Microsoft Local Administrator Password Solution: implementazione e gestione

Windows Server

La sicurezza informatica passa per ogni singolo dettaglio ed i client sono forse l’aspetto su cui focalizzare le forze maggiori, perchè più esposti e perchè gestiti da utenti che ignorano il concetto di security e che molte volte ignorano di fare, o non fare, certe cose. A questo si unisce il fatto che non tutte le aziende hanno strumenti XDR, come Microsoft Defender ATP, o sistemi per proteggere i file server, la posta elettronica e tutto quello che viene usato nell’orbita aziendale.

LAPS

Local Administrator Password Solution è un prodotto gratuito, messo a disposizione di Microsoft, che serve a generare una password univoca per ogni singola macchina all’interno di Active Directory e protetto dalle ACL che garantiscono l’accesso solo agli utenti abilitati.

Il perchè adottare questo sistema è semplice: i ransomware più evoluti sono in grado di rubare le credenziali degli utenti amministrativi attaccando il Windows Credentials Manager, portando il malware ad attaccare altri computer in giro per la rete, fino ad arrivare ai server. Eliminando dai client le credenziali amministrative di dominio, si evita che, anche in caso di attacco, verrebbe presa un’utenza valida solo per quella macchina.

Implementazione

La prima cosa da fare è installare il client di LAPS all’interno di una macchina che ha anche i cmdlets PowerShell di Active Directory, oppure all’interno di uno dei Domain Controller.

Terminata l’installazione, eseguire i seguenti comandi con un account con i privilegi di poter modificare lo Schema di AD: Import-module AdmPwd.PS e Update-AdmPwdADSchema

I computer devono essere in grado di poter aggiornare la password da soli alla scadenza del periodo impostato via GPO, quindi è necessario eseguire il seguente comando PowerShell: Set-AdmPwdComputerSelfPermission -OrgUnit

NB: l’operazione va eseguita per tutte le OU dove ci sono dei client che intendete gestire con LAPS.

Come detto in precedenza, il vantaggio di questa soluzione sta nella granularità di poter gestire l’accesso alle password tramite ACL e questo si traduce nell’assegnazione dei relativi permessi ad un gruppo di Active Directory per poter visualizzare e modificare le password. Per fare questa operazione è necessario eseguire i seguenti comandi:

  • Set-AdmPwdReadPasswordPermission -OrgUnit -AllowedPrincipals “AD Group Name”
  • Set-AdmPwdResetPasswordPermission -OrgUnit -AllowedPrincipals “AD Group Name”

Group Policy

Dopo aver abilitato la parte di Active Directory, è necessario distribuire le impostazioni ai client via GPO e per farlo è necessario importare il file .admx posizionato nella cartella %SystemRoot%\PolicyDefinitions\ dentro la cartella PolicyDefinitions della SYSVOL.

Le policy da attivare sono le seguenti:

  • Enable local admin password managementEnabled
  • Do not allow password expiration time longer than required by policy: Enabled
  • Password Settings

Deployment

La distribuzione dell’applicazione deve essere fatta su ogni client che si intende gestire; via GPO, via WSUS, via Microsoft Endpoint Configuration Manager, via Microsoft Endpoint Manager…..ci sono tanti modi per farlo, oppure via script con il comando msiexec /i “LAPS.msi” /q.

Recupero Password

La password di accesso può essere recuperata in tre modi diversi:

  • LAPS UI
  • PowerShell (Get-AdmPwdPassword <Computer Name> | Out-Gridview)
  • Active Directory snap-in

Come detto in precedenza, solo se l’utente è abilitato a gestire le credenziali di quella specifica OU potrà visualizzarne il contenuto. Nel caso di LAPS UI è sufficiente inserire il nome del device ed effettuare la ricerca.

Nel caso di Active Directory, è necessario aprire lo snap-in della macchina in questione per visualizzare l’attributo della password alla voce ms-Mcs-AdmPwd

Conclusioni

Microsoft Local Administrator Password Solution è sicuramente un grande strumento che ogni azienda dovrebbe implementare per aumentare la sicurezza interna alla propria infrastruttura aziendale. La facilità di utilizzo, ed il fatto che è gratuito, dovrebbe essere un accelerante per usarlo da subito! Nel caso di infrastrutture complesse, è consigliato leggere prima la documentazione per effettuare un corretto dimensionamento (LAPS and AD sizing considerations | Microsoft Docs).

Get Started

Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center