1. Главная страница » Компьютеры

Local administrator password solution что это

Автор: | 16.12.2019
Нет комментариев

В этой статье мы рассмотрим способ управления паролями локальных администраторов на компьютерах домена с помощью официальной утилиты Microsoft – LAPS (Local admin password solution).

Вопрос управления встроенными учетными записям на компьютерах домена является одним из важнейших аспектов безопасности, требующих внимание системного администратора. Безусловно, не стоит допускать использования одинаковых паролей локальных администраторов на всех компьютерах. Есть множество подходов к организации управления учетными записями локальных администраторов в домене: начиная от полного их отключения (не очень удобно), до управления ими через logon скрипты групповых политик и создания собственных систем управления встроенными учётками и их паролями.

Ранее для изменения паролей локальный администраторов на компьютерах домена часто использовались расширения групповых политик (GPP – Group Policy Preferences), однако в них была найдена серьезная уязвимость, позволяющая любому пользователю расшифровать пароль, хранящийся в текстовом файле в каталоге Sysvol на контроллерах домена (об это мы подробно говорили в статье Почему не стоит задавать пароли через Group Policy Preferences). В мае 2014 года Microsoft выпустила обновление безопасности (MS14-025 – KB 2962486), полностью отключающее возможность задать пароль локального пользователя через GPP.

Утилита LAPS — Local Administrator Password Solution

Утилита LAPS (Local Administrator Password Solution) позволяет централизованной управлять паролями администраторов на всех компьютерах домена и хранить информацию о пароле и дате его смены непосредственно в объектах типа Computer в Active Directory.

Читайте также:  Assassins creed syndicate платина

Функционал LAPS основан на использовании специального функционала GPO, который основан на Group Policy Client Side Extension (CSE) и представлеяет собой небольшой модуль, который устанавливается на рабочие станции. Данное расширение GPO используется для генерации уникального пароля локального администратора (SID — 500) на каждом компьютере домена. Пароль администратора автоматически меняется с указанной периодичностью (по-умолчанию, каждые 30 дней). Значение текущего пароля хранится в конфиденциальном атрибуте учетной записи компьютера в Active Directory, доступ на просмотр содержимого атрибута регулируется группами безопасности AD.

Скачать LAPS и документацию к ней можно с этой страницы: https://www.microsoft.com/en-us/download/details.aspx? >

Дистрибутив LAPS доступен в виде двух версий установочных msi файлов: для 32 (LAPS.x86.msi) и 64 (LAPS.x64.msi) битных систем.

Архитектура LAPS состоит из 2 частей. Модуль управления устанавливается на машине администратора, а клиентская часть устанавливается на серверах и ПК, на которых нужно регулярно менять пароль локального администратора.

Запустите MSI файл утилиты на компьютере администратора, выберите все компоненты для установки (требуется наличие как минимум .Net Framework 4.0 – Как узнать какие версии .Net установлены). Пакет состоит из двух частей:

  1. AdmPwd GPO Extension –исполняемая часть LAPS, которая устанавливается на компьютеры клиентов и осуществляет генерацию, сохранение пароля в домене согласно настроенной политики;
  2. И компоненты управления LAPS (Management Tools):
    • Fat client UI – утилита для просмотра пароля администратора;
    • PowerShell module – модуль PowerShell для управления LAPS;
    • GPO Editor templates – административные шаблоны для редактора групповой политики.

    Установка LAPS максимально простая и не должна вызывать каких-либо проблем.

    Подготовка схемы Active Directory для внедрения LAPS

    Перед развертыванием LAPS необходимо расширить схему Active Directory, в которую будут добавлены два новых атрибута для объектов типа компьютер.

    • ms—MCS—AdmPwd– атрибут содержит пароль локального администратора в открытом виде;
    • ms—MCS—AdmPwdExpirationTime — хранит дату истечения срока действия пароля на компьютере.

