Déployer rapidement AD PAM dans votre environnement

Sur cette page

Ce guide vous guide à travers les étapes pour configurer rapidement Devolutions PAM dans votre environnement, afin que vous puissiez protéger les comptes privilégiés, appliquer des politiques et contrôler l'accès à des informations sensibles avec un temps de configuration minimal.

Devolutions Server (auto-hébergé)

  1. Configurer un compte de service de domaine PAM.

    Le compte de service du domaine PAM sera requis à un stade ultérieur. S'assurer de garder le nom d'utilisateur et le mot de passe à portée de main.

  2. Une étape optionnelle consiste à créer un compte de test pour PAM.

  3. S'assurer que le service d'ordonnancement est en cours d'exécution.

  4. Configurer votre fournisseur de domaine PAM dans Devolutions Server en allant dans AdministrationAccès privilégiéFournisseurs.

  5. Cliquer sur le signe plus en haut à droite pour ajouter un nouveau fournisseur.

  6. Sélectionner Utilisateur de domaine et continuer.

  7. Entrer la configuration requise et spécifier le compte service de domaine créé à l'étape 1. Cliquer sur Enregistrer.

  8. Configurer la configuration de scan (demandée lors de l'enregistrement du fournisseur PAM).

  9. Sélectionner les UO où le compte privilégié (ou compte de test) est situé.

  10. Cocher Démarrer l'analyse à l'enregistrement sous Actions. Cliquer sur Enregistrer.

  11. Ouvrir les propriétés du fournisseur et naviguer jusqu'à l'onglet Politique de réservation.

  12. Créer une politique de réservation et un coffre PAM.

  13. Importer des comptes à partir du Scan.

Voici le niveau de risque associé à chaque compte découvert lors d'une analyse.

Nom du groupe Niveau de privilège Description
Admins de domaine Niveau 0 Contrôle total sur les ressources de domaine.
Admins de l'entreprise Niveau 0 Contrôle total sur la configuration de la forêt.
Admins de schéma Niveau 0 Peut modifier le schéma AD.
Administrateurs Niveau 0 Administrateurs intégrés sur tous les contrôleurs de domaine.
Opérateurs de compte Niveau 1 Pouvoir gérer les comptes utilisateur/groupe. Risque d'escalade de privilèges.
Opérateurs de serveur Niveau 1 Peut se connecter localement aux DCs et gérer les services.
Opérateurs de sauvegarde Niveau 1 Pouvoir sauvegarder des fichiers système protégés ; souvent négligé.
Créateurs des stratégies de groupe propriétaires Niveau 1 Pouvoir créer/éditer des objets stratégie de groupe — pouvoir introduire une persistance.
Admins DNS Niveau 1 Pouvoir contrôler les zones DNS — potentiel de mystification de domaine.

  1. Configurer une entrée pour utiliser le compte PAM.

Devolutions Hub Business (Nuage)

  1. Configurer un compte de service de domaine PAM.

    Le compte de service du domaine PAM sera requis à un stade ultérieur. S'assurer de garder le nom d'utilisateur et le mot de passe à portée de main.

  2. Une étape optionnelle consiste à créer un compte de test pour PAM.

  3. Installer le service PAM.

  4. Configurer votre fournisseur de domaine PAM dans Devolutions Hub Business en allant à AdministrationAccès privilégiéFournisseurs.

  5. Cliquer sur le signe plus en haut à droite pour ajouter un nouveau fournisseur.

  6. Sélectionner Utilisateur de domaine et continuer.

  7. Entrer la configuration requise et spécifier le compte service de domaine créé à l'étape 1. Cliquer sur Enregistrer.

  8. Ouvrir les propriétés du fournisseur et naviguer jusqu'à l'onglet Politique de réservation.

  9. Créer une politique de réservation et un coffre PAM en cliquant sur Ajouter un coffre.

Add vault
Add vault

  1. Configurer une entrée pour utiliser le compte PAM.

  2. Exécuter la Détection de compte à côté du fournisseur.

Account discovery
Account discovery

  1. Sélectionner les UO où le compte privilégié (ou compte de test) est situé.

Voici le niveau de risque associé à chaque compte découvert lors d'une détection de compte.

Nom du groupe Niveau de privilège Description
Admins de domaine Niveau 0 Contrôle total sur les ressources de domaine.
Admins de l'entreprise Niveau 0 Contrôle total sur la configuration de la forêt.
Admins de schéma Niveau 0 Peut modifier le schéma AD.
Administrateurs Niveau 0 Administrateurs intégrés sur tous les contrôleurs de domaine.
Opérateurs de compte Niveau 1 Pouvoir gérer les comptes utilisateur/groupe. Risque d'escalade de privilèges.
Opérateurs de serveur Niveau 1 Peut se connecter localement aux DCs et gérer les services.
Opérateurs de sauvegarde Niveau 1 Pouvoir sauvegarder des fichiers système protégés ; souvent négligé.
Créateurs des stratégies de groupe propriétaires Niveau 1 Pouvoir créer/éditer des objets stratégie de groupe — pouvoir introduire une persistance.
Admins DNS Niveau 1 Pouvoir contrôler les zones DNS — potentiel de mystification de domaine.

  1. Après avoir sélectionné les paramètres de destination, de sécurité et de mot de passe, cliquer sur Importer.

Lire Activer l'élévation Just-in-Time et le provisionnement pour octroyer un accès temporaire privilégié à la demande.

Voir aussi

Devolutions Forum logo Donnez-nous vos commentaires