pl 
W pierwszej części artykułu o aktualizacji systemu PAM360 omówione zostały nowe funkcje aplikacji. W bieżącym tekście zajmiemy się modyfikacjami, które mają na celu usprawnienie pracy z systemem. Uwzględnię też wdrożone w produkcie aspekty bezpieczeństwa, które w znaczny sposób pomogą wyeliminować wiele sytuacji zagrożenia. Przejdźmy, więc do najważniejszych udoskonaleń.
→ Przeczytaj pierwszą część tekstu PAM360 – przegląd nowych funkcjonalności.
Używając poprzednich wersji oprogramowania wiemy, że konfigurowanie ustawień kontroli dostępu było możliwe tylko na poziomie zasobów. Miały one zastosowanie dla wszystkich kont w ramach zbioru. Teraz możemy ustawić kontrolę dostępu do haseł niezależnie dla każdego konta. Nie ma to wpływu na konfigurację kontroli dostępu innych kont w zasobie. Możliwość ustawienia unikalnych konfiguracji dla poszczególnych kont, pomaga użytkownikom utrzymać niezrównane poziomy bezpieczeństwa. Pamiętać należy, że konfiguracja kontroli dostępu na poziomie konta ma wyższy priorytet niż konfiguracja tego samego procesu na poziomie zasobów.
Co więcej, aktualne wydanie serwuje nam też ekskluzywny panel dla Windows Agents. Znajdziemy go w zakładce certyfikaty SSL. Użytkownicy za jego pośrednictwem będą mogli wykonywać wszystkie operacje specyficzne dla agenta, takie jak SSL Discovery, wdrażanie certyfikatów SSL w grupach certyfikatów i CSR Signing z agentem MSCA.
Otrzymujemy też ułatwienie wdrażania certyfikatu na wielu serwerach. Jednak tylko w sytuacji, gdy zastosujemy agenta, który działa na serwerze, na którym ma nastąpić wdrożenie. Nazwa agenta, jak i nazwa DNS serwera, muszą być identyczne.
Pojawiła się też funkcjonalność automatycznego odnowienia certyfikatów dla typu podpisu MSCA Using Agent. Poruszając się po interfejsie systemu zgodnie ze ścieżką: Admin, następnie SSL Certificates i wreszcie Certificate Reneval, będziemy w stanie zdefiniować potrzeby proces.
Nie sposób nie dodać, że w nowym pakiecie aktualizacji systemu PAM360, mają miejsce modyfikacje poniższych raportów:
- Certificate Sign Report – uzyskał szczegóły dotyczące podpisu MSCA, takie jak Certificate Authority, Certificate Template, Sign Type Column,
- Certificate Renewal Report – od teraz posiada kolumnę Renewed By, przez którą odniesiemy się do szczegółów odnowienia MSCA oraz 3rdPartyCA.
Odświeżony został natomiast raport GlobalSign Orders Report, który umożliwia nam dodawanie zamówień, jako indywidualnych raportów. Teraz przedstawiają szczegółowy widok zapotrzebowania na certyfikaty zażądane od GlobalSign CA.
Przechodząc z kolei do sekcji Certificates, w której znajduje się wspomniany moduł GlobalSign, natkniemy się na nową opcję Reissue Certificate. Umożliwia ona użytkownikom wygenerowanie żądania ponownego wystawienia certyfikatu SSL przez wymieniony wyżej podmiot.
Z chwilą podniesienia systemu do omawianej wersji, użytkownicy systemu PAM360 mają także możliwość dodania kluczowego komentarza Key Comment podczas importowania nowego klucza SSH i edycji istniejącego klucza z repozytorium. Ponadto, mogą skorzystać z pola wyboru Update comment in associated users, aby zaktualizować automatycznie komentarz klucza do skojarzonych serwerów końcowych.
Zatrzymam się przez chwilę przy menu Advanced Options, dzięki któremu uzyskujemy funkcję dodania nowych atrybutów do certyfikatu w momencie tworzenia. Pozwala to na wybranie z listy parametrów użycia klucza oraz zaawansowanych zastosowań klucza i dodanie ich do nowego certyfikatu. Parametryzacja klucza obejmuje: Digital Signature, Decipher Only, Encipher Only oraz Certificate Sign.
Możliwe, że czytelnika zainteresuje również karta DigiCert CA, na której zyskaliśmy nowe menu Show. Ma ono cztery opcje: Expired, Revoked, Rejected i Other – za ich pomocą będziemy mogli filtrować widok listy tej sekcji.
Będąc przy zagadnieniach certyfikatów chciałbym nadmienić, że PAM360 podczas dodawania lub modyfikowania grup certyfikatów, daje nam opcję ustawienia dodatkowych pól, które będą funkcjonowały jako jeden z filtrów By Criteria dla certyfikatów.
Tworząc rzeczone pola, użytkownicy mogą wybrać czy mają one zastosowanie dla SSH, SSL czy obu. Opcja dodatkowych pól mieści się w karcie Settings.
Za nami już większość usprawnień wprowadzonych przez zespół deweloperski w systemie PAM360. Wśród pozostałych pozycji znajdują się:
- nowe interfejsy API REST – GET CSR list oraz Sign CSR,
- powiadomienia o wygaśnięciu Expiry Notification wzbogacone o niestandardową treść wiadomości, mianowicie tytuł i podpis,
- strona Certificate Renewal Report na karcie Reports, która zawiera teraz wybór kolumn,
- funkcja wyświetlania wszystkich certyfikatów skojarzonych z określonym agentem. Uzyskamy ją klikając opcję Host Name agenta wymienionego w sekcji SSL – Windows Agents,
- opcja dostosowywania harmonogramów za pomocą dodania niestandardowej treści wiadomości e-mail i unikalnego podpisu,
- wykrywanie certyfikatów wydanych przez określony Microsoft Certificate Authority poprzez wpisanie nazwy MSCA w odpowiednim polu tekstowym przy inicjowaniu procesu. Należy pamiętać, że opcja ta będzie dostępna w instalacjach PAM360 działających tylko na komputerach z systemem Windows,
- możliwość dodania nazwy Wildcard w polu SAN podczas tworzenia CSR lub certyfikatu z podpisem własnym. Użycie certyfikatów Wildcard pozwala zabezpieczyć nieograniczoną liczbę subdomen dla zarejestrowanej domeny podstawowej,
- zastosowanie ustawień dostosowywania – skonfigurowanych dla wiadomości e-mail z powiadomieniami na kartach Notification i Schedule. Od tej chwili również dla przesyłanych informacji drogą elektroniczną z użyciem adresów e-mail, zamieszczonych w dodatkowych polach. Wcześniej e-maile z powiadomieniem o wygaśnięciu certyfikatu, wysyłane na adresy określone w tych polach, miały ustalony format.
Modyfikacje bezpieczeństwa:
- Rozwiązano problemu ze skryptami między lokacjami (XSS), który występował z powodu braku kodowania danych wyjściowych w nazwie zasobu. Działo się tak podczas maskowania hasła, typu motywu, koloru skóry, nazwy kategorii na karcie Personal oraz połączeń aplikacji internetowych i sesji użytkownika na karcie Audit.
- Zaktualizowano TLS agenta SSL w PAM360 do wersji 1.2 – można go skonfigurować w Agent.conf.
- Wymuszono przekazanie tokenu uwierzytelniania w nagłówku żądania przy każdym wywołaniu API skierowanym do aplikacji. Wcześniej podczas wywołań interfejsu API, token uwierzytelniania był przekazywany jako parametr żądania.
- Hasła wysyłane są do magazynu kluczy jako RequestBody, aby zapewnić optymalne bezpieczeństwo. Do tej pory hasło Keystore certyfikatu przesłanego na serwer było dołączane do adresu URL, co stanowiło zagrożenie bezpieczeństwa.
- Naprawiono lokalny problemu z włamaniem do pliku, który występował podczas wykrywania magazynu MS.
Podsumowanie
Poznaliśmy zatem wszystkie funkcjonalności zamieszczone w paczce aktualizacyjnej produktu ManageEngine – wersji 5000. Jest ona na tyle obszerna, że warto przyjrzeć się jej bliżej w przypadku korzystania z produktu, ponieważ wprowadzone zmiany i ułatwienia są dość istotne. Jednocześnie, to wiele cennych informacji także dla osób, które zastanawiają się nad wdrożeniem PAM360 w swojej organizacji, gdyż kompilacja major może rozwiać wiele pojawiających się do tej pory wątpliwości.
→ Przeczytaj pierwszą część tekstu PAM360 – przegląd nowych funkcjonalności.
