Cài đặt và sử dụng Microsoft LAPS

Microsoft Local Administrator Password Solution (LAPS) là một công cụ miễn phí tạo ngẫu nhiên mật khẩu admin local trên các máy tính đã tham gia domain. Đây là cách tốt nhất để đảm bảo tài khoản admin local có mật khẩu được thay đổi thường xuyên và an toàn.


Việc sử dụng cùng một mật khẩu cho tài khoản admin local trên tất cả các máy tính là một rủi ro bảo mật rất lớn. Nếu mật khẩu admin local bị đánh cắp trên một máy tính thì tất cả các máy tính khác có thể bị xâm phạm. Cách bảo vệ tốt nhất chống lại vấn đề bảo mật này là dùng mật khẩu riêng trên mỗi máy tính.

Bước 1: Cài đặt Microsoft LAPS trên Management Computers

Phần mềm LAPS cần cài đặt trên cả server giám sát và trên máy người dùng. Trên máy tính giám sát cần cài thêm tính năng quản lý. Tính năng quản lý sẽ được sử dụng để định cấu hình và quản lý LAPS.

Bạn có thể cài đặt tính năng quản lý của LAPS trên domain controller trên bất kỳ một máy tính nào đã tham gia vào domain (Như là windows 10 hoặc 11).

1. Tải phần mềm LAPS từ link sau:

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Chọn phiên bản phù hợp với bạn. Trong bài viết này tôi sẽ tải phiên bản 64-bit.

2. Nhấn đúp chuột vào file LAPS.x64.msi vừa tải về để bắt đầu cài đặt.

3. Nhấn Next tại màn hình Welcome.

4. Tích chọn I accept the terms in the License Agreement rồi nhấn Next.

5. Cài đặt tất cả các tính năng.

Nhấn vào Management Tools và chọn Entire feature will be installed on local hard drive rồi nhấn Next.

6. Nhấn Install.

Sau khi quá trình cài đặt hoàn thành, hãy nhấn Finish.

Như vậy là hoàn thành việc cài đặt phần mềm LAPS cho máy tính quản lý. Ở bước 3, chúng ta sẽ quay lại máy tính quản lý để hoàn tất các bước thiết lập LAPS..

Bước 2: Cài đặt Microsoft LAPS trên máy tính người dùng

Để cài đặt Microsoft LAPS trên máy người dùng, bạn vẫn có thể sử dụng file cài đặt đã tải về ở bước 1 (LAPS.x64.msi).

Chạy file LAPS.x64.msi và giữ các cài đặt mặc định. Chỉ nên chọn cài duy nhất AdmPwd GPO Extension.

Bạn cũng có thể triển khai cài đặt bằng tập lệnh, SCCM, PDQ hoặc bất kỳ chương trình triển khai phần mềm nào khác.

Dưới đây là câu lệnh để cài đặt:

msiexec /q /i \\server\share\LAPS.x64.ms

Bước 3: Bổ sung thuộc tính cho Active Directory Schema

Microsoft LAPS sử dụng hai thuộc tính mới cho các đối tượng máy tính trong Active Directory.

  • ms-Mcs-AdmPwd – Thuộc tính này lưu mật khẩu admin của máy tính.
  • ms-Mcs-AdmPwdExpirationTime – Thuộc tính này lưu thời gian hết hạn của mật khẩu.

Để kích hoạt các thuộc tính mới này, lược đồ Active Directory Schema cần được bổ sung 2 thuộc tính này.

Để thực hiện, bạn làm theo các bước sau.

1. Bạn sẽ cần đăng nhập bằng tài khoản là thành viên của nhóm Scheme admins trong Active Directory

2. Chạy 2 câu lệnh sau:

Import-module AdmPwd.PS

Update-AdmPwdADSchema

Sau khi chạy xong, bạn sẽ nhận được trạng thái thành công như ảnh chụp màn hình ở trên.

Bây giờ bạn sẽ thấy hai thuộc tính mới xuất hiện trên các máy tính trong miền. Bạn có thể kiểm tra lại bằng cách mở Attribute Editor trên các máy tính trong Active Directory.

Các thuộc tính này hiện chưa có giá trị nhưng sẽ được cập nhật khi quá trình thiết lập LAPS hoàn tất

Bước 4: Đặt quyền cho Computer

The write permissions on the ms-Mcs-AdmPwd and ms-Mcs-AdmPwdExpirationTime attributes need to be modified for the SELF built-in account. This is required so the computers can update the password and expiration timestamp of the local administrator password. This is done by using PowerShell.

Quyền ghi trên các thuộc tính ms-Mcs-AdmPwd và ms-Mcs-AdmPwdExpirationTime cần được sửa đổi cho tài khoản SELF. Điều này là bắt buộc để máy tính có thể cập nhật mật khẩu và thời gian hết hạn của mật khẩu admin local. Để thực hiện, cần sử dụng PowerShell.

1. Đầu tiên, xác định OU chứa các đối tượng máy tính của bạn.

Trong ví dụ này, toàn bộ máy tính của tôi được lưu trữ tại OU có tên ADPRO Computers

2. Sử dụng lệnh sau để đặt quyền.

Set-AdmPwdComputerSelfPermission -OrgUnit "ADPRO Computers"

Trong ví dụ này, tôi đang đặt quyền trên OU “ADPRO Computers

Bạn chỉ cần chạy lệnh này tại OU gốc, không cần chạy tại sub-OUs.

Bước 5: Đặt quyền người dùng (Cho phép Read Permissions của Stored Password)

Theo mặc định, chỉ các thành viên của nhóm Domain Admins mới có thể xem mật khẩu được lưu trữ của các tài khoản máy tính. Bạn có thể thêm người dùng hoặc nhóm khác bằng PowerShell.

Trong ví dụ này, tôi sẽ thêm nhóm it_wrk_admins có quyền xem mật khẩu của admin local.

Mở PowerShell rồi chạy lệnh sau:

Set-AdmPwdReadPasswordPermission -Identity "ADPro Computers" -AllowedPrincipals "it_wrk_admins"

Để kiểm tra người dùng hoặc nhóm nào có quyền, hãy chạy lệnh bên dưới.

Find-AdmPwdExtendedRights -Identity "ADPro Computers"

Như hình trên, bạn có thể thấy domain admin và nhóm it_wrk_admins đã có các quyền mở rộng.

Bước 6: Cài đặt Group Policy

The last configuration step is to create a group policy for the LAPS settings.

Bước cuối cùng là tạo group policy cho cài đặt LAPS.

1. Mở bảng điều khiển Group Policy Management.

2. Tạo một GPO mới trên OU mà bạn lưu máy tính.

Đặt tên cho GPO. Tôi sẽ đặt là Computer – LAPS.

3. Chỉnh sửa GPO

Di chuyển tới đến các cài đặt Policy sau Computer Configuration -> Policies -> Administrative Templates -> LAPS.

Nhấn vào Enable local admin password management.

Tích chọn Enable rồi nhấn OK.

Nhấn vào policy Password Settings.

tích chọn Enable. Nhập cấu hình độ phức tạp của mật khẩu rồi nhấn OK.

Nếu bạn có tài khoản admin local mà bạn muốn dùng LAPS quản lý, bạn có thể bật tùy chọn Name of administrator account to manage.

Ví dụ: nếu tôi có tài khoản admin local có tên IT_Admin, tôi có thể sử dụng chính sách này để LAPS quản lý tài khoản đó như sau.

Như vậy là bạn hoàn thành các bước cấu hình Microsoft Laps.

Cách xem Password của tài khoản Admin Local

Trên máy tính quản lý, bạn hay·mở LAPS UI.

Nhập tên máy tính cần xem rồi nhấn Search.

Above you can see the local administrator password for PC1 and when the password expires.

Ở trên, bạn có thể thấy mật khẩu admin local của PC1 và khi mật khẩu hết hạn.

Bạn có thể sử dụng PowerShell để xem mật khẩu bằng lệnh sau:

Get-AdmPwdPassword PC1

Bạn cũng có thể xem mật khẩu qua Active Directory bằng cách mở Properties của máy tính cần xem và nhấp vào thẻ Attribute Editor. Vấn đề duy nhất với cách này là  thời gian hết hạn mật khẩu không ở định dạng có thể đọc được.

Một cách khác là sử dụng AD Pro Toolkit. Nó có thể trích xuất một báo cáo sẽ lấy mật khẩu LAPS trên tất cả các máy tính. Để chạy báo cáo này, nhấp vào Reports -> Security -> LAPS passwords.


Đăng nhận xét

0 Nhận xét

Liên hệ