Microsoft-LAPS-Übersicht: Einrichtung, Installation und Sicherheit

Datensicherheit

Microsoft LAPS ist eine der effektivsten Methoden, um Administratorpasswörter zu schützen und zu verhindern, dass unbefugte Benutzer Zugriff auf Systeme oder Daten erhalten, auf die sie nicht zugreifen sollten. Die lokale Microsoft-Passwortlösung für Administratoren (Local Administrator Password Solution) – oder kurz LAPS – ist eine Passwortverwaltungsfunktion, die Administrator-Passwörter über eine einzelne Domäne randomisiert.

Ohne ein Tool wie LAPS könnte die Kompromittierung eines Administratorpassworts dazu führen, dass alle anderen offengelegt bzw. gestohlen werden. Indem erzwungen wird, dass alle Administratoren einzigartige Passwörter haben und diese regelmäßig geändert werden, können Unternehmen vermeiden, dass Benutzer einfach ihre Standardpasswörter beibehalten, oder dass sich Passwörter im System überlappen.

In diesem Artikel werden die Grundlagen von Microsoft LAPS sowie die Installationsanforderungen erläutert. Wir erklären ebenso, wie Sie LAPS installieren und sicherstellen, dass es sicher in Ihr Unternehmen und Ihre IT-Systeme eingebunden ist.

Was ist Microsoft LAPS?

Microsoft LAPS ist ein Produkt, das lokale Administrator-Passwörter verwaltet, Berechtigungen teilt und sie in Active Directory (AD) speichert. LAPS sorgt für eine automatische Zufallsgenerierung und regelmäßige Aktualisierung von Passwörtern, sodass keine zwei Benutzer jemals dieselben Passwörter haben und Passwörter nicht veralten und anfälliger für Hacker werden. Vor LAPS verwendeten viele Systemadministratoren entweder dasselbe Passwort für die gesamte Domain oder ähnliche Namenskonventionen, die das gesamte System anfälliger machten.

Kurz gesagt: Microsoft LAPS sorgt dafür, dass alle Geräte und Benutzer Ihres gesamten Systems über einzigartige, starke Passwörter verfügen, um Datenschutzverletzungen oder unbefugte Anmeldungen zu verhindern.

Installationsanforderungen von LAPS

Für die Installation von Microsoft LAPS gibt es einige wichtige technische Voraussetzungen. Zunächst benötigen Sie mindestens .NET Framework 4.0 und PowerShell 2.0. Außerdem müssen Sie Windows Server 2003 SP1 oder höher verwenden, denn dort verwaltet LAPS das lokale Administratorpasswort. Und auf allen Desktop-Systemen müssen Sie Windows Vista SP2 oder höher verwenden.

In Bezug auf Ihre Active Directory-Umgebung müssen Sie Windows Server 2003 SP1 oder höher nutzen. Außerdem erfordert LAPS eine Schemaaktualisierung zur Unterstützung der Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime. Diese Attribute werden verwendet, um sowohl das lokale Administratorpasswort als auch seine Ablaufzeit zu speichern.

Wenn Sie Ihren Microsoft-Technologie-Stack auf dem neuesten Stand halten, sollten Sie kaum Probleme haben, die Mindestanforderungen für die Installation von LAPS zu erfüllen.

Einrichtung von Microsoft LAPS

Nach der Installation lässt sich Microsoft LAPS in einigen einfachen, linearen Schritten einrichten.

1. Validieren Ihrer Komponenten

Als Erstes müssen Sie sicherstellen, dass Sie alle LAPS-Komponenten einsatzbereit haben.  Dazu gehören beispielsweise Ihre Fat-Client-Benutzeroberfläche, Ihr Powershell-Modul und Ihre Gruppenrichtlinienvorlagen sowie die AdmPwd-GPO-Erweiterung. Auch wenn Sie nicht alle diese spezifischen Funktionen benötigen, sind für die meisten Verwaltungskonsolen eine oder mehrere dieser Komponenten vor der LAPS-Einrichtung erforderlich.

