Passwortlösung für lokale Administratoren (LAPS)

*Nachdem Sie LAPS heruntergeladen und bereitgestellt haben, hat das Team von Recast Software ein raffiniertes Dashboard erstellt, mit dem Sie Ihren LAPS-„Zustand“ überwachen können – und so übersehene Sicherheitsanforderungen sichtbar machen. Dies ist in der enthalten Enterprise-Version des Right Click Tools.

Ich mag das LAPS-Dashboard sehr, denn da ich bereits jeden Tag in der ConfigMgr-Konsole bin, hält es LAPS sichtbar und in den Köpfen unseres Teams. Ich finde das sehr nützlich. Es dauert nur ein paar Sekunden, um es hochzuziehen, meine Statistiken zu überprüfen und weiterzumachen. Wenn ich eine Anomalie finde, kann ich damit beginnen, sie zu untersuchen. Erfahren Sie mehr über das LAPS-Dashboard.

Übersicht Microsoft LAPS

„Die Local Administrator Password Solution (LAPS) bietet die Verwaltung von lokalen Kontokennwörtern von Computern, die einer Domäne beigetreten sind. Kennwörter werden in Active Directory (AD) gespeichert und durch ACL geschützt, sodass nur berechtigte Benutzer sie lesen oder ihre Zurücksetzung anfordern können.” – Microsoft

Grundsätzlich reduziert LAPS das Risiko, dass auf Ihren Computern ein lokaler Standardadministrator (möglicherweise eine Hintertür) und ein Standardpasswort vorhanden sind, indem jeder Computer ein anderes komplexes Passwort für das Konto verwendet. Vor LAPS hatten die meisten Organisationen einen generischen lokalen Administrator, z. B. ORG_LocalAdmin, mit demselben Passwort auf jedem Computer, z. B. ORG_P@ssword. Das Problem dabei ist, wenn ein Computer kompromittiert wurde, könnte sich die Malware/der Hacker seitlich zwischen all Ihren Computern bewegen und immer mehr Daten sammeln, um die Sicherheitsverletzung zu vertiefen. Mit der Implementierung von LAPS entfernen Sie diesen Angriffsvektor. Wenn also eine Maschine kompromittiert ist, ist die Fähigkeit, sich seitlich zu einer anderen Maschine zu bewegen, stark eingeschränkt.

Es gibt einige Anleitungen da draußen, und die Microsoft Docs sind auch ziemlich gut. Ich habe vor dem Erstellen dieses Beitrags keine umfangreichen Recherchen durchgeführt. Beachten Sie daher, dass einige dieser Informationen möglicherweise überflüssig sind von dem, was Sie online finden würden.

Was ist abgedeckt

In dieser exemplarischen Vorgehensweise beschreibe ich, wie Sie:

  • LAPS herunterladen
  • Quellordner erstellen
  • Erstellen Sie die Endpunktinstallationsanwendung
  • Bereitstellen der LAPS-Anwendung an Endpunkten
  • LAPS Admin-Client manuell installieren
  • Infrastruktureinrichtung
    • AD-Schema erweitern (vom Domänencontroller)
  • Einrichten von LAPS-AD-Gruppen und -Berechtigungen
  • Berechtigungen überprüfen und Zugriff lesen / zurücksetzen
  • Grundlegende Gruppenrichtlinie aktivieren
  • Führen Sie Tests durch, um zu bestätigen, dass die Berechtigungen funktionieren.

Was in meiner Übersicht über Microsoft LAPS nicht abgedeckt wird

  • Das „Warum“ hinter jedem Schritt. Viele Details und Gründe, warum Sie diese Schritte ausführen müssen, sind bereits im Microsoft „LAPS_OperationGuide“ dokumentiert, der Teil des Downloads ist schau dir das an bevor du anfängst.
  • Jedes Bereitstellungsszenario. Dies ist ein generisches und EINFACHES Lab. Obwohl vieles davon für jede Umgebung gleich ist, ist jede Umgebung anders und jede Organisation ist anders eingerichtet. Die Einrichtung von LAPS erfordert wahrscheinlich die Beteiligung mehrerer Teams (AD / CM / Bereitstellungen / GPO).

