This is an old revision of the document!
Настройка Windows LAPS
Одинаковые пароли локальных администраторов представляют собой риск с точки зрения безопасности. Для устранения этой проблемы можно использовать решение LAPS.
Существует два вида LAPS: Microsoft LAPS (Legacy) и Windows LAPS. Первое решение предполагает установку дополнительного набора компонентов из специального msi-пакета и является устаревшим. Для использования Windows LAPS, в свою очередь, не требуется отдельного пакета. Всё нужное уже есть в Windows 10 или 11, если редакция старше следующих:
Windows 10 – April 11 2023 Update Windows 11 22H2 – April 11 2023 Update Windows Server 2019 – April 11 2023 Update Windows Server 2022 – April 11 2023 Update
Настройке Windows LAPS посвящена данная инструкция.
Расширение схемы AD
1. Импортируем модули LAPS
ipmo LAPS
2. Проверяем наличие модулей. Если в выводе команды пусто - вероятно, требуется обновление Windows
gcm -Module LAPS
3. От имени доменного администратора добавляем необходимые атрибуты и расширяем схему AD (выбираем опцию “A” после появления запроса)
Update-LapsADSchema
4. Проверяем наличие аттрибутов (в выводе команды будет сообщение о том, что атрибуты уже добавлены)
Update-LapsAdSchema -Verbose
Можно проверить наличие аттрибутов в консоли управления AD в свойствах какой-либо рабочей станции или сервера.
Также появится вкладка “LAPS”, где и будет располагаться управление паролями.
Назначение права компьютерам обновлять информацию о LAPS
Компьютерам необходимо обновлять информацию о LAPS. Данная команда позволит им записывать информацию в AD. Здесь необходимо выбрать OU, в котором располагаются компьютеры, предоставляющие информацию LAPS. Если имя OU не уникально в Identity можно указать его DistinguishedName из атрибутов.
Set-LapsADComputerSelfPermission -Identity "OU=Company,DC=domain,DC=local"
Настройка GPO
Настройка GPO происходит в следующей ветке:
Computer Configuration > Policies > Administrative Templates > System > LAPS
Если мы не видим данного раздела вообще - вероятно, у нас настроена Central Store и соответствующие файлы GPO необходимо в неё скопировать.
Исходные файлы располагаются здесь:
C:\Windows\PolicyDefinitions\LAPS.admx C:\Windows\PolicyDefinitions\en-US\LAPS.adml
Их нужно скопировать в шару контроллеров домена SysVol. Чтобы не получить ошибку с правами на запись в общую папку, проще скопировать файлы локально (они будут реплицированы на другие контроллеры):
C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\LAPS.admx C:\Windows\SYSVOL\sysvol\domain.domain.ru\Policies\PolicyDefinitions\en-US\LAPS.adml
В политике нас интересуют следующие параметры.
Name of administrator account to manage - имя учётки локального админа, которую будем контроллировать.
Configure password backup directory - место, куда бэкапим пароли (альтернатива AD тут Azure).
Password settings - настройки сложности пароля.
Configure authorized password decryptors - SID группы, которой мы хотим делегировать право расшифровывать и смотреть пароли локальных УЗ.
Настройка группы расшифровки и просмотра
Чтобы узнать SID группы, которую хотим добавить в политику выше - выполним команду:
Get-ADGroup "LAPS_group"
По умолчанию расшифровывать пароли могут администраторы домена. Если мы делегируем это группе явно - администраторов домена следует включить в данную группу.
При создании группы для LAPS - её тип необходимо обязательно выставить в Universal, а не Global.
Для выбранной группы необходимо разрешить просмотр паролей данной командой:
Set-LapsADReadPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
Право на сброс пароля устанавливаем другой командой:
Set-LapsADResetPasswordPermission -Identity "OU=Company,DC=domain,DC=local" -AllowedPrincipals @("S-1-5-21-1083891243-2317051905-4228426097-3278")
Результаты
Применяем созданную политику к нужным OU, в которых располагаются устройства, обновляющие пароли и ждём пока сведения в AD в графе “LAPS” начнут обновляться.
