Automatische Passwortverwaltung in Microsoft Entra (Windows LAPS)
Im Jahr 2018 hat Stefan Fröhlich bereits im BLOG Automatische Passwortverwaltung (LAPS) das Thema Local Admin Password Solutions (LAPS) für eine Domänen-Umgebung beschrieben. Lange war es nur möglich, LAPS in Domänen-Umgebungen zu verwenden. Seit 2023 hat Microsoft das Produkt überarbeitet und bietet jetzt auch LAPS für Microsoft Entra an. Das gesamte Paket heisst jetzt Windows LAPS (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview ).
Windows LAPS verwaltet und sichert automatisch das Kennwort eines lokalen Administratorkontos auf Ihren Geräten, die in Microsoft Entra oder Windows Server Active Directory integriert sind. Es ermöglicht die regelmässige Rotation von Kennwörtern und bietet zusätzliche Sicherheit für Remote-Helpdesk-Szenarien sowie die Möglichkeit der Anmeldung und Wiederherstellung von Geräten, auf die andernfalls nicht zugegriffen werden könnte. Die Kennwörter können jetzt in Active Directory oder in Microsoft Entra gespeichert werden. Insgesamt ist Windows LAPS eine mögliche Lösung für die Verwaltung von Administratorkennwörtern in Unternehmensumgebungen.
In diesem BLOG werden wir uns anschauen, wie wir es einrichten und die Kennwörter in Microsoft Entra speichern.
Konfiguration
Voraussetzungen
Um Windows LAPS auf die Clients auszurollen, müssen die Clients AzureAD joined oder Hybrid joined sein und mindestens Windows 10 20H2 installiert haben.
Profil erstellen
Zuerst müssen wir die Richtlinien für LAPS definieren. Dazu gehen wir zu https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview und erstellen unter Endpoint security\Account protection
eine neue Policy. Als “Platform” wählen wir Windwos 10 und later
aus und bei “Profil” Local admin password solution (Windows LAPS)
.
Unter Configuration settings
definieren wir unsere LAPS-Richtlinien. Hier ein Beispiel dazu.
Bei unserem Beispiel haben wir folgendes konfiguriert:
-
Das Kennwort soll alle 30 Tage geändert werden
-
Wir verwenden einen eigenen Administrator-Account:
goSecAdmin
-
Unser Kennwort soll aus Klein- und Grossbuchstaben, Zahlen und Sonderzeichen bestehen
-
Unser Kennwort soll zwanzig Zeichen lang sein
Weitere Informationen zur Konfiguration der LAPS-Richtlinien sind bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings ) beschrieben.
Lokalen Benutzer erstellen
Ein neuer Benutzer muss nur angelegt werden, wenn oben bei Administrator Account Name
ein eigener Name hinterlegt wurde. Sonst wird automatisch der Standard Administrator für LAPS verwendet. Wir empfehlen den Standard Administrator zu deaktivieren und einen neuen Account für LAPS anzulegen.
Der Benutzer kann über eine CSP-Policy (Configuration Service Provider) erstellt werden. Dazu gehen wir zu https://intune.microsoft.com/ und erstellen unter Devices\Configuration
eine neue Policy. Als “Platform” wählen wirWindwos 10 und later
, bei “Profil type” Templates
und unter “Template name” Custom
aus.
Unter den Configuration Settings legen wir die nachfolgenden Settings an. Der Neue Benutzer wird direkt in die OMA-URI hinterlegt. In unserem Fall mit dem Benutzer goSecAdmin
. Im zweiten Schlüssel wird das Kennwort für den neuen Benutzer in Klartext hinterlegt. Hier nehmen Sie bitte ein langes und zufällig generiertes Kennwort. Es ist nicht schön ein Klartext-Kennwort zu hinterlegen. Da dieses Kennwort beim aktivieren von LAPS überschrieben wird, ist die Gültigkeit des Kennworts nur kurz. Weitere Informationen zu Account CSP sind bei Microsoft (https://learn.microsoft.com/en-us/windows/client-management/mdm/accounts-csp) beschrieben.
Name | Description | OMA-URI | Data type | Value |
---|---|---|---|---|
Add user to localgroup | Add goSecAdmin to local admin group | ./Device/Vendor/MSFT/Accounts/Users/goSecAdmin/LocalUserGroup | Integer | 2 |
Add user | Add goSecAdmin | ./Device/Vendor/MSFT/Accounts/Users/goSecAdmin/Password | String | jG0Nb#sHcyndP7m%j896EXzkyQPfZO |
LAPS aktivieren
Nachdem wir oben die Richtlinien angelegt haben, müssen wir nur noch LAPS für die Clients aktivieren. Dazu gehen wir zu https://entra.microsoft.com/ unter Devices\All devices\Device settings
und aktivieren LAPS.
Verteilung prüfen
Jetzt haben wir alles fertig konfiguriert und müssen nur noch warten, bis die Einstellungen auf den Clients ausgerollt werden. Um zu prüfen, ob die Installation erfolgreich war, können wir die EventLogs prüfen: entweder im Event Viewer oder mit PowerShell.
Event Viewer
Die Logs zu LAPS sind unter Applications and service log\Microsoft\Windows\LAPS\Operational
zu finden.
PowerShell
Die Events von LAPS können auch einfach mit PowerShell ausgelesen werden. Mit den folgenden Befehlen können wir prüfen, ob LAPS erfolgreich auf dem Client ausgerollt wurde und richtig konfiguriert ist.
Die konfigurierten LAPS-Richtlinien können mit der Event ID 10022 abgerufen werden.
(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10022} | Select-Object -First 1).Message
Mit der Event ID 10020 wird protokolliert, dass das Kennwort des Administratorkontos erfolgreich geändert wurde.
(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10020} | Select-Object -First 1).Message
Die Event ID 10029 bestätigt, dass das Kennwort in Microsoft Entra gespeichert wurde.
(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10029} | Select-Object -First 1).Message
Weitere Informationen zu den Windows LAPS Meldungen sind bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-event-log) beschrieben.
Kennwörter abfragen
Die gespeicherten Kennwörter in Microsoft Entra können über das Microsoft Entra Portal oder über PowerShell abgerufen werden.
Microsoft Entra Portal
Um die Kennwörter über das Microsoft Entra Portal abzurufen gehen wir auf https://entra.microsoft.com/ unter Devices\Overview\Local administrator password recovery
und klicken auf Show local administrator password
.
PowerShell
Um die gespeicherten Kennwörter aus Microsoft Entra mit PowerShell auszulesen, wird Microsoft Graph benötigt. Das kann wie folgt installiert werden.
Set-PSRepository PSGallery -InstallationPolicy Trusted
Install-Module Microsoft.Graph -Scope AllUsers
Ist Microsoft Graph installiert, kann das Kennwort wie folgt abgefragt werden. Weitere Informationen dazu finden Sie auch bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-azure-active-directory).
Connect-MgGraph -Scopes ("DeviceLocalCredential.Read.All","Device.Read.All","DeviceManagementManagedDevices.Read.All")
Get-LapsAADPassword -DeviceIds gosec-MH -IncludePasswords -AsPlainText
Fazit
Die Installation von Windows LAPS gestaltet sich im Vergleich zur früheren Version aus dem Jahr 2015 noch einfacher und schneller. Sie bietet die Möglichkeit, die Konfiguration entweder im Active Directory oder in Microsoft Entra vorzunehmen, je nachdem, wie sie im Unternehmen eingesetzt werden soll. Ein bemerkenswerter Vorteil ist, dass wir sogar festlegen können, wo die Kennwörter gespeichert werden sollen. Zudem entfällt die Notwendigkeit, einen separaten LAPS-Client zu verteilen. Insgesamt betrachtet, ist Windows LAPS eine gelungene Lösung zur Verwaltung der lokalen Administratorenkonten.
Quellen
-
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview
-
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings
-
https://learn.microsoft.com/en-us/windows/client-management/mdm/accounts-csp
-
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-event-log
-
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-azure-active-directory
Informationen zum Autor: Marius Hamborgstrøm
Im Jahre 2014 ist es mir gelungen goSecurity von meinem Talent zu überzeugen. Als Experte für Penetration Tests konnte ich schon viele Schwachstellen aufdecken, bevor dies einem Hacker gelungen ist. Zudem bin ich für die Gestaltung und die Durchführung unserer goTraining-Kurse Hack to PROTECT (H2P), Hack to PROTECT [ADVANCED] (H2PA) und Windows Server Hardening (WSH) verantwortlich. Durch meine jahrelange Erfahrung als IT-Leiter einer mittelständischen Bank, kenne ich auch die Seite des Administrators und des IT-Managers in einer Umgebung mit hohen Sicherheitsanforderungen. Aus dieser Erfahrungskiste kann ich die Anforderungen unserer Kunden auch bei Audits und umfassenden Beratungen schnell verstehen und Sie zielgerichtet und praxisnah beraten. Jede Sicherheitslücke bei Ihnen zu finden, bevor dies jemand anderem gelingt, ist leider nicht immer realistisch. Und dennoch ist es mein Antrieb und mein Anspruch.