Usługa Rozwiązanie Microsoft LAPS (Local Administrator Password Solution) umożliwia zarządzanie hasłami kont administratora lokalnego dla komputerów przyłączonych do domeny. Hasła są generowane losowo i przechowywane w usłudze Active Directory (AD). Hasła podlegają ochronie przez listy ACL co powoduje że tylko użytkownicy z odpowiednimi uprawnieniami mogą odczytać hasło. Usługa Microsoft LAPS eliminuje problem korzystania ze wspólnego konta lokalnego administratora z ustawionym takim samym hasłem na wszystkich komputerach w domenie Active Directory. Dzięki temu, iż LAPS przechowuje hasła w usłudze Active Directory administratorzy domeny mogą udzielać dostępu do odczytu haseł autoryzowanym użytkownikom lub grupom np. takim jak pracownicy service desk.
Każdy system operacyjny Windows zawiera wbudowane konto administratora systemu o nazwie „Administrator”. Jednym z podstawowych wymagań bezpieczeństwa jest, aby hasło użytkownika „administrator” podlegało restrykcyjnym zasadom (było jak najdłuższe, wysoce skomplikowane i często zmieniane). Niezupełnie bezpiecznym rozwiązaniem jest stosowanie wspólnego nawet wystarczająco długiego i złożonego hasła na wszystkich stacjach roboczych. W sytuacji, gdy jedna z takich stacji zostanie przejęta stosując zrzut haseł z pamięci na tej stacji możliwe będzie uzyskanie dostępu wszystkich komputerów.
Najlepszym sposobem na rozwiązanie problemu z hasłami do lokalnych kont administracyjnych jest zapewnienie, że każda ze stacji posiada inne hasło o odpowiedniej złożoności oraz regularnie zmieniane.
Rozwiązaniem może być właśnie Microsoft LAPS, które zapewnia automatyczne zarządzanie kontem administratora lokalnego na każdym komputerze przynależącym do usługi Active Directory. LAPS umożliwia zarządzanie hasłem lokalnego konta administratora (RID 500) lub hasłem do innego konta lokalnego. Microsoft zaleca, aby tylko domyślne konto lokalne Administratora było członkiem lokalnej grupy Administratorzy i aby LAPS zarządzało tym kontem. LAPS jest darmowym narzędziem, którego składniki są instalowane na każdym komputerze. Generowane jest losowe hasło, które aktualizuje lub tworzy nowe hasła dla lokalnego konta i zapisywane w specjalnym atrybucie hasła w skojarzonym koncie komputera (obiekcie) usługi AD. Konfiguracja LAPS jest zarządzana za pomocą zasad grupy (GPO), które zawierają wartości dotyczące złożoności hasła, długości hasła, nazwy konta lokalnego do zmiany hasła, częstotliwości zmiany hasła itp.
Usługa LAPS poprzez GPO może wymuszać poniższe działania:
- sprawdzenie czy wygasło hasło lokalnego konta administratora;
- wygenerowanie nowego hasła, gdy stare straci ważność lub trzeba je zmienić przed wygaśnięciem;
- sprawdzenie czy nowe hasło jest zgodne z polityką haseł;
- zarejestrowanie hasła na koncie komputera w usłudze Active Directory;
- zgłoszenie czasu wygaśnięcia hasła do usługi Active Directory;
- wykonanie zmiany hasła konta administratora.
Główne funkcje Microsoft LAPS:
- losowe generowanie hasła, które są automatycznie zmieniane na zarządzanych komputerach;
- zabezpieczenie przed atakami Pass-The-Hash;
- ochrona hasła podczas synchronizacji pomiędzy komputerem a usługą Active Directory poprzez szyfrowanie przy użyciu protokołu Kerberos;
- wykorzystanie listę dostępu (ACL) do ochrony haseł w usłudze Active Directory i łatwość wdrażania szczegółowego modelu zabezpieczeń;
- konfiguracja polityki haseł (złożoność, długość i retencja);
Funkcja LAPS systemu Windows jest dostępna za darmo we wszystkich obsługiwanych platformach Windows. Platformy obsługiwane przez Windows LAPS:
- Windows 11 22H2 – Aktualizacja z 11 kwietnia 2023;
- Windows 11 21H2 – Aktualizacja z 11 kwietnia 2023;
- Windows 10 – 11 kwietnia 2023 Update;
- Windows Server 2022 – 11 kwietnia 2023 Update;
- Windows Server 2019 – Aktualizacja 11 kwietnia 2023.
Autor: Piotr Maziakowski