Artykuł pochodzi z wydania: Luty 2022
Mechanizm LAPS pozwala na skuteczne zabezpieczanie haseł lokalnych kont administratorów. W dobie powszechnego stosowania usług chmurowych omawiane rozwiązanie może być skutecznie wdrożone za pomocą usług chmury obliczeniowej firmy Microsoft.
Możemy powiedzieć, że poziom bezpieczeństwa każdej organizacji jest na takim poziomie jak jego najsłabsze ogniwo. Niestety jednym ze słabszych ogniw w całej procedurze zabezpieczania infrastruktury jest użytkownik końcowy oraz stacje robocze, które wykorzystuje do codziennej pracy. To właśnie te elementy są najczęściej narażone na próby ataków. W przypadku samych kont użytkowników dbanie o należyty poziom zabezpieczeń nie stanowi większego problemu. Można to zorganizować, stosując usługi zapewniające centralne zarządzanie tożsamościami wraz z wymuszaniem odpowiednich polityk bezpieczeństwa.
Większy problem może stanowić zabezpieczanie stacji roboczych użytkowników, gdyż w ich przypadku dostępnych jest znacznie więcej możliwych podatności. Jednym ze słabszych punktów stacji roboczych są wbudowane lokalne konta administracyjne. Domyślnie dostępne są one w ramach każdego systemu operacyjnego, zaraz po zakończeniu procesu instalacji. W zależności od rodzaju systemu mają stale określone nazwy użytkownika, jak na przykład Administrator. Z racji tego, że wspomniane konta nie są na co dzień wykorzystywane, raczej rzadko lub czasem w ogóle, nie są do nich zmieniane hasła. Wiele organizacji w procesie przygotowywania stacji roboczych dla wygody również wykorzystuje stałe hasła dla lokalnych kont administratorów. Dlatego lokalne konta są głównym celem ataków siłowych metod łamania haseł, czyli tzw. brute force. Nierzadko przełamanie hasła administratora jednej stacji roboczej może otworzyć dostęp do infrastruktury całej organizacji. Tak więc aby rozwiązać omawiany problem, konieczne jest wdrożenie systemu zarządzania lokalnymi kontami administratorów.
> LOCAL ADMINISTRATOR PASSWORD SOLUTION
W przypadku systemów Windows rozwiązanie daje nam sam twórca systemu, czyli Microsoft. Wspomniane narzędzie to Local Administrator Password Solution, w skrócie LAPS. Jest to mechanizm, który integruje się z usługą katalogową Active Directory. Dzięki temu w łatwy sposób za pomocą GPO można skonfigurować odpowiednie zasady ochrony lokalnych kont administracyjnych stacji roboczych. W ramach konfiguracji narzędzia możemy określić warunki złożoności hasła, jego długości czy nawet częstotliwości jego zmiany. Jak już wspomniano, podstawą całego narzędzia jest usługa Active Directory, tak więc hasła przechowywane są w ramach dedykowanego atrybutu obiektu komputera, tak by, gdy zajdzie potrzeba, mogły z niego skorzystać uprawnione osoby. Dodatkowo LAPS pozwala również na określenie nazwy użytkownika hasła administratora, dzięki czemu domyślne konto Administrator może odejść już w zapomnienie.
Przywiązanie do lokalnej infrastruktury informatycznej często może stwarzać wiele niepotrzebnych ograniczeń. Na przykład przyłączanie stacji roboczych do lokalnej usługi katalogowej, w niektórych operacjach może wymagać dostępu do kontrolerów domeny. W przypadku popularnej obecnie pracy zdalnej może to znacznie utrudniać pracę, przez co będzie stanowić nie lada wyzwanie dla działów IT. Idealnym rozwiązaniem może być tutaj wykorzystywanie wyłącznie technologii chmurowych, jak np. Azure Active Directory wraz z usługą Intune stosowaną do zarządzania stacjami roboczymi.
Niestety, jak to zwykle w życiu bywa, rozwiązanie jednych problemów generuje kolejne. Tak samo w omawianym przypadku – rezygnacja z lokalnej usługi Active Directory uniemożliwia nam wykorzystanie wspomnianego mechanizmu LAPS. Niemniej jednak nie jest to większy kłopot. Dzięki zastosowaniu dobrodziejstw technologii chmurowych, w szczególności usług platformy obliczeniowej Azure, możemy samodzielnie zbudować własne rozwiązanie zarządzania lokalnymi kontami administratorów w chmurze.
> ARCHITEKTURA ROZWIĄZANIA
Architektura rozwiązania w swojej podstawowej konfiguracji została zaprezentowana na rys. 1. Oprócz wspomnianej wcześniej usługi Azure AD wymaga jedynie dwóch dodatkowych komponentów. Mianowicie sercem całego rozwiązania będzie usługa Azure Key Vault. To właśnie dzięki jej właściwościom możliwe jest zorganizowanie bezpiecznego magazynu do przechowywania wszelakich poufnych informacji jak np. klucze, hasła czy nawet certyfikaty. Oczywiście w naszym przypadku będziemy wykorzystywać funkcję bezpiecznego przechowywania haseł.
[…]
Michał Gajda
Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.
