域內(nèi)計(jì)算機(jī)本地管理員密碼管理

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)現(xiàn)，信息安全在企業(yè)中的受重視度也越來(lái)越高，終端管理是信息安全中至關(guān)重要的一環(huán)，不可能要求終端用戶和服務(wù)器管理員有著一樣的安全隱患意識(shí)和技術(shù)水平，因此在終端管理員層如何制定完善終端管理的制度和利用現(xiàn)有的技術(shù)來(lái)規(guī)范用戶行為至關(guān)重要。其中做好權(quán)限的管理是重中之重，而企業(yè)內(nèi)終端的密碼管理則是權(quán)限管理的基礎(chǔ)。

在小型企業(yè)中，PC客戶端直接使用客戶端，這種方式終端上需要管理的密碼只有工作組賬號(hào)密碼，這種熟練較少，只有使用excel等其他小工具管理即可。在中大型企業(yè)中，則會(huì)使用AD活動(dòng)目錄來(lái)進(jìn)行統(tǒng)一身份認(rèn)證，此時(shí)域用戶賬號(hào)的密碼則集中保留中AD數(shù)據(jù)庫(kù)中，并且用戶權(quán)限也是保留在AD中，AD的安全性遠(yuǎn)高于普通PC，因此安全性大大提升。

但是使用活動(dòng)目錄，如何管理入域計(jì)算機(jī)的本地管理員密碼是企業(yè)IT運(yùn)維管理員頭疼的一件事，基數(shù)龐大且在處理故障時(shí)又確實(shí)需要本地管理員賬號(hào)，以下我就介紹幾種在企業(yè)中常見(jiàn)的域內(nèi)計(jì)算機(jī)本地管理員賬號(hào)管理方式，其中著重介紹LAPS（Local Administrator Password Solution）。

常見(jiàn)的幾種本地管理員密碼管理方式

1.直接禁用本地管理員

這是一種簡(jiǎn)單粗暴的方式，直接省去管理本地賬號(hào)的工作，這種方式可以使用組策略來(lái)實(shí)現(xiàn)，問(wèn)題是電腦因故障脫離域，或是無(wú)法使用域賬號(hào)登錄時(shí)，電腦就無(wú)法登錄，需要借助PE等工具啟用本機(jī)管理員并設(shè)置密碼。雖然管理簡(jiǎn)單但是安全性有保障。

2.使用統(tǒng)一的本地管理員密碼

這種方式在企業(yè)中最為常見(jiàn)，本地administrator管理員密碼掌握在少數(shù)管理員手中，全公司或者單個(gè)部門保持一致的本地管理員密碼（可以通過(guò)組策略實(shí)現(xiàn)），這種方式對(duì)于helpdesk運(yùn)維工作帶來(lái)的極大的方便，但是只要出現(xiàn)密碼泄露則會(huì)帶來(lái)極大的隱患，并不是很推薦的做法。

3.每臺(tái)電腦設(shè)置不一樣的密碼

每臺(tái)電腦設(shè)置一個(gè)不同的管理員密碼，由IT人員記錄在Excel或是筆記本上；但存在的問(wèn)題是：每次要找某臺(tái)電腦的管理員密碼時(shí)，要去找文件或是記錄，而且也不能定時(shí)修改！這種方式大大的增加的IT人員的運(yùn)維工作量。

4.為每臺(tái)PC本地管理員設(shè)置隨機(jī)密碼

在少部分企業(yè)中，通過(guò)計(jì)算機(jī)開(kāi)機(jī)腳本，為每臺(tái)計(jì)算機(jī)設(shè)置隨機(jī)密碼，并通過(guò)其他方法配合禁止有本地管理員權(quán)限的用戶去更改本地賬號(hào)密碼，此種方式與直接禁用本地管理員賬號(hào)優(yōu)缺點(diǎn)并不太大差異。

5.使用LAPS統(tǒng)一管理計(jì)算機(jī)本地管理員密碼

優(yōu)點(diǎn)：

• 全自動(dòng)，可配置的計(jì)算機(jī)本地管理員帳戶更新

• 通過(guò)OU訪問(wèn)存儲(chǔ)的密碼的簡(jiǎn)單委派。

• 由于LAPS利用了Active Directory組件（組策略，計(jì)算機(jī)對(duì)象屬性等），因此不需要其他服務(wù)器。

• 計(jì)算機(jī)帳戶只能寫入/更新自己的本地管理員帳戶密碼（ms-Mcs-AdmPwd屬性），而不能從該屬性讀取密碼。

• 密碼更新流量已加密。

• 可以輕松地為OU中的每臺(tái)計(jì)算機(jī)更改密碼。

• 免費(fèi)

缺點(diǎn)：

• 僅存儲(chǔ)當(dāng)前密碼，并且可供檢索

• 一次只能由LAPS管理一個(gè)本地管理員帳戶的密碼（只有一個(gè)密碼屬性）

• 域控制器的危害可能會(huì)危害域中的所有本地管理員帳戶密碼。

• 密碼可以隨時(shí)訪問(wèn)，并可以由委派的密碼人員隨時(shí)使用。雖然可以啟用審核，但必須按每個(gè)OU，每個(gè)組配置，以便在域控制器上記錄事件ID 4662。

  
  

LAPS組件

代理-組策略客戶端擴(kuò)展（CSE）-通過(guò)MSI安裝

• 事件記錄

• 隨機(jī)密碼生成-從客戶端計(jì)算機(jī)寫入AD計(jì)算機(jī)對(duì)象

PowerShell模塊

• 權(quán)限配置

Active Directory-集中控制

• 域控制器安全日志中的審核跟蹤

• 計(jì)算機(jī)對(duì)象特殊屬性（ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime）

LAPS受支持的版本

活動(dòng)目錄：

• Windows 2003 SP1及更高版本

受管/客戶端計(jì)算機(jī)：

• Windows Server 2016

• Windows Server 2012 R2數(shù)據(jù)中心（x86或x64）

• Windows Server 2012 R2標(biāo)準(zhǔn)（x86或x64）

• Windows Server 2012 R2基礎(chǔ)（x86或x64）

• Windows 8.1企業(yè)版（x86或x64）

• Windows 8.1專業(yè)版（x86或x64）

• Windows Server 2012數(shù)據(jù)中心（x86或x64）

• Windows Server 2012標(biāo)準(zhǔn)版（x86或x64）

• Windows Server 2012 Essentials（x86或x64）

• Windows Server 2012基礎(chǔ)（x86或x64）

• Windows 8企業(yè)版（x86或x64）

• Windows 8專業(yè)版（x86或x64）

• Windows Server 2008 R2 Service Pack 1（x86或x64）

• Windows 7 Service Pack 1（x86或x64）

• Windows Server 2008 Service Pack 2（x86或x64）

• Windows Vista Service Pack 2（x86或x64）

• Microsoft Windows Server 2003 Service Pack 2（x86或x64）

• 不支持Itanium

管理工具：

• NET Framework4.0

• PowerShell 2.0 或更高版本

LAPS運(yùn)作核心

LAPS簡(jiǎn)化了密碼管理，同時(shí)幫助客戶實(shí)施針對(duì)網(wǎng)絡(luò)***的建議防御措施。特別是，該解決方案可減輕客戶在計(jì)算機(jī)上使用相同的管理本地帳戶和密碼組合時(shí)出現(xiàn)的橫向風(fēng)險(xiǎn)。LAPS將每臺(tái)計(jì)算機(jī)的本地管理員帳戶的密碼存儲(chǔ)在Active Directory中，并在計(jì)算機(jī)的相應(yīng)Active Directory對(duì)象的安全屬性中進(jìn)行保護(hù)。允許計(jì)算機(jī)在Active Directory中更新其自己的密碼數(shù)據(jù)，并且域管理員可以向授權(quán)用戶或組（如工作站服務(wù)臺(tái)管理員）授予讀取權(quán)限。

使用LAPS可以自動(dòng)管理加入域的計(jì)算機(jī)上的本地管理員密碼，以便每個(gè)受管計(jì)算機(jī)上的密碼都是唯一的，是隨機(jī)生成的，并且安全地存儲(chǔ)在Active Directory基礎(chǔ)結(jié)構(gòu)中。該解決方案建立在Active Directory基礎(chǔ)結(jié)構(gòu)上，不需要其他支持技術(shù)。LAPS使用您在受管計(jì)算機(jī)上安裝的組策略客戶端擴(kuò)展（CSE）來(lái)執(zhí)行所有管理任務(wù)。該解決方案的管理工具可輕松配置和管理。

LAPS解決方案的核心是GPO客戶端擴(kuò)展（CSE），它執(zhí)行以下任務(wù)，并可以在GPO更新期間執(zhí)行以下操作：

• 檢查本地Administrator帳戶的密碼是否已過(guò)期。

• 當(dāng)舊密碼過(guò)期或需要在過(guò)期之前進(jìn)行更改時(shí)，生成新密碼。

• 根據(jù)密碼策略驗(yàn)證新密碼。

• 將密碼報(bào)告給Active Directory，并將密碼和機(jī)密屬性一起存儲(chǔ)在Active Directory中。

• 將密碼的下一個(gè)到期時(shí)間報(bào)告給Active Directory，并將該屬性與計(jì)算機(jī)帳戶的屬性一起存儲(chǔ)在Active Directory中。

• 更改管理員帳戶的密碼。

• 然后，允許這樣做的用戶可以從Active Directory中讀取密碼。合格的用戶可以請(qǐng)求更改計(jì)算機(jī)的密碼。

LDAPS安裝部署

1.安裝LAPS.exe組件

一般使用DC作為服務(wù)器端，安裝時(shí)，務(wù)必不勾選第一項(xiàng)，防止策略誤下發(fā)影響AD域管理員密碼。

2.架構(gòu)擴(kuò)展

在DC中運(yùn)行：

Import-Module Admpwd.ps

Update-AdmPwdADSchema

此時(shí)查看AD的計(jì)算機(jī)屬性會(huì)出現(xiàn)兩個(gè)新的屬性，分別是ms-MCS-AdmPwd（存儲(chǔ)密碼）和ms-MCS-AdmPwd（存儲(chǔ)過(guò)期時(shí)間）。

3.刪除默認(rèn)的擴(kuò)展權(quán)限

密碼存儲(chǔ)屬于機(jī)密內(nèi)容，如果對(duì)電腦所在的OU權(quán)限配置不對(duì)，可能會(huì)使非授權(quán)的用戶能讀取密碼，所以從用戶和組的權(quán)限中刪除“All extended rights”屬性的權(quán)限，不允許讀取屬性 ms-Mcs-AdmPwd 的值。

• 如果需要，請(qǐng)對(duì)每個(gè)放置電腦的OU重復(fù)以下操作，如果子OU且你禁用了權(quán)限繼承，則每個(gè)子OU也要做相同的配置。

• 打開(kāi)ADSIEdit

• 在你需要配置的計(jì)算機(jī)所在OU上點(diǎn)擊右鍵、屬性

• 單擊安全選項(xiàng)卡

• 單擊高級(jí)

• 選擇不想要能讀取密碼的組或用戶，然后單擊編輯。

• 取消選中所有擴(kuò)展的權(quán)限

4.使用PowerShell管理LAPS權(quán)限

Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"

所有計(jì)算機(jī)帳戶本身都需要有寫入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd屬性的權(quán)限，此命令是讓計(jì)算機(jī)本機(jī)可以更新的管理本地管理員密碼的密碼和過(guò)期時(shí)間戳

Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang

設(shè)置willwang賬號(hào)允許讀取ComputerGroup的OU內(nèi)的計(jì)算機(jī)本地管理員密碼

Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang

設(shè)置willwang賬號(hào)允許設(shè)置ComputerGroup的OU內(nèi)的計(jì)算機(jī)本地管理員密碼

Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}

查找ComputerGroup的OU內(nèi)的密碼權(quán)限分配

5.客戶端安裝GPO擴(kuò)展（CSE）

有兩種方式，可以使用組策略軟件安裝選項(xiàng)，也可以使用腳本。

組策略軟件安裝選項(xiàng)配置

開(kāi)機(jī)腳本安裝

msiexec /i \\server\share\LAPS.x64.msi /quiet

安裝后，在客戶端上可看到此安裝選項(xiàng)。

6.組策略下發(fā)

按配置選項(xiàng)進(jìn)行策略配置。

Password Settings配置密碼參數(shù)

密碼復(fù)雜性：

生成新密碼時(shí)使用哪些字符

默認(rèn)值：

大字母+小寫字母+數(shù)字+特殊字符

密碼長(zhǎng)度：

最少：8個(gè)字符

最大值：64個(gè)字符

默認(rèn)值：14個(gè)字符

密碼年齡（天）：

最少：1天

最長(zhǎng)：365天

默認(rèn)值：30天

Name of administrator account to manage本地管理員名稱管理

管理員帳戶名稱——要為其管理密碼的本地帳戶的名稱。

使用內(nèi)置管理員帳戶時(shí)請(qǐng)勿配置。即使重命名，內(nèi)置的管理員帳戶也會(huì)由知名的SID自動(dòng)檢測(cè)

在使用自定義本地管理員帳戶時(shí)進(jìn)行配置

Do not allow password expiration time longer than required by policy密碼到期時(shí)間可能比“密碼設(shè)置”策略所需的時(shí)間長(zhǎng)

啟用此設(shè)置時(shí)，不允許計(jì)劃密碼到期時(shí)間長(zhǎng)于“密碼設(shè)置”策略規(guī)定的密碼時(shí)間。當(dāng)檢測(cè)到此類到期時(shí)，立即更改密碼并根據(jù)策略設(shè)置密碼到期。

禁用或未配置此設(shè)置時(shí)，密碼到期時(shí)間可能比“密碼設(shè)置”策略所需的時(shí)間長(zhǎng)。

Enable local admin password management啟用本地管理員帳戶的密碼管理

如果啟用此設(shè)置，則管理本地管理員密碼

如果禁用或未配置此設(shè)置，則不管理本地管理員密碼

7.客戶端刷新策略，生效

在使用LAPS UI修改密碼時(shí)，客戶端必需刷新策略，客戶端更改后再寫入到AD中。

參考鏈接：

https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

作者：?王志輝

優(yōu)質(zhì)文章

騰訊PaaS平臺(tái) | 主機(jī)名設(shè)置錯(cuò)誤怎么辦？

Redis持久化介紹

4大步驟節(jié)省30%浪費(fèi)，優(yōu)化企業(yè)上云成本從了解云開(kāi)始！

運(yùn)維思考 | 你知道CMDB與監(jiān)控是什么關(guān)系嗎？

【干貨】4種Oracle DBaaS部署模式，你在使用哪一種？