Home אבטחת מידעPenetration Testing - Defense התקנת והגדרת LAPS – Local Administrator Password Solution – שינוי סיסמת מנהל מקומי

התקנת והגדרת LAPS – Local Administrator Password Solution – שינוי סיסמת מנהל מקומי

by Tal Ben Shushan 11/06/2018 0 comment
התקנת והגדרת LAPS – Local Administrator Password Solution – שינוי סיסמת מנהל מקומי

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

התקנת והגדרת LAPS – Local Administrator Password Solution – שינוי סיסמת מנהל מקומי

תחילה, רוב המחשבים בארגון מותקנים על ידי טכנאי הארגון, כאשר הם מתקינים את מערכת ההפעלה הם מגדירים סיסמא למנהל המקומי

לרוב הוא Administrator והסיסמא שנקבעת, היא סיסמה קבועה שכל הטכנאים מכירים נאמר ושם הארגון הוא “טל מערכות” אז הסיסמא יכולה להיות TTaalSys, הבעיה כאן, ברגע שמוציאים את הסיסמא מהמחשב המקומי, הטכנאי מגלה את הסיסמא, אותה הסיסמא לכל המחשבים בארגון (למשתמש Administrator) לרוב קיימת שנים וכך יכול משתמש רגיל להשיג הרשאות גבוהות במינימום מאמץ.

LAPS מגיע לתקן חלק מהבעיה, LAPS משנה את הסיסמא כל X ימים למחשב, הסיסמא שהוא משנה היא סיסמא ברמה Complexity ויותר
14 תווים של סימנים ומספרים, בצורה הזו כמעט ולא ניתן לבצע Brute Force בקלות.

הכנות:

  • שרת Server 2012 – 2016 מוגדר כ Domain Controller
  • מחשב Windows 7-8-10 על מנת לבדוק אם הסיסמא השתנתה.

נכנס לאתר ונוריד את LAPS

את ההתקנה יש לבצע בשרת ה Domain Controller

נסמן את כל אפשרויות ההתקנה , כמו בתמונה

ונמשיך בהתקנה עד לסיומה.

כעת נפתח את Group Policy על מנת שתוכנת ה LAPS תופץ לכל מחשבי הארגון

gpmc.msc

כעת ניצור בראש הדומיין, Policy חדש של התקנת LAPS

תנו שם, לא קריטי איזה

כעת נעבור ל

Computer Configuration -> Policies -> Software Settings -> Software Installation

קליק ימני ואז New – Package

כעת העתיקו את ההתקנה של LAPS שהורדתם בסעיף הקודם

העבירו אותו ל

\\YourDCName\netlogon

כעת בחרו בו – בדקו שהנתיב הוא \\ שכן הוא חייב להיות משותף

השאירו Assigned וOK

כך זה צריך להיראות

כעת פתחו Powershell ורשמו

Import-Module AdmPwd.PS

לחצו Enter

כעת נעדכן את ה Schema

Update-AdmPwdADSchema

מצויין

כעת ניצור OU שבu כל המחשבים שנוסיף אליו יוגדרו על הסיסמא של LAPS

יצרתי קבוצה בשם Domain Computers

כעת נגדיר הרשאות שבו ה LAPS יכול לשנות את הסיסמאות של מנהל המחשב

נחזור ל Powershell ונקיש

Set-AdmPwdComputerSelfPermission -OrgUnit "Domain Computers"
  • שנו את Domain Computers לשם ה OU אצלכם

כעת נעביר את המחשב \ מחשבים שאנחנו רוצים שלהם Laps ישנה את הסיסמא

נחזור לGroup Policy ונלחץ קליק ימני על Domain Computers

ואז New GPO

נית את השם LAPS

כעת נערוך את LAPS (כן הוספנו עוד Policy של LAPS שבו נגדיר אותו, ה Policy השני שמוקדם עשינו הוא בשביל ההתקנה על התחנות)

את שני ה Policies האלו אנחנו צריכים לעשות Enabled

השאירו אותו כברירת מחדל או שנו את כמות התווים וכו’

Policy זה מפעיל את LAPS

  • אם שם המנהל הוא לא Administrator אז יש שם Policy שצריך להפעיל ואז מזינים את שם המנהל

כעת נעבור לPC1

וודאו ב

lusrmgr.msc

שהמשתמש Administrator לא נמצא ב Disabled ויש לו סיסמא כללית שתבחרו

נבצע  ב PC1

gpupdate /force

בסיום הוא יבקש ריסטארט על מנת להתקין את LAPS

כאשר המחשב יעלה, התחברו אליו ובדקו בלוח הבקרה בהוספה והסרה שLAPS קיים שם

כעת נבדוק מה הסיסמא של המחשב והאם השתנתה (אם לא בצעו שוב Gpupdate)

הקישו את הפקודה

Get-AdmPwdPassword -ComputerName "PC1"

נקבל את הסיסמא הנוכחית של המחשב

נוכל להגדיר למחשב לבצע איפוס סיסמא למנהל המערכת “בכוח”

Reset-AdmPwdPassword -ComputerName PC1

בנתיב

C:\Program Files\LAPS

קיימת התוכנה שאיתה אפשר לקבל את הסיסמא של המנהל המקומי

זהו! מעכשיו הסיסמא שלכם תשתנה כל – 30 יום ואם אתם רוצים את הסיסמא למשתמש Administrator תצטרכו לבצע את התשאול הזה

 

מאמרים קשורים

Leave a Comment