Microsoft LAPS: eine Anleitung für die professionelle Einrichtung

von David Hänel
07. Oktober 2022
5 Minuten zu lesen
Autor
David Hänel
Ehrliches Miteinander und konstruktiver Austausch. IT-Security bedeutet nicht automatisch eine Einschränkung des Benutzerkomforts.
Zum Experten Profil
Teilen:
Kategorien:
  • Microsoft Server

Was ist Microsoft LAPS und wozu dient es?

Microsoft LAPS steht für “Local Administrator Password Solution”. Es dient dazu, Passwörter lokaler Konten (vorzugsweise sensiblen Konten, wie das des Administrators) zentral aus dem Active Directory heraus zu steuern. Ziel ist es dabei sicherzustellen, dass das lokale Administratorkonto auf jedem einzelnen PC-Client oder Server ein individuelles Passwort hat.

In der folgenden Anleitung nutzen wir den Begriff LAPS-Client. Der LAPS-Client kann sich sowohl auf einem PC-Client als auch auf einem Server befinden.

Voraussetzungen und Empfehlungen

Wir gehen bei der Konfiguration und Bereitstellung von einer Aufteilung der Anforderungen für PC-Clients und Server aus. Sowohl in der Komplexität der Passwörter, als auch in den Berechtigungen für das Auslesen und Zurücksetzen selbiger.

Wir empfehlen die Aufteilung mindestens zwischen PC-Clients und Servern. Innerhalb der Server kann selbstverständlich noch in Anlehnung an das Tiering-Modell von Microsoft weiter eingegrenzt werden. In unserem Beispiel bleiben wir bei einer 2-stufigen Konfiguration.

  • Active Directory Gruppe “LAPS_ClientAdmin_R” (Lesen)

  • Active Directory Gruppe “LAPS_ClientAdmin_W” (Schreiben)

  • Active Directory Gruppe “LAPS_ServerAdmin_R” (Lesen)

  • Active Directory Gruppe “LAPS_ServerAdmin_W” (Schreiben)

  • LAPS Setup. Enthält:

    • Fat Client UI – grafisches User Interface zum Auslesen der Passwörter aus dem Active Directory

    • PowerShell Modul zur Administration per PowerShell

    • Group Policy Template – zur Verteilung der Konfiguration auf den Client per GPO

1. Installation der zu verwaltenden LAPS-Clients

Das Download-Paket von Microsoft (Download-Link) enthält ein MSI-Paket für 32 und 64 Bit Systeme.

Wir empfehlen die Installation nach Möglichkeit über Gruppenrichtlinien oder eine andere Softwareverteilung. Hierbei müssen keine speziellen Einstellungen berücksichtigt werden.

Bei der manuellen Installation über das Setup-Wizard ist zu beachten, dass wir auf den LAPS-Clients lediglich die “AdmPwd GPO Extension” benötigen.

2. Vorbereitungen des Active Directory Schemas

2.1 Installation

Über das LAPS MSI Paket installieren wir auf einem Domänen-Controller ausschließlich die folgenden Komponenten:

  • PowerShell Module

  • GPO Editor templates

Das Active Directory Schema muss um die folgenden Attribute erweitert werden, damit die lokalen Passwörter im Active Directory gespeichert und ausgelesen werden können:

ms-Mcs-AdmPwd (Passwort selbst)

ms-Mcs-AdmPwdExpirationTime (Ablaufdatum des Passworts)

2.2 Erweiterung Schema

Wir erweitern das Active Directory Schema mit den folgenden Befehlen per Powershell:

Import-Module AdmPwd.PS

Update-AdmPwsADSchema

3. Konfiguration Active Directory

3.1 Client-/Serverberechtigungen für das Schreiben von Passwörtern

Damit die aus dem Active Directory vorgegebenen Passwortrichtlinien umgesetzt werden können, benötigen die LAPS-Clients eine entsprechende Schreibberechtigung. Diese erteilen wir mit den folgenden Befehlen:

Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Clients,DC=Test,DC=demo”

Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Server,DC=Test,DC=demo”

3.2 Berechtigung zum Auslesen von LAPS-Client-Passwörtern

Mit den folgenden Befehlen berechtigen wir die einzelnen Gruppen dazu, LAPS-Client-Passwörter in der Active Directory Organisationseinheit “Clients” und “Server” auszulesen.

Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_R”

Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_W”

Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_R”

Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_W”

Wichtig:
Da es sich hier um ein sehr sensibles Passwort handelt, ist peinlichst genau darauf zu achten, die Berechtigungen korrekt zu vergeben. Sofern die Konfiguration diesem Muster hier entspricht, haben lediglich Mitglieder der o.g. Gruppen zugriff.

3.3 Berechtigungen zum zurücksetzen eines Client-Passworts

Um User-Accounts die Möglichkeit zu geben, Passwörter zurückzusetzen, benötigen diese entsprechende Schreibrechte auf dem Attribut der Passwort Ablaufzeit. Dazu verwenden wir die folgenden Befehle.

Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Clients,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ClientAdmin_W”

Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Server,DC=Test,DC=demo” -AllowedPrincipals “Test\LAPS_ServerAdmin_W”

3.4 Logging/Auditing

Damit wir nachvollziehen können, wann und von wem ein Passwort ausgelesen wurde, müssen wir noch das Logging/Auditing aktivieren. Diese geschieht ebenfalls per Powershell und dem folgenden Befehl.

Set-AdmPwdAuditing -OrgUnit “OU=Clients,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ClientAdmin_R”

Set-AdmPwdAuditing -OrgUnit “OU=Clients,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ClientAdmin_W”

Set-AdmPwdAuditing -OrgUnit “OU=Server,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ServerAdmin_R”

Set-AdmPwdAuditing -OrgUnit “OU=Server,DC=Test,DC=demo” -AuditedPrincipals “Test\LAPS_ServerAdmin_W”

Sobald ein Passwort ausgelesen wurde, wird im Security Log des Domain Controllers das Event mit der ID 4662 erzeugt.

4. Konfiguration der Passwortrichtlinien per Gruppenrichtlinien

4.1 PC-Clients

In unserem Beispiel gehen wir von einem deaktivieren Built-In Administrator Account auf den PC-Clients aus. Daher müssen wir in der Richtlinienkonfiguration darauf achten, den gewünschten Account-Namen korrekt einzutragen. Hier der User “Administration”.

4.2 Server

Auf den Server erhöhen wir die Komplexität des Passworts und reduzieren das maximale Passwortalter. In unserem Beispiel hier verwalten wir das Passwort des Built-In Administrators auf den Servern. Daher ist im Gegensatz zur PC-Client-Richtlinie kein expliziter Account Name zu konfigurieren.

5. Auslesen und Zurücksetzen der Passwörter

5.1 Auslesen der Passwörter per LAPS UI

Das MSI Installationspaket von LAPS enthält ebenfalls ein UI, welche separat installiert werden kann. Im MSI Paket ist hierzu die Option “Fat client UI” auszuwählen:

Die Installation sollte ausschließlich auf administrativen Workstations/Servern ausgeführt werden. Alternativ kann die UI auch in einem Netzwerk-Share abgelegt werden. Hier sind entsprechend Zugriffsrechte zu beachten.

Sobald die UI installiert ist, kann darüber das Passwort, sowie dessen Ablaufdatum ausgelesen werden. Die UI hierzu ist selbsterklärend.

Ebenfalls kann über die UI das Ablaufdatum des aktuellen Passworts manuell gesetzt werden.

Schon gewusst?
In unserem IT-Kompetenzzentrum geben wir unser Expertenwissen multimedial an Sie weiter. Ist ihr Thema nicht dabei? Melden Sie sich gerne.
Jetzt kennenlernen