A helyi rendszergazdai jelszavak Windows-tartományon belüli kezelése biztonsági rémálom lehet. Ugyanazon jelszó használata mindenhol kényelmes, de veszélyes, míg az egyedi jelszavak kézi követése gyorsan kezelhetetlenné válik. A Microsoft helyi adminisztrátori jelszómegoldása (LAPS) elegáns megoldást kínál azáltal, hogy automatikusan generálja, elforgatja és biztonságosan tárolja a véletlenszerű jelszavakat minden számítógép helyi rendszergazdai fiókjához.
A LAPS integrálódik az Active Directoryba, hogy leegyszerűsítse a telepítést és a hozzáférés-szabályozást. Gondoskodik arról, hogy még ha az egyik gépet is feltörik, a támadó ne tudja használni a helyi rendszergazdai jelszót más számítógépek eléréséhez. Fedezze fel, hogyan működik a LAPS, és hogyan állíthatja be a környezetében.
A LAPS a Microsoft ingyenes eszköze, amely automatizálja a helyi rendszergazdai jelszókezelést a tartományhoz csatlakozó Windows számítógépeken. Főbb jellemzői a következők:
- Egyedi, összetett jelszavak automatikus generálása minden számítógéphez.
- A jelszavak biztonságos tárolása az Active Directoryban, hozzáférés-vezérlési listákkal (ACL) védve.
- Konfigurálható jelszó összetettsége, hossza és forgatási ütemezése.
- Integráció a meglévő Active Directory felügyeleti eszközökkel.
- Szükség esetén azonnali jelszó-visszaállítás kényszerítése.
A megosztott helyi rendszergazdai jelszavak kiiktatásával a LAPS jelentősen csökkenti az oldalirányú mozgások támadásainak kockázatát a hálózaton belül.
LAPS beállítása az Ön környezetében
A LAPS megvalósítása több lépésből áll. Íme egy részletes útmutató a kezdéshez:
1. lépés:Töltse le a LAPS-t a Microsoft letöltőközpontjából. Külön telepítőket talál a 32 bites (x86) és 64 bites (x64) rendszerekhez, valamint a dokumentációt, beleértve a kezelési útmutatót és a műszaki specifikációkat.
További olvasnivalók:A Windows LAPS-fiók jelszavának visszafejtésére vonatkozó engedély hiba kijavítása
2. lépés:Készítse elő az Active Directory környezetet. Ki kell bővítenie az AD sémát új attribútumokkal a LAPS jelszavak és a lejárati idők tárolására. Ehhez Domain Admin vagy Enterprise Admin jogosultság szükséges.
3. lépés:Telepítse a LAPS-ügyfelet egy felügyeleti munkaállomásra. Ez a számítógép a LAPS-házirendek konfigurálására és a jelszavak lekérésére szolgál, ha szükséges.
4. lépés:Konfigurálja a LAPS csoportházirend-beállításait. Hozzon létre egy új csoportházirend-objektumot (GPO), vagy módosítson egy meglévőt, hogy tartalmazza a LAPS-beállításokat. A legfontosabb beállítások a következők:
- Helyi rendszergazdai jelszókezelés engedélyezése
- Jelszó bonyolultsága
- Jelszó hossza
- Jelszó kora (milyen gyakran kell forgatni)
5. lépés:Telepítse a LAPS-ügyfelet a tartományhoz csatlakozó számítógépekre. Használhatja a csoportházirendet, a System Center Configuration Managert vagy az előnyben részesített szoftvertelepítési módszert a LAPS CSE (ügyféloldali bővítmény) telepítéséhez az összes felügyelt gépen.
6. lépés:Állítsa be a hozzáférés-vezérlést az Active Directoryban. Határozza meg, hogy mely felhasználóknak vagy csoportoknak legyen jogosultsága a LAPS által kezelt jelszavak olvasására vagy visszaállítására. Általában ez magában foglalja az ügyfélszolgálat munkatársait és a rendszergazdákat.
7. lépés:Tesztelje a LAPS-telepítést a számítógépek egy kis csoportján, mielőtt széles körben elterjedne. Ellenőrizze, hogy a jelszavak előállítása, tárolása és elforgatása megfelelően történik-e.
A LAPS használata a napi műveletekben
A LAPS üzembe helyezése után az alábbiak szerint működik a gyakorlatban:
Jelszavak lekérése:A felhatalmazott felhasználók lekérhetik egy adott számítógép aktuális helyi rendszergazdai jelszavát a LAPS UI eszköz, a PowerShell-parancsmagok használatával vagy az Active Directory közvetlen lekérdezésével. Például a PowerShell használatával:
Get-AdmPwdPassword -ComputerName "PC001"Jelszó-visszaállítás kényszerítése:Ha azt gyanítja, hogy egy jelszót feltörtek, azonnali visszaállítást kényszeríthet:
Reset-AdmPwdPassword -ComputerName "PC001"Auditálás:A LAPS integrálódik a meglévő Active Directory auditálással, lehetővé téve annak nyomon követését, hogy kik fértek hozzá, illetve kik állítottak vissza jelszavakat.
A LAPS bevezetésének legjobb gyakorlatai
Ha a legtöbbet szeretné kihozni a LAPS-ből, vegye figyelembe az alábbi bevált módszereket:
- A csoportházirend használatával következetesen telepítheti a LAPS-beállításokat a szervezetben.
- A LAPS jelszavakhoz való hozzáférés megadásakor alkalmazza a legkisebb jogosultság elvét.
- Rendszeresen ellenőrizze, hogy kinek van hozzáférése a LAPS jelszavak olvasásához és visszaállításához.
- Fontolja meg a LAPS használatát más biztonsági intézkedésekkel, például privilegizált hozzáférésű munkaállomásokkal (PAW) együtt az érzékeny adminisztratív feladatokhoz.
- Tartsa naprakészen a LAPS klienst és a felügyeleti eszközöket, hogy kihasználhassa a legújabb biztonsági fejlesztéseket.
A Microsoft helyi adminisztrátori jelszómegoldása robusztus, könnyen megvalósítható választ kínál a helyi rendszergazdai jelszókezelés örökös problémájára. A jelszavak rotációjának automatizálásával és a meglévő Active Directory infrastruktúra kihasználásával a LAPS megerősíti szervezete biztonsági helyzetét anélkül, hogy jelentős bonyolultságot tenne. Próbálja ki – jövőbeli énje (és biztonsági csapata) hálás lesz érte.
