Déployer rapidement AD PAM dans votre environnement

Sur cette page

Ce guide vous guide à travers les étapes pour configurer rapidement Devolutions PAM dans votre environnement, afin que vous puissiez protéger les comptes privilégiés, appliquer des politiques et contrôler l'accès à des informations sensibles avec un temps de configuration minimal.

Devolutions Server (auto-hébergé)

  1. Configurer un compte de service PAM Domain.

    Le compte de service du domaine PAM sera requis à un stade ultérieur. S'assurer de garder le nom d'utilisateur et le mot de passe à portée de main.

  2. Une étape optionnelle consiste à créer un compte de test pour PAM.

  3. Vérifier que le service du planificateur est en cours d'exécution.

  4. Configurer votre fournisseur PAM de domaine dans Devolutions Server en accédant à AdministrationAccès privilégiéFournisseurs.

  5. Cliquer sur le signe plus en haut à droite pour ajouter un nouveau fournisseur.

  6. Sélectionner Utilisateur de domaine et continuer.

  7. Entrer la configuration requise et spécifier le compte service de domaine créé à l'étape 1. Cliquer sur Enregistrer.

  8. Configurer la configuration de détection de compte (incitée lors de l'enregistrement du fournisseur PAM).

  9. Sélectionner les UO où le compte privilégié (ou compte de test) est situé.

  10. Cocher Démarrer l'analyse à l'enregistrement sous Actions. Cliquer sur Enregistrer.

  11. Ouvrir les propriétés du fournisseur et naviguer jusqu'à l'onglet Politique de réservation.

  12. Créer une politique de réservation et un coffre PAM.

  13. Importer des comptes depuis le Scan.

Voici le niveau de risque associé à chaque compte découvert lors d'une analyse.

Nom du groupe Niveau de privilège Description
Admins de domaine Niveau 0 Contrôle total sur les ressources de domaine.
Admins de l'entreprise Niveau 0 Contrôle total sur la configuration de la forêt.
Admins de schéma Niveau 0 Peut modifier le schéma AD.
Administrateurs Niveau 0 Administrateurs intégrés sur tous les contrôleurs de domaine.
Opérateurs de compte Niveau 1 Pouvoir gérer les comptes utilisateur/groupe. Risque d'escalade de privilèges.
Opérateurs de serveur Niveau 1 Peut se connecter localement aux DCs et gérer les services.
Opérateurs de sauvegarde Niveau 1 Pouvoir sauvegarder des fichiers système protégés ; souvent négligé.
Créateurs des stratégies de groupe propriétaires Niveau 1 Pouvoir créer/éditer des objets stratégie de groupe — pouvoir introduire une persistance.
Admins DNS Niveau 1 Pouvoir contrôler les zones DNS — potentiel de mystification de domaine.

  1. Configurer une entrée pour utiliser le compte PAM.

Devolutions Hub Business (Nuage)

  1. Configurer un compte de service PAM Domain.

    Le compte de service du domaine PAM sera requis à un stade ultérieur. S'assurer de garder le nom d'utilisateur et le mot de passe à portée de main.

  2. Une étape optionnelle consiste à créer un compte de test pour PAM.

  3. Installer le service PAM.

  4. Configurer votre fournisseur PAM de domaine dans Hub Business de Devolutions en accédant à AdministrationAccès privilégiéFournisseurs.

  5. Cliquer sur le signe plus en haut à droite pour ajouter un nouveau fournisseur.

  6. Sélectionner Utilisateur de domaine et continuer.

  7. Entrer la configuration requise et spécifier le compte service de domaine créé à l'étape 1. Cliquer sur Enregistrer.

  8. Ouvrir les propriétés du fournisseur et naviguer jusqu'à l'onglet Politique de réservation.

  9. Créer une politique de réservation et un coffre PAM en cliquant sur Ajouter un coffre.

  10. Configurer une entrée pour utiliser le compte PAM.

  11. Exécuter la Détection de compte à côté du fournisseur.

  1. Sélectionner les UO où le compte privilégié (ou compte de test) est situé.

Voici le niveau de risque associé à chaque compte découvert lors d'une détection de compte.

Nom du groupe Niveau de privilège Description
Admins de domaine Niveau 0 Contrôle total sur les ressources de domaine.
Admins de l'entreprise Niveau 0 Contrôle total sur la configuration de la forêt.
Admins de schéma Niveau 0 Peut modifier le schéma AD.
Administrateurs Niveau 0 Administrateurs intégrés sur tous les contrôleurs de domaine.
Opérateurs de compte Niveau 1 Pouvoir gérer les comptes utilisateur/groupe. Risque d'escalade de privilèges.
Opérateurs de serveur Niveau 1 Peut se connecter localement aux DCs et gérer les services.
Opérateurs de sauvegarde Niveau 1 Pouvoir sauvegarder des fichiers système protégés ; souvent négligé.
Créateurs des stratégies de groupe propriétaires Niveau 1 Pouvoir créer/éditer des objets stratégie de groupe — pouvoir introduire une persistance.
Admins DNS Niveau 1 Pouvoir contrôler les zones DNS — potentiel de mystification de domaine.

  1. Après avoir sélectionné les paramètres de destination, de sécurité et de mot de passe, cliquer sur Importer.

Lire Activer l'élévation et le provisionnement juste-à-temps pour accorder un accès privilégié temporaire sur demande.

Voir aussi

Devolutions Forum logo Partagez vos commentaires