Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



24.05.2022

Nowe możliwości w zakresie...

VMware rozszerza ofertę zabezpieczeń end-to-end dla obciążeń cloud-native poprzez ochronę...
24.05.2022

Zarządzanie kluczami

IBM przedstawił nowe rozwiązanie do zarządzania kluczami w wielu chmurach, oferowane jako...
24.05.2022

Ochrona przed zagrożeniami

ESET wprowadził nowe wersje swoich produktów biznesowych do ochrony stacji roboczych,...
24.05.2022

Value Stream Management

Micro Focus zaprezentował nową platformę do zarządzania strumieniem wartości VSM (ang....
24.05.2022

Unijna decyzja Value Stream...

Komisja rynku wewnętrznego i ochrony konsumentów Parlamentu Europejskiego poparła...
24.05.2022

Nowy laptop Dynabooka

Sprzęt waży 1,45 kg, a jego grubość to 17,8 mm. Jest odporny na czynniki zewnętrzne, gdyż...
24.05.2022

Przepływ pracy

QNAP oferuje model TS-435XeU wykorzystujący procesor Marvell OCTEON TX2 CN9131 2,2 GHz z...
24.05.2022

Wideo bez wstrząsów

Kamera stałopozycyjna firmy Axis Communications służy do monitoringu miejsc zagrożonych...
24.05.2022

Akceleratory dla naukowców

Firma AMD ogłosiła wprowadzenie do sprzedaży opartych na architekturze AMD CDNA 2...

Dystrybucja mechanizmu LAPS w chmurze

Data publikacji: 03-02-2022 Autor: Michał Gajda

W tej części artykułu o chmurowym mechanizmie LAPS zaprezentowany zostanie sposób dystrybucji rozwiązania na stacje robocze w celu zarządzania hasłami lokalnych kont administracyjnych.

 

W  poprzedniej części zaprezentowany został trzon chmurowego mechanizmu LAPS. Bazuje on na dwóch kluczowych usługach platformy obliczeniowej Azure. Mowa tu o usłudze Azure Function App, która wykorzystywana jest do przetwarzania żądań odbieranych ze stacji roboczych. Dodatkowo wykorzystywana jest również usługa Azure Key Vault, stanowiąca bezpieczny magazyn do składowania haseł lokalnych kont administratorów.

 

W tej części skupimy się na brakującym elemencie całego rozwiązania, czyli na styku chmurowego mechanizmu LAPS z końcowymi stacjami roboczymi użytkowników. Usługą pośredniczącą w dystrybucji mechanizmu będzie wspomniana w pierwszej części usługa Microsoft Intune, która pełni rolę chmurowej usługi zarządzania urządzeniami mobilnymi.

 

> PRZYGOTOWANIE APLIKACJI INTUNE

 

Na początek należy przygotować usługę Microsoft Intune, tak by rozdystrybuować chmurowe narzędzie LAPS na zarządzane stacje końcowe użytkowników. Architektura omawianej części rozwiązania została przybliżona na rys. 1.

 

Kluczową rolę będzie pełniła tutaj odpowiednio przygotowana aplikacja Intune, zawierająca skrypt języka Windows PowerShell. Podstawową rolą skryptu będzie realizacja dwóch kluczowych zadań. Pierwszą z nich jest wygenerowanie żądania zmiany hasła, które zostanie wysłane do wcześniej wspomnianej usługi Azure Function App. Wspomniana aplikacja funkcji przetworzy żądanie, wygeneruje losowe hasło konta administratora i zwrotnie prześle go do stacji roboczej generującej żądanie. Gdy hasło zostanie odebrane, zostanie zrealizowane drugie zadanie skryptu, czyli realizacja samej zmiany hasła dla wskazanego konta lokalnego administratora.

 

W pierwszej kolejności zajmiemy się pierwszym zadaniem skryptu, czyli wysłaniem żądania aplikacji funkcji. Aby było to możliwe, musimy zbudować treść samego żądania. Będzie ono zapisane w formacie JSON i przykładowo powinno zawierać następujący kod:

 

$Body = @”
{
“keyName”: “$env:COMPUTERNAME”,
“contentType”: “LAPS”,
“tags”: {
“UserName”: “$UserName”
}
}
“@

 

Konieczne także będzie określenie kilku niezbędnych parametrów:

 

  • keyName – czyli kluczowy parametr definiujący unikalną nazwę obiektu, pod którym będzie zapisane hasło lokalnego administratora w ramach bezpiecznego magazynu haseł;
  • contentType – czyli nazwa definiująca rodzaj zapisywanego obiektu. Może to być dowolny ciąg znaków, na przykład „LAPS”;
  • tags – czyli opcjonalny zestaw dodatkowych metadanych, które będą zapisane w ramach obiektu hasła magazynu danych. Może zawierać wszelkie przydatne informacje, np. nazwę użytkownika, model komputera czy jego numer seryjny.

 

Gdy treść żądania zostanie już odpowiednio przygotowana, pozostaje tylko je wysłać pod odpowiedni adres URL funkcji usługi Azure Function App.

 

$Uri = ‘https://<Nazwa instancji `
Azure Function App>.azurewebsites.net/`
api/<Nazwa Funkcji>?code=<Kod `
autoryzacyjny>’

$Password = Invoke-RestMethod `
-Uri $Uri -Method POST `
-Body $Body -ContentType `
‘application/json’ -ErrorAction Stop

 

Po przetworzeniu żądania przez aplikację funkcji zwrotnie do naszego skryptu zostanie przekazane losowo wygenerowane hasło. Przekazywane hasło będzie zapisane w formie jawnego tekstu, niemniej jednak cała komunikacja stacji roboczej z aplikacją funkcji jest zabezpieczana kanałem szyfrowanym – protokołem TLS 1.2.

 

Tekst zapisany w formie zwykłego ciągu nie może być wykorzystany podczas zmiany hasła. Dlatego aby mogło być ono wykorzystane do zmiany hasła konta administratora, musi nastąpić jego konwersja do formatu SecureString:

 

$SecurePassword = `
ConvertTo-SecureString `
$Password -AsPlainText -Force

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"