Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nesta etapa, você se preparará para hospedar o ambiente que será gerenciado pelo PAM. Se necessário, também criarás um controlador de domínio e uma estação de trabalho membro num novo domínio e na floresta de domínios CORP. O acesso a essa floresta será a partir de identidades que serão geridas pelo ambiente bastião, com uma PRIV floresta, criada na próxima etapa. Esta floresta CORP simula uma floresta existente que tem recursos a serem gerenciados. Este documento inclui um exemplo de recurso a ser protegido, um compartilhamento de arquivos.
Se você já tiver um domínio existente do Ative Directory (AD) com um controlador de domínio executando o Windows Server 2012 R2 ou posterior, onde você é um administrador de domínio, você pode usar esse domínio em vez disso e pular para a seção "Criar um grupo" neste artigo.
Preparar o controlador de domínio CORP
Esta seção descreve como configurar um controlador de domínio para um domínio CORP. No domínio CORP, os usuários administrativos são gerenciados pelo ambiente bastião. O nome DNS (Sistema de Nomes de Domínio) do domínio CORP usado neste exemplo é contoso.local.
Instalar o Windows Server
Instale o Windows Server 2016 ou posterior em uma máquina virtual para criar um computador chamado CORPDC.
Escolha Windows Server 2016 (Servidor com Experiência de Desktop).
Revise e aceite os termos da licença.
Como o disco estará vazio, selecione Personalizar: Instalar apenas o Windows e use o espaço não inicializado em disco.
Inicie sessão nesse novo computador como administrador. Navegue até o Painel de Controle. Defina o nome do computador como CORPDC e forneça-lhe um endereço IP estático na rede virtual. Reinicie o servidor.
Depois que o servidor for reiniciado, entre como administrador. Navegue até o Painel de Controle. Configure o computador para verificar se há atualizações e instale as atualizações necessárias. Reinicie o servidor.
Adicionar funções para estabelecer um controlador de domínio
Nesta seção, você configurará o novo Windows Server para se tornar um controlador de domínio. Você adicionará as funções Serviços de Domínio Active Directory (AD DS), Servidor DNS e Servidor de Arquivos (parte integrante da seção Serviços de Arquivo e Armazenamento) e promoverá este servidor a controlador de domínio para uma nova floresta contoso.local.
Observação
Se você já tiver um domínio para usar como seu domínio CORP e esse domínio usar o Windows Server 2012 R2 ou posterior como seu nível funcional de domínio, poderá pular para Criar usuários e grupos adicionais para fins de demonstração.
Enquanto estiver conectado como administrador, inicie o PowerShell.
Digite os seguintes comandos.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkIsso solicitará o uso de uma senha de administrador do modo de segurança. Observe que mensagens de aviso para delegação de DNS e configurações de criptografia aparecerão. Estes são normais.
Depois que a criação da floresta for concluída, saia. O servidor será reiniciado automaticamente.
Depois que o servidor for reiniciado, entre no CORPDC como administrador do domínio. Normalmente, esse é o usuário CONTOSO\Administrator, que terá a senha criada quando você instalou o Windows no CORPDC.
Instalar atualizações (somente Windows Server 2012 R2)
- Se você optar por usar o Windows Server 2012 R2 como o sistema operacional para CORPDC, você deve instalar hotfixes 2919442, 2919355, e atualizar 3155495 no CORPDC.
Criar um grupo
Crie um grupo para fins de auditoria pelo Ative Directory, se o grupo ainda não existir. O nome do grupo deve ser o nome de domínio NetBIOS seguido por três cifrões, por exemplo, CONTOSO$$$.
Para cada domínio, entre em um controlador de domínio como administrador de domínio e execute as seguintes etapas:
Inicie o PowerShell.
Digite os seguintes comandos, mas substitua "CONTOSO" pelo nome NetBIOS do seu domínio.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Em alguns casos, o grupo pode já existir - isso é normal se o domínio também foi usado em cenários de migração do AD.
Criar usuários e grupos adicionais para fins de demonstração
Se você criou um novo domínio CORP, deverá criar usuários e grupos adicionais para demonstrar o cenário do PAM. O usuário e o grupo para fins de demonstração não devem ser administradores de domínio ou controlados pelas configurações adminSDHolder no AD.
Observação
Se você já tiver um domínio que usará como domínio CORP e ele tiver um usuário e um grupo que você pode usar para fins de demonstração, pule para a seção Configurar auditoria.
Vamos criar um grupo de segurança chamado CorpAdmins e um usuário chamado Jen. Você pode usar nomes diferentes, se desejar. Se você já tem um usuário existente, por exemplo, com um cartão inteligente, então você não precisará criar um novo usuário.
Inicie o PowerShell.
Digite os seguintes comandos. Substitua a senha 'Pass@word1' por uma cadeia de caracteres de senha diferente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configurar auditoria
Você precisa habilitar a auditoria em florestas existentes para estabelecer a configuração do PAM nessas florestas.
Para cada domínio, entre em um controlador de domínio como administrador de domínio e execute as seguintes etapas:
Vá para Início>Ferramentas Administrativas do Windowse inicie Gestão de Políticas de Grupo.
Navegue até à política dos controladores de domínio para este domínio. Se você criou um novo domínio para contoso.local, navegue até Floresta: contoso.local>Domínios>contoso.local>Controladores de Domínio>Política de Controladores de Domínio Padrão. É apresentada uma mensagem informativa.
Clique com o botão direito do mouse em a política de controladores de domínio padrão e selecione Editar. É apresentada uma nova janela.
Na janela Editor de Gestão de Políticas de Grupo, na árvore Política de Controladores de Domínio Padrão, navegue até Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança>Políticas Locais>Política de Auditoria.
No painel de detalhes, clicar com o botão direito em Gerenciamento de contas de auditoria e selecionar Propriedades. Selecione Defina estas definições de política, coloque uma caixa de verificação em Sucesso , coloque uma caixa de verificação em Falha , clique Aplicar e OK.
No painel de detalhes, clique com o botão direito do mouse em de acesso ao serviço de diretório de auditoria e selecione Propriedades. Selecione Defina estas definições de política, coloque uma caixa de verificação em Sucesso , coloque uma caixa de verificação em Falha , clique Aplicar e OK.
Feche a janela Editor de Gerenciamento de Diretiva de Grupo e a janela Gerenciamento de Diretiva de Grupo.
Aplique as configurações de auditoria iniciando uma janela do PowerShell e digitando:
gpupdate /force /target:computer
A mensagem de atualização da Diretiva do Computador foi concluída com êxito deve aparecer após alguns minutos.
Definir configurações do Registro
Nesta seção, você definirá as configurações do Registro necessárias para a migração do Histórico de sID, que serão usadas para a criação do grupo Gerenciamento de Acesso Privilegiado.
Inicie o PowerShell.
Digite os seguintes comandos para configurar o domínio de origem para permitir o acesso RPC (chamada de procedimento remoto) ao banco de dados do SAM (gerenciador de contas de segurança).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Isso reiniciará o controlador de domínio, CORPDC. Para obter mais informações sobre essa configuração do registo, consulte Como solucionar problemas de migração sIDHistory entre florestas com o ADMTv2.
Preparar um recurso CORP para fins de demonstração
Você precisará de pelo menos um recurso no domínio para demonstrar o controle de acesso baseado em grupo de segurança com o PAM. Se você ainda não tiver um recurso, poderá usar uma pasta de arquivos em um servidor associado ao domínio CORP para fins de demonstração. Isso usará os objetos AD "Jen" e "CorpAdmins" criados no domínio contoso.local.
Conecte-se ao servidor como administrador.
Crie uma nova pasta chamada CorpFS e partilhe-a com o grupo CorpAdmins. Abra o PowerShell como administrador e digite os seguintes comandos.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclComo o usuário do PRIV estará se conectando a este servidor de outra floresta, talvez seja necessário alterar a configuração do firewall neste servidor para permitir que o computador do usuário possa se conectar a esse servidor.
Na próxima etapa, você preparará o controlador de domínio PRIV.