Одинаковые пароли локальных администраторов представляют собой риск с точки зрения безопасности. Для устранения этой проблемы можно использовать решение LAPS.

Существует два вида LAPS: Microsoft LAPS (Legacy) и Windows LAPS. Первое решение предполагает установку дополнительного набора компонентов из специального msi-пакета и является устаревшим. Для использования Windows LAPS, в свою очередь, не требуется отдельного пакета. Всё нужное уже есть в Windows 10 или 11, если редакция старше следующих:

 Windows 10 – April 11 2023 Update 
 Windows 11 22H2 – April 11 2023 Update
 Windows Server 2019 – April 11 2023 Update
 Windows Server 2022 – April 11 2023 Update

Настройке Windows LAPS посвещена данная инструкция.

Расширение схемы AD

Все последующие команды выполняются на контроллерах домена.

1. Импортируем модули LAPS

 ipmo LAPS

2. Проверяем наличие модулей. Если в выводе команды пусто - вероятно, требуется обновление Windows

 gcm -Module LAPS

3. От имени доменного администратора добавляем необходимые атрибуты и расширяем схему AD (выбираем опцию “A” после появления запроса)

 Update-LapsADSchema

4. Проверяем наличие атрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)

 Update-LapsAdSchema -Verbose

Можно проверить наличие атрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.

Также появится вкладка LAPS, где и будет располагаться управление паролями.

Назначение права компьютерам обновлять информацию о LAPS

Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально - в Identity можно указать его DistinguishedName из атрибутов.

 Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"

Настройка GPO

Настройка GPO происходит в следующей ветке:

 Computer Configuration > Policies > Administrative Templates > System > LAPS

Если мы не видим данного раздела вообще - вероятно, у нас настроена Central Store и соответствующие файлы GPO необходимо в неё скопировать.

Исходные файлы располагаются здесь:

 C:\Windows\PolicyDefinitions\LAPS.admx
 C:\Windows\PolicyDefinitions\en-US\LAPS.adml

Их нужно скопировать в шару контроллеров домена SysVol. Чтобы не получить ошибку с правами на запись в общую папку, проще скопировать файлы локально (они будут реплицированы на другие контроллеры):

 C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\LAPS.admx
 C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\en-US\LAPS.adml

В политике нас интересуют следующие параметры.

Name of administrator account to manage - имя учётки локального админа, которую будем контроллировать.

Configure password backup directory - место, куда бэкапим пароли (альтернатива AD тут Azure).

Password settings - настройки сложности пароля.

Configure authorized password decryptors - SID группы, которой мы хотим делегировать право расшифровывать и смотреть пароли локальных УЗ.

Настройка группы расшифровки и просмотра

Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:

 Get-ADGroup "LAPS_group"

По умолчанию расшифровывать пароли могут администраторы домена. Если мы делегируем это группе явно - администраторов домена следует включить в данную группу.

При создании группы для LAPS - её тип необходимо обязательно выставить в Universal, а не Global.

Для выбранной группы необходимо разрешить просмотр паролей данной командой:

Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")

Право на сброс пароля устанавливаем другой командой:

Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")

Результаты

Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли, и ждём пока сведения в AD в графе LAPS начнут обновляться.