שלום לכם! בסדרת הכתבות הבאות אציג בפניכם את LAPS – הפתרון החדש של מיקרוסופט.
אחד הדגשים העיקריים שלנו במיקרוסופט מאז ומתמיד הוא אבטחת המידע. נוכח הפריצות בשנים האחרונות לארגונים גדולים דוגמת איי.ביי, ג'י פי מורגן, סוני, ארגונים פיננסיים וממשלתיים ורבים אחרים, אני תמיד מדגיש את חשיבות אבטחת המידע במסגרת מפגשים עם לקוחות Premier והסכנה ממתקפות Credential theft הידועות גם בשם מתקפות Pash The Hash או בקיצור PtH.
אחד הצעדים להפחתת הסיכון הוא הגדרת סיסמת שונה ל- Build-in Local Administrator בכל תחנות הקצה והשרתים בארגון והחלפת הסיסמא אחת לתקופה. נשמע מורכב עד בלתי אפשרי, נכון? הרי המחשבים בארגון מותקנים בדרך כלל מ-image סטנדרטי או באמצעות מוצר להפצת מערכת הפעלה דוגמת Microsoft WDS, MDT AIK והתוצאה של כל אחד מהפתרונות היא מערכת הפעלה עם סיסמת Local administrator זהה לכולם…
אז איך מתמודדים עם הסוגיה? איך דואגים לכך שסיסמת ה- Local administrator תהיה שונה ממחשב למחשב? איך דואגים לכך שהסיסמא תתחלף אחת לתקופה? ואיך ידע מנהל הרשת, טכנאי ה- PC או תומך ה- HelpDesk את הסיסמא הנוכחית של המחשב הספציפי? התשובה לכל השאלות היא -Local Administrator Password Solution
LAPS הוא הפתרון למנהלי IT שרוצים לכפות סיסמא שונה ומתחלפת באופן אוטומטי אחת לתקופה ל- Local Administrator במחשבים / שרתים מסויימים או על בכל המחשבים והשרתים שחברים ב- Domain.
הפתרון מבוסס על GPO Client side extension – קובץ DLL המתוקן על המחשב אשר רץ במחשב בכל Refresh של ה- GPO ובמידה והגיע העת להחליף את הסיסמא של ה- Local Administrator, ה- CSE מבצע את שינוי הסיסמא ומעדכן את הסיסמא החדשה ב- Attribute חדש של ה- Computer account ב- Domain (העברת הסיסמא מהמחשב ל- Active Directory מוגנת באמצעות הצפנת Kerberos, אז בואו לא נתבלבל).
הפתרון מבטיח שסיסמת ה- Local Administrator לא תשתנה במידה והמחשב מנותק מה- Domain.
הסיסמא כן תשתנה כאשר המחשב מחובר דרך VPN או Direct Access כל עוד יש גישה ל- Active Directory.
משתמשים מורשים יוכלו לקרוא ולאפס את סיסמת ה- Local administrator של המחשבים המנוהלים באמצעות ה- LAPS UI או בעזרת PowerShell
דרישות קדם לשימוש בפתרון:
Active Directory
- Windows 2003 SP1 ומעלה
Managed Machines
- Windows Vista ומעלה
- Windows 2003 עם ה- Service Pack העדכני (Itanium לא נתמך)
- X86 או x64
- הדרישה היא רק התקנת ה- MSI File אשר בפועל מעתיק למחשב את קובץ ה- DLL ומבצע את רישומו ( group policy client side extension DLL )
כלי הניהול
כלי הניהול צריך להיות מותקן על תחנות של מי שינהל את הפתרון או צריך גישה לאתר את סיסמת ה- Administrator של מחשבים מרוחקים (למשל מחשבי תומכי PC או צוות ההלפדסק)
על התחנות המדוברות יש צורך בהתקנת:
- .Net Framework 4.0
- PowerShell 2.0 או גרסה חדשה יותר
- תהליך התקנת ה- Client
- הרחבת ה- AD Schema
- הגדרת ההרשאות על ה- Attributes שהתווספו ל- Schema
