Krok 1 — Przygotowanie hosta i domeny CORP

W tym kroku przygotujesz się do hostowania środowiska bastionu. Ponadto, jeśli jest to konieczne, utworzysz kontroler domeny i członkowską stację roboczą w nowej domenie i lesie (las CORP) z tożsamościami do zarządzania przy użyciu środowiska bastionu. Las CORP symuluje istniejący las, który ma zasoby do zarządzania. Ten dokument zawiera przykładowy zasób do ochrony: udział plików.

Jeśli masz już istniejącą domenę usługi Active Directory (AD) z kontrolerem domeny z systemem Windows Server 2012 R2 lub nowszym, w której jesteś administratorem domeny, możesz użyć tej domeny.

Przygotowanie kontrolera domeny CORP

Niniejsza sekcja opisuje sposób skonfigurowania kontrolera domeny dla domeny CORP. W domenie CORP użytkownicy administracyjni są zarządzani przez środowisko bastionu. Nazwa systemu nazw domen (DNS) domeny CORP używana w tym przykładzie to contoso.local.

Instalacja systemu Windows Server

Zainstaluj Windows Server 2012 R2 lub nowszy na maszynie wirtualnej, aby utworzyć komputer o nazwie CORPDC.

  1. Wybierz Windows Server 2012 R2 Standard (serwer z graficznym interfejsem użytkownika) x64 lub Windows Server 2016 (serwer ze środowiskom pulpitu).

  2. Przeczytaj i zaakceptuj postanowienia licencyjne.

  3. Ponieważ dysk będzie pusty, wybierz pozycję Niestandardowy: zainstaluj tylko Windows i użyj niezainicjowanej przestrzeni dyskowej.

  4. Zaloguj się na nowym komputerze jako administrator. Przejdź do Panelu sterowania. Ustaw nazwę komputera na CORPDC i nadaj mu statyczny adres IP w sieci wirtualnej. Uruchom ponownie serwer.

  5. Po ponownym uruchomieniu serwera zaloguj się jako administrator. Przejdź do Panelu sterowania. Skonfiguruj komputer tak, aby sprawdzał dostępność aktualizacji, a następnie zainstaluj wszystkie wymagane aktualizacje. Uruchom ponownie serwer.

Dodawanie ról w celu ustanowienia kontrolera domeny

W tej sekcji dodasz role usług domenowych Active Directory (AD DS), serwera DNS i serwera plików (część sekcji Usługi plików i magazynu) i podwyższysz poziom tego serwera do kontrolera domeny nowego lasu contoso.local.

Uwaga

Jeśli masz już domenę do użycia w formie domeny CORP, a domena ta używa systemu Windows Server 2012 R2 lub nowszego jako kontrolera domeny, możesz przejść do kroku Tworzenie dodatkowych użytkowników i grup demonstracyjnych.

  1. Uruchom program PowerShell po zalogowaniu się na konto administratora.

  2. Wpisz następujące polecenia.

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    Spowoduje to wyświetlenie monitu o podanie hasła administratora trybu awaryjnego. Należy pamiętać, że pojawią się komunikaty ostrzegawcze dotyczące delegowania DNS i ustawień kryptograficznych. Jest to normalne zachowanie.

  3. Po zakończeniu tworzenia lasu wyloguj się. Serwer zostanie automatycznie uruchomiony ponownie.

  4. Po ponownym uruchomieniu serwera zaloguj się do komputera CORPDC jako administrator domeny. Zazwyczaj jest to użytkownik CONTOSO\Administrator, który będzie miał hasło, które zostało utworzone podczas instalu Windows na komputerze CORPDC.

Tworzenie grupy

Utwórz grupę na potrzeby inspekcji przy użyciu usługi Active Directory, jeśli grupa jeszcze nie istnieje. Nazwa grupy musi być nazwą NetBIOS domeny z trzema znakami dolara, np. CONTOSO$$$.

Dla każdej domeny zaloguj się do kontrolera domeny jako administrator domeny i wykonaj następujące czynności:

  1. Uruchom program PowerShell.

  2. Wpisz poniższe polecenia, zastępując „CONTOSO” nazwą NetBIOS domeny.

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

W niektórych przypadkach grupa może już istnieć — jest to normalne, jeśli domena była już używana w scenariuszach związanych z migracją usługi AD.

Tworzenie dodatkowych użytkowników i grup demonstracyjnych

Jeśli utworzono nową domenę CORP, należy utworzyć dodatkowych użytkowników i grupy na potrzeby demonstrowania scenariusza PAM. Użytkownicy i grupy demonstracyjne nie powinny być administratorami domeny lub użytkownikami i grupami kontrolowanymi przez ustawienia adminSDHolder w usłudze AD.

Uwaga

Jeśli masz już domenę do użycia w formie domeny CORP, a domena zawiera użytkownika i grupę, których można użyć w celach demonstracyjnych, możesz przejść do sekcji Konfiguracja inspekcji.

Zamierzamy utworzyć grupę zabezpieczeń o nazwie CorpAdmins i użytkownika o nazwie Jen. W razie potrzeby możesz użyć innych nazw.

  1. Uruchom program PowerShell.

  2. Wpisz następujące polecenia. Zamień hasło „Pass@word1” na inne.

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

Konfigurowanie inspekcji

Musisz włączyć inspekcję w istniejących lasach, aby ustalić konfigurację PAM w tych lasach.

Dla każdej domeny zaloguj się do kontrolera domeny jako administrator domeny i wykonaj następujące czynności:

  1. Przejdź do pozycji StartNarzędzia administracyjne (lub w systemie Windows Server 2016 Narzędzia administracyjne systemu Windows), a następnie uruchom Zarządzanie zasadami grupy.

  2. Przejdź do zasad kontrolerów domeny dla tej domeny. Jeśli utworzono nową domenę dla lasu contoso.local, przejdź do pozycji Forest: contoso.localDomenycontoso.localKontrolery domenyDomyślne zasady kontrolerów domeny. Zostanie wyświetlony komunikat informacyjny.

  3. Kliknij prawym przyciskiem myszy pozycję Domyślne zasady kontrolerów domeny i wybierz polecenie Edytuj. Zostanie wyświetlone nowe okno.

  4. W oknie Edytor zarządzania zasadami grupy w drzewie Domyślne zasady kontrolerów domeny wybierz pozycję Konfiguracja komputeraZasadyUstawienia systemu WindowsUstawienia zabezpieczeńZasady lokalneZasady inspekcji.

  5. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Przeprowadź inspekcję zarządzania kontami, a następnie wybierz polecenie Właściwości. Wybierz pozycję Definiuj następujące ustawienia zasad, zaznacz pole wyboru obok pozycji Powodzenie, zaznacz pole wyboru obok pozycji Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.

  6. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Przeprowadź inspekcję dostępu do usługi katalogowej, a następnie wybierz polecenie Właściwości. Wybierz pozycję Definiuj następujące ustawienia zasad, zaznacz pole wyboru obok pozycji Powodzenie, zaznacz pole wyboru obok pozycji Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.

  7. Zamknij okno Edytor zarządzania zasadami grupy i okno Zarządzanie zasadami grupy.

  8. Zastosuj ustawienia inspekcji, otwierając okno programu PowerShell i wpisując następujące polecenie:

    gpupdate /force /target:computer
    

Po upływie kilku minut powinien zostać wyświetlony komunikat Pomyślnie ukończono aktualizowanie zasad komputera.

Konfiguracja ustawień rejestru

W tej sekcji skonfigurujesz ustawienia rejestru wymagane do migracji sIDHistory, co zostanie wykorzystane podczas tworzenia grupy zarządzania dostępem uprzywilejowanym.

  1. Uruchom program PowerShell.

  2. Wpisz następujące polecenia, aby skonfigurować domenę źródłową i zezwolić na zdalny dostęp do wywołania procedury (RPC) do bazy danych menedżera kont zabezpieczeń (SAM).

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

Operacja spowoduje ponowne uruchomienie kontrolera domeny, CORPDC. Aby uzyskać więcej informacji na temat tego ustawienia rejestru, zobacz temat Sposób rozwiązywania problemów związanych z migracją sIDHistory między lasami przy użyciu narzędzia ADMTv2.

Przygotowanie stacji roboczej CORP i zasobów

Jeśli nie masz jeszcze komputera stacji roboczej podłączonego do domeny, wykonaj poniższe instrukcje, aby przygotować komputer.

Uwaga

Jeśli masz już stację roboczą dołączoną do domeny, przejdź do kroku Tworzenie zasobu demonstracyjnego.

Instalowanie systemu Windows 8.1 lub Windows 10 Enterprise jako maszyny wirtualnej

Na kolejnej, nowej maszynie wirtualnej bez zainstalowanego oprogramowania zainstaluj system Windows 8.1 Enterprise lub Windows 10 Enterprise, aby utworzyć komputer o nazwie CORPWKSTN.

  1. Użyj ustawień ekspresowych podczas instalacji.

  2. Być może podczas instalacji połączenie z Internetem nie będzie możliwe. Wybierz opcję Utwórz konto lokalne. Podaj inną nazwę użytkownika — nie używaj nazw „Administrator” ani „Jen”.

  3. Przy użyciu Panelu sterowania przypisz statyczny adres IP w sieci wirtualnej do tego komputera i ustaw preferowany serwer DNS interfejsu na serwer DNS komputera CORPDC.

  4. Przy użyciu Panelu sterowania podłącz komputer CORPWKSTN do domeny contoso.local. Należy podać poświadczenia administratora domeny Contoso. Następnie, po zakończeniu tego procesu, uruchom ponownie komputer CORPWKSTN.

Tworzenie zasobu demonstracyjnego

Potrzebujesz zasobu w celach demonstracyjnych związanych z kontrolą dostępu opartą na grupach zabezpieczeń przy użyciu programu PAM. Jeśli nie masz jeszcze zasobu, możesz użyć folderu plików w celach demonstracyjnych. Spowoduje to użycie obiektów „Jen” i „CorpAdmins” usługi AD utworzonych w domenie contoso.local.

  1. Nawiąż połączenie ze stacją roboczą CORPWKSTN. Kliknij ikonę Przełącz użytkownika, a następnie kliknij przycisk Inny użytkownik. Upewnij się, że użytkownik CONTOSO\Jen może zalogować się do corpWKSTN.

  2. Utwórz nowy folder o nazwie CorpFS i udostępnij go grupie CorpAdmins.

  3. Otwórz program PowerShell jako administrator.

  4. Wpisz następujące polecenia.

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    

W następnym kroku należy przygotować kontroler domeny PRIV.