Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Wykorzystanie LAPS w ochronie kont administracyjnych

Data publikacji: 03-02-2022 Autor: Michał Gajda

Mechanizm LAPS pozwala na skuteczne zabezpieczanie haseł lokalnych kont administratorów. W dobie powszechnego stosowania usług chmurowych omawiane rozwiązanie może być skutecznie wdrożone za pomocą usług chmury obliczeniowej firmy Microsoft.

 

Możemy powiedzieć, że poziom bezpieczeństwa każdej organizacji jest na takim poziomie jak jego najsłabsze ogniwo. Niestety jednym ze słabszych ogniw w całej procedurze zabezpieczania infrastruktury jest użytkownik końcowy oraz stacje robocze, które wykorzystuje do codziennej pracy. To właśnie te elementy są najczęściej narażone na próby ataków. W przypadku samych kont użytkowników dbanie o należyty poziom zabezpieczeń nie stanowi większego problemu. Można to zorganizować, stosując usługi zapewniające centralne zarządzanie tożsamościami wraz z wymuszaniem odpowiednich polityk bezpieczeństwa.

 

Większy problem może stanowić zabezpieczanie stacji roboczych użytkowników, gdyż w ich przypadku dostępnych jest znacznie więcej możliwych podatności. Jednym ze słabszych punktów stacji roboczych są wbudowane lokalne konta administracyjne. Domyślnie dostępne są one w ramach każdego systemu operacyjnego, zaraz po zakończeniu procesu instalacji. W zależności od rodzaju systemu mają stale określone nazwy użytkownika, jak na przykład Administrator. Z racji tego, że wspomniane konta nie są na co dzień wykorzystywane, raczej rzadko lub czasem w ogóle, nie są do nich zmieniane hasła. Wiele organizacji w procesie przygotowywania stacji roboczych dla wygody również wykorzystuje stałe hasła dla lokalnych kont administratorów. Dlatego lokalne konta są głównym celem ataków siłowych metod łamania haseł, czyli tzw. brute force. Nierzadko przełamanie hasła administratora jednej stacji roboczej może otworzyć dostęp do infrastruktury całej organizacji. Tak więc aby rozwiązać omawiany problem, konieczne jest wdrożenie systemu zarządzania lokalnymi kontami administratorów.

 

> LOCAL ADMINISTRATOR PASSWORD SOLUTION

 

W przypadku systemów Windows rozwiązanie daje nam sam twórca systemu, czyli Microsoft. Wspomniane narzędzie to Local Administrator Password Solution, w skrócie LAPS. Jest to mechanizm, który integruje się z usługą katalogową Active Directory. Dzięki temu w łatwy sposób za pomocą GPO można skonfigurować odpowiednie zasady ochrony lokalnych kont administracyjnych stacji roboczych. W ramach konfiguracji narzędzia możemy określić warunki złożoności hasła, jego długości czy nawet częstotliwości jego zmiany. Jak już wspomniano, podstawą całego narzędzia jest usługa Active Directory, tak więc hasła przechowywane są w ramach dedykowanego atrybutu obiektu komputera, tak by, gdy zajdzie potrzeba, mogły z niego skorzystać uprawnione osoby. Dodatkowo LAPS pozwala również na określenie nazwy użytkownika hasła administratora, dzięki czemu domyślne konto Administrator może odejść już w zapomnienie.

 

Przywiązanie do lokalnej infrastruktury informatycznej często może stwarzać wiele niepotrzebnych ograniczeń. Na przykład przyłączanie stacji roboczych do lokalnej usługi katalogowej, w niektórych operacjach może wymagać dostępu do kontrolerów domeny. W przypadku popularnej obecnie pracy zdalnej może to znacznie utrudniać pracę, przez co będzie stanowić nie lada wyzwanie dla działów IT. Idealnym rozwiązaniem może być tutaj wykorzystywanie wyłącznie technologii chmurowych, jak np. Azure Active Directory wraz z usługą Intune stosowaną do zarządzania stacjami roboczymi.

 

Niestety, jak to zwykle w życiu bywa, rozwiązanie jednych problemów generuje kolejne. Tak samo w omawianym przypadku – rezygnacja z lokalnej usługi Active Directory uniemożliwia nam wykorzystanie wspomnianego mechanizmu LAPS. Niemniej jednak nie jest to większy kłopot. Dzięki zastosowaniu dobrodziejstw technologii chmurowych, w szczególności usług platformy obliczeniowej Azure, możemy samodzielnie zbudować własne rozwiązanie zarządzania lokalnymi kontami administratorów w chmurze.

 

> ARCHITEKTURA ROZWIĄZANIA


Architektura rozwiązania w swojej podstawowej konfiguracji została zaprezentowana na rys. 1. Oprócz wspomnianej wcześniej usługi Azure AD wymaga jedynie dwóch dodatkowych komponentów. Mianowicie sercem całego rozwiązania będzie usługa Azure Key Vault. To właśnie dzięki jej właściwościom możliwe jest zorganizowanie bezpiecznego magazynu do przechowywania wszelakich poufnych informacji jak np. klucze, hasła czy nawet certyfikaty. Oczywiście w naszym przypadku będziemy wykorzystywać funkcję bezpiecznego przechowywania haseł.

 

Proces utworzenia obiektu usługi Azure Key Vault nie jest skomplikowany. Jak większość usług platformy Azure może być on wykonany na wiele różnych sposobów, jak na przykład skryptowo czy poprzez ręczne

wyklikanie poszczególnych ustawień w panelu portalu Azure. Właśnie to ostatnie rozwiązanie zostało zaprezentowane w ramce krok po kroku: przygotowanie bezpiecznego magazynu haseł.

 

Aby magazyn haseł mógł zostać uznany za bezpieczny, konieczne jest zawężenie dostępu do gromadzonych w nim zasobów. Odbywa się to za pomocą zdefiniowania polityki zasad dostępu (ang. access policy). W jej ramach wskazujemy, kto może uzyskiwać dostęp do zapisywanych w magazynie haseł. W zakresie polityki możemy określić, którzy użytkownicy będą mogli ręcznie za pomocą platformy Azure podglądać zapisane hasła. Możemy określić również, które mechanizmy będą mogły zapisywać hasła do omawianego magazynu, np. omówiona w dalszej części usługa Azure Function App.

 

Oprócz zawężenia dostępu dla konkretnych obiektów konieczne jest ograniczenie poszczególnych akcji, jakie będą mogły być wykonywane. Mianowicie aby wybrani operatorzy systemu mogli wyłącznie listować wpisy oraz pobierać zawartość zapisanych haseł. Natomiast usługa Azure Function App jest potrzebna tylko po to, aby zapisywać nowe hasła do magazynu. Z racji tego, że omawiany magazyn będzie gromadził newralgiczne informacje, dostęp do zasobu powinien być ograniczony do minimum.

 

Z utworzonego magazynu haseł dla dalszego procesu tworzenia rozwiązania musimy pozyskać jeden kluczowy parametr. Będzie to adres URI, dzięki któremu będzie możliwe zapisywanie haseł lokalnych kont administratorów. Wspomniany adres ma na sztywno zdefiniowany schemat, czyli https://<Nazwa magazynu haseł>.vault.azure.net/. Możemy go pozyskać z zakładki Właściwości (Properties) omawianego obiektu.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"