IT 安全管理
IT 安全管理的重点是通过审计用户对组织关键资源的访问情况,对 IT 账户进行安全监控。 ServiceDesk Plus 与以下 ManageEngine 产品集成,以提高 IT 用户账户的安全性:
将 ManageEngine 权限管理工具与 ServiceDesk Plus 集成的好处:
- 由于流程的每一步都经过审计,因此可以使用 ServiceDesk Plus 中的请求 ID 跟踪所有特权操作和密码访问。
- 技术人员可以从 ServiceDesk Plus 访问任何远程系统。
- 管理员可以只允许授权技术人员访问远程系统,而无需共享系统凭据。
- 技术人员可以跟踪 SSL 证书,并将存储库中的证书与 ServiceDesk Plus CMDB 同步。
- 管理员还可以生成报表,分析通过 ServiceDesk Plus 请求 ID 授予的特权访问。
前提条件
- 访问活动的 ServiceDesk Plus 门户。
- 用户必须在两个应用程序中使用相同的用户名。使用活动目录集成可确保两个产品中的用户名相同。
- IT 安全管理工具应该可以从运行 ServiceDesk Plus 的服务器上访问。要验证这一点,请尝试从 ServiceDesk Plus 服务器启动应用程序。
Password Manager Pro
Password Manager Pro 是一个安全的数字保险库,可用于存储密码、密钥、证书、文档、数字身份和其他敏感数据等关键信息。它允许 IT 团队管理特权账户并监控对关键信息系统的访问。Password Manager Pro 允许用户遵守各种法规,如 SOX、HIPAA、PCI、NERC-CIP 和 GDPR。
ServiceDesk Plus 和 Password Manager Pro 有两种不同的集成模式:
模式 1:将 ServiceDesk Plus 与 IT 安全工具集成
在这种情况下,ServiceDesk Plus 与 Password Manager Pro 集成,使技术人员能够对特权账户执行服务台操作。
模式 2:将 ServiceDesk Plus 集成到 IT 安全工具中
在这种情况下,ServiceDesk Plus 充当验证媒介,只允许特定用户访问 Password Manager pro 中的权限数据。
将 ServiceDesk Plus 与 Password Manager Pro 集成
在这种集成模式中,您可以在 Password Manager Pro 和 ServiceDesk Plus 之间启用双向通信。这样,技术人员就可以通过 Password Manager Pro 对特权账户执行服务台操作。该集成主要通过 ServiceDesk Plus 的管理员 >> 常规设置 >> 集成 >> Password Manager Pro 进行管理。
在请求模板中配置 Password Manager Pro操作
您可以通过在 Password Manager Pro 操作中关联编辑 PMP 资源来获取 Password Manager Pro 中资源的详细信息,从而将其与 ServiceDesk Plus 中的请求模板和角色关联起来。
您还可以在服务请求模板工作流程选项卡的模板操作下启用 PMP 资源操作。 在请求详细信息页面的自定义操作菜单中触发该操作,以便向 ServiceDesk Plus 获取资源详细信息。
远程访问有权限的系统
很多时候,技术人员需要远程访问密码或机器来解决问题。这就带来了安全挑战,如共享身份验证凭据,尤其是涉及特权账户时。通过与 Password Manager Pro 集成,技术人员只需单击一下,即可从 ServiceDesk Plus 门户访问远程系统。此外,管理员还可以为经授权的技术人员提供安全远程访问的优势,无需共享凭证,也无需每次登录任何应用程序获取凭证。
该集成支持通过远程桌面协议远程访问 Windows 服务器。对于 Linux 和 Mac 机器,可以通过 Telnet 或安全外壳 (SSH) 进行连接。
在 Password Manager Pro 中集成 ServiceDesk Plus
在这种集成模式中,技术人员使用请求或变更在 Password Manager Pro 中验证密码或其他权限数据。该集成由 Password Manager Pro 管理。
要使用 ServiceDesk Plus 验证密码,请转到 Password Manager Pro 中的管理 >> 集成 >> 工单系统,然后选择 ServiceDesk Plus。
使用请求 ID 验证用户对特权数据的访问权限
当请求中包含对权限详细信息的引用时,您可以自动验证服务请求。当用户提出访问授权特权信息的请求时,Password Manager Pro 会确保只有拥有有效工单 ID 的用户才能访问这些信息。
在用户提出请求并满足所有自动审批条件后,用户可以导航到 Password Manager Pro 中的相关模块,并输入有效的工单ID。随后,Password Manager Pro 将
- 验证用户输入的请求 ID 是否存在于 ServiceDesk Plus 中。
- 验证与请求相关联的事件是否处于关闭状态。
- 验证用户是否有权查看密码,从而访问 IT 资源。
- 在尝试重置密码的情况下,验证是否有适当的权限。
您还可以使用 ServiceDesk Plus 定义自定义标准并进行验证。 集成配置完成后,用户必须提供有效的请求 ID 和理由才能访问权限数据。
使用变更ID 验证用户对特权数据的访问权限
管理员还可以在Password Manager Pro中配置集成时使用变更请求 ID 启用验证。启用该选项将要求用户提供有效的变更ID,以验证密码访问请求和其他类似操作。
在使用变更ID 进行验证时,只有变更 ID 在 ServiceDesk Plus 中得到批准,验证才会发生。此外,您还可以允许用户将记录的远程会话链接添加到 ServiceDesk Plus 中的变更描述中。
使用其他请求标准验证用户对特权数据的访问权限
在Password Manager Pro中配置集成时,管理员可以根据其他请求标准配置验证。 在配置页面上,单击高级配置超链接。
您可以通过两种方式使用请求标准进行验证:
- 将特权工具中的条目映射到 ServiceDesk Plus 中: 检查 Password Manager Pro 中输入项的某些字段值是否与 ServiceDesk Plus 中的特定字段匹配。 例如,通过将 PMP USERNAME 列与 ServiceDesk Plus 中的 CREATEDBY 列进行映射,可以检查提出密码访问请求的用户在两个应用程序中是否具有相同的用户名。
- 检查请求条件: 如果请求满足某些条件,还可以验证请求。 例如,只有当请求的优先级较高时,才能验证请求。
除了高级配置外,您还可以使用类实现提供自己的自定义配置,并通过更新包含类实现的 jar 文件将其与密码管理器 Pro 集成。
从 ServiceDesk Plus 获取请求详细信息
您可以从 ServiceDesk Plus 到 Password Manager Pro 获取请求详情。 在配置页面,单击测试配置设置。
提供必要的身份验证凭证,如技术人员密钥、ServiceDesk Plus URL 和请求 ID。
配置用户和用户组的访问限制
集成设置完成后,将立即在全局范围内生效,用户必须提供有效的请求 ID 才能访问密码。 您可以在常规设置、资源组设置和用户组设置中设置进一步的细粒度限制。
您可以选择性地允许/限制Password Manager Pro中的用户组通过工单验证。 进入用户 >> 用户组,点击图标,选择用户组权限。
您可以通过管理 >> 常规设置为Password Manager Pro 中的所有用户配置类似的限制。
PAM 360
PAM 360 是一款全面的特权访问管理应用程序,可确保对关键资产的所有特权访问进行管理和监控。 PAM 360 旨在成为大中型企业的高级 PAM 解决方案工具。 它符合 GDPR、HIPAA、SOX、PCI-DSS 和 CCPA 等各种法规。
将 ServiceDesk Plus 与 PAM 360 集成
在这种集成模式中,您可以在 PAM 360 和 ServiceDesk Plus 之间实现双向通信。 这样,技术人员就可以通过 PAM 360 对特权账户执行帮助台操作。
- 该集成主要由 ServiceDesk Plus 管理。我们建议用户在管理 >> 常规设置 >> 集成 >> Password Manager Pro下提供 PAM 360 的详细信息。PAM 360 和 ServiceDesk Plus 之间的连接将自动建立。
