A segurança de TI é essencialmente um jogo de mitigação de risco. Não há tal coisa como um sistema totalmente seguro, certamente nada que você possa “definir e esquecer” e, assim, nos deixamos decidir o que podemos fazer, para proteger melhor nossos sistemas.

Nós não queremos que uma pessoa não autorizada use nosso computador, então usamos uma senha. Nós sabemos que as senhas podem ser adivinhadas, ou quebradas, então nós escolhemos senhas mais difíceis. Os atacantes mais poderosos podem quebrar senhas mais difíceis, então usamos 2 Factor Authentication.

A lista continua e continua, mas com cada risco podemos procurar uma mitigação que funcione em nosso ambiente, sabendo que não há nada que possamos fazer para se proteger completamente, mas podemos tornar as coisas tão difíceis quanto possível para uma seria Atacante, na esperança de que ele ou ela possa procurar por mais algumas frutas penduradas em outros lugares.

Com isso em mente, vamos olhar para gerenciar a senha do administrador local para seus computadores clientes para ajudar a evitar movimentos laterais através da sua rede.

LAPS, Local Administrator Password Solution foi publicado pela Microsoft em maio de 2015 como parte da MSA 3062591 .

“A Microsoft está oferecendo a solução de senha de administrador local (LAPS) que fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em cada computador em um domínio. LAPS resolve esse problema definindo uma senha aleatória diferente para a conta de administrador local comum em cada computador no domínio. Os administradores de domínio que usam a solução podem determinar quais usuários, como administradores de helpdesk, estão autorizados a ler senhas “

Nesta configuração do LAB, tenho um Small Business Server 2011 e dois clientes convidados que executam o Windows 7 e o Windows 10.

Baixe o LAPS a partir daqui: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Você precisará do LAPS MSI para sua arquitetura de SO, eu também recomendaria baixar o guia de operações para se familiarizar com a forma como isso funciona.

Instalando LAPS

Depois de baixar o instalador do LAPs, copie o arquivo para o servidor.

Antes de fazer qualquer outra coisa, precisamos criar um novo arquivo de Configuração do PowerShell, porque, por padrão, o PowerShell no SBS 2011 está preso à versão 2.0 para Compatibilidade do Exchange 2010 e não usará ocódigo .NET 4, que precisamos para executar o Update-AdmPwdADSchema Comando no Servidor, em um sistema operacional mais recente, você pode ignorar isso.

Na sua área de trabalho, crie um arquivo chamado PowerShell.exe.Config e abra-o no bloco de notas.

Digite o seguinte:

xml

Agora, copie este arquivo para c: \ windows \ system32 \ WindowsPowerShell \ v1.0 \

Copy Config File

Execute o instalador e instale todos os componentes de Gerenciamento.

Install

Modificar o Esquema

Inicie uma janela Elevada do PowerShell, digite:

  Import-Module ADMPwd.PS
 Update-AdmPwdADSchema

Você deve ver o seguinte:

Update Schema

Tudo bem, podemos avançar para atualizar os direitos dos usuários.

Atualizando ‘Direitos Extendidos’

Se você está seguindo em casa, estamos no passo 2.2.1 no Guia de Configuração LAPS da Microsoft.

Precisamos entrar no ADSI Edit para este próximo passo e remover ‘All Extended Rights’ de Grupos ou Usuários, nãoqueremos ler a senha dos computadores.

Antes de abordar primeiro isso, vamos dar um momento para avaliar quem tem esses direitos atualmente.

Supondo que você tenha uma Estrutura de OU padrão do SBS, a OU em que nossos computadores residirão será:

  OU = SBSComputers, OU = Computadores, OU = MyBusiness, DC = domínio, DC = local

O comando que você precisa inserir aqui é:

  Find-AdmPwdExtendedrights -identity SBSComputers |  Tabela de formato

ExtendedRights

No meu LAB, o único objeto retornado foi o grupo Administradores do Domínio, também obtemos o mesmo resultado na OU da SBSServers.

No meu LAB, isso significa que não há usuários ou grupos para remover direitos, então podemos pular para a Etapa 2.2.2 onde podemos adicionar as permissões relevantes às Contas de Computador para atualizar suas próprias senhas.

  Set-AdmPwdComputerSelfPermission -OrgUnit SBSComputers

Delegate Permission

Repita isso para qualquer OU que os computadores também possam residir.

Em seguida, podemos adicionar direitos de usuário a qualquer pessoa que precise ler as senhas dos computadores.

Como os Administradores do Domínio já possuem permissões, podemos configurar um grupo adicional para ter acesso a essa informação.

Execute o seguinte no PowerShell:

  Import-Module ActiveDirectory
 Novo-ADGroup PwdAdmin -GroupScope DomainLocal

New AD Group

Em seguida, aplicamos Permissões ao Grupo:

  Set-AdmPwdReadPasswordPermission -OrgUnit SBSComputers -AllowedPrincipals PwdAdmin
 Set-AdmPwdResetPasswordPermission -OrgUnit SBSComputers -AllowedPrincipals PwdAdmin

Add Perm PwdAdmin

Agora podemos avançar para o Passo 3, editando a Política de Grupo.

Política de grupo

Eu criei um novo GPO chamado ‘LAPS – Password Control’, que está vinculado à OU da SBSComputers.

image

Abra o Editor de políticas de grupo, expanda Configuração do computador, Políticas, Modelos de administração e encontre LAPS.

Temos quatro configurações para configurar aqui.

clip_image002[4]

Configurações da Senha

Você tem a opção de configurar diferentes requisitos de complexidade, eu estou configurando isso para ativado e deixando-o na opção mais complexa.

clip_image004[4]

Nome da conta de administrador para gerenciar

Este é um pouco diferente e, obviamente, irá variar dependendo do seu ambiente.

Se você usa a conta incorporada no administrador local ‘Administrador’ NÃO configure esta configuração de política.

Se você usa uma conta de administrador local personalizada, configure essa configuração.

Se você tiver várias contas de Administração Local, agora é provavelmente um bom momento para revisar isso e removê-los. Você também pode gerenciar a associação do grupo Administrador Local usando uma configuração de GPO de Grupos Restritos.

clip_image006

Não permitir o tempo de expiração da senha mais longo do que exigido pela política

Defina isso como ‘Ativado’.

clip_image008

Gerenciador de senha de administrador local habilitado

Defina isso como Ativado para ativar LAPS ‘On’, Desativado para ativar LAPS ‘Off’

clip_image010[4]

Nosso GPO LAPS agora está configurado.

Desdobramento, desenvolvimento

Se você tiver clientes tipo x64 e x86 na sua rede, você pode usar dois GPOs com filtros WMI para controlar a implantação do software.

Exemplo de filtro WMI:

  Selecione * de Win32_OperatingSystem em que OSArchitecture = "32-bit"
 Selecione * do Win32_OperatingSystem onde OSArchitecture = "64-bit"

Eu costumava ser um grande fã de implantação de software do Active Directory, os arquivos MSI eram a melhor forma de expulsar o software na reinicialização e era muito eficiente. À medida que os tempos mudaram, achei que era menos confiável, juntamente com os scripts de inicialização.

Seguindo alguns conselhos que recebi daqui , movi a maioria das operações desse tipo para a tarefa agendada.

O que podemos fazer é criar uma Tarefa agendada, através de Preferências de Diretiva de Grupo, para executar o nosso arquivo LAPS MSI e a política de grupo de atualização.

Você pode fazer este procedimento duas vezes, uma política por arquiteturas.

Dentro de um novo GPO, expanda Preferências e Expanda Configurações do Windows e, em seguida, Arquivos.

GPP-Files

Clique com o botão direito do mouse no painel de detalhes, clique em Novo> Arquivo.

Arquivo fonte:

Digite um caminho UNC onde o arquivo LAPS MSI está armazenado, que estará acessível aos seus computadores clientes.

Arquivo de destino:

C: \ users \ public \ LAPS.x64.msi

GPP-Files2

Isso copiará o arquivo em seu computador cliente quando o GPO for aplicado.

(Eu pensei um pouco sobre isso depois de publicar, copiar o arquivo para a pasta pública é bastante fácil, e para o teste está bem, mas, dado que a tarefa de instalação será executada como sistema, pode ser um risco para fazer Então, em produção, então certifique-se de colocar esse instalador em algum lugar que um usuário executado com privilégios e permissões normais não pode substituí-lo por outra coisa)

Em seguida, mude para configurações do painel de controle e tarefas agendadas.

Clique com o botão direito do mouse no Painel de detalhes, clique em Novo> Tarefa agendada (Vista ou posterior)

Nas versões posteriores do Servidor, isso irá dizer o Windows 7 ou posterior, etc.

Digite um nome para sua Tarefa.

‘Instalar LAPs’

Em Opções de segurança, clique em Alterar usuário ou grupo, insira SISTEMA e clique em OK.

Escolha Executar se o usuário está logado ou não, e executado com os privilégios mais altos.

Task1

Mude para a guia Disparadores.

Clique em novo.

Configure o gatilho para atender às suas necessidades.

Estou configurando-o para executar no arranque com um pequeno atraso.

Task2

Na guia ações, configure duas ações.

Comando: msiexec.exe

Argumentos: /ic:\users\public\LAPS.x64.msi / qn

Comando: gpupdate.exe

Argumentos: / força

TASK 3

Em configurações, selecione as duas primeiras caixas.

TASK 4

Feche o Editor de GPO. Você pode aplicar seu Filtro WMI x64 a este GPO (repita o procedimento para LAPS.x86.msi e o Filtro WMI x86)

Essas políticas agora implementarão a ferramenta LAPS em seus computadores clientes.

Agora, como visualizamos essas senhas?

Ver Senhas

Nós temos a opção de usar o LAPS UI ‘fat client’ ou o LAPS PowerShell para isso.

Na UI, basta digitar o nome do host do computador em questão e clicar em Pesquisar.

A senha será mostrada em texto simples.

O modo PowerShell,

  Get-AdmPwdPassword -ComputerName Windows7Pro

Password

Ou poupe uma pequena função …

  Param (
     [String] $ computer
 )
 Import-Moule ADMPWD.ps
 $ Password = (Get-ADMPwdPassword -computer $ computer) .Password
 Write-Output "Senha: $ senha"

Se você se lembra mais cedo, nós deixamos os Administradores do Domínio com direitos estendidos e também adicionamos um novo grupo ao qual nós demos os direitos para ver as senhas.

Se você possui um Office Manager ou um técnico de TI no local que também precisa ver essas senhas, mas não ser um administrador de domínio, adicione-as ao grupo PwdAdmin.

Claro que esta seria a sua conta “Admin”, não a conta do dia a dia.

Você também pode avançar e executar o arquivo MSI novamente em sua estação de trabalho para instalar a ferramenta LAPS UI ou o módulo PowerShell.

Anúncios