隨着互聯網技術的不斷髮現,信息安全在企業中的受重視度也越來越高,終端管理是信息安全中至關重要的一環,不可能要求終端用戶和服務器管理員有着一樣的安全隱患意識和技術水平,因此在終端管理員層如何制定完善終端管理的制度和利用現有的技術來規範用戶行爲至關重要。其中做好權限的管理是重中之重,而企業內終端的密碼管理則是權限管理的基礎。
在小型企業中,PC客戶端直接使用客戶端,這種方式終端上需要管理的密碼只有工作組賬號密碼,這種熟練較少,只有使用excel等其他小工具管理即可。在中大型企業中,則會使用AD活動目錄來進行統一身份認證,此時域用戶賬號的密碼則集中保留中AD數據庫中,並且用戶權限也是保留在AD中,AD的安全性遠高於普通PC,因此安全性大大提升。
但是使用活動目錄,如何管理入域計算機的本地管理員密碼是企業IT運維管理員頭疼的一件事,基數龐大且在處理故障時又確實需要本地管理員賬號,以下我就介紹幾種在企業中常見的域內計算機本地管理員賬號管理方式,其中着重介紹LAPS(Local Administrator Password Solution)。
常見的幾種本地管理員密碼管理方式
1.直接禁用本地管理員
這是一種簡單粗暴的方式,直接省去管理本地賬號的工作,這種方式可以使用組策略來實現,問題是電腦因故障脫離域,或是無法使用域賬號登錄時,電腦就無法登錄,需要藉助PE等工具啓用本機管理員並設置密碼。雖然管理簡單但是安全性有保障。
2.使用統一的本地管理員密碼
這種方式在企業中最爲常見,本地administrator管理員密碼掌握在少數管理員手中,全公司或者單個部門保持一致的本地管理員密碼(可以通過組策略實現),這種方式對於helpdesk運維工作帶來的極大的方便,但是隻要出現密碼泄露則會帶來極大的隱患,並不是很推薦的做法。
3.每臺電腦設置不一樣的密碼
每臺電腦設置一個不同的管理員密碼,由IT人員記錄在Excel或是筆記本上;但存在的問題是:每次要找某臺電腦的管理員密碼時,要去找文件或是記錄,而且也不能定時修改!這種方式大大的增加的IT人員的運維工作量。
4.爲每臺PC本地管理員設置隨機密碼
在少部分企業中,通過計算機開機腳本,爲每臺計算機設置隨機密碼,並通過其他方法配合禁止有本地管理員權限的用戶去更改本地賬號密碼,此種方式與直接禁用本地管理員賬號優缺點並不太大差異。
5.使用LAPS統一管理計算機本地管理員密碼
優點:
- 全自動,可配置的計算機本地管理員帳戶更新
- 通過OU訪問存儲的密碼的簡單委派。
- 由於LAPS利用了Active Directory組件(組策略,計算機對象屬性等),因此不需要其他服務器。
- 計算機帳戶只能寫入/更新自己的本地管理員帳戶密碼(ms-Mcs-AdmPwd屬性),而不能從該屬性讀取密碼。
- 密碼更新流量已加密。
- 可以輕鬆地爲OU中的每臺計算機更改密碼。
- 免費
缺點:
- 僅存儲當前密碼,並且可供檢索
- 一次只能由LAPS管理一個本地管理員帳戶的密碼(只有一個密碼屬性)
- 域控制器的危害可能會危害域中的所有本地管理員帳戶密碼。
- 密碼可以隨時訪問,並可以由委派的密碼人員隨時使用。雖然可以啓用審覈,但必須按每個OU,每個組配置,以便在域控制器上記錄事件ID 4662。
LAPS組件
代理-組策略客戶端擴展(CSE)-通過MSI安裝
- 事件記錄
- 隨機密碼生成-從客戶端計算機寫入AD計算機對象
PowerShell模塊
- 權限配置
Active Directory-集中控制
- 域控制器安全日誌中的審覈跟蹤
- 計算機對象特殊屬性(ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime)
LAPS受支持的版本
活動目錄:
- Windows 2003 SP1及更高版本
受管/客戶端計算機:
- Windows Server 2016
- Windows Server 2012 R2數據中心(x86或x64)
- Windows Server 2012 R2標準(x86或x64)
- Windows Server 2012 R2基礎(x86或x64)
- Windows 8.1企業版(x86或x64)
- Windows 8.1專業版(x86或x64)
- Windows Server 2012數據中心(x86或x64)
- Windows Server 2012標準版(x86或x64)
- Windows Server 2012 Essentials(x86或x64)
- Windows Server 2012基礎(x86或x64)
- Windows 8企業版(x86或x64)
- Windows 8專業版(x86或x64)
- Windows Server 2008 R2 Service Pack 1(x86或x64)
- Windows 7 Service Pack 1(x86或x64)
- Windows Server 2008 Service Pack 2(x86或x64)
- Windows Vista Service Pack 2(x86或x64)
- Microsoft Windows Server 2003 Service Pack 2(x86或x64)
- 不支持Itanium
管理工具:
- NET Framework4.0
- PowerShell 2.0 或更高版本
LAPS運作核心
LAPS簡化了密碼管理,同時幫助客戶實施針對網絡攻擊的建議防禦措施。特別是,該解決方案可減輕客戶在計算機上使用相同的管理本地帳戶和密碼組合時出現的橫向風險。LAPS將每臺計算機的本地管理員帳戶的密碼存儲在Active Directory中,並在計算機的相應Active Directory對象的安全屬性中進行保護。允許計算機在Active Directory中更新其自己的密碼數據,並且域管理員可以向授權用戶或組(如工作站服務檯管理員)授予讀取權限。
使用LAPS可以自動管理加入域的計算機上的本地管理員密碼,以便每個受管計算機上的密碼都是唯一的,是隨機生成的,並且安全地存儲在Active Directory基礎結構中。該解決方案建立在Active Directory基礎結構上,不需要其他支持技術。LAPS使用您在受管計算機上安裝的組策略客戶端擴展(CSE)來執行所有管理任務。該解決方案的管理工具可輕鬆配置和管理。
LAPS解決方案的核心是GPO客戶端擴展(CSE),它執行以下任務,並可以在GPO更新期間執行以下操作:
- 檢查本地Administrator帳戶的密碼是否已過期。
- 當舊密碼過期或需要在過期之前進行更改時,生成新密碼。
- 根據密碼策略驗證新密碼。
- 將密碼報告給Active Directory,並將密碼和機密屬性一起存儲在Active Directory中。
- 將密碼的下一個到期時間報告給Active Directory,並將該屬性與計算機帳戶的屬性一起存儲在Active Directory中。
- 更改管理員帳戶的密碼。
- 然後,允許這樣做的用戶可以從Active Directory中讀取密碼。合格的用戶可以請求更改計算機的密碼。
LDAPS安裝部署
1.安裝LAPS.exe組件
一般使用DC作爲服務器端,安裝時,務必不勾選第一項,防止策略誤下發影響AD域管理員密碼。
2.架構擴展
在DC中運行:
Import-Module Admpwd.ps
Update-AdmPwdADSchema
此時查看AD的計算機屬性會出現兩個新的屬性,分別是ms-MCS-AdmPwd(存儲密碼)和ms-MCS-AdmPwd(存儲過期時間)。
點
3.刪除默認的擴展權限
密碼存儲屬於機密內容,如果對電腦所在的OU權限配置不對,可能會使非授權的用戶能讀取密碼,所以從用戶和組的權限中刪除“All extended rights”屬性的權限,不允許讀取屬性 ms-Mcs-AdmPwd 的值。
- 如果需要,請對每個放置電腦的OU重複以下操作,如果子OU且你禁用了權限繼承,則每個子OU也要做相同的配置。
- 打開ADSIEdit
- 在你需要配置的計算機所在OU上點擊右鍵、屬性
- 單擊安全選項卡
- 單擊高級
- 選擇不想要能讀取密碼的組或用戶,然後單擊編輯。
- 取消選中所有擴展的權限
4.使用PowerShell管理LAPS權限
Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"
所有計算機帳戶本身都需要有寫入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd屬性的權限,此命令是讓計算機本機可以更新的管理本地管理員密碼的密碼和過期時間戳
Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang
設置willwang賬號允許讀取ComputerGroup的OU內的計算機本地管理員密碼
Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang
設置willwang賬號允許設置ComputerGroup的OU內的計算機本地管理員密碼
Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}
查找ComputerGroup的OU內的密碼權限分配
5.客戶端安裝GPO擴展(CSE)
有兩種方式,可以使用組策略軟件安裝選項,也可以使用腳本。
組策略軟件安裝選項配置
開機腳本安裝
msiexec /i \\server\share\LAPS.x64.msi /quiet
安裝後,在客戶端上可看到此安裝選項。
6.組策略下發
按配置選項進行策略配置。
Password Settings配置密碼參數
密碼複雜性:
生成新密碼時使用哪些字符
默認值:
大字母+小寫字母+數字+特殊字符
密碼長度:
最少:8個字符
最大值:64個字符
默認值:14個字符
密碼年齡(天):
最少:1天
最長:365天
默認值:30天
Name of administrator account to manage本地管理員名稱管理
管理員帳戶名稱——要爲其管理密碼的本地帳戶的名稱。
使用內置管理員帳戶時請勿配置。即使重命名,內置的管理員帳戶也會由知名的SID自動檢測
在使用自定義本地管理員帳戶時進行配置
Do not allow password expiration time longer than required by policy密碼到期時間可能比“密碼設置”策略所需的時間長
啓用此設置時,不允許計劃密碼到期時間長於“密碼設置”策略規定的密碼時間。當檢測到此類到期時,立即更改密碼並根據策略設置密碼到期。
禁用或未配置此設置時,密碼到期時間可能比“密碼設置”策略所需的時間長。
Enable local admin password management啓用本地管理員帳戶的密碼管理
如果啓用此設置,則管理本地管理員密碼
如果禁用或未配置此設置,則不管理本地管理員密碼
7.客戶端刷新策略,生效
點擊
在使用LAPS UI修改密碼時,客戶端必需刷新策略,客戶端更改後再寫入到AD中。
參考鏈接:
https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN
作者: 王志輝