Solução de senha do administrador local (LAPS)

* Depois de fazer o download e implantar o LAPS, a equipe da Recast Software criou um painel bacana para você monitorar sua “saúde” LAPS - trazendo visibilidade às necessidades de segurança esquecidas. Isso está incluído no Versão empresarial do Right Click Tools.

Eu gosto muito do painel LAPS porque, como já estou no console ConfigMgr todos os dias, ele mantém o LAPS visível e na frente das mentes de nossa equipe. Acho isso muito útil. Leva apenas alguns segundos para puxá-lo, verificar minhas estatísticas e seguir em frente. Se eu encontrar uma anomalia, posso começar a investigar. Saiba mais sobre o painel LAPS.

Visão geral de Microsoft LAPS

“A solução de senha de administrador local (LAPS) fornece gerenciamento de senhas de contas locais de computadores associados ao domínio. As senhas são armazenadas no Active Directory (AD) e protegidas pelo ACL, portanto, apenas usuários qualificados podem lê-las ou solicitar sua redefinição.”- Microsoft

Basicamente, o LAPS reduz o risco de ter um administrador local padrão (talvez backdoor) e uma senha padrão em suas máquinas, fazendo com que cada máquina use uma senha complexa diferente para a conta. Antes do LAPS, a maioria das organizações tinha um administrador local genérico, por exemplo, ORG_LocalAdmin, com a mesma senha em cada máquina, por exemplo, ORG_P@ssword. O problema é que, se uma máquina for comprometida, o malware/hacker pode se mover lateralmente entre todas as suas máquinas, coletando cada vez mais dados para aprofundar a violação de segurança. Com o LAPS implementado, você remove esse vetor de ataque, portanto, se uma máquina for comprometida, a capacidade de se mover lateralmente para outra máquina será bastante reduzida.

Existem alguns guias por aí, e os documentos Microsoft também são muito bons. Não fiz uma pesquisa extensa antes de criar este post, então observe que algumas dessas informações podem ser redundantes do que você encontraria online.

O que está coberto

Neste passo a passo, abordarei como:

  • Baixar LAPS
  • Criar pastas de código-fonte
  • Criar aplicativo de instalação de endpoint
  • Implantar aplicativo LAPS para pontos finais
  • Instalar manualmente LAPS Admin Client
  • Configuração de infraestrutura
    • Extend AD Schema (from Domain Controller)
  • Configurar grupos e permissões LAPS AD
  • Verificar permissões e ler / redefinir acesso
  • Política de Habilitação Básica de Grupo
  • Execute testes para confirmar se as permissões estão funcionando.

O que não está coberto na minha visão geral de Microsoft LAPS

  • Os "por que" por trás de cada etapa. Muitos dos detalhes e motivos pelos quais você deve executar essas etapas já estão bem documentados no Microsoft “LAPS_OperationGuide” que faz parte do download e, para ser sincero, é o que estou usando ao criar este passo a passo, então sugiro que você examine isso antes mesmo de começar.
  • Cada cenário de implantação. Este é um laboratório genérico e SIMPLES. Embora muito disso seja igual para qualquer ambiente, cada ambiente é diferente e cada organização é configurada de maneira diferente. A configuração do LAPS provavelmente exigirá o envolvimento de várias equipes (AD / CM / Implementações / GPO).

O que considerar

Coisas a considerar de antemão:

  • Estrutura do Active Directory (UOs com estações de trabalho).
  • Quem terá o direito de LER a senha LAPS?
  • Quem terá o direito de REINICIAR a senha LAPS?

‍ Baixe LAPS

Implementação do cliente:

Baixe o cliente LAPS e os documentos do Microsoft:  https://www.microsoft.com/en-us/download/details.aspx?id=46899.

Implementação de cliente LAPS

Pastas de Origem

Eu baixei todos os arquivos em um diretório “LAPS”. Em seguida, criei uma nova pasta para mover os arquivos MSI.

Instalador LAPS

Aplicativo do instalador do ponto final

No console ConfigMgr, vou criar um novo aplicativo. Aponte para a versão x64 do MSI.

Especifique as configurações para este aplicativo

Depois de escolher o MSI, clique no Aberto botão e então você pode clicar no Próximo. As informações necessárias para o aplicativo serão obtidas do MSI.

Informação do aplicativo

Depois de clicar no Próximo botão, você virá para Informações gerais. Eu adicionei “Microsoft” como editor e alterei / q para / qn.

Neste ponto, basta clicar no Próximo botão. Eu recomendo deixar os padrões até que o download seja concluído e então você pode clicar Perto.

O aplicativo Local Administrator Password Solution agora está em seu console. Apenas alguns ajustes são necessários. No Propriedades do aplicativo, clique no Tipos de implantação aba. Escolha o Desdobramento, desenvolvimento e clique Editar. Entrar Requisitos e adicione o x64 para versões do Windows em seu ambiente.

Implantando o aplicativo LAPS

Propriedades LAPS

Neste ponto, temos o aplicativo, então vamos implantá-lo nas estações de trabalho. Como você já adicionou a lógica ao aplicativo, pode implantá-la com segurança em suas estações de trabalho.

NOTA: É aqui que conhecer o seu ambiente é crucial, portanto, certifique-se de implantar o aplicativo na coleção apropriada. Talvez você tenha um motivo comercial para não implantá-lo em todas as estações de trabalho. Basta usar as práticas recomendadas para implantações (janelas de manutenção, etc.).

O restante deste exemplo será genérico.

Preencher os campos de software e coleção
Especifique as configurações para controlar como este software é implantado

Eu deixei as configurações para Agendamento, Experiência de usuário e com a Alertas tudo definido com os padrões (veja a imagem abaixo).

Confirme as configurações para esta nova implantação

Configuração de infraestrutura

Cliente Admin / Cliente de Gerenciamento LAPS

Agora que o cliente está implantado, vamos fazer a configuração da infraestrutura. Primeiro, você deve alternar para uma máquina de teste cliente, ou sua estação de trabalho administrativa típica. Vou instalar o cliente LAPS junto com as ferramentas de gerenciamento. Depois de iniciar o instalador (clique duas vezes no MSI), clique nas primeiras telas para chegar ao Configuração personalizada tela. Uma vez aqui, habilite todas as opções.

Configuração personalizada LAPS

Em seguida, vá em frente e instale-o. Você precisará pegar alguns dos itens instalados e copiá-los de volta para o servidor de origem para fácil acesso.

Vá para C: \ Windows \ PolicyDefinitions. Aqui, você obterá o arquivo AdmPwd.admx e o arquivo AdmPwd.adml da subpasta en-US. Eu criei uma pasta chamada GPO_ADMX em meu local de origem para copiá-los (consulte, “Novo…,” na captura de tela abaixo).

Localização da fonte

Além disso, copie a pasta AdmPwd.PS dos módulos do PowerShell: C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ Modules

Você precisará de todos esses arquivos mais tarde.

Copiar pasta dos Módulos do PowerShell

Extend AD Schema (from Domain Controller)

Agora, as etapas a seguir você pode (e deve) executar em sua estação de trabalho, mas para ter certeza de que eu tinha uma conexão e direitos, fiz a partir do meu controlador de domínio (DC) real. Você normalmente faria isso de uma máquina de administrador com credenciais adequadas. Seu DC deve estar executando o Windows Server CORE e não deve nem mesmo ter uma experiência de desktop. Normalmente, você nunca deseja realmente fazer logon em um DC. Mas este é um laboratório e estou apenas fazendo uma demonstração.

Modificar o esquema AD

No controlador de domínio (DC), copie a pasta AdmPwd.PS que você carregou para sua origem no repositório do módulo local em seu DC. Em seguida, inicie o console do administrador do PowerShell. Na imagem abaixo, você pode ver como tentei Import-Module antes de copiar os arquivos para o DC. Após a cópia, o comando é executado corretamente.
Import-Module AdmPwd.PS

Modificar o esquema AD

Em seguida, execute o comando: Update-AdmPwdADSchema

Execute o comando

Em meu laboratório, você pode ver que ele adicionou dois atributos e modificou uma classe com sucesso.

Grupos e permissões LAPS AD

Esperançosamente, você considerou algumas coisas antes de iniciar esta jornada, como em qual UO estão as estações de trabalho à qual deseja aplicar a política de grupo LAPS e a quem deseja ter permissões. No meu laboratório, é muito fácil. Eu tenho uma configuração de “UO mestre” para estações de trabalho e todas as outras estações de trabalho se enquadram em sub-UOs dessa UO mestre.

UO de estações de trabalho de destino

Neste ponto, é bom verificar e ver quem tem direitos para visualizar essas informações no AD. No console do PowerShell, digite: Find-AdmPwdExtendedrights -identity | Formato-Tabela

Veja quem tem direitos para ver informações no AD

Como você pode ver, os direitos em meu laboratório são bastante claros e estou ok com essas pessoas tendo direitos sobre LAPS.

Agora, no AD, vamos configurar os grupos “Ler” e “Reiniciar”. Isso concederá a esses grupos acesso ao LAPS. Na captura de tela abaixo, você verá que criei dois grupos: LAPS Somente leitura e LAPS Redefinir PWD.

Configurar um grupo de leitura e redefinição

Agora precisamos conceder às máquinas a capacidade de atualizar suas próprias senhas. Vou conceder acesso à “conta interna SELF” para todas as máquinas na OU Workstation: (Workstations) Set-AdmPwdComputerSelfPermission -OrgUnit

Conceder às Máquinas a capacidade de atualizar sua própria senha

Em seguida, precisamos conceder aos usuários direitos para consultar essas informações. É aqui que entram os grupos que acabamos de criar. Vamos conceder ao grupo “LAPS Somente leitura” direitos de leitura de senhas LAPS: Set-AdmPwdReadPasswordPermission -OrgUnit -AllowedPrincipals

Vamos dar ao grupo “LAPS Reset PWD” direitos para redefinir senhas LAPS: Set-AdmPwdResetPasswordPermission -OrgUnit -Princípios permitidos

Verificar permissões

Também vou confirmar que isso funcionou usando o Achar… comando (veja a imagem abaixo).

Comando Encontrar

Agora, de volta ao AD, você pode aninhar os grupos que deseja em seus grupos de segurança LAPS para ter acesso.

Aninhe os grupos em seus grupos de segurança LAPS

Para meu laboratório, tenho Service Desk Tier 1 e 2 com direitos somente leitura e Tier 3 pode ser redefinido.

Habilitar Política de Grupo

Você precisará copiar os arquivos ADMX e ADML copiados para a pasta de origem no Repositório Central de Políticas de Grupo, que pode ser localizado aqui: \\ FQDN \ SYSVOL \ FQDN \ políticas

Política de grupo

Agora você pode iniciar a Política de Grupo e criar sua política LAPS. Nesta demonstração, vou criar uma nova política simples, mas você sempre pode adicioná-la a uma que já exista. O novo GPO é definido com os padrões, exceto que eu desativei as Políticas do Usuário. Fiz isso porque minha nova política é toda baseada em máquina, então não há por que procurar políticas de usuário.

Inicie a Política de Grupo e crie sua Política LAPS

Usei configurações básicas para fazer isso funcionar em meu laboratório. Em meu laboratório, tenho uma conta de administrador local no computador, além do padrão desabilitado, que se chama “MyLocalAdmin”. Esta é a conta que desejo que o LAPS gerencie.

Exemplo de conta de administrador local

É isso. Agora é hora de confirmar se você obteve os resultados desejados.

Confirme as permissões

‍Estes são os testes de permissão que irei realizar:

  • Usuários finais padrão (não devem ter direitos).
  • Service Desk Camada 1 e Camada 2 (deve ter acesso de leitura).
  • Nível 3 do Service Desk (deve ter acesso de leitura e redefinição).

Teste 1: usuário padrão

Teste 1: usuário padrão

Teste 2: Service Desk Nível 1 e Nível 2

Teste 2: Service Desk Nível 1

Teste 3: Service Desk Nível 3

Teste 3: Service Desk Nível 3

O que aprendi com este teste? As permissões de redefinição não incluem Ler. A menos que você precise que um grupo seja capaz de redefinir esta senha e não lê-la, eu aninharia o grupo LAPS Redefinir PWD dentro do grupo LAPS Somente leitura.

Grupo LAPS Somente Leitura

Teste novamente.

Teste de grupo LAPS somente leitura

Agora, obtenho os resultados desejados. O Service Desk da Camada 3 pode ler e redefinir a senha LAPS.

Conclusão - Visão geral de Microsoft LAPS

Espero que você tenha achado esta visão geral do LAPS útil e, com sorte, tenha fornecido informações adicionais não encontradas em outros guias online. O principal motivo para escrever esta postagem no blog é preparar as bases para Parte 2, configurando usuários / grupos do servidor de gerenciamento Recast para visualizar o painel de conformidade LAPS no console ConfigMgr.

-De Gary Blok

Veja como Right Click Tools está mudando a forma como os sistemas são gerenciados.

Aumente imediatamente a produtividade com o nosso limitado e gratuito, Community Edition.

Comece com Right Click Tools hoje:

Compartilhar isso:

Suporte

  • Este campo é para fins de validação e não deve ser alterado.

Contato

  • Este campo é para fins de validação e não deve ser alterado.
pt_BRPortuguese