Partilhar via


Passo 2 - Preparar o primeiro controlador de domínio PRIV

Neste passo, irá criar um novo domínio que fornecerá o ambiente bastion para autenticação de administrador. Esta floresta precisará de, pelo menos, um controlador de domínio, uma estação de trabalho membro e, pelo menos, um servidor membro. O servidor membro será configurado no passo seguinte.

Criar um novo controlador de domínio do Privileged Access Management

Nesta secção, vai configurar uma máquina virtual para funcionar como um controlador de domínio para uma nova floresta.

Instalar Windows Server 2016 ou posterior

Noutra nova máquina virtual sem software instalado, instale Windows Server 2016 ou posterior para tornar um computador "PRIVDC".

  1. Selecione executar uma instalação personalizada (não uma atualização) do Windows Server. Ao instalar, especifique Windows Server 2016 (Server with Desktop Experience); não selecioneData Center ou Server Core.

  2. Reveja e aceite os termos do licenciamento.

  3. Uma vez que o disco estará vazio, selecione Personalizado: Instalar apenas o Windows e utilizar o espaço em disco não inicializado.

  4. Depois de instalar a versão do sistema operativo, inicie sessão neste novo computador como o novo administrador. Utilize Painel de Controlo para definir o nome do computador como PRIVDC. Nas definições de rede, atribua-lhe um endereço IP estático na rede virtual e configure o servidor DNS para ser o do controlador de domínio instalado no passo anterior. Terá de reiniciar o servidor.

  5. Após o reinício do servidor, inicie sessão como administrador. Através do Painel de Controlo, configure o computador para verificar se existem atualizações e instale as atualizações necessárias. A instalação de atualizações pode exigir um reinício do servidor.

Adicionar funções

Adicione as funções de Serviços de Domínio do Active Directory (AD DS) e Servidor DNS.

  1. Inicie o PowerShell como administrador.

  2. Escreva os comandos seguintes para se preparar para uma instalação do Windows Server Active Directory.

    import-module ServerManager
    
    Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
    

Configurar definições de registo para a migração do Histórico do SID

Inicie o PowerShell e escreva os comandos seguintes para configurar o domínio de origem para permitir o acesso de chamada de procedimento remoto (RPC) à base de dados do Gestor de contas de segurança (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Criar uma nova floresta do Privileged Access Management

Em seguida, promova o servidor para ser um controlador de domínio de um uma nova floresta.

Neste guia, o nome priv.contoso.local é utilizado como o nome de domínio da nova floresta. O nome da floresta não é crítico e não precisa de ser subordinado a um nome de floresta existente na organização. No entanto, tanto o nomes de domínio como de NetBIOS da nova floresta têm de ser exclusivos e distintos do nome de qualquer outro domínio na organização.

Criar um domínio e uma floresta

  1. Numa janela do PowerShell, escreva os comandos seguintes para criar o novo domínio. Estes comandos também criarão uma delegação DNS num domínio superior (contoso.local), que foi criado num passo anterior. Se quiser configurar o DNS mais tarde, omita os parâmetros CreateDNSDelegation -DNSDelegationCredential $ca.

    $ca= get-credential
    Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
    
  2. Quando o pop-up aparecer para configurar a delegação de DNS, forneça as credenciais para o administrador da floresta CORP, que neste guia era o nome de utilizador CONTOSO\Administrador e a palavra-passe correspondente do passo 1.

  3. A janela do PowerShell irá pedir uma Palavra-passe de Administrador de Modo de Segurança para utilizar. Introduza uma nova palavra-passe duas vezes. Irão aparecer mensagens de aviso relativas a definições de criptografia e delegação DNS. Estas mensagens são normais.

Quando a criação da floresta estiver concluída, o servidor irá reiniciar automaticamente.

Criar contas de utilizador e de serviço

Crie as contas de utilizador e de serviço para a configuração do Portal e do Serviço MIM. Estas contas ficarão no contentor de utilizadores do domínio priv.contoso.local.

