域內計算機本地管理員密碼管理

隨着互聯網技術的不斷髮現，信息安全在企業中的受重視度也愈來愈高，終端管理是信息安全中相當重要的一環，不可能要求終端用戶和服務器管理員有着同樣的安全隱患意識和技術水平，所以在終端管理員層如何制定完善終端管理的制度和利用現有的技術來規範用戶行爲相當重要。其中作好權限的管理是重中之重，而企業內終端的密碼管理則是權限管理的基礎。

在小型企業中，PC客戶端直接使用客戶端，這種方式終端上須要管理的密碼只有工做組帳號密碼，這種熟練較少，只有使用excel等其餘小工具管理便可。在中大型企業中，則會使用AD活動目錄來進行統一身份認證，此時域用戶帳號的密碼則集中保留中AD數據庫中，而且用戶權限也是保留在AD中，AD的安全性遠高於普通PC，所以安全性大大提高。

可是使用活動目錄，如何管理入域計算機的本地管理員密碼是企業IT運維管理員頭疼的一件事，基數龐大且在處理故障時又確實須要本地管理員帳號，如下我就介紹幾種在企業中常見的域內計算機本地管理員帳號管理方式，其中着重介紹LAPS（Local Administrator Password Solution）。

常見的幾種本地管理員密碼管理方式

1.直接禁用本地管理員

這是一種簡單粗暴的方式，直接省去管理本地帳號的工做，這種方式可使用組策略來實現，問題是電腦因故障脫離域，或是沒法使用域帳號登陸時，電腦就沒法登陸，須要藉助PE等工具啓用本機管理員並設置密碼。雖然管理簡單可是安全性有保障。

2.使用統一的本地管理員密碼

這種方式在企業中最爲常見，本地administrator管理員密碼掌握在少數管理員手中，全公司或者單個部門保持一致的本地管理員密碼（能夠經過組策略實現），這種方式對於helpdesk運維工做帶來的極大的方便，可是隻要出現密碼泄露則會帶來極大的隱患，並非很推薦的作法。

3.每臺電腦設置不同的密碼

每臺電腦設置一個不一樣的管理員密碼，由IT人員記錄在Excel或是筆記本上；但存在的問題是：每次要找某臺電腦的管理員密碼時，要去找文件或是記錄，並且也不能定時修改！這種方式大大的增長的IT人員的運維工做量。

4.爲每臺PC本地管理員設置隨機密碼

在少部分企業中，經過計算機開機腳本，爲每臺計算機設置隨機密碼，並經過其餘方法配合禁止有本地管理員權限的用戶去更改本地帳號密碼，此種方式與直接禁用本地管理員帳號優缺點並不太大差別。

5.使用LAPS統一管理計算機本地管理員密碼

優勢：

• 全自動，可配置的計算機本地管理員賬戶更新

• 經過OU訪問存儲的密碼的簡單委派。

• 因爲LAPS利用了Active Directory組件（組策略，計算機對象屬性等），所以不須要其餘服務器。

• 計算機賬戶只能寫入/更新本身的本地管理員賬戶密碼（ms-Mcs-AdmPwd屬性），而不能從該屬性讀取密碼。

• 密碼更新流量已加密。

• 能夠輕鬆地爲OU中的每臺計算機更改密碼。

• 免費

缺點：

• 僅存儲當前密碼，而且可供檢索

• 一次只能由LAPS管理一個本地管理員賬戶的密碼（只有一個密碼屬性）

• 域控制器的危害可能會危害域中的全部本地管理員賬戶密碼。

• 密碼能夠隨時訪問，並能夠由委派的密碼人員隨時使用。雖然能夠啓用審覈，但必須按每一個OU，每一個組配置，以便在域控制器上記錄事件ID 4662。

  
  

LAPS組件

代理-組策略客戶端擴展（CSE）-經過MSI安裝

• 事件記錄

• 隨機密碼生成-從客戶端計算機寫入AD計算機對象

PowerShell模塊

• 權限配置

Active Directory-集中控制

• 域控制器安全日誌中的審覈跟蹤

• 計算機對象特殊屬性（ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime）

LAPS受支持的版本

活動目錄：

• Windows 2003 SP1及更高版本

受管/客戶端計算機：

• Windows Server 2016

• Windows Server 2012 R2數據中心（x86或x64）

• Windows Server 2012 R2標準（x86或x64）

• Windows Server 2012 R2基礎（x86或x64）

• Windows 8.1企業版（x86或x64）

• Windows 8.1專業版（x86或x64）

• Windows Server 2012數據中心（x86或x64）

• Windows Server 2012標準版（x86或x64）

• Windows Server 2012 Essentials（x86或x64）

• Windows Server 2012基礎（x86或x64）

• Windows 8企業版（x86或x64）

• Windows 8專業版（x86或x64）

• Windows Server 2008 R2 Service Pack 1（x86或x64）

• Windows 7 Service Pack 1（x86或x64）

• Windows Server 2008 Service Pack 2（x86或x64）

• Windows Vista Service Pack 2（x86或x64）

• Microsoft Windows Server 2003 Service Pack 2（x86或x64）

• 不支持Itanium

管理工具：

• NET Framework4.0

• PowerShell 2.0 或更高版本

LAPS運做核心

LAPS簡化了密碼管理，同時幫助客戶實施針對網絡***的建議防護措施。特別是，該解決方案可減輕客戶在計算機上使用相同的管理本地賬戶和密碼組合時出現的橫向風險。LAPS將每臺計算機的本地管理員賬戶的密碼存儲在Active Directory中，並在計算機的相應Active Directory對象的安全屬性中進行保護。容許計算機在Active Directory中更新其本身的密碼數據，而且域管理員能夠向受權用戶或組（如工做站服務檯管理員）授予讀取權限。

使用LAPS能夠自動管理加入域的計算機上的本地管理員密碼，以便每一個受管計算機上的密碼都是惟一的，是隨機生成的，而且安全地存儲在Active Directory基礎結構中。該解決方案創建在Active Directory基礎結構上，不須要其餘支持技術。LAPS使用您在受管計算機上安裝的組策略客戶端擴展（CSE）來執行全部管理任務。該解決方案的管理工具可輕鬆配置和管理。

LAPS解決方案的核心是GPO客戶端擴展（CSE），它執行如下任務，並能夠在GPO更新期間執行如下操做：

• 檢查本地Administrator賬戶的密碼是否已過時。

• 當舊密碼過時或須要在過時以前進行更改時，生成新密碼。

• 根據密碼策略驗證新密碼。

• 將密碼報告給Active Directory，並將密碼和機密屬性一塊兒存儲在Active Directory中。

• 將密碼的下一個到期時間報告給Active Directory，並將該屬性與計算機賬戶的屬性一塊兒存儲在Active Directory中。

• 更改管理員賬戶的密碼。

• 而後，容許這樣作的用戶能夠從Active Directory中讀取密碼。合格的用戶能夠請求更改計算機的密碼。

LDAPS安裝部署

1.安裝LAPS.exe組件

通常使用DC做爲服務器端，安裝時，務必不勾選第一項，防止策略誤下發影響AD域管理員密碼。

2.架構擴展

在DC中運行：

Import-Module Admpwd.ps

Update-AdmPwdADSchema

此時查看AD的計算機屬性會出現兩個新的屬性，分別是ms-MCS-AdmPwd（存儲密碼）和ms-MCS-AdmPwd（存儲過時時間）。

3.刪除默認的擴展權限

密碼存儲屬於機密內容，若是對電腦所在的OU權限配置不對，可能會使非受權的用戶能讀取密碼，因此從用戶和組的權限中刪除「All extended rights」屬性的權限，不容許讀取屬性 ms-Mcs-AdmPwd 的值。

• 若是須要，請對每一個放置電腦的OU重複如下操做，若是子OU且你禁用了權限繼承，則每一個子OU也要作相同的配置。

• 打開ADSIEdit

• 在你須要配置的計算機所在OU上點擊右鍵、屬性

• 單擊安全選項卡

• 單擊高級

• 選擇不想要能讀取密碼的組或用戶，而後單擊編輯。

• 取消選中全部擴展的權限

4.使用PowerShell管理LAPS權限

Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"

全部計算機賬戶自己都須要有寫入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd屬性的權限，此命令是讓計算機本機能夠更新的管理本地管理員密碼的密碼和過時時間戳

Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang

設置willwang帳號容許讀取ComputerGroup的OU內的計算機本地管理員密碼

Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang

設置willwang帳號容許設置ComputerGroup的OU內的計算機本地管理員密碼

Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}

查找ComputerGroup的OU內的密碼權限分配

5.客戶端安裝GPO擴展（CSE）

有兩種方式，可使用組策略軟件安裝選項，也可使用腳本。

組策略軟件安裝選項配置

開機腳本安裝

msiexec /i \\server\share\LAPS.x64.msi /quiet

安裝後，在客戶端上可看到此安裝選項。

6.組策略下發

按配置選項進行策略配置。

Password Settings配置密碼參數

密碼複雜性：

生成新密碼時使用哪些字符

默認值：

大字母+小寫字母+數字+特殊字符

密碼長度：

最少：8個字符

最大值：64個字符

默認值：14個字符

密碼年齡（天）：

最少：1天

最長：365天

默認值：30天

Name of administrator account to manage本地管理員名稱管理

管理員賬戶名稱——要爲其管理密碼的本地賬戶的名稱。

使用內置管理員賬戶時請勿配置。即便重命名，內置的管理員賬戶也會由知名的SID自動檢測

在使用自定義本地管理員賬戶時進行配置

Do not allow password expiration time longer than required by policy密碼到期時間可能比「密碼設置」策略所需的時間長

啓用此設置時，不容許計劃密碼到期時間長於「密碼設置」策略規定的密碼時間。當檢測到此類到期時，當即更改密碼並根據策略設置密碼到期。

禁用或未配置此設置時，密碼到期時間可能比「密碼設置」策略所需的時間長。

Enable local admin password management啓用本地管理員賬戶的密碼管理

若是啓用此設置，則管理本地管理員密碼

若是禁用或未配置此設置，則無論理本地管理員密碼

7.客戶端刷新策略，生效

在使用LAPS UI修改密碼時，客戶端必需刷新策略，客戶端更改後再寫入到AD中。

參考連接：

https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

做者： 王志輝

優質文章

騰訊PaaS平臺 | 主機名設置錯誤怎麼辦？

Redis持久化介紹

4大步驟節省30%浪費，優化企業上雲成本從瞭解雲開始！

運維思考 | 你知道CMDB與監控是什麼關係嗎？

【乾貨】4種Oracle DBaaS部署模式，你在使用哪種？