Lokale Administrator-Passwörter zentral verwalten mit LAPS

    Kennwort ändern in RemotedesktopViele Systemverwalter verwenden der Einfachheit halber für die lokalen Admin-Konten auf allen PCs das gleiche Passwort. Um die damit verbundenen Risiken zu beseitigen, bietet Microsoft nun mit Local Administrator Password Solution (LAPS) ein kostenloses Werkzeug für die zentrale Verwaltung dieser Kennwörter an.

    Es liegt auf der Hand, dass der Aufwand hoch ist, wenn man auf hunderten Rechnern individuelle Passwörter für lokale Konten manuell vergeben, regelmäßig erneuern und sie in einer Excel-Tabelle pflegen möchte. Daher ist die Versuchung groß, mit einem Einheitspasswort für lokale Admins zu arbeiten, obwohl die Konsequenzen beträchtlich sein können, falls dieses geknackt wird.

    Automatische Vergabe von zufälligen Passwörtern

    Mit dem kürzlich veröffentlichten LAPS möchte Microsoft die Systemverwalter aus dem Dilemma zwischen unsicheren Systemen und hohem Management-Aufwand befreien. Die Software ersetzt die Passwörter für lokale Admin-Konten durch zufällig generierte Zeichenketten und ändert diese in vorgegebenen Intervallen automatisch.

    Auch wenn LAPS das Management der lokalen Passwörter stark vereinfacht, so erfordert es doch einige Vorarbeiten, bis man die Vorteile des Tools genießen kann. Dieses besteht nämlich aus mehreren Komponenten und bedarf einiger Anpassungen im Active Directory. Bis zur Inbetriebnahme von LAPS sind folgende Schritte erforderlich:

    • Vollständige Installation von LAPS auf dem Management-PC
    • Erweiterung des AD-Schemas um die Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime für Computer-Objekte
    • Anpassung der Berechtigungen für diese Attribute, so dass nur autorisierte Benutzer die gespeicherten Passwörter einsehen können
    • Installation der Group Policy Client Side Extension auf allen Rechnern, die verwaltet werden sollen
    • Konfiguration eines GPO, mit dem die Einstellungen für das Passwort-Management festgelegt werden

    Silent Installation auf Clients

    Wenn man das MSI-Paket von LAPS auf den verwalteten PCs mit dem Aufruf von

    msiexec /i <Pfad>\LAPS.x86.msi /quiet

    unbeaufsichtigt installiert, dann wird standardmäßig nur die Client Side Extension (CSE) eingerichtet, weil weitere Komponenten dort nicht erforderlich sind. Die CSE dient primär dazu, das Passwort zu erzeugen, in die lokale SAM-Datenbank einzutragen und dort gemäß der festgelegten Regeln zu verwalten.

    Standardmäßig installiert LAPS nur die Client Side Extension für Group Policy.

    LAPS auf dem Management-PC

    Die Fat Client UI dient dazu, die Admin-Passwörter für bestimmte PCs anzuzeigen.Auf dem Management-PC hingegen spielt man zusätz­lich die grafische Ober­fläche ("Fat Client UI"), das mitge­lieferte PowerShell-Modul und die GPO-Templates auf. Die GUI dient nur dazu, nach einem Computer im AD zu suchen und das dazu­gehörige Admin-Passwort anzuzeigen. Dieses Tool wird man also in erster Linie benö­tigen, wenn man sich an einem PC als lokaler Admini­strator anmelden und dafür das von LAPS zufällig generierte Kenn­wort wissen möchte.

    Das PowerShell-Modul enthält dagegen Cmdlets, die bei der Einrichtung des Tools eine wichtige Rolle spielen. Nachdem man es mit dem Befehl

    Import-module AdmPwd.PS

    importiert hat, ruft man unter einem Konto, das Mitglied der Gruppe Schema-Admins ist,

    Update-AdmPwdADSchema

    auf, um das Schema des Active Directory zu erweitern.

    Erweiterte Rechte für Attribute verwalten

    Weitere Cmdlets dienen dazu, dem jeweiligen Computer-Objekt anschließend das erforderliche Schreibrecht auf die beiden neuen Attribute einzuräumen (Set-AdmPwdComputerSelfPermission) und um herauszufinden, wer für sie über erweiterte Rechte verfügt (Find-AdmPwdExtendedrights).

    Diese Extended Rights sind notwendig, um die Passwörter aus dem AD-Attribut auslesen zu können. Will man sie bestimmten Benutzern entziehen, dann tut man das mit Hilfe des ADSI-Editors. Der Operations Guide für LAPS beschreibt, wie man dafür vorzugehen hat und erklärt auch die Verwendung der oben genannten Cmdlets. Die umgekehrte Aufgabe, nämlich diese Privilegien an User oder Gruppen zu vergeben, kann man mittels PowerShell erledigen (Set-AdmPwdReadPasswordPermission).

    GPO-Templates in den zentralen Speicher übernehmen

    Sind die CSE auf allen PCs installiert, die mittels LAPS verwaltet werden sollen, und wurden alle Vorarbeiten für das Active Directory abgeschlossen, dann kann man nun ein GPO erstellen und mit den gewünschten OU verknüpfen.

    Zu beachten ist dabei jedoch, dass LAPS die Templates AdmPwd.admx und AdmPwd.adml in das Verzeichnis %WINDIR%\PolicyDefinitions bzw. %WINDIR%\PolicyDefinitions\en-US kopiert (eine deutsche Version ist nicht an Bord). Verwendet man einen Central Store, dann muss man die Vorlagen erst nach \\<FQDN>\SYSVOL\<FQDN>\policies\policyDefinitions bzw. in das Unterverzeichnis en-US übertragen, damit die LAPS-Einstellungen im GPO-Editor auftauchen.

    Vier Einstellungen für GPOs

    Es handelt sich dabei um 4 Optionen, die sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => LAPS finden. Um das Management der Passwörter für lokale Admin-Konten überhaupt zu in Gang zu setzen, muss man die Einstellung Enable local admin password management aktivieren.

    LAPS erweitert den GPO-Editor um vier zusätzliche Einstellungen.

    Nachdem das eingebaute Administrator-Konto standardmäßig abgeschaltet ist und es kaum Gründe gibt, dieses zu aktivieren, kann man LAPS mit der Einstellung Name of the administrative account to manage mitteilen, welches Konto es stattdessen verwalten soll. Hat man bloß den eingebauten Administrator umbenannt, dann benötigt man diese Einstellung nicht, weil LAPS diesen Account an seiner SID erkennt.

    Verwendet man anstatt des eingebauten Administrators ein alternatives Konto, dann kann man LAPS dieses hier mitteilen.

    Schließlich besteht noch die Möglichkeit, Regeln für die erzeugten Passwörter festzulegen (Einstellung Password settings). Dazu zählen die Komplexität und Länge der Kennwörter sowie ihr maximales Alter.

    Wenn man verhindern möchte, dass das Ablaufdatum für ein Passwort dessen zulässiges maximales Alter überschreitet, dann muss man zusätzlich die Einstellung Do not allow password expiration time longer than required by policy aktivieren.

    Verfügbarkeit

    LAPS liegt in getrennten Ausführungen für 32- und 64-Bit-Windows vor (LAPS.x86.msi bzw. LAPS.x64.msi).

    Der Operations Guide hilft bei der Einrichtung von LAPS.

    Neben diesen Installationspaketen sollte man den Operations Guide herunterladen, weil er eine ausführliche (englische) Anleitung für die Einrichtung von LAPS enthält. Das Tool steht auf Microsofts Website zum kostenlosen Download bereit.

    Keine Kommentare