LAPS – Local Administrator Password Solution חלק שלישי

10 ביוני 2015

תגיות: ,
אין תגובות

 

מאמר זה הוא חלק שלישי ואחרון של סדרת המאמרים בנושא LAPS. כאן תמצאו את החלק הראשון. כאן תמצאו את החלק השני.

הגדרת ה- Group policy settings

צעד ראשון בהחלת ה-GPO הוא העתקת קבצי ה- ADMX/L לתיקית ה- GPO Central store בשרת ה- Domain Controller

(קבצי ה- ADMX/L יהיו במחשבים שעליהם הותקן ה- LAPS management pack)

C:\Windows\PolicyDefinitions\AdmPwd.admx

לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml

לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US

במידה ועדיין לא יצרתם את תיקיית ה- Central store ( תיקיית ה- PolicyDefinitions) תחת תיקיית ה- Sysvol, זה הזמן…

השלב הבא, יצירת GPO חדש ושיוך ה- GPO לכל ה- OUs של השרתים/מחשבים שאנחנו רוצים לנהל את סיסמת ה- Local Administrator שלהם (או שימוש ב- GPO קיים שכבר חל על ה- OUs הרלוונטים)

clip_image002

"Enable local admin password management" – חייב להיות ב- Enabled על מנת שה- Client side extension יבצע את החלפת הסיסמא הראשון ויעדכן את ה- Attributes של ה- Computer account

"Password Settings" – במידה ולא מאפשרים את ה- Settings יחולו על המחשב הגדרות ברירת המחדל:

תוקף סיסמא – 30 יום, אורך סיסמא – 14 תווים והגדרות Complexity  המכילה 4 סוגי תווים : אותיות קטנות, גדולות, מספרים ו- Special character

Special characters כוללים ,.-+;!#&@{}[]+$/()%

clip_image004

"Name of Administrator account to manage" – אין צורך לאפשר את הההגדרה במידה וה- build-in administrator הוא ה- Account שפעיל (אין צורך לאפשר גם במידה ובוצע rename ל-build-in administrator, מכיוון שה-GPO Client side extension מחפש את ה-Well-Known SID של החשבון משתמש). רק במידה ובחרתם לבטל את ה- Build-in Administrator בכל המחשבים וליצור אחד בשם אחר במקומו , יש צורך בהפעלת ב- Enabled תוך ציון שם ה- Local administrator

ניהול סיסמאות ה-Local Administrator של מחשבים מרוחקים

משתמשים מורשים (חברים בקבוצת Domain admins ובקבוצה שלה אפשרנו הרשאת All extended rights על ה- OUs של המחשבים הנשלטים) יכולים לצפות בסיסמת ה-Administrator של המחשבים המרוחקים וליזום החלפת סיסמא ממחשב שמותקן עליו ה- Management tools על ידי שימוש ב-LAPS UI או בעזרת Powershell לאחר טעינת ה- AdmPwd.PS module

התקנת ה- Management tools

clip_image006

LAPS UI

מאפשר חיפוש של סיסמת administrator במחשב מרוחק והקדמת זמן החלפת הסיסמא

clip_image007

Powershell

לאחר טעינת ה- Module

Import-Module admpwd.ps

נשתמש בפקודה הבאה על מנת לקבל את סיסמת ה- administrator של המחשב המרוחק

Get-AdmPwdPassword -ComputerName corpwin7

ובפקודה הבאה על מנת לשנות את תאריך שינוי הסיסמא

Reset-AdmPwdPassword -ComputerName corpwin7 -WhenEffective "5/12/2015 14:00:00"

  • ללא שימוש ב WhenEffective switch , תתבצע החלפת הסיסמא ב- refresh הבא של ה- GPO במחשב המרוחק

clip_image009

לסיכום, פתרון נהדר ופשוט להטמעה שמגביר באופן משמעותי את רמת האבטחה בארגון.

אז קדימה לעבודה!

clip_image010


פוסט זה נכתב על ידי שגיא והבי, מהנדס בכיר במחלקת פרימייר במיקרוסופט ישראל (GBS)

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *