Gestione Password Administrator con GPO

Home » Gestione Password Administrator con GPO

Gestione Password Administrator con GPO

Una delle problematiche comuni nelle infrastrutture informatiche è la gestione della password dell’account amministratore locale. Nelle infrastrutture basate su Active Directory questo account viene di fatto utilizzato raramente, poichè risulta essere preferibile che il personale IT utilizzi un account di dominio con privilegi di amministratore locale. Per fare questo è necessario avvalersi della configurazione tramite Group Policy Preference Computer Control Panel Settings / Local Users and Groups, laddove però non è più possibile andare ad impostare la password ed il campo apposito risulta essere non modificabile.

Campo Password tramite GPO non modificabile.

Questo è dovuto ad un sistema di protezione introdotto da Microsoft, al fine di eliminare il problema per cui queste password inserite tramite pannelli Group Policy risultano essere salvate in chiaro o con encryption debole (a seconda delle configurazini), rappresentando quindi un enorme problema di sicurezza. Questo grazie alla hotfix  KB2962486 descritta nel documento  MS14-025, che una volta installata permette di bloccare l’inserimento di password tramite la GUI del gestore Group Policy Management Console. Ecco quindi che ad esempio l’impostazione che permette di inserire le credenziali sui sistemi aggiornati risulta essere bloccata.

La soluzione quindi per la gestione delle credenziali degli utenti locali, come ad esempio l’Administrator non è quindi più gestibile direttamente da Group Policy Preference, ma è necessario ricorrere a LAPS , uno strumento gratuito di Microsoft.

LAPS

LAPS consente di gestire una password randomica per amministratore locale differente su ogni computer gestita localmente senza necessità di un generatore centralizzato di password.

Tramite LAPS è possibile gestire tramite una GPO client-side extension (CSE) il nome del local administrator account, il periodo di rinnovo, lunghezza e complessità della password. Sono inoltre disponibili tutta una serie di comandi powershell aggiuntivi per il management.

La soluzione  è disponibile al seguente link Local Administrator Password Solution (LAPS) del Microsoft Download Center e rende disponibile un setup unico per i cliente che installa l’AdmPwd GPO Extension o gli strumenti di gestione.

LAPS ha come requisito che il livello di funzionalità del dominio sia almeno impostato a Windows 2003 Nativo o superiore.

L’installazione di LAPS prevede una modifica allo schema di AD perché la Password e l’Expiration Timestamp vengono memorizzati in attributi Active Directory dell’account computer (ms-Mcs-AdmPwd e ms-Mcs-AdmPwdExpirationTime).

Il funzionamento di LAPD prevede che il computer imposti una password casuale in autonomia anche in assenza di connessione AD e la trametta poi cifrata tramite Kerberos.

Dal momento che gli attributi aggiunti da LAPS sono protetti da AD ACL la password è memorizzata in chiaro. Inoltre come spiegato dal team di sviluppo nelle Technical Specification di LAPS la criptografia della password in AD avrebbe comportato una serie di difficoltà implementative, senza però garantire un significativo aumento della sicurezza.

La gestione della password sarà poi possibile da interfaccia grafica tramite lo strumento LAPS UI

oppure alternativa sarà anche possibile utilizzare il cmdlet Powershell Get-AdmPwdPassword:

Se sei interessato ad approfondire questo specifico argomento o tematiche similari, non perdere il corso

Custom avanzato sulle Group Policy della durata di 2 giorni.

By |2018-09-06T08:07:59+00:00Settembre 6th, 2018|Corsi di formazione Microsoft, News, Sistemistica Microsoft|Commenti disabilitati su Gestione Password Administrator con GPO