Lokale Administrator-Passwörter sind ein Ziel für Angreifer, die eine Eskalation von Berechtigungen innerhalb eines Netzwerks suchen. Microsoft hat das Local Administrator Password Solution (LAPS) eingeführt, um Organisationen zu helfen, dieses Sicherheitsrisiko zu mindern. LAPS bietet eine einfache Lösung für die Automatisierung des Prozesses der Generierung und Speicherung von eindeutigen Passwörtern für lokale Administratoren auf einzelnen Domänencomputern.
Hier sind die Schritte, die Sie befolgen müssen, um lokale Kennwörter im Active Directory (AD) mit LAPS zu schützen:
Voraussetzungen und Planung
Bevor Sie mit der Implementierung von LAPS beginnen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen und die Umgebung bereit ist. Sie benötigen administrative Rechte auf allen Systemen, auf denen LAPS implementiert wird. Die Systeme sollten Mitglied der AD-Domäne sein und .NET Framework 4.0 oder höher installiert haben.
Herunterladen und Installieren von LAPS
Sie können LAPS vom Microsoft Download Center herunterladen. Während der Installation können Sie entscheiden, welche Komponenten auf Ihrem System installiert werden sollen, einschließlich der Management Tools, des AdmPwd GPO Extension CSE und der Fat-Client-Benutzeroberfläche.
Bereiten Sie Ihr Active Directory vor
Fügen Sie im Active Directory-Schema die Attribute ‘ms-MCS-AdmPwd’ und ‘ms-MCS-AdmPwdExpirationTime’ hinzu. Diese Attribute speichern das Passwort und das Ablaufdatum. Sie können diese Änderungen mit dem PowerShell-Befehl “Update-AdmPwdADSchema” durchführen.
Berechtigungen im Active Directory setzen
Sie müssen die Berechtigungen so konfigurieren, dass die Computerobjekte ihr eigenes Passwort in ‘ms-MCS-AdmPwd’ setzen können und nur autorisierte Benutzer diese Information lesen können. Verwenden Sie dazu den Befehl “Set-AdmPwdComputerSelfPermission” für Computerobjekte und “Set-AdmPwdReadPasswordPermission” / “Set-AdmPwdResetPasswordPermission” für Benutzer, die diese Passwörter lesen oder zurücksetzen können sollen.
Implementierung und Konfiguration von Group Policy Objects (GPOs)
Erstellen Sie eine neue Gruppenrichtlinie oder bearbeiten Sie eine bestehende, um die Einstellungen zu konfigurieren. Sie können die Einstellungen wie das maximale Passwortalter, Länge des Passworts und andere Präferenzen definieren.
Installieren Sie den LAPS-Client auf den Zielcomputern
Verwenden Sie ein Softwareverteilungstool wie SCCM oder eine Gruppenrichtlinie, um den LAPS-Client auf den Zielcomputern zu installieren.
Überwachen Sie die Implementierung von LAPS
Verwenden Sie Tools wie PowerShell oder die LAPS-Benutzeroberfläche, um die Implementierung zu überwachen und sicherzustellen, dass die Passwörter korrekt geändert und im Active Directory gespeichert werden.
Betrieb und Wartung
Stellen Sie sicher, dass Sie regelmäßig Berichte erstellen und die Implementierung überprüfen. Reagieren Sie auf Probleme, die auftreten können, und aktualisieren Sie die Software und die Richtlinien nach Bedarf.
Die Verwendung von LAPS zur Verwaltung von lokalen Administrator-Passwörtern in Ihrem Netzwerk kann ein großer Schritt in Richtung Verbesserung Ihrer allgemeinen Sicherheitsposition sein. Es bietet nicht nur eine robuste und automatisierte Lösung für dieses oft vernachlässigte Problem, sondern ermöglicht auch eine bessere Kontrolle und Überwachung dieser kritischen Sicherheitskomponente. Durch die regelmäßige Änderung von Passwörtern und die Beschränkung des Zugriffs auf diese Informationen kann LAPS dazu beitragen, das Risiko einer Kompromittierung durch Angreifer zu verringern.