CyberArk Digital Vault Kurulumu

Kuruluma başlamadan önce Digital Vault (Kasa) sunucusunun sanal mı yoksa fiziksel mi olacağı belirlenmelidir. CPM (Central Policy Manager), PVWA (Password Vault Web Access), PSM (Privileged Session Manager) modülleri de sanal sunuculara kurulabilir.

Cyberark kurulumu yapılacak Windows sunucuların lisanslamasının yapılmış olması önem taşımaktadır. Cyberark aktivasyonu yapılmamış sunucularda sorun çıkartabilmektedir. Ayrıca sunucunun tüm güncelleştirmelerinin yapılmış olması da kurulum öncesi üretici tarafından tavsiye edilen yapılandırmalar arasında yer almaktadır.

Bunların yanısıra sunucularda TCP 1858 portunun erişim izni olması gerekir.

CPM (Central Policy Manager) ve PVWA (Password Vault Web Access) aynı sunucu üzerine kurulabilir. Digital Vault ve PSM ise aynı sunucuya kurulamaz. Eğer DR Digital Vault kurulması isteniyorsa o da farklı sunucu üzerine kurulmak zorundadır.

İşletim Sistemi olarak Windows 2012 R2 ya da Windows Server 2016 kullanılabilir.

Kuruluma başlamadan önce belki de en önemli nokta kurulumun yapılacağı işletim sistemlerinin dil ve bölgesel ayarlarının en-us olması gerektiğidir.

Kurulumun yapılacağı sunucuda .NET Framerwork 4.5.2 veya üzeri yüklü yüklü olmalıdır.

Digital Vault sunucusu domaine dahil edilmemelidir.

Ayrıca Digital Vault kurulumunun yapılacağı sunucuda Interface üzerinde TCP/Ipv4 haricindeki tüm servisler devredışı bırakılmalıdır.

Bütün bunların dışında CyberArk Digital Vault sunucusuna bios parola koymanızı da tavsiye derim.

Yukarıda bahsettiğim noktalara dikkat ederek gerekli yapılandırmaların tamamlanmasının ardından Vault kurulumuna başlanabilir.

CyberArk Vault Server Kurulumu

Kurulumun yapılacağı sunucuda Interface üzerinde TCP/Ipv4 haricindeki tüm servisler kaldırılmalıdır. Bu işlemin ardından sunucunun yeniden başlatılması gerekecektir.

Sunucuya RDP ile bağlanarak kurulum gerçekleştirmek istenildiğinde aşağıdaki gibi bir uyarı ile karşılaşılır.Bu kurulum esnasında bir sorun çıkmayacağını ancak bağlantının dinlenmesi ve sunucnun compromise olmasının CyberArk’ın güvenik seviyesini tehlikeye atacağını bilmeniz için çıkan bir uyarı.

Digital Vault kurulumu setup dosyasının Run as Administrator yetkisi ile çalıştırılmasıyla başlatılır.

Cluster kurulumuna yönelik bir hazırlık yapmadığımız ve bu bir lab kurulumu olduğu için Standalone Vault Installation seçeneği ile devam edeceğiz.

Digital Vault sunucusunda C: sürücüsü dışında bir disk var ise kurulumun o diske (ya da disklerden birine) yapılması kurulum önerileri arasında yer almaktadır.

Lisans dosyasının bulunduğu dizin belirtilir.

Operator Key klasörünün dizinini belirtilir.

Remote Control Agent yapılandırması yapmadan devam etmek için Skip remote control agent seçilerek devam edilir. Bu seçenek daha sonra aktifleştirilebilir.

Do not harden the machine seçeneğini işaretlemiyoruz. Hardening de daha sonra yapılabilir.

Master ve Administrator kullanıcıları için parola tanımlamaları yapılır

Kurulum tamamlandığında sunucuyu yeniden başlatmak gerekecektir.

Yukarıda bahsettiğimiz hardenin kısmı ile ilgili mini bir not düşmek gerekirse,

Komut satırında \Hardening dizini altında aşağıdaki komut çalıştırılarak RDP izni verilecek bilgisayar seçilebilir. CAVaultHarden.exe StandAloneVault “[Full Path of Current Directory]” /AllowRDP [RDP Station IP]

Buradaki en önemli nokta ise komut satırı dışında CAVaultHarden.exe dosyasının çalıştırılmaması gerektiğidir.

PrivateArk Client setup exe dosyasını çalıştırınız ve kurulumunu yapın

Ok tıklatınır.

Şimdi Digital Vault sunucusu yeniden başlatılabilir.

Testler

Remote Control Client uygulaması komut satırından çalışan ve Remote Control Agent’ın yüklü olduğu bir Vault bileşeninde işlemler gerçekleştirmeyi sağlar.

Bu uygulama ile PasswordVault ve DR Vault üzerindeki yönetimsel işlemler için kullanılabilir. Her bir bileşen için genel olarak kullanılan birkaç komutu içerir ve komutun çalıştırılacağı bileşeni tanımlamak için aşağıdaki bileşen isimleri kullanılır.

Örneğin; Komut satırında PARClient klasörüne erişildikten sonra Vault erişimi sağlanır ve Vault durumu öğrenilebilir. (Örnekte kullanılan parola ; CeeePar1234)

>parclient 192.168.43.250/CeeePar1234 /c “status vault”

Vault durumunu gözlemledikten sonra cpu kullanımını görüntülemek için;

>parclient 192.168.43.250/CeeePar1234 /c getcpu

Vault üzerindeki DBPam.ini dosyasında Debug parametresini düzenlemek için;

>parclient 192.168.43.250/CeeePar1234 /c “SetParm Vault Debug=yes /Immediate”

Yukarıdakine benzer yapabileceğimiz işlemlerin daha fazlasına ulaşmak için Privileged Access Security Implementation Guide kullanılabilir.