Översikt över Microsoft LAPS (lösning för lokal administratörslösenord)

*Efter att du har laddat ner och distribuerat LAPS skapade teamet på Recast Software en fin instrumentpanel för dig att övervaka din LAPS "hälsa" - vilket ger synlighet åt förbisedda säkerhetsbehov. Detta ingår i Företagsversion av Right Click Tools.

Varför jag gillar LAPS -instrumentpanelen är för att jag redan är i CM -konsolen varje dag, så för att ha en instrumentpanel för LAPS, för att hålla den synlig och framför oss, tycker jag att det är mycket användbart. Det tar bara några sekunder att dra upp det, kontrollera min statistik och gå vidare. Om jag hittar en avvikelse kan jag börja titta på det. Läs mer om LAPS -instrumentpanelen. 

“Den lokala administratörslösenordslösningen (LAPS) ger hantering av lokala kontolösenord för domänanslutna datorer. Lösenord lagras i Active Directory (AD) och skyddas av ACL, så att endast kvalificerade användare kan läsa det eller begära återställning.” - Microsoft. I grund och botten minskar det risken för att ha en standard (bakdörr kanske) lokal administratör och standardlösenord på dina maskiner genom att varje maskin använder ett annat komplext lösenord för kontot. Före LAPS hade de flesta organisationer en generisk lokal admin ex: ORG_LocalAdmin, med samma lösenord på varje maskin ex: ORG_P@ssword. Problemet är att om en maskin äventyras kan skadlig programvara / hackare röra sig i sidled bland alla dina maskiner och samla in allt mer data för att fördjupa säkerhetsöverträdelsen. Med LAPS implementerat tar du bort den där fästvektorn. Om en maskin äventyras minskar möjligheten att flytta i sidled till en annan maskin kraftigt.

Det finns en hel del guider där ute, och Microsoft Docs är också ganska bra. Jag gjorde inte omfattande sökning innan jag skapade det här inlägget, så notera att detta kan vara överflödigt.

I denna genomgång kommer vi att täcka:

  • Hämtar LAPS
  • Skapa källmappar
  • Skapa slutpunktsinstallationsprogram
  • Distribuera LAPS -applikation till slutpunkter
  • Utöka AD -schemat (från domänkontrollant)
  • Konfigurera LAPS AD -grupper och behörigheter
  • Installera LAPS Admin Client manuellt
  • Verifiera behörigheter och läs / återställ åtkomst
  • Grundläggande aktivering av grupprincip
  • Test för att bekräfta att tillstånd fungerar

Saker vi inte täcker:

  • "Varför" bakom varje steg. Många av detaljerna och anledningarna till att du måste utföra dessa steg är redan dokumenterade väl i Microsoft “LAPS_OperationGuide” som är en del av nedladdningen, och helt ärligt, det är vad jag använder när jag skapar denna Walk Through, så jag föreslår du ser över det innan du ens börjar.
  • Varje distributionsscenario. Detta är ett generiskt och enkelt laboratorium, medan mycket av detta är detsamma för alla miljöer, varje miljö är olika, varje organisation är annorlunda. LAPS -installation kommer sannolikt att kräva att flera team engageras (AD / CM / Deployments / GPO)

Saker att tänka på i förväg:

  • Active Directory -struktur (UU: er med arbetsstationer)
  • Vem har rätt att läsa LAPS -lösenordet
  • Vem har rätt att återställa LAPS -lösenordet

Kunddistribution:

Ladda ner LAPS Client & Docs från Microsoft:  https://www.microsoft.com/en-us/download/details.aspx?id=46899

Kunddistribution LAPS
LAPS Installer

Jag har laddat ner alla filer till en "LAPS" -katalog och sedan skapat en ny mapp att flytta MSI -filerna till.

Skapa ett nytt program i CM -konsolen. Peka på x64 -versionen av MSI

Ange inställningar för det här programmet

När du väl valt MSI can Next kommer informationen för programmet att hämtas från MSI

Ansökningsinformation

När du klickar på Nästa kommer du till Allmän information, jag lade till “Microsoft” som utgivare och ändrade /q till /qn

Vid denna tidpunkt klickar du bara på Nästa och lämnar standardvärdena tills den är klar och du klickar på Stäng. Du har nu programmet Local Administrator Password Solution i din konsol. Vi behöver bara göra ett par justeringar. I programmets egenskaper klickar du på fliken Distributionstyper, väljer distributionen och klickar på Redigera, går in i krav och lägger till x64 för versioner av Windows i din miljö.

LAPS -egenskaper

Vid denna tidpunkt har vi appen, låter den distribueras till arbetsstationerna. Eftersom du har lagt till logiken i appen kan du säkert distribuera den till alla dina arbetsstationer. OBS, detta är när du känner till din miljö, du distribuerar till lämplig samling. Kanske har du en affärsmässig anledning att inte distribuera den till alla arbetsstationer. Använd bara bästa praxis för distributioner (underhållsfönster osv.). Resten av det här exemplet är bara generiskt.

Fyll i programvara och insamlingsfält
Ange inställningar för att styra hur denna programvara distribueras

Jag lämnade Schemaläggning inställd på standardvärden, användarupplevelse, varnar alla standardvärden

Bekräfta inställningarna för den nya distributionen

Infrastrukturinställning:

Admin Client / LAPS Management Client

Så nu när klienten distribueras kan vi installera infrastrukturen. Först byter vi över till en klienttestmaskin / eller din typiska admin -arbetsstation. Låt oss installera LAPS -klienten tillsammans med hanteringsverktygen. När du väl startat installationsprogrammet (Dubbelklicka på MSI), klicka dig igenom de första parskärmarna för att komma till “Anpassad installation”, en gång här Aktivera alla alternativ.

LAPS anpassad installation

Fortsätt och låt det installera. Vi måste ta några av de objekt som den installerade och vi kommer att kopiera dem tillbaka till vår källserver för enkel åtkomst.

Gå till C: \ Windows \ PolicyDefinitions, här tar du AdmPwd.admx-filen och AdmPwd.adml-filen från en-US-undermappen. Jag skapade en mapp som heter GPO_ADMX på min källplats för att kopiera dem till.

Källplats

Kopiera också mappen AdmPwd.PS från PowerShell -modulerna: C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ Modules

Kopiera mapp från PowerShell -moduler

Du behöver dem senare.

Nu kan du göra dessa steg från din arbetsstation (och borde), men för att se till att jag hade anslutning och rättigheter gjorde jag det från min faktiska domänkontroller. Du skulle vanligtvis göra detta från en administratormaskin med rätt autentiseringsuppgifter, eftersom dina DC: er borde vara CORE och inte ens ha en skrivbordsupplevelse. Du vill vanligtvis aldrig logga in på en DC. Men det här är labb, och jag gör bara en demo.

Ändra AD -schemat

På domänkontrollanten kopierar du mappen AdmPwd.PS som du laddade upp till din källa till det lokala modulförvaret på din DC och startar sedan Admin PowerShell -konsolen. I den här bilden kan du se att jag försökte importera-modulen innan jag hade kopierat filerna till DC, efter kopian, körs kommandot korrekt:

Ändra AD -schemat

Kör kommandot: Update-AdmPwdADSchema:

Kör kommandot

I mitt labb kan du se att det framgångsrikt har lagt till 2 attribut och ändrat en klass.

Förhoppningsvis övervägde du några saker innan du startade den här resan, till exempel vilka arbetsplatser som du vill tillämpa detta på, och vem vill du ha behörigheter? För mitt labb är det ganska enkelt, jag har 1 Master OU -konfiguration för WorkStations och alla andra arbetsstationer faller in i sub -OU: er för Master OU.

Mål arbetsstationer OU

Vid det här laget är det trevligt att kontrollera och se vem som har rätt att se den informationen i AD. I din PowerShell -konsol skriver du "Find -AdmPwdExtendedrights -identity | Format-tabell

Se vem som har rätt att se information i AD

Som du kan se är rättigheterna ganska rena, jag är ok med att de som har rättigheter till LAPS.

Nu, i AD, kan vi konfigurera en Read & Reset Group för att ge åtkomst till LAPS. Jag har skapat två grupper: LAPS Read Only & LAPS Reset PWD:

Konfigurera en läs- och återställningsgrupp

Nu måste vi ge Maskiner möjligheten att uppdatera sitt eget lösenord, vi ger åtkomst till "SELF inbyggt konto" för alla maskiner i Workstation OU: Set-AdmPwdComputerSelfPermission -OrgUnit

Grant Machines möjligheten att uppdatera sitt eget lösenord

Därefter måste vi ge användare rättigheter för att leta upp den informationen, det är här de grupperna kommer in. Vi kommer att ge “LAPS Read Only” -rättigheter till Läs LAPS -lösenord: Set -AdmPwdReadPasswordPermission -OrgUnit -Tillåtet Principals

Vi kommer att ge “LAPS Återställ PWD” -rättigheter för att återställa LAPS -lösenord: Set -AdmPwdReadPasswordPermission -OrgUnit -Tillåtet Principals

Vi kommer också att bekräfta att det gjorde något med kommandot Sök ..:

Hitta kommando

Nu, i AD, kan du bo de grupper du vill ha i dina LAPS -säkerhetsgrupper för att ha åtkomst:

Nest grupperna i dina LAPS -säkerhetsgrupper

För mitt labb har jag Service Desk Tier 1 & 2 Skrivskyddad och nivå 3 kan återställas.

Gruppolicy
Du måste kopiera ADMX- och ADML -filerna som du kopierade till din källmapp till din grupprincip Central Store, som finns här: \\ FQDN \ SYSVOL \ FQDN \ policies

Gruppolicy

Nu kan du starta grupprincip och skapa din LAPS -policy. För denna demo kommer jag att skapa en ny enkel policy, men du kan alltid lägga till den i en du redan har. Den nya GPO är inställd på standardvärden, förutom att jag inaktiverar användarpolicyer, eftersom allt kommer att vara maskinbaserat, ingen idé att låta det leta efter användarpolicyer:

Starta grupprincip och skapa din LAPS -policy

Jag har konfigurerat de grundläggande inställningarna för att få det att fungera med mitt labb. I mitt labb har jag ett lokalt administratörskonto på datorn förutom inaktiverad standard, som heter "MyLocalAdmin", vilket är det konto jag vill att LAPS ska hantera:

Exempel på lokalt administratörskonto

OK, det är det, du har allt inställt. Nu är det dags att bekräfta att du får de resultat du ville ha

Tillståndstester

  • Standard slutanvändare (bör inte ha några rättigheter)
  • Service Desk Tier 1 (bör ha läsåtkomst)
  • Service Desk Tier 3 (Bör ha läs- / återställningsåtkomst)

Test 1: Standardanvändare:

Test 1: Standardanvändare

Test 2: Tier 1 Service Desk:

Test 2: Tier 1 Service Desk

Test 3: Tier 3 Service Desk:

Test 3: Tier 3 Service Desk

Vi lär oss av detta test, Reset Permissions inkluderar inte Läs. Så om du inte behöver en grupp för att kunna återställa det här lösenordet och inte läsa det, skulle jag bo LAPS Återställ PWD -gruppen inuti LAPS -skrivskyddsgruppen

LAPS Skrivskyddad grupp

Testa igen:

LAPS Skrivskyddad grupptest

Nu har vi önskat resultat, Tier 3 Support kan både läsa och återställa LAPS -lösenordet.

Jag hoppas att du fann denna LAPS -översikt användbar och förhoppningsvis gav ytterligare information som inte finns i andra. Den främsta anledningen till att jag skriver detta är för Del 2, konfigurera Recast Management Server User / Groups för att visa LAPS Compliance Dashboard i CM -konsolen.

-Förbi Gary Blok

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Dela detta:

sv_SESwedish