Czy da się zhakować Windows LAPS?

W poprzednich artykułach zrobiliśmy przegląd narzędzia Windows LAPS oraz przedstawiliśmy uproszczoną konfigurację. Teraz skupimy się dokładniej nad oceną zabezpieczeń i zadamy sobie kluczowe pytanie – czy Windows LAPS da się zhakować?

Czy jest możliwa manipulacja hasłem pomimo Windows LAPS?

Skoro kluczową funkcją Windows LAPS jest tworzenie silnych, losowych i unikalnych haseł dla administratorów lokalnych kont czy da się je obejść? Wcześniej Legacy LAPS występowała jako dodatek do systemu Windows. Przeprowadzało się instalację MSI, który pełnił rolę rozszerzenia zasad grupy po stronie klienta, uruchamiał się równolegle i wykonywał swoją pracę. Jednak jako dodatek nie mógł wchodzić w żadną głębszą integrację z systemem operacyjnym.

W wypadku Windows LAPS różnica polega na tym, że gdy konto jest zarządzane przez to narzędzie, nie pozwalamy nikomu innemu na urządzeniu modyfikować hasła. Lokalna wersja hasła jest zawsze zsynchronizowana z hasłem przechowywanym w katalogu Active Directory. Generalnie, sabotaż hasła ma zazwyczaj negatywne konotacje, ale czasami naprawdę może przydarzyć się przypadkiem, nie musi to być złośliwa manipulacja. Czasem też alarm podniesie nadgorliwe oprogramowanie chroniące innej firmy, które z jakiejś przyczyny jest w konflikcie z LAPS.

Jednak, istnieje zagrożenie, że ktoś zechce po prostu zresetować wszystkie lokalne hasła. Jeśli administrator posiada wszystkie potrzebne uprawnienia, może robić, co chce. Temu nie da się zapobiec. Nieuczciwi administratorzy mogą być wszędzie.

Aktualizacja PowerShell Permission Scripts

Jeśli przed instalacją Windows LAPS skrypty PowerShell zarządzały kontami lokalnymi, należy dostosować je, uwzględniając nowe lokalne hasła zarządzane przez LAPS. Windows LAPS dostarcza swoje własne polecenia cmdlet PowerShell do zarządzania hasłami i wpływa na skrypty monitorujące lub rejestrujące zmiany hasła.

Trzeba też pamiętać o Parse-PolFile, który służy do analizy plików GPO (Group Policy Object) w formacie .pol. Pliki .pol są używane do przechowywania ustawień zasad grupy w systemach Windows. Ten skrypt pozwala na analizę tych plików, aby zrozumieć i móc przetwarzać zawarte w nich ustawienia zasad w tym związanych z zarządzaniem hasłami lokalnych kont administratorów.

Odpowiednia konfiguracja tych skryptów ochroni przed uzyskaniem nieautoryzowanego dostępu do haseł.

Co więcej, jeśli organizacja korzysta z systemu do zarządzania hasłami, np. Active Directory, również w tym wypadku będzie konieczne zaktualizowanie skryptów PowerShell, aby uwzględnić interakcje z LAPS.

Ochrona LAPSToolkit

LAPSToolkit to zestaw narzędzi używanych do ułatwienia zarządzania Windows LAPS. Pod kątem bezpieczeństwa powinien mieć mechanizmy zabezpieczeń, które wspierają kontrolę dostępu do narzędzi oraz nad operacjami. LAPSToolkit powinien też umożliwiać rejestrowanie i monitorowanie działań użytkowników szczególnie w obszarze zarządzania hasłami.

Uwaga na zbieranie haseł przy pomocy CrackMapExec

CrackMapExec to narzędzie stosowane w testach penetracyjnych i analizie bezpieczeństwa, które służy do różnorodnych operacji, w tym zbierania informacji, atakowania haseł, namierzania podatności, itp. W kontekście Windows LAPS to narzędzie może stanowić potencjalne zagrożenie, ponieważ jeśli haker przejmie nad nim kontrolę, pozwoli mu na uzyskanie dostępu do lokalnych kont administratorów, co z kolei może prowadzić do kolejnych ataków na powiązane systemy Windows.

Potencjalny backdoor w Windows LAPS

Wróćmy na moment do skryptów PowerShell. Na uwagę zasługują dwie funkcje:

• Get-AdmPwdPassword
• Set-AdmPwdPassword

Ta pierwsza służy do pobierania hasła lokalnego konta administratora. Potencjalne zagrożenie może wynikać z nadużycia tej metody do uzyskania nieautoryzowanego dostępu. Potem atakujący ma już prostą drogę do zmiany hasła i nawet ustawienia daty jego wygaśnięcia przy pomocy Set-AdmPwdPassword.

Redukcja uprawnień

Instalacja Windows LAPS narzuca nowe zasady zarządzania hasłami, za które powinni być odpowiedzialni przede wszystkim administratorzy globalni i Intune oraz administratorzy urządzeń. Wszelkie rozszerzone uprawnienia najlepiej zredukować do minimum, ponieważ trzeba pamiętać, że atakujący będą szukali kont z niższą rangą, aby potem eskalować wyżej.

Jak zabezpieczyć Windows LAPS?

Przedstawiliśmy kilka obszarów, na które trzeba zwrócić uwagę, aby Windows LAPS nie stał się narzędziem do przeprowadzenia ataku. Pozostaje jeszcze dodać, jak to oprogramowanie zabezpieczyć. Nie będziemy zbyt oryginalni, ale pewne oczywiste prawdy też warto sobie przypominać.

Należy upewnić się, że dostęp fizyczny do systemów, na których uruchomiony jest Windows LAPS, jest ściśle kontrolowany. Wszystkie serwery i urządzenia powinny zostać umieszczone w bezpiecznych pomieszczeniach z ograniczonym dostępem.

Jeśli konieczny jest dostęp zdalny, warto skorzystać z VPN, wdrożyć dwuskładnikową autoryzację i stosować silne hasła, aby ograniczyć dostęp tylko do uprawnionych użytkowników.

Warto też pamiętać o ograniczeniu dostępu do poleceń PowerShell w systemach, na których uruchomiony jest LAPS poprzez konfigurację polityk bezpieczeństwa, np. używając Group Policy lub PowerShell Script Execution Policy.

Na koniec, nadawajmy uprawnienia osobom, które rzeczywiście potrzebują ich w swojej pracy.

Darmowe szkolenia dla osób z cyberbezpieczeńtwa