Algebra University College

Sigurnost operacijskih sustava – Privileged Access

Workstation (PAW)
Ivan Cirković

Zagreb, Svibanj 2020.

Dokumente verzije:

Verzija Autor Datum Promjena

1.0 Ivan Cirković 10.5.2020 Prva verzija

Table 1 – Verzije dokumenata

Sadržaj
1. Uvod.........................................................................................................................................1

2. Priprema za implementaciju PAW-a........................................................................................2

3. Implementacija PAW-a............................................................................................................4

3.1 Prva faza................................................................................................................................5

3.1.1 Isprobavanje dodanih grupnih pravila..........................................................................16

3.2 Druga faza............................................................................................................................22

4. Zaključak...................................................................................................................................35

5. Popis literature...........................................................................................................................36

6. Popis slika..................................................................................................................................37
 1. Uvod
U ovom seminaru bit će prikazana temeljita implementacija Prviliged Access
Workstation, nadalje „PAW“, ili prevedeno s engleskom Radna stanica s povlaštenim
pristupom. Prema Microsoftu: to je operacijski sustav koji je strogo zaštićen od
internetskog napada i vektora prijetnji. Glavna svrha PAW-a je da zaštiti Active Domain
šumu i da ima sigurnu kontrolu kod upravljanja Domain Controller-om, nadalje „DC“.
Proces implementacije PAW dijeli se u 3 faze. U prvoj fazi cilj je razvrstavanje
administratorskih uređaja i računa u organizacijsku jedincu Tier 0, oni jedini imaju
lokalni pristup u DC. Nakon toga, možemo početi konfigurirati PAW preko Group
Policy-a. Prvenstveni cilj ove faze je postavljanje restrikcija pristup između običnih
Korisnika i Tiera 0 računa, ali druge važne mjere poput konfiguriranja Firewall-a,
zabrane Proxy servera i određivanja tko će moći pristupi PAW-u i koja prava imati na
njemu. U drugoj fazi dodajemo račune i uređaje u niže Tier-e 1 i 2, također im dajemo
neka određena administratorska prava za korištenje domene, u slučaju da nema DC
administratora ili PAW Admin koji ima pristup u DC, a to ćemo postići implementacijom
sigurnosnom tehnologijom Just Enough Administration (JEA). Zbog manjka resursa
treću fazu u kojoj se radi dodatna zaštita za PAW, ne ću implementirati, ali ako se dobro
konfiguriraju prve dvije faze, one rade sigurni operacijski sustava PAW [1],[2].

Slika 1. Restrikcije pristupa između različitih Tier-a

Izvor: https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-
privileged-access-reference-material

1
 Na prvoj slici vidimo kako je zamišljeno pristupanje između različitih Tier-a, možemo
primijetiti da nitko ne može pristupiti u niži Tier, a u viši jedino ako je dodan kao administrator
ili ima posebna pravila pristupa.

Nakon uvoda u ideju rada možemo početi implementaciju PAW i konfiguraciju svih
uređaja u domenu. Prvo ću opisati pripremu DC-a i ostalih uređaja, a zatim svaku fazu zasebno
opisati i za kraj zaključak.

2. Priprema za implementaciju PAW-a

U ovom projektu ću koristi 4 virtualne mašine. Prva mašina će biti DC, a pokretat će je
Windows Server 12 RS, druga mašina će biti PAW, na kojoj je instaliran Windows 10 PRO, na
trećom mašini biti će Tier 1 server, odnosno SQL server isto pokrenut na Windows serveru 12
RS i četvrta mašina koju pokreće Windows 10 PRO, prvoj fazi predstavljat će klijenta, a u drugoj
fazi poslužiti će kao radna stanica od SQL administratora.

Slika 2. Prikaz domenskog servera

2
 Slika 2. prikazuje konfiguraciju DC-a, vidimo da je ime domene „main.local“, a ime
računala na kojem je domena: „Domain“. Uključena je statička IPv4 adresa, Windows update je
ažuriran. Preko dodavanja značajki instaliran je DNS server te konfiguriran prema zadanoj IP
adresi. Nakon završene konfiguracije, potrebno je uređaje dodati u domenu, tako da im se
postave statičke IP adrese te dodaju u domenu preko svojstva računala. Nakon uspješnog
dodavanja, potrebno je kreirati račune novim, potrebnim administratorima i korisnicima u
servisu: „Active Directory Users and Computers“, te im zadati zasebne zaporke.

Slika 3. Datoteka s korisnim alatima za konfiguraciju PAW-a

Nakon završene konfiguracije svi računala i kreiranja računa, preuzeo sam sa službene
Microsoftove stranice .zip file u kojoj se nalazi nekoliko Power Shell skripta i drugih datoteka.
Ta datoteka pomoći će pri implementaciji PAW scenarija. Prvo što trebamo je kliknuti na skriptu
„Create-PAWOUs“ koja će nam kreirati potrebne organizacijske jedinice, nakon toga se pali
„Create-PAWGroups“ skripta, koja kreira grupe, te na kraju „Set-PAWOUDelegation“ koja
svim grupa i organizacijskim jedinicama daje određena pravila pristupa između njih.

3
 Slika 4. Strukturni prikaz organizacijskih jedinica

Slika 4. prikazuje prikaz servisa „Active Directory Users and Computers“ u kojoj vidimo
da su kreirane organizacijske jedinice koje su kreirane preko pokrenute skripte. Ako uđemo u
mapu Groups bilo kojeg Tier-a možemo vidjeti i kreirane grupe.

3. Implementacija PAW-a

Nakon uspješno završenih priprema domene i njene okoline, možemo krenuti s prvom
fazom implementacije PAW scenarija.

4
3.1 Prva faza

Kako je već objašnjeno u uvodu, u ovoj fazi će biti fokus na administratorima koji
pripadaju u Tiera 0.

Slika 5 i 6. Grupa PAW korisnika i grupa PAW administratori

Prvo trebamo kreirati 2 nove grupe kako je prikazano na slici, jedna za PAW korisnike
(PAWUsers), a druga za PAW podršku (PAWAdmin). Ideja iza ovog postupka je da grupa
PAWUsers će imati prava na korištenje domene preko servisa „Remote Desktop Control“, ali ta
grupa neće imati administratorske ovlasti. Dok u drugoj grupi postaji račun AdminMain koji će
imati administratorske ovlasti i pristup internetu, da servisira PAW, taj račun u teoriji bi se
trebao rijetko koristiti.

5
 Slika 7. Konfiguracija PAW računala preko GP-a

Nakon izrade grupa, u servisu „Group Policy Management“, nadalje GPM, kreiramo
novu grupu pravila koja se zove „PAWconfig-Comp“, u kojoj ćemo konfigurirati PAW računalo.

Slika 8. Stvaranje novih lokalni administratora

6
 Nakon kreiranja kliknemo na opciju „Edit“ u kojoj uređujemo grupna pravila. Prvo što
moramo učiti pri konfiguraciji bilo kojeg računala je odrediti njene administratore. Slika 8.
prikazuje da smo dodali za administratore račune: AdminMain i Administratora od cijele
domene. Također je važno kliknuti na opcije za brisanje svih sadašnji korisnika i grupa koji bili
integrirani pri instalaciji PAW računala, u prijevodu ovim postupnom ćemo izbrisati lokalnog
administratora.

Slika 9. Prikaz svih kreiranih lokalnih grupa

Slika 9. prikazuje sve administratorske grupe sam kreirao, koje su preporučene u

službenoj dokumentaciji.

7
 Slika 10. Dodavanje pravila za lokalni pristup na PAW

Nakon kreiranja administratorskih grupa, moramo odrediti tko sve ima prava da se
lokalno ulogira u PAW, to je grupa Administrators koja je kreirana u prošlom koraku, a to su
računi Administrator od domene i AdminMain. Treba dodati i grupu PAWUsers u kojoj je član
AdminDC.

