Tags: Active Directory, Passwort, Tools
LAPS dient der zentralen Verwaltung von lokalen Admin-Passwörtern und nutzt das Active Directory als Speicher. Das Tool umfasst einen Win32-Client zum Abrufen der Kennwörter. Die quelloffene LAPS WebUI kann dagegen von einem Web-Browser aus auf Passwörter zugreifen. Sie lässt sich als Docker-Container oder nativ unter Windows oder Linux installieren.
Viele Unternehmen verwenden auf allen Windows-Rechnern das gleiche lokale Administratorkennwort, weil dies am bequemsten ist. Wenn das Einheitspasswort aber in die falschen Hände gerät, dann sind die Auswirkungen meist schwerwiegend.
Microsoft LAPS löst dieses Problem, indem es lokale Admin-Kennwörter automatisch generiert und im AD ablegt (siehe dazu: Lokale Administrator-Passwörter zentral verwalten mit LAPS)
LAPS umfasst eine Client-Anwendung zum Abrufen der Passwörter aus dem AD, die man auf einer Admin-Workstation installiert. Wenn sich ein Systemverwalter aber an einem beliebigen PC anmelden möchte, dann steht ihm diese App dort nicht zur Verfügung.
LAPS WebUI
LAPS WebUI ist ein Open-Source-Projekt, das LAPS-Passwörter auf einer Browser-Oberfläche anzeigt. Es kann mittels eines Docker-Containers bereitgestellt werden, aber man kann es auch herkömmlich auf Linux, Windows oder macOS installieren (Download von GitHub).
Wir entscheiden uns hier für den Docker-Container, weil dies der einfachste Weg ist, um das Tool einzurichten. Sie benötigen dafür die Adresse eines Domänen-Controllers und müssen entweder den LDAP-Port 389 für unsichere Verbindungen oder 636 für SSL verwenden. Wenn Sie den sicheren Port 636 verwenden, müssen Sie
UseSSL=true
angeben.
Wenn Sie den externen Port (links vom Doppelpunkt) anpassen müssen, weil dieser mit einem anderen Container kollidiert, können Sie jeden freien Port konfigurieren. Achten Sie darauf, dass Sie den internen Port 8080 (rechts vom Doppelpunkt) beibehalten. Der Befehl sieht dann so aus:
docker run -d \
--name=lapswebui \
-e LDAP__Server=dctest1.neptune.local \
-e LDAP__Port=389 \
-e LDAP__UseSSL=false \
-e LDAP__SearchBase=DC=neptune,DC=local \
-p 8080:8080 \
--restart unless-stopped \
ghcr.io/seji64/laps-webui:1.4.1
Nach dem Herunterziehen des Containers können Sie mit dem Befehl
docker ps
überprüfen, ob er korrekt läuft.
LAPS WebUI verwenden
Nach erfolgreicher Installation rufen Sie die Web-URL des Docker-Containers oder der Bare-Metal-Installation auf. Sie müssen sich mit einem Active Directory-Benutzer anmelden, der die Berechtigung hat, die erweiterten Eigenschaften für jene OU-Objekte anzuzeigen, in denen sich die von LAPS verwalteten Arbeitsstationen befinden.
Führen Sie folgende PowerShell-Cmdlets aus, um diese Berechtigungen zu finden:
Import-Module AdminPwd.PS
Find-AdmPwdExtendedRights -Identity "<OU>" | Format-Table
In diesem Beispiel hat die Gruppe Domänen-Admins die Berechtigung, LAPS-Kennwörter für die OU anzuzeigen.
Ein Sicherheitshinweis: Die Docker-Implementierung von LAPS WebUI konfiguriert die HTTPS-Verbindung nicht. Daher sollten Sie einen Reverse-Proxy wie Traefik vor die Installation schalten, um zu verhindern, dass Ihr Passwort im Klartext gesendet wird.
Im Falle einer klassischen Installation können Sie natürlich den Web-Server so konfigurieren, dass die App über HTTPS bereitgestellt wird.
Nach dem Einloggen können Sie die von LAPS kontrollierte Workstation suchen und das Passwort einsehen.
Systemvoraussetzungen
Für LAPS WebUI müssen ein paar Voraussetzungen erfüllt sein:
- Active Directory mit installiertem LAPS
- Ein Betriebssystem mit Unterstützung für .NET Core 6.0 (Ubuntu, Debian, CentOS, Alpine Linux, Windows, macOS) oder einen Docker-Host
Zusammenfassung
LAPS ist ein empfohlenes Tool zur Absicherung lokaler Admin-Konten in einer Windows-Umgebung. LAPS WebUI bietet eine einfache Möglichkeit, über einen Web-Browser auf die LAPS-Passwörter im Active Directory zuzugreifen. Andernfalls sind sie nur über die mit LAPS mitgelieferte Legacy-Anwendung zugänglich, die lokal installiert werden muss.
Das quelloffene Projekt LAPS WebUI lässt sich als Docker-Container oder Bare Metal relativ einfach installieren. Administratoren sollten bei der Docker-Variante sicherstellen, dass die Verbindung zu LAPS-WebUI über TLS abgesichert ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Benutzer im Active Directory filtern und bearbeiten mit NetKey UMT
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ModernAD: Kostenloses Reporting-Tool für Active Directory
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Windows LAPS nun im Betriebssystem enthalten, neue Funktionen für die Passwortsicherheit
Weitere Links