Yleiskatsaus Microsoft LAPS (paikallinen järjestelmänvalvojan salasanaratkaisu)

*Kun olet ladannut ja ottanut käyttöön LAPS: n, Recast Software: n tiimi loi näppärän kojelaudan, jonka avulla voit seurata LAPS: n "terveyttä" - tuoden näkyvyyttä unohdettuihin tietoturvatarpeisiin. Tämä sisältyy Right Click Tools: n yritysversio.

Pidän LAPS -kojelaudasta, koska olen jo CM -konsolissa joka päivä, joten minulla on kojelauta LAPS: lle, jotta se pysyy näkyvissä ja mielessämme, pidän tätä erittäin hyödyllisenä. Kestää vain muutaman sekunnin sen vetämiseen, tilastojen tarkistamiseen ja jatkamiseen. Jos löydän poikkeavuuden, voin alkaa tutkia sitä. Lue lisää LAPS -kojelaudasta. 

”Paikallisen järjestelmänvalvojan salasanaratkaisu (LAPS) hallinnoi verkkotunnukseen liitettyjen tietokoneiden paikallisten tilien salasanoja. Salasanat tallennetaan Active Directoryyn (AD) ja ne on suojattu ACL: llä, joten vain oikeutetut käyttäjät voivat lukea sen tai pyytää sen nollaamista." - Microsoft. Pohjimmiltaan se vähentää riskiä, että koneillasi on oletusarvoinen (ehkä takaovi) paikallinen järjestelmänvalvoja ja oletussalasana, koska jokainen kone käyttää eri monimutkaista salasanaa tilille. Ennen LAPS: tä useimmilla organisaatioilla oli yleinen paikallinen järjestelmänvalvoja ex: ORG_LocalAdmin, jolla oli sama salasana jokaisella koneella, esim. ORG_P@ssword. Ongelmana on, että jos kone vaarantuu, haittaohjelma / hakkeri voi siirtyä sivusuunnassa kaikkien koneidesi välillä keräämällä yhä enemmän tietoja tietoturvaloukkauksen syventämiseksi. Kun LAPS on toteutettu, poistat kyseisen kiinnitysvektorin, jos yksi kone vaarantuu, kyky siirtyä sivuttain toiseen koneeseen vähenee huomattavasti.

Oppaita on melko vähän, ja myös Microsoft -dokumentit ovat melko hyviä. En tehnyt laajaa hakua ennen tämän postauksen luomista, joten huomaa, että tämä saattaa olla tarpeetonta.

Tässä esittelyssä käsittelemme:

  • Ladataan LAPS
  • Luo lähdekansiot
  • Luo End Point Installer -sovellus
  • Ota LAPS -sovellus käyttöön päätepisteissä
  • Laajenna AD -mallia (verkkotunnuksen ohjaimesta)
  • Määritä LAPS -mainosryhmät ja -oikeudet
  • Asenna manuaalisesti LAPS -järjestelmänvalvoja
  • Tarkista käyttöoikeudet ja luku- / palautusoikeudet
  • Ryhmäkäytännön perusasetus
  • Testit, joilla varmistetaan, että käyttöoikeudet toimivat

Asioita, joita emme käsittele:

  • "Miksi" jokaisen askeleen takana. Suuri osa yksityiskohdista ja syistä, joiden vuoksi sinun on suoritettava nämä vaiheet, on jo dokumentoitu hyvin lataukseen sisältyvässä Microsoft ”LAPS_OperationGuide” -oppaassa, ja rehellisesti sanottuna käytän sitä luodessani tämän läpikäynnin, joten ehdotan, että katsot sen ennen kuin aloitat.
  • Jokainen käyttöönottoskenaario. Tämä on yleinen ja YKSINKERTAINEN laboratorio, vaikka suurin osa tästä on sama kaikille ympäristöille, jokainen ympäristö on erilainen, jokainen organisaatio on asetettu eri tavalla. LAPS: n käyttöönotto edellyttää todennäköisesti useiden tiimien osallistumista (AD / CM / Käyttöönotto / GPO)

Asioita, jotka kannattaa ottaa huomioon etukäteen:

  • Active Directory -rakenne (OU: t työasemien kanssa)
  • Kenellä on oikeus lukea LAPS -salasana
  • Kenellä on oikeudet NOLLAA LAPS -salasana

Asiakkaan käyttöönotto:

Lataa LAPS -asiakas ja -asiakirjat Microsoft:  https://www.microsoft.com/en-us/download/details.aspx?id=46899

Asiakkaan käyttöönotto LAPS
LAPS -asennusohjelma

Olen ladannut kaikki tiedostot "LAPS" -hakemistoon ja luonut sitten uuden kansion MSI -tiedostojen siirtämiseksi.

