Windows Local Administrator Password Solution
Das Windows LAPS unterscheidet sich von der gewohnten Local Administrator Password Solution.
Das Legacy LAPS musste noch über ein MSI-Paket installiert und mit etwas mehr Aufwand eingerichtet werden. Über meinen Blog habt ihr sogar die Variante beziehen können, in der das Password eines lokalen Administartors im AD verschlüsselt abgelegt werden konnte.
Windows LAPS Active Directory
Mittlerweile hat Microsoft beides miteinander kombiniert und als Windows LAPS ausgerollt. Windows LAPS ist nun ein fester Bestandteil der neueren Server- und Client- Betriebssysteme.
Unterstützt wird Windows LAPS ab folgenden Versionen:
- Windows 11 22H2 – Update vom 11. April 2023
- Windows 11 21H2 – Update vom 11. April 2023
- Windows 10 – Update vom 11. April 2023
- Windows Server 2022 – Update vom 11. April 2023
- Windows Server 2019 – Update vom 11. April 2023
Windows LAPS einrichten
Die Einrichtung ist wirklich einfach. Man benötigt lediglich eine Gruppenrichtlinie und die Powershell zum Ausführen von ganz wenigen Befehlen.
Zuerst erstellt man die Gruppenrichtlinie und verlinkt diese auf die Organisationseinheiten, in denen die Server oder auch Clients enthalten sind, die sich selbst administrieren sollen. Das bedeutet, auf denen sich das Passwort des lokalen Administrators rollierend je nach Gestalltung der Policy ändern soll.
Danach startet man die Powershell mit hohen Rechten und führt zuerst ein Schemaupdate durch. Wichtig ist, das man für alle Tätigkeiten auch die benötigten Rechte hat.
Update-LapsADSchema
Danach setzt man diesen Befehl auf die Organisationseinheiten ab, auf denen man auch die Gruppenrichtlinie verlinkt hat.
Set-LapsADComputerSelfPermission -Identity “OU=Server,OU=Computer,OU=DWP,DC=windowspapst,DC=de”
Ist das alles umgesetzt worden, dann sollte nach einer kurzen Zeit, das durch Windows LAPS verwaltete Kennwort im Active Directory zu dem jeweiligen Objekt zu sehen sein. Das Kennwort eines Objekts lässt sich auch mithilfe der Powershell abfragen, egal ob von einem Server- oder Clientsystem im Netzwerk.
Es kann auch mal bis zu 120 Minuten dauern.
Da jetzt alles einwandfrei funktioniert, gehen wir einen Schritt weiter. Mit dem nachfolgendem Befehl, prüft man die ExtendedRightsHolders der jeweiligen Organisationseinheit.
Find-LapsADExtendedRights -Identity “OU=Server,OU=Computer,OU=DWP,DC=windowspapst,DC=de”
Dieses Ergebnis ist vorbildlich. Lediglich die Domänenadministratoren haben dieses Recht.
Sollte das Ergebnis so aussehen, dann gibt es dringend Handlungsbedarf. Es sollte kein Benutzer oder eine Gruppe dieses Recht besitzen, der nicht dazu befugt sein soll, das Passwort eines lokalen Administrators einzusehen bzw. auszulesen. In der Regel sollte es nicht vorkommen, aber Konfigurationsfehler passieren überall mal.
Windows LAPS Encrypted Password
Jetzt erhöhen wir die Sicherheit noch weiter. Und zwar, werden wir die Passwörter der lokalen Administratoren verschlüsseln. Dazu erweitern wir die Gruppenrichtlinie oder erstellen eine neue und forcieren die Verschlüsselung nur auf bestimmte Organisationseinheiten. Aber das hängt ganz vom Konzept ab.
Hier zu erkennen, das ich lediglich 2 weitere Optionen aktiviert habe.
- Configure authorized password decryptors
- Enable password encryption
Wenn man nun möchte, das lediglich eine spezielle Gruppe Zugriff auf die verschlüsselten Passwörter hat, dann fügt man diese der Option Configure authorized password decryptors hinzu. In meinem Fall ist es die Sicherheitsgruppe dwp\LAPS-Decryptor.
Versucht man nun das Passwort auszulesen, ohne das man Mitglied der LAPS-Decryptor Sicherheitsgruppe ist, erhält man folgende Ansicht:
Oder beim Versuch mit der Powershell:
Get-LapsADPassword -Identity SubCA -AsPlainText
Sobald ich Mitglied der Gruppe bin und mich erneut an das System angemeldet habe, bekomme ich das Passwort entschlüsselt angezeigt.
Oder beim Versuch mit der Powershell:
Get-LapsADPassword -Identity SubCA -AsPlainText
Ein Hinweis: Sobald man die Verschlüsselung nachträglich aktiviert, setzt das eine Änderung der Passwörter der lokalen Administratoren in Gang.
Windows LAPS Event Viewer
Über den Event Viewer, sei es auf den Domänen-Controller oder den Systemen selbst, wird alles was man wissen muss, protokolliert.