Etapa 1 – Preparar o host e o domínio CORP
Nesta etapa, você se preparará para hospedar o ambiente que será gerenciado pelo PAM. Se necessário, você também criará um controlador de domínio e uma estação de trabalho membro em um novo domínio e floresta (a floresta CORP ). O acesso a essa floresta será proveniente de identidades a serem gerenciadas pelo ambiente de bastiões, com uma floresta PRIV , criada na próxima etapa. Essa floresta CORP simula uma floresta existente que tem os recursos a serem gerenciados. Este documento inclui um recurso de exemplo a ser protegido, um compartilhamento de arquivos.
Se você já tiver um domínio existente do AD (Active Directory) com um controlador de domínio executando Windows Server 2012 R2 ou posterior, em que você é um administrador de domínio, poderá usar esse domínio e pular para a seção "Criar um grupo" neste artigo.
Preparar o controlador de domínio CORP
Esta seção descreve como configurar um controlador de domínio para um domínio CORP. No domínio CORP, os usuários administrativos são gerenciados pelo ambiente de bastiões. O nome DNS (Sistema de Nomes de Domínio) do domínio CORP usado neste exemplo é contoso.local.
Instalar o Windows Server
Instale Windows Server 2016 ou posterior em uma máquina virtual para criar um computador chamado CORPDC.
Escolha Windows Server 2016 (Servidor com Experiência Desktop).
Leia e aceite os termos de licença.
Uma vez que o disco estará vazio, selecione Personalizar: instalar somente o Windows e use o espaço em disco não inicializado.
Entre no novo computador como administrador. Navegue até o Painel de Controle. Defina o nome do computador como CORPDC e dê a ele um endereço IP estático na rede virtual. Reinicie o servidor.
Após a reinicialização do servidor, entre como um administrador. Navegue até o Painel de Controle. Configure o computador para verificar se há atualizações e instale todas as atualizações necessárias. Reinicie o servidor.
Adicionar funções para estabelecer um controlador de domínio
Nesta seção, você configurará o novo Windows Server para se tornar um controlador de domínio. Você adicionará as funções Active Directory Domain Services (AD DS), Servidor DNS e Servidor de Arquivos (parte da seção Serviços de Arquivo e Armazenamento) e promoverá esse servidor a um controlador de domínio de uma nova floresta contoso.local.
Observação
Se você já tiver um domínio para usar como seu domínio CORP e esse domínio usar Windows Server 2012 R2 ou posterior como seu nível funcional de domínio, você poderá pular para Criar usuários e grupos adicionais para fins de demonstração.
Enquanto estiver conectado como administrador, inicie o PowerShell.
Digite os seguintes comandos.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkIsso solicitará uma senha de administrador no modo de segurança para usar. Observe que as mensagens de aviso para configurações de criptografia e delegação de DNS serão exibidas. Isso é normal.
Depois que a criação da floresta for concluída, saia. O servidor será reiniciado automaticamente.
Após a reinicialização do servidor, entre em CORPDC como administrador de domínio. Normalmente, esse é o usuário CONTOSO\Administrator, que terá a senha que foi criada quando você instalou o Windows no CORPDC.
Instalar atualizações (somente Windows Server 2012 R2)
- Se você optar por usar o Windows Server 2012 R2 como o sistema operacional para CORPDC, deverá instalar hotfixes 2919442, 2919355 e atualizar 3155495 no CORPDC.
Criar um grupo
Crie um grupo para fins de auditoria pelo Active Directory, se o grupo não existir. O nome do grupo deve ser o nome de domínio NetBIOS seguido de três cifrões, por exemplo, CONTOSO$$$.
Para cada domínio, entre em um controlador de domínio como administrador de domínio e realize as seguintes etapas:
Inicie o PowerShell.
Digite os seguintes comandos, mas substitua “CONTOSO” pelo nome NetBIOS de seu domínio.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Em alguns casos, o grupo já pode existir – isso é normal se o domínio também foi usado em cenários de migração do AD.
Criar usuários e grupos adicionais para fins de demonstração
Se você criou um novo domínio CORP, será necessário criar usuários e grupos adicionais para demonstrar o cenário de PAM. O usuário e o grupo para fins de demonstração não devem ser administradores de domínio nem controlados pelas configurações de adminSDHolder no AD.
Observação
Se você já tiver um domínio que usará como domínio CORP e ele tiver um usuário e um grupo que você pode usar para fins de demonstração, poderá pular para a seção Configurar auditoria.
Vamos criar um grupo de segurança chamado CorpAdmins e um usuário chamado Julia. Se desejar, você poderá usar nomes diferentes. Se você já tiver um usuário existente, por exemplo, com um cartão inteligente, não precisará criar um novo usuário.
Inicie o PowerShell.
Digite os seguintes comandos. Substitua a senha “Pass@word1” por uma cadeia de caracteres de senha diferente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configurar a auditoria
Você precisa habilitar a auditoria nas florestas existentes para estabelecer a configuração do PAM nessas florestas.
Para cada domínio, entre em um controlador de domínio como administrador de domínio e realize as seguintes etapas:
Acesse Iniciar>Ferramentas Administrativas do Windows e inicie o Gerenciamento de Política de Grupo.
Navegue até a política de controladores de domínio deste domínio. Se você criou um novo domínio para contoso.local, navegue até Floresta: contoso.local>Domains>contoso.local>Domain ControllersDefault Domain Controllers> Policy. É exibida uma mensagem informativa.
Clique com o botão direito do mouse em Política de Controladores de Domínio Padrão e selecione Editar. Uma nova janela é exibida.
Na janela editor de gerenciamento de Política de Grupo, na árvore Política de Controladores de Domínio Padrão, navegue atéPolíticas> de Configuração> do ComputadorConfigurações do Windows Configurações>políticas>locais políticas>de auditoria.
No painel de detalhes, clique com o botão direito do mouse em Gerenciamento de conta de auditoria e selecione Propriedades no menu. Selecione Definir estas configurações de política, marque a caixa de seleção Êxito, marque a caixa de seleção Falha, clique em Aplicar e em OK.
No painel de detalhes, clique com o botão direito do mouse em Acesso ao serviço de diretório de auditoria e selecione Propriedades. Selecione Definir estas configurações de política, marque a caixa de seleção Êxito, marque a caixa de seleção Falha, clique em Aplicar e em OK.
Feche a janela do Editor de Gerenciamento de Política de Grupo e a janela Gerenciamento de Política de Grupo.
Aplique as configurações de auditoria abrindo uma janela do PowerShell e digitando:
gpupdate /force /target:computer
A mensagem A atualização da Política de Computador foi concluída com êxito deverá aparecer após alguns minutos.
Definir as configurações do Registro
Nesta seção, você definirá as configurações do Registro necessárias para a migração do histórico de sID, que serão usadas para a criação de grupos do Privileged Access Management.
Inicie o PowerShell.
Digite os seguintes comandos para configurar o domínio de origem, a fim de permitir o acesso de RPC (chamada de procedimento remoto) para o banco de dados do SAM (gerente de contas de segurança).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Isso reiniciará o controlador de domínio, CORPDC. Para obter mais informações sobre esta configuração do Registro, veja Como solucionar problemas de migração de sIDHistory entre florestas ADMTv2.
Preparar um recurso CORP para fins de demonstração
Você precisará de pelo menos um recurso no domínio para demonstrar o controle de acesso baseado em grupo de segurança com o PAM. Se você ainda não tiver um recurso, poderá usar uma pasta de arquivo em um servidor ingressado no domínio CORP para fins de demonstração. Isso fará o uso de objetos do AD “Julia” e “CorpAdmins” criados no domínio contoso.local.
Conecte-se ao servidor como administrador.
Crie uma nova pasta chamada CorpFS e compartilhe-a com o grupo CorpAdmins. Abra o PowerShell como administrador e digite os comandos a seguir.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclComo o usuário PRIV se conectará a esse servidor de outra floresta, talvez seja necessário alterar a configuração de firewall nesse servidor para permitir que o computador do usuário possa se conectar a esse servidor.
Na próxima etapa, você preparará o controlador de domínio PRIV.