У овом ћемо чланку погледати начин управљања лозинкама локалног администратора на рачунарима домена помоћу службеног Мицрософтовог услужног програма - ЛАПС (Локално решење лозинке администратора).
Питање управљања уграђеним рачунима на рачунарима домена један је од најважнијих сигурносних аспеката који захтева пажњу администратора система. Наравно, не бисте требали дозволити употребу истих лозинки локалних администратора на свим рачунарима. Постоји много приступа организовању управљања рачунима локалних администратора у домену: почевши од њихове потпуне искључености (што није баш згодно), до управљања њима путем скрипти за пријаву групних политика и креирања сопствених система за управљање уграђеним рачунима и њиховим лозинкама.
Раније су се групна проширења смерница (ГПП-ови) често користила за промену лозинки локалних администратора на рачунарима домена; међутим, у њима је пронађена озбиљна рањивост која је омогућила било којем кориснику да дешифрује лозинку сачувану у текстуалној датотеци у директоријуму Сисвол на контролерима домена (о томе смо детаљно су говорили у чланку Зашто се лозинке не би смеле постављати кроз подешавања групне политике). У мају 2014. Мицрософт је објавио сигурносну исправку (МС14-025 - КБ 2962486) која у потпуности онемогућава могућност постављања локалне корисничке лозинке путем ГПП-а.
Садржај:
- ЛАПС Утилити - Лозинка локалног администратора
- Припрема шеме активног директорија за имплементацију ЛАПС-а
- Постављање права у АД за атрибуте ЛАПС
- Давање права на преглед лозинке ЛАПС
- Конфигуришите ЛАПС групне политике
- Инсталирајте ЛАПС на клијентским рачунарима путем ГПО-а
- Употреба услужног програма ЛАПС за преглед лозинке администратора
ЛАПС Утилити - Лозинка локалног администратора
Важно је. Раније се звао ЛАПС Адмпвд, али у 2015. години Мицрософт је најавио ЛАПС, премештајући га са секције трећих страна на службено подржано решење.Корисност ЛАПС (Локално Администратор Лозинка Решење) омогућава централизовано управљање лозинкама администратора на свим рачунарима на домену и чува податке о лозинци и датуму њене промене директно у рачунарске објекте у Ацтиве Дирецтори-у.
ЛАПС функционалност заснива се на употреби посебне ГПО функционалности која се заснива Групно Политика Клијент Сиде Продужетак (ЦСЕ) и представља мали модул који се инсталира на радне станице. Ово ГПО проширење користи се за генерисање јединствене лозинке локалног администратора (СИД - 500) на сваком рачунару домена. Лозинка администратора аутоматски се мења са наведеном фреквенцијом (подразумевано, сваких 30 дана). Вредност тренутне лозинке чува се у поверљивом атрибуту рачунарског налога у Ацтиве Дирецтори-у, приступ за преглед садржаја атрибута регулише АД безбедносна група.
ЛАПС и његову документацију можете преузети са ове странице: хттпс://ввв.мицрософт.цом/ен-ус/довнлоад/детаилс.аспк?ид=46899
ЛАПС дистрибуција доступна је у две верзије мси инсталационих датотека: за 32 (ЛАПС.к86.мси) и 64 (ЛАПС.к64.мси) битни системи.
ЛАПС архитектура се састоји од 2 дела. Контролни модул је инсталиран на рачунару администратора, а клијентски део је инсталиран на серверима и рачунарима, на којима морате редовно мењати лозинку локалног администратора.
Савет. Пре примене ЛАПС-а у продуктивну домену, препоручујемо да га испробате у тестном окружењу, као Потребно је најмање проширење шеме АД (неповратно).Покрените датотеку услужног програма МСИ на рачунару администратора, одаберите све компоненте које ћете инсталирати (потребно је најмање .Нет Фрамеворк 4.0 - Како сазнати које су верзије .Нет инсталиране). Пакет се састоји од два дела:
- АдмПвд ГПО проширење -ЛАПС извршни део, који је инсталиран на клијентским рачунарима и генерише, чува лозинку у домену у складу са конфигурисаном политиком;
- И контролне компоненте ЛАПС (Алати за управљање):
- Кориснички интерфејс за дебеле клијенте - услужни програм за гледање лозинке администратора;
- ПоверСхелл модул - ПоверСхелл модул за управљање ЛАПС-ом;
- Предлошци ГПО Едитора - административни предлошци за уређивача групних политика.
Инсталација ЛАПС-а је што је једноставнија и не би требало да ствара проблеме..
Припрема шеме активног директорија за имплементацију ЛАПС-а
Пре примене ЛАПС-а морате проширити схему Ацтиве Дирецтори на коју ће се додати два нова атрибута за објекте рачунарског типа..
- мс-Мцс-Адмпвд- атрибут садржи лозинку локалног администратора у јасном тексту;
- мс-Мцс-АдмПвдЕкпиратионТиме - чува датум истека лозинке на рачунару.
Да бисте проширили шему, морате да отворите ПоверСхелл конзолу, увезете Адмпвд.пс модул:
Увозни модул АдмПвд.пс
Проширите схему активног директорија (потребна су вам шема администраторска права):
Упдате-АдмПвдАДСцхема
Као резултат тога, два нова атрибута ће бити додата у класу „Цомпутер“.
Постављање права у АД за атрибуте ЛАПС
ЛАПС чува лозинку локалног администратора у атрибуту Ацтиве Дирецтори мс-МЦС-АдмПвд јасним текстом, приступ атрибуту је ограничен механизмом АД поверљивих атрибута (подржан од Виндовс 2003). Атрибут мс-МЦС-АдмПвд у који је лозинка сачувана може да чита свако са дозволом “Све Ектендед Права" Корисници и групе са овом дозволом могу читати било које поверљиве АД атрибуте, укључујући мс-МЦС-АдмПвд. Јер не желимо да нико осим администратора домена (или ХелпДеск услуга) има право прегледавања лозинки за рачунаре, морамо да ограничимо списак група са дозволама за читање на ове атрибуте.
Користећи цмдлет Финд-АдмПвдЕктендедРигхтс, можете добити листу налога и група које имају ово право на одређени ОУ. Проверите ко има слична ОУ дозвола са именом Десктопс:
Финд-АдмПвдЕктендедРигхтс -Идентити Десктоп | Формат-Табле ЕктендедРигхтХолдерс
Као што видите, само група има право да чита поверљиве атрибуте Домен Админи.
Ако морате да онемогућите одређеним групама или корисницима да читају такве атрибуте, треба да урадите следеће:
- Отвори АДСИЕдит и повезати се са заданим контекстом именовања;
- Проширите АД стабло, пронађите ОУ који вам треба (у нашем примеру Десктопа), кликните десним тастером миша на њега и изаберите Својства;
- Идите на картицу Сигурност, притисните дугме Напредно -> Додај. У одељку Изаберите главницу одредите име групе / корисника за које желите да ограничите права (на пример, домена \ Суппорт Теам);
- Поништите правац „Сва проширена права“ и сачувајте измене..
Слично томе, треба да урадите и са свим групама којима треба забранити право на преглед лозинке.
Савет. Ограничите дозволе за читање на све ОУ чије ће лозинке за рачунар контролисати ЛАПС.Затим морате доделити права на рачунарске рачуне да бисте модификовали своје атрибуте (СЕЛФ), јер промена вредности атрибута мс-МЦС-АдмПвд и мс-МЦС-АдмПвдЕкпиратионТиме врши се испод рачунарског налога. Користићемо још један цмдлет Сет-АдмПвдЦомпутерСелфПермиссион.
Да бисте рачунарима на ОУ Десктопсу дали дозволу за ажурирање напредних атрибута, покрените наредбу:
Сет-АдмПвдЦомпутерСелфПермиссион -ОргУнит Десктоп-ови
Давање права на преглед лозинке ЛАПС
Следећи корак је обезбеђивање права за кориснике и групе да читају лозинке локалних администратора смештених у Ацтиве Дирецтори-у на рачунарима домена. На пример, желите да дате члановима АдмПвд групе право на читање рачунарских лозинки у ОУ-у:
Сет-АдмПвдРеадПассвордПермиссион -ОргУнит Десктопс -АлловедПринципалс АдмПвд
Поред тога, можете засебној групи корисника дати право да ресетују лозинку рачунара (у нашем примеру, то право дајемо истој АдмПвд групи).
Сет-АдмПвдРесетПассвордПермиссион -ОргУнит Десктопс -АлловедПринципалс АдмПвд
Конфигуришите ЛАПС групне политике
Затим морате креирати нови ГПО (групна политика) објект и додијелити га ОУ који садржи рачунаре на којима ћете управљати лозинкама администратора.
Да бисте олакшали управљање, можете копирати датотеке административних шаблона ЛАПС (% ВИНДИР% \ ПолициДефинитионс \ АдмПвд.адмк и% ВИНДИР% \ ПолициДефинитионс \ ен-УС \ АдмПвд.адмл) у централно складиште ГПО-а - \\винитпро.ру\ Сисвол\ Политике\ ПолициДефинитион.Креирајте смерницу која се зове Пассворд_Администрадор_Лоцал са следећом наредбом:
Регистер-АдмПвдВитхГПО -ГпоИдентити: Лозинка_Администрадор_Лоцал
У конзоли за управљање смерницама домена (гпмц.мсц) отворите ову смерницу за уређивање и идите на одељак ГПО: Конфигурација рачунара -> Административни предлошци -> ЛАПС.
Као што видите, постоје 4 прилагођена подешавања смерница. Конфигуришите их на следећи начин:
- Омогући локално управљање лозинком администратора: Омогућено (омогућити политику управљања лозинком ЛАПС);
- Подешавања лозинке: Омогућено - сложеност лозинке поставља се у политици, дужини и учесталости промена (слично као и смернице домена за корисничке лозинке);
- Сложеност: Велика слова, мала слова, бројеви, специјални
- Дужина: 12 карактера
- Старост: 30 дана
- Име административног налога за управљање: Не конфигурише се (Ово је име административног налога чија ће се лозинка променити. Подразумевано се мења лозинка за уграђеног администратора са СИД-500);
- Не дозволите да време лозинке истече дуже него што то захтева политика: Омогућено
Доделите лозинку_Администрадор_Лоцал политике на ОУ-у помоћу рачунара (Стони рачунари).
Инсталирајте ЛАПС на клијентским рачунарима путем ГПО-а
Након подешавања ГПО-а, морате да инсталирате ЛАПС клијентски део на рачунаре у домену. ЛАПС клијент можете инсталирати на различите начине: ручно, преко СЦЦМ задатка, скрипте за пријаву итд. У нашем примјеру инсталират ћемо мси датотеку користећи могућност инсталирања мси пакета путем групних политика (ГПСИ).
- Направите заједничку фасциклу у мрежном директорију (или у фолдеру СИСВОЛ на контролеру домена) у који желите копирати мси датотеке дистрибуције ЛАПС;
- Направите нови ГПО и испод Конфигурација рачунара -> Политике -> Подешавања софтвера -> Инсталација софтвера створите задатак да инсталирате МСИ ЛАПС пакет.
Остаје да доделите политику жељеном ОУ, а након поновног покретања, клијент ЛАПС треба да буде инсталиран на све рачунаре у циљном ОУ.
Проверите да ли се на листи инсталираних програма на контролној табли (програми и функције) појављује унос „Локално решење за управљање лозинком администратора“..
Када услужни програм ЛАПС промени лозинку локалног администратора, запис се о томе бележи у апликацијском дневнику (ИД догађаја: 12, Извор: АдмПвд).
Забиљежен је и догађај чувања лозинке у АД атрибуту (ИД догађаја: 13, Извор: АдмПвд).
Овако изгледају нови атрибути рачунара у АД-у.
Савет. Вријеме истека лозинке чува се у "Вин32 ФИЛЕТИМЕ" формату, можете га претворити у свој уобичајени облик, на примјер, овако.Употреба услужног програма ЛАПС за преглед лозинке администратора
На рачунарима администратора мора бити инсталиран графички алат АдмПвд УИ за гледање лозинки ЛАПС.
Покрените услужни програм, унесите име рачунара (у поље име рачунара) и требали бисте видети тренутну лозинку локалног администратора рачунара и датум истека.
Датум истека лозинке може се подесити ручно или можете оставити поље датум празно и притиснути дугме Постави (то значи да је лозинка истекла).
Лозинка се такође може добити помоћу ПоверСхелл-а:
Увоз-модул АдмПвд.ПС
Гет-АдмПвдПассворд -ЦомпутерНаме
Ако мислите да су лозинке локалних администратора на свим рачунарима у одређеном ОУ компромитоване, једном јединицом можете да генеришете нове лозинке за све рачунаре у ОУ. Да бисмо то учинили, потребан нам је цмдлет Гет-АДЦомпутер:
Гет-АДЦомпутер -Филтер * -Стражна база „ОУ = Рачунари, ДЦ = МСК, ДЦ = винитпро, ДЦ = ен“ | Ресет-АдмПвдПассворд -ЦомпутерНаме $ _. Име
Слично томе, можете навести тренутне лозинке за све рачунаре у ОУ:
Гет-АДЦомпутер -Филтер * -Стражна база „ОУ = Рачунари, ДЦ = МСК, ДЦ = винитпро, ДЦ = ен“ | Гет-АдмПвдПассворд -Компјутерско име $ _. Име
ЛАПС се може препоручити као погодно решење за организовање сигурног система управљања лозинком на рачунарима домена са прецизном контролом приступа лозинкама за рачунаре из различитих ОУ. Лозинке се чувају у атрибутима Ацтиве Дирецтори у јасном тексту, али АД уграђени алати могу поуздано да ограниче приступ њима..
Такође препоручујемо да прочитате чланак Осигуравање рачуна администратора на Виндовс мрежи.