    Для расширения схемы, нужно открыть консоль PowerShell, импортировать модуль Admpwd.ps:

    Расширьте схему Active Directory (нужны права Schema Admin):

    Update-AdmPwdADSchema

    В результате в класс «Computer» будут добавлены два новых атрибута.

    Настройка прав в AD на атрибуты LAPS

    LAPS хранит пароль локального администратора в атрибуте Active Directory ms-MCS-AdmPwd в открытом виде, доступ к атрибуту ограничивается благодаря механизму конфиденциальных атрибутов AD (поддерживается с Windows 2003). Атрибут ms-MCS-AdmPwd, в котором хранится пароль, может быть прочитан любым обладателем разрешения “All Extended Rights”. Пользователи и группы с этим разрешением могут читать любые конфиденциальные атрибуты AD, в том числе ms-MCS-AdmPwd. Т.к. мы не хотим, чтобы кто-то кроме администраторов домена (или служб HelpDesk) имел право на просмотр паролей для компьютеров, нам нужно ограничить список групп с правами на чтение этих атрибутов.

    С помощью командлета Find-AdmPwdExtendedRights можно получить список учетных записей и групп, обладающих этим правом на конкретную OU. Проверьте, кто обладает подобными разрешениями на OU с именем Desktops:

    Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

    Как вы видите, право на чтение конфиденциальных атрибутов есть только у группы Domain Admins.

    Ели вам нужно запретить определенным группам или пользователям доступ на чтение таких атрибутов, нужно выполнить следующее:

    1. Откройте ADSIEdit и подключитесь к Default naming context;
    2. Разверните дерево AD, найдите нужный OU (в нашем примере Desktops), щелкните по нему ПКМ и выберите Properties;
    3. Перейдите на вкладку Security, нажмите на кнопку Advanced -> Add. В разделе Select Principal укажите имя группы/пользователя, для которого нужно ограничить права (например, domainSupport Team);
    4. Снимите галку у права “All extended rights” и сохраните изменения.

    Аналогичным образом нужно поступить со всеми группам, которым нужно запретить право на просмотр пароля.

    Далее нужно предоставить права учетным записям компьютеров на модификацию собственных атрибутов (SELF), т.к. изменение значений атрибутов ms-MCS-AdmPwd и ms-MCS-AdmPwdExpirationTime выполняется из-под учетной записи самого компьютера. Воспользуемся еще одним командлетом Set-AdmPwdComputerSelfPermission.

    Чтобы дать права компьютерам в OU Desktops на обновление расширенных атрибутов, выполните команду:

    Set-AdmPwdComputerSelfPermission -OrgUnit Desktops

    Предоставление прав на просмотр пароля LAPS

    Следующий этап – предоставление прав пользователям и группам на чтение хранящихся в Active Directory паролей локальных администраторов на компьютерах домена. К примеру, вы хотите дать членам группы AdmPwd права на чтение паролей компьютеров в OU:

    Set-AdmPwdReadPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

    Кроме того, можно предоставить отдельной группе пользователей право на сброс пароля компьютера (в нашем примере мы предоставляем это право той же группе AdmPwd).

    Set-AdmPwdResetPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

    Настройка групповой политики LAPS

    Далее нужно создать новый объект GPO (групповых политик) и назначить его на OU, в которой содержатся компьютеры, на которых вы будете управлять паролями администраторов.

    Создайте политику с именем Password_Administrador_Local следующей командой:

    Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local

    В консоли управления доменными политиками (gpmc.msc) откройте эту политику на редактирование и перейдите в раздел GPO: : Computer Configuration -> Administrative Templates -> LAPS.

    Как вы видите, имеются 4 настраиваемых параметра политики. Настройте их следующим образом:

    • Enable local admin password management: Enabled (включить политику управления паролями LAPS);
    • Password Settings: Enabled – в политике задается сложности пароля, его длина и частота изменения (по аналогии с доменными политиками для паролей пользователей);
    • Complexity: Large letters, small letters, numbers, specials
    • Length: 12 characters
    • Age: 30 days
  3. Name of administrator account to manage: Not Configured (Здесь указывается имя учетной записи администратора, пароль которой будет меняться. по умолчанию меняется пароль встроенного administrator с SID-500);
  4. Do not allow password expiration time longer than required by policy: Enabled

    5. Назначьте политику Password_Administrador_Local на OU с компьютерами (Desktops).

