Adam the Automator

Hogyan kezeli jelenleg a helyi Windows rendszergazdai jelszavakat? Minden Windows rendszerben van egy, és ők rendelkeznek az egyes PC-k királyságának kulcsaival. Mivel a helyi rendszergazdai jelszavak nem részei az Active Directorynak (AD), ezért minden számítógépen külön-külön kell kezelni az egyes fiókokat. Ez nagyon fájdalmas.

A legtöbbször a szervezetek nem gondolnak túl sokat erre, és csak egy szabványos rendszergazdai jelszót állítanak be minden egyes Windows-gépen. Ez a gyakorlat, bár kényelmes, sokkal nagyobb problémának teszi ki a szervezeteket, amikor ez az egy, fő jelszó rossz kezekbe kerül. Ha minden számítógépen külön helyi rendszergazdai jelszó van, az nem feltétlenül akadályozza meg, hogy egy rosszindulatú személy hozzáférjen egy számítógéphez, de jelentősen megakadályozza más számítógépek oldalirányú kihasználását.

A Microsoft Local Administrator Password Solution (LAPS) segíthet.

Ebben a cikkben megtudhatja, hogyan biztosíthatja az AD-vel összekapcsolt számítógépeit a LAPS beállításával.

Tartalomjegyzék

Mi a Microsoft LAPS?

A LAPS a Windows-környezet biztonságban tartásának elengedhetetlen része. A LAPS egy olyan eszköz, amely okos módon működik; automatikusan véletlenszerűvé teszi a helyi rendszergazdai jelszót minden olyan tartományi számítógépen, amelyen a LAPS aktiválva van, és minden jelszót rendszeresen megváltoztat.

A LAPS biztosítja, hogy az egész tartományban véletlenszerű helyi rendszergazdai jelszavakkal rendelkezzen, és megakadályozza a hackerek és rosszindulatú programok oldalirányú mozgását. Most azt gondolhatná, hogy egy hosszú helyi rendszergazdai jelszó az ügyfeleken megvédheti önt ettől, de ez nem igaz.

A hackerek a Pass-The-Hash módszerrel gyorsan terjedhetnek a tartományban, és ugyanezzel a módszerrel akár a tartományi rendszergazdai hitelesítő adatokra is rábukkanhatnak. A LAPS megakadályozza ezt a tevékenységet azzal, hogy a rosszindulatú személyeket arra kényszeríti, hogy felfedezzenek egy jelszót minden egyes, egyedi géphez.

A LAPS a gyakorlatban

A LAPS három fő részből áll:

Lezárt AD-attribútumok

A LAPS minden egyes helyi rendszergazdai jelszót tárol minden egyes ellenőrzött számítógéphez az AD-ben ms-Mcs-AdmPwd néven. A LAPS-nak tudnia kell azt is, hogy a jelszavak mikor járnak le, hogy megváltoztathassa őket, ezért egy másik AD-attribútumot is tárol ms-Mcs-AdmPwdExpirationTime néven. Ezeket az AD-attribútumokat csak meghatározott AD-főnökök, például egy csoport vagy egy felhasználó olvashatják/írhatják, és a jelszót használó számítógépfiók is írhatja őket.

GPO-beállítások

A LAPS számítógépen történő beállításához és a jelszó módosításához a LAPS-nak van egy sor GPO-beállítása is. Ha a GPO-t több számítógéphez kapcsoljuk, a LAPS-beállítások minden számítógépre kiosztásra kerülnek. Amikor a számítógép alkalmazza a GPO-beállításokat, a LAPS egy speciális DLL-fájlt használ azok értelmezéséhez.

Ha a LAPS úgy látja, hogy az aktuális dátum túl van a jelszó lejárati dátumán, akkor:

  • Sorsol egy új jelszót, és azt állítja be helyi rendszergazdai jelszóként.
  • Az új helyi rendszergazdai jelszót beírja az AD Ms-Mcs-AdmPwd attribútumába.
  • Új lejárati dátumot ír az ms-Mcs-AdmPwdExpirationTime-ba.

Ezzel az okos, mégis egyszerű módszerrel a tartományi számítógépek még biztonságosabbak maradnak.

LAPS beállítása

Elég információ, nézzük meg ténylegesen, mit tud a LAPS! A LAPS beállítása nem bonyolult, de igényel néhány lépést, amit ebben a bemutatóban meg fogsz tanulni. Ezek a következők:

  1. A LAPS kezelőeszközök telepítése az admin gépen.
  2. Az AD séma bővítése a LAPS által használt két egyéni AD attribútum hozzáadásához.
  3. A megfelelő jogosultságok beállítása az AD különböző összetevőihez.
  4. A LAPS GPO elkészítése, amelyet a Windows számítógépekre fogunk alkalmazni.
  5. A LAPS GPO kiterjesztés telepítése az alkalmazandó Windows számítógépekre.

Amikor a fenti lépésekkel megvagyunk, egy teljesen működőképes LAPS környezetet állítunk be és készen állunk az indulásra!

Előfeltételek

Ebben a cikkben a LAPS valódi beállításával foglalkozunk. Ha szeretné követni, kérjük, előbb bizonyosodjon meg arról, hogy megfelel néhány előfeltételnek.

  • Egy AD tartomány (2003 és újabb)
  • A Windows rendszert futtató számítógépen (10 vagy Server 2012+ ajánlott) telepítve van az RSAT for Active Directory.
  • Legyen hozzáférése egy olyan fiókhoz, amely tagja az AD Domain Admins és Schema Admins csoportoknak is.

A cikk összes példája a contoso.com nevű AD-tartományt használja.

A legjobb gyakorlat a sémaadminisztrátor csoporthoz az, hogy csak akkor legyen tagja, ha szüksége van a jogosultságokra.

Microsoft LAPS Management Tools telepítése

Az induláshoz először a LAPS Management Tools-t kell telepítenie az admin számítógépére. Ezek a kezelési eszközök telepítik mind a LAPS GPO kiterjesztést (ha kiválasztotta), mind a LAPS konfigurálásához szükséges kezelési eszközöket.

  1. Kezdje a LAPS.x64.msi fájl letöltésével, majd indítsa el adminként, és kattintson a Tovább gombra.
A Microsoft LAPS telepítése

2. Nyomja meg a Tovább gombot, amíg el nem jut az egyéni beállításhoz, majd kattintson a Kezelési eszközök és a Teljes funkció telepítése a helyi merevlemezen mindkét komponens telepítéséhez. Ha nem szeretné, hogy az aktuális gépet a LAPS kezelje, akkor válassza az AdmPwd GPO Extension-t.

Kattintson a Management Tools

3. Kattintson a Next gombra, amíg a telepítés be nem fejeződik, majd lépjen ki a telepítőből.

Most telepítette a LAPS GPO-bővítményeket (ha kiválasztotta) és a kezelési eszközeit, és most már elkezdhetjük az AD-séma bővítését és a GPO-k hozzáadását.

Az AD-séma bővítése

Amint korábban említettük, a LAPS két AD-attribútumot használ: ms-Mcs-AdmPwd és ms-Mcs-AdmPwdExpirationTime. Ez a két attribútum nem alapértelmezett, ezért hozzá kell adni az AD-sémához.

  1. Azzal kezdjük, hogy a Domain Admins csoportok egyik tagját hozzáadjuk a Schema Admins csoporthoz, ha a fiók még nem tagja. Ezt nevezzük “admin fióknak”.
  2. Indítsuk el a PowerShellt admin fiókként és importáljuk az AdmPwd PowerShell modult a Import-module AdmPwd.PS végrehajtásával.
  3. A modul importálása után futtassuk a Update-AdmPwdADSchema parancsot az AD séma frissítéséhez a két AD attribútum hozzáadásával. A kimenetet az alábbi képernyőképen láthatja.
Powershell Admin Account

Most kibővítettük az AD-sémánkat a LAPS támogatásával, és készen állunk a jogosultságok beállítására az Active Directoryban.

