Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Dystrybucja mechanizmu LAPS w chmurze

Data publikacji: 03-02-2022 Autor: Michał Gajda

W tej części artykułu o chmurowym mechanizmie LAPS zaprezentowany zostanie sposób dystrybucji rozwiązania na stacje robocze w celu zarządzania hasłami lokalnych kont administracyjnych.

 

W  poprzedniej części zaprezentowany został trzon chmurowego mechanizmu LAPS. Bazuje on na dwóch kluczowych usługach platformy obliczeniowej Azure. Mowa tu o usłudze Azure Function App, która wykorzystywana jest do przetwarzania żądań odbieranych ze stacji roboczych. Dodatkowo wykorzystywana jest również usługa Azure Key Vault, stanowiąca bezpieczny magazyn do składowania haseł lokalnych kont administratorów.

 

W tej części skupimy się na brakującym elemencie całego rozwiązania, czyli na styku chmurowego mechanizmu LAPS z końcowymi stacjami roboczymi użytkowników. Usługą pośredniczącą w dystrybucji mechanizmu będzie wspomniana w pierwszej części usługa Microsoft Intune, która pełni rolę chmurowej usługi zarządzania urządzeniami mobilnymi.

 

> PRZYGOTOWANIE APLIKACJI INTUNE

 

Na początek należy przygotować usługę Microsoft Intune, tak by rozdystrybuować chmurowe narzędzie LAPS na zarządzane stacje końcowe użytkowników. Architektura omawianej części rozwiązania została przybliżona na rys. 1.

 

Kluczową rolę będzie pełniła tutaj odpowiednio przygotowana aplikacja Intune, zawierająca skrypt języka Windows PowerShell. Podstawową rolą skryptu będzie realizacja dwóch kluczowych zadań. Pierwszą z nich jest wygenerowanie żądania zmiany hasła, które zostanie wysłane do wcześniej wspomnianej usługi Azure Function App. Wspomniana aplikacja funkcji przetworzy żądanie, wygeneruje losowe hasło konta administratora i zwrotnie prześle go do stacji roboczej generującej żądanie. Gdy hasło zostanie odebrane, zostanie zrealizowane drugie zadanie skryptu, czyli realizacja samej zmiany hasła dla wskazanego konta lokalnego administratora.

 

W pierwszej kolejności zajmiemy się pierwszym zadaniem skryptu, czyli wysłaniem żądania aplikacji funkcji. Aby było to możliwe, musimy zbudować treść samego żądania. Będzie ono zapisane w formacie JSON i przykładowo powinno zawierać następujący kod:

 

$Body = @”
{
“keyName”: “$env:COMPUTERNAME”,
“contentType”: “LAPS”,
“tags”: {
“UserName”: “$UserName”
}
}
“@

 

Konieczne także będzie określenie kilku niezbędnych parametrów:

 

  • keyName – czyli kluczowy parametr definiujący unikalną nazwę obiektu, pod którym będzie zapisane hasło lokalnego administratora w ramach bezpiecznego magazynu haseł;
  • contentType – czyli nazwa definiująca rodzaj zapisywanego obiektu. Może to być dowolny ciąg znaków, na przykład „LAPS”;
  • tags – czyli opcjonalny zestaw dodatkowych metadanych, które będą zapisane w ramach obiektu hasła magazynu danych. Może zawierać wszelkie przydatne informacje, np. nazwę użytkownika, model komputera czy jego numer seryjny.

 

Gdy treść żądania zostanie już odpowiednio przygotowana, pozostaje tylko je wysłać pod odpowiedni adres URL funkcji usługi Azure Function App.

 

$Uri = ‘https://<Nazwa instancji `
Azure Function App>.azurewebsites.net/`
api/<Nazwa Funkcji>?code=<Kod `
autoryzacyjny>’

$Password = Invoke-RestMethod `
-Uri $Uri -Method POST `
-Body $Body -ContentType `
‘application/json’ -ErrorAction Stop

 

Po przetworzeniu żądania przez aplikację funkcji zwrotnie do naszego skryptu zostanie przekazane losowo wygenerowane hasło. Przekazywane hasło będzie zapisane w formie jawnego tekstu, niemniej jednak cała komunikacja stacji roboczej z aplikacją funkcji jest zabezpieczana kanałem szyfrowanym – protokołem TLS 1.2.

 

Tekst zapisany w formie zwykłego ciągu nie może być wykorzystany podczas zmiany hasła. Dlatego aby mogło być ono wykorzystane do zmiany hasła konta administratora, musi nastąpić jego konwersja do formatu SecureString:

 

$SecurePassword = `
ConvertTo-SecureString `
$Password -AsPlainText -Force

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"