Dzisiaj sprawdzimy, jak Microsoft bada błąd interoperacyjności między niedawno dodaną funkcją Windows Local Administrator Password Solution (LAPS) a starszymi zasadami LAPS. Powiemy również kilka słów na temat funkcji dostępnych w nowej wersji.
W piątek pisaliśmy o problemach Microsoftu z łataniem zero-dayów, a już mamy temat na kolejny artykuł. Tym razem wydana łatka psuje rozwiązanie do bezpieczeństwa używane w wielu firmach. Mowa tutaj o LAPS.
Czym jest Microsoft LAPS?
Jeśli jeszcze nie znasz naszej kampanii o atakowaniu i zabezpieczaniu Microsoft LAPS, zapraszamy do lektury tutaj.
Local Administrator Password Solution, znany jako LAPS, dostępny jest w Microsoft Download Center od wielu lat. Służy do zarządzania hasłem określonego konta administratora lokalnego poprzez regularne rotowanie hasła i tworzenie jego kopii zapasowej w usłudze Active Directory (AD).
W wielu firmach LAPS stanowi jeden z elementów bezpieczeństwa pozwalający zarządzać hasłem lokalnego administratora – i to zupełnie za darmo!
Nowy LAPS i klapa
Microsoft na dzień premiery nowego LAPS wybrał 11 kwietnia i od razu zdecydował się starszą wersję nazywać „Legacy LAPS” ponieważ „nowy LAPS” wnosi wiele ciekawych funkcjonalności – taki powiew nowości. Nowa wersja pojawiła się podczas Patch Tuesday i jest zintegrowania z Windows 10, Windows 11 i Windows Server 2019 lub nowszymi wersjami.
Jednak kilka dni po ogłoszeniu aktualizacji firma potwierdziła doniesienia, iż jej zastosowanie psuje zarówno starszą wersję narzędzia, jak i nową uruchomioną na Windows. Ale o tym napiszemy dalej.
Zobaczmy, co nasz gigant technologiczny przygotował w nowym LAPS:
1. LAPS dostępny w Windows
Przede wszystkim nowy LAPS pojawił się jako funkcja do włączenia w Windows. Po poprawkach nie będziemy musieli instalować zewnętrznego pakietu MSI, jak to było do tej pory. Tak samo wszelkie przyszłe poprawki lub aktualizacje funkcji będą dostarczane za pośrednictwem normalnych procesów instalowania poprawek w systemie Windows.
2. Wsparcie dla Azure Active Directory (w prywatnej wersji zapoznawczej)
Dla firm korzystających z usługi Azure AD LAPS ma nowe możliwości w zakresie zarządzania hasłami w chmurze, w tej chwili w prywatnej wersji zapoznawczej.
3. Szyfrowanie hasła
To funkcjonalność oczekiwana przez wielu klientów, znacznie poprawiająca bezpieczeństwo. Do tej pory hasło było przechowywane na obiekcie typu komputer w Active Directory w postaci niezaszyfrowanej. Osoba z odpowiednimi uprawnieniami mogła je przeczytać. Pisaliśmy o tym w naszej kampanii tutaj.
4. Dostępna historia haseł
Jest to funkcjonalność, która daje możliwość ponownego zalogowania się do przywróconych obrazów kopii zapasowych.
5. Kopie zapasowe haseł w trybie przywracania usług katalogowych (DSRM)
Funkcja ta pomaga chronić kontrolery domeny, regularnie rotując krytyczne hasła odzyskiwania.
6. Tryb emulacji
Przydatny, jeżeli chcesz przez cały czas korzystać ze starszych ustawień zasad i narzędzi LAPS, przygotowując się do migracji do nowych funkcji.
7. Automatyczna rotacja hasła
Automatyczna rotacja hasła po użyciu konta.
Problemy nowej wersji LAPS
Nie wszystko poszło jednak po myśli Microsoftu…
„W aktualizacji z 11 kwietnia 2023 r. występuje starszy błąd współdziałania LAPS. jeżeli zainstalujesz starsze oprogramowanie LAPS GPO CSE na maszynie z poprawką z aktualizacją zabezpieczeń z 11 kwietnia 2023 r. i zastosowaną starszą zasadą LAPS, zarówno Windows LAPS, jak i starsze LAPS się zepsują” – wyjaśnia firma.
O symptomach problemu dowiemy się z dziennika zdarzeń Windows.
„Symptomy błędów LAPS to zdarzenia o identyfikatorach 10031 i 10032 w dzienniku zdarzeń Windows, a także starsze zdarzenia LAPS o identyfikatorze 6. Microsoft pracuje nad rozwiązaniem tego problemu”.
Do czasu udostępnienia poprawki umożliwiającej rozwiązanie tej kwestii Microsoft udostępnił obejście, aby pomóc administratorom w przywróceniu funkcjonalności LAPS w lokalnych scenariuszach usługi Active Directory.
Wymaga to albo odinstalowania starszego systemu LAPS, albo usunięcia wszystkich wartości rejestru w kluczu rejestru:
„HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State”.Z pewnością wiele firm, które używają LAPS i które gwałtownie zainstalowały poprawki, ma teraz pełne ręce roboty. Na koniec nie pozostaje nic innego, jak tylko trzymać kciuki za szybkie wydanie nowej poprawki, naprawiającej ten błąd.