ローカル管理者のパスワードを LAPS で管理する

多数のコンピューターを管理していると困るのが、コンピューターのローカル管理者アカウントの取り扱いです。ドメインに所属するコンピューターの場合は特に、ローカル管理者の存在を意識することが低くなるため、ローカル管理者のパスワードは製造時点から変更されていないこともあります。その場合、ローカル管理者のユーザー名とパスワードが全コンピューターで同じという状況になっていても不思議ではないでしょう。各コンピューターのローカル管理者のユーザー名やパスワードに同一のものを使いまわした場合、1 台のコンピューターへ侵入されるとネットワーク内の全コンピューターへ被害が急速に拡大する危険が大きくなります。実際、1 台のコンピューターに侵入された場合、その後は Pass the Hash 攻撃などを使われることにより、ものの数分でネットワークの全コンピューターが支配される可能性もあります。

パスワードの使いまわしをしないことがリスクを低減するうえで必要になってきます。とは言え、全コンピューターのローカル管理者パスワードを手作業でユニークなものに設定、管理していくことは大変です。そういった場合に有用な LAPS (Local Administrator Password Solution) というツールが Microsoft から用意されています。

LAPS でできること

LAPS を利用することで、以下のようなことが行えます。

  • ドメインに参加するコンピューターのローカル管理者パスワード一括管理
  • グループ ポリシーで設定を配布することでの設定内容の強制
  • 一括管理する範囲の OU やセキュリティ グループ単位での指定
  • 対象となる各コンピューターのローカル管理者パスワードのユニーク化
  • 付けるパスワードのルール (長さ、複雑さ、有効期間) 指定
  • 指定した有効期間でのパスワード自動変更

LAPS でできないこと

LAPS では、以下のようなことはできません

  • ビルトイン (Built-in) ローカル管理者 (Administrator アカウント) のパスワード管理
    訂正: ビルトイン ローカル管理者も追加作成のローカル管理者でもパスワード管理可能です
  • ワークグループで管理されたネットワークに存在するコンピューターのパスワード管理
  • 複数の管理者アカウントのパスワード管理 (対象アカウントは 1 つのみ可)

LAPS の利用要件

LAPS の利用には以下の環境が必要です。

  • Active Directory (Domain Services): Windows Server 2003 SP1 以降
  • 管理対象コンピューター: Windows Vista 以降、Windows Server 2003 SP2 以降
  • ツール: .NET Framework 4.0 以降、PowerShell 2.0 以降

LAPS でのローカル管理者パスワード展開の流れ

LAPS ではローカル管理者パスワードを管理、展開する側 (LAPS 管理コンピューター と呼ぶことにします) と、LAPS によってローカル管理者パスワードを管理される側 (LAPS 管理対象コンピューター と呼ぶことにします) の両方で設定を行います。大まかな流れは以下のとおりです。

  1. LAPS 管理コンピューターと LAPS 管理対象コンピューターに、それぞれ LAPS モジュールをインストール
  2. LAPS 管理コンピューターで PowerShell による管理ルールの設定
  3. グループポリシーによる LAPS 管理対象コンピューターへの設定の展開

具体的な設定方法を次に説明します。

http://blog.yottun8.com/wordpress/archives/358

ローカル管理者のパスワードを LAPS で管理する」への3件のフィードバック

  1. ピンバック: LAPS のインストールと展開 | blog.yottun8.com

  2. oporih

    > LAPS では、以下のようなことはできません
    > ビルトイン (Built-in) ローカル管理者 (Administrator アカウント) のパスワード管理
    について、
    https://blogs.technet.microsoft.com/askpfeplat/2015/12/28/local-administrator-password-solution-laps-implementation-hints-and-security-nerd-commentary-including-mini-threat-model/
    によると、ビルトインローカル管理者(SID=500)をむしろ対象としているように見えます。
    どのような条件で上記検証結果となったのか参考までに教えていただけますでしょうか。

    返信
    1. yottun8 投稿作成者

      コメントありがとうございます。
      その通りですね。私の記述に誤りがありました。指摘に感謝します。
      実際には、ビルトイン ローカル管理者、もしくはそれ以外に作成した管理者アカウントのどちらでも (ただし、どちらか 1 つのみ) 管理できます。

      返信

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です