Bit - loader

Membresía de grupo temporal en Windows Server 2016

   Artículo | Windows Server 2016 Bit - Membresía de grupo temporal en Windows Server 2016
Joan Carles Roca | 28/12/17

Entre las varias características de seguridad incorporadas a Windows Server 2016, como JEA o PAM, existe una muy sencilla pero muy potente que nos ayuda a limitar el tiempo de elevación de privilegios para un usuario.

 

En situaciones en las que debemos conceder privilegios, por ejemplo, a personal de Help-Desk para realizar ciertas tareas administrativas para las cuales habitualmente no los tienen, podemos controlar su revocación automática y así evitar que se produzcan “olvidos” respecto a esta concesión y que dichos privilegios queden otorgados de forma permanente, ayudándonos reducir la superficie de ataque a nuestro sistema.

 

En otras palabras, podemos hacer miembro de un grupo a un usuario por un período concreto de tiempo. Necesitamos como requisito un nivel funcional de Forest Windows Server 2016. Podemos comprobarlo con el comando (Get-ADForest).ForestMode

 

Al ejecutar el comando nos advierte de que es una operación no reversible. Antes de elevar un nivel funcional de dominio o forest, debemos estar seguros de las implicaciones que pueda tener con aplicaciones instaladas en nuestro entorno. Esta es una característica que no viene habilitada por defecto, así que deberemos activarla mediante el siguiente comando de PowerShell:

 

Enable-ADOptionalFeature “Privileged Access Management Feature” –Scope ForestOrConfigurationSet –Target Adatum.com

 

 

 

Acto seguido podemos verificar la activación de la característica, así como sus propiedades con el comando de PowerShell

 

 

Get-ADOptionalFeature –Filter *

 

En la imagen se muestran las características  de la Papelera de reciclaje y Privileged Access Management, las cuales deben ser habilitadas a parte de la instalación del sistema operativo.

 

 

 

Una vez habilitada la característica procedemos a utilizar PAM.  Para ello hemos creado un usuario llamdo Maria y un grupo llamado Temporal.

 

Lo primero es definir el tiempo de privilegio con el siguiente comando de PowerShell:

 

$time = New-TimeSpan –minutes 120

 

Aquí hemos declarado una variable time, que contiene el período de tiempo elegido, en este caso de 120 minutos. Se puede especificar parámetros como -Days,  -Hours, -Minutes, -Seconds, así como -Start y –End para especificar una franja de tiempo concreta cuando empezará la membresía de grupo y cuando finalizará. Acto seguido asignamos el usuario al grupo con la condición de tiempo, con el comando de PowerShell:

 

Add-GroupMember –Identity Temporal –Members Maria –MemberTimeToLive $time

 

 

 

Una vez transcurrido el tiempo, en este caso 120 minutos, el usuario dejará de ser miembro del grupo Temporal automáticamente.

Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.