Planera en skyddsmiljöPlanning a bastion environment

Genom att lägga till en skyddsmiljö med en dedikerad administrativ skog för Active Directory kan organisationer enkelt hantera administratörskonton, arbetsstationer och grupper i en miljö med starkare säkerhetskontroller än den befintliga produktionsmiljön.Adding a bastion environment with a dedicated administrative forest to an Active Directory enables organizations to easily manage administrative accounts, workstations, and groups in an environment that has stronger security controls than their existing production environment.

Den här arkitekturen möjliggör ett antal kontroller som inte är möjliga eller enkla att konfigurera i en arkitektur med en enda skog.This architecture enables a number of controls that aren’t possible or easily configured in a single forest architecture. Det omfattar att tilldela konton som vanliga icke-privilegierade användare i den administrativa skogen, vilka är mycket privilegierade i produktionsmiljön, vilket möjliggör större teknisk tillämpning av styrningen.That includes provisioning accounts as standard non-privileged users in the administrative forest that are highly privileged in the production environment, enabling greater technical enforcement of governance. Den här arkitekturen möjliggör också användning av funktionen för selektiv autentisering av ett förtroende, vilket gör att det går att begränsa inloggning (och exponering av autentiseringsuppgifter) till enbart auktoriserade värdar.This architecture also enables the use of the selective authentication feature of a trust as a means to restrict logons (and credential exposure) to only authorized hosts. När du behöver en högre säkerhetsnivå för produktionsskogen men vill slippa kostnaden och komplexiteten för en fullständig ombyggnation, kan du få en miljö som höjer säkerhetsnivån i produktionsmiljön med hjälp av en administrativ skog.In situations in which a greater level of assurance is desired for the production forest without incurring the cost and complexity of a complete rebuild, an administrative forest can provide an environment that increases the assurance level of the production environment.

Annan teknik kan användas vid sidan av den dedikerade administrativa skogen.Additional techniques can be used in addition to the dedicated administrative forest. Sådan teknik kan bland annat begränsa platserna där administratörers autentiseringsuppgifter exponeras, begränsa användarnas rollprivilegier i skogen och säkerställa att administrativa uppgifter inte utförs på värdar som används för standardanvändares aktiviteter (till exempel e-postanvändning och webbsurfande).These include restricting where administrative credentials are exposed, limiting role privileges of users in that forest, and ensuring administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

Rekommenderade övervägandenBest practice considerations

En dedikerad administrativ skog är en Active Directory-standardskog med en domän som används för hantering av Active Directory.A dedicated administrative forest is a standard single domain Active Directory forest used for Active Directory management. En fördel med att använda administrativa skogar och domäner är att de kan ha fler säkerhetsåtgärder än produktionsskogar på grund av sina begränsade användningsområden.A benefit to using administrative forests and domains is that they can have more security measures than production forests because of their limited use cases. Eftersom den här dedikerade skogen är avskild från och inte har förtroende för organisationens befintliga skogar påverkas den dessutom inte av ett säkerhetsintrång i en annan skog.Furthermore, since this forest is separated and does not trust the organization's existing forests, a security compromise in another forest would not extend to this dedicated forest.

Vid utformningen av en administrativ skog ingår följande överväganden:An administrative forest design has the following considerations:

Begränsat omfångLimited scope

Fördelen med en administrativ skog är den höga säkerhetsnivån och minskade attackytan.The value of an admin forest is the high level of security assurance and reduced attack surface. Skogen kan innehålla ytterligare hanteringsfunktioner och program, men varje ökning i omfattningen ökar risken för angrepp på skogen och dess resurser.The forest can house additional management functions and applications, but each increase in scope will increase the attack surface of the forest and its resources. Målet är att begränsa skogens funktioner för att hålla risken för angrepp på lägsta nivå.The objective is to limit the functions of the forest to keep the attack surface minimal.

Enligt nivåmodellen för partitionering av administratörsbehörighet bör konton i en dedikerad administrativ skog vara på en enda nivå, vanligtvis nivå 0 eller 1.According to the Tier model of partitioning administrative privileges, the accounts in a dedicated administrative forest should be in a single tier, typically either tier 0 or tier 1. Om en skog ligger på nivå 1 ska du överväga att begränsa den till ett bestämt programområde (till exempel ekonomiappar) eller en bestämd användargrupp (till exempel IT-underleverantörer).If a forest is in tier 1, consider restricting it to a particular scope of application (e.g., finance apps) or user community (e.g., outsourced IT vendors).

