Présentation de Microsoft LAPS (solution de mot de passe d'administrateur local)

*Après avoir téléchargé et déployé LAPS, l'équipe de Recast Software a créé un tableau de bord astucieux pour vous permettre de surveiller votre « santé » LAPS, ce qui apporte une visibilité sur les besoins de sécurité négligés. Ceci est inclus dans le Version entreprise du Right Click Tools.

La raison pour laquelle j'aime le tableau de bord LAPS, c'est parce que je suis déjà dans la console CM tous les jours, donc avoir un tableau de bord pour LAPS, le garder visible et à l'esprit, je trouve cela très utile. Cela ne prend que quelques secondes pour le sortir, vérifier mes statistiques et passer à autre chose. Si je trouve une anomalie, je peux commencer à l'examiner. En savoir plus sur le tableau de bord LAPS. 

« La solution de mot de passe de l'administrateur local (LAPS) permet de gérer les mots de passe des comptes locaux des ordinateurs joints au domaine. Les mots de passe sont stockés dans Active Directory (AD) et protégés par ACL, de sorte que seuls les utilisateurs éligibles peuvent le lire ou demander sa réinitialisation.” – Microsoft. Fondamentalement, cela réduit le risque d'avoir un administrateur local par défaut (porte dérobée peut-être) et un mot de passe par défaut sur vos machines en faisant en sorte que chaque machine utilise un mot de passe complexe différent pour le compte. Avant LAPS, la plupart des organisations avaient un administrateur local générique ex : ORG_LocalAdmin, avec le même mot de passe sur chaque machine ex : ORG_P@ssword. Le problème, c'est que si une machine était compromise, le logiciel malveillant / pirate informatique pourrait se déplacer latéralement parmi toutes vos machines, rassemblant de plus en plus de données pour approfondir la violation de la sécurité. Avec LAPS implémenté, vous supprimez ce vecteur d'attachement, si une machine est compromise, la capacité de se déplacer latéralement vers une autre machine est considérablement réduite.

Il existe de nombreux guides et les documents Microsoft sont également très bons. Je n'ai pas fait de recherches approfondies avant de créer ce message, alors notez que cela peut être redondant.

Dans cette présentation, nous couvrirons :

  • Téléchargement LAPS
  • Créer des dossiers sources
  • Créer une application d'installation de point de terminaison
  • Déployer l'application LAPS sur les points de terminaison
  • Étendre le schéma AD (à partir du contrôleur de domaine)
  • Configurer les groupes et les autorisations AD LAPS
  • Installer manuellement le client administrateur LAPS
  • Vérifier les autorisations et lire/réinitialiser l'accès
  • Activation de base de la stratégie de groupe
  • Tests pour confirmer que les autorisations fonctionnent

Choses que nous ne couvrons pas :

  • Le « Pourquoi » derrière chaque étape. Une grande partie des détails et des raisons pour lesquelles vous devez effectuer ces étapes sont déjà bien documentées dans le Microsoft « LAPS_OperationGuide » qui fait partie du téléchargement, et très honnêtement, c'est ce que j'utilise lorsque je crée cette visite guidée, donc je suggère vous examinez cela avant même de commencer.
  • Chaque scénario de déploiement. Il s'agit d'un laboratoire générique et SIMPLE, bien que cela soit en grande partie le même pour n'importe quel environnement, chaque environnement est différent, chaque organisation est configurée différemment. La configuration LAPS nécessitera probablement l'implication de plusieurs équipes (AD / CM / Déploiements / GPO)

Éléments à considérer au préalable :

  • Structure Active Directory (UO avec postes de travail)
  • Qui aura le droit de LIRE le mot de passe LAPS
  • Qui aura le droit de réinitialiser le mot de passe LAPS

Déploiement client :

Téléchargez le client et les documents LAPS depuis Microsoft :  https://www.microsoft.com/en-us/download/details.aspx?id=46899

Déploiement client LAPS
Installateur LAPS

J'ai téléchargé tous les fichiers dans un répertoire "LAPS", puis créé un nouveau dossier dans lequel déplacer les fichiers MSI.

Dans la console CM, créez une nouvelle application. Pointez-le vers la version x64 du MSI

Spécifier les paramètres de cette application

Une fois que vous avez choisi le MSI can Next, il extraira les informations de l'application du MSI

Informations sur l'application

Lorsque vous cliquez sur Suivant, vous arriverez aux Informations générales, j'ai ajouté "Microsoft" en tant qu'éditeur et j'ai changé /q en /qn

À ce stade, cliquez simplement sur Suivant, en laissant les valeurs par défaut jusqu'à ce qu'il se termine et vous cliquez sur Fermer. Vous aurez maintenant l'application Local Administrator Password Solution dans votre console. Nous avons juste besoin de faire quelques ajustements. Dans les propriétés de l'application, cliquez sur l'onglet Types de déploiement, choisissez le déploiement et cliquez sur Modifier, allez dans Exigences et ajoutez le x64 pour les versions de Windows dans votre environnement.

Propriétés LAPS

À ce stade, nous avons l'application, déployons-la sur les postes de travail. Puisque vous avez ajouté la logique dans l'application, vous pouvez la déployer en toute sécurité sur tous vos postes de travail. REMARQUE, c'est lorsque vous connaissez votre environnement que vous déployez dans la collection appropriée. Peut-être avez-vous une raison professionnelle de ne pas le déployer sur tous les postes de travail. Utilisez simplement les meilleures pratiques pour les déploiements (fenêtres de maintenance, etc.). Le reste de cet exemple est juste générique.

Remplir les champs du logiciel et de la collection
Spécifiez les paramètres pour contrôler la façon dont ce logiciel est déployé

J'ai laissé la planification par défaut, l'expérience utilisateur, les alertes toutes les valeurs par défaut

Confirmez les paramètres de ce nouveau déploiement

Configuration de l'infrastructure :

Client d'administration / Client de gestion LAPS

Alors maintenant que le client est en cours de déploiement, passons à la configuration de l'infrastructure. Nous allons d'abord passer à des machines de test clientes / ou à votre poste de travail administrateur typique. Permet d'installer le client LAPS avec les outils de gestion. Une fois que vous avez lancé le programme d'installation (double-cliquez sur le MSI), cliquez sur les deux premiers écrans pour accéder à la « Configuration personnalisée », une fois ici Activez toutes les options.

Configuration personnalisée LAPS

Allez-y et laissez-le s'installer. Nous devrons récupérer certains des éléments qu'il a installés et nous les recopierons sur notre serveur source pour un accès facile.

Accédez à C:\Windows\PolicyDefinitions, vous récupérerez ici le fichier AdmPwd.admx et le fichier AdmPwd.adml du sous-dossier en-US. J'ai créé un dossier appelé GPO_ADMX dans mon emplacement source pour les copier.

Emplacement de la source

Copiez également le dossier AdmPwd.PS à partir des modules PowerShell : C:\Windows\System32\WindowsPowerShell\v1.0\Modules

Copier le dossier des modules PowerShell

Vous en aurez besoin plus tard.

Maintenant, ces étapes que vous pouvez effectuer à partir de votre poste de travail (et devraient), mais pour m'assurer que j'avais la connexion et les droits, je l'ai fait à partir de mon contrôleur de domaine actuel. Vous le feriez généralement à partir d'une machine d'administration avec les informations d'identification appropriées, car vos contrôleurs de domaine devraient être CORE et ne même pas avoir d'expérience de bureau. Vous ne voulez généralement jamais vous connecter à un DC. Mais c'est un labo, et je fais juste une démo.

Modifier le schéma AD

Sur le contrôleur de domaine, copiez le dossier AdmPwd.PS que vous avez chargé dans votre source dans le référentiel de modules local sur votre contrôleur de domaine, puis lancez la console Admin PowerShell. Dans cette image, vous pouvez voir que j'ai essayé d'Import-Module avant d'avoir copié les fichiers sur le DC, après la copie, la commande s'exécute correctement :

Modifier le schéma AD

Exécutez la commande : Update-AdmPwdADSchema :

Exécutez la commande

Dans mon laboratoire, vous pouvez voir qu'il a ajouté avec succès 2 attributs et modifié une classe.

J'espère que vous avez pris en compte quelques éléments avant de commencer ce voyage, par exemple dans quelle unité d'organisation se trouvent les postes de travail auxquels vous souhaitez appliquer cela et à qui souhaitez-vous avoir des autorisations ? Pour mon laboratoire, c'est assez facile, j'ai 1 configuration d'unité d'organisation principale pour les stations de travail et tous les autres postes de travail appartiennent aux sous-unités d'organisation de cette unité d'organisation principale.

UO Postes de travail cibles

À ce stade, il est agréable de vérifier et de voir qui a le droit d'afficher ces informations dans AD. Dans votre console PowerShell, tapez « Find-AdmPwdExtendedrights -identity | Format-Table

Voir qui a le droit de voir les informations dans AD

Comme vous pouvez le voir, les droits sont assez propres, je suis d'accord avec ces personnes ayant des droits sur LAPS.