    Установка LAPS на клиентские компьютеры через GPO

    После настройки GPO нужно установить клиентскую часть LAPS на компьютеры в домене. Установить клиент LAPS можно различными способами: вручную, через задание SCCM, логон скрипт и т.п. В нашем примере мы установим msi файл с помощью возможности установки msi пакетов через групповые политики (GPSI).

    1. Создайте общую папку в сетевом каталоге (или в папке SYSVOL на контроллере домена), в которую нужно скопировать msi файлы дистрибутива LAPS;
    2. Создайте новую GPO и в разделе Computer Configuration ->Policies ->Software Settings -> Software Installation создайте задание на установку MSI пакета LAPS.

    Осталось назначить политику на нужную OU, и после перезагрузки, на всех компьютерах в целевом OU должен установиться клиент LAPS.

    Проверьте, что списке установленных программ в Панели Управления (Programs and Features) появилась запись “Local admin password management solution”.

    Когда утилита LAPS меняет пароль локального администратора, запись об этом фиксируется в журнале Application (Event ID:12, Source: AdmPwd).

    Событие сохранения пароля в атрибуте AD также фиксируется (Event ID:13, Source: AdmPwd).

    Вот так выглядят новые атрибуты у компьютера в AD.

    Использование утилиты LAPS для просмотра пароля администратора

    Графическую утилиту AdmPwd UI для просмотра паролей LAPS нужно установить на компьютерах администраторов.

    Запустите утилиту, введите имя компьютера (в поле computername), и вы должны увидеть текущий пароль локального администратора компьютера и срок действия.

    Дату истечения пароля срока действия пароля можно задать вручную, либо оставить поле с датой пустым и нажав кнопку Set (это означает, срок действия пароля уже истек).

    Пароль также можно получить с помощью PowerShell:

    Import-Module AdmPwd.PS
    Get-AdmPwdPassword -ComputerName

    Если вы считаете, что пароли локальных администраторов на всех компьютерах в некотором OU скомпрометированы, вы можете одной командой сгенерировать новые пароля для всех компьютеров в OU. Для этого нам понадобится командлет Get-ADComputer:

    Get-ADComputer -Filter * -SearchBase “OU=Computers,DC=MSK,DC=winitpro,DC=ru” | Reset-AdmPwdPassword -ComputerName

    Аналогичным образом можно вывести список текущих паролей для всех компьютеров в OU:

    Get-ADComputer -Filter * -SearchBase “OU=Computers,DC=MSK,DC=winitpro,DC=ru” | Get-AdmPwdPassword -ComputerName

    LAPS можно рекомендовать как удобное решение для организации безопасной системы управления паролями на компьютерах домена с возможностью гранулированного управления доступом к паролям компьютерам из разных OU. Пароли хранятся в атрибутах Active Directory в открытом виде, но встроенные средства AD позволяют надежно ограничить к ним доступ.

    Обои поклеил и пиво льется рекой, а это значит, что Уханов снова вещает.

    А поговорим мы сегодня о пароле локального администратора.

    Новички иногда попадают в такую ситуацию: выводит компьютер из домена, и для подтверждения вводит пароль доменного администратора. После перезагрузки выясняется, что пароль локального администратора он не помнит. Ситуация неприятная, но не тупиковая, если по рукой есть флешка или CD.

    Что нужно было сделать, что-бы не выстрелить себе в ногу? Вывести компьютер из домена, используя пароль локальной учетной записи с правами администратора. Таким образом можно быть уверенным, что помнишь пароль.

    Установка пароля через групповые политики.

    Чаще администраторы прибегают к установке на компьютеры домена одинакового пароля средствами групповых политик.

    Почему это плохо?

    Пароль администратора хранится в зашифрованном виде в xml файле каталога групповых политик. Файл доступен для чтения всем авторизованным пользователям домена.

    Считаете, если он зашифрован, то вы в безопасности? Как бы не так: Microsoft опубликовала 32-битный AES ключ шифрования пароля.

    Майкрософт категорически не рекомендует так менять пароли, а в новых версиях Windows Server настоятельно говорит так не делать. Такие дела, малята: получить пароль админа проще простого.

    Бюллетень MS14-025 запрещает установку пароля таким образом. Поле пароля неактивно.

    А ещё может случиться необходимость предоставить пользователю административные привилегии. На моей практике такое было пару раз — я потерял связь с компьютером и ничего не мог сделать: Быстрой помощи в Windows 10 ещё не было, а TeamViewer или AmmyAdmin блокировались политикой ограниченного использования программ. На часах ночь, а принтер у человека не работал.

    И я со спокойной душой назвал ему пароль локального админа: утром пароль поменялся автоматически. Но я восстановил доступ к компьютеру и наладил принтер.

    Local Administrator Password Solution — это официальный инструмент для установки и периодической смены пароля администратора.

    Он бесплатен в использовании и прост в настройке.

    — с заданной периодичностью компьютер сам меняет пароль указанной учетной записи.

    — Пароль хранится в AD

    — У каждого компьютера свой пароль

    — параметры пароля и учетной записи настраиваются

    При помощи утилиты LAPS UI можно узнать текущий пароль — надо лишь указать имя компьютера

    Скачать чудо утилиту с подробнейшим мануалом можно по ссылке выше.

    Хорошая статься на WINITPRO тут.

    Коллеги, всем хороших выходных и прекрасного настроения.

    Поделюсь фото пенного на фоне рабочей машины с дисками, которые так любит вынимать мой сын. Благо, Storage Spaces спокойно переносит кражу одного и даже двух дисков массива.

    LAPS (Local Administrator Password Solution) – это специальный инструмент, который позволяет быстро и эффективно проводить администрирование локальных паролей. Он необходим для обеспечения безопасности серверов и упрощения проводимых процедур. И именно с ним мы будем работать в данном материале.

    Управление паролями крайне необходимо, если вы хотите защитить свой домен от несанкционированного доступа. Грамотно распорядившись имеющимися инструментами, можно не только автоматизировать процесс смены шифра, но и отследить любую подозрительную активность. Некоторые администраторы прибегают к распространенным методам для упрощения процесса обеспечения безопасности ИТ.

    Но все они не решают проблему. Вот несколько из них:

    • Централизованное переименование учетных записей
    • Их отключение
    • Установка logon script, который будет оповещать админа о входе, автоматически внося ограничения
    • Установка очень сложного пароля
    • Замена гостевой учетной записи на администраторскую, чтобы запутать потенциального злоумышленника.

    Однако, все вышеперечисленное не может обеспечить постоянный мониторинг, логирование и анализ. Более того, данные меры предосторожности легко обходятся специальными утилитами, которые могут быть скачаны невнимательным сотрудником из Интернета.

    Для повышения ИТ безопасности стоит обратить внимание на NT 6.0, которая за счет Group Policy Preferences может облегчить работу администратору:

    Но нужно учесть, что данном случае пароль можно легко восстановить с помощью директории SYSVOL, где он содержится. Это нам не подходит.
    Поэтому, перейдем к использованию LAPS.

