Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Vlastní řešení změny lokálních admin účtů o hodně lepší než LAPS
únor 27
Vlastní řešení změny lokálních admin účtů o hodně lepší než LAPS

Už to začíná být docela vyladěné, takže jsem se rozhodl zveřejnit vlastní řešení na řízení hesel lokálních admin účtů na stanicích a serverech. Je to něco podobného jako LAPS od Microsoftu, ale je to lepší. Samozřejmě :-) Obsahuje to fíčury, které jsem vyvíjel vždycky pro nějakého zákazníka, takže všechno má smysl :-)

O co jde?

Na počítačích v síti, ať už jsou doménové, nebo ne, nebo jsou spravované Intune apod. potřebujete mít nějaký lokální účet, nebo účty, které jsou lokálními Administrators. Říkám schálně lokální účty, protože pokud nejede síť, nebo doménové ověřování, tak byste se tam nepřihlásili. Někdy počítač odpojíte z domény kvůli údržbě, a pokud neznáte heslo lokálního správce, už se tam nedostanete. Někdy vám počítače vypadávají z domény i samy. Pokud nemáte doménu nebo Azure, je to jasné samo o sobě.

Na jednotlivých strojích nechcete mít stejná hesla těchto účtů. Pokud někdo jedno zjistí, dostal by se s tím na všechny ostatní stroje. Potřebujete tedy náhodné heslo admin účtu na každém počítači. Také ho chcete občas změnit. Nebo ho chcete změnit i rovnou brzy po jeho občasném použití.

Co to umí?

  • hesla ukládat do trezorů, kterými je Active Directory, FTPS server ve formě souborů, nebo Azure Key Vault
  • měnit automaticky heslo zabudovaného účtu Administrator (SID -500) na náhodné
  • přejmenovat, nebo úplně zakázat zabudovaný účet Administrator (SID -500) a klidně mu u toho taky měnit heslo
  • vytvořit vlastní účet, který bude členem skupiny Administrators a bude mu měněno heslo (lze vytvářet více takových účtů)
  • vytvořit další vlastní účty, které třeba ani nebudou členem skupiny Administrators, a budou mít náhodné heslo (například kvůli nějakým naplánovaným úlohám, nebo autologon na kiosku)
  • zapnout daný účet rovnou na autologon
  • měnit hesla opakovaně po několika dnech
  • měnit hesla rovnou brzy po jejich použití. Jakmile se jednou použije, po několika hodinách se rovnou heslo změní. Nemusí se čekat na pravidelný interval změny
  • pamatovat si historie všech hesel, takže pokud se změna nepovede, nebo se nezapíše do trezoru (síťové výpadky), tak se dá použít předchozí heslo
  • pokud počítač obnovíte ze zálohy, nebo snapshot, nebo checkpoint, nebo imidž, tak máte tehdejší heslo v trezoru
  • různé kombinace předchozího. Můžete mít více účtů, něco v AD, něco v FTPS a něco v Azure Key Vault. Současně autologon apod.

Jak na to?

Tady si to stáhnete. Případně zdrojové kódy jsou vidět po jednom zde. Celé to dělá skript nazvaný JOB. Spouští se stejně pojmenovaným BATákem. Pokud chcete trezor v ADčku, musíte si rozšířit schéma pomocí SCHEMA-UPDATE souboru. Do Active Directory se to zapisuje pod účtem počítače, pod kterým to je také potřeba spouštět.

Pokud chcete trezory v FTPS nebo Azure stačí zadat login a heslo. V případě těchto dvou trezorů je generováno náhodné jméno souboru nebo tajemství (secret), samozřejmě odpovídající jménu počítače, ale obohocené o náhodné číslo. Tím se brání DoS útoku, protože na všech počítačích budete mít nejspíš stejná hesla do FTPS nebo Azure Key Vault. Stačí udělat takový účet, který má zakázané čtení v tom FTPS nebo Azure. Stačí mu tam jenom zapisovat. Nemusí být schopen z toho nic přečíst.

Na ruční zkoušení jsou tam BATáky nazvané USE. Loginy a hesla jsou v nich, to si musíte upravit a můžete zkoušet. Pokud použijete heslo ve formě hvězdičky (*) zeptá se vás to.

Comments

Lokální řešení pro stanici offline?

ahoj Ondro, díky za toto řešení. Čirou náhodou, toto řešení pro osamělou stanici, tedy s úložištěm hesel na tom samém stroji bys neměl? tedy pokud to není příliš pitomý nápad :)

proč to potřebuji? občas mívám stanice, nebo servery, které jsou kompletně izolované pro testovací účely. na dotyčném stroji se něco testuje, nějaká aplikace. případně je to jen dvojice server a klient, které jsou jen spolu propojeny a jinak kompletně izolované ...

díky.

Michal
Michal Zobec on 8.3.2020 18:02

Object Computer

Dobrý den,
je nějak řešený případ, pokud při automatické instalaci počítače (SCCM), nový počítač dostane stejný název, původní počítač tedy z AD zmizí? Lze nějakým způsobem heslo z AD dostat? Nebo je nutné udržovat další databázi hesel mimo AD?
Díky,
Jakub
Jakub on 22.9.2020 13:04

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments