PAM360发布说明
PAM360 » PAM360发布说明

PAM360版本4.5(安全修补程序)4501(2020年5月16日)

安全修复

  • 已修复了在我们的内部框架中发现的未经身份验证的servlet漏洞,该漏洞可能会导致不太敏感的条目远程插入集成系统配置表中。
 

PAM360版本4.5(4500)(2020年5月6日)

新的功能

  • SSL证书的过期通知
    PAM360现在使用户能够发现、导入和配置托管在以下Amazon Web服务中的SSL证书的到期通知:AWS证书管理器(ACM)和AWS身份和访问管理(IAM)。
  • 自签名证书自动续订
    PAM360现在支持自动更新自签名证书以及Microsoft CA证书续订。
  • SSL证书部署和绑定-IIS服务器
    从现在起,您既可以将证书部署到IIS服务器,也可以将其绑定到IIS中所需的网站,所有这些都可以从PAM360接口本身进行,而无需单独访问IIS服务器。此外,还提供了一个选项来自动重新启动IIS服务器,以使部署和绑定生效,从而无需从IIS端手动重新启动。
  • 其他字段 PAM360现在为您带来了“附加字段”功能,它是从“Admin>;>;SSH/SSL”配置的,用于包含存储在存储库中的有关SSH密钥和SSL证书的任何附加信息。有四个不同的类别添加额外的字段:字符,数字,日期和电子邮件。用户可以选择从SSH和SSL视图中添加或删除附加字段。
  • 列选择器
    此版本的PAM360附带了“Column Chooser”功能,允许用户在运行时显示或隐藏列,并通过拖放方式重新排列当前视图中的列。
  • 相当好的隐私(PGP)密钥
    PGP加密通过加密和解密文本、电子邮件、文件等来增强在线通信的加密隐私和身份验证。它结合使用数据压缩、哈希和公钥加密来提高机密性。现在,PAM360以PGP密钥生成的形式为您提供了PGP功能,其中密钥用于加密电子邮件、文本等数据。在“Admin>>SSH/SSL”下创建、存储和管理PGP密钥。随时修改密钥描述,导出私钥/公钥,将密钥导出到多个电子邮件ID,以及生成、查看和计划报告。你也可以发送到期通知电子邮件给管理员。此功能允许您在受信任的用户组和企业之间安全地共享和协作信息。
  • 全球标志
    PAM360现在支持与GlobalSign SSL集成,GlobalSign SSL是一家受信任的证书颁发机构和领先的基于云的PKI解决方案提供商。这种集成使用户能够直接从PAM360 web界面请求、获取、导入、部署、更新和自动化GlobalSign颁发的SSL/TLS证书的端到端生命周期管理。
  • 使用代理部署证书
    PAM360已经可以将证书部署并绑定到属于PAM360所在域的IIS服务器。现在,PAM360还可以将证书部署到非军事区域中的IIS服务器,并将它们绑定到IIS中的网站,所有这些都使用代理。这使得PAM360更具可伸缩性,因为它可以在IIS服务器中部署和绑定证书,而不管它们是在同一个域中还是在不同的域中。
  • 使用代理进行CSR签名
    除了已经可用的两种签名类型,即用于对来自PAM360的证书进行签名的“MS Certificate Authority”和“sign with Root”,还引入了第三种签名类型“MS Certificate Authority with Agent”。这种新的签名类型主要用于对来自不同域(即PAM360所属域以外的域)的证书进行签名。
  • 与工单系统集成
    PAM360现在与企业票务系统集成,即ServiceDeskPlus(内部)和ServiceNow。此集成确保在票务环境中创建自动服务请求,以通知管理员可能过期的SSL证书和在PAM360中进行漏洞扫描后被认为易受攻击的证书。用户可以设置通知策略来控制为过期和易受攻击的票据创建服务请求的频率。

增强功能

  • PAM360现在提供了关于代理活动的更多信息,如心跳间隔、最新响应时间和执行的操作。
  • 对于计划的SSL过期任务,用户现在可以选择是否接收电子邮件通知,当特定计划中没有证书即将过期时。
  • PAM360提供了将单个私钥(.key)文件和证书文件(.cer/.pem)自动绑定到“JKS”和“PKCS”密钥库文件格式的功能,并提供了相应的导出选项。
  • 在基于标准的证书组创建中添加了两个额外的类别:AWS服务和证书模板。
  • 现在,在Windows服务器中部署证书时,可以使用PAM360服务帐户凭据进行身份验证。
  • 此后,在创建证书时,用户可以提供对所创建证书的临时访问(有效期以小时和分钟为单位),此后证书将自动过期。这消除了访问目标系统的强制永久访问凭据的需要,也消除了显式的访问撤销。
  • 现在可以使用公共名称和IP地址组合执行基于SNI的SSL发现。
  • “getAllSSLCertificates”RESTAPI中添加了在特定到期日内根据密钥长度和签名算法筛选证书的选项。
  • 现在可以自定义通知及其间隔。用户现在可以选择不接收有关过期证书的通知,并从“Admin>>SSH/SSL>>Notification Settings”为每个证书发送单独的电子邮件和自定义主题。在“SSH/SSL>>schedules>>Add Schedule”下创建新计划时,可以执行相同的操作,您必须将计划类型选择为“SSL Expiry”。
  • 以前,PAM360只允许从Windows系统签名和部署证书。现在,可以通过代理执行证书签名并从Linux安装部署到Windows系统。
  • 现在可以在“时间表”中提供定制的主题。
  • 在RestAPI中,修改fetch details格式的方式是“details”属性保存所有数据。以下是修改后的API列表:getCertificatedDetails、getallsslcertificates、getAllsslCertsPiryDate、sslCertSingleDiscovery、sslCertRangeDiscovery、getallsshkeys、GetSSHKeysForUser和GetAllAssociatedUsers。

漏洞修补

  • 以前,如果从“certificates→Create”创建证书时“Store Password”字段包含空格字符,则证书部署失败。现在已经修复了。
  • 以前,对于RSA和DSA签名算法,在执行批量操作时,“Create and Deploy”操作在SSH用户组上执行时失败。现在已经修复了。
  • 以前,当证书组名称中存在“空格”字符时,尝试从“报告”选项卡获取与该组相关的SSL证书报告时,会引发以下错误:“字段格式无效”。现在已经修复了。
  • 以前,即使在证书私钥被导入并附加到PAM360的证书存储库中的证书之后,“导出密钥库/PFX”仍然被禁用。现在已经修复了。
  • 在从PAM360接口执行所有与AD相关的操作期间,“连接模式”仅被保存为“No SSL”,即使选择了“SSL”模式。这个问题现在已经解决了。
  • 早些时候,MSCA签名只支持“javakeytool”CSR。现在,从这个版本开始,所有CSR都将得到MSCA签名的支持。在证书创建过程中,在SAN字段中输入的所有值一起被分类为“DNS”。现在,这些值被划分为“DNS”和“IP Address”类别。
  • 当一组资源与具有不同访问权限的用户共享时,并且当对其中一个资源授予不同的访问权限时,所有其他资源的访问权限也会更改。这个问题现在已经解决了。

安全修复程序

  • “审计报告”中发现的SQL注入漏洞已修复。
  • 已修复由于用户输入中缺少输出编码而发生的跨站点脚本(XSS)问题。
  • 早些时候,上传到服务器的证书的密钥库密码被附加在URL中,这会带来安全风险。从现在起,密钥库密码将作为“RequestBody”发送,以保持最佳安全性。
 

PAM360 4.1版(4101)(2020年4月1日)

增强

  • 本地帐户的即时(JIT)权限提升
    现在,PAM管理员可以在一个定义的时间内,比如30分钟,通过对敏感应用程序或服务的短期访问,向PAM360中的Windows本地帐户提供即时(JIT)权限提升。换句话说,管理员可以使用此功能临时提升帐户作为Windows管理员或任何其他特权用户的权限,并完成所需的特权功能。这在用户不需要持续权限访问,但只需要对某些应用程序或任务的临时、按需特权访问的场景中非常有用。
 

PAM360 4.1版(4100)(2020年2月3日)

