论坛

安全政策
 
通知事项
全部清除

安全政策  


网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
11/12/2020 2:16下午  

BellPAM角色

以下是在BellPAM中具有关联权限的Bell角色

传说
G 已授予
V 视图
A 管理
无限 管理员
(配置) 
无限 管理员
(采用) 
基本的
用户 

 Manage
机密


用户  
系统
管理员s
 
 安全
管理员
审核员  研究者  角色权限
 (no AD group)  (no AD group)  AD group =
BellPAM-BasicUser
   AD group =
BellPAM超级用户
 AD group =
BellPAM-???
   (No AD group)

 AD group =
(待创建)

 
  G       G       离线访问  机密 on Mobile
  G    G   G       添加秘密
  G       G       添加秘密 Custom Audit
  A       A       查看/管理 活动目录
  A       A       查看/  管理 Backup
  G       G       管理  - 组态
  G       G       管理 - 组态 Proxying
  G       G       管理 - 组态 SAML
  G       G       管理 - 组态 Securty
  G       G       管理 - 组态 Session Recording
  G       G       管理 - 配置二因素
 A                 管理 - 组态 无限 管理员
  G       G       管理 - ConnectWise Integration
  G       G       管理 -创建应用程序帐户
  G       G       管理员- Create 用户
  G       G       管理 -自定义密码要求
  A       A       查看/管理 Discovery
  A       A       查看/管理分布式引擎 Configuration
  A       A       查看/管理双重锁定键
  A       A       查看/管理 Dual Control
  A       A       查看/管理事件订阅
  A       A       查看/管理 Export
  A       A       查看/Adminster Folder
  A       A       查看/管理 Groups
  A       A       查看/管理 HSM
  A       A       查看/管理员IP地址
  A       A       查看/管理 Key 管理ment
  G       G       管理 Languages
  A       A       查看/Adminster Licenses
  A       A       查看/管理 没有des
  A       A       查看/管理员密码 Requirements
  A       A       查看/管理 Remote Password Changing
  A       A       查看/管理 Reports
  G       G       管理 Role Assignemnt
  G       G       管理 Role Permissions
  A       A       查看/管理 Scripts
  A       A       查看/管理员搜索索引器
  A       A       查看/管理 Secret 政策
  A       A       查看/管理员机密模板
  A       A       查看/管理 安全 Analytics
  A       A       查看/管理 Session Monitoring
  A       A       查看/管理 SSH Menues
  A       A       查看/管理 系统 Log
  G       G       管理 模板自定义列
  A       A       查看/管理 豆科 One
  G       A       查看/管理 用户s
  G       G       高级 Import
  G  
    G       允许访问 Challenge
  G       G       分配秘密 Policy
  G       G       绕过SAML Login
  G       G       复制秘密
  G       G       创建根 Folders
  G    G   G       删除秘密
  G       G       删除秘密 from Reports
  G    G   G       编辑秘密
  G       G       从报告中消除秘密
  G       G       强制签入
  G       G       自己的团体
  G       G       自己的秘密
  G       G       自己的用户
  G               个人 Folders
  G               权限管理员管理员
  G               权限管理员帮助台用户
  G               权限管理器MacOS 管理员
  G               权限管理员用户
  G               权限管理器Windows管理员
  G       G       旋转 Encryption Keys
  G               无限 Administrator
  G       G       用户审核 Expire 机密
  G               Web服务模拟
  G  G     G      G 查看关于
  G   G     G      G 查看高级 Dashboard
  G       G       查看高级机密选项
  G       G       视图 组态
  G       G        查看组角色
  G G     G       查看启动器密码
  G       G       查看角色
  G G     G       查看秘密
  G       G       查看秘密审核
  G       G       查看安全加固报告
                G  查看会话监控
  G     G G     G  查看会议记录
  G        G       视图 用户审核 Report

 


引用
主题标签
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
11/12/2020 2:18下午  

研究者角色

  • 这是角色需要的5个权限。

 

