Використовуйте обліковий запис місцевого адміністратора для віддаленого адміністрування

Облікові записи локальних адміністраторів зазвичай налаштовуються з однаковим паролем для всіх пристроїв у корпоративних середовищах, що полегшує відвідувачам будь-якого пристрою, якщо пароль порушено. Шаблони базового рівня безпеки Microsoft блокують віддалене використання локальних облікових записів, тому що доки не було випущено рішення для локального адміністратора (LAPS) у 2015, не було механізму безпечного керування обліковими записами локальних адміністраторів. LAPS - це безкоштовний інструмент від Microsoft, який кожен раз у добу 30 рандомізує локальні паролі адміністраторів і надійно зберігає їх у службі Active Directory для кожного облікового запису комп'ютера.

Ризик, який створюються обліковими записами місцевих адміністраторів, можна керувати шляхом ручного встановлення випадкового пароля на кожному пристрої, а потім його запису в електронну таблицю. Але це не вирішує проблему періодичної зміни паролів і вимагає, щоб переконатися, що до електронної таблиці не доступні зловмисні або неавторизовані користувачі. LAPS вирішує ці проблеми, гарантуючи, що облікові записи місцевих адміністраторів залишаються захищеними і не можуть використовуватися хакерами для переміщення з боків поперек мережі.

Докладніше про використання програми LAPS див Захистіть облікові записи місцевого адміністратора за допомогою інструмента локального адміністратора для вирішення паролів (LAPS) на Петрі. Шаблони базової безпеки Microsoft для Windows і Windows Server доступні як частина Інструментарій з дотримання безпеки.

Незважаючи на зручність, LAPS надає можливість керувати обліковими записами місцевих адміністраторів, працівники інформаційної служби часто використовують обліковий запис домену, якому надаються права адміністратора на кожній робочій станції в домені. Хоча цей обліковий запис не повинен бути привілейованим обліковим записом домену, тобто не є членом адміністраторів домену або іншої привілейованої групи AD, обліковий запис все ще може використовуватися для компрометації кожної робочої станції в домені.

Локальні облікові записи для віддаленого адміністрування

В блог поштою від Aaron Margosis, корпорація Майкрософт рекомендує організаціям розглянути питання про розблокування віддаленого використання облікових записів місцевих адміністраторів у разі використання LAPS або іншого рішення для управління паролями на місці, а також якщо ви хочете використовувати локальні облікові записи для віддаленого адміністрування. В іншому випадку слід продовжувати блокувати віддалене використання локальних облікових записів.

Маргоз говорить, що якщо користувач служби підтримки хоче віддалено отримати доступ до робочої станції, то безпечніше отримати пароль адміністратора з AD, ніж використовувати обліковий запис домену. Якщо місцевий пароль адміністратора скомпрометований, будь-яке пошкодження обмежується цим пристроєм. Деякі засоби віддаленого доступу виявляють облікові дані під час входу до віддалених систем, тому облікові дані облікового запису IT-служби можуть бути порушені.

Якщо ви вирішили розблокувати віддалене використання локальних облікових записів, потрібно змінити три параметри групової політики:

  • Заборонити доступ до цього комп'ютера з мережі
  • Заборонити вхід до системи за допомогою служб віддалених робочих столів
  • Застосовуйте обмеження UAC для локальних облікових записів на вхід у мережу

Перші два параметри можна знайти під Windows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment і повинні бути встановлені як порожні. Третій - користувацька настройка, яка є частиною базових шаблонів (SecGuide.admx). Її можна знайти в розділі Керівництво з безпеки адміністративних шаблонів і встановити значення інвалід.

Як ви можете бачити, існують певні переваги у використанні LAPS-керованих локальних облікових записів адміністратора для віддаленого доступу. Єдині недоліки, які я бачу, полягають у тому, що для роботи служб технічної підтримки потрібні адміністративні зусилля для отримання локальних паролів адміністратора від AD кожного разу, коли вони потребують входу, а не швидкого доступу до облікового запису домену. По-друге, використання неназваного облікового запису для входу означає, що ми не маємо запису про доступ до пристрою з правами адміністратора. Ви можете обійти це, включивши аудит доступу до паролів LAPS в AD і скидаючи паролі після кожного використання. Обидва ці завдання можуть бути виконані за допомогою командлет PowerShell Set-AdmPwdAuditing і Reset-AdmPwdPassword відповідно.

Повідомлення Використовуйте обліковий запис місцевого адміністратора для віддаленого адміністрування вперше з'явився на Петрі.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.