CA PAM PREGA 3.

PreGA ca privilegiado acceso gestor 3.2 diferencias formación

Contenido

1) actualización de la mesa de servicio

2) CLI de PAM: activación del proxy de Windows

3) PAM RDP CLIENT - ADELANTE SECRETO

4) LINK ACCESS LOG CON REQUEST LOG

5) AUDIS APIS

6) CLI DE PAM - FILTRACIÓN BASADA EN EL TIEMPO DE LAS SOLICITUDES DE VISTA DE

CONTRASEÑA

7) GESTIÓN DE CREDENCIALES - IBM I (ANTES COMO AS / 400)

8) SOPORTE MÓVIL PARA EL REGISTRO / SALIDA DE CONTRASEÑA Y VISUALIZACIÓN

9) FACILIDAD DE REGISTRO DE IU

10) PAM EN AZURE

SERVICIO DE MESA

Actualización de las plataformas soportadas

El componente NIM ACTUALIZADO agrega nueva compatibilidad con la versión de la mesa de
servicio

- reemplaza RSA_BSafe con el kernel de seguridad validado por FIPS de castillo inflable

- Funciona con BMC remedy 9.1 (dependencia de Java 8)

- Se actualiza la matriz de soporte de CA PAM.

- No hay comportamiento funcional PAM agregado desde la actualización de NIM

registros de la mesa de servicio d / i ahora disponible

* Los registros se descargan ahora para ayudar a solucionar problemas

* el archivo de registro de la mesa de servicio de registros se guarda en la computadora de

acceso del cliente local

* todas las descargas de registros sugieren asistencia del soporte de CA

PAM CLI

activación del proxy de Windows

activar el proxy de Windows usando el CLI de PAM

¿Qué es?

* Windows Proxy se utiliza para la gestión de credenciales y el descubrimiento de cuentas,

servicios y tareas de Windows.

- Se instala por separado del dispositivo en Windows Host.

- utilizado con Windows Proxy y tipos de aplicaciones de directorio activo

- Windows tipo de ofertas remotas y alternativa "sin agente".

* Windows proxies ..

- se agregan automáticamente a PAM cuando se inician

- debe estar "activado", lo que significa que se aprobó

- se conocen como "agentes" para distinguirlos de los clientes A2A

Active el proxy de Windows usando el CLI de PAM

¿Cómo se activan los proxies utilizando la interfaz web?

* Automáticamente

- basado en reglas configuradas por el usuario

- la dirección IP del proxy debe pertenecer a una subred especificada

Active el proxy de Windows usando el CLI de PAM

¿Cómo se activan los proxies utilizando la interfaz web?

* Manualmente

- El administrador revisa un registro proxy individual

- Comprueba la bandera "activa" para dar una aprobación explícita para operar
Active el proxy de Windows usando el CLI de PAM

¿Cómo funciona la activación usando el CLI?

* usar el comando "agente de actualización"

- Utilice el comando "agente de búsqueda" para encontrar el ID de agente

- Utilice el comando "Agregar servidor de solicitud" para agregar proxies

* "servidor de solicitud" se refiere tanto a proxies / agentes como a clientes A2A

* se puede agregar en un estado activado

- El agente de actualización está disponible a través de la API de administración de Java.

Active el proxy de Windows usando el CLI de PAM

RESUMEN

* Los proxies de WINDOWS

- se conocen como "agentes" y son una especie de "servidor de solicitud"

- debe ser activado antes de que puedan ser utilizados por PAM

- tener un estado de activación indicado por el "fleg activo"

* Hay cuatro métodos para configurar la "bandera activa"

- GUI - automáticamente mediante la configuración de reglas basadas en IP

- GUI - manualmente configurando registros proxy individuales

- CLI - usando el comando "agente de actualización"

- API de administración de java - usando el comando del agente de actualización

Cliente PAM RDP

secreto hacia adelante

secreto hacia adelante para el cliente PAM RDP

¿Qué es?

* cada TLS / SSH está protegido por una clave única

* el compromiso de una sesión o la clave privada del servidor no compromete ninguna otra
sesión

* los proveedores están eliminando la prioridad de los métodos heredados que no admiten el
secreto hacia adelante

- Algunos métodos heredados son propensos a vulnerabilidades, ataques.

- Se anima a los clientes a migrar por los resultados de la auditoría.

- Disponibilidad de alternativas mejores y más seguras.

secreto hacia adelante para el cliente PAM RDP

como lo reconozco

* implementado en una "suite de cifrado"

- Los métodos de intercambio de claves proporcionan un secreto a futuro.

- DHE, ECDHE

-Método de autenticación (firma digital).

- RSA, ECDSA

- Método de cifrado que incluye el modo y la longitud de la clave.

- AES-CBC, AES-GCM, de 128 y 256 bits

- Método de hash

- SHA-256, SHA-384
Secreto hacia adelante para el cliente PAM RDP

nuevo soporte para dos conjuntos de cifrado TLS 1.2 de alta prioridad

* TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

* TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

- El modo FIPS aplica la curva P-384 aprobada por el NIST (secp384r1)

- Otras curvas disponibles a través de la configuración de la política de Windows 2016.

- A veces el nombre de la curva (P384) se incluye en el conjunto de cifrado

* Probado con versiones de windows:

- Windows Server 2008 R2 / Windows 7

- Windows Server 2012 R2 / Windows 8.1

- Windows Server 2016 / Windows 10

Secreto hacia adelante para el cliente PAM RDP

métodos de intercambio clave

* DHE

- Diffie efímero - Hellman Key Exchange

- Proporciona secreto hacia adelante

- estándar - generación de claves de rendimiento

- estándar - generación de claves de rendimiento

* ECDHE

- Curva elíptica DHE

- Proporciona secreto hacia adelante

- Generación de claves de alto rendimiento.

Secreto hacia adelante para el cliente PAM RDP

métodos de autenticación

* RSA

- método de autenticación heredado

- ampliamente adoptado

- rendimiento estándar

* ECDSA

- recomendado para "compatibilidad moderna"

- tasa de adopción lenta, pero se espera que aumente con el tiempo

- mayor rendimiento del lado del servidor; mayor rendimiento

Secreto hacia adelante para el cliente PAM RDP

Métodos de cifrado y hash

* Método de encriptación AES-GCM

- El mejor rendimiento para alto tráfico de ancho de banda

- Sucesor del modo AES-CBC heredado.

* tiene implementaciones que son propensas a vulnerabilidades

* el soporte se cayó en TLS 1.3

- Longitudes de clave de 128 y 256 bits.

* Métodos de hash SHA-2

- sha-256 y SHA-384
Secreto hacia adelante para el cliente PAM RDP

RESUMEN

* Los clientes y vendedores son ..

- Migrar lejos de métodos heredados vulnerables.

-Buscando alternativas de mejor desempeño.

* PAM sigue el ritmo de la evolución de la criptografía.

- agregando soporte para nuevas y mejoradas suites de cifrado

* PAM está listo

- Los clientes pueden hacer la transición a su propio ritmo.

- los métodos heredados siguen siendo compatibles

campos adicionales en los registros

para vincular auditoria y solicitud logs

* "cuenta de destino" y "ID de solicitud de vista de contraseña" agregadas a los registros. Solo
cuenta de destino agregada a la interfaz de usuario.

* Nuevos campos incluidos en CSV y exportación de bases de datos.

* DB script está disponible en 3.2 para nuevos campos

API de negocios

para auditoria y reportes

API de negocios

dos nuevas operaciones de auditoría ahora forman parte del administrador de acceso
privilegiado de CA. API externa.

Puede usar estas operaciones de auditoría para monitorear la actividad en su organización y

mitigar el riesgo. Solo el método GET está disponible con esta API.

Las dos nuevas operaciones son:

* GET / cspm / ext / rest / devices / {id} / políticas: se muestran todas las políticas para el
dispositivo, incluidas las políticas para los grupos de dispositivos que contienen el dispositivo.

* GET / cspm / ext / rest / users / {id} / políticas: se muestran todas las políticas para el
usuario, incluidas las políticas para los grupos de usuarios que contienen al usuario.
PAM CLI

filtrado de contraseñas basado en el tiempo

ver solicitudes
Filtre las solicitudes de visualización de contraseñas utilizando PAM CLI

¿Qué es?

