مدیریت local admin سیستمها از راه دور LAPS

یک Domain راه اندازی کردیم و چند صد کلاینت رو عضو دامین کردیم. الان مدیریت پسورد لوکال ادمین Local admin کامپیوتر پرسنل بد جور روی اعصابه! اگه بخوایم همه پسوردها رو عوض کنیم، کلی مشکلات داریم:

1. کی بره این همه راه رو! چند نفر باید چند ساعت زمان بگذارند تک تک کلاینتها رو تغییر پسورد ویندوز بدن؟!
2. اصلا چی بگذاریم پسورد ادمین لوکال رو؟ همه رو مشترک بگذاریم؟ اگه یکیش لو رفت چی؟! همش لو رفته! اگه متفاوت بگذاریم این حجم اطلاعات رو کجا نگه داریم اصلا؟
3. اصولا باید چند وقت یکبار تغییر بدیم پسوردها رو! اوه! چه مصیبتی بشه هر 40 روز یکبار!

اما راه حل چیه؟

راه حل سادست! پیاده سازی سرویس Local Administrator Password Solution یا LAPS که تعریف سادش اینه: یک سرویس مدیریت پسورد برای محصولات ماکروسافت. خلاص.

بیاین یکبار دیگه خلاصه بررسی کنیم اصلا صورت مساله چی بود؟

تصور کنید شما مدیر شبکه یک سازمان بزرگ هستین که 1000تا کامپیوتر کلاینت توی این مجموعه داره تحت شبکه دامین شما کار میکنه و با استقرار ویندوز جدید در هر نقطه ای از شبکه یک رمز عبور واحد برای ورود به همه سیستم ها استفاده میشه که این حساب محلی یک راه جایگزین برای ورود به سیستم ها هنگام عیب یابی مشکلات دستگاهه بخصوص زمانی که شبکه از کار افتاده و شما مجبورید از پسورد لوکال ادمین استفاده کنید! عجب مصیبتی! اما داشتن یک رمز عبور یکسان برای یک عالمه دستگاه، یک خطر امنیتی بزرگه. کافیه یکیش لو بره! راه حل این مشکلات استفاده از LAPS هست.

اما داشتن پسورد یکسان برای حسابای ادمین محلی چه تهدیدی برای شبکه ما ایجاد میکنه؟
زمانی که مهاجم به یک حساب محلی در شبکه ما دسترسی داشته باشه از طریق همون اعتبار میتونه به سایر دستگاه های شبکه دسترسی داشته باشه. بنابراین استفاده از رمز عبور منحصر بفرد برای هر دستگاه توصیه اکید هست!

برای مدیریت این پسوردها میتونیم از LAPS استفاده کنیم. نکته های جذاب اینهاست:

• این سرویس، خودش پسورد های منحصر به فرد در بازه های زمانی مشخص شده رو تولید میکنه
• این پسورد تولید شده، از طریق یک بستر ارتباطی امن که رمزنگاری شده توسط پروتکل Kerberos v5 به مقصد نهایی که سیستم کلاینت باشه، منتقل میکنه
• جالب تر از همه اینکه این پسورد ها همگی توی اکتیو دایرکتوری ما به صورت متمرکز ذخیره میشه
• فقط افرادی با دسترسی مجاز میتونن این پسورد ها رو بخونن و از اون حساب محلی استفاده کنن که این باعث حفظ امنیت کامل این دیتابیس میشه 

الزامات نصب و بهره برداری Microsoft LAPS:

• فقط روی دستگاه های عضو دامین کار میکنه.
• فقط از یک کاربری ادمین لوکال یا محافظت میکنه (البته پیشنهاد جدی میشه بقیه کاربرای مدیریتی لوکال رو غیر فعال کنید)
• باید یکسری تغییرات روی اکتیو دایرکتوری انجام بشه و نشر هم پیدا کنه که توسط  Group Policy یا همون GPO انجام میشه.
• باید Agent LAPS رو روی تمامی کلاینت ها نصب کنیم.

برای اینکه این نوشتار طولانی نشه، مراحل نصب رو از اینجا دنبال کنید:

نصب و راه اندازی LAPS سرویس متمرکز مدیریت پسورد ادمین لوکال