Paikallisen järjestelmänvalvojan tilin suojaaminen – Uudet tuulet (Windows LAPS)
Onko paikallisen järjestelmänvalvojan tilin suojaaminen tuottanut haasteita?
Microsoft vastasi tähän haasteeseen aikanaan tuomalla Local Administrator Password Solution (LAPS) -ratkaisun vuonna 2016, jolla mahdollistettiin järjestelmänvalvojan oikeudet omaavan tilin salasanan tallentaminen paikalliseen hakemistopalveluun (Active Directory). Salasana säilöttiin laitetilin alle attribuuttina, jota pystyi lukemaan tietyillä oikeuksilla.
Asiat ovat kehittyneet monella saralla ja nykyinen ratkaisu ei tukenut pilvipohjaisia laitteita käytännössä lainkaan, koska LAPS vaati paikalliseen ympäristöön linkin. Windows LAPS ratkaisee tämän ongelman tuomalla mahdollisuuden tallentaa salasanat suoraan pilveen (Azure Active Directory).
Windows LAPS tuo täysin pilvipohjaisen ratkaisun paikallisten järjestelmänvalvojan oikeuksilla olevien tilien salasanojen hallintaan. Pääasiassa LAPS pyrkii vastaamaan seuraaviin tilanteisiin:
- Viedään paikallisen järjestelmänvalvojan tilin salasana talteen pilveen (Azure Active Directory)
- Viedään paikallisen järjestelmänvalvojan tilin salasana talteen paikalliseen hakemistopalveluun (Active Directory)
Katsotaanpa seuraavaksi mitä kyseisen työkalun käyttöönotto vaatii…
Laitteet ja vaatimukset
- Windows LAPS ei tarvitse erillistä lisenssiä.
- Laitteiden osalta edellytetään seuraavia:
- Windows 10/11 20H2 tai uudempi ja 04/2023 Security -päivitykset asennettu
- Windows Server 2019 tai uudempi ja 04/2023 Security -päivitykset asennettu
- Laitteiden tulisi olla liitetynä Azure Active Directory Azure AD Hybrid Join- tai Azure AD Join -mallilla.
Windows LAPS käyttöönotto (Azure Active Directory)
Windows LAPS pitää kytkeä päälle ympäristön osalta, jotta salasanoja voidaan säilöä.
Devices -> Devices Settings -> Local administrator settings
Asetusten hallinta (Intune)
Käyttöönotto ei tarvitse omaa Client -sovellusta, kuten aiempi versio. Windows LAPS on täysin sisäänrakennettu ominaisuus käyttöjärjestelmään ja kaikkia asetuksia voidaan hallita keskitetysti Intunen avulla.
Intune Endpoint Security -valikosta löytyy Account Protection, jonka alle on tuotu uudet asetukset:
Asetusten osalta pystytään hienosäätämään salasanojen tallennusta. Määrityksissä voidaan määrittää seuraavat asiat:
- Kohde, johon salasanat tallennetaan. Vain yksi kohde voidaan valita, esim. Azure AD.
- Kuinka kauan salasana on voimassa ennen automaattista vaihtamista
- Hallittava Administrator -tili, alla esimerkki tilanteesta, jossa perinteinen Administrator -tili on kytketty pois päältä ja luotu uusi paikallinen järjestelmänvalvojan tili.
- Salasanan tyypin vaatimukset ja pituus
- Viimeisenä voidaan määrittää toimenpiteet, jotka tapahtuvat automaattisesti salasanan käyttämisen jälkeen. Tälle voidaan viimeisellä asetuksella asettaa viive, jos halutaan mahdollistaa salasanan uudelleen käyttö esimerkiksi tukitilanteessa.
Salasanojen tarkastelu portaaleista
Salasanojen tarkastelu onkin mahdollista useammalla tavalla, alla kuvattu portaalien kautta katseltavissa olevat optiot. Powershell -komennoilla voidaan myös komentaa salasanoja.
Microsoft Intune
Selaamalla laitetilin alle, Local admin password kohdasta pääsee paljastamaan paikallisen tunnuksen salasanan.
Azure Active Directory
Devices -haarasta löytyy paikka, josta voi hakea laitteen nimellä tai tunnistetiedolla samat tiedot:
Yhteenveto
Mitäpäs tästä kokonaisuudesta hyötyy lopulta? Paikalliset järjestelmänvalvojien tunnusten salasanat saadaan hallintaan, ovat uniikkeja ja konfiguraatiot tulevat keskitetysti Intunesta.
Tämä on tietysti vain yksi osa isompaa kokonaisuutta, josta ensi kerralla hieman lisää. Ensi kerralla takerrutaan hieman oikeuksiin, eli kuka näitä salasanoja saa lukea ja käsitellä tarkalleen.
– Pilvihefe Riku Vuorela