LAPS jelszókezelés a helyi rendszergazdák számára a domain számítógépeken

Ebben a cikkben megvizsgáljuk a helyi rendszergazdai jelszavak kezelésének módját a tartományi számítógépeken a hivatalos Microsoft segédprogrammal - LAPS (Helyi admin jelszó megoldás).

A beépített fiókok kezelése a domain számítógépeken az egyik legfontosabb biztonsági szempont, amelyre a rendszergazda figyelmét igényelni kell. Természetesen ne engedje, hogy az összes számítógépen ugyanazok a jelszavak kerüljenek felhasználásra, mint a helyi rendszergazdák. Számos megközelítés létezik a tartományban működő helyi rendszergazdák fiókkezelésének szervezésében: kezdve a teljes leválasztástól (nem túl kényelmes), a kezelésig a csoportszabályok bejelentkezési szkriptein keresztül, valamint a beépített fiókok és jelszavaik kezelésére szolgáló saját rendszer létrehozásával..

Korábban a csoportházirend-kiterjesztéseket (GPP) gyakran használták a helyi rendszergazdák jelszavainak megváltoztatásához a tartományi számítógépeken, ám ezekben komoly sebezhetőséget találtak, amely lehetővé tette a felhasználók számára, hogy dekódolják a Sysvol könyvtár szövegfájljában tárolt jelszavakat a tartományvezérlőkön (erről mi részletesen beszélték a cikkben Miért nem szabad a jelszavakat beállítani a csoportházirend-preferenciákon). 2014 májusában a Microsoft kiadott egy biztonsági frissítést (MS14-025 - KB 2962486), amely teljes mértékben letiltja a helyi felhasználói jelszó GPP-n keresztüli beállítását..

Tartalom:

  • LAPS segédprogram - Helyi rendszergazdai jelszómegoldás
  • Az Active Directory séma elkészítése az LAPS megvalósításához
  • Jogok beállítása az AD-ben a LAPS attribútumokhoz
  • Jogok megadása a LAPS jelszó megtekintéséhez
  • Konfigurálja az LAPS csoportházirendet
  • Telepítse az LAPS-t az ügyfélszámítógépekre GPO-n keresztül
  • Az LAPS segédprogram használata a rendszergazdai jelszó megtekintéséhez

LAPS segédprogram - Helyi rendszergazdai jelszómegoldás

Fontos. Korábban LAPS-t hívtak AdmPwd, de 2015-ben a Microsoft bejelentette a LAPS-t, és a harmadik féltől származó szkriptszakaszról hivatalosan támogatott megoldásra helyezte azt.

hasznosság LAPS (Local adminisztrátor jelszó megoldás) lehetővé teszi a rendszergazdai jelszavak központosított kezelését a domain összes számítógépén, és a jelszóval és annak megváltoztatásával kapcsolatos információkat közvetlenül az Active Directory számítógépes objektumain tárolja..

Az LAPS funkcionalitás a speciális GPO funkcionalitás használatán alapszik, amely alapja: csoport politika ügyfél oldalsó kiterjesztés (CSE) és egy kis modul, amelyet a munkaállomásokra telepítenek. Ezt a GPO-kiterjesztést egyedi helyi rendszergazdai jelszó (SID-500) előállítására használják minden tartományi számítógépen. Az adminisztrátori jelszó automatikusan megváltozik a megadott gyakorisággal (alapértelmezés szerint 30 naponként). Az aktuális jelszó értékét a számítógépes fiók bizalmas attribútumában tárolják az Active Directory-ban, az attribútumtartalom megtekintéséhez való hozzáférést az AD biztonsági csoportjai szabályozzák..

Az LAPS-t és annak dokumentációját letöltheti ezen az oldalon: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Az LAPS disztribúció az msi telepítőfájlok két változatában érhető el: 32 (LAPS.x86.msi) és 64 (LAPS.x64.msi) bitrendszerek.

A LAPS architektúra 2 részből áll. A vezérlőmodul telepítve van az adminisztrátor számítógépére, az ügyfélrész pedig szerverre és PC-re van telepítve, amelyen rendszeresen meg kell változtatnia a helyi rendszergazda jelszavát..

tanács. Mielőtt telepítené az LAPS-t produktív tartományban, javasoljuk, hogy próbálja ki egy tesztkörnyezetben, mint Legalább egy AD séma kiterjesztésre van szükség (visszafordíthatatlan).

Futtassa az MSI segédprogram fájlt a rendszergazda számítógépén, válassza ki az összes telepítendő összetevőt (legalább .Net Framework 4.0 szükséges - Hogyan lehet megtudni, hogy a .Net mely verziói vannak telepítve). A csomag két részből áll:

  1. AdmPwd GPO kiterjesztés -Az ügyfélszámítógépekre telepített és előállított LAPS futtatható rész egy jelszót menti a tartományban egy konfigurált házirend szerint;
  2. és vezérlőelemek LAPS (felügyeleti eszközök):
    • Fat kliens felhasználói felület - segédprogram az adminisztrátori jelszó megtekintéséhez;
    • PowerShell modul - PowerShell modul az LAPS kezelésére;
    • GPO Editor sablonok - adminisztrációs sablonok a csoportházirend-szerkesztő számára.

Az LAPS telepítése a lehető legegyszerűbb, és nem okozhat problémákat..

Az Active Directory séma elkészítése az LAPS megvalósításához

Az LAPS telepítése előtt ki kell terjesztenie az Active Directory sémáját, amelybe két új attribútum kerül hozzáadásra a számítógép típusú objektumokhoz..

  • ms-MCS-AdmPwd- az attribútum tiszta szövegben tartalmazza a helyi rendszergazda jelszavát;
  • ms-MCS-AdmPwdExpirationTime - a számítógépen tárolja a jelszó lejáratának dátumát.

A séma kibővítéséhez meg kell nyitnia a PowerShell konzolt, importálnia kell az Admpwd.ps modult:

Az AdmPwd.ps import modul

Bővítse az Active Directory sémáját (szüksége van a Séma rendszergazdai jogokra):

Update AdmPwdADSchema

Ennek eredményeként két új attribútum kerül hozzáadásra a "Számítógép" osztályhoz.

Jogok beállítása az AD-ben a LAPS attribútumokhoz

Az LAPS a helyi rendszergazdai jelszót tárolja az Active Directory attribútumban ms-MCS-AdmPwd tiszta szövegben az attribútumhoz való hozzáférést az AD bizalmas attribútummechanizmus korlátozza (a Windows 2003 óta támogatott). Az ms-MCS-AdmPwd attribútum, amelyben a jelszó tárolva van, bárki jogosult olvasni “minden kiterjedt jogok”. Az ezzel az engedéllyel rendelkező felhasználók és csoportok bármilyen bizalmas AD attribútumot elolvashatnak, beleértve az ms-MCS-AdmPwd fájlt. mert nem szeretnénk, ha a domain rendszergazdákon (vagy a HelpDesk szolgáltatásokon kívül) bárki másnak jogában állna megtekinteni a számítógépek jelszavait, az olvasási engedélyekkel rendelkező csoportok listáját ezekre az attribútumokra kell korlátoznunk.

A Find-AdmPwdExtendedRights parancsmag használatával beolvashatja azokat a fiókokat és csoportokat, amelyeknek joga van egy adott OU-hoz. Ellenőrizze, hogy ki rendelkezik hasonló OU engedélyekkel az Asztalok névvel:

Find-AdmPwdExtendedRights -Identity Asztali számítógépek | Formátumtáblázat ExtendedRightHolders

Mint láthatja, csak a csoport jogosult a bizalmas attribútumok olvasására domain Adminok.

Ha meg kell tagadnia bizonyos csoportok vagy felhasználók hozzáférését az ilyen attribútumok olvasásához, akkor a következőket kell tennie:

  1. Nyissa meg a ADSIEdit és csatlakozzon az alapértelmezett elnevezési környezethez;
  2. Bontsa ki az AD fát, keresse meg a szükséges OU-t (Asztali példánkban), kattintson a jobb egérgombbal rá, és válassza a lehetőséget Tulajdonságok;
  3. Ugrás a fülre biztonság, nyomja meg a gombot Speciális -> Hozzáadás. A szakaszban Válassza ki a főt adja meg annak a csoportnak / felhasználónak a nevét, amelyre korlátozni kívánja a jogokat (például domain \ Support Team);
  4. Törölje a „Minden kiterjesztett jog” jobb oldali jelölését, és mentse a módosításokat..

