LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten


    Tags: , ,

    Local Administrator Password Solution (LAPS)Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unter­nehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Ver­schlüsselung von Pass­wörtern und bietet eigene Kenn­wort­richtlinien für LAPS.

    LAPS ersetzt die Passwörter für lokale Admin-Konten durch zufällig generierte Zeichenketten und ändert diese in vorgegebenen Intervallen automatisch. Als Backup dafür dient das Active Directory, von wo berechtigte User die Kennwörter auslesen können.

    Einfachere Inbetriebnahme

    Die Lösung besteht aus mehreren Komponenten, die bisher eigens heruntergeladen und installiert werden mussten. Die Implementierung umfasste somit folgende Schritte:

    • Vollständige Installation von LAPS auf dem Management-PC
    • Erweiterung des AD-Schemas um die Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime für Computer-Objekte
    • Anpassung der Berechtigungen für diese Attribute, so dass nur autorisierte Benutzer die gespeicherten Passwörter einsehen können
    • Installation der Group Policy Client Side Extension auf allen Rechnern, die verwaltet werden sollen
    • Konfiguration eines GPO, mit dem die Einstellungen für das Passwort-Management festgelegt werden

    Da Microsoft die Verwendung von LAPS dringend empfiehlt, um lokale Admin-Konten abzusichern, ist es nur konsequent, dass der Hersteller nun die Nutzung dieses Features vereinfacht.

    Seit dem Windows 11 Insider Preview Build 25145 gehört LAPS zum Liefer­umfang des Betriebs­systems. Damit entfallen einige bisher erforderliche Aufgaben:

    • Die Group Policy Client Side Extension müssen nicht mehr extra installiert werden
    • Die ADMX-Vorlage ist an Bord und muss nicht separat in der Central Store kopiert werden
    • Das PowerShell-Modul LAPS steht automatisch auf jedem PC zur Verfügung

    Dennoch verbleiben natürlich die Arbeiten zur Vorbereitung des Active Directory und die Konfiguration des Features, die über PowerShell und Gruppen­richtlinien erfolgt.

    LAPS umfasst mehrere neue Gruppenrichtlinien, insgesamt steigt deren Zahl von vier auf neun.

    Nach LAPS UI (admPwd.UI.exe) für das Auslesen von Passwörtern aus dem Active Directory sucht man unter Windows 11 indes vergeblich. Diesem Zweck dient nun ausschließlich das Cmdlet Get-LapsADPassword.

    Zudem müssen sich Admins mit den durchgängig neuen Namen für die Cmdlets vertraut machen. Diese enthalten im Noun nun Laps statt AdmPwd. So dient zum Beispiel Update-LapsADSchema für die Erweiterung des AD-Schemas, zuvor war dafür Update-AdmPwdADSchema zuständig.

    Vergleich der alten und neuen PowerShell-Cmdlets für LAPS

    Kennwörter im AD verschlüsseln

    Neu ist die Möglichkeit, die im AD gespeicherten Passwörter zu verschlüsseln. Diese sind zwar grundsätzlich über die Berechtigungen auf die dafür vorgesehenen Attribute geschützt, aber die Verschlüsselung fügt eine zusätzliche Schicht für deren Sicherheit hinzu.

    Die Einstellung Enable password encryption setzt die Funktions­ebene von Windows Server 2016 für die AD-Domäne voraus. Hier ist Vorsicht geboten, denn wenn diese Bedingung nicht erfüllt ist, dann speichert LAPS nicht die unverschlüsselten Passwörter im AD, sondern gar keine.

    Um die Kennwörter zu dekodieren, muss man über die Einstellung Configure authorized password decryptors eigens dafür vorgesehene Benutzer oder Gruppen benennen.

    Verwaltung von DSRM-Konten

    Eine weitere interessante Neuerung besteht darin, dass man mit LAPS nun auch das Passwort des DSRM-Kontos verwalten kann. Dies ist auf jedem Domänen-Controller für den Directory Service Restore Mode zuständig und fungiert als eine Art Notfallkonto ("Break Glass Administrator").

    Dessen Passwort wird gesetzt, wenn man einen Windows Server zu einem DC promotet. In den meisten Umgebungen wird es dann nur mehr selten oder gar nicht geändert. Um dies zu vermeiden, kann man es mit einem beliebigen Konto synchronisieren, allerdings nur manuell durch den Aufruf von ntdsutil.exe.

    Mit der LAPS-Unterstützung des DSRM-Kontos schließt Microsoft eine mögliche Sicherheits­lücke, indem es auch dafür in regelmäßigen Intervallen ein neues Passwort generiert. Die Einstellung Enable password backup for DSRM accounts setzt voraus, dass man die Ver­schlüsselung für die gespeicherten Kennwörter aktiviert.

    Weitere neue Gruppenrichtlinien

    Configure size of encrypted password history: Damit lässt sich festlegen, wie viele bisherige Passwörter im AD vorgehalten werden. Dafür muss die Verschlüsselung aktiviert werden, für Kennwörter im Klartext greift diese Einstellung nicht.

    Password Settings: Damit lässt sich eine eigene Password Policy für die lokalen Admin-Konten definieren.

    LAPS erlaubt das Konfigurieren einer eigenen Passwortrichtlinie für lokale Admin-Konten.

    Post-authentication actions: Damit lassen sich nach einem definierbaren zeitlichen Abstand ("Grace period") vorgegebene Aktionen nach einer erfolgten Anmeldung ausführen. Diese bestehen im Zurücksetzen des betreffenden Kennworts in Kombination mit dem Abmelden des Users oder dem Neustart des Rechners.

    Mögliche Aktionen, nachdem sich ein lokaler Administrator angemeldet hat

    Configure password backup directory: Mit dieser Richtlinie kann man zwischen einem lokalen Active Directory und Azure AD als Backup-Speicher wählen. Letzteres ist für diesen Zweck jedoch noch nicht allgemein zugänglich. Wenn man diese Einstellung nicht konfiguriert, dann sichert LAPS die Kennwörter in keinem Verzeichnis.

    Fazit

    Die Integration in das Betriebssystem sollte für viele Admins die Hemmschwelle für den Einsatz von LAPS senken. Sie vereinfacht die Nutzung und sorgt dafür, dass Updates immer mit dem OS ausgeliefert werden.

    Die in Windows 11 enthaltene Version von LAPS bietet gegenüber der ursprünglichen Ausführung eine Reihe interessanter Neuerungen. Das betrifft vor allem DSRM-Konten, die Verschlüsselung von Passwörtern sowie die automatische Ausführung von Aktionen nach Anmeldung eines lokalen Admins.

    Es bleibt zu hoffen, dass Microsoft das erweiterte LAPS beizeiten auch für Windows 10 anbietet.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links