miércoles, 14 de septiembre de 2016

Pertenencia a un Grupo de forma Temporal

Window Server 2016 esta a punto de salir del horno y esta edición trae muchas novedades, especialmente en el área de seguridad. Una característica que me ha parecido muy interesante es la posibilidad de configurar de forma temporal la pertenencia a un grupo, esta condición mejora mucho la seguridad si se implementa junto con otras medidas disponibles en Privileged Access Management PAM.

La pertenencia temporal a un grupo esta desactivada por defecto porque requiere nivel funcional Windows Server 2016, pero es fácil de activar utilizando cmdlets de Windows PowerShell:

#Habilita la característica
Enable-ADOptionalFeature -Identity 'Privileged Access Management Feature' -Target (Get-ADForest) -Scope ForestOrConfigurationSet
 
#Añade la pertenencia al grupo por un periodo de 13 días
Add-ADGroupMember -Identity ‘Domain Admins’ -Members ‘InfoSecSvcAcct’ -MemberTimeToLive (New-TimeSpan -Days 13)


El tiempo de pertenencia se refleja como un atributo time-to-live (TTL) que se propaga a la emisión por Kerberos ticket-granting ticket (TGT), KDC está integrado en los Controladores de Dominio de Active Directory para restringir la emisión de tickets de acceso con el valor de tiempo más bajo posible.




Esta disponible más información sobre las novedades de Windows Server 2016 en los siguientes enlaces:

Seguridad a lo Jabalí para Todos!!

1 comentario:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias