Windows & Security: Внедряем LAPS. Прощайте, одинаковые пароли локальных админов!
Использование одного и того же пароля для локального администратора на всех машинах — это огромная дыра в безопасности. Если злоумышленник его получает, он получает всю сеть (атака Pass-the-Hash).
LAPS (Local Administrator Password Solution) — это бесплатный инструмент от Microsoft, который решает эту проблему элегантно.
Как это работает:
Устанавливается агент на клиентские машины.
Агент генерирует уникальный, сложный пароль для встроенной учетной записи "Администратор".
Пароль сохраняется в атрибуте объекта-компьютера в Active Directory.
Пароль автоматически меняется по заданному расписанию (например, каждые 30 дней).
План внедрения (взгляд архитектора):
Расширение схемы AD:
На контроллере домена выполните из PowerShell: Update-AdmPwdADSchema. Это добавит два новых атрибута для хранения пароля и даты его смены.
Настройка прав доступа:
Выдайте права на чтение пароля только определённым группам (например, "Администраторы домена" или "Help Desk").
PowerShell
Развёртывание через GPO:
Создайте новую групповую политику.
В разделе Конфигурация компьютера → Политики → Административные шаблоны → LAPS включите политику "Enable local admin password management".
Через GPO также разверните MSI-пакет с агентом LAPS на все нужные компьютеры.
Получение пароля:
Используйте утилиту LAPS UI, которая идёт в комплекте, или PowerShell:
PowerShell
Результат: Вы централизованно управляете паролями, которые уникальны для каждой машины. Это не просто "удобство", это фундаментальное усиление безопасности вашей инфраструктуры.
#windows #security #laps #activedirectory #gpo #architect #гайд
Использование одного и того же пароля для локального администратора на всех машинах — это огромная дыра в безопасности. Если злоумышленник его получает, он получает всю сеть (атака Pass-the-Hash).
LAPS (Local Administrator Password Solution) — это бесплатный инструмент от Microsoft, который решает эту проблему элегантно.
Как это работает:
Устанавливается агент на клиентские машины.
Агент генерирует уникальный, сложный пароль для встроенной учетной записи "Администратор".
Пароль сохраняется в атрибуте объекта-компьютера в Active Directory.
Пароль автоматически меняется по заданному расписанию (например, каждые 30 дней).
План внедрения (взгляд архитектора):
Расширение схемы AD:
На контроллере домена выполните из PowerShell: Update-AdmPwdADSchema. Это добавит два новых атрибута для хранения пароля и даты его смены.
Настройка прав доступа:
Выдайте права на чтение пароля только определённым группам (например, "Администраторы домена" или "Help Desk").
PowerShell
# Даём группе 'HelpDesk' право читать пароли на OU 'Workstations'
Set-AdmPwdReadPasswordPermission -OrgUnit "Workstations" -AllowedPrincipals "HelpDesk"
Развёртывание через GPO:
Создайте новую групповую политику.
В разделе Конфигурация компьютера → Политики → Административные шаблоны → LAPS включите политику "Enable local admin password management".
Через GPO также разверните MSI-пакет с агентом LAPS на все нужные компьютеры.
Получение пароля:
Используйте утилиту LAPS UI, которая идёт в комплекте, или PowerShell:
PowerShell
Get-ADComputer -Identity "PC001" -Properties "ms-Mcs-AdmPwd" | Select-Object "ms-Mcs-AdmPwd"
Результат: Вы централизованно управляете паролями, которые уникальны для каждой машины. Это не просто "удобство", это фундаментальное усиление безопасности вашей инфраструктуры.
#windows #security #laps #activedirectory #gpo #architect #гайд
🔐 Windows LAPS: Хватит ставить один пароль на всех
Если у вас на 100 компьютерах одинаковый пароль локального администратора — поздравляю, один взломанный ноутбук компрометирует всю сеть. Это называется Lateral Movement (горизонтальное перемещение).
Решение — Windows LAPS (Local Administrator Password Solution). В 2025 году это уже не отдельный MSI-пакет, а встроенная функция Windows 10/11 и Server 2022/2025.
Как это работает:
Компьютер сам генерирует сложный пароль для локального админа.
Отправляет его в Active Directory (в защищенный атрибут) или в Azure AD.
Меняет его по расписанию (например, каждые 30 дней) или после использования.
Как включить (Modern Way): Вам не нужно качать софт. Просто настройте GPO или Intune: Computer Configuration > Administrative Templates > System > LAPS
Полезный командлет (PowerShell): Чтобы узнать текущий пароль конкретного компа (если у вас есть права):
Итог: Админу удобно (пароли в AD), хакеру больно (пароль от одного ПК не подходит к другому).
#windows #security #laps #activedirectory #bestpractice
Если у вас на 100 компьютерах одинаковый пароль локального администратора — поздравляю, один взломанный ноутбук компрометирует всю сеть. Это называется Lateral Movement (горизонтальное перемещение).
Решение — Windows LAPS (Local Administrator Password Solution). В 2025 году это уже не отдельный MSI-пакет, а встроенная функция Windows 10/11 и Server 2022/2025.
Как это работает:
Компьютер сам генерирует сложный пароль для локального админа.
Отправляет его в Active Directory (в защищенный атрибут) или в Azure AD.
Меняет его по расписанию (например, каждые 30 дней) или после использования.
Как включить (Modern Way): Вам не нужно качать софт. Просто настройте GPO или Intune: Computer Configuration > Administrative Templates > System > LAPS
Полезный командлет (PowerShell): Чтобы узнать текущий пароль конкретного компа (если у вас есть права):
Get-LapsADPassword -Identity "PC-ACCOUNTING-01" -AsPlainText
Итог: Админу удобно (пароли в AD), хакеру больно (пароль от одного ПК не подходит к другому).
#windows #security #laps #activedirectory #bestpractice
🔥1
🪟 Windows: Протокол «Чистые руки». Нативный LAPS и смерть локальных паролей
Коллеги, признавайтесь: у кого в блокноте или в закрытом чате до сих пор лежит «тот самый» пароль от локального админа, который подходит к половине серверов в сегменте? В 2026 году это не просто дыра, это широко распахнутые ворота для любого шифровальщика. Если одна машина в DMZ скомпрометирована — считайте, что упал весь домен.
Техническая суть:
Практика:
Получаем актуальный пароль для проблемного сервера через PowerShell (все действия логируются, так что «просто посмотреть» не выйдет):
Зачем это нужно:
#windows #security #laps #powershell #activedirectory #admin_future
Коллеги, признавайтесь: у кого в блокноте или в закрытом чате до сих пор лежит «тот самый» пароль от локального админа, который подходит к половине серверов в сегменте? В 2026 году это не просто дыра, это широко распахнутые ворота для любого шифровальщика. Если одна машина в DMZ скомпрометирована — считайте, что упал весь домен.
Техническая суть:
Мы используем Windows LAPS (Local Administrator Password Solution), который теперь нативно интегрирован в ОС и Active Directory. Больше никаких сторонних костылей.
Как это работает: Каждая машина в домене генерирует уникальный, сложный пароль для своей учетки локального администратора. Этот пароль шифруется и сохраняется в защищенном атрибуте объекта компьютера в AD. Доступ к чтению этого атрибута жестко ограничен через ACL только для группы «Trusted Admins». Каждые 30 дней (или по вашему триггеру) пароль ротируется автоматически.
Практика:
Получаем актуальный пароль для проблемного сервера через PowerShell (все действия логируются, так что «просто посмотреть» не выйдет):
# 1. Проверяем состояние LAPS на конкретном сервере
Get-LapsDiagnostics -ComputerName "SRV-DB-01"
# 2. Получаем текущий пароль (требуются права доступа к зашифрованному атрибуту)
Get-LapsADPassword -Identity "SRV-DB-01" -AsClearText
# Вывод:
# ComputerName Password Expiration
# ------------ -------- ----------
# SRV-DB-01 $tr0ng_P@ss_2026! 10.04.2026 14:00:00
# 3. Принудительно заставляем сервер сменить пароль прямо сейчас
Set-LapsADPasswordExpiration -Identity "SRV-DB-01" -In 0
Зачем это нужно:
Полное исключение атаки типа Pass-the-Hash. Даже если злоумышленник вытащит хеш с одного сервера, он не сможет зайти под ним на другой. Админ больше не знает паролей — он получает их по требованию под присмотром аудита.
#windows #security #laps #powershell #activedirectory #admin_future
👍3
🪟 Windows: LAPS v2 + Entra ID — хватит хранить пароль локального админа в Excel
Коллеги, я знаю, что где-то в вашей сети до сих пор живёт локальный Administrator с паролем из 2019 года, который записан в заметках у Богдана. И Богдан уже полгода как уволился.
Классический LAPS первого поколения умел ротировать пароль и класть его в AD — и это было неплохо. Но LAPS v2, встроенный в Windows Server 2025 и Windows 11, это уже другой уровень: шифрование пароля в AD, история паролей, поддержка Entra ID (Azure AD) для гибридных сред и ротация по требованию через PowerShell или Intune.
Включаем и настраиваем правильно:
Зачем это нужно:
Lateral movement через один скомпрометированный локальный пароль — классика пентестов и реальных атак. LAPS v2 с шифрованием и историей убирает этот вектор полностью. Пентестеры будут грустить, аудиторы — радоваться, а ты — спать спокойно.
Итог: Если у тебя больше 20 машин в домене и LAPS не настроен — это не техдолг, это открытая дверь. Закрой её сегодня, это займёт два часа.
#windows #laps #activedirectory #security #sysadmin #admin_future
Коллеги, я знаю, что где-то в вашей сети до сих пор живёт локальный Administrator с паролем из 2019 года, который записан в заметках у Богдана. И Богдан уже полгода как уволился.
Классический LAPS первого поколения умел ротировать пароль и класть его в AD — и это было неплохо. Но LAPS v2, встроенный в Windows Server 2025 и Windows 11, это уже другой уровень: шифрование пароля в AD, история паролей, поддержка Entra ID (Azure AD) для гибридных сред и ротация по требованию через PowerShell или Intune.
Включаем и настраиваем правильно:
# 1. Обновляем схему AD (один раз, на DC)
Update-LapsADSchema
# 2. Настраиваем права на OU с рабочими станциями
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=local"
# 3. Создаём GPO-политику через PowerShell (или через GUI GPMC)
# Путь в GPO: Computer -> Admin Templates -> LAPS
# Ключевые параметры:
# - Enable password backup to AD: Enabled
# - Password complexity: Large letters + small + digits + specials
# - Password age: 30 days
# - Enable encrypted password: Enabled <-- вот это обязательно в v2
# 4. Смотрим пароль для конкретной машины (только авторизованным)
Get-LapsADPassword -Identity "PC-FINANCE-01" -AsPlainText
# 5. Принудительная ротация после инцидента
Invoke-LapsPolicyProcessing # на машине
# или удалённо:
Reset-LapsPassword -Identity "PC-FINANCE-01"
Зачем это нужно:
Lateral movement через один скомпрометированный локальный пароль — классика пентестов и реальных атак. LAPS v2 с шифрованием и историей убирает этот вектор полностью. Пентестеры будут грустить, аудиторы — радоваться, а ты — спать спокойно.
Итог: Если у тебя больше 20 машин в домене и LAPS не настроен — это не техдолг, это открытая дверь. Закрой её сегодня, это займёт два часа.
#windows #laps #activedirectory #security #sysadmin #admin_future
👍1