7. Adım - Kullanıcının erişimini yükseltme

  • Makale

« 6. Adım

Bu adım, bir kullanıcının MIM yoluyla bir rol için erişim isteyebildiğini gösterir.

Kaynağa erişimin kısıtlandığını doğrulama

Yükseltilmiş ayrıcalıklar olmadan Jen'in hesabı CORP ormanındaki ayrıcalıklı kaynağa erişemez.

  1. Önbelleğe alınmış açık bağlantıları kaldırmak için Jen'in tüm bilgisayarlarda oturumunu kapatmasını sağlayın.
  2. PRIVWKSTN'de oturum açın.
  3. DOS komut istemini açın.
  4. Kullanıcının bir güvenlik grubu üyeliği olmasını gerektirecek komutu yazın. Örneğin, güvenlik grubu CORPDC bilgisayarında dosya paylaşımı corpfs kullanma özelliğini koruyorsa yazındir \\corpdc\corpfs. Erişim reddedildi hata iletisi gösterilmelidir.
  5. Komut istemi penceresini açık bırakın.

MIM'den ayrıcalıklı erişim isteme

Not

İş istasyonunun ayrıcalıklı bir iş istasyonu (PAW) olması önerilir. Daha fazla bilgi için cihazların güvenliğini sağlama kılavuzuna bakın.

  1. PRIVWKSTN'de olarak PRIV\priv.jenoturum açın.

  2. PowerShell’i başlatın.

  3. Aşağıdaki komutu yazın.

    runas /user:Priv.Jen@priv.contoso.local powershell

  4. İstendiğinde, hesabın parolasını PRIV.Jen yazın. Yeni bir komut istemi penceresi görüntülenir.

  5. PowerShell penceresi açıldığında, aşağıdaki komutları yazın.

    Not

    Bu komutları çalıştırdıktan sonra, izleyen adımların tümü zamana duyarlıdır.

    Import-module MIMPAM
$r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
New-PAMRequest –role $r
klist purge

  6. Bu tamamlandıktan sonra, PowerShell penceresini kapatın.

  7. Komut penceresinde aşağıdaki komutu yazın:

    runas /user:Priv.Jen@priv.contoso.local powershell

  8. Hesabın parolasını PRIV.Jen yazın. Yeni bir komut istemi penceresi görüntülenir.

  9. Yeni açılan penceredeki yükseltilmiş erişimin kullanıcıya yeni grup üyelikleri sağladığını doğrulayın. aşağıdaki komutu yazın.

    whoami /groups

  10. Ardından, daha önce erişim yetersizliği nedeniyle engellenmiş olarak gösterilen komutu yazın. Örneğin, kaynak bir dosya paylaşımıysa corpfsaşağıdaki komutu yazın.

    dir \\corpdc\corpfs

    Dir komutu Access reddedildi hata iletisiyle başarısız olursa, güven ilişkisini yeniden denetleyin.

Özet

Bu kılavuzu tamamladığınıza göre, bir Privileged Access Management senaryosu gösterdiniz. Bu senaryoda, kullanıcı ayrıcalıkları sınırlı bir süre için yükseltilmiştir ve kullanıcının korumalı kaynaklara ayrı bir ayrıcalıklı hesapla erişmesine olanak tanır. Yükseltme oturumunun süresi dolduğu anda, ayrıcalıklı hesap artık korumalı kaynağa erişemez. Ardından, erişim haklarını Privileged Access Management sistemine geçirdiğinizde, özgün kullanıcı hesabı için kalıcı olarak kullanılabilir olan erişim yalnızca istek üzerine özel hesaplar için mümkün olacaktır. Sonuç olarak, yüksek ayrıcalıklı gruplar için grup üyelikleri yalnızca sınırlı süreler için kullanılabilir.

« 6. Adım