Tags: Active Directory, Passwort, Tools
LAPS dient der zentralen Verwaltung von lokalen Admin-Passwörtern und nutzt das Active Directory als Speicher. Das Tool umfasst einen Win32-Client zum Abrufen der Kennwörter. Die quelloffene LAPS WebUI kann dagegen von einem Web-Browser aus auf Passwörter zugreifen. Sie lässt sich als Docker-Container oder nativ unter Windows oder Linux installieren.
Viele Unternehmen verwenden auf allen Windows-Rechnern das gleiche lokale Administratorkennwort, weil dies am bequemsten ist. Wenn das Einheitspasswort aber in die falschen Hände gerät, dann sind die Auswirkungen meist schwerwiegend.
Microsoft LAPS löst dieses Problem, indem es lokale Admin-Kennwörter automatisch generiert und im AD ablegt (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS).
Seit der Version 1.5 unterstützt nun auch Windows LAPS, das seit 23H2 zum Lieferumfang des Betriebssystems gehört.
LAPS umfasst eine Client-Anwendung zum Abrufen der Passwörter aus dem AD, die man auf einer Admin-Workstation installiert. Wenn sich ein Systemverwalter aber an einem beliebigen PC anmelden möchte, dann steht ihm diese App dort nicht zur Verfügung.
Windows LAPS bietet für das Auslesen der Passwörter keine eigene Anwendungen mehr, sondern ergänzt Computerobjekte in AD-Benutzer und -Computer um eine eigene Registerkarte für diesen Zweck.
LAPS WebUI
LAPS WebUI ist ein Open-Source-Projekt, das LAPS-Passwörter auf einer Browser-Oberfläche anzeigt. Es kann mittels eines Docker-Containers bereitgestellt werden, aber man kann es auch herkömmlich auf Linux, Windows oder macOS installieren (Download von GitHub).
Wir entscheiden uns hier für den Docker-Container, weil dies der einfachste Weg ist, um das Tool einzurichten. Sie benötigen dafür die Adresse eines Domänen-Controllers und müssen entweder den LDAP-Port 389 für unsichere Verbindungen oder 636 für SSL verwenden. Wenn Sie den sicheren Port 636 verwenden, müssen Sie
UseSSL=true
angeben.
Wenn Sie den externen Port (links vom Doppelpunkt) anpassen müssen, weil dieser mit einem anderen Container kollidiert, können Sie jeden freien Port konfigurieren. Achten Sie darauf, dass Sie den internen Port 8080 (rechts vom Doppelpunkt) beibehalten. Der Befehl sieht dann so aus:
docker run -d \
--name=lapswebui \
-e LDAP__Server=dctest1.neptune.local \
-e LDAP__Port=389 \
-e LDAP__UseSSL=false \
-e LDAP__SearchBase=DC=neptune,DC=local \
-p 8080:8080 \
--restart unless-stopped \
ghcr.io/seji64/laps-webui:1.4.1
Nach dem Herunterziehen des Containers können Sie mit dem Befehl
docker ps
überprüfen, ob er korrekt läuft.
LAPS WebUI verwenden
Nach erfolgreicher Installation rufen Sie die Web-URL des Docker-Containers oder der Bare-Metal-Installation auf. Sie müssen sich mit einem Active Directory-Benutzer anmelden, der die Berechtigung hat, die erweiterten Eigenschaften für jene OU-Objekte anzuzeigen, in denen sich die von LAPS verwalteten Arbeitsstationen befinden.
Führen Sie folgende PowerShell-Cmdlets aus, um diese Berechtigungen zu finden:
Import-Module AdminPwd.PS
Find-AdmPwdExtendedRights -Identity "<OU>" | Format-Table
In diesem Beispiel hat die Gruppe Domänen-Admins die Berechtigung, LAPS-Kennwörter für die OU anzuzeigen.
Ein Sicherheitshinweis: Die Docker-Implementierung von LAPS WebUI konfiguriert die HTTPS-Verbindung nicht. Daher sollten Sie einen Reverse-Proxy wie Traefik vor die Installation schalten, um zu verhindern, dass Ihr Passwort im Klartext gesendet wird.
Im Falle einer klassischen Installation können Sie natürlich den Web-Server so konfigurieren, dass die App über HTTPS bereitgestellt wird.
Nach dem Einloggen können Sie die von LAPS kontrollierte Workstation suchen und das Passwort einsehen.
Systemvoraussetzungen
Für LAPS WebUI müssen ein paar Voraussetzungen erfüllt sein:
- Active Directory mit installiertem LAPS
- Ein Betriebssystem mit Unterstützung für .NET Core 6.0 (Ubuntu, Debian, CentOS, Alpine Linux, Windows, macOS) oder einen Docker-Host
Zusammenfassung
LAPS ist ein empfohlenes Tool zur Absicherung lokaler Admin-Konten in einer Windows-Umgebung. LAPS WebUI bietet eine einfache Möglichkeit, über einen Web-Browser auf die LAPS-Passwörter im Active Directory zuzugreifen. Andernfalls sind sie nur über die mit LAPS mitgelieferte Legacy-Anwendung zugänglich, die lokal installiert werden muss.
Das quelloffene Projekt LAPS WebUI lässt sich als Docker-Container oder Bare Metal relativ einfach installieren. Administratoren sollten bei der Docker-Variante sicherstellen, dass die Verbindung zu LAPS-WebUI über TLS abgesichert ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Schwache, kompromittierte und mehrfach genutzte Kennwörter finden mit Enzoic for Active Directory Lite
- Benutzer im Active Directory filtern und bearbeiten mit NetKey UMT
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ModernAD: Kostenloses Reporting-Tool für Active Directory
Weitere Links