。
6.单击以选择 使用文件夹导入 复选框,如果您在导入文本中包括一个附加字段,其中包含用于创建秘密的标准文件夹名称。
7.单击下一步按钮。 SS显示预览:

导入机密


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

钟PAM工作流程

借助SS 工作流程,管理员可以创建访问请求。这些请求可能需要1个或更多批准者才能访问机密。这些说明提供有关如何使用工作流程模板,设计新的工作流程,删除它们以及最佳实践的信息。

With 访问-Request 工作流程s, you can:

  • 要求多人批准请求,然后才能授予访问权限
  • 如果需要,需要多个工作流程步骤,每个步骤都有不同的审阅者和所需的批准者数。
  • 选择“所有者”作为评论组


多级工作流程 原始访问请求是一个级别或一个步骤-批准的任何人都批准该请求-不需要其他输入。工作流最多允许15个批准步骤,其中步骤1中的审核批准将请求移至步骤2,步骤2的批准将请求移至步骤3,依此类推。任何时候拒绝都会拒绝该请求。 多个批准人来推进 可以配置新的工作流程功能,其中给定步骤的一个审批者还不够。实际上,每个步骤中的批准者都可以“投票”批准-您指定一个步骤中必须批准多少批准者才能继续进行下一步。

 

管理工作流程

 

With 访问-Request 工作流程s, you can:

  • 要求多人批准请求,然后才能授予访问权限
  • 如果需要,需要多个工作流程步骤,每个步骤都有不同的审阅者和所需的批准者数。
  • 选择“所有者”作为评论组


多级工作流程
原始访问请求是一个级别或一个步骤-批准的任何人都批准该请求-不需要其他输入。工作流最多允许15个批准步骤,其中步骤1中的审核批准将请求移至步骤2,步骤2的批准将请求移至步骤3,依此类推。任何时候拒绝都会拒绝该请求。
多个批准人来推进
可以配置新的工作流程功能,其中给定步骤的一个审批者还不够。实际上,每个步骤中的批准者都可以“投票”批准-您指定一个步骤中必须批准多少批准者才能继续进行下一步。






审批流程
下图是整个过程的总结:

工作流程 Versus Basic 访问 Requests
通常,“简单访问请求”是旧版SS可用的唯一类型,与一步一步批准相同。主要的例外是对于分步请求,一旦工作流访问请求被批准,拒绝或取消,其状态就无法更改。相反,简单的非工作流访问请求保留了原来的行为,即允许请求被拒绝后被批准或被批准后被拒绝。 

访问ing the 工作流程 Designer

要访问工作流设计器:

  1. 去 管理员> 工作流程s。出现工作流页面:


该页面列出了所有活动的工作流程模板。

  1. (可选)单击以启用 显示无效 切换按钮,位于 创建工作流程按钮,以显示活动和非活动工作流程。禁用切换按钮时,它仅显示活动的工作流程。
  2. 单击列表中的任何工作流程,以转到该工作流程的设计器页面:


 

将工作流分配给秘密策略

 

  1. 请点击 管理员> 秘密政策。出现“机密策略”页面: 
  2. 对于此说明,我们将创建一个新策略。
  3. 点击 +新建 按钮。出现另一个“秘密策略”页面: 

 

  1. Type the new policy 名称 in the 保密政策名称 text box.

 

  1. 向下滚动页面到 安全设定:

  1. 点击 Enable Requires 应用程式roval for 访问 list and select 强制执行.
  2. 单击以选中列表旁边的复选框。

 \
出现“分配批准者”弹出页面:

  1. 点击 取消 按钮。其他访问批准设置已启用:

  1. 点击 Request 访问 应用程式rovers list and select 没有设置.
  2. 点击 Request 访问 工作流程 list and select 强制执行。旁边会出现一个新列表。
  3. 单击新的未标记列表,然后选择访问模板工作流程以与该策略相关联。

点击 保存 按钮位于页面底部。与其他任何策略一样,该策略现在可用于分配给机密和文件夹。
 

创建新的工作流程

 任务1: 访问工作流设计器:

  1. 点击 创建工作流程模板 button.