Was ist zu beachten

Dinge, die Sie vorab beachten sollten:

  • Active Directory-Struktur (OUs mit Workstations).
  • Wer hat das Recht, das LAPS-Passwort zu lesen?
  • Wer hat das Recht, das LAPS-Passwort zurückzusetzen?

‍Download LAPS

,Client-Bereitstellung:

Laden Sie den LAPS-Client und die Dokumente von Microsoft herunter:  https://www.microsoft.com/en-us/download/details.aspx?id=46899.

Clientbereitstellung LAPS

Quellordner

Ich habe alle Dateien in ein Verzeichnis „LAPS“ heruntergeladen. Dann habe ich einen neuen Ordner erstellt, um die MSI-Dateien zu verschieben.

LAPS-Installationsprogramm

End Point Installer-Anwendung

In der ConfigMgr-Konsole werde ich jetzt eine neue Anwendung erstellen. Verweisen Sie auf die x64-Version des MSI.

Einstellungen für diese Anwendung festlegen

Sobald Sie das MSI ausgewählt haben, klicken Sie auf das Offen klicken und dann auf klicken Nächste. Die für die Bewerbung benötigten Informationen werden dem MSI entnommen.

Bewerbungs informationen

Nachdem Sie auf geklickt haben Nächste Knopf, du kommst zu Allgemeine Informationen. Ich habe „Microsoft“ als Herausgeber hinzugefügt und /q in /qn geändert.

Klicken Sie an dieser Stelle einfach auf das Nächste Taste. Ich empfehle, die Standardeinstellungen zu belassen, bis der Download abgeschlossen ist, und dann können Sie auf klicken Schließen.

Die Anwendung Local Administrator Password Solution befindet sich jetzt in Ihrer Konsole. Es sind nur ein paar Anpassungen erforderlich. In dem Eigenschaften der Anwendung klicken Sie auf das Bereitstellungstypen Tab. Wählen Sie das Einsatz und klicke Bearbeiten. Gehen in Anforderungen und fügen Sie x64 für Windows-Versionen in Ihrer Umgebung hinzu.

Bereitstellen der LAPS-Anwendung

LAPS-Eigenschaften

An diesem Punkt haben wir die App, also lassen Sie sie uns auf den Workstations bereitstellen. Da Sie die Logik bereits zur App hinzugefügt haben, können Sie sie sicher auf Ihren Arbeitsstationen bereitstellen.

HINWEIS: Hier ist es entscheidend, Ihre Umgebung zu kennen. Stellen Sie also sicher, dass Sie die App in der entsprechenden Sammlung bereitstellen. Vielleicht haben Sie einen geschäftlichen Grund, es nicht auf allen Workstations bereitzustellen. Verwenden Sie einfach Best Practices für Bereitstellungen (Wartungsfenster usw.).

Der Rest dieses Beispiels ist allgemein gehalten.

Füllen Sie die Software- und Sammlungsfelder aus
Legen Sie Einstellungen fest, um zu steuern, wie diese Software bereitgestellt wird

Ich habe die Einstellungen verlassen für Terminplanung, Benutzererfahrung und Benachrichtigungen alle auf die Standardeinstellungen gesetzt (siehe Screenshot unten).

Bestätigen Sie die Einstellungen für diese neue Bereitstellung

Infrastruktureinrichtung

Admin-Client / LAPS Management-Client

Nachdem der Client bereitgestellt wurde, können wir die Infrastruktur einrichten. Zunächst sollten Sie zu einem Client-Testcomputer oder Ihrer typischen Administrator-Workstation wechseln. Ich werde den LAPS-Client zusammen mit den Verwaltungstools installieren. Sobald Sie das Installationsprogramm gestartet haben (doppelklicken Sie auf das MSI), klicken Sie sich durch die ersten paar Bildschirme, um zum Benutzerdefinierte Installation Bildschirm. Aktivieren Sie hier alle Optionen.

LAPS benutzerdefiniertes Setup

Als nächstes fahren Sie fort und installieren es. Sie müssen einige der installierten Elemente abrufen und sie dann für einen einfachen Zugriff wieder auf Ihren Quellserver kopieren.

Gehen Sie zu C:\Windows\PolicyDefinitions. Hier holen Sie sich die Datei AdmPwd.admx und die Datei AdmPwd.adml aus dem Unterordner en-US. Ich habe an meinem Quellspeicherort einen Ordner namens GPO_ADMX erstellt, um sie zu kopieren (siehe „Neu…“ im Screenshot unten).

