Powershell for Windows

08.06.2015

Централизованная система управления паролями встроенных учётных записей администраторов

Filed under: Active Directory, Microsoft, Security, Windows — Метки: , , , , , , , — Yamshikov Pavel @ 6:32 пп

Долгое время у администраторов корпоративных сетей на базе Active Directory существовала головная боль по поводу встроенных административных локальных учётных записей (Built-In Administrator) и их паролей.

Первая проблема в том, что обычно есть один пароль администратора для всех пользовательских компьютеров, и его утечка или увольнение сотрудника требует смены пароля на всех компьютерах. Можно даже не говорить о том, что один пароль на несколько тысяч или даже сотен компьютеров это плохо, а разделение их на группы и установка на каждую группу иного пароля это сильное увеличение трудоёмкости в работе администраторов и создание массы неудобств. Знакома вам Excel-лька с паролями на шаре? А листочки со списками логинов и паролей? Б-р-р…

Вторая проблема заключается в том, что нужно безопасно установить пароль локального администратора во время установки ОС или сменить его после установки ОС. Всегда есть вопросы: кто, когда и как это сделает?

Помимо этого, есть множество технических проблем:

  • Надо сгенерировать «криптостойкий» пароль
  • Надо его где-то безопасно хранить
  • Надо предоставить к нему безопасный доступ администраторам
  • Надо как-то его менять периодически, по требованию на одном компьютере, группе компьютеров или на всех
  • Надо сделать пароль уникальным для разных компьютеров

Решение этих задач требовало от администраторов создания каких-то самостоятельных разработок, и надо сказать не тривиальных, чтобы управлять паролями учётных записей локальных администраторов.

Теперь есть официально опубликованное решение от Microsoft – Local Administrator Password Solution (LAPS).

Фактически это решение создано пару лет назад инженерами Microsoft и опубликовано как открытый проект – Local admin password management solution.

Существует его прекрасное описание в виде серии статей – Part 6: Managing Local Administrator Passwords.

Этой же проблеме и этому же решению посвящена статья – How To Automate Changing The Local Administrator Password.

Но если ранее это было частной инициативой инженеров PFE, и использование решения было «на свой страх и риск», то теперь это официальный продукт Microsoft, на который распространяется техническая поддержка. Это делает решение доступным для внедрения даже в самых консервативных организациях и компаниях. Забавно, что поддержка действует даже на Windows Server 2003!

Решение опубликовано как Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015

Прямая ссылка на загрузку (включая документацию) Local Administrator Password Solution (LAPS)

Источник

Создайте бесплатный сайт или блог на WordPress.com.