Sljedeći korak je uvesti Firewall (vatrozid) opcije iz mape koju sam ranije preuzeo.
Potrebno je otići do mape „Windows Firewall with Advance Securty, a put do nje je: „Computer
Configuration > Windows Settings > Security Settings > Windows Firewall with Advance
Security. Zatim sam kliknuo opciju „Import Policy“, te pronašao datoteku/skriptu
„pawfirewallupdate.wfw“ koja je prikazana na slici 11. Nakon otvaranja skripta je kreirala razna
unutarnja i vanjska pravila koja su prikazana na slikama 12. i 13.

8
 Slika 11. Uvoz konfiguracije Firewall-a za PAW

Slika 12. Popis unutarnjih pravila Firewall-a u PAW-u

9
Slika 13. Popis vanjskih pravila Firewall-a u PAW-u

10
 Slika 14. Uključivanje automatskog ažuriranje Windowsa, preko pouzdanog izvora

Slika 14. prikazuje 2 nova pravila koje trebamo konfigurirati, a to su postavke za

Windows Update, odnosno ažuriranje Windows sustava, prvo moramo otići do lokacija pravila
koja se nalaze: Computer Configuration > Administrative Templates > Windows Components >
Windows Update. Dva nova pravila koja će uključiti su „Configure Automatic Updates“ i
„Specify Internet Microsoft update service location“. Prvo pravilo nam omogućuje automatsku
instalaciju ažuriranja, a drugim pravilom određujemo izvor sa koje računalo preuzima
preuzimanja, taj izvor mora biti siguran zato sam stavio preporučeni link iz službene
dokumentacije.

11
 Slika. 15. Izrada sigurnosne kopije grupnih pravila

Pri završetku konfiguriranja, za grupno pravilo moramo izraditi sigurnosnu kopiju. Prvo
moramo otvoriti GPM, zatim nađemo datoteku „Group Policy Objects“, te označimo grupno
pravilo za koji trebamo napraviti „back-up“, zatim lijevi klik i odaberemo opciju „Back-Up“.
Sigurnosna kopija nam služi ako se nešto poremeti daljinom konfiguracijom da imamo povratak
na stanje kad smo napravili „back-up“

Slika 16. Kreiranje nove grupe pravila za korisnike PAW-a

12
 Sada kada smo uspješno konfigurirali PAW, moramo postaviti novo grupno pravilo za
PAWUsers, odnosno računi koji smiju koristi PAW ali bez administrativnih prava. To grupno
pravilo je namijenjeno za postavke Proxy servera, odnosno postavke za onemogućavanje i
mijenjanja Proxy postavka. Prvo moramo kreirati 2 nova „Registar Item“, odnosno na hrvatskom
„predmetni registar“, važno je napomenuti da je to „User“ odnosno korisnička postavka, a ne
kompjutorska. Tim registrima trebamo postaviti parametre kako je prikazano na slici 17. Prvi
registar je za onemogućavanje Proxy-ja stavljajući mu vrijednost 1, a drugi registar postavlja
IPv4 adresu: „127.0.0.1:80“ Proxy servera, to se implicira u beskonačnu petlja jer ova adresa nije
valjana.

Slika 17. Konfiguriranje zabrane Proxy-a preko registra

13
 Slika 18. Konfiguriranje zabrane izmjena Proxy postavka u PAW-u

Nakon konfiguriranja registra, moramo postaviti kompjutorska pravila, za zabranu

izmjene tih postavka, stoga ako npr. AdminDC želi u promijeniti Proxy postavke, to mu neće biti
omogućeno. Ta pravila se nalaze pod: Computer Configuration > Administrative Templates>
Windows Componests > Internet Explorer, a moramo konfigurirati pravila „Disable changing
Automatic Configuration settings“ i „Prevent changing proxy settings“.

