Local Administrator Password Solution (LAPS) schützt Admin-Konten Lokale Kennwörter in AD mit Microsoft LAPS schützen

Die Microsoft-Lösung LAPS schützt die Kennwörter von lokalen Administrator-Konten auf Computern, die Mitglied in Active Directory sind. Das spielt eine wesentliche Rolle beim Schutz von Netzwerken gegen Angreifer. Wir zeigen die Einrichtung.

In vielen Netzwerken sind bei Administrator-Konten auf lokalen Servern und PCs ähnliche oder gleiche Kennwörter gesetzt. Dazu kommt, dass die Konten nicht richtig vor Zugriffen geschützt sind. Sobald ein Angreifer Zugriff ein lokales Administrator-Konto hat, kann er den jeweiligen Server oder PC übernehmen und von da aus Active Directory oder das restliche Netzwerk angreifen. Die Microsoft-Lösung LAPS (Local Administrator Password Solution) kann hier für mehr Sicherheit sorgen.

Microsoft LAPS mit dabei in Windows 11 und Windows Server vNext

Die Wichtigkeit von LAPS unterstreicht Microsoft damit, dass diese Technologie in aktuellen Windows 11-Builds standardmäßig enthalten ist und auch im Nachfolger von Windows Server 2022 als Bordmittel mit dabei ist. Wir haben dieses Thema und weitere Neuerungen in der Sicherheit von Windows 11 und Windows Server vNext im Beitrag „Das bringt Windows Server vNext an zusätzlicher Sicherheit“ behandelt.

Mit der lokale Installation von LAPS im Netzwerk können Admins jetzt schon lokale Netzwerke so sichern, wie das mit dem Nachfolger erst standardmäßig möglich ist. Mit LAPS können Admins sicherstellen, dass lokale Administrator-Konten auf allen angebundenen Computern sicher sind.

Richtlinien schützen lokale Administrator-Konten

Umgesetzt wird das über Gruppenrichtlinien. Über diese Richtlinien ändert LAPS die lokalen Kennwörter zu sicheren Zeichenfolgen ab. Das stellt sicher, dass auf allen Computern unterschiedliche Kennwörter für lokale Administratorkonten gesetzt sind und ist gleichzeitig ein Garant dafür, dass die Kennwörter so sicher wie nur möglich sind.

Der Zugriff auf die Kennwörter ist nur für berechtigte Administratoren in Active Directory möglich. Das stellt sicher, dass Angreifer nicht mehr ohne Weiteres an diese Kennwörter kommen können und lokale Benutzer ebenfalls keinen Zugriff erhalten.

Active Directory für den Einsatz von LAPS vorbereiten

Bis hin zu Windows Server 2022 muss Active Directory für die Verwendung von LAPS vorbereitet werden. Das erfolgt auf einem Domänencontroller. Hier werden die Verwaltungstools für LAPS installiert, das AD-Schema für den Einsatz von LAPS erweitert, die notwendigen Sicherheitsgruppen angelegt und die Benutzer definiert, die Zugriff auf die Kennwörter von lokalen Admins erhalten.

Dazu ist im ersten Schritt die Installationsdatei "LAPS.x64.msi"von LAPS notwendig. Diese stellt Microsoft kostenlos zur Verfügung. Danach erfolgt die Installation. Diese ist in wenigen Sekunden abgeschlossen. Wenn im Rahmen der Installation auch die grafische Oberfläche für LAPS installiert wird, lassen sich die Kennwörter auf dem Management-Computer mit der LAPS-UI anzeigen und Änderungen anfordern.

Der nächste Schritt besteht im Erweitern des Active Directory-Schemas. Dazu muss die Erweiterung mit einem Konto erfolgen, das Mitglied in der Gruppe "Schema-Admins" ist. Danach sind in der PowerShell auf dem Server folgende Befehle notwendig:

Import-Module AdmPwd.psUpdate-AdmPwdADSchema

Die PowerShell zeigt die erfolgreiche Erweiterung des Schemas an. Im nächsten Schritt ist das Setzen der Berechtigungen für LAPS notwendig. Dazu ist das bereits importiere Module "AdmPwd.ps" notwendig. Der folgende Befehl muss für jede OU gesetzt werden, in dem sich Computerkonten befinden, deren lokale Administrator-Kennwörter geschützt werden sollen:

Set-AdmPwdComputerSelfPermission -OrgUnit "CN=Computers,DC=joos,DC=lab"

In diesem Beispiel wird die OU "Computers" der Domäne "joos.lab" eingebunden. Enthält eine OU weitere OUs, bindet LAPS diese automatisch an. OUs auf der gleichen Ebenen müssen mit dem oberen Bereich selbst angebunden werden.

Der DN einer OU ist über den Wert "distinguishedName" auf der Registerkarte "Attribut-Editor" in den Eigenschaften der OU zu sehen. Diese Registerkarte ist wiederum erkennbar, wenn im Snap-In "Active Directory-Benutzer und -Computer" bei "Ansicht" die Option "Erweiterte Features" aktiviert ist. Bei der falschen Eingabe des Namens. meldet die PowerShell eine Fehlermeldung. In der Bildergalerie zu diesem Artikel ist das zu sehen.

Verwaltung von LAPS konfigurieren

Generell ist es sinnvoll in Active Directory zwei Gruppen für die Verwaltung von LAPS anzulegen und die jeweiligen Rechte zuzuweisen. Eine Gruppe darf schreibend zugreifen, die andere nur Kennwörter lesen. Das kann ebenfalls in der PowerShell erfolgen:

New-ADGroup -name "LAPS Admins" -GroupCategory Security -GroupScope GlobalNew-ADGroup -name "LAPS ReadOnly" -GroupCategory Security -GroupScope Global

Den Gruppen müssen die jeweiligen notwendigen Rechte zugewiesen werden. In diesem Beispiel handelt es sich dabei um die OUs "Computers" und "Server":

Set-AdmPwdReadPasswordPermission -OrgUnit "CN=Computers,DC=joos,DC=lab" -AllowedPrincipals "LAPS Admins","LAPS ReadOnly"Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Server,DC=joos,DC=lab" -AllowedPrincipals "LAPS Admins","LAPS ReadOnly"Set-AdmPwdResetPasswordPermission -OrgUnit "CN=Computers,DC=joos,DC=lab" -AllowedPrincipals "LAPS Admins"Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Server,DC=joos,DC=lab" -AllowedPrincipals "LAPS Admins"

Gruppenrichtlinien für LAPS setzen

Auf dem Domänencontroller befindet sich die ADMX-Datei "AdmPwd.admx" für die Richtlinien im Verzeichnis "AdmPwd.admx". Diese Datei und die dazugehörige Sprachdatei muss auf allen Domänencontrollern oder dem zentralen Speicher für Gruppenrichtlinien bereitgestellt werden.

Danach kann eine neue Gruppenrichtlinie erstellt werden, mit den Standardtools in Active Directory. Die Richtlinie sollte nur für LAPS genutzt werden. Die Einstellungen für LAPS sind bei "Computerkonfiguration -> Richtlinie -> Administrative Vorlagen -> LAPS" zu finden.

Die Einstellung "Password Settings" sollte aktiviert sein. Bei "Password Complexity" sind die Standardeinstellungen ausreichend. Die Richtlinie "Name of administrator account to manage" wird auf "Aktiviert" gesetzt. Alas Benutzerkonto kann "LAPSAdmin" genutzt werden. Das lokale "Administratorkonto" sollte idealerweise auf Computern deaktiviert sein. Ist es nur umbenannt, erkennt LAPS das Konto an der SID.

LAPS-Client auf Computern installieren

Für die Anbindung an LAPS ist der LAPS-Client auf den Rechnern notwendig. Dazu wird die Installation gestartet, wie auf dem Domänencontroller. Auf den Rechnern sind nur die Erweiterungen für LAPS notwendig, keine Verwaltungstools. Die Bereitstellung kann mit herkömmlicher Softwareverteilung erfolgen. Ist keine solche Lösung vorhanden, geht es mit der Softwareverteilung über Gruppenrichtlinien. Sobald die Richtlinien umgesetzt werden, lassen sich mit der GUI die lokalen Kennwörter abfragen. Alternativ geht das auch mit der PowerShell, zum Beispiel mit:

Get-AdmPwdPassword -Computername client01

Auf der zuvor bereits beschriebenen Registerkarte "Attribut-Editor" des Snap-Ins "Active Directory-Benutzer und -Computer ist das Kennwort bei "ms-MCS-Adm-Pwd" ebenfalls zu finden.

(ID:49429376)