Tietokoneen paikallinen järjestelmänvalvoja on tili joka tulisi olla hyvin suojattu. Syy tähän on ilmeinen: Järjestelmänvalvojatasoinen tunnus antaa käyttäjälleen täyden käyttöoikeuden laitteeseen jota voidaan helposti käyttää väärin.
Jotta tunnus olisi hyvin suojattu, sen salasanan tulisi olla turvallinen. Ja tästä päästäänkiin useaan eri ongelmaan: Kuinka hallinnoida laitteiden järjestelmänvalvojien salasanoja siten että ne ovat turvallisia, yksilöllisiä, kierrätettävissä ja kuitenkin helposti ja turvallisesti ylläpitäjien saatavilla? Vastaus on LAPS.
LAPS (Local Admin Password Solution) ei itsessään ole uusi ajatus. Kyseinen tuote on ollut saatavilla paikalliseen Windows -ympäristöön jo pitkään. Mutta nyt LAPS toimii myös suoraan Azure AD:sta.
Vaatimukset
LAPS vaatii toimiakseen seuraavat vähimmäistasot käyttöjärjestelmissä
Windows 10 20H2
Windows 11 21H2
Windows Server 2019
Lisäksi laitteisiin täytyy olla asennettuna huhtikuun 2023 päivitykset.
Jos käytät Microsoft 365:tta, on suuri mahdollisuus että et tarvitse lisenssihankintoja. Azure AD LAPS on ilmainen tuote joka ei vaadi lisensointia, ainoa vähimmäisvaatimus on Azure AD Free -taso.
Myös taustalla oleva infrastruktuuri vaikuttaa LAPSiin. Paikalliset Active Directory laitteet voivat tallentaa salasanan vain paikalliseen hakemistoon kun hybridilaitteet voivat käyttää joka paikallista AD:ta tai Azure AD:ta. Azure AD joined -laitteet voivat käyttää vain Azure AD:ta. Azure AD registered -laitteet eivät ole tuettuja.
Katso myös video LAPS käyttöönotosta:
Käyttöönotto
Jotta LAPSia voidaan käyttää se täytyy ensin aktivoida Azuressa. Kyseinen asetus löytyy Azure AD:n Devices -osiosta. Oheisessa kuvassa LAPS on oletusasetuksellaan eli se täytyy kytkeä käyttöön.
Seuraavaksi meidän täytyy kertoa kuinka LAPSia käytetään ympäristössämme. Asetukset voidaan kertoa esimerkiksi Group Policylla Active Directoryssa mutta koska esimerkkilaitteemme on Azure AD Joined -tilassa, käytämme moderneja pilvituotteita. Intunen puolelle siis!
Intunessa suunnistettaessa Endpoint Security -osioon voimme luoda uuden Local Admin Password Solution -policyn alla olevan kuvan mukaisesti:
Luotaessa policya voimme vaikuttaa useaan asetukseen:
Backup directory: Salasanojen tallennuspaikka (Active Directory / Azure Active Directory)
Password age days: Salasanojen enimmäisikä päivinä
Administrator account name: Oletuksena LAPS hallinnoi sisäänrakennettua järjestelmänvalvojatiliä. Kyseisellä asetuksella LAPSille voi kertoa ylimääräisen olemassaolevan tilin hallinnasta
Password complexity: Salasanan monimutkaisuus
Post authentication actions: Mitä tapahtuu kun LAPS salasanalla ollaan kirjauduttu tietokoneelle
Post authentication reset delay: Aikaraja jolloin post-authentication toiminto viimeistään tehdään
LAPS käyttö
Mikäli käyttäjällä on sopiva rooli (oletuksena Global Admin, Cloud Device Administrator tai Intune Service Administrator), hän pystyy tarkistamaan yksittäisen Windows -laitteen paikallisen järjestelmänvalvojan salasanan. Tarvittaessa laitteen paikallisen järjestelmänvalvojan salasana voidaan myös vaihtaa Azuren puolelta.
Tehokas turvallisuuden parantaja
LAPS on mainio lisä turvallisuuden parantamiseen. Varsinkin moderneissa, pilvipohjaisissa ympäristöissä se on myös helppo ottaa käyttöön ilman lisälisenssejä joten LAPSin hyödyntämistä on vähintäänkin suositeltavaa.