Admins und Passwörter…
Im Rahmen meiner Tätigkeiten als Berater für Cybersicherheit begegne ich regelmäßig vergleichbaren Ansichten betreffend dem Umgang mit Passwörtern für lokale Adminkonten. Beispielsweise werden Aussagen getroffen wie: „Alle Passwörter sind gleich, da es ansonsten zu kompliziert sei, ein Passwort pro Rechner zu vergeben“ oder „wir haben zwar verschiedene Passwörter, aber diese sind alle nach der gleichen Systematik aufgebaut“. Letzterer Punkt ist zwar aus Sicherheitsaspekten etwas besser zu bewerten. Der Schutz vor Mitarbeitenden, welche das Unternehmen verlassen haben, bleibt aber weiterhin außen vor.
Dabei kann die Lösung doch so einfach sein
Dabei ist es so einfach Passwörter mittels eines Automatismus regelmäßig zu ändern und die Zeichenlänge vorzugeben. Die Lösung hierfür kommt direkt von Microsoft und heißt „Local Administrator Password Solution“ kurz LAPS. Die Passwörter werden dabei in die zentrale Datenbank, genauer in das Computerkonto des Active Directory (AD), geschrieben. Dabei werden Passwörter nach einem Standardintervall von 30 Tagen automatisch geändert und neu in die Datenbank geschrieben. Weiterhin ist es möglich die Passwortänderung, auch durch das AD , anzustoßen. Sobald der Client wieder Kontakt zu diesem hat, wird ein neues Passwort vergeben. So wird Administratoren, mit Zugriff auf das Computerobjekt im AD, das Auslesen individueller Passwörter pro Rechner ermöglicht.
Und so gehts
Die Einrichtung von LAPS ist denkbar einfach. Man muss einen Agent auf allen Clients installieren, welcher mit der zentralen Komponente, dem AD, kommuniziert. Einzig auf dem Domänencontrollersind die Management Tools bestehend aus
- Fat client UI
- PowerShell module
- GPO editor templates
zu installieren.
Im nächsten Schritt ist das AD-Schema für LAPS anzupassen und die Passwortänderungen auf eine OU anzuwenden. Im letzten Schritt ist LAPS per GPO zu aktivieren. Dabei kann zusätzlich festgelegt werden, in welchem Zyklus das Passwort geändert werden soll, welche Passwortkomplexität verwendet werden soll und wie lange das Passwort sein soll.
Mittels LAPS UI kann komfortable das Passwort ausgelesen und gesetzt werden. Die Prüfung des Computer-Attributs „ms-Mcs-AdmPwd“ stellt eine weitere Möglichkeit dar.
Details zur genauen Einrichtung von LAPS können diversen Internet-Seiten entnommen werden. Ich selbst habe mich an dieser Anleitung orientiert.
Fazit
Alles in allem sollte sich jeder sicherheitsbewusste Administrator die Funktion näher anschauen. Resultierend stehen dabei Konfiguration und Rollout in keinem Verhältnis im Vergleich zum Sicherheitsgewinn. Die komplette Konfiguration dauert ca. eine Stunde. Bei uns läuft das Konstrukt jetzt seit geraumer Zeit. Als Resümee kann ich nur sagen: Es macht was es soll, sprich es funktioniert!!!