Altere as partes em cinza conforme a realidade de seu ambiente.

Usuários e Grupos de Acessos

Crie os seguintes objetos no seu AD:

  • Crie o Usuário srv_fortigate, a senha não deve expirar e o usuário não deve ter poder trocar a própria senha;
  • Crie o Grupo AD – Change and Reset Users Passwords e adicione a conta srv_fortigate como membro desse grupo;
  • Crie o Grupo AD – Manage Auditing and Security Log at DCs e adicione a conta srv_fortigate como membro desse grupo;
  • Crie o Grupo AD – RW Users lockoutTime e adicione a conta srv_fortigate como membro desse grupo;
  • Crie o Grupo AD – RW Users pwdLastSet e adicione a conta srv_fortigate como membro desse grupo;
  • Crie o Grupo AD – RW Users UserAccountControl e adicione a conta srv_fortigate como membro desse grupo;
  • Crie o Grupo No Logon e adicione a conta srv_fortigate como membro desse grupo;
    • Abra o usuário criado, clique no grupo No Logon e clique em Definir como Primário e clique em OK;
    • Abra o usuário criado e remova-o como membro do grupo Domain Users

Adicionando permissão para visualizar os logs dos DCs

Edite a política Default Domain Controllers Policy. Nela, navegue em Computer Configuration, Policies, Windows Settings, Security Settings, Local Policies e User Rights Assignment.

Sem seguinda, edite a política Manage auditing and security log e adicione o Grupo AD – Manage Auditing and Security Log at DCs.

Delegando permissões no Active Directory

Para delegar as permissões corretas, abra a console do Active Directory Users and Computer e:

  • Clique com o botão direito sobre o domínio e escolha Delegate Control. Adicione o grupo criado AD – Change and Reset Users Passwords, em Tasks to Delegate, selecione Create a custom task to delegate e marque User objects. Clique em General e adicione as permissões Change password e Reset password;
  • Clique com o botão direito sobre o domínio e escolha Delegate Control. Adicione o grupo criado AD – RW Users lockoutTime, em Tasks to Delegate, selecione Create a custom task to delegate e marque User objects. Clique em Property-specific e adicione as permissões Write lockoutTime e Read lockoutTime;
  • Clique com o botão direito sobre o domínio e escolha Delegate Control. Adicione o grupo criado AD – RW Users pwdLastSet, em Tasks to Delegate, selecione Create a custom task to delegate e marque User objects. Clique em General e adicione as permissões Write pwdLastSet e Read pwdLastSet;
  • Clique com o botão direito sobre o domínio e escolha Delegate Control. Adicione o grupo criado AD – RW Users UserAccountControl, eem Tasks to Delegate, selecione Create a custom task to delegate e marque User objects. Clique em General e adicione as permissões Write UserAccountControl e Read UserAccountControl;

Permissões no aplicativo

Por fim, no servidor que tem o aplicativo da Fortigate instalado, faça as seguintes alterações:

  • Abra o regedit, adicione as permissões Full control para o usuário srv_fortigate nas chaves HKEY_LOCAL_MACHINE\SOFTWARE\Fortinet e mande propagar as permissões em suas subpastas;
  • Abra o regedit, adicione as permissões Full control para o usuário srv_fortigate nas chaves HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Fortinet e mande propagar as permissões em suas subpastas;
  • Abra os serviços do Windows, altere as credenciais do serviço do Fortigate para usar a conta srv_fortigate e reinicie o serviço.

Hardening

Caso ache necessário, existe um forum da Fortigate que informa ser possível adicionar essa conta na política de negar logon local. Impedindo essa conta de ser usada, apesar de preferirmos fazer usando o grupo No Logon, caso prefira fazer consulte as referências, abaixo.

Fontes/Referências

https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/110412/configuring-least-privileges-for-ldap-admin-account-authentication-in-active-directory
https://docs.fortinet.com/document/fortigate/latest/administration-guide/631824/configuring-least-privileges-for-ldap-admin-account-authentication-in-active-directory
https://kb.fortinet.com/kb/documentLink.do?externalID=FD40556
https://kb.fortinet.com/kb/viewContent.do?externalId=FD36039

Mais Informações

Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.

Entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria
Categorias: Redes