Microsoft LAPS und Tools zur Netzwerk Inventarisierung
Einführung in Microsoft LAPS
Local Administrator Password Solution (LAPS) ist ein Microsoft-Tool zur Verbesserung der Sicherheit durch die Verwaltung lokaler Administratorkennwörter auf Computern, die einer Domäne angeschlossen sind. LAPS bietet eine Möglichkeit, automatisch eindeutige, komplexe Kennwörter für das lokale Administratorkonto auf jedem verwalteten Gerät zu generieren und sie sicher an einem zentralen Ort zu speichern. IT-Administratoren können diese Passwörter bei Bedarf abrufen und so die mit statischen oder gemeinsam genutzten Anmeldeinformationen verbundenen Risiken reduzieren.
Zu den wichtigsten Vorteilen von LAPS gehören:
Verbesserte Sicherheit: Es wird sichergestellt, dass lokale Administratorkonten über eindeutige, regelmäßig geänderte Kennwörter verfügen.
Einhaltung von Vorschriften: Hilft Unternehmen, gesetzliche und interne Sicherheitsanforderungen zu erfüllen.
Reduzierte Angriffsfläche: Verringert das Risiko von Seitwärtsbewegungen im Falle einer Kompromittierung von Anmeldeinformationen.
Automatisierte Verwaltung: Verringert den Verwaltungsaufwand durch die Automatisierung von Passwortänderungen und -speicherung.
Legacy LAPS
Bei der älteren Version von LAPS, die gemeinhin als „Legacy LAPS“ bezeichnet wird, handelt es sich um eine Vor-Ort-Lösung, die in Active Directory (AD) integriert ist. Sie erfordert die Installation eines Agenten auf jedem verwalteten Endpunkt, der die Erstellung und Speicherung lokaler Administratorkennwörter in AD ermöglicht.
So funktioniert Legacy LAPS:
Ein Gruppenrichtlinienobjekt (GPO) wird verwendet, um LAPS-Einstellungen für Computer einer Domäne zu konfigurieren.
Der clientseitige LAPS-Agent generiert ein eindeutiges Kennwort und speichert es im Computerobjekt in Active Directory.
IT-Administratoren können auf die gespeicherten Kennwörter über PowerShell oder eine spezielle LAPS-Verwaltungsoberfläche zugreifen.
Herausforderungen mit Legacy LAPS:
- Erfordert eine Active Directory-Infrastruktur vor Ort.
- Begrenzte Skalierbarkeit für Hybrid- oder Cloud-Umgebungen.
- Manuelle Bereitstellung des LAPS-Client-Agenten.
- Mögliche Fehlkonfiguration, die zu Sicherheitslücken führen kann.
- Ältere LAPS speichern das Passwort, aber nicht den Kontonamen. Dies führt zu Problemen bei der Anmeldung, da das integrierte Administratorkonto für verschiedene Sprachen unterschiedlich sein kann.
Das neue Microsoft LAPS
Mit Windows 11 und neueren Versionen von Windows 10 hat Microsoft eine aktualisierte Version von LAPS eingeführt, die nativ in das Betriebssystem integriert ist. Dadurch entfällt die Notwendigkeit einer separaten Client-Installation und bietet mehr Flexibilität bei der Speicherung von Kennwörtern. Darüber hinaus bietet es auch den Account-Namen, der in den vorherigen Versionen fehlte.
Zwei Speicheroptionen für das neue LAPS
- Active Directory (On-Premises) Storage
- Der neue LAPS kann weiterhin Kennwörter im lokalen Active Directory speichern, ähnlich wie die Vorgängerversion, jedoch mit zusätzlichen Verbesserungen wie erweiterten Protokollierungs- und Audit-Funktionen.
- Die Konfiguration erfolgt über Gruppenrichtlinien oder Intune, und Administratoren können Passwörter mit vertrauten Tools wie PowerShell verwalten.
- Geeignet für Unternehmen mit einer bestehenden AD-Infrastruktur, die einen nahtlosen Upgrade-Pfad suchen.
- Bietet eine bessere Kontrolle über Kennwortrichtlinien und Zugriffsberechtigungen.
- Microsoft Intune (Cloud) Storage
- Eine wichtige Neuerung des neuen LAPS ist die Möglichkeit, lokale Administratorkennwörter sicher in Microsoft Intune zu speichern.
- Dieser Cloud-basierte Ansatz ermöglicht eine zentralisierte Passwortverwaltung in hybriden und Cloud-Umgebungen.
- IT-Administratoren können über das Microsoft Endpoint Manager (MEM) Portal auf die gespeicherten Passwörter zugreifen.
- Bietet eine verbesserte Sichtbarkeit und Kontrolle für die Verwaltung von Remote-Mitarbeitern.
- Ideal für Unternehmen, die auf eine Cloud-first-Strategie umstellen oder Remote-Endpunkte verwalten.
Die wichtigsten Verbesserungen des neuen LAPS:
- Integrierte Unterstützung innerhalb des Betriebssystems.
- Verbesserte Audit-Protokollierung für verbesserte Compliance.
- Verbesserte Verwaltung durch Intune, wodurch die Abhängigkeit vom herkömmlichen On-Premise-AD verringert wird.
- Automatischer Ablauf und Rotation von Passwörtern.
- Verbesserte Verschlüsselungsmethoden für eine sichere Passwortspeicherung.
- Bereitstellung des lokalen Administratorkontos zusätzlich zu seinem Kennwort.
Auswirkungen auf automatisierte Netzwerkerkennungslösungen wie JDisc Discovery
Automatisierte Netzwerkerkennungslösungen wie JDisc Discovery verlassen sich auf einen auf Zugangsdaten basierenden Zugang, um Systeminformationen zu sammeln. Normalerweise haben agentenlose Netzwerkerkennungs-Tools eine Möglichkeit, Zugangsberechtigungen für Domänen oder Active Directory Organisationseinheiten zu definieren. Der Nachteil ist, dass man EIN Passwort hat, das den Zugang zu allen Windows Computern innerhalb einer Organisation erlaubt. Daher wechseln viele Kunden zu Microsoft LAPS, bei dem jeder Windows-Computer ein eigenes lokales Administratorkennwort hat. Dies erhöht zwar die Sicherheit, erschwert aber die Arbeit von Netzwerkerkennungsprogrammen. Bei Tausenden von Windows-Computern ist es unmöglich, das lokale Administratorkonto und das Passwort für jedes Gerät einzeln zu konfigurieren. Außerdem würde ein regelmäßiger Wechsel der Kennwörter den Aufwand erhöhen, die Kennwörter im Erkennungstool und in LAPS synchron zu halten. Die Einführung von Microsoft LAPS stellt für solche Tools sowohl eine Herausforderung als auch eine Chance dar.
Herausforderungen:
- Rotation der Kennwörter: Automatisierte Tools müssen ihre Anmeldedatenbank ständig aktualisieren, um mit den rotierenden, von LAPS verwalteten Kennwörtern synchron zu bleiben.
- Zugriffskontrolle: Unternehmen müssen die Zugriffsberechtigungen auf die in LAPS gespeicherten Passwörter sorgfältig verwalten, um unbefugten Zugriff zu verhindern.
- Komplexität der Integration: Discovery-Tools müssen möglicherweise aktualisiert oder erweitert werden, um neue LAPS-Abrufmechanismen zu unterstützen.
- Ausfallzeit-Risiken: Eine unsachgemäße Synchronisierung mit LAPS kann zu Fehlern bei der Suche oder unvollständigen Ergebnissen führen.
Opportunities:
- Verbesserte Sicherheitslage: Durch die Integration mit LAPS wird sichergestellt, dass automatisierte Tools dieselben bewährten Sicherheitsverfahren befolgen.
- Möglichkeiten der Automatisierung: Lösungen wie JDisc Discovery können potenziell APIs nutzen, um LAPS-verwaltete Anmeldeinformationen für Discovery-Aufgaben programmatisch abzurufen.
- Verbesserte Compliance: Organisationen können die Sicherheitsanforderungen erfüllen, indem sie Passwortrichtlinien für alle Systeme durchsetzen, einschließlich derer, die von automatisierten Tools entdeckt werden.
- Skalierbarkeit: Ermöglicht großen Umgebungen die dynamische Verwaltung von Passwörtern ohne manuelle Eingriffe.
Wie geht JDisc Discovery mit LAPS und seinen Versionen um?
JDisc Discovery unterstützt LAPS schon seit geraumer Zeit, und wir passen unsere Software kontinuierlich an die Entwicklung von LAPS an. Welchen Grundsätzen folgen wir bei der Verwendung von LAPS? Das wichtigste Prinzip ist, dass wir keine lokalen Administrator-Passwörter in unserer Datenbank speichern. Aus offensichtlichen Sicherheitsgründen ziehen es IT-Abteilungen vor, die Speicherung administrativer Anmeldedaten über mehrere Tools hinweg zu vermeiden. Stattdessen rufen wir die aktuellen Anmeldedaten nur bei Bedarf ab, z. B. bei einem Scan eines bestimmten Computers, der LAPS verwendet.
Legacy LAPS
Werfen wir einen Blick darauf, wie JDisc Discovery mit Legacy LAPS umgeht. Dies war die erste Version von LAPS, die eine Installation auf dem Betriebssystem und die Ausführung von Skripten zur Erweiterung des Active Directory (AD) Schemas erforderte. Nach der Installation auf den Client-Computern generiert die LAPS-Software ein lokales Administratorkennwort und speichert es sicher an einem speziellen Ort innerhalb von Microsoft Active Directory. Autorisierte AD-Benutzer können dann das lokale Administratorkennwort über LDAP-Abfragen abrufen.
Eine der größten Herausforderungen für Netzwerkerkennungs-Tools mit dem alten LAPS ist, dass es nur das Passwort des lokalen Administrators speichert, aber nicht den zugehörigen Kontonamen. Das bedeutet, dass JDisc Discovery zwar das Passwort abrufen kann, aber auch einen gültigen Kontonamen benötigt, um eine Verbindung über WMI oder andere Protokolle herzustellen. Standardmäßig wird angenommen, dass der Kontoname „Administrator“ lautet. Dieser kann jedoch angepasst werden und kann je nach Systemsprache variieren (z.B. bei einer französischen Version von Windows).
Um Legacy-LAPS effektiv nutzen zu können, sind zwei wichtige Informationen erforderlich:
- Ein Konto und ein Kennwort für einen Benutzer, der berechtigt ist, das Kennwort des lokalen Administrators über LDAP aus dem Active Directory zu lesen.
- Der Kontoname des lokalen Administrators (falls er sich vom Standard „Administrator“ unterscheidet).
Um LAPS in JDisc Discovery zu konfigurieren, öffnen Sie den Discovery-Konfigurationsdialog und navigieren Sie zur Registerkarte LAPS. Hier können Sie die Anmeldedaten des Benutzers angeben, der berechtigt ist, LAPS-Passwörter zu lesen. Wählen Sie dann die Organisationseinheit (OU) aus, in der Sie LAPS-Konten verwenden möchten. Klicken Sie auf LAPS-Konto ändern, um den Benutzernamen und das Passwort eines autorisierten Benutzers einzugeben, der berechtigt ist, die aktuellen LAPS-Passwörter für die Computer in dieser OE zu lesen.
Im folgenden Beispiel konfigurieren wir das Konto „JDISC\LAPS-READER“, um Passwörter für Computer in der Organisationseinheit „France“ abzurufen.
Wie bereits erwähnt, sieht die alte LAPS-Version keinen Namen für das lokale Administratorkonto vor. Standardmäßig verwenden wir „Administrator“. Administratoren können dieses Konto jedoch ändern, und außerdem ist der Standardwert auch sprachabhängig. Für „France“ lautet die Vorgabe also „Administrateur“. Wir müssen also den Kontonamen für den lokalen Administrator festlegen:
Bei dieser Konfiguration wird das Konto „JDISC\LAPS-READER“ verwendet, um das Kennwort des lokalen Administrators über LDAP zu lesen. Wenn wir das Passwort haben, verwenden wir die Konten in der Liste der lokalen Administratorkonten, um eine Verbindung mit dem Zielgerät herzustellen. Das Passwort wird nicht in der JDisc Discovery Datenbank gespeichert. Es wird nur zum Scannen des Computers verwendet.
