LAPS
Taarifa Msingi
LAPS (Local Administrator Password Solution) ni zana inayotumika kusimamia mfumo ambapo manenosiri ya msimamizi, ambayo ni ya kipekee, yaliyochanganywa, na yanabadilishwa mara kwa mara, hutumiwa kwa kompyuta zilizojiunga na uwanja. Manenosiri haya hifadhiwa kwa usalama ndani ya Active Directory na yanapatikana tu kwa watumiaji ambao wamepewa idhini kupitia Orodha za Kudhibiti Upatikanaji (ACLs). Usalama wa maambukizi ya nenosiri kutoka kwa mteja kwenda kwa seva unahakikishwa kwa kutumia Kerberos toleo la 5 na Advanced Encryption Standard (AES).
Katika vitu vya kompyuta vya uwanja, utekelezaji wa LAPS husababisha kuongezwa kwa sifa mbili mpya: ms-mcs-AdmPwd
na ms-mcs-AdmPwdExpirationTime
. Sifa hizi hifadhi nenosiri la msimamizi katika maandishi wazi na muda wake wa kumalizika, mtawalia.
Angalia ikiwa imewashwa
Upatikanaji wa Nywila za LAPS
Unaweza kupakua sera ya LAPS ya asili kutoka \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
na kisha kutumia Parse-PolFile
kutoka kwenye GPRegistryPolicyParser pakiti inaweza kutumika kubadilisha faili hii kuwa muundo unaoeleweka na binadamu.
Zaidi ya hayo, cmdlets za LAPS za asili za PowerShell zinaweza kutumika ikiwa zimefungwa kwenye mashine tunayoweza kupata:
PowerView inaweza kutumika pia kujua nani anaweza kusoma nenosiri na kulisoma:
Zana za LAPSToolkit
Zana za LAPSToolkit inarahisisha uorodheshaji wa LAPS hii kwa kutumia kazi kadhaa. Moja ni kuchambua ExtendedRights
kwa kompyuta zote zilizo na LAPS imewezeshwa. Hii itaonyesha makundi maalum yaliyoruhusiwa kusoma nywila za LAPS, ambazo mara nyingi ni watumiaji katika makundi yaliyolindwa.
Akaunti ambayo imejiunga na kompyuta kwenye kikoa hupokea Haki Zote za Kipekee
juu ya mwenyeji huyo, na haki hii inampa akaunti uwezo wa kusoma nywila. Uorodheshaji unaweza kuonyesha akaunti ya mtumiaji ambayo inaweza kusoma nywila ya LAPS kwenye mwenyeji. Hii inaweza kutusaidia kulenga watumiaji maalum wa AD ambao wanaweza kusoma nywila za LAPS.
Kudondoa Nywila za LAPS Kwa Kutumia Crackmapexec
Ikiwa hakuna ufikiaji wa powershell unaweza kutumia mamlaka haya vibaya kijuujuu kupitia LDAP kwa kutumia
Utulivu wa LAPS
Tarehe ya Muda
Maradhi ya admin, ni wezekano wa kupata nywila na kuzuia mashine kutoka kuboresha nywila yake kwa kuweka tarehe ya kumalizika muda kuwa ya baadaye.
Nenosiri bado yataweza kurejeshwa ikiwa msimamizi anatumia Reset-AdmPwdPassword
cmdlet; au ikiwa Usiruhusu muda wa kumalizika kwa nenosiri kuwa mrefu kuliko ulivyowekwa na sera imeanzishwa katika LAPS GPO.
Mlango wa Nyuma
Msimbo wa chanzo halisi wa LAPS unaweza kupatikana hapa, hivyo niwezekanavyo kuweka mlango wa nyuma katika msimbo (ndani ya mbinu ya Get-AdmPwdPassword
katika Main/AdmPwd.PS/Main.cs
kwa mfano) ambao kwa namna fulani utaondoa nywila mpya au kuzihifadhi mahali fulani.
Kisha, tuunde upya AdmPwd.PS.dll
na kuipakia kwenye mashine katika C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(na ubadilishe wakati wa marekebisho).
Marejeo
Last updated