    Цель LAPS

    Данный инструмент сочетает в себе несколько важных элементов:

    • Локальная установка на отдельные рабочие станции, включая сервера, открывая доступ к новым компонентам Group Policy Client Side Extension;
    • Класс computer получает дополнительные атрибуты, а сама Active Directory – расширенные схемы;
    • Добавление новых шаблонов для управления и настройки политик отдельных групп;
    • Автоматизация управления с помощью модуля PowerShell;
    • Управление с помощью GUI;

    Эти элементы открывают возможности для:

    • Безопасного хранения паролей отдельных рабочих станций в Active Directory
    • Установки новых правил для создания паролей
    • Смены администраторских паролей, подключив защищенный канал и минуя непосредственное подключение к системе с помощью Active Directory
    • Регулирования “времени жизни” паролей, а также автоматизация процесса их автоматических замен

    Данная система работает на платформе Windows Server 2003, а также на базе Windows Vista, а не XP. Последнее обусловлено наличием обрабатывающего модуля GPP, который устанавливается отдельно в качестве обновления.

    Установка LAPS

    Демонстрировать установку LAPS мы будем с помощью версии 6.1, которая была выпущена в 2015 году. Также, разворачивание системы произойдет на Windows Server 2008 R2. Это никак не скажется на функционале нашего ПО. Но не забудьте перед началом установки загрузить версию 4.0 для Windows Management Framework
    Также стоит отметить, что работа LAPS никак не будет отличаться от развернутой платформы Windows Server.

    Что ещё нужно для установки?

    В первую очередь, сама система LAPS. На всякий случай, загрузите все имеющиеся дистрибутивы, как для 32-х, так и для 64-х разрядных ОС.
    Затем, скачайте WMF 4.0. В идеале, она уже должна быть развернута на вашем сервере, если вы создавали базовую систему управления паролями. Вот, что у вас будет:

    Устанавливаем LAPS для администратора

    Полный пакет LAPS нужно развернуть на рабочей станции админа. Все основные компоненты устанавливаются сразу, поэтому вам не придется возвращаться к этом позднее. Но GUI-клиент может потребовать от вас дополнительных усилий.

    Мы будем ставить LAPS непосредственно на DC, игнорируя AdmPwd GPO Extension. Этот компонент нам не понадобится. Но для остальных инженеров, которые будут работать с системой, он необходим.

    Мы установим несколько важных компонентов:

    • Fat Client UI: осуществляет быстрый поиск нужной станции с помощью сортировки по именам, просмотру или смене пароля
    • PowerShell Module: обеспечивает администрирование LAPS с помощью PowerShell-модуля
    • GPO Editor templates: позволяет использовать новые шаблоны для настройки LAPS

    Остальное должно быть понятно интуитивно. По завершению установки, разверните WMF 4.0.

    Расширение схемы LAPS

    Основная работа LAPS базируется на двух атрибутах:

    • ms-Mcs-AdmPwd: отвечает за хранение паролей
    • ms-Mcs-AdmPwdExpirationTime: хранит данные о сроке их действия.

    Данные атрибуты являются дополнительными для схемы, а их установка очень проста. Для начала, запустите PowerShell с правами на изменение Active Directory. Затем выполните два шага:

    1. Используйте команду Import-Module AdmPwd.PS, чтобы подгрузить модуль LAPS
    2. Используйте команду Update-AdmPwdADSchema

    Результат – два функционирующих атрибута. Первый:

    Не включайте GC, так как это позволит осуществлять поиск по тексту установленных паролей. Все остальные атрибуты достаточно просты и ясны с точки зрения использования:

    Настройка домена для LAPS GPO

    Схема LAPS использует собственные шаблоны GPT. Мы может сделать их доступными, перенеся их в Central Storage. Это позволит всем администраторам ознакомиться с действующими политиками. Не нужно оставлять эти шаблоны в той директории, куда они были сложены по умолчанию, тем самым ограничивая своей команде административные возможности.

    Итак, поищем шаблоны групповой политики (GPT):

    Не забудьте про языковый файл AdmPwd.adml, который находится в директории en-us. Мы перенесем все это в Central Storage:

    Проведем проверку на корректную работу:

    Мы поможем улучшить и облегчить контроль учетных записей и повысить внутреннюю безопасность ИТ среды предприятия. Обращайтесь [email protected]

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *