Windows LAPS: Was kann das „neue“ LAPS und sollte ich es nutzen?
8868
post-template-default,single,single-post,postid-8868,single-format-standard,bridge-core-3.3.1,,qode-title-hidden,qode-child-theme-ver-1.0.0,qode-theme-ver-30.8.1,qode-theme-bridge,disabled_footer_top,qode_header_in_grid,qode-wpml-enabled,wpb-js-composer js-comp-ver-7.9,vc_responsive

Windows LAPS: Was kann das „neue“ LAPS und sollte ich es nutzen?

Das Thema Verwaltung lokaler Administratoren Kennwörter ist ein echter Dauerbrenner in der IT-Sicherheit. Sicher ist es eher eine kleinere Maßnahme, gehört aber definitiv zu der „Basishygiene“ dazu. Einer unserer beliebtesten Blogartikel in unserer (E)SAE Deep Dive Serie ist der Artikel zur Local Administrator Password Solution (LAPS) von Microsoft.

Seit längerem ist nun eine neue Version von LAPS – Windows LAPS – verfügbar. In diesem Artikel wollen wir auf die Neuerungen eingehen und beleuchten, ob eine Migration auf die neue Version Sinn macht.

Wieso sollte man LAPS generell einsetzen?

In vielen Unternehmen wird auf allen Windows-Servern und Clients das identische Kennwort für das lokale Administratorkonto verwendet. Wenn beispielsweise ein Angreifer einen einzelnen Client kompromittiert und in den Besitz dieses Kennwortes gelangt, hat er dadurch automatisch auf sämtlichen anderen Systemen, die dieses Kennwort nutzen, Zugriff. Und zwar unabhängig von Sicherheitslücken oder Fehlkonfigurationen, die ausgenutzt werden können. Außerdem sind diese Kennwörter häufig vielen Mitarbeitern und nicht selten auch ehemaligen Angestellten des Unternehmens oder dessen Dienstleistern bekannt. Daraus ergibt sich die Notwendigkeit, die Kennwörter der lokalen Admin-Konten regelmäßig zu ändern. Kostenlos geht dies mit Windows LAPS.

Was ist neu in Windows LAPS?

Die neue Version von LAPS ist auf allen AKTUALISIERTEN Windows Server 2019 und Windows 10 oder höheren Betriebssystem-Versionen verfügbar. Die Grundfunktionalität bleibt dabei identisch. Ziel ist es weiterhin, das lokale Administratoren-Kennwort zu verwalten. Einige Neuerungen möchten wir jedoch im Detail vorstellen:

Entra ID / Intune und Active Directory

War die Vorgänger-Version von LAPS noch ausschließlich in AD-Umgebungen zu verwenden, ist es mit der neuen Version auch möglich, die lokalen Passwörter in EntraID zu speichern. Konkret bedeutet das, egal ob Domänen-Rechner oder Cloud-verwaltete Maschine: Das Passwort wird durch den lokalen LAPS-Client generiert und wahlweise in EntraID oder Active Directory gespeichert. Das hat ebenso zur Folge, dass Cloud-managed-Devices und hybrid Devices ausschließlich über Intune und nur noch on-prem-Systeme über GPOs gesteuert werden sollen.

Verschlüsselung des Passworts

Statt sich ausschließlich auf Zugriffskontrolllisten (ACLs) zu verlassen, um Passwörter zu schützen, können Passwörter von nun an verschlüsselt werden. Nur Benutzer, die als „ADPasswordEncryptionPrincipal“ eingetragen sind, dürfen Passwörter entschlüsseln.

On-prem wird dafür mindestens der Domain Functional Level 2016 benötigt. Das sollten die allermeisten Umgebungen aber mittlerweile erfüllen. Ist dies erfüllt, bietet es sich an, die Passwortverschlüsslung zu aktivieren. In EntraID werden die Passwörter per Default verschlüsselt.

In beiden Fällen verschlüsselt der LAPS-Client das Passwort lokal auf der Maschine und überträgt das verschlüsselte Passwort an das AD bzw. EntraID.

Passwortverlauf / Passwort-Historie

Ein Thema, das viele Administratoren umtrieb, ist die Passwort-Historie für eine Maschine. Die Wünsche wurden erhört. In Windows LAPS können bis zu 12 Passwörter gespeichert werden. Vorraussetzung ist, dass die Passwortverschlüsselung aktiviert ist.

