Konfiguracja Windows LAPS w skrócie

Windows LAPS może teraz przechowywać hasła w Azure Active Directory. Jest to dobra wiadomość dla wszystkich, którzy chcą przejść do chmury. Po migracji wszystko, co trzeba zrobić, to ustawić zasady dotyczące tego, jak LAPS będzie działać w danym środowisku biznesowym i jak zostanie skonfigurowany sposób zarządzania urządzeniami.

Zacznijmy więc od podejścia 100 Cloud LAPS z Microsoft Intune. Przejdź do zabezpieczenia punktu końcowego (intune.microsoft.com), a następnie Ochrona konta. Kliknij tutaj, aby utworzyć nową politykę. Platformą będzie Windows 10 lub nowszy, a profilem Windows LAPS. Nadaj polityce nazwę i opis, a następnie kliknij przycisk Dalej.

Teraz o tym, w jaki sposób możesz tworzyć kopie zapasowe haseł i zarządzać nimi. Jeśli masz urządzenia połączone z chmurą, możesz używać tylko Azure ID. Jeśli jednak korzystasz z połączenia hybrydowego, masz do dyspozycji Azure ID lub Active Directory. Wybierzmy tylko Azure AD.

Następnie musimy ustawić maksymalny okres ważności hasła. W przypadku Windows LAPS nieuczciwy administrator może nadal pobrać hasło z magazynu w chmurze i zapisać je w miejscu, w którym nie powinien. Wygaśnięcie haseł pomoże rozwiązać ten problem. Domyślnie jest to 30 dni, ale w przypadku przechowywania haseł w usłudze Active Directory po stronie Azure AD może to być nawet 7 dni.

Teraz o opcjach po uwierzytelnieniu. Jako autoryzowany administrator możesz przeglądać hasła, kiedy tylko chcesz, ale po zalogowaniu się przy użyciu tego hasła LAPS wie o tym i może podjąć jedną z następujących czynności po okresie karencji:

- Zresetować hasło lub zmusić konto administratora do wylogowania się i zresetowania hasła lub

- Wymusić ponowne uruchomienie i reset

Okres karencji może wynosić od 0 do 24 godzin. Jeśli wybierzemy zero, akcje po wyłączeniu zostaną przerwane, a hasło zresetuje się. Dotyczy to usługi Azure AD. Jedna godzina to najkrótszy czas, w którym można przejść do aktywnego katalogu. Następnie kliknij Dalej i utwórz zasady. Gdy je aktywujesz, przejdź do urządzeń z systemem Windows, a następnie spójrz na konfigurację tego urządzenia i tam zobaczysz politykę LAPS. Teraz możesz przejść do lokalnego hasła administratora. Z tego miejsca możesz skopiować lub zobaczyć hasło.

Najpierw przejdziemy przez prostszy sposób przechowywania w usłudze Azure AD, a następnie zajmiemy się pełną metodą Active Directory.

Możemy ustawić te same opcje złożoności i długości, tak jak zrobiliśmy to w Intune zarówno dla akcji po uwierzytelnieniu i dla nazwy konta administratora. Ustawienia mogą być identyczne bez względu na to czy chcesz używać 80 GPOS lub zarządzać w pełni w Intune. Jeśli wybierasz metodę przechowywania w usłudze Azure AD, inne zasady nie mają zastosowania. Jednak, gdy chcesz zarządzać z Active Directory, możesz użyć kilku dodatkowych opcji. Aby to zadziałało, musisz wykonać aktualizację schematu.

Zaloguj się jako administrator schematu, a następnie do Powershell i tutaj znajdziesz wszystkie polecenia LAPS. Możesz zaktualizować schemat / LAPS. Powinno to zająć chwilę, ponieważ dodatkowe funkcje zapewniają szyfrowanie haseł przechowywanych przez Legacy Labs w Active Directory w postaci zwykłego tekstu. Możesz je zaszyfrować. Teraz domyślnie administratorzy domeny są jedynymi, którzy mają dostęp do haseł. Dzięki tej polityce określisz dodatkową grupę administratorów, która może być albo podłączona do Sid albo do nazwy konta Sam, która jest nazwą domeny / grupy. W historii haseł przechowasz do 12 wersji.

Wybierzmy hasło i zalogujmy się do naszej maszyny wirtualnej. Teraz, po zalogowaniu się za pomocą lokalnego konta administratora, hasło zostanie zresetowane na podstawie okresu karencji. Skąd więc wiemy, jak ustawienia są skonfigurowane i zarządzane po stronie klienta? Można oczywiście uruchomić RSOP z wiersza poleceń lub otworzyć rejestr, a następnie przejść do HKey_local_machine\software\Microsoft\Windows\Current\Version\Policies\LAPS. Tutaj znajdują się wszystkie ustawienia usługi Active Directory. Jeśli zarządzasz usługą Intune, musisz przejść do HKey_Local_Machine\Software\Microsoft\Windows\Policies\LAPS. A jeśli przejdziesz do Podglądu zdarzeń systemu Windows, przejdź do aplikacji i usług. Następnie do Microsoft Windows i folderu LAPS.

Zdarzenie 10022 będzie zawierało ustawienia usługi Intune, a zdarzenie 10021 ustawienia usługi Active Directory.

Zdarzenie 10020 poinformuje o aktualizacji haseł. Możesz wchodzić w interakcje z tymi wszystkimi ustawieniami za pomocą poleceń Powershell, ale także monitorować, kto uzyskuje dostęp do twoich haseł. Przejdź do Azure Active Directory, a następnie do dzienników audytu.

Następnie dodajmy filtr aktywności. Wpisz Recover, a następnie kliknij Add.

W tym miejscu znajdziesz znaczniki czasu i urządzenie, na którym uzyskano dostęp do hasła i kto je przeglądał.