Quellort

Kopieren Sie außerdem den Ordner AdmPwd.PS aus den PowerShell-Modulen: C:\Windows\System32\WindowsPowerShell\v1.0\Modules

Sie benötigen alle diese Dateien später.

Ordner aus PowerShell-Modulen kopieren

AD-Schema erweitern (vom Domänencontroller)

Nun können (und sollten) Sie die folgenden Schritte von Ihrer Workstation aus ausführen, aber um sicherzustellen, dass ich eine Verbindung und Rechte hatte, habe ich dies von meinem tatsächlichen Domänencontroller (DC) aus durchgeführt. Normalerweise tun Sie dies von einem Administratorcomputer mit den richtigen Anmeldeinformationen. Auf Ihrem DC sollte Windows Server CORE ausgeführt werden und es sollte nicht einmal eine Desktop-Erfahrung vorhanden sein. Normalerweise möchten Sie sich nie wirklich bei einem DC anmelden. Aber dies ist ein Labor, und ich mache nur eine Demo.

Ändern Sie das AD-Schema

Kopieren Sie auf dem Domänencontroller (DC) den AdmPwd.PS-Ordner, den Sie in Ihre Quelle hochgeladen haben, in das lokale Modul-Repository auf Ihrem DC. Starten Sie als Nächstes die Admin-PowerShell-Konsole. In der Abbildung unten sehen Sie, wie ich versucht habe, das Import-Modul zu importieren, bevor ich die Dateien auf den DC kopiert hatte. Nach dem Kopieren wird der Befehl korrekt ausgeführt.
Import-Modul AdmPwd.PS

Ändern Sie das AD-Schema

Führen Sie als Nächstes den Befehl aus: Update-AdmPwdADSchema

Führen Sie den Befehl aus

In meinem Lab können Sie sehen, wie erfolgreich zwei Attribute hinzugefügt und eine Klasse geändert wurde.

LAPS AD-Gruppen und Berechtigungen

Hoffentlich haben Sie vor Beginn dieser Reise einige Dinge überlegt, z. In meinem Labor ist es ziemlich einfach. Ich habe eine „Master-OU“-Einrichtung für Workstations, und alle anderen Workstations fallen in Unter-OUs dieser Master-OU.

Zielarbeitsplatz-OU

An diesem Punkt ist es schön zu überprüfen und zu sehen, wer die Rechte hat, diese Informationen in AD anzuzeigen. Geben Sie in Ihrer PowerShell-Konsole Folgendes ein: Find-AdmPwdExtendedrights -identity | Format-Tabelle

Sehen Sie, wer Rechte zum Anzeigen von Informationen in AD hat

Wie Sie sehen können, sind die Rechte in meinem Labor ziemlich sauber, und ich bin damit einverstanden, dass diese Leute Rechte an LAPS haben.

Lassen Sie uns nun in AD die Gruppen „Lesen“ und „Zurücksetzen“ einrichten. Dadurch wird diesen Gruppen Zugriff auf LAPS gewährt. Im Screenshot unten sehen Sie, dass ich zwei Gruppen erstellt habe: LAPS Read Only und LAPS Reset PWD.

Richten Sie eine Lese- und Reset-Gruppe ein

Jetzt müssen wir Maschinen die Möglichkeit geben, ihre eigenen Passwörter zu aktualisieren. Ich werde Zugriff auf das „SELF built-in account“ für alle Computer in der Workstation OU gewähren: (Workstations) Set-AdmPwdComputerSelfPermission -OrgUnit

Gewähren Sie Maschinen die Möglichkeit, ihr eigenes Passwort zu aktualisieren

Als Nächstes müssen wir den Benutzern Rechte zum Nachschlagen dieser Informationen erteilen. Hier kommen die soeben erstellten Gruppen ins Spiel. Wir geben der Gruppe „LAPS Read Only“ die Rechte zum Lesen von LAPS-Passwörtern: Set-AdmPwdReadPasswordPermission -OrgUnit -ErlaubtePrinzipale

Wir werden der Gruppe „LAPS Reset PWD“ Rechte zum Zurücksetzen von LAPS-Passwörtern erteilen: Set-AdmPwdResetPasswordPermission -OrgUnit -ErlaubtePrincipals

Berechtigungen überprüfen

Ich werde auch bestätigen, dass dies funktioniert hat, indem ich die Finden… Befehl (siehe Screenshot unten).