* Los registros de solicitud de vista de contraseña (PVR) se crean cuando ...

- el usuario ve una credencial utilizando la interfaz web de PAM

-la credencial se recupera de la bóveda a través del comando "Ver contraseña de cuenta"
mediante CLI o la API de administración de java

* Ver la credencial activa el flujo de trabajo

- El comportamiento depende de la política de contraseña de la cuenta (PVP)

* doble autorización, check-in / check-out, cambio en la vista, etc.

- Cada PVR tiene un tiempo de inicio y fin.

Filtre las solicitudes de visualización de contraseñas utilizando PAM CLI

¿Cómo recuperar una lista filtrada de PVRs?

* usando la interfaz web

Filtre las solicitudes de visualización de contraseñas utilizando PAM CLI

¿Cómo recuperar una lista filtrada de PVRs?

* usando el comando de solicitud de vista de contraseña de búsqueda

- El inicio del período de solicitud y el final de período de solicitud son parámetros nuevos

* habilitar el filtrado como es posible a través de la interfaz web

- disponible a través de la CLI y la API de administración de Java

Filtre las solicitudes de visualización de contraseñas utilizando PAM CLI

resumen

* registros de solicitud de vista de apssword ...

- se crean cuando se ve la credencial (liberada desde la bóveda)

- tener una fecha y hora de inicio y finalización

- Se puede filtrar utilizando las interfaces web, CLI y API de administración de Java.
gestión de credenciales

IBM i (anteriormente como / 400)

gestión segura de las credenciales de IBM i

¿Qué es?

* "IBM i" es un sistema operativo ..

- anteriormente conocido como OS / 400 que se ejecutaba en sistemas AS / 400

- ahora compatible con los sistemas de potencia de IBM y los sistemas puros de IBM

- Tiene una versión actual 7.3 con fecha de abril 15,2016.

* el tipo de aplicación "AS / 400" en PAM ...

- no soporta comunicaciones seguras con el host

- utilizó una biblioteca de comunicaciones de terceros obsoleta

- carecía de soporte para los últimos lanzamientos de IBM i

- Tenía nombres inconsistentes y obsoletos

gestión segura de las credenciales de IBM i

introduciendo el tipo de aplicación "IBM i"

* reemplaza el tipo de aplicación "AS / 400"

- Basado en mejoras al conector objetivo preexistente

* Compatible con las modernas suites de cifrado TLS 1.2.

- adelante secreto, AES-GCM, SHA-2

- Criptografía de curva elíptica compatible con FIPS de ALTO rendimiento

- ECDHE_ECDSA_AES_128_GCM_SHA256 (secp256r1)

- ECDHE_ECDSA_AES_256_GCM_SHA384 (secp384r1)

_ECDHE_RSA_AES_128_GCM_SHA256 (secp256r1)

_ECDHE_RSA_AES_256_gcm_sha384 (secp384r1)
gestión segura de las credenciales de IBM i

método de integración

* utiliza la biblioteca "JTOpen"

- open - versión de código fuente de la caja de herramientas de IBM para Java

- Versión 9.4 del 22 de septiembre de 2017.

* Requisitos de puerto TCP / IP:

- comunicaciones con el servicio de comando remoto (as-rmtcmd)

- TCP 8475 (no SSL / TLS)

- TCP 9475 (SSL / TLS)

gestión segura de las credenciales de IBM i

versiones soportadas

* JTOpen

- soporte de reclamaciones para OS / 400, i5 / OS e IBM i 7.1, 7.2 y 7.3

- El host de destino de IBM i debe estar en los niveles del arreglo temporal del programa (PTF):

- V7R3: SI65622

- V7R2: SI65619

- V7R1: SI65613

* Hemos probado ..