  • 将调查者用户(或具有调查者角色的任何用户名)添加到父文件夹(或子文件夹(如果它们不继承权限)),为用户提供查看权限。 
  • 进行此设置后,该用户将无法查看任何机密(可以看到其名称,但实际上无法查看它们),并且可以查看其记录的会话。
  • 这就是角色所允许的。
  • (警告) 确保删除分配给所有新用户的默认用户角色,并且仅分配有调查者角色。

有待确定

-就建议的工作流程而言,取决于您对会话记录的敏感程度,应具有1或2个步骤

批准。这些批准组中的人员不应承担相同的责任。换句话说,最好有一位董事/经理

-作为第一步,然后可能是主管或高级职位作为第二步。

认证要求主要适用于用户访问。并非所有团体都需要认证。

BellPAM组是需要定期认证的组,因为它们可以访问BellPAM文件夹。任何后端AD组或本地Windows / Unix / 的Linux / else组均不需要认证,因为它们仅附加到BellPAM所利用的BellPAM帐户,以连接到资产。

 

 BellPAM组(文件夹)的当前认证频率为3个月。

资质认证

在BARS中不应要求后端组。因此,它们不能分配给以人命名/主要帐户。
 

1)     无论授权级别如何,都只能将一个模板应用于PAM帐户。 (例如:RO,RW应该应用相同的模板)

2)     该策略因帐户类型而异。 (交互式PAM帐户[共享ID,火灾ID]非交互式PAM帐户[功能ID,服务ID,批次ID])

3)     该策略基于启动器是否可用。

4)     每次使用后都必须旋转所有可见的密码。

5)      The policy 基于密码管理是通过Secret Server完成还是由管理团队手动完成。

6)     在技​​术限制的情况下,可能需要针对任何所需例外的自定义策略。任何例外在实施之前都需要获得CorpSec的批准,并且必须提交给企业GRC。例外情况将根据具体情况进行审查。

矩阵:

情境 PAM帐户(交互式) PAM帐户(非交互式)
启动器可用/ SS旋转密码 每次使用后/ 30天(以先到者为准) 365天
启动器可用/ SS未旋转密码 90天/隐藏密码 365天
启动器不可用/ SS旋转了密码 每次使用后/ 30天(以先到者为准) 365天
启动器不可用/ SS未旋转密码 每90天 365天
Custom 政策 CorpSec进行审查

                                                  

 

 

个人文件夹将不会作为Thycotic SS的一部分显示。

 

2020年4月与ICSynergy讨论的笔记

 杰弗里·雅培<[电子邮件 protected]>

在工作会议中,我们简要讨论了个人文件夹以及与之相关的风险。我在下面整理了一份简短清单供您审核。

允许最终用户通过不将个人数据限制为仅由组织拥有的数据来存储个人数据的能力,可以通过以下方式使Bell面临风险:

  • 无限管理员将有权查看个人数据。尽管您可以审核访问,但这仅是事后信息控制或警报。
  • 由于用户将无法访问其个人信息,因此任何停机时间都可能带来财务风险。这打开了对组织的访问的期望,该期望不是特定于业务的,并且可能未遵守。
  • 如果您要在系统中存储解雇的员工的个人信息,则需要一个安全的个人信息导出过程。这将使组织有责任寻找一种安全的出口方法,并了解贝尔可能不会了解的处理个人信息的所有法律后果。 具备当前处理能力。
  • 将需要进行自定义设置,以防止用户在自己的个人文件夹中共享机密信息,这些信息可能被利用来进行网络钓鱼,欺诈或利用用户行为。
  • 向个人文件夹添加机密需要“添加机密”权限,这通常会增加角色和访问组的复杂性。

简而言之,最终用户可以在系统中存储他们想要的任何信息,并且可以使您了解 任何 在照顾和访问其数据方面有合理的期望。

建议

贝尔不应允许在Secret Server中访问个人文件夹,因为只有组织拥有的信息才应存储在其系统中。公司政策可以指示用户不要添加个人信息,但是没有技术控制可确保遵守此政策。

