Windows LAPS: Управление паролями локальных администраторов на компьютерах в AD

Windows LAPS: Управление паролями локальных администраторов на компьютерах в AD

LAPS (Local Administrator Password Solution) позволяет централизованно управлять паролями локальных администраторов на компьютерах домена. Текущий пароль локального администратора хранятся в защищённых атрибутах объектов Computer в Active Directory, регулярно меняется автоматически, и может быть получен авторизованными пользователями.

В этой статье мы покажем, как настроить Windows LAPS для управления паролями локальных администраторов на компьютерах в домене Active Directory.

До апреля 2023 года установочный MSI файл LAPS нужно было вручную скачивать с сайта Microsoft, разворачивать на компьютерах компоненты администратора или клиентскую часть, устанавливать ADMX шаблоны GPO для LAPS и расширять схему AD.

В апреле 2023 года вышли обновления, которые добавляют встроенную поддержку новой версии LAPS в Windows. Теперь для использования LAPS не нужно скачивать и устанавливать MSI пакет.

Особенности новой версии Windows LAPS

Встроенная поддержка Windows LAPS была добавлена в следующих кумулятивных обновлениях, выпущенных в апреле 2023 года:

  • Windows 11 22H2 – KB5025239
  • Windows 11 21H2 – KB5025224
  • Windows 10 22H2 — KB5025221
  • Windows Server 2022 – KB5025230
  • Windows Server 2019 – KB5025229

Что нового в Windows LAPS?

  • Все компоненты нового LAPS встроены в Windows;
  • Позволяет сохранять пароли администраторов в локальную AD и Azure AD;
  • Поддерживается управление паролем DSRM (Directory Services Restore Mode) на контроллерах домена AD;
  • Поддержка шифрования паролей;
  • История паролей;
  • Автоматическое изменение пароля локального администратора после его использования для локального входа на компьютер

Новая версия Windows LAPS требует версии Windows Server 2016 для функционального уровня домена.

Как мы уже указали выше, теперь не нужно скачивать и устанавливать клиент LAPS вручную, все необходимые компоненты LAPS доступны в Windows после установки апрельских обновлений.

Инструменты управления Windows LAPS:

  • Новый ADMX файл групповых политик;
  • Отдельная вкладка в свойствах компьютера в консоли Active Directory Users and Computers (ADUC);
  • PowerShell модуль Windows LAPS;
  • Отдельный журнал Event Viewer: Application and Service Logs -> Microsoft -> Windows -> LAPS -> Operational. Журнал событий Windows LAPS

Microsoft указывает, что нужно отключить политики и удалить настройки предыдущую версию legacy LAPS (msi) перед развертыванием групповых политик новой LAPS. Для этого нужно остановить новые установки MSI LAPS и удалить все параметры в ветке реестра HKLMSoftwareMicrosoftWindowsCurrentVersionLAPSState.

Если старая версия не удалена в Event Viewer будут появляться события со следующими Event ID:

  • Event ID 10033, LAPS — The machine is configured with legacy LAPS policy settings, but legacy LAPS product appears to be installed. The configured account’s password will not be managed by Windows until the legacy product is uninstalled. Alternatively, you may consider configuring the newer LAPS policy settings.
  • Event 10031, LAPS — LAPS blocked an external request that tried to modify the password of the current manager account.

Разворачиваем Local Administrator Password Solution в домене Active Directory

Вы можете начать внедрение новой версии LAPS после установки новых обновлений на все контроллера домена.

Для управления Local Administrator Password Solution используются PowerShell командлеты из модуля LAPS. Доступны следующие команды:

Get-Command -Module LAPS

  • Get-LapsAADPassword
  • Get-LapsDiagnostics
  • Find-LapsADExtendedRights
  • Get-LapsADPassword
  • Invoke-LapsPolicyProcessing
  • Reset-LapsPassword
  • Set-LapsADAuditing
  • Set-LapsADComputerSelfPermission
  • Set-LapsADPasswordExpirationTime
  • Set-LapsADReadPasswordPermission
  • Set-LapsADResetPasswordPermission
  • Update-LapsADSchema

PowerShell модуль LAPS

После установки обновлений на DC и клиенты, нужно выполнить обновление схемы AD, которое добавит новые атрибуты. Выполните команду:

Update-LapsADSchema

Если не все DC были обновлены, команда вернет ошибку:
Update-LapsADSchema : A local error occurred.

В схемы будут добавлены следующие атрибуты:

  • msLAPS-PasswordExpirationTime
  • msLAPS-Password
  • msLAPS-EncryptedPassword
  • msLAPS-EncryptedPasswordHistory
  • msLAPS-EncryptedDSRMPassword
  • msLAPS-EncryptedDSRMPasswordHistory
Windows LAPS не использует для хранения пароля атрибуты, которые использовались в предыдущей версии (ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime).

Откройте консоль ADUC, выберите любой компьютер в AD и перейдите на вкладку редактора атрибутов объекта AD. Проверьте, что у объекта теперь доступны новые атрибуты.

Вкладка LAPS в свйствах компьютера AD

Атрибуты
msLAPS-*
пока не заполнены.

Теперь нужно разрешить компьютерам в указанном Organizational Unit (OU) обновлять атрибуты msLAPS-* в свойствах своих учетных записей в AD.

Например, я хочу разрешить компьютерам из OU MSK обновлять пароль, который хранится в атрибутах AD. Выполните команду:

Set-LapsADComputerSelfPermission -Identity "OU=Computers,OU=MSK,DC=winitpro,DC=ru"

Теперь с помощью PowerShell создадим группу пользователей, которым можно просматривать пароли локальных администраторов на компьютерах в этом OU:

New-ADGroup MSK-LAPS-Admins -path 'OU=Groups,OU=MSK,DC=winitpro,DC=ru' -GroupScope local -PassThru –Verbose
Add-AdGroupMember -Identity MSK-LAPS-Admins -Members user1, user2

Разрешим для этой группы просматривать пароли и сбрасывать их:

$ComputerOU = "OU=Computers,OU=MSK,DC=winitpro,DC=ru"
Set-LapsADReadPasswordPermission –Identity $ComputerOU –AllowedPrincipals MSK-LAPS-Admins
Set-LapsADResetPasswordPermission -Identity $ComputerOU -AllowedPrincipals MSK-LAPS-Admins

Члены группы Domain Admins по умолчанию могут просматривать пароли локальных администраторов на компьютерах.

Чтобы проверить текущие права на атрибуты LAPS в OU используется команда Find-LapsADExtendedRights.

Find-LapsADExtendedRights -Identity "OU=computers,DC=yourdomain,DC=com"

Настройка групповой политики смены локальных паролей через LAPS

При установке последних обновлений в Windows появится новый набор административных шаблонов для управления конфигурацией LAPS через GPO (%systemroot%PolicyDefinitionslaps.admx).

Если у вас используется централизованное хранилище для хранения ADMX шаблонов, скопируйте LAPS.admx в
winitpro.ruSysVolwinitpro.ruPoliciesPolicyDefinitions
.

Настройки LAPS находятся в следующем разделе групповых Computer Configuration -> Policies -> Administrative Templates -> System -> LAPS. Здесь доступны следующие политики LAPS:

  • Enable password backup for DSRM accounts
  • Configure size of encrypted password histor
  • Enable password encryption
  • Configure authorized password decryptors
  • Name of administrator account to manage
  • Configure password backup directory
  • Do not allow password expiration time longer than required by policy
  • Password Settings
  • Post-authentication actions

Групповые политики LAPS

Попробуем настроить минимальную групповую политику LAPS для домена Active Directory.

  1. Откройте консоль Group Policy Management (
    gpmc.msc
    ), создайте новую GPO и назначьте на OU с компьютерами;
  2. Откройте новую GPO и перейдите в раздел с настройками LAPS;
  3. Включите политику Configure password backup directory и выберите Active Directory. Эта политика разрешает сохранять пароль администратора в учетной записи компьютера;

    Windows LAPS может сохранять пароли в Azure Active Directory (AAD) вместо локальной ADDS.

    Хранить пароли компьютеров в Active Directory

  4. Затем включите политику Password Settings. Здесь нужно указать параметры сложности пароля, длину, частоту смены ; Сложность пароля локального администратора в LAPS
  5. В параметре Name of administrator account to manage нужно указать имя учетной записи администратора, пароль которого нужно менять. Если вы используете встроенного администратора Windows, укажите Administrator здесь.

    LGPO не создает локальные учетные записи администратора. Если вы хотите использовать другую учетную запись администратора, нужно предварительно создать ее на компьютерах с помощью GPO или PowerShell.

  6. Перезагрузите компьютер чтобы применить новые настройки GPO.

Как узнать пароль локального администратора через LAPS?

После внедрения политик LAPS, Windows при загрузке изменит пароль локального администратора и запишет его в защищенный атрибут msLAPS-Password в объект компьютера в AD. Вы можете получить текущий пароль компьютера в консоли ADUС или с помощью PowerShell.

Откройте консоль ADUC и найдите компьютер, пароль которого вы хотите получить. В свойствах компьютера появилась новая вкладка LAPS.

Просмотр пароля администратора в LAPS

На вкладке отображаются следующие данные:

  • Current LAPS password expiration
  • LASP local admin account name
  • LASP local admin account password

Также вы можете получить текущий пароль администратора компьютер через PowerShell:

Get-LapsADPassword "msk-pc221" -AsPlainText

ComputerName : msk-pc221
DistinguishedName : CN= msk-pc221,OU=…
Account : administrator
Password : .[lB2DWxy1!k23
PasswordUpdateTime : 4/20/2023 10:13:16 AM
ExpirationTimestamp : 5/20/2023 10:13:16 AM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : WINITRPRODomain Admins

Get-LapsADPassword - вывести пароль администратора с помощью PowerShell

Вы можете использовать этот пароль для локального входа на этот компьютер с под учетной запись администратора.

Если вы хотите сбросить текущий пароль, выполните на компьютере команду:

Reset-LapsPassword

Это вызовет немедленную смену пароля текущего пользователя и запишет новый пароль в AD.

Windows Local Administrator Password Solution – это простое встроенное решение, которое позволит вам повысить безопасность использования учетных записей локальных администраторов на компьютерах домена. LAPS хранит текущий пароль администратора в защищённом атрибуте AD и регулярно меняет их на всех компьютерах.

Windows 10
Windows LAPS: Управление паролями локальных администраторов на компьютерах в AD