  1. 在其文本框中键入工作流程模板的名称和描述。键入名称后,“创建工作流程模板”按钮将变为启用状态。
  2. 点击 创建工作流程 按钮。出现新工作流程模板的“编辑”页面。


默认情况下,新的工作流程只有一个空白步骤。
任务2: 设置第一步:

  1. (可选)在 Step 1 文本框,例如“直线经理”。
  2. 点击 添加组/用户 (search) 文本框。
  3. 输入您希望作为批准者的用户或组的名称,选项将显示在下拉列表中。
  4. 单击所需的用户或组。它显示在“批准者”表中: 
  5. 根据需要重复。
  6. (可选)要自动包括模板分配给的秘密所有人,请单击以选择 包括所有者作为审阅者 check box.
  7. (可选)如果您希望在该步骤上需要多个批准者,请在 至少需要…… text box.

任务3: (可选)添加更多步骤:

  1. 点击 添加一个步骤 按钮。在第一个步骤下方将出现一个新步骤: 
  2. 重复步骤一的过程。
  3. (可选)继续添加步骤,直到满意为止。
  4. 点击 保存 按钮以创建访问请求工作流程。工作流程退出可编辑模式。 
  5. 点击 工作流程 页面顶部的链接返回表格。

 

删除工作流程模板

 

1. 访问 工作流程s: 管理员> 工作流程s

2.单击您要删除的工作流程。该工作流程出现:

3.单击删除按钮。出现确认弹出页面。

  1. 点击 是的,删除 按钮。

注意:由于基于模板的工作流程可能仍在进行中,因此无法完全删除模板。而是将其禁用。您可以稍后重新激活模板。 
 
 
 
 
 

复制工作流程模板

如果您需要创建一个新的工作流程模板,就像已经拥有的那样,则可以通过复制类似的模板然后进行任何更改来节省时间:

  1. 访问 the 工作流程s page: 

 

  1. 在您要复制的工作流程模板中,单击要复制的工作流程模板。 工作流程模板 表。该模板出现: 

 

  1. 点击 重复 按钮。出现新模板,并与原始模板相同,包括名称: 
  2. Change the 名称 and edit as desired.
  3. 点击 保存 完成后点击按钮。

编辑工作流程模板

 

编辑模板:

  1. 点击蓝色 编辑 按钮。工作流设计器页面变为可编辑状态:
  2. 在此阶段,该过程几乎与创建新的工作流程模板相同。唯一的区别是许多参数,其他步骤已经完成。根据需要更改它们。如果要消除整个步骤,请单击 删除此步骤 link for that step.

注意: 如果存在使用该模板的活动请求而不取消这些请求,则无法对工作流模板的行为进行任何更改。活动请求是用户尚未批准,拒绝或取消的任何未过期请求。如果您确实进行了更改,则所有请求都将被取消,受影响的请求将通过电子邮件通知,以便他们重新提交请求。任何编辑模板的用户在尝试保存已取消请求的更改时都会收到通知。

 

了解工作流程模板设计最佳实践

设置访问请求工作流模板时,请考虑以下事项:

  • 当您需要让不同的人(例如不同的部门)在批准请求上签名时,请使用多步骤批准工作流。
  • 我们不建议将同等重要的批准者或组分配给多个步骤。与多个批准者共同完成一个步骤会更好。请记住,步骤最好用于层次结构批准-批准链。
  • 审阅者只能响应一次请求。如果您在多个步骤中拥有与审阅者相同的用户,则该批准者如果已经在较早的步骤中做出了回应,则无法做出回应。此外,审阅者的先前批准确实  计入后续步骤所需的批准数量。因此,如果要在多个步骤中将同一用户分配为审阅者,请确保每个步骤中都有足够的审阅者在没有该用户的情况下进行批准。
  • 精心设计的工作流程模板设计可确保一个组中有足够的批准人来满足多重批准人(必须有n个审阅人中的x个必须批准)的要求,但是在创建工作流之后,组成员身份可以更改。因此,如果您从工作流使用的组中删除成员,请确保这些组中仍有足够的成员来批准请求。

 

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

测试(prod或preprod)

在技​​术分析师的支持下,业务分析师在产品中加入了两个秘密,以展示真实的用户体验。

一旦激活心跳,就可以使用所有者来测试设备和BellPAM用户体验。

责任:资产所有者


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

用户入职(Operational mode)

  • 钟PAM AD组的创建是Corpsec的特权,因此只能通过对AdRequest的请求来创建。
    • 项目模式:BA通过发送给AdRequest的表格来处理请求(请参见下面的文档)
    • 操作模式:仍必须使用Corpsec Ops(JFL 09-06-2020) 

用户入职&BellPAM组创建(项目模式/批量请求)

