من أكبر التحديات التي تواجه فريق مدراء الأنظمة أو فريق الحماية هي إدارة كلمات المرور، فكلمة المرور الموحدة لجميع الأجهزة تشكل خطر كبير على الشبكة و الأنظمة.
ولنفترض بأنك مسؤول عن ١٠٠٠ جهاز وتم إختراق جهاز واحد فقط ومعرفة كلمة المرور الخاصة لحساب الأدمن المحلي لهذا الجهاز، بذلك يستطيع المخترق من الوصول لباقي ال٩٩٩ جهاز بكل سهولة لأن كلمة المرور موحدة.
آداة LAPS إختصار Local Administrator Password Solution و هي أداة مجانية من مايكروسوفت تساعد في إدارة كلمات المرور لأجهزة الكمبيوتر في الشركات أو القطاعات الحكومية بحيث تقوم بتوليد كلمات مرور معقدة جداً لكل جهاز و وبشكل تلقائي.
متطلبات الآداة:
- Active Directory 2003 SP1 أو أعلى
- Windows Server 2003 SP2 أو أعلى
- NET Framework 4.0
- PowerShell 2.0 أو أعلى
- لديك صلاحية Schema Admin
سأشرح طريقة إعداد الآداة خطوة بخطوة ولكن قبل أن تبدأ بتطبيقها على بيئة حقيقة تأكد من أخذ نسخة إحتياطية لل Active Directory وطبقها في بيئة تجريبية أولاً.
١- قم بتحميل آداة LAPS من هنا على أحد السيرفرات الخاصة بالإدارة
https://www.microsoft.com/en-us/download/details.aspx?id=46899
٢- تأكد بأن لديك صلاحي ال Schema Admins
٣- قم الآن بتنصيب آداة LAPS
٤- إفتح الPowerShell كأدمن ثم قم بكتابة الأمرين التاليين:
Import-module AdmPwd.PS
Update-AdmPwdADSchema
٥- إفتح آداة الGroupPolicy وتأكد بأنه قد تم إنشاء مجلد باسم LAPS
٦- الأن عن طريق PowerShell قم بكتابة الأوامر التالية، علماً بأني قد أنشأت مسبقاً OU باسم Domain Computers ووضعت بداخلها جميع أجهزة ال Domain وقمت بإنشاء OU باسم Groups ووضعت داخلها مجموعة باسم HelpDesk
فمن خلال هذه الأوامر ستسمح لمجموعة الHelpDesk بقراءة كلمات المرور الخاصة بالLaps وإعادة تعينها
٧- الان قم بإنشاء مجلد على السيرفر ونقل الآداة الى المجلد بعد ذلك قم بمشاركة هذا المجلد حتى نقوم بتنصيب أداة الLAPS على أجهزة الدومين بشكل تلقائي
٨- الان عن طريق GroupPolicy قم بإنشاء Policy جديدة باسم Deploy LAPS وفعلها على الOU الخاصة بالأجهزة كي يتم تنصيب الأداة على الأجهزة بشكل تلقائي
![Group Policy Management Editor
File Action View Help
Deploy Laps IDCOI.MOS.LOCAI
v Computer Configuration
PollZies
Software Settings
SOftware installat
Windows Settings
Administrative Temp
Preferences
User Configuration
> Policies
Preferences
Name
Deploy Software
Server2-2016 [Running]
Version Deployment st... Source
There are no items to show in this view.
x
Select deploymert method
@Assigned
C) Advanced
Select option to Assign the application wthod rnodflcations
OK
P
e
6:26 AM
6/5/2019](https://mosblogsblog.files.wordpress.com/2020/11/image-22.png)
٩- الان قم بإعطاء صلاحية القراءة ل Domain Computers
![Server 2-2016 [Running]
Group Policy Management Editor
File Action View Help
I Local Administrator Password Solution Properties
Deploy Laps .MOS.LOCA General Deployrnent I-wades Cdegories Modflcdions Secuty
v Computer Configuration
v Policies
Software Settings
SOftware insta
> Windows Settings
Administrative Tern
Preferences
User Configuration
) Policies
Preferences
Group or user narnes:
S' CREATOR OWNER
AJtherticated Users
SYSTEM
Dornån Ah-ins (MOSIDornain Adrnns)
Dorn*' Compuers (IOS\Domain
Enterpnse Admins (MOS\Erterpnse .Admns)
Pemissions for Domain Compliers
FLAI cornrol
Wrte
Specid pennssions
For speci al permissions or advanced settings• dick
Advanced.
Row
Deny
AM
6/5/2019
U L ef](https://mosblogsblog.files.wordpress.com/2020/11/image-28.png)
١٠- تأكد بأن الآداة نزلت علي أجهزة المستخدمين
ملاحظة: تستطيع تطبيق أمر GPupdate /force إذا أردت أن تسرع الموضوع
١١- الان قم بتطبيق Policy باسم Laps Policy على الOU الخاصة ب Domain Computers
![Server2-2016 [Running]
Enable local admin password management
Enable local admin password management
Previous Setting
x
Comment:
C.) Not Configured
@ Enabled
O Disabled
Supported on:
Options:
At least Microsoft Windows Vista or Windows Server 2003 family
Help:
Enables management of password for local administrator account
If you enable this setting. local administrator password is managed
f you disable or not configure this setting local administrator password is NOT
managed
Oncel](https://mosblogsblog.files.wordpress.com/2020/11/image-34.png)
١٢- الأن قم بفتح أداة LAPS UI لمشاهدة كلمة المرور الخاصة بأي جهاز
وبذلك نكون قد انتهينا من الإعدادات 🙂
MOSBlogs 