Nakon konfiguracije računa, moramo napraviti novo grupno pravilo, „RestrictedLogon“

(slika 19.), preko kojeg ćemo zabraniti Tier0 administratorima da se ulogiraju na korisnikovo
(Client) računalo. Moramo zabraniti ulazak kao skupni posao „log on batch job“ , prijavu kao
uslugu „log on as service“, lokalni ulazak „log on locally“ i ulazak preko terminala ili RDC-a
„log through Terminal services“. Sve ta pravila se nalaze na lokaciji: „Computer Configuration
> Policies > Local Polices > User Rights Assignment“. A kao zabranjene grupe administratora
moramo dodati sve koje pripadaju u Tier 0, kao što je prikazano na slici 20.

14
Slika 19. Kreiranje nove grupe pravila za restrikciju pristupa korisnicima

Slika 20. Prikaz pravila restrikcije pristupa prema korisnicima

15
3.1.1 Isprobavanje dodanih grupnih pravila

Sa zadnje kreiranom grupom pravila, možemo reći da je prva faza gotova, ali još ne
možemo prijeći na drugu fazu jer prvo moramo utvrditi jeli sve što smo konfigurirali radi kako
treba.
Prvo ćemo probati ući u domenu preko RDC servisa, s podacima od AdminDC-a na
PAW-u. Slika 21. prikazuje skočni prozor u kojem upisujemo administratorove podatke., a na
slici 22. vidimo da smo se uspješno spojili u domenu.

Slika 21. Unos administratorovih podataka, za korištenje domene preko RDC-a

Slika 22. Prikaz domenskog prozora, preko RDC-a

16
 Dok smo već ulogirani na PAW kao AdminDC, možemo pogledati imamo li interneta i dali
možemo mijenjati Proxy postavke. Na slikama 23. i 24. možemo vidjeti da ne možemo promijeniti ni
jednu postavku u Proxy postavkama, a na slici 25. možemo vidjeti da nam Internet Explorer daje
obavijest da se ne može spojiti na Proxy server.

Slika 23. i 24. Prikaz nemogućnosti promjene proxy postavki

Slika 25. Slika preglednika nakon pokušavanja spajanja na Proxy server

17
 Kada smo to utvrdili moramo vidjeti da li ima administratorska prava za ulazak
preglednik događaja „Event Viewer“, za koji da bismo vidjeli povijest ulaska mora imati puna
administratorska prava. Na slici 26. opet se otvara skočni prozor, koji traži AdminDC-ove
podatke. Kada smo uspješno ušli i stisnuli da želimo otvoriti mapu „Security“ pod „Windows
logs“, računalo je krenulo učitavati ali kada je registriralo da AdminDC nema administratorska
prava na PAW-u, slika 27. prikazuje „error- message“ u kojem piše da je pristup odbijen. S time
smo dokazali da AdminDC nema administratorska prava na PAW-u.

Slika 26. Unos administratorovih podataka, za pregled Event Viewer-a

Slika 27. Zabrana pregleda sigurnosnih postavki

18
 Nakon što smo utvrdili da je sve dobro konfigurirano za AdminDC, odjavit ćemo se i
prijaviti kao AdminMain, dokazati da on ima pristup internetu i administrorska prava na PAW-u.
Slika 28. potvrđuje pravilo da AdminMain ima pristup internetu. Ako uđemo u isti preglednik
događaja, Windows nas ne traži njegove podatke, te slika 29. prikazuje da on ima prava prikaza
preglednika događaja.

Slika 28. Mogućnost interneta administratoru za održavanje PAW-a

19
 Slika 29. Dokaz da administrator održavanja PAW-a ima administratorske mogućnosti

Nakon što smo utvrdili i da je za AdminMain-a sve dobro konfigurirano, moramo probati
se ulogirati na računalo PAW-a koje nije registrirano u domeni, kao lokalni administrator. Pošto
smo kreirali u grupnim pravilima (slika 8.) da ga izbrišemo, taj ulazak ne bi trebao biti legitiman
što dokazuju slike 30. i 31.

Slika 30. i 31. Isprobavanje nemogućnosti pristupa lokalnom admistratoru PAW-a

20
 Još jedna stvar nam je ostala da provjerimo, a to je dali AdminDC se može ulogirati u
korisnikovo računalo, slike 32. i 33. nam prikazuju da je i to dobro konfigurirano.

Slika 32. i 33. Isprobavanje nemogućnosti pristupa Tier 0 administratora na korisnikvo računalo

21
3.2 Druga faza
Nakon završetka, prve faze možemo prijeći na drugu i treću fazu, koje prema službenim
dokumentima zahtjeva puno više resursa koje ja imam. Stoga ću ovoj fazi napraviti ono što je
izvedljivo. Pošto u ovom scenariju nema vanjskih povezanih aplikacija (Azure, Office 365) i
administratorskih računa (Cloud ili Hyper-V administratora), implementirati ću JEA tehnologiju
u kojoj ću konfigurirati da Tier1 administrator (AdminSQL) i korisnik (Client) imaju određena
prava za ulazak u domenu preko PowerShell sesije. Ali prvo treba konfigurirati grupna pravila za
račune i kompjutere kod Tier 1 administratora i običnih korisnika.

Prvo što trebamo je otvoriti servis „Active Directory Users and Computers“ i kreirati
račun za Tier 1 administratora koji se zove AdminSQL, zatim treba otvoriti mapu „Groups“ u
Tier1 organizacijskoj jedinici te otvoriti grupu „Tier 1 Admins“, te dodati novo kreiranog
administratora u nju, kao na slici 34.

Slika 34. Dodavanje SQL administratora u Tier 1 grupu

22
 Sljedeće što ćemo napraviti je novo grupno pravilo koje ćemo nazvati
„RestrictedAdmin“, u kojoj ćemo konfigurirati ograničeni način rada administratora, to je
dodatni oblik zaštite u kojem ako je uključen, administrator kada se prijavi sa svojim podacima
na traženi server preko RDC sesije, ti podaci se ne šalju na računalo tog servera, nego ostaju na
lokalnom, jer u slučaju da je taj server zaražen zlonamjernim softwareom, kompromitirani stroj
uzima „hash“ podatke drugih računa koje se spajaju na njega, te tako dolazi do lozinka ostalih
računa [3] .

Stoga prvo moramo kreirati registar za kompjutor preko kojeg se ulazi u server. Registar
se zove „DisableRestricedAdmin“ , a ako ga postavimo na 0, bit će uključen. Slika 35. pokazuje
konfiguraciju registra i njegovu putanju. Da bi to radilo kako treba trebamo uključiti novo
pravilo „Restricted delefgation of credentials to remote servers“ (slika 36.), a putanja tog pravila
je: „Computer Configuration > Policies > Administrative Templates > System > Credentials
Delegation“

Slika 35. Dodavanje registra za uključivanje ograničenog rada administratora

23
 Slika 36. Uključivanje pravila za ograničenog rada administratora

Nakon toga moramo kreirati novo grupno pravilo u kojem konfiguriramo administratore,
za Tier 1 računalo. Postavit ćemo da je grupa „Tier 1 Admins“ ima administratorska prava u
SQL serveru. Prikaz konfiguracije je prikazano na slici 37.

24
 Slika 37. Kreiranje novih grupnih pravila za određivanje Tier 1 administratora

Sad kada su sva grupna pravila kreirana, trebamo povezati grupna pravila između Tier 1 i
Clients odnosno korisnika. Povezivanje grupnih pravila ćemo napraviti kako je prikazano na
slici 38., da na željeno mjesto kliknemo opciju „Link GPO“ i odaberemo grupu pravila s popisa.
Pošto je korisnikovo računalo u ovoj fazi radna stanica AdminSQL, stoga oni moraju imati ista
grupna pravila, Stoga slike od 39. do 41. prikazuju uspješna spajanja 3 grupna pravila. Još ćemo
dodati da Tier 1 administratori ne mogu pristupiti internetu, tako da povežemo grupno pravilo
„PAWConf-Users“ koja seže iz Tier 0 organizacijske jedinice.

25
 Slika 38. Povezivanje grupnih pravila između Tier 1 i User računa

Slika 39. Prikaz uspješno kreiranih veza, grupnog pravila „Tier1Admins“

26
 Slika 40. Prikaz uspješno kreiranih veza, grupnog pravila „RestrictLogon“

Slika 41. Prikaz uspješno kreiranih veza, grupnog pravila „RestrictedAdmin“

27
 Slika 42. Prikaz kreiranih veza, grupnog pravila PawConf-Users, između Tier 0 i Tier 1

Pri svakoj izmjeni grupnih pravila u domeni, svako krajnje računalo mora ažurirati te
postavke, postavke se ažuriraju naredbom „gpupdate /force“ u Command Prompt-u ili u
PowerShell-u. Ako želimo vidjeti koje su grupna pravilna aktivna, upišemo komadnu „gpresult
/r“, te pregled trenutnih grupnih pravila vidimo kao na slici 43., koja prikazuje koja sve grupna
pravila AdminSQL ima zadana.

28
 Slika 43. Prikaz primijenjenih grupnih pravila na SQL serveru

Za kraj implementacije ovog PAW scenarija, implementirat ćemo JEA tehnologiju, a bit
će primijenjena nad AdminSQL-om i Client-om. U ovom seminaru prikazat ću samo
konfiguraciju za AdminSQL-a, zato što je proces za kreiranje Client-a isti, samo ima manje s
dopuštenih komandi. Prvo trebamo preuzeti službeni JEAHelperTool20. Slika 44. prikazuje
datoteku u kojoj se nalazi potrebni alat u obliku PowerShell skripte, kada je uključimo dobijemo
konzolni prozor koji je prikazan na slici 45. Prvo moramo napraviti „Role Capabilities" datoteku,
u kojoj se određuje za koga će vrijediti ova konfiguracija. U gornjem dijelu prozora moramo
popuniti podatke imena: datoteke, modula, autora i kompanija. Nakon toga stisnemo opciju
„Create“, te nam se otvori skripta kao na slici 45..

29
Slika 44. Mapa u kojoj se nalazi pomoćnik za kreiranje JEA tehnologije

Slika 45. Prikaz JEA pomoćnika, kreiranje datoteke Role Capabilities

30
 Nakon kreiranja, slijedi dio gdje moramo odrediti koje funkcije i komande ćemo dopustiti
AdminSQL-u. Pošto je on iskusni administrator dodijelit ćemo mu da može imati kontrolu da
servisima i procesima, te da ih može gasiti i paliti, slika 46. Također moći će ponovno pokrenuti
domensko računalo. Korisniku koji se tek ući postati „high-level“ administrator, moći će imati
samo GET komande u kojima može samo vidjeti koji servisi i procesi postoje, ali ih ne može
gasiti ili paliti.

Slika 46. Dodavanje dopuštenih modula i naredba u Role Capabilities datoteku

31
 Kada smo izabrali zadane funkcije i komadne, moramo ih kopirati i ručno zalijepiti ispod
komentara: „ #VisibleCmdlets“ ili „#VisibleFunctions“, kao što je prikazano na slici 47.

Slika 47. Ručno kopiranje popisa dopuštenih naredba u Role Capabilities datoteku

Nakon toga, moramo kreirati novu datoteku „Session Configuration“, u kojoj određujemo
za koga vrijedi datoteka „Role Capabilities“. Prvo je moramo nazvati, to ime će služiti kao ključ
ulaska u domenu, zatim moramo odrediti račun ili grupu za koju će vrijediti ta konfiguracija i
ime „Role Capabilities“ datoteke (slika 48.) . Nakon toga stisnemo opciju da se registrira i
stisnemo opciju „Create!“.

Slika 48. Kreiranje konfiguracije sesije (Session Configuration)

32
 Nakon završetka konfiguracije u domeni moramo ponovo pokrenuti servis „WinRM“,
koji podržava JEA konfiguraciju. Nakon toga možemo otići na AdminSQL-ovu radnu stanicu i
probati ući u domenu. U domenu se ulazi preko komande „Enter-PSSession“, u kojoj moramo
odrediti parametre za ime kompjutera na koji se spajamo i ime sesijske konfiguracije koju su
prošli korak kreirali. Ako je sve dobro konfigurirano, trebali imati prikaz kao na slici 49.

Slika 49. Ulazak AdminSQL u domenu preko Enter-PSSesion

Sada moramo testirati dali AdminSQL može ugasiti određeni proces. U domeni sam
otvorio prazni „Notepad“, kojeg će AdminSQL pokušati zatvoriti. Kada AdminSQL upiše
komandu „Get-process“ pojavi se lista procesa s njihovim identifikacijskim brojevima. Na slici
50. označili smo proces i iščitali njegov „ID“ koji je 3864.

Slika 50. Označavanje procesa kojeg ćemo stopirati

33
 Sada će AdminSQL preko naredbe „Stop-process“ i parametra „id“, pokušati ugasiti
Notepad na domenskom računali. Nakon ukucane naredbe na slici 51. vidimo da nas je
PowerShell pitao da li smo sigurni i kada upišemo „y“, potvrđujemo stopiranje procesa.

Slika 51. Stopiranje procesa preko PID-a

Osim za AdminSQL-a, konfigurirao sam JEA tehnologiju za Clienta, koji će imati

osnovnih 8 komadni, prikaz servisa, procesa i DNS postavka, ali samo za čitanje, stoga on neće
ništa moći promijeniti u domeni. Slika 52. prikazuje popis naredbi koje Client ima na
raspolaganju.

Slika 52. Ulazak korisnika u domenu i lista komadni koje ima na raspolaganju

34
4. Zaključak

PAW je strogo sigurna radna stanica koja se koristi za zaštitu domene i njen pristup, ovaj
model nije lagano implementirati, treba paziti na puno detalja, iz razloga ako nešto nije dobro
konfigurirano možemo dovesti u DC u opasnost. Ovaj model je budućnost zaštite domene i njene
okoline, gdje je cilj minimalizirati, bilo kakav napad od strane hakera i ostalih prijetnji poput
software koje kradu hash podatke, te ih pretvaraju u stvarne lozinke korisnika i administratora.
Spajajući JEA tehnologiju s PAW scenarijom, ogradili smo DCadmin-a i administratora domene
velikog posla, stoga je preporučeno da se to implementira u većim kompanijama, zato da se
domenski administratori fokusiraju samo na održavanje i zaštitu domene.

35
5. Popis literature

[1] Privileged Access Workstations, dostupno na: https://docs.microsoft.com/en-us/windows-

server/identity/securing-privileged-access/securing-privileged-access-reference-material

[2] Active Directory administrative tier model, dostupno na: https://docs.microsoft.com/en-

us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-
material

[3] Microsoft Adding 'Restricted Admin Mode' for Windows Remote Desktop, dostupno na:
https://redmondmag.com/articles/2013/08/15/restricted-admin-mode.aspx

36
6. Popis slika
Slika 1. Restrikcije pristupa između različitih Tier-a.....................................................................1

Slika 2. Prikaz domenskog servera..................................................................................................2

Slika 3. Datoteka sa korisnim alatima za konfiguraciju PAW-a....................................................3

Slika 4. Strukturni prikaz organizacijskih jedinica..........................................................................4

Slika 5 i 6. Grupa PAW korisnika i grupa PAW administratori.....................................................5

Slika 7. Konfiguracija PAW računala preko GP-a..........................................................................6

Slika 8. Stvaranje novih lokalni administratora...............................................................................6

Slika 9. Prikaz svih kreiranih lokalnih grupa...................................................................................7

