מאמר זה הוא חלק שלישי ואחרון של סדרת המאמרים בנושא LAPS. כאן תמצאו את החלק הראשון. כאן תמצאו את החלק השני.
הגדרת ה- Group policy settings
צעד ראשון בהחלת ה-GPO הוא העתקת קבצי ה- ADMX/L לתיקית ה- GPO Central store בשרת ה- Domain Controller
(קבצי ה- ADMX/L יהיו במחשבים שעליהם הותקן ה- LAPS management pack)
C:\Windows\PolicyDefinitions\AdmPwd.admx
לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml
לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US
במידה ועדיין לא יצרתם את תיקיית ה- Central store ( תיקיית ה- PolicyDefinitions) תחת תיקיית ה- Sysvol, זה הזמן…
השלב הבא, יצירת GPO חדש ושיוך ה- GPO לכל ה- OUs של השרתים/מחשבים שאנחנו רוצים לנהל את סיסמת ה- Local Administrator שלהם (או שימוש ב- GPO קיים שכבר חל על ה- OUs הרלוונטים)
"Enable local admin password management" – חייב להיות ב- Enabled על מנת שה- Client side extension יבצע את החלפת הסיסמא הראשון ויעדכן את ה- Attributes של ה- Computer account
"Password Settings" – במידה ולא מאפשרים את ה- Settings יחולו על המחשב הגדרות ברירת המחדל:
תוקף סיסמא – 30 יום, אורך סיסמא – 14 תווים והגדרות Complexity המכילה 4 סוגי תווים : אותיות קטנות, גדולות, מספרים ו- Special character
Special characters כוללים ,.-+;!#&@{}[]+$/()%
"Name of Administrator account to manage" – אין צורך לאפשר את הההגדרה במידה וה- build-in administrator הוא ה- Account שפעיל (אין צורך לאפשר גם במידה ובוצע rename ל-build-in administrator, מכיוון שה-GPO Client side extension מחפש את ה-Well-Known SID של החשבון משתמש). רק במידה ובחרתם לבטל את ה- Build-in Administrator בכל המחשבים וליצור אחד בשם אחר במקומו , יש צורך בהפעלת ב- Enabled תוך ציון שם ה- Local administrator
ניהול סיסמאות ה-Local Administrator של מחשבים מרוחקים
משתמשים מורשים (חברים בקבוצת Domain admins ובקבוצה שלה אפשרנו הרשאת All extended rights על ה- OUs של המחשבים הנשלטים) יכולים לצפות בסיסמת ה-Administrator של המחשבים המרוחקים וליזום החלפת סיסמא ממחשב שמותקן עליו ה- Management tools על ידי שימוש ב-LAPS UI או בעזרת Powershell לאחר טעינת ה- AdmPwd.PS module
התקנת ה- Management tools
LAPS UI
מאפשר חיפוש של סיסמת administrator במחשב מרוחק והקדמת זמן החלפת הסיסמא
Powershell
לאחר טעינת ה- Module
Import-Module admpwd.ps
נשתמש בפקודה הבאה על מנת לקבל את סיסמת ה- administrator של המחשב המרוחק
Get-AdmPwdPassword -ComputerName corpwin7
ובפקודה הבאה על מנת לשנות את תאריך שינוי הסיסמא
Reset-AdmPwdPassword -ComputerName corpwin7 -WhenEffective "5/12/2015 14:00:00"
- ללא שימוש ב WhenEffective switch , תתבצע החלפת הסיסמא ב- refresh הבא של ה- GPO במחשב המרוחק
לסיכום, פתרון נהדר ופשוט להטמעה שמגביר באופן משמעותי את רמת האבטחה בארגון.
אז קדימה לעבודה!
