Olá a todos
Sou Tiago Toledo, aka Tiago Bigode, o objetivo desse curso é mostrar como instalo e configuro meu laboratório de PAM:
- Passo a passo como as máquinas virtuais são criadas;
- Passo a passo como instalar o EPV|PVWA|CPM|PSM;
- Passo a passo das configurações no CyberArk PAM;
As instalações e configurações são para ambiente de laboratório. Além do vídeo, terá acesso a um documento exclusivo.
Quem é Tiago Toledo: https://www.linkedin.com/in/tiagotoledofaria/
Versão utilizada:
- Version 13.0.0 (13.0.0.13)
MAIS DETALHES
https://tiagobigode.com.br/curso-cybera ... boratório/
POR QUE DESSE CURSO?
Por motivos diversos acabo criando e recriando o ambiente e as vezes:
Esqueço de colocar o usuário no grupo X;
Não loguei com o usuário Y e por isso ele não aparece no workflow;
Qual SAFE com qual plataforma mesmo;
E diversos outros detalhes;
E para evitar isso desenvolvi um passo a passo de todas as configurações, desde a criação da VM até a descrição de cada SAFE e PLATAFORMA.
Curso simples, mas objetivo e prático.
PARA QUEM SE DESTINA ESSE CURSO?
Para qualquer pessoa que:
Quer aprender em como fazer um laboratório CyberArk PAM;
Precisa realizar demonstração do CyberArk PAM;
Precisa homologar alguma funcionalidade no CyberArk PAM;
Precisa refazer o ambiente com certa frequência e não tem o passo a passo;
Dúvidas? Envie um ZAP ou tiago@tiagobigode.com.br
RECURSOS
Terá acesso:
CyberArk-PAM-Laboratorio-TiagoBigode.docx (TOP DA GALAXIAS)
DEMO
O que é coberto na demonstração:
- Active Directory
- Acessar com usuários do AD;
- Federar PAM com SAML
- Ao iniciar login será redirecionado para Portal do Identity
- Podemos aplicar MFA
- Podemos aplicar política condicional
- Só é permitido logar no PAM dentro do escritório
- Só é permitido logar no PAM de seg-sexta das 09 às 18
- Só é permitido logar no PAM nos dias 01.01.2023 até 05.01.2023
- Se acesso partir do Identity:
- Aplicar política baseado no comportamento
- Mais opções no acesso condicional
- Integrar com RADIUS e MFA
- Aplicar MFA no PVWA
- Ao usar o Remote-Desktop-Manager aplicar o MFA
- Varredura Windows
- Criar varredura pontual
- Realizar onboard de credenciais
- Credencias com dependência
- Acesso a dispositivos
- Conectar de forma transparente (sem ver a senha)
- Limitar escopo ao conectar
- Worklfow no acesso, com dois níveis de aprovação
- Uso exclusivo da credencial (check-in/out)
- Rotacionar após o acesso
- Unix conectar com conta de logon
- Unix conectar com winscp
- Conexão Ad-Hoc
- Credencial administrativa nominal (bruce.wayne.adm)
- Elevar privilégio no PAM
- Solicitar motivo ao conectar
- Rotacionar e verificar senha em X dias | Domínio
- Rotacionar e verificar senha em X dias | Local
- Acesso com SSH-Key (sem data)
- Conectar através de ferramentas nativas
- Conectar através do Remote-Desktop-Manager (sem passar pelo PVWA);
- Conectar através do putty (sem passar pelo PVWA) (sem data);
- WebApps
- AWS: acesso e gerenciamento
- Azure: acesso e gerenciamento (sem data)
- Apps
- Acesso a banco de dados MSSQL (sem data)
- WinSCP
- Auditoria
- Auditar conforme necessidade;
- Sessão espelhada, visualizar sessão ao vivo;
- Encerrar sessão ao vivo; - Visualizar auditoria;
GRADE DO CURSO
PLANEJAMENTO
- INFRAESTRUTURA
- DIAGRAMA
- ACTIVE DIRECTORY
- USUARIOS
- GRUPOS INTEGRAÇÃO AD
- POLÍTICA SENHA AD
- PAM
- EPV
- SAFES
- PLATAFORMAS
- POLÍTICA MASTER
- VARREDURA
- OUTROS
- ROTACIONAR CONTA LOCAL
- WINDOWS SERVICE DEPENDENCIA
- NINITE
REQUISITOS
Ter os binários necessário para instalação do CyberArk PAM
Ter o arquivo de licença e CD-Operator
Hypervisor, esse curso é baseado no VMware workstation;
ISO Windows Server 2019
ISO Rocky 8.6
Conta AWS
Conta CyberArk para acesso ao marketplace
Espaço em disco ~160GB e 12GB memoria
Para as configurações abaixo é preciso ter acesso a um Tenant do CyberArk Identity ou alguma solução compatível com SAML e RADIUS.
As configurações desse curso são baseadas no CyberArk Identity:
Autenticação SAML;
Autenticação RADIUS com MFA;
NÃO TERÁ NO CURSO
Troubleshooting
Explicação das funcionalidades
Suporte de qualquer natureza
GRADE DO CURSO
PLANEJAMENTO
- INFRAESTRUTURA
- DESENHO
- ACTIVE DIRECTORY
- USUARIOS
- GRUPOS INTEGRAÇÃO AD
- GRUPOS DO LABORATORIO
- POLÍTICA SENHA AD
- PAM
- MARKTPLACE
- SFE
- EPV
- SAFES
- PLATAFORMAS
- POLÍTICA MASTER
- VARREDURA
- ROTACIONAR CONTA LOCAL
- WINDOWS SERVICE DEPENDENCIA
- NINITE
- IMPLEMENTAÇÃO
- AD - CHAVES
- TESTE - MADRUGA
- SSH - DFLORINDA
- PAM - KIKO|CHIQUINHA
- PAM CONFIGURAÇÕES
- INTEGRAÇÃO AD
- CONTA CRIAR SAFES
- POLÍTICA MASTER
- CRIAR SAFES
- CONTA WIN RECON
- PLATAFORMAS
- POLÍTICAS
- VARREDURA
- NÃO CONECTAR
- AWS
- AUTENTICAÇÃO
- OUTROS
- ANOTAÇÕES
- TESTE
VIDEOS
Seção 1: Apresentação do curso
Aula 1: Explicação do que é coberto pelo curso;
Nesse primeiro vídeo explicarei qual objetivo do curso, qual seu propósito, a quem se destina, quais recursos você terá acesso, o que é coberto pelo curso, requisitos e o que não terá no curso.
Seção 2: Planejamento e implementação
Aula 2: Conhecendo infraestrutura e preparação para implementação;
Download dos arquivos para infraestrutura, entender quais usuários serão criados, download dos binários, conhecer os SAFES e PLATAFORMAS e qual será a POLÍTICA-MASTER.
Aula 3: Criando VM modelo;
Iremos criar uma VM com Windows server 2019 com tudo que precisamos e partir dela, criar as outras.
Aula 4: Implementação do Active Directory e VM Teste
Iremos instalar o AD, criar os usuários e grupos necessários. E criar a VM teste aka MADRUGA.
Aula 5: Implementação do EPV
Iremos criar a VM para instalar o componente do CyberArk PAM - EPV. E criar a VM dos componentes.
Aula 6: Implementação do PVWA, CPM e PSM
Configuração do servidor para receber os componentes e implementação do PVWA, CPM e PSM.
Aula 7: Implementação servidor SSH
Iremos criar VM, configurações básicas e criar snapshot.
Seção 3: Configurações do CyberArk PAM
Aula 8: Configurações iniciais P1
Integração com AD, login com usuários, configuração da conta para elevar privilégio, onboard da credencial exclusiva para criação dos safes e criação dos SAFES.
Aula 9: Configurações iniciais P2
Criar plataformas, política master, regra para onboard automático, varredura e onboard das credenciais.
Aula 10: Configuração de acesso a AWS
Criação da conta na AWS e as configurações/permissões. Realizar o onboard da conta e linkar a conta com a chave de acesso para rotacionar.
Aula 11: Configuração da federação com CyberArk Identity
Instalação do conector do CyberArk Identity, configuração no portal do Identity e no PVWA.
Aula 12: Configuração autenticação RADIUS e MFA
Configurações no CyberArk Identity para habilitar o RADIUS, configurações no EPV e teste no acesso com RADIUS aplicando MFA.
Aula 13: Acesso via RDP com MFA, outras opções e anotações.
Configuração para realizar o acesso via RDP manager aplicando o MFA, desabilitar conectar, SAFES específicos, habilitar mapeamento, conectar via console, copiar e colar e anotações de possíveis problemas.
Aula 14: Acesso SSH
Criar conta específica para demonstração, onboard da conta SSH, linkar conta para uma sessão privilegiada e teste de acesso.
Seção 4: Testar as configurações
Aula 8: Testar as configurações
Irei passar por todos os itens da demonstração, comentando cada um deles.
-----------------------------------------------------------
Palavras chaves: curso, treinamento, cyberark, pam, privileged access management, epv, pvwa, cpm, psm, treinamento cyberark, curso cbyberark, RADIUS, MFA,