An dieser Stelle sei noch gesagt, dass die Microsoft Dokumentation einen in die Irre führen kann. Es heißt:

Encrypted password history
„Windows LAPS supports a password history feature for Windows Server Active Directory domain-joined clients and domain controllers. Password history is supported only when password encryption is enabled. Password history isn’t supported if you store clear-text passwords in Windows Server Active Directory.“

Da in dem Text nicht von EntraID oder Cloud-managed-Devices gesprochen wird, Domain-joined-Clients aber explizit genannt werden, kann man schlussfolgern, dass nur on-prem-Systeme unterstützt werden. Dies ist aber zum Glück nicht so. Wir haben es getestet und auch zahlreiche andere Artikel beschreiben diese Funktionalität auch im Cloud-Umfeld. Wir würden uns dennoch wünschen, dass Microsoft hier die Dokumentation aktualisiert.

Automatische Reaktion auf die Nutzung eines Passworts

Dank der implementierbaren „PostAuthenticationActions” ist es möglich, auf die Authentisierung mithilfe eines durch Windows LAPS verwalteten Passworts eine vorkonfigurierbare Aktion folgen zu lassen. Beispielsweise lässt sich einstellen, dass das Passwort eine Stunde nach der Authentisierung automatisch geändert und der Account ausgeloggt werden soll.

Folgende Optionen sind zu konfigurieren:

DSRM-Passwort Backup

An dem DSRM Backup Feature scheiden sich die Geister. Wir haben viele Gespräche geführt und die meisten Experten gehen sehr vorsichtig mit dieser Funktion um. Doch der Reihe nach.

Erst einmal möchten wir auch hier die Microsoft-Doku kritisieren:

DSRM password support
„Windows LAPS supports backing up the DSRM account password on Windows Server domain controllers. DSRM account passwords can be backed up only to Windows Server Active Directory and if password encryption is enabled. Otherwise, this feature works almost identically to how encrypted password support works for Windows Server Active Directory-joined clients.
Backing up DSRM passwords to Microsoft Entra ID isn’t supported.“

Wer genau liest, stellt fest, dass nur von einer Sicherung gesprochen wird. Doch wie ändert sich dann das DSRM-Passwort? Brauche ich dafür ein eigenes Vorgehen? Nein, dem ist nicht so. Windows LAPS rotiert auch das DSRM-Passwort und speichert dies in Active Directory. Genau wie oben würden wir uns hier eine eindeutige Dokumentation wünschen.

Wieso sollte man das Feature mit Vorsicht genießen?

Die Antwort liegt auf der Hand. Wann brauche ich denn mein DSRM-Passwort? Richtig, meistens wenn ich die Domäne recovern will. Da das Passwort im Active Directory gespeichert ist, kommt man da aber im Zweifel nicht mehr dran. Darauf weist auch Microsoft hin und fordert, dass das Passwort auch außerhalb des Ads gespeichert werden soll.

Theoretisch braucht man das Passwort natürlich, auch wenn ein einzelner Domain Controller Probleme macht. Dann kann ich auf die AD-Datenbank zugreifen und das aktuelle Passwort auslesen. Es sei dahingestellt, wie oft man das wirklich benötigt. Viel wahrscheinlicher ist der Einsatz des DSRM-Passworts im erstgenannten Totalausfall.Wenn man also Windows LAPS zum Rotieren des DSRM-Passwortes verwendet, muss man unbedingt sicherstellen, dass das Kennwort direkt nach dem ändern in einen Passwort-Safe gespeichert wird.

Migration von Legacy LAPS zu Windows LAPS: Ein Leitfaden

Die Migration von einer älteren Version der Local Administrator Password Solution (LAPS) zu der neueren Windows-LAPS-Version ist ein wichtiger Schritt, um die Sicherheit und Verwaltung von Passwörtern für lokale Administrator-Konten zu verbessern.

Anmerkung: Generell ist ein “side-by-side”-Ansatz mit parallellaufendem Windows LAPS und Legacy LAPS zu Testzwecken möglich, erfordert aber einen höheren administrativen Aufwand, da dazu mehrere lokale Adminstratorkonten existieren müssen (es kann nur eine Version von LAPS geben, die ein Passwort verwaltet). In diesem Artikel sehen wir von dieser Variante ab.

