隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)現(xiàn)���,信息安全在企業(yè)中的受重視度也越來(lái)越高�����,終端管理是信息安全中至關(guān)重要的一環(huán),不可能要求終端用戶(hù)和服務(wù)器管理員有著一樣的安全隱患意識(shí)和技術(shù)水平���,因此在終端管理員層如何制定完善終端管理的制度和利用現(xiàn)有的技術(shù)來(lái)規(guī)范用戶(hù)行為至關(guān)重要���。其中做好權(quán)限的管理是重中之重,而企業(yè)內(nèi)終端的密碼管理則是權(quán)限管理的基礎(chǔ)���。
創(chuàng)新互聯(lián)公司作為成都網(wǎng)站建設(shè)公司����,專(zhuān)注成都網(wǎng)站建設(shè)公司、網(wǎng)站設(shè)計(jì)��,有關(guān)成都定制網(wǎng)站方案����、改版、費(fèi)用等問(wèn)題�,行業(yè)涉及成都塔吊租賃等多個(gè)領(lǐng)域,已為上千家企業(yè)服務(wù)��,得到了客戶(hù)的尊重與認(rèn)可���。
在小型企業(yè)中�,PC客戶(hù)端直接使用客戶(hù)端���,這種方式終端上需要管理的密碼只有工作組賬號(hào)密碼���,這種熟練較少,只有使用excel等其他小工具管理即可����。在中大型企業(yè)中,則會(huì)使用AD活動(dòng)目錄來(lái)進(jìn)行統(tǒng)一身份認(rèn)證�����,此時(shí)域用戶(hù)賬號(hào)的密碼則集中保留中AD數(shù)據(jù)庫(kù)中,并且用戶(hù)權(quán)限也是保留在AD中���,AD的安全性遠(yuǎn)高于普通PC���,因此安全性大大提升。
但是使用活動(dòng)目錄����,如何管理入域計(jì)算機(jī)的本地管理員密碼是企業(yè)IT運(yùn)維管理員頭疼的一件事�����,基數(shù)龐大且在處理故障時(shí)又確實(shí)需要本地管理員賬號(hào)�����,以下我就介紹幾種在企業(yè)中常見(jiàn)的域內(nèi)計(jì)算機(jī)本地管理員賬號(hào)管理方式����,其中著重介紹LAPS(Local Administrator Password Solution)。
常見(jiàn)的幾種本地管理員密碼管理方式
1.直接禁用本地管理員
這是一種簡(jiǎn)單粗暴的方式�����,直接省去管理本地賬號(hào)的工作,這種方式可以使用組策略來(lái)實(shí)現(xiàn)���,問(wèn)題是電腦因故障脫離域����,或是無(wú)法使用域賬號(hào)登錄時(shí)���,電腦就無(wú)法登錄��,需要借助PE等工具啟用本機(jī)管理員并設(shè)置密碼��。雖然管理簡(jiǎn)單但是安全性有保障��。
2.使用統(tǒng)一的本地管理員密碼
這種方式在企業(yè)中最為常見(jiàn)�,本地administrator管理員密碼掌握在少數(shù)管理員手中����,全公司或者單個(gè)部門(mén)保持一致的本地管理員密碼(可以通過(guò)組策略實(shí)現(xiàn)),這種方式對(duì)于helpdesk運(yùn)維工作帶來(lái)的極大的方便��,但是只要出現(xiàn)密碼泄露則會(huì)帶來(lái)極大的隱患�����,并不是很推薦的做法。
3.每臺(tái)電腦設(shè)置不一樣的密碼
每臺(tái)電腦設(shè)置一個(gè)不同的管理員密碼�,由IT人員記錄在Excel或是筆記本上;但存在的問(wèn)題是:每次要找某臺(tái)電腦的管理員密碼時(shí)����,要去找文件或是記錄,而且也不能定時(shí)修改����!這種方式大大的增加的IT人員的運(yùn)維工作量。
4.為每臺(tái)PC本地管理員設(shè)置隨機(jī)密碼
在少部分企業(yè)中��,通過(guò)計(jì)算機(jī)開(kāi)機(jī)腳本�,為每臺(tái)計(jì)算機(jī)設(shè)置隨機(jī)密碼�,并通過(guò)其他方法配合禁止有本地管理員權(quán)限的用戶(hù)去更改本地賬號(hào)密碼,此種方式與直接禁用本地管理員賬號(hào)優(yōu)缺點(diǎn)并不太大差異����。
