כל הזכויות שמורות לטל בן שושן – Shushan.co.il
התקנת והגדרת LAPS – Local Administrator Password Solution – שינוי סיסמת מנהל מקומי
תחילה, רוב המחשבים בארגון מותקנים על ידי טכנאי הארגון, כאשר הם מתקינים את מערכת ההפעלה הם מגדירים סיסמא למנהל המקומי
לרוב הוא Administrator והסיסמא שנקבעת, היא סיסמה קבועה שכל הטכנאים מכירים נאמר ושם הארגון הוא “טל מערכות” אז הסיסמא יכולה להיות TTaalSys, הבעיה כאן, ברגע שמוציאים את הסיסמא מהמחשב המקומי, הטכנאי מגלה את הסיסמא, אותה הסיסמא לכל המחשבים בארגון (למשתמש Administrator) לרוב קיימת שנים וכך יכול משתמש רגיל להשיג הרשאות גבוהות במינימום מאמץ.
LAPS מגיע לתקן חלק מהבעיה, LAPS משנה את הסיסמא כל X ימים למחשב, הסיסמא שהוא משנה היא סיסמא ברמה Complexity ויותר
14 תווים של סימנים ומספרים, בצורה הזו כמעט ולא ניתן לבצע Brute Force בקלות.
הכנות:
- שרת Server 2012 – 2016 מוגדר כ Domain Controller
- מחשב Windows 7-8-10 על מנת לבדוק אם הסיסמא השתנתה.
נכנס לאתר ונוריד את LAPS
את ההתקנה יש לבצע בשרת ה Domain Controller
נסמן את כל אפשרויות ההתקנה , כמו בתמונה
ונמשיך בהתקנה עד לסיומה.
כעת נפתח את Group Policy על מנת שתוכנת ה LAPS תופץ לכל מחשבי הארגון
gpmc.msc
כעת ניצור בראש הדומיין, Policy חדש של התקנת LAPS
תנו שם, לא קריטי איזה
כעת נעבור ל
Computer Configuration -> Policies -> Software Settings -> Software Installation
קליק ימני ואז New – Package
כעת העתיקו את ההתקנה של LAPS שהורדתם בסעיף הקודם
העבירו אותו ל
\\YourDCName\netlogon
כעת בחרו בו – בדקו שהנתיב הוא \\ שכן הוא חייב להיות משותף
השאירו Assigned וOK
כך זה צריך להיראות
כעת פתחו Powershell ורשמו
*יש לפתוח את ה Powershell בשרת ה DC
Import-Module AdmPwd.PS
לחצו Enter
כעת נעדכן את ה Schema
Update-AdmPwdADSchema
מצויין
כעת ניצור OU שבu כל המחשבים שנוסיף אליו יוגדרו על הסיסמא של LAPS
יצרתי קבוצה בשם Domain Computers
כעת נגדיר הרשאות שבו ה LAPS יכול לשנות את הסיסמאות של מנהל המחשב
*יש לפתוח את ה Powershell בשרת ה DC
נחזור ל Powershell ונקיש
Set-AdmPwdComputerSelfPermission -OrgUnit "Domain Computers"
- שנו את Domain Computers לשם ה OU אצלכם
כעת נעביר את המחשב \ מחשבים שאנחנו רוצים שלהם Laps ישנה את הסיסמא
נחזור לGroup Policy ונלחץ קליק ימני על Domain Computers
ואז New GPO
נית את השם LAPS
כעת נערוך את LAPS (כן הוספנו עוד Policy של LAPS שבו נגדיר אותו, ה Policy השני שמוקדם עשינו הוא בשביל ההתקנה על התחנות)
את שני ה Policies האלו אנחנו צריכים לעשות Enabled
השאירו אותו כברירת מחדל או שנו את כמות התווים וכו’
Policy זה מפעיל את LAPS
- אם שם המנהל הוא לא Administrator אז יש שם Policy שצריך להפעיל ואז מזינים את שם המנהל
כעת נעבור לPC1
וודאו ב
lusrmgr.msc
שהמשתמש Administrator לא נמצא ב Disabled ויש לו סיסמא כללית שתבחרו
נבצע ב PC1
gpupdate /force
בסיום הוא יבקש ריסטארט על מנת להתקין את LAPS
כאשר המחשב יעלה, התחברו אליו ובדקו בלוח הבקרה בהוספה והסרה שLAPS קיים שם
כעת נבדוק מה הסיסמא של המחשב והאם השתנתה (אם לא בצעו שוב Gpupdate)
הקישו את הפקודה
Get-AdmPwdPassword -ComputerName "PC1"
נקבל את הסיסמא הנוכחית של המחשב
נוכל להגדיר למחשב לבצע איפוס סיסמא למנהל המערכת “בכוח”
Reset-AdmPwdPassword -ComputerName PC1
בנתיב
C:\Program Files\LAPS
קיימת התוכנה שאיתה אפשר לקבל את הסיסמא של המנהל המקומי
זהו! מעכשיו הסיסמא שלכם תשתנה כל – 30 יום ואם אתם רוצים את הסיסמא למשתמש Administrator תצטרכו לבצע את התשאול הזה
