Windows Local Administrator Password Solution

Das Windows LAPS unterscheidet sich von der gewohnten Local Administrator Password Solution.

Das Legacy LAPS musste noch über ein MSI-Paket installiert und mit etwas mehr Aufwand eingerichtet werden. Über meinen Blog habt ihr sogar die Variante beziehen können, in der das Password eines lokalen Administartors im AD verschlüsselt abgelegt werden konnte.

Windows LAPS Active Directory

Mittlerweile hat Microsoft beides miteinander kombiniert und als Windows LAPS ausgerollt. Windows LAPS ist nun ein fester Bestandteil der neueren Server- und Client- Betriebssysteme.

Unterstützt wird Windows LAPS ab folgenden Versionen:

Windows LAPS einrichten

Die Einrichtung ist wirklich einfach. Man benötigt lediglich eine Gruppenrichtlinie und die Powershell zum Ausführen von ganz wenigen Befehlen.

Zuerst erstellt man die Gruppenrichtlinie und verlinkt diese auf die Organisationseinheiten, in denen die Server oder auch Clients enthalten sind, die sich selbst administrieren sollen. Das bedeutet, auf denen sich das Passwort des lokalen Administrators rollierend je nach Gestalltung der Policy ändern soll.

Danach startet man die Powershell mit hohen Rechten und führt zuerst ein Schemaupdate durch. Wichtig ist, das man für alle Tätigkeiten auch die benötigten Rechte hat.

Update-LapsADSchema

Danach setzt man diesen Befehl auf die Organisationseinheiten ab, auf denen man auch die Gruppenrichtlinie verlinkt hat.

Set-LapsADComputerSelfPermission -Identity “OU=Server,OU=Computer,OU=DWP,DC=windowspapst,DC=de”

Ist das alles umgesetzt worden, dann sollte nach einer kurzen Zeit, das durch Windows LAPS verwaltete Kennwort im Active Directory zu dem jeweiligen Objekt zu sehen sein. Das Kennwort eines Objekts lässt sich auch mithilfe der Powershell abfragen, egal ob von einem Server- oder Clientsystem im Netzwerk.

Es kann auch mal bis zu 120 Minuten dauern.

Da jetzt alles einwandfrei funktioniert, gehen wir einen Schritt weiter. Mit dem nachfolgendem Befehl, prüft man die ExtendedRightsHolders der jeweiligen Organisationseinheit.

Find-LapsADExtendedRights -Identity “OU=Server,OU=Computer,OU=DWP,DC=windowspapst,DC=de”

Dieses Ergebnis ist vorbildlich. Lediglich die Domänenadministratoren haben dieses Recht.

Sollte das Ergebnis so aussehen, dann gibt es dringend Handlungsbedarf. Es sollte kein Benutzer oder eine Gruppe dieses Recht besitzen, der nicht dazu befugt sein soll, das Passwort eines lokalen Administrators einzusehen bzw. auszulesen. In der Regel sollte es nicht vorkommen, aber Konfigurationsfehler passieren überall mal.

Windows LAPS Encrypted Password

Jetzt erhöhen wir die Sicherheit noch weiter. Und zwar, werden wir die Passwörter der lokalen Administratoren verschlüsseln. Dazu erweitern wir die Gruppenrichtlinie oder erstellen eine neue und forcieren die Verschlüsselung nur auf bestimmte Organisationseinheiten. Aber das hängt ganz vom Konzept ab.

Hier zu erkennen, das ich lediglich 2 weitere Optionen aktiviert habe.

Configure authorized password decryptors
Enable password encryption

Wenn man nun möchte, das lediglich eine spezielle Gruppe Zugriff auf die verschlüsselten Passwörter hat, dann fügt man diese der Option Configure authorized password decryptors hinzu. In meinem Fall ist es die Sicherheitsgruppe dwp\LAPS-Decryptor.

Versucht man nun das Passwort auszulesen, ohne das man Mitglied der LAPS-Decryptor Sicherheitsgruppe ist, erhält man folgende Ansicht: