Passo 1 – preparar o anfitrião e o domínio CORP
Neste passo, vai preparar-se para alojar o ambiente que será gerido pelo PAM. Se necessário, também irá criar um controlador de domínio e uma estação de trabalho membro num novo domínio e floresta (a floresta CORP ). O acesso a essa floresta será a partir de identidades a serem geridas pelo ambiente bastion, com uma floresta PRIV , criada no próximo passo. Esta floresta CORP simula uma floresta existente que tem recursos para serem geridos. Este documento inclui um recurso de exemplo para ser protegido, uma partilha de ficheiros.
Se já tiver um domínio do Active Directory (AD) existente com um controlador de domínio em execução Windows Server 2012 R2 ou posterior, onde é administrador de domínio, pode utilizar esse domínio e avançar para a secção "Criar um grupo" neste artigo.
Preparar o controlador de domínio CORP
Esta secção descreve como configurar um controlador de domínio para um domínio CORP. No domínio CORP, os utilizadores administrativos são geridos pelo ambiente bastion. O nome do Sistema de Nomes de Domínio (DNS) do domínio CORP utilizado neste exemplo é contoso.local.
Instale o Windows Server
Instale Windows Server 2016 ou posterior numa máquina virtual para criar um computador chamado CORPDC.
Selecione Windows Server 2016 (Servidor com Experiência de Utilização do Computador).
Reveja e aceite os termos do licenciamento.
Uma vez que o disco estará vazio, selecione Personalizado: Instalar apenas o Windows e utilizar o espaço em disco não inicializado.
Inicie sessão no novo computador como administrador. Navegue para o Painel de Controlo. Defina o nome do computador como CORPDC e conceda-lhe um endereço IP estático na rede virtual. Reinicie o servidor.
Após o reinício do servidor, inicie sessão como administrador. Navegue para o Painel de Controlo. Configure o computador para verificar se existem atualizações e instale as atualizações necessárias. Reinicie o servidor.
Adicione funções para estabelecer um controlador de domínio
Nesta secção, irá configurar o novo Windows Server para se tornar um controlador de domínio. Irá adicionar as funções Active Directory Domain Services (AD DS), Servidor DNS e Servidor de Ficheiros (parte da secção Serviços de Ficheiros e Armazenamento) e promover este servidor a um controlador de domínio de uma nova floresta contoso.local.
Nota
Se já tiver um domínio para utilizar como domínio CORP e esse domínio utilizar Windows Server 2012 R2 ou posterior como nível funcional de domínio, pode avançar para Criar utilizadores e grupos adicionais para fins de demonstração.
Enquanto tiver sessão iniciada como administrador, inicie o PowerShell.
Escreva os seguintes comandos.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkEsta ação irá solicitar uma Palavra-passe de Administrador de Modo Seguro a utilizar. Tenha em atenção que as definições de criptografia e a delegação de DNS serão apresentadas. Estas são normais.
Após a conclusão da criação da floresta, termine sessão. O servidor será reiniciado automaticamente.
Depois de reiniciar o servidor, inicie sessão no CORPDC como um administrador do domínio. Normalmente, este é o utilizador CONTOSO\Administrator, que terá a palavra-passe que foi criada quando instalou o Windows no CORPDC.
Instalar atualizações (apenas Windows Server 2012 R2)
- Se optar por utilizar o Windows Server 2012 R2 como o sistema operativo para CORPDC, tem de instalar as correções 2919442 e 2919355, assim como a atualização 3155495, no CORPDC.
Criar um grupo
Crie um grupo para fins de auditoria do Active Directory, se o grupo ainda não existir. O nome do grupo tem de ser o nome de domínio NetBIOS seguido de três cifrões, por exemplo CONTOSO$$$.
Para cada domínio, inicie sessão no controlador de domínio como um administrador de domínio e execute os seguintes passos:
Inicie o PowerShell.
Escreva os comandos seguintes, mas substitua "CONTOSO" pelo nome NetBIOS do seu domínio.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Em alguns casos o grupo já pode existir - isto é normal se o domínio também foi utilizado em cenários de migração do AD.
Crie utilizadores e grupos adicionais para fins de demonstração
Se tiver criado um novo domínio CORP, deve criar utilizadores e grupos adicionais para demonstrar o cenário de PAM. O utilizador e o grupo para fins de demonstração não devem ser administradores de domínio ou controlados pelas definições de adminSDHolder no AD.
Nota
Se já tiver um domínio que irá utilizar como domínio CORP e tiver um utilizador e um grupo que pode utilizar para fins de demonstração, pode avançar para a secção Configurar auditoria.
Vamos criar um grupo de segurança denominado CorpAdmins e um utilizador com o nome Jen. Pode utilizar nomes diferentes se desejar. Se já tiver um utilizador existente, por exemplo, com um smartcard, não terá de criar um novo utilizador.
Inicie o PowerShell.
Escreva os seguintes comandos. Substitua a palavra-passe "Pass@word1" por uma cadeia de palavra-passe diferente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configurar auditoria
Tem de ativar a auditoria em florestas existentes para estabelecer a configuração de PAM nessas florestas.
Para cada domínio, inicie sessão no controlador de domínio como um administrador de domínio e execute os seguintes passos:
Aceda a Iniciar>Ferramentas Administrativas do Windows e inicie a Gestão de Política de Grupo.
Navegue para a política de controladores de domínio deste domínio. Se tiver criado um novo domínio para contoso.local, navegue para Forest: contoso.localDomains> contoso.localDomain ControllersDefault Domain Controllers Policy(Controladores de Domínio Predefinidos>)contoso.local>>. Aparece uma mensagem informativa.
Clique com o botão direito do rato em Política de Controladores de Domínio Predefinida e selecione Editar. Aparece uma nova janela.
Na janela Política de Grupo Editor de Gestão, na árvore Política de Controladores de Domínio Predefinidas, navegue até Políticas de Configuração do ComputadorPolíticas> de Configuração> doWindows Definições>de Segurança Definições>de Segurança Políticas Locais Políticas Locais Políticas>.
No painel de detalhes, clique com o botão direito do rato em Auditar a gestão de contas e selecione Propriedades. Selecione Definir estas definições de política, marque a caixa de verificação Êxito e a caixa de verificação Falha, clique em Aplicar e OK.
No painel de detalhes, clique com o botão direito do rato em Auditar acesso ao serviço de diretórios e selecione Propriedades. Selecione Definir estas definições de política, marque a caixa de verificação Êxito e a caixa de verificação Falha, clique em Aplicar e OK.
Feche a janela Editor de Gestão de Políticas de Grupo e a janela Gestão de Políticas de Grupo.
Aplique as definições de auditoria ao iniciar uma janela do PowerShell e escreva:
gpupdate /force /target:computer
A mensagem A atualização da Política de Computador foi concluída com êxito deve aparecer após alguns minutos.
Configurar definições de registo
Nesta secção, irá configurar as definições de registo necessárias para a migração do Histórico de SID, que serão utilizadas para a criação do grupo Gestão de Acesso Privilegiado.
Inicie o PowerShell.
Escreva os seguintes comandos para configurar o domínio de origem e permitir o acesso de chamada de procedimento remoto (RPC) à base de dados do gestor de contas de segurança (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Esta ação irá reiniciar o controlador de domínio, CORPDC. Para obter mais informações sobre esta definição de registo, consulte Como resolver problemas de migração sIDHistory entre florestas com o ADMTv2.
Preparar um recurso CORP para fins de demonstração
Precisará de, pelo menos, um recurso no domínio para demonstrar o controlo de acesso baseado em grupos de segurança com PAM. Se ainda não tiver um recurso, pode utilizar uma pasta de ficheiros num servidor associado ao domínio CORP para fins de demonstração. Este procedimento irá utilizar os objetos do AD "Jen" e "CorpAdmins" que criou no domínio contoso.local.
Ligue-se ao servidor como administrador.
Crie uma nova pasta com o nome CorpFS e partilhe-a com o grupo CorpAdmins. Abra o PowerShell como administrador e escreva os seguintes comandos.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclUma vez que o utilizador PRIV irá ligar-se a este servidor a partir de outra floresta, poderá ter de alterar a configuração da firewall neste servidor para permitir que o computador do utilizador consiga ligar-se a este servidor.
No próximo passo, irá preparar o controlador de domínio PRIV.