Microsoft LAPS: protezione degli account di amministratore locale

Romain

6 mesi fa

introduzione

Microsoft LAPS (Local Administrator Password Solution) è una soluzione gratuita fornita da Microsoft che aiuta a proteggere le workstation.

LAPS consente a ciascun computer presente nell’unità organizzativa di generare in modo casuale una password per l’account dell’amministratore locale e di salvarla in un attributo di Active Directory (ms-Mcs-AdmPwd). Si basa sul SID dell’account che è strutturato allo stesso modo su qualsiasi postazione di lavoro, il che permette di applicare LAPS a qualsiasi linguaggio di Windows o addirittura di rinominare l’account amministratore.

È anche possibile configurare una data di scadenza della password (ms-Mcs-AdmPwdExpirationTime), che imporrà una nuova password per l’account dell’amministratore locale.

LAPS è disponibile in forma “client/server”, richiede l’installazione di una parte sui server del controller di dominio e la registrazione di una DLL sulle workstation client.

Prerequisiti:

Server minimo: Windows 2003 SP1.
Computer minimo: Windows 8.1.

Se ti trovi in un ambiente con diversi controller di dominio, devi installare la definizione dei criteri di gruppo su tutti i server o utilizzare un archivio centrale. Nel secondo caso, dopo l’installazione, è necessario copiare i file (%WINDIR%\PolicyDefinitions\AdmPwd.admx e %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) nell’archivio centrale.

Download LAPS

Installazione di LAPS

Installa LAPS sul controller di dominio

Su un controller di dominio eseguire il file di download.

Quando si avvia la procedura guidata di installazione, fare clic su Avanti 1.

Selezionare la casella per accettare il contratto di licenza 1 e fare clic su Avanti 2.

Installare tutti i componenti 1 quindi fare clic su Avanti 2.

Fare clic su Installa 1.

Una volta completata l’installazione, chiudere la procedura guidata facendo clic su Fine 1.

Ora che LAPS è installato su un controller di dominio, vedremo come installarlo sulle workstation client.

Installazione del client LAPS

Per distribuire la parte “client” di LAPS sulle workstation, sono disponibili diverse soluzioni:

Installazione manuale selezionando solo il componente AdmPwd GPO Extension.
Installazione tramite uno strumento di distribuzione software (SCCM / WAPT).
Installazione tramite oggetto Criteri di gruppo.
Installazione con script: msiexec /i <file location>\LAPS.x64.msi /quiet
Copia il file AdmPwd.dll e salvalo sul computer regsvr32.exe AdmPwd.dll

A seconda del tuo ambiente, ti lascerò scegliere la soluzione migliore.

Aggiornamento dello schema di Active Directory

Per funzionare correttamente LAPS deve modificare lo schema di Active Directory per aggiungere due attributi ai computer.

Nel controller di dominio in cui è stato installato, aprire un prompt dei comandi di PowerShell con diritti di amministratore.

Carica il modulo PowerShell:

Import-Module AdmPwd.PS

Aggiorna lo schema:

Update-AdmPwdADSchema

Il comando dovrebbe restituire il seguente risultato:

Operation            DistinguishedName                                                 Status
---------            -----------------                                                 ------
AddSchemaAttribute   cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=l... Success
AddSchemaAttribute   cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=lab,DC=intra       Success
ModifySchemaClass    cn=computer,CN=Schema,CN=Configuration,DC=lab,DC=intra            Success

Lo schema è stato modificato e sono stati aggiunti gli attributi.

Vedremo ora come configurare LAPS.

Configurazione LAPS

Aggiunta di autorizzazioni in Active Directory

La configurazione LAPS viene eseguita tramite OR a livello di Active Directory. In questo tutorial applicheremo la policy relativa alla password sui computer dell’unità organizzativa 1 che si trova nell’UO LAB.

Prima di configurare i criteri di gruppo, è necessario concedere agli oggetti Computer i diritti per modificare i propri attributi. Apri un prompt dei comandi di PowerShell.

Carica il modulo:

Import-Module AdmPwd.PS

Caso 1: esiste un’unica unità organizzativa denominata Computer:

Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"

Caso 2: diverse unità organizzative sono chiamate Computer:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"

Risultato del comando:

Name                 DistinguishedName                                                 Status
----                 -----------------                                                 ------
Computers            OU=Computers,OU=LAB,DC=lab,DC=intra                               Delegated

Se più unità organizzative hanno lo stesso nome e si applica il comando nel caso 1, la delega verrà applicata a tutte le unità organizzative. Il comando restituirà anche un errore.

Oggetto Criteri di gruppo per applicare le impostazioni ai computer

Ora che i computer possono modificare i propri attributi, è necessario creare una policy di gruppo. Aprire la console Gestione criteri di gruppo, fare clic con il pulsante destro del mouse su OPPURE 1 dove verrà applicato e fare clic su Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui 2.

Assegnare un nome alla strategia 1 e fare clic su OK 2.

Ora che la policy è stata creata, la configureremo, fare clic con il tasto destro su di essa 1 e fare clic su Modifica 2.

Andare su Configurazione computer/Criteri/Modelli amministrativi/LAPS 1. Questa posizione contiene i vari parametri di configurazione. Aprire Impostazioni password 2 per configurare la password.

Abilita le impostazioni 1 quindi configura la complessità della password 2 utilizzando le diverse impostazioni. Fare clic su Applica 3 e su OK 4.

Aprire il parametro Abilita gestione password amministratore locale, attivare 1 quindi fare clic su Applica 2 e OK 3. È necessario abilitare questa impostazione per abilitare la gestione della password.

Se è stato modificato l’account amministratore locale e ne è stato creato uno nuovo, è possibile indicarlo con il parametro Nome dell’account amministratore da gestire.

Riepilogo delle impostazioni dei Criteri di gruppo:

Ora che i Criteri di gruppo sono pronti, forzane l’aggiornamento in modo che i computer recuperino le impostazioni e generino una password per l’account amministratore locale.

Visualizza la password generata da LAPS

Ora che i nostri computer hanno una password diversa, vedremo come recuperare la password.

Dall’Active Directory

La visualizzazione delle funzionalità avanzate deve essere abilitata.

Con la console Utenti e computer di Active Directory, aprire le proprietà del computer, passare alla scheda Editor attributi 1 e cercare l’attributo ms-Mcs-AdmPwd 2.

Con il cliente LAPS

Durante l’installazione di LAPS sul server, tutti i componenti sono stati installati. Un client è disponibile tramite il menu Start. Una volta avviato, inserire il nome del computer 1 quindi fare clic su Cerca 2 per visualizzare la password 3 e la data di scadenza 4.

E’ possibile modificare la data di scadenza della password, una volta configurata cliccare su Imposta. La modifica della password sarà effettiva quando si applicano i criteri di gruppo al computer.

Consenti la visualizzazione della password a un gruppo AD

Per impostazione predefinita, il gruppo Domain Admins può visualizzare l’attributo che contiene la password per l’account amministratore locale della workstation. Potrebbe essere necessario fornire l’accesso tramite password ad altre persone, ad esempio persone del team di supporto se non sono membri del gruppo Domain Admins.

La parte client di LAPS dovrà essere installata sul proprio computer per visualizzare la password.

Sul controller di dominio, aprire la console Modifica ADSI, fare clic con il pulsante destro del mouse su Modifica ADSI 1 e fare clic su Connessione 2.

Scegliere Contesto di assegnazione predefinito 1 e fare clic su OK 2.

Una volta connesso, aprire le proprietà dell’unità organizzativa in cui è stato configurato LAPS.

Vai alla scheda Sicurezza 1 e fai clic sul pulsante Avanzate 2.

Fare clic su Aggiungi 1.

Selezionare il gruppo 1, digitare: Consenti 2. Controllare l’autorizzazione Tutti i diritti estesi 3 e convalidare facendo clic su OK 4.

Le autorizzazioni sono state aggiunte all’unità organizzativa, fare clic su Applica 1 quindi su OK 2 per convalidare. Quindi chiudi le finestre.

È possibile fare la stessa cosa in PowerShell usando il seguente comando:

Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

È possibile verificare l’accesso in PowerShell utilizzando il seguente comando:

Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders

ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}

Gli utenti del gruppo SupportSI ora hanno la possibilità di visualizzare la password dell’account dell’amministratore locale.

Per concedere l’autorizzazione al gruppo SupportSI per modificare la data di scadenza della password, immettere il seguente comando di PowerShell:

Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

Conclusione

LAPS è una soluzione gratuita che aiuta a proteggere l’account amministratore locale su computer client e server.

Trovo ancora più interessante questa soluzione sui server che permette di avere una password diversa per ognuno di essi e aumentare così la sicurezza. La scadenza e il rinnovo automatici della password forniscono ulteriore sicurezza quando una persona IT lascia l’azienda.