Cos’è LAPS
LAPS è un software Microsoft che permette di gestire le password degli amministratori locali in Windows. Maggiori info qui https://technet.microsoft.com/it-it/mt227395.aspx e qui https://adsecurity.org/?p=3164
Precedentemente all’uso di LAPS la password dell’utente locale Administrator era impostata alla stesso modo su tutte le postazioni indifferentemente, questo portava a possibili implicazioni di sicurezza in quanto scoprendo l’unica password utilizzata sarebbe stato consentito l’accesso locale a qualunque postazione in dominio.
Funzionamento
LAPS permette di creare un unico contenitore centralizzato dove conservare le password degli utenti Administrator locali (utenti con SID terminante in .500) delle postazioni in dominio. Permette quindi:
- avere una password univoca e quindi diversa su ogni computer gestito
- cambiare regolarmente la password dell’amministratore locale secondo policy stabilite nelle GPO
- conservare le password in un attributo del computer in Active Directory
- trasmettere in maniera sicura le password ai computer gestiti
Il software potrebbe essere installato su tutte le postazioni a dominio tramite GPO (che abilitano LAPS, impostano la durata della password, abilitano l’utente Administrator locale ec..) ed automaticamente imposta la password (o la rinnova se scaduta) di Administrator locale ad ogni aggiornamento di GPO.
Installazione e deploy
Lo strumento è scaricabile da qui https://www.microsoft.com/en-us/download/details.aspx?id=46899
Controller
Sui domain controller LAPS va installato solo come tool di gestione (tutto ad esclusione del componente AdmPwd GPO Extension) altrimenti si avrà l’effetto di possibile reset della password amministrativa del dominio in caso di malconfigurazioni.
Terminata l’installazione del tool, va lanciato un prompt di PowerShell con privilegi elevati (li può dare solo un utente del gruppo Schema Admins o Enterprise Admins) ed eseguiti i seguenti comandi:
Import-Module admpwd.ps #Aggiorna lo schema AD con gli attributi necessari a LAPS Update-AdmPwdADSchema #Imposta il permesso ai PC delle OU indicate (i computer gestiti da LAPS) per scrivere gli attributi AD aggiunti Set-AdmPwdComputerSelfPermission -Identity "nomeOppureDNdellaOUdeiComputerPerCuiLAPSdeveFunzionare"
Impostare nella GPO collegata alla OU dei computer gestiti con LAPS i criteri di funzionamento: Computer Configuration/Policies/Administrative Templates/LAPS
- complessità password (che deve comunque soddisfare la complessità di altre GPO applicate
- durata password
- abilitazione di LAPS
Postazione
LAPS andrà installato nelle postazioni scegliendo il solo componente AdmPwd GPO Extension. L’installazione è possibile effettuarla in modo automatico tramite script impostato nella GPO, tramite distribuzione via GPO o altri metodi…
Ulteriori indicazioni
Per permettere ai computer di poter aggiornare la password di Administrator locale quando scade è sufficiente eseguire con privilegi elevati la cmdlet
Set-AdmPwdComputerSelfPermission -Identity "Computer-CLIENT"
come indicato precedentemente.
Come impostazione predefinita solo i gruppi Domain Admins ed Enterprise Admins possono visualizzare le password gestite tramite LAPS. Se volessimo delegare ad un gruppo specifico la possibilità di vedere tali password sarà necessario eseguire con privilegi elevati il comando seguente in Powershell
Set-AdmPwdReadPasswordPermission -Identity "nomeOppureDNdellaOUdeiComputerPerCuiLAPSdeveFunzionare" -AllowedPrincipals "nomeGruppoACuiDareIlPermessoDiVisione"
Visione password
Per vedere la password di Administrator locale di una postazione è necessario quindi avviare il software LAPS UI presente sui domain controller, indicare il nome del computer e cliccare Search. Verrà mostrata la password e la data di scadenza.
Sarà possibile anche (se avviato con privilegi di amministrazione) impostare un nuovo momento di scadenza della password (ad esempio dopo averla data ad un utente per un accesso temporaneo).
Risulta possibile vedere la password anche tramite accesso all’alberatura LDAP, infatti viene salvata in chiaro (ma visibile solo ai Domain Admins) come attributo del computer: ms-Mcs-AdmPwd