  1. Após o servidor reiniciar, inicie sessão no PRIVDC como administrador de domínio (PRIV\Administrator).

  2. Inicie o PowerShell e escreva os comandos seguintes. A palavra-passe «Pass@word1» é apenas um exemplo e deve utilizar uma palavra-passe diferente para as contas.

    import-module activedirectory
    
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName MIMMA –name MIMMA
    
    Set-ADAccountPassword –identity MIMMA –NewPassword $sp
    
    Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
    
    Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
    
    Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
    
    Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
    
    Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMSync –name MIMSync
    
    Set-ADAccountPassword –identity MIMSync –NewPassword $sp
    
    Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMService –name MIMService
    
    Set-ADAccountPassword –identity MIMService –NewPassword $sp
    
    Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName SharePoint –name SharePoint
    
    Set-ADAccountPassword –identity SharePoint –NewPassword $sp
    
    Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName SqlServer –name SqlServer
    
    Set-ADAccountPassword –identity SqlServer –NewPassword $sp
    
    Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
    
    Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
    
    Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
    
    New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
    
    Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
    
    Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
    
    Add-ADGroupMember "Domain Admins" SharePoint
    
    Add-ADGroupMember "Domain Admins" MIMService
    

Configurar os direitos de início de sessão e de auditoria

Tem de configurar a auditoria para que a configuração do PAM seja estabelecida entre florestas.

  1. Certifique-se de que tem sessão iniciada como administrador de domínio (PRIV\Administrator).

  2. Aceda a Iniciar>Ferramentas Administrativas>do Windows Política de Grupo Gestão.

  3. Navegue para Floresta: priv.contoso.local>Domains>priv.contoso.local>Domain ControllersDefault Domain Controllers> Policy . Será apresentada uma mensagem de aviso.

  4. Clique com o botão direito do rato em Política de Controladores de Domínio Predefinida e selecione Editar.

  5. Na árvore da consola do Editor de Gestão do Política de Grupo, navegue para Políticas de Configuração> do ComputadorPolíticas> de Segurançadefinições> do WindowsDefinições de Segurança Políticas>Locais Políticas Locais Políticas>.

  6. No painel de detalhes, clique com o botão direito do rato em Gestão de contas de auditoria e selecione Propriedades. Clique em Definir estas definições de política, marque a caixa de verificação Êxito, marque a caixa de verificação Falha, clique em Aplicar e, em seguida, em OK.

  7. No painel Detalhes, clique com o botão direito do rato em Auditar acesso ao serviço de diretórios e selecione Propriedades. Clique em Definir estas definições de política, marque a caixa de verificação Êxito, marque a caixa de verificação Falha, clique em Aplicar e, em seguida, em OK.

  8. Navegue para Políticas de Configuração> do ComputadorPolíticas>de Segurança Definições> do WindowsPolíticas> deConta Políticas>de Kerberos.

  9. No painel Detalhes, com o botão direito do rato em Duração máxima para autorização de utilizador e selecione Propriedades. Clique em Definir estas definições de política, defina o número de horas como 1, clique em Aplicar e, em seguida, em OK. Tenha em atenção que as outras definições na janela também serão alteradas.

  10. Na janela Gestão de Políticas de Grupo, selecione Política de Domínio Predefinida, clique com o botão direito do rato e selecione Editar.

  11. ExpandaPolíticas> de Configuração> do ComputadorDefiniçõesdeSegurança Definições> do WindowsPolíticas> Locais e selecione Atribuição de Direitos de Utilizador.

  12. No painel Detalhes, clique com o botão direito do rato em Negar início de sessão como uma tarefa batch e selecione Propriedades.

  13. Selecione a caixa de verificação Definir estas Definições de Políticas , clique em Adicionar Utilizador ou Grupo e, no campo Nomes de utilizador e grupo, escreva priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.

  14. Clique em OK para fechar a janela.

  15. No painel Detalhes, clique com o botão direito do rato em Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto e selecione Propriedades.

  16. Clique na caixa de verificação Definir estas Definições de Políticas , clique em Adicionar Utilizador ou Grupo e, no campo Nomes de utilizador e grupo, escreva priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.

