Windows LAPS nun im Betriebssystem enthalten, neue Funktionen für die Passwortsicherheit

Nachdem Windows 11 in der Preview 25145 bereits die neue Version von LAPS enthielt, fanden Admins dieses Tool aber weder im GA-Release von Windows 11 22H2 noch von Windows 10 22H2 vor. Microsoft legt dieses nun mit dem KB5025224 (Win11) bzw. KB5025221 (Win10) nach.

Neue Funktionen

Im Vergleich zur LAPS-Version, die man separat herunterladen musste, bringt Windows LAPS einige Neuerungen:

• Die im AD gespeicherten Passwörter können verschlüsselt werden. Sie sind zwar prinzipiell über die Attribut­berechtigungen geschützt, aber die Verschlüsselung erhöht ihre Sicherheit für den Fall einer fehlerhaft konfigurierten ACL. Zuständig ist dafür die Gruppen­richtlinie Kennwort­verschlüsselung aktivieren ("Enable password encryption").
• LAPS kann nun auch das Passwort des DSRM-Kontos verwalten. Dieses ist auf jedem Domänen-Controller für den Directory Service Restore Mode zuständig und fungiert als eine Art Notfallkonto. Voraussetzung für dieses Feature ist, dass man die Verschlüsselung aktiviert. Die Gruppenrichtlinie dafür heißt Kennwortsicherung für DSRM-Konten aktivieren ("Enable password backup for DSRM accounts")
• Über die neue Gruppenrichtlinie Größe des verschlüsselten Kennwort­verlaufs ("Configure size of encrypted password history") lässt sich festlegen, wie viele Passwörter im AD vorgehalten werden (maximal 12, für Kennwörter im Klartext greift diese Einstellung nicht). Die Historie ist praktisch, wenn man Windows aus einem Backup wiederherstellt oder auf einen VM-Snapshot zurücksetzt.
• Automatisches Zurücksetzen des Kennworts mit einem definierbaren Zeitverzug nach der Anmeldung eines Benutzers. Diesem Zweck dient die Einstellung Aktionen nach der Authentifizierung ("Post-authentication actions").

Kompatibilität mit Legacy LAPS

Die Integration in das Betriebs­system bietet grundsätzlich mehrere Vorteile:

• Die Group Policy Client Side Extension muss nicht mehr extra installiert werden;
• Die ADMX-Vorlage ist bereits an Bord;
• Das PowerShell-Modul LAPS steht automatisch auf jedem PC zur Verfügung.

Diese Vorzüge von Windows LAPS kommen jedoch nur dort zur Geltung, wo das bisherige LAPS noch nicht im Einsatz ist. Sind hingegen die alte Client Side Extension und der dazugehörige Registry-Eintrag auf einem PC vorhanden, dann läuft Windows LAPS automatisch im Emulationsmodus.

In diesem Fall kann man keines der neuen Features von Windows LAPS nutzen. Außerdem muss man weiterhin die alten PowerShell-Cmdlets für das LAPS-Management verwenden. Im Emulationsmodus ignoriert Windows LAPS zudem alle Policies auf einem Domänen-Controller, wenn diese vom alten LAPS stammen.

Nach dem Aufspielen des April-Upates sollte man keinesfalls mehr das alte LAPS installieren, weil dieses dann ebenfalls blockiert wird.

Migration auf Windows LAPS

Möchten Unternehmen in den Genuss der neuen LAPS-Funktionen kommen, dann müssen sie die Legacy-Version auf den betreffenden PCs entfernen.

Für das Speichern der Kennwörter erforderte LAPS auch schon in der Vergangenheit, dass man das AD-Schema mit Hilfe des Cmdlets Update-AdmPwdADSchema erweitert.

Windows LAPS verwendet jedoch die Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime für Computer-Objekte nicht mehr, sondern nutzt dafür msLAPS-Password und msLAPS-Password­ExpirationTime.

Hinzu kommen weitere neue Attribute für das verschlüsselte lokale und das DSRM-Kennwort sowie die Passwort-Historie. Admins müssen daher in jedem Fall das Cmdlet Update-LapsADSchema ausführen, unabhängig davon, ob sie Legacy LAPS eingesetzt haben oder nicht.

Zu beachten ist außerdem, dass die Verschlüsselung von Passwörtern die Funktions­ebene Windows Server 2016 für die AD-Domäne voraussetzt.

Management-Tools

Nicht mehr an Bord ist die LAPS UI, mit der man von einer Workstation aus die Passwörter im Active Directory anzeigen kann. An seine Stelle tritt nun bei Computer-Objekten eine neue Registerkarte in AD-Benutzer und Computer.

Dort können Admins das Passwort für das konfigurierte Konto auslesen und ein Ablaufdatum für das bisherige Kennwort festlegen. Das alte LAPS zeigte übrigens nur das Passwort an, den Benutzer­namen musste man selbst wissen.

Wer bis dato die Passwörter mit einer alternativen Anwendung ausgelesen hat, zum Beispiel mit der Web-GUI des Open-Source-Tools LAPS WebUI, kann dieses noch im Emulationsmodus weiternutzen.

Nach einer Umstellung auf Windows LAPS funktionieren diese erst nach einem entsprechenden Update wieder.

PowerShell

Das LAPS-Modul für PowerShell umfasst Cmdlets für alle relevanten Aufgaben. Deren Namen, soweit im alten LAPS überhaupt vorhanden, haben sich durch die Bank geändert. So sieht Microsoft für das Auslesen der Kennwörter aus dem AD das Cmdlet Get-LapsADPassword vor.

Die Berechtigungen auf die AD-Attribute lassen sich mit Set-LapsADRead­PasswordPermission, Set-LapsADReset­PasswordPermission und Find-LapsAD­ExtendedRights administrieren.

Gruppenrichtlinien

Das bevorzugte Werkzeug für die Verwaltung von Windows LAPS sind die Gruppenrichtlinien. Windows installiert dafür eine eigene laps.admx unter %systemroot%\PolicyDefinitions. Nutzt man einen Central Store für die administrativen Vorlagen, dann muss man jene für LAPS erst dorthin kopieren.

Die Einstellungen finden sich nun unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => LAPS, während sie für die alte Version unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => LAPS angesiedelt sind.

Der erweiterte Funktionsumfang von Windows LAPS spiegelt sich, wie bereits oben erwähnt, in mehreren neuen Einstellungen wider.

Eventlog

Windows LAPS führt ein eigenes Logfile unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => LAPS => Operational.

Läuft LAPS im Emulationsmodus, dann findet sich dort ein Eintrag mit der ID 10023. Einen Überblick über die weiteren Codes bietet Microsofts Dokumentation.

Azure AD und Intune

Windows LAPS kann Azure Active Directory alternativ zu einem lokalen AD als Speicher für die Kennwörter nutzen. In hybriden Umgebungen wählt man das bevorzugte Verzeichnis über die Gruppenrichtlinie Kennwort­sicherungs­verzeichnis konfigurieren ("Configure password backup directory") aus.

Aktuell ist die Unterstützung für AAD jedoch nur als private Vorschau verfügbar und soll in der nächsten Preview gegen Ende des zweiten Quartals allgemein zugänglich sein.

Microsoft implementiert die Einstellungen, die in den Gruppenrichtlinien vorhanden sind, auch für Configuration Service Provider (CSP) unter ./Device/Vendor/MSFT/LAPS. Auf diese Weise lässt sich Windows LAPS auch via MDM in Intune verwalten.

Systemvoraussetzungen

Um in den Genuss von Windows LAPS zu kommen benötigt man eine der folgenden Versionen des Betriebs­systems:

• Windows 11 Pro, EDU oder Enterprise
• Windows 10 Pro, EDU oder Enterprise
• Windows Server 2022 und Windows Server Core 2022
• Windows Server 2019

Wie man der Liste entnehmen kann, wird Windows Server 2016 nicht unterstützt, obwohl es noch mehrere Jahre Support erhält.

Zusammenfassung

Microsoft empfiehlt schon lange den Einsatz von LAPS, um lokale Admin-Konten abzusichern. Bisher mussten Unternehmen dieses Tool jedoch separat herunterladen und die Client-Komponenten auf jedem Endgerät installieren.

Windows LAPS beseitigt diese Hürden, indem Microsoft alle benötigten Komponenten in das Betriebs­system integriert. Dazu gehören die Client Side Extension für die Gruppen­richtlinien, die ADMX-Vorlage und das PowerShell-Modul.

Für Anwender des bisherigen LAPS ist die Migration auf die neue Version allerdings mit einigem Aufwand verbunden, da sie die vorhandenen Installationen entfernen müssen. Außerdem steht eine erneute Erweiterung des AD-Schemas an.

Außen vor bleiben die Anwender von Windows Server 2016.