Local Administrator Password Solution – Gestione utente Administrator postazioni

Cos’è LAPS

LAPS è un software Microsoft che permette di gestire le password degli amministratori locali in Windows. Maggiori info qui https://technet.microsoft.com/it-it/mt227395.aspx e qui https://adsecurity.org/?p=3164

Precedentemente all’uso di LAPS la password dell’utente locale Administrator era impostata alla stesso modo su tutte le postazioni indifferentemente, questo portava a possibili implicazioni di sicurezza in quanto scoprendo l’unica password utilizzata sarebbe stato consentito l’accesso locale a qualunque postazione in dominio.

Funzionamento

LAPS permette di creare un unico contenitore centralizzato dove conservare le password degli utenti Administrator locali (utenti con SID terminante in .500) delle postazioni in dominio. Permette quindi:

  • avere una password univoca e quindi diversa su ogni computer gestito
  • cambiare regolarmente la password dell’amministratore locale secondo policy stabilite nelle GPO
  • conservare le password in un attributo del computer in Active Directory
  • trasmettere in maniera sicura le password ai computer gestiti

Il software potrebbe essere installato su tutte le postazioni a dominio tramite GPO (che abilitano LAPS, impostano la durata della password, abilitano l’utente Administrator locale ec..) ed automaticamente imposta la password (o la rinnova se scaduta) di Administrator locale ad ogni aggiornamento di GPO.

Installazione e deploy

Lo strumento è scaricabile da qui https://www.microsoft.com/en-us/download/details.aspx?id=46899

Controller

Sui domain controller LAPS va installato solo come tool di gestione (tutto ad esclusione del componente AdmPwd GPO Extension) altrimenti si avrà l’effetto di possibile reset della password amministrativa del dominio in caso di malconfigurazioni.

Terminata l’installazione del tool, va lanciato un prompt di PowerShell con privilegi elevati (li può dare solo un utente del gruppo Schema Admins o Enterprise Admins) ed eseguiti i seguenti comandi:

Import-Module admpwd.ps
#Aggiorna lo schema AD con gli attributi necessari a LAPS
Update-AdmPwdADSchema
#Imposta il permesso ai PC delle OU indicate (i computer gestiti da LAPS) per scrivere gli attributi AD aggiunti
Set-AdmPwdComputerSelfPermission -Identity "nomeOppureDNdellaOUdeiComputerPerCuiLAPSdeveFunzionare"

Impostare nella GPO collegata alla OU dei computer gestiti con LAPS i criteri di funzionamento: Computer Configuration/Policies/Administrative Templates/LAPS

  • complessità password (che deve comunque soddisfare la complessità di altre GPO applicate
  • durata password
  • abilitazione di LAPS

Postazione

LAPS andrà installato nelle postazioni scegliendo il solo componente AdmPwd GPO Extension. L’installazione è possibile effettuarla in modo automatico tramite script impostato nella GPO, tramite distribuzione via GPO o altri metodi…

Ulteriori indicazioni

Per permettere ai computer di poter aggiornare la password di Administrator locale quando scade è sufficiente eseguire con privilegi elevati la cmdlet

Set-AdmPwdComputerSelfPermission -Identity "Computer-CLIENT"

come indicato precedentemente.

Come impostazione predefinita solo i gruppi Domain Admins ed Enterprise Admins possono visualizzare le password gestite tramite LAPS. Se volessimo delegare ad un gruppo specifico la possibilità di vedere tali password sarà necessario eseguire con privilegi elevati il comando seguente in Powershell

Set-AdmPwdReadPasswordPermission -Identity "nomeOppureDNdellaOUdeiComputerPerCuiLAPSdeveFunzionare" -AllowedPrincipals "nomeGruppoACuiDareIlPermessoDiVisione"

Visione password

Per vedere la password di Administrator locale di una postazione è necessario quindi avviare il software LAPS UI presente sui domain controller, indicare il nome del computer e cliccare Search. Verrà mostrata la password e la data di scadenza.

Sarà possibile anche (se avviato con privilegi di amministrazione) impostare un nuovo momento di scadenza della password (ad esempio dopo averla data ad un utente per un accesso temporaneo).

Risulta possibile vedere la password anche tramite accesso all’alberatura LDAP, infatti viene salvata in chiaro (ma visibile solo ai Domain Admins) come attributo del computer: ms-Mcs-AdmPwd

Aggiungi ai preferiti : permalink.

I commenti sono chiusi.