Vault pour Privileged Remote Access

Détection : Détectez des domaines, des comptes et des points de terminaison

BeyondTrust Vault est un magasin d’informations d’authentification sur serveur permettant la détection et l’accès à des informations d’authentification privilégiées. Vous pouvez ajouter manuellement des informations d’authentification privilégiées, ou vous pouvez utiliser l’outil de détection intégré pour scanner et importer les comptes Active Directory et locaux dans BeyondTrust Vault.

Pour plus d’informations, veuillez consulter le Livre blanc technique de BeyondTrust Vault.

Détection de domaine

Avec l’add-on BeyondTrust Vault, vous pouvez détecter les comptes Active Directory, les comptes locaux et les points de terminaison. Les Jumpoints sont utilisés pour scanner les points de terminaison et détecter les comptes associés à ces derniers.

Pour en savoir plus sur les Jumpoints, veuillez consulter le Guide Jumpoint pour Privileged Remote Access BeyondTrust.

Nom de DNS

Saisissez le nom DNS pour votre environnement.

Jumpoint

Choisissez un Jumpoint existant situé dans l’environnement où vous souhaitez détecter des comptes.

Compte de gestion

Sélectionnez le compte de gestion nécessaire au lancement de la tâche de détection. Choisissez d’utiliser un nouveau compte, lequel nécessitera la saisie d’un nom d’utilisateur, d’un mot de passe et d’une confirmation du mot de passe. Ou alors, choisissez d’utiliser un compte existant détecté lors d’une précédente tâche ou ajouté manuellement dans la section Comptes. Une fois qu’un compte est sélectionné, cliquez sur Détection pour lancer la tâche de détection.

Nom d’utilisateur

Saisissez un nom d’utilisateur valide à utiliser pour la détection (utilisateur@domaine).

Mot de passe

Saisissez un mot de passe valide à utiliser pour la détection.

Confirmer le mot de passe

Saisissez à nouveau le mot de passe pour confirmer.

Vous pouvez définir les parties d’un domaine à utiliser pour exécuter une tâche de détection/importation. Une fois que vous sélectionnez les champs requis pour une tâche de détection, vous pouvez affiner la recherche en indiquant quelle unité organisationnelle cibler ou en saisissant des requêtes LDAP.

Tâches de détection

Consultez les tâches de détection en cours pour un domaine spécifique, ou vérifiez les résultats des tâches de détection ayant réussi ou échoué.

Consulter les résultats

Consultez les résultats de la tâche de détection dans la section Résultats de la détection, incluant les points de terminaison détectés, les comptes locaux détectés et les comptes de domaine trouvés sur le domaine. Pour chaque élément détecté, un nom et une description seront fournis. Vous pouvez sélectionner quels points de terminaison et comptes à importer et stocker dans votre instance BeyondTrust Vault. Pour chaque élément de la liste que vous souhaitez importer, cochez la case à proximité et cliquez sur Importer la sélection.

Points de terminaison : consultez et gérez les systèmes détectés

Points de terminaison

Consultez les informations sur tous les points de terminaison détectés, telles que le nom et le nom de domaine du système, ainsi que les informations à propos des comptes associés à ces systèmes.

Recherche de points de terminaison

Recherchez un point de terminaison spécifique ou un groupe de points de terminaison sur la base du nom, du nom d’hôte, de la description ou du nom du Jumpoint.

Comptes

Consultez le nombre de comptes trouvés pendant la détection ainsi que les points de terminaison qui y sont associés. Cliquez sur l’option Comptes pour voir les comptes associés au système.

Modifier

Modifiez les informations du point de terminaison, à savoir le nom, la description et le nom d’hôte.

Supprimer

Supprimez le point de terminaison de la liste des points de terminaison.

Comptes : Gérez les comptes privilégiés utilisés sur les points de terminaison

Consultez et gérez les informations de tous les comptes détectés et ajoutés manuellement. Les informations disponibles incluent :

  • Type : le type de compte, à savoir, si c’est un compte de domaine ou un compte local
  • Nom : le nom du compte
  • Point de terminaison : le point de terminaison auquel le compte est associé
  • Description : Description brève au sujet du compte
  • Dernière extraction : la dernière fois que le compte a été extrait
  • Âge du mot de passe : l’âge du mot de passe

Sur la base de cette information, vous pouvez procéder à différentes actions, incluant l’extraction/l’archivage d’informations d’authentification et la rotation d’informations d’authentification.

Comptes

Ajouter un nouveau compte

Cliquez sur Ajouter un nouveau compte pour ajouter manuellement un nouveau compte à BeyondTrust Vault.