Aus unserer Sicht sollten die meisten Unternehmen auf die neue Version umstellen. Ist sichergestellt, dass alle Maschinen in der Domain Windows LAPS unterstützen, kann Windows LAPS ausgerollt werden, um Legacy LAPS komplett zu ersetzen. Wir verzichten an dieser Stelle auf eine Schritt-für-Schritt-Anleitung. Es gibt zahlreiche gute Beschreibungen und auch die offizielle MS Doku: Microsoft-Dokumentation.

Vermutlich gibt es aber auch Systeme, die Windows LAPS nicht unterstützen. Muss Legacy LAPS weiterhin in der Umgebung bestehen, ist darauf zu achten, dass sie je nach Version des Betriebssystems die korrekte LAPS-Version erhalten.

Dies geschieht z. B. bei der Anwendung von Windows LAPS mithilfe von GPOs mit folgenden WMI-Filtern:

GPO WMI-Filter Erklärung
Windows LAPS GPOs SELECT * FROM Win32_OperatingSystem WHERE (Version LIKE „10.0%“ AND ProductType <> „2“) AND NOT (Version < „10.0.17763“) Systeme mit Windows Server 2019 und Windows 10 oder höheren Betriebssystem-Versionen sollen die Windows LAPS GPOs erhalten.
Legacy LAPS GPOs SELECT * FROM Win32_OperatingSystem WHERE NOT (Version LIKE „10.0%“ AND Version >= „10.0.17763“) Wenn das Betriebssystem älter als Windows Server 2019 oder Windows 10 ist, muss weiterhin die Legacy LAPS GPO wirken.

Anmerkung: Der Support für Legacy LAPS ist zudem gekoppelt an den Support der jeweiligen Betriebssysteme, die Windows LAPS noch nicht unterstützen.

Die Migration von einer älteren Version der Local Administrator Password Solution (LAPS) zu der neueren Windows-LAPS-Version ist ein wichtiger Schritt, um die Sicherheit und Verwaltung von Passwörtern für lokale Administrator-Konten zu verbessern.

Anmerkung: Generell ist ein “side-by-side”-Ansatz mit parallellaufendem Windows LAPS und Legacy LAPS zu Testzwecken möglich, erfordert aber einen höheren administrativen Aufwand, da dazu mehrere lokale Adminstratorkonten existieren müssen (es kann nur eine Version von LAPS geben, die ein Passwort verwaltet). In diesem Artikel sehen wir von dieser Variante ab.

Aus unserer Sicht sollten die meisten Unternehmen auf die neue Version umstellen. Ist sichergestellt, dass alle Maschinen in der Domain Windows LAPS unterstützen, kann Windows LAPS ausgerollt werden, um Legacy LAPS komplett zu ersetzen. Wir verzichten an dieser Stelle auf eine Schritt-für-Schritt-Anleitung. Es gibt zahlreiche gute Beschreibungen und auch die offizielle MS Doku: Microsoft-Dokumentation.

Vermutlich gibt es aber auch Systeme, die Windows LAPS nicht unterstützen. Muss Legacy LAPS weiterhin in der Umgebung bestehen, ist darauf zu achten, dass sie je nach Version des Betriebssystems die korrekte LAPS-Version erhalten.

Dies geschieht z. B. bei der Anwendung von Windows LAPS mithilfe von GPOs mit folgenden WMI-Filtern:

Anmerkung: Der Support für Legacy LAPS ist zudem gekoppelt an den Support der jeweiligen Betriebssysteme, die Windows LAPS noch nicht unterstützen.

Fazit

Windows LAPS bietet interessante, neue Möglichkeiten, die Sicherheit der Umgebung zu erhöhen. Passwortverschlüsselung, Historie und die automatischen Aktionen nach einer Anmeldung sind in jeder Umgebung sinnvolle Erweiterungen für das Passwort-Management. Auch dass cloud-verwaltete Systeme berücksichtigt sind, ist unabdingbar. Lediglich die DSRM-Funktionalität sehen wir kritisch. Ansonsten empfehlen wir jedem, auf die neue Windows-LAPS-Version umzusteigen.

Sie möchten mehr zum Blogbeitrag erfahren und sich mit einem Experten von TEAL dazu austauschen, dann buchen Sie ein Beratungsgespräch

LATEST POSTS