2. Erweitern des Active-Directory-Schemas

Die Erweiterung des AD-Schemas ermöglicht es Ihren Systemen und Ihrem Netzwerk, LAPS zu unterstützen. Dazu können Sie ein Microsoft-Powershell-Modul verwenden, das Sie bei diesem Prozess unterstützt. Die beiden Hauptattribute, die Sie dem Schema hinzufügen müssen, sind ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime. Diese beiden Attribute speichern das Administratorpasswort sowie die Ablaufzeit.

3. Konfiguration der Passworteinstellungen

Sobald Sie das AD-Schema erweitert haben, müssen die LAPS-Passworteinstellungen konfiguriert werden. Wenn Sie zu den Passworteinstellungen navigieren, können Sie beispielsweise die Komplexität, die Länge und das Ablaufdatum konfigurieren. Mit diesen Parametern generiert LAPS anschließend neue Passwörter. Das ist ein wichtiger Schritt, um sicherzustellen, dass Ihre LAPS-Passwörter komplex genug sind und häufig geändert werden.

4. Anwenden der Zugriffsberechtigungen

Nun müssen Sie sicherstellen, dass nur die berechtigten Personen Zugriff auf LAPS-Einstellungen und -Passwörter haben. Sie müssen den Administrator festlegen, der das Konto verwaltet, seine Daten eingeben und seinen Zugriff aktivieren. Ebenso haben Sie die Möglichkeit, das Standardadministratorkonto und die entsprechenden Daten zu verwenden, die bei jeder LAPS-Installation enthalten sind.

5. Konfiguration der Gruppenrichtlinien

Ihr AD ist nun bereit zum Speichern und Empfangen von Passwörtern, und die korrekten Berechtigungen wurden zugewiesen. Der letzte wichtige Schritt bei der LAPS-Installation ist die Erstellung einer Gruppenrichtlinie zur Konfiguration der LAPS-Client-Komponente. Öffnen Sie einfach den Gruppenrichtlinienverwaltungs-Editor, wählen Sie „Gruppenrichtlinienobjekt erstellen“, und geben Sie dem Objekt einen aussagekräftigen Namen.

Nun können Sie LAPS im Grunde seine Arbeit machen lassen. Das System generiert und ändert Passwörter auf der Grundlage der von Ihnen angegebenen Komplexität und der Zeitintervalle, die auf Ihren Gruppenrichtlinien und administrativen Einstellungen basieren. Und nur die von Ihnen festgelegten Administratoren können auf LAPS zugreifen und Änderungen vornehmen.

Gewährleistung der Sicherheit von LAPS

Sie können verschiedene Maßnahmen und Werkzeuge einsetzen, um sicherzustellen, dass LAPS sicher ist und dass keines Ihrer Passwörter oder Ihr Systemzugang gefährdet sind.

PowerShell-Berechtigungsskripte

Da die Installation von LAPS Ihrem System neue Attribute hinzufügt, sollten Sie noch einmal überprüfen, ob die Zugriffsberechtigungen für diese Attribute korrekt angewendet werden. Es sollte nur denjenigen Benutzern Zugriff auf das Attribut ms-McsAdmPwd gewährt werden, die ihn benötigen. Zum Glück sind Berechtigungsskripte leicht verfügbar, die den aktuellen Attributzugriff überprüfen und bei Bedarf automatisch neue Berechtigungen anwenden.

Alle erweiterten Berechtigungen entfernen

Es ist auch ratsam, die in LAPS standardmäßig vorhandene Berechtigung „Alle erweiterten Rechte“ zu entfernen. Wenn Sie diese Berechtigung entfernen, können Benutzer und Gruppen die Passwörter lokaler Administratorkonten nicht mehr von nicht autorisierten Geräten aus anzeigen. Da die Passwörter als Textattribut in PowerShell gespeichert werden, verhindert das Entfernen der erweiterten Berechtigungen, dass Personen zufällig an die Passwörter geraten.

Sperren von Berechtigungen zum Zurücksetzen des Passworts

In LAPS wird bestimmten Benutzer die Möglichkeit gewährt, Passwörter zurückzusetzen. Nach der Installation und Einrichtung sollten Sie sicherstellen, dass die Berechtigung zum Zurücksetzen des Passworts nur auf den lokalen Administrator beschränkt ist. Die Möglichkeit, Passwörter zurückzusetzen, sollte in jedem Fall stark eingeschränkt sein, und Microsoft LAPS stellt keine Ausnahme dar.

Schulung und Sensibilisierung von Administratoren

Auf organisatorischer Ebene sollten Sie außerdem Administratorschulungen darüber durchführen, wie man LAPS auf einer sicheren Basis installiert, konfiguriert und nutzt. Wie immer, wenn Sie neue Software oder Technologien einführen, ist es sehr wichtig, Administratoren über potenzielle Schwachstellen von LAPS zu informieren und ihnen zu zeigen, wie sie verhindern können, dass unbefugte Benutzer Passwörter abrufen oder die Einstellungen versehentlich ändern können.

Integrierter Ansatz für die Datensicherheit

Die korrekte Konfiguration sollte nicht Ihre einzige Verteidigungslinie gegen LAPS-Kompromittierung sein. Sie sollten ebenso in Erwägung ziehen, eine Software zur Bedrohungserkennung und -reaktion zu verwenden, die Sie vor unbefugten Zugriffen oder Benutzern warnt. Diese sollte Teil einer viel breiter aufgestellten Datensicherheitsplattform sein, mit der Sie LAPS und alle anderen Aspekte Ihres IT-Ökosystems schützen.

Häufig gestellte Fragen zu Microsoft LAPS

Im Folgenden finden Sie einige häufig gestellte Fragen und Themen rund um Microsoft LAPS, seine Funktionsweise und das Sicherheitsniveau.

Ist Microsoft LAPS sicher?

Ja. Solange die Berechtigungen in den Attributen von Active Directory festgelegt sind, ist Microsoft LAPS extrem sicher. Jedes System oder jede Software kann Ziel eines Angriffs werden, aber mit den richtigen Vorsichtsmaßnahmen und einer korrekten Einrichtung ist LAPS ein sicheres Produkt.

Was bedeutet LAPS in der Computertechnologie?

Rein technisch gesehen handelt es sich bei der Microsoft-LAPS-Lösung um eine clientseitige Erweiterung (CSE) eines Gruppenrichtlinienobjekts, die für die kontinuierliche Passwortsicherheit entwickelt wurde. Die Lösung arbeitet über das Active Directory Ihres Systems und generiert regelmäßig neue Passwörter.

Wofür wird Microsoft LAPS verwendet?

Microsoft LAPS wird verwendet, um veraltete, doppelte oder zu einfache Passwörter zu verhindern. Solche Situationen machen Systeme anfällig für vorsätzliche oder versehentliche Datenlecks. LAPS gewährleistet, dass die Passwörter regelmäßig geändert werden und hinreichend komplex sind.

Wie viel kostet LAPS?

Nichts. LAPS kann kostenlos direkt von der Microsoft-Website heruntergeladen werden. Microsoft stellt das Tool für Windows- und Enterprise-Benutzer als zusätzliche Passwortsicherheitsmaßnahme zur Verfügung. Die einzigen Kosten, die Sie tragen müssen, sind der Zeit- und Ressourcenaufwand für Installation, Konfiguration und Verwaltung von LAPS.

Abschließende Überlegungen

Veraltete und doppelte Passwörter stellen in der Regel enorme Schwachstellen für die IT-Datensicherheit dar. Microsoft LAPS ist ein hervorragendes Tool, um automatisch und kontinuierlich zu verhindern, dass daraus ein Problem wird. Durch die Installation von LAPS – und die Begrenzung der Berechtigungen auf autorisierte Administratoren – können Sie sicherstellen, dass Benutzer sich niemals mit alten Passwörtern Zugriff auf Ihr System verschaffen können.

Avatar

David Harrington

David ist professioneller Autor und ein führender Berater für Technologieunternehmen, Startups und Venture-Capital-Firmen.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990