Website-Icon RDR-IT

Microsoft LAPS – Sicherung lokaler Administratorkonten

Romain

Introduction

Microsoft LAPS (Local Administrator Password Solution) ist eine kostenlose Lösung von Microsoft, die zur Sicherung von Arbeitsstationen beiträgt.

Mit LAPS kann jeder in der Organisationseinheit vorhandene Computer nach dem Zufallsprinzip ein Kennwort für das lokale Administratorkonto generieren und es in einem Active Directory-Attribut (ms-Mcs-AdmPwd) speichern. Es basiert auf der SID des Kontos, die auf jeder Workstation gleich aufgebaut ist, was die Anwendung von LAPS auf jede Windows-Sprache oder sogar die Umbenennung des Administratorkontos ermöglicht.

Es ist auch möglich, eine Passwort-Ablaufzeit (ms-Mcs-AdmPwdExpirationTime) zu konfigurieren, die ein neues Passwort für das lokale Administratorkonto erzwingt.

LAPS liegt im „Client/Server“-Format vor und erfordert die Installation eines Teils auf dem/den Domänencontroller-Server(n) und die Registrierung einer DLL auf den Client-Arbeitsstationen.

Voraussetzungen:

Wenn Sie sich in einer Umgebung mit mehreren Domänencontrollern befinden, müssen Sie die Gruppenrichtliniendefinition auf allen Servern installieren oder einen zentralen Speicher verwenden. Im zweiten Fall müssen Sie nach der Installation die Dateien (%WINDIR%\PolicyDefinitions\AdmPwd.admx und %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) in den zentralen Speicher kopieren.

Herunterladen LAPS

LAPS installieren

Installieren Sie LAPS auf dem Domänencontroller

Führen Sie die Download-Datei auf einem Domänencontroller aus.

Klicken Sie beim Starten des Installationsassistenten auf Weiter 1.

Aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren 1 und klicken Sie auf Weiter 2.

Installieren Sie alle Komponenten 1 und klicken Sie dann auf Weiter 2.

Klicken Sie auf „Installieren 1“.

Sobald die Installation abgeschlossen ist, schließen Sie den Assistenten, indem Sie auf Fertig stellen 1 klicken.

Nachdem LAPS nun auf einem Domänencontroller installiert ist, werden wir sehen, wie es auf Client-Workstations installiert wird.

Installieren des LAPS-Clients

Um den „Client“-Teil von LAPS auf Workstations bereitzustellen, stehen Ihnen mehrere Lösungen zur Verfügung:

Abhängig von Ihrer Umgebung lasse ich Sie die beste Lösung auswählen.

Aktualisieren des Active Directory-Schemas

Um ordnungsgemäß zu funktionieren, muss LAPS das Active Directory-Schema ändern, um den Computern zwei Attribute hinzuzufügen.

Öffnen Sie auf dem Domänencontroller, auf dem es installiert wurde, eine PowerShell-Eingabeaufforderung mit Administratorrechten.

Laden Sie das PowerShell-Modul:

Import-Module AdmPwd.PS

Aktualisieren Sie das Schema:

Update-AdmPwdADSchema

Der Befehl sollte das folgende Ergebnis zurückgeben:

Operation            DistinguishedName                                                 Status
---------            -----------------                                                 ------
AddSchemaAttribute   cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=l... Success
AddSchemaAttribute   cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=lab,DC=intra       Success
ModifySchemaClass    cn=computer,CN=Schema,CN=Configuration,DC=lab,DC=intra            Success

Das Schema wurde geändert und Attribute hinzugefügt.

Wir werden nun sehen, wie man LAPS konfiguriert.

LAPS konfigurieren

Hinzufügen von Berechtigungen im Active Directory

LAPS wird von UO auf der Active Directory-Ebene konfiguriert. In diesem Tutorial wenden wir die Passwortrichtlinie auf die UO-Computer 1 an, die sich im UO LAB befinden.

Bevor Sie die Gruppenrichtlinie konfigurieren, müssen Sie Computerobjekten die Rechte zum Ändern ihrer Attribute erteilen. Öffnen Sie eine PowerShell-Eingabeaufforderung.

Laden Sie das Modul:

Import-Module AdmPwd.PS

Fall 1: Es gibt eine einzelne Organisationseinheit mit dem Namen Computer:

Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"

Fall 2: Mehrere Organisationseinheiten werden Computer genannt:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"

Befehlsergebnis:

Name                 DistinguishedName                                                 Status
----                 -----------------                                                 ------
Computers            OU=Computers,OU=LAB,DC=lab,DC=intra                               Delegated

Wenn mehrere OUs den gleichen Namen haben und Sie den Befehl in Fall 1 anwenden, wird die Delegation auf alle OUs angewendet. Der Befehl gibt außerdem einen Fehler zurück.

GPO zum Anwenden von Einstellungen auf Computer

Da Computer nun ihre Attribute ändern können, müssen Sie eine Gruppenrichtlinie erstellen. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf OR 1, wo angewendet werden soll, und klicken Sie auf „GPO in dieser Domäne erstellen“ und verknüpfen Sie es hier 2.

Benennen Sie die Strategie 1 und klicken Sie auf OK 2.

Nachdem die Richtlinie erstellt wurde, konfigurieren wir sie. Klicken Sie mit der rechten Maustaste darauf 1 und klicken Sie auf „Ändern“ 2.

Gehen Sie zu Computerkonfiguration / Richtlinien / Administrative Vorlagen / LAPS 1. Dieser Speicherort enthält die verschiedenen Konfigurationsparameter. Öffnen Sie die Passworteinstellungen 2, um das Passwort zu konfigurieren.

Aktivieren Sie die Einstellungen 1 und konfigurieren Sie dann die Passwortkomplexität 2 mithilfe der verschiedenen Einstellungen. Klicken Sie auf Übernehmen 3 und auf OK 4.

Öffnen Sie den Parameter Lokale Admin-Passwortverwaltung aktivieren, aktivieren Sie 1, klicken Sie dann auf Übernehmen 2 und OK 3. Um die Passwortverwaltung zu aktivieren, muss diese Einstellung aktiviert werden.

Wenn Sie das lokale Administratorkonto geändert und ein neues erstellt haben, können Sie dies mit dem Parameter Name des zu verwaltenden Administratorkontos angeben.

Zusammenfassung der Gruppenrichtlinieneinstellungen:

Nachdem die Gruppenrichtlinie nun fertig ist, erzwingen Sie deren Aktualisierung, damit die Computer die Einstellungen wiederherstellen und ein Kennwort für das lokale Administratorkonto generieren.

Sehen Sie sich das von LAPS generierte Passwort an

Da unsere Computer nun ein anderes Passwort haben, werden wir sehen, wie wir das Passwort wiederherstellen können.

Aus dem Active Directory

Die Anzeige erweiterter Funktionen muss aktiviert sein.

Öffnen Sie in der Konsole „Active Directory-Benutzer und -Computer“ die Computereigenschaften, wechseln Sie zur Registerkarte „Attributeditor“ 1 und suchen Sie nach dem Attribut „ms-Mcs-AdmPwd“ 2.

Mit dem LAPS-Kunden

Bei der Installation von LAPS auf dem Server wurden alle Komponenten installiert. Ein Client ist über das Startmenü verfügbar. Geben Sie nach dem Start den Computernamen 1 ein und klicken Sie dann auf Suchen 2, um das Passwort 3 sowie das Ablaufdatum 4 anzuzeigen.

Es ist möglich, das Ablaufdatum des Passworts zu ändern. Klicken Sie nach der Konfiguration auf „Festlegen“. Die Passwortänderung wird wirksam, wenn Gruppenrichtlinien auf dem Computer angewendet werden.

Erlauben Sie der Anzeige von Passwörtern für eine AD-Gruppe

Standardmäßig kann die Gruppe „Domänenadministratoren“ das Attribut sehen, das das Kennwort für das lokale Administratorkonto der Arbeitsstation enthält. Es kann erforderlich sein, anderen Personen den Passwortzugriff zu gewähren, beispielsweise Personen aus dem Support-Team, wenn diese nicht Mitglieder der Gruppe „Domänen-Administratoren“ sind.

Um das Passwort sehen zu können, muss der Client-Teil von LAPS auf dem Computer installiert sein.

Öffnen Sie auf dem Domänencontroller die ADSI-Änderungskonsole, klicken Sie mit der rechten Maustaste auf ADSI-Änderung 1 und klicken Sie auf Verbindung 2.

Wählen Sie „Standardzuweisungskontext“ 1 und klicken Sie auf „OK“ 2.

Sobald die Verbindung hergestellt ist, öffnen Sie die Eigenschaften der Organisationseinheit, in der LAPS konfiguriert wurde.

Gehen Sie zur Registerkarte Sicherheit 1 und klicken Sie auf die Schaltfläche Erweitert 2.

Klicken Sie auf 1 hinzufügen.

Wählen Sie die Gruppe 1 aus und geben Sie Folgendes ein: Zulassen 2. Überprüfen Sie die Berechtigung Alle erweiterten Rechte 3 und bestätigen Sie, indem Sie auf OK 4 klicken.

Die Berechtigungen wurden der Organisationseinheit hinzugefügt. Klicken Sie zur Bestätigung auf „Anwenden“ 1 und dann auf „OK“ 2. Dann schließen Sie die Fenster.

Mit dem folgenden Befehl ist es möglich, dasselbe in PowerShell zu tun:

Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

Es ist möglich, den Zugriff in PowerShell mit dem folgenden Befehl zu überprüfen:

Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders

ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}

Benutzer in der SupportSI-Gruppe haben jetzt die Möglichkeit, das Passwort des lokalen Administratorkontos anzuzeigen.

Geben Sie den folgenden PowerShell-Befehl ein, um der SupportSI-Gruppe die Berechtigung zu erteilen, das Ablaufdatum des Kennworts zu ändern:

Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI

Abschluss

LAPS ist eine kostenlose Lösung, die dabei hilft, das lokale Administratorkonto auf Client-Computern und Servern zu schützen.

Noch interessanter finde ich diese Lösung auf Servern, die es ermöglichen, für jeden Server ein anderes Passwort zu vergeben und so die Sicherheit zu erhöhen. Das automatische Ablaufen und Erneuern des Passworts bietet zusätzliche Sicherheit, wenn ein IT-Mitarbeiter das Unternehmen verlässt.

Die mobile Version verlassen