Panoramica di Microsoft LAPS (soluzione password amministratore locale)

*Dopo aver scaricato e distribuito LAPS, il team di Recast Software ha creato un'elegante dashboard per monitorare la "salute" del tuo LAPS, offrendo visibilità alle necessità di sicurezza trascurate. Questo è incluso nel Versione aziendale del Right Click Tools.

Il motivo per cui mi piace il dashboard LAPS è perché sono già nella CM Console ogni giorno, quindi per avere un dashboard per LAPS, per tenerlo visibile e in primo piano, lo trovo molto utile. Ci vogliono solo pochi secondi per tirarlo su, controllare le mie statistiche e andare avanti. Se trovo un'anomalia, posso iniziare a cercarla. Scopri di più sul dashboard LAPS. 

“La soluzione per la password dell'amministratore locale (LAPS) fornisce la gestione delle password degli account locali dei computer aggiunti al dominio. Le password sono archiviate in Active Directory (AD) e protette da ACL, quindi solo gli utenti idonei possono leggerle o richiederne il ripristino.” – Microsoft. Fondamentalmente, riduce il rischio di avere un amministratore locale predefinito (forse backdoor) e una password predefinita sulle tue macchine facendo in modo che ogni macchina utilizzi una password complessa diversa per l'account. Prima di LAPS, la maggior parte delle organizzazioni aveva un amministratore locale generico, ad esempio ORG_LocalAdmin, con la stessa password su ogni macchina, ad esempio ORG_P@ssword. Il problema è che se una macchina è stata compromessa, il malware/hacker potrebbe spostarsi lateralmente tra tutte le tue macchine raccogliendo sempre più dati per approfondire la violazione della sicurezza. Con LAPS implementato, si rimuove quel vettore di collegamento, se una macchina è compromessa, la capacità di spostarsi lateralmente su un'altra macchina è notevolmente ridotta.

Ci sono parecchie guide là fuori e anche i documenti Microsoft sono abbastanza buoni. Non ho fatto ricerche approfondite prima di creare questo post, quindi tieni presente che potrebbe essere ridondante.

In questa guida tratteremo:

  • Download di LAPS
  • Crea cartelle di origine
  • Crea un'applicazione di installazione dell'endpoint
  • Distribuire l'applicazione LAPS agli endpoint
  • Estendere lo schema AD (dal controller di dominio)
  • Imposta gruppi e permessi AD LAPS
  • Installa manualmente il client di amministrazione LAPS
  • Verifica i permessi e leggi/reimposta l'accesso
  • Abilitazione di base dei criteri di gruppo
  • Test per confermare che le autorizzazioni funzionano

Cose che non tratteremo:

  • Il “perché” dietro ogni passo. Gran parte dei dettagli e dei motivi per cui devi eseguire questi passaggi sono già ben documentati nella "LAPS_OperationGuide" Microsoft che fa parte del download e, onestamente, è quello che sto usando mentre creo questa guida, quindi suggerisco lo guardi prima ancora di iniziare.
  • Ogni scenario di distribuzione. Questo è un laboratorio generico e SEMPLICE, sebbene gran parte di questo sia lo stesso per qualsiasi ambiente, ogni ambiente è diverso, ogni organizzazione è configurata in modo diverso. La configurazione di LAPS richiederà probabilmente il coinvolgimento di più team (AD/CM/Distribuzioni/GPO)

Cose da considerare in anticipo:

  • Struttura di Active Directory (unità organizzative con workstation)
  • Chi avrà i diritti di LEGGERE la password LAPS
  • Chi avrà i diritti di RESET della password LAPS

Distribuzione del cliente:

Scarica LAPS Client e documenti da Microsoft:  https://www.microsoft.com/en-us/download/details.aspx?id=46899

Distribuzione client LAPS
LAPS Installatore

Ho scaricato tutti i file in una directory "LAPS", quindi ho creato una nuova cartella in cui spostare i file MSI.

