Загальні відомості.
LAPS (Local Administrator Password Solution) – це програмний комплекс, що дозволяє керувати паролями локальних адміністраторів на комп’ютерах в домені за допомогою групових політик.
Після встановлення операційної системи створюється обліковий запис локального адміністратора – ctoisadmin, а обліковий запис за замовчуванням Administrator(Built-in) автоматично вимикається, надалі з міркувань безпеки він не використовується щоб унеможливити підбор паролю до завідомо відомого облікового запису. З іншої сторони, як показує практика, через деякий час після впровадження нового паролю для облікового запису ctoisadmin він стає доступним для користувачів. Існує декілька непереборних факторів коли адміністратор: по дружбі надає пароль користувачу; спілкується наживо, по телефону або веде листування з колегою, питає пароль та користувач теж його чує або бачить в листуванні. Залишається тільки питання часу як швидко пароль локального адміністратора ctoisadmin стане відомим користувачу. На допомогу нам з’являється програмний комплекс LAPS.
Налаштування програми.
Клієнт LAPS встановлюється на всіх компь’ютерах в домені uabs за допомогою групових політик. Налаштування програми забезпечує роботу з обліковим записом локального адміністратора ctoisadmin. При ввімкненні комп’ютера відбувається оновлення групової політики, агент LAPS: 1) перевіряє строк дії паролю, якщо він завершився,
2) генерує новий пароль виду 1DV5rz9P(великі літери+малі літери+цифри) довжина 8 символів, строк дії 24 години, 3) змінює пароль.
Перевагою використання LAPS є отримання на кожному комп’ютері окремого, складного виду, унікального паролю з мінімальним можливим строком дії.
Навіть якщо користувачу стане відомий пароль, він зможе виконати вхід в систему тільки на цьому комп’ютері. Нехай користувач почав працювати під обліковим записом ctoisadmin, через 24 години пароль буде змінено автоматично та увійти в систему буде вже не можливо.
Якщо потрібно переконатися, що на комп’ютері було успішно встановлено LAPS перейдіть до налаштувань, у втановлених програмах компь’ютера він має вигляд:
або
Робота з програмою.
Щоб переглянути поточний пароль локального адміністратора ctoisadmin на компь’ютері в домені uabs потрібно:
- виконати вхід на основний контролер домена,
- відкрити програму,
- Ввести в поле ComputerName – ім’я потрібного комп’ютера, натиснути кнопку Search, тепер ми бачимо в полі Password – поточний пароль, а в полі Password expires – строк дії паролю.
- Якщо після вводу імені потрібного комп’ютера ми натискаємо кнопку Search та бачимо в Password та Password expires пусті поля – це значить, що на компь’ютері не спрацювали групові політики, в такому випадку пароль локального адміністратора ctoisadmin залишається незмінним, таким що було задано при встановленні операційної системи.
За рахунок комплексних налаштувань та з метою забезбечення безпеки RDP доступ до контролерів домену з мереж в яких працюють користувачі закрито. Тому для отримання паролю потрібно звернутися до відповідальної особи, що займається зміною паролів та створенням облікових записів.