PowerShell: Local Administrator Password Solution (LAPS)

[English]Hier ein Tipp für Administratoren im Unternehmensumfeld, auf den ich kürzlich gestoßen bin. Es geht um das PowerShell-Script der Woche, "Local Administrator Password Solution" (LAPS), welches die Verwaltung von Passwörtern für lokale Konten von Domänencomputern ermöglicht.


Anzeige

Passwörter werden im Active Directory (AD) gespeichert und sind durch die ACL (Access Control Lists) geschützt, so dass nur berechtigte Benutzer sie lesen oder einen Reset anfordern können. In einem Tweet weist Windows IT Pro (von Microsoft) auf eine PowerShell-Lösungen zur Verwaltung der lokalen Administrator Passwörter hin.

Local Administrator Password Solution (LAPS)

In Umgebungen, in denen Benutzer sich ohne Domänen-Anmeldeinformationen an Computern anmelden müssen, kann die Passwortverwaltung zu einem komplexen Problem werden. Solche Umgebungen erhöhen das Risiko eines Pass-the-Hash (PtH) Credential Replay Angriffs erheblich. Die Local Administrator Password Solution (LAPS) bietet eine Lösung für das Problem der Verwendung eines gemeinsamen lokalen Kontos mit identischem Passwort auf jedem Computer in einer Domäne.

LAPS löst dieses Problem, indem es für das gemeinsame lokale Administratorkonto auf jedem Computer in der Domäne ein anderes, zufälliges Passwort festlegt. Domänenadministratoren, die die Lösung verwenden, können bestimmen, welche Benutzer, wie z.B. Helpdesk-Administratoren, berechtigt sind, Passwörter zu lesen.

LAPS vereinfacht die Passwortverwaltung und unterstützt Kunden bei der Implementierung empfohlener Abwehrmaßnahmen gegen Cyberangriffe. Insbesondere reduziert die Lösung das Risiko einer seitlichen Eskalation. So etwas ergibt sich, wenn Kunden die gleiche administrative lokale Konto- und Passwortkombination auf ihren Computern verwenden.

LAPS speichert das Passwort für das lokale Administratorkonto jedes Computers in Active Directory, das in einem vertraulichen Attribut im entsprechenden Active Directory-Objekt des Computers gesichert ist. Der Computer darf seine eigenen Passwortdaten in Active Directory aktualisieren, und Domänenadministratoren können autorisierten Benutzern oder Gruppen, wie beispielsweise Helpdesk-Administratoren für Workstations, Lesezugriff gewähren.

Wie funktioniert LAPS?

Der Kern der LAPS-Lösung ist eine GPO-Client-seitige Erweiterung (CSE), die die folgenden Aufgaben erfüllt und die folgenden Aktionen während eines GPO-Updates durchsetzen kann:

 


Anzeige

  • Überprüft, ob das Passwort des lokalen Administratorkontos abgelaufen ist.
  • Erzeugt ein neues Passwort, wenn das alte Passwort entweder abgelaufen ist oder vor Ablauf geändert werden muss.
  • Überprüft das neue Passwort anhand der Passwortrichtlinie.
  • Meldet das Passwort an Active Directory und speichert es mit einem vertraulichen Attribut mit dem Computerkonto in Active Directory.
  • Meldet die nächste Ablaufzeit für das Passwort an Active Directory und speichert es mit einem Attribut mit dem Computerkonto in Active Directory.
  • Ändert das Passwort des Administratorkontos.

Das Passwort kann dann von Benutzern, die dazu berechtigt sind, aus dem Active Directory gelesen werden. Berechtigte Benutzer können eine Passwortänderung für einen Computer beantragen.

Was sind die Funktionen von LAPS?

Die PowerShell-Lösung LAPS beinhaltet die nachfolgenden Funktionen:

  • Sicherheit, die die Möglichkeit bietet:
    • Generieren Sie zufällig Passwörter, die auf verwalteten Computern automatisch geändert werden.
    • Schützen Sie PtH-Angriffe, die auf identischen lokalen Account-Passwörtern beruhen, effektiv.
    • Erzwungener Passwortschutz beim Transport durch Verschlüsselung mit dem Kerberos Version 5 Protokoll.
    • Verwenden Sie Zugriffskontrolllisten (ACLs), um Passwörter in Active Directory zu schützen und ein detailliertes Sicherheitsmodell zu implementieren.
  • Verwaltbarkeit, die die Fähigkeit bietet:
    • Konfigurieren Sie Passwortparameter, einschließlich Alter, Komplexität und Länge.
    • Erzwingen Sie das Zurücksetzen des Passworts auf Maschinenebene.
    • Verwenden Sie ein Sicherheitsmodell, das mit ACLs in Active Directory integriert ist.
    • Verwenden Sie ein beliebiges Active Directory-Verwaltungstool Ihrer Wahl; benutzerdefinierte Tools, wie beispielsweise Windows PowerShell, werden bereitgestellt.
    • Schützen Sie sich vor dem Löschen von Computerkonten.
    • Einfache Implementierung der Lösung mit minimalem Platzbedarf.

Das LAPS-PowerShell-Script steht für folgende Windows-Versionen zur Verfügung:

  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Zusätzlich werden benötigt:

  • Active Directory: (erfordert eine D-Schema-Erweiterung)
    • Windows 2003 SP1 oder höher
  • Verwaltete Maschinen (managed machines):
    • Windows Server 2003 SP2 oder höhere, oder Windows Server 2003 x64 Edition SP2 oder höher. Itanium-basierende Maschinen werden nicht unterstützt.
  • Management-Tools:
    • .NET Framework 4.0
    • PowerShell 2.0 or later

Die PowerShell-Lösung lässt sich von dieser Microsoft-Seite kostenlos herunterladen. Dort finden sich auch Anweisungen zur Installation des Ganzen. Vielleicht ist das Ganze hilfreich.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Tipps, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu PowerShell: Local Administrator Password Solution (LAPS)

  1. Michael D. sagt:

    Und mit einem angepassten Script von dieser Seite https://blogs.technet.microsoft.com/askpfeplat/2018/06/04/how-healthy-is-your-laps-environment/ erstellen wir alle 4 Wochen einen automatisierten Mail-Report der auflistet welche Systeme bereits mit LAPS versorgt sind und welche nicht.

  2. techee sagt:

    LAPS sorgt bei uns in der Umgebung für Probleme, wenn der Computer bzw. das Computerkonto aus der Domäne fliegt. Bsplw. nach einem falschen/abgebrochenen Herunterfahren läuft die automatische Systemreparatur. Danach kann man sich weder über einen AD Login oder über das angezeigte LAPS Password am System mehr anmelden. Daher muss die Kiste dann neu installiert werden.

    Hat jemand Erfahrungen mit diesem Problem gemacht?

    • Torsten sagt:

      Ja, das Problem kennen wir auch.
      Lösung ist entweden das lokale Admin-Kennwort offline zurückzusetzen oder über unsere Drittanbieter Software-Verteilung ein neues Passwort zu setzen.

    • Christian sagt:

      Ich habe LAPS bisher noch nicht bei uns umgesetzt, gefühlt würde ich aber weiterhin auf ein festen lokalen Adminaccount als Backup setzen um genau solche Probleme im Notfall lösen zu können.

      LAPS sehe ich eher als Mittel die Daten des festen lokale Adminkonto nicht jedem mitteilten zu müssen und im Falle eines Personalwechsels dann auch nicht gezwungen zu sein es auf allen Maschinen zu ändern.

    • oli sagt:

      Lokale Kennwörter kann man mit unterschiedlichen Methoden (ntpasswd, utilman.exe-Trick) jederzeit zurücksetzen. Solange keine Verschlüsselung wie Bitlocker eingesetzt wird, ist das kein Problem. Empfehlung: Schnellstart für solche Reparaturfälle von vornherein deaktivieren.

      • techee sagt:

        Okay danke für die Hinweise. Problem bei den Ideen ist nur, dass man dann vor Ort an den betroffenen Rechner muss :/

        @Christian: LAPS ist nicht nur ein solches Mittel sondern vor allem auch ein Sicherheitsfeature, welches die Verteilung von Malware im Netz über die immer gleichen Admin Kennwörter verhindern soll

      • Bitlocker ist gar kein Problem. Du bist der Admin, dann hast du auch den Wdh Schlüssel um die Platte offline mit manage-bde zu öffnen …dann geht utilman wie gehabt. Dauert nur 2 Minuten länger.
        Bei 3rd Party Verschlüsselung gilt dasselbe, mit Schlüssel alles kein Problem.

        • techee sagt:

          Ja stimmt, ändert aber nichts an der Problematik, dass man für diesen Fehler dann vor Ort an den Rechner muss. Was bei einem großen Unternehmen sehr viel Zeit kostet

    • Erich sagt:

      Kann man mit dem "NT Offline Password" https://www.tecchannel.de/a/offline-nt-password-windows-passwoerter-zuruecksetzen,2020463
      nicht mehr kurz das lokale Adminkonto aktivieren bzw. das Passwort zurücksetzen (z.B. auf ein leeres Passwort)?

      Habe das Tool, dass sich in Form der "Ultimate Boot CD" (die man auch auf einen Stick bereitstellen kann) praktisch von jedem Rechner booten lässt, früher oft verwendet. Funktioniert es noch unter Windows 10?

  3. oli sagt:

    Noch eine Empfehlung: Die Anmeldeberechtigung des Konto/der Konten (neben den Domain-Admins), die Zugriff auf die LAPS-Kennwörter haben, auf 'sichere' Rechner einschränken. So kann man sich nicht aus Versehen mit so einem Konto an einem potentiell kompromitierten Rechner anmelden, denn auch bei Angreifern hat sich LAPS rumgesprochen.

  4. JohnRipper sagt:

    Bist wohl Admin bei heise.de

    • Günter Born sagt:

      Ich hatte es bei heise gesehen – ist aber wohl hinter einer Paywall. Ob die bei mir mitgelesen oder es selbst aus anderen Kanälen erfahren haben, weiß ich nicht. Muss mich auch nicht interessieren, da ich hier meinen eigenen Stiefel fahre.

      • JohnRipper sagt:

        Sorry sollte eine Antwort auf olis Kommentar sein, denn einer der großen Fehler war es ja, eben keine sicheren PCs zu verwenden.

        Ansonsten bleibt nur zu sagen, dass die heise Admins mE ziemlich grobe Fehler gemacht haben:
        – Ausführbare Makros
        – Lokale Admin Accounts (aktive Accounts+gleiches PW über alle Maschinen!!)
        – Gestohlene AD Admin Accounts und/oder falsche AD Konfiguration

      • JohnRipper sagt:

        Und in meiner bescheidenen privaten Domäne gibt es bisher LAPS bisher nicht, aber auch nicht jedes mal das gleiche PW für die lokalen Admins.
        Insofern kein schlechter Tipp at all.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.