In CM Console, crea una nuova applicazione. Puntalo alla versione x64 di MSI

Specifica le impostazioni per questa applicazione

Una volta scelto l'MSI can Next, estrarrà le informazioni per l'applicazione dall'MSI

Informazioni sull'applicazione

Quando fai clic su Avanti, arriverai a Informazioni generali, ho aggiunto "Microsoft" come editore e ho modificato /q in /qn

A questo punto, basta cliccare su Avanti, lasciando le impostazioni predefinite fino al completamento e fare clic su Chiudi. Ora avrai l'applicazione Local Administrator Password Solution nella tua console. Abbiamo solo bisogno di fare un paio di modifiche. Nelle proprietà dell'applicazione, fai clic sulla scheda Tipi di distribuzione, scegli la distribuzione e fai clic su Modifica, vai in Requisiti e aggiungi x64 per le versioni di Windows nel tuo ambiente.

Proprietà LAPS

A questo punto, abbiamo l'App, facciamola distribuire sulle workstation. Poiché hai aggiunto la logica nell'app, puoi distribuirla in sicurezza su tutte le tue workstation. NOTA, questo è quando si conosce il proprio ambiente, si distribuisce alla raccolta appropriata. Forse hai un motivo aziendale per non distribuirlo su tutte le workstation. Basta utilizzare le migliori pratiche per le distribuzioni (finestre di manutenzione e così via). Il resto di questo esempio è solo generico.

Compila i campi del software e della raccolta
Specificare le impostazioni per controllare come viene distribuito questo software

Ho lasciato Pianificazione impostata sui valori predefiniti, Esperienza utente, Avvisi tutti i valori predefiniti

Conferma le impostazioni per questa nuova distribuzione

Configurazione dell'infrastruttura:

Client di amministrazione / Client di gestione LAPS

Quindi, ora che il client viene distribuito, passiamo alla configurazione dell'infrastruttura. Per prima cosa passeremo a una macchina di test client/o alla tipica workstation di amministrazione. Consente di installare il client LAPS insieme agli strumenti di gestione. Una volta avviato il programma di installazione (fai doppio clic su MSI), fai clic sulle prime due schermate per accedere alla "Installazione personalizzata", una volta qui Abilita tutte le opzioni.

Configurazione personalizzata LAPS

Vai avanti e lascia che si installi. Avremo bisogno di prendere alcuni degli elementi installati e li copieremo di nuovo sul nostro server di origine per un facile accesso.

Vai a C:\Windows\PolicyDefinitions, qui prenderai il file AdmPwd.admx e il file AdmPwd.adml dalla sottocartella en-US. Ho creato una cartella chiamata GPO_ADMX nella mia posizione di origine per copiarli.

Luogo di origine

Inoltre, copia la cartella AdmPwd.PS dai moduli PowerShell: C:\Windows\System32\WindowsPowerShell\v1.0\Modules

Copia cartella dai moduli PowerShell

Ti serviranno più tardi.

Ora, questi passaggi puoi eseguire dalla tua workstation (e dovresti), ma per assicurarmi di avere connessione e diritti, l'ho fatto dal mio vero controller di dominio. In genere lo faresti da una macchina di amministrazione con credenziali adeguate, poiché i tuoi controller di dominio dovrebbero essere CORE e non avere nemmeno un'esperienza desktop. In genere non si desidera mai accedere effettivamente a un controller di dominio. Ma questo è il laboratorio e sto solo facendo una demo.

Modifica lo schema AD

Nel controller di dominio, copia la cartella AdmPwd.PS che hai caricato nell'origine nel repository del modulo locale sul controller di dominio, quindi avvia Admin PowerShell Console. In questa immagine, puoi vedere che ho provato a Import-Module prima di aver copiato i file sul DC, dopo la copia, il comando viene eseguito correttamente:

Modifica lo schema AD

Eseguire il comando: Update-AdmPwdADSchema:

Esegui il comando

Nel mio laboratorio, puoi vedere che ha aggiunto con successo 2 attributi e modificato una classe.

Si spera che tu abbia considerato alcune cose prima di iniziare questo Journey, ad esempio in quale unità organizzativa si trovano le workstation a cui vuoi applicare questo e chi vuoi avere i permessi? Per il mio laboratorio, è abbastanza semplice, ho una configurazione di 1 unità organizzativa principale per WorkStation e tutte le altre workstation rientrano nelle unità organizzative secondarie di quella unità organizzativa principale.

Postazioni di lavoro di destinazione UO

A questo punto, è bello controllare e vedere chi ha i diritti per visualizzare quelle informazioni in AD. Nella tua console PowerShell, digita "Find-AdmPwdExtendedrights -identity | Format-Table

Scopri chi ha i diritti per visualizzare le informazioni in AD

Come puoi vedere, i diritti sono abbastanza puliti, sono d'accordo con quelle persone che hanno diritti su LAPS.