Aktuelle LAPS-Version
Microsoft hat beschlossen, LAPS in sein Betriebssystem zu integrieren, um die Konfiguration und den Einsatz zu vereinfachen. Darüber hinaus wird EntraID als Speicher für die lokalen Administrator-Anmeldedaten zusätzlich zum lokalen Microsoft Active Directory hinzugefügt. Darüber hinaus können Administratoren das Passwort optional verschlüsseln, wenn es im AD gespeichert wird. Um es zu verwenden, müssen Sie das Passwort entschlüsseln, das Sie aus dem AD gelesen haben. Und glücklicherweise wurde auch der Kontoname in LAPS aufgenommen. Jetzt können Sie also den Kontonamen des lokalen Administrators UND das Kennwort erhalten.
In AD gespeicherte Zugangsdaten
Die Verwendung der aktuellen LAPS-Version vereinfacht die Konfiguration innerhalb von JDisc Discovery. Es ist nicht mehr notwendig, den Kontonamen des lokalen Administrators zu definieren, da die aktuelle LAPS-Version auch den Kontonamen über LDAP bereitstellt.
Sie müssen also nur noch den Kontonamen und das Passwort für den Benutzer konfigurieren, der die Berechtigung hat, den Benutzernamen und das Passwort des lokalen Administrators über LDAP zu lesen.
In EntraID gespeicherte Zugangsdaten in der Cloud
JDisc Discovery hat vor kurzem seine EntraID Erkennungsmöglichkeiten erweitert. Zusätzlich zu den Details über die Gruppen und administrativen Einheiten, haben wir auch Unterstützung für LAPS hinzugefügt, wenn das Konto und das Passwort des lokalen Administrators in der Azure Cloud in seiner EntraID gespeichert ist.
Wenn Sie den Zugriff auf das Azure-Portal konfiguriert haben, indem Sie eine Anwendung und ein Geheimnis erstellt haben, kann JDisc Discovery auf die lokalen Administrator-Anmeldedaten des Geräts zugreifen, wenn die Anwendung die Berechtigung DeviceLocalCredential.Read.All hat. Wenn wir also einen Windows-Computer finden, von dem wir wissen, dass er von Intune verwaltet wird und das LAPS-Kennwort in der EntraID gespeichert ist, können wir den Kontonamen und das Kennwort des aktuellen Administrators über die MS Graph API abrufen.
Fazit
Microsoft LAPS hat sich von einer eigenständigen Sicherheitslösung zu einer vollständig integrierten Komponente in modernen Windows-Betriebssystemen entwickelt. IT-Administratoren verfügen über leistungsstarke Werkzeuge zur Verbesserung von Sicherheit und Compliance, unabhängig davon, ob sie das alte LAPS oder die neue integrierte Version mit Cloud-Funktionen verwenden.
Für automatisierte Netzwerkerkennungslösungen wie JDisc Discovery ist die Anpassung an die neue LAPS-Landschaft von entscheidender Bedeutung, um einen nahtlosen Betrieb zu gewährleisten und gleichzeitig die Einhaltung der Sicherheitsrichtlinien des Unternehmens sicherzustellen. Durch die Nutzung der neuen Funktionen und die Integration mit LAPS können diese Tools weiterhin wertvolle Einblicke in IT-Umgebungen liefern, ohne die Sicherheit zu gefährden.
Die Einführung von LAPS als Standard-Sicherheitspraxis verbessert die Sicherheit und rationalisiert administrative Aufgaben, so dass sich IT-Teams auf strategische Initiativen konzentrieren können, während sie gleichzeitig eine robuste Endpunktsicherheit aufrechterhalten.
Ich hoffe, diese Erklärung gefällt Ihnen…
Cheers!
Thomas