본문 바로가기
Windows

LAPS(Local Administrator Password Solution) – 로컬 계정 비밀번호 관리 솔류션

by 올엠 2020. 12. 14.
반응형

기업에서 Domain 환경을 구성할 때 기존에 가지고 있던 로컬 컴퓨터 계정에 대해서는 큰 관심이 없다.

일부 기업에서는 계정 관리를 위해 패스워드 관리 솔류션을 이용하기도 하지만 이는 자본도 들어가야 하고, 관리 솔류션 자체의 위험 요소도 있는 만큼 신중히 검토해야 할 것이고, 큰 기업이 아니고서는 여기까지 진행하기는 쉽지 않다.

그런데 2015 여름, Microsoft에서 로컬 패스워드를 효과적으로 관리할 수 있는 솔류션을 만들었다.

바로 LAPS(Local Administrator Password Solution)가 이것인데,

이프로그램의 장점은 다음과 같다.

  • Configure password parameters, including age, complexity, and length.
  • Force password reset on a per-machine basis.
  • Use a security model that is integrated with ACLs in Active Directory.
  • Use any Active Directory management tool of choice; custom tools, such as Windows PowerShell, are provided.
  • Protect against computer account deletion.
  • Easily implement the solution with a minimal footprint.

영어로 여러가지 말이 써져 있지만 요약하자면 로컬 계정에도 패스워드 정책을 넣고, 모두 컴퓨터가 다른 랜덤의 패스워드를 보유한다는 것.

특히 사용되지 않는 만료된 계정에 대해서만 랜덤으로 관리하고 사용자가 패스워드 정책에 맞게 패스워드를 설정하여 사용할 수 있도록 한것과 로컬의 모든 관리자 권한이 있는 계정에 적용된다는 점이 해킹 위험을 줄일 수 있는 큰 장점이 될 것 같다.

용량도 작고 설치도 간편해(GPO 이용) 앞으로 기업 도메인 관리하실때 기본으로 설정할 필요가 있는 설정으로 생각된다.

 

1. Depoly

설치 파일은 https://www.microsoft.com/en-us/download/details.aspx?id=46899 에서 다운로드 할 수 있다.

그리고  위 그림과 같이 필요한 파일들을 선택하여 다운로드 한다.

다운로드가 완료되면 Domain Controller(이하DC)에 LAPS.x64.msi를 설치 한다.

설치전 LAPS_OperationsGuide.docx를 확인하시면 도움이 될거다.

DC에 설치하실 때는 모든 구성요소를 선택하여 설치를 진행하면 된다.

설치를 완료하고 나면, 관리를 하고자 하는 클라이언트들에게 배포를 해야하는데 이를 위해 GPO를 생성하거나 다음과 같은 스크립트를 실행하도록 구성한다.(Software Installation GPO 이용을 추천)

 

스크립트

msiexec /i <file location>\LAPS.x64.msi /quiet
또는
msiexec /i <file location>\LAPS.x86.msi /quiet 
예제: msiexec /i \\server\share\LAPS.x64.msi /quiet

클라이언트 배포를 위한 설치시 기본 설치 옵션인 AdmPwd GPO extension만 설치 되기 때문에 사용자는 관리 도구가 설치되지 않고, 관리 도구는 필요한 유저에 권한을 설정해 주어야만 패스워드를 확인 할 수 있다.

 

2. Configuration

이제 LAPS를 사용하기 위해서 DC에서 PowerShell을 오픈하고 모듈을 임포트 한다.

그리고 Update-AdmPwdADSchema 명령을 이용해 AD에 스키마를 추가한다.

그리고 일반 사용자/컴퓨터들의 패스워드 읽을 수 없도록 하기 때문에 ADSIEdit를 오픈하여 LAPS 클라이언트를 배포한 사용자 조직(OU)를 선택하고 보안 탭을 열어 All extended rights(한글: 모든 확장 권한)를 체크 해제 한다.

(All extended rights(한글: 모든 확장 권한)이 설정된 OU 혹은 사용자는 LAPS 관리가 가능하다.)

 

Import-module AdmPwd.PS 를 입력하고(Powershell 오픈시 이 명령을 먼저 실행),  Find-AdmPwdExtendedrights -identity :<OU name> | Format-Table 명령을 이용해서 권한이 설정된 사용자 조직(OU)을 확인 할 수 있다.

 

이제 LAPS 관리하고자 하는 컴퓨터에 패스워드를 스스로 변경할 수 있는 권한을 LAPS 클라이언트를 배포한 사용자 조직(OU)에 추가해야 한다.

 

Set-AdmPwdComputerSelfPermission -OrgUnit <name of the OU to delegate permissions> 
예제: Set-AdmPwdReadPasswordPermission -OrgUnit Servers -AllowedPrincipals contoso\Administrator,contoso\HelpDesk,contoso\PwdAdmins

그리고 이제 패스워드를 보거나 관리할 수 있는 유저를 추가하면 된다.

만약 여러  OU를 구분해서 관리한다면 OU별로 넣어주자.

 

Set-AdmPwdReadPasswordPermission -OrgUnit <name of the OU to delegate permissions> -AllowedPrincipals <users or groups> 
예제 : Set-AdmPwdReadPasswordPermission -OrgUnit Servers -AllowedPrincipals contoso\Administrator,contoso\HelpDesk,contoso\PwdAdmins

 

이제 거희 마무리 단계이다.

Group Policy를 이용하여 LAPS를 이용한 로컬 관리 계정의 정책을 적용하면 끝!!!

3. Managing

만약 패스워드를 확인하고자 한다면, Domain Admin의 경우 속성창을 이용해서 바로 확인이 가능하다.

 

특정 관리자에게 권한을 부여한 경우 LAPS에서 제공하는 Fat client UI를 설치하여 클라이언트를 검색해서 진행할 수 있다. 아래는 특정 컴퓨터를 검색한 화면이다.

이렇게 설치 부터 관리까지 살펴보았다. 보다 많은 정보는 다운로드에 포함된 문서를 확인 보기 바란다.

오류 대처 방안 및 추가 기술 내용을 확인 할 수 있다.

반응형

댓글0