Maintenant, dans AD, configurons un groupe de lecture et de réinitialisation, pour accorder l'accès à LAPS. J'ai créé deux groupes : LAPS Read Only & LAPS Reset PWD :

Configurer un groupe de lecture et de réinitialisation

Maintenant, nous devons accorder aux machines la possibilité de mettre à jour leur propre mot de passe, nous accordons l'accès au «compte intégré SELF» pour toutes les machines de l'unité d'organisation du poste de travail : Set-AdmPwdComputerSelfPermission -OrgUnit

Accorder aux machines la possibilité de mettre à jour leur propre mot de passe

Ensuite, nous devons accorder aux utilisateurs les droits de rechercher ces informations, c'est là que ces groupes entrent en jeu. Nous allons donner les droits « LAPS en lecture seule » pour lire les mots de passe LAPS : Set-AdmPwdReadPasswordPermission -OrgUnit -Principaux autorisés

Nous allons donner les droits « LAPS Reset PWD » pour réinitialiser les mots de passe LAPS : Set-AdmPwdReadPasswordPermission -OrgUnit -Principaux autorisés

Nous allons également confirmer qu'il a fait quelque chose en utilisant la commande Find.. :

Rechercher la commande

Désormais, dans AD, vous pouvez imbriquer les groupes que vous souhaitez dans vos groupes de sécurité LAPS pour avoir accès :

Imbriquer les groupes dans vos groupes de sécurité LAPS

Pour mon laboratoire, j'ai le Service Desk Tier 1 et 2 en lecture seule, et le Tier 3 peut réinitialiser.

Stratégie de groupe
Vous devrez copier les fichiers ADMX et ADML que vous avez copiés dans votre dossier source dans votre magasin central de stratégie de groupe, qui peut être situé ici : \\FQDN\SYSVOL\FQDN\policies

Stratégie de groupe

Vous pouvez maintenant lancer la stratégie de groupe et créer votre stratégie LAPS. Pour cette démo, je vais créer une nouvelle politique simple, mais vous pouvez toujours l'ajouter à celle que vous avez déjà. Le nouveau GPO est défini sur les valeurs par défaut, sauf que je désactive les politiques utilisateur, car tout sera basé sur la machine, inutile de lui demander de rechercher des politiques utilisateur :

Lancez la stratégie de groupe et créez votre stratégie LAPS

J'ai configuré les paramètres de base pour que cela fonctionne avec mon laboratoire. Dans mon laboratoire, j'ai un compte d'administrateur local sur l'ordinateur en plus de la valeur par défaut désactivée, qui s'appelle "MyLocalAdmin", qui est le compte que je veux que LAPS gère :

Exemple de compte d'administrateur local

OK, c'est tout, vous avez tout configuré. Il est maintenant temps de confirmer que vous obtenez les résultats que vous vouliez

Tests d'autorisation

  • Utilisateurs finaux standard (ne devraient avoir aucun droit)
  • Service Desk Niveau 1 (devrait avoir un accès en lecture)
  • Service Desk Tier 3 (devrait avoir un accès en lecture / réinitialisation)

Test 1 : Utilisateur standard :

Test 1 : Utilisateur standard

Test 2 : Centre de services de niveau 1 :

Test 2 : Centre de services de niveau 1

Test 3 : Centre de services de niveau 3 :

Test 3 : Centre de services de niveau 3

Nous apprenons de ce test, les autorisations de réinitialisation n'incluent pas la lecture. Donc, à moins que vous n'ayez besoin d'un groupe pour pouvoir réinitialiser ce mot de passe et ne pas le lire, j'imbriquerais le groupe LAPS Reset PWD à l'intérieur du groupe LAPS en lecture seule

LAPS Groupe en lecture seule

Testez à nouveau:

LAPS Test de groupe en lecture seule

Maintenant que nous avons les résultats souhaités, le support de niveau 3 peut à la fois lire et réinitialiser le mot de passe LAPS.

J'espère que vous avez trouvé cet aperçu du LAPS utile et que vous avez, espérons-le, fourni des informations supplémentaires que vous ne trouverez pas dans les autres. La principale raison pour laquelle j'écris ceci, c'est pour Partie 2, en configurant les utilisateurs/groupes du serveur de gestion Recast pour afficher le tableau de bord de conformité LAPS dans la console CM.

-Par Gary Blok

Découvrez comment Right Click Tools change la façon dont les systèmes sont gérés.

Augmentez immédiatement votre productivité grâce à notre version Community Edition limitée et gratuite.

Commencez dès aujourd'hui avec Right Click Tools :

Partagez ceci :

fr_FRFrench