Hasonlóképpen kell tennie minden olyan csoporttal, ahol meg kell tiltania a jelszó megtekintésének jogát.

tanács. Korlátozza az olvasási engedélyeket minden olyan egységre, amelynek számítógépes jelszavait az LAPS irányítja.

Ezután jogokat kell adnia a számítógépes fiókoknak, hogy módosítsák a saját attribútumaikat (SELF), mert Az ms-MCS-AdmPwd és az ms-MCS-AdmPwdExpirationTime attribútumok értékének megváltoztatása a számítógépes fiók alatt történik. Használunk még egy cmdlet-t készlet-AdmPwdComputerSelfPermission.

Ahhoz, hogy az OU Desktops számítógépek számára engedélyt kapjon a speciális attribútumok frissítésére, futtassa a következő parancsot:

Set-AdmPwdComputerSelfPermission -OrgUnit asztali számítógépek

A számítógépek új LAPS attribútumait alapértelmezés szerint nem replikálják az RODC tartományvezérlők.

Jogok megadása a LAPS jelszó megtekintéséhez

A következő lépés a felhasználók és a csoportok számára jogok biztosítása az Active Directory-ban tárolt helyi rendszergazdák jelszavainak olvasására a tartományi számítógépeken. Például azt szeretné, hogy az AdmPwd csoport tagjai jogosultak legyenek a számítógépes jelszavak olvasására az OU-ban:

Set-AdmPwdReadPasswordPermission -OrgUnit Asztali számítógépek -AllowedPrincipals AdmPwd

Ezenkívül egy külön felhasználói csoport számára jogot adhat a számítógép jelszavának visszaállításához (példánkban ugyanahhoz az AdmPwd csoporthoz adjuk meg a jogot).

Set-AdmPwdResetPasswordPermission -OrgUnit Asztali számítógépek -AllowedPrincipals AdmPwd

Konfigurálja az LAPS csoportházirendet

Ezután létre kell hoznia egy új GPO (csoportházirend) objektumot, és hozzá kell rendelnie az OU-hoz, amely olyan számítógépeket tartalmaz, amelyeken az adminisztrátori jelszavakat kezeli.

A felügyelet megkönnyítése érdekében a LAPS adminisztrációs sablonfájljait (% WINDIR% \ PolicyDefinitions \ AdmPwd.admx és% WINDIR% \ PolicyDefinitions \ en-US \ AdmPwd.adml) lemásolhatja a központi GPO-tárházba. - \\winitpro.ru\ Sysvol\ Irányelvek\ PolicyDefinition.

Hozzon létre egy Password_Administrador_Local nevű házirendet a következő paranccsal:

Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local

A domain házirend-kezelő konzolon (gpmc.msc) nyissa meg a házirendet a szerkesztéshez, és lépjen a GPO szakaszba: Számítógép konfigurálása -> Felügyeleti sablonok -> LAPS.

Mint láthatja, 4 egyedi házirend-beállítás van. Konfigurálja őket a következők szerint:

  • A helyi rendszergazdai jelszókezelés engedélyezéseBekapcsolt (engedélyezze az LAPS jelszókezelési politikát);
  • JelszóbeállításokBekapcsolt - a jelszó bonyolultságát a házirend határozza meg, annak hosszát és megváltoztatásának gyakoriságát (hasonlóan a felhasználói jelszavak domainszabályaihoz);
    • komplexitás: Nagybetűk, kisbetűk, számok, akciók
    • Hosszúság: 12 karakter
    • kor: 30 nap
  • A kezelni kívánt rendszergazdai fiók neveNem konfigurálható (Ez a rendszergazdai fiók neve, amelynek a jelszava megváltozik. Alapértelmezés szerint a SID-500 beépített rendszergazdai jelszava megváltozik);
  • Ne engedje meg, hogy a jelszó érvényességi ideje hosszabb legyen, mint amelyet a házirendek előírnakBekapcsolt

Jelszó_Administrador_Lokális házirend hozzárendelése az OU-hez számítógépekkel (asztali számítógépek).

