System haseł lokalnego administratora (LAPS) pomógł zwiększyć bezpieczeństwo sieci, przypisując mocne, niepowtarzalne hasła, które także można zmieniać proceduralnie. Jednak ze względu na fakt, że hasła te są centralnie przechowywane w Active Directory, istnieje ryzyko, że dostęp do zastrzeżonych haseł uzyskać mogą także nieupoważnieni użytkownicy, którzy mogą je wykorzystać do logowania się do dowolnych stacji roboczych. LAPS nie posiada wbudowanej funkcji inspekcji, dlatego do przeprowadzania inspekcji użytkowników, którzy uzyskują dostęp do haseł administratora lokalnego, należy stosować aplikacje zewnętrzne.
ManageEngine ADAudit Plus – działające w czasie rzeczywistym narzędzie do inspekcji AD – stanowi dużo prostszą alternatywę dla narzędzi natywnych AD.
W poniższym artykule omówiono sposoby przeprowadzania inspekcji uzyskiwania dostępu do haseł LAPS za pomocą Windows PowerShell oraz ADAudit Plus.
Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone
Raporty o hasłach LAPS pozwalają poznać tożsamość użytkowników, którzy uzyskali dostęp do haseł w wybranym okresie. Dostęp do haseł ma jedynie niewielka grupa uprawnionych użytkowników, którymi zazwyczaj są administratorzy sieci. Regularne sprawdzanie raportów pomaga zagwarantować, że dostęp do informacji mają tylko wyznaczeni użytkownicy.
Poniżej prezentujemy ograniczenia związane ze stosowaniem PowerShell w celu przeprowadzania inspekcji LAPS:
ADAudit Plus to narzędzie Active Directory do inspekcji i raportowania, które pozwala przeprowadzać stałą inspekcję sieci i generować wstępnie spakowane raporty o wszystkich obiektach AD. Tworzy także alerty w czasie rzeczywistym w razie jakiejkolwiek podejrzanej aktywności w sieci. Posiada osobną część dedykowaną LAPS i w razie potrzeby może szybko generować raporty.