Configuración de seguridad del helpdesk delegado

La herramienta de Helpdesk de Specops Password Reset se puede configurar para usar cualquiera de los siguientes modelos de seguridad:

Modelo de subsistema de confianza: Al usar el modelo de subsistema de confianza, el acceso al Helpdesk se controla a través de la membresía del grupo de seguridad local “Specops Password Helpdesk Admins” en el servidor de Specops Password Reset. Los usuarios que tienen permitido acceder al Helpdesk pueden restablecer la contraseña de cualquier usuario dentro del ámbito de gestión configurado en los dominios configurados.
Modelo de seguridad delegada: Al usar el modelo de seguridad delegada, todas las operaciones del servidor se realizan en el contexto de seguridad del usuario que accede a la página web. Esto es útil en entornos donde la capacidad de restablecer contraseñas ha sido delegada al personal de Helpdesk. El modelo de seguridad delegada permite un registro y seguimiento detallado de las actividades de los usuarios en el sistema, y se puede utilizar para proporcionar un control granular sobre quién tiene permitido restablecer qué contraseña.

La herramienta de Helpdesk utiliza el modelo de seguridad de subsistema de confianza por defecto. Specops Password Reset debe configurarse para usar el modelo que mejor se adapte a las necesidades de seguridad de su organización.

Configurar la herramienta de Helpdesk para usar el modelo de seguridad delegada

Para usar el modelo de seguridad delegada, debe completar los siguientes pasos de configuración:

Configurar la cuenta de servicio de SPR:

Una vez que se haya decidido/creado la cuenta de servicio para el servidor SPR, edite la configuración de la cuenta desde Active Directory Users and Computers, y habilite la opción de cuenta “Esta cuenta admite cifrado Kerberos AES de 256 bits“.

Configurar Active Directory para Helpdesk Delegado:

Para obtener información sobre cómo hacer esto, consulte Cómo delegar permisos de restablecimiento de contraseña en Active Directory.
Tenga en cuenta que al instalar el web de SPR desde el asistente de configuración en una computadora unida al dominio que no sea el servidor SPR, se habilitará la confianza para la delegación para la cuenta de computadora del web de SPR.

Configurar la cuenta de computadora del servidor SPR para ser confiable para la delegación:

La cuenta de computadora del servidor SPR no necesita tener configurada la delegación.

Configurar la cuenta de usuario de servicio de SPR para ser confiable para la delegación:

Desde Active Directory Users and Computers, navegue hasta la cuenta de servicio.
Haga clic derecho en la cuenta de servicio y seleccione Propiedades.
Seleccione la pestaña Cuenta.
Verifique que La cuenta es sensible y no puede ser delegada no esté habilitada en la lista de opciones de cuenta.
Seleccione la pestaña Delegación.
Agregue delegación a los controladores de dominio
- Desde la pestaña de delegación en la cuenta de usuario de servicio de SPR en Active Directory Users and Computers, seleccione Confiar en este usuario para delegación solo a servicios especificados.
- Seleccione Usar solo Kerberos, seguido de Agregar….
- Seleccione el controlador de dominio desde el selector de objetos
- Seleccione el tipo de servicio ldap con el fqdn del DC.
- Repita esto para todos los controladores de dominio en el mismo sitio.
Haga clic en OK.

Cree una carpeta para archivos de registro y habilite permisos de Control Total para el grupo Specops Password Helpdesk Admins:

En el servidor de Specops Password Reset, cree una nueva carpeta (por ejemplo, C:\logfiles\PasswordReset).
Haga clic derecho en la carpeta y seleccione Propiedades.
Desde la pestaña de seguridad, haga clic en Editar….
Haga clic en Agregar para agregar el grupo Specops Password Helpdesk Admins.
Haga clic en Ubicaciones….
Seleccione el nodo superior y haga clic en OK.
Haga clic en Avanzado….
Haga clic en Buscar ahora.
Seleccione Specops Password Helpdesk Admins de los resultados de búsqueda y haga clic en OK.
Haga clic en OK.
Verifique que el grupo Specops Password Helpdesk Admins esté seleccionado y habilite permisos de Control Total para Specops Password Helpdesk Admins.
Haga clic en OK.

Actualice la ruta del archivo de registro en el registro:

Abra el Editor del Registro.
Edite el siguiente valor para permitir que el servidor SPR escriba el archivo de seguimiento en el directorio donde los administradores de SPR Helpdesk tienen permisos:
- Navegue a HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath.
- En el campo de datos de valor, ingrese la ruta que creó en 3a. C:\logfiles\PasswordReset\PasswordResetServer.log
- Haga clic en OK.
Edite el siguiente valor para habilitar el seguimiento.
- Navegue a HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug.
- En el campo Datos de valor, ingrese 3.
- Haga clic en OK.

Reinicie el servicio del servidor SPR.

Conceda el privilegio de Actuar como parte del sistema operativo a la cuenta de servicio de SPR. El privilegio se puede asignar ya sea usando un Objeto de Política de Grupo de Dominio o usando la herramienta “Política de Seguridad Local”.

Si está usando un GPO para asignar el privilegio, la configuración se puede encontrar en Configuración de Computadora\Configuración de Windows\Configuración de Seguridad\Políticas Locales\Asignación de Derechos de Usuario.
Si está usando la “Política de Seguridad Local” necesita completar los siguientes pasos:

Abra la Política de Seguridad Local en el servidor SPR.
Expanda los siguientes elementos: Configuración de seguridad, Políticas locales, y haga clic en Asignación de derechos de usuario.
Haga doble clic en Actuar como parte del sistema operativo
Haga clic en Agregar usuario o grupo….
Agregue la cuenta de servicio de SPR a la política y haga clic en OK.
Haga clic en OK.

Habilite el modelo de seguridad delegada en la herramienta de Helpdesk. El modelo de seguridad delegada se habilita modificando la siguiente entrada del registro para el servidor de Specops Password Reset:

Clave del registro	Descripción
HKLM\Software\Specopssoft\Specops Password Reset\Server\ UseDelegatedHelpdeskSecurity	Habilita el modelo de seguridad delegada en el helpdesk. Si el valor se establece en “1” se habilitará el modelo de seguridad delegada. Si se establece en “0” se usará el modelo de seguridad de subsistema de confianza. Valor por defecto: 0

Permitir a los usuarios escribir eventos en el registro de Aplicaciones en el servidor SPR. Necesitará crear la siguiente entrada del registro en el servidor de Specops Password Reset:

Clave del registro	Valor
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ CustomSD (REG_SZ)	O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A ;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S- 1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)(A;;0x2;;;BU)

Opcional: Si su organización está utilizando políticas de contraseña de grano fino, otorgue permisos de lectura al personal de Helpdesk para las políticas de contraseña de grano fino. Si se utilizan políticas de contraseña de grano fino en el dominio, necesitará otorgar permiso de lectura al personal de Helpdesk para ver las reglas de contraseña correctas en la herramienta de Helpdesk.

Inicie sesión en un controlador de dominio con una cuenta que tenga permisos de Administrador de Dominio en el dominio.
Ejecute el siguiente comando desde un símbolo del sistema:

dsacls “CN=Password Settings Container,CN=System,[domain_DN]” /I:S /G
[group_name]:RP;;msDS-PasswordSettings

Ejemplo:
dsacls “CN=Password Settings Container,CN=System,DC=example,DC=com”  /I:S /G
“example\Helpdesk Staff”:RP;;msDS-PasswordSettings