Local Administrator Password Solution (LAPS) to narzędzie firmy Microsoft, które umożliwia zarządzanie hasłami lokalnych kont administratorów na komputerach należących do domeny. Sam LAPS jako oddzielne narzędzie dostępny jest dla środowisk Windows od dawna. Jednak wraz z ostatnimi poprawkami LAPS stał się „wbudowanym” elementem zabezpieczeń Active Directory, dzięki temu jego uruchomienie stało się jeszcze prostsze. Zatem jak wdrożyć LAPS? W jaki sposób uruchomić Local Administrator Password Solution? Jak sprawnie dodać LAPS do Active Directory?
Windows Local Administrator Password Solution to nowa wersja tradycyjnego rozwiązania Local Administrator Password Solution. Windows LAPS jest obecnie zintegrowany bezpośrednio z systemami operacyjnymi Windows Server i klienckimi Windows Professional -poprzednio należało instalować paczki msi. Rozwiązanie umożliwia zarządzanie kontami administratorów lokalnych poprzez przechowywanie ich haseł w usłudze Active Directory. Przed erą LAPS administratorzy często zapominali o fakcie że każdy komputer czy serwer wpiety do domeny nadal posiada lokalne konta administratorów. LAPS zapewnia bezpieczeństwo takich kont poprzez zarządzanie ich hasłami , nadając im unikalność per środowisko oraz regularną rotację.
Od kwietnia 2023 roku a właściwie od zainstalowania kwietniowej poprawki rozwiązanie LAPS jest jeszcze prostsze we wdrożeniu. Wystarczy spełnić kilka podstawowych warunków. Wspierany i aktualny system operacyjny Windows w wersji:
- Windows 11 22H2 i nowsze
- Windows 10 z aktualizacją z kwietnia 2023 r.
- Windows Server 2025
- Windows Server 2022 z aktualizacją z kwietnia 2023 r.
- Windows Server 2019 z aktualizacją z kwietnia 2023 r.
oraz minimalny poziom funkcjonalności domeny Active Directory: 2016.
Jeżeli powyższe wymagania zostaną spełnione dla obiektów typu komputer w przystawce Active Directory Users and Computers widoczna jest dedykowana zakładka LAPS:
Aby jednak z niej skorzystać należy jeszcze skonfigurować LAPS w środowisku Active Direcotry. Poniżej sprawdzony sposób.
Zaczynam od rozszerzenia i aktualizacji schematu Active Directory, logujemy się na kontroler domeny i posiadając odpowiednie uprawnienia wykonujemy polecenie:
Update-LapsADSchema
zostaniemy poproszeni o zgody na dodanie atrybutów do schematu (klikamy Y lub A):
ms-LAPS-Password
ms-LAPS-PasswordExpirationTime
ms-LAPS-EncryptedPassword
ms-LAPS-EncryptedPasswordHistory
ms-LAPS-EncryptedDSRMPassword
ms-LAPS-EncryptedDSRMPasswordHistory
ms-LAPS-CurrentPasswordVersion
ms-LAPS-Encrypted-Password-Attributes
mayContain
UWAGA: w przypadku komunikatu błedu:
Update-LapsADSchema : The user has insufficient access rights.
sprawdźcie czy użytkownik który wykonuje polecenie należy do grup domyślnych AD takich jak:
- schema admins
- domain admins
- enterprise admins
Następnie przechodzimy do konfiguracji polityki GPO. W przystawce mmc Group Policy Management tworzymy nowa politykę, w naszym wypadku będzie ona mieć nazwę gpo_laps
następnie nowo utworzoną politykę edytujemy i przechodzimy do gałęzi:
Computer Configuration --> Policies --> Administrative Templates --> System --> LAPS
UWAGA: jeżeli nie widzicie gałęzi LAPS należy po aktualizacji kontrolera domeny (o poprawkę z kwietnia 2024) przenieść pliki LAPS.adml oraz LPAS.admx do katalogu SYSVOL domeny – ich lokalizacja poniżej:
LAPS.admx
%windir%\PolicyDefinitions\ --> \\corp.sprawdzone.it\SYSVOL\domain\Policies\PolicyDefinitions
LAPS.adml
%windir%\PolicyDefinitions\en-US --> \\corp.sprawdzone.it\SYSVOL\domain\Policies\PolicyDefinitions\en-US
Zacznijmy od polityki Password Settings:
Następnie włączmy szyfrowanie haseł: Enable password encryption
Uwaga: w przypadku gdy macie zdefiniowaną nazwę użytkownika administratora lokalnego należy zdefiniować jeszcze politykę „Name of administrator account to manage” (domyślnie nazwa lokalnego administratora w środowiskach Windows Server to „administrator”, jednak dla środowisk klienckich np Windows 11 Professional konto nazywamy samodzielnie w momencie instalacji systemu – nie możemy użyć konta o nazwie administrator – jest ono tworzone automatycznie i wyłączone):
Ostatnia polityka która będziemy definiować w naszym przykładzie to: Configure password backup directory. Dzięki niej konfgurujemy ustawienia dotyczące gdzie ma być przechowana kopia haseł, w naszym wypadku będzie to usługa katalogowa Active Directory:
Nasza przykładowa polityka GPO o nazwie gpo_laps posiada poniższe ustawienia.
Jak widzicie możliwości jest znacznie więcej, odsyłam do dokumentacji. Oczywiście możecie mieć kilka polityk, jedną dla serwerów, drugą dla stacji klienckich.
Gotową politykę GPO linkujemy do określonego OU w naszym wypadku będzie to OU o nazwie servers
Pozostaje jeszcze dodać uprawnienia dla LAPS aby mogłą zarządzać tym OU używamy polecenia Set-LapsADComputerSelfPermission
Set-LapsADComputerSelfPermission -Identity "OU=serversOU=servers,DC=corp,DC=sprawdzone,DC=it"
Pozostaje nam poczekanie na odświeżenie polityk na maszynach docelowych (znajdujących się w OU) lub wykonanie tego samodzielnie z udziałem polecenia gpupdate :
gpupdate /force
sprawdźmy czy polityka zaaplikowała się poprawnie używając polecenia gpresult
gpresult /r /scope:computer
Wszystko wygląda poprawnie sprawdźmy zatem od strony Active Direcotry. W Active Directory Users and Computers wyszukujemy nasz komputer i w zakładce LAPS widzimy uzupełnione wartości – działa!
Gdybyście chcieli zobaczyć hasło albo poznać właściwości LAPS dla obiektu computer z poziomu PowerShell musicie użyć komendy Get-LapsADPassword
Get-LapsADPassword -Identity "srv01" -AsPlainText
Dodatkowo jeżeli nie zdefiniowaliście kto ma mieć uprawnienia do odczytu haseł w LAPS (odpowiada za to polityka Configure authorized password decryptors) domyślnie będą to członkowie grupy Domain Admins (Administratorzy Domeny).
Reasumując LAPS jest bardzo dobrym narzędziem do zabezpieczania lokalnych kont administratorów w infrastrukturze IT. Poprzez centralizację zarządzania hasłami i automatyzację rotacji, daje dodatkowy element zabezpieczeń środowisk Windows. Microsoft podjął bardzo dobrą decyzje aby narzędzie które do tej pory było oddzielnym elementem to stało się wbudowanym rozwiązaniem. Dzięki temu LAPS staje się podstawowym elementem zabezpieczeń infrastruktury Active Directory
Jeżeli mój wpis Ci się spodobał, pomógł w pracy? Chcesz mnie wspierać? Postaw kawę! To dzięki waszemu wsparciu nie ma reklam! Poniżej kod QR do płatności który jest jednocześnie linkiem do PayPal.
