Planificación de un entorno bastiónPlanning a bastion environment

Agregar un entorno bastión con un bosque administrativo dedicado a una instancia de Active Directory permite que las organizaciones administren fácilmente las cuentas administrativas, estaciones de trabajo y grupos de un entorno que tiene controles de seguridad más eficaces que los del entorno de producción existente.Adding a bastion environment with a dedicated administrative forest to an Active Directory enables organizations to easily manage administrative accounts, workstations, and groups in an environment that has stronger security controls than their existing production environment.

Esta arquitectura permite contar con diversos controles que no serían posibles o que no podrían configurarse fácilmente en una arquitectura de un solo bosque.This architecture enables a number of controls that aren’t possible or easily configured in a single forest architecture. Esto incluye el aprovisionamiento de cuentas como usuarios estándar sin privilegios en el bosque administrativo y que cuentan con altos privilegios en el entorno de producción, lo que permite un mayor cumplimiento técnico de gobernanza.That includes provisioning accounts as standard non-privileged users in the administrative forest that are highly privileged in the production environment, enabling greater technical enforcement of governance. Esta arquitectura también permite usar la característica de autenticación selectiva de una confianza como un medio de restringir los inicios de sesión (y la exposición de credenciales) solo a los hosts autorizados.This architecture also enables the use of the selective authentication feature of a trust as a means to restrict logons (and credential exposure) to only authorized hosts. En situaciones en las que se desea un mayor nivel de control para el bosque de producción sin el costo y la complejidad que implica una recompilación total, un bosque administrativo puede proporcionar un entorno que aumente el nivel de control del entorno de producción.In situations in which a greater level of assurance is desired for the production forest without incurring the cost and complexity of a complete rebuild, an administrative forest can provide an environment that increases the assurance level of the production environment.

Se pueden utilizar técnicas adicionales al bosque administrativo dedicado.Additional techniques can be used in addition to the dedicated administrative forest. Estas técnicas incluyen restringir la exposición de las credenciales administrativas, limitar los privilegios de rol de los usuarios en ese bosque y garantizar que las tareas administrativas no se realicen en los hosts que se utilizan para las actividades de usuario estándar (por ejemplo, correo electrónico y exploración web).These include restricting where administrative credentials are exposed, limiting role privileges of users in that forest, and ensuring administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

Consideraciones sobre los procedimientos recomendadosBest practice considerations

Un bosque administrativo dedicado es un bosque de Active Directory de dominio único estándar que se usa para la administración de Active Directory.A dedicated administrative forest is a standard single domain Active Directory forest used for Active Directory management. Una ventaja de usar dominios y bosques administrativos es que pueden tener más medidas de seguridad que los bosques de producción debido a sus casos de uso limitados.A benefit to using administrative forests and domains is that they can have more security measures than production forests because of their limited use cases. Además, como este bosque es independiente y no confía en los bosques existentes de la organización, si se compromete la seguridad en otro bosque no se extenderá a este bosque dedicado.Furthermore, since this forest is separated and does not trust the organization's existing forests, a security compromise in another forest would not extend to this dedicated forest.

El diseño de un bosque administrativo tiene las siguientes consideraciones:An administrative forest design has the following considerations:

Ámbito limitadoLimited scope

El valor de un bosque administrativo es el alto nivel de garantía de seguridad y una menor superficie expuesta a ataques.The value of an admin forest is the high level of security assurance and reduced attack surface. El bosque puede hospedar aplicaciones y funciones de administración adicionales, pero cada aumento en el ámbito aumentará la superficie del bosque y sus recursos expuesta a ataques.The forest can house additional management functions and applications, but each increase in scope will increase the attack surface of the forest and its resources. El objetivo es limitar las funciones del bosque para mantener una superficie expuesta a ataques mínima.The objective is to limit the functions of the forest to keep the attack surface minimal.

Según el modelo de niveles de realizar particiones en los privilegios administrativos, las cuentas de un bosque administrativo dedicado deberían estar en un único nivel, normalmente en el nivel 0 o en el 1.According to the Tier model of partitioning administrative privileges, the accounts in a dedicated administrative forest should be in a single tier, typically either tier 0 or tier 1. Si un bosque está en el nivel 1, considere la posibilidad de restringirlo a un ámbito de aplicación determinado (por ejemplo, aplicaciones de finanzas) o a una comunidad de usuarios (por ejemplo, proveedores de TI subcontratados).If a forest is in tier 1, consider restricting it to a particular scope of application (e.g., finance apps) or user community (e.g., outsourced IT vendors).

Confianza restringidaRestricted trust

El bosque CORP de producción debería confiar en el bosque PRIV administrativo, pero no al revés.The production CORP forest should trust the administrative PRIV forest, but not the other way around. Puede tratarse de una confianza de dominio o una confianza de bosque.This can be a domain trust or a forest trust. No es necesario que el dominio del bosque administrativo confíe en los bosques y dominios administrados para poder administrar Active Directory; sin embargo, algunas aplicaciones adicionales podrían requerir una relación de confianza bidireccional, validación de la seguridad y prueba.The admin forest domain does not need to trust the managed domains and forests to manage Active Directory, though additional applications may require a two-way trust relationship, security validation, and testing.

Se debe usar la autenticación selectiva para garantizar que las cuentas en el bosque administrativo solo usan los hosts de producción adecuados.Selective authentication should be used to ensure that accounts in the admin forest only use the appropriate production hosts. Para mantener los controladores de dominio y delegar derechos en Active Directory, normalmente se requiere otorgar el derecho "Se permite el inicio de sesión" de los controladores de dominio a las cuentas de administración designadas de nivel 0 en el bosque administrativo.For maintaining domain controllers and delegating rights in Active Directory, this typically requires granting the “Allowed to logon” right for domain controllers to designated Tier 0 admin accounts in the admin forest. Consulte Configuring Selective Authentication Settings (Configuración de la autenticación selectiva) para obtener más información.See Configuring Selective Authentication Settings for more information.

Mantener una separación lógicaMaintain logical separation

Con la finalidad de asegurarse de que el entorno bastión no se vea afectado por incidentes de seguridad existentes o futuros en la instancia de Active Directory de la organización, se deben usar las siguientes guías cuando se preparen los sistemas para el entorno bastión:In order to ensure that the bastion environment is not impacted by existing or future security incidents in the organizational Active Directory, the following guidelines should be used when preparing systems for the bastion environment:

  • Los servidores de Windows Server no deben estar unidos a un dominio ni tampoco deben utilizar la distribución de configuración o software del entorno existente.Windows Servers should not be domain joined or leverage software or settings distribution from the existing environment.

  • El entorno bastión debe contener sus propios Servicios de dominio de Active Directory, lo que brinda Kerberos y LDAP, DNS, tiempo y servicios de tiempo al entorno bastión.The bastion environment must contain its own Active Directory Domain Services, providing Kerberos and LDAP, DNS, time and time services, to the bastion environment.

  • MIM no debería usar una granja de servidores de Base de datos SQL en el entorno existente.MIM should not use a SQL database farm in the existing environment. SQL Server debería implementarse en servidores dedicados en el entorno bastión.SQL Server should be deployed on dedicated servers in the bastion environment.

  • El entorno bastión necesita Microsoft Identity Manager 2016, especialmente, deben estar implementados los componentes de PAM y del servicio MIM.The bastion environment requires Microsoft Identity Manager 2016, specifically the MIM Service and PAM components must be deployed.

  • El software y los medios de copia de seguridad del entorno bastión deben estar separados de los sistemas de los bosques existentes, de manera tal que un administrador del bosque existente no pueda trastocar una copia de seguridad del entorno bastión.Backup software and media for the bastion environment must be kept separate from that of systems in the existing forests, so that an administrator in the existing forest cannot subvert a backup of the bastion environment.

  • Los usuarios que administrar los servidores del entorno bastión deben iniciar sesión desde estaciones de trabajo a la que los administradores del entorno existente no puedan tener acceso, de manera tal que no se filtren las credenciales correspondientes al entorno bastión.Users who manage the bastion environment servers must log in from workstations that are not accessible to administrators in the existing environment, so that the credentials for the bastion environment are not leaked.

Garantizar la disponibilidad de los servicios de administraciónEnsure availability of administration services

Como la administración de las aplicaciones se transferirá al entorno bastión, tenga en cuenta cómo proporcionar la disponibilidad suficiente para cumplir los requisitos de esas aplicaciones.As administration of applications will be transitioned to the bastion environment, take into account how to provide sufficient availability to meet the requirements of those applications. Las técnicas incluyen:The techniques include:

  • Implementar Servicios de dominio de Active Directory en varios equipos del entorno bastión.Deploy Active Directory Domain Services on multiple computers in the bastion environment. Se necesitan al menos dos para garantizar que la autenticación continúe, incluso si un servidor se reinicia de forma temporal para realizar un mantenimiento programado.At least two are necessary to ensure continued authentication, even if one server is temporarily restarted for scheduled maintenance. Es posible que se requieran equipos adicionales para una mayor carga o para administrar recursos y administradores ubicados en varias regiones geográficas.Additional computers may be necessary for higher load or to manage resources and administrators based in multiple geographic regions.

  • Preparar cuentas de emergencia en el bosque existente y en el bosque administrativo dedicado, con fines de emergencia.Prepare break glass accounts in the existing forest and the dedicated admin forest, for emergency purposes.

  • Implementar SQL Server y Servicio MIM en varios equipos del entorno bastión.Deploy SQL Server and MIM Service on multiple computers in the bastion environment.

  • Mantener una copia de seguridad de AD y SQL para cada cambio de los usuarios o las definiciones de rol en el bosque administrativo dedicado.Maintain a backup copy of AD and SQL for each change to users or role definitions in the dedicated admin forest.

Configurar los permisos adecuados de Active DirectoryConfigure appropriate Active Directory permissions

El bosque administrativo debe estar configurado en el menor nivel de privilegio según los requisitos para la administración de Active Directory.The administrative forest should be configured to least privilege based on the requirements for Active Directory administration.

  • Las cuentas existentes en el bosque administrativo que se usan para administrar el entorno de producción no deben contar con privilegios administrativos para el bosque administrativo o los dominios o estaciones de trabajo que existen en él.Accounts in the admin forest that are used to administer the production environment should not be granted administrative privileges to the admin forest, domains in it, or workstations in it.

  • Un proceso sin conexión controlará rigurosamente los privilegios administrativos sobre el bosque administrativo mismo, con el fin de disminuir la posibilidad de que un atacante o un infiltrado malintencionado borre los registros de auditoría.Administrative privileges over the admin forest itself should be tightly controlled by an offline process to reduce the opportunity for an attacker or malicious insider to erase audit logs. Esto también ayuda a asegurarse de que el personal con cuentas de administración de producción no flexibilice las restricciones sobre sus cuentas y aumente el riesgo para la organización.This also helps ensure that personnel with production admin accounts cannot relax the restrictions on their accounts and increase risk to the organization.

  • El bosque administrativo debe respetar las configuraciones de Microsoft Security Compliance Manager (SCM) para el dominio, incluidas configuraciones seguras para los protocolos de autenticación.The administrative forest should follow the Microsoft Security Compliance Manager (SCM) configurations for the domain, including strong configurations for authentication protocols.

Cuando cree el entorno bastión, antes de instalar Microsoft Identity Manager, identifique y cree las cuentas que se usarán para la administración dentro de este entorno.When creating the bastion environment, before installing Microsoft Identity Manager, identify and create the accounts that will be used for administration within this environment. Esto incluirá:This will include:

  • Las cuentas de emergencia solo podrán iniciar sesión en los controladores de dominio en el entorno bastión.Break glass accounts should only be able to log into the domain controllers in the bastion environment.

  • Los administradores de "tarjeta roja" aprovisionan otras cuentas y realizan el mantenimiento sin programar."Red Card" administrators provision other accounts and perform unscheduled maintenance. No tienen acceso a bosques o sistemas existentes fuera del entorno bastión.No access to existing forests or systems outside of the bastion environment is provided to these accounts. Las credenciales, por ejemplo, una tarjeta inteligente, deben protegerse de manera física y se debe registrar el uso de estas cuentas.The credentials, e.g., a smartcard, should be physically secured, and use of these account should be logged.

  • Cuentas de servicio que son necesarias para Microsoft Identity Manager, SQL Server y otro tipo de software.Service accounts needed by Microsoft Identity Manager, SQL Server, and other software.

Proteger los hostsHarden the hosts

Todos los hosts, incluidos los controladores de dominio, los servidores y las estaciones de trabajo unidas al bosque administrativo, deben tener instalados y actualizados los sistemas operativos y Service Packs más recientes.All hosts, including domain controllers, servers, and workstations joined to the administrative forest should have the latest operating systems and service packs installed and kept up to date.

  • Las aplicaciones necesarias para realizar la administración deben estar instaladas previamente en las estaciones de trabajo, para que no sea necesario que las cuentas que las usan estén en el grupo de administradores locales para instalarlas.The applications required for performing administration should be pre-installed on workstations so that accounts using them don’t need to be in the local administrators group to install them. Normalmente, el mantenimiento de los controladores de dominio se realiza con RDP y con Herramientas de administración remota del servidor.Domain Controller maintenance can typically be performed with RDP and Remote Server Administration Tools.

  • Las actualizaciones de seguridad se deben aplicar automáticamente a los hosts del bosque administrativo.Admin forest hosts should be automatically updated with security updates. Aunque esto puede generar un riesgo de interrumpir las operaciones de mantenimiento de los controladores de dominio, permite mitigar, en gran medida, el riesgo de seguridad de las vulnerabilidades a las que no se aplicó una revisión.While this may create risk of interrupting domain controller maintenance operations, it provides a significant mitigation of security risk of unpatched vulnerabilities.

Identificar hosts administrativosIdentify administrative hosts

El riesgo de un sistema o una estación de trabajo se mide según la actividad de mayor riesgo que se realiza en estos; por ejemplo, explorar Internet, enviar y recibir correo electrónico o usar otras aplicaciones que procesan contenido desconocido o que no es de confianza.The risk of a system or workstation should be measured by the highest risk activity that is performed on it, such as Internet browsing, sending and receiving email, or the use of other applications that process unknown or untrusted content.

Los hosts administrativos incluyen los siguientes equipos:Administrative hosts include the following computers:

  • Un equipo de escritorio, en el que se escriben o ingresan físicamente las credenciales del administrador.A desktop on which credentials of the administrator are physically typed or entered.

  • "Servidores de salto" administrativos, donde se ejecutan las herramientas y las sesiones administrativas.Administrative “jump servers” on which administrative sessions and tools are run.

  • Todos los hosts donde se realizan acciones administrativas, incluidos los que usan un escritorio de usuario estándar que ejecuta un cliente RDP para administrar servidores y aplicaciones de forma remota.All hosts on which administrative actions are performed, including those that use a standard user desktop running an RDP client to remotely administer servers and applications.

  • Servidores que hospedan aplicaciones que se deben administrar, y a los que no se puede tener acceso mediante RDP con modo de administración restringida o la comunicación remota de Windows PowerShell.Servers that host applications that need to be administered, and are not accessed using RDP with Restricted Admin Mode or Windows PowerShell remoting.

Implementar estaciones de trabajo administrativas dedicadasDeploy dedicated administrative workstations

Aunque sea un inconveniente, son necesarias las estaciones de trabajo protegidas e independientes dedicadas a los usuarios con credenciales administrativas de gran impacto.Although inconvenient, separate hardened workstations dedicated to users with high-impact administrative credentials may be required. Es importante proporcionar un host con un nivel de seguridad que sea igual o superior al nivel de los privilegios que se han confiado a las credenciales.It's important to provide a host with a level of security that is equal to or greater than the level of the privileges entrusted to the credentials. Considere la incorporación de las siguientes medidas para obtener una protección adicional:Consider incorporating the following measures for additional protection:

  • Comprobar que todos los medios de la compilación están limpios para mitigar el malware que está instalado en una imagen maestra o que se ha insertado en un archivo de instalación durante la descarga o el almacenamiento.Verify all media in the build as clean to mitigate against malware installed in a master image or injected into an installation file during download or storage.

  • Líneas base de seguridad que se deben usar como configuraciones iniciales.Security Baselines should be used as starting configurations. Microsoft Security Compliance Manager (SCM) puede ayudar a configurar las líneas base en hosts administrativos.The Microsoft Security Compliance Manager (SCM) can help configure the baselines on administrative hosts.

  • Arranque seguro , para mitigar el riesgo de atacantes o malware que intenten cargar código sin firma en el proceso de arranque.Secure Boot to mitigate against attackers or malware attempting to load unsigned code into the boot process.

  • Restricción de software , para garantizar que solo se ejecute software administrativo autorizado en los hosts administrativos.Software restriction to ensure that only authorized administrative software is executed on the administrative hosts. Los clientes pueden usar AppLocker para esta tarea con una lista blanca de aplicaciones autorizadas, con la finalidad de evitar que se ejecute software malintencionado y aplicaciones no compatibles.Customers can use AppLocker for this task with a whitelist of authorized applications, to help prevent malicious software and unsupported applications from executing.

  • Cifrado del volumen completo para mitigar la pérdida física de equipos, como equipos portátiles administrativos que se usan de forma remota.Full volume encryption to mitigate against physical loss of computers, such as administrative laptops used remotely.

  • Restricciones USB para obtener protección contra la infección física.USB restrictions to protect against physical infection.

  • Aislamiento de la red , para protección contra ataques a la red y acciones administrativas involuntarias.Network isolation to protect against network attacks and inadvertent admin actions. Los firewalls de host deben bloquear todas las conexiones entrantes, excepto las que se requieren de forma explícita, y bloquear todo el acceso a Internet saliente innecesario.Host firewalls should block all incoming connections except those explicitly required and block all unneeded outbound Internet access.

  • Antimalware , para protección contra malware y amenazas conocidas.Antimalware to protect against known threats and malware.

  • Mitigaciones de vulnerabilidades , para mitigar las amenazas y vulnerabilidades desconocidas, incluido Enhanced Mitigation Experience Toolkit (EMET).Exploit mitigations to mitigate against unknown threats and exploits, including the Enhanced Mitigation Experience Toolkit (EMET).

  • Análisis de la superficie expuesta a ataques , para evitar el ingreso de nuevos vectores de ataque a Windows durante la instalación de software nuevo.Attack surface analysis to prevent introduction of new attack vectors to Windows during installation of new software. Las herramientas como el analizador de superficie expuesta a ataques (ASA) ayudan a evaluar las opciones de configuración de un host y a identificar los vectores de ataque que se han introducido mediante cambios en la configuración o por un software.Tools such as the Attack Surface Analyzer (ASA) help assess configuration settings on a host and identify attack vectors introduced by software or configuration changes.

  • No se deben proporcionar privilegios administrativos a los usuarios en su equipo local.Administrative privileges should not be given to users on their local computer.

  • Modo RestrictedAdmin para las sesiones RDP salientes excepto cuando lo requiere el rol.RestrictedAdmin mode for outgoing RDP sessions, except when required by the role. Consulte Novedades en Servicios de Escritorio remoto en Windows Server para más información.See What's New in Remote Desktop Services in Windows Server for more information.

Algunas de estas medidas pueden parecer extremas, pero las revelaciones públicas realizadas en los últimos años mostraron las funcionalidades importantes que poseen los adversarios experimentados para poner en peligro sus objetivos.Some of these measures might seem extreme, but public revelations in recent years have illustrated the significant capabilities that skilled adversaries possess to compromise targets.

Preparar los dominios existentes que se van a administrar mediante el entorno bastiónPrepare existing domains to be managed by the bastion environment

MIM usa cmdlets de PowerShell para establecer la confianza entre los dominios AD existentes y el bosque administrativo dedicado en el entorno bastión.MIM uses PowerShell cmdlets to establish trust between the existing AD domains and the dedicated administrative forest in the bastion environment. Cuando se implemente el entorno bastión, y antes de que ningún usuario o grupo se convierta en JIT, los cmdlets New-PAMTrust y New-PAMDomainConfiguration actualizarán las relaciones de confianza de dominio y crearán los artefactos necesarios para AD y MIM.After the bastion environment is deployed, and before any users or groups are converted to JIT, then the New-PAMTrust and New-PAMDomainConfiguration cmdlets will update the domain trust relationships and create artifacts needed for AD and MIM.

Cuando la topología de Active Directory existente cambia, los cmdlets Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust y Remove-PAMDomainConfiguration se pueden usar para actualizar las relaciones de confianza.When the existing Active Directory topology changes, the Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust and Remove-PAMDomainConfiguration cmdlets can be used to update the trust relationships.

Establecer la confianza para cada bosqueEstablish trust for each forest

El cmdlet New-PAMTrust se debe ejecutar una vez para cada bosque existente.The New-PAMTrust cmdlet must be run once for each existing forest. Se invoca en el equipo del Servicio MIM en el dominio administrativo.It is invoked on the MIM Service computer in the administrative domain. Los parámetros para este comando son el nombre de dominio del dominio principal del bosque existente y la credencial de un administrador de ese dominio.The parameters to this command are the domain name of the top domain of the existing forest, and credential of an administrator of that domain.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Después de establecer la confianza, configure cada dominio para habilitar la administración desde el entorno bastión, tal como se describe en la siguiente sección.After establishing the trust, then configure each domain to enable management from the bastion environment, as described in the next section.

Habilitar la administración de cada dominioEnable management of each domain

Existen siete requisitos para habilitar la administración para un dominio existente.There are seven requirements for enabling management for an existing domain.

1. Un grupo de seguridad en el dominio local1. A security group on the local domain

En el dominio existente, debe haber un grupo cuyo nombre sea el nombre de dominio de NetBIOS, seguido de tres signos de dólar, por ejemplo, CONTOSO$$$.There must be a group in the existing domain, whose name is the NetBIOS domain name followed by three dollar signs, e.g., CONTOSO$$$. El ámbito del grupo debe ser local de dominio y el tipo de grupo debe ser Seguridad.The group scope must be domain local and the group type must be Security. Esto es necesario para los grupos que se creen en el bosque administrativo dedicado con el mismo identificador de seguridad que los grupos de este dominio.This is needed for groups to be created in the dedicated administrative forest with the same Security identifier as groups in this domain. Cree este grupo con el siguiente comando de PowerShell, que un administrador del dominio existente puede realizar y ejecutar en una estación de trabajo unida al dominio existente:Create this group with the following PowerShell command, performed by an administrator of the existing domain and run on an workstation joined to the existing domain:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Auditoría de aciertos y errores2. Success and failure auditing

La configuración de la directiva de grupo en el controlador de dominio para auditoría debe incluir la auditoría de operaciones realizadas correctamente y operaciones erróneas para Auditar la administración de cuentas y Auditar el acceso del servidor de directorio.The group policy settings on the domain controller for auditing must include both success and failure auditing for Audit account management and Audit directory service access. Esto se puede realizar con la Consola de administración de directivas de grupo, que un administrador del dominio existente puede realizar y ejecutar en una estación de trabajo unida al dominio existente:This can be done with the Group Policy management console, performed by an administrator of the existing domain and run on a workstation joined to the existing domain:

  1. Vaya a Inicio > Herramientas administrativas > Administración de directivas de grupo.Go to Start > Administrative Tools > Group Policy Management.

  2. Vaya a Bosque: contoso.local > Dominios > contoso.local > Controladores de dominio > Directiva predeterminada de controladores de dominio.Navigate to Forest: contoso.local > Domains > contoso.local > Domain Controllers > Default Domain Controllers Policy. Aparecerá un mensaje informativo.An informational message will appear.

    Directiva predeterminada de controladores de dominio: captura de pantalla

  3. Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar.Right-click on Default Domain Controllers Policy and select Edit. Aparecerá una ventana nueva.A new window will appear.

  4. En la ventana Editor de administración de directivas de grupo, en el árbol Directiva predeterminada de controladores de dominio, vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría.In the Group Policy Management Editor window, under the Default Domain Controllers Policy tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

    Editor de administración de directivas de grupo: captura de pantalla

  5. En el panel de detalles , haga clic con el botón derecho en Auditar la administración de cuentas y seleccione Propiedades.In the details pane, right click on Audit account management and select Properties. Seleccione Definir esta configuración de directiva, active Correcto, active Error, haga clic en Aplicar y en Aceptar.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  6. En el panel de detalles, haga clic con el botón derecho en Auditar el acceso del servicio de directorio y seleccione Propiedades.In the details pane, right click on Audit directory service access and select Properties. Seleccione Definir esta configuración de directiva, active Correcto, active Error, haga clic en Aplicar y en Aceptar.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

    Configuración de directivas de aciertos y errores: captura de pantalla

  7. Cierre la ventana del Editor de administración de directivas de grupo y la de Administración de directivas de grupo.Close the Group Policy Management Editor window and the Group Policy Management window. A continuación, para aplicar la configuración de auditoría, inicie una ventana de PowerShell y escriba:Then apply the audit settings by launching a PowerShell window and typing:

    gpupdate /force /target:computer
    

El mensaje “La actualización de la directiva de equipo se completó correctamente.”The message “Computer Policy update has completed successfully.” debe aparecer después de unos minutos.should appear after a few minutes.

3. Permitir conexiones a la autoridad de seguridad local3. Allow connections to the Local Security Authority

Los controladores de dominio deben permitir conexiones de RPC sobre TCP/IP para la Autoridad de seguridad local (LSA) desde el entorno bastión.The domain controllers must allow RPC over TCP/IP connections for Local Security Authority (LSA) from the bastion environment. En versiones anteriores de Windows Server, la compatibilidad de TCP/IP en LSA debe estar habilitada en el registro:On older versions of Windows Server, TCP/IP support in LSA must be enabled in the registry:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Crear la configuración de dominio de PAM4. Create the PAM domain configuration

El cmdlet New-PAMDomainConfiguration se debe ejecutar en el equipo de Servicio MIM en el dominio administrativo.The New-PAMDomainConfiguration cmdlet must be run on the MIM Service computer in the administrative domain. Los parámetros para este comando son el nombre de dominio del dominio existente y la credencial de un administrador de ese dominio.The parameters to this command are the domain name of the existing domain, and credential of an administrator of that domain.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Conceder permisos de lectura a las cuentas5. Give read permissions to accounts

Las cuentas del bosque bastión que se usan para establecer roles (administradores que usan el cmdlet New-PAMUser y New-PAMGroup ), así como la cuenta que usa el servicio de supervisión de MIM, necesitan permisos de lectura en ese dominio.The accounts in the bastion forest used to establish roles (admins who use the New-PAMUser and New-PAMGroup cmdlets), as well as the account used by the MIM monitor service, need read permissions in that domain.

Los pasos siguientes habilitan el acceso de lectura para el usuario PRIV\administrador al dominio Contoso dentro del controlador de dominio CORPDC:The following steps enable read access for the user PRIV\Administrator to the domain Contoso within the CORPDC domain controller:

  1. Asegúrese de que inició sesión en CORPDC como administrador del dominio Contoso (por ejemplo, como Contoso\Administrador).Ensure you are logged into CORPDC as a Contoso domain administrator (such as Contoso\Administrator).

  2. Inicie Usuarios y equipos de Active Directory.Launch Active Directory Users and Computers.

  3. Haga clic con el botón derecho en el dominio contoso.local y seleccione Control delegado.Right click on the domain contoso.local and select Delegate Control.

  4. En la pestaña Usuarios y grupos seleccionados, haga clic en Agregar.On the Selected users and groups tab, click Add.

  5. En la ventana emergente Seleccionar usuarios, equipos o grupos, haga clic en Ubicaciones y cambie la ubicación a priv.contoso.local.On the Select Users, Computers, or Groups popup, click Locations and change the location to priv.contoso.local. Como nombre de objeto, escriba Administradores del dominio y haga clic en Comprobar nombres.On the object name, type Domain Admins and click Check Names. Cuando aparezca una ventana emergente, escriba PRIV\administrador como nombre de usuario y la contraseña.When a popup appears, for the username type priv\administrator and the password.

  6. Después de Administradores del dominio, escriba ; MIMMonitor.After Domain Admins, type ; MIMMonitor. Cuando aparezcan subrayados los nombres Admins. del dominio y MIMMonitor, haga clic en Aceptar y luego en Siguiente.After the names Domain Admins and MIMMonitor are underlined, click OK, then click Next.

  7. En la lista de tareas comunes, seleccione Leer toda la información del usuario y, después, haga clic en Siguiente y en Finalizar.In the list of common tasks, select Read all user information, then click Next and Finish.

  8. Cierre Usuarios y equipos de Active Directory.Close Active Directory Users and Computers.

6. Una cuenta de emergencia6. A break glass account

Si el objetivo del proyecto de Privileged Access Management es disminuir la cantidad de cuentas con privilegios de administrador de dominio asignados permanentemente al dominio, debe existir una cuenta de emergencia en el dominio, en caso de que, más adelante, se genere un problema con la relación de confianza.If the goal of the privileged access management project is to reduce the number of accounts with Domain Administrator privileges permanently assigned to the domain, there must be a break glass account in the domain, in case there is a later problem with the trust relationship. En cada dominio deben existir cuentas para el acceso de emergencia al bosque de producción y solo deberían tener acceso a los controladores de dominio.Accounts for emergency access to the production forest should exist in each domain, and should only be able to log into domain controllers. En el caso de las organizaciones con varios sitios, es posible que se requieran cuentas adicionales para redundancia.For organizations with multiple sites, additional accounts may be required for redundancy.

7. Actualizar los permisos en el entorno bastión7. Update permissions in the bastion environment

Revise los permisos en el objeto AdminSDHolder del contenedor Sistema de ese dominio.Review the permissions on the AdminSDHolder object in the System container in that domain. El objeto AdminSDHolder tiene una lista de control de acceso (ACL) que se usa para controlar los permisos de las entidades de seguridad que son miembros de los grupos de Active Directory con privilegios integrados.The AdminSDHolder object has a unique Access Control List (ACL), which is used to control the permissions of security principals that are members of built-in privileged Active Directory groups. Observe que si se realizaron cambios en los permisos predeterminados que pudieran afectar a los usuarios con privilegios administrativos en el dominio, debido a que esos permisos no se aplicarán a los usuarios con cuentas en el entorno bastión.Note if any changes to the default permissions have been made that would impact users with administrative privileges in the domain, since those permissions will not apply to users whose account is in the bastion environment.

Seleccionar usuarios y grupos para su inclusiónSelect users and groups for inclusion

El próximo paso es definir los roles de PAM, mediante la asociación de los usuarios y grupos a los que deberían tener acceso.The next step is defining the PAM roles, associating the users and groups to which they should have access. Normalmente, este será un subconjunto de los usuarios y grupos del nivel identificado como administrado en el entorno bastión.This will typically be a subset of the users and groups for the tier identified as being managed in the bastion environment. Hay más información disponible en Defining roles for Privileged Access Management (Definición de roles para Privileged Access Management).More information is in Defining roles for Privileged Access Management.