LAPS WebUI: Lokale Admin-Passwörter im Browser aus dem Active Directory abrufen

Microsoft LAPS löst dieses Problem, indem es lokale Admin-Kennwörter automatisch generiert und im AD ablegt (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS).

Seit der Version 1.5 unterstützt nun auch Windows LAPS, das seit 23H2 zum Lieferumfang des Betriebssystems gehört.

LAPS umfasst eine Client-Anwendung zum Abrufen der Passwörter aus dem AD, die man auf einer Admin-Workstation installiert. Wenn sich ein Systemverwalter aber an einem beliebigen PC anmelden möchte, dann steht ihm diese App dort nicht zur Verfügung.

Windows LAPS bietet für das Auslesen der Passwörter keine eigene Anwendungen mehr, sondern ergänzt Computerobjekte in AD-Benutzer und -Computer um eine eigene Registerkarte für diesen Zweck.

LAPS WebUI

LAPS WebUI ist ein Open-Source-Projekt, das LAPS-Passwörter auf einer Browser-Oberfläche anzeigt. Es kann mittels eines Docker-Containers bereitgestellt werden, aber man kann es auch herkömmlich auf Linux, Windows oder macOS installieren (Download von GitHub).

Wir entscheiden uns hier für den Docker-Container, weil dies der einfachste Weg ist, um das Tool einzurichten. Sie benötigen dafür die Adresse eines Domänen-Controllers und müssen entweder den LDAP-Port 389 für unsichere Verbindungen oder 636 für SSL verwenden. Wenn Sie den sicheren Port 636 verwenden, müssen Sie

UseSSL=true

angeben.

Wenn Sie den externen Port (links vom Doppelpunkt) anpassen müssen, weil dieser mit einem anderen Container kollidiert, können Sie jeden freien Port konfigurieren. Achten Sie darauf, dass Sie den internen Port 8080 (rechts vom Doppelpunkt) beibehalten. Der Befehl sieht dann so aus:

docker run -d \
  --name=lapswebui \
  -e LDAP__Server=dctest1.neptune.local \
  -e LDAP__Port=389 \
  -e LDAP__UseSSL=false \
  -e LDAP__SearchBase=DC=neptune,DC=local \
  -p 8080:8080 \
  --restart unless-stopped \
  ghcr.io/seji64/laps-webui:1.4.1

Nach dem Herunterziehen des Containers können Sie mit dem Befehl

docker ps

überprüfen, ob er korrekt läuft.

LAPS WebUI verwenden

Nach erfolgreicher Installation rufen Sie die Web-URL des Docker-Containers oder der Bare-Metal-Installation auf. Sie müssen sich mit einem Active Directory-Benutzer anmelden, der die Berechtigung hat, die erweiterten Eigenschaften für jene OU-Objekte anzuzeigen, in denen sich die von LAPS verwalteten Arbeitsstationen befinden.

Führen Sie folgende PowerShell-Cmdlets aus, um diese Berechtigungen zu finden:

Import-Module AdminPwd.PS

Find-AdmPwdExtendedRights -Identity "<OU>" | Format-Table

In diesem Beispiel hat die Gruppe Domänen-Admins die Berechtigung, LAPS-Kennwörter für die OU anzuzeigen.

Ein Sicherheitshinweis: Die Docker-Implementierung von LAPS WebUI konfiguriert die HTTPS-Verbindung nicht. Daher sollten Sie einen Reverse-Proxy wie Traefik vor die Installation schalten, um zu verhindern, dass Ihr Passwort im Klartext gesendet wird.

Im Falle einer klassischen Installation können Sie natürlich den Web-Server so konfigurieren, dass die App über HTTPS bereitgestellt wird.

Nach dem Einloggen können Sie die von LAPS kontrollierte Workstation suchen und das Passwort einsehen.

Systemvoraussetzungen

Für LAPS WebUI müssen ein paar Voraussetzungen erfüllt sein:

• Active Directory mit installiertem LAPS
• Ein Betriebs­system mit Unterstützung für .NET Core 6.0 (Ubuntu, Debian, CentOS, Alpine Linux, Windows, macOS) oder einen Docker-Host

Zusammenfassung

LAPS ist ein empfohlenes Tool zur Absicherung lokaler Admin-Konten in einer Windows-Umgebung. LAPS WebUI bietet eine einfache Möglichkeit, über einen Web-Browser auf die LAPS-Passwörter im Active Directory zuzugreifen. Andernfalls sind sie nur über die mit LAPS mitgelieferte Legacy-Anwendung zugänglich, die lokal installiert werden muss.

Das quelloffene Projekt LAPS WebUI lässt sich als Docker-Container oder Bare Metal relativ einfach installieren. Admini­stratoren sollten bei der Docker-Variante sicherstellen, dass die Verbindung zu LAPS-WebUI über TLS abgesichert ist.