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
11/12/2020 2:20下午  
 

priv的范围。对于BellPAM

 

 

技术 包含  HSPII information 访问  Type 帐户  Required in PAM
活动目录 没有 域  管理员
活动目录 没有 架构管理员
活动目录 没有 管理员s
活动目录 没有 备份管理员
活动目录 没有 DNS管理员
活动目录 没有 帐户Operators 没有
活动目录 没有 GPO管理员
活动目录 没有 重设密码 没有
活动目录 没有 Comp_Mgmt 没有
活动目录 没有 企业管理员
活动目录 备份操作员组(域级别)
活动目录 是or 没有 帐户operator group 
活动目录 是or 没有 DNS管理员组
活动目录 是or 没有 事件日志阅读器组
活动目录 是or 没有 组策略创建者所有者组
活动目录 是or 没有 网络 组态 Operators group   (domain)
活动目录 是or 没有 远程桌面用户组(domain   level)
活动目录 是or 没有 服务器操作员组
应用服务器 管理员s
应用服务器 没有 管理员s
应用服务器 批量导出数据
应用服务器 没有 批量导出数据 没有
应用服务器 访问HSPII数据 没有
数据库服务器 数据库管理员
数据库服务器 没有 数据库管理员
数据库服务器 对数据库的写访问
数据库服务器 没有 对数据库的写访问
数据库服务器 对数据库的读取权限
数据库服务器 没有 对数据库的读取权限 没有
的Linux服务器 根 
的Linux服务器 没有 根 
中间件 是or 没有 Exchange管理员帐户
中间件 是or 没有 SCCM管理帐户
中间件 是  要么 没有 赛门铁克  managment accounts
中间件 是  要么 没有 MCAfee IPS管理帐户
中间件 是  要么 没有 IVR 数据库管理帐户
中间件 是or 没有 病毒软件管理帐户
中间件 是or 没有 数据库(SQL,Oracle)管理  accounts
中间件 是or 没有 备份解决方案管理员
中间件 是or 没有 SAN / 不适用S管理员
中间件 是or 没有 共享点管理员
中间件 是or 没有 Tivoli 管理员s
不适用 自动化帐户
不适用 没有 自动化帐户
不适用 FireID
不适用 没有 FireID
不适用 功能ID
不适用 RPA
不适用 没有 RPA
不适用 共享身份
不适用  没有 功能ID
不适用  没有 共享身份
网络元素 没有 管理员
网络元素 没有 写访问
社交媒体 没有 公司账户
社交媒体 没有 个人帐户(包括人才帐户) 没有
视窗Server 管理员s
视窗Server 没有 管理员s
视窗Server 超级用户
视窗Server 没有 超级用户 没有
视窗Server 备份操作员
视窗Server 没有 备份操作员 没有
视窗Server 备份操作员组(本地计算机)
视窗Server 没有 备份操作员组(本地计算机) 没有
视窗Server 是or 没有 备份操作员组
视窗Server 事件日志阅读器组(本地计算机)
视窗Server 是or 没有 网络 组态 Operators group   (local) 没有
视窗  Server 远程桌面用户组  (local computer)
 
 
 
 
 

2020年7月3日(星期五)在管理PAM会议上讨论并批准了Sessin超时和并发会话策略。更改于2020年7月23日发生。

 

  • Web GUI
    • 同期会议:1
    • 不活动超时: 1 hour
  • SSH终端和SSH代理
    • 同期会议:无限制
    • 闲置超时:8小时
 
 

第三方访问

定义:

  • 第三方:外部公司未动态共享可为其使用的身份列表以支持Bell活动。
  • 伙伴:外部公司动态共享身份列表,以供他们使用以支持Bell活动. 合作伙伴对BellPAM的访问权限将以与员工相同的方式进行管理。
  • 身分识别:给定的身份由一组有限的属性(属性值)组成,这些属性记录有关实体的信息,在我们的情况下,大多数情况下是人类。 Bell的身份是在不同的系统中创建的(例如:SAP,IDMS),或者通过动态提要或合作伙伴的联合身份验证服务导入的,并存储在中央存储库中(例如:MIMS,企业目录)。从PAM角度来看,身份的生命周期方面对于将第三方访问视为合作伙伴至关重要。

ThirdPartyAccessBellPAM.vsdx

 选项1:一直受监督

  • 贝尔或合作伙伴必须通过外部流程对第三方进行身份验证(没有BellPAM)
  • 贝尔或合伙人从BellPAM中获取第三方的秘密
  • 贝尔或合作伙伴概述第三方的每个命令或操作

选项2:第三方在不受监管的情况下访问Bell网络,然后访问BellPAM

  • 第三方可能已经有连接到Bell 网络的方法,然后是BellPAM
  • 由于我们无法管理其身份,因此需要贝尔或负责访问的合作伙伴(在BellPAM中)批准。

选项3:第三方需要获得批准才能访问Bell 网络,然后在没有监管的情况下访问BellPAM

  • 第三方需要批准或凭证才能连接到贝尔网络(BellPAM的外部过程)
  • 由于我们不管理其身份(包括生命周期),因此仍然需要贝尔或负责访问的合作伙伴(在BellPAM中)批准。

例外程序 

  • 如果业务部门想要升级,将采取例外流程

 


回复引用
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
2020/11/12下午2:21  

用户生命周期

 

木匠

看到 用户入职

 


移动器

目前,当用户从某个位置移动到企业中的另一个位置时,无法自动删除BellPAM中的访问权限。我们依靠以下定期或手动过程。

  • 通过BARS进行的访问的定期认证;
  • 手动请求删除访问权限;

离开者 

由于通过AD组管理对文件夹的访问,因此我们依赖Active Directory离开者流程 for the leaver. 酒吧Wiki 已记录 这些过程

 

视频录制 requirements

 

 

会话记录是BellPAM中的一项许可功能。使用启动器,BellPAM在用户录制的会话期间在客户端计算机上捕获了每秒的屏幕截图。用户屏幕上的这些图像被编译成一个视频,可以下载和回放该视频以进行审核和安全目的。

  • 对PAM用户进行录像没有严格的法律要求。
    • 唯一的法律要求可能是告知用户他们已被记录或可能被记录在案
  • 存储录音需要一定的费用
    • 1个节点专用会话记录工作者
    • 每天需要记录400小时
    • 每天27GB

 

因此我们 trying to limit what is videorecorded to 什么 adds the most value

IAM治理委员会批准的标准2020年1月

对于初始部署,我们建议以下条件:
  • 允许访问PCI信息的任何秘密
  • 允许访问面向外部资源的修改HSPII数据的任何秘密
  • 允许访问面向外部资源的批量导出HSPII数据的任何秘密

尽管这些标准似乎很有限,但它们将允许:

  • 评估扩大范围的成本
  • 评估记录对性能的影响
  • 开发记录内部流程和安全控制措施
    • 谁可以查看/提取视频记录(例如法医调查员)?
    • 访问视频记录是否需要管理批准工作流程?
    • What is the retention schedule and under 什么 conditions can they be deleted?

未来可能的标准

  • 当存在符合审计日志要求的空白时
    • 例如。所需的用户信息或操作未记录在活动日志中。
  • 在执行用户特权或权限时
    • 例如。不可能进行只读访问,因此授予了完全访问权限
    • 例如。无法限制用户执行tcpdump

当用户的信任级别较低(即较高的风险)时

  • 例如。供应商,业务合作伙伴,承包商

 


按键录音 

可以记录击键,但有局限性:

  1. SSH的击键记录是无代理的
  2. Windows系统的按键记录需要在目标系统上安装代理 

 


视频录制 files

视频录制 文件存储在BellPAM服务器上。命名约定如下。

1074_16_30062020132901_21757.webm = 用户ID_SecretID_ddMMyyyyHHmmss_auditSecretID.webm

 

 


回复引用
分享: