Paso 1: preparar el host y el dominio CORP
En este paso, se preparará para hospedar el entorno administrado por PAM. Si es necesario, también creará un controlador de dominio y una estación de trabajo miembro en un nuevo dominio y bosque (el bosque CORP ). El acceso a ese bosque será desde identidades que administrará el entorno bastión, con un bosque PRIV , creado en el paso siguiente. Este bosque CORP simula un bosque existente con recursos que se van a administrar. Este documento incluye un recurso de ejemplo que se va a proteger, un recurso compartido de archivos.
Si ya tiene un dominio de Active Directory (AD) existente con un controlador de dominio que ejecuta Windows Server 2012 R2 o posterior, donde es administrador de dominio, puede usar ese dominio en su lugar y pasar a la sección "Crear un grupo" de este artículo.
Preparación del controlador de dominio CORP
En esta sección se explica cómo configurar un controlador de dominio para un dominio CORP. En el dominio CORP, el entorno bastión administra los usuarios administrativos. El nombre DNS (Sistema de nombres de dominio) del dominio CORP usado en este ejemplo es contoso.local.
Instalación de Windows Server
Instale Windows Server 2016 o posterior en una máquina virtual para crear un equipo denominado CORPDC.
Elija Windows Server 2016 (Servidor con experiencia de escritorio).
Revise los términos de licencia y acéptelos.
Como el disco estará vacío, seleccione Personalizada: Instalar solo Windows y use el espacio de disco que no se ha inicializado.
Inicie sesión en ese nuevo equipo como su administrador. Vaya al Panel de control. Establezca el nombre del equipo en CORPDC y asígnele una dirección IP estática en la red virtual. Reinicie el servidor.
Una vez reiniciado el servidor, inicie sesión como administrador. Vaya al Panel de control. Configure el equipo para que compruebe si hay actualizaciones e instale todas las necesarias. Reinicie el servidor.
Adición de roles para establecer un controlador de dominio
En esta sección, configurará el nuevo Windows Server para convertirse en un controlador de dominio. Agregará los roles Servicios de dominio de Active Directory (AD DS), Servidor DNS y Servidor de archivos (parte de la sección Servicios de archivos y almacenamiento) y promoverá este servidor a un controlador de dominio de un nuevo bosque contoso.local.
Nota
Si ya tiene un dominio para usarlo como dominio CORP y ese dominio usa Windows Server 2012 R2 o posterior como nivel funcional de dominio, puede ir directamente a Crear usuarios y grupos adicionales con fines de demostración.
Con la sesión iniciada como administrador, inicie PowerShell.
Escriba los siguientes comandos:
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkSe le solicitará una contraseña para el administrador del modo seguro. Tenga en cuenta que aparecerán mensajes de advertencia de delegación de DNS y configuración de criptografía. Estos mensajes son normales.
Una vez completada la creación del bosque, cierre la sesión. El servidor se reiniciará automáticamente.
Una vez reiniciado el servidor, inicie sesión en CORPDC como administrador del dominio. Suele ser el usuario CONTOSO\Administrator, que tendrá la contraseña que se creó al instalar Windows en CORPDC.
Instalar actualizaciones (solo Windows Server 2012 R2)
- Si decide usar Windows Server 2012 R2 como sistema operativo para CORPDC, debe instalar las revisiones 2919442 y 2919355, así como la actualización 3155495 en CORPDC.
Creación de un grupo
Si no existe uno, cree un grupo para que Active Directory lo audite. El nombre del grupo debe ser el nombre del dominio NetBIOS seguido por tres signos de dólar, por ejemplo, CONTOSO$$$.
Inicie sesión en un controlador de dominio como administrador de dominio y realice los pasos siguientes para cada dominio:
Inicie PowerShell.
Escriba los comandos siguientes, pero sustituya "CONTOSO" por el nombre NetBIOS del dominio.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
En algunos casos puede que ya exista el grupo. Esto es normal si el dominio también se usó en escenarios de migración de AD.
