Come controllare l’accesso alla password LAPS usando Windows PowerShell e ADAudit Plus

La Soluzione password dell'amministratore locale (LAPS) ha aiutato a migliorare la sicurezza delle reti, assegnando password univoche e complesse, che possono anche essere cambiate periodicamente. Tuttavia, dato che queste password sono archiviate in maniera centralizzata in Active Directory, esiste il rischio che un utente non autorizzato possa accedere a questa riserva di password ed effettuare il login in una qualsiasi delle workstation. Dato che LAPS non ha una funzione di auditing integrata, è necessario usare delle applicazioni di terze parti per controllare gli utenti che hanno accesso alle password dell’amministratore locale.

ManageEngine ADAudit Plus, una soluzione di auditing AD in tempo reale, offre un’alternativa molto più semplice per ottenere gli stessi risultati del complesso procedimento implementabile in ambiente nativo AD.

Questo articolo spiega i metodi di controllo dell'accesso alle password LAPS tramite Windows PowerShell e ADAudit Plus.

Tramite Windows PowerShell

É possibile configurare in PowerShell un controllo dell’accesso alle password LAPS. Si tratta di configurare un audit degli utenti che accedono alle password LAPS in Active Directory, tale informazione è registrata nel Visualizzatore eventi di AD con l’ID evento 4662.

Per configurare il controllo in PowerShell:

  • Identificare il dominio per cui desideri impostare il controllo.
  • Importare il modulo AdmPwd.PS.
  • Scrivere il codice. Uno script PowerShell di esempio è stato inserito al termine di questa sezione.
  • Compilare lo script.
  • Eseguirlo in PowerShell.
  • A questo punto, l’auditing è stato configurato.

Ecco uno script di esempio:

Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone

Tramite ADAudit Plus

  • Nella console ADAudit Plus, fare clic su Report > Controlli LAPS > Lettura password LAPS per generare un report degli utenti che hanno avuto accesso alle password.
  • Selezionare dominio e UO pertinenti.
  • Fare clic su Esporta per esportare il report nei diversi formati elencati (CSV, PDF, HTML, CSVDE e XLSX).

I report delle password LAPS rivelano gli utenti che hanno avuto accesso alle password nel periodo di tempo selezionato. L’accesso a queste password è consentito solo a un piccolo gruppo di utenti autorizzati, solitamente gli amministratori della rete. Controllare regolarmente questo report può aiutare ad assicurarsi che solo gli utenti preposti abbiano accesso a queste informazioni.

Ecco uno script di esempio:

powershell-set-admpwdauditing-1

Ecco le limitazioni dell’uso di PowerShell per controllare la soluzione password dell'amministratore locale (LAPS):

  • PowerShell può solo abilitare l’auditing. Non è in grado di produrre dei report.
  • Questo metodo richiede l’uso di molteplici applicazioni per effettuare un auditing completo. Gli amministratori devono abilitare il controllo tramite PowerShell e recuperare le informazioni utili tramite il Visualizzatore eventi per sapere quali utenti hanno avuto accesso alla password LAPS. Persino usando il Visualizzatore eventi, non è possibile ottenere una panoramica complessiva di tutti gli accessi alle password LAPS sotto forma di un singolo report. Passare in rassegna manualmente tutti gli eventi richiede troppo tempo.

ADAudit Plus è uno strumento per la generazione di report e l’auditing di Active Directory che controlla costantemente la rete e genera dei report preconfezionati per tutti gli oggetti AD. Inoltre, invia avvisi in tempo reale in caso di attività sospetta sulla rete. È dotato di una sezione separata per LAPS e può generare agevolmente vari report proprio quando più necessari.

  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.