  17. Clique em OK para fechar a janela.

  18. Feche a janela Editor de Gestão de Políticas de Grupo e a janela Gestão de Políticas de Grupo.

  19. Inicie uma janela do PowerShell como administrador e escreva o seguinte comando para atualizar o DC com as definições da política de grupos.

    gpupdate /force /target:computer
    

    Após um minuto, será concluída com a mensagem "A atualização da Política de Computador foi concluída com êxito".

Configurar o reencaminhamento do nome DNS no PRIVDC

Com o PowerShell no PRIVDC, configure o reencaminhamento do nome DNS para que o domínio PRIV reconheça outras florestas existentes.

  1. Inicie o PowerShell.

  2. Para cada domínio na parte superior de cada floresta existente, escreva o seguinte comando. Nesse comando, especifique o domínio DNS existente (como contoso.local) e os endereços IP dos servidores DNS principais desse domínio.

    Se criou um domínio contoso.local no passo anterior com 10.1.1.31 como endereço IP, especifique 10.1.1.31 para o endereço IP de rede virtual do computador CORPDC.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
    

Nota

As outras florestas também têm de estar preparadas para encaminhar consultas DNS da floresta PRIV para este controlador de domínio. Se tiver várias florestas do Active Directory existentes, tem também de adicionar um reencaminhador condicional de DNS a cada uma dessas florestas.

Configurar o Kerberos

  1. Com o PowerShell, adicione SPNs para que o SharePoint, a API REST do PAM e o Serviço MIM possam utilizar a autenticação Kerberos.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
    setspn -S http/pamsrv PRIV\SharePoint
    setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
    setspn -S FIMService/pamsrv PRIV\MIMService
    

Nota

Os passos seguintes deste documento descrevem como instalar os componentes do servidor MIM 2016 num único computador. Se planear adicionar outro servidor para elevada disponibilidade, precisará de configuração de Kerberos adicional, conforme descrito em FIM 2010: Kerberos Authentication Setup (FIM 2010: Configuração de Autenticação Kerberos).

Configurar a delegação para dar acesso a contas de serviço MIM

Execute os passos seguintes no PRIVDC como administrador do domínio.

  1. Inicie Utilizadores e Computadores do Active Directory.

  2. Clique com o botão direito do rato no domínio priv.contoso.local e selecione Delegar Controlo.

  3. No separador Utilizadores e Grupos Selecionados, clique em Adicionar.

  4. Na janela Selecionar Utilizadores, Computadores ou Grupos, escreva mimcomponent; mimmonitor; mimservice e clique em Verificar Nomes. Depois de os nomes estarem sublinhados, clique em OK e em seguinte.

  5. Na lista de tarefas comuns, selecione Criar, eliminar e gerir contas de utilizador e Modificar a associação de um grupo, clique em Seguinte e em Concluir.

  6. Clique novamente com o botão direito do rato no domínio priv.contoso.local e selecione Delegar Controlo.

  7. No separador Utilizadores e Grupos Selecionados, clique em Adicionar.

  8. Na janela Selecionar Utilizadores, Computadores ou Grupos, introduza MIMAdmin e clique em Verificar Nomes. Depois de os nomes estarem sublinhados, clique em OK e em seguinte.

  9. Selecione tarefa personalizada, aplique a Esta pasta, com Permissões gerais.

  10. Na lista de permissões, selecione as seguintes permissões:

    • Ler
    • Escrita
    • Criar todos os Objetos Subordinados
    • Eliminar todos os Objetos Subordinados
    • Ler todas as propriedades
    • Escrever Todas as Propriedades
    • Migrar Histórico do SID
  11. Clique em Seguinte e, em seguida, em Concluir.

  12. Mais uma vez, clique com o botão direito do rato no domínio priv.contoso.local e selecione Delegar Controlo.

  13. No separador Utilizadores e Grupos Selecionados, clique em Adicionar.

  14. Na janela Selecionar Utilizadores, Computadores ou Grupos, introduza MIMAdmin e clique em Verificar Nomes. Depois de os nomes estarem sublinhados, clique em OK e, em seguida, em Seguinte.

  15. Selecione tarefa personalizada, aplique a Esta pasta e clique em Apenas objetos de utilizador.

  16. Na lista de permissões, selecione Alterar palavra-passe e Repor palavra-passe. Em seguida, clique em Seguinte e em Concluir.

