Microsoft liefert die Local Administrator Password Solution (LAPS) mit dem kumulativen Update für April 2023 erstmals als Systemkomponente aus. Die aktualisierte Version nutzt andere Attribute im AD und bringt neue PowerShell-Cmdlets. Admins müssen das alte LAPS entfernen, um die neuen Funktionen nutzen zu können.
LAPS dient der zentralen Verwaltung von lokalen Admin-Passwörtern und nutzt das Active Directory als Speicher. Das Tool umfasst einen Win32-Client zum Abrufen der Kennwörter. Die quelloffene LAPS WebUI kann dagegen von einem Web-Browser aus auf Passwörter zugreifen. Sie lässt sich als Docker-Container oder nativ unter Windows oder Linux installieren.
Bei der Verwaltung von Exchange fallen regelmäßig Aufgaben an, für welche die grafische Konsole zu umständlich ist und für die sich eine Automatisierung mit PowerShell lohnt. Eine Herausforderung dabei ist die schiere Anzahl der Cmdlets. Das kostenlose Cheat Sheet von ScriptRunner hilft Admins, den Überblick zu behalten.
Passwort-Manager sind nicht vor Sicherheitsmängeln gefeit, wie der Vorfall bei Lastpass zeigt. Und die Datenbank, in der Benutzer alle ihre Passwörter speichern, ist ein sehr attraktives Ziel für Hacker. Spectre ist ein Passwort-Manager, der dieses Problem durch einen alternativen Ansatz zur Erzeugung und Verwaltung von Passwörtern lösen will.
Die Schweizer DBS AG veröffentlichte ein Tool zur Administration von AD-Benutzern. Damit können sich Admins oder der Helpdesk schnell einen Überblick über kritische Informationen von AD-Konten verschaffen. Es vereinfacht zudem das Anlegen und Ändern von Accounts und unterstützt dabei auch Bulk-Operationen.
Neben den Gruppenrichtlinien ist PowerShell das bevorzugte Bordmittel für das Management der AD-Passwörter. So bietet es Cmdlets für das Verwalten der Kennwortrichtlinien oder das Aktualisieren von Konten. Eine Stärke von PowerShell liegt in der Analyse von unsicheren Accounts, etwa wenn diese kein Kennwort benötigen.
SystemRescue versammelt eine Reihe von Open-Source-Utilities für das PC-Troubleshooting auf einem bootfähigen ISO-Image. Es kann direkt in eine virtuelle Maschine eingebunden oder auf ein USB-Laufwerk "gebrannt" werden. Die meisten Programme eignen sich für das Reparieren sowohl von Linux- als auch Windows-PCs, einschließlich Desktops und Server.
Wenn man auf einem Notebook viele WiFi-Verbindungen gespeichert hat, dann möchte man diese manchmal auch auf einem anderen Rechner nutzen. Windows sieht dafür den Export und Import mittels netsh.exe vor. PowerShell ist dazu nur mit einem Community-Modul in der Lage, alternativ kann man dafür kostenlose GUI-Tools einsetzen.
Im Zeitalter von Cloud-Diensten mag es als Rückschritt erscheinen, einen Passwort-Manager selbst zu hosten. Doch nach dem erfolgreichen Hacker-Angriff auf LastPass sind derartige Überlegungen nicht von der Hand zu weisen. Bitwarden, ein populärer quelloffener Passwort-Manager, vereinfacht das Hosting mit der neuen Unified-Ausführung deutlich.
Das Attribut UserAccountControl im Active Directory enthält mehrere kritische Kontoeinstellungen. Das betrifft etwa das Ablaufdatum von Passwörtern oder die Delegierung. Ein AD-Audit sollte dieses Attribut regelmäßig prüfen. Das lässt sich mit PowerShell erledigen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.
Das regelmäßige Ändern von Passwörtern wird allgemein nicht mehr empfohlen, auch die Security Baseline für Windows ist davon abgekommen. Trotzdem kann es in bestimmten Situationen wichtig sein, zu wissen, wie alt die Kennwörter der Benutzer sind. Mit PowerShell kann man das einfach herausfinden.