Befehl finden

Zurück in AD können Sie nun die Gruppen verschachteln, die in Ihren LAPS-Sicherheitsgruppen Zugriff haben sollen.

Verschachteln Sie die Gruppen in Ihren LAPS-Sicherheitsgruppen

Für mein Lab habe ich Service Desk Tier 1 und 2 mit schreibgeschützten Rechten und Tier 3 kann zurückgesetzt werden.

Gruppenrichtlinie aktivieren

Sie müssen die ADMX- und ADML-Dateien, die Sie in Ihren Quellordner kopiert haben, in Ihren Gruppenrichtlinien-Zentralspeicher kopieren, der sich hier befindet: \\FQDN\SYSVOL\FQDN\policies

Gruppenrichtlinie

Jetzt können Sie die Gruppenrichtlinie starten und Ihre LAPS-Richtlinie erstellen. In dieser Demo erstelle ich eine neue einfache Richtlinie, die Sie jedoch jederzeit zu einer bereits bestehenden hinzufügen können. Das neue Gruppenrichtlinienobjekt ist auf die Standardeinstellungen festgelegt, außer dass ich die Benutzerrichtlinien deaktiviert habe. Ich habe dies getan, weil meine neue Richtlinie ausschließlich maschinenbasiert ist und es daher keinen Sinn macht, nach Benutzerrichtlinien suchen zu lassen.

Starten Sie die Gruppenrichtlinie und erstellen Sie Ihre LAPS-Richtlinie

Ich habe grundlegende Einstellungen verwendet, damit dies mit meinem Labor funktioniert. In meinem Labor habe ich neben der deaktivierten Standardeinstellung "MyLocalAdmin" ein lokales Administratorkonto auf dem Computer. Dies ist das Konto, das LAPS verwalten soll.

Beispiel für ein lokales Administratorkonto

Das ist es. Jetzt ist es an der Zeit, zu bestätigen, dass Sie die gewünschten Ergebnisse erhalten.

Berechtigungen bestätigen

‍Dies sind die Berechtigungstests, die ich durchführen werde:

  • Standard-Endbenutzer (sollte keine Rechte haben).
  • Service Desk Tier 1 und Tier 2 (sollte Lesezugriff haben).
  • Service Desk Tier 3 (sollte über Lese- und Reset-Zugriff verfügen).

Test 1: Standardbenutzer

Test 1: Standardbenutzer

Test 2: Tier 1 und Tier 2 Service Desk

Test 2: Tier-1-Servicedesk

Test 3: Tier-3-Servicedesk

Test 3: Tier-3-Servicedesk

Was habe ich aus diesem Test gelernt? Berechtigungen zum Zurücksetzen umfassen nicht Lesen. Sofern Sie nicht eine Gruppe benötigen, die dieses Passwort zurücksetzen und nicht lesen kann, würde ich die Gruppe LAPS Reset PWD innerhalb der Gruppe LAPS Read Only verschachteln.

LAPS Nur-Lese-Gruppe

Nochmal testen.

LAPS Read Only Gruppentest

Jetzt erhalte ich die gewünschten Ergebnisse. Tier 3 Service Desk kann das LAPS-Passwort sowohl lesen als auch zurücksetzen.

Fazit – Übersicht über Microsoft LAPS

Ich hoffe, dass Sie diese LAPS-Übersicht nützlich fanden und hoffentlich zusätzliche Informationen enthält, die in anderen Online-Handbüchern nicht zu finden sind. Der Hauptgrund für das Schreiben dieses Blog-Beitrags ist die Vorbereitung der Grundlagen für Teil 2, konfigurieren Recast Management Server Benutzer / Gruppen, um das LAPS Compliance Dashboard in der ConfigMgr Konsole anzuzeigen.

-Von Gary Blok

Sehen Sie, wie Right Click Tools die Art und Weise verändert, wie Systeme verwaltet werden.

Steigern Sie sofort die Produktivität mit unserer limitierten, kostenlos nutzbaren Community Edition.

Starten Sie noch heute mit Right Click Tools:

Teile das:

Support

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Kontakt

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
de_DEGerman