LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten

Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unter­nehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Ver­schlüsselung von Pass­wörtern und bietet eigene Kenn­wort­richtlinien für LAPS.

LAPS ersetzt die Passwörter für lokale Admin-Konten durch zufällig generierte Zeichenketten und ändert diese in vorgegebenen Intervallen automatisch. Als Backup dafür dient das Active Directory, von wo berechtigte User die Kennwörter auslesen können.

Einfachere Inbetriebnahme

Die Lösung besteht aus mehreren Komponenten, die bisher eigens heruntergeladen und installiert werden mussten. Die Implementierung umfasste somit folgende Schritte:

• Vollständige Installation von LAPS auf dem Management-PC
• Erweiterung des AD-Schemas um die Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime für Computer-Objekte
• Anpassung der Berechtigungen für diese Attribute, so dass nur autorisierte Benutzer die gespeicherten Passwörter einsehen können
• Installation der Group Policy Client Side Extension auf allen Rechnern, die verwaltet werden sollen
• Konfiguration eines GPO, mit dem die Einstellungen für das Passwort-Management festgelegt werden

Da Microsoft die Verwendung von LAPS dringend empfiehlt, um lokale Admin-Konten abzusichern, ist es nur konsequent, dass der Hersteller nun die Nutzung dieses Features vereinfacht.

Seit dem Windows 11 Insider Preview Build 25145 gehört LAPS zum Liefer­umfang des Betriebs­systems. Damit entfallen einige bisher erforderliche Aufgaben:

• Die Group Policy Client Side Extension müssen nicht mehr extra installiert werden
• Die ADMX-Vorlage ist an Bord und muss nicht separat in der Central Store kopiert werden
• Das PowerShell-Modul LAPS steht automatisch auf jedem PC zur Verfügung

Dennoch verbleiben natürlich die Arbeiten zur Vorbereitung des Active Directory und die Konfiguration des Features, die über PowerShell und Gruppen­richtlinien erfolgt.

Nach LAPS UI (admPwd.UI.exe) für das Auslesen von Passwörtern aus dem Active Directory sucht man unter Windows 11 indes vergeblich. Diesem Zweck dient nun ausschließlich das Cmdlet Get-LapsADPassword.

Zudem müssen sich Admins mit den durchgängig neuen Namen für die Cmdlets vertraut machen. Diese enthalten im Noun nun Laps statt AdmPwd. So dient zum Beispiel Update-LapsADSchema für die Erweiterung des AD-Schemas, zuvor war dafür Update-AdmPwdADSchema zuständig.

Kennwörter im AD verschlüsseln

Neu ist die Möglichkeit, die im AD gespeicherten Passwörter zu verschlüsseln. Diese sind zwar grundsätzlich über die Berechtigungen auf die dafür vorgesehenen Attribute geschützt, aber die Verschlüsselung fügt eine zusätzliche Schicht für deren Sicherheit hinzu.

Die Einstellung Enable password encryption setzt die Funktions­ebene von Windows Server 2016 für die AD-Domäne voraus. Hier ist Vorsicht geboten, denn wenn diese Bedingung nicht erfüllt ist, dann speichert LAPS nicht die unverschlüsselten Passwörter im AD, sondern gar keine.

Um die Kennwörter zu dekodieren, muss man über die Einstellung Configure authorized password decryptors eigens dafür vorgesehene Benutzer oder Gruppen benennen.

Verwaltung von DSRM-Konten

Eine weitere interessante Neuerung besteht darin, dass man mit LAPS nun auch das Passwort des DSRM-Kontos verwalten kann. Dies ist auf jedem Domänen-Controller für den Directory Service Restore Mode zuständig und fungiert als eine Art Notfallkonto ("Break Glass Administrator").

Dessen Passwort wird gesetzt, wenn man einen Windows Server zu einem DC promotet. In den meisten Umgebungen wird es dann nur mehr selten oder gar nicht geändert. Um dies zu vermeiden, kann man es mit einem beliebigen Konto synchronisieren, allerdings nur manuell durch den Aufruf von ntdsutil.exe.

Mit der LAPS-Unterstützung des DSRM-Kontos schließt Microsoft eine mögliche Sicherheits­lücke, indem es auch dafür in regelmäßigen Intervallen ein neues Passwort generiert. Die Einstellung Enable password backup for DSRM accounts setzt voraus, dass man die Ver­schlüsselung für die gespeicherten Kennwörter aktiviert.

Weitere neue Gruppenrichtlinien

Configure size of encrypted password history: Damit lässt sich festlegen, wie viele Passwörter im AD vorgehalten werden. Dafür muss man die Verschlüsselung aktivieren, für Kennwörter im Klartext greift diese Einstellung nicht. Dieses Feature ist praktisch, wenn man Windows 11 aus einem Backup wiederherstellt oder auf einen VM-Snapshot zurücksetzt. In diesem Fall könnte das aktuelle Passwort im AD nicht mehr stimmen und man bräuchte das zuvor genutzte.

Password Settings: Damit lässt sich eine eigene Password Policy für die lokalen Admin-Konten definieren.

Post-authentication actions: Damit lassen sich nach einem definierbaren zeitlichen Abstand ("Grace period") vorgegebene Aktionen nach einer erfolgten Anmeldung ausführen. Diese bestehen im Zurücksetzen des betreffenden Kennworts in Kombination mit dem Abmelden des Users oder dem Neustart des Rechners.

Configure password backup directory: Mit dieser Richtlinie kann man zwischen einem lokalen Active Directory und Azure AD als Backup-Speicher wählen. Letzteres ist für diesen Zweck jedoch noch nicht allgemein zugänglich. Wenn man diese Einstellung nicht konfiguriert, dann sichert LAPS die Kennwörter in keinem Verzeichnis.

Fazit

Die Integration in das Betriebssystem sollte für viele Admins die Hemmschwelle für den Einsatz von LAPS senken. Sie vereinfacht die Nutzung und sorgt dafür, dass Updates immer mit dem OS ausgeliefert werden.

Die in Windows 11 enthaltene Version von LAPS bietet gegenüber der ursprünglichen Ausführung eine Reihe interessanter Neuerungen. Das betrifft vor allem DSRM-Konten, die Verschlüsselung von Passwörtern sowie die automatische Ausführung von Aktionen nach Anmeldung eines lokalen Admins.

Es bleibt zu hoffen, dass Microsoft das erweiterte LAPS beizeiten auch für Windows 10 anbietet.