Automatische Passwortverwaltung in Microsoft Entra (Windows LAPS)

Im Jahr 2018 hat Stefan Fröhlich bereits im BLOG Automatische Passwortverwaltung (LAPS) das Thema Local Admin Password Solutions (LAPS) für eine Domänen-Umgebung beschrieben. Lange war es nur möglich, LAPS in Domänen-Umgebungen zu verwenden. Seit 2023 hat Microsoft das Produkt überarbeitet und bietet jetzt auch LAPS für Microsoft Entra an. Das gesamte Paket heisst jetzt Windows LAPS (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview ).

Windows LAPS verwaltet und sichert automatisch das Kennwort eines lokalen Administratorkontos auf Ihren Geräten, die in Microsoft Entra oder Windows Server Active Directory integriert sind. Es ermöglicht die regelmässige Rotation von Kennwörtern und bietet zusätzliche Sicherheit für Remote-Helpdesk-Szenarien sowie die Möglichkeit der Anmeldung und Wiederherstellung von Geräten, auf die andernfalls nicht zugegriffen werden könnte. Die Kennwörter können jetzt in Active Directory oder in Microsoft Entra gespeichert werden. Insgesamt ist Windows LAPS eine mögliche Lösung für die Verwaltung von Administratorkennwörtern in Unternehmensumgebungen.

In diesem BLOG werden wir uns anschauen, wie wir es einrichten und die Kennwörter in Microsoft Entra speichern.

Konfiguration
Voraussetzungen

Um Windows LAPS auf die Clients auszurollen, müssen die Clients AzureAD joined oder Hybrid joined sein und mindestens Windows 10 20H2 installiert haben.

Profil erstellen

Zuerst müssen wir die Richtlinien für LAPS definieren. Dazu gehen wir zu https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview und erstellen unter Endpoint security\Account protection eine neue Policy. Als “Platform” wählen wir Windwos 10 und later aus und bei “Profil” Local admin password solution (Windows LAPS).

Unter Configuration settings definieren wir unsere LAPS-Richtlinien. Hier ein Beispiel dazu.

Bei unserem Beispiel haben wir folgendes konfiguriert:

  • Das Kennwort soll alle 30 Tage geändert werden

  • Wir verwenden einen eigenen Administrator-Account: goSecAdmin

  • Unser Kennwort soll aus Klein- und Grossbuchstaben, Zahlen und Sonderzeichen bestehen

  • Unser Kennwort soll zwanzig Zeichen lang sein

Weitere Informationen zur Konfiguration der LAPS-Richtlinien sind bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings ) beschrieben.

Lokalen Benutzer erstellen

Ein neuer Benutzer muss nur angelegt werden, wenn oben bei Administrator Account Name ein eigener Name hinterlegt wurde. Sonst wird automatisch der Standard Administrator für LAPS verwendet. Wir empfehlen den Standard Administrator zu deaktivieren und einen neuen Account für LAPS anzulegen.

Der Benutzer kann über eine CSP-Policy (Configuration Service Provider) erstellt werden. Dazu gehen wir zu https://intune.microsoft.com/ und erstellen unter Devices\Configuration eine neue Policy. Als “Platform” wählen wirWindwos 10 und later , bei “Profil type” Templates und unter “Template name” Custom aus.

Unter den Configuration Settings legen wir die nachfolgenden Settings an. Der Neue Benutzer wird direkt in die OMA-URI hinterlegt. In unserem Fall mit dem Benutzer goSecAdmin. Im zweiten Schlüssel wird das Kennwort für den neuen Benutzer in Klartext hinterlegt. Hier nehmen Sie bitte ein langes und zufällig generiertes Kennwort. Es ist nicht schön ein Klartext-Kennwort zu hinterlegen. Da dieses Kennwort beim aktivieren von LAPS überschrieben wird, ist die Gültigkeit des Kennworts nur kurz. Weitere Informationen zu Account CSP sind bei Microsoft (https://learn.microsoft.com/en-us/windows/client-management/mdm/accounts-csp) beschrieben.

Name Description OMA-URI Data type Value
Add user to localgroup Add goSecAdmin to local admin group ./Device/Vendor/MSFT/Accounts/Users/goSecAdmin/LocalUserGroup Integer 2
Add user Add goSecAdmin ./Device/Vendor/MSFT/Accounts/Users/goSecAdmin/Password String jG0Nb#sHcyndP7m%j896EXzkyQPfZO
LAPS aktivieren

Nachdem wir oben die Richtlinien angelegt haben, müssen wir nur noch LAPS für die Clients aktivieren. Dazu gehen wir zu https://entra.microsoft.com/ unter Devices\All devices\Device settings und aktivieren LAPS.

