Wraz z dynamicznym rozwojem technologii oraz zależności wobec niej, bezpieczeństwo IT nabywa ogromnego znaczenia. Dane, urządzenia, szczegóły dotyczące tożsamości należy chronić za wszelką cenę szczególnie przed atakami cybernetycznymi. W poprzednim artykule na temat Windows LAPS wstępnie poruszyliśmy, do czego do narzędzie służy i dlaczego docenią je administratorzy korzystający z lokalnych kont w systemach operacyjnych Windows – zarówno serwerowych jak i klienckich. Ten artykuł oraz następne przybliżą nieco szerzej specyfikację LAPS, jego znaczenie, konfigurację oraz wpływ na wzrost poziomu bezpieczeństwa.
Do czego służy Windows LAPS
Automatyzacja zarządzania hasłem do konta lokalnego administratora to główny cel tego narzędzia. LAPS generuje silne, losowe hasła i przechowuje je lokalnie na urządzeniach. To specjalne konto dla danego lokalnego urządzenia wykorzystywane chociażby w przypadku konieczności przywrócenia utraconej relacji zaufania z domeną. Narzędzie regularnie rotuje hasło i przechowuje je w usłudze katalogowej Active Directory czy Microsoft Entra ID (dawniej) Azure Active Directory.
Dlaczego jest przydatne? Przede wszystkim da nam pewność, że lokalne konta mają różne i bardzo bezpieczne hasła. Konta lokalne to częste cele hakerów. Co więcej, LAPS będzie użyteczny w obszarze pomocy technicznej, gdy jeden z pracowników ma problem ze swoim urządzeniem. W takiej sytuacji, jeśli administrator nie chce lub nie może logować się na to urządzenie za pomocą konta firmowego, może pobrać hasło do konta z katalogu LAPS i zalogować się z tego poziomu.
Windows LAPS będzie też przydatny, gdy konieczne jest okazjonalne odzyskiwanie urządzenia. Przykładowo jeśli urządzenie pobiera złą aktualizację sterownika sieciowego i jest ono zablokowane poza siecią lub nie może dostać się do sieci oraz logowanie na firmowe urządzenie jest niemożliwe, administrator może zalogować się do urządzenia fizycznego z poziomu swojej konsoli.
Wzrost zagrożenia atakami a skuteczność LAPS-a
Hakerzy nadal doskonalą się w metodach omijania zabezpieczeń kont organizacji, stosując przy tym szereg technik. Należy do nich pass-the-hash (PtH), w której atakujący podszywa się pod innego użytkownika i uzyskuje dostęp do jego zasobów. Wykorzystuje przy tym skrót hasła (ang. hash), czyli ciąg znaków o stałej długości, generowany na podstawie hasła użytkownika, uniemożliwiający jego odgadnięcie.
Jak Windows LAPS może pomóc? Jeśli każde urządzenie ma to samo hasło do lokalnego konta administratora i atakujący je pozna, uzyska dostęp do całej infrastruktury sprzętowej. W takim wypadku sprawdzą się kluczowe funkcje Windows LAPS: losowa rotacja haseł, ich szyfrowanie i chronienie przed nieautoryzowanym dostępem. LAPS może też zmieniać hasła automatycznie domyślnie co 30 dni, natomiast jest też opcja, że hasło wygaśnie nawet po jedynym dniu.
Inną metodą stosowaną przez hakerów jest Golden Ticket. To specyficzny typ cyberataku mający na celu przejęcie kontroli nad systemem dostępu w środowisku Microsoft Windows, szczególnie za pomocą usługi Active Directory (AD). Cyberprzestępcy wykorzystują pewne nieprawidłowości w protokole uwierzytelniania Kerberos, który stosuje Microsoft.
Jak się ochronić? Golden Ticket działa tylko na konta z uprawnieniami administratora. Właściwa implementacja LAPS ogranicza liczbę kont z tymi uprawnieniami, co zmniejsza potencjalny wpływ ataku. LAPS sprawia też, że hasła, które potencjalnie mogą zostać wykradzione przez hackerów, mają krótki termin przydatności. Po upływie określonego czasu hasło automatycznie wygaśnie i atakujący straci dostęp do konta. Windows LAPS utrudnia też eskalację uprawnień. Atak poprzez Golden Ticket zazwyczaj rozpoczyna się od konta o niskich uprawnieniach, a następnie wykorzystuje je do zdobycia dostępu do kont z coraz wyższymi uprawnieniami.
Zastosowanie w codziennej pracy
Oprócz skutecznej ochrony przed atakami hackerskimi, LAPS oferuje szereg innych użytecznych funkcji.
Jedną z zalet jest możliwość odzyskiwania historii haseł. Gdy administratorzy musieli przywrócić obraz z maszyny z kopii zapasowej sprzętu, np. sprzed szczęściu miesięcy i nie mogli się do niej dostać za pomocą żadnego konta firmowego, potrzebowali konta lokalnego. Jednakże wcześniej, tzw. Legacy LAPS przechowywał tylko najnowsze i najlepsze hasło. W przypadku nowszej odsłony system– Windows LAPS przechowuje do 12 poprzednich haseł w aktywnym katalogu. Wszystkie są dostępne dla administratora, który może bez przeszkód uzyskać do nich dostęp i przywrócić kopie zapasowe obrazów systemu.
Innym ciekawym gadżetem jest zarządzanie urządzeniami z poziomu subskrypcji Intune. Jeśli administrator potrzebował wymusić na urządzeniu, aby zmieniło hasło, to w starszej wersji LAPS dokonywało się to poprzez modyfikację stanu, tj. znacznika wygaśnięcia hasła w katalogu. Następnie hasło aktualizowało się długo szczególnie, gdy urządzenie nie ma łączności z kontrolerami domeny Active Directory, aby pobrać lub sprawdzić najnowszy stan. W przypadku urządzenia zarządzanego przez usługę Intune, można użyć możliwości kanału Intune do zarządzania tym urządzeniem, aby nakazać mu natychmiastową rotację hasła. Trzeba tylko kliknąć odpowiedni przycisk i gotowe.
Obawy przed wdrożeniem Windows LAPS
Niektórzy administratorzy boją się jednak wdrożyć Windows LAPS. Obawiają się, że każdy będzie miał dostęp lub będzie wiedział, jak uzyskać dostęp do lokalnych haseł. Jeśli mówimy o jakimkolwiek innym rozwiązaniu opartym na Active Directory, może być ono kontrolowane przez ACL (ang. Active Directory Access Control List). Poprzez AD administratorzy ustawiają uprawnienia, decydują, kto ma dostęp, aby móc odszyfrować lokalne hasła w poszczególnych Jednostkach Organizacyjnych (OU). Natomiast w usłudze Azure AD mamy do dyspozycji RBAC (ang. Role-Based Access Control, kontrola dostępu oparta na rolach).
Ogólnie rzecz biorąc, jeśli ktoś rozważa wdrożenie Windows LAPS, powinien zdecydowanie przeczytać dokumentację i dobrze zrozumieć główną funkcję tego narzędzia. W scenariuszu on-premise przy użyciu list ACL hasła w Windows LAPS i AD mogą zostać zabezpieczone w podobny sposób do możliwości starszych funkcji. W takim wypadku dostępne jest dwuskładnikowe uwierzytelnianie. Aby uzyskać dostęp do hasła w postaci tekstowej, gdy jest ono zaszyfrowane, trzeba pokonać oba poziomy. Pierwszą warstwą są więc listy ACL AD. Konieczne są uprawnienia w Active Directory, aby wysłać zapytanie LDAP (ang. Lightweight Directory Access Protocol, lekki protokół dostępu do katalogu), aby przywrócić te atrybuty do urządzenia klienckiego. To więc pierwsza warstwa.
Drugą jest kwestia uprawnień, czyli czy administrator jest upoważniony do odszyfrowania hasła po tym jak zostało ono zwrócone w postaci zaszyfrowanego blobu z katalogu (ang. Binary Large Object, duży obiekt binarny).
Nadzieja w ustawieniach domyślnych
Połączenie tych dwóch modeli autoryzacji sprawia, że scenariusz lokalny jest bardziej bezpieczny. Domyślnie wszystkie urządzenia Windows LAPS, o ile administratorzy nie skonfigurują ich inaczej, zaszyfrują hasła tylko w taki sposób, aby bieżąca grupa administratorów domeny mogła je odszyfrować. Dlatego na start rekomendowane jest rozpoczęcie od domyślnych ustawień, czyli tylko administratorzy domeny mogą uzyskać dostęp. Dodatkowo, jeśli nie ulegnie zmianie domyślna konfiguracja RBAC, to jedyne role, które mogą pobrać hasła to administratorzy globalni, Intune i administratorzy urządzeń. To powinny być role najbardziej upoważnione w każdej firmowej infrastrukturze IT.
Solidne wsparcie
Windows LAPS wpisuje się we współczesne praktyki cyberbezpieczeństwa. Biorąc pod uwagę fakt, że podstawą zabezpieczeń są nadal hasła, to funkcje zapewniające budowanie silnych i losowych haseł oraz ich rotowanie, niewątpliwie wesprą administratorów haseł do lokalnych kont. Windows LAPS wspiera też zarządzanie upoważnieniami, co sprawia, że do haseł faktycznie ma dostęp ograniczona liczba osób. W rozmaitych kombinacjach z innymi narzędziami Windows LAPS staje się potężnym sprzymierzeńcem.
Zachęcamy do udziału w warsztatach!
Redaktorka Net Complex Blog