Slika 10. Dodavanje pravila za lokalni pristup na PAW.................................................................8

Slika 11. Uvoz konfiguracije Firewall-a za PAW...........................................................................9

Slika 12. Popis unutarnjih pravila Firewall-a u PAW-u..................................................................9

Slika 13. Popis vanjskih pravila Firewall-a u PAW-u...................................................................10

Slika 14. Uključivanje automatskog ažuriranje Windowsa, preko pouzdanog izvora.................11

Slika. 15. Izrada sigurnosne kopije grupnih pravila......................................................................12

Slika 16. Kreiranje nove grupe pravila za korisnike PAW-a.........................................................12

Slika 17. Konfiguriranje zabrane Proxy-a preko registra..............................................................13

Slika 18. Konfiguriranje zabrane izmjena Proxy postavka u PAW-u..........................................14

Slika 19. Kreiranje nove grupe pravila za restrikciju pristupa korisnicima..................................15

Slika 20. Prikaz pravila restrikcije pristupa prema korisnicima...................................................15

Slika 21. Unos administratorovih podataka, za korištenje domene preko RDC-a.......................16

Slika 22. Prikaz domenskog prozora, preko RDC-a......................................................................16

Slika 23. i 24. Prikaz nemogućnosti promjene proxy postavki....................................................17

Slika 25. Slika preglednika nakon pokušavanja spajanja na Proxy server....................................17

37
Slika 26. Unos administratorovih podataka, za pregled Event Viewer-a.....................................18

Slika 27. Zabrana pregleda sigurnosnih postavki..........................................................................18

Slika 28. Mogućnost interneta administratoru za održavanje PAW-a...........................................19

Slika 29. Dokaz da administrator održavanja PAW-a ima administratorke mogućnosti.............20

Slika 30. i 31. Isprobavanje nemogućnoti pristupa lokalnom admistratoru PAW-a.....................20

Slika 32. i 33. Isprobavanje nemogućnoti pristupa Tier 0 administratora na korisnikvo računalo
.......................................................................................................................................................21

Slika 34. Dodavanje SQL administratora u Tier 1 grupu..............................................................22

Slika 35. Dodavanje registra za uključivanje ograničenog rada administratora............................23

Slika 36. Uključivanje pravila za ograničenog rada administratora..............................................24

Slika 37. Kreiranje novih grupnih pravila za određivanje Tier 1 administratora..........................25

Slika 38. Povezivanje grupnih pravila između Tier 1 i User računa.............................................26

Slika 39. Prikaz uspješno kreiranih veza, grupnog pravila „Tier1 Admins“................................26

Slika 40. Prikaz uspješno kreiranih veza, grupnog pravila „Restrict Logon“..............................27

Slika 41. Prikaz uspješno kreiranih veza, grupnog pravila „RestrictedAdmin“...........................27

Slika 42. Prikaz kreiranih veza, grupnog pravila PawConf-Users, između Tier 0 i Tier 1........28

Slika 43. Prikaz primijenjenih grupnih pravila na SQL serveru....................................................29

Slika 44. Mapa u kojoj se nalazi pomoćnik za kreiranje JEA tehnologije....................................30

Slika 45. Prikaz JEA pomoćnika, kreiranje datoteke Role Capabilities.......................................30

Slika 46. Dodavanje dopuštenih modula i naredba u Role Capabilities datoteku.........................31

Slika 47. Ručno kopiranje popisa dopuštenih naredba u Role Capabilities datoteku...................32

Slika 48. Kreiranje konfiguracije sesije (Session Configuration).................................................32

Slika 49. Ulazak AdminSQL u domenu preko Enter-PSSesion...................................................33

Slika 50. Označavanje procesa kojeg ćemo stopirati.....................................................................33

38
Slika 51. Stopiranje procesa preko PID-a......................................................................................34

Slika 52. Ulazak korisnika u domenu i lista komadni koje ima na raspolaganju..........................34

39