Professional Documents
Culture Documents
在本会议结束时,您将能够:
• 描述Vault模型
• 描述一下什么是保险箱
• 描述设计安全模型的关键标准
议程 • 描述基本的访问控制概念和安全权限
Safes创建和管理
• 添加安全成员,并为其分配权限
• 什么是安全的
• 查看保险箱
• 然后你用你的钥匙进入你的保险 保险箱 授权
箱
• 然后你就可以访问盒子
里的所有东西了
密码 政策
• 网络方舟通过在保险箱中存储
特权身份来管理访问控制,只
允许授权用户访问
• 用户对保险箱的访问通常适用于
该保险箱内的所有对象(密码)
• 保险库和网络柜组件有保险箱来存
储他们的数据和文件
可以手动创建或手动创建
通过编程方式(例如,通过REST AP
I)
PVWA
隐私柜客户端
保险库文件系统
7
• 没有一个通用的“安全模型”适合所有的网络方舟
实现
• 定义一个安全的模型是一个单独的、特定于实现的过
程,最好在规划阶段中定义
• 客户通常与实现团队一起工作,在实现期间创建安全模
型
存储在保险库中的数据的安
葹 ,信息、生产、开发、测试等。
全级别是多少?
谁不能看到特定类型的 是否有任何类型的数据需要面向某些用户,而不
数据? 是其他用户?
是否应该适用于额外的访问限
制 多个中央策略管理器、系统负载、法规
(具体)对象?
10
• 对于基于波士顿数据中心运行Windows的人
力资源生产服务器上的本地管理帐户:
P-BOS-SRV-WIN-LAD-HR
• 对于运行Linux的纽约数据中心中的财务部
门测试服务器:
T-nyc-srv-lin鳍
11
• 这包括不同版本的密码
• 存储在保险箱中的帐户
或文件的建议数量在3
000-5000个之间
12
14
单独的保险箱:
– 窗口桌面帐户
– 窗口本地管理员
– 窗口域帐户
PVWA使安全的结构
对终端用户来说基本上是不可见的,
15
所以不要为了他们而过于简化
版权所有: 2021网络方舟软件有限公司。保留所有权利。 cyberark.com
• ACME公司希望在网络方舟上加入以下账户:
-50个Windows服务器本地管理帐户
-10个Oracle系统管理员帐户
• 10个Windows服务器托管Oracle数据库
(40个Windows服务器不托管Oracle数
据库)。
• Windows团队需要能够访问所有Windows服务
器的本地管理帐户
• Oracle团队需要能够访问托管Oracle数据库和
样例 Oracle数据库登录帐户(系统管理员)的Win
dows服务器上的所有本地管理帐户
ACME公司
你将创建多少个保险箱?
哪个团队将访问哪些保险箱? 16
赢得服务
40
50个窗口
服务器帐户 窗口团队
10 温斯尔沃拉
10个系统管理 10
DB-ORA Oracle团队
员帐户
17
18
保险箱
19
20
• 具有使用帐户和列表帐户权限的用户
可以使用安全箱中的帐户通过PSM登
录到远程计算机
关系
• 具有检索帐户和列表帐户权限的
用户可以查看帐户密码并复制它
21
– 重命名帐户
– 删除帐户
– 解锁帐户
22
• 具有“管理安全成员”权限的用户可
以向中添加或删除其中的用户和组,
包括Vault用户和外部LDAP用户
保险箱和指定其安全授权
23
• 拥有未经确认权限的访问安全的用户
可以在没有确认的情况下访问安全(
即使启用了双控制)。
24
赢得服务
温斯尔沃拉
DB-ORA
25
• 私人方舟客户
-所有者列表
– 文件夹
• PVWA
– 成员列表
-帐户
26
27
28
29
其他注意事项:
• 安全名称不能超过28个字
符
• 不建议使用对象级访问控
制 30
31
• 除主用户外,可以修改所有用户的权限
32
• 这将有助于提高CPM的性能和
简化管理任务 34
35
设计一个安全的模型的关键标准
基本的访问控制概念和安全权限
如何创建和管理安全文件如何添加安
全成员并为他们分配安全权限
保护窗口域帐户
• 安全管理,创建一个
安全的,添加安全的
成员
练习 37