نصب و راه اندازی LAPS سرویس متمرکز مدیریت پسورد ادمین لوکال

اگه نمیدونید LAPS چیه و به چه دردی میخوره اول یه نگاهی به این نوشتار بندازید:

مدیریت local admin سیستمها از راه دور LAPS

فایل LAPS.x64.msi را از سایت مایکروسافت دانلود و روی دامین کنترلر یا DC نصب کنید.

آدرس دانلود: https://www.microsoft.com/en-us/download/details.aspx?id=46899

فایل LAPS.X64 را اجرا و نصب کنید و در مراحل نصب تمام دسترسی های لازم را به برنامه بدهید(دسترسی به AdmPwd GPO Extension , Management Tools ) تا در تنظیمات سفارشی شده خود مایکروسافت نصب و انجام بشه.

کانفیگ اکتیو دایرکتوری برای سرویس LAPS

دستورات زیر را با یک حساب که دسترسی Domain Administrator دارد در محیط Power Shell با دسترسیAdministrator اجرا کنید و دستورات زیر را به تریب در آن وارد کنید.

Import-Module AdmPwd.ps

Update-AdmPwdADSchema

به کلاینت هایی که میخواین پسورد اونا توسط این سرویس بروزرسانی بشه باید دسترسی مجاز داده بشه که با دستور زیر میتونیم این دسترسی رو اعطا کنیم.

Set-AdmPwdComputerSelfPermission -OrgUnit “Computers OR distinguished name of organizational unit”

نکته: میتونیم مستقیم نام کامپیوتر ها رو صدا بزنیم  یا با استفاده از ساختار Distinguished Name اونها رو تعریف کنیم.

اضافه کردن فایل های LAPS به Central Group Policy

فایل های AdmPwd.admx  و AdmPwd.adml از مسیر زیر در مقصد گفته شده کپی میکنیم:

• AdmPwd.admx

کپی از    C:\Windows\PolicyDefinitions\AdmPwd.admx در مقصد:

\\yourdomain\SYSVOL\yourdomain\Policies\PolicyDefinitions\

• فایل AdmPwd.adml

کپی از C:\Windows\PolicyDefinitions\en-us\AdmPwd.adml در مقصد:

\\yourdomain\SYSVOL\yourdomain\Policies\PolicyDefinitions\en-us

به جای عبارت yourdomain نام دامین خودتون رو قرار بدید.

ساخت نرم افزار Agent LAPS با استفاده از GPO

1. فایل نصبی x64,msi رو در مسیری دلخواه داخل شبکه Share میکنیم.
2. از دامین کنترلر، Group Policy Management را باز میکنیم و یک GPO جدید ایجاد میکنیم و نام مناسبی برای اون انتخاب میکنیم.
3. GPO را ویرایش میکنیم و برای افزودن فایلx64 به ادرس زیر میرویم و فایل LAPS.x64 رو به اون اضافه میکنیم.

Computer Configuration > Policies > Software Settings > Software Installation (right click) > New > Package

4. روش استقرار برنامه رو به صورت Assigned انتخاب میکنیم.

5. سپس تنظیمات LAPS رو در مسیر زیر پیکربندی میکنیم:

Computer Configuration > Policies > Administrative Templates > LAPS

Password Settings : خط‌مشی تنظیمات رمز عبور طول رمز عبور و حداکثر سنی را که می‌توان قبل از بازنشانی به آن برسد، تعیین می‌کند. هنگامی که رمز عبور بازنشانی می شود، مهر زمانی تاریخ تنظیم مجدد در AD ثبت می شود. اگر زمان سپری شده از تاریخ مهر زمانی و تاریخ فعلی از این مقدار بیشتر شود، کامپیوتر رمز عبور را بازنشانی می کند و AD را با رمز عبور جدید و تاریخ و زمان فعلی به روز می کند.

Enable local admin password management : مدیریت رمز عبور ادمین محلی را فعال کنید. این را روی Enabled قرار دهید. این امکان مدیریت گذرواژه‌ها را برای همه ماشین‌ها در محدوده این خط‌مشی گروه فراهم می‌کند.

Do not allow a password expiration time that is longer than required by policy : اجازه ندهید زمان انقضای گذرواژه بیشتر از زمانی باشد که طبق خط‌مشی لازم است. این را روی Enabled قرار دهید. این اطمینان حاصل می کند که رمزهای عبور نمی توانند مدت اعتبار بیشتری نسبت به آنچه در خط مشی شما تعریف شده است داشته باشند.

6. پس از تنظیمات گروپ پالیسی آن را بر روی OU مورد نظر Link میکنیم.
7. کلاینت مورد نظر را ریستارت میکنیم تا تنظیمات ما روی آن نوشته شود.(ممکن است نیاز باشد چندین مرتبه ریستارت انجام شود.)

نکته: گاهی مواقع به علت کندی شبکه نصب Agent LAPS ممکن است روی سیستم کلانت اعمال نشود برای رفع این محدودیت یک پالیسی دیگر به ادرس زیر را دنبال میکنیم :

Computer Configuration > Policies > Administrative Templates > System > Group Policy

Enable the Specify startup policy processing wait time. Set Amount of time to wait (in seconds): = 120

نمایش و مدیریت پسورد ها با استفاده از پاور شل

1. برای نمایش پسورد هایی که روی سیستم ها ست شده است میتونیم از کد زیر استفاده کنیم:

Get-ADComputer -filter {ms-mcs-admpwdexpirationtime -like ‘*’} -Properties ‘ms-mcs-admpwd’,’ms-mcs-admpwdexpirationtime’ | select dnshostname,ms-mcs-admpwd

اگر یک سیستم هدف را نیاز داشتید میتونید از دستور زیر برای این کار استفاده کنید و به جای “Computer Name”از نام کامپیوتر مقصد استفاده کنید:

Get-AdmPwdPassword -ComputerName ” Computer Name “

2. برای اینکه بفهمیم کدام سیستم ها LAPS روی آنها نصب نشده است میتوانیم از کد زیر استفاده کنیم :

Get-ADComputer -filter {ms-mcs-admpwd -notlike “*”} | select dnshostname

3. میتوانیم با استفاده از محیط گرافیکی GUI هم این کار انجام دهیم فقط کافیست که عبارت LAPS UI را در سرور خود جستجو کنید و فایل آن را اجرا کنید. در قسمت Computer Name نام سیستم مورد نظر خود را جستجو کنید و اطلاعات مربوط به آن را استخراج و استفاده کنید.

نتیجه گیری

سرویس LAPS (Local Administrator Password Solution) یک سرویس امنیتی از مایکروسافت است که برای مدیریت و به روزرسانی رمز عبور حساب کاربری Administrator محلی در سیستم‌های ویندوز استفاده می‌شود. حساب کاربری Administrator محلی یک حساب پیش فرض در سیستم‌های ویندوز است که دسترسی کامل به سیستم را فراهم می‌کند. با استفاده از سرویس LAPS، رمز عبور این حساب به طور خودکار تغییر می‌کند و توسط سرویس LAPS مدیریت می‌شود.

مهمترین هدف از استفاده از سرویس LAPS، افزایش امنیت سیستم‌ها است. با تغییر خودکار رمز عبور حساب Administrator محلی و جلوگیری از استفاده مداوم از یک رمز ثابت، تهدیدات امنیتی مانند حملات برقراری ارتباط از راه دور و بهره‌برداری از حساب Administrator محلی به طور غیرمجاز کاهش می‌یابند.

سرویس LAPS برای محیط‌های شبکه بزرگ و سازمانی که تعداد زیادی سیستم را مدیریت می‌کنند، بسیار مفید است. با استفاده از این سرویس، مدیران می‌توانند رمز عبور حساب Administrator محلی را در سیستم‌های مختلف به‌روزرسانی کنند و به راحتی از دسترسی ناخواسته به این حساب جلوگیری کنند.