Chercher des comptes

Recherchez un compte ou groupe de comptes spécifique en fonction du nom, du nom du point de terminaison ou de la description.

Extraction/Archivage

Cliquez sur Extraction pour voir et utiliser des informations d’authentification. Lorsque sélectionné, l’invite du Mot de passe du compte apparaît, affichant les informations d’authentification pendant 60 secondes pour vous permettre de copier le mot de passe. Une fois l’invite fermée, l’option Archivage devient alors disponible. Lorsque vous avez fini d’utiliser le compte, cliquez sur Archivage pour archiver à nouveau le mot de passe dans le système.

Pour plus d’informations, veuillez consulter Extraire des informations d’authentification depuis l’interface /login PRA.

...

Cliquez sur ... pour voir plus d’actions, telles que Rotation du mot de passe, Modifier et Supprimer. Lorsque vous sélectionnez Rotation du mot de passe, le système procède automatiquement à une rotation ou un changement du mot de passe. Lorsque vous sélectionnez Modifier, vous pouvez seulement modifier les informations du compte. L’option Supprimer supprime le compte de la liste Comptes.

Pour plus d’informations, veuillez consulter Rotation des informations d’authentification privilégiées avec BeyondTrust Vault.

Ajouter un compte

L’option Ajouter un nouveau compte vous permet d’ajouter des comptes sans avoir à lancer une tâche de détection. Au lieu de cela, vous pouvez saisir manuellement les informations à propos du compte. Cette option est utile dans les situations où un compte partagé ou une combinaison de nom d’utilisateur/mot de passe peut être utilisé pour accéder à de nombreux systèmes différents.

Nom

Saisissez un nom pour le compte.

Description

Saisissez une description brève et facile à mémoriser du compte.

Nom d’utilisateur

Fournissez le nom d’utilisateur du compte.

Authentification

Sélectionnez la méthode d’authentification pour le compte : Mot de passe ou Clé privée SSH.

si vous sélectionnez une clé SSH pour authentification, vous devez fournir une clé privée pour le compte au format OpenSSH. Facultativement, vous pouvez inclure la phrase secrète associée à la clé privée.

Mot de passe et confirmation du mot de passe

Si la méthode d’authentification sélectionnée est Mot de passe, vous devez saisir le mot de passe du compte et le confirmer.

Clé privée SSH

Si la méthode d’authentification Clé privée SSH est sélectionnée, vous devez saisir la clé privée SSH du compte.

Clé privée SSH

Fournissez les informations de la clé privée SSH.

Phrase secrète de clé SSH

Si applicable, saisissez la phrase secrète de la clé privée SSH.

Permettre les extractions simultanées

Si le compte peut être extrait et utilisé par de multiples utilisateurs ou sessions à la fois, sélectionnez cette option.

Utilisateurs du compte

Nouveau nom d’utilisateur

Sélectionnez les utilisateurs autorisés à accéder à ce compte puis cliquez sur Ajouter.

Nouveau rôle de membre

L’un de ces deux rôles peut être assigné aux utilisateurs :

  • Injecter (valeur par défaut) : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access.
  • Injecter et extraire : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access et peuvent extraire le compte sur /login. L’autorisation d’extraction n’a pas d’effet sur les comptes génériques SSH.

Le rôle de compte Vault est visible dans la liste des utilisateurs ajoutés au compte Vault.

Lors d’une mise à niveau vers une installation Privileged Remote Access BeyondTrust avec la fonction Extraction configurable du Vault, toutes les appartenances de compte Vault existantes qui étaient configurées dans les règles de groupe avant la mise à niveau verront leur rôle de compte Vault défini par défaut sur Injecter et extraire après la mise à niveau.

 

Prévalence des rôles de compte Vault : Les rôles de compte Vault peuvent être assignés à la fois aux utilisateurs et aux règles de groupe. Cela signifie qu’un même utilisateur peut avoir différents rôles pour un seul compte Vault. Un rôle peut être assigné par les règles de groupe de l’utilisateur, tandis qu’un autre peut l’être en vertu de l’accès explicite de l’utilisateur au compte Vault. Dans de tels cas, le système utilise le rôle le plus spécifique pour cet utilisateur. Par conséquent, le système autorisera le rôle assigné par la page Modifier le compte Vault à outrepasser le rôle assigné par la règle de groupe de l’utilisateur. Lorsque le rôle est remplacé de cette manière, le mot outrepassé apparaît sur la page Modifier le compte Vault en ce qui concerne les règles de groupe associées à l’utilisateur. Ce comportement est conforme avec l’ordre de prévalence pour les rôles d’élément de Jump.

les comptes utilisateur avec la permission Autorisé à administrer Vault sont implicitement autorisés à accéder à tous les comptes Vault.

