Microsoft LAPS – automatische Passwortverwaltung

Was ist LAPS (Local Administrator Password Solution)?

Die “Local Administrator Password Solution” (LAPS) bietet eine zentrale Speicherung von Geheimnissen/Passwörtern im Active Directory (AD) – ohne zusätzliche Computer. Die Domänenadministratoren jeder Organisation legen fest, welche Benutzer, z. B. Helpdesk-Administratoren, zum Lesen der Passwörter berechtigt sind.

Wenn eine Anmeldung ohne Domänenanmeldeinformationen erforderlich ist, kann die Kennwortverwaltung komplex werden. LAPS vereinfacht die Passwortverwaltung und hilft Kunden bei der Implementierung empfohlener Abwehrmaßnahmen gegen Cyberangriffe. Insbesondere wird das Risiko einer seitlichen Eskalation verringert, die entsteht, wenn Kunden auf vielen Computern dieselbe Kombination aus lokalem Administratorkonto und Kennwort verwenden. (Quelle: Microsoft)

Installation

Im ersten Schritt werden die LAPS-Installationspakete auf dem Domain controller herunterladen:

Download Local Administrator Password Solution (LAPS)

Im Anschluss wird die LAPS.x64.msi ausgeführt und die Installation gestartet.

Bei der Auswahl der Management Tools werden alle Features bis auf die Fat client UI auf dem Domain controller benötigt.

Active Directory erweitern

Als nächstes muss das Active Directory Shema erweitert werden. Dies erfolgt mit den folgenden Befehlen innerhalb einer administrativen PowerShell:

Import-Module AdmPwd.ps
Update-AdmPwdADSchema

Wurden Clients und Server in separate OUs verschoben, müssen diese auch die Berechtigung erhalten Kennwörter im Active Directory zu speichern.

Das erfolgt mit dem nachfolgendem Befehl, wobei die OU entsprechend an die eigene Umgebung angepasst werden muss:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Windows 10,OU=Computer,OU=Systeme,DC=domain,DC=de"
Gibt es eine bestimmte Gruppe die berechtigt werden soll, Kennwörter auslesen zu können, muss diese auch mit dem folgenden Befehl hinzugefügt werden:
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Windows 10,OU=Computer,OU=Systeme,DC=domain,DC=de" -AllowedPrincipals "Helpdesk"

Gruppenrichtlinie erstellen

Im nächsten Schritt erstellen wir eine neue Gruppenrichtlinie und verknüpfen diese mit der entsprechenden OU.

Unter Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> LAPS aktivieren wir die Eigenschaft “Passwort Settings“. Die Standardeinstellungen können eigentlich übernommen werden, bei der Kennwortlänge habe ich lediglich den Wert auf 20 erhöht.

Des Weiteren muss die Eigenschaft “Enable local admin password management” im gleichen Ordner aktiviert werden.

LAPS-Client installieren/verteilen

Im letzten Schritt muss noch der LAPS-Client auf den entsprechenden Geräten entweder manuell installiert oder über eine Gruppenrichtlinie verteilt werden. Bei der manuellen Installation wird nur das erste Feature benötigt.

Um die MSI-Pakete über eine Gruppenrichtlinie zu verteilen, wird zunächst eine bestehende oder neue Freigabe zur Softwareverteilung benötigt. Dort hinein müssen die im Netzwerk benötigten MSI-Pakete (ARM64, x64 oder x86) kopiert werden.

Im Anschluss muss der Ordner noch mit der Berechtigung JederLesen freigegeben werden.

Als nächstes erstellen wir eine neue Gruppenrichtlinie und verknüpfen diese auch mit den entsprechenden OUs.

Unter Computerkonfiguration -> Richtlinien -> Softwareeinstellungen -> Softwareinstallation muss als nächstes ein neues Paket hinzugefügt werden:

Dafür das entsprechende Paket über den UNC-Pfad (\\SERVER\LAPS) aufrufen und hinzufügen.

Im darauffolgenden Fenster die Standardoption “Zugewiesen” übernehmen.

Sobald die Systeme in der OU die neue Gruppenrichtlinie erhalten haben, sollte die Software nach einem Neustart automatisch installiert werden. Zur Kontrolle sollte auf dem System unter Apps Local Administrator Password Solution installiert sein.

Kennwort auslesen

Um nach erfolgreicher Installation und Aktivierung von LAPS die lokalen Administrator-Kennwörter auszulesen gibt es mehrere Wege. Wichtig dabei ist, es kann nur mit den zuvor berechtigten Konten ausgelesen werden.

LAPS UI

Active Directory Attribut-Editor

Hier zeigt sich noch eine Schwachstelle, da das Kennwort im Klartext unter dem Attribut ms-Mcs-AdmPws gespeichert wird.

PowerShell

Get-AdmPwdPassword -ComputerName "NAME" | fl Password

Kennwort zurücksetzen

Das Kennwort kann entweder über die LAPS UI oder über die PowerShell zurückgesetzt werden. Bei der LAPS UI muss dafür das Ablaufdatum geändert werden und der Client einen Abgleich der Gruppenrichtlinie (gpupdate /force) machen oder neu gestartet werden.

LAPS UI

PowerShell

Reset-AdmPwdPassword -ComputerName "NAME"

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

2 Gedanken zu “Microsoft LAPS – automatische Passwortverwaltung”