LAPS – Local Administrator Password Solution חלק ראשון

10 ביוני 2015

תגיות: ,
תגובה אחת

שלום לכם! בסדרת הכתבות הבאות אציג בפניכם את LAPS – הפתרון החדש של מיקרוסופט.

אחד הדגשים העיקריים שלנו במיקרוסופט מאז ומתמיד הוא אבטחת המידע. נוכח הפריצות בשנים האחרונות לארגונים גדולים דוגמת איי.ביי, ג'י פי מורגן, סוני, ארגונים פיננסיים וממשלתיים ורבים אחרים, אני תמיד מדגיש את חשיבות אבטחת המידע במסגרת מפגשים עם לקוחות Premier והסכנה ממתקפות Credential theft  הידועות גם בשם מתקפות Pash The Hash או בקיצור PtH.

אחד הצעדים להפחתת הסיכון הוא הגדרת סיסמת שונה ל- Build-in Local Administrator בכל תחנות הקצה והשרתים בארגון והחלפת הסיסמא אחת לתקופה. נשמע מורכב עד בלתי אפשרי, נכון? הרי המחשבים בארגון מותקנים בדרך כלל מ-image סטנדרטי או באמצעות מוצר להפצת מערכת הפעלה דוגמת Microsoft WDS, MDT AIK והתוצאה של כל אחד מהפתרונות היא מערכת הפעלה עם סיסמת Local administrator זהה לכולם…

אז איך מתמודדים עם הסוגיה? איך דואגים לכך שסיסמת ה- Local administrator תהיה שונה ממחשב למחשב? איך דואגים לכך שהסיסמא תתחלף אחת לתקופה? ואיך ידע מנהל הרשת, טכנאי ה- PC או תומך ה- HelpDesk את הסיסמא הנוכחית של המחשב הספציפי? התשובה לכל השאלות היא –Local Administrator Password Solution

LAPS הוא הפתרון למנהלי IT שרוצים לכפות סיסמא שונה ומתחלפת באופן אוטומטי אחת לתקופה ל- Local Administrator במחשבים / שרתים מסויימים או על בכל המחשבים והשרתים שחברים ב- Domain.

הפתרון מבוסס על GPO Client side extension  – קובץ DLL המתוקן על המחשב אשר רץ במחשב בכל Refresh של ה- GPO ובמידה והגיע העת להחליף את הסיסמא של ה- Local Administrator, ה- CSE מבצע את שינוי הסיסמא ומעדכן את הסיסמא החדשה ב- Attribute חדש של ה- Computer account ב- Domain (העברת הסיסמא מהמחשב ל- Active Directory מוגנת באמצעות הצפנת Kerberos, אז בואו לא נתבלבל).

הפתרון מבטיח שסיסמת ה- Local Administrator לא תשתנה במידה והמחשב מנותק מה- Domain.

הסיסמא כן תשתנה כאשר המחשב מחובר דרך VPN או Direct Access כל עוד יש גישה ל- Active Directory.

משתמשים מורשים יוכלו לקרוא ולאפס את סיסמת ה- Local administrator של המחשבים המנוהלים באמצעות ה- LAPS UI או בעזרת PowerShell

image

image

 

דרישות קדם לשימוש בפתרון:

Active Directory

  • Windows 2003 SP1 ומעלה

Managed Machines

  • Windows Vista ומעלה
  • Windows 2003 עם ה- Service Pack העדכני (Itanium לא נתמך)
  • X86 או x64
  • הדרישה היא רק התקנת ה- MSI File אשר בפועל מעתיק למחשב את קובץ ה- DLL ומבצע את רישומו ( group policy client side extension DLL )

כלי הניהול

כלי הניהול צריך להיות מותקן על תחנות של מי שינהל את הפתרון או צריך גישה לאתר את סיסמת ה- Administrator של מחשבים מרוחקים (למשל מחשבי תומכי PC או צוות ההלפדסק)

על התחנות המדוברות יש צורך בהתקנת:

  • .Net Framework 4.0
  • PowerShell 2.0 או גרסה חדשה יותר

בחלקו השני של המאמר נדבר על:

  • תהליך התקנת ה- Client
  • הרחבת ה- AD Schema
  • הגדרת ההרשאות על ה- Attributes שהתווספו ל- Schema

image

הפוסט נכתב על ידי שגיא והבי, מהנדס בכיר במחלקת פרימייר במיקרוסופט ישראל (GBS)

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. Pingback: הבהרות לגבי חסימת האפשרות לשמירת סיסמא ב- Group Policy Preferences לאחר התקנת MS14-025 | בלוג TechNet ישראל