  17. Feche Computadores e Utilizadores do Active Directory.

  18. Abra uma linha de comandos.

  19. Reveja a lista de controlo de acesso do objeto Titular de SD Admin nos domínios PRIV. Por exemplo, se o seu domínio fosse "priv.contoso.local", escreva o comando:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    
  20. Atualize a lista de controlo de acesso, conforme necessário, para garantir que o Serviço MIM e o serviço de componentes PAM do MIM podem atualizar as associações de grupos protegidos por esta ACL. Escreva o comando:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

Configurar o PAM no Windows Server 2016

Em seguida, autorize os administradores do MIM e a conta do Serviço MIM a criar e atualizar principais sombra.

  1. Ative as funcionalidades de Gestão de Acesso Privilegiado no Windows Server 2016 o Active Directory estão presentes e ativados na floresta PRIV. Inicie uma janela do PowerShell como administrador e escreva os seguintes comandos.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
    Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
    
  2. Inicie uma janela do PowerShell e escreva ADSIEdit.

  3. No menu Ações, clique em "Ligar a". Na Definição do ponto de ligação, altere o contexto de nomenclatura de "Contexto de nomenclatura predefinido" para "Configuração" e clique em OK.

  4. Depois de estabelecer ligação, no lado esquerdo da janela abaixo de "Editor de ADSI", expanda o nó de Configuração para ver "CN=Configuration,DC=priv,...". Expanda CN=Configuration e, em seguida, expanda CN=Services.

  5. Clique com o botão direito do rato em "CN=Shadow Principal Configuration" e clique em Propriedades. Quando for apresentada a caixa de diálogo de propriedades, mude para o separador de segurança.

  6. Clique em Adicionar. Especifique as contas "MIMService", bem como quaisquer outros administradores do MIM que mais tarde irão executar o comando New-PAMGroup para criar grupos de PAM adicionais. Para cada utilizador, na lista de permissões autorizadas, adicione "Escrever", "Criar todos os objetos subordinados" e "Eliminar todos os objetos subordinados". Adicione as permissões.

  7. Mude para as definições de Segurança Avançada. Na linha que permite o acesso mimservice, clique em Editar. Altere a definição "Aplica-se a" para "a este objeto e todos os objetos subordinados". Atualize esta definição de permissão e feche a caixa de diálogo de segurança.

  8. Feche o Editor de ADSI.

  9. Em seguida, autorize os administradores do MIM a criar e atualizar a política de autenticação. Inicie uma Linha de comandos elevada e escreva os seguintes comandos, substituindo o nome da conta de administrador do MIM por "mimadmin" em cada linha:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
    
    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
    
    dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
    
    dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
    
  10. Reinicie o servidor PRIVDC para que estas alterações sejam aplicadas.

Preparar uma estação de trabalho PRIV

Siga estas instruções para preparar uma estação de trabalho. Esta estação de trabalho será associada ao domínio PRIV para efetuar a manutenção de recursos PRIV (como o MIM).

Instalar Windows 10 Enterprise

Noutra nova máquina virtual sem software instalado, instale Windows 10 Enterprise para tornar um computador "PRIVWKSTN".

  1. Utilize as definições Express durante a instalação.

  2. Tenha em atenção que a instalação poderá não conseguir estabelecer ligação à Internet. Clique em Criar uma conta local. Especifique um nome de utilizador diferente; não utilize "Administrador" ou "Joana".

  3. Com o Painel de Controlo, atribua um endereço IP estático a este computador na rede virtual e defina o servidor DNS preferencial da interface para ser o do servidor PRIVDC.

  4. Com o Painel de Controlo, o domínio associa o computador PRIVWKSTN ao domínio priv.contoso.local. Este passo exigirá a disponibilização das credenciais de administrador de domínio PRIV. Quando estiver concluído, reinicie o computador PRIVWKSTN.

  5. Instale o Visual C++ 2013 Redistributable Packages para Windows de 64 bits.

Se quiser mais detalhes, veja proteger estações de trabalho com acesso privilegiado.

No próximo passo, irá preparar um servidor PAM.