Ora, in AD, consente di impostare un gruppo di lettura e ripristino, per concedere l'accesso a LAPS. Ho creato due gruppi: LAPS Read Only e LAPS Reset PWD:

Imposta un gruppo di lettura e ripristino

Ora dobbiamo concedere alle macchine la possibilità di aggiornare la propria password, garantiamo l'accesso all'"account integrato SELF" per tutte le macchine nell'unità organizzativa della workstation: Set-AdmPwdComputerSelfPermission -OrgUnit

Concedi alle macchine la possibilità di aggiornare la propria password

Successivamente dobbiamo concedere agli utenti i diritti per cercare tali informazioni, è qui che entrano in gioco quei gruppi. Daremo i diritti "LAPS Read Only" per leggere le password LAPS: Set-AdmPwdReadPasswordPermission -OrgUnit -Principi ammessi

Daremo i diritti "LAPS Reset PWD" per ripristinare le password LAPS: Set-AdmPwdReadPasswordPermission -OrgUnit -Principi ammessi

Confermeremo anche che ha fatto qualcosa usando il comando Trova ..:

Trova comando

Ora, in AD, puoi nidificare i gruppi che desideri nei tuoi gruppi di sicurezza LAPS per avere accesso:

Nidifica i gruppi nei tuoi gruppi di sicurezza LAPS

Per il mio laboratorio, ho Service Desk di livello 1 e 2 di sola lettura e il livello 3 può essere reimpostato.

Politica di gruppo
Dovrai copiare i file ADMX e ADML che hai copiato nella cartella di origine nell'archivio centrale dei criteri di gruppo, che si trova qui: \\FQDN\SYSVOL\FQDN\policies

Politica di gruppo

Ora puoi avviare Criteri di gruppo e creare il tuo criterio LAPS. Per questa demo, creerò una nuova politica semplice, ma puoi sempre aggiungerla a una che hai già. Il nuovo oggetto Criteri di gruppo è impostato sui valori predefiniti, tranne per la disattivazione dei criteri utente, poiché tutto questo sarà basato sulla macchina, non ha senso cercare i criteri utente:

Avvia Criteri di gruppo e crea il tuo criterio LAPS

Ho configurato le impostazioni di base per farlo funzionare con il mio laboratorio. Nel mio laboratorio, ho un account amministratore locale sul computer oltre all'impostazione predefinita disabilitata, che si chiama "MyLocalAdmin", che è l'account che voglio che LAPS gestisca:

Esempio di account amministratore locale

OK, è tutto, hai tutto impostato. Ora è il momento di confermare che hai ottenuto i risultati che volevi

Test di autorizzazione

  • Utenti finali standard (non dovrebbero avere diritti)
  • Service Desk Livello 1 (dovrebbe avere accesso in lettura)
  • Service Desk Tier 3 (dovrebbe avere accesso in lettura/reimpostazione)

Prova 1: Utente Standard:

Test 1: utente standard

Test 2: Service Desk di livello 1:

Test 2: Service Desk di livello 1

Test 3: Service Desk di livello 3:

Test 3: Service Desk di livello 3

Apprendiamo da questo test, Reset Permissions non include Read. Quindi, a meno che tu non abbia bisogno di un gruppo per poter reimpostare questa password e non leggerla, nidicherei il gruppo LAPS Reset PWD all'interno del gruppo di sola lettura LAPS

LAPS Gruppo di sola lettura

Prova di nuovo:

LAPS Test di gruppo di sola lettura

Ora abbiamo i risultati desiderati, il supporto di livello 3 può sia leggere che reimpostare la password LAPS.

Spero che tu abbia trovato utile questa panoramica di LAPS e che abbia fornito ulteriori informazioni non presenti in altre. Il motivo principale per cui scrivo questo è per Parte 2, configurando Recast Management Server User/Groups per visualizzare LAPS Compliance Dashboard in CM Console.

-Di Gary Blok

Scopri come Right Click Tools sta cambiando il modo in cui vengono gestiti i sistemi.

Aumenta immediatamente la produttività con la nostra Community Edition limitata e gratuita.

Inizia oggi con Right Click Tools:

Condividi questo:

it_ITItalian