  • 完成 组成员身份APP_NAME V1.1.xlsx (请务必遵守团体 命名约定)
  • 向Rob Knapp要求BellPam用户的认可
  • 请求所有者和备用所有者的认可
  • 发送电子邮件给ADrequests-企业安全 [电子邮件 protected]
  • 验证安全ID别名 :SecurID用户名,打开 电信仓库>  Manage Assets > Personal Assets. 在您的清单下,选择SecurID选项卡,您将在右侧看到序列号和用户名。
邮件模板示例: 

RE PAM AD共享帐户资金In.msg

.msg资金的RE PAM AD组

Digitek.msg的PAM AD共享帐户

为PAM project.msg创建广告组

  1. 钟Pam组 :
    1. 要求创建BellPAM组
    2. 向BellPAM组申请用户成员资格
    3. 向BellPam-Users请求用户成员资格

 

为用户更新2FA解决方案

默认情况下,用户使用2FA SecurID进行注册。但是,SecurID具有不同的用户名命名约定。为了使BellPAM发送适当的身份验证请求至 SecurID server,

  • 输入正确的2FA名称(RADUIS用户名)
    • 选项1:在SecurID控制台中,将用户添加到组BellPAM并添加别名。这可以通过向SecurID小组发送请求来完成。
    • 选项2: 在BellPAM的用户配置文件中,您可以设置SecurID别名。
  • 您可以获取正确的安全ID用户 name 这里 
    •  您可以使用员工编号 to fetch the data (如下所示,在SAP PEIN字段中输入),您可以直接从用户或从他或她那里获得该信息 目录清单.

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

培训-培训培训师

钟PAM项目使用培训师的方法进行培训。超级用户属于培训范围。

随附了模板电子邮件,可在项目启动后立即使用。

================================================== ======

你好

 

现在,您已经完成了BellPAM的入职培训。您现在可以访问BellPAM。您可以使用Active Directory凭据(NT ID)通过以下链接登录:

 

//bellpam.int.bell.ca/SecretServer/

 

可以从 维基。您必须在笔记本电脑中安装协议处理程序,才能使用启动器启动秘密。 *对于CGI或IBM团队,过程可能有所不同,您可能需要联系服务台。

 

软启动 -当前的操作模式和新的BellPAM模式将一直可用到2020年年底。个人访问权限将在2021年删除:用户将只能使用BellPAM连接到端点。

 

下一步

  • 测试您的秘密并将任何问题通知我们;
  • 如果需要,我们可以为您的超级用户提供培训(培训讲师):
  • 登录到BellPAM Secret Server产品环境
  • 使用BellPAM秘密服务器连接到端点(已存储秘密和启动器)
  • 查看各自的文件夹
  • 查看机密
    • 运行心跳
    • 请求从BellPAM组添加/删除用户以查看文件夹内容(通过 酒吧)
  • 使用RDP启动器
  • 了解基本用户角色
  • 了解超级用户角色
    • 如何添加/编辑/复制机密
  • 在2021年,我们将涵盖退出标准
  • 所有者签名,已删除命名帐户
  • 确认 that privileged 访问 is granted only through 钟PAM

 

支持运营模式
如需与BellPAM 豆科 Secret Server有关的帮助,请联系 CGI支持 如以下步骤所述。

 

* 用户 报告一个 PAM CGI CSD的事件。

  • 呼叫 514-523-5523 要么 1-888-920-8888
  • 9 切换语言(可选)
  • 1 为加拿大贝尔
  • 输入 贝尔·佩恩 (员工编号)后跟井号(#)
  • 6 适用于
  • 该事件必须使用关键字报告给CSD代理 “ PAM”

 

================================================== ==============

集成后支持(PIS)

在此期间,公司安全访问管理保留其秘密特权,因此可以对问题进行故障排除。

 

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
主题启动器  

退出标准

所有客户的试用期延长至2021年1月 

这是BellPAM入门项目的退出标准。

  • 用户可以使用他们选择的2FA解决方案连接到BellPAM
  • 用户是正确和已定义的bellPAM AD组的成员
    • 用户可以查看所有秘密
    • 可以检出和检入机密(启用检出/检入功能时)
    • 用户可以成功启动与启动器的会话,或查看已存储的机密
  • 定义和培训超级用户
    • 超级用户只能在其文件夹中编辑和创建机密
    • 超级用户只能使用在文件夹级别限制的已定义机密模板来创建机密
      • 创建机密时,机密会自动填充安全策略 
  • 远程密码更改功能成功运行
  • 与服务器的连接已测试
    •  No heartbeat error
  • 从技术上可能的情况下,PAM团队会扫描设备并确认所有帐户均已启用或没有理由。
    •  服务器上的所有个人帐户都将被删除,或者已经约定了时间表 提供以将其删除
  • 从技术上可能的情况下,PAM团队会创建一个警报,以标记在这些终端设备上创建的任何新帐户。 Alert是为我们的运营团队提供的,以确保正确创建以后的帐户(例如:命名约定)。
    •  最终标准:PAM团队控制了admin / root帐户。
  • 命名直接帐户已从资产中删除
  • 对于共享服务器,应检查非HSPII应用程序访问是否使用正确的SUDO权限,它们应仅访问各自的应用程序。除此类服务器上的Unix管理员外,任何人都不应具有root用户访问权限。
  • 应警告用户其个人文件夹以及PAM帐户主文件夹的将来使用。在试用期内,所有用户都必须将其个人文件夹中的任何数据移动到另一个位置。个人文件夹在访问PAM后将不再可用。建议不要使用PAM帐户主文件夹,因为它们可能一直都不在使用同一文件夹,因此使用PAM帐户的主文件夹存在风险。
  • 在以下情况下已实现视频录制 标准 被满足
  • 任何CGI员工拥有的任何后端AD组都应由服务所有者进行更新,以将所有权反映给Bell员工。
  • UAT客户端注销
    •  由秘密所有者注销
  • PAM团队签字
    •  入职团队(BA +项目经理)签字

未来标准 

  • 防火墙规则强制从 DE 

签署文件范本:

  • 入职时遵守上面列出的退出标准
  • 入职与CS安全策略保持一致,包括以下概念:
    • 访问 级别正确归因 (需要知道-最少特权)
    • 尊重职责分工
    • 不可否认
  • 访问 have been tested
  • 用户名单 is certified

 

OTSS事件和变更通知

如果您的客户想要了解生产问题,可以注册OTSS事件和变更通知。

 

  1. 导航:  //otss.int.bell.ca/incident/index.asp
  2. 在事件通知下选择“通知管理”
  3. 选择“查看和更新​​配置文件”
  4. 在事件管理下选择“点燃通知”
  5. 去 P and select “Privileged 访问 Management”
  6. 点击“更新通知配置文件”
  7. 在顶部菜单中,选择“可用性”>“事件管理”
  8. 在事件通知下选择“通知管理”
  9. 选择“查看和更新​​配置文件”
  10. 在变更管理下选择“变更公告”
  11. 去 P and select “Privileged 访问 Management”
  12. 点击“更新通知配置文件”
  13. 转到OTSS主页(菜单栏左上方),您可以看到即将进行的更改活动

 

测试用例

以下文档包含客户和项目团队要执行的基本测试用例。 (草案)

类别 测试案例编号 测试案例标题 测试步骤  责任心 测试状态 评论
组态 PAM-Config-001 文件夹/组权限允许客户端仅访问/查看其机密 1.管理员> 资料夹  >一次选择所有客户端文件夹级别,然后单击“查看”以查看权限。在“秘密权限”列下查看视图,添加,编辑所有者设置。
2.通过报告文件夹中的4个不同报告来查看文件夹权限  category
3.报告-用户“用户可以看到哪些秘密?”,“用户具有什么秘密权限?”。

钟PAM-IT /网络    
PAM-Config-002 客户端机密仅位于其文件夹中  报告-用户“用户可以看到哪些秘密?”,“用户具有什么秘密权限?” 客户    
PAM-Config-003 确认用户已自动从AD同步并从AD同步到正确的组中 管理员->groups->选择组,查看用户
管理员->users->选择用户,查看组值
报告- >Group->按组的组成员身份,选择组
客户    
PAM-Config-004 确认已将正确的角色分配给客户端用户和组 报告-> 用户 ->用户具有什么角色权限? 钟PAM-IT /网络    
             
两因素验证 PAM-2FA-001 登录秘密服务器时,当用户设置为RADIUS时,系统提示用户输入SecurID密码 尝试从Web GUI登录到Secret Server,并将用户凭据和2FA解决方案设置为RADIUS 客户    
PAM-2FA-002 使用SSH终端会话登录Secret服务器时,当用户设置为RADIUS时,系统提示用户输入SecurID密码 尝试从SSH终端会话登录到Secret Server,并将用户凭据和2FA解决方案设置为RADIUS 客户    
             
超级用户 PAM-SU-001 SU组中的用户可以 create a secret   客户    
PAM-SU-002 SU组中的用户可以 edit a secret   客户    
PAM-SU-003 SU组中的用户可以 delete a secret   客户    
PAM-SU-004 SU组中的用户可以 在层次结构中创建一个子文件夹(具有相同的特权)   客户    
PAM-SU-005 用户可以强制签入签出机密   客户    
PAM-SU-006 SU组中的用户可以 view 用户 Audit report   客户    
             
秘密模板 PAM-ST-001 确认已将正确的模板分配给客户端密钥文件夹(在文件夹级别) 对于每个文件夹
资料夹-> 编辑 ->模板限制?
钟PAM-IT /网络    
             
秘密政策 PAM-SP-001 秘密策略设置将根据需要应用于所有客户端文件夹 报告->Secret Policy->哪些文件夹分配了策略?
报告->Secret Policy->政策分配了哪些秘密?
钟PAM-IT /网络    
PAM-SP-002 机密策略设置为“在机密模板上强制执行”。   钟PAM-IT /网络    
             
资料夹 PAM文件夹001 为客户端文件夹正确设置了文件夹权限 报告->Folders->存在哪些文件夹权限?查看权限列。 客户    
             
机密-网络界面 PAM-秘密-001 如果启用了心跳,则所有秘密都具有心跳成功   钟PAM-IT /网络    
PAM-秘密-002 所有机密均已通过测试,并按预期工作(启动器或保险库)   客户    
PAM-秘密-003 所有可用的属性均已在机密信息上设置(资产标签,资产名称,环境等)。   钟PAM-IT /网络    
PAM-秘密-004 用户可以使用Web GUI在一个登录会话中启动多个秘密   客户    
PAM-秘密-005 用户可以签出  / check in secrets   客户    
             
SSH终端 PAM-SSH-001 以ssh用户身份登录SSH终端并运行命令cat 测试命令可用 syntax : cat [secret_id] [-id secret_id] [-comment view_comment]
       [-commentroving_request_reason] [-ticket ticket_number]
       [-ticketsystemid ticket_system_id]
客户    
PAM-SSH-002 使用SecureCRT,多次登录SS SSH终端并启动多个机密 使用SecureCRT,登录到SS SSH终端,启动密码。使用SecureCRT,再次登录到SS SSH终端,然后启动另一个密码。每次登录必须输入2FA。 客户    
PAM-SSH-003 使用SecureCRT,登录到SS SSH终端,然后多次克隆会话 使用SecureCRT,登录到SS SSH终端,然后通过右键单击连接的会话并选择“克隆会话”来克隆会话。  Clone the  session again. 测试键入和命令在每个会话中是否独立运行。无需再次输入2FA。 客户    
PAM-SSH-004 以ssh用户身份登录SSH终端并运行命令启动 测试命令可用  语法:启动[secret_id] [-id secret_id] [-machine machine_name]
       [-comment view_comment] [-comment approval_request_reason]
       [-ticket ticket_number][-ticketsystemid ticket_system_id]
客户    
PAM-SSH-005 以ssh用户身份登录SSH终端并运行命令man 测试命令可用 syntax :  man [command_name] 客户    
PAM-SSH-006 以ssh用户身份登录SSH终端并运行命令搜索 测试命令可用 syntax :   搜索[-st search_text] [-sf search_field]
       [-跳过skip_results] [-获取max_results]
       [-fav -favorites scope_favorites] [-recent scope_recent]
       [-f folder_id] [-t secret_template_id]
       [-r ignore_restricted] [-s ignore_subfolders]
客户    
PAM-SSH-007 以ssh用户身份登录SSH终端并运行命令exit 退出命令-退出此终端会话 客户    
PAM-SSH-008 使用SecureCRT启动多个SSH终端会话 能够发起多个新会话 客户    
PAM-SSH-009 克隆SecureCRT会话 右键单击连接的会话,选择“克隆会话” 客户    
PAM-SSH-010 使用SecureCRT启动多个SSH终端会话   客户    
             
会话记录 PAM-REC-001 基于安全指令,仅对作用域中的机密启用了会话记录和按键   钟PAM-IT /网络    
             
密码轮换 PAM-PR-001 设置时,密码可以手动或自动旋转   钟PAM-IT /网络    
PAM-PR-002 通过依赖项管理器同时旋转设置有依赖项的机密   钟PAM-IT /网络    
             
SSH密钥管理 PAM密钥-001 SSH密钥身份验证可在所有启动器中与启动器一起使用   客户    
PAM键-002 SSH密钥身份验证可与ssh终端一起使用   客户    
PAM键003 用于加密/解密私钥的密码短语   客户    
             
审批工作流程            
           
           
           
           
           
             
发现            
           
           
           
           
           

 


回复引用
分享: