LAPS WebUI: Lokale Admin-Passwörter im Browser aus dem Active Directory abrufen


    Tags: , ,

    Local Admin Password Solutions (LAPS)LAPS dient der zen­tralen Ver­wal­tung von lokalen Admin-Pass­wörtern und nutzt das Active Direc­tory als Speicher. Das Tool umfasst einen Win32-Client zum Abrufen der Kenn­wörter. Die quell­offene LAPS WebUI kann da­gegen von einem Web-Browser aus auf Pass­wörter zugreifen. Sie lässt sich als Docker-Container oder nativ unter Windows oder Linux installieren.

    Viele Unternehmen verwenden auf allen Windows-Rechnern das gleiche lokale Administrator­kennwort, weil dies am bequemsten ist. Wenn das Einheitspasswort aber in die falschen Hände gerät, dann sind die Auswirkungen meist schwerwiegend.

    Microsoft LAPS löst dieses Problem, indem es lokale Admin-Kennwörter automatisch generiert und im AD ablegt (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS)

    LAPS umfasst eine Client-Anwendung zum Abrufen der Passwörter aus dem AD, die man auf einer Admin-Workstation installiert. Wenn sich ein Systemverwalter aber an einem beliebigen PC anmelden möchte, dann steht ihm diese App dort nicht zur Verfügung.

    Zum Lieferumfang von LAPS gehört eine Client-App zum Abrufen der Kennwörter aus dem AD.

    LAPS WebUI

    LAPS WebUI ist ein Open-Source-Projekt, das LAPS-Passwörter auf einer Browser-Oberfläche anzeigt. Es kann mittels eines Docker-Containers bereitgestellt werden, aber man kann es auch herkömmlich auf Linux, Windows oder macOS installieren (Download von GitHub).

    Wir entscheiden uns hier für den Docker-Container, weil dies der einfachste Weg ist, um das Tool einzurichten. Sie benötigen dafür die Adresse eines Domänen-Controllers und müssen entweder den LDAP-Port 389 für unsichere Verbindungen oder 636 für SSL verwenden. Wenn Sie den sicheren Port 636 verwenden, müssen Sie

    UseSSL=true

    angeben.

    Wenn Sie den externen Port (links vom Doppelpunkt) anpassen müssen, weil dieser mit einem anderen Container kollidiert, können Sie jeden freien Port konfigurieren. Achten Sie darauf, dass Sie den internen Port 8080 (rechts vom Doppelpunkt) beibehalten. Der Befehl sieht dann so aus:

    docker run -d \
      --name=lapswebui \
      -e LDAP__Server=dctest1.neptune.local \
      -e LDAP__Port=389 \
      -e LDAP__UseSSL=false \
      -e LDAP__SearchBase=DC=neptune,DC=local \
      -p 8080:8080 \
      --restart unless-stopped \
      ghcr.io/seji64/laps-webui:1.4.1

    Container mit LAPS WebUI mit dem Docker-Dienstprogramm herunterziehen

    Nach dem Herunterziehen des Containers können Sie mit dem Befehl

    docker ps

    überprüfen, ob er korrekt läuft.

     Ordnungsgemäße Ausführung des Docker-Containers für LAPS WebUI überprüfen

    LAPS WebUI verwenden

    Nach erfolgreicher Installation rufen Sie die Web-URL des Docker-Containers oder der Bare-Metal-Installation auf. Sie müssen sich mit einem Active Directory-Benutzer anmelden, der die Berechtigung hat, die erweiterten Eigenschaften für jene OU-Objekte anzuzeigen, in denen sich die von LAPS verwalteten Arbeitsstationen befinden.

    Führen Sie folgende PowerShell-Cmdlets aus, um diese Berechtigungen zu finden:

    Import-Module AdminPwd.PS

    Find-AdmPwdExtendedRights -Identity "<OU>" | Format-Table

    In diesem Beispiel hat die Gruppe Domänen-Admins die Berechtigung, LAPS-Kennwörter für die OU anzuzeigen.

    Ein Sicherheitshinweis: Die Docker-Implementierung von LAPS WebUI konfiguriert die HTTPS-Verbindung nicht. Daher sollten Sie einen Reverse-Proxy wie Traefik vor die Installation schalten, um zu verhindern, dass Ihr Passwort im Klartext gesendet wird.

    Im Falle einer klassischen Installation können Sie natürlich den Web-Server so konfigurieren, dass die App über HTTPS bereitgestellt wird.

    Anmelden über LAPS WebUI

    Nach dem Einloggen können Sie die von LAPS kontrollierte Workstation suchen und das Passwort einsehen.

     LAPS-Kennwort für eine Arbeitsstation mit der LAPS-WebUI anzeigen

    Systemvoraussetzungen

    Für LAPS WebUI müssen ein paar Voraussetzungen erfüllt sein:

    • Active Directory mit installiertem LAPS
    • Ein Betriebs­system mit Unterstützung für .NET Core 6.0 (Ubuntu, Debian, CentOS, Alpine Linux, Windows, macOS) oder einen Docker-Host

    Zusammenfassung

    LAPS ist ein empfohlenes Tool zur Absicherung lokaler Admin-Konten in einer Windows-Umgebung. LAPS WebUI bietet eine einfache Möglichkeit, über einen Web-Browser auf die LAPS-Passwörter im Active Directory zuzugreifen. Andernfalls sind sie nur über die mit LAPS mitgelieferte Legacy-Anwendung zugänglich, die lokal installiert werden muss.

    Das quelloffene Projekt LAPS WebUI lässt sich als Docker-Container oder Bare Metal relativ einfach installieren. Admini­stratoren sollten bei der Docker-Variante sicherstellen, dass die Verbindung zu LAPS-WebUI über TLS abgesichert ist.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Ähnliche Beiträge

    Weitere Links