Luo uusi sovellus CM -konsolissa. Osoita se MSI: n x64 -versioon

Määritä tämän sovelluksen asetukset

Kun olet valinnut MSI voi Seuraava, se hakee sovelluksen tiedot MSI: stä

Sovellustiedot

Kun napsautat Seuraava, pääset Yleiset tiedot -kohtaan, lisäsin julkaisijaksi "Microsoft" ja muutin /q arvoon /qn

Napsauta tässä vaiheessa vain Seuraava ja jätä oletusasetukset, kunnes se on valmis, ja napsauta Sulje. Konsolissasi on nyt Local Administrator Password Solution -sovellus. Meidän on vain tehtävä pari säätöä. Napsauta sovelluksen ominaisuuksissa Käyttöönottotyypit -välilehteä, valitse Käyttöönotto ja napsauta Muokkaa, siirry kohtaan Vaatimukset ja lisää x64 ympäristösi Windows -versioille.

LAPS -ominaisuudet

Tässä vaiheessa meillä on sovellus, jonka avulla se voidaan ottaa käyttöön työasemilla. Koska olet lisännyt logiikan sovellukseen, voit ottaa sen käyttöön turvallisesti kaikilla työasemillasi. HUOMAUTUS: tämä tapahtuu, kun tunnet ympäristön, ja otat käyttöön asianmukaisen kokoelman. Ehkä sinulla on liiketoiminnallinen syy olla ottamatta sitä käyttöön kaikissa työasemissa. Käytä vain parhaita käytäntöjä käyttöönotossa (ylläpitoikkunat jne.). Loput tästä esimerkistä ovat vain yleisiä.

Täytä ohjelmisto- ja keräilykentät
Määritä asetukset, joilla voit hallita tämän ohjelmiston käyttöönottoa

Jätin Ajoitus -asetuksen oletusasetuksiin, käyttäjäkokemukseen, Hälytykset kaikkiin oletusarvoihin

Vahvista tämän uuden käyttöönoton asetukset

Infrastruktuurin asetukset:

Admin Client / LAPS Management Client

Joten nyt kun asiakas on otettu käyttöön, anna infrastruktuurin asennus. Ensin siirrytään asiakastestikoneisiin / tai tyypilliseen järjestelmänvalvojan työasemaan. Antaa LAPS -asiakkaan asentaa hallintatyökalujen kanssa. Kun olet käynnistänyt asennusohjelman (kaksoisnapsauta MSI: tä), napsauta ensimmäisiä parinäyttöjä päästäksesi "Mukautettu asennus" -kohtaan, kun tässä Ota kaikki asetukset käyttöön.

LAPS mukautettu asennus

Mene eteenpäin ja anna sen asentaa. Meidän on tartuttava joihinkin sen asentamiin kohteisiin ja kopioitava ne takaisin lähdepalvelimellemme, jotta niitä on helppo käyttää.

Siirry kohtaan C: \ Windows \ PolicyDefinitions, täältä saat AdmPwd.admx-tiedoston ja AdmPwd.adml-tiedoston en-US-alikansiosta. Kopioin ne lähdesijaintiini kansioon nimeltä GPO_ADMX.

Lähteen sijainti

Kopioi myös AdmPwd.PS -kansio PowerShell -moduuleista: C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ Modules

Kopioi kansio PowerShell -moduuleista

Tarvitset niitä myöhemmin.

Nämä vaiheet voit tehdä työasemaltasi (ja pitäisi), mutta varmistaakseni, että minulla on yhteys ja oikeudet, tein sen varsinaiselta verkkotunnuksen ohjaimeltani. Teet tämän tyypillisesti järjestelmänvalvojan koneelta, jolla on asianmukaiset kirjautumistiedot, koska DC: si pitäisi olla CORE eikä edes työpöytäkokemusta. Et yleensä koskaan halua kirjautua DC: hen. Mutta tämä on laboratorio, ja teen vain esittelyn.

Muokkaa AD -mallia

Kopioi toimialueen ohjaimessa lähteellesi lataamasi AdmPwd.PS -kansio DC -laitteen paikalliseen moduulivarastoon ja käynnistä sitten Admin PowerShell -konsoli. Tässä kuvassa näet Yritin tuoda-moduulia ennen kuin olin kopioinut tiedostot DC: hen, kopion jälkeen komento toimii oikein:

Muokkaa AD -mallia

Suorita komento: Update-AdmPwdADSchema:

Suorita komento

Omassa laboratoriossani näet, että se lisäsi onnistuneesti 2 määritettä ja muutti yhtä luokkaa.

Toivottavasti olet harkinnut muutamia asioita ennen tämän matkan aloittamista, kuten mitä työasemia sinulla on, jotta haluat soveltaa tätä ja kenelle haluat saada käyttöoikeudet? Laboratoriolleni se on melko helppoa, minulla on 1 Master OU -asetus WorkStationsille, ja kaikki muut työasemat kuuluvat kyseisen Master OU: n aliyksiköihin.

Kohdetyöasemat OU

Tässä vaiheessa on mukava tarkistaa ja nähdä, kenellä on oikeus tarkastella näitä tietoja AD: ssä. Kirjoita PowerShell -konsoliin "Find -AdmPwdExtendedrights -identity | Muoto-taulukko

Katso, kenellä on oikeus tarkastella tietoja AD: ssä

Kuten näette, oikeudet ovat melko puhtaita, olen ok niiden kanssa, joilla on oikeudet LAPS: hen.

Nyt AD: n avulla voit perustaa luku- ja nollausryhmän, joka antaa pääsyn LAPS: lle. Olen luonut kaksi ryhmää: LAPS vain luku ja LAPS Nollaa PWD:

Määritä luku- ja nollausryhmä

Nyt meidän on annettava koneille mahdollisuus päivittää oma salasanansa. Myönnämme pääsyn "SELF-sisäänrakennetulle tilille" kaikille Workstation OU: n koneille: Set-AdmPwdComputerSelfPermission -OrgUnit

Anna koneille mahdollisuus päivittää oma salasanansa

Seuraavaksi meidän on myönnettävä käyttäjille oikeudet etsiä kyseiset tiedot, tässä ryhmät tulevat sisään. Annamme LAPS -luku -oikeudet LAPS -salasanojen lukemiseen: Set -AdmPwdReadPasswordPermission -OrgUnit -Sallitut päämiehet

Annamme "LAPS Reset PWD" -oikeudet LAPS -salasanojen nollaamiseen: Set -AdmPwdReadPasswordPermission -OrgUnit -Sallitut päämiehet

Vahvistamme myös, että se teki jotain käyttämällä Find .. -komentoa:

Etsi komento

Nyt AD: ssä voit liittää ryhmät, jotka haluat LAPS -suojausryhmiesi käyttää:

Sijoita ryhmät LAPS -suojausryhmiin

Labillani minulla on Service Desk Tier 1 & 2 Only Read, ja Tier 3 voi nollata.

Ryhmäpolitiikka
Sinun on kopioitava lähdekansioosi kopioimasi ADMX- ja ADML -tiedostot ryhmäkäytäntökeskukseen, joka sijaitsee täällä: \\ FQDN \ SYSVOL \ FQDN \ policy

Ryhmäpolitiikka

Nyt voit käynnistää ryhmäkäytännön ja luoda LAPS -käytännön. Tätä demoa varten aion luoda uuden yksinkertaisen käytännön, mutta voit aina lisätä sen jo olemassa olevaan käytäntöön. Uusi GPO on asetettu oletusarvoihin, paitsi että poistan käytöstä käyttäjäkäytännöt, koska tämä kaikki on konepohjaista, ei ole mitään järkeä antaa sen etsiä käyttäjäkäytäntöjä:

Käynnistä ryhmäkäytäntö ja luo LAPS -käytäntö

Olen määrittänyt perusasetukset, jotta tämä toimisi laboratorioni kanssa. Laboratoriossani minulla on tietokoneessa paikallinen järjestelmänvalvojatili käytöstä poistetun oletusasetuksen lisäksi, jonka nimi on “MyLocalAdmin”, jota haluan hallinnoida LAPS:

Esimerkki paikallisesta järjestelmänvalvojan tilistä

OK, siinä kaikki, olet määrittänyt kaiken. Nyt on aika vahvistaa, että saat haluamasi tulokset

Käyttöoikeustestit

  • Vakiokäyttäjät (ei pitäisi olla oikeuksia)
  • Service Desk Tier 1 (pitäisi olla lukuoikeus)
  • Service Desk Tier 3 (pitäisi olla luku- / nollausoikeus)

Testi 1: Tavallinen käyttäjä:

Testi 1: Tavallinen käyttäjä

Testi 2: Tier 1 -palvelupiste:

Testi 2: Tier 1 -palvelupiste

Testi 3: Tason 3 palvelupiste:

Testi 3: Tier 3 -palvelupiste

Opimme tästä testistä, nollausoikeudet eivät sisällä lukemista. Joten jos sinulla ei ole tarvetta ryhmälle, joka voi nollata tämän salasanan eikä lukea sitä, sijoittaisin LAPS Reset PWD -ryhmän LAPS vain luku -ryhmään

LAPS vain luku -ryhmä

Testaa uudelleen:

LAPS Vain luku -ryhmätesti

Nyt meillä on halutut tulokset, tason 3 tuki voi sekä lukea että nollata LAPS -salasanan.

Toivottavasti pidit tätä LAPS -yleiskatsausta hyödyllisenä ja toivottavasti annoit lisätietoja, joita ei löydy muista. Suurin syy miksi kirjoitan tämän, on Osa 2, määrittämällä Recast -hallintapalvelimen käyttäjä / ryhmät katsomaan LAPS -yhteensopivuuden hallintapaneelia CM -konsolissa.

-By Gary Blok

Katso, miten Right Click Tools muuttaa järjestelmien hallintatapaa.

Paranna tuottavuutta välittömästi rajoitetulla, ilmaisella Community Editionilla.

Aloita Right Click Tools: n käyttö tänään:

Jaa tämä:

fiFinnish