Microsoft Windows环境中面临的最重要的问题之一是窃取凭据的能力,并利用这些凭据在整个网络中移动。

当在整个环境中使用单个备份本地排五走势图凭据时,此任务对于对手进行异常对攻击性。如果通过组策略首选项部署排五走势图帐户,则可以对SYSVOL搜索CPassword,并且可以轻松解密。但是,为每台机器排五走势图单个本地凭据是排五走势图噩梦。幸运的是,微软已经发明了一个解决这个问题的解决方案,称为本地排五走势图员密码解决方案(LAP)。

LAP为每台计算机设置一个随机密码,该计算机在设置间隔内自动更改。本地排五走势图员密码作为Active Directory中的计算机对象的属性存储,并且可以通过ACL进行粒度保护。在运输过程中使用Kerberos加密保护密码。了解如何使用PowerShell自动执行IT任务。 下载此电子书。 

安装圈子

LAP有一个服务器软件应用程序以及每个客户端的应用程序。 LAP可在以下链接提供:  //www.microsoft.com/en-us/download/details.aspx?id=46899

在Active Directory排五走势图计算机上安装LAPS服务器。如果直接在Active Directory上安装,请选择在本地硬盘驱动器上安装所有功能。小心不要重置当地的广告排五走势图员帐户!

配置Active Directory.

接下来,您需要扩展您的Active Directory架构,为LAPS添加两个附加属性:MS-MCS-admpWD,用于将密码存储在清除文本中,以及存储密码到期时间的MS-MCS-ADPWDExTime。

接下来,您需要确保您的帐户是架构排五走势图员安全组的成员。打开PowerShell作为排五走势图员并运行以下命令。

Import-module AdmPwd.PS

Update-AdmPwdADSchema

添加机器权限

接下来,必须给出每个计算机的权限,以便在本地修改排五走势图员密码字段。要执行此操作,请先导入ActiveDirectory模块。

Import-module –name ActiveDirectory

接下来,您需要获取您的广告组织单位名称。 使用以下命令。

Get-ADOrganizationalUnit -filter *

最后,你的会利用 set-admpwdcomputerselfpermission. 命令委派右侧允许计算机对象写入 MS-MCS-DEMPWD and MS-MCS-ADMPWDDDDEXTIME 属性。使用可分辨名称字段下找到的组织单位信息 get-adorganizationonIt -Filter * command.

LAPS2

接下来,请确保只有您希望拥有DreftryRights权限的帐户,列出了能够读取特定OU的本地密码的帐户和组。

Find-AdmPwdExtendedRights -identity:"OU=Computers, DC=activedir, DC=test, DC=com" | Format-Table ExtendedRightHolders
LAPS3

如果需要删除查看组或用户的密码(MS-MCS-DEMPWD)的权限,请执行以下操作。

打开 adsiedit.。单击“连接”以连接到Active Directory。

右键单击包含您正在安装此解决方案的计算机帐户的OU,然后选择 属性|安全|先进的.

编辑不应该能够读取密码的组或用户。

取消选中 所有扩展权利。

委派安全组致电查看和重置圈的权限

现在我们将添加一个额外的安全组,圈数,并提供能够读取和写入排五走势图员密码字段。首先,在Active Directory用户和计算机中,添加一个组并将其命名为“LAP”。 接下来,运行以下两个命令将权限提供给此组。

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Computers, DC=activedir, DC=test, DC=com" -AllowedPrincipals "LAPS"

Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Computers, DC=activedir, DC=test, DC=com" -AllowedPrincipals "LAPS"
LAPS4

这完成了Active Directory的设置。

在客户端部署LAP

由LAP排五走势图的每台计算机都需要安装客户端。如果您希望将特定机器排除接收密码,只需安装LAPS客户端即可。 圈可以通过组策略,sccm,登录脚本,手动安装或使用的任何其他方法部署,或用于跨网络推送安装文件的任何其他方法。安装LAP客户端的命令行如下。

msiexec /q /i \\server\share\LAPS.x64.msi

您还可以使用以下可选命令在安装过程中创建自定义排五走势图员帐户。

msiexec /q /i \\server\share\LAPS.x64.msi CUSTOMADMINNAME=LocalAdmin

如果要通过组策略部署新的自定义本地排五走势图员帐户,因此由于软件安装的限制,您需要使用ORCA或INSTED以生成MST以传递CustomAdminName值。编辑属性表,并使用您要创建的本地排五走势图员的名称替换__null__。

要确认安装成功,请确认C:\ Program Files \ Laps \ CSE \ admpwd.dll存在。

设置Active Directory Central Store

为了利用.ADMX文件的好处,您必须在Windows域控制器上的Sysvol文件夹中创建一个中央存储。中央存储是默认情况下由组策略工具选中的文件位置。组策略工具使用中央商店中的所有.admx文件。中央存储中的文件将复制到域中的所有域控制器。

要为.admx和.adml文件创建中央商店,请创建一个名为PolicyDefinition的新文件夹(例如)在域控制器上:

C:\ Windows \ sysvol \ sysvol \ activedir.test.com \ policies \策略定义

将以下两个文件复制到上面的文件夹中。

%windir%\ policydefinitions \ admpwd.admx

%windir%\ policydefinitions \ en-us \ admpwd.adml

话题: 安全如何sysadmin

资源: //blog.ipswitch.com/protecting-local-credentials-with-laps