Adam the Automator

Miten käsittelet tällä hetkellä Windows-ylläpitäjän paikallisia salasanoja? Jokaisessa Windows-järjestelmässä on yksi ja heillä on avaimet jokaisen tietokoneen valtakuntaan. Koska paikalliset järjestelmänvalvojan salasanat eivät ole osa Active Directorya (AD), sinun on hallittava jokaista tiliä jokaisessa tietokoneessa erikseen. Se on vaivalloista.

Usein organisaatiot eivät ajattele asiaa liikaa ja asettavat vain vakiomuotoisen järjestelmänvalvojan salasanan jokaiselle Windows-koneelle. Tämä käytäntö, vaikka onkin kätevä, avaa organisaatiot paljon suuremmalle ongelmalle, kun tuo yksi, yleinen salasana joutuu vääriin käsiin. Erillisen paikallisen järjestelmänvalvojan salasanan käyttäminen jokaisessa tietokoneessa ei välttämättä estä pahansuopaa henkilöä pääsemästä käsiksi yhteen tietokoneeseen, mutta se estää huomattavasti muiden tietokoneiden sivuttaista hyväksikäyttöä.

Microsoft Local Administrator Password Solution (LAPS) voi auttaa.

Tässä artikkelissa opit, miten voit suojata AD-liitetyt tietokoneet määrittämällä LAPS:n.

Mikä on Microsoft LAPS?

LAPS on tärkeä osa Windows-ympäristön turvallisuuden ylläpitämistä. LAPS on työkalu, joka toimii nokkelalla tavalla; se satunnaistaa automaattisesti paikallisen järjestelmänvalvojan salasanan kaikissa toimialueen tietokoneissa, joissa LAPS on aktivoitu, ja vaihtaa jokaisen salasanan säännöllisesti.

LAPS varmistaa, että sinulla on satunnaistetut paikallisen järjestelmänvalvojan salasanat koko toimialueellasi, ja estää hakkereiden ja haittaohjelmien sivuttaisen liikkumisen. Nyt saatat ajatella, että pitkä paikallisen järjestelmänvalvojan salasana asiakkaalla suojaa sinua tältä, mutta se ei ole totta.

Hakkerit voivat käyttää Pass-The-Hash-menetelmää levitä nopeasti toimialueellasi ja saattavat jopa löytää toimialueen järjestelmänvalvojan valtakirjan käyttämällä samaa menetelmää. LAPS estää tämän toiminnan pakottamalla pahantahtoiset yksilöt löytämään salasanan jokaiselle, yksittäiselle koneelle.

LAPS käytännössä

LAPS:ssä on kolme pääosaa:

Lukitut AD-attribuutit

LAPS tallentaa AD:ssä jokaisen valvottavan tietokoneen jokaisen paikallisen järjestelmänvalvojan salasanan nimellä ms-Mcs-AdmPwd. LAPS:n on myös tiedettävä, milloin salasanat vanhenevat vaihtaakseen ne, joten se tallentaa myös toisen AD-attribuutin nimeltä ms-Mcs-AdmPwdExpirationTime. Näitä AD-attribuutteja voivat lukea/kirjoittaa vain määritellyt AD-päämiehet, kuten ryhmä tai käyttäjä, ja myös salasanaa käyttävä tietokoneen tili voi kirjoittaa niitä.

GPO-asetukset

LAPS:n käyttöönottamiseksi tietokoneella ja salasanan vaihtamiseksi LAPS:lla on myös joukko GPO-asetuksia. Kun GPO on linkitetty useisiin tietokoneisiin, LAPS-asetukset jaetaan kuhunkin tietokoneeseen. Kun tietokone soveltaa GPO-asetuksia, LAPS käyttää erityistä DLL-tiedostoa niiden tulkitsemiseen.

Kun LAPS näkee, että nykyinen päivämäärä on ylittänyt salasanan voimassaolon päättymispäivän, se:

• Satunnaistaa uuden salasanan ja asettaa sen paikallisen järjestelmänvalvojan salasanaksi.
• Kirjoittaa uuden paikallisen järjestelmänvalvojan salasanan AD:ssä olevaan Ms-Mcs-AdmPwdattribuuttiin.
• Kirjoittaa uuden voimassaolon päättymispäivämäärän attribuuttiin ms-Mcs-AdmPwdExpirationTime.

Käyttämällä tätä nokkelaa mutta yksinkertaista menetelmää toimialueen tietokoneet pysyvät entistäkin turvallisempina.

LAPS:n määrittäminen

Tietoa riittää, mennäänpäs nyt oikeasti katsomaan, mitä LAPS:llä voi tehdä! LAPS:n perustaminen ei ole monimutkaista, mutta se vaatii muutamia vaiheita, jotka opit tässä opetusohjelmassa. Ne ovat:

1. Asennetaan LAPS-hallintatyökalut järjestelmänvalvojan koneelle.
2. Lisätään AD-skeema lisäämällä kaksi mukautettua AD-attribuuttia, joita LAPS käyttää.
3. Asetetaan asianmukaiset oikeudet AD:n eri komponenteille.
4. Rakennetaan LAPS:n yleiskäytäntö (LAPS GPO), joka levitetään Windows-tietokoneisiin.
5. LAPS:n GPO-laajennuksen käyttöönotto sovellettaviin Windows-tietokoneisiin.

Kun olet suorittanut edellä mainitut vaiheet, sinulla on täysin toimiva LAPS-ympäristö, joka on asetettu ja valmiina käyttökuntoon!

Edellytykset

Tässä artikkelissa otat LAPS:n käyttöön oikeasti. Jos haluat seurata mukana, varmista ensin, että täytät muutamat ennakkoedellytykset.

• AD-toimialue (2003 ja uudemmat)
• Tietokoneessa, jossa on Windows (10 tai Server 2012+ on suositeltava), on RSAT for Active Directory asennettuna.
• Hänellä on pääsy tiliin, joka on sekä AD-toimialueen ylläpitäjät- että skeeman ylläpitäjät-ryhmän jäsen.

Kaikki tämän artikkelin esimerkit käyttävät AD-toimialuetta nimeltä contoso.com.

Skeeman ylläpitäjät -ryhmän paras käytäntö on, että olet sen jäsen vain silloin, kun tarvitset oikeuksia.

Microsoft LAPS Management Tools -työkalujen asentaminen

Aloittaaksesi, sinun on ensin asennettava järjestelmänvalvontatietokoneeseen LAPS Management Tools. Nämä hallintatyökalut asentavat sekä LAPS:n GPO-laajennuksen (jos se on valittu) että hallintatyökalut LAPS:n määrittämistä varten.

1. Aloita lataamalla LAPS.x64.msi-tiedosto ja käynnistä se ylläpitäjänä ja napsauta Seuraava.

2. Paina Seuraava, kunnes tulet mukautettuun asetukseen ja valitse sitten Hallintatyökalut ja Koko ominaisuus asennetaan paikalliselle kiintolevylle molempien näiden komponenttien asentamiseksi. Jos et halua, että nykyistä konetta hallitaan LAPS:lla, valitse AdmPwd GPO Extension.

3. Paina Next (Seuraava) -painiketta, kunnes asennus on valmis, ja poistu asennusohjelmasta.

Olet nyt asentanut LAPS:n GPO-laajennukset (jos valittu) ja sen hallintatyökalut, ja voimme nyt aloittaa AD-kaavion laajentamisen ja GPO:iden lisäämisen.

AD-kaavion laajentaminen

Kuten aiemmin mainittiin, LAPS käyttää kahta AD-attribuuttia nimeltä ms-Mcs-AdmPwd ja ms-Mcs-AdmPwdExpirationTime. Nämä kaksi attribuuttia eivät ole oletusarvoisia, ja ne on lisättävä AD-skeemaan.

1. Aloita lisäämällä Domain Admins -ryhmien jäsen Schema Admins -ryhmään, jos tili ei ole jo jäsen. Kutsumme tätä ”admin-tiliksi”.
2. Käynnistä PowerShell admin-tilinä ja tuo AdmPwd PowerShell-moduuli suorittamalla Import-module AdmPwd.PS.
3. Kun moduuli on tuotu, suorita komento Update-AdmPwdADSchema päivittääksesi AD-skeeman lisäämällä kaksi AD-attribuuttia. Näet tulosteen seuraavassa kuvakaappauksessa.

Olet nyt laajentanut AD-skeemamme tukemaan LAPS:ää ja olet valmis määrittämään käyttöoikeudet Active Directoryyn.

Active Directory -käyttöoikeuksien määrittäminen

Jokainen tietokone tarvitsee mahdollisuuden päivittää paikallisen järjestelmänvalvojan salasanansa ja AD-attribuuttinsa vanhentumisaika. Tätä varten jokaisella tietokoneella on oltava itsekirjoitusoikeus ms-Mcs-AdmPwd- ja ms-Mcs-AdmPwdExpirationTime AD-attribuutteihin. Onneksi suurin osa tästä työstä on helppo tehdä AdmPwd PowerShell -moduulilla.

Koneiden salliminen tallentaa salasanansa

Varmista ensin, että jokainen tietokone voi tallentaa salasanansa ms-Mcs-AdmPwd AD-attribuuttiin ja päivittää salasanan voimassaolon päättymisajankohdan ms-Mcs-AdmPwdExpirationTime AD-attribuuttiin. AdPwd PowerShell -moduulissa on komento, jolla voit asettaa nämä käyttöoikeudet, nimeltään Set-AdmPwdComputerSelfPermission by organizational unit (OU), joka koskee kaikkia lapsi-OU:ita.

Suorita PowerShellissä komento Set-AdmPwdComputerSelfPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' muista päivittää tietty OU ja toimialueen nimi.

Jos haluat LAPS:n hallitsevan useampia OU:ita, toista yllä oleva komento jokaiselle AD:n OU:lle.

AD-attribuuttien lukitseminen etsimällä laajennetut oikeudet

Voidaksesi varmistaa, että vain haluamillasi käyttäjillä ja ryhmillä on oikeudet lukea ja nollata kunkin tietokoneen paikallisen ylläpitäjän salasana, sinun on tarkastettava, kenellä on oikeudet. Erityisesti sinun on tiedettävä, että vain niillä tileillä, joilla on oltava ”laajennetut oikeudet”, on ne.

Tilien, joilla on laajennetut oikeudet, löytämiseksi suorita Find-AdmPwdExtendedRights -OrgUnit 'OU=Workstations,DC=contoso,DC=com' | Select -ExpandProperty ExtendedRightHolders varmistamalla, että korvaat OU:n ja toimialueen nimen.

Voit nyt nähdä seuraavasta kuvakaappauksesta, että CONTOSO\joe-the-adminilla ja CONTOSO\MDT-palvelulla on laajennetut oikeudet Workstations OU:hun.

MDT-palvelun käyttöoikeudet tarvitsevat tosiaankin laajennetun oikeuden, mutta joe-the-adminilla ei. Sinun on nyt poistettava oikeus joe-the-adminilta.

Tämä prosessi on toistettava kaikkien niiden OU:iden osalta, joille asetit itsekirjoitusoikeuden aiemmassa vaiheessa.

Laajennettujen oikeuksien poistaminen

Kun olet tunnistanut jokaisen tilin, jolta haluat poistaa laajennetut oikeudet, on aika tehdä se itse.

1. Avaa Active Directory Users And Computers (Active Directory -käyttäjät ja -tietokoneet) ja napsauta ylemmässä valikossa View (Näkymä) -painiketta ja varmista, että Advanced Features (Lisäominaisuudet) on käytössä. Kun otat lisäominaisuudet käyttöön, näet kaikki tyypillisesti piilotetut OU:t, kuten seuraavassa kuvakaappauksessa näkyy.

2. Napsauta hiiren kakkospainikkeella sitä OU:ta, jonka laajennetun oikeuden haluat poistaa, ja valitse Ominaisuudet.

3. Napsauta Turvallisuus-välilehteä ja napsauta sitten Lisäasetukset-painiketta.
4. Etsi tili tai ryhmä, jonka laajennetut oikeudet haluat poistaa, ja poista se valitsemalla se ja napsauttamalla Poista.

5. Valitse se ja napsauta Poista. Toista nämä vaiheet tarpeen mukaan kaikille päämiehille, joilla on laajennetut oikeudet.

Lupien antaminen paikallisen järjestelmänvalvojan salasanan lukemiseen ja nollaamiseen

Nyt kun olet varmistanut, että vain asianmukaisilla tileillä on laajennetut oikeudet, sinun on nyt luotava kaksi AD-ryhmää paikallisen järjestelmänvalvojan salasanan lukemista ja nollaamista varten nimellä LAPS Workstations Password Read ja LAPS Workstations Password Reset.

Huomaa, että tässä määritetyt ryhmien nimet eivät ole pakollisia. Voit vapaasti käyttää mitä tahansa ryhmänimeä.

Kun PowerShell-konsoli on edelleen auki admin-tililläsi, kirjoita seuraavat komennot antaaksesi molemmille AD-ryhmille oikeuden lukea Workstations OU:n tietokoneiden paikallisen järjestelmänvalvojan salasanoja.

PS> Set-AdmPwdReadPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Read"PS> Set-AdmPwdResetPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Reset" 

Olet nyt antanut edellä mainituille AD-ryhmille oikeuden lukea ja nollata Workstations OU:n tietokoneiden paikallisen järjestelmänvalvojan salasanoja. Sinun on nyt lisättävä ne järjestelmänvalvojat tai ryhmät, joita tarvitaan salasanojen lukemiseen tai nollaamiseen.

Ryhmäkäytäntömallien keskitetyn tallennuspaikan luominen

Sitä varten, että LAPS voi ottaa itsensä käyttöön, kun se on asennettu tietokoneisiin, luo ensin ryhmäkäytäntö tuomalla ryhmäkäytäntömallit PolicyDefinition-tallennuspaikkaan. PolicyDefinition-säilö on kansio, joka sijaitsee kaikissa toimialueen ohjaimissa.

Ei koskaan oteta käyttöön LAPS:n ryhmäkäytäntöä, joka kohdistuu toimialueen ohjaimiin. Sitä ei tueta ja se voi aiheuttaa odottamattomia ongelmia.

1. Valitse toimialueen ohjain AD:ssä; mikä tahansa toimialueen ohjain toimii.
2. Varmista, että \\contoso.com\SYSVOL\Policies\PolicyDefinitions on olemassa. Jos ei ole, luo se nyt.
3. Kopioi C:\\Windows\PolicyDefinitions-kansion sisältö hallintakoneellasi (johon asensit LAPS:n) toimialueen ohjaimen \\\contoso.com\SYSVOL\Policies\PolicyDefinitions-kansioon.

GPO:n luominen

Kopioidaan nyt LAPS:n GPO:n mallit keskitettyyn varastoon (PolicyDefinitions-kansioon).

1. Avaa Ryhmäkäytäntöjen hallinta admin-tunnuksellasi,napsauta hiiren kakkospainikkeella OU:ta, jossa haluat ottaa LAPS:n käyttöön ja valitse Linkitä olemassa oleva GPO…

2. Siirry kohtaan Tietokoneen konfigurointi -> Hallinnointimallit -> LAPS ja aseta asetuksena Ota paikallisen ylläpitäjän salasanojen hallinta käyttöön arvoksi Enabled (Käytössä). Jos sinulla on erilaisia vaatimuksia salasanan monimutkaisuudelle, muokkaa salasana-asetuksia sen mukaisesti.

Olet melkein valmis! Linkitä tämä GPO nyt kaikkiin OU:iin, joissa haluat käyttää LAPSia.

LAPS GPO -laajennuksen käyttöönotto

Kun GPO on sovellettu kaikkiin sovellettaviin OU:iin, joissa on tietokoneita, sinun on nyt otettava käyttöön LAPS GPO -laajennus. Voit asentaa laajennuksen parilla eri tavalla joko asentamalla MSI:n (kuten aiemmin näytettiin) tai rekisteröimällä LAPS DLL-tiedoston.

Jos valitset MSI:n asentamisen, ota LAPS käyttöön jokaisella LAPS:n hallitseman OU:n sisällä olevalla tietokoneella suorittamalla seuraava komento.

> msiexec /q /i \server\share\LAPS.x64.msi

Jos otat LAPS:n käyttöön rekisteröimällä DLL-tiedoston, voit tehdä sen seuraavalla komennolla.

> regsvr32.dll \server\share\AdmPwd.dll

Voit käyttää mitä tahansa käytössäsi olevaa etäkäyttötyökalua näiden komentojen suorittamiseen tietokoneilla.

LAPS MSI:n käyttöönotto GPO:lla

GPO:n käyttäminen on helpoin tapa varmistaa, että LAPS:n GPO-laajennus asennetaan kaikkiin tietokoneisiin.

1. Kopioi LAPS.x64.msi verkkojakoon, johon kaikki toimialueen tietokoneet pääsevät käsiksi.
2. Avaa ryhmäkäytäntöjen hallinta ylläpitäjän tietokoneella ja luo GPO nimeltä Install LAPS tai jokin vastaava.

3. Napsauta Install LAPS GPO:ta hiiren kakkospainikkeella, valitse Edit (Muokkaa) ja siirry kohtaan Computer Configuration (Tietokoneen kokoonpano) -> Policies (Käytännöt) -> Software Settings (Ohjelmistoasetukset) -> Software Installation (Ohjelmiston asennus).

4. Napsauta hiiren kakkospainikkeella Software Installation (Ohjelmistoasennus) -painiketta ja siirry kohtaan New-> Package…