策略部署
内容
cminder12901cn
内容
部署任何
Privileged Identity Manager
策略时,遵循一些通用步骤都可确保策略的部署和执行符合预期而不会发生错误。 以下部分说明了您在部署示例策略前后应当采取的操作。如何准备端点进行策略部署
在实施任何策略之前,您应当针对该策略准备端点。 这样,您以后便可以隔离特别与该策略相关的问题。
准备端点进行策略部署:
- 使用操作系统或应用程序的全新安装将最新可用的、厂商提供的操作系统版本和修补程序用于操作系统策略。 这样,您便可以在修改可能影响系统之前保护系统。 在应用策略之后,了解到该策略会保护系统免受恶意或意外更改的伤害,您就可以根据需要应用修补程序并配置系统。 同样的逻辑也适用于应用程序。
- 实施职责独立查看策略规则并添加其他角色(如果需要)。 创建您自己的策略,该策略定义角色、用户及其关系(角色成员资格)。 然后,可以在示例策略前后部署该策略。确保您没有为任何单一用户授予过多权限。 例如,默认情况下,超级用户被添加到提供Privileged Identity Manager管理权限的 ROL_AC_ADMIN。 但是,最佳实践是删除该用户,然后另将安全管理员添加到该组中。
- 创建新的Privileged Identity Manager数据库或备份现有数据库在您实施策略之前创建新的数据库。 这可确保策略规则不会发生冲突或更改数据库中的现有规则。 如果您无法创建新的数据库,则应备份数据库,以便可以将其还原到应用策略之前的状态。
- 将适当的管理角色分配给用户:系统管理员、安全管理员、应用程序管理员。
- 使用新的审核日志文件备份现有的审核日志文件,然后将其删除。 这可确保Privileged Identity Manager在记录新事件时创建新的审核日志文件。 有了仅包含与您部署策略有关的事件的审核日志文件,可以帮助您更加快速地识别和隔离与策略相关联的问题。
- 设置Privileged Identity Manager用户定义的变量确认预设的Privileged Identity Manager变量值(“AC 变量定义”部分)匹配您的环境,并根据需要添加或修改值。
如何以分阶段的方式部署策略
当部署策略时,可以采取几个操作来确保策略的部署和执行符合预期而不会发生错误。 在您已经准备好端点进行策略部署之后,建议您通过分阶段的策略部署来继续进行。
建议您首先在测试环境中部署策略。 在根据需要调整策略之后,将策略部署到生产环境中。
以分阶段的方式部署策略:
- 在警告模式下部署策略策略现在处于活动状态,但是不实施其规则。 在实施策略之前,您可以检查审核日志以预览该目标策略的结果。注意:默认情况下,示例策略的脚本为所有策略规则设置“警告”模式。
- 查看Privileged Identity Manager审核日志的警告消息在部署策略之后,任何违反的策略都会作为警告显示在审核日志中(假定您的策略规则使用“警告”模式)。
- 在真实情况中使用系统并再次分析审核日志要有效地测试策略,您可以在计算机上执行常规操作过程(登录、启动和停止服务和应用程序等等)。 然后,您可以再次分析审核日志来查看是否出现任何新的警告。
- 根据需要调整策略使用从审核日志收集的信息,您可以调整策略以实现环境中的预期使用。
- 删除警告模式来启用策略一旦确信您的策略已就绪,可以在生产环境中实施规则,您就可以删除警告模式来启用该策略。现在,该策略现在成为活动状态。
注意:
如果您想更改策略,应首先禁用策略实施(使用警告模式)。 然后,在确信更改可以按照需要正常运行时,更改并重新激活该策略。策略部署方式
因为示例和最佳实践策略包含
Privileged Identity Manager
变量,因此您必须使用高级策略管理方法对其进行部署。注意:
您不能在端点上以 selang 直接运行示例策略文件。使用
Privileged Identity Manager
企业控制台将示例策略存储在 DMS 上,然后根据需要将其分配给多个端点。如何针对您的环境来自定义策略
示例和最佳实践策略是作为您自己的安全策略的基础而提供的。 要部署策略,您应当针对环境对其进行自定义。
针对您的自定义策略:
- 查看Privileged Identity Manager和系统日志文件。查找并确认在部署进程期间发生的警告或错误,并且修改策略来解决这些问题。
- 将用户加入策略角色。策略使用角色进行授权。 您需要将组织中的用户分配到这些角色。重要信息!取消部署策略时,不要删除您创建的用户或组。 这可能会影响使用该用户和组的其他策略中 ACL 列表和访问者关联的正常行为。
- (仅适用于 Windows)运行共存实用工具 eACoexist.exe。此实用工具可识别Privileged Identity Manager与其他安装的程序之间的冲突,并通过为该程序创建旁路来解决这些冲突。