Active Directory jogosultságok beállítása

Minden számítógépnek képesnek kell lennie a helyi rendszergazdai jelszó és a lejárati idő AD-attribútum frissítésére. Ehhez minden számítógépnek rendelkeznie kell az ms-Mcs-AdmPwd és ms-Mcs-AdmPwdExpirationTime AD-attribútumok önírási jogosultságával. Szerencsére ennek a munkának a nagy része könnyen elvégezhető az AdmPwd PowerShell modullal.

A gépek engedélyezése a jelszó mentésére

Először is biztosítsuk, hogy minden számítógép el tudja menteni a jelszavát az ms-Mcs-AdmPwd AD-attribútumba, és frissíteni tudja, mikor jár le a jelszó az ms-Mcs-AdmPwdExpirationTime AD-attribútumban. Az AdPwd PowerShell modul rendelkezik egy paranccsal, amellyel beállíthatja ezeket az engedélyeket: Set-AdmPwdComputerSelfPermission by organizational unit (OU), amely az összes gyermek OU-ra vonatkozik.

A PowerShellben futtassa a Set-AdmPwdComputerSelfPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' parancsot, ne feledje, hogy frissítse az adott OU és tartomány nevét.

OU és tartománynév frissítése

Ha szeretné, hogy a LAPS több OU-t is ellenőrizzen, ismételje meg a fenti parancsot az AD minden egyes OU-jára.

AD-attribútumok lezárása kiterjesztett jogok keresésével

Hogy biztosítsa, hogy csak a kívánt felhasználóknak és csoportoknak legyen jogosultságuk az egyes számítógépek helyi admin jelszavának olvasására és visszaállítására, ellenőrizni kell, hogy kik rendelkeznek hozzáféréssel. Konkrétan azt kell tudnia, hogy csak azok a fiókok rendelkeznek-e “Kiterjesztett jogokkal”, amelyeknek erre szükségük van.

A kiterjesztett jogokkal rendelkező fiókok megtalálásához futtassa a Find-AdmPwdExtendedRights -OrgUnit 'OU=Workstations,DC=contoso,DC=com' | Select -ExpandProperty ExtendedRightHolders futtatást, biztosítva az OU és a tartomány nevének cseréjét.

Az alábbi képernyőképen láthatja, hogy a CONTOSO\joe-the-admin és a CONTOSO\MDT-service kiterjesztett jogokkal rendelkezik a Workstations OU-hoz.

Workstations OU

Az MDT-service engedélyhez valóban szükséges a kiterjesztett jog, de a joe-the-admin-hoz nem. Most el kell távolítania a joe-the-admin engedélyét.

Ezt a folyamatot meg kell ismételnie minden olyan OU-nál, amelyre egy korábbi lépésben beállította az önírási engedélyt.

Kiterjesztett jogok eltávolítása

Mihelyt azonosította az egyes fiókokat, amelyekről el kell távolítani a kiterjesztett jogokat, itt az ideje, hogy ezt ténylegesen meg is tegye.

  1. Az Active Directory – felhasználók és számítógépek megnyitása után kattintson a felső menüben a Nézet gombra, és győződjön meg arról, hogy a Speciális funkciók engedélyezve van. Ha engedélyezi a speciális funkciókat, akkor az összes jellemzően rejtett OU-t látni fogja, ahogy az a következő képernyőképen látható.
Rejtett OU-k

2. Kattintson a jobb gombbal arra az OU-ra, amelyről a kiterjesztett jogot el kívánja távolítani, majd kattintson a Tulajdonságok gombra.

Jobb klikk az OU eltávolításához

3. Kattintson a Biztonság fülre, majd kattintson a Speciális gombra.
4. Keresse meg azt a fiókot vagy csoportot, amelynek a kiterjesztett jogait el kívánja távolítani, majd jelölje ki, és kattintson az Eltávolítás gombra.

Biztonság fül a fiók eltávolításához

5. Ismételje meg ezeket a lépéseket szükség szerint az összes kiterjesztett jogokkal rendelkező megbízó esetében.

Engedély megadása a helyi rendszergazdai jelszó olvasásához és visszaállításához

Most, miután megbizonyosodott arról, hogy csak a megfelelő fiókok rendelkeznek kiterjesztett jogokkal, létre kell hoznia két AD-csoportot a helyi rendszergazdai jelszó olvasásához és visszaállításához LAPS Workstations Password Read és LAPS Workstations Password Reset néven.

Megjegyezzük, hogy az itt megadott csoportnevek nem kötelezőek. Szabadon használhat bármilyen csoportnevet.

A PowerShell konzol továbbra is megnyitva az admin fiókkal, adja meg a következő parancsokat, hogy mindkét AD csoportnak engedélyt adjon a Workstations OU-ban lévő számítógépek helyi rendszergazdai jelszavának olvasására.

PS> Set-AdmPwdReadPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Read"PS> Set-AdmPwdResetPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Reset" 

Mivel engedélyezte a fenti AD csoportoknak a Workstations OU-ban lévő számítógépek helyi rendszergazdai jelszavának olvasását és visszaállítását. Most hozzá kell adnia a jelszavak olvasásához vagy visszaállításához szükséges rendszergazdákat vagy csoportokat.

Központi tároló létrehozása a csoportházirend-sablonokhoz

Hogy a LAPS engedélyezze magát, miután telepítette magát a számítógépekre, először hozzon létre egy csoportházirendet a csoportházirend-sablonok PolicyDefinition tárolóba történő importálásával. A PolicyDefinition store az összes tartományvezérlőn található mappa.

Soha ne engedélyezzen olyan LAPS GPO-t, amely a tartományvezérlőket célozza. Ez nem támogatott, és váratlan problémákat okozhat.

  1. Válasszon ki egy tartományvezérlőt az AD-ben; bármelyik tartományvezérlő működik.
  2. Győződjön meg róla, hogy létezik egy \\\contoso.com\SYSVOL\Policies\PolicyDefinitions. Ha nem, akkor most hozza létre.
  3. Másolja át a C:\\Windows\PolicyDefinitions mappa tartalmát az admin számítógépen (amelyre a LAPS-t telepítette) a tartományvezérlőn lévő \\\contoso.com\SYSVOL\Policies\PolicyDefinitions mappába.

A GPO létrehozása

Most másolja a LAPS GPO sablonokat a központi tárolóba (PolicyDefinitions mappa).

  1. Nyissuk meg a Csoportházirend-kezelést az admin fiókunk alatt,kattintsunk a jobb gombbal arra az OU-ra, amelyben engedélyezni szeretnénk a LAPS-t és kattintsunk a Link an Existing GPO…
Group Policy Management

2. Navigáljunk a Computer Configuration -> Administrative Templates -> LAPS menüpontra és a Enable local admin password management (Helyi admin jelszókezelés engedélyezése) opciót állítsuk Enabled (Engedélyezve) értékre. Ha eltérő követelményei vannak a Jelszó összetettségére vonatkozóan, ennek megfelelően szerkessze a Jelszóbeállításokat.

GPO összekapcsolása az összes OU-val

Majdnem kész! Most kapcsolja ezt a GPO-t az összes olyan OU-hoz, amelyben a LAPS-t használni szeretné.

LAPS GPO-bővítmény telepítése

Mihelyt a GPO-t az összes alkalmazható OU-hoz, amelyben számítógépek vannak, alkalmazza, most a LAPS GPO-bővítményt kell telepítenie. A kiterjesztést többféleképpen telepítheti: vagy az MSI telepítésével (a korábban bemutatott módon), vagy a LAPS DLL fájl regisztrálásával.

Ha az MSI telepítése mellett dönt, akkor a LAPS által ellenőrzött OU-n belül minden számítógépen futtassa a következő parancsot a LAPS engedélyezéséhez.

> msiexec /q /i \server\share\LAPS.x64.msi

Ha a LAPS engedélyezését a DLL fájl regisztrálásával választja, akkor ezt a következő paranccsal teheti meg.

> regsvr32.dll \server\share\AdmPwd.dll

A parancsok számítógépeken történő futtatásához bármilyen távoli futtatási eszközt használhat.

A LAPS MSI telepítése GPO-val

A GPO használata a legegyszerűbb módszer annak biztosítására, hogy a LAPS GPO-bővítmény minden számítógépen telepítve legyen.

  1. Kópiázza a LAPS.x64.msi fájlt az összes tartományi számítógép által elérhető hálózati megosztásra.
  2. Nyissa meg a csoportházirend-kezelőt az admin számítógépen, és hozzon létre egy LAPS telepítése vagy valami hasonló nevű GPO-t.
LAPS telepítése nevű GPO létrehozása

3. Kattintson a jobb gombbal a Install LAPS GPO-ra, kattintson a Szerkesztés gombra, majd navigáljon a Számítógép konfigurációja -> Házirendek -> Szoftverbeállítások -> Szoftvertelepítés menüpontra.

LAPS GPO szoftvertelepítés

4. Kattintson a jobb gombbal a Szoftvertelepítésre, és navigáljon az Új-> Csomag…

GPO új csomag

5. Válassza a Szoftvertelepítés parancsot. Navigáljon arra a megosztásra, ahová a LAPS.x64.msi-t másolta, jelölje ki, kattintson az OK gombra, majd válassza a Hozzárendelés lehetőséget.

LAPS.x64.msi hozzárendelése

6. Most kösse a GPO-t ugyanazokhoz az OU-khoz, amelyekhez a LAPS-t konfigurálta. Most már készen áll a LAPS tesztelésére!

A LAPS tesztelése

Hogy megbizonyosodjunk arról, hogy a LAPS a terveknek megfelelően működik az ellenőrzött számítógépeken, most kényszerítsük az egyik számítógépet a fent említett GPO alkalmazására, és nézzük meg, mi történik.

  1. Elindítsunk újra egy számítógépet, amely az imént konfigurált OU-k egyike alatt található. Miután újraindult, a számítógépnek el kell kezdenie a LAPS telepítését.
  2. Mihelyt a LAPS települ a számítógépre, indítsuk újra a gépet, és nyissunk meg egy PowerShell konzolt rendszergazdaként az admin számítógépen egy olyan fiókkal, amely tagja a LAPS Workstation Password Read és LAPS Workstation Password Reset AD csoportoknak.
  3. Futtassuk a Get-AdmPwdPassword <computername> parancsot az imént újraindított és telepített LAPS számítógép nevével. Ha minden jól ment, akkor az alábbi képernyőképen látható kimenethez hasonlót fog látni.
LAPS telepítés kimenete

4. Most próbáljon meg bejelentkezni a LAPS által vezérelt számítógépre a fent megjelenített jelszóval. Ha ez sikerült, akkor be kell lépnie.
5. Most próbálja meg visszaállítani a jelszót a Reset-AdmPwdPassword <ComputerName> futtatásával és a számítógép újraindításával. Nézze meg, hogyan változtatta meg a jelszavakat az alábbi képernyőképen?

LAPS Jelszó visszaállítása

Most már működik a LAPS a környezetében. És bár az adminisztráció meglehetősen egyszerű, van néhány dolog, amiről tudnod kell…

Tippek és trükkök a LAPS valódi használatához

Míg a fent leírt beállítás elegendő a legtöbb kisebb környezet számára, lehet, hogy túlságosan bizonytalan, vagy nem nyújtja a nagyobb szervezetek számára szükséges ellenőrzési szintet. Íme néhány tipp ahhoz, hogy a valóságban is működjön.

1. Kapcsolja be az auditálást

Az auditálás, amikor valaki elolvassa vagy visszaállítja a jelszót, fontos, különösen ha figyelembe vesszük, hogy riasztásokat kapcsolhat hozzá, ha valaki elolvassa az összes számítógép jelszavát. Szerencsére az AdmPwd modul biztosít számunkra egy olyan cmdletet, amellyel éppen ezt engedélyezhetjük.

PS> Set-AdmPwdAuditing -AuditedPrincipals Everyone -OrgUnit "OU=Workstations,DC=contoso,DC=com"

2. Annak biztosítása, hogy egyetlen felhasználó se tudja közvetlenül olvasni az ms-mcs-AdmPwd AD attribútumot

Az egyik módja annak, hogy biztosítsuk, hogy egy felhasználó ne tudja olvasni az ms-mcs-AdmPwd AD attribútumot, hogy létrehozunk egy önkiszolgáló módszert a számítógép helyi admin jelszavának megszerzésére. Bár nem tartozik ennek a cikknek a tárgykörébe, nézzen utána olyan eszközöknek, mint a JEA vagy a WebJEA, ha nincs erre alkalmas meglévő önkiszolgáló portálja.

3. Az Ms-Mcs-AdmPwdTime attribútum visszaállítása a lemezképzés során

El ne felejtse el visszaállítani az Ms-Mcs-AdmPwdTime attribútumot egy LAPS által vezérelt számítógép újbóli képalkotásakor, különben nem fogja kiváltani a jelszóváltoztatást, és megtartja a kép által megadott helyi admin jelszót. Az Ms-Mcs-AdmPwdTime lejárta után azonban elindul.

Az AdmPwd modul nélküli ExpirationTime visszaállításához használhatja a következő PowerShell parancsot:

# With RSAT Get-ADComputer Workstation1 | Set-ADObject -Replace @{"ms-mcs-AdmPwdExpirationTime"=(Get-Date)} # Without RSAT$Computer = New-Object DirectoryServices.DirectoryEntry "LDAP://CN=Workstation1,OU=Workstations,DC=contoso,DC=com"$Computer.'ms-Mcs-AdmPwdExpirationTime'.Clear()$Computer.CommitChanges()

4. Az AdmPwd modul nélkül is visszaállíthatja a ExpirationTime értéket. Ne feledje, hogy az ms-Mcs-AdmPwd attribútum az AD Recycle Binben marad

Amikor törlünk egy objektumot az AD-ben, és engedélyezve van az AD Recycle Bin, az AD általában eltávolítja a fontos attribútumokat; szerencsére az ms-Mcs-AdmPwd ettől védve van!

5. Az ms-Mcs-AdmPwd attribútum az AD Recycle Binben marad. A LAPS nem ideiglenes hozzáférésre szolgál

A LAPS, bár csábító, nem arra való, hogy ideiglenes hozzáférést adjon a beszállítóknak, felhasználóknak és más típusú fiókoknak. A LAPS használata helyett használjon egy AD-csoportot, amely az adott számítógép helyi adminisztrátora, és használja a TimeToLive-ot a csoporttagságokra.

Összegzés

Most megtanulta a LAPS telepítését, a jogosultságok beállítását, valamint néhány tippet és trükköt a biztonságosabbá tételéhez. Egy olyan környezetben, ahol a LAPS telepítve van, minden helyi rendszergazdai jelszó rendszeresen és automatikusan változik. Ez nagymértékben csökkenti annak kockázatát, hogy egy tartományhoz csatlakozó számítógépet hackerek vagy rosszindulatú programok vegyenek át, és remélhetőleg sok fejfájástól kíméli meg Önt.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.