Verteilung prüfen

Jetzt haben wir alles fertig konfiguriert und müssen nur noch warten, bis die Einstellungen auf den Clients ausgerollt werden. Um zu prüfen, ob die Installation erfolgreich war, können wir die EventLogs prüfen: entweder im Event Viewer oder mit PowerShell.

Event Viewer

Die Logs zu LAPS sind unter Applications and service log\Microsoft\Windows\LAPS\Operational zu finden.

PowerShell

Die Events von LAPS können auch einfach mit PowerShell ausgelesen werden. Mit den folgenden Befehlen können wir prüfen, ob LAPS erfolgreich auf dem Client ausgerollt wurde und richtig konfiguriert ist.

Die konfigurierten LAPS-Richtlinien können mit der Event ID 10022 abgerufen werden.

(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10022} | Select-Object -First 1).Message

Mit der Event ID 10020 wird protokolliert, dass das Kennwort des Administratorkontos erfolgreich geändert wurde.

(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10020} | Select-Object -First 1).Message

Die Event ID 10029 bestätigt, dass das Kennwort in Microsoft Entra gespeichert wurde.

(Get-WinEvent -LogName Microsoft-Windows-LAPS/Operational | ?{ $_.id -eq 10029} | Select-Object -First 1).Message

Weitere Informationen zu den Windows LAPS Meldungen sind bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-event-log) beschrieben.

Kennwörter abfragen

Die gespeicherten Kennwörter in Microsoft Entra können über das Microsoft Entra Portal oder über PowerShell abgerufen werden.

Microsoft Entra Portal

Um die Kennwörter über das Microsoft Entra Portal abzurufen gehen wir auf https://entra.microsoft.com/ unter Devices\Overview\Local administrator password recovery und klicken auf Show local administrator password.

PowerShell

Um die gespeicherten Kennwörter aus Microsoft Entra mit PowerShell auszulesen, wird Microsoft Graph benötigt. Das kann wie folgt installiert werden.

Set-PSRepository PSGallery -InstallationPolicy Trusted
Install-Module Microsoft.Graph -Scope AllUsers

Ist Microsoft Graph installiert, kann das Kennwort wie folgt abgefragt werden. Weitere Informationen dazu finden Sie auch bei Microsoft (https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-azure-active-directory).

Connect-MgGraph -Scopes ("DeviceLocalCredential.Read.All","Device.Read.All","DeviceManagementManagedDevices.Read.All")
Get-LapsAADPassword -DeviceIds gosec-MH -IncludePasswords -AsPlainText

Fazit

Die Installation von Windows LAPS gestaltet sich im Vergleich zur früheren Version aus dem Jahr 2015 noch einfacher und schneller. Sie bietet die Möglichkeit, die Konfiguration entweder im Active Directory oder in Microsoft Entra vorzunehmen, je nachdem, wie sie im Unternehmen eingesetzt werden soll. Ein bemerkenswerter Vorteil ist, dass wir sogar festlegen können, wo die Kennwörter gespeichert werden sollen. Zudem entfällt die Notwendigkeit, einen separaten LAPS-Client zu verteilen. Insgesamt betrachtet, ist Windows LAPS eine gelungene Lösung zur Verwaltung der lokalen Administratorenkonten.

Quellen

Informationen zum Autor: Marius Hamborgstrøm

Im Jahre 2014 ist es mir gelungen goSecurity von meinem Talent zu überzeugen. Als Experte für Penetration Tests konnte ich schon viele Schwachstellen aufdecken, bevor dies einem Hacker gelungen ist. Zudem bin ich für die Gestaltung und die Durchführung unserer goTraining-Kurse Hack to PROTECT (H2P), Hack to PROTECT [ADVANCED] (H2PA) und Windows Server Hardening (WSH) verantwortlich. Durch meine jahrelange Erfahrung als IT-Leiter einer mittelständischen Bank, kenne ich auch die Seite des Administrators und des IT-Managers in einer Umgebung mit hohen Sicherheitsanforderungen. Aus dieser Erfahrungskiste kann ich die Anforderungen unserer Kunden auch bei Audits und umfassenden Beratungen schnell verstehen und Sie zielgerichtet und praxisnah beraten. Jede Sicherheitslücke bei Ihnen zu finden, bevor dies jemand anderem gelingt, ist leider nicht immer realistisch. Und dennoch ist es mein Antrieb und mein Anspruch.