Begränsat förtroendeRestricted trust

CORP-skogen för produktion bör ha förtroende för den administrativa PRIV-skogen, men inte tvärtom.The production CORP forest should trust the administrative PRIV forest, but not the other way around. Det kan vara ett domänförtroende eller ett skogsförtroende.This can be a domain trust or a forest trust. Den administrativa skogens domän behöver inte ha förtroende för hanterade domäner och skogar för att hantera Active Directory, men för ytterligare program kan det krävas en dubbelriktad förtroenderelation, säkerhetsvalidering och testning.The admin forest domain does not need to trust the managed domains and forests to manage Active Directory, though additional applications may require a two-way trust relationship, security validation, and testing.

Selektiv autentisering bör användas för att säkerställa att kontona i den administrativa skogen endast använder rätt produktionsvärdar.Selective authentication should be used to ensure that accounts in the admin forest only use the appropriate production hosts. För att hantera domänkontrollanter och delegera behörigheter i Active Directory kräver detta att behörigheten "Tillåts att logga in" på domänkontrollanter tilldelas angivna administratörskonton på nivå 0 i den administrativa skogen.For maintaining domain controllers and delegating rights in Active Directory, this typically requires granting the “Allowed to logon” right for domain controllers to designated Tier 0 admin accounts in the admin forest. I Configuring Selective Authentication Settings (Konfigurera inställningar för selektiv autentisering) finns mer information.See Configuring Selective Authentication Settings for more information.

Upprätthålla logisk uppdelningMaintain logical separation

Du säkerställer att skyddsmiljön inte påverkas av befintliga eller framtida säkerhetsincidenter i organisationens Active Directory genom att följa de här riktlinjerna när du förbereder system för skyddsmiljön:In order to ensure that the bastion environment is not impacted by existing or future security incidents in the organizational Active Directory, the following guidelines should be used when preparing systems for the bastion environment:

  • Windows-servrar får inte vara domänanslutna eller använda distribuerad programvara eller distribuerade inställningar från den befintliga miljön.Windows Servers should not be domain joined or leverage software or settings distribution from the existing environment.

  • Skyddsmiljön måste innehålla egna Active Directory Domain Services som tillhandahåller skyddsmiljön med Kerberos och LDAP, DNS, tid och tidstjänster.The bastion environment must contain its own Active Directory Domain Services, providing Kerberos and LDAP, DNS, time and time services, to the bastion environment.

  • MIM ska inte använda en SQL-databasgrupp i den befintliga miljön.MIM should not use a SQL database farm in the existing environment. Sedan ska SQL Server distribueras på dedicerade servrar i skyddsmiljön.SQL Server should be deployed on dedicated servers in the bastion environment.

  • För skyddsmiljön krävs Microsoft Identity Manager 2016, särskilt MIM-tjänsten och PAM-komponenterna måste distribueras.The bastion environment requires Microsoft Identity Manager 2016, specifically the MIM Service and PAM components must be deployed.

  • Säkerhetskopior av programvara och media för skyddsmiljön måste hållas separat från de i system i befintliga skogar så att en administratör i den befintliga skogen inte kan ändra en säkerhetskopia för skyddsmiljön.Backup software and media for the bastion environment must be kept separate from that of systems in the existing forests, so that an administrator in the existing forest cannot subvert a backup of the bastion environment.

  • Användare som hanterar servrarna i skyddsmiljön måste logga in från arbetsstationer som inte är tillgängliga för administratörer i den befintliga miljön så att autentiseringsuppgifterna för skyddsmiljön inte sprids.Users who manage the bastion environment servers must log in from workstations that are not accessible to administrators in the existing environment, so that the credentials for the bastion environment are not leaked.

Säkerställa tillgängligheten för administrativa tjänsterEnsure availability of administration services

I och med att administrationen av program överförs till skyddsmiljön måste du överväga hur du ska ge tillräcklig tillgänglighet för att uppfylla kraven för programmen.As administration of applications will be transitioned to the bastion environment, take into account how to provide sufficient availability to meet the requirements of those applications. Tekniken omfattar:The techniques include:

  • Distribuera Active Directory Domain Services på flera datorer i skyddsmiljön.Deploy Active Directory Domain Services on multiple computers in the bastion environment. Det krävs minst två för att säkerställa löpande autentisering också när en server startas om tillfälligt för schemalagt underhåll.At least two are necessary to ensure continued authentication, even if one server is temporarily restarted for scheduled maintenance. Det kan krävas fler datorer för högre belastningar och för att hantera geografiskt spridda resurser och administratörer.Additional computers may be necessary for higher load or to manage resources and administrators based in multiple geographic regions.

  • Förbered nödkonton i den befintliga skogen och den dedikerade administrationsskogen för nödfall.Prepare break glass accounts in the existing forest and the dedicated admin forest, for emergency purposes.

  • Distribuera SQL Server och MIM-tjänsten på flera datorer i skyddsmiljön.Deploy SQL Server and MIM Service on multiple computers in the bastion environment.

  • Skapa en säkerhetskopia av AD och SQL för varje ändring av användare och rolldefinitioner i den dedikerade administrationsskogen.Maintain a backup copy of AD and SQL for each change to users or role definitions in the dedicated admin forest.

Konfigurera lämpliga Active Directory-behörigheterConfigure appropriate Active Directory permissions

Den administrativa skogen ska konfigureras för det lägsta privilegium som krävs för Active Directory-administration.The administrative forest should be configured to least privilege based on the requirements for Active Directory administration.

  • Konton i den administrativa skogen som används för att administrera produktionsmiljön bör inte beviljas administratörsbehörighet för den administrativa skogen, domäner i den eller arbetsstationer i den.Accounts in the admin forest that are used to administer the production environment should not be granted administrative privileges to the admin forest, domains in it, or workstations in it.

  • Administratörsbehörigheter över själva den administrativa skogen bör vara hårt styrda av en offlineprocess för att minska externa och interna angripares möjlighet att radera granskningsloggar.Administrative privileges over the admin forest itself should be tightly controlled by an offline process to reduce the opportunity for an attacker or malicious insider to erase audit logs. Detta hjälper också att se till att personal med konton för produktionsadministration inte kan minska begränsningarna för sina konton och öka risken för organisationen.This also helps ensure that personnel with production admin accounts cannot relax the restrictions on their accounts and increase risk to the organization.

  • Den administrativa skogen bör följa Microsoft Security Compliance Managers (SCM) konfigurationer för domänen, inklusive ordentliga konfigurationer för autentiseringsprotokoll.The administrative forest should follow the Microsoft Security Compliance Manager (SCM) configurations for the domain, including strong configurations for authentication protocols.

När du skapar skyddsmiljön, innan du installerar Microsoft Identity Manager, identifierar och skapar du de konton som ska användas för administration i miljön.When creating the bastion environment, before installing Microsoft Identity Manager, identify and create the accounts that will be used for administration within this environment. Det innefattar:This will include:

  • Nödkonton ska bara kunna logga in på domänkontrollanter i skyddsmiljön.Break glass accounts should only be able to log into the domain controllers in the bastion environment.

  • Nödfallsadministratörer etablerar andra konton och utför oplanerat underhåll."Red Card" administrators provision other accounts and perform unscheduled maintenance. De här kontona tilldelas ingen behörighet till befintliga skogar eller system utanför skyddsmiljön.No access to existing forests or systems outside of the bastion environment is provided to these accounts. Autentiseringsuppgifterna, t.ex. smartkort, bör skyddas fysiskt och användning av konton bör loggas.The credentials, e.g., a smartcard, should be physically secured, and use of these account should be logged.

  • Tjänstkonton som krävs av Microsoft Identity Manager, SQL Server och annan programvara.Service accounts needed by Microsoft Identity Manager, SQL Server, and other software.

Stärk säkerheten för värdarnaHarden the hosts

Alla värdar, inklusive domänkontrollanter, servrar och arbetsstationer som är anslutna till den administrativa skogen ska ha de senaste operativsystemen och Service Pack installerade och uppdaterade.All hosts, including domain controllers, servers, and workstations joined to the administrative forest should have the latest operating systems and service packs installed and kept up to date.

  • De program som krävs för administration ska finnas på alla arbetsstationer så att kontona som använder dem inte måste finnas i den lokala administratörsgruppen för att installera dem.The applications required for performing administration should be pre-installed on workstations so that accounts using them don’t need to be in the local administrators group to install them. Underhållet av domänkontrollanter kan vanligtvis utföras med RDP och verktyg för fjärrserveradministration.Domain Controller maintenance can typically be performed with RDP and Remote Server Administration Tools.