Creación de usuarios y grupos adicionales para fines demostrativos
Si creó un nuevo dominio CORP, entonces debería crear usuarios y grupos adicionales para ilustrar el escenario PAM. El usuario y el grupo para fines demostrativos no deben ser administradores de dominio ni estar controlados por la configuración de adminSDHolder en AD.
Nota
Si ya tiene un dominio que va a usar como dominio CORP y tiene un usuario y un grupo que puede usar para fines de demostración, puede ir directamente a la sección Configurar auditoría.
Ahora se va a crear un grupo de seguridad denominado CorpAdmins y un usuario denominado Jen. Puede usar otros nombres si quiere. Si ya tiene un usuario existente, por ejemplo, con una tarjeta inteligente, no tendrá que crear un nuevo usuario.
Inicie PowerShell.
Escriba los siguientes comandos: Sustituya la contraseña 'Pass@word1' por una cadena de contraseña diferente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configuración de la auditoría
Para establecer la configuración PAM en los bosques existentes, tiene que habilitar las auditorías en ellos.
Inicie sesión en un controlador de dominio como administrador de dominio y realice los pasos siguientes para cada dominio:
Vaya a Iniciar>herramientas administrativas de Windows e inicie directiva de grupo Management.
Vaya a la directiva de controladores de dominio de este dominio. Si ha creado un dominio para contoso.local, vaya a Bosque: contoso.local Domains contoso.local DomainControllers Default Domain Controllers Policy (Bosque: contoso.localDomains>contoso.local>>Domain ControllersDefault Domain Controllers > Policy). Aparece un mensaje informativo.
Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar. Aparece una nueva ventana.
En la ventana editor de administración de directiva de grupo, en el árbol Directiva predeterminada de controladores de dominio, vaya a Directivas de configuración del equipo Directivas de configuración>> de WindowsConfiguración de seguridad>Directiva>de auditoría de directivaslocales>.
En el panel de detalles , haga clic con el botón derecho en Auditar la administración de cuentas y seleccione Propiedades. Seleccione Definir esta configuración de directiva, active Correcto, Error, haga clic en Aplicar y en Aceptar.
En el panel de detalles, haga clic con el botón derecho en Auditar el acceso del servicio de directorio y seleccione Propiedades. Seleccione Definir esta configuración de directiva, active Correcto, Error, haga clic en Aplicar y en Aceptar.
Cierre las ventanas Editor de administración de directivas de grupo y Administración de directivas de grupo.
Aplique la configuración de auditoría al iniciar una ventana de PowerShell y escribir:
gpupdate /force /target:computer
Transcurridos unos minutos, debería aparecer el mensaje La actualización de la directiva de equipo se completó correctamente.
Configuración del registro
En esta sección, configurará las opciones del Registro necesarias para la migración del historial de sID, que se usará para la creación de grupos de Privileged Access Management.
Inicie PowerShell.
Escriba los siguientes comandos para configurar el dominio de origen para permitir el acceso de la llamada a procedimiento remoto (RPC) a la base de datos del administrador de cuentas de seguridad (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Con esto se reiniciará el controlador de dominio, CORPDC. Para obtener más información sobre la configuración del Registro, consulte Cómo solucionar problemas de la migración de sIDHistory entre bosques con ADMTv2.
Preparación de un recurso CORP con fines de demostración
Necesitará al menos un recurso en el dominio para demostrar el control de acceso basado en grupos de seguridad con PAM. Si aún no tiene un recurso, puede usar una carpeta de archivos en un servidor unido al dominio CORP para fines de demostración. Esta usará los objetos de AD "Jen" y "CorpAdmins" que creó en el dominio contoso.local.
Conéctese al servidor como administrador.
Cree una carpeta nueva denominada CorpFS y compártala con el grupo CorpAdmins. Abra PowerShell como administrador y escriba los siguientes comandos.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclComo el usuario PRIV se conectará a este servidor desde otro bosque, es posible que tenga que cambiar la configuración del firewall en este servidor para permitir que el equipo del usuario pueda conectarse a este servidor.
En el paso siguiente, preparará el controlador de dominio PRIV.