Étape 1 : Préparer l’ordinateur hôte et le domaine CORP
Dans cette étape, vous allez préparer l’hébergement de l’environnement qui sera géré par PAM. Si nécessaire, vous allez également créer un contrôleur de domaine et une station de travail membre dans un nouveau domaine et une nouvelle forêt (la forêt CORP ). L’accès à cette forêt se fera à partir d’identités à gérer par l’environnement bastion, avec une forêt PRIV créée à l’étape suivante. Cette forêt CORP simule une forêt existante qui contient des ressources à gérer. Ce document comprend un exemple de ressource à protéger, un partage de fichiers.
Si vous disposez déjà d’un domaine Active Directory (AD) existant avec un contrôleur de domaine exécutant Windows Server 2012 R2 ou version ultérieure, où vous êtes administrateur de domaine, vous pouvez utiliser ce domaine à la place et passer à la section « Créer un groupe » dans cet article.
Préparer le contrôleur de domaine CORP
Cette section décrit comment configurer un contrôleur de domaine pour un domaine CORP. Dans le domaine CORP, les utilisateurs administratifs sont gérés par l’environnement bastion. Le nom du système DNS (Domain Name System) du domaine CORP utilisé dans cet exemple est contoso.local.
Installer Windows Server
Installez Windows Server 2016 ou une version ultérieure sur une machine virtuelle pour créer un ordinateur appelé CORPDC.
Choisissez Windows Server 2016 (Serveur avec expérience utilisateur).
Lisez et acceptez les termes du contrat de licence.
Comme le disque sera vide, sélectionnez Personnalisé : installer uniquement Windows et utilisez l’espace disque non initialisé.
Connectez-vous à ce nouvel ordinateur comme administrateur. Accédez au Panneau de configuration. Nommez l’ordinateur CORPDC et attribuez-lui une adresse IP statique sur le réseau virtuel. Redémarrez le serveur.
Une fois que le serveur a redémarré, connectez-vous comme administrateur. Accédez au Panneau de configuration. Configurez l’ordinateur pour rechercher les mises à jour, puis installez les mises à jour nécessaires. Redémarrez le serveur.
Ajouter des rôles pour établir un contrôleur de domaine
Dans cette section, vous allez configurer le nouveau Serveur Windows pour qu’il devienne un contrôleur de domaine. Vous allez ajouter les rôles services de domaine Active Directory (AD DS), Serveur DNS et Serveur de fichiers (qui font partie de la section Services de fichiers et de stockage) et promouvoir ce serveur en contrôleur de domaine d’une nouvelle forêt contoso.local.
Notes
Si vous avez déjà un domaine à utiliser comme domaine CORP et que ce domaine utilise Windows Server 2012 R2 ou version ultérieure comme niveau fonctionnel de domaine, vous pouvez passer à Créer des utilisateurs et des groupes supplémentaires à des fins de démonstration.
Toujours en étant connecté comme administrateur, lancez PowerShell.
Tapez les commandes suivantes.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkLe système vous invitera à fournir un mot de passe d'administrateur en mode sans échec. Notez que des messages d'avertissement relatifs aux paramètres de chiffrement et de délégation DNS s'afficheront. C'est normal.
Une fois la création de la forêt terminée, déconnectez-vous. Le serveur redémarre automatiquement.
Une fois le serveur redémarré, connectez-vous à CORPDC comme administrateur du domaine. Il s’agit généralement de l’utilisateur CONTOSO\Administrator, qui a le mot de passe créé lorsque vous avez installé Windows sur CORPDC.
Installer les mises à jour (Windows Server 2012 R2 uniquement)
- Si vous choisissez d’utiliser Windows Server 2012 R2 comme système d’exploitation pour CORPDC, vous devez installer les correctifs logiciels 2919442 et 2919355, ainsi que la mise à jour 3155495 sur CORPDC.
Créer un groupe
Créez un groupe à des fins d’audit par Active Directory, si le groupe n’existe pas. Le nom du groupe doit être identique au nom de domaine NetBIOS, suivi de trois signes dollar, par exemple CONTOSO$$$.
Pour chaque domaine, connectez-vous à un contrôleur de domaine comme administrateur de domaine et procédez comme suit :
Lancez PowerShell.
Tapez les commandes suivantes, mais remplacez « CONTOSO » par le nom NetBIOS de votre domaine.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Dans certains cas, le groupe existe déjà. C’est normal si le domaine était également utilisé dans des scénarios de migration Active Directory.
Créer des utilisateurs et des groupes supplémentaires à des fins de démonstration
Si vous avez créé un domaine CORP, vous devez créer des utilisateurs et groupes supplémentaires pour illustrer le scénario PAM. Les utilisateurs et les groupes de démonstration ne doivent ni être administrateurs de domaine, ni être contrôlés par les paramètres adminSDHolder dans Active Directory.
Notes
Si vous disposez déjà d’un domaine que vous utiliserez comme domaine CORP et qu’il a un utilisateur et un groupe que vous pouvez utiliser à des fins de démonstration, vous pouvez passer à la section Configurer l’audit.
Nous allons créer un groupe de sécurité nommé CorpAdmins et un utilisateur nommé Jen. Vous pouvez utiliser des noms différents si vous le souhaitez. Si vous avez déjà un utilisateur existant, par exemple avec une carte à puce, vous n’avez pas besoin de créer un nouvel utilisateur.
Lancez PowerShell.
Tapez les commandes suivantes. Remplacez le mot de passe « Pass@word1 » par une chaîne de mot de passe différente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configurer l’audit
Vous devez activer l’audit dans les forêts existantes pour établir la configuration PAM sur ces forêts.
Pour chaque domaine, connectez-vous à un contrôleur de domaine comme administrateur de domaine et procédez comme suit :
Accédez à Démarrer les>outils d’administration Windows, puis lancez stratégie de groupe Gestion.
Accédez à la stratégie des contrôleurs de domaine pour ce domaine. Si vous avez créé un domaine pour contoso.local, accédez à Forêt : contoso.local> Domainscontoso.local>Domain>Controllers DefaultDomain Controllers> Policy. Un message d’information s’affiche.
Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut et sélectionnez Modifier. Une nouvelle fenêtre s’affiche.
Dans la fenêtre Éditeur de gestion stratégie de groupe, sous l’arborescence Stratégie des contrôleurs de domaine par défaut, accédez à Stratégie de configuration> de l’ordinateurParamètres>Windows Paramètres>de sécurité Paramètres>de sécurité Stratégies> localesStratégie d’audit.
Dans le volet d’informations, cliquez avec le bouton droit sur Auditer la gestion des comptes, puis sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, puis cliquez sur Appliquer et sur OK.
Dans le volet d’informations, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire, puis sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, puis cliquez sur Appliquer et sur OK.
Fermez les fenêtres Éditeur de gestion de stratégie de groupe et Gestion des stratégies de groupe.
Appliquez les paramètres d’audit en lançant une fenêtre PowerShell et en tapant ce qui suit :
gpupdate /force /target:computer
Le message La mise à jour de la stratégie d’ordinateur s’est terminée sans erreur doit s’afficher après quelques minutes.
Configurer les paramètres du Registre
Dans cette section, vous allez configurer les paramètres de Registre nécessaires à la migration de l’historique des sID, qui seront utilisés pour la création de groupes Privileged Access Management.
Lancez PowerShell.
Tapez les commandes suivantes pour configurer le domaine source de sorte à autoriser l’accès par appel de procédure distante (RPC) à la base de données du Gestionnaire de comptes de sécurité (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Le contrôleur de domaine CORPDC redémarre. Pour plus d’informations sur ce paramètre de Registre, consultez Comment faire pour résoudre les problèmes de migration de sIDHistory inter-forêts avec ADMTv2.
Préparer une ressource CORP à des fins de démonstration
Vous aurez besoin d’au moins une ressource dans le domaine pour démontrer le contrôle d’accès basé sur un groupe de sécurité avec PAM. Si vous n’avez pas encore de ressource, vous pouvez utiliser un dossier de fichiers sur un serveur joint au domaine CORP à des fins de démonstration. Cette ressource utilisera les objets AD « Jen » et « CorpAdmins » que vous avez créés dans le domaine contoso.local.
Connectez-vous au serveur en tant qu’administrateur.
Créez un dossier nommé CorpFS et partagez-le avec le groupe CorpAdmins. Ouvrez PowerShell en tant qu’administrateur et tapez les commandes suivantes.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclComme l’utilisateur PRIV se connecte à ce serveur à partir d’une autre forêt, vous devrez peut-être modifier la configuration de votre pare-feu sur ce serveur pour permettre à l’ordinateur de l’utilisateur de se connecter à ce serveur.
À l’étape suivante, vous allez préparer le contrôleur de domaine PRIV.