Telepítse az LAPS-t az ügyfélszámítógépekre GPO-n keresztül

A csoportházirend-objektum beállítása után telepítenie kell az LAPS ügyfélrészt a tartomány számítógépein. Az LAPS klienst különféle módon telepítheti: manuálisan, az SCCM feladaton keresztül, bejelentkezési szkript stb. Példánkban az msi fájlt telepítjük azzal a képességgel, hogy az msi csomagokat csoportházirendeken (GPSI) keresztül telepítsük.

  1. Hozzon létre egy megosztott mappát a hálózati könyvtárban (vagy a tartományvezérlő SYSVOL mappájában), ahová a LAPS terjesztés msi fájljait másolni szeretné;
  2. Hozzon létre egy új GPO-t és alatt Számítógép konfigurálása -> Házirendek -> Szoftverbeállítások -> Szoftver telepítése hozzon létre egy feladatot az MSI LAPS csomag telepítéséhez.
Felhívjuk figyelmét, hogy vannak a LAPS for Windows x86 és x64 verziói a megfelelő bitmélységgel. Ehhez 2 különálló LAPS házirendet készíthet WMI GPO szűrőkkel a Windows x86 és x64 kiadásaihoz.

A házirendet továbbra is hozzá kell rendelni a kívánt OU-hoz, és az újraindítás után a LAPS klienst telepíteni kell a cél OU összes számítógépére..

Ellenőrizze, hogy a „Helyi rendszergazdai jelszókezelési megoldás” bejegyzés megjelenik-e a Vezérlőpult telepített programjainak listájában (Programok és szolgáltatások).

Amikor az LAPS segédprogram megváltoztatja a helyi rendszergazda jelszavát, erről egy rekordot rögzít az alkalmazásnaplóban (Eseményazonosító: 12, Forrás: AdmPwd).

A jelszó mentési eseményt az AD attribútumban szintén rögzítik (eseményazonosító: 13, Forrás: AdmPwd).

Így néznek ki az új számítógép attribútumai az AD-ben.

tanács. A jelszó lejáratának idejét a "Win32 FILETIME" formátumban tárolja, konvertálhatja a normál formájába, például így:.

Az LAPS segédprogram használata a rendszergazdai jelszó megtekintéséhez

Az AdmPwd felhasználói felület grafikus segédprogramját LAPS jelszavak megtekintéséhez telepíteni kell a rendszergazdák számítógépére.

Futtassa a segédprogramot, írja be a számítógép nevét (a számítógépnév mezőbe), és látnia kell a helyi számítógép-rendszergazda aktuális jelszavát és a lejárat dátumát..

A jelszó lejáratának dátuma manuálisan beállítható, vagy hagyhatja üresen a dátum mezőt, és megnyomhatja a Beállítás gombot (ez azt jelenti, hogy a jelszó lejárt).

A jelszó a PowerShell használatával is beszerezhető:

Import modul - AdmPwd.PS
Get-AdmPwdPassword -ComputerName

Ha úgy gondolja, hogy a helyi adminisztrátorok jelszavainak veszélye egy adott OU összes számítógépén található, akkor új parancsokkal hozhat létre új jelszavakat az OU összes számítógépéhez. Ehhez szükségünk van a Get-ADComputer parancsmagra:

Get-ADComputer-Szűrő * -SearchBase “OU = Számítógépek, DC = MSK, DC = winitpro, DC = hu” | Reset-AdmPwdPassword -ComputerName $ _. Name

Hasonlóképpen felsorolhatja az OU összes számítógépének jelenlegi jelszavait:

Get-ADComputer-Szűrő * -SearchBase “OU = Számítógépek, DC = MSK, DC = winitpro, DC = hu” | Get-AdmPwdPassword -ComputerName $ _. Name

Az LAPS ajánlható kényelmes megoldásként egy biztonságos jelszókezelő rendszer megszervezéséhez olyan tartományi számítógépeken, amelyek granuláltan ellenőrzik a hozzáférést a különböző OU-k számítógépekhez tartozó jelszavakhoz. A jelszavakat az Active Directory attribútumokban tiszta szövegben tárolják, de az AD beépített eszközei megbízhatóan korlátozhatják a hozzájuk való hozzáférést..

Azt is javasoljuk, hogy olvassa el a Rendszergazdai fiókok biztosítása a Windows hálózaton című cikket.