  • Värdarna för de administrativa skogarna ska uppdateras automatiskt med säkerhetsuppdateringar.Admin forest hosts should be automatically updated with security updates. Även om det kan skapa risk för att underhåll av domänkontrollanter avbryts minskar det säkerhetsriskerna betydligt för okorrigerade säkerhetsproblem.While this may create risk of interrupting domain controller maintenance operations, it provides a significant mitigation of security risk of unpatched vulnerabilities.

Identifiera administrativa värdarIdentify administrative hosts

Risken för ett system eller en arbetsstation mäts efter den uppgift med högst risk som utförs, till exempel internet- och e-postanvändning eller användning av andra program som behandlar okänt eller osäkert innehåll.The risk of a system or workstation should be measured by the highest risk activity that is performed on it, such as Internet browsing, sending and receiving email, or the use of other applications that process unknown or untrusted content.

Administrativa värdar omfattar följande datorer:Administrative hosts include the following computers:

  • En dator på vilken autentiseringsuppgifter för administratören anges eller skrivs in.A desktop on which credentials of the administrator are physically typed or entered.

  • Administrativa fjärrservrar på vilka administrativa sessioner och verktyg körs.Administrative “jump servers” on which administrative sessions and tools are run.

  • Alla värdar på vilka administrativa uppgifter utförs, inklusive de som använder en vanlig användardator som kör en RDP-klient till att fjärradministrera servrar och program.All hosts on which administrative actions are performed, including those that use a standard user desktop running an RDP client to remotely administer servers and applications.

  • Servrar som är värdar för program som måste administreras, och kan kommas åt via RDP med begränsat-adminläge eller Windows PowerShell-fjärrkommunikation.Servers that host applications that need to be administered, and are not accessed using RDP with Restricted Admin Mode or Windows PowerShell remoting.

Distribuera dedikerade administrativa arbetsstationerDeploy dedicated administrative workstations

Även om det kan vara osmidigt kan det krävas separata arbetsstationer med förstärkt säkerhet som är speciellt avsedda för användare med autentiseringsuppgifter för administration med hög inverkan.Although inconvenient, separate hardened workstations dedicated to users with high-impact administrative credentials may be required. Det är viktigt att ange en värd med en säkerhetsnivå som är lika med eller större än behörighetsnivån som tilldelats autentiseringsuppgifterna.It's important to provide a host with a level of security that is equal to or greater than the level of the privileges entrusted to the credentials. Överväg att använda följande åtgärder för ytterligare skydd:Consider incorporating the following measures for additional protection:

  • Kontrollera att alla media i bygget är rena för att minska risken för att skadlig kod installeras i en huvudavbildning eller införs i en installationsfil som laddas ned och lagras.Verify all media in the build as clean to mitigate against malware installed in a master image or injected into an installation file during download or storage.

  • Startkonfigurationerna bör utgå från baslinjer för säkerhet.Security Baselines should be used as starting configurations. Med Microsoft Security Compliance Manager (SCM) kan du konfigurera baslinjer på administrativa värdar.The Microsoft Security Compliance Manager (SCM) can help configure the baselines on administrative hosts.

  • Säker Start skyddar mot angripare och skadlig kod som försöker läsa in osignerad kod i startprocessen.Secure Boot to mitigate against attackers or malware attempting to load unsigned code into the boot process.

  • Begränsning av programvara så att endast auktoriserade administrativa program körs på de administrativa värdarna.Software restriction to ensure that only authorized administrative software is executed on the administrative hosts. Kunder kan använda AppLocker för den här uppgiften med en godkänd lista över auktoriserade program och på så sätt förhindra att skadlig programvara och obehöriga program körs.Customers can use AppLocker for this task with a whitelist of authorized applications, to help prevent malicious software and unsupported applications from executing.

  • Fullständig volymkryptering skyddar mot fysisk förlust av datorer, som bärbara administrationsdatorer för fjärranvändning.Full volume encryption to mitigate against physical loss of computers, such as administrative laptops used remotely.

  • USB-begränsningar skyddar mot fysiska angrepp.USB restrictions to protect against physical infection.

  • Nätverksisolering skyddar mot nätverksattacker och oavsiktliga administrativa åtgärder.Network isolation to protect against network attacks and inadvertent admin actions. Värdens brandväggar ska blockera alla inkommande anslutningar utom de som uttryckligen krävs och blockera all onödig utgående internetåtkomst.Host firewalls should block all incoming connections except those explicitly required and block all unneeded outbound Internet access.

  • Program mot skadlig kod skyddar mot kända hot och skadlig kod.Antimalware to protect against known threats and malware.

  • Skydd mot trojaner skyddar mot okända hot och trojaner, bland annat Enhanced Mitigation Experience Toolkit (EMET).Exploit mitigations to mitigate against unknown threats and exploits, including the Enhanced Mitigation Experience Toolkit (EMET).

  • Analys av attackyta förhindrar att nya attackvektorer införs i Windows när ny programvara installeras.Attack surface analysis to prevent introduction of new attack vectors to Windows during installation of new software. Verktyg som Attack Surface Analyzer (ASA) hjälper dig att utvärdera konfigurationsinställningar på en värd och identifiera attackvektorer som införs med programvara eller ändringar av konfigurationen.Tools such as the Attack Surface Analyzer (ASA) help assess configuration settings on a host and identify attack vectors introduced by software or configuration changes.

  • Administrativ behörighet bör inte ges till användare på deras lokala datorer.Administrative privileges should not be given to users on their local computer.

  • RestrictedAdmin-läge för utgående RDP-sessioner, utom när de krävs för rollen.RestrictedAdmin mode for outgoing RDP sessions, except when required by the role. Mer information finns i Vad är nytt i fjärrskrivbordstjänster i Windows Server.See What's New in Remote Desktop Services in Windows Server for more information.

Vissa av de här åtgärderna kan verka extrema, men de senaste åren har flera rapporter visat på de avancerade verktyg skickliga angripare använder mot sina mål.Some of these measures might seem extreme, but public revelations in recent years have illustrated the significant capabilities that skilled adversaries possess to compromise targets.

Förbereda befintliga domäner som ska hanteras i skyddsmiljönPrepare existing domains to be managed by the bastion environment

MIM använder PowerShell-cmdletar till att upprätta förtroende mellan de befintliga AD-domänerna och den dedikerade administrativa skogen i skyddsmiljön.MIM uses PowerShell cmdlets to establish trust between the existing AD domains and the dedicated administrative forest in the bastion environment. När skyddsmiljön har distribuerats och innan några användare eller grupper konverteras till JIT måste New-PAMTrust- och New-PAMDomainConfiguration-cmdletarna uppdatera domänförtroenderelationer och skapa de artefakter som behövs för AD och MIM.After the bastion environment is deployed, and before any users or groups are converted to JIT, then the New-PAMTrust and New-PAMDomainConfiguration cmdlets will update the domain trust relationships and create artifacts needed for AD and MIM.

När den befintliga Active Directory-topologin ändras kan cmdletarna Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust och Remove-PAMDomainConfiguration användas till att uppdatera förtroenderelationer.When the existing Active Directory topology changes, the Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust and Remove-PAMDomainConfiguration cmdlets can be used to update the trust relationships.

Upprätta förtroende för varje skogEstablish trust for each forest

New-PAMTrust-cmdleten måste köras en gång per befintlig skog.The New-PAMTrust cmdlet must be run once for each existing forest. Den anropas på MIM-tjänstdatorn i administrationsdomänen.It is invoked on the MIM Service computer in the administrative domain. Parametrarna för det här kommandot är domännamnet för den översta domänen i den befintliga skogen och autentiseringsuppgifterna för en administratör i domänen.The parameters to this command are the domain name of the top domain of the existing forest, and credential of an administrator of that domain.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

När du har upprättat förtroendet konfigurerar du varje domän för att aktivera hantering från skyddsmiljön enligt beskrivningen i nästa avsnitt.After establishing the trust, then configure each domain to enable management from the bastion environment, as described in the next section.

Aktivera hantering av varje domänEnable management of each domain

Det finns sju krav för att aktivera hantering för en befintlig domän.There are seven requirements for enabling management for an existing domain.

1. En säkerhetsgrupp i den lokala domänen1. A security group on the local domain

Det måste finnas en grupp i den befintliga domänen, vars namn är NetBIOS-domännamnet följt av tre dollartecken, t.ex. CONTOSO$$$.There must be a group in the existing domain, whose name is the NetBIOS domain name followed by three dollar signs, e.g., CONTOSO$$$. Gruppomfånget måste vara domänlokal och grupptypen måste vara säkerhet.The group scope must be domain local and the group type must be Security. Det krävs för att grupper ska kunna skapas i den dedikerade administrativa skogen med samma säkerhetsidentifierare som grupper i domänen.This is needed for groups to be created in the dedicated administrative forest with the same Security identifier as groups in this domain. Skapa den här gruppen med följande PowerShell-kommando, som utförs av en administratör för den befintliga domänen och körs på en arbetsstation som är ansluten till den befintliga domänen:Create this group with the following PowerShell command, performed by an administrator of the existing domain and run on an workstation joined to the existing domain:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Granskning av lyckade och misslyckade åtgärder2. Success and failure auditing

Grupprincipinställningarna på domänkontrollanten för granskning måste innehålla granskning av både misslyckade och lyckade åtgärder för Granska kontohantering och Granska katalogtjänståtkomst.The group policy settings on the domain controller for auditing must include both success and failure auditing for Audit account management and Audit directory service access. Det kan göras av en administratör för den befintliga domänen med konsolen Grupprinciphantering och sedan köras på en arbetsstation som är ansluten till den befintliga domänen:This can be done with the Group Policy management console, performed by an administrator of the existing domain and run on a workstation joined to the existing domain:

  1. Gå till Start > Administrationsverktyg > Grupprinciphantering.Go to Start > Administrative Tools > Group Policy Management.

  2. Gå till Skog: contoso.local > Domäner > contoso.local > Domänkontrollanter > Standardprincip för domänkontrollanter.Navigate to Forest: contoso.local > Domains > contoso.local > Domain Controllers > Default Domain Controllers Policy. Ett informationsmeddelande visas.An informational message will appear.

    Standardprincip för domänkontrollanter – skärmbild

  3. Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.Right-click on Default Domain Controllers Policy and select Edit. Ett nytt fönster visas.A new window will appear.

  4. I fönstret Redigeraren Grupprinciphantering under trädet Standardprincip för domänkontrollanter går du till Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Granskningsprincip.In the Group Policy Management Editor window, under the Default Domain Controllers Policy tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

    Redigeraren Grupprinciphantering – skärmbild

  5. Högerklicka på Granska kontohantering i informationsfönstret och välj Egenskaper.In the details pane, right click on Audit account management and select Properties. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  6. Högerklicka på Granska katalogtjänståtkomst i informationsfönstret och välj Egenskaper.In the details pane, right click on Audit directory service access and select Properties. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

    Principinställningarna Lyckade och Misslyckade – skärmbild

  7. Stäng fönstren Redigeraren Grupprinciphantering och Grupprinciphantering.Close the Group Policy Management Editor window and the Group Policy Management window. Tillämpa granskningsinställningarna genom att öppna ett PowerShell-fönster och skriva:Then apply the audit settings by launching a PowerShell window and typing:

    gpupdate /force /target:computer
    

Meddelandet ”Uppdatering av grupprincip har slutförts”.The message “Computer Policy update has completed successfully.” bör visas efter några minuter.should appear after a few minutes.

3. Tillåt anslutningar till den lokala säkerhetskontrollen3. Allow connections to the Local Security Authority

Domänkontrollanterna måste tillåta RPC över TCP/IP-anslutningar för lokal säkerhetskontroll (LSA) från skyddsmiljön.The domain controllers must allow RPC over TCP/IP connections for Local Security Authority (LSA) from the bastion environment. TCP/IP-stöd i LSA måste aktiveras i registret på äldre versioner av Windows Server:On older versions of Windows Server, TCP/IP support in LSA must be enabled in the registry:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Skapa PAM-domänens konfiguration4. Create the PAM domain configuration

New-PAMDomainConfiguration-cmdleten måste köras på MIM-tjänstdatorn i administrationsdomänen.The New-PAMDomainConfiguration cmdlet must be run on the MIM Service computer in the administrative domain. Parametrarna för det här kommandot är domännamnet för den befintliga domänen och autentiseringsuppgifterna för en administratör i domänen.The parameters to this command are the domain name of the existing domain, and credential of an administrator of that domain.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Bevilja läsbehörighet för konton5. Give read permissions to accounts

De konton i skyddsskogen som används till att skapa roller (administratörer som använder cmdletarna New-PAMUser och New-PAMGroup), samt det konto som används av MIM-övervakningstjänsten måste ha läsbehörighet i domänen.The accounts in the bastion forest used to establish roles (admins who use the New-PAMUser and New-PAMGroup cmdlets), as well as the account used by the MIM monitor service, need read permissions in that domain.

Följande steg ger läsbehörighet för användaren PRIV\Administratör till domänen Contoso inom domänkontrollanten CORPDC:The following steps enable read access for the user PRIV\Administrator to the domain Contoso within the CORPDC domain controller:

  1. Kontrollera att du är inloggad i CORPDC som domänadministratör för Contoso (till exempel Contoso\Administratör).Ensure you are logged into CORPDC as a Contoso domain administrator (such as Contoso\Administrator).

  2. Starta Active Directory – användare och datorer.Launch Active Directory Users and Computers.

  3. Högerklicka på domänen contoso.local och välj Delegera kontroll.Right click on the domain contoso.local and select Delegate Control.

  4. På fliken Valda användare och grupper klickar du på Lägg till.On the Selected users and groups tab, click Add.

  5. I popup-fönstret Välj användare, datorer eller grupper klickar du på Platser och ändrar platsen till priv.contoso.local.On the Select Users, Computers, or Groups popup, click Locations and change the location to priv.contoso.local. På objektnamnet skriver du Domänadministratörer och klickar på Kontrollera namn.On the object name, type Domain Admins and click Check Names. När ett popup-fönster visas anger du användarnamnet priv\administratör och lösenordet.When a popup appears, for the username type priv\administrator and the password.

  6. Efter Domänadministratörer skriver du ; MIMMonitor.After Domain Admins, type ; MIMMonitor. När namnen Domänadministratörer och MIMMonitor är understrukna klickar du på OK och sedan på Nästa.After the names Domain Admins and MIMMonitor are underlined, click OK, then click Next.

  7. I listan med vanliga uppgifter väljer du Läsa all användarinformation och klickar på Nästa och Slutför.In the list of common tasks, select Read all user information, then click Next and Finish.

  8. Stäng Active Directory – användare och datorer.Close Active Directory Users and Computers.

6. Ett nödkonto6. A break glass account

Om målet med hanteringen av privilegierad åtkomst är att minska antalet konton med domänadministratörsbehörighet som är permanent tilldelade för domänen måste det också finnas ett nödkonto i domänen om det senare skulle uppstå problem i förtroenderelationen.If the goal of the privileged access management project is to reduce the number of accounts with Domain Administrator privileges permanently assigned to the domain, there must be a break glass account in the domain, in case there is a later problem with the trust relationship. Konton för nödåtkomst till produktionsskogen ska finnas i varje domän och ska bara kunna logga in på domänkontrollanter.Accounts for emergency access to the production forest should exist in each domain, and should only be able to log into domain controllers. För organisationer med flera platser, kan det krävas ytterligare konton för redundans.For organizations with multiple sites, additional accounts may be required for redundancy.

7. Uppdatera behörigheter i skyddsmiljön7. Update permissions in the bastion environment

Granska behörigheterna i objektet AdminSDHolder i systembehållaren i den domänen.Review the permissions on the AdminSDHolder object in the System container in that domain. Objektet AdminSDHolder har en unik åtkomstkontrollista (ACL) som används till att kontrollera behörigheterna för säkerhetsobjekt som är medlemmar i inbyggda privilegierade Active Directory-grupper.The AdminSDHolder object has a unique Access Control List (ACL), which is used to control the permissions of security principals that are members of built-in privileged Active Directory groups. Observera om det har gjorts ändringar i standardbehörigheterna som påverkar användare med administratörsbehörighet i domänen, eftersom de behörigheterna inte gäller för användare vars konton finns i skyddsmiljön.Note if any changes to the default permissions have been made that would impact users with administrative privileges in the domain, since those permissions will not apply to users whose account is in the bastion environment.

Välja användare och grupper som ska ingåSelect users and groups for inclusion

Nästa steg är att definiera PAM-rollerna och associera de användare och grupper till vilka de ska ha åtkomst.The next step is defining the PAM roles, associating the users and groups to which they should have access. Det här är vanligtvis en delmängd av användarna och grupperna för nivån som hanteras i skyddsmiljön.This will typically be a subset of the users and groups for the tier identified as being managed in the bastion environment. Mer information finns i Definiera roller för Privileged Access Management.More information is in Defining roles for Privileged Access Management.