Trong một hệ thống mạng với số lượng máy tính lên tới hàng ngàn thiết bị thì việc sử dụng chung một tài khoản Administrator Local với cùng một mật khẩu hoặc các mật khẩu Local Administrator phụ thuộc vào việc cài đặt của nhân viên IT là một trong những lỗ hổng phổ biến và nguy hiểm. Một tình huống đặt ra trong trường hợp một kẻ tấn công chiếm quyền điều khiển một máy tính trong một hệ thống, bằng kĩ thuật sử dụng tấn công Pass the Hash, hacker có thể truy cập đến các máy tính còn lại trong hệ thống và hệ thống các máy chủ bảo mật yếu.

Trước khi có giải pháp này, những chiến thuật đặc trưng thường dùng để giảm thiểu thiệt hại đối với Pass-the-Hash là vô hiệu hóa cơ chế xác thực truyền thống SMB, vô hiệu hóa tính năng Printer và File Sharing, hoặc tự tạo và quản lý thủ công tài khoản Local Administrator với từng mật khẩu riêng biệt cho tất cả các máy trạm, đây được xem là việc bất khả thi nếu tổ chức có số lượng máy trạm từ hàng trăm máy trở lên. Để giảm thiểu thiệt hại  đối với kỹ thuật tấn công Pass the Hash, Microsoft đã phát hành một công cụ mới gọi là “Local Administrator Password Solution (LAPS)”.

LAPS hoạt động như thế nào?

LAPS giải quyết vấn đề này bằng cách đặt một mật khẩu ngẫu nhiên, khác nhau cho tài khoản Administrator Local chung trên mọi máy tính một Domain. LAPS đơn giản hóa việc quản lý mật khẩu đồng thời giúp khách hàng triển khai các biện pháp bảo vệ được khuyến nghị trước các cuộc tấn công mạng. Đặc biệt, giải pháp này giảm thiểu rủi ro leo thang xảy ra khi khách hàng sử dụng cùng một tổ hợp mật khẩu và tài khoản Local Administrator trên máy tính. LAPS lưu trữ mật khẩu cho tài khoản Local Administrator của mỗi máy tính trong Active Directory, được bảo mật trong thuộc tính bí mật trong Active Directory tương ứng của máy tính. Sử dụng LAPS để tự động quản lý mật khẩu Local Administrator trên các máy tính tham gia Domain để mật khẩu là duy nhất trên mỗi máy tính được quản lý, được tạo ngẫu nhiên và được lưu trữ an toàn trong cơ sở hạ tầng Active Directory. Giải pháp được xây dựng trên cơ sở hạ tầng Active Directory và không yêu cầu các công nghệ hỗ trợ khác.

Các hệ điều hành được hỗ trợ

LAPS hỗ trợ các hệ điều hành sau:

Windows Server 2019, Windows Server 2008, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows Server 2003, Windows Server 2008 R2, Windows Server 2012, Windows 7, Windows 8, Windows Vista, Windows 8.1
Active Directory: (requires AD schema extension)
  • Windows 2003 SP1 or later.
Windows Server:
  • Windows Server 2003 SP2 or later, or Windows Server 2003 x64 Edition SP2 or later.
     Note: Itanium-based machines are not supported.
Management tools:
  • .NET Framework 4.0
  • PowerShell 2.0 or later

Để triển khai LAPS, có thể tải hướng dẫn và bộ cài đặt từ Microsoft Download Center, chú ý LAPS là giải pháp hoàn toàn miễn phí, có thể tải cả hai phiên bản x86 và x64: https://www.microsoft.com/enus/download/details.aspx?id=46899

Link tải PowerShell 3.0: https://www.microsoft.com/en-us/download/details.aspx?id=34595

Link tải .NET 4.5: http://go.microsoft.com/fwlink/?LinkID=242919

Các bước tiến hành cài đặt

Bước 1: Trên máy chủ Domain Controller thực hiện cài đặt gói LAPSx64.msi

Bước 2: Thực hiện chọn các thuộc tính. Sau đó Click Next để qua bước tiếp theo.

Bước 3:Mở Windows PowerShell với quyền Administrator. Tại cửa sổ PowerShell, tiến hành load LAPS Module và thực thi lệnh Update-AdmPwdADSchema

• Import-Module AdmPwd.PS
• Update-AdmPwdADSchema

Khi 2 lệnh Powershell thực hiện sẽ báo thành công “Success”

Bước 4: Sau khi cập nhật Active Directory Schema, chúng tôi cần kiểm tra quyền trong AD để đảm bảo rằng chỉ những người dùng và nhóm được ủy quyền mới có thể xem mật khẩu được lưu trữ ở đó. Theo mặc định, Admin Domain sẽ có quyền truy cập để xem các mật khẩu được lưu trữ cùng với bất kỳ nhóm hoặc người dùng nào khác mà bạn đã ủy quyền. Trước tiên, hãy mở cửa sổ PowerShell và đảm bảo rằng mô-đun AdmPwd.PS đã được tải. Sau đó, chúng tôi có thể sử dụng lệnh Find-AdmPwdExtendedRights để xem những người dùng và nhóm nào có quyền truy cập để xem mật khẩu được lưu trữ:

Command PowerShell

Import-Module AdmPwd.PS

Find-AdmPwdExtendedRights –Identity "_Demos"

Bước 5: Cấp quyền để các máy trạm có thể cập nhật được giá trị của ms-Msc-AdmPwd và ms-Mcs-AdmPwdExpireationTime trong Active Directory, tiếp tục load module AdmPwd.PS (nếu chưa load) và thực thi lệnh Set-AdmPwdComputerSelfPermission. Lưu ý, cần thực thi câu lệnh này cho mỗi OU mà chúng ta cần quản lý.

Bước 6: Cài LAPS AdminPwd GPO Extension lên các máy tính cần quản lý và cấu hình GPO để enable LAPS. Quản trị viên được phân quyền sẽ xem được thông tin Password của máy trạm.

Các khuyến nghị khi triển khai LAPS

• Phân quyền chính xác các tài khoản AD được phép xem dữ liệu LAPS bao gồm các chính sách bảo mật về mật khâu, quyền truy cập.
• Rà soát các thông tin cấu hình chính xác để đảm bảo an toàn thông tin.
• Đảm bảo hệ thống hạ tầng máy chủ AD phải bảo vệ nhiều lớp.