| Už to začíná být docela vyladěné, takže jsem se rozhodl zveřejnit vlastní řešení na řízení hesel lokálních admin účtů na stanicích a serverech. Je to něco podobného jako LAPS od Microsoftu, ale je to lepší. Samozřejmě :-) Obsahuje to fíčury, které jsem vyvíjel vždycky pro nějakého zákazníka, takže všechno má smysl :-)
O co jde?
Na počítačích v síti, ať už jsou doménové, nebo ne, nebo jsou spravované Intune apod. potřebujete mít nějaký lokální účet, nebo účty, které jsou lokálními Administrators. Říkám schálně lokální účty, protože pokud nejede síť, nebo doménové ověřování, tak byste se tam nepřihlásili. Někdy počítač odpojíte z domény kvůli údržbě, a pokud neznáte heslo lokálního správce, už se tam nedostanete. Někdy vám počítače vypadávají z domény i samy. Pokud nemáte doménu nebo Azure, je to jasné samo o sobě.
Na jednotlivých strojích nechcete mít stejná hesla těchto účtů. Pokud někdo jedno zjistí, dostal by se s tím na všechny ostatní stroje. Potřebujete tedy náhodné heslo admin účtu na každém počítači. Také ho chcete občas změnit. Nebo ho chcete změnit i rovnou brzy po jeho občasném použití.
Co to umí?
- hesla ukládat do trezorů, kterými je Active Directory, FTPS server ve formě souborů, nebo Azure Key Vault
- měnit automaticky heslo zabudovaného účtu Administrator (SID -500) na náhodné
- přejmenovat, nebo úplně zakázat zabudovaný účet Administrator (SID -500) a klidně mu u toho taky měnit heslo
- vytvořit vlastní účet, který bude členem skupiny Administrators a bude mu měněno heslo (lze vytvářet více takových účtů)
- vytvořit další vlastní účty, které třeba ani nebudou členem skupiny Administrators, a budou mít náhodné heslo (například kvůli nějakým naplánovaným úlohám, nebo autologon na kiosku)
- zapnout daný účet rovnou na autologon
- měnit hesla opakovaně po několika dnech
- měnit hesla rovnou brzy po jejich použití. Jakmile se jednou použije, po několika hodinách se rovnou heslo změní. Nemusí se čekat na pravidelný interval změny
- pamatovat si historie všech hesel, takže pokud se změna nepovede, nebo se nezapíše do trezoru (síťové výpadky), tak se dá použít předchozí heslo
- pokud počítač obnovíte ze zálohy, nebo snapshot, nebo checkpoint, nebo imidž, tak máte tehdejší heslo v trezoru
- různé kombinace předchozího. Můžete mít více účtů, něco v AD, něco v FTPS a něco v Azure Key Vault. Současně autologon apod.
Jak na to?
Tady si to stáhnete. Případně zdrojové kódy jsou vidět po jednom zde. Celé to dělá skript nazvaný JOB. Spouští se stejně pojmenovaným BATákem. Pokud chcete trezor v ADčku, musíte si rozšířit schéma pomocí SCHEMA-UPDATE souboru. Do Active Directory se to zapisuje pod účtem počítače, pod kterým to je také potřeba spouštět.
Pokud chcete trezory v FTPS nebo Azure stačí zadat login a heslo. V případě těchto dvou trezorů je generováno náhodné jméno souboru nebo tajemství (secret), samozřejmě odpovídající jménu počítače, ale obohocené o náhodné číslo. Tím se brání DoS útoku, protože na všech počítačích budete mít nejspíš stejná hesla do FTPS nebo Azure Key Vault. Stačí udělat takový účet, který má zakázané čtení v tom FTPS nebo Azure. Stačí mu tam jenom zapisovat. Nemusí být schopen z toho nic přečíst.
Na ruční zkoušení jsou tam BATáky nazvané USE. Loginy a hesla jsou v nich, to si musíte upravit a můžete zkoušet. Pokud použijete heslo ve formě hvězdičky (*) zeptá se vás to. |