新功能

  • AWS EC2发现
    除了现有的Windows、Linux、VMware和网络设备发现之外,这个版本还提供了发现AWS EC2实例及其相关特权帐户的选项。通过提供AWS IAM用户的访问密钥和密钥来发现AWS EC2实例。通过在发现时提供相关实例的SSH私钥(.pem),发现与每个AWS EC2实例关联的特权帐户。您还可以从多个区域发现awsec2实例。
  • 与Automation Anywhere RPA工具集成
    ManageEngine PAM360与Automation Anywhere、Robotic Process Automation(RPA)平台集成,该平台使用机器人自动化软件流程。PAM360呈现一个bot,它可以帮助您自动从PAM360 secure vault获取密码,而无需手动干预。这个机器人程序能够与其他机器人程序在任何地方的自动化工作,以创建一个完整的端点管理工作流。

增强

  • 定期密码完整性检查
    对于资源组,已有一个选项可用于检查存储在PAM360数据库中的密码是否与目标设备中的密码同步。现在,添加了一个新选项“定期完整性检查”,该选项允许您将任务安排在特定的日期/时间、指定日期的固定间隔或一个月的特定日期运行。密码完整性检查将根据计划集定期进行。与前一个选项不同,您可以使用新选项在方便的时间安排下检查所需组中密码的完整性。

漏洞修复

  • 在RDP会话期间,无法使用键盘快捷键“Ctrl+C”复制文本。这是由于PAM360 build 4000中启用的内容安全策略头中的损坏造成的。此问题已修复。
  • 从Build4000开始,在更新LDAP详细信息时,只有LDAP用户从用户组中删除。这个问题现在已经解决了。
  • 从build 4000开始,当在“General Settings-->Miscellaneous”下启用“Enable spliting of SSH and Telnet session recordings into multiple files”选项时,没有录制SSH会话。此问题发生在FQDN服务器中或DNS名称包含IP地址时。此问题已修复。
 

PAM360版本4.0(4002)(2020年1月14日)

安全增强

以前,所有经过本地身份验证的用户都可以完全访问Windows安装中的PostgreSQL数据目录。现在,作为一种安全实践,我们采取了以下措施,适用于“Program Files”目录下的安装:

  • 数据和配置目录不允许继承权限。
  • “已验证用户”权限已被完全排除。
  • 只有创建者所有者、系统、安装用户、NT AUTHORITY\Network Service和Administrators组才能完全控制目录,并且还可以启动PostgreSQL。
 

PAM360 4.0版(4001)(2019年11月13日)

新功能

  • 与DigiCert SSL集成

    PAM360与领先的TLS/SSL、物联网和各种其他PKI解决方案提供商DigiCert集成。用户可以直接从PAM360门户请求、获取、创建、部署、更新和自动管理DigiCert颁发的SSL/TLS证书。

  • CSR模板

    现在可以创建和使用预定义的模板从PAM360生成CSR(证书签名请求)。

  • 排除证书的选项

    用户现在可以选择在SSL发现期间忽略某些证书,或者手动将证书添加到PAM360存储库中。在“Admin>>SSH/SSL>>Exclude Certificate”下添加了一个新选项,您可以利用该选项添加要排除的证书,方法是指定它们的公用名称和序列号。

  • 支持RFC2136 DNS更新

    PAM360现在支持RFC2136 DNS更新,以完成域控制验证,同时从公共证书颁发机构(CA)获取证书。

  • 支持浏览器扩展

    从build 4001开始,支持浏览器扩展(Chrome和Firefox),允许您自动填写网站和web应用程序的密码,并设置自动登录网关以启动RDP和SSH会话。此外,该插件允许您查看所有密码、资源组、收藏夹等,并访问现有密码和添加新密码—所有这些都可以通过中央控制台访问到单个平台。
  • 选项修改Let's Encrypt帐户的电子邮件id,由Let's Encrypt用于发送过期证书的电子邮件警报。

增强功能

  • PAM360 build 4001为Linux资源类型提供了一个选项,用户可以选择强制将SSH密钥映射到用户帐户,即使无法访问目标系统。
  • 用户现在可以在生成CSR时使用PAM360对其进行签名(使用内部Microsoft CA或根证书)。
  • PAM360现在支持基于文件的发现,用于计划的SSH和SSL发现任务。
  • 添加了一个新的仪表板小部件,用于提供有关SSL配置漏洞的数据。
  • 支持使用ECDSA和ED25519签名算法发现SSH密钥。
  • 添加了一个新的restapi来查看SSL证书的私钥密码短语。

漏洞修复

在PAM360 build 4000中,在尝试与ServiceDesk Plus集成时,遇到了“Invalid API key”错误。此问题已在此版本中修复。

 

快速链接