5.使用LAPS統(tǒng)一管理計(jì)算機(jī)本地管理員密碼
優(yōu)點(diǎn):
全自動(dòng),可配置的計(jì)算機(jī)本地管理員帳戶(hù)更新
通過(guò)OU訪(fǎng)問(wèn)存儲(chǔ)的密碼的簡(jiǎn)單委派����。
由于LAPS利用了Active Directory組件(組策略����,計(jì)算機(jī)對(duì)象屬性等)�,因此不需要其他服務(wù)器。
計(jì)算機(jī)帳戶(hù)只能寫(xiě)入/更新自己的本地管理員帳戶(hù)密碼(ms-Mcs-AdmPwd屬性)��,而不能從該屬性讀取密碼���。
密碼更新流量已加密�。
可以輕松地為OU中的每臺(tái)計(jì)算機(jī)更改密碼�����。
免費(fèi)
缺點(diǎn):
僅存儲(chǔ)當(dāng)前密碼�����,并且可供檢索
一次只能由LAPS管理一個(gè)本地管理員帳戶(hù)的密碼(只有一個(gè)密碼屬性)
域控制器的危害可能會(huì)危害域中的所有本地管理員帳戶(hù)密碼�����。
密碼可以隨時(shí)訪(fǎng)問(wèn)�,并可以由委派的密碼人員隨時(shí)使用。雖然可以啟用審核����,但必須按每個(gè)OU����,每個(gè)組配置�����,以便在域控制器上記錄事件ID 4662�����。
LAPS組件
代理-組策略客戶(hù)端擴(kuò)展(CSE)-通過(guò)MSI安裝
PowerShell模塊
Active Directory-集中控制
LAPS受支持的版本
活動(dòng)目錄:
受管/客戶(hù)端計(jì)算機(jī):
Windows Server 2016
Windows Server 2012 R2數(shù)據(jù)中心(x86或x64)
Windows Server 2012 R2標(biāo)準(zhǔn)(x86或x64)
Windows Server 2012 R2基礎(chǔ)(x86或x64)
Windows 8.1企業(yè)版(x86或x64)
Windows 8.1專(zhuān)業(yè)版(x86或x64)
Windows Server 2012數(shù)據(jù)中心(x86或x64)
Windows Server 2012標(biāo)準(zhǔn)版(x86或x64)
Windows Server 2012 Essentials(x86或x64)
Windows Server 2012基礎(chǔ)(x86或x64)
Windows 8企業(yè)版(x86或x64)
Windows 8專(zhuān)業(yè)版(x86或x64)
Windows Server 2008 R2 Service Pack 1(x86或x64)
Windows 7 Service Pack 1(x86或x64)
Windows Server 2008 Service Pack 2(x86或x64)
Windows Vista Service Pack 2(x86或x64)
Microsoft Windows Server 2003 Service Pack 2(x86或x64)
不支持Itanium
管理工具:
NET Framework4.0
PowerShell 2.0 或更高版本
LAPS運(yùn)作核心
LAPS簡(jiǎn)化了密碼管理,同時(shí)幫助客戶(hù)實(shí)施針對(duì)網(wǎng)絡(luò)***的建議防御措施�。特別是,該解決方案可減輕客戶(hù)在計(jì)算機(jī)上使用相同的管理本地帳戶(hù)和密碼組合時(shí)出現(xiàn)的橫向風(fēng)險(xiǎn)�。LAPS將每臺(tái)計(jì)算機(jī)的本地管理員帳戶(hù)的密碼存儲(chǔ)在Active Directory中���,并在計(jì)算機(jī)的相應(yīng)Active Directory對(duì)象的安全屬性中進(jìn)行保護(hù)����。允許計(jì)算機(jī)在Active Directory中更新其自己的密碼數(shù)據(jù),并且域管理員可以向授權(quán)用戶(hù)或組(如工作站服務(wù)臺(tái)管理員)授予讀取權(quán)限����。
使用LAPS可以自動(dòng)管理加入域的計(jì)算機(jī)上的本地管理員密碼,以便每個(gè)受管計(jì)算機(jī)上的密碼都是唯一的�,是隨機(jī)生成的,并且安全地存儲(chǔ)在Active Directory基礎(chǔ)結(jié)構(gòu)中�����。該解決方案建立在Active Directory基礎(chǔ)結(jié)構(gòu)上�,不需要其他支持技術(shù)。LAPS使用您在受管計(jì)算機(jī)上安裝的組策略客戶(hù)端擴(kuò)展(CSE)來(lái)執(zhí)行所有管理任務(wù)��。該解決方案的管理工具可輕松配置和管理�。
LAPS解決方案的核心是GPO客戶(hù)端擴(kuò)展(CSE),它執(zhí)行以下任務(wù)����,并可以在GPO更新期間執(zhí)行以下操作:
檢查本地Administrator帳戶(hù)的密碼是否已過(guò)期。
當(dāng)舊密碼過(guò)期或需要在過(guò)期之前進(jìn)行更改時(shí)����,生成新密碼。
根據(jù)密碼策略驗(yàn)證新密碼。
將密碼報(bào)告給Active Directory��,并將密碼和機(jī)密屬性一起存儲(chǔ)在Active Directory中�。
將密碼的下一個(gè)到期時(shí)間報(bào)告給Active Directory,并將該屬性與計(jì)算機(jī)帳戶(hù)的屬性一起存儲(chǔ)在Active Directory中����。
更改管理員帳戶(hù)的密碼。
然后�����,允許這樣做的用戶(hù)可以從Active Directory中讀取密碼���。合格的用戶(hù)可以請(qǐng)求更改計(jì)算機(jī)的密碼�����。
LDAPS安裝部署
1.安裝LAPS.exe組件
一般使用DC作為服務(wù)器端����,安裝時(shí)���,務(wù)必不勾選第一項(xiàng)���,防止策略誤下發(fā)影響AD域管理員密碼。
2.架構(gòu)擴(kuò)展
在DC中運(yùn)行:
Import-Module Admpwd.ps
Update-AdmPwdADSchema
此時(shí)查看AD的計(jì)算機(jī)屬性會(huì)出現(xiàn)兩個(gè)新的屬性��,分別是ms-MCS-AdmPwd(存儲(chǔ)密碼)和ms-MCS-AdmPwd(存儲(chǔ)過(guò)期時(shí)間)��。
3.刪除默認(rèn)的擴(kuò)展權(quán)限
密碼存儲(chǔ)屬于機(jī)密內(nèi)容����,如果對(duì)電腦所在的OU權(quán)限配置不對(duì),可能會(huì)使非授權(quán)的用戶(hù)能讀取密碼���,所以從用戶(hù)和組的權(quán)限中刪除“All extended rights”屬性的權(quán)限�,不允許讀取屬性 ms-Mcs-AdmPwd 的值�����。
如果需要�,請(qǐng)對(duì)每個(gè)放置電腦的OU重復(fù)以下操作,如果子OU且你禁用了權(quán)限繼承�����,則每個(gè)子OU也要做相同的配置�。
打開(kāi)ADSIEdit
在你需要配置的計(jì)算機(jī)所在OU上點(diǎn)擊右鍵、屬性
單擊安全選項(xiàng)卡
單擊高級(jí)
選擇不想要能讀取密碼的組或用戶(hù),然后單擊編輯�。
取消選中所有擴(kuò)展的權(quán)限
4.使用PowerShell管理LAPS權(quán)限
Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"
所有計(jì)算機(jī)帳戶(hù)本身都需要有寫(xiě)入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd屬性的權(quán)限,此命令是讓計(jì)算機(jī)本機(jī)可以更新的管理本地管理員密碼的密碼和過(guò)期時(shí)間戳
Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang
設(shè)置willwang賬號(hào)允許讀取ComputerGroup的OU內(nèi)的計(jì)算機(jī)本地管理員密碼
Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang
設(shè)置willwang賬號(hào)允許設(shè)置ComputerGroup的OU內(nèi)的計(jì)算機(jī)本地管理員密碼
Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}
查找ComputerGroup的OU內(nèi)的密碼權(quán)限分配
5.客戶(hù)端安裝GPO擴(kuò)展(CSE)
有兩種方式��,可以使用組策略軟件安裝選項(xiàng)����,也可以使用腳本。
組策略軟件安裝選項(xiàng)配置
開(kāi)機(jī)腳本安裝
msiexec /i \\server\share\LAPS.x64.msi /quiet
安裝后�����,在客戶(hù)端上可看到此安裝選項(xiàng)�。
6.組策略下發(fā)
按配置選項(xiàng)進(jìn)行策略配置。
Password Settings配置密碼參數(shù)
密碼復(fù)雜性:
生成新密碼時(shí)使用哪些字符
默認(rèn)值:
大字母+小寫(xiě)字母+數(shù)字+特殊字符
密碼長(zhǎng)度:
最少:8個(gè)字符
最大值:64個(gè)字符
默認(rèn)值:14個(gè)字符
密碼年齡(天):
最少:1天
最長(zhǎng):365天
默認(rèn)值:30天
Name of administrator account to manage本地管理員名稱(chēng)管理
管理員帳戶(hù)名稱(chēng)——要為其管理密碼的本地帳戶(hù)的名稱(chēng)���。
使用內(nèi)置管理員帳戶(hù)時(shí)請(qǐng)勿配置�����。即使重命名����,內(nèi)置的管理員帳戶(hù)也會(huì)由知名的SID自動(dòng)檢測(cè)
在使用自定義本地管理員帳戶(hù)時(shí)進(jìn)行配置
Do not allow password expiration time longer than required by policy密碼到期時(shí)間可能比“密碼設(shè)置”策略所需的時(shí)間長(zhǎng)
啟用此設(shè)置時(shí)���,不允許計(jì)劃密碼到期時(shí)間長(zhǎng)于“密碼設(shè)置”策略規(guī)定的密碼時(shí)間��。當(dāng)檢測(cè)到此類(lèi)到期時(shí)�����,立即更改密碼并根據(jù)策略設(shè)置密碼到期�。
禁用或未配置此設(shè)置時(shí)���,密碼到期時(shí)間可能比“密碼設(shè)置”策略所需的時(shí)間長(zhǎng)�����。
Enable local admin password management啟用本地管理員帳戶(hù)的密碼管理
如果啟用此設(shè)置�����,則管理本地管理員密碼
如果禁用或未配置此設(shè)置����,則不管理本地管理員密碼
7.客戶(hù)端刷新策略����,生效
在使用LAPS UI修改密碼時(shí)�,客戶(hù)端必需刷新策略���,客戶(hù)端更改后再寫(xiě)入到AD中�����。
參考鏈接:
https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN
作者:?王志輝
優(yōu)質(zhì)文章
騰訊PaaS平臺(tái) | 主機(jī)名設(shè)置錯(cuò)誤怎么辦�����?
redis持久化介紹
4大步驟節(jié)省30%浪費(fèi)���,優(yōu)化企業(yè)上云成本從了解云開(kāi)始!
運(yùn)維思考 | 你知道CMDB與監(jiān)控是什么關(guān)系嗎����?
【干貨】4種Oracle DBaaS部署模式,你在使用哪一種�����?
分享題目:域內(nèi)計(jì)算機(jī)本地管理員密碼管理
文章轉(zhuǎn)載:
http://weahome.cn/article/poddpo.html
重慶分公司
重慶分公司