Modifier un compte local

Nom

Consultez ou modifiez le nom utilisé pour le compte.

Description

Consultez ou modifiez la description du compte.

Nom d’utilisateur

Consultez le nom d’utilisateur associé au compte.

Mot de passe

Saisissez un nouveau mot de passe pour le compte, ou laissez le champ vide pour conserver le mot de passe existant. Confirmez le mot de passe saisi.

Âge du mot de passe

Consultez l’âge du mot de passe existant.

Rotation automatique des informations d’authentification

Définir des comptes locaux pour une rotation automatique après utilisation

Permettre les extractions simultanées

Si le compte peut être extrait et utilisé par de multiples utilisateurs ou sessions à la fois, sélectionnez cette option.

Nom du point de terminaison

Consultez quels points de terminaison sont associés au compte.

Nom d’hôte du point de terminaison

Consultez le nom d’hôte des points de terminaison associés.

Utilisateurs du compte

Sélectionnez les utilisateurs autorisés à accéder à ce compte puis cliquez sur Ajouter.

les comptes utilisateur avec la permission Autorisé à administrer Vault sont implicitement autorisés à accéder à tous les comptes Vault.

Modifier un compte de domaine

Nom

Consultez ou modifiez le nom utilisé pour le compte.

Description

Consultez ou modifiez la description du compte.

Nom d’utilisateur

Consultez le nom d’utilisateur associé au compte.

Mot de passe

Saisissez un nouveau mot de passe pour le compte, ou laissez le champ vide pour conserver le mot de passe existant. Confirmez le mot de passe saisi.

Âge du mot de passe

Consultez l’âge du mot de passe existant.

Rotation automatique des informations d’authentification

Si vous souhaitez qu’une rotation des informations d’authentification ait lieu de façon automatique après archivage, sélectionnez cette option.

Permettre les extractions simultanées

Si le compte peut être extrait et utilisé par de multiples utilisateurs ou sessions à la fois, sélectionnez cette option.

Nom unique

Consultez le nom unique du compte.

Utilisateurs du compte

Sélectionnez les utilisateurs autorisés à accéder à ce compte puis cliquez sur Ajouter.

les comptes utilisateur avec la permission Autorisé à administrer Vault sont implicitement autorisés à accéder à tous les comptes Vault.

Domaines : Ajoutez ou gérez des domaines

Ajoutez, consultez et gérez des informations à propos de vos domaines.

Domaines

Ajouter un domaine

Cliquez sur Ajouter pour ajouter manuellement un nouveau domaine à la liste des domaines.

Nom de domaine

Consultez le nom du domaine.

Jumpoint

Consultez le Jumpoint utilisé pour détecter des comptes et points de terminaison sur le domaine.

Compte de gestion

Consultez le compte de gestion associé au Jumpoint et au domaine.

Détecter

Cliquez sur Détecter pour que le Jumpoint commence à scanner et détecter des points de terminaison et des comptes sur le domaine.

Modifier

Cliquez sur Modifier pour modifier les informations du domaine.

Supprimer

Cliquez sur Supprimer pour supprimer ce domaine de la liste des domaines.

Ajouter un domaine

Nom DNS

Saisissez le nom DNS du domaine.

Jumpoint

Choisissez un Jumpoint existant situé dans l’environnement où vous souhaitez détecter des comptes.

Compte de gestion

Sélectionnez le compte de gestion nécessaire au lancement de la tâche de détection pour ce domaine. Choisissez d’utiliser un nouveau compte, lequel nécessitera un nom d’utilisateur, un mot de passe et une confirmation du mot de passe. Ou alors, choisissez d’utiliser un compte existant détecté lors d’une précédente tâche ou ajouté manuellement dans la section Comptes.

Modifier le domaine

Nom DNS

Consultez ou modifiez le nom DNS du domaine.

Jumpoint

Consultez ou modifiez les informations du Jumpoint du domaine.

Compte de gestion

Consultez ou modifiez le compte de gestion nécessaire au lancement de la tâche de détection pour ce domaine. Choisissez d’utiliser un nouveau compte, lequel nécessitera un nom d’utilisateur, un mot de passe et une confirmation du mot de passe. Ou alors, choisissez d’utiliser un compte existant détecté lors d’une précédente tâche ou ajouté manuellement dans la section Comptes.