- IBM i 7.2 (V7R2) con PTF SI65619

gestión segura de las credenciales de IBM i

Configurando una aplicación "IBM i" usando la interfaz web

alternar bandera de comunicaciones seguras

haga clic para descargar e inspeccionar la cadena de certificados codificada PEM

TLS está habilitado por defecto para nuevos registros y deshabilitado para registros existentes

Elija el nuevo tipo "IBM i"

gestión segura de las credenciales de IBM i

Configurando una cuenta "IBM i" usando la interfaz web

configura la "cuenta maestra" si lo deseas

gestión segura de las credenciales de IBM i

agregando una aplicación "IBM i" usando la CLI

- configurar la bandera de comunicaciones seguras

- Basado en la cadena de certificados codificados en 64

- el tipo de extensión sigue siendo "AS / 400" para la compatibilidad hacia atrás

* AGREGAR / actualizar también es posible usando el administrador de Java AIP

gestión segura de las credenciales de IBM i

agregando una cuenta "IBM i" usando el CLI

se refiere a la aplicación de destino que creamos anteriormente

configura la "cuenta maestra" deseada

* Agregar / actualizar también es posible usando la API de administración de java

gestión segura de las credenciales de IBM i

resumen

* El tipo de aplicación "IBM i" reemplaza el tipo "AS / 400"

-CLI compatibilidad con versiones anteriores con el tipo de extensión AS400

* soporta comunicaciones seguras con hosts IBM i

- Modernas suites de cifrado TLS 1.2 y características criptográficas

- habilitado por defecto para nuevos registros

- use la interfaz web, la CLI o la API de administración de java para habilitar

- la cadena de certificados del servidor es de confianza por defecto

- Se puede descargar, inspeccionar e instalar manualmente

Registro de la interfaz de usuario
Registro de la interfaz de usuario

* uso: solución de problemas de la interfaz de usuario

* 3 niveles de registro: información, error, depuración

* caracteristicas:

- purga automática

- filtrado en la interfaz de usuario

- Posibilidad de descargar a csv

Configuración de registro de la interfaz de usuario

habilitar el registro de la interfaz de usuario

Usuario de registro de interfaz de usuario

nivel de registro

intervalo de purga de registro (horas)

período de retención de la purga de registro (días)

entradas de registro
móvil: contraseña

check in / out y ver

iniciar sesión iphone x
información del usuario cambio de contraseña
información del usuario cambio de contraseña
soporte móvil: ayuda
soporte móvil: en contexto ayuda

Página de acceso de usuario móvil:

gestor de acceso privilegiado ca - 3.2: página de acceso de usuario móvil

este tema solo se aplica a los usuarios que inician sesión desde un navegador en un dispositivo
móvil.

La página de acceso de usuarios móviles proporciona una interfaz simplificada para ver las
contraseñas, listando las cuentas de destino permitidas (de aplicaciones de destino
mantenidas en un dispositivo de administrador de acceso privilegiado de CA)

después de iniciar sesión, aparecerá una página con columnas para el nombre del dispositivo,
la dirección, el sistema operativo y las aplicaciones de destino. Si su administrador ha provisto
dispositivos y le ha asignado una política (o su grupo de usuarios), es posible que tenga varias
filas, por ejemplo. Por ejemplo, es posible que tenga dispositivos llamados "RH3", "Win2k" y
"WS2".
Página de acceso: lista
aplicación de destino: elegir cuenta
mostrar contraseña
página de acceso: cuenta de autorización dual
doble autorización: solicitar contraseña
doble autorizacion: pendiente
autorización dual: mostrar contraseña
pago de cuenta
registro de cuenta en
azur

PAM en AZURE
Preguntas frecuentes de Azure

* ¿Qué es el alcance IN?

- Aplicación de PAM en azure como máquina virtual.

- Consola de administración PAM en Azure como máquina virtual.

- Soporte de almacenamiento (CIFS / NFS) para grabación de sesión y copia de seguridad de

base de datos

- Azure AD como IdP (SAML)

- Importar máquinas virtuales de Azure

Preguntas frecuentes de Azure

* ¿Cómo tendrán acceso los clientes?

- descargue el archivo VHD de support.ca.com y cárguelo en azure

- similar a VMware / OVAs

- diferente a AWS / AMIs que requieren número de cuenta.

* ¿Cómo configuro PAM en Azure?

- después de cargar el archivo VHD, la configuración es similar a PAM en AWS

- configuración / 3 partes / azure y cuenta de destino / aplicación

configuración azul
cuenta objetivo azul
máquinas virtuales de importación de Azure y actualización manual del dispositivo
dispositivo de importación azul VM
Azure como actualización de usuario de IdP (Manual)
usuario de SAML JIT azul