- 一旦从管理 >> 集成 >> ManageEngine 下的 PAM 360 成功集成 ServiceDesk Plus,ServiceDesk Plus 集成(卡)将自动启用。
在 PAM 360 中集成 ServiceDesk Plus
您可以将 ServiceDesk Plus 集成到 PAM 360 中,使用请求或更改来验证密码或其他权限数据。 这种集成主要由 PAM 360 管理。
要使用 ServiceDesk Plus 验证密码,请转到 PAM 360 中的管理 >> 集成 >> 工单系统,然后选择 ServiceDesk Plus。
PAM 360 与 ServiceDesk Plus 的集成与 Password Manager Pro 与 ServiceDesk Plus 的集成非常相似。
访问 Manager Plus
Access Manager Plus 是一种安全的远程访问工具,允许用户通过统一的控制台远程连接关键业务系统。Access Manager Plus 还能让管理员监控特权会话,并随时终止它们。
与 Password Manager Pro/PAM 360 类似,ServiceDesk Plus 也可与 Access Manager Plus 集成,通过请求或变更来验证密码或其他权限数据。该集成可通过 Access Manager Plus 的管理员 >> 会话设置 >> 工单系统进行管理。
使用请求 ID 验证用户对特权数据的访问权限:
当请求包含对权限详细信息的引用时,可以自动验证服务请求。当用户提出访问授权特权信息的请求时,Access Manager Plus 会确保只有拥有有效工单ID 的用户才能访问这些信息。
在用户提出请求并满足所有自动审批条件后,用户可浏览 Access Manager Plus 中的相关模块并输入有效的工单ID。随后,Access Manager Plus 将
- 验证用户输入的请求 ID 是否存在于 ServiceDesk Plus 中。
- 验证与请求相关联的事件是否处于关闭状态。
- 验证用户是否有权查看密码,从而访问 IT 资源。
- 在尝试重置密码的情况下,验证是否有适当的权限。
您还可以使用 ServiceDesk Plus 定义自定义标准并进行验证。 集成配置完成后,用户必须提供有效的请求 ID 才能访问权限数据。
使用变更ID 验证用户对特权数据的访问权限
管理员还可以在配置 Access Manager Plus 中的集成时使用变更请求 ID 启用验证。启用此选项将要求用户提供有效的变更ID,以验证密码访问请求和其他类似操作。
在使用变更ID 进行验证时,只有变更ID 在 ServiceDesk Plus 中获得批准,验证才会发生。此外,您还可以允许用户将记录的远程会话链接添加到变更描述中。
使用其他请求标准验证用户对特权数据的访问权限
在 Access Manager Plus 中配置集成时,管理员可以根据其他请求标准配置验证。 在配置页面上,单击高级配置超链接。
您可以通过两种方式使用请求标准进行验证:
- 将特权工具中的条目与 ServiceDesk Plus 中的条目进行映射:检查 Access Manager Plus 中的条目的某些字段值是否与 ServiceDesk Plus 中的特定字段相匹配。 例如,通过映射 AMP USERNAME 列和 ServiceDesk Plus 中的 CREATEDBY 列,可以检查提出密码访问请求的用户在两个应用程序中是否具有相同的用户名。
- 检查请求条件: 如果请求满足某些条件,还可以验证请求。 例如,只有当优先级较高时,才能验证请求。
除了高级配置外,您还可以使用 "类实现 "提供自己的自定义配置,并通过更新带有实现类的 jar 文件将其与 Access Manager Plus 集成。
从 ServiceDesk Plus 获取请求详细信息
您可以从 ServiceDesk Plus 到 Access Manager Plus 获取请求详情。 在配置页面上,单击测试配置设置。
提供必要的身份验证凭证,如技术人员密钥、ServiceDesk Plus URL 和请求 ID。 如有需要,您还可以从 Access Manager Plus 获取自定义字段。
配置用户和用户组的访问限制
集成设置完成后,将立即在全局范围内生效,用户必须提供有效的请求 ID 才能访问密码。 您可以在常规设置、资源组设置和用户组设置中设置进一步的细粒度限制。
您可以选择性地允许/限制Password Manager Pro中的用户组通过工单验证。 进入用户 >> 用户组,点击图标,选择用户组权限。
您可以通过管理 >> 常规设置为 Access Manager Plus 中的所有用户配置类似的限制。
Key Manager Plus
Key Manager Plus 是一个安全的集中式保险库,可用于存储和管理 SSH 密钥和 SSL 证书。 它可确保数据在传输过程中得到保护,并防止丢失数字密钥和身份。
Key Manager Plus 与 ServiceDesk Plus 的集成是多方面的。 它允许用户执行与 SSL 证书相关的各种操作,如跟踪漏洞、过期日期或部署证书。 您还可以在两个应用程序之间同步管理证书,并监控 SSH 密钥的轮换。
前提条件:
- ServiceDesk Plus 会根据在 Key Manager Plus 中为即将过期和/或被视为易受攻击的 SSL 证书设置的通知策略创建请求。
- 运行 ServiceDesk Plus 的服务器必须可以访问 Key Manager Plus。要验证这一点,请尝试从 ServiceDesk Plus 服务器启动应用程序。
- Key Manager Plus 与 ServiceDesk Plus 的集成依赖于 Key Manager Plus 和 ServiceDesk Plus 的授权令牌。
在 ServiceDesk Plus 中设置请求创建
配置集成时,启用 Key Manager Plus 中 "创建工单"下的复选框,以便在 Key Manager Plus 中自动创建过期证书和 SSL 漏洞的请求。
下面的工作流程介绍了技术人员如何在整个集成过程中管理 SSL 证书和 SSH 密钥:
跟踪 SSL 证书到期情况
SSL 证书到期请求是作为默认到期通知和计划 SSL 到期报告的一部分创建的。 只要在 Key Manager Plus 中生成了计划到期报告或默认到期通知任务,就会触发通知。
- 在 "设置">>"通知">>"过期 "中计划有关即将过期的 SSL 证书的通知。 只有过期日期在您输入的期限(天数)内的证书才会通知你。 设置日程后,Key Manager Plus 将收集指定天数内的过期证书列表。
- 对于每个 SSL 证书,Key Manager Plus 都会检查 ServiceDesk Plus 控制台中是否已创建过期请求。
- 如果请求已经存在,将检查其状态。如果请求处于进行中状态(打开、进行中或搁置),Key Manager Plus 将不会创建新请求。如果请求处于已完成状态(已解决、已取消或已关闭),Key Manager Plus 将重新打开请求,直到相应的 SSL 证书在 Key Manager Plus 存储库中更新。
- 如果没有,则会打开一个新请求。新请求将包含请求 ID、状态、IP 地址和证书序列号等详细信息。
- 请求将被标记为 "高优先级",以提醒技术人员即将面临的安全威胁。
跟踪 SSL 漏洞
SSL 漏洞请求是 Key Manager Plus 进行漏洞扫描和手动扫描的默认计划的一部分。 Key Manager Plus 在漏洞扫描过程中每次检测到漏洞时,都会在 ServiceDesk Plus 中为每个漏洞创建一个请求。
您可以在设置 >> SSL >> SSL 漏洞中设置漏洞扫描计划,如下图所示:
检测到漏洞时
- Key Manager Plus 将使用证书序列号、域名和 IP 地址检查漏洞请求是否已存在于 ServiceDesk Plus 中。
- 如果存在请求,将检索其状态。如果请求处于进行中状态(打开、进行中或搁置),Key Manager Plus 将把最新扫描结果添加到请求中。如果请求处于已完成状态(已解决、已取消或已关闭),Key Manager Plus 将重新打开请求并添加最新的扫描结果。
- 如果没有与特定服务器漏洞对应的工单,Key Manager Plus 将创建一个新请求。
- 在 ServiceDesk Plus 中,会为每个域-IP 漏洞组合创建一个单独的请求。
- 该请求将标记为高优先级。
将
Key Manager Plus Action附加操作关联到请求模板在 ServiceDesk Plus 中配置集成时,可以使用角色和请求模板配置 Key Manager Plus 操作,如部署证书、更新证书和扫描漏洞。
您还可以在服务请求模板的工作流程选项卡中的模板操作下启用 Key Manager Plus 操作。选定的操作将显示在请求详细信息页面的自定义操作菜单下。
当提出涉及过期证书或密钥轮换失败的事件请求时,技术人员可以采购相关项目并将其附加到请求中。可从请求详情页触发该操作,并根据需要应用证书/旋转密钥。
将 SSL 证书与 Service Desk Plus CMDB 同步
您可以将 Key Manager Plus 中的 SSL 证书详细信息同步到 Service Desk Plus CMDB。这样,管理员就可以从一个集中的存储库中监控 SSL 证书的使用情况、过期情况和 SSL 证书生命周期管理的其他方面以及其他 IT 资产。
集成后,将在 ServiceDesk Plus 中创建一个新的 CI 类型,其中将存放所有导出的证书。您还可以通过将证书属性与现有 CI 的属性进行适当映射,将 SSL 证书从 Key Manager Plus 导出到 ServiceDesk Plus 中已有的 CI 类型中。
Key Manager Plus 和 ServiceDesk Plus 之间的 CMDB 集成只能通过 Key Manager Plus 的 “设置”>>“ServiceDesk Plus”>>“CMDB ”选项卡进行管理。
您也可以随时从 SSL 证书列表视图中手动将证书同步到 ServiceDesk Plus CMDB。
产品对比图
特点 | PAM360 | Password Manager Pro | Access Manager Plus | Key Manager Plus |
|---|---|---|---|---|
权限账户发现(Windows、Linux、net1work 设备、VMware、AWS EC2、亚马逊工作空间) | ✓ | 部分 - 仅 Windows、Linux、VMware 和网络设备 | 部分 - 仅适用于 Windows 和 Linux | 部分 - 仅 SSH 资源 |
特权账户管理 | ✓ | ✓ | X | X |
SSH 密钥管理 | ✓ | 仅适用于密钥管理器增强版插件 | X | ✓ |
SSL/TLS 证书管理 | ✓ | 仅适用于key manager plus插件 | X | ✓ |
及时提升权限* | ✓ | X | X | X |
细粒度访问控制 | ✓ | ✓ | 部分 | ✓ |
安全的远程访问配置 | ✓ | 部分 | ✓ | X |
跳转服务器支持访问 DMZ 中的远程资源(用于 RDP 和 SSH) | ✓ | 部分 - 仅用于 SSH | ✓ | X |
通过 RemoteApps 在 RDP 会话中控制应用程序 | ✓ | X | ✓ | X |
RDP、SSH 和 VNC 会话的高级设置 | ✓ | X | ✓ | X |
特权会话监控和记录 | ✓ | 部分 | ✓ | 部分。 可对 SSH 会话进行记录 |
特权用户行为分析* | ✓ | X | X | X |
双向文件传输 | ✓ | 部分 - 仅用于 RDP 会话 | ✓ | X |
用于特权会话审计的端点日志相关性* | ✓ | X | X | X |
与 ServiceDesk Plus CMDB 集成 | ✓ | 仅适用于key manager plus插件 | X | ✓ |
高可用性 | ✓ | ✓ | X | X |
全面审计 | ✓ | 部分 | 仅适用于远程会话、访问和其他用户活动 | 仅适用于密钥/证书活动和 SSH 会话 |
合规报告 | ✓ | ✓ | X | X |
有关密码、密钥和用户活动的预制、自定义和查询报告 | ✓ | ✓ | X | 部分。 提供有关 SSH 密钥、SSL/TLS 证书活动、漏洞和 SHA-1 的预制报告。 |
*该功能需要其他 ManageEngine 产品的许可订阅。
探索更多资源
Password Manager Pro 文件资源: PAM 360 文件资源: Access Manager Plus 文档资源: Key